Технологія захисту мережевого доступу network access protection (nap) для windows
Компанією Microsoft для своїх систем була розроблена технологія мережевого захисту Network Access Protection (MS-NAP). Вона призначена для обмеження доступу до мережі за принципом відповідності встановленим вимогам безпеки, головне з яких - наявність сервіс-пака і останніх латок-хотфиксов.
У MS-NAP відсутній механізм захисту від проникнення зловмисників, проте за допомогою цієї технології можна убезпечити роботу в мережі окремих машин.
У чому переваги технології Network Access Protection?
Грубо кажучи, головною метою NAP є запобігання підключення до мережі клієнтських систем із застарілою конфігурацією (наприклад тих, де встановлено старі версії службових пакетів доповнень, антивірусного ПО і ін). NAP також надзвичайно корисна для мобільних систем. Уявіть власника ноутбука, який працює вдома і підключається до корпоративної мережі, будучи поза офіса- якщо це суперечить політиці безпеки компанії, NAP зможе заборонити доступ для даного комп`ютера.
NAP необхідна в тих випадках, коли співробітники фірми входять в мережу зі своїх домашніх ПК. Зазвичай організації забороняють доступ в мережу таким машинам, але трапляються винятки. У подібних ситуаціях NAP необхідна як повітря, оскільки без неї адміністратор не може навіть перевірити, чи є на комп`ютері останні версії службових пакетів і хотфиксов.
NAP можна використовувати для перевірки стану стандартних настільних систем (і інших серверів Windows Server 2008) на предмет надання доступу до мережі. Такий підхід допомагає захистити від проблем, які можуть виникнути, якщо машину, довгий час працювала автономно (внаслідок чого вона стала більш вразливою), підключили до мережі. По суті, це обіцяє ті ж неприємності, що і в описаній вище ситуації з ноутбуком.
Налаштування MS-NAP
MS-NAP можна налаштувати за допомогою Windows Server 2008 для сервера і Windows Vista, Windows Server 2008, Windows XP з третім пакетом оновлень для підтримуваних клієнтів. Третій сервіс-пак для Windows XP поки що не вийшов у світ (знаходиться на стадії бета-тестування), але відомо, що в ньому буде представлений модуль NAP для цієї операційної системи.
Інструментарій MS-NAP використовує ролі об`єктів мережі для здійснення політики адміністрування і безпеки, зберігання даних про системні вимоги для клієнтських машин, їх перевірки на відповідність цим вимогам, автоматичного надання необхідних доповнень і виправлень, а також тимчасової ізоляції не відповідають вимогам пристроїв - все це, згідно обраним налаштувань. Для пристроїв з виявленими недоліками передбачена спеціальна карантинна зона (корекційна мережу), де здійснюється потрібна настройка конфігурації, після якої вони можуть бути знову використані для подальшої роботи в корпоративній мережі. На малюнку A показана звичайна схема роботи MS-NAP і її рольових об`єктів.
Малюнок A. MS-NAP використовує різні рольові об`єкти.
Microsoft давно випускає продукти для серверів, здатні здійснювати функції маршрутизації і управління службами DNS, DHCP, WINS- MS-NAP не є винятком. Хоча не всім IT-фахівцям на підприємствах знадобляться надаються мережевим обладнанням служби, технологія MS-NAP дозволяє використовувати рольові об`єкти сервера Windows для ідентифікації та управління системами безпеки. MS-NAP використовує традиційне мережеве обладнання, тому дана технологія не може вважатися 100% -м продуктом Microsoft.
Механізм роботи MS-NAP
Суть MS-NAP досить ясна. Незрозуміло тільки як все це працює. Для здійснення захисту мережі MS-NAP використовує рольові об`єкти сервера в поєднанні з комбінаціями комунікаційних каналів. Розглянемо докладніше потік трафіку MS-NAP. Для сервера використовуються наступні компоненти MS-NAP:
- Повноваження реєстру безпеки (Health Registry Authority, HRA): Цей комп`ютер Windows Server 2008, якій призначена роль інтернет-сервера IIS, отримує необхідні сертифікати безпеки з відповідних центрів.
- Сервер політики безпеки NAP (NAP Health Policy Server, NPS): Цей комп`ютер Windows Server 2008 з присвоєної роллю NPS містить вимоги щодо політики безпеки і виконує перевірку на відповідність даним вимогам.
- Корекційний сервер (Remediation Server): Тут розташовані ресурси для усунення несправностей клієнтів NAP, які не пройшли перевірку на відповідність. Наприклад, останні версії антивірусного ПЗ і інших додатків.
- Сервер вимог з безпеки (Health Requirement Server): Цей рольової об`єкт постачає сервера MS-NAP необхідними компонентами, що забезпечують поточний рівень безпеки.
- Клієнт NAP (NAP client): Комп`ютер з ОС Windows XP SP3 або Vista, на який спрямована діяльність MS-NAP.
- Сервер VPN (VPN server): Роль сервера може виконувати вже існуюча система, однак потрібно мати на увазі, що це точка доступу в зовнішню мережу (яка не обмежується тільки інтернетом).
- Мережеве обладнання: Комутатори або точки бездротового доступу WAP, що підтримують протокол ідентифікації IEEE 802.1X.
- Сервер DHCP (DHCP server): Сервер DHCP за допомогою протоколу RADIUS передає дані про рівень безпеки клієнта NPS сервера політики безпеки. Це ключовий компонент MS-NAP. Якщо система пройшла перевірку, їй надається необмежений доступ в мережу, в іншому випадку вона потрапляє в карантинну мережу для коригування конфігурації.
Варіанти використання MS-NAP
Після того, як ми розглянули принцип роботи MS-NAP, давайте розберемося, які вигоди від застосування цієї технології можуть отримати користувачі звичайних мереж. Безпека стоїть на першому місці в політиці будь-якої організації, отже, функції захисту кожного програмного продукту повинні бути передбачені ще на самих ранніх стадіях розробки. Технологія MS-NAP здатна заборонити доступ в мережу незахищеним системам і окремим користувачам. У середовищі Windows є один з кращих інструментів з управління системами - домен Активної директорії (Active Directory, AD).
За допомогою AD IT-професіонали можуть здійснювати управління великою кількістю елементів систем і використовувати додаткові пакети адміністрування, наприклад Systems Management Server (SMS), а також налаштовувати політику оновлень для Windows і захисту від вірусів. MS-NAP може допомогти там, де не працюють звичайні стратегії адміністрування.
Уявіть ситуацію, коли постачальнику або іншому діловому партнерові знадобилося підключитися до ресурсу корпоративної мережі. Підключення може здійснюватися з машин, приєднаних до іншого домену або до мережі з іншим механізмом управління, тобто недоступних для контролю адміністратором. Нарешті ці комп`ютери можуть належати іншому середовищі Активних директорій, а це значить, що у адміністратора, після того як ці машини підключатися до мережі, що не буде необхідних ресурсів для коригування необхідних налаштувань. Технологія MS-NAP виправить потрібні параметри віддаленої системи, перш ніж вона отримає доступ до мережі.
Проблеми оновлення і налаштування конфігурації систем з інших організацій - тема окремої розмови, менш важлива, ніж питання про надання їм прямого доступу до корпоративної мережі. Але в разі подібної необхідності MS-NAP змусить віддалену систему прийняти правила мережевої політики перед тим, як надати їй можливість підключення. Це допомагає подолати розбіжність в стандартах, прийнятих організацією і групами розробників комп`ютерного обладнання.
Головним завданням MS-NAP є профілактика ризиків, що виникають при підключенні віддалених користувачів, які виходять в мережу з домашніх комп`ютерів і ноутбуків. Найбільший ризик виникає при вході в мережу користувачів, які майже не дбають про безпеку своїх систем. MS-NAP дозволяє здійснювати управління конфігурацією всіх віддалених систем, включаючи ті, що рідко підключаються до мережі (через що не відбувається своєчасне оновлення конфігурації параметрів безпеки). Клієнт MS-NAP не зобов`язаний мати обліковий запис в домені Активної директорії організації. До того ж за допомогою AD можна здійснювати безпосереднє управління ідентифікацією.
Ресурси Microsoft для MS-NAP
В інтернеті представлена інформація про розробку і пробної версії цього інструментарію для бета-версій систем Windows Server 2008. Компанія Microsoft в свою чергу представила на своєму сайті документацію по архітектурі і різноманітним способам застосування MS-NAP.
Межплатформенная підтримка NAP
Технологія MS-NAP працює на основі широко розповсюдженого мережевого протоколу ідентифікації IEEE 802.1X, що забезпечує сумісність NAP з операційними системами Windows Server 2008, Vista, XP і різними видами пристроїв. В цілому, IEEE 802.1X за допомогою стандартного протоколу RADIUS дозволяє здійснювати безпечний доступ до бездротових мереж і мереж Ethernet.
Головне достоїнство цього протоколу полягає в тому, що сервера ідентифікації не потрібно присвоювати роль вузла бази даних. Це означає, що підтримує IEEE 802.1X мережеве обладнання може подавати запити на рольові об`єкти MS-NAP. Таким чином, технологія MS-NAP дозволяє здійснювати централізоване управління процесами авторизації та ідентифікації, а також вести облікові записи відповідно до заданих параметрів безпеки. В даний час цей протокол, розроблений спільними зусиллями інженерів HP, Microsoft, Cisco, Trapeze networks і Enterasys, підтримується більшістю виробників мережевого устаткування.
10 Фактів, які потрібно знати про механізм посилення служб системи windows vista- Команда netfcg - перегляд і зміна конфігурації мережі в windows.
- Безпека windows xp sp3
- Список оновлень у windows vista sp1
Network tools
Network signal info
Fing-network tools
Netx - network discovery tools
Windows 8.1 enterprise preview
Безпека в windows 7 у всіх ракурсах- Служби windows vista. Опис і настройка
Наскрізний зв`язок: як підключити смартфон до інтернету через комп`ютер
Налаштування мережевого підключення в windows vista- Комп`ютерна безпека
Toshiba canvio home backup & share - компактний nas на 2 і 3 тб
Технологія nat на пальцях
Написи на блоці живлення пк.
Мережа без доступу до інтернету
Перезапуск мережі в ubuntu 16.04
Вийшла нова версія яндекс.браузер з технологією активного захисту protect
Fractal design: нова серія блоків живлення edison m
Безпека в windows 7 у всіх ракурсах
Network signal info
Вийшла нова версія яндекс.браузер з технологією активного захисту protect
Fractal design: нова серія блоків живлення edison m
Network tools
Wireless network watcher покаже пристрою в мережі