Технология защиты сетевого доступа Network Access Protection (NAP) для Windows
Технология защиты сетевого доступа Network Access Protection (NAP) для Windows
Компанией
Microsoft для своих систем была разработана технология сетевой защиты
Network Access Protection (MS-NAP). Она предназначенная для ограничения
сетевого доступа по принципу соответствия установленным требованиям
безопасности, главное из которых — наличие сервис-пака и последних
заплаток-хотфиксов.
В MS-NAP отсутствует механизм
защиты от проникновения злоумышленников, однако при помощи этой
технологии можно обезопасить работу в сети отдельных машин.
В чём преимущества технологии Network Access Protection?
Грубо
говоря, главной целью NAP является предотвращение подключения к сети
клиентских систем с устаревшей конфигурацией (например тех, где
установлены старые версии служебных пакетов дополнений, антивирусного
ПО и др). NAP также чрезвычайно полезна для мобильных систем.
Представьте владельца ноутбука, который работает дома и подключается к
корпоративной сети, будучи вне офиса; если это противоречит политике
безопасности компании, NAP сможет запретить доступ для данного
компьютера.
NAP необходима в тех случаях, когда сотрудники фирмы
входят в сеть со своих домашних ПК. Обычно организации запрещают доступ
в сеть таким машинам, но встречаются исключения. В подобных ситуациях
NAP необходима как воздух, поскольку без неё администратор не может
даже проверить, имеется ли на компьютере последние версии служебных
пакетов и хотфиксов.
NAP можно использовать для проверки
состояния стандартных настольных систем (и других серверов Windows
Server 2008) на предмет предоставления сетевого доступа. Такой подход
помогает защитить от проблем, которые могут возникнуть, если машину,
долгое время работавшую автономно (вследствие чего она стала более
уязвимой), подключили к сети. По сути, это сулит те же неприятности,
что и в описанной выше ситуации с ноутбуком.
Настройка MS-NAP
MS-NAP
можно настроить при помощи Windows Server 2008 для сервера и Windows
Vista, Windows Server 2008, Windows XP с третьим пакетом обновлений для
поддерживаемых клиентов. Третий сервис-пак для Windows XP пока что не
вышел в свет (находится на стадии бета-тестирования), но известно, что
в нём будет представлен модуль NAP для этой операционной системы.
Инструментарий
MS-NAP использует роли объектов сети для осуществления политики
администрирования и безопасности, хранения данных о системных
требованиях для клиентских машин, их проверки на соответствия данным
требованиям, автоматического предоставления необходимых дополнений и
исправлений, а также временной изоляции несоответствующих требованиям
устройств — всё это, согласно выбранным настройкам. Для устройств с
выявленными недостатками предусмотрена специальная карантинная зона
(коррекционная сеть), где осуществляется нужная настройка конфигурации,
после которой они могут быть снова использованы для дальнейшей работы в
корпоративной сети. На рисунке A показана обычная схема работы MS-NAP и
её ролевых объектов.
Рисунок A. MS-NAP использует различные ролевые объекты.
Microsoft
давно выпускает продукты для серверов, способные осуществлять функции
маршрутизации и управления службами DNS, DHCP, WINS; MS-NAP не является
исключением. Хотя не всем IT-специалистам на предприятиях понадобятся
предоставляемые сетевым оборудованием службы, технология MS-NAP
позволяет использовать ролевые объекты сервера Windows для
идентификации и управления системами безопасности. MS-NAP использует
традиционное сетевое оборудование, поэтому данная технология не может
считаться 100%-м продуктом Microsoft.
Механизм работы MS-NAP
Суть
MS-NAP довольно ясна. Непонятно только как всё это работает. Для
осуществления защиты сети MS-NAP использует ролевые объекты сервера в
сочетании с комбинациями коммуникационных каналов. Рассмотрим подробнее
поток трафика MS-NAP. Для сервера используются следующие компоненты
MS-NAP:
• Полномочия реестра безопасности (Health Registry Authority, HRA):
Этот компьютер Windows Server 2008, которому назначена роль
интернет-сервера IIS, получает необходимые сертификаты безопасности из
соответствующих центров. • Сервер политики безопасности NAP (NAP Health Policy Server, NPS):
Этот компьютер Windows Server 2008 с присвоенной ролью NPS содержит
требования по политике безопасности и выполняет проверку на
соответствие данным требованиям. • Коррекционный сервер (Remediation Server):
Здесь расположены ресурсы для устранения неисправностей клиентов NAP,
не прошедших проверку на соответствие. Например, последние версии
антивирусного ПО и прочих приложений. • Сервер требований по безопасности (Health Requirement Server): Этот ролевой объект снабжает сервера MS-NAP необходимыми компонентами, обеспечивающими текущий уровень безопасности. • Клиент NAP (NAP client): Компьютер с ОС Windows XP SP3 или Vista, на который направлена деятельность MS-NAP. • Сервер VPN (VPN server):
Роль сервера может исполнять уже существующая система, однако нужно
иметь в виду, что это точка доступа во внешнюю сеть (которая не
ограничивается только интернетом). • Сетевое оборудование: Коммутаторы или точки беспроводного доступа WAP, поддерживающие протокол идентификации IEEE 802.1X. • Сервер DHCP (DHCP server):
Сервер DHCP при помощи протокола RADIUS передаёт данные об уровне
безопасности клиента NPS серверу политики безопасности. Это ключевой
компонент MS-NAP. Если система прошла проверку, ей предоставляется
неограниченный доступ в сеть, в противном случае она попадает в
карантинную сеть для корректировки конфигурации.
Варианты использования MS-NAP
После
того, как мы рассмотрели принцип работы MS-NAP, давайте разберёмся,
какие выгоды от применения этой технологии могут получить пользователи
обыкновенных сетей. Безопасность стоит на первом месте в политике любой
организации, следовательно, функции защиты каждого программного
продукта должны быть предусмотрены ещё на самых ранних стадиях
разработки. Технология MS-NAP способна запретить доступ в сеть
незащищённым системам и отдельным пользователям. В среде Windows
имеется один из лучших инструментов по управлению системами — домен
Активной директории (Active Directory, AD).
При помощи AD
IT-профессионалы могут осуществлять управление большим количеством
элементов систем и использовать дополнительные пакеты
администрирования, например Systems Management Server (SMS), а также
настраивать политику обновлений для Windows и защиты от вирусов. MS-NAP
может помочь там, где не работают обычные стратегии администрирования.
Представьте
ситуацию, когда поставщику или другому деловому партнёру понадобилось
подключиться к ресурсу корпоративной сети. Подключение может
осуществляться с машин, присоединённых к другому домену или к сети с
иным механизмом управления, то есть недоступных для контроля
администратором. Наконец эти компьютеры могут принадлежать другой среде
Активных директорий, а это значит, что у администратора, после того как
эти машины подключаться к сети, не будет необходимых ресурсов для
корректировки необходимых настроек. Технология MS-NAP исправит нужные
параметры удалённой системы, прежде чем она получит доступ к сети.
Вопросы
обновления и настройки конфигурации систем из других организаций — тема
отдельного разговора, менее важная, чем вопрос о предоставлении им
прямого доступа к корпоративной сети. Но в случае подобной
необходимости MS-NAP принудит удалённую систему принять правила сетевой
политики перед тем, как предоставить ей возможность подключения. Это
помогает преодолеть расхождение в стандартах, принятых организацией и
группами разработчиков компьютерного оборудования.
Главной
задачей MS-NAP является профилактика рисков, возникающих при
подключении удалённых пользователей, которые выходят в сеть с домашних
компьютеров и ноутбуков. Самый большой риск возникает при входе в сеть
пользователей, которые почти не заботятся о безопасности своих систем.
MS-NAP позволяет осуществлять управление конфигурацией всех удалённых
систем, включая те, что редко подключаются к сети (из-за чего не
происходит своевременное обновление конфигурации параметров
безопасности). Клиент MS-NAP не обязан иметь учётную запись в домене
Активной директории организации. К тому же при помощи AD можно
осуществлять непосредственное управление идентификацией.
Технология
MS-NAP работает на основе широко распространённого сетевого протокола
идентификации IEEE 802.1X, что обеспечивает совместимость NAP с
операционными системами Windows Server 2008, Vista, XP и различными
видами устройств. В целом, IEEE 802.1X при помощи стандартного
протокола RADIUS позволяет осуществлять безопасный доступ к
беспроводным сетям и сетям Ethernet.
Главное достоинство этого
протокола заключается в том, что серверу идентификации не нужно
присваивать роль узла базы данных. Это значит, что поддерживающее IEEE
802.1X сетевое оборудование может подавать запросы на ролевые объекты
MS-NAP. Таким образом, технология MS-NAP позволяет осуществлять
централизованное управление процессами авторизации и идентификации, а
также вести учётные записи в соответствии с заданными параметрами
безопасности. В настоящее время этот протокол, разработанный
совместными усилиями инженеров HP, Microsoft, Cisco, Trapeze networks и
Enterasys, поддерживается большинством производителей сетевого
оборудования.