artykuły

Powrót do listy artykułów

Temat artykułu: NAP w systemie Windows Server “Longhorn”
Tekst napisał pitt2k dnia 07-05-2007

Platforma Network Access Protection w systemie Windows Server “Longhorn”

Network Access Protection (NAP) to platforma wymuszająca przestrzeganie zasad bezpieczeństwa danej organizacji, wbudowana w systemy Windows Vista i Windows Server "Longhorn". Chroni ona systemy informatyczne przed zagrożeniami i pomaga utrzymywać je w dobrym stanie „zdrowia”. Pozwala indywidualnie określić zasady bezpieczeństwa, wg których walidowany będzie stan każdego komputera próbującego uzyskać dostęp do sieci lub komunikować się przez sieć. Komputery mogą być automatycznie aktualizowane, a ich dostęp do sieci może być ograniczany/blokowany do czasu, aż zostaną spełnione określone wymagania.

Platforma NAP oferuje interfejs programistyczny (API), w którym projektanci i niezależni dostawcy mogą opracowywać kompletne rozwiązania walidujące spełnianie wymogów bezpieczeństwa, ograniczające dostęp do sieci i dbające o ogólny stan „zdrowia” systemu.

Infrastruktura sieciowa musi funkcjonować w taki sposób, aby możliwe było uzależnianie dostępu do sieci od stanu „zdrowia” komputerów:

•	Walidacja zasad polityki bezpieczeństwa: określa, czy dany komputer spełnia wymagania polityki bezpieczeństwa.
•	Ograniczanie dostępu do sieci: wyklucza komputery nie spełniające takich zasad.
•	Aktualizacja: doprowadzanie komputera do stanu, w którym może on zostać uznany za spełniający zasady bezpieczeństwa.
•	Bieżąca aktualizacja: automatyczne utrzymywanie komputerów w stanie zgodnym z aktualnym zbiorem zasad polityki bezpieczeństwa.

Scenariusze działania platformy NAP

Platforma NAP została zaprojektowana przede wszystkim z myślą o elastyczności. Może ona współpracować z oprogramowaniem System Health Agent (SHA) i System Health Validators (SHV) dowolnego dostawcy lub z oprogramowaniem wykorzystującym jego opublikowany zestaw API. Przykładami rozwiązań pochodzących od niezależnych dostawców, które współdziałają z platformą NAP mogą być skanery anty-wirusowe, menedżery uaktualnień lub programy realizujące prywatne sieci wirtualne VPN. Platforma Network Access Protection dostarcza rozwiązań w następujących typowych sytuacjach:

•
Kontrola urządzeń mobilnych.
Network Access Protection pozwala kontrolować stan ”zdrowia” każdego urządzenia mobilnego w momencie dołączania go do sieci firmowej, dzięki czemu – bez stwarzania zagrożeń dla jej stanu – nie traci się korzyści wynikających z przenośności i elastycznej pracy.

•
Dbanie o bieżące zdrowie komputerów stacjonarnych.
Platforma NAP, uzupełniona odpowiednim oprogramowaniem zarządzającym, może automatycznie generować raporty i uaktualniać komputery nie spełniające zasad bezpieczeństwa ( dostosowywać je do wymagań zmienionych przez administratora w celu zapobiegania zagrożeniom bezpieczeństwa publicznie dostępnych zasobów).

•
Ograniczanie dostępu do sieci urządzeń mobilnych.
Platforma Network Access Protection pozwala administratorom ustalić, czy laptop dołączony do infrastruktury sieciowej jest uprawniony do uzyskania dostępu do całej sieci oraz ograniczyć ten dostęp do ściśle wydzielonych fragmentów sieci, bez dokonywania jakichkolwiek zmian konfiguracyjnych w systemach, a także bez wprowadzania do nich jakichkolwiek aktualizacji w przypadku komputerów korzystających czasowo z sieci firmowej.

•
Weryfikacja stanu zdrowia komputerów używanych w domu.
Platforma Network Access Protection pozwala administratorom przez łącze VPN sprawdzić przy każdym połączeniu komputera z siecią firmową, czy posiada on wymagane programy, czy zawiera w swoim rejestrze odpowiednie ustawienia, czy posiada obecne niezbędne pliki, itd. Administratorzy mają możliwość ograniczenia takim komputerom dostępu do ściśle określonego obszaru sieci do momentu, aż wykryte uchybienia stanu „zdrowia” i/lub niezbędnych zabezpieczeń zostaną naprawione.

Komponenty platformy Network Access Protection

Platforma Network Access Protection oferuje wiele komponentów kontrolujących na różne sposoby dostęp do sieci, między innymi:

•
protokół Internet Protocol security (IPsec) – uwierzytelnianie na hostach,

•
kontrola w punktach dostępu IEEE 802.1X,

•
wirtualne sieci prywatne (VPN) – zdalny dostęp do sieci firmowej,

•
serwery Dynamic Host Configuration Protocol (DHCP).

Administratorzy mogą wykorzystywać każdą z tych technologii z osobna, bądź łączyć je po to, aby ograniczyć dostęp komputerów nie spełniających wymagań. Wszystkie te technologie w systemie Windows Server "Longhorn" są obsługiwane przez Network Policy Server (NPS), następcę usługi Internet Authentication Service (IAS), znanej z systemu Windows Server 2003. Można powiedzieć, że NPS pełni rolę serwera polityki bezpieczeństwa w odniesieniu do wszystkich wspomnianych technologii.

Platforma Network Access Protection wymaga serwera Windows Server "Longhorn", i obsługuje klientów w wersji Windows Vista, Windows XP z Service Pack 2 (SP2) lub Windows Server "Longhorn".

Wymuszanie przez protokół IPsec

Działanie to jest realizowane przez serwer certyfikatów i klientów IPsec NAP Enforcement Client (EC). Serwer wydaje sprawdzonym klientom certyfikaty X.509 zaświadczające o spełnianych wymaganiach polityki bezpieczeństwa. Certyfikaty te konieczne są do uwierzytelnienia klientów NAP inicjujących komunikację przez intranet z innymi klientami przy użyciu bezpiecznego protokołu IPsec.

Technika wymuszania przez protokół IPsec ogranicza komunikację sieciową do tych węzłów, które zostały uznane za zgodne z wymaganiami polityki bezpieczeństwa. Ponieważ technika taka wykorzystuje protokół IPsec, wymagania bezpiecznej komunikacji można definiować osobno dla poszczególnych adresów IP oraz dla danych numerów portów TCP/UDP. Technika wymuszania przez protokół IPsec ogranicza komunikację sieciową tylko do zgodnych komputerów, które zdołały się połączyć i uzyskać ważny adres IP. Jest to najsilniejsza forma ograniczania dostępu do sieci spośród stosowanych przez platformę Network Access Protection.

Wymuszanie przez punkty dostępu 802.1X

Zadanie realizowane jest przez serwer NPS i klientów EAPHost NAP EC. Serwer NPS instruuje punkt dostępu 802.1X (przełącznik Ethernetowy lub bezprzewodowy punkt dostępu) po to, aby ograniczyć dostęp klienta, narzucając mu profil restricted access profile dopóki nie wykona on zestawu funkcji korekcyjnych (remediation functions). Profil może zawierać zestaw filtrów pakietów IP lub identyfikator wirtualnej sieci LAN (VLAN), za pomocą których ruch do/od klienta jest ograniczany. Ta technika wymuszania umożliwia silne ograniczanie dostępu wszystkich komputerów łączących się z siecią przez punkty dostępu 802.1X.

Wymuszanie przez serwery VPN

Realizuje serwer VPN NAP Enforcement Server (ES) i klientów VPN NAP EC. Serwer VPN może wymusić respektowanie zasad polityki bezpieczeństwa za każdym razem, kiedy dany komputer próbuje uzyskać połączenie z siecią firmową korzystając z połączenia VPN. Taka technika umożliwia silne ograniczanie dostępu wszystkich komputerów komunikujących się z siecią przez łącza VPN.

Wymuszanie przez DHCP

Zadanie to realizowane jest przez serwer DHCP NAP ES i klientów DHCP NAP EC. Serwer DHCP może wymusić respektowanie zasad polityki bezpieczeństwa za każdym razem, gdy dany komputer próbuje wydzierżawić lub odnowić dzierżawę adresu IP w sieci. Ta technika wymuszania jest najłatwiejsza do wdrożenia, wykorzystywana gdy każda maszyna, która chce komunikować się przez sieć, musi wydzierżawić adres IP. Ponieważ wymuszanie DHCP polega na wpisach w tabeli routingu IP, jest to najsłabsza forma dostępu do sieci spośród stosowanych przez platformę Network Access Protection.

NPS/RADIUS

Komponent systemu Windows Server "Longhorn", odpowiadający za uwierzytelnianie użytkowników łączących się zdalnie (Remote Authentication Dial-In User Service,RADIUS), nie maserwerów NAP ES ani klientów NAP EC. Zamiast tego pracuje jako serwer polityki bezpieczeństwa w połączeniu z innymi komponentami NAP ES i NAP EC. Administratorzy muszą zdefiniować wymagania stanu zdrowia systemu w formie zasad polityki bezpieczeństwa wymuszanych przez serwery NPS. Serwery NPS spełniają wymagania i koordynują działanie usług katalogowych Active Directory wówczas, gdy komputer próbuje uzyskać certyfikat „zdrowia”, połączyć się z siecią przez punkt dostępu 802.1X przez VPN, bądź skorzystać z usług serwera DHCP.

Dodatkowe komponenty i zasoby platformy Network Access Protection

Konfigurując platformę Network Access Protection administratorzy mogą skorzystać z dodatkowych komponentów serwerowych, klienckich, serwerów korygujących (remediation servers) oraz serwerów zasad polityki bezpieczeństwa.

•	Kontrola urządzeń mobilnych. Network Access Protection pozwala kontrolować stan ”zdrowia” każdego urządzenia mobilnego w momencie dołączania go do sieci firmowej, dzięki czemu – bez stwarzania zagrożeń dla jej stanu – nie traci się korzyści wynikających z przenośności i elastycznej pracy.
•	Dbanie o bieżące zdrowie komputerów stacjonarnych. Platforma NAP, uzupełniona odpowiednim oprogramowaniem zarządzającym, może automatycznie generować raporty i uaktualniać komputery nie spełniające zasad bezpieczeństwa ( dostosowywać je do wymagań zmienionych przez administratora w celu zapobiegania zagrożeniom bezpieczeństwa publicznie dostępnych zasobów).
•	Ograniczanie dostępu do sieci urządzeń mobilnych. Platforma Network Access Protection pozwala administratorom ustalić, czy laptop dołączony do infrastruktury sieciowej jest uprawniony do uzyskania dostępu do całej sieci oraz ograniczyć ten dostęp do ściśle wydzielonych fragmentów sieci, bez dokonywania jakichkolwiek zmian konfiguracyjnych w systemach, a także bez wprowadzania do nich jakichkolwiek aktualizacji w przypadku komputerów korzystających czasowo z sieci firmowej.
•	Weryfikacja stanu zdrowia komputerów używanych w domu. Platforma Network Access Protection pozwala administratorom przez łącze VPN sprawdzić przy każdym połączeniu komputera z siecią firmową, czy posiada on wymagane programy, czy zawiera w swoim rejestrze odpowiednie ustawienia, czy posiada obecne niezbędne pliki, itd. Administratorzy mają możliwość ograniczenia takim komputerom dostępu do ściśle określonego obszaru sieci do momentu, aż wykryte uchybienia stanu „zdrowia” i/lub niezbędnych zabezpieczeń zostaną naprawione.

•	protokół Internet Protocol security (IPsec) – uwierzytelnianie na hostach,
•	kontrola w punktach dostępu IEEE 802.1X,
•	wirtualne sieci prywatne (VPN) – zdalny dostęp do sieci firmowej,
•	serwery Dynamic Host Configuration Protocol (DHCP).