Network Access Protection - 1 -

  • Article

Merhaba,

Bugün sizlere Network Access Protection (NAP) hakkinda bilgi vermek istiyorum. NAP içerik olarak çok detayli bir konu oldugundan, öncelikle genel anlamda NAP´in ne oldugu, ne ise yaradigi hakkinda bilgi verecegim. NAP´in detaylarini daha sonra ayrica sizlerle paylasiyor olacagim.

 

Network Access Protection (NAP) nedir?

NAP kisaca, “healthy” yani “saglikli” olduguna dair elinde bir rapor olan Client´in sisteme giris izni veren sistem komponentleri platformudur. NAP sizin ortaminiza göre özelestirilmis saglik politikalari ile Client´lara ag erisim izini vermeden, client´in saglik durumunu kontrol eder. Saglik durumu kontrolünden sonra , Client´in „non-compliant“ veya „unhealthy“ yani sagliksiz bulunmasi durumdan Client ya Network´e alinmaz yada yalnizca belli sunuculara ulasabilecegi bir Network´e yönlendirilir.

Client´in sagliksiz durumdan tekrar saglikli duruma geçebilmesi için kullanilan komponent “Remediation Server” yani “Iyilestirme Sunucusu” dur. Remediation Server, Client’in tekrar saglikli olabilmesi için gerekli olan yama, güncelleme vs. gibi dosyalari sunmakla görevlidir.

NAP ´i kullanabilmeniz için minimum 1 adet Windows Server 2008 veya Windows Server 2008 R2 kurmaniz gerekmektedir. Bununla birlikte sadece asagidaki Isletim sistemleri NAP Client olarak çalisabilir:

  • Windows Vista
  • Windows XP SP3 (SP3 öncesi NAP desteklenmiyor)
  • Windows Server 2008/2008R2
  • Windows 7

 

NAP´ in 4 adet ana fonksiyonu var:

 

“Health Policy Validation” yani “Saglik politikalarinin onaylanmasi”

Kullanici Network´e baglanmak istediginde, kullanicinin sisteminin saglik durumu kontrol edilir ve sistem tarafindan tanimlanmis saglik politikalarina uyup, uymadigina bakilir. Saglik politikalarina uygun sistemler “healthy” yani saglikli olarak kabul edilir ve Saglik politikalarina uymayan sistemler “unhealthy” yani sagliksiz olarak kabul edilir. NAP sistem yöneticilerinin , “sagliksiz” bir sistem hakkinda ne yapilmasi gerektigini ayarlamasina imkân verir.

 

“Network Access Restriction” yani “Network erisim kisitlamasi”

Saglik politikalarinin onaylanmasindan sonra, NAP sagliksiz bir sistemin Network’e baglanmasina izin vermek, Network’e baglanmasini engellemek ve ya, network baglantisinda kisitlamalar uygulamak için kullanilabilir.

“Health Policy Compliance” yani “Saglik politikasi Uyumlulugu”

NAP, sistem adminlerinin “sagliksiz” bir sisteme yazilim güncellemelerini sunarak, sistemlerin saglik politikalarina uygun olmasini saglar. Bunu yapmak için NAP Network Management Software tarzi yazilimlari kullanir, örnegin Microsoft® Systems Management Server.

 

“Remediation” yani “ “Iyilestirme”

Eger bir sistem “noncompliant” yani sagliksiz olarak bulunursa, Network’e erisimi engellenebilir ve ayri bir network segment´ine yönlendirilerek kisitlandirma yapilabilir. Bununla birlikte bu sistemi bir “Remediation Server” Yani “Iyilestirme Sunucusuna” yönlendirerek, sistemin “saglikli” olabilmesi için gerekli güncelleme, yama vs. almasi saglanabilir.

NAP Uygulama Sekilleri:

NAP´in Network´e erisim saglamak isteyen Sistemleri algilamasi ve bunu sürekli izlemesi, NAP´in uygulama sekillerine göre degisir.

Su ana kadar Windows Server 2008 ve Windows Server 2008R2 da 5 tane farkli NAP Uygulama sekli mevcut. Bunlarin her biri standart protokol ve network erisim mekanizmalari tabanli çalisir. NAP´in uygulama sekilleri su sekildedir:

· DHCP

· IPsec

· VPN

· 802.1x

· Terminal Server Gateway

Bu uygulama sekillerini daha sonraki makalelerde detaylica anlatmayi planliyorum.

 

NAP ne yapmaz?

Network Access Protection sizi kötü niyetli bir kullanicidan korumak için Design edilmedi. NAP sistem adminlerinin Network’e bagli olan sistemlerin “saglikli” olmasina yardim edilmek için Design edildi. Bu sekilde Network´ünüzün bütünlügünü koruyabilirsiniz.

Örnegin, bir sistemin saglik politikalarina uygun bütün yazilimlari ve konfigürasyonlari mevcutsa, bu sistem „compliant“ yani saglikli olarak kabul edilir ve Network’e baglanmasina izin verilir.

Network´e baglanan bu sistemin kullanicisi, kötü niyetli biriyse, onun network içerisinde hareketlerini NAP herhangi bir sekilde kisitlamaz. Kisaca, bu kullanici sistemlere virüs, trojan tarzi zararli yazilimlar yükleyebilir.

Bir sonraki makalede, NAP in Client ve Server komponentleri ve uygulama metotlari hakkinda yazmayi planliyorum.

Tesekkürler,

Aydin