Windows Server 2008 Ve Network Access Protection (Nap)

Windows Server 2008 ve Network Access Protection (NAP)
Windows Server 2008 ve Network Access Protection (NAP)






NAP (Network Access Protection), Windows Server 2008 ve Windows Vista içinde yerleşik olan bir ağ güvenliği/sağlığı denetleme altyapısıdır Windows XP için Service Pack 3 yayınlandığı zaman, bu işletim sistemi de NAP ile uyumlu hale gelecek
NAP kısa bir tanımlama ile, ağınıza dahil olacak bilgisayarların, sizin belirlemiş olduğunuz belirli PC sağlığı kurallarına uyumlu olup olmadığını denetleyen ve elde edeceği sonuca göre bu PC’lerin ağa erişimini engelleyebilen, kısıtlayabilen veya sadece size bilgi vermek amacıyla günlüklere bilgi işleyen bir güvenlik altyapısıdır Buna göre, ağa bağlanacak olan PC’lerin sağlık durumlarını şu noktalarda denetleyebilirsiniz:
- Bir anti-virüs programının yüklü ve çalışıyor olması
- Anti-virüs programının kullandığı virüs tanımlamalarının güncel olması
- Bir anti-casus (anti-spyware) yazılımının yüklü ve çalışıyor olması
- Anti-casus yazılımına ait tanımlama dosyalarının güncel olması
- PC’de bir güvenlik duvarının etkin olması
- Windows Automatic Updates’in etknleştirilmiş olması
Bu denetim noktalarından birini veya tamamını denetlemek ve sonuçlara göre istemcinin ağa bağlanmasına izin verip vermemek sistem yöneticisi olarak size düşecektir Ayrıca, güvenlik uygulamaları geliştiricileri (örneğin Symantec, Cisco gibi firmalar) denetim mekanizmalarını kendi istedikleri biçimde geliştirebilecekler
NAP uygulama senaryolarına göz atacak olursak, temelde 5 farklı yöntemle karşılaşmaktayız
- NAP DHCP uygulaması
- NAP VPN uygulaması
- NAP 8021x uygulaması
- NAP IPSec uygulaması
- NAP TSG (Terminal Services Gateway) uygulaması
Bu NAP uygulamaları, işleyiş ve yapılandırma açılarından aralarında bazı farklılıklar gösterebilmektedir Örneğin domain isolation uygulamaktaysanız, NAP IPSec en güvenilir yöntem olurken, kullanıcılara admin hakları verilen ortamlarda NAP DHCP en güvensiz uygulama olabilmektedir, zira kullanıcıların statik IP belirleme imkanları bulunacaktır

NAP Bileşenleri

Sunucu Tarafı
NAP’ı kullanabilmek için, NPS (Network Policy Server) yapılandırmasına sahip bir Windows Server 2008 makinesi kullanılır NPS, Windows Server’ın eski sürümlerinden bulunan IAS’in (Internet Authentication Service) yerini alan bileşendir Ancak uygulama yönteminize göre gerekli olabilecek diğer sunucular (örneğin AD dizin hizmeti sunucusu, Enterprise CA sunucusu vb) Windows Server 2003 çalıştıran makineler olabilir Windows Server 2008’de NAP bileşenleri şunlardır:
- NPS (Network Policy Server), ağ erişimi kimlik doğrulama ve yetkilendirme hizmeti katmanı Önceki sürüm Windows Server işletim sistemlerinde bulunan IAS’in yerini almıştır
- SHV (System Health Validator), istemcilerde bulunan SHA’lara karşılık gelen ve sistem sağlık durumunu değerlendirmeye alan katmandır Güvenlik uygulamaları geliştiricileri kendi SHV’lerini yaratabileceklerdir
- ES (Enforcement Server), istemci PC’lerde bulunan ve istemcilerin sağlık durumlarına göre ağa sınırsız veya sınırlı erişim verilmesine yardımcı olan EC’nin (Enforcement Client), Server 2008 tarafındaki karşılığı olan bileşendir
- QS (Quarantine Server), NPS çalışan sunucudaki SHV’ler ile NAP hizmeti çalıştıran sunucudaki ES’ler arasındaki bir aracı bileşendir
- HRA (Health Registration Authority), Windows Server 2008 NPS’in bir alt bileşeni olan HRA, Enterprise CA (PKI) yapılandırmasında sertifika sunucusundan istemci PC’ler adına X509 sağlık sertifikası talebinde bulunur ve bunları istemci PC’nin sağlık durumuna göre istemcilere iletir
- Web Server – IIS 70, NAP uygulama yöntemi olarak IPSec seçilmesi durumunda IIS’in (Internet Information Services) kurulu olması gerekir HRA, http üzerinden sertifika taleplerini değerlendirecektir Add Roles / Features ile kurulum yapılmasının ardından, IIS 70 üzerinde NAP için varsayılan bir yapı oluşturulur (http://sunucuadıdomain/domainhra/hcsrvextdll veya etki alanı üyeliği olmayan durumlarda http://sunucuadıdomain/nondomainhra/hcsrvextdll)

İstemci Tarafı
Windows Vista, NAP istemci bileşenlerine tümleşik olarak sahiptir, Windows XP için Service Pack 3’le birlikte (çıkış tarihi yaklaşık olarak Şubat 2008 olacak) bu bileşenler sağlanacaktır
- SHA (System Health Agent), PC sağlığı denetiminde kullanılan kriterlerde denetlemeyi yapan aracılardır Sonuçları SoH (Statement of Health) bilgileri biçiminde oluştururlar Bu bileşenlerin sunucu tarafındaki karşılıkları SHV’lerdir
- QA (Quarantine Agent), SHA’lar tarafından oluşturulan SoH bilgilerini alıp EC’ye ileten aracıdır Bu aracının çalışabilmesi için Windows Vista PC’lerde NAP Agent hizmetinin başlatılması gerekir
- EC (Enforcement Client), ağda uygulanmak istenen NAP yönteminin istemci PC’lerde etkinleştirilmesi gerekir Seçilen yönteme göre NAP uygulamasını gerçekleştirir ve istemcinin ağa erişimi denetler Bu bileşenlerin çalışabilmesi için bir NAP enforcement yöntemi seçilmesi gereklidir (napclcfgmsc konsoluyla gerçekleştirilebilir)

NAP Nasıl Çalışır?

5 farklı NAP uygulama yöntemi bulunduğundan bahsetmiştim, bu yöntemler yapılandırılmaları ve uygulanmaları açısından bazı farklılıklar göstermektedir Örneğin en güvenilir NAP yöntemi olarak IPSec karşımıza çıkarken, NAP TSG yönteminin Auto Remediation (sağlık durumu uygun olmayan istemci PC’nin otomatik olarak uygun hale getirilmeye çalışılması) desteği bulunmamaktadır NAP ile ilgili daha detaylı bilgiler ve uygulama senaryoları için şu adresleri ziyaret edebiliriniz;

wwwmicrosoftcom/nap
veya
http://technetmicrosoftcom/en-us/network/bb545879aspx