Kompatibilita overovania brány Zyxel Firewall so systémom Windows Server 2025

S nadchádzajúcimi zmenami zavedenými v systéme Microsoft Windows Server 2025 bola podpora overovania NTLM zrušená v prospech modernejších a bezpečnejších overovacích protokolov. V dôsledku toho môžu mať metódy overovania spoliehajúce sa na MSCHAPv2 - napríklad tie, ktoré sa používajú v prostrediach Active Directory (AD) a RADIUS - problémy s kompatibilitou pri prepojení so zariadeniami firewall Zyxel s aktuálnymi verziami firmvéru.

Poznámka: Od apríla 2025 Windows Server 2025 naďalej podporuje MS-CHAPv2 na overovanie.
Je však dôležité poznamenať, že Windows Defender Credential Guard, ktorý je v systéme Windows Server 2025 predvolene zapnutý, môže zasahovať do metód overovania založených na MS-CHAPv2, ako sú PEAP-MSCHAPv2 a EAP-MSCHAPv2.
Toto rušenie môže viesť k zlyhaniu overovania v scenároch, ako je overovanie Active Directory (AD) na bráne firewall Zyxel a overovanie servera RADIUS.

Ak chcete bránu Zyxel Firewall integrovať so službou Windows Server 2025 Active Directory pomocou LDAPS (port TCP 636 ) na ZLD 5.40 alebo uOS 1.32, pozrite si tento špecializovaný článok:
👉 Brána Zyxel Firewall - Windows Server 2025 Active Directory a brána Zyxel Firewall ZLD 5.40/uOS 1.32

Poznámka: Tento článok sa zameriava na otázky kompatibility overovania (napr. MS-CHAPv2, zastaranie NTLM) so systémom Windows Server 2025. Ak hľadáte kroky integrácie AD pomocou LDAPS, pozrite si odkazovaný článok na konci.

Pozorované správanie

Pri pokuse o overenie používateľov prostredníctvom AD alebo NPS (Network Policy Server) pomocou MSCHAPv2 nemusia firewally Zyxel dostať platnú odpoveď, čo vedie k neúspešným pokusom o overenie. Toto správanie je spôsobené odstránením podpory NTLM v systéme Windows Server 2025, ktorá je nevyhnutnou súčasťou pre fungovanie MSCHAPv2.

Odporúčané riešenie spoločnosti Zyxel

Na zabezpečenie pokračujúceho a neprerušovaného overovania používateľov spoločnosť Zyxel odporúča nasledujúce riešenie, kým nebude zavedená úplná kompatibilita:

• Na účely overovaniavytvorte na firewalle Zyxelmiestne používateľské účty.
• Tým sa obíde závislosť od NTLM, čím sa zabezpečí bezproblémové prihlasovanie používateľov pri zachovaní bezpečnosti siete.

Obchádzkové riešenie (s opatrnosťou)

Obídenie 1: Povolenie protokolu SSL (LDAPS) na bráne firewall Zyxel

Podstatou tohto riešenia je použitie protokolu LDAP cez protokol SSL, ktorý je v súlade s novými bezpečnostnými zásadami spoločnosti Microsoft a nahrádza starší protokol NTLM.

Kroky konfigurácie:

1. Prihláste sa do rozhrania brány Zyxel Firewall a prejdite na:
   Autentifikácia > Nastavenia servera > Rozšírené nastavenia
2. Povoľte možnosť SSL.

Uistitesa, že:

• doménový radič má platný certifikát SSL.
• Tento certifikát je nainštalovaný v úložisku dôveryhodných koreňových certifikačných autorít na bráne Firewall.

Riziká a obmedzenia:

• Bez správne nainštalovaného a dôveryhodného certifikátu sa brána Firewall nebude môcť pripojiť k serveru AD prostredníctvom LDAPS.
• Vyžaduje sa manuálna manipulácia s certifikátom: export, import a overenie dôveryhodného reťazca.

Obídenie 2: Uvoľnenie bezpečnostnej politiky na serveri Windows 2025

Druhý prístup spočíva v úprave zásad skupiny na radiči domény tak, aby bolo predvolene povolené nezabezpečené správanie. To umožní bráne Zyxel Firewall pripojiť sa pomocou štandardného (nezabezpečeného) protokolu LDAP.

Kroky: 1. V prípade, že je potrebné vykonať kontrolu, môžete sa rozhodnúť, či chcete, aby sa v rámci tejto kontroly použil systém LDAP:

1. Spustite súbor gpedit.msc na radiči domény Windows Server 2025.
2. Prejdite do položky:
   Konfigurácia počítača → Nastavenia systému Windows →
   Nastavenia zabezpečenia → Miestne politiky → Možnosti zabezpečenia →
   Doménový radič: Požiadavky na podpisovanie servera LDAP
3. Zmeňte nastavenie "Enforcement " na "Disabled".

Čo to urobí:

• Umožní radiču domény odpovedať na obyčajné (nešifrované) požiadavky LDAP od klientov, ako je napríklad Zyxel Firewall.
• Obchádza požiadavku na používanie LDAPS.

Riziká:

• Heslá a iné citlivé údaje sa prenášajú nešifrovane, čo je nebezpečné najmä v nezabezpečených alebo verejných sieťach.
• Otvára potenciálnu zraniteľnosť voči útokom typu man-in-the-middle.
• Porušuje bezpečnostné zásady odporúčané spoločnosťou Microsoft a môže vyvolať výstrahy v monitorovacích systémoch.

Záver:

Toto je rýchle riešenie, ktoré však výrazne znižuje bezpečnosť. Používajte ho len v obmedzených, izolovaných prostrediach a vráťte ho hneď, ako bude k dispozícii oficiálne riešenie.

Výhľad do budúcnosti

V spoločnosti Zyxel aktívne pracujeme na tom, aby sa naše riešenia vyvíjali spolu so zmenami v odvetví. Naše tímy pozorne sledujú vývoj spoločnosti Microsoft v súvislosti so systémom Windows Server 2025 a už teraz skúmame možnosti integrácie na podporu rozšírených bezpečnostných protokolov, ktoré zavádza.

Hoci súčasné verzie firmvéru ešte nepodporujú aktualizované metódy overovania, môžete si byť istí, že v našom pláne vývoja má táto oblasť vysokú prioritu. Naši inžinieri sú odhodlaní poskytovať našim zákazníkom bezproblémové služby a podpora overovania v systéme Windows Server 2025 sa aktívne skúma.

Ďakujeme vám za vašu pretrvávajúcu dôveru v spoločnosť Zyxel. Spoločne budujeme bezpečnejšiu a odolnejšiu budúcnosť.

Oceňujeme vaše pochopenie a odporúčame vám zostať v kontakte s našou komunitou a portálom podpory spoločnosti Zyxel , kde nájdete najnovšie správy a usmernenia.