270 likes | 401 Views
Network Access Protection. Harmath Zoltán zoltanh@microsoft.com Principal Consultant Microsoft Consulting Services. Tartalom. NAP történelem és pozícionálása NAP infrastruktúra komponensei NAP topológia, működése Kliens réteg NPS szerver Windows System Health Validator
E N D
Network Access Protection Harmath Zoltánzoltanh@microsoft.comPrincipal ConsultantMicrosoft Consulting Services
Tartalom • NAP történelem és pozícionálása • NAP infrastruktúra komponensei • NAP topológia, működése • Kliens réteg • NPS szerver • Windows System Health Validator • Domain izoláció vs. NAP • Demo
NAP történelem • Miért van szükség a NAP technológiára? • Egy „modern” hálózatban a külső-belső határvonalak jelentős mértékben összemosódnak a hálózatban az igazi határokat nem a topológia, hanem a szabályok határozzák meg
NAP történelem • Jelenleg két technológia áll rendelkezésre • Network Access Quarantine Control • http://www.microsoft.com/technet/community/columns/cableguy/cg0203.mspx • http://store.netacademia.net/MSHU/OTHER/009VPN.ppt • Domain izoláció • http://www.microsoft.com/technet/network/sdiso
NAP történelem Windows Server 2003 (ma) Windows Server 2008 (holnap) Network Access Protection Univerzális (nem csak távoli hozzáféréshez használható fel) Client Szerver között a forgalom titkosított és azonosított Van állapot ellenőrzés Az egyes állapotok finoman szabályozhatóak (nem csak két állapot van) Gyárilag érkezik ellenőrző logika + 3rd party + ügyfelek is fejleszthetnek saját ellenőrző logikát • Quarantine • Csak VPN • Van állapot ellenőrzés, de az ügyfélnek kell az ellenőrzést kifejlesztenie • RQC RQS között pre-shared key alapú azonosítás van, a forgalom nem titkosított • Engedélyezés / tiltás állapot van csak • Domain izoláció • Nem csak VPN • DC Client között nem minden forgalom védhető • IPSec authentikációs hiányosságok • Nincs állapot ellenőrzés
NAP felhasználási területei • Vándorló munkaállomások egészségi állapotának ellenőrzése • Saját cég munkaállomása • Vendég gép a hálózaton • Desktop munkaállomások egészségi állapotának ellenőrzése • Nem menedzselt otthoni munkaállomások egészségi állapotának ellenőrzése
Tartalom • NAP történelem és pozícionálása • NAP infrastruktúra komponensei • NAP topológia, működése • Kliens réteg • NPS szerver • Windows System Health Validator • Domain izoláció vs. NAP • Demo
Egy NAP infrastruktúra komponensei • Kliens réteg • Network Access Protection Agent • Hálózati réteg • Network Access Device • Szerver réteg • Network Policy Server (NPS) • Health Registration Authority (HRA) • Remediation Server
Tartalom • NAP történelem és pozícionálása • NAP infrastruktúra komponensei • NAP topológia, működése • Kliens réteg • NPS szerver • Windows System Health Validator • Domain izoláció vs. NAP • Demo
NAP topológia működése Belső hálózat „Külső” hálózat Health requirement Servers Remediation Servers Itt van, alkalmazd. Folyamatos kommunikáció az NPS kiszolgálóval Van valami frissítés? A munkaállomás megfelel a házirendnek az egészségi állapota alapján? A munkaállomás teljes hozzáférés kapott. Van hozzáférésem? Mellékeltem a jelenlegi egészségi állapotom. Hozzáférést kérek.Itt az új egészségi állapotom. A házirend szerint a munkaállomás megfelel. Hozzáférés megadva A házirend szerint a munkaállomás nem felel meg. Karanténba kell helyezni és frissíteni kell. Korlátozott hozzáférést kaptál amíg nem frissíted magad Client Network Access Device (DHCP, VPN) Network Policy Server
Tartalom • NAP történelem és pozícionálása • NAP infrastruktúra komponensei • NAP topológia, működése • NAP komponensek - Kliens réteg + NPS szerver • Windows System Health Validator • Domain izoláció vs. NAP • Demo
NAP komponensek – kliens réteg • Támogatott OS verziók • Windows XP • Windows Vista • Windows Server 2003 – 2008 • Enforcement clients • DHCP - Más IP beállításokat tesz lehetővé a compliant és a non-compliant klienseknek • RAS - Quarantine szolgáltatás • IPSec • Compliant kliens kap a HRA-tól egy Health Certificate-t • Non-compliant nem kap, vagy elveszi az Agent • EAP - 802.1x képes eszközöket utasítja arra, hogy egy külön VLAN-ra tegye a klienst • Alapértelmezésben mindegyik enforcement tiltva van • GPO-ból, netsh-val és UI-ból konfigurálható, de XP esetében nincs UI
NAP komponensek – kliens réteg • Testreszabható a kiértesítési ablak • More information • Title • Description • Image • GPO-ból, netsh-val, UI-ról szabályozható • A more information NPS szinten konfigurálható
NAP komponensek – NPS szerver • System Health Validators • Az ellenőrzési logikát tartalmazza • Az ellenőrzendő komponenseket tartalmazza • Health Policies • Az egészségi állapotokat definiálhatjuk • Példák • Egy SHV-ban definiált összes ellenőrzésnek megfelel • Egy SHV-ban definiált feltételek közül legalább egynek nem felel meg • Egy SHV-ban definiált feltételek egyikének sem felel meg • Network Policies • Ez egy speciális IAS Policy, amiben kondícióként egy Health Policy-t határozunk meg • Esemény lehet • Grant / deny • NAP enforcement (Full Access; Limited access; Time limited access) • Auto-remediation • Klasszikus IP filter • Connection Request Policy • Klasszikus IAS Policy a NAP szempontjából nincs jelentősége
NAP komponensek – NPS szerver Health Policy Network Policy - conditions Windows Security Health Validator
NAP komponensek – NPS szerver Network Policy – NAP settings
Tartalom • NAP történelem és pozícionálása • NAP infrastruktúra komponensei • NAP topológia, működése • NAP komponensek - Kliens réteg + NPS szerver • Windows System Health Validator • Domain izoláció vs. NAP • Demo
Windows Security Health Validator • Scope • Firewall (On/Off) • Antivirus (On/Off; Up to date) • Antispyware* (On/Off; Up to date) • Automatic Updating (On / Off) • Security Update Protection • Limitáció • Security Center-en keresztül megy a detektálás ha nem megy a Security Center nincs detektálás *: Csak Windows Vista-n
Példa beállítás • A Windows tűzfalnak bekapcsolt állapotban kell lennie minden menedzselt munkaállomáson. Amennyiben ez nem teljesül, a számítógép nem kommunikálhat a hálózaton és kényszeríteni kell a tűzfal bekapcsolására.
Tartalom • NAP történelem és pozícionálása • NAP infrastruktúra komponensei • NAP topológia, működése • NAP komponensek - Kliens réteg + NPS szerver • Windows System Health Validator • Domain izoláció vs. NAP • Demo
Engedélyezett Engedélyezett Domain izoláció vs. NAP Karantén zóna Köztes zóna Védett zóna Engedélyezett Tiltott
Tartalom • NAP történelem és pozícionálása • NAP infrastruktúra komponensei • NAP topológia, működése • NAP komponensek - Kliens réteg + NPS szerver • Windows System Health Validator • Domain izoláció vs. NAP • Demo
NAP – IPSec enforcement client • Konfiguráció rövid ismertetése • Compliant és non-compliant kliens állapot • IPSec enforcement client bemutatása demó
További információk • NAP információk - www.microsoft.com/nap • Domain izoláció - http://www.microsoft.com/technet/network/sdiso/ • NAP blog - http://blogs.technet.com/nap/ • NAP Forum -http://forums.microsoft.com/TechNet/ShowForum.aspx?ForumID=576&SiteID=17 • Cable guy cikkek - http://www.microsoft.com/technet/community/columns/cableguy/cgarch.mspx
Kérdések és válaszok Gál TamásErős bástya – biztonsági újdonságok Harmath Zoltán Network Access Protection