Защита сетевого доступа для windows
Сегодня компания Microsoft предлагает функцию защиты сетевого доступа, которая не допускает в сеть компьютеры, не прошедшие проверку на безопасность. В этой статье рассказывается о принципах защиты сетевого доступа как одной из новых функций Windows Server 2008.
Защита Сетевого Доступа Microsoft (Network Access Protection, MS-NAP) действует по принципу соответствия требованиям: в сеть допускаются только те системы Microsoft, которые соответствуют установленным требованиям безопасности в сети. Важнейшее условие доступа в сеть – наличие пакета обновлений и заплаток определенной версии. Тем не менее, функция MS-NAP не предназначена для защиты от действий злоумышленников. Применение MS-NAP обеспечивает отдельным клиентам защиту при подключении к сети. В этой статье впервые в эксклюзивной серии TechRepublic будет описано применение MS-NAP.
Почему так важна защита сетевого доступа?
В сущности, главное преимущество защиты сетевого доступа заключается в том, что она не допускает в сеть тех клиентов, чья система не соответствует необходимому уровню безопасности. Критериями могут служить версия пакета обновления, настройки антивирусного программного приложения и другие аспекты. Особое значение защита сетевого доступа имеет для предотвращения доступа в сеть мобильных компьютерных систем. Взять, к примеру, пользователя ноутбука, который использует соединение VPN для доступа к офисной сети, когда решает поработать дома. В такой ситуации защита сетевого доступа не позволит пользователю войти в сеть, если его система не смогла обратиться к защитным инструментам управления сетевым доступом.
Большое значение защита сетевого имеет и в том случае, когда к сети пытаются подключить домашние компьютеры. В принципе, обеспечение доступа в сеть тем компьютерам, поддержкой и администрированием которых организация не занимается, считается плохой практикой, но тем не менее, иногда такое случается. В такой ситуации защита сетевого доступа играет огромную роль; в противном случае никто не гарантирует, что на компьютере, получившем доступ в сеть, установлен антивирус, не говоря уже о пакетах обновлений и заплатках.
Кроме того, защита сетевого доступа может применяться для управления безопасностью стандартных настольных систем и других серверов Windows Server 2008 с целью определить, могут ли они быть допущены в сеть. Это позволяет снизить уровень риска, связанного с тем, что одна из таких систем в течение долго времени долго не выходила в сеть и стала, как следствие, уязвимой. Эта ситуация, по сути, аналогична сценарию с сетевым доступом для ноутбука, описанному выше.
Разработка сценария применения защиты сетевого доступа MS-NAP
Параметры защиты сетевого доступа могут быть настроены для Windows Server 2008 в качестве сервера и Windows Vista, Windows Server 2008 или Windows XP с пакетом обновлений Service Pack 3 в качестве поддерживаемых клиентов. Пакет обновлений Service Pack 3 для Windows XP еще не появился в открытом доступе, но уже известно, что он будет включать клиент NAP для Windows XP, которое на момент написания статьи находится в стадии бета-тестирования, осуществляемого специалистами Microsoft.
Различные роли MS-NAP осуществляют применение сетевой политики, хранение данных о политике безопасности, обеспечивают текущий уровень безопасности и изолируют те устройства, которые не соответствуют установленным требованиям. Их функционирование определяется в соответствии с методами обеспечения защиты сетевого доступа, указанными при настройке сети. Предусматривается также создание изоляционной зоны (сети коррекции) для устройств, не соответствующих установленным требованиям. В этой зоне устройства проходят необходимую корректировку и настройку, прежде чем будут допущены в сеть предприятия. На рисунке А приводится общая схема функционирования защиты MS-NAP и различных ее ролей.
Рисунок А Система защиты MS-NAP включает в себя различные роли.
Компания Microsoft уже давно предлагает продукты, способные осуществлять различные сетевые функции, такие как DNS, DHCP, маршрутизация и WINS. Появление защиты MS-NAP не означает отказа от этих продуктов. Хотя ИТ-специалисты на предприятии не всегда используют в полной мере сетевые службы, функционирование которых обеспечивает оборудование сети, применение MS-NAP позволяет использовать роли сервера Windows для аутентификации и управления политикой безопасности. В обеспечении безопасности защита MS-NAP опирается на стандартное сетевое оборудование – поэтому с точки зрения работы в сети, ее не назовешь исключительно продуктом Microsoft.
Более подробное описание MS-NAP
Основную идею MS-NAP понять довольно легко, но как же функционирует эта система? Защита MS-NAP опирается на сложный комплекс схем коммуникации и ролей сервера для обеспечения безопасности в сети. Здесь мы подробнее рассмотрим потоки трафика MS-NAP. Для обеспечения безопасности со стороны сервера система MS-NAP использует следующие компоненты:
Полномочия реестра безопасности (Health Registry Authority, HRA): Этот компьютер с операционной системой Windows Server 2008, которому присвоена роль IIS, получает сертификаты безопасности в системе центров сертификации.
Сервер политики безопасности NAP (NAP Health Policy Server, NPS): Этот компьютер с операционной системой Windows Server 2008, которому присвоена роль NPS, подтверждает уровень безопасности и содержит данные от требованиях политики безопасности.
Сервер коррекции (Remediation Server): На этом компьютере содержатся ресурсы, к которым могут обратиться те клиенты NAP, которые не соответствуют требованиям политики безопасности, с целью откорректировать свое состояние. Под ресурсами могут подразумеваться обновления баз данных антивирусов и обновления программного обеспечения.
Сервер, содержащий требования к безопасности (Health Requirement Server): Эта роль обеспечивает текущий уровень безопасности серверов MS-NAP.
Клиент NAP: Этот клиент представляет собой управляемый компьютер, к которому применяются требования политики MS-NAP (Windows XP SP3, Vista)
Сервер VPN: Эту роль может исполнять существующая система, но в любом случае, сервер VPN представляет собой точку доступа клиентов во внешнюю сеть (которая не ограничивается одним лишь Интернетом).
Сетевое оборудование: Коммутаторы или устройства WAP (Wireless Access Points, беспроводные точки доступа) с поддержкой аутентификации IEEE 802.1X.
Сервер DHCP: В системе MS-NAP сервер DHCP использует протокол RADIUS для связи с сервером NPS для определения уровня безопасности клиента NAP. Сервер DHCP – ключевой элемент MS-NAP: если система соответствует требованиям безопасности, она получит неограниченный доступ к сети; в противном случае, она будет направлена в сеть коррекции с целью повышения уровня своей безопасности в соответствии с существующими требованиями.
Примеры использования MS-NAP
Получив общее представление о функционировании защиты MS-NAP, рассмотрим, каким образом эта система может быть использована для защиты универсальных сетей. Безопасность – основной приоритет для любой организации, поэтому при введении в эксплуатацию новой сети необходимо продумать вопросы безопасности еще на стадии разработки. Защита MS-NAP может запретить доступ в сеть предприятия определенным опознанным пользователям или незащищенным системам. В сетях Windows одним из наиболее эффективных инструментов управления доступом, с точки зрения профессионалов в области информационных технологий, является домен Active Directory (AD).
В рамках AD возможно управление многими элементами системы, а также использование других пакетов управления, например, Systems Management Server (SMS), управление антивирусным программным обеспечением и обновлениями Windows. Защита MS-NAP позволяет обеспечить безопасность там, где обычные системы управления доступом оказываются бессильны.
Возьмем, к примеру, ситуацию, когда у поставщика или другого делового партнера предприятия может возникнуть потребность подключиться напрямую к одному из ресурсов в сети предприятия. При этом поставщик может воспользоваться для доступа в сеть компьютером, подключенным к другому домену или механизму управления, который, таким образом, не подконтролен ИТ-специалиста данного предприятия. Наконец, этот компьютер может оказаться элементом другой системы Active Directory – в этом случае после подключения к сети предприятия придется затратить значительное время на решение проблем совместимости настроек. Если в сети используется защита MS-NAP, установленные требования к безопасности будут применены к компьютеру поставщика еще до того, как он получит доступ в сеть.
Кто имеет право обновлять системы, не подконтрольные данному предприятию, – совсем другой вопрос, гораздо более спорный, чем сама мысль о том, что такие системы не могут быть напрямую допущены в сеть предприятия. Но если необходимость обеспечить прямой доступ постороннему компьютеру в сеть предприятия все-акти возникает, использование MS-NAP позволяет применить к нему требования, установленные в данной сети, еще до того, как система получит в нее доступ. Это позволяет выравнять несоответствие между стандартами, установленными в сети, и теми, что применяет компания, выпускающая оборудование.
Разумеется, одна из основных задач MS-NAP – ограничивать доступ в сеть удаленных пользователей данной организации (работающих на ноутбуках или домашних компьютерах), чтобы избежать риска в случае ошибки соединения. В тех редких случаях, когда к сети подключаются пользователи, управление компьютерами которых вообще не осуществляется, риск повышается. Использование защиты MS-NAP для всех удаленных систем позволит управлять и этими компьютерами, администрирование которых затруднено в связи с тем, что они редко бывают в сети. Клиент MS-NAP при этом не должен быть членом домена AD данной организации (то есть, наличие учетной записи для его компьютера необязательно). Однако с помощью AD можно управлять аутентификацией непосредственно.
Ресурсы Microsoft для MS-NAP
Сегодня в Интернете можно найти подробную информацию о предварительной разработке MS-NAP и тестировании этой системы защиты в бета-версиях операционной системы Windows Server 2008. Кроме того, компания Microsoft выпустила полный отчет об архитектуре системы и ее применении, в котором эти вопросы рассматриваются с более глобальных позиций. Этот отчет можно найти на сайте Microsoft в Интернете.
Межплатформенная поддержка NAP
Защита MS-NAP функционирует на основе протокола аутентификации IEEE 802.1X, который находит широкое применение в современных компьютерных сетях. Это обеспечивает совместимость MS-NAP с различными устройствами и клиентами с операционными системами Windows Server 2008, Vista и XP с поддержкой NAP. В целом, протокол аутентификации IEEE 802.1X обеспечивает безопасный доступ к беспроводным сетям и сетям Ethernet. Это становится возможным за счет протокола RADIUS, который служит стандартным протоколом для IEEE 802.1X.
Защита сетевого доступа для Windows
Сегодня компания Microsoft предлагает функцию защиты сетевого доступа, которая не допускает в сеть компьютеры, не прошедшие проверку на безопасность. В этой статье рассказывается о принципах защиты сетевого доступа как одной из новых функций Windows Server 2008.
Защита Сетевого Доступа Microsoft (Network Access Protection, MS-NAP) действует по принципу соответствия требованиям: в сеть допускаются только те системы Microsoft, которые соответствуют установленным требованиям безопасности в сети. Важнейшее условие доступа в сеть – наличие пакета обновлений и заплаток определенной версии. Тем не менее, функция MS-NAP не предназначена для защиты от действий злоумышленников. Применение MS-NAP обеспечивает отдельным клиентам защиту при подключении к сети. В этой статье впервые в эксклюзивной серии TechRepublic будет описано применение MS-NAP.
Почему так важна защита сетевого доступа?
В сущности, главное преимущество защиты сетевого доступа заключается в том, что она не допускает в сеть тех клиентов, чья система не соответствует необходимому уровню безопасности. Критериями могут служить версия пакета обновления, настройки антивирусного программного приложения и другие аспекты. Особое значение защита сетевого доступа имеет для предотвращения доступа в сеть мобильных компьютерных систем. Взять, к примеру, пользователя ноутбука, который использует соединение VPN для доступа к офисной сети, когда решает поработать дома. В такой ситуации защита сетевого доступа не позволит пользователю войти в сеть, если его система не смогла обратиться к защитным инструментам управления сетевым доступом.
Большое значение защита сетевого имеет и в том случае, когда к сети пытаются подключить домашние компьютеры. В принципе, обеспечение доступа в сеть тем компьютерам, поддержкой и администрированием которых организация не занимается, считается плохой практикой, но тем не менее, иногда такое случается. В такой ситуации защита сетевого доступа играет огромную роль; в противном случае никто не гарантирует, что на компьютере, получившем доступ в сеть, установлен антивирус, не говоря уже о пакетах обновлений и заплатках.
Кроме того, защита сетевого доступа может применяться для управления безопасностью стандартных настольных систем и других серверов Windows Server 2008 с целью определить, могут ли они быть допущены в сеть. Это позволяет снизить уровень риска, связанного с тем, что одна из таких систем в течение долго времени долго не выходила в сеть и стала, как следствие, уязвимой. Эта ситуация, по сути, аналогична сценарию с сетевым доступом для ноутбука, описанному выше.
Разработка сценария применения защиты сетевого доступа MS-NAP
Параметры защиты сетевого доступа могут быть настроены для Windows Server 2008 в качестве сервера и Windows Vista, Windows Server 2008 или Windows XP с пакетом обновлений Service Pack 3 в качестве поддерживаемых клиентов. Пакет обновлений Service Pack 3 для Windows XP еще не появился в открытом доступе, но уже известно, что он будет включать клиент NAP для Windows XP, которое на момент написания статьи находится в стадии бета-тестирования, осуществляемого специалистами Microsoft.
Различные роли MS-NAP осуществляют применение сетевой политики, хранение данных о политике безопасности, обеспечивают текущий уровень безопасности и изолируют те устройства, которые не соответствуют установленным требованиям. Их функционирование определяется в соответствии с методами обеспечения защиты сетевого доступа, указанными при настройке сети. Предусматривается также создание изоляционной зоны (сети коррекции) для устройств, не соответствующих установленным требованиям. В этой зоне устройства проходят необходимую корректировку и настройку, прежде чем будут допущены в сеть предприятия. На рисунке А приводится общая схема функционирования защиты MS-NAP и различных ее ролей.
Компания Microsoft уже давно предлагает продукты, способные осуществлять различные сетевые функции, такие как DNS, DHCP, маршрутизация и WINS. Появление защиты MS-NAP не означает отказа от этих продуктов. Хотя ИТ-специалисты на предприятии не всегда используют в полной мере сетевые службы, функционирование которых обеспечивает оборудование сети, применение MS-NAP позволяет использовать роли сервера Windows для аутентификации и управления политикой безопасности. В обеспечении безопасности защита MS-NAP опирается на стандартное сетевое оборудование – поэтому с точки зрения работы в сети, ее не назовешь исключительно продуктом Microsoft.
Более подробное описание MS-NAP
Основную идею MS-NAP понять довольно легко, но как же функционирует эта система? Защита MS-NAP опирается на сложный комплекс схем коммуникации и ролей сервера для обеспечения безопасности в сети. Здесь мы подробнее рассмотрим потоки трафика MS-NAP. Для обеспечения безопасности со стороны сервера система MS-NAP использует следующие компоненты:
Полномочия реестра безопасности (Health Registry Authority, HRA): Этот компьютер с операционной системой Windows Server 2008, которому присвоена роль IIS, получает сертификаты безопасности в системе центров сертификации.
Сервер политики безопасности NAP (NAP Health Policy Server, NPS): Этот компьютер с операционной системой Windows Server 2008, которому присвоена роль NPS, подтверждает уровень безопасности и содержит данные от требованиях политики безопасности.
Сервер коррекции (Remediation Server): На этом компьютере содержатся ресурсы, к которым могут обратиться те клиенты NAP, которые не соответствуют требованиям политики безопасности, с целью откорректировать свое состояние. Под ресурсами могут подразумеваться обновления баз данных антивирусов и обновления программного обеспечения.
Сервер, содержащий требования к безопасности (Health Requirement Server): Эта роль обеспечивает текущий уровень безопасности серверов MS-NAP.
Клиент NAP: Этот клиент представляет собой управляемый компьютер, к которому применяются требования политики MS-NAP (Windows XP SP3, Vista)
Сервер VPN: Эту роль может исполнять существующая система, но в любом случае, сервер VPN представляет собой точку доступа клиентов во внешнюю сеть (которая не ограничивается одним лишь Интернетом).
Сетевое оборудование: Коммутаторы или устройства WAP (Wireless Access Points, беспроводные точки доступа) с поддержкой аутентификации IEEE 802.1X.
Сервер DHCP: В системе MS-NAP сервер DHCP использует протокол RADIUS для связи с сервером NPS для определения уровня безопасности клиента NAP. Сервер DHCP – ключевой элемент MS-NAP: если система соответствует требованиям безопасности, она получит неограниченный доступ к сети; в противном случае, она будет направлена в сеть коррекции с целью повышения уровня своей безопасности в соответствии с существующими требованиями.
Примеры использования MS-NAP
Получив общее представление о функционировании защиты MS-NAP, рассмотрим, каким образом эта система может быть использована для защиты универсальных сетей. Безопасность – основной приоритет для любой организации, поэтому при введении в эксплуатацию новой сети необходимо продумать вопросы безопасности еще на стадии разработки. Защита MS-NAP может запретить доступ в сеть предприятия определенным опознанным пользователям или незащищенным системам. В сетях Windows одним из наиболее эффективных инструментов управления доступом, с точки зрения профессионалов в области информационных технологий, является домен Active Directory (AD).
В рамках AD возможно управление многими элементами системы, а также использование других пакетов управления, например, Systems Management Server (SMS), управление антивирусным программным обеспечением и обновлениями Windows. Защита MS-NAP позволяет обеспечить безопасность там, где обычные системы управления доступом оказываются бессильны.
Возьмем, к примеру, ситуацию, когда у поставщика или другого делового партнера предприятия может возникнуть потребность подключиться напрямую к одному из ресурсов в сети предприятия. При этом поставщик может воспользоваться для доступа в сеть компьютером, подключенным к другому домену или механизму управления, который, таким образом, не подконтролен ИТ-специалиста данного предприятия. Наконец, этот компьютер может оказаться элементом другой системы Active Directory – в этом случае после подключения к сети предприятия придется затратить значительное время на решение проблем совместимости настроек. Если в сети используется защита MS-NAP, установленные требования к безопасности будут применены к компьютеру поставщика еще до того, как он получит доступ в сеть.
Кто имеет право обновлять системы, не подконтрольные данному предприятию, – совсем другой вопрос, гораздо более спорный, чем сама мысль о том, что такие системы не могут быть напрямую допущены в сеть предприятия. Но если необходимость обеспечить прямой доступ постороннему компьютеру в сеть предприятия все-акти возникает, использование MS-NAP позволяет применить к нему требования, установленные в данной сети, еще до того, как система получит в нее доступ. Это позволяет выравнять несоответствие между стандартами, установленными в сети, и теми, что применяет компания, выпускающая оборудование.
Разумеется, одна из основных задач MS-NAP – ограничивать доступ в сеть удаленных пользователей данной организации (работающих на ноутбуках или домашних компьютерах), чтобы избежать риска в случае ошибки соединения. В тех редких случаях, когда к сети подключаются пользователи, управление компьютерами которых вообще не осуществляется, риск повышается. Использование защиты MS-NAP для всех удаленных систем позволит управлять и этими компьютерами, администрирование которых затруднено в связи с тем, что они редко бывают в сети. Клиент MS-NAP при этом не должен быть членом домена AD данной организации (то есть, наличие учетной записи для его компьютера необязательно). Однако с помощью AD можно управлять аутентификацией непосредственно.
Ресурсы Microsoft для MS-NAP
Сегодня в Интернете можно найти подробную информацию о предварительной разработке MS-NAP и тестировании этой системы защиты в бета-версиях операционной системы Windows Server 2008. Кроме того, компания Microsoft выпустила полный отчет об архитектуре системы и ее применении, в котором эти вопросы рассматриваются с более глобальных позиций. Этот отчет можно найти на сайте Microsoft в Интернете .
Межплатформенная поддержка NAP
Защита MS-NAP функционирует на основе протокола аутентификации IEEE 802.1X, который находит широкое применение в современных компьютерных сетях. Это обеспечивает совместимость MS-NAP с различными устройствами и клиентами с операционными системами Windows Server 2008, Vista и XP с поддержкой NAP. В целом, протокол аутентификации IEEE 802.1X обеспечивает безопасный доступ к беспроводным сетям и сетям Ethernet. Это становится возможным за счет протокола RADIUS, который служит стандартным протоколом для IEEE 802.1X.
Главное преимущество этого протокола аутентификации заключается в том, что для функционирования сети при этом не требуется сервер аутентификации в роли сервера базы данных, а значит сетевое оборудование, совместимое с этим протоколом, может передавать запросы на роли MS-NAP, определенные в соответствии с конфигурацией системы. При этом защита MS-NAP позволяет централизованно управлять авторизацией, учетной записью и аутентификацией с использованием системы показателей уровня безопасности. Сегодня оборудование многих производителей поддерживает этот протокол аутентификации, разработанный HP, Microsoft, Cisco, сетями Trapeze и Enterasys.
