Network Access Protection (NAP Del 1)
Network Access Protection, NAP, er ny funksjonalitet i Windows Server 2008 (Longhorn) og klienten er allerede med i Windows Vista. For Windows XP SP2 kan den installeres separat. For de av dere som har hørt om eller bruker NAC fra Cisco, så er det inngått en samarbeidsavtale med Cisco for å få disse løsningene til å fungere sammen. For VPN med 2003 server finnes allerede Network Access Quarantine Control * .
Viktige aspekter med NAP
| Health state validation | Når en maskin forsøker å koble seg til nettverket blir dens helsetilstand validert opp mot gjeldende krav. Dette kan så settes opp videre til enten å kun logge helsestatus ( monitoring mode) eller til å plassere maskiner som ikke oppfyller kravene i et begrenset nettverk. |
| Health policy compliance | Løsningen kan også på ulike måter sørge for at maskiner blir "compliant", ved f.eks å plassere dem i karantene og sørge for automatisk oppdatering fra servere tilgjengelig der. Ved bruk av kun monitoring vil maskinene få full tilgang til nettverket uansett, men man kan sørge for oppdatering da istedet. |
| Limited access | Dette gjør at man sørger for at maskiner som ikke er "compliant" heller ikke får tilgang til nettverket og dermed utgjør en langt mindre sikkerhetstrussel. Man kan så definere unntakt for maskiner som ikke støtter NAP |
Scenarioer
| Roaming laptops | De fleste firmaer får flere og flere laptoper, som naturligvis tas med rundt og dermed utgjør en større trussel fordi de kan være lenge utenfor firma nettverket, mangle oppdatering og ha blitt eksponert for trusler som firmaets "edge security" løsning vanligvis håndtere. med NAP kan disse valideres og oppdateres før de kobles til nettet |
| Desktops | Disse befinner stort sett i et styrt og kontrollert miljø, men man har likevel et behov for å sikre at disse faktisk er blitt oppdatert. Og at om de ikke er det bør det skje automatisk |
| Eksterne maskiner / Guests | Disse har man antagelig ikke ønske om å validere eller oppdatere, men derimot å gi begrenset tilgang direkte til Internett, uten å eksponere firmanettet for dem. Dette kan settes opp med NAP |
| Hjemmepc'er | Disse utgjør et problem å ha kontroll med da de ikke nødvendigvis tilhører firma, men likevel benyttes til å kobles opp mot firmanettet via VPN. Med NAP kan man kontrollere tilstanden før de får full tilgang via VPN. |
NAP Del 2 tar for seg de ulike komponentene og mer tekniske perspektivene av NAP. Del 3 (som kommer senere) vil gå inn på server tjenestene og arkitektur.
( * Network Access Quarantine Control som finnes fra før er en god løsning for validering for VPN tilkoblinger pr nå, men denne er mer kompleks å sette opp og drifte, da den i stor grad støtter seg på ulike scripts og verktøy som må konfigureres manuellt. Løsningen vil være kompatibel med VPN servere som støtter NAP.)