Network Access Protection

Slides:



Advertisements
Hasonló előadás
A számítógépes hálózatok és az Internet
Advertisements

A hálózat működése 1. A DHCP és az APIPA
Dolgozni már bárhonnan lehet…
Hitelesítés és tanúsítványkezelés
Készítette: Nagy Márton
Hálózati és Internet ismeretek
Aruba Instant vállalati vezeték nélküli megoldások
Tempus S_JEP Számítógép hálózatok Összefoglalás Összefoglalás Összeállította: Broczkó Péter (BMF)
Module 10: Supporting Remote Users távoli felhasználó támogatása.
2007 ISP TANFOLYAM ÉSZAKNET, LH COM. USER AUTHENTIKÁCIÓ •MAC – IP •MAC – DHCP •MAC – IP – RADIUS •PPPoE – RADIUS.
Windows hálózati infrastruktúra kialakítása
Tectia MobileID Express – Kétfaktoros erős autentikáció – 5 percen belül üzemkészen! január 16.
Hálózati architektúrák
Microsoft Forefront biztonsági megoldások
Hálózati architektúrák
© 2009 Cisco Systems, Inc. All rights reserved.Cisco PublicGyors reakció 1 Gyors reakció, kifinomultabb technikák Cisco fejlesztések egy jobb védelmi rendszerért.
Jogában áll belépni?! Détári Gábor, rendszermérnök.
Távoli elérés és munkavégzés Üzemeltetői szemmel
NAP bemutatása Komponensek Felhasználási területek DEMO: DHCP kényszerítés VPN kényszerítés NAP bevezetése.
Új név, új tudás (RDS+VDI+RemoteFX)
A felügyelet kihívásai A Windows Intune WIKlasszikus Központi frissítés kezelés Malware védelem Hardver, szoftver és licensz leltár Remote Assistance.
Az Internet elemei és hozzáférési technológiái Az Internet architektúrája.
Vezeték nélküli hálózatok biztonsági megoldásai Készítette Hudac Lóránd (HULRAAI) A Bemutatóban szó lesz: Vezeték nélküli hálózatok felépítése Ezek működtetése.
A Windows 7 automatizált telepítése Windows AIK használatával
Hálózati Operációs Rendszerek
1 IP alapú hálózatok tervezése és üzemeltetése II. 15/11.
Hálózati Operációs Rendszerek
Authentication & Authorization Belinszki Balázs terméktámogató mérnök Juhász Mihály alkalmazásfejlesztési tanácsadó.
Network Access Protection
Üzemeltetői Konferencia V. Harmath Zoltán
Egy ISA szerver naplója Sárosi György Terméktámogatási Tanácsadó Microsoft Magyarország.
Megoldás Felhő szolgáltatások és Windows 7.
Proaktív rendszerfelügyelet System Centerrel Windows Vista Windows Server 2008 Biztonság Scripting / PowerShell Virtualizáció System Center Még ebben.
Platform A Vistából örökölt OS alap technológiák Windows Server Core Read-only Domain Controller Hozzáférés szabályzás, erőforrás elérés Network Access.
Új Windows alapú intézményi szerverek (címtár és management) tervezése és kivitelezése.
TMG délelőtt / 1 Forefront Threat Management Gateway 2010 Alapozzunk!
Windows Server 2008 { Terminal Services }
AD {RMS} Active Directory Rights Management Services
…az ISA Server 2006 segítségével Gál Tamás Microsoft Magyarország.
„Hagyományos” VPN protokollok PPTP Windows NT és „kortársai” Windows 2000 Windows XP, Windows Server 2003 Windows Vista, Windows Server 2008 L2TP Windows.
Hálózatkezelési újdonságok Windows 7 / R2
RDS komplett átvilágítás VDI okosságok RemoteApp for Hyper-V.
Windows Server 2012 R2 Gál Tamás
ISA Server alapok Gál Tamás
Exchange Server 2007 Client Access Role
Tanúsítványok… …a hétköznapokon Gál Tamás
Ők kerestek meg minket Tentálen – Könyvelő iroda, 15 felhasználó SBS 2003, Outlook levelezés Nincs saját fix ip cím, exchange POP3-al töltötte le a leveleket,
Juniper WiFi megoldások a Trapeze Networks továbbélése Kocsis Péter Sedlák Gábor.
Web Architecture. Development of Computing Architectures Monolithic mainframe programming Client Server Real Client Server Web Programming.
ELTE WIFI Beállítási útmutató MS Windows XP-hez
{ PKI } Active Directory Certificate Services
Windows Server 2008 Távoli elérés – I.
A tömeges telepítés csodálatos világa
Magas rendelkezésre állású Hyper-V rendszer építése
Szabályzás, folyamatok, tudatosság Fizikai biztonság Perimeter Belső hálózat Operációs rendszer Alkalmazások Adatok SMTP (25) HTTP (80) HTTPS (443)
- RDP RDS szerepkörök - VDI Word.rdp Excel.rdp Virtual Desktop.rdp RD Web Access.
A teljes infrastruktúra egységesített felügyelete és védelme.
Óravázlat Készítette: Toldi Miklós
Kommunikáció a hálózaton Kommunikáció a hálózaton.
Ingyenes,Multi funkcionális tűzfal szoftver
Számítógép hálózatok.
AAA AAA Ki, mikor, mivel, hogyan? Mit csinált, mit csinálhat, (mit fog csinálni)? Ki mihez hogyan férhet hozzá? Authentication Authorization Accounting/Audit.
DNS Domain Name System. DNS - WINS WINSDNS Barátságos NetBIOS nevek LAN-okonBarátságos DNS nevek WAN-okonSík névtér, 15 karakteres névHierarchikus névtér,
RPC/MAPI HTTPS IMAP4 POP3 HTTPS IMAP4 POP3 Mailbox Server Mailbox Server Domain Controller Domain Controller Client Access Server Client.
Desktop virtualizáció Microsoft VDI használatával Háló Gyula.
Dynamic Host Configuration Protocol
WLAN Biztonság Rádiusz hitelesítés Radius autentikáció
Microsoft tananyagok Oktatási anyagok a DVD-n Takács Attila, Jedlik Ányos Gimnázium Budapest.
Kiss Tibor System Administrator (MCP) ISA Server 2006.
Előadás másolata:

Network Access Protection A NAP technológia bemutatása Szirtes István szirtesi@szirtes.com szakmai igazgató Szirtes Technologies

Tartalom A technológia áttekintése NAP infrastruktúra felépítése A NAP komponensei és működése Demo – DHCP kényszerítés További ellenőrzési metódusok Demo – IPSec kényszerítés

Network Access Protection NEM véd a felhasználói támadások ellen NEM VPN karantén NEM ISA Server NEM feltétlen kell hozzá speciális hardver NEM kell hozzá külön licenc Garantálja, hogy csak „egészséges” kliensek tartózkodhatnak a hálózatunkban

Miért használjunk NAP-ot? Mert így ellenőrizhető a vállalati infrastruktúrához kapcsolódó számítógépek „egészségi” állapota (Policy Validation) Mert a rossz „egészségi” állapotban lévő gépek izolált hálózatba kerülnek (Network Restriction) Mert a nem megfelelő gépek automatikusan javíthatóak (Remediation) Mert kikényszeríthető az „egészségi” állapot folyamatos betartása (Ongoing Compliance)

További hálózatvédelmi megoldások Network Access Quarantine Control Win2K3 RRAS funkcionalitásának bővítése VPN Network Domain Controller Web Server Quarantine script Quarantine remote access policy RQC.exe ISA Server Csak dial-up és VPN kapcsolódások ellenőrzéséhez DNS Server File Server VPN Quarantine Network

További hálózatvédelmi megoldások Domain izoláció = IPSec szabályok Házirend beállítások Védett zóna Minden rendszer rendelkezik Health Certificate-tel Health Certificate alapú authentikáció szükséges a rendszerhez való kapcsolódáskor Köztes zóna Health Certificate alapú authentikációt kér, de nem követel Karantén zóna Nincs Health Certificate Nincs IPSec házirend Karantén zóna Köztes zóna Engedélyezett Védett zóna Engedélyezett Engedélyezett Tiltott

Tartalom A technológia áttekintése A NAP komponensei és működése Demo – DHCP kényszerítés További ellenőrzési metódusok Demo – IPSec kényszerítés

A NAP működési elve „Külső” hálózat Belső hálózat Health requirement Servers Remediation Servers Itt van, alkalmazd. Folyamatos kommunikáció az NPS kiszolgálóval Van valami frissítés? A munkaállomás teljes hozzáférés kapott. A munkaállomás megfelel a házirendnek az egészségi állapota alapján? Van hozzáférésem? Mellékeltem a jelenlegi egészségi állapotom. Hozzáférést kérek. Itt az új egészségi állapotom. A házirend szerint a munkaállomás megfelel. Hozzáférés megadva A házirend szerint a munkaállomás nem felel meg. Karanténba kell helyezni és frissíteni kell. Korlátozott hozzáférést kaptál amíg nem frissíted magad Client Network Access Device (DHCP, VPN) Network Policy Server

NAP komponensek kommunikációja Module 6: Configuring and Troubleshooting Routing and Remote Access Course 6421A NAP komponensek kommunikációja IEEE 802.1x network access devices HRA DHCP server VPN server NAP client Remediation server System health updates NAP health policy server (NPS) Health requirement Server requirement queries RADIUS messages HTTP or HTTP over SSL messages PEAP messages over PPP PEAP messages over EAPCL Discuss with students the underlying infrastructure in a complete Network Access Service (NAS). Review the graphic on the slide and explain the different connection options that you can use in a Microsoft environment using the Network Policy Server (NPS)/Routing and Remote Access service. DHCP messages

NAP technológiai partnerek

Tartalom A technológia áttekintése A NAP komponensei és működése Demo – DHCP kényszerítés További ellenőrzési metódusok Demo – IPSec kényszerítés

NAP – DHCP Enforcement NPS-, és DHCP szerver konfiguráció DHCP Enforcement Client bemutatása

Környezet ismertetése Korlátozott zóna Intranet zóna DC 1 DC DNS PC 1 VISTA FOREFRONT NPS 1 DNS DHCP NPS RRAS SSoH SSoHR Update WSUS 1 WSUS

A NAP komponensei A NAP kliens architektúrája NAP Agent NAP Enforcement Clients (NAP EC) System Health Agent (SHA) Remediation server 1 Remediation server 2 SHA_1 SHA_2 SHA_3 . . . SHA API NAP Agent NAP client NAP EC API NAP EC_A NAP EC_B NAP EC_C . . . NAP server A NAP server B NAP server C

A NAP komponensei NAP agent Támogatott OS verziók Windows XP (SP3) Windows Vista Windows Server 2008

A NAP komponensei NAP Enforcement Clients (EC) Alapértelmezésben mindegyik EC tiltva van GPO-ból, netsh-val és UI-ból konfigurálható, de XP esetében nincs UI A kiértesítési ablak testre szabható: More Information; Title; Description; Image

A NAP komponensei NAP Enforcement Clients (EC) DHCP – Más IP beállításokat ad át a megfelelt és a nem megfelelt gépeknek RRAS – Dial-up és VPN kapcsolódások karantén vezérlése IPSec A megfelelt kliens kap a HRA-tól egy Health Certificate-et A nem megfelelt kliens nem kap vagy eldobja a Health Certificate-et EAP – 802.1x képes eszközöket utasítja arra, hogy egy külön VLAN-ra tegye a klienst TS Gateway – HTTPS-be ágyazott RDP kapcsolódáskori egészségi állapot ellenőrzése  itt nincs karantén vezérlési logika!

A NAP komponensei System Health Agent (SHA) Egy rendszer egy vagy több komponensének „egészségi” állapotát (Statement of Health) jelenti az NPS kiszolgálónak Minden ellenőrizendő rendszerhez (pl.: Forefront Client Security) szükséges a kliensre telepítendő SHA és a szerver oldali SHV komponens A Vista és az XP SP3 tartalmaz egy SHA-t a Windows Server 2008-al érkező Windows SHV-hoz

NAP Administration Server A NAP komponensei NAP szerver architektúrája Policy server 1 Policy server 2 NAP Health Policy Server = NPS NAP Enforcement Servers (NAP ES) System Health Validators (SHV) . . . SHV_1 SHV_2 SHV_3 SHV API NAP Administration Server NPS NPS RADIUS NAP ES_A NAP ES_B NAP ES_C . . . NAP ES NAP client

A NAP komponensei Network Policy Server Az alábbi komponenseket kezeli: System Health Validators Az ellenőrzési logikát-, és az ellenőrzendő komponenseket tartalmazza Health Policies Az egészségi állapotok definiálhatóak Network Policies Speciális IAS Policy, melyben kondícióként egy Health Policy-t határozunk meg Esemény lehet: Grant / deny, NAP enforcement (Full Access; Limited access; Time limited access), Auto-remediation, klasszikus IP filter

A NAP komponensei NAP Enforcement Servers Feladatai Fogadják a kapcsolódó kliensek „egészségi” állapot jelentéseit és továbbítják a megadott NPS felé Az NPS válaszától függően karanténba vagy a védett hálózatba helyezik a kapcsolódó gépet Enforcement kiszolgálók DHCP – IP cím kérésekor RRAS – Dial-up és VPN kapcsolódásokkor HRA – IPSec-hez szükséges tanúsítvány igénylésekor TS Gateway – RDP over HTTPS kapcsolódáskor PEAP / EAP képes 802.1X eszközök

NAP Administration Server Ki kivel beszélget? A NAP platform része Remediation Server 1 Policy Server 1 Külső gyártók megoldásai Remediation Server 2 Policy Server 2 SHV2 SHV1 SHV3 SHA1 SHA2 SHV API SHA API NAP Administration Server NPS NAP Agent NPS NAP client NAP EC API RADIUS NAP EC_A NAP EC_B NAP ES_B NAP ES_A NAP server

Tartalom A technológia áttekintése A NAP komponensei és működése Demo – DHCP kényszerítés További ellenőrzési metódusok Demo – IPSec kényszerítés

További ellenőrzési metódusok Remote Access Policy server VPN Network System health requirement queries Protected Extensible Authentication Protocol (PEAP) messages over the Point-to-Point Protocol (PPP) VPN server RADIUS messages VPN Quarantine Network

További ellenőrzési metódusok EAP / PEAP – IEEE 802.1X Policy server Restricted VLAN System health requirement queries PEAP messages over EAP over LAN (EAPOL) IEEE 802.1X devices RADIUS messages Internal VLAN

További ellenőrzési metódusok Terminal Server Gateway RDP over SSL = HTTPS-be ágyazott RDP forgalom Kombinálható az ISA-val Összekapcsolható a NAP-al, de ebben az esetben NINCS KARANTÉN vezérlési logika

További ellenőrzési metódusok 4/7/2017 További ellenőrzési metódusok IPSec Karantén Zóna Határ Zóna Védett Hálózat Szeretnék IP-címet. Kaphatnék eü kiskönyvet? Nézd: egészséges vagyok, itt a SoH-om DHCP Parancsolj! Kliens ok? Igen! Eü kiskönyv kiadása! Nem! Frissítésre van szüksége! Nincs eü kiskönyved! Először gyógyulj meg! Parancsolj, az eü kiskönyved. Health Registration Authority Kellene frissítés! Client NPS X  Hozzáférés a hálózathoz Parancsolj! Remediation Server © 2008 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries. The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.

Tartalom A technológia áttekintése A NAP komponensei és működése Demo – DHCP kényszerítés További ellenőrzési metódusok Demo – IPSec kényszerítés

NAP – IPSec Enforcement NPS-, IPSec szabály konfiguráció IPSec Enforcement Client bemutatása

Környezet ismertetése Intranet zóna DC 1 DC DNS IIS NPS HRA PC 1 PC 2 IPSec IPSec Policy IPSec Policy

Köszönöm a figyelmet!

Kezdés 14:30-kor