Upload
aykut-oezmen
View
666
Download
5
Embed Size (px)
Citation preview
NETWORK ACCESS
PROTECTIONNAP
Network Access Protection NAP Nedir? NAP Ana Fonksiyonları NAP Algoritması NAP Bileşenleri Tipik Bir NAP Network Yapısı Uygulama
Uygulama Gereksinimleri Topoloji NAP İçin DHCP Konfigürasyonu
«Sağlıklı» ve «Güvenilir» olduğuna dair raporu / sertifikası bulunan PC’lerin ağa ve ağın kaynaklarına erişimini onaylayan mekanizma veya bileşen platformudur.
NAP Bir Güvenlik Uygulaması Değildir. Ağın Güvenli Olmasını Sağlamaz. Ağın Güvenli Olmasına Yardımcı Olur.
NAP Bir Kontrol Mekanizmasıdır.
NAP – Network Access Protection nedir?
Ağ Erişim Koruması
Windows Server 2008
Network Access Protection XP SP3 Vista Windows 7
Windows Server 2003
Network Access Quarantine Control XP Professional XP Home Edition Windows 2000 ME 98 SP2
Ağ Erişim KorumasıNAP – Network Access Protection nedir?
Ana FonksiyonlarNAP Ana Fonksiyonları
1. Health State Validation
2. Network Access Restriction / Limited Access
3. Health Policy Compliance
4. Remediation
Bir bilgisayar, ağa bağlanma girişiminde bulunduğunda bu bilgisayarın sağlık statüsü admin tarafından tanımlanmış sağlık gereksinim poliçeleri ile karşılaştırılır ve onay süreci başlar. Admin aynı zamanda bilgisayarın sağlık poliçelerine uygun olmaması durumunda ne yapılacağını da belirleyebilir.NAP ilk kurulduğunda iş süreçlerine darbe vurmamak için raporlama modunda çalıştırılması önerilir.
Bir bilgisayar, admin tarafından belirlenmiş sağlık statüsüne uygun değilse bilgisayarın ağa ve ağ kaynaklarına zarar vermesi ihtimaline karşın bilgisayarın ağa erişmesi engellenebilir veya kısıtlı düzeyde erişmesi sağlanabilir.
Bir bilgisayar, admin tarafından belirlenmiş sağlık statüsüne uygun değilse kullanıcıların gereksinimleri yerine getirmesine yardımcı olunabilir. Örnek olarak kullanıcıların bir antivirüs programını update etmeleri veya Windows Güvenlik Duvarı’nı etkinleştirmelerinin beklenemeyeceği durumlarda NAP bu ve benzeri işlemleri admin ve user adına otomatik olarak gerçekleştirebilir.Eksik uygulama güncellemeleri ve yönetim araçları ile konfigürasyon değişiklikleri bu kapsamda düşünülebilir.
AlgoritmaNAP Çalışma Algoritması
Bilgisayar çalışmaya başladığında; Kendi üzerinde bir sağlık kontrolü gerçekleştirir. Bu kontrol
sırasında sağlık durumunun parametresi olarak kabul edilebilecek bileşenlerin kontrol işlemi gerçekleştirilir. Bu bileşenlerin neler olacağı belirlenebilir.
Örnek olarak; Güncel Service Pack Yüklü mü?
Antivirus Programı Yüklü mü?
Antivirus Programı Etkin mi?
Güncel Antivirus DB
Firewall Etkin mi?
Bu sorgulamaların sonunda bilgisayarda bir rapor oluşturulur ve saklanır.
AlgoritmaNAP Çalışma Algoritması
Bilgisayar ağa veya ağ kaynaklarına erişmeye çalıştığında;
Bilgisayarın oluşturduğu rapor bir kontrol noktasına gönderilir. Bu kontrol noktasına NAP Enforcement Point denir.
NAP Enforcement Point PC’nin sağlık durumunu kontrol eder ve olması gerekenle karşılaştırır. Bilgisayara yapılacaklar ile ilgili bu noktalarda aksiyon alınır.
NAP Enforcement Point Dizaynları ve farkları
Bilgisayar sağlık gereksinimlerini karşılamaz ise; Hiçbir şey yapılmayabilir. (Report-only Mode) Erişim Reddedilebilir. Durumunu düzeltmesi amacıyla kısıtlı bir ağa girişine izin
verilebilir. Bu ağda DHCP, WSUS, RODC, DNS gibi rollerin yapılandırılması gerekir. Böylece bilgisayar güvenli bir şekilde sağlık gereksinimlerini tamamlar. Bu kısıtlı ağa Remediation Network denir.
BileşenlerNAP Bileşenleri
Client tarafında; System Health Agent (SHA)
Servis olarak çalışır.
Sağlık durumunu NAP Enforcement Point’e raporlar.
3. Parti Yazılımlar APIler ile kendi SHA’larını oluşturabiliyorlar.
NAP Enforcement Point tarafında; System Health Validator (SHV)
Network Policy Server bileşenidir.
RADIUS ile birlikte çalışabilir.
Remediation Sunucuları Opsiyoneldir.
WSUS kullanarak antivirus güncellemelerini kurabilir.
NAP NetworkTipik Bir NAP Network Yapısı
DHCP Domain Controller
File Server
Mail Server
…
HEDEFLENEN AĞ
DHCPRODC
WSUS
REMEDIATION NETWORK
DHCP Web Proxy
KONUK AĞI
Gereksinimler Karşılandı
Gereksinimler Karşılanmadı NAP Desteği
Yok
UygulamaUygulama
DHCP DC Network Policy & Access Services -
NPS
FS IISKısıtlı Ağ
Server1.dc.com192.168.1.1 / 24Active Directory Domain ServicesDHCP ServerNetwork Policy & Access Services - NPS
Server2.dc.com192.168.1.2 / 24File ServicesIIS
client.dc.comDinamik IP
Windows 7 Client