NAP (Network Access Protection) Windows Server 2008 Security

[megabros]

Güvenlik anlamında ileri boyutlu bir çözüm getiren bu yeni teknoloji sayesinde networkümüze dışarıdan katılmakta olan kullanıcılar için çeşitli kriterler belirleyebiliyoruz. Eğer bağlanıcak kişi bu kriterlere uygun değilse ayrı bir bölüme alıp network ile ilişkisini kesip gerekliliklerini yerine getirmesini sağladıktan sonra networkümüze dahil ediyoruz. NAP temel anlamda bu mantıkla çalışıyor. Yani bir kontrol mekanizması gibi güvenliğimizi sağlıyor.

Burada dikkat etmemiz gereken bölüm, NAP’ın bizi dışarıdan gelecek tehlikelere karşı korumak yerine networkümüze katılıcak bilgisayarların , önceden belirlediğimiz kriterlere uyup uymadığını kontrol etmesidir.Örneğin herhangi bir antivirus yazılımına sahip mi, updateleri en son güncel halindemi, gibi. Ama bu gereklilikleri sağlayan kötü amaçlı biri de NAP’ı rahatlıkla geçip sisteme zarar verebilir.

Bir kullanıcı dışarıdan özel ağımıza bağlanmak istediğinde ,ilk olarak üzerinde bulunan (System Healt Agent) ile sağlık bilgisini bizim networkümüzde bulunan Network Policy Server’e iletir.Policy server ise bu bilginin kendi üzerinde bizim tarafımızdan hazırlanan kurallara uygun olup olmadığını geri dönüş yapar. Ardından eğer kabul edilirse networke dahil edilir. Eğer kural dışı bir durum saptanırsa bu bilgisayar özel bir ağa alınarak Remediation Server tarafından kural dışı bulunan tüm özellikleri düzeltilmeye çalışılır.

Peki biz dışarıdan bağlanan bir kullanıcıyı NAP kullanarak hangi durumlarda kontrol edebiliriz.

· Internet Protocol security (IPsec)-protected traffic:

IPSEC sayesinde networkümüz 3 adet mantıksal networke bölebiliriz.Bunlar kısıtlı(restricted) network,güvenli(secure) network ve sınır(boundary) networkdür.

İstemci bilgisayar için sağlık sertifikaları düzenlenebilir,böylece bu sertifikaya göre client’ın hangi networkde yer alması gerektiği belirlenir. Örneğin active directory’e üye olan tüm makinalar güvenli network içerisinde yer alabilirler. IPSEC ilede sadece bu network içerisindeki bilgisayarların birbirleri ile iletişimde olmaları sağlanabilinir.Sağlık sertifikası olmayan bilgisayarlar otomatik olarak kısıtlı networke gönderilirler.

IEEE 802.1X-authenticated network connections:

IEEE 802.1X-authenticated network bağlantıları için kullanabileceğimiz NAP modelidir. Örneğin bir access point.
Aynı şekilde sınırlı veya güvenli networkler oluşturabiliriz.

Remote access VPN connections:

Vpn bağlantıları için NAP kullandığımızda dışarıdan VPN server’a bir istek geldiğinde VPN server bunu NPS server’a ileticek ve aynı şekilde bağlanılacak bilgisayar için sağlık kontrolleri gerçekleştirilecek.

Yalnız burada 2003 server ile birlikte kullandığımız Network Access Quarantine Control ile NAP’ı karıştırmamamız gerekir.Network Access Quarantine Control kullanmamız için RQS.exe ve RQC.exe üzerinde konfigurasyonlar yapmalı ayrıca scriptler hazırlamalıyız.

Vpn bağlantısı için uygulanan adımlar şu şekildedir.

-Client VPN server’a bağlantı gerçekleştirir.
-Client NAP health policy server’a kimlik doğrulama bilgilerini gönderir.
-Eğer bu bilgiler uygun değilse VPN bağlantısı kesilir.
-Eğer kimlik bilgileri geçerliyse NAP health policy server , client’tan sağlık bilgilerini ister.
-Client bilgilerini gönderir.

-NAP health policy server,clientin gönderdiği bilgiye göre bir değerlendirme yapar. Eğer client ‘ın durumunu uygun bulursa bunu clientın kendisine ve vpn server’a iletir. Eğer uygun değilse gereklilikleri remediation server’a sonuç olarak iletir.

-Uygun olmadığı takdirdede vpn bağlantısı gerçekleşir ama client’ın networkdeki yetkileri kısıtlanır. Client networkde sadece remediation server’a bilgi gönderebilir.

-Client güncelleştirme gerekliliklerini remediation server’a iletir.
-Gerekli güncelleştirmeler client üzerinde gerçekleştirilir.
-Client Vpn server ile tekrar kimlik doğrulamasına girer ve güncelleştirilmiş sağlık durumunu gönderir.

-Tüm güncelleştirmelerin yapıldığı doğrulandıktan sonra NAP health policy server clientın durumunun uygun olduğuna karar verir ve VPN server’a geçişe izin vermesini söyler.
-VPN server bağlantıyı tamamlar.

Dynamic Host Configuration Protocol (DHCP) address configurations:

Sanırım en çok kullanılacak modellerden biri olacaktır.Bir client bilgisayarı ile networke dahil olmak istediğinde DHCP server’dan IP almak isteyecektir. İşte bu sırada NAP ile gerekli kontroller gerçekleştiriliyor ve uygunsa client’a IP ataması yapılıyor. Eğer uygun değilse aynı şekilde uygun hale getirilemeye çalışılıyor.

Böylece belirlediğimiz kurallar ne ise,sadece bu kurallara uygun olan bilgisayarlar IP alabiliyorlar ve doğal olarakda networkümüze dahil olabiliyorlar.

Saygılar..