Network Access Protection

From ICO wiki

Network Access Protection

Mis ja milleks on NAP?

Võrgupääsukaitse (NAP) on platvorm, mida võrguadministraatorid kasutavad võrgu turvalisuse kaitseks. NAPi tutvustati koos Windows Vista ja Windows Server 2008. Kui loote ühenduse sellise ettevõttevõrguga, mis kasutab NAP-i, kontrollitakse, kas teie arvutis on nõutud tarkvara ja sätted, ning kas tarkvara ja sätted on värskendatud. Kui midagi on puudu või aegunud, võidakse teie arvutit automaatselt värskendada. Sel ajal võib teie võrgujuurdepääs olla piiratud, kuid see kestab tavaliselt lühikest aega ilma et peaksite ise midagi tegema või et piirataks juurdepääsu võrgule. NAP kontrollib internetile ligipääsu baseerudes kliendi arvuti identiteedile ja vastavust ettevõtte üldjuhtimise poliitikale. NAP lubab võrgu administraatoritel määrata granuleeritud võrgu ligipääsu taset baseerudes sellel, kes klient on, millistesse gruppidesse ta kuulub, ja kraad, millega klient on ettevõtte üldjuhtimise poliitikaga seotud. NAP on platvorm, mis jagab infrastruktuurile ja API seadetele komponente, mis salvestavad raporteerivad, valideerivad ja parandavad arvuti tervisliku seisu. Iseenesest NAPi platvorm ei paku komponente, mis koguvad ja hindavad arvuti atribuutide tervisliku seisundit. Teised komponendid, mis on tuntud kui süsteemi tervise agendid ja süsteemi tervise validaatorid, tagavad võrgu poliisi valideerimise ja võrgu poliisi koostöö. NAP API on disainitud C/C++ arendajatele. NAPi jõustumismeetodite mõistmiseks peaksid programmeerijad olema tuttavad võrgu protokollide ja tehnoloogiatega nagu näiteks RADIUS (Remote Authentication Dial-in User Service), DHCP, VPN, IEEE 802.1X ja IPsec.

Kus on NAP rakendatav?

NAP on disainitud olema laialdane. See võib opereerida igas müüja tarkvaras, mis toetab SHAsid ja SHVsid või tunneb ära NAPi API sätted. NAP aitab pakkuda lahendust järgnevatele tuntud stsenaariumitele:

  • Kontrollida võrgus olevate läpparite tervist ja staatust
  • Kindlustada tööarvutite tervis
  • Kindlustama NAPi võrgus olevate arvutite koostöö
  • Kindlaks määrata uute läpparite tervis

NAPi Nõuded

NAPi platvorm nõuab NAPi serverit, millel jookseb NAPi infrastruktuur (Windows Server 2008 või Windows Server 2008 R2) ja NAPi klient, millel oleks peal Windows XP SP3, Windows Vista või mõni hilisem Windowsi versioon. Täpsemalt võib lugeda NAPi APIst.

Millal hakkab NAP tööle?

NAP jõustub momendil, kui kliendi arvuti üritab võrku läbi võrgupääsme serveri, nagu näiteks VPNi server, millel jookseb Routing ja Remote Access, või kui klient üritab suhelda teise võrgu allikatega. Viis kuidas NAP jõustub sõltub, millise jõustumismeetod valida. NAPi jõustumise tervisenõuded on järgnevad:

  • Turvatud interneti protokoll (IPsec)
Uuri IPseci NAPi kohta siit: http://go.microsoft.com/fwlink/?Linkid=85894
  • VPN ühendused
Uuri VPN NAPi kohta siit: http://go.microsoft.com/fwlink/?Linkid=85896
  • DHCP konfiguratsioon
Uuri DHCP NAPi kohta siit: http://go.microsoft.com/fwlink/?Linkid=85897
  • Autenditud IEEE 802.1X ühendused
Uuri IEEE 802.1X NAPi kohta siit: http://go.microsoft.com/fwlink/?Linkid=86036
  • TS Gateway ühendused

Olulisemad mõisted eoses NAPiga

  • NAPi agent: Teenus, mis sisaldab endas Windows Server 2008, Windows Server 2008 R2, Windows 7, Windows Vista ja Windows XP SP3. NAPi agent kogub ja käitleb NAPi klientide arvutite tervise informatsiooni.
  • NAPi kliendi arvuti: Arvuti, millele on peale installeeritud ja jooksmas NAPi agendi teenus, ja see jagab oma tervislikku staatust NAPi serveri arvutitega.
  • NAPi-võimeline arvuti: Arvuti, millele on peale installeeritud ja jooksmas NAPi agendi teenus, ja see jagab oma tervislikku staatust NAPi serveri arvutitega. NAPi-võimeline arvuti sisaldab endas arvutit, mille peal jookseb Windows Server 2008, Windows Server 2008 R2, Windows 7, Windows Vista või Windows XP SP3.
  • NAPi-võimetu arvuti: Arvuti, mis ei jaga oma tervisliku staatust NAPi serveritega. Arvutit, millel on NAPi teenus peale installeeritud, aga see ei jookse, loetakse sammuti NAPi-võimetuks arvutiks.
  • Vastutulelik arvuti (ingl. k Compliant computer): Arvuti, mis peab administraatori poolt kindlaks määratud NAPi tervise nõuetest kinni. Ainult NAPi-võimelised kliendid saavad olla vastutulelikud.
  • Mitte vastutulelik arvuti (ingl. k Noncompilant computer): Arvuti, mis ei pea administraatori poolt kindlaks määratud NAPi tervise nõuetest kinni. Ainult NAPi-võimelised kliendid saavad olla mitte vastutulelikud.
  • Tervislik seisund: Informatsiooni NAPi kliendi arvuti kohta, mida NAP kasutab, et lubada või keelata võrgu kasutus. Tervis on defineeritud kliendi arvuti konfigureerimisseisundi järgi. Mõned üldised tervise mõõtetulemused sisaldavad endas valikulist Windowsi tulemüüri staatust, antiviiruse uuenduste signatuurfaile ja turvauuenduste installeerimise staatust. NAPi kliendi arvuti jagab oma tervise staatust saates sõnumit, mida kutsutakse terviselauseks (ingl. k statement of health (SoH))).
  • NAP tervise poliisi server: NAPi tervise poliisi server on arvuti, millel on peal Windows Server 2008, Windows server 2008 R2 koos installeeritud ja konfigureeritud Võrgu Poliisi Serveri (NPS) rolliga. NAPi tervise poliisi server kasutab NPS poliisi ja sätteid, et hinnata NAPi kliendi arvutite tervislikku seisundit, kui nad tahavad võrgule liigipääsu või kui nende tervislik seisund muutub. Tuginedes sellele hinnangu tulemusele, NAPi tervise poliisi server, kas tagab NAPi kliendile ligipääsu võrku või mitte. Tervise poliitika nõuded on administraatori poolt konfigureeritud ja võivad enda sisaldada sätteid, mis nõuavad, et NAPi kliendi arvutitel oleks peal viimane antiviiruse väljalase, et turvauuendused oleksid installitud, et personaalne tulemüür oleks töökorras, ja lisaks teisi sätteid.

NAPi konfigureerimine

Võrgu Poliisi Serveri installeerimine

Esimeseks sammuks DHCP ja NAPi integreerimise juures on Võrgu Poliisi Serveri rolli paigaldamine. Seda saab teha käivitades Serveri Manageri, valides vasakult Rollid, edasi Add Roles. Rollide hulgast valida roll nimega Network Policy and Access Services ning vajutada install. Sama asja saab teha ka käsurealt kasutades käsku :

servermanagercmd –install npas

NAPi konfigureerimine NAPi konsoolis

Pärast Võrgu Poliisi Serveri rolli paigaldamist on järgmiseks sammuks NAPi konfigureerimine. Selleks käivitage Võrgu Poliisi konsool (Start -> All Programs -> Administration Tools -> Network Policy Server). Pärast konsooli käivitumist, valige DHCP võrguühendus meetodiks ja aksepteerige poliisi nime NAP DHCP või sisestage ise uus poliisi nimi.

NAPPilt1.jpg

Kui need sätted konfigureeritud, siis vajutage Next, et näha NAP Jõustumise Serverite (ingl. k Enforcement Server) ekraani. Kui Serveril on DHCP roll paigaldatud, siis võib järgmise sammu vahele jätta. Teisalt aga, DHCP serverid jooksevad ühes või rohkemas kaugjuhitvas (ingl. k remote server) serveris, neil kõigil peab olema paigaldatud NPS roll ja konfigureeritud RADIUSe proxy, et edestada ühenduse soove kohalikule NPS serverile. Vajuta nupule Add ja sisesta remote DHCP serveri nimi ja IP aadress ja sisesta kas manuaalselt või genereeri jagatud saladus (shared secret), mida on vaja iga remote DHCP serveri NAPi DHCP poliisi. Korrata seda tegevust iga remote DHCP serveri puhul enne kui uuesti Next vajutada.

NAPPilt2.jpg


DHCP Serveri NAPi sätete konfigureerimine

DHCPga seotud NAPi sätteid saab konfigureeride kas globaalsel tasandil (üle kogu serveri) või siis skoobi haaval. Konfigureerimaks DHCP serveri globaalseid sätteid, ava DHCP konsool (Start -> All Programs -> Administration Tools -> DHCP) ja voldi vasakul paneelil olev vastav DHCP serveri puu lahti. Parem klikk IPv4, vali Properties ja sealt oma korda Network Access Protection.

NAPPilt3.jpg

Siit saab sättida, kas kõik NAPi skoobid on lubatud või mitte, ja seda kahe nupukasutamisega. Lisaks saab määrata DHCP serveri käitumise kui NPS ei ole kättesaadav. Full acces moodul tähendab seda, et kõikidele DHCP klientidele antakse piiranguteta ligipääs kogu võrgule. Restricted Access moodul annab klientidele ligipääsu ainult selle serveri resurssidele, millega nad ühendatud on. Ülejäänud võrk on täiesti piiratud, kuniks NPS server tagasi tuleb. Drop Client Packet takistab kõikidel klientidel võrguga ühendamast.

NAPi sätete konfigureerimine skoopide jaoks

NAPi sätteid konkreetsete skoopide jaoks saab sammuti DHCP konsoolist modifitseerida. Kui DHCP konsool jookseb, siis voldi lahti vajalik server, siis voldi lahti IPv4, nii, et oleks näha hetkel konfigureeritavad skoobid. Parem klikk vajalikul skoobil, siis valida Properties ja sealt Network Access Protection.

NAPPilt4.jpg

Siit saab määrata kas lubada vastavas skoobis NAP või mitte. Kui vastavas skoobis on NAP lubatud, siis vali kas standard NAPi profiil või vali mõni eksisteeriv profiili nimi. Kui sätted on konfigureeritud, vajuta OK.


Kasutatud allikad

Koostaja

Heigo Võsujalg Grupp A21