• ×

    • Поддерживает nap. NAP - добавочная функция. Основы защиты доступа к сети

    11.04.2019
    Компанией Microsoft для своих систем была разработана технология сетевой защиты Network Access Protection (MS-NAP). Она предназначенная для ограничения сетевого доступа по принципу соответствия установленным требованиям безопасности, главное из которых - наличие сервис-пака и последних заплаток-хотфиксов.

    В MS-NAP отсутствует механизм защиты от проникновения злоумышленников, однако при помощи этой технологии можно обезопасить работу в сети отдельных машин.

    В чём преимущества технологии Network Access Protection?

    Грубо говоря, главной целью NAP является предотвращение подключения к сети клиентских систем с устаревшей конфигурацией (например тех, где установлены старые версии служебных пакетов дополнений, антивирусного ПО и др). NAP также чрезвычайно полезна для мобильных систем. Представьте владельца ноутбука, который работает дома и подключается к корпоративной сети, будучи вне офиса; если это противоречит политике безопасности компании, NAP сможет запретить доступ для данного компьютера.

    NAP необходима в тех случаях, когда сотрудники фирмы входят в сеть со своих домашних ПК. Обычно организации запрещают доступ в сеть таким машинам, но встречаются исключения. В подобных ситуациях NAP необходима как воздух, поскольку без неё администратор не может даже проверить, имеется ли на компьютере последние версии служебных пакетов и хотфиксов.

    NAP можно использовать для проверки состояния стандартных настольных систем (и других серверов Windows Server 2008) на предмет предоставления сетевого доступа. Такой подход помогает защитить от проблем, которые могут возникнуть, если машину, долгое время работавшую автономно (вследствие чего она стала более уязвимой), подключили к сети. По сути, это сулит те же неприятности, что и в описанной выше ситуации с ноутбуком.

    Настройка MS-NAP

    MS-NAP можно настроить при помощи Windows Server 2008 для сервера и Windows Vista, Windows Server 2008, Windows XP с третьим пакетом обновлений для поддерживаемых клиентов. Третий сервис-пак для Windows XP пока что не вышел в свет (находится на стадии бета-тестирования), но известно, что в нём будет представлен модуль NAP для этой операционной системы.

    Инструментарий MS-NAP использует роли объектов сети для осуществления политики администрирования и безопасности, хранения данных о системных требованиях для клиентских машин, их проверки на соответствия данным требованиям, автоматического предоставления необходимых дополнений и исправлений, а также временной изоляции несоответствующих требованиям устройств - всё это, согласно выбранным настройкам. Для устройств с выявленными недостатками предусмотрена специальная карантинная зона (коррекционная сеть), где осуществляется нужная настройка конфигурации, после которой они могут быть снова использованы для дальнейшей работы в корпоративной сети. На рисунке A показана обычная схема работы MS-NAP и её ролевых объектов.

    Рисунок A. MS-NAP использует различные ролевые объекты.

    Microsoft давно выпускает продукты для серверов, способные осуществлять функции маршрутизации и управления службами DNS, DHCP, WINS; MS-NAP не является исключением. Хотя не всем IT-специалистам на предприятиях понадобятся предоставляемые сетевым оборудованием службы, технология MS-NAP позволяет использовать ролевые объекты сервера Windows для идентификации и управления системами безопасности. MS-NAP использует традиционное сетевое оборудование, поэтому данная технология не может считаться 100%-м продуктом Microsoft.

    Механизм работы MS-NAP

    Суть MS-NAP довольно ясна. Непонятно только как всё это работает. Для осуществления защиты сети MS-NAP использует ролевые объекты сервера в сочетании с комбинациями коммуникационных каналов. Рассмотрим подробнее поток трафика MS-NAP. Для сервера используются следующие компоненты MS-NAP:

    Полномочия реестра безопасности (Health Registry Authority, HRA): Этот компьютер Windows Server 2008, которому назначена роль интернет-сервера IIS, получает необходимые сертификаты безопасности из соответствующих центров.
    Сервер политики безопасности NAP (NAP Health Policy Server, NPS): Этот компьютер Windows Server 2008 с присвоенной ролью NPS содержит требования по политике безопасности и выполняет проверку на соответствие данным требованиям.
    Коррекционный сервер (Remediation Server): Здесь расположены ресурсы для устранения неисправностей клиентов NAP, не прошедших проверку на соответствие. Например, последние версии антивирусного ПО и прочих приложений.
    Сервер требований по безопасности (Health Requirement Server): Этот ролевой объект снабжает сервера MS-NAP необходимыми компонентами, обеспечивающими текущий уровень безопасности.
    Клиент NAP (NAP client): Компьютер с ОС Windows XP SP3 или Vista, на который направлена деятельность MS-NAP.
    Сервер VPN (VPN server): Роль сервера может исполнять уже существующая система, однако нужно иметь в виду, что это точка доступа во внешнюю сеть (которая не ограничивается только интернетом).
    Сетевое оборудование: Коммутаторы или точки беспроводного доступа WAP, поддерживающие протокол идентификации IEEE 802.1X.
    Сервер DHCP (DHCP server): Сервер DHCP при помощи протокола RADIUS передаёт данные об уровне безопасности клиента NPS серверу политики безопасности. Это ключевой компонент MS-NAP. Если система прошла проверку, ей предоставляется неограниченный доступ в сеть, в противном случае она попадает в карантинную сеть для корректировки конфигурации.

    Варианты использования MS-NAP

    После того, как мы рассмотрели принцип работы MS-NAP, давайте разберёмся, какие выгоды от применения этой технологии могут получить пользователи обыкновенных сетей. Безопасность стоит на первом месте в политике любой организации, следовательно, функции защиты каждого программного продукта должны быть предусмотрены ещё на самых ранних стадиях разработки. Технология MS-NAP способна запретить доступ в сеть незащищённым системам и отдельным пользователям. В среде Windows имеется один из лучших инструментов по управлению системами - домен Активной директории (Active Directory, AD).

    При помощи AD IT-профессионалы могут осуществлять управление большим количеством элементов систем и использовать дополнительные пакеты администрирования, например Systems Management Server (SMS), а также настраивать политику обновлений для Windows и защиты от вирусов. MS-NAP может помочь там, где не работают обычные стратегии администрирования.

    Представьте ситуацию, когда поставщику или другому деловому партнёру понадобилось подключиться к ресурсу корпоративной сети. Подключение может осуществляться с машин, присоединённых к другому домену или к сети с иным механизмом управления, то есть недоступных для контроля администратором. Наконец эти компьютеры могут принадлежать другой среде Активных директорий, а это значит, что у администратора, после того как эти машины подключаться к сети, не будет необходимых ресурсов для корректировки необходимых настроек. Технология MS-NAP исправит нужные параметры удалённой системы, прежде чем она получит доступ к сети.

    Вопросы обновления и настройки конфигурации систем из других организаций - тема отдельного разговора, менее важная, чем вопрос о предоставлении им прямого доступа к корпоративной сети. Но в случае подобной необходимости MS-NAP принудит удалённую систему принять правила сетевой политики перед тем, как предоставить ей возможность подключения. Это помогает преодолеть расхождение в стандартах, принятых организацией и группами разработчиков компьютерного оборудования.

    Главной задачей MS-NAP является профилактика рисков, возникающих при подключении удалённых пользователей, которые выходят в сеть с домашних компьютеров и ноутбуков. Самый большой риск возникает при входе в сеть пользователей, которые почти не заботятся о безопасности своих систем. MS-NAP позволяет осуществлять управление конфигурацией всех удалённых систем, включая те, что редко подключаются к сети (из-за чего не происходит своевременное обновление конфигурации параметров безопасности). Клиент MS-NAP не обязан иметь учётную запись в домене Активной директории организации. К тому же при помощи AD можно осуществлять непосредственное управление идентификацией.

    Ресурсы Microsoft для MS-NAP

    В интернете представлена информация о разработке и пробной версии этого инструментария для бета-версий систем Windows Server 2008. Компания Microsoft в свою очередь представила на своём сайте .

    Межплатформенная поддержка NAP

    Технология MS-NAP работает на основе широко распространённого сетевого протокола идентификации IEEE 802.1X, что обеспечивает совместимость NAP с операционными системами Windows Server 2008, Vista, XP и различными видами устройств. В целом, IEEE 802.1X при помощи стандартного протокола RADIUS позволяет осуществлять безопасный доступ к беспроводным сетям и сетям Ethernet.

    Главное достоинство этого протокола заключается в том, что серверу идентификации не нужно присваивать роль узла базы данных. Это значит, что поддерживающее IEEE 802.1X сетевое оборудование может подавать запросы на ролевые объекты MS-NAP. Таким образом, технология MS-NAP позволяет осуществлять централизованное управление процессами авторизации и идентификации, а также вести учётные записи в соответствии с заданными параметрами безопасности. В настоящее время этот протокол, разработанный совместными усилиями инженеров HP, Microsoft, Cisco, Trapeze networks и Enterasys, поддерживается большинством производителей сетевого оборудования.

    Материалы

    Как вы, скорее всего, заметили, в последнее время большинство моих статей посвящается технологии групповой политики, которую, по моему мнению, необходимо знать и понимать, так как именно благодаря этой технологии вы можете оградить пользователей, компьютеры и сеть своей компании от многих бед. Групповые политики тесно связаны практически с каждыми технологиями, которые можно разворачивать в организации. Но в любом случае, даже если вы будете использовать сценарии с каждым параметром групповой политики, парк компьютеров вашей организации все еще будет уязвим по многим причинам.

    Практически в каждой организации, одной из основных задач системного администратора, а иногда и отдельного администратора по безопасности, связанной с обслуживанием парка компьютеров является обеспечение безопасности. В организациях чаще всего для обеспечения безопасности внедряют следующие решения:

    • Установка антивирусного программного обеспечения на клиентские компьютеры, файловые и почтовые сервера, а также консоли управления антивирусным программным обеспечением на выделенном сервере. К ключевым продуктам для бизнеса по обеспечению антивирусной безопасности можно отнести продукты Microsoft ForeFront, Kaspersky Enterprise Space Security, а также Symantec Endpoint Protection;
    • Настройка брандмауэров на рабочих станциях и серверах в организации. Например, брандмауэр Windows в режиме повышенной безопасности позволяет фильтровать входящий и исходящий трафик, используя настраиваемые правила для определения законных и небезопасных коммуникаций;
    • Развертывание межсетевых экранов в демилитаризованных зонах, которые могут быть комплексными решениями для обеспечения безопасности в сети, позволяющие защитить внутреннюю сеть организации от угроз из Интернета. Например, межсетевой экран Microsoft Forefront Threat Management Gateway 2010 предлагает единый простой способ обеспечения безопасности периметра благодаря интегрированному межсетевому экрану, VPN, предотвращению вторжений, проверке наличия вредоносных программ и фильтрации URL-адресов.
    • Обеспечение безопасности обмена данных между компьютерами при помощи протокола IPSec, который чаще всего применяется для защиты трафика через Интернет при использовании виртуальных частных сетей;
    • Настройка политики безопасности групповой политики. К таким политикам можно отнести политики паролей и блокировки учетных записей, политики открытого ключа, политики ограниченного использования программ и многое другое;
    • Использование шифрования дисков, позволяющее защитить данные, расположенные на клиентских компьютерах в том случае, если пользовательский компьютер украден или во избежание раскрытия данных, находившихся на потерянных, украденных или неправильно списанных персональных компьютерах.

    Как видите, не существует единого комплексного решения, позволяющего полностью защитить всех ваших пользователей от различных ситуаций и атак и, разумеется, перечисленный выше список решений не является окончательным. Но при помощи всех указанных выше решений обеспечения безопасности вы сможете лишь защитить сеть своей организации от атак злоумышленниками извне, то есть из сети Интернет. Также вы можете защитить свою интрасеть от человеческого фактора, так как при правильном использовании функционала групповой политики можно ограничить пользователей от выполнения многих действий, а также от внесения большинства изменений в систему. Но не стоит исключать возможность, когда сотрудники вашей компании разъезжают по командировкам. Будучи на вокзале, в аэропорту, интернет кафе или в партнерской организации, ваш пользователь мог подключать свой ноутбук к сети Интернет или к внутренней сети другой компании. А так как в расположении, где пользователь подключался к сети Интернет, могут быть не соблюдены требования безопасности, ноутбук вашего сотрудника может быть заражен и по возвращении в свой офис, вирус, расположенный на ноутбуке приехавшего сотрудника может начать распространяться на уязвимые компьютеры. Описанный выше сценарий является наиболее распространяемым и во избежание подобных ситуаций, в операционной системе Windows Server 2008 была анонсирована новая технология «Защита доступа к сети» . Эта технология содержит как клиентские, так и серверные компоненты, позволяющие создавать и применять определенные политики требований к работоспособности, определяющие характеристики конфигурации программного обеспечения и системы при подключении компьютеров к внутренней сети организации. Когда клиентские компьютеры подключаются к сети организации, их компьютеры должны соответствовать определенным требованиям состояния и если компьютер не соответствует таким требованиям (например, установка последних обновлений операционной системы), то они будут помещены в сетевой карантин, где смогут загрузить последние обновления, установить антивирусное обеспечение и выполнить другие требуемые действия. В этой вводной статье я вкратце расскажу о данной технологии.

    Технология защиты доступа к сети и методы принудительной защиты

    Как уже было упомянуто немного ранее, защита доступа к сети (Network Access Protection, NAP) является расширяемой платформой, предоставляющей определенную инфраструктуру. Защита доступа к сети требует выполнения полной проверки и оценивает работоспособность клиентских компьютеров, при этом ограничивая сетевой доступ для клиентских компьютеров, не соответствующих этим требованиям. В защите доступа к сети применяются политики работоспособности, проверяющие и оценивающие клиентские компьютеры, приводя их в соответствие политике работоспособности до предоставления им полного доступа к сети. Несмотря на то, что технология защиты доступа к сети обеспечивает богатый функционал, такие компоненты как проверка состояния работоспособности компьютера, создание отчетов о работоспособности, сравнение показателей работоспособности клиентского компьютера с параметрами политики работоспособности, а также настройка параметров клиентского компьютера в соответствие с требованиями политики работоспособности осуществляются другими компонентами, которые называются агентами работоспособности системы и средствами проверки работоспособности системы. Агенты работоспособности по умолчанию включены как компоненты системы в операционных системах, начиная с Windows Vista и Windows Server 2008. Но для интеграции защиты доступа к сети, разработчики стороннего программного обеспечения также могут использовать набор API для написания своих собственных агентов работоспособности. Стоит обратить внимание на то, что защита доступа к сети предоставляет двухстороннюю защиту клиентских компьютеров и внутренней сети организации, обеспечивая соответствие подключающихся к сети компьютеров действующих в организации требованиям политики сети, а также политики работоспособности клиента.

    Сами по себе политики работоспособности применяются с использованием компонентов клиентской стороны, которые уже проверяют и оценивают работоспособность, согласно которым ограничивается доступ к сети для несоответствующих клиентских компьютеров, а также одновременно компонентов клиентской и серверной стороны, обеспечивающих обновление несоответствующих клиентских компьютеров для предоставления им полного доступа к сети. А работоспособность задается в виде сведений о клиентском компьютере, которые используются защитой доступа к сети для определения возможности доступа данного клиента к внутренней сети организации. К примерам характеристик, которые проверяются при оценке состояния работоспособности состояния конфигурации клиентского компьютера, по сравнению с состоянием, необходимым в соответствии с политикой работоспособности можно отнести статус установки обновлений операционной системы и обновлений сигнатур антивирусного программного обеспечения, установку обновлений антишпионского программного обеспечения, работоспособность брандмауэра на клиентском компьютере и прочее. В том случае, если конфигурация клиентского компьютера не будет соответствовать необходимому состоянию, таким компьютерам или будет полностью запрещен доступ к сети организации, или им будет предоставлен доступ только к специальной сети карантина, где клиенту будут предоставлены обновления программного, антивирусного и антишпионского обеспечения.

    Когда клиентские компьютеры пытаются получить доступ к сети организации через такие серверы доступа к сети как VPN-серверы, к ним применяется принудительная защита доступа к сети. Способ применения такой принудительной защиты напрямую зависит от выбранного метода применения. Политики работоспособности защиты доступа к сети могут быть применены к следующим сетевым технологиям:

    • Протоколу DHCP . При использовании этого типа принудительной защиты используется серверная роль DHCP, установленная на компьютере под Windows Server 2008, обеспечивающая автоматическое предоставление IP-адресов клиентским компьютерам. Если для этого типа включена защита NAP, то IP-адреса, предоставляющие сетевой доступ могут получить лишь компьютеры, которые полностью соответствуют требованиям безопасности, а все остальные компьютеры будут получать адреса в подсети 255.255.255.255 без основного шлюза. Несмотря на то, что клиенты не могут получить доступ к сети организации, они будут обеспечены маршрутами узла, направляющих трафик на сетевые ресурсы в группе восстановления работоспособности, где они смогут установить все необходимые обновления безопасности;
    • Безопасным подключениям IPSec . Этот метод включения принудительной защиты развертывается для того, чтобы клиенты проверяли актуальность защиты системы перед получением сертификата работоспособности. В свою очередь, сервер сертификации выдает клиентам NAP сертификат X.509 для проверки подлинности, который необходим для обеспечения безопасности IPSec перед подключением клиентов к сети, когда они обмениваются данными по протоколу IPsec с другими клиентами организации. При использовании текущего метода вместе с поддержкой защиты доступа к сети вам предстоит еще развернуть сервер сертификации;
    • Проводным и беспроводным сетям IEEE 802.1X . Метод принудительной защиты на основании проводных или беспроводных сетей IEEE 802.1X реализуется совместно с точками беспроводного доступа или коммутаторами Ethernet с поддержкой проверки подлинности 802.1X. При этой реализации сервер NAP дает коммутатору проверки подлинности 802.1X или точке беспроводного доступа 802.1X команду перемещать несоответствующих требованиям клиентов в зону карантина или вообще не подключать к сети организации. Текущий метод защиты обеспечивает гарантии соответствия требованиям системы безопасности для компьютеров, которые могут находиться в сети продолжительное время;
    • VPN-серверам и подключениям . Применение данного метода принудительной защиты предназначается для работы с виртуальными частными сетями и предусматривает развертывание VPN-сервера Windows Server 2008 и компонента «Маршрутизация и удаленный доступ» . Соответственно, при использовании NAP, клиенты, подключающиеся к виртуальной частной сети должны проходить проверку работоспособности, и неограниченный сетевой доступ будут получать лишь те клиентские компьютеры, которые соответствуют требованиям системы безопасности;
    • Шлюзу удаленных рабочих столов . Несмотря на то, что в большинстве случаев к серверам удаленных рабочих столов могут подключаться лишь определенные авторизированные пользователи, отслеживание состояния работоспособности клиентских компьютеров позволяет подключаться к серверам или удаленным рабочим столам только соответствующим требованиям безопасности компьютерам.

    Заключение

    В целом, как вы уже поняли, технология «Защита доступа к сети» обеспечивает дополнительную степень безопасности, предоставляющую допуск к ресурсам внутренней сети только тем компьютерам, которые соответствуют отведенным требованиям безопасности. Но не стоит забывать и о том, что, несмотря на обеспечение гарантии технологии защиты доступа к сети, ваши пользователи не смогут подключиться к внутренней сети без соответствия требований безопасности, работа NAP может не значительно препятствовать опытному хакеру, все равно подключиться к сети вашей организации. На этом первая статья из цикла статей по технологии защиты доступа к сети NAP подходит к концу. В следующих статьях данного цикла вы узнаете о развертывании технологии NAP, об устранении неполадок, связанных с это технологией, обо всех методах принудительной защиты, а также о многих других нюансах.

    В ИТ проблема уязвимости сети из-за подключения к ней сомнительных компьютеров давно перешла в разряд насущных. В связи с этим активно изучаются решения, способные физически укрепить политики безопасности компании. Управление сетевым доступом (NAC) было создано как раз для этих целей. NAC предоставляет платформу для разработки служб и функций, способных опросить компьютер перед подключением к безопасной внутренней сети и проверить его на соответствие заданным требованиям по надежности и безопасности.

    Корпорация Microsoft представила свою версию управления сетевым доступом посредством NAP , которая предоставляет службу проверки соответствия требованиям по работоспособности перед доступом в сеть. В состав NAP входят службы, компоненты и интерфейс программирования приложений (API), позволяющие гарантировать работоспособность серверов и сетей под управлением Windows Server 2012, а также клиентов под управлением Windows 8 и Windpws 7.

    Разберем подробно — что такое NAP?

    Защита доступа к сети (Network Access Protection, NAP ) - это платформа для проверки работоспособности компьютерных систем перед их допуском в защищенные сети. Она позволяет гарантировать, что перед каждой попыткой установить новое подключение к частной сети компьютер проходит «проверку».

    До появления NAP типичное подключение внешнего компьютера происходило путем создания клиентского подключения через общедоступную сеть, например Интернет, с использованием VPN-подключения.

    Подключение клиента сначала проходило через брандмауэр или пересылалось прокси с применением соответствующих портов, требуемых установленным протоколом безопасности. Далее служба проверки подлинности проверяла учетные данные клиента удаленного доступа.

    В случае успешной проверки подлинности учетных данных клиент подключался к той части безопасной сети, для которой ранее было установлено подключение.

    В таком сценарии есть серьезный изъян. Могут ли возникнуть проблемы, если клиент удаленного доступа, является тем, за кого он себя выдает, предоставляет все необходимые учетные данные, а в частной сети выполняет только разрешенные задачи?

    Да. Но допустим, что клиент удаленного доступа выполняет нестандартные запросы служб, операции по обнаружению или исследованию или - того хуже - установку злонамеренного ПО без ведома пользователей компьютера, на котором есть подключение удаленною доступа. Это и послужило одной из главных причин для реализации решения NAP .

    NAP снижает вероятность занесения в безопасную сеть вирусов мною путешествующими сотрудниками или гостями. Стандартный поток информации от компьютера, подключающегося к сети, модифицируется и проходит через сен» периметра, где им занимаются компоненты платформы NAP . Сама платформа теперь включает целую экосистему NAP, а при запросе на подключение внешнего клиента он теперь именуется «NAP-клиентом».

    В сети периметра остаются те же службы безопасности и устройства, что и раньше. Однако запрос на доступ NAP-клиента идет в обход для определения статуса работоспособности компонентами NAP. На рисунке ниже представлены различия между традиционным подключением удаленного доступа и подключением с использованием платформы NAP.

    На рисунке показаны не только компоненты NAP, включенные в поток передачи информации, но и то, что доступ NAP-клиента может быть ограничен внешней сетью, которая получает название карантинной и где дополнительные серверы обновляют клиента, приводя его в соответствие с требованиями к работоспособности.

    Полное решение NAP состоит из трех отдельных функций:

    1. проверка состояния работоспособности
    2. обеспечение соответствия политики работоспособности;
    3. ограничение доступа.

    Проверка состояния работоспособности.

    Проверка состояния работоспособности - это процесс проверки работоспособности компьютера и определение его совместимости. Если платформа NAP настроена на работу с карантинной сетью, доступ не соответствующего требованиям компьютера ограничивается только подсетью карантинной сети, пока тот не будет приведен в соответствие.

    Если на начальной стадии платформа NAP реализована только в виде ведения журнала на предмет несоответствий требованиям, степень соответствие компьютера требования по работоспособности записывается в журнал, и ему разрешается продолжить подключение в обычном режиме.

    Соответствие политики работоспособности.

    В целях отслеживания и, возможно, принудительного применения требований к работоспособности администраторы создают политики работоспособности. Политика работоспособности является основой решения NAP. Политики работоспособности в числе многих других факторов соответствия устанавливают уровень обновлений ПО. сборки ОС. проверки на вирусы и включенные параметры брандмауэра.

    Ограничение доступа в сеть.

    Когда компьютерные системы не соответствуют стандартам работоспособности, которые требуются для подключения к частной сети, администратор может разрешить подключение, но при этом занести информацию о несоответствии в журнал, либо перенаправить подключение в карантинную сеть для настройки и обновления всех не соответствующих политикам параметров компьютера. Такова функция ограниченного доступа в NAP.

    Если вам помогла статья или у вас остались вопросы — пожалуйста пишите в комментариях.

    Один из аспектов сетевой безопасности, который расстраивает многих администраторов, заключается в том, что у них нет контроля над конфигурацией удаленных компьютеров. Хотя корпоративная сеть может иметь очень безопасную конфигурацию, в настоящий момент ничто не может помешать удаленному пользователю подключиться к корпоративной сети с помощью компьютера, который заражен вирусами, или который не содержит необходимых обновлений. Инструмент операционной системы Longhorn Server под названием Network Access Protection (защита доступа к сети, NAP) позволит изменить такую ситуацию. В этой статье я расскажу вам об инструменте NAP и покажу, как он работает.

    Когда я работал сетевым администратором, одна из вещей, которая меня очень расстраивала, заключалась в том, что у меня был очень слабый контроль над удаленными пользователями. Согласно бизнес требованиям моей организации, у удаленных пользователей должна была существовать возможность подключения к корпоративной сети из любого места вне офиса. Проблема заключалась в том, что хотя я предпринимал экстремальные меры для защиты корпоративной сети, у меня не было абсолютно никакого контроля над компьютерами, который пользователи могли бы использовать для удаленного подключения к сети. В конце концов, домашний компьютер сотрудника не является собственностью компании.

    Причина, по которой это так сильно меня расстраивало, заключалась в том, что я никогда не знал, в каком состоянии находится компьютер пользователя. Иногда, удаленные пользователи могли подключаться к сети с помощью компьютера, который заражен вирусами. Иногда, компьютер удаленного пользователя мог работать на устаревшей версии операционной системы Windows. Хотя я предпринимал шаги по защите корпоративной сети, я всегда боялся, что удаленный пользователь с неадекватной защитой может инфицировать файлы в сети вирусом, или случайно открыть важную корпоративную информацию, потому что его компьютер может быть заражен трояном.

    Однако несколько лет назад появился луч надежды. Компания Microsoft подготовилась к выпуску операционной системы Windows Server 2003 R2, в которой велся разговор о новом инструменте под названием NAP. Чтобы немного сократить историю, расскажу лишь, что чтобы настроить безопасность сети с помощью более ранних версий этого инструмента, необходимо было иметь ученую степень в области компьютерной безопасности. И поэтому инструмент NAP был удален из окончательной версии R2.

    Компания Microsoft проделала большой объем работы по усовершенствованию инструмента NAP с того времени, и теперь инструмент NAP одним из основных инструментов для безопасности в операционной системе Longhorn Server. Хотя версия инструмента NAP для операционной систем Longhorn будет гораздо более простой в настройке, чем невышедшая версия для Windows Server 2003, она по-прежнему остается весьма сложной. Поэтому целью написания этой статьи было то, чтобы предоставить вам описание инструмента NAP, а также показать вам, как он работает еще до выхода официальной версии операционной системы Longhorn Server.

    Для начала

    Перед тем как я продолжу, я хочу объяснить еще одну вещь относительно инструмента NAP. Назначение инструмента NAP заключается в том, чтобы убедиться, что компьютер удаленного пользователя удовлетворяет требованиям безопасности вашей организации. NAP ничего не делает, чтобы предотвратить неавторизованный доступ к вашей сети. Если у злоумышленника есть компьютер, который удовлетворяет требованиям по безопасности вашей компании, то NAP ничего не сделает, чтобы попытаться остановить злоумышленника. Защита от злоумышленников, которые пытаются получить доступ к сетевым ресурсам – это задача других механизмов безопасности. NAP спроектирован для того, чтобы просто запретить вход в вашу сеть разрешенным пользователям, которые используют небезопасные компьютеры.

    Еще одну вещь, о которой я хочу упомянуть, перед тем как продолжить свой рассказ дальше, заключается в том, что инструмент NAP отличается от инструмента Network Access Quarantine Control, который присутствует в операционной системе Windows Server 2003. Инструмент Network Access Quarantine Control использует ограниченные политики для контроля удаленных компьютеров, но он подчиняется NAP.

    Основы защиты доступа к сети

    Инструмент NAP спроектирован, чтобы расширить корпоративный VPN. Процесс начинается, когда клиент устанавливает VPN сессию с сервером Longhorn, на котором запущена служба Routing and Remote Access (маршрутизация и удаленный доступ). После того, как пользователь устанавливает соединение, сервер сетевой политики проверяет состояние удаленной системы. Это обеспечивается путем сравнения конфигурации удаленного компьютера с политикой сетевого доступа, которая определена администратором. Что происходит дальше, зависит от того, что администратор прописал в этой политике.

    У администратора есть настройка для конфигурации либо политики мониторинга (monitoring only policy), либо политики изоляции (isolation policy). Если включена только политика мониторинга, то любой пользователь с правильным правами получит доступ к сетевым ресурсам, вне зависимости от того, удовлетворяет ли его компьютер корпоративной политике безопасности или нет. Хотя политика мониторинга не запрещает любому компьютеру доступ в вашу сеть, результат сравнения конфигурации удаленного компьютера с корпоративными требованиями записывается в специальный журнал.

    На мой взгляд, политика мониторинга лучше всего подходит для перехода в среду NAP. Подумайте на секунду, если у вас есть удаленные пользователи, которым необходим доступ к ресурсам, находящимся в вашей корпоративной сети, для выполнения из работы, то вы, вероятней всего, не захотите изначально включать NAP в изоляционном режиме. Если вы все же захотите сделать так, то велик шанс того, что ни один из ваших удаленных пользователей не сможет получить доступ к вашей корпоративной сети. Вместо этого вы можете настроить NAP для использования политики мониторинга. Это позволит вам оценить влияние ваших политик доступа к сети без случайного запрета выполнять кому-то его работу. После такого тестирования вы сможете включить политику в изоляционном режиме.

    Как вы, вероятно, уже догадались, в режиме изоляции компьютеры, который не удовлетворяют корпоративной политике безопасности, помещаются в сетевой сегмент, который изолирован от ресурсов промышленной сети. Конечно, это очень общее заявление. Это полностью на усмотрение администратора, решить, что делать с пользователем, компьютер которого не удовлетворяет корпоративной политике. Обычно, администратор предоставляет пользователям, компьютеры которых не удовлетворяют корпоративной политике, доступ к изолированному сетевому сегменту, о котором я говорил выше. Также у администратора есть возможность ограничения доступа к одному ресурсу или к всем сетевым ресурсам.

    Вы можете удивиться, какое может быть преимущество в предоставлении доступа компьютерам, которые не соответствуют требованиям корпорации, к изолированному сетевому сегменту. Если компьютер, который не соответствует требованиям, подключается к сети, и инструмент NAP запущен в изоляционном режиме, то такому компьютеру закрыт доступ в промышленную сеть. Обычно такой карантин продолжается, пока пользователь подключен к сети. Простой карантин компьютеров, которые не удовлетворяют политикам компании, позволяет избежать вирусного заражения или использования брешей в безопасности в вашей сети, но не закрывает для пользователя много всего полезного. В конце концов, если пользователь не может получить доступ к сетевым ресурсам, то он не может выполнять свою работу.

    Тут как раз и приходит на помощь изолированный сетевой сегмент. Администратор может поместить специальный набор обновлений и антивирусов в этот изолированный сегмент. Такие ресурсы позволяет привести компьютер удаленного пользователя в соответствие с требованиями компании. Например, на таких серверах могут содержаться обновления для безопасности или для антивирусной программы.

    Очень важно обратить внимание на то, что инструмент NAP не содержит каких-либо механизмов, которые способны проверить состояние удаленного компьютера и установку на нем обновлений. Это уже будет работа агентов состояния системы и валидатора состояния систем. По слухам, эти компоненты будут интегрированы в следующую версию SMS Server.

    Заключение

    В этой статье я рассказал вам о новом инструменте в операционной системе Longhorn Server под названием NAP. Во второй части этой статьи, я расскажу вам о процессе настройки с помощью этого инструмента.

    Лекция 5 Защита доступа к сети

    Тема: Защита доступа к сети

    Защита доступа к сети (NAP) – это новый набор компонентов операционной системы в Windows Server® 2008 и Windows Vista®, предоставляющий платформу, которая помогает обеспечивать соответствие клиентских систем в частной сети требованиям к работоспособности, заданным администратором. Политики NAP определяют необходимое состояние конфигурации и обновления для операционной системы и критически важного программного обеспечения на клиентских компьютерах. Например, они могут требовать, чтобы на компьютерах использовалось антивирусное программное обеспечение с новейшими сигнатурами, были установлены необходимые обновления операционной системы и включен индивидуальный брандмауэр. Обеспечивая соответствие требованиям к работоспособности, защита доступа к сети помогает администраторам сети уменьшить риск, связанный с неправильной настройкой клиентских компьютеров, из-за чего они могут оказаться уязвимы для вирусов и других вредоносных программ.

    Для чего нужна защита доступа к сети?

    Защита доступа к сети обеспечивает соблюдение требований к работоспособности, отслеживая и оценивая работоспособность клиентских компьютеров, когда они пытаются подключиться к сети или передать по ней данные. При обнаружении клиентских компьютеров, которые не соответствуют требованиям, они могут быть помещены в сеть с ограниченным доступом, содержащую ресурсы, помогающие привести клиентские системы в соответствие политикам работоспособности.

    Для кого предназначена эта возможность

    Защита доступа к сети может заинтересовать администраторов сетей и систем, которым необходимо обеспечить соответствие клиентских компьютеров, подключающихся к сети, требованиям к работоспособности. Защита доступа к сети дает администраторам сети следующие возможности:

    Обеспечивать в локальной сети работоспособность настольных компьютеров, настроенных для использования протокола DHCP, подключающихся к сети через устройства проверки подлинности 802.1X или выполняющих обмен данными в соответствии с политиками NAP IPsec;

    Обеспечивать соблюдение требований к работоспособности мобильных компьютеров при их повторном подключении к корпоративной сети;

    Проверять соответствие политикам и работоспособность неуправляемых домашних компьютеров, подключающихся к корпоративной сети через сервер виртуальной частной сети со службами маршрутизации и удаленного доступа;

    Определять работоспособность мобильных компьютеров, принадлежащих посетителям и партнерам организации, и ограничивать доступ к ресурсам организации для этих компьютеров.

    В зависимости от конкретных требований администраторы могут создать и настроить решение, пригодное для использования во всех этих сценариях.

    Защита доступа к сети включает также набор прикладных программных интерфейсов (API), позволяющих разработчикам и поставщикам создавать собственные компоненты для проверки сетевых политик, обеспечения соответствия требованиям и изоляции сети.

    Некоторые дополнительные особенности

    Для развертывания защиты доступа к сети необходимы серверы с ОС Windows Server 2008, а также клиентские компьютеры с ОС Windows Vista, Windows Server 2008 или Windows XP с пакетом обновления 3 (SP3). Центральным сервером, который выполняет анализ работоспособности для защиты доступа к сети, должен быть компьютер с ОС Windows Server 2008 с сервером политики сети (NPS).

    Сервер политики сети – это реализация RADIUS-сервера и RADIUS-прокси для систем Windows. Он заменяет службу проверки подлинности в Интернете в системе Windows Server 2003. Устройства доступа и серверы NAP являются клиентами для RADIUS-сервера на базе сервера политики сети. Сервер политики сети выполняет проверку подлинности и авторизацию при попытках подключения к сети, определяет, соответствуют ли компьютеры заданным политикам работоспособности, и ограничивает доступ к сети для компьютеров, которые им не соответствуют.

    Новые возможности

    Платформа NAP представляет собой новую технологию проверки работоспособности клиентов и обеспечения их соответствия требованиям, входящую в операционные системы Windows Server 2008 и Windows Vista.

    Значение этой возможности

    Одной из самых важных проблем для современных компаний является повышение уязвимости клиентских устройств перед вредоносным программным обеспечением, таким как вирусы и вирусы-черви. Эти программы могут попасть на незащищенные или неправильно настроенные компьютеры и использовать их для распространения на другие устройства в корпоративной сети. Платформа NAP позволяет администраторам защитить сети, обеспечив соответствие клиентских систем требованиям к конфигурации и уровню обновления для их защиты от вредоносных программ.

    Ключевые процессы защиты доступа к сети

    Для правильной работы защиты доступа к сети должны быть реализованы процессы проверки соответствия политике, применения защиты доступа к сети и ограничения доступа, а также обновления систем и непрерывной проверки их соответствия требованиям.

    Проверка соответствия политике

    Для анализа состояния работоспособности клиентских компьютеров сервер политики сети использует средства проверки работоспособности системы. Эти средства интегрируются в политики сети, определяющие на основе состояния работоспособности клиентов действия, которые необходимо выполнить (например, предоставить полный или ограниченный доступ к сети). Состояние работоспособности отслеживают клиентские компоненты NAP, которые называются агентами работоспособности системы. Средства проверки работоспособности системы и агенты работоспособности системы используются компонентами защиты доступа к сети для отслеживания, применения и обновления конфигураций клиентских компьютеров.

    В состав операционных систем Windows Server 2008 и Windows Vista входят агент работоспособности системы безопасности Windows и средство проверки работоспособности системы безопасности Windows, которые обеспечивают соответствие компьютеров с поддержкой NAP следующим требованиям:

    На клиентском компьютере должен быть установлен и включен программный брандмауэр;

    На клиентском компьютере должно быть установлено и включено анти-вирусное ПО;

    На клиентском компьютере должны быть установлены текущие обновления антивирусного ПО;

    На клиентском компьютере должна быть установлена и включена анти-шпионская программа;

    На клиентском компьютере установлены текущие обновления антишпионской программы;

    На клиентском компьютере включены службы обновления Microsoft.

    Кроме того, если на клиентских компьютерах с поддержкой защиты доступа к сети выполняется агент центра обновления Windows и они зарегистрированы на сервере служб Windows Server Update Service (WSUS), защита доступа к сети может проверить наличие наиболее свежих обновлений программного обеспечения системы безопасности с использованием одного из четырех возможных значений, которые соответствуют уровням угроз для системы безопасности, определяемым центром Microsoft Security Response Center.

    Применение защиты доступа к сети и ограничение доступа к сети

    Защиту доступа к сети можно настроить так, чтобы клиентские компьютеры, не соответствующие политикам, не могли получить доступ к сети или могли получить только ограниченный доступ. Сеть с ограниченным доступом должна содержать ключевые службы NAP, такие как серверы центра регистрации работоспособности и серверы обновлений, чтобы клиенты NAP, не соответствующие требованиям, могли обновить свои конфигурации в соответствии с требованиями к работоспособности.

    Параметры применения защиты доступа к сети позволяют или ограничить доступ к сети для клиентов, не соответствующих требованиям, или просто включить отслеживание и регистрацию состояния работоспособности клиентских компьютеров, поддерживающих защиту доступа к сети.

    Используя указанные ниже параметры, можно ограничить доступ, отложить ограничение доступа или разрешить доступ.

    Разрешить полный доступ к сети. Этот вариант используется по умолчанию. Клиенты, которые отвечают условиям политики, считаются соответствующими требованиям к работоспособности и получают неограниченный доступ к сети, если запрос на подключение проходит проверку подлинности и авторизацию. При этом регистрируется соответствие клиентов с поддержкой NAP требованиям к работоспособности.

    Разрешить полный доступ к сети в ограниченное время. Клиентам, которые соответствуют требованиям политики, временно предоставляется неограниченный доступ к сети. Защита доступа к сети не применяется до заданных даты и времени.

    Разрешить ограниченный доступ. Клиентские компьютеры, которые отвечают условиям политики, не считаются соответствующими требованиям к работоспособности и помещаются в сеть с ограниченным доступом.

    Обновление

    Клиентские компьютеры, не соответствующие требованиям и помещенные в сеть с ограниченным доступом, могут пройти процедуру обновления.

    Обновлением называется процесс обновления клиентского компьютера для приведения его характеристик в соответствие с текущими требованиям к работоспособности. Например, сеть с ограниченным доступом может содержать FTP-сервер, предоставляющий новые сигнатуры вирусов, чтобы клиентские компьютеры, не соответствующие требованиям, могли обновить устаревшие сигнатуры.

    Параметры защиты доступа к сети можно использовать в политиках сети сервера политики сети для настройки автоматического обновления, чтобы клиентские компоненты защиты доступа к сети автоматически пытались обновить клиентский компьютер, если он не соответствует требованиям политики. Для настройки автоматического обновления можно использовать параметр политики сети, указанный ниже.

    Автообновление. Если задан параметр Включить автообновление клиентских компьютеров, автоматическое обновление включено и компьютеры с поддержкой NAP, не соответствующие требованиям к работоспособности, автоматически пытаются выполнить обновление.

    Постоянное наблюдение для обеспечения соответствия требованиям

    Защита доступа к сети может обеспечивать соответствие клиентских компьютеров, уже подключенных к сети, требованиям к работоспособности. Эта возможность полезна, если требуется обеспечить постоянную защиту сети независимо от изменений политик работоспособности и характеристик работоспособности клиентских компьютеров. Например, если политика работоспособности требует, чтобы брандмауэр Windows был включен, а пользователь случайно отключил его, компоненты защиты доступа к сети могут определить, что компьютер уже не соответствует требованиям, и поместить его в сеть с ограниченным доступом до тех пор, пока брандмауэр Windows снова не будет включен.

    Если автоматическое обновление включено, клиентские компоненты защиты доступа к сети могут автоматически включить брандмауэр Windows без участия пользователя.

    Способы применения защиты доступа к сети

    Защита доступа к сети может разрешить полный или ограниченный доступ к сети либо запретить доступ с учетом состояния работоспособности клиентского компьютера. Клиентские компьютеры, не соответствующие политикам работоспособности, могут быть автоматически обновлены для приведения в соответствие им. Способ применения защиты доступа к сети можно выбрать из нескольких доступных вариантов. Технология защиты доступа к сети применяет политики работоспособности для следующих элементов:

    Трафик, защищенный с помощью протокола IPsec;

    Управление доступом к проводной и беспроводной сети с использованием портов 802.1X;

    Виртуальные частные сети (VPN) с маршрутизацией и удаленным доступом;

    Аренда и обновление адресов IPv4 протокола DHCP;

    Подключения к серверу шлюза служб терминалов;

    Эти способы применения защиты доступа к сети описаны в приведенных ниже подразделах.

    Применение защиты доступа к сети для соединений IPsec

    Применение защиты доступа к сети для трафика, защищенного с помощью протокола IPsec, обеспечивается с помощью сервера сертификатов работоспособности, сервера центра регистрации работоспособности, сервера политики сети и клиента принудительной защиты доступа к сети с помощью IPsec. Когда клиенты защиты доступа к сети приводятся в соответствие требованиям к работоспособности, сервер сертификации работоспособности выдает им сертификаты X.509. Впоследствии эти сертификаты используются для проверки подлинности клиентов защиты доступа к сети, когда они инициируют обмен данными, защищенный с помощью протокола IPsec, с другими клиентами защиты доступа к сети, находящимися в интрасети.

    Применение защиты доступа к сети для трафика IPsec обеспечивает возможность обмена данными в сети только для клиентов, соответствующих требованиям, и является наиболее строгим способом реализации защиты доступа к сети. Поскольку при этом используется протокол IPsec, можно определять требования к безопасному взаимодействию как для отдельных IP-адресов, так и для отдельных номеров портов TCP/UDP.

    Применение защиты доступа к сети для стандарта безопасности 802.1X

    Применение защиты доступа к сети для управления доступом к сети с использованием портов 802.1X реализуется с помощью сервера политики сети и клиентского компонента принудительной защиты доступа к сети EAPHost. При применении защиты доступа к сети с использованием портов 802.1X сервер политики сети указывает коммутатору проверки подлинности 802.1X или точке беспроводного доступа 802.1X поместить клиентов 802.1X, не соответствующих требованиям, в сеть с ограниченным доступом. Сервер политики сети ограничивает доступ клиентов к сети, указывая точке доступа применить к подключению IP-фильтры или виртуальный идентификатор локальной сети. Система ограничений 802.1X обеспечивает строгое ограничение доступа к сети для всех компьютеров, получающих доступ к сети с использованием устройств доступа к сети, поддерживающих стандарт безопасности 802.1X.

    Применение защиты доступа к сети для виртуальных частных сетей

    Применение защиты доступа к сети для виртуальных частных сетей реализуется с помощью серверного и клиентского компонентов принудительной защиты доступа к сети для виртуальных частных сетей. Благодаря защите доступа к сети для виртуальных частных сетей серверы виртуальных частных сетей могут применять политику работоспособности, когда клиентские компьютеры пытаются соединиться с сетью через VPN-подключение удаленного доступа. Применение защиты доступа к сети для виртуальных частных сетей обеспечивает строгое ограничение доступа для всех компьютеров, соединяющихся с сетью через VPN-подключение удаленного доступа.

    Применение защиты доступа к сети для протокола DHCP

    Применение защиты доступа к сети для протокола DHCP реализуется с помощью серверного и клиентского компонентов принудительной защиты доступа к сети DHCP и сервера политики сети. Система ограничений DHCP позволяет серверу политики сети и DHCP-серверам применять политику работоспособности, когда компьютер предпринимает попытку арендовать или обновить адрес IPv4. Сервер политики сети предоставляет клиенту только ограниченный доступ к сети, указывая DHCP-серверу назначить клиенту ограниченную конфигурацию IP-адреса. Однако если клиентские компьютеры имеют статические IP-адреса или по иным причинам не используют ограниченную конфигурацию IP-адресов, применение защиты доступа к сети для протокола DHCP является неэффективным.

    Применение защиты доступа к сети для шлюза служб терминалов

    Применение защиты доступа к сети для шлюза служб терминалов реализуется с помощью серверного и клиентского компонентов принудительной защиты доступа к сети для шлюза служб терминалов. Используя защиту доступа к сети для шлюза служб терминалов, сервер шлюза служб терминалов может применять политику работоспособности к клиентским компьютерам, пытающимся подключиться к внутренним корпоративным ресурсам через сервер шлюза служб терминалов. Защита доступа к сети для шлюза служб терминалов обеспечивает строгое ограничение доступа для всех компьютеров, получающих доступ к сети через сервер шлюза служб терминалов.

    Комбинированные подходы

    Каждый способ применения защиты доступа к сети имеет свои сильные и сла-бые стороны. Сочетание разных способов позволяет объединить их преимущества. Однако развертывание нескольких способов применения защиты доступа к сети может затруднить управление ими.

    Платформа защиты доступа к сети предоставляет набор API-интерфейсов, с помощью которых сторонние компании могут интегрировать в нее свое программное обеспечение. Используя эти API-интерфейсы, разработчики и поставщики программного обеспечения могут создавать законченные решения для проверки работоспособности клиентов и обновления клиентов, не соответствующих требованиям.

    Подготовка к развертыванию

    Меры по подготовке к развертыванию защиты доступа к сети зависят от вы-бранных способов ее применения и требований к работоспособности, которые будут предъявляться к клиентским компьютерам, подключающимся к сети или передающим по ней данные.

    Администраторы сетей или систем могут развернуть защиту доступа к сети с помощью агента работоспособности системы безопасности Windows и средства проверки работоспособности системы безопасности Windows. Кроме того, можно узнать у других поставщиков программного обеспечения, предоставляют ли они агенты работоспособности системы и средства проверки работоспособности системы для своих продуктов. Например, если поставщик антивирусного ПО желает создать решение для защиты доступа к сети, включающее его собственные агенты работоспособности системы и средства проверки работоспособности, он может воспользоваться набором API для создания этих компонентов. Затем эти компоненты могут быть интегрированы в решения для защиты доступа к сети, развертываемые заказчиками данного поставщика программного обеспечения.

    Помимо агентов работоспособности системы и средств проверки работоспособности системы платформа защиты доступа к сети использует различные клиентские и серверные компоненты для регистрации и отслеживания работоспособности клиентских компьютеров, когда они пытаются подключиться к сети или передать по ней данные. Некоторые компоненты, обычно используемые для развертывания защиты доступа к сети, показаны на приведенном ниже рисунке.

    Клиентские компоненты защиты доступа к сети

    Клиент с поддержкой защиты доступа к сети представляет собой компьютер, на котором установлены компоненты защиты доступа к сети и который способен проверять свое состояние работоспособности путем отправки сведений о состоянии работоспособности серверу политики сети. Часто используемые клиентские компоненты защиты доступа к сети описаны ниже.

    Агент работоспособности системы. Агент работоспособности системы от-слеживает и сообщает состояние работоспособности клиентского компьютера, чтобы сервер политики сети мог контролировать состояние обновления и правильность настройки параметров, за которыми следит агент. Например, агент работоспособности системы безопасности Windows может следить за работой брандмауэра Windows, проверять, что антивирусное ПО установлено, включено и обновлено, что антишпионские программы установлены, включены и обновлены, что службы обновления Microsoft включены и на компьютере установлены самые новые обновления для системы безопасности от служб обновления Microsoft. Агенты работоспособности системы, предлагаемые сторонними компаниями, могут обеспечивать дополнительные возможности.

    Агент защиты доступа к сети. Агент защиты доступа к сети собирает сведе-ния о работоспособности и управляет ими. Кроме того, он обрабатывает сведения о состоянии работоспособности, полученные от агентов работоспособности системы, и создает отчеты о работоспособности клиента для установленных клиентов принудительной защиты доступа к сети. Для указания общего состояния работоспособности клиента защиты доступа к сети агент защиты доступа к сети использует системное состояние работоспособности.

    Клиент принудительной защиты доступа к сети. Для использования защиты доступа к сети на клиентском компьютере должен быть установлен и включен хотя бы один клиент принудительной защиты доступа к сети. Как было сказано выше, каждый клиент принудительной защиты доступа к сети использует лишь определенный способ применения защиты доступа к сети. Клиенты принудительной защиты доступа к сети интегрируются с технологиями доступа к сети, такими как протокол IPsec, управление доступом к проводной и беспроводной сети с использованием портов 802.1X, виртуальная частная сеть с маршрутизацией и удаленным доступом, протокол DHCP и шлюз служб терминалов. Клиент принудительной защиты доступа к сети запрашивает доступ к сети, передает сведения о состоянии работоспособности клиентского компьютера серверу политики сети и сообщает об ограниченном статусе клиентского компьютера другим компонентам клиентской архитектуры защиты доступа к сети.

    Состояние работоспособности. Состояние работоспособности – это декларация агента работоспособности системы, в которой определяется его статус работоспособности. Агенты работоспособности системы создают состояния работоспособности и отправляют их агенту защиты доступа к сети.

    Серверные компоненты защиты доступа к сети

    Часто используемые серверные компоненты защиты доступа к сети описаны ниже.

    Сервер политики работоспособности защиты доступа к сети. На этом сервере работает сервер политики сети, выполняющий функции сервера оценки работоспособности NAP. Сервер политики работоспособности NAP включает политики работоспособности и политики сети, определяющие требования к работоспособности и параметры применения защиты доступа к сети для клиентских компьютеров, запрашивающих доступ к сети. Сервер политики работоспособности NAP использует сервер политики сети для обработки сообщений RADIUS с запросом доступа, содержащих системное состояние работоспособности, отправленное клиентом принудительной защиты доступа к сети, и передает их для оценки серверу администрирования NAP.

    Сервер администрирования NAP. Сервер администрирования NAP по функциональности схож с агентом защиты доступа к сети на клиентской стороне. Он отвечает за сбор сведений о состоянии работоспособности с точек применения защиты доступа к сети и доставку этих сведений соответствующим средствам проверки работоспособности системы, а также за получение откликов о состоянии работоспособности от средств проверки работоспособности системы и их передачу для оценки службе сервера политики сети.

    Средства проверки работоспособности системы. Средства проверки работоспособности системы – это серверные аналоги агентов работоспособности системы. Каждому агенту работоспособности системы на клиентском компьютере соответствует средство проверки работоспособности системы на сервере политики сети. Средства проверки работоспособности системы проверяют состояние работоспособности, созданное соответствующим агентом работоспособности системы на клиентском компьютере. Средства проверки работоспособности системы и агенты работоспособности системы сопоставлены друг с другом, а также с соответствующим сервером состояния работоспособности (если это уместно) и, возможно, с сервером обновлений. Средство проверки работоспособности системы может также выявить, что состояние работоспособности не получено (например, если агент работоспособности системы не был установлен либо был поврежден или удален). Независимо от того, соответствует ли состояние работоспособности требованиям определенной политики или нет, средство проверки работоспособности системы отправляет серверу администрирования NAP сообщение с откликом о состоянии работоспособности. В одной сети могут работать несколько средств проверки работоспособности системы разных видов. В этом случае сервер политики сети должен координировать вывод всех средств проверки работоспособности системы и определять, необходимо ли ограничить доступ к сети для компьютера, не соответствующего требованиям. Если используются несколько средств проверки работоспособности системы, необходимо понимать их взаимодействие и тщательно планировать действия при настройке политик работоспособности.

    Сервер принудительной защиты доступа к сети. Сервер принудительной защиты доступа к сети сопоставляется с соответствующим клиентом принудитель-ной защиты доступа к сети для используемого способа применения защиты доступа к сети. Сервер принудительной защиты доступа к сети получает список состояний работоспособности от клиента принудительной защиты доступа к сети и передает их для оценки серверу политики сети. На основе отклика он предоставляет клиенту защиты доступа к сети ограниченный или неограниченный доступ к сети. В зависимости от типа применения защиты доступа к сети клиент принудительной защиты доступа к сети может быть компонентом точки применения защиты доступа к сети.

    Точка NAP. Сервер или устройство доступа к сети, которое использует защиту доступа к сети или может быть использовано с ней для определения требования оценки состояния работоспособности клиента защиты доступа к сети и предоставления ограниченного доступа к сети или соединения. Точка NAP может быть центром регистрации работоспособности (в случае принудительной защиты доступа к сети с помощью IPsec), коммутатором проверки подлинности или точкой беспроводного доступа (в случае применения системы ограничений 802.1x), сервером со службой маршрутизации и удаленного доступа (в случае обеспечения работоспособности DHCP) или сервером шлюза служб терминалов (в случае применения карантина шлюза сервера терминалов).

    Сервер состояния работоспособности. Программный компонент, который взаимодействует со средством проверки работоспособности системы при предоставлении сведений, используемых для оценки требований к работоспособности системы. Например, сервером состояния работоспособности может быть сервер сигнатур вирусов, предоставляющий версию текущего файла сигнатур для проверки состояния работоспособности клиентского антивирусного ПО. Серверы состояния работоспособности сопоставляются со средствами проверки работоспособности системы, но не все средства проверки работоспособности системы нуждаются в сервере состояния работоспособности. Например, средство проверки работоспособности системы может указать клиентам с поддержкой защиты доступа к сети проверить параметры локальной системы, чтобы гарантировать, что индивидуальный брандмауэр включен.

    Сервер обновлений. Сервер обновлений содержит обновления, которые могут использоваться агентами защиты доступа к сети для приведения клиентских компьютеров в соответствие политике. Например, на сервере обновлений могут храниться обновления программного обеспечения. Если политика работоспособности требует, чтобы на клиентских компьютерах защиты доступа к сети были установлены последние обновления программного обеспечения, клиент принудительной защиты доступа к сети ограничит доступ к сети для клиентов, на которых эти обновления не установлены. Серверы обновлений должны быть доступны клиентам с ограниченным доступом к сети, чтобы клиенты могли получать обновления, необходимые для соответствия политикам работоспособности.

    Похожие статьи
     
    Категории
    Видеоматериалы
    Популярное
    Новое