Network Access Protection – 2 – NAP Client & Server Komponentleri ve Uygulama Metotları


Merhaba,


 


NAP ile ilgili ilk makalemde belirttigim gibi, bugün sizlere NAP’in Client ve Server komponentleri ve uygulama metotlari hakkinda bilgi vermek istiyorum.


 


Öncelikle asagidaki diyagram üzerinden Client ve Server üzerinde bulunan komponentlere bir göz atalim:


 



 NAP Components


 


 


Health Components – Saglik Komponentleri


 


 


·       System Health Agents (SHA) = Saglik durumunu deklare ederler (yama durumu, anti virüs imzasi, sistem konfigürasyonu, vs.).


 


·       System Health Validators (SHV) = SHA tarafindan deklare edilen saglik durumunu onaylar


 


·       System Health Servers (SHS) = Client üzerindeki sistem komponentlerinin saglik gereksinmelerini tanimlar.


 


·       Remediation Servers = Gerekli yamalari, programlari vs. yükler ve Client´larin saglik duruma gelmesini saglar.


 


 


Enforcement Components – Uygulama Komponentleri


 


·        Quarantine Enforcement Clients (QEC) = Network Access Device (DHCP, VPN, 802.1X, IPSec) ile


Baglanti detaylarini görüsür.


 


·        Network Access Devices = Saglikli Client´larin Network’e erismesini saglar.


 


·        Health Registration Authority (HRA) = Saglik kontrollerini gecen Client´lara sertifika verir.


 


 


Platform Components – Platform Komponentleri


 


·        Quarantine Server (QS) = SHV den gelen rapor dogrultusunda Client’in network erisimini kisitlar.


 


·        Quarantine Agent (QA) = Client’in saglik durumunu raporlar, SHA ve QEC arasindaki komünikasyonu koordine eder.


 


 


NAP Uygulama Metotlari


 


NAP Remote Access (VPN) Enforcement  – NAP ´in Sanal özel ag uygulamasi


·        Client’in uzaktan sanal özel aga baglanmaya çalistigi an saglik politikasi uygulanir.


·        Dial-Up veya VPN de kullanilabilir


·        Network´e baglanma noktasinda uygulanir


·        VPN Sunucusu tarafindan kisitlamalar uygulanir


·        VPN Sunucusu bu kisitlamalari IP filtreleri bazinda uygular


 


NAP Terminal Services Gateway Enforcement –  NAP’in Terminal Service Gateway Uygulamasi


·        Client Terminal Server´a veya Terminal Server üzerinde çalisan bir uygulamaya erismek istediginde saglik politikalari uygulanir.


·        Terminal Service Gateway Server tarafindan uygulanir/yönetilir


·        Terminal Server´a erisimin komple engellenmesi ile kisitlama yapilir


·        Terminal Service Gateway Server arkasinda çalisan Terminal Server´a ( Back-End ) Client erisemez.


 


NAP DHCP enforcement – NAP´in DHCP Uygulamasi


·        Client’in DHCP Server ´dan IP adresi almak istedigi an saglik politikasi uygulanir


·        DHCP Server tarafindan uygulanir


·        Client´a kisitli ip konfigürasyonu atanir ve IP routing tablosuna özel route´lar koyarak kisitlamalar uygulanir.


 


NAP 802.1x Enforcement – NAP´in 802.1x Uygulamasi


·        Client kablosuz 802.1x veya 802.1x destekleyen Network Switch üzerinden EAP kullanarak Network’e erismek istediginde saglik politikasi uygulanir


·        Network´e baglanma noktasinda uygulanir


·        Network´e erisim aygitlar üstünden kisitlanir (802.1x Switch vs.)


·        Kisitlama Virtual LAN (VLAN) bazinda ya da IP Paket filtreleri bazinda uygulanir.


 


NAP IPsec Enforcement – NAP ´in IPSec Uygulamasi


·        Client’in bir baska Client veya Sunucu ile IPSec protokolünü kullanarak komünikasyon kurmaya çalistigi an saglik politikalari uygulanir


·        Sagliksiz olan Client´lar, saglikli olan Client´lar ile komünikasyon yapamaz


·        Her bir makine üzerinde direk uygulanir


·        Saglikli client´lar, kendilerinin saglikli oldugunu ispat eden bir sertifika alirlar.


·        Health Registration Authorithy ( HRA ) saglikli Client´lara x.509 saglik sertifikasi verir


·        Saglik sertifikasi IPSec komünikasyonu sirasinda kullanilir


·        PKI altyapisina ihtiyaç vardir


 


Bir sonraki makalede, NAP ´in uygulama metotlarinin detaylari hakkinda yazmayi planliyorum.


Tesekkürler,


Aydin


 

Comments (0)