Основы Network Access Protection Евгений Николаев

Что такое Network Access Protection и откуда он появился? Как работает NAP и какие методы защиты использует? Как правильно внедрить NAP?

Network Access Protection Системные требования: o NAP сервер – Windows Server 2008 o NAP клиенты: Vista, XP SP3, RHEL Контроль с помощью роли NPS (Network Policy Server) Windows Server 2008 Network Access Protection вырос из VPN quarantine Поддерживает все типы сетевых клиентов, а не только VPN Управление с помощью политик, которые должны удовлетворять клиенты сети: o Обновления системы, обновления антивируса, наличие межсетевого экрана

Схема функционирования NAP 1 Карантинная сеть Microsoft Network Policy Server 3 Policy Servers Microsoft System Center, Forefront, или других производителей Соответствует DHCP, VPN Коммутатор, Маршрутизатор 2 Клиент Remediation Servers WSUS, System Center, или других производителей Корпоративная сеть 5 Не соответствует 4

Методы принудительной защиты NAP 802.1x проводная и беспроводная сеть o Список контроля доступа (Access Control List, ACL) o Виртуальная локальная сеть IPSec o Health Certificate Server выдает X.509 сертификаты только «правильным» клиентам VPN (с помощью Routing and Remote Access) Управляет соединениями к Terminal Services Gateway DHCP выдает адреса из карантинной подсети o DHCP можно обойти с помощью статической адресации – будьте осторожны!

NAP {Архитектура} NPS Сервер политик (RADIUS) NAP сервер Клиент NAP агент Политика здоровья Обновления Метрики здоровья Запросы на доступ в сеть System Health Servers Сервера восстановления Сертификаты здоровья 802.1x коммутаторы Policy Firewalls SSL VPN шлюзы Certificate Servers (SHA) MS SHA, SMS System Health Validator (EC) (DHCP, IPSec, 802.1X, VPN) Клиент SHA – Агенты здоровья проверяют метрики QA – Агент каратина координирует работу SHA/EC EC – Определяет метод принуждения Сервер восстановления (Remediation) Распространяет обновления, сигнатуры антивируса, и.т.д. Network Policy Server NAP Server – проверяет метрики здоровья клиентов SHV –проверяет ответы SHA System Health Server предоставляет SHV (SHA) 3 rd Parties (EC) 3rd Party EAP VPNs (System statement of Health) (System statement of Health Response)

Этапы внедрения NAP Наблюдение и отчеты (Reporting Mode) Отложенное принуждение (Deferred Enforcement) Полное принуждение (Full Enforcement)

Ресурсы: