The Cable Guy – Juli 2005
Überblick zur Network Access Protection-Plattform
Von The Cable Guy
Alle auf Deutsch verfügbaren Cable Guy-Kolumnen finden Sie hier.
Auf dieser Seite
 | Einleitung |
| Architektur der NAP-Plattform |
| Architektur der NAP-Server |
| Vergleich von NAP und Netzwerkquarantäne |
| Zusätzliche Informationen |
Einleitung
Eine der Herausforderungen für Netzwerkadministratoren ist es, nur solchen Computern Zugang zum privaten Netzwerk zu gewähren, die entsprechende Anforderungen erfüllen. Es kann zum Beispiel verlangt sein, dass die richtige Sicherheitssoftware installiert ist (Virenscanner etc.), alle aktuellen Betriebssystemupdates vorhanden sind und die Konfiguration korrekt ist (zum Beispiel, dass eine Hostfirewall vorhanden und aktiviert ist). Durch tragbare Computer wird diese Herausforderung noch größer. Notebooks wechseln zwischen verschiedenen Internet-Hotspots und anderen privaten Netzwerken und bauen RAS-Verbindungen von zu Hause aus auf. Wenn ein Computer nicht über den korrekten Status verfügt, dann kann das die Ursache für Angriffe auf das private Netzwerk sein (zum Beispiel Viren und Würmer). Bei den aktuellen Versionen von Microsoft® Windows® gibt es kein standardmäßiges Feature für die folgenden Anforderungen:
| • | Zentrale Konfiguration eines Satzes mit Richtlinien, die festlegen, welchen Status ein Remotecomputer haben muss. |
| • | Überprüfung des Systemstatus bevor ein Zugriff auf das private Netzwerk oder Ressourcen in diesem Netzwerk gewährt wird. |
| • | Isolation von Computer mit fehlerhaftem Status in einem eingeschränkten Netzwerk, das Ressourcen enthält, mit denen der Computer in einen passenden Status versetzt werden kann. |
Die NAP-Plattform (Network Access Protection) von Windows Server Longhorn stellt Komponenten und eine Infrastruktur zur Verfügung, mit denen Administratoren die Einhaltung von Netzwerkzugangsrichtlinien überprüfen können. Sie können eine entsprechende Lösung entwickeln, fehlende Updates oder einen Zugriff auf erforderliche Ressourcen zur Verfügung stellen und den Netzwerkzugriff für Computer mit fehlerhaftem Status unterbinden. Die NAP-Features zur Überprüfung und Durchsetzung können in Software anderer Hersteller oder eigene Programme integriert werden.
Anmerkung: NAP wurde nicht entwickelt, um das Netzwerk vor böswilligen Benutzern zu schützen. Es soll Administratoren dabei helfen, den Status der Computer im privaten Netzwerk in einem gültigen Zustand zu halten. NAP wird zusammen mit einer Authentifizierung und Autorisierung des Netzwerkzugriffs verwendet (zum Beispiel IEEE 802.1X). NAP verhindert nicht, dass nicht authentifizierte oder nicht autorisierte Benutzer von Computern mit passendem Status schädliche Programme uploaden oder Angriffe starten.
Architektur der NAP-Plattform
Die NAP-Umgebung besteht aus den folgenden Komponenten:
| • | NAP-Clients: Computer, die die NAP-Plattform unterstützen (DHCP-Konfiguration, VPN-Verbindungen und IPsec). |
| • | NAP-Server: Computer unter Windows Server "Longhorn", die NAP unterstützen und Einschränkungen für Clients mit fehlerhaftem Status durchsetzen |
| • | IAS-Server: Computer unter Windows Server "Longhorn", die den IAS-Dienst ausführen und die Konfiguration von Systemrichtlinien und die Koordination der Statusüberprüfung der NAP-Clients ermöglichen. |
| • | Richtlinienserver: Computer, die festlegen, wie der Status der NAP-Clients sein muss und entsprechende Patches, Konfigurationen und Anwendungen für die NAP-Clients bereithalten. |
| • | Status-Zertifikatsserver: Computer unter Windows Server "Longhorn", die Zertifikate für IPSec-basierte NAP-Clients ausstellen. |
Architektur der NAP-Clients
Ein NAP-Client ist ein Computer unter Windows Vista™, Windows Server “Longhorn” oder Windows XP mit Service Pack 2 (mit einem Update das für Windows Vista Beta 1 oder Windows Server “Longhorn” Beta 1 nicht verfügbar ist). Die folgende Abbildung zeigt die Architektur der NAP-Plattform auf einem NAP-Client.
Die Architektur des NAP-Clients setzt sich aus den folgenden Komponenten zusammen:
| • | Eine Schicht mit SHA-Komponenten (System Health Agents): Jeder SHA ist für eine Systemanforderung zuständig. Es kann zum Beispiel einen SHA für die Signaturen des Virenscanners oder einen SHA für Betriebssystemupdates geben. Ein bestimmte SHA kann einem bestimmen Richtlinienserver zugeordnet sein. Ein SHA für Virensignaturen kann zum Beispiel dem Richtlinienserver zugeordnet sein, der die aktuellsten Signaturdateien zur Verfügung stellt. |
| • | Quarantäneagent: Pflegt den aktuellen Status des NAP-Client auf Basis der Informationen von den SHAs und sorgt für die Kommunikation zwischen der QEC- (Quarantine Enforcement Client) und SHA-Schicht. |
| • | Eine Schicht mit QEC-Komponenten: Jeder QEC ist für einen anderen Netzwerkzugriffstyp zuständig. Es kann zum Beispiel QECs für DHCP-Konfigurationen, VPN-Verbindungen und für IPSec geben. Ein QEC ist einem NAP-Server zugeordnet. Ein QEC für DHCP ist zum Beispiel einem DHCP-basierten NAP-Server zugeordnet. |
Um den Status eines bestimmten Elementes des Clients bekannt zu geben (zum Beispiel den Status des Virenscanners oder das zuletzt installierte Betriebssystemupdate), erstellen die SHAs so genannte SoHs (Statements of Health) und übergeben diese an den Quarantäneagenten. Dieser pflegt eine Liste mit allen SoHs.
Architektur der NAP-Server
Ein NAP-Server ist ein Computer unter Windows Server "Longhorn." Die Architektur der NAP-Plattform umfasst sowohl neue Komponenten als auch veränderte Versionen vorhandener Komponenten. In der folgenden Abbildung sehen Sie die serverseitige Architektur der NAP-Plattform. Sie besteht aus NAP-Server und IAS-Server.
Der NAP-Server setzt eine Schicht mit QES-Komponenten (Quarantine Enforcement Server) ein. Jeder QES ist für einen anderen Netzwerkzugriffstyp zuständig. Es kann zum Beispiel jeweils einen QES für DHCP-Konfigurationen und VPN-Verbindungen geben. Der QES wird einem bestimmten NAP-Client zugeordnet. Der DHCP-QES arbeitet zum Beispiel mit DHCP-basierten NAP-Clients zusammen.
Ein QES auf einem NAP-Server erhält von seinem entsprechenden QEC auf dem NAP-Client die Liste mit den SoHs. Diese sendet er über RADIUS an den IAS-Server weiter.
Der IAS-Server setzt sich aus den folgenden Komponenten zusammen:
| • | IAS: Kommuniziert zwischen den NAP-Servern und dem Quarantäneserver. |
| • | Quarantäneserver: Ist für die Kommunikation zwischen IAS und den SHVs (System Health Validators) zuständig und führt auf Basis des konfigurierten Satzes von Richtlinien Systemanalysen durch. |
| • | Eine Schicht mit SHV-Komponenten: Jeder SHV ist für eine Systemanforderung zuständig. Es kann zum Beispiel einen SHV für die Signaturen des Virenscanners oder einen SHV für Betriebssystemupdates geben. Ein bestimmter SHV kann einem bestimmen Richtlinienserver zugeordnet sein. Ein SHV für Virensignaturen kann zum Beispiel dem Richtlinienserver zugeordnet sein, der die aktuellsten Signaturdateien zur Verfügung stellt. |
Der Quarantäneserver übergibt die SoHs vom NAP-Client an die passenden SHVs. Die SHVs erstellen SoHRs (SoH Responses) und übergeben diese an den Quarantäneserver. Dieser überprüft die SoHRs gegen die Richtlinien und legt fest ob der Netzwerkzugriff für den NAP-Client eingeschränkt wird. Der Quarantäneagent übergibt die SoHRs an den NAP-Client, damit dieser gegebenenfalls Maßnahmen bezüglich seines Systemstatus ergreifen kann.
Die Systemanforderungen werden vom Administrator über Systemrichtlinien auf dem IAS-Server konfiguriert.
Mit NAP stehen die folgenden Quarantänetypen zur Verfügung:
| • | DHCP-Quarantäne: Bei einer DHCP-Quarantäne kann ein DHCP-Server die Zugangsanforderungen für das Netzwerk immer dann durchsetzten, wenn ein Computer versucht eine IP-Adresskonfiguration zu erhalten oder zu erneuern. Da alle DHCP-Clients IP-Adressen benötigen, ist diese Quarantäne am einfachsten einzurichten. Die erreichte Netzwerkisolation ist jedoch eher schwach. |
| • | VPN-Quarantäne: Bei der VPN-Quarantäne setzt die VPN-Server die Anforderungen für den Netzwerkzugriff immer dann durch, wenn ein Computer eine VPN-Verbindung mit dem Netzwerk aufbauen will. Die erreichte Netzwerkisolation ist sehr stark. Die VPN-Quarantäne von NAP unterscheidet sich von der Netzwerkquarantäne (einem Feature von Windows Server® 2003). Weitere Informationen hierzu finden Sie im Abschnitt "Vergleich von NAP und Netzwerkquarantäne" in diesem Artikel. |
| • | IPsec-Quarantäne: Wenn der Status der Quarantäneclients korrekt ist, dann ruft der Zertifikatsserver X.509-Zertifikate für diese ab. Diese Zertifikate werden dann zur Authentifizierung der NAP-Clients bei der Initiierung eine IPSec-Kommunikation mit anderen NAP-Clients im privaten Netzwerk verwendet. |
Die IPsec-Qarantäne grenzt die Kommunikation in Ihrem Netzwerk auf die Knoten ein, die über einen gültigen Status verfügen. Da sie IPSec nutzt, können Sie Anforderungen für gültige Clients auf Basis einzelner IP-Adressen oder Portnummern definieren. Im Gegensatz zur DHCP-Quarantäne und VPN-Quarantäne grenzt die IPSec-Quarantäne die Kommunikation der gültigen Clients nach der Verbindung und nach der Übermittlung einer gültigen IP-Adresskonfiguration ein. Mit der IPSec-Quarantäne erreichen Sie die stärkste Isolation.
Um die NAP-Plattform zu erweitern und neue Verfahren zur Überprüfung der verbundenen Clients anzubieten, müssen andere Softwareanbieter einen SHA für den NAP-Client, eine SHV für den IAS-Server und die NAP-Server und (bei Bedarf) einen Richtlinienserver anbieten.
Vergleich von NAP und Netzwerkquarantäne
Auch wenn ihre Namen sehr ähnlich sind - die Netzwerkquarantäne (Network Access Quarantine Control - ein Feature von Windows Server 2003) und NAP unterscheiden sich deutlich. Die Netzwerkquarantäne ermöglicht es Administratoren, Statusanforderungen in beschränktem Maße durchzusetzen - jedoch nur für RAS-Verbindungen (Einwahlverbindungen oder VPN-Verbindungen). Wenn ein Netzwerkquarantäne-Client eine Verbindung aufbaut, dann ist er durch IP-Paketfilter auf bestimmte Netzwerkziele eingeschränkt. Der RAS-Client führt ein Skript aus, das das System überprüft. Der RAS-Server entfernt die Verbindungsbeschränkungen erst dann, wenn eine Benachrichtigungskomponente auf dem RAS-Client eine entsprechende Nachricht an eine Listener-Komponente auf dem RAS-Server sendet. Die Nachricht zeigt an, dass der Client alle Tests bestanden hat. Die gesamten Tests werden per Skript auf dem Client durchgeführt. Wenn Sie die Richtlinien ändern, sind möglicherweise neue Skripte erforderlich.
Wenn sich ein NAP-VPN-Client verbindet, dann wird dessen Status überprüft, bevor die VPN-Verbindung vollständig hergestellt ist. Wenn der Status korrekt ist, dann hat der Client einen vollständigen Zugriff auf das private Netzwerk. Wenn der Status nicht korrekt ist, dann wird durch IP-Paketfilter der Zugriff auf bestimmte Netzwerkziele eingeschränkt. Nachdem der Client eine Liste mit SoHs gesendet hat, die den Netzwerkrichtlinien entsprechen, werden die Einschränkungen beseitigt. Der IAS-Server überprüft, ob der Client den Richtlinien entspricht. Änderungen der Richtlinien werden automatisch implementiert.
Die Unterschiede zwischen NAP und der Netzwerkquarantäne lassen sich folgendermaßen zusammenfassen:
| • | Die Netzwerkquarantäne eignet sich nur für RAS-Computer (Einwahl- oder VPN-Verbindungen). NAP ist eine Plattform zur Durchsetzung von Richtlinien, die sich für unterschiedlichste Netzwerkzugriffs- und Kommunikationsverfahren eignet. Die VPN-Quarantäne von NAP wirkt sich nur auf RAS-VPN-Verbindungen aus |
| • | Bei der Netzwerkquarantäne ist ein Skript erforderlich, das den Status des Clients überprüft. Bei NAP ist kein Skript erforderlich. Stattdessen konfigurieren Sie Richtlinien auf dem IAS-Server. |
| • | Die Netzwerkquarantäne platziert den Client während der Überprüfung des Systemstatus in eine Quarantäne. Der Status eines VPN-NAP-Clients wird während des Verbindungsaufbaus überprüft. Der Client wird nur dann in Quarantäne versetzt, wenn sein Status nicht mit den Richtlinien übereinstimmt. |
Weitere Informationen zur Netzwerkquarantäne finden Sie in der Cable Guy-Kolumne vom Februar 2003 (englischsprachig).
In der folgenden Tabelle werden die Komponenten der Netzwerkquarantäne mit den Komponenten der NAP-VPN-Quarantäne verglichen.
| Netzwerkquarantäne | NAP |
Verbindungsmanager-Profil | Kein Profil erforderlich. Auf dem NAP-Client über den VPN-QEC implementiert. |
Benachrichtigungskomponenten auf dem RAS-Client | Es sind keine Benachrichtigungskomponenten erforderlich. Der IAS-Server überprüft, ob der Client den Richtlinien entspricht. |
Skript | Kein Skript erforderlich. Der IAS-Server überprüft, ob der Client den Richtlinien entspricht. |
Routing und RAS-Dienst | Routing und RAS-Dienst mit dem VPN-QES |
Listener-Komponenten auf dem RAS-Server | Keine Listener-Komponenten erforderlich, da keine Benachrichtigung übertragen wird. |
Zusätzliche Informationen
| • | Network Access Protection Technology (englischsprachig) |
| • | Network Access Protection Platform Architecture (englischsprachig) |
| • | Network Access Quarantine Control in Windows Server 2003 (englischsprachig) |