Network Access Protection Harmath Zoltán zoltanh@microsoft.com Principal Consultant Microsoft Consulting Services
Tartalom NAP történelem és pozícionálása NAP infrastruktúra komponensei NAP topológia, működése Kliens réteg NPS szerver Windows System Health Validator Domain izoláció vs. NAP Demo
NAP történelem Miért van szükség a NAP technológiára? Egy „modern” hálózatban a külső-belső határvonalak jelentős mértékben összemosódnak a hálózatban az igazi határokat nem a topológia, hanem a szabályok határozzák meg
NAP történelem Jelenleg két technológia áll rendelkezésre Network Access Quarantine Control http://www.microsoft.com/technet/community/columns/cableguy/cg0203.mspx http://store.netacademia.net/MSHU/OTHER/009VPN.ppt Domain izoláció http://www.microsoft.com/technet/network/sdiso
NAP történelem Windows Server 2003 (ma) Windows Server 2008 (holnap) Quarantine Csak VPN Van állapot ellenőrzés, de az ügyfélnek kell az ellenőrzést kifejlesztenie RQC RQS között pre-shared key alapú azonosítás van, a forgalom nem titkosított Engedélyezés / tiltás állapot van csak Domain izoláció Nem csak VPN DC Client között nem minden forgalom védhető IPSec authentikációs hiányosságok Nincs állapot ellenőrzés Network Access Protection Univerzális (nem csak távoli hozzáféréshez használható fel) Client Szerver között a forgalom titkosított és azonosított Van állapot ellenőrzés Az egyes állapotok finoman szabályozhatóak (nem csak két állapot van) Gyárilag érkezik ellenőrző logika + 3rd party + ügyfelek is fejleszthetnek saját ellenőrző logikát
NAP felhasználási területei Vándorló munkaállomások egészségi állapotának ellenőrzése Saját cég munkaállomása Vendég gép a hálózaton Desktop munkaállomások egészségi állapotának ellenőrzése Nem menedzselt otthoni munkaállomások egészségi állapotának ellenőrzése
Tartalom NAP történelem és pozícionálása NAP infrastruktúra komponensei NAP topológia, működése Kliens réteg NPS szerver Windows System Health Validator Domain izoláció vs. NAP Demo
Egy NAP infrastruktúra komponensei Kliens réteg Network Access Protection Agent Hálózati réteg Network Access Device Szerver réteg Network Policy Server (NPS) Health Registration Authority (HRA) Remediation Server
Tartalom NAP történelem és pozícionálása NAP infrastruktúra komponensei NAP topológia, működése Kliens réteg NPS szerver Windows System Health Validator Domain izoláció vs. NAP Demo
NAP topológia működése Belső hálózat „Külső” hálózat Health requirement Servers Remediation Servers Itt van, alkalmazd. Folyamatos kommunikáció az NPS kiszolgálóval Van valami frissítés? A munkaállomás teljes hozzáférés kapott. A munkaállomás megfelel a házirendnek az egészségi állapota alapján? Van hozzáférésem? Mellékeltem a jelenlegi egészségi állapotom. Hozzáférést kérek. Itt az új egészségi állapotom. A házirend szerint a munkaállomás megfelel. Hozzáférés megadva A házirend szerint a munkaállomás nem felel meg. Karanténba kell helyezni és frissíteni kell. Korlátozott hozzáférést kaptál amíg nem frissíted magad Client Network Access Device (DHCP, VPN) Network Policy Server
Tartalom NAP történelem és pozícionálása NAP infrastruktúra komponensei NAP topológia, működése NAP komponensek - Kliens réteg + NPS szerver Windows System Health Validator Domain izoláció vs. NAP Demo
NAP komponensek – kliens réteg Támogatott OS verziók Windows XP Windows Vista Windows Server 2003 – 2008 Enforcement clients DHCP - Más IP beállításokat tesz lehetővé a compliant és a non-compliant klienseknek RAS - Quarantine szolgáltatás IPSec Compliant kliens kap a HRA-tól egy Health Certificate-t Non-compliant nem kap, vagy elveszi az Agent EAP - 802.1x képes eszközöket utasítja arra, hogy egy külön VLAN-ra tegye a klienst Alapértelmezésben mindegyik enforcement tiltva van GPO-ból, netsh-val és UI-ból konfigurálható, de XP esetében nincs UI
NAP komponensek – kliens réteg Testreszabható a kiértesítési ablak More information Title Description Image GPO-ból, netsh-val, UI-ról szabályozható A more information NPS szinten konfigurálható
NAP komponensek – NPS szerver System Health Validators Az ellenőrzési logikát tartalmazza Az ellenőrzendő komponenseket tartalmazza Health Policies Az egészségi állapotokat definiálhatjuk Példák Egy SHV-ban definiált összes ellenőrzésnek megfelel Egy SHV-ban definiált feltételek közül legalább egynek nem felel meg Egy SHV-ban definiált feltételek egyikének sem felel meg Network Policies Ez egy speciális IAS Policy, amiben kondícióként egy Health Policy-t határozunk meg Esemény lehet Grant / deny NAP enforcement (Full Access; Limited access; Time limited access) Auto-remediation Klasszikus IP filter Connection Request Policy Klasszikus IAS Policy a NAP szempontjából nincs jelentősége
NAP komponensek – NPS szerver Windows Security Health Validator Health Policy Network Policy - conditions
NAP komponensek – NPS szerver Network Policy – NAP settings
Tartalom NAP történelem és pozícionálása NAP infrastruktúra komponensei NAP topológia, működése NAP komponensek - Kliens réteg + NPS szerver Windows System Health Validator Domain izoláció vs. NAP Demo
Windows Security Health Validator Scope Firewall (On/Off) Antivirus (On/Off; Up to date) Antispyware* (On/Off; Up to date) Automatic Updating (On / Off) Security Update Protection Limitáció Security Center-en keresztül megy a detektálás ha nem megy a Security Center nincs detektálás *: Csak Windows Vista-n
Példa beállítás A Windows tűzfalnak bekapcsolt állapotban kell lennie minden menedzselt munkaállomáson. Amennyiben ez nem teljesül, a számítógép nem kommunikálhat a hálózaton és kényszeríteni kell a tűzfal bekapcsolására.
Tartalom NAP történelem és pozícionálása NAP infrastruktúra komponensei NAP topológia, működése NAP komponensek - Kliens réteg + NPS szerver Windows System Health Validator Domain izoláció vs. NAP Demo
Domain izoláció vs. NAP Karantén zóna Köztes zóna Védett zóna Házirend beállítások Védett zóna Minden rendszer rendelkezik Health Certificate-tel Health Certificate alapú authentikáció szükséges a rendszerhez való kapcsolódáskor Köztes zóna Health Certificate alapú authentikációt kér, de nem követel Karantén zóna Nincs Health Certificate Nincs IPSec házirend Köztes zóna Védett zóna Engedélyezett Engedélyezett Engedélyezett Tiltott
Tartalom NAP történelem és pozícionálása NAP infrastruktúra komponensei NAP topológia, működése NAP komponensek - Kliens réteg + NPS szerver Windows System Health Validator Domain izoláció vs. NAP Demo
NAP – IPSec enforcement client Konfiguráció rövid ismertetése Compliant és non-compliant kliens állapot IPSec enforcement client bemutatása demó
További információk NAP információk - www.microsoft.com/nap Domain izoláció - http://www.microsoft.com/technet/network/sdiso/ NAP blog - http://blogs.technet.com/nap/ NAP Forum -http://forums.microsoft.com/TechNet/ShowForum.aspx?ForumID=576&SiteID=17 Cable guy cikkek - http://www.microsoft.com/technet/community/columns/ cableguy/cgarch.mspx
NAP - partnerek
Kérdések és válaszok Gál Tamás Erős bástya – biztonsági újdonságok Harmath Zoltán Network Access Protection