Güvenlik anlamýnda ileri boyutlu bir çözüm getiren bu yeni teknoloji sayesinde networkümüze dýþarýdan katýlmakta olan kullanýcýlar için çeþitli kriterler belirleyebiliyoruz. Eðer baðlanýcak kiþi bu kriterlere uygun deðilse ayrý bir bölüme alýp network ile iliþkisini kesip gerekliliklerini yerine getirmesini saðladýktan sonra networkümüze dahil ediyoruz. NAP temel anlamda bu mantýkla çalýþýyor. Yani bir kontrol mekanizmasý gibi güvenliðimizi saðlýyor.
Burada dikkat etmemiz gereken bölüm, NAP’ýn bizi dýþarýdan gelecek tehlikelere karþý korumak yerine networkümüze katýlýcak bilgisayarlarýn , önceden belirlediðimiz kriterlere uyup uymadýðýný kontrol etmesidir.Örneðin herhangi bir antivirus yazýlýmýna sahip mi, updateleri en son güncel halindemi, gibi. Ama bu gereklilikleri saðlayan kötü amaçlý biri de NAP’ý rahatlýkla geçip sisteme zarar verebilir.
Bir kullanýcý dýþarýdan özel aðýmýza baðlanmak istediðinde ,ilk olarak üzerinde bulunan (System Healt Agent) ile saðlýk bilgisini bizim networkümüzde bulunan Network Policy Server’e iletir.Policy server ise bu bilginin kendi üzerinde bizim tarafýmýzdan hazýrlanan kurallara uygun olup olmadýðýný geri dönüþ yapar. Ardýndan eðer kabul edilirse networke dahil edilir. Eðer kural dýþý bir durum saptanýrsa bu bilgisayar özel bir aða alýnarak Remediation Server tarafýndan kural dýþý bulunan tüm özellikleri düzeltilmeye çalýþýlýr.
Peki biz dýþarýdan baðlanan bir kullanýcýyý NAP kullanarak hangi durumlarda kontrol edebiliriz.
· Internet Protocol security (IPsec)-protected traffic:
IPSEC sayesinde networkümüz 3 adet mantýksal networke bölebiliriz.Bunlar kýsýtlý(restricted) network,güvenli(secure) network ve sýnýr(boundary) networkdür.
Ýstemci bilgisayar için saðlýk sertifikalarý düzenlenebilir,böylece bu sertifikaya göre client’ýn hangi networkde yer almasý gerektiði belirlenir. Örneðin active directory’e üye olan tüm makinalar güvenli network içerisinde yer alabilirler. IPSEC ilede sadece bu network içerisindeki bilgisayarlarýn birbirleri ile iletiþimde olmalarý saðlanabilinir.Saðlýk sertifikasý olmayan bilgisayarlar otomatik olarak kýsýtlý networke gönderilirler.
IEEE 802.1X-authenticated network connections:
IEEE 802.1X-authenticated network baðlantýlarý için kullanabileceðimiz NAP modelidir. Örneðin bir access point.
Ayný þekilde sýnýrlý veya güvenli networkler oluþturabiliriz.
Remote access VPN connections:
Vpn baðlantýlarý için NAP kullandýðýmýzda dýþarýdan VPN server’a bir istek geldiðinde VPN server bunu NPS server’a ileticek ve ayný þekilde baðlanýlacak bilgisayar için saðlýk kontrolleri gerçekleþtirilecek.
Yalnýz burada 2003 server ile birlikte kullandýðýmýz Network Access Quarantine Control ile NAP’ý karýþtýrmamamýz gerekir.Network Access Quarantine Control kullanmamýz için RQS.exe ve RQC.exe üzerinde konfigurasyonlar yapmalý ayrýca scriptler hazýrlamalýyýz.
Vpn baðlantýsý için uygulanan adýmlar þu þekildedir.
-Client VPN server’a baðlantý gerçekleþtirir.
-Client NAP health policy server’a kimlik doðrulama bilgilerini gönderir.
-Eðer bu bilgiler uygun deðilse VPN baðlantýsý kesilir.
-Eðer kimlik bilgileri geçerliyse NAP health policy server , client’tan saðlýk bilgilerini ister.
-Client bilgilerini gönderir.
-NAP health policy server,clientin gönderdiði bilgiye göre bir deðerlendirme yapar. Eðer client ‘ýn durumunu uygun bulursa bunu clientýn kendisine ve vpn server’a iletir. Eðer uygun deðilse gereklilikleri remediation server’a sonuç olarak iletir.
-Uygun olmadýðý takdirdede vpn baðlantýsý gerçekleþir ama client’ýn networkdeki yetkileri kýsýtlanýr. Client networkde sadece remediation server’a bilgi gönderebilir.
-Client güncelleþtirme gerekliliklerini remediation server’a iletir.
-Gerekli güncelleþtirmeler client üzerinde gerçekleþtirilir.
-Client Vpn server ile tekrar kimlik doðrulamasýna girer ve güncelleþtirilmiþ saðlýk durumunu gönderir.
-Tüm güncelleþtirmelerin yapýldýðý doðrulandýktan sonra NAP health policy server clientýn durumunun uygun olduðuna karar verir ve VPN server’a geçiþe izin vermesini söyler.
-VPN server baðlantýyý tamamlar.
Dynamic Host Configuration Protocol (DHCP) address configurations:
Sanýrým en çok kullanýlacak modellerden biri olacaktýr.Bir client bilgisayarý ile networke dahil olmak istediðinde DHCP server’dan IP almak isteyecektir. Ýþte bu sýrada NAP ile gerekli kontroller gerçekleþtiriliyor ve uygunsa client’a IP atamasý yapýlýyor. Eðer uygun deðilse ayný þekilde uygun hale getirilemeye çalýþýlýyor.
Böylece belirlediðimiz kurallar ne ise,sadece bu kurallara uygun olan bilgisayarlar IP alabiliyorlar ve doðal olarakda networkümüze dahil olabiliyorlar.
Saygýlar..