Bilginin Adresi Ana Sayfa
Forum Anasayfası Forum Anasayfası > Bilgisayar Güvenliği / Computer Security > Güvenlik / Security Makaleleri
  Aktif Konular Aktif Konular RSS - NAP (Network Access Protection) Windows Server 2008 Security
  SSS SSS  Forumu Ara   Events   Kayıt Ol Kayıt Ol  GiriÅŸ GiriÅŸ

NAP (Network Access Protection) Windows Server 2008 Security

 Yanıt Yaz Yanıt Yaz
Yazar
Mesaj
megabros Açılır Kutu Gör
Security Professional
Security Professional
Simge

Kayıt Tarihi: 08-06-2009
Konum: Turkey
Status: Aktif DeÄŸil
Points: 752
Mesaj Seçenekleri Mesaj Seçenekleri   Thanks (0) Thanks(0)   Alıntı megabros Alıntı  Yanıt YazCevapla Mesajın Direkt Linki Konu: NAP (Network Access Protection) Windows Server 2008 Security
    Gönderim Zamanı: 23-08-2009 Saat 13:13

Güvenlik anlamında ileri boyutlu bir çözüm getiren bu yeni teknoloji sayesinde networkümüze dışarıdan katılmakta olan kullanıcılar için çeşitli kriterler belirleyebiliyoruz. Eğer bağlanıcak kişi bu kriterlere uygun değilse ayrı bir bölüme alıp network ile ilişkisini kesip gerekliliklerini yerine getirmesini sağladıktan sonra networkümüze dahil ediyoruz. NAP temel anlamda bu mantıkla çalışıyor. Yani bir kontrol mekanizması gibi güvenliğimizi sağlıyor.

Burada dikkat etmemiz gereken bölüm, NAP’ın bizi dışarıdan gelecek tehlikelere karşı korumak yerine networkümüze katılıcak bilgisayarların , önceden belirlediğimiz kriterlere uyup uymadığını kontrol etmesidir.Örneğin herhangi bir antivirus yazılımına sahip mi, updateleri en son güncel halindemi, gibi. Ama bu gereklilikleri sağlayan kötü amaçlı biri de NAP’ı rahatlıkla geçip sisteme zarar verebilir.

Bir kullanıcı dışarıdan özel ağımıza bağlanmak istediğinde ,ilk olarak üzerinde bulunan (System Healt Agent) ile sağlık bilgisini bizim networkümüzde bulunan Network Policy Server’e iletir.Policy server ise bu bilginin kendi üzerinde bizim tarafımızdan hazırlanan kurallara uygun olup olmadığını geri dönüş yapar. Ardından eğer kabul edilirse networke dahil edilir. Eğer kural dışı bir durum saptanırsa bu bilgisayar özel bir ağa alınarak Remediation Server tarafından kural dışı bulunan tüm özellikleri düzeltilmeye çalışılır.

Peki biz dışarıdan bağlanan bir kullanıcıyı NAP kullanarak hangi durumlarda kontrol edebiliriz.

· Internet Protocol security (IPsec)-protected traffic:

IPSEC sayesinde networkümüz 3 adet mantıksal networke bölebiliriz.Bunlar kısıtlı(restricted) network,güvenli(secure) network ve sınır(boundary) networkdür.

İstemci bilgisayar için sağlık sertifikaları düzenlenebilir,böylece bu sertifikaya göre client’ın hangi networkde yer alması gerektiği belirlenir. Örneğin active directory’e üye olan tüm makinalar güvenli network içerisinde yer alabilirler. IPSEC ilede sadece bu network içerisindeki bilgisayarların birbirleri ile iletişimde olmaları sağlanabilinir.Sağlık sertifikası olmayan bilgisayarlar otomatik olarak kısıtlı networke gönderilirler.

IEEE 802.1X-authenticated network connections:

IEEE 802.1X-authenticated network bağlantıları için kullanabileceğimiz NAP modelidir. Örneğin bir access point.
Aynı şekilde sınırlı veya güvenli networkler oluşturabiliriz.

Remote access VPN connections:

Vpn bağlantıları için NAP kullandığımızda dışarıdan VPN server’a bir istek geldiğinde VPN server bunu NPS server’a ileticek ve aynı şekilde bağlanılacak bilgisayar için sağlık kontrolleri gerçekleştirilecek.

Yalnız burada 2003 server ile birlikte kullandığımız Network Access Quarantine Control ile NAP’ı karıştırmamamız gerekir.Network Access Quarantine Control kullanmamız için RQS.exe ve RQC.exe üzerinde konfigurasyonlar yapmalı ayrıca scriptler hazırlamalıyız.

Vpn bağlantısı için uygulanan adımlar şu şekildedir.

-Client VPN server’a bağlantı gerçekleştirir.
-Client NAP health policy server’a kimlik doğrulama bilgilerini gönderir.
-Eğer bu bilgiler uygun değilse VPN bağlantısı kesilir.
-Eğer kimlik bilgileri geçerliyse NAP health policy server , client’tan sağlık bilgilerini ister.
-Client bilgilerini gönderir.


-NAP health policy server,clientin gönderdiği bilgiye göre bir değerlendirme yapar. Eğer client ‘ın durumunu uygun bulursa bunu clientın kendisine ve vpn server’a iletir. Eğer uygun değilse gereklilikleri remediation server’a sonuç olarak iletir.

-Uygun olmadığı takdirdede vpn bağlantısı gerçekleşir ama client’ın networkdeki yetkileri kısıtlanır. Client networkde sadece remediation server’a bilgi gönderebilir.

-Client güncelleştirme gerekliliklerini remediation server’a iletir.
-Gerekli güncelleştirmeler client üzerinde gerçekleştirilir.
-Client Vpn server ile tekrar kimlik doğrulamasına girer ve güncelleştirilmiş sağlık durumunu gönderir.

-Tüm güncelleştirmelerin yapıldığı doğrulandıktan sonra NAP health policy server clientın durumunun uygun olduğuna karar verir ve VPN server’a geçişe izin vermesini söyler.
-VPN server bağlantıyı tamamlar.

Dynamic Host Configuration Protocol (DHCP) address configurations:

Sanırım en çok kullanılacak modellerden biri olacaktır.Bir client bilgisayarı ile networke dahil olmak istediğinde DHCP server’dan IP almak isteyecektir. İşte bu sırada NAP ile gerekli kontroller gerçekleştiriliyor ve uygunsa client’a IP ataması yapılıyor. Eğer uygun değilse aynı şekilde uygun hale getirilemeye çalışılıyor.

Böylece belirlediğimiz kurallar ne ise,sadece bu kurallara uygun olan bilgisayarlar IP alabiliyorlar ve doğal olarakda networkümüze dahil olabiliyorlar.

Saygılar..
Yukarı Dön
 Yanıt Yaz Yanıt Yaz

Forum Atla Forum İzinleri Açılır Kutu Gör



Bu Sayfa 0.156 Saniyede Yüklendi.