[ A Windows Server 2008 újdonságai: NAP ]

A Windows Server 2008 újdonságai: NAP

  • 2007-12-17 03:08
Ebben a részben egy a Windows Server 2008-ban bemutatkozó teljesen új technológiával szeretnénk megismertetni az olvasókat. Ez a szolgáltatás a Network Access Protection nevet viseli és a hálózatba léptetett gépek biztonságáért felel?s.

A vállalatok életében az egyik legnagyobb problémát a sok esetben nagy kiterjedés? hálózatok számítógépeinek biztonságossá tétele jelenti. Itt els?sorban nem az adatok titkosításáról és a hálózati forgalom szabályozásáról van szó, inkább azon veszélyek elhárításáról, megel?zésér?l, melyeket a hálózatra csatlakozó munkaállomások jelentenek a teljes infrastruktúrára nézve. Egy vállalati hálózathoz általában nagyon sokan kapcsolódnak és az esetek dönt? többségében nem csak az irodákba telepített munkaállomásokról, hanem laptopokról, kéziszámítógépekr?l, melyeket a dolgozók otthon és a vállalaton belül egyaránt használnak. Egyre több cégnél terjednek a távmunka-megoldások, ilyenkor a dolgozók otthoni számítógépeikr?l csatlakozhatnak a vállalati hálózathoz és a különféle er?forrásokhoz, akár VPN (Virtual Private Network) akár egyéb távelérési kapcsolaton keresztül.

A biztonságos üzemeltetés érdekében számos védelmi megoldást használhatunk, sz?rhetjük a hálózati forgalmat ISA Server segítségével, statikus DHCP szolgáltatás segítségével csak az általunk meghatározott fizikai (MAC) címmel rendelkez? gépeket engedhetjük a hálózatunkra, csoportházirendb?l telepíthetünk vírusirtókat, szabályozhatjuk a t?zfal beállításait. Ezekkel a megoldásokkal mindössze egyetlen probléma van, ám ez igen jelent?s probléma. Mi történik, ha már hozzáférést biztosítottunk egy számítógép számára, mely kés?bb válik veszélyforrássá?

Tegyük fel, hogy egy felhasználó laptopja tartományi tag és egyik nap mikor a dolgozó felveszi a munkát, hoz magával egy vírust. Persze telepíthetünk a hálózati számítógépekre víruskeres?ket, de ezeket a felhasználó kikapcsolhatja, eltávolíthatja, egyéb módon akadályozhatja a m?ködést. De említhetjük a frissítéseket is: hogyan ellen?rizzük, hogy minden szükséges javítás telepítve van-e az operációs rendszerhez? Természetesen sok probléma megoldható csoportházirend használatával, de tudni kell, ez közel sem elegend?, és nem is biztos, hogy házirendet akarunk tölteni minden számítógépre ami bekerül a hálózatunkba. A DHCP MAC sz?rés ezen kívül egyáltalán nem rugalmas megoldás, csak megköti a rendszergazdák kezét. Ezekben a helyzetekben nyújt segítséget a Network Access Protection (NAP), mely az ügyfélszámítógépek hálózati hozzáférését szabályozó új szolgáltatás.


A f? problémák tehát a következ?k:

  • Rengeteg kliens csatlakozik különböz? fizikai helyekr?l, melyek sok esetben nem ellen?rizhet?ek.
  • A frissítések, a t?zfal és a víruskeres? állapota ismeretlen.
  • A kliensek lehet, hogy nem is Windows-t futtatnak.
  • A GP (Group Policy) nem elegend? védelem, igazából nem is védelem csak egy lehet?ség a szabályozásra.

A NAP-hoz hasonló megoldások gondolata nem teljesen új, hiszen már a Windows Server el?z? verzióiban is létezett a NAQC (Network Access Quarantine Control), de ezt csak távolról csatlakozó kliensek felügyeletére használhatjuk, például VPN kapcsolat vagy más távoli csatlakozás esetén. További hátránya, hogy a szabályokat minden környezetre magunknak kell megírnunk, ezért implementálása meglehet?sen bonyolult és id?igényes.

Egy talán sokak számára ismer?s megoldás a Cisco fejleszt?mérnökeinek keze alól került ki, ez pedig a NAC (Network Admission Control), mely már lényeges hasonlóságokat mutat a Microsoft megoldásával. A jó hír, hogy a NAC és a NAP képes közösen m?ködni egy hálózatban, így párhuzamosan használhatjuk a két szolgáltatást.

Ha röviden akarjuk megmagyarázni mi is a NAP, talán a következ? meghatározás áll a legközelebb a valósághoz: a NAP biztosítja, hogy csak egészséges kliensek férhessenek hozzá a hálózati er?forrásokhoz és nem csak ennek megállapítását teszi lehet?vé, de segít is elérni ezt az egészséges (elégséges) állapotot. Az ügyfelek lehetnek asztali számítógépek, laptopok, PDA-k, és egyéb más eszközök is melyek támogatják a NAP-t.


Mi is az "egészséges" állapot?

[ Kép ]
Egészségesnek nevezzük azt az állapotot, amikor a számítógépek megfelelnek azon feltételeknek amelyeket a NAP házirendben meghatároztunk. Eltér? környezetekben tehát el?fordulhat, hogy az egyik hálózatban egészségesnek mondott gép, nem lesz egészséges egy idegen hálózatban.

Amit érdemes megemlíteni, hogy a NAP nem csak egy szolgáltatás, valójában egy platformról van szó, amely szerver és kliens oldali komponensekb?l áll. Az ígéretek szerint a Windows Server 2008 megjelenésének idején elérhet? lesz egy API, amelynek segítségével különböz? platformokra készíthetünk kliens oldali komponenseket. Nem is olyan régen megjelent az els? NAP kliens Linux operációs rendszerekhez is, tehát egyáltalán nincs arról szó, hogy csak a Microsoft termékeivel felvértezett hálózatokban lenne használható a NAP. Jelenleg már több mint 100 vállalat támogatja hivatalosan is a NAP-t.


Mit kínál nekünk a NAP?

  • A kliensek állapotának diagnosztizálása.
  • A hálózati hozzáférés korlátozása különböz? módszerekkel, monitorozás.
  • Az egészséges állapot elérésének segítése.
  • Folyamatos ellen?rzés.


Kapcsolódási metódusok:

A NAP biztosítja az általunk definiált szabályoknak való megfelelést a hálózaton. Öt különböz? módszer áll rendelkezésünkre, melyekkel biztosíthatjuk a megfelel?séget.


DHCP

[ Kép ]
Ez a megoldás a legegyszer?bb konfigurálás szempontjából, ugyanakkor a legkevésbé biztonságos. A már mindenki számára jól ismert DHCP szolgáltatást használja fel a kliensek hozzáférésének szabályozására. Amire szükségünk van az egy NPS (Network Policy Server) és egy DHCP szerver, melyek futhatnak egy számítógépen is.

  • A kliens csatlakozni próbál a DHCP szerverhez, hogy IP-címet kérjen és csatlakozhasson a hálózathoz.
  • A NAP megvizsgálja a kliens állapotát és amennyiben az megfelel?, egy érvényes IP címet oszt ki. Ellenkez? esetben a kliens egy korlátozott hálózathoz kap hozzáférést, oly módon, hogy csak egy alhálózati maszkot és néhány host route-ot kap a remediation ("gyógyító") szerverig, de átjárót nem.
  • Ezek a szerverek biztosíthatnak javításokat, frissítéseket a víruskeres? adatbázisához és egyéb er?forrásokat, hogy a kliens megfelel? állapotba kerülhessen. Ilyen szerver lehet egy WSUS (Windows Server Update Services), vagy SCCM (System Center Configuration Manager) 2007.
  • Amint az ügyfélgép egészséges állapotba kerül, teljes érték? IP-címet kap és csatlakozhat a hálózathoz.


VPN

A módszer használatához a VPN kiszolgálónak Windows Server 2008 operációs rendszeren kell futnia, és a RRAS (Routing and Remote Access) szolgáltatásnak telepítve kell lennie.
[ Kép ]


  • A VPN kliens megpróbál csatlakozni a hálózat peremén lév? VPN szerverhez.
  • A VPN szerver ellen?rzi a kliens állapotát a NAP szerver segítségével, ami lehet egy másik szerveren futó NPS vagy RADIUS vagy egy RADIUS proxy. Ha az ellen?rzés eredménye pozitív a kliens kapcsolódhat a hálózathoz. Amennyiben negatív, a szerver csomagsz?r?ket alkalmaz melyek karanténba zárják a klienst és csak egy korlátozott hálózathoz engedik hozzáférni, ahol általában az úgynevezett "gyógyító" szerver található.
  • Ha a kliens állapota már megfelel?, a sz?r?k eltávolításra kerülnek és szabadon hozzáférhet a hálózathoz.


802.1X

A 802.1X egy IEEE szabvány hálózati hozzáférés portonkénti szabályozásra. Ez annyit jelent, hogy a fizikai infrastruktúrát használjuk a szabályozásra. Amennyiben a switchez csatlakozó eszköz számára engedélyeztük a forgalmat úgy a port nyitott, egyéb esetben pedig tiltott.

  • Az EAP-képes kliens (például egy Vista) csatlakozni próbál a 802.1X-et támogató switch-hez. A legtöbb vállalati kategóriájú switch támogatja ezt a szabványt. A NAP m?ködéséhez szükséges a 802.1x és a V-LAN switching támogatás is.
  • A switch továbbítja az információkat az NPS-nek amely megállapítja az egészségi állapotot. Ha minden rendben az NPS utasítja a switch-et a port nyitására, ellenkez? esetben bezárja a portot, vagy egy olyan VLAN szegmensbe helyezi ahol kapcsolódhat a "gyógyító" szerverhez.
  • Miután az ügyfélgép elérte a kívánt állapotot, a port engedélyezésre kerül és csatlakozhat a hálózathoz.


IPSec

Az IPSec-et használó megoldás annyiban eltér az eddigiekben bemutatottaktól, hogy nem zárja el a klienst a hálózattól egy korlátozott alhálózatra vagy V-LAN-ra, hanem egyszer?en nem kap tanúsítványt így nem tud kommunikálni az egészséges számítógépekkel (pontosabban az egészséges gépek nem fogadják el a t?le származó csomagokat).


TS Gateway

Ezzel a funkcióval már az el?z? cikkben megismerkedtünk, és akkor is említettem, hogy integrálható a NAP-el. Ebben az esetben a kliensek elzárásara van lehet?ség, de nem hozhatjuk ?ket automatikusan egészséges állapotba, tehát nincsen lehet?ség a "gyógyító" szerver elérésére.


Konfiguráció

[ Kép ]
Miel?tt a beállítások részleteibe mélyednénk, néhány implementációs tanácsot szeretnénk adni azoknak a rendszerüzemeltet?knek akik vállalatuknál szeretnék bevezetni a NAP-t. A módszer lényege a fokozatos bevezetés. Erre azért van szükség, mert a hálózatban lev? kliensek állapotával nem biztos, hogy teljes mértékben tisztában vagyunk és azt senki sem szeretné, ha egyik reggel a NAP kiszolgáló 2-300 számítógép hálózati hozzáférését tagadná meg.

Az ajánlott telepítési lépések a következ?k:

  • Els? fázis: Csak és kizárólag jelentések készülnek az eseménynaplóba, a hozzáférés korlátozása nélkül és a kliensek állapotának változtatása nélkül. Így megtudhatjuk hálózatunk milyen állapotban van.

  • Második fázis: Folytatódik a megfigyelés, azonban a "gyógyító" szerver segítségével megkezd?dik a munkaállomások állapotának javítása is a nem megfelel? egyedek kizárása nélkül.

  • Harmadik fázis: Itt már megtörténik a nem megfelel? állapotú számítógépek kizárása a hálózatról, azonban csak egy meghatározott id? elteltével. Például, ha nincsen friss vírusirtó adatbázis a gépen, csatlakozhat ugyan a hálózathoz de csak egy hétig, aztán már csak a kívánt állapot elérése után, melyben segít a "gyógyító" szerver.

  • Negyedik fázis: A végs? fázisban a kizárás azonnal megtörténik és nincsen lehet?ség a teljes hálózat elérésére a nem megfelel? állapotú kliensekr?l. A korlátozás módja természetesen függ az el?z?ekben már ismertetett és általunk alkalmazott módszert?l is. Amennyiben a gyógyítást végz? szerver elérhet?, úgy megtörténhet a kliensek frissítése, és ezek után léphetnek be a vállalati hálózatunkba.


NAP kliens

A NAP szolgáltatásait csak azok a számítógépek vehetik igénybe amelyek futtatják a kliens oldali összetev?ket, vagyis a NAP klienst. Jelenleg a Windows Vista Service Pack 1-ben és a Windows Server 2008-ban találjuk meg ezt az összetev?t, de letölthet? a Windows Server 2003 és a Windows XP Service Pack 2-es operációs rendszerekhez is, béta változatban pedig már elérhet? Linux rendszerekhez is. A konfigurációt érdemes csoportházirend segítségével elvégezni. A helyi számítógép beállításához adjuk ki a következ? parancsot: napclcfg.msc

[ A Vista NAP-kliense ]
A Vista NAP-kliense
Történt egyszer, hogy itthon felraktam egy gépre Win Server 2003 R2-t, csak úgy próbálgatni. Nemrég pedig helyette Ubuntu 8.04 szervert raktam rá, szintén kísérletezni.

Elég kocka vagyok, de GUI-mentes Linuxszal még nem foglalkoztam. Ennek ellenére a linux szerverrel könnyebben boldogultam. A Vi-vel meggy?lt a bajom, de mostmár valamennyire azt is tudom használni. Ott volt a leírásban mit írjak be, beírtam, m?ködik. Ezek után testre szabtam, teljesen jól használható. (Igaz h nem használom, de ez most mindegy) Sokszor hiányoltam a gui-t, dehát ftp-n keresztül egész jól átlátható a fájlrendszer.

Valószínüleg Én vagyok béna, de Win szerveren egy web szervert nem tudtam beállítani. Alapból nem fut rajta PHP (és nem is tudtam feltelepíteni, pedig megoldható). A Win Srv 2008 már több nyelv? is lehet, linuxban ez elég régóta benne van. A Win a GUI-jával terheli a procit, míg normális szervereknél nincs ilyen gond. Egyébként jók ezek az új dolgok.

Elfogult vagyok, (nem olvastam elég figyelmesen a helpet, stb...) és ez így jó. Ezek után mindenki döntse el, hogy felesleges dolgokat rak egy szerverre, vagy normális oprendszert.

Arról nem is beszéltem, hogy mennyibe kerül.

(Egyébként szép az oldal :D)

2008-02-26 14:57
Minek egy szerverre a csicsa?:D
moonman, hát a feeling azért mégis feeling :D
Oké, de csak azért kérdeztem, mert furcsa volt, hogy nincs benne, pedig a legtöbb helyen azzal láttam.

Ja és mégvalami: Vista SP1-ben is lehet használni a Boot Logo Generatort?

2007-12-17 22:51
Sosem értettem azokat, akik Datacenter kiszolgálóra Aero-t akarnak... :-)

2007-12-17 20:40
Alapértelmezés szerint egyik verzióban sincsen Aero, de telepíthet?, és használható akár Terminal Services-al is.
A Datacenterben nincsen Windows Aero felület?

2007-12-17 19:06
Látom valaki azért figyel is. :) Sajnos nincsen felület az információk összegzésére, pedig jó lenne olyasmi formában, mint például a DHCP szervernél. Jelenleg log fájlokból lehetne dolgozni, ami azért elég bajos, vagy SQL adatbázisból akár reporting services segítségével.

Panzer_Maus

2007-12-17 15:57
Ez nagyon szép és jó is, de nincs az alkalmazásban egy áttekint? ablak ahol látom az összes gépet és besorolási státuszukat? Mivel van probléma, melyiket tekinti a rendszer biztonságosnak, stb.