Előadást letölteni
Az előadás letöltése folymat van. Kérjük, várjon
1
Network Access Protection
Harmath Zoltán Principal Consultant Microsoft Consulting Services
2
Tartalom NAP történelem és pozícionálása
NAP infrastruktúra komponensei NAP topológia, működése Kliens réteg NPS szerver Windows System Health Validator Domain izoláció vs. NAP Demo
3
NAP történelem Miért van szükség a NAP technológiára?
Egy „modern” hálózatban a külső-belső határvonalak jelentős mértékben összemosódnak a hálózatban az igazi határokat nem a topológia, hanem a szabályok határozzák meg
4
NAP történelem Jelenleg két technológia áll rendelkezésre
Network Access Quarantine Control Domain izoláció
5
NAP történelem Windows Server 2003 (ma) Windows Server 2008 (holnap)
Quarantine Csak VPN Van állapot ellenőrzés, de az ügyfélnek kell az ellenőrzést kifejlesztenie RQC RQS között pre-shared key alapú azonosítás van, a forgalom nem titkosított Engedélyezés / tiltás állapot van csak Domain izoláció Nem csak VPN DC Client között nem minden forgalom védhető IPSec authentikációs hiányosságok Nincs állapot ellenőrzés Network Access Protection Univerzális (nem csak távoli hozzáféréshez használható fel) Client Szerver között a forgalom titkosított és azonosított Van állapot ellenőrzés Az egyes állapotok finoman szabályozhatóak (nem csak két állapot van) Gyárilag érkezik ellenőrző logika + 3rd party + ügyfelek is fejleszthetnek saját ellenőrző logikát
6
NAP felhasználási területei
Vándorló munkaállomások egészségi állapotának ellenőrzése Saját cég munkaállomása Vendég gép a hálózaton Desktop munkaállomások egészségi állapotának ellenőrzése Nem menedzselt otthoni munkaállomások egészségi állapotának ellenőrzése
7
Tartalom NAP történelem és pozícionálása
NAP infrastruktúra komponensei NAP topológia, működése Kliens réteg NPS szerver Windows System Health Validator Domain izoláció vs. NAP Demo
8
Egy NAP infrastruktúra komponensei
Kliens réteg Network Access Protection Agent Hálózati réteg Network Access Device Szerver réteg Network Policy Server (NPS) Health Registration Authority (HRA) Remediation Server
9
Tartalom NAP történelem és pozícionálása
NAP infrastruktúra komponensei NAP topológia, működése Kliens réteg NPS szerver Windows System Health Validator Domain izoláció vs. NAP Demo
10
NAP topológia működése
Belső hálózat „Külső” hálózat Health requirement Servers Remediation Servers Itt van, alkalmazd. Folyamatos kommunikáció az NPS kiszolgálóval Van valami frissítés? A munkaállomás teljes hozzáférés kapott. A munkaállomás megfelel a házirendnek az egészségi állapota alapján? Van hozzáférésem? Mellékeltem a jelenlegi egészségi állapotom. Hozzáférést kérek. Itt az új egészségi állapotom. A házirend szerint a munkaállomás megfelel. Hozzáférés megadva A házirend szerint a munkaállomás nem felel meg. Karanténba kell helyezni és frissíteni kell. Korlátozott hozzáférést kaptál amíg nem frissíted magad Client Network Access Device (DHCP, VPN) Network Policy Server
11
Tartalom NAP történelem és pozícionálása
NAP infrastruktúra komponensei NAP topológia, működése NAP komponensek - Kliens réteg + NPS szerver Windows System Health Validator Domain izoláció vs. NAP Demo
12
NAP komponensek – kliens réteg
Támogatott OS verziók Windows XP Windows Vista Windows Server 2003 – 2008 Enforcement clients DHCP - Más IP beállításokat tesz lehetővé a compliant és a non-compliant klienseknek RAS - Quarantine szolgáltatás IPSec Compliant kliens kap a HRA-tól egy Health Certificate-t Non-compliant nem kap, vagy elveszi az Agent EAP x képes eszközöket utasítja arra, hogy egy külön VLAN-ra tegye a klienst Alapértelmezésben mindegyik enforcement tiltva van GPO-ból, netsh-val és UI-ból konfigurálható, de XP esetében nincs UI
13
NAP komponensek – kliens réteg
Testreszabható a kiértesítési ablak More information Title Description Image GPO-ból, netsh-val, UI-ról szabályozható A more information NPS szinten konfigurálható
14
NAP komponensek – NPS szerver
System Health Validators Az ellenőrzési logikát tartalmazza Az ellenőrzendő komponenseket tartalmazza Health Policies Az egészségi állapotokat definiálhatjuk Példák Egy SHV-ban definiált összes ellenőrzésnek megfelel Egy SHV-ban definiált feltételek közül legalább egynek nem felel meg Egy SHV-ban definiált feltételek egyikének sem felel meg Network Policies Ez egy speciális IAS Policy, amiben kondícióként egy Health Policy-t határozunk meg Esemény lehet Grant / deny NAP enforcement (Full Access; Limited access; Time limited access) Auto-remediation Klasszikus IP filter Connection Request Policy Klasszikus IAS Policy a NAP szempontjából nincs jelentősége
15
NAP komponensek – NPS szerver
Windows Security Health Validator Health Policy Network Policy - conditions
16
NAP komponensek – NPS szerver
Network Policy – NAP settings
17
Tartalom NAP történelem és pozícionálása
NAP infrastruktúra komponensei NAP topológia, működése NAP komponensek - Kliens réteg + NPS szerver Windows System Health Validator Domain izoláció vs. NAP Demo
18
Windows Security Health Validator
Scope Firewall (On/Off) Antivirus (On/Off; Up to date) Antispyware* (On/Off; Up to date) Automatic Updating (On / Off) Security Update Protection Limitáció Security Center-en keresztül megy a detektálás ha nem megy a Security Center nincs detektálás *: Csak Windows Vista-n
19
Példa beállítás A Windows tűzfalnak bekapcsolt állapotban kell lennie minden menedzselt munkaállomáson. Amennyiben ez nem teljesül, a számítógép nem kommunikálhat a hálózaton és kényszeríteni kell a tűzfal bekapcsolására.
20
Tartalom NAP történelem és pozícionálása
NAP infrastruktúra komponensei NAP topológia, működése NAP komponensek - Kliens réteg + NPS szerver Windows System Health Validator Domain izoláció vs. NAP Demo
21
Domain izoláció vs. NAP Karantén zóna Köztes zóna Védett zóna
Házirend beállítások Védett zóna Minden rendszer rendelkezik Health Certificate-tel Health Certificate alapú authentikáció szükséges a rendszerhez való kapcsolódáskor Köztes zóna Health Certificate alapú authentikációt kér, de nem követel Karantén zóna Nincs Health Certificate Nincs IPSec házirend Köztes zóna Védett zóna Engedélyezett Engedélyezett Engedélyezett Tiltott
22
Tartalom NAP történelem és pozícionálása
NAP infrastruktúra komponensei NAP topológia, működése NAP komponensek - Kliens réteg + NPS szerver Windows System Health Validator Domain izoláció vs. NAP Demo
23
NAP – IPSec enforcement client
Konfiguráció rövid ismertetése Compliant és non-compliant kliens állapot IPSec enforcement client bemutatása demó
24
További információk NAP információk - www.microsoft.com/nap
Domain izoláció - NAP blog - NAP Forum - Cable guy cikkek - cableguy/cgarch.mspx
25
NAP - partnerek
27
Kérdések és válaszok Gál Tamás Erős bástya – biztonsági újdonságok
Harmath Zoltán Network Access Protection
Hasonló előadás
© 2024 SlidePlayer.hu Inc.
All rights reserved.