Novinky v serveru Longhorn - když síťová karanténa tak pro všechny :)

Další z novinek očekávaného serveru Longhorn je i podpora síťové karantény pro interní síť společnosti. Funkcionalita síťové karantény, obsažená již ve Windows serveru 2003 pro vzdálený přístup pomocí VPN/dial-up, umožňuje izolovat klienty kteří nesplňují bezpečnostní politiku definovanou administrátorem v oddělené síti, izolované od ostatních interních zdrojů společnosti. Přístup klientům kteří nesplňují danné podmínky, je pak umožněn jen na vybrané zdroje pro umožnění docílení požadované úrovně zabezpečení, jako např.WUS server, server s antivirovými updaty apod...

Technologii síťové karantény je nyní možné použít jen při vzdáleném přístupu, v serveru Longhorn ji bude možné nasadit i uvnitř společnosti a kontrolovat tak zdraví klientských PC (může být i server) předtím než je jim umožněn přístup k interním zdrojům společnosti.

Zabývali jste se někdy otázkou jak zabezpečit síť před uživateli přenosných PC které nemáte ve správě? Věřím že ano, odpovědí na tento problém by mohla být technologie o které je tento článek. Řeč je o technologii NAP čili Network Access Protection.

Jak celá věc funguje
Klient služby NAP při přístupu do sítě ohodnotí své zdraví podle předem danných pravidel a výsledek jen předán NPS serveru ve formě tzv.SoH (state of health). Záměrně jsem napsal "je předán" protože to dělá přístupový bod do interní sítě -tedy DHCP server, síťový switch/router, bezdrátový přístupový bod,VPN server. Tyto přístupové body předají SoH status serveru NPS pomocí RADIUS protokolu, NPS vyhodnotí SoH oproti definovaným politikám a zpět vrátí odpověď zda klient splňuje či nesplňuje politiku. Na základě odpovědi je klientovi buď umožněn plný, neomezený přístup do sítě, či aplikována pravidla umožňující přístup jen k vybraným zdrojům. Klient, který je standardně ve windows Vista, poté automaticky zaktualizuje svůj stav a aktualizovaný stav SoH se opět předá NPS serveru pro další pokus.

Kontrola zdraví klientského PC probíhá na těchto přístupových bodech:

  • DHCP server - při požadavku na IP adresu/na obnovu adresy (IPv4)
    Na straně klienta se  aplikují statické route záznamy a nastaví se omezená IP subnet. Jde tedy o nejméně bezpečnou variantu, určenou spíše pro menší sítě.
  • Health certificate server -kombinace služeb CA, IIS, HRA (health registration autority) běžících na Longhorn serveru.
    Služba vydávající X.509 certifikáty zdravým klientům pro IPsec komunikaci ve vnitřní síti společnosti. Health certifikát v tomto případě nahrazuje status SoA zmíněný výše prokazující že klient úspěšně prošel kontrolou. Jde o nejvyšší možnou konfiguraci a díky flexibilitě a centrální administraci politik jde o nejlepší možné řešení.
  • Autentizace pomocí 802.1X pro switche/routery a bezdrátové sítě.
    Při fyzickém přístupu do sítě probíhá komunikace mezi aktivním síťovým prvkem a serverem NPS pomocí RADIUS protokolu. Na základě výsledku testu je možné aplikovat síťové omezení pomocí access listů, či vytvořením izolované VLAN.... Seznam výrobců síťových zařízení spolupracujích s Microsoft na podpoře NAP je opravdu široký: https://www.microsoft.com/windowsserver2003/partners/nappartners.mspx. A za zmínku rozhodně stojí i nedávno zveřejněná spolupráce mezi Cisco a Microsoft na spolupráci technologií NAP a NAC, jde o podobné řešení. Více viz tento NAP-NAC white paper.
  • VPN/dial-up přístup pomocí služby RRAS
    Řešení podobné síťové karanténě známé z windows serveru 2003. Klient nesplňující požadavky je umístěn do izolované sítě po dobu nesplnění danné konfigurace.

Celý proces v grafickém schematu:

Tyto podmínky jsou na straně klienta standardně kontrolovány:

  • klient má zapnutý a funkční firewall software
  • antivirový program běží a je funkční
  • poslední antivirové aktualizace jsou nainstalovány
  • antispyware program je instalován a běží
  • poslední antispyware aktualizace jsou nainstalovány
  • klient má povolené aktualizace pomocí Windows Update.

Klientská podpora
Jak jsem již zmínil klient NAP je standardně integrován s windows Vista a serveru Longhorn, dostupný bude i pro windows XP SP2 stahnutelný z WEBu Microsoft. Nicméně nejlepší schopnosti nabízí právě klient ve windows Vista.

Chcete vědět víc či testovat?
Na stránkách Technet najdete dost informací i použitelné step-by-step příručky pro různé scénáře nasazení : https://www.microsoft.com/technet/network/nap/default.mspx

Tak hezké Vánoce a všem :)
- Roman Černovský