Kompatibilita ověřování brány Zyxel Firewall se systémem Windows Server 2025

S nadcházejícími změnami zavedenými v systému Microsoft Windows Server 2025 byla podpora ověřování NTLM vyřazena ve prospěch modernějších a bezpečnějších ověřovacích protokolů. V důsledku toho mohou mít metody ověřování spoléhající se na MSCHAPv2 - například metody používané v prostředích Active Directory (AD) a RADIUS - při propojení se zařízeními firewall Zyxel s aktuální verzí firmwaru problémy s kompatibilitou.

Poznámka: Od dubna 2025 systém Windows Server 2025 nadále podporuje pro ověřování protokol MS-CHAPv2.
Je však důležité si uvědomit, že funkce Windows Defender Credential Guard, která je ve výchozím nastavení systému Windows Server 2025 povolena, může narušovat metody ověřování založené na protokolu MS-CHAPv2, například PEAP-MSCHAPv2 a EAP-MSCHAPv2.
Toto rušení může vést k selhání ověřování ve scénářích, jako je ověřování pomocí služby Active Directory (AD) na bráně firewall Zyxel a ověřování pomocí serveru RADIUS.

Pokud chcete integrovat bránu Zyxel Firewall s adresářem Active Directory systému Windows Server 2025 pomocí protokolu LDAPS (port TCP 636 ) v systému ZLD 5.40 nebo uOS 1.32, přečtěte si tento specializovaný článek:
👉 Brána Zyxel Firewall - Windows Server 2025 Active Directory a Zyxel Firewall ZLD 5.40/uOS 1.32

Poznámka: Tento článek se zaměřuje na problémy s kompatibilitou ověřování (např. MS-CHAPv2, zastarání NTLM) se systémem Windows Server 2025. Pokud vás zajímají kroky integrace služby AD pomocí LDAPS, přečtěte si odkazovaný článek v dolní části.

Pozorované chování

Při pokusu o ověření uživatelů prostřednictvím služby AD nebo NPS (Network Policy Server) pomocí protokolu MSCHAPv2 nemusí firewally Zyxel obdržet platnou odpověď, což vede k neúspěšným pokusům o ověření. Toto chování je způsobeno odstraněním podpory NTLM v systému Windows Server 2025, která je nezbytnou součástí pro fungování protokolu MSCHAPv2.

Doporučené řešení společnosti Zyxel

Pro zajištění trvalého a nepřerušovaného ověřování uživatelů doporučuje společnost Zyxel následující řešení, dokud nebude zavedena plná kompatibilita:

• Pro účely ověřovánívytvořte na bráně firewall Zyxelmístní uživatelské účty.
• Tím se obejde závislost na NTLM, což zajistí bezproblémové přihlašování uživatelů při zachování bezpečnosti sítě.

Obejití Řešení (s opatrností)

Obejití 1: Povolení protokolu SSL (LDAPS) na bráně firewall Zyxel

Podstatou tohoto řešení je použití protokolu LDAP přes SSL, který je v souladu s novými bezpečnostními zásadami společnosti Microsoft a nahrazuje starší protokol NTLM.

Kroky konfigurace:

1. Postup: Přihlaste se do rozhraní brány Zyxel Firewall a přejděte na:
   Authentication > Server Settings > Advanced Settings (Ověřování > Nastavení serveru > Rozšířená nastavení).
2. Povolte možnost SSL.

Ujistěte se, že:

• Řadič domény má platný certifikát SSL.
• Tento certifikát je nainstalován v úložišti Důvěryhodné kořenové certifikační autority na bráně Firewall.

Rizika a omezení:

• Bez správně nainstalovaného a důvěryhodného certifikátu se brána Firewall nebude moci připojit k serveru AD prostřednictvím protokolu LDAPS.
• Je nutná ruční manipulace s certifikátem: export, import a ověření řetězce důvěryhodnosti.

Řešení 2: Uvolnění zásad zabezpečení v systému Windows Server 2025

Druhým přístupem je úprava zásad skupiny na řadiči domény tak, aby ve výchozím nastavení umožňovaly nezabezpečené chování. To umožní bráně Zyxel Firewall připojit se pomocí standardního (nezabezpečeného) protokolu LDAP.

Kroky: 1. Zkontrolujte, zda je možné použít protokoly LDAP a LDAP:

1. Spusťte soubor gpedit.msc na řadiči domény Windows Server 2025.
2. Přejděte na následující stránku:
   Místní editor zásad skupiny → Konfigurace počítače → Nastavení systému Windows →
   Nastavení zabezpečení → Místní zásady → Možnosti zabezpečení →
   Řadič domény: Požadavky na podepisování serveru LDAP
3. Změňte nastavení "Enforcement" na "Disabled".

Co to udělá:

• Umožňuje řadiči domény odpovídat na prosté (nešifrované) požadavky LDAP od klientů, jako je například Zyxel Firewall.
• Obchází požadavek na použití protokolu LDAPS.

Rizika:

• Hesla a další citlivé údaje jsou přenášeny nešifrovaně, což je nebezpečné zejména v nezabezpečených nebo veřejných sítích.
• Otevírá potenciální zranitelnost vůči útokům typu man-in-the-middle.
• Porušuje zásady zabezpečení doporučené společností Microsoft a může vyvolat výstrahy v monitorovacích systémech.

Závěr:

Jedná se o rychlé řešení, které však výrazně snižuje zabezpečení. Používejte jej pouze v omezených, izolovaných prostředích a vraťte jej, jakmile bude k dispozici oficiální řešení.

Výhled do budoucna

Ve společnosti Zyxel aktivně pracujeme na tom, aby se naše řešení vyvíjela společně se změnami v oboru. Naše týmy pozorně sledují vývoj společnosti Microsoft v souvislosti se systémem Windows Server 2025 a již nyní zkoumáme možnosti integrace pro podporu rozšířených bezpečnostních protokolů, které zavádí.

I když současné verze firmwaru zatím aktualizované metody ověřování nepodporují, můžete si být jisti, že v našem plánu vývoje má tato oblast vysokou prioritu. Naši inženýři jsou odhodláni poskytovat zákazníkům bezproblémové služby a podpora ověřování v systému Windows Server 2025 je aktivně zkoumána.

Děkujeme vám za vaši trvalou důvěru ve společnost Zyxel. Společně budujeme bezpečnější a odolnější budoucnost.

Oceňujeme vaše pochopení a doporučujeme zůstat ve spojení s naší komunitou Zyxel a portálem podpory, kde najdete nejnovější zprávy a pokyny.