Baza wiedzy TechNet > Centrum rozwiązań

Architektura platformy Network Access Protection

Opublikowano: 6 listopada 2007
Windows Server 2008
Przeczytaj także:

Konsola Server Manager

Bezpieczeństwo w systemie Windows Server 2008 - przegląd

Zawartość strony
WstępWstęp
Architektura Network Access ProtectionArchitektura Network Access Protection

Wstęp

Network Access Protection (NAP) systemu Windows Server 2008 to nowy zestaw komponentów systemu operacyjnego, tworzących platformę weryfikowania kondycji komputerów, które próbują uzyskać dostęp do sieci prywatnych lub komunikować się przez takie sieci. NAP udostępnia narzędzia służące do kontrolowania zgodności klientów sieciowych z wymogami bezpieczeństwa, obowiązującymi w danej sieci oraz narzędzia umożliwiające ograniczanie dostępu komputerów niespełniających tych wymogów do czasu, aż zostaną one spełnione.

Infrastruktura sieciowa platformy NAP realizuje następujące funkcje:

Weryfikacja kondycji - czyli zgodności komputerów, usiłujących nawiązać połączenie z wymogami bezpieczeństwa

Ograniczanie dostępu komputerów niespełniających wymogów bezpieczeństwa

Automatyczne korygowanie konfiguracji komputerów niezgodnych z wymogami bezpieczeństwa, w celu doprowadzenia ich do stanu zgodności

Bieżące utrzymywanie komputerów w stanie zgodności z ewoluującymi wymogami bezpieczeństwa.

NAP udostępnia mechanizmy wymuszania zgodności z wymogami bezpieczeństwa komputerów, korzystających z protokołu IPsec (Internet Protocol security), uwierzytelniania w punktach dostępu IEEE 802.1X, wirtualnych sieci prywatnych VPN, bądź z protokołu DHCP (Dynamic Host Configuration Protocol). Architektura NAP przewiduje, że wszystkie jej funkcje (weryfikacja, ograniczanie dostępu, automatyczne korygowanie i bieżące utrzymywanie) mogą być realizowane nie tylko przez komponenty firmy Microsoft, lecz także przez niezależnych dostawców.

NAP wymaga serwerów z systemem operacyjnym Windows Server 2008 i komputerów klienckich z Windows Vista lub Windows Server 2008. Microsoft pracuje nad stosowną aktualizacją dla klientów z system Windows® XP z SP2.

Do początku stronyDo początku strony

Architektura Network Access Protection

Na rys. 1 pokazano przykładową sieć zabezpieczoną platformą Network Access Protection.

Przykładowa sieć z wdrożoną platformą Network Access Protection

Rys.1. Przykładowa sieć z wdrożoną platformą Network Access Protection.

W skład infrastruktury sieciowej, zabezpieczonej przez NAP wchodzą następujące składniki:

Klienci NAP: komputery obsługujące platformę NAP, zapewniającą ochronę podczas komunikacji z wykorzystaniem protokołu IPsec, uwierzytelniania IEEE 802.1X, prywatnych kanałów VPN lub adresacji DHCP.

Serwery NAP: komputery z systemem operacyjnym Windows Server 2008, wykorzystujące zasady bezpieczeństwa kontrolowane przez serwer NPS (Network Policy Server) w celu zweryfikowania kondycji klientów NAP i określenia, czy ich stan pozwala udzielić dostępu do sieci/zezwolić na komunikowanie się przez sieć, bądź korygujące brak zgodności klientów z wymogami bezpieczeństwa, obowiązującymi w danej sieci. Przykłady serwerów NAP:

Serwer certyfikatów kondycji (Health Certificate Server): połączenie rejestrowania kondycji tj. komputera pracującego w systemie Windows Server 2008 z uruchomionym serwerem IIS oraz urzędu certyfikacji (CA) . HCS wystawia certyfikaty kondycji klientom NAP, spełniającym aktualne wymogi bezpieczeństwa.

Serwer VPN: uruchomiony na komputerze działającym w systemie operacyjnym Windows Server 2008, umożliwiającym na dostęp z Internetu, przez prywatną sieć wirtualną VPN do intranetu.

Serwer DHCP: automatycznie przydzielający adresy IP.

Serwer zasad bezpieczeństwa(Network Policy Server): serwer NPS sprawdza, czy dany klient spełnia wymogi bezpieczeństwa, warunkujące udzielenie mu dostępu do sieci. Sewer NPS zastępuje usługi Internet Authentication Service (IAS) znane z Windows Server 2003. NPS może być instalowa¬ny jednocześnie z serwerami HCS, VPN czy DHCP, choć – jak pokazane zostało na rys.1 – najczęściej jest on urucha¬mia¬ny na oddzielnej maszynie w celu zapewnienia centralnej obsługi innych serwerów NAP.

Serwery bezpieczeństwa: komputery informujące serwery NPS o aktualnym stanie zabezpieczeń w systemie.

Usługi katalogowe Active Directory®: usługi systemu operacyjnego Windows, przechowujące między innymi dane uwierzytelniające dla połączeń VPN i 802.1X, jak również ustawienia grupowe komunikacji przez protokół IPsec.

Sieć z ograniczeniami: oddzielona logicznie lub fizycznie część sieci, w której znajdują się:

Serwery korygujące: komputery wyposażone w zasoby konieczne do doprowadzania klientów NAP do stanu zgodności z wymogami bezpieczeństwa (wymagane aktualizacje, ustawienia konfiguracyjne, aplikacje); na przykład są to serwery sygnatur oprogramowania antywirusowego czy serwery łat aktualizujących oprogramowanie.

Klienci NAP o ograniczonym dostępie do sieci: komputery niespełniające wymogów bezpieczeństwa danej sieci, dopuszczone tylko do jej danego.

W sieciach zabezpieczonych przez NAP można wyróżnić następujące interakcje komputerów:

Klient NAP – serwer HCS

Sesje komunikacji między klientami NAP a serwerami HCS, wykorzystują bezpieczny protokół HTTPS (HyperText Transfer Protocol over Secure Sockets Layer). Klient przekazuje swój aktualny stan, żądając wydania certyfikatu dotyczącego jego kondycji. Klientom spełniającym aktualne wymogi bezpieczeństwa serwer HCS wysyła taki certyfikat, natomiast wszelkim innym – stosowne instrukcje dotyczące skorygowania bieżącego stanu w celu doprowadzenia do zgodności.

Klient NAP – punkt dostępu 802.1X

Klient NAP, łączący się przez punkt dostępu 802.1X (może to być przełącznik Ethernetowy lub punkt bezprzewodowego dostępu do sieci) wysyła komunikat PEAP (Protected Extensible Authentication Protocol) przez EAP w sieci LAN w celu uwierzytelnienia oraz przekazania aktualnego stanu kondycji do serwera NPS. Na podstawie tego komunikatu NPS odsyła klientom niespełniającym wymogów bezpieczeństwa instrukcje korygujące, zaś klientom zgodnym udziela prawa nieograniczonego dostępu do intranetu. Komunikaty PEAP, wymieniane między klientami 802.1X i serwerem NPS są przekazywane przez punkt dostępu 802.1X.

Klient NAP – serwer VPN

Klient NAP, łączący się za pomocą VPN wysyła komunikaty PPP (Point-to-Point Protocol), aby zestawić kanał łączności VPN. Przez nawiązany kanał PPP klient dostarcza komunikat PEAP w celu przekazania informacji na temat bieżącego stanu kondycji do serwera NPS. Na podstawie tego komunikatu NPS przesyła klientom niespełniającym aktualnych wymogów bezpieczeństwa instrukcje korygujące, zaś klientom zgodnym udziela prawa nieograniczonego dostępu do intranetu. Komunikaty PEAP wymieniane między klientami VPN i serwerem NPS są przekazywane przez serwer VPN.

Klient NAP – serwer DHCP

Klient NAP działający, jako klient DHCP wysyła komunikat DHCP, aby z serwera DHCP uzyskać ważny adres IPv4 oraz przekazać informację o aktualnym stanie kondycji do serwera NPS. Na podstawie komunikatu, NPS odsyła klientom niespełniającym wymogów bezpieczeństwa instrukcje korygujące oraz przydziela im adresy pozwalające uzyskać dostęp jedynie do fragmentu sieci z ograniczeniami, zaś klientom zgodnym przydziela adresy, dzięki którym mogą uzyskać nieograniczony dostęp do intranetu.

Klient NAP – serwery korygujące

Nawet klienci NAP o nieograniczonym dostępie do intranetu okresowo łączą się z serwerami korygującymi w celu zweryfikowania, czy pozostają w zgodzie z aktualnymi wymogami bezpieczeństwa, np. z serwerem oprogramowania antywirusowego łączą się po to, aby zbadać, czy nie pojawił się nowy plik sygnatur wirusów, a z serwerem aktualizacji (takim, jak Windows Update Services) – aby sprawdzić, czy w systemie operacyjnym zainstalowano najnowsze poprawki.

Klienci NAP dopuszczone do fragmentu intranetu z ograniczeniami, łączą się z dostępnymi dla nich serwerami korygującymi, aby w oparciu o instrukcje otrzymane z serwera NPS doprowadzić bieżący stan kondycji do zgodności z wymogami bezpieczeństwa. Przykładowo, jeśli w fazie weryfikacji serwer NPS ustali, że dany klient NAP nie dysponuje najnowszym plikiem sygnatur wirusów, wyśle klientowi instrukcje, z którego z serwerów korygujących taki plik ma zostać pobrany.

Serwer HCS – serwer NPS

Serwer HCS przekazuje do serwera NPS komunikat RADIUS (Remote Authentication Dial-In User Service) określający stan kondycji danego klienta NAP. Serwer NPS odsyła wspomniany komunikat, wskazując na jedną z dwóch poniższych możliwości:

Klient NAP spełnia wymogi bezpieczeństwa i w związku z tym może otrzymać nieograniczony dostęp do intranetu. Na podstawie takiej odpowiedzi serwer HCS wystawi klientowi NAP certyfikat kondycji.

Klient NAP nie spełnia wymogów bezpieczeństwa i dopóki nie skoryguje aktualnego stanu kondycji, może otrzymać dostęp tylko do fragmentu intranetu. Po otrzymaniu takiej odpowiedzi serwer HCS nie wystawi danemu klientowi NAP certyfikatu kondycji.

Punkt dostępu 802.1X – serwer NPS

Punkt dostępu 802.1X wysyła do serwera NPS komunikat RADIUS przekazując komunikat PEAP od klienta NAP. Serwer NPS odsyła komunikat RADIUS wskazujący na jedną z poniższych możliwości:

Klient spełnia wymogi bezpieczeństwa i w związku z tym może otrzymać nieograniczony dostęp do Intranetu.

Klient nie spełnia wymogów bezpieczeństwa i dopóki nie skoryguje poziomu kondycji, punkt dostępu 802.1X powinien przydzielić mu profil zezwalający na dostęp jedynie do fragmentu intranetu; profil taki może zawierać odpowiedni zestaw filtrujący pakiety IP przekazywane przez danego klienta albo identyfikator sieci wirtualnej obejmującej jedynie fragment sieci.

Na podstawie otrzymanego komunikatu RADIUS, punkt dostępu 802.1X odsyła klientowi NAP stosowny komunikat PEAP.

Serwer VPN – serwer NPS

Serwer VPN nadaje do NPS komunikat RADIUS przekazujący komunikat PEAP otrzymany od klienta NAP. Serwer NPS odsyła RADIUS wskazując na jedną z poniższych możliwości:

Klient spełnia wymogi bezpieczeństwa i w związku z tym może otrzymać nieograniczony dostęp do intranetu.

Klient nie spełnia wymogów bezpieczeństwa i dopóki nie skoryguje bieżącego stanu kondycji, serwer VPN powinien udzielić mu dostępu jedynie do fragmentu sieci z ograniczeniami.

Na podstawie otrzymanego komunikatu RADIUS serwer VPN przesyła klientowi NAP stosowny komunikat PEAP.

Serwer DHCP – serwer NPS

Serwer DHCP wysyła do NPS komunikat RADIUS, informujący o bieżącym stanie kondycji klienta. Serwer NPS przekazuje komunikat RADIUS, podając jedną z dwóch poniższych możliwości:

Klient spełnia wymogi bezpieczeństwa i w związku z tym może otrzymać nieograniczony dostęp do intranetu.

Klient nie spełnia wymogów bezpieczeństwa i dopóki nie skoryguje bieżącego poziomu kondycji, serwer DHCP powinien udzielić mu dostępu jedynie do fragmentu Intranetu z ograniczeniami.

Serwer NPS – serwery bezpieczeństwa

Realizując funkcję weryfikacji kondycji określonego klienta NAP, serwer NPS musi kontaktować się z serwerami bezpieczeństwa, aby otrzymać informacje o aktualnie obowiązujących wymogach bezpieczeństwa. Na przykład NPS może kontaktować się z serwerem oprogramowania antywirusowego w celu zweryfikowania, czy plik sygnatur wirusów zainstalowano w kontrolowanym kliencie w najnowszej (obowiązującej) wersji albo połączyć się z serwerem aktualizacji systemu operacyjnego w celu sprawdzenia, czy wszystkie wymagane aktualizacje zostały zainstalowane.

Powyższe interakcje zostały zilustrowane na rys. 2.

Interakcje pomiędzy komponentami platformy NAP

Rys. 2. Interakcje pomiędzy komponentami platformy NAP.


Do początku stronyDo początku strony