1 / 27

Network Access Protection

Network Access Protection. Harmath Zoltán zoltanh@microsoft.com Principal Consultant Microsoft Consulting Services. Tartalom. NAP történelem és pozícionálása NAP infrastruktúra komponensei NAP topológia, működése Kliens réteg NPS szerver Windows System Health Validator

reese-byers
Download Presentation

Network Access Protection

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Network Access Protection Harmath Zoltánzoltanh@microsoft.comPrincipal ConsultantMicrosoft Consulting Services

  2. Tartalom • NAP történelem és pozícionálása • NAP infrastruktúra komponensei • NAP topológia, működése • Kliens réteg • NPS szerver • Windows System Health Validator • Domain izoláció vs. NAP • Demo

  3. NAP történelem • Miért van szükség a NAP technológiára? • Egy „modern” hálózatban a külső-belső határvonalak jelentős mértékben összemosódnak  a hálózatban az igazi határokat nem a topológia, hanem a szabályok határozzák meg

  4. NAP történelem • Jelenleg két technológia áll rendelkezésre • Network Access Quarantine Control • http://www.microsoft.com/technet/community/columns/cableguy/cg0203.mspx • http://store.netacademia.net/MSHU/OTHER/009VPN.ppt • Domain izoláció • http://www.microsoft.com/technet/network/sdiso

  5. NAP történelem Windows Server 2003 (ma) Windows Server 2008 (holnap) Network Access Protection Univerzális (nem csak távoli hozzáféréshez használható fel) Client   Szerver között a forgalom titkosított és azonosított Van állapot ellenőrzés Az egyes állapotok finoman szabályozhatóak (nem csak két állapot van) Gyárilag érkezik ellenőrző logika + 3rd party + ügyfelek is fejleszthetnek saját ellenőrző logikát • Quarantine • Csak VPN • Van állapot ellenőrzés, de az ügyfélnek kell az ellenőrzést kifejlesztenie • RQC   RQS között pre-shared key alapú azonosítás van, a forgalom nem titkosított • Engedélyezés / tiltás állapot van csak • Domain izoláció • Nem csak VPN • DC   Client között nem minden forgalom védhető • IPSec authentikációs hiányosságok • Nincs állapot ellenőrzés

  6. NAP felhasználási területei • Vándorló munkaállomások egészségi állapotának ellenőrzése • Saját cég munkaállomása • Vendég gép a hálózaton • Desktop munkaállomások egészségi állapotának ellenőrzése • Nem menedzselt otthoni munkaállomások egészségi állapotának ellenőrzése

  7. Tartalom • NAP történelem és pozícionálása • NAP infrastruktúra komponensei • NAP topológia, működése • Kliens réteg • NPS szerver • Windows System Health Validator • Domain izoláció vs. NAP • Demo

  8. Egy NAP infrastruktúra komponensei • Kliens réteg • Network Access Protection Agent • Hálózati réteg • Network Access Device • Szerver réteg • Network Policy Server (NPS) • Health Registration Authority (HRA) • Remediation Server

  9. Tartalom • NAP történelem és pozícionálása • NAP infrastruktúra komponensei • NAP topológia, működése • Kliens réteg • NPS szerver • Windows System Health Validator • Domain izoláció vs. NAP • Demo

  10. NAP topológia működése Belső hálózat „Külső” hálózat Health requirement Servers Remediation Servers Itt van, alkalmazd. Folyamatos kommunikáció az NPS kiszolgálóval Van valami frissítés? A munkaállomás megfelel a házirendnek az egészségi állapota alapján? A munkaállomás teljes hozzáférés kapott. Van hozzáférésem? Mellékeltem a jelenlegi egészségi állapotom. Hozzáférést kérek.Itt az új egészségi állapotom. A házirend szerint a munkaállomás megfelel. Hozzáférés megadva A házirend szerint a munkaállomás nem felel meg. Karanténba kell helyezni és frissíteni kell. Korlátozott hozzáférést kaptál amíg nem frissíted magad Client Network Access Device (DHCP, VPN) Network Policy Server

  11. Tartalom • NAP történelem és pozícionálása • NAP infrastruktúra komponensei • NAP topológia, működése • NAP komponensek - Kliens réteg + NPS szerver • Windows System Health Validator • Domain izoláció vs. NAP • Demo

  12. NAP komponensek – kliens réteg • Támogatott OS verziók • Windows XP • Windows Vista • Windows Server 2003 – 2008 • Enforcement clients • DHCP - Más IP beállításokat tesz lehetővé a compliant és a non-compliant klienseknek • RAS - Quarantine szolgáltatás • IPSec • Compliant kliens kap a HRA-tól egy Health Certificate-t • Non-compliant nem kap, vagy elveszi az Agent • EAP - 802.1x képes eszközöket utasítja arra, hogy egy külön VLAN-ra tegye a klienst Alapértelmezésben mindegyik enforcement tiltva van GPO-ból, netsh-val és UI-ból konfigurálható, de XP esetében nincs UI

  13. NAP komponensek – kliens réteg • Testreszabható a kiértesítési ablak • More information • Title • Description • Image • GPO-ból, netsh-val, UI-ról szabályozható • A more information NPS szinten konfigurálható

  14. NAP komponensek – NPS szerver • System Health Validators • Az ellenőrzési logikát tartalmazza • Az ellenőrzendő komponenseket tartalmazza • Health Policies • Az egészségi állapotokat definiálhatjuk • Példák • Egy SHV-ban definiált összes ellenőrzésnek megfelel • Egy SHV-ban definiált feltételek közül legalább egynek nem felel meg • Egy SHV-ban definiált feltételek egyikének sem felel meg • Network Policies • Ez egy speciális IAS Policy, amiben kondícióként egy Health Policy-t határozunk meg • Esemény lehet • Grant / deny • NAP enforcement (Full Access; Limited access; Time limited access) • Auto-remediation • Klasszikus IP filter • Connection Request Policy • Klasszikus IAS Policy a NAP szempontjából nincs jelentősége

  15. NAP komponensek – NPS szerver Health Policy Network Policy - conditions Windows Security Health Validator

  16. NAP komponensek – NPS szerver Network Policy – NAP settings

  17. Tartalom • NAP történelem és pozícionálása • NAP infrastruktúra komponensei • NAP topológia, működése • NAP komponensek - Kliens réteg + NPS szerver • Windows System Health Validator • Domain izoláció vs. NAP • Demo

  18. Windows Security Health Validator • Scope • Firewall (On/Off) • Antivirus (On/Off; Up to date) • Antispyware* (On/Off; Up to date) • Automatic Updating (On / Off) • Security Update Protection • Limitáció • Security Center-en keresztül megy a detektálás  ha nem megy a Security Center nincs detektálás *: Csak Windows Vista-n

  19. Példa beállítás • A Windows tűzfalnak bekapcsolt állapotban kell lennie minden menedzselt munkaállomáson. Amennyiben ez nem teljesül, a számítógép nem kommunikálhat a hálózaton és kényszeríteni kell a tűzfal bekapcsolására.

  20. Tartalom • NAP történelem és pozícionálása • NAP infrastruktúra komponensei • NAP topológia, működése • NAP komponensek - Kliens réteg + NPS szerver • Windows System Health Validator • Domain izoláció vs. NAP • Demo

  21. Engedélyezett Engedélyezett Domain izoláció vs. NAP Karantén zóna Köztes zóna Védett zóna Engedélyezett Tiltott

  22. Tartalom • NAP történelem és pozícionálása • NAP infrastruktúra komponensei • NAP topológia, működése • NAP komponensek - Kliens réteg + NPS szerver • Windows System Health Validator • Domain izoláció vs. NAP • Demo

  23. NAP – IPSec enforcement client • Konfiguráció rövid ismertetése • Compliant és non-compliant kliens állapot • IPSec enforcement client bemutatása demó

  24. További információk • NAP információk - www.microsoft.com/nap • Domain izoláció - http://www.microsoft.com/technet/network/sdiso/ • NAP blog - http://blogs.technet.com/nap/ • NAP Forum -http://forums.microsoft.com/TechNet/ShowForum.aspx?ForumID=576&SiteID=17 • Cable guy cikkek - http://www.microsoft.com/technet/community/columns/cableguy/cgarch.mspx

  25. NAP - partnerek

  26. Kérdések és válaszok Gál TamásErős bástya – biztonsági újdonságok Harmath Zoltán Network Access Protection

More Related