network access protection
DESCRIPTION
Network Access Protection. Harmath Zoltán [email protected] Principal Consultant Microsoft Consulting Services. Tartalom. NAP történelem és pozícionálása NAP infrastruktúra komponensei NAP topológia, működése Kliens réteg NPS szerver Windows System Health Validator - PowerPoint PPT PresentationTRANSCRIPT
![Page 2: Network Access Protection](https://reader038.vdocuments.pub/reader038/viewer/2022110405/568132d5550346895d9999a1/html5/thumbnails/2.jpg)
Tartalom
NAP történelem és pozícionálásaNAP infrastruktúra komponenseiNAP topológia, működéseKliens rétegNPS szerverWindows System Health ValidatorDomain izoláció vs. NAPDemo
![Page 3: Network Access Protection](https://reader038.vdocuments.pub/reader038/viewer/2022110405/568132d5550346895d9999a1/html5/thumbnails/3.jpg)
NAP történelemMiért van szükség a NAP technológiára?
Egy „modern” hálózatban a külső-belső határvonalak jelentős mértékben összemosódnak a hálózatban az igazi határokat nem a topológia, hanem a szabályok határozzák meg
![Page 4: Network Access Protection](https://reader038.vdocuments.pub/reader038/viewer/2022110405/568132d5550346895d9999a1/html5/thumbnails/4.jpg)
NAP történelem
Jelenleg két technológia áll rendelkezésre
Network Access Quarantine Controlhttp://www.microsoft.com/technet/community/columns/cableguy/cg0203.mspxhttp://store.netacademia.net/MSHU/OTHER/009VPN.ppt
Domain izolációhttp://www.microsoft.com/technet/network/sdiso
![Page 5: Network Access Protection](https://reader038.vdocuments.pub/reader038/viewer/2022110405/568132d5550346895d9999a1/html5/thumbnails/5.jpg)
NAP történelemWindows Server 2003 (ma)
QuarantineCsak VPNVan állapot ellenőrzés, de az ügyfélnek kell az ellenőrzést kifejlesztenieRQC RQS között pre-shared key alapú azonosítás van, a forgalom nem titkosítottEngedélyezés / tiltás állapot van csak
Domain izolációNem csak VPNDC Client között nem minden forgalom védhetőIPSec authentikációs hiányosságokNincs állapot ellenőrzés
Windows Server 2008 (holnap)
Network Access ProtectionUniverzális (nem csak távoli hozzáféréshez használható fel)Client Szerver között a forgalom titkosított és azonosítottVan állapot ellenőrzésAz egyes állapotok finoman szabályozhatóak (nem csak két állapot van)Gyárilag érkezik ellenőrző logika + 3rd party + ügyfelek is fejleszthetnek saját ellenőrző logikát
![Page 6: Network Access Protection](https://reader038.vdocuments.pub/reader038/viewer/2022110405/568132d5550346895d9999a1/html5/thumbnails/6.jpg)
NAP felhasználási területei
Vándorló munkaállomások egészségi állapotának ellenőrzése
Saját cég munkaállomásaVendég gép a hálózaton
Desktop munkaállomások egészségi állapotának ellenőrzéseNem menedzselt otthoni munkaállomások egészségi állapotának ellenőrzése
![Page 7: Network Access Protection](https://reader038.vdocuments.pub/reader038/viewer/2022110405/568132d5550346895d9999a1/html5/thumbnails/7.jpg)
Tartalom
NAP történelem és pozícionálásaNAP infrastruktúra komponenseiNAP topológia, működéseKliens rétegNPS szerverWindows System Health ValidatorDomain izoláció vs. NAPDemo
![Page 8: Network Access Protection](https://reader038.vdocuments.pub/reader038/viewer/2022110405/568132d5550346895d9999a1/html5/thumbnails/8.jpg)
Egy NAP infrastruktúra komponensei
Kliens rétegNetwork Access Protection Agent
Hálózati rétegNetwork Access Device
Szerver rétegNetwork Policy Server (NPS)Health Registration Authority (HRA)Remediation Server
![Page 9: Network Access Protection](https://reader038.vdocuments.pub/reader038/viewer/2022110405/568132d5550346895d9999a1/html5/thumbnails/9.jpg)
Tartalom
NAP történelem és pozícionálásaNAP infrastruktúra komponenseiNAP topológia, működéseKliens rétegNPS szerverWindows System Health ValidatorDomain izoláció vs. NAPDemo
![Page 10: Network Access Protection](https://reader038.vdocuments.pub/reader038/viewer/2022110405/568132d5550346895d9999a1/html5/thumbnails/10.jpg)
Hozzáférést kérek. Itt az új egészségi állapotom.
NAP topológia működése
Network PolicyServer
Client Network Access Device
(DHCP, VPN)
Remediation Servers
Van hozzáférésem?Mellékeltem a jelenlegi egészségi állapotom.
A munkaállomás megfelel a házirendnek az egészségi állapota alapján?
Folyamatos kommunikáció
az NPS kiszolgálóval
Korlátozott hozzáférést kaptál amíg nem frissíted magad
Van valami frissítés?
Itt van, alkalmazd.
A házirend szerint a munkaállomás nem felel meg. Karanténba kell helyezni és frissíteni kell.
Belső hálózat
„Külső” hálózat
A munkaállomás teljes hozzáférés kapott.
A házirend szerint a munkaállomás megfelel.Hozzáférés megadva
Health requirementServers
![Page 11: Network Access Protection](https://reader038.vdocuments.pub/reader038/viewer/2022110405/568132d5550346895d9999a1/html5/thumbnails/11.jpg)
Tartalom
NAP történelem és pozícionálásaNAP infrastruktúra komponenseiNAP topológia, működéseNAP komponensek - Kliens réteg + NPS szerverWindows System Health ValidatorDomain izoláció vs. NAPDemo
![Page 12: Network Access Protection](https://reader038.vdocuments.pub/reader038/viewer/2022110405/568132d5550346895d9999a1/html5/thumbnails/12.jpg)
NAP komponensek – kliens réteg
Támogatott OS verziókWindows XPWindows VistaWindows Server 2003 – 2008
Enforcement clientsDHCP - Más IP beállításokat tesz lehetővé a compliant és a non-compliant klienseknek
RAS - Quarantine szolgáltatás
IPSec Compliant kliens kap a HRA-tól egy Health Certificate-tNon-compliant nem kap, vagy elveszi az Agent
EAP - 802.1x képes eszközöket utasítja arra, hogy egy külön VLAN-ra tegye a klienst
Alapértelmezésben mindegyik enforcement tiltva vanGPO-ból, netsh-val és UI-ból konfigurálható, de XP esetében nincs UI
![Page 13: Network Access Protection](https://reader038.vdocuments.pub/reader038/viewer/2022110405/568132d5550346895d9999a1/html5/thumbnails/13.jpg)
NAP komponensek – kliens réteg
Testreszabható a kiértesítési ablakMore informationTitleDescriptionImage
GPO-ból, netsh-val, UI-ról szabályozhatóA more information NPS szinten konfigurálható
![Page 14: Network Access Protection](https://reader038.vdocuments.pub/reader038/viewer/2022110405/568132d5550346895d9999a1/html5/thumbnails/14.jpg)
NAP komponensek – NPS szerverSystem Health Validators
Az ellenőrzési logikát tartalmazzaAz ellenőrzendő komponenseket tartalmazza
Health PoliciesAz egészségi állapotokat definiálhatjukPéldák
Egy SHV-ban definiált összes ellenőrzésnek megfelelEgy SHV-ban definiált feltételek közül legalább egynek nem felel megEgy SHV-ban definiált feltételek egyikének sem felel meg
Network PoliciesEz egy speciális IAS Policy, amiben kondícióként egy Health Policy-t határozunk megEsemény lehet
Grant / denyNAP enforcement (Full Access; Limited access; Time limited access)Auto-remediationKlasszikus IP filter
Connection Request PolicyKlasszikus IAS Policy a NAP szempontjából nincs jelentősége
![Page 15: Network Access Protection](https://reader038.vdocuments.pub/reader038/viewer/2022110405/568132d5550346895d9999a1/html5/thumbnails/15.jpg)
NAP komponensek – NPS szerver
Windows Security Health Validator
Health Policy Network Policy - conditions
![Page 16: Network Access Protection](https://reader038.vdocuments.pub/reader038/viewer/2022110405/568132d5550346895d9999a1/html5/thumbnails/16.jpg)
NAP komponensek – NPS szerver
Network Policy – NAP settings
![Page 17: Network Access Protection](https://reader038.vdocuments.pub/reader038/viewer/2022110405/568132d5550346895d9999a1/html5/thumbnails/17.jpg)
Tartalom
NAP történelem és pozícionálásaNAP infrastruktúra komponenseiNAP topológia, működéseNAP komponensek - Kliens réteg + NPS szerverWindows System Health ValidatorDomain izoláció vs. NAPDemo
![Page 18: Network Access Protection](https://reader038.vdocuments.pub/reader038/viewer/2022110405/568132d5550346895d9999a1/html5/thumbnails/18.jpg)
Windows Security Health Validator
ScopeFirewall (On/Off)Antivirus (On/Off; Up to date)Antispyware* (On/Off; Up to date)Automatic Updating (On / Off)Security Update Protection
LimitációSecurity Center-en keresztül megy a detektálás ha nem megy a Security Center nincs detektálás
*: Csak Windows Vista-n
![Page 19: Network Access Protection](https://reader038.vdocuments.pub/reader038/viewer/2022110405/568132d5550346895d9999a1/html5/thumbnails/19.jpg)
Példa beállításA Windows tűzfalnak bekapcsolt állapotban kell lennie minden menedzselt munkaállomáson. Amennyiben ez nem teljesül, a számítógép nem kommunikálhat a hálózaton és kényszeríteni kell a tűzfal bekapcsolására.
![Page 20: Network Access Protection](https://reader038.vdocuments.pub/reader038/viewer/2022110405/568132d5550346895d9999a1/html5/thumbnails/20.jpg)
Tartalom
NAP történelem és pozícionálásaNAP infrastruktúra komponenseiNAP topológia, működéseNAP komponensek - Kliens réteg + NPS szerverWindows System Health ValidatorDomain izoláció vs. NAPDemo
![Page 21: Network Access Protection](https://reader038.vdocuments.pub/reader038/viewer/2022110405/568132d5550346895d9999a1/html5/thumbnails/21.jpg)
Domain izoláció vs. NAP
Tiltott
Karantén zóna
Köztes zóna
Védett zóna
Engedélyezett
EngedélyezettEngedélyezett
Házirend beállítások
Védett zóna Minden rendszer rendelkezik Health Certificate-telHealth Certificate alapú authentikáció szükséges a rendszerhez való kapcsolódáskor
Köztes zóna Minden rendszer rendelkezik Health Certificate-telHealth Certificate alapú authentikációt kér, de nem követel
Karantén zóna
Nincs Health CertificateNincs IPSec házirend
![Page 22: Network Access Protection](https://reader038.vdocuments.pub/reader038/viewer/2022110405/568132d5550346895d9999a1/html5/thumbnails/22.jpg)
Tartalom
NAP történelem és pozícionálásaNAP infrastruktúra komponenseiNAP topológia, működéseNAP komponensek - Kliens réteg + NPS szerverWindows System Health ValidatorDomain izoláció vs. NAPDemo
![Page 23: Network Access Protection](https://reader038.vdocuments.pub/reader038/viewer/2022110405/568132d5550346895d9999a1/html5/thumbnails/23.jpg)
demó
NAP – IPSec enforcement client
Konfiguráció rövid ismertetéseCompliant és non-compliant kliens állapotIPSec enforcement client bemutatása
![Page 24: Network Access Protection](https://reader038.vdocuments.pub/reader038/viewer/2022110405/568132d5550346895d9999a1/html5/thumbnails/24.jpg)
További információk
NAP információk - www.microsoft.com/nap
Domain izoláció - http://www.microsoft.com/technet/network/sdiso/
NAP blog - http://blogs.technet.com/nap/
NAP Forum -http://forums.microsoft.com/TechNet/ShowForum.aspx?ForumID=576&SiteID=17
Cable guy cikkek - http://www.microsoft.com/technet/community/columns/cableguy/cgarch.mspx
![Page 25: Network Access Protection](https://reader038.vdocuments.pub/reader038/viewer/2022110405/568132d5550346895d9999a1/html5/thumbnails/25.jpg)
NAP - partnerek
![Page 26: Network Access Protection](https://reader038.vdocuments.pub/reader038/viewer/2022110405/568132d5550346895d9999a1/html5/thumbnails/26.jpg)
![Page 27: Network Access Protection](https://reader038.vdocuments.pub/reader038/viewer/2022110405/568132d5550346895d9999a1/html5/thumbnails/27.jpg)
Kérdések és válaszok
Gál TamásErős bástya – biztonsági újdonságokHarmath ZoltánNetwork Access Protection