NAP Komponenter (NAP Del 2)
Del av 2 introduksjon til Network Access Protection. Del 1 finner du her. Denne delen beskriver komponentene som NAP består av og hvordan disse kan kontrollere nettverkstilgangen på ulike måter.
Komponenter
| System Health Agents og System Health Validators | SHA og SHV er funksjonene som muliggjør helsestatus sporing og ikke minst validering. Windows Vista, og XP SP2 med installert NAP, inneholder en Windows Security Health Validator SHA som monitorer innstillinger i Security Center. Windows Server 2008 vil inneholde tilsvarende for seg selv. Hver SHA har en tilsvarende SHV på serversiden som kan validere dataene SHA sender over opp mot gjeldende helse policy.NAP modellen åpner for at alle kan lage SHV / SHA for sine produkter ved å bruke NAP API'et. |
| Enforcement Clients og Enforcement Servers | Dette er komponentene som sørger for å kreve validering for å gi aksess eller eventuelt gir begrenset aksess uten validering. Her støttes følgende "enforcement" metoder:
· Internet Protocol security (IPsec)-protected traffic · IEEE 802.1X-authenticated network connections · Remote access VPN connections · Dynamic Host Configuration Protocol (DHCP) address configurations (windows vista og windows server 2008 vil også støtte dette for TS Gateway tilkoblinger) |
| Health Registration Authority | HRA: En server som kjører Windows Server 2008. Denne tjenesten skaffer sertifikater til klienter som har bevist at de har gyldig helsetilstand. |
| Network Policy Server | NPS: Erstatter IAS og opptrer som helse policy server for alle de ulike NAP løsningene. Windows Server 2008 |
Enforcement metoder
| IP-Sec enforcement | Her setter man opp regler, lignende IPSec Domain Isolation, som sørger for at validerte maskiner kun prater med andre maskiner som har gyldig helse. Dette gjøres ved å bruke IPsec og Helsesertifikater delt ut vha. HRA. Dette er den sikreste måten å sørge for isolering på.Og med den nye firewallen i Windows Vista er det meget lett å sette opp denne typen isolering i Group Policy.NøkkelKomponenter: HRA |
| 802.1x enforcement | Med denne metoden må klienten autentisere seg med et helsesertifikat mot en switch eller trådløst AP som støtter dette. Uten gyldig sertifikat vil maskinen få begrenset tilgang ved hjelp av en begrenset profil i nettverksenheten. Dette kan baseres på VLAN ID'er som settes for koblingen eller IP Filtere.Isoleringen vil også monitorere tilkoblingene og endre profil dersom klientens helsetilstand blir degradert eller ikke kan valideres mot en oppdatert helseprofil.NøkkelKomponenter: NPS, EAPHost EC på klienten |
| VPN enforcement | Med denne metoden må maskina valideres før full tilgang gis via VPN. For ikke validert maskiner gis begrenset tilgang basert på et IP Filter. Status monitoreres her også jevnlig og IP-filter blir slått på om klientens helsetilstand degraderes.NøkkelKomponenter: NPS, VPN EC |
| DHCP enforcement | Maskiner med ikke-godkjent helsetilstand vil havne i et annet begrenset scope og dermed ikke få full tilgang til nettverket. Dette sjekkes også ved hver lease eller renewNøkkelkomponenter: DHCP ES (windows server 2008 DHCP) og DHCP EC i Windows Vista (eller WinXPSP2 med NAP Client) |
NAP Del 3 som kommer senere vil ta for seg NPS, HRA og NAP arkitektur