network access protection
DESCRIPTION
Network Access Protection. A NAP technológia bemutatása. Szirtes István szirtesi @ szirtes.com szakmai igazgató Szirtes Technologies. Tartalom. A technológia áttekintése NAP infrastruktúra felépítése A NAP komponensei és működése Demo – DHCP kényszerítés - PowerPoint PPT PresentationTRANSCRIPT
Network Access ProtectionA NAP technológia bemutatása
Szirtes Istvá[email protected] igazgatóSzirtes Technologies
Tartalom
A technológia áttekintéseNAP infrastruktúra felépítéseA NAP komponensei és működéseDemo – DHCP kényszerítésTovábbi ellenőrzési metódusokDemo – IPSec kényszerítés
Network Access Protection
NEM véd a felhasználói támadások ellen
NEM VPN karantén
NEM ISA Server
NEM feltétlen kell hozzá speciális hardver
NEM kell hozzá külön licenc
Garantálja, hogy csak „egészséges” kliensek tartózkodhatnak a
hálózatunkban
Mert így ellenőrizhető a vállalati infrastruktúrához kapcsolódó számítógépek „egészségi” állapota (Policy Validation)
Mert a rossz „egészségi” állapotban lévő gépek izolált hálózatba kerülnek (Network Restriction)
Mert a nem megfelelő gépek automatikusan javíthatóak (Remediation)
Mert kikényszeríthető az „egészségi” állapot folyamatos betartása (Ongoing Compliance)
Miért használjunk NAP-ot?
Network Access Quarantine Control
További hálózatvédelmi megoldások
ISAServe
r
DNSServer
WebServer
DomainController
FileServer
Quarantine script
VPN QuarantineNetwork
VPN Network
RQC.exe
Quarantine remote access
policy
Csak dial-up és VPN kapcsolódások ellenőrzéséhez
Win2K3 RRAS funkcionalitásának bővítése
Domain izoláció = IPSec szabályok
További hálózatvédelmi megoldások
Tiltott
Karantén zóna
Köztes zóna
Védett zónaEngedélyezett
Engedélyezett
Engedélyezett
Házirend beállítások
Védett zóna Minden rendszer rendelkezik Health Certificate-telHealth Certificate alapú authentikáció szükséges a rendszerhez való kapcsolódáskor
Köztes zóna Minden rendszer rendelkezik Health Certificate-telHealth Certificate alapú authentikációt kér, de nem követel
Karantén zóna
Nincs Health CertificateNincs IPSec házirend
Tartalom
A technológia áttekintéseA NAP komponensei és működéseDemo – DHCP kényszerítésTovábbi ellenőrzési metódusokDemo – IPSec kényszerítés
A NAP működési elve
Hozzáférést kérek. Itt az új egészségi
állapotom.
Network PolicyServer
Client Network Access Device
(DHCP, VPN)
Remediation Servers
Van hozzáférésem?Mellékeltem a jelenlegi egészségi állapotom.
A munkaállomás megfelel a házirendnek az egészségi állapota alapján?
Folyamatos kommunikáció
az NPS kiszolgálóval
Korlátozott hozzáférést kaptál amíg nem frissíted magad
Van valami frissítés?
Itt van, alkalmazd.
A házirend szerint a munkaállomás nem felel meg. Karanténba kell helyezni és frissíteni kell.
Belső hálózat„Külső” hálózat
A munkaállomás teljes hozzáférés kapott.
A házirend szerint a munkaállomás megfelel.Hozzáférés megadva
Health requirementServers
NAP komponensek kommunikációja
DHCP messages
IEEE 802.1x network access devices
HRA
DHCP server
VPN server
NAP client
Remediation server
System health updates
NAP health policy server
(NPS)
Health requirement Server
System healthrequirement
queries
RADIUS messages
HTTP or HTTP over S
SL messa
ges
PEAP messages over PPPPEAP messages over EAPCL
NAP technológiai partnerek
Tartalom
A technológia áttekintéseA NAP komponensei és működéseDemo – DHCP kényszerítésTovábbi ellenőrzési metódusokDemo – IPSec kényszerítés
demó
NAP – DHCP EnforcementNPS-, és DHCP szerver konfigurációDHCP Enforcement Client bemutatása
Környezet ismertetése
Korlátozott zóna Intranet zóna
NPS 1
DNS DHCP NPS RRAS
DC 1
DC DNS
WSUS 1
WSUS
SSoH
SSoHR
PC 1
VISTA FOREFRONT
Update
A NAP kliens architektúrájaA NAP komponensei
NAP Agent
NAP EnforcementClients (NAP EC)
System Health Agent (SHA)
SHA_2SHA_1 SHA_3
SHA API
NAP Agent
NAP EC_BNAP EC_A NAP EC_C
NAP server A
NAPclient
. . .
. . .
NAP server B NAP server C
Remediation server 1
Remediation server 2
NAP EC API
NAP agentA NAP komponensei
Támogatott OS verziókWindows XP (SP3)
Windows Vista
Windows Server 2008
NAP Enforcement Clients (EC) A NAP komponensei
Alapértelmezésben mindegyik EC tiltva van
GPO-ból, netsh-val és UI-ból konfigurálható, de XP esetében nincs UI
A kiértesítési ablak testre szabható:More Information; Title; Description; Image
NAP Enforcement Clients (EC)A NAP komponensei
DHCP – Más IP beállításokat ad át a megfelelt és a nem megfelelt gépeknek
RRAS – Dial-up és VPN kapcsolódások karantén vezérlése
IPSec
• A megfelelt kliens kap a HRA-tól egy Health Certificate-et
• A nem megfelelt kliens nem kap vagy eldobja a Health Certificate-et
EAP – 802.1x képes eszközöket utasítja arra, hogy egy külön VLAN-ra tegye a klienst
TS Gateway – HTTPS-be ágyazott RDP kapcsolódáskori egészségi állapot ellenőrzése itt nincs karantén vezérlési logika!
System Health Agent (SHA)A NAP komponensei
Egy rendszer egy vagy több komponensének „egészségi” állapotát (Statement of Health) jelenti az NPS kiszolgálónak
Minden ellenőrizendő rendszerhez (pl.: Forefront Client Security) szükséges a kliensre telepítendő SHA és a szerver oldali SHV komponens
A Vista és az XP SP3 tartalmaz egy SHA-t a Windows Server 2008-al érkező Windows SHV-hoz
NAP szerver architektúrájaA NAP komponensei
NAP Health Policy Server = NPS
NAP Enforcement Servers (NAP ES)
System Health Validators (SHV)
SHV_2SHV_1
Policy server 1
SHV_3
SHV API
NAP Administration Server
NAP ES_BNAP ES_A NAP ES_C
NAP ES
. . .
. . .
Policy server 2
NAP client
NPS
RADIUS
NPS
Network Policy ServerA NAP komponensei
Az alábbi komponenseket kezeli:System Health Validators
Az ellenőrzési logikát-, és az ellenőrzendő komponenseket tartalmazza
Health PoliciesAz egészségi állapotok definiálhatóak
Network PoliciesSpeciális IAS Policy, melyben kondícióként egy Health Policy-t határozunk megEsemény lehet:
Grant / deny, NAP enforcement (Full Access; Limited access; Time limited access), Auto-remediation, klasszikus IP filter
NAP Enforcement ServersA NAP komponensei
FeladataiFogadják a kapcsolódó kliensek „egészségi” állapot jelentéseit és továbbítják a megadott NPS felé
Az NPS válaszától függően karanténba vagy a védett hálózatba helyezik a kapcsolódó gépet
Enforcement kiszolgálókDHCP – IP cím kérésekor
RRAS – Dial-up és VPN kapcsolódásokkor
HRA – IPSec-hez szükséges tanúsítvány igénylésekor
TS Gateway – RDP over HTTPS kapcsolódáskor
PEAP / EAP képes 802.1X eszközök
Ki kivel beszélget?
SHA2SHA1
Remediation Server 1
SHA API
NAP Agent
NAP EC_BNAP EC_A
NAPclient
Remediation Server 2
SHV1SHV2
SHV API
NAP Administration Server
NAP server
SHV3
NAP ES_ANAP ES_B
NPS
RADIUS
A NAP platform része
Külső gyártók megoldásai
NPS
NAP EC API
Policy Server 1
Policy Server 2
Tartalom
A technológia áttekintéseA NAP komponensei és működéseDemo – DHCP kényszerítésTovábbi ellenőrzési metódusokDemo – IPSec kényszerítés
Remote AccessTovábbi ellenőrzési metódusok
System health requirement
queriesProtected Extensible Authentication Protocol (PEAP)
messages over the Point-to-Point Protocol (PPP)
Policy server
RADIUS messages
VPN QuarantineNetwork
VPN Network
VPN server
EAP / PEAP – IEEE 802.1XTovábbi ellenőrzési metódusok
System health requirement
queries
Policy server
RADIUS messages
IEEE 802.1X devices
PEAP messages over EAP over LAN (EAPOL)
Internal VLAN
Restricted VLAN
Terminal Server GatewayTovábbi ellenőrzési metódusok
RDP over SSL = HTTPS-be ágyazott RDP forgalomKombinálható az ISA-valÖsszekapcsolható a NAP-al, de ebben az esetben NINCS KARANTÉN vezérlési logika
Hozzáférés a hálózathozX
DHCP
Remediation Server
NPS
Szeretnék IP-címet.
Parancsolj!
HealthRegistration
Authority
Kaphatnék eü kiskönyvet? Nézd: egészséges vagyok, itt a SoH-om Kliens ok?
Nem!Frissítésre van szüksége!
Nincs eü kiskönyved! Először gyógyulj meg!Kellene
frissítés!
Parancsolj!
Igen! Eü kiskönyv kiadása!
Parancsolj, az eü kiskönyved.
Client
Karantén
ZónaHatárZóna
VédettHálózat
IPSecTovábbi ellenőrzési metódusok
Tartalom
A technológia áttekintéseA NAP komponensei és működéseDemo – DHCP kényszerítésTovábbi ellenőrzési metódusokDemo – IPSec kényszerítés
demó
NAP – IPSec EnforcementNPS-, IPSec szabály konfigurációIPSec Enforcement Client bemutatása
Környezet ismertetése
Intranet zóna
DC 1 DC DNS IIS NPS HRA
PC 1 PC 2
IPSec
IPSec Policy IPSec Policy
Köszönöm a figyelmet!
Szünet...Kezdés 14:30-kor