Embed Size (px)
DESCRIPTION
Network Access Protection. Harmath Zoltán [email protected] Principal Consultant Microsoft Consulting Services. Tartalom. NAP történelem és pozícionálása NAP infrastruktúra komponensei NAP topológia, működése Kliens réteg NPS szerver Windows System Health Validator - PowerPoint PPT Presentation
Citation preview
Tartalom
NAP történelem és pozícionálásaNAP infrastruktúra komponenseiNAP topológia, működéseKliens rétegNPS szerverWindows System Health ValidatorDomain izoláció vs. NAPDemo
NAP történelemMiért van szükség a NAP technológiára?
Egy „modern” hálózatban a külső-belső határvonalak jelentős mértékben összemosódnak a hálózatban az igazi határokat nem a topológia, hanem a szabályok határozzák meg
NAP történelem
Jelenleg két technológia áll rendelkezésre
Network Access Quarantine Controlhttp://www.microsoft.com/technet/community/columns/cableguy/cg0203.mspxhttp://store.netacademia.net/MSHU/OTHER/009VPN.ppt
Domain izolációhttp://www.microsoft.com/technet/network/sdiso
NAP történelemWindows Server 2003 (ma)
QuarantineCsak VPNVan állapot ellenőrzés, de az ügyfélnek kell az ellenőrzést kifejlesztenieRQC RQS között pre-shared key alapú azonosítás van, a forgalom nem titkosítottEngedélyezés / tiltás állapot van csak
Domain izolációNem csak VPNDC Client között nem minden forgalom védhetőIPSec authentikációs hiányosságokNincs állapot ellenőrzés
Windows Server 2008 (holnap)
Network Access ProtectionUniverzális (nem csak távoli hozzáféréshez használható fel)Client Szerver között a forgalom titkosított és azonosítottVan állapot ellenőrzésAz egyes állapotok finoman szabályozhatóak (nem csak két állapot van)Gyárilag érkezik ellenőrző logika + 3rd party + ügyfelek is fejleszthetnek saját ellenőrző logikát
NAP felhasználási területei
Vándorló munkaállomások egészségi állapotának ellenőrzése
Saját cég munkaállomásaVendég gép a hálózaton
Desktop munkaállomások egészségi állapotának ellenőrzéseNem menedzselt otthoni munkaállomások egészségi állapotának ellenőrzése
Tartalom
NAP történelem és pozícionálásaNAP infrastruktúra komponenseiNAP topológia, működéseKliens rétegNPS szerverWindows System Health ValidatorDomain izoláció vs. NAPDemo
Egy NAP infrastruktúra komponensei
Kliens rétegNetwork Access Protection Agent
Hálózati rétegNetwork Access Device
Szerver rétegNetwork Policy Server (NPS)Health Registration Authority (HRA)Remediation Server
Tartalom
NAP történelem és pozícionálásaNAP infrastruktúra komponenseiNAP topológia, működéseKliens rétegNPS szerverWindows System Health ValidatorDomain izoláció vs. NAPDemo
Hozzáférést kérek. Itt az új egészségi állapotom.
NAP topológia működése
Network PolicyServer
Client Network Access Device
(DHCP, VPN)
Remediation Servers
Van hozzáférésem?Mellékeltem a jelenlegi egészségi állapotom.
A munkaállomás megfelel a házirendnek az egészségi állapota alapján?
Folyamatos kommunikáció
az NPS kiszolgálóval
Korlátozott hozzáférést kaptál amíg nem frissíted magad
Van valami frissítés?
Itt van, alkalmazd.
A házirend szerint a munkaállomás nem felel meg. Karanténba kell helyezni és frissíteni kell.
Belső hálózat
„Külső” hálózat
A munkaállomás teljes hozzáférés kapott.
A házirend szerint a munkaállomás megfelel.Hozzáférés megadva
Health requirementServers
Tartalom
NAP történelem és pozícionálásaNAP infrastruktúra komponenseiNAP topológia, működéseNAP komponensek - Kliens réteg + NPS szerverWindows System Health ValidatorDomain izoláció vs. NAPDemo
NAP komponensek – kliens réteg
Támogatott OS verziókWindows XPWindows VistaWindows Server 2003 – 2008
Enforcement clientsDHCP - Más IP beállításokat tesz lehetővé a compliant és a non-compliant klienseknek
RAS - Quarantine szolgáltatás
IPSec Compliant kliens kap a HRA-tól egy Health Certificate-tNon-compliant nem kap, vagy elveszi az Agent
EAP - 802.1x képes eszközöket utasítja arra, hogy egy külön VLAN-ra tegye a klienst
Alapértelmezésben mindegyik enforcement tiltva vanGPO-ból, netsh-val és UI-ból konfigurálható, de XP esetében nincs UI
NAP komponensek – kliens réteg
Testreszabható a kiértesítési ablakMore informationTitleDescriptionImage
GPO-ból, netsh-val, UI-ról szabályozhatóA more information NPS szinten konfigurálható
NAP komponensek – NPS szerverSystem Health Validators
Az ellenőrzési logikát tartalmazzaAz ellenőrzendő komponenseket tartalmazza
Health PoliciesAz egészségi állapotokat definiálhatjukPéldák
Egy SHV-ban definiált összes ellenőrzésnek megfelelEgy SHV-ban definiált feltételek közül legalább egynek nem felel megEgy SHV-ban definiált feltételek egyikének sem felel meg
Network PoliciesEz egy speciális IAS Policy, amiben kondícióként egy Health Policy-t határozunk megEsemény lehet
Grant / denyNAP enforcement (Full Access; Limited access; Time limited access)Auto-remediationKlasszikus IP filter
Connection Request PolicyKlasszikus IAS Policy a NAP szempontjából nincs jelentősége
NAP komponensek – NPS szerver
Windows Security Health Validator
Health Policy Network Policy - conditions
NAP komponensek – NPS szerver
Network Policy – NAP settings
Tartalom
NAP történelem és pozícionálásaNAP infrastruktúra komponenseiNAP topológia, működéseNAP komponensek - Kliens réteg + NPS szerverWindows System Health ValidatorDomain izoláció vs. NAPDemo
Windows Security Health Validator
ScopeFirewall (On/Off)Antivirus (On/Off; Up to date)Antispyware* (On/Off; Up to date)Automatic Updating (On / Off)Security Update Protection
LimitációSecurity Center-en keresztül megy a detektálás ha nem megy a Security Center nincs detektálás
*: Csak Windows Vista-n
Példa beállításA Windows tűzfalnak bekapcsolt állapotban kell lennie minden menedzselt munkaállomáson. Amennyiben ez nem teljesül, a számítógép nem kommunikálhat a hálózaton és kényszeríteni kell a tűzfal bekapcsolására.
Tartalom
NAP történelem és pozícionálásaNAP infrastruktúra komponenseiNAP topológia, működéseNAP komponensek - Kliens réteg + NPS szerverWindows System Health ValidatorDomain izoláció vs. NAPDemo
Domain izoláció vs. NAP
Tiltott
Karantén zóna
Köztes zóna
Védett zóna
Engedélyezett
EngedélyezettEngedélyezett
Házirend beállítások
Védett zóna Minden rendszer rendelkezik Health Certificate-telHealth Certificate alapú authentikáció szükséges a rendszerhez való kapcsolódáskor
Köztes zóna Minden rendszer rendelkezik Health Certificate-telHealth Certificate alapú authentikációt kér, de nem követel
Karantén zóna
Nincs Health CertificateNincs IPSec házirend
Tartalom
NAP történelem és pozícionálásaNAP infrastruktúra komponenseiNAP topológia, működéseNAP komponensek - Kliens réteg + NPS szerverWindows System Health ValidatorDomain izoláció vs. NAPDemo
demó
NAP – IPSec enforcement client
Konfiguráció rövid ismertetéseCompliant és non-compliant kliens állapotIPSec enforcement client bemutatása
További információk
NAP információk - www.microsoft.com/nap
Domain izoláció - http://www.microsoft.com/technet/network/sdiso/
NAP blog - http://blogs.technet.com/nap/
NAP Forum -http://forums.microsoft.com/TechNet/ShowForum.aspx?ForumID=576&SiteID=17
Cable guy cikkek - http://www.microsoft.com/technet/community/columns/cableguy/cgarch.mspx
NAP - partnerek
Kérdések és válaszok
Gál TamásErős bástya – biztonsági újdonságokHarmath ZoltánNetwork Access Protection
