network access protection

Network Access ProtectionA NAP technológia bemutatása

Szirtes Istvá[email protected] igazgatóSzirtes Technologies

Tartalom

A technológia áttekintéseNAP infrastruktúra felépítéseA NAP komponensei és működéseDemo – DHCP kényszerítésTovábbi ellenőrzési metódusokDemo – IPSec kényszerítés

Network Access Protection

NEM véd a felhasználói támadások ellen

NEM VPN karantén

NEM ISA Server

NEM feltétlen kell hozzá speciális hardver

NEM kell hozzá külön licenc

Garantálja, hogy csak „egészséges” kliensek tartózkodhatnak a

hálózatunkban

Mert így ellenőrizhető a vállalati infrastruktúrához kapcsolódó számítógépek „egészségi” állapota (Policy Validation)

Mert a rossz „egészségi” állapotban lévő gépek izolált hálózatba kerülnek (Network Restriction)

Mert a nem megfelelő gépek automatikusan javíthatóak (Remediation)

Mert kikényszeríthető az „egészségi” állapot folyamatos betartása (Ongoing Compliance)

Miért használjunk NAP-ot?

Network Access Quarantine Control

További hálózatvédelmi megoldások

ISAServe

r

DNSServer

WebServer

DomainController

FileServer

Quarantine script

VPN QuarantineNetwork

VPN Network

RQC.exe

Quarantine remote access

policy

Csak dial-up és VPN kapcsolódások ellenőrzéséhez

Win2K3 RRAS funkcionalitásának bővítése

Domain izoláció = IPSec szabályok

További hálózatvédelmi megoldások

Tiltott

Karantén zóna

Köztes zóna

Védett zónaEngedélyezett

Engedélyezett

Engedélyezett

Házirend beállítások

Védett zóna Minden rendszer rendelkezik Health Certificate-telHealth Certificate alapú authentikáció szükséges a rendszerhez való kapcsolódáskor

Köztes zóna Minden rendszer rendelkezik Health Certificate-telHealth Certificate alapú authentikációt kér, de nem követel

Karantén zóna

Nincs Health CertificateNincs IPSec házirend

Tartalom

A technológia áttekintéseA NAP komponensei és működéseDemo – DHCP kényszerítésTovábbi ellenőrzési metódusokDemo – IPSec kényszerítés

A NAP működési elve

Hozzáférést kérek. Itt az új egészségi

állapotom.

Network PolicyServer

Client Network Access Device

(DHCP, VPN)

Remediation Servers

Van hozzáférésem?Mellékeltem a jelenlegi egészségi állapotom.

A munkaállomás megfelel a házirendnek az egészségi állapota alapján?

Folyamatos kommunikáció

az NPS kiszolgálóval

Korlátozott hozzáférést kaptál amíg nem frissíted magad

Van valami frissítés?

Itt van, alkalmazd.

A házirend szerint a munkaállomás nem felel meg. Karanténba kell helyezni és frissíteni kell.

Belső hálózat„Külső” hálózat

A munkaállomás teljes hozzáférés kapott.

A házirend szerint a munkaállomás megfelel.Hozzáférés megadva

Health requirementServers

NAP komponensek kommunikációja

DHCP messages

IEEE 802.1x network access devices

HRA

DHCP server

VPN server

NAP client

Remediation server

System health updates

NAP health policy server

(NPS)

Health requirement Server

System healthrequirement

queries

RADIUS messages

HTTP or HTTP over S

SL messa

ges

PEAP messages over PPPPEAP messages over EAPCL

NAP technológiai partnerek

Tartalom


demó

NAP – DHCP EnforcementNPS-, és DHCP szerver konfigurációDHCP Enforcement Client bemutatása

Környezet ismertetése

Korlátozott zóna Intranet zóna

NPS 1

DNS DHCP NPS RRAS

DC 1

DC DNS

WSUS 1

WSUS

SSoH

SSoHR

PC 1

VISTA FOREFRONT

Update

A NAP kliens architektúrájaA NAP komponensei

NAP Agent

NAP EnforcementClients (NAP EC)

System Health Agent (SHA)

SHA_2SHA_1 SHA_3

SHA API

NAP Agent

NAP EC_BNAP EC_A NAP EC_C

NAP server A

NAPclient

. . .

. . .

NAP server B NAP server C

Remediation server 1

Remediation server 2

NAP EC API

NAP agentA NAP komponensei

Támogatott OS verziókWindows XP (SP3)

Windows Vista

Windows Server 2008

NAP Enforcement Clients (EC) A NAP komponensei

Alapértelmezésben mindegyik EC tiltva van

GPO-ból, netsh-val és UI-ból konfigurálható, de XP esetében nincs UI

A kiértesítési ablak testre szabható:More Information; Title; Description; Image

NAP Enforcement Clients (EC)A NAP komponensei

DHCP – Más IP beállításokat ad át a megfelelt és a nem megfelelt gépeknek

RRAS – Dial-up és VPN kapcsolódások karantén vezérlése

IPSec

• A megfelelt kliens kap a HRA-tól egy Health Certificate-et

• A nem megfelelt kliens nem kap vagy eldobja a Health Certificate-et

EAP – 802.1x képes eszközöket utasítja arra, hogy egy külön VLAN-ra tegye a klienst

TS Gateway – HTTPS-be ágyazott RDP kapcsolódáskori egészségi állapot ellenőrzése itt nincs karantén vezérlési logika!

System Health Agent (SHA)A NAP komponensei

Egy rendszer egy vagy több komponensének „egészségi” állapotát (Statement of Health) jelenti az NPS kiszolgálónak

Minden ellenőrizendő rendszerhez (pl.: Forefront Client Security) szükséges a kliensre telepítendő SHA és a szerver oldali SHV komponens

A Vista és az XP SP3 tartalmaz egy SHA-t a Windows Server 2008-al érkező Windows SHV-hoz

NAP szerver architektúrájaA NAP komponensei

NAP Health Policy Server = NPS

NAP Enforcement Servers (NAP ES)

System Health Validators (SHV)

SHV_2SHV_1

Policy server 1

SHV_3

SHV API

NAP Administration Server

NAP ES_BNAP ES_A NAP ES_C

NAP ES

. . .

. . .

Policy server 2

NAP client

NPS

RADIUS

NPS

Network Policy ServerA NAP komponensei

Az alábbi komponenseket kezeli:System Health Validators

Az ellenőrzési logikát-, és az ellenőrzendő komponenseket tartalmazza

Health PoliciesAz egészségi állapotok definiálhatóak

Network PoliciesSpeciális IAS Policy, melyben kondícióként egy Health Policy-t határozunk megEsemény lehet:

Grant / deny, NAP enforcement (Full Access; Limited access; Time limited access), Auto-remediation, klasszikus IP filter

NAP Enforcement ServersA NAP komponensei

FeladataiFogadják a kapcsolódó kliensek „egészségi” állapot jelentéseit és továbbítják a megadott NPS felé

Az NPS válaszától függően karanténba vagy a védett hálózatba helyezik a kapcsolódó gépet

Enforcement kiszolgálókDHCP – IP cím kérésekor

RRAS – Dial-up és VPN kapcsolódásokkor

HRA – IPSec-hez szükséges tanúsítvány igénylésekor

TS Gateway – RDP over HTTPS kapcsolódáskor

PEAP / EAP képes 802.1X eszközök

Ki kivel beszélget?

SHA2SHA1

Remediation Server 1

SHA API

NAP Agent

NAP EC_BNAP EC_A

NAPclient

Remediation Server 2

SHV1SHV2

SHV API

NAP Administration Server

NAP server

SHV3

NAP ES_ANAP ES_B

NPS

RADIUS

A NAP platform része

Külső gyártók megoldásai

NPS

NAP EC API

Policy Server 1

Policy Server 2

Tartalom


Remote AccessTovábbi ellenőrzési metódusok

System health requirement

queriesProtected Extensible Authentication Protocol (PEAP)

messages over the Point-to-Point Protocol (PPP)

Policy server

RADIUS messages

VPN QuarantineNetwork

VPN Network

VPN server

EAP / PEAP – IEEE 802.1XTovábbi ellenőrzési metódusok

System health requirement

queries

Policy server

RADIUS messages

IEEE 802.1X devices

PEAP messages over EAP over LAN (EAPOL)

Internal VLAN

Restricted VLAN

Terminal Server GatewayTovábbi ellenőrzési metódusok

RDP over SSL = HTTPS-be ágyazott RDP forgalomKombinálható az ISA-valÖsszekapcsolható a NAP-al, de ebben az esetben NINCS KARANTÉN vezérlési logika

Hozzáférés a hálózathozX

DHCP

Remediation Server

NPS

Szeretnék IP-címet.

Parancsolj!

HealthRegistration

Authority

Kaphatnék eü kiskönyvet? Nézd: egészséges vagyok, itt a SoH-om Kliens ok?

Nem!Frissítésre van szüksége!

Nincs eü kiskönyved! Először gyógyulj meg!Kellene

frissítés!

Parancsolj!

Igen! Eü kiskönyv kiadása!

Parancsolj, az eü kiskönyved.

Client

Karantén

ZónaHatárZóna

VédettHálózat

IPSecTovábbi ellenőrzési metódusok

Tartalom


demó

NAP – IPSec EnforcementNPS-, IPSec szabály konfigurációIPSec Enforcement Client bemutatása

Környezet ismertetése

Intranet zóna

DC 1 DC DNS IIS NPS HRA

PC 1 PC 2

IPSec

IPSec Policy IPSec Policy

Köszönöm a figyelmet!

Szünet...Kezdés 14:30-kor

network access protection

Documents