Green-sell.info

Новые технологии
0 просмотров
Рейтинг статьи
1 звезда2 звезды3 звезды4 звезды5 звезд
Загрузка...

Network access protection

Технология защиты сетевого доступа Network Access Protection (NAP) для Windows

Автор: Rick Vanover

Компанией Microsoft для своих систем была разработана технология сетевой защиты Network Access Protection (MS-NAP). Она предназначенная для ограничения сетевого доступа по принципу соответствия установленным требованиям безопасности, главное из которых — наличие сервис-пака и последних заплаток-хотфиксов.

В MS-NAP отсутствует механизм защиты от проникновения злоумышленников, однако при помощи этой технологии можно обезопасить работу в сети отдельных машин.

В чём преимущества технологии Network Access Protection?

Грубо говоря, главной целью NAP является предотвращение подключения к сети клиентских систем с устаревшей конфигурацией (например тех, где установлены старые версии служебных пакетов дополнений, антивирусного ПО и др). NAP также чрезвычайно полезна для мобильных систем. Представьте владельца ноутбука, который работает дома и подключается к корпоративной сети, будучи вне офиса; если это противоречит политике безопасности компании, NAP сможет запретить доступ для данного компьютера.

NAP необходима в тех случаях, когда сотрудники фирмы входят в сеть со своих домашних ПК. Обычно организации запрещают доступ в сеть таким машинам, но встречаются исключения. В подобных ситуациях NAP необходима как воздух, поскольку без неё администратор не может даже проверить, имеется ли на компьютере последние версии служебных пакетов и хотфиксов.

NAP можно использовать для проверки состояния стандартных настольных систем (и других серверов Windows Server 2008) на предмет предоставления сетевого доступа. Такой подход помогает защитить от проблем, которые могут возникнуть, если машину, долгое время работавшую автономно (вследствие чего она стала более уязвимой), подключили к сети. По сути, это сулит те же неприятности, что и в описанной выше ситуации с ноутбуком.

Настройка MS-NAP

MS-NAP можно настроить при помощи Windows Server 2008 для сервера и Windows Vista, Windows Server 2008, Windows XP с третьим пакетом обновлений для поддерживаемых клиентов. Третий сервис-пак для Windows XP пока что не вышел в свет (находится на стадии бета-тестирования), но известно, что в нём будет представлен модуль NAP для этой операционной системы.

Инструментарий MS-NAP использует роли объектов сети для осуществления политики администрирования и безопасности, хранения данных о системных требованиях для клиентских машин, их проверки на соответствия данным требованиям, автоматического предоставления необходимых дополнений и исправлений, а также временной изоляции несоответствующих требованиям устройств — всё это, согласно выбранным настройкам. Для устройств с выявленными недостатками предусмотрена специальная карантинная зона (коррекционная сеть), где осуществляется нужная настройка конфигурации, после которой они могут быть снова использованы для дальнейшей работы в корпоративной сети. На рисунке A показана обычная схема работы MS-NAP и её ролевых объектов.


Рисунок A. MS-NAP использует различные ролевые объекты.

Microsoft давно выпускает продукты для серверов, способные осуществлять функции маршрутизации и управления службами DNS, DHCP, WINS; MS-NAP не является исключением. Хотя не всем IT-специалистам на предприятиях понадобятся предоставляемые сетевым оборудованием службы, технология MS-NAP позволяет использовать ролевые объекты сервера Windows для идентификации и управления системами безопасности. MS-NAP использует традиционное сетевое оборудование, поэтому данная технология не может считаться 100%-м продуктом Microsoft.

Механизм работы MS-NAP

Суть MS-NAP довольно ясна. Непонятно только как всё это работает. Для осуществления защиты сети MS-NAP использует ролевые объекты сервера в сочетании с комбинациями коммуникационных каналов. Рассмотрим подробнее поток трафика MS-NAP. Для сервера используются следующие компоненты MS-NAP:

  • Полномочия реестра безопасности (Health Registry Authority, HRA): Этот компьютер Windows Server 2008, которому назначена роль интернет-сервера IIS, получает необходимые сертификаты безопасности из соответствующих центров.
  • Сервер политики безопасности NAP (NAP Health Policy Server, NPS): Этот компьютер Windows Server 2008 с присвоенной ролью NPS содержит требования по политике безопасности и выполняет проверку на соответствие данным требованиям.
  • Коррекционный сервер (Remediation Server): Здесь расположены ресурсы для устранения неисправностей клиентов NAP, не прошедших проверку на соответствие. Например, последние версии антивирусного ПО и прочих приложений.
  • Сервер требований по безопасности (Health Requirement Server): Этот ролевой объект снабжает сервера MS-NAP необходимыми компонентами, обеспечивающими текущий уровень безопасности.
  • Клиент NAP (NAP client): Компьютер с ОС Windows XP SP3 или Vista, на который направлена деятельность MS-NAP.
  • Сервер VPN (VPN server): Роль сервера может исполнять уже существующая система, однако нужно иметь в виду, что это точка доступа во внешнюю сеть (которая не ограничивается только интернетом).
  • Сетевое оборудование: Коммутаторы или точки беспроводного доступа WAP, поддерживающие протокол идентификации IEEE 802.1X.
  • Сервер DHCP (DHCP server): Сервер DHCP при помощи протокола RADIUS передаёт данные об уровне безопасности клиента NPS серверу политики безопасности. Это ключевой компонент MS-NAP. Если система прошла проверку, ей предоставляется неограниченный доступ в сеть, в противном случае она попадает в карантинную сеть для корректировки конфигурации.

Варианты использования MS-NAP

После того, как мы рассмотрели принцип работы MS-NAP, давайте разберёмся, какие выгоды от применения этой технологии могут получить пользователи обыкновенных сетей. Безопасность стоит на первом месте в политике любой организации, следовательно, функции защиты каждого программного продукта должны быть предусмотрены ещё на самых ранних стадиях разработки. Технология MS-NAP способна запретить доступ в сеть незащищённым системам и отдельным пользователям. В среде Windows имеется один из лучших инструментов по управлению системами — домен Активной директории (Active Directory, AD).

При помощи AD IT-профессионалы могут осуществлять управление большим количеством элементов систем и использовать дополнительные пакеты администрирования, например Systems Management Server (SMS), а также настраивать политику обновлений для Windows и защиты от вирусов. MS-NAP может помочь там, где не работают обычные стратегии администрирования.

Представьте ситуацию, когда поставщику или другому деловому партнёру понадобилось подключиться к ресурсу корпоративной сети. Подключение может осуществляться с машин, присоединённых к другому домену или к сети с иным механизмом управления, то есть недоступных для контроля администратором. Наконец эти компьютеры могут принадлежать другой среде Активных директорий, а это значит, что у администратора, после того как эти машины подключаться к сети, не будет необходимых ресурсов для корректировки необходимых настроек. Технология MS-NAP исправит нужные параметры удалённой системы, прежде чем она получит доступ к сети.

Вопросы обновления и настройки конфигурации систем из других организаций — тема отдельного разговора, менее важная, чем вопрос о предоставлении им прямого доступа к корпоративной сети. Но в случае подобной необходимости MS-NAP принудит удалённую систему принять правила сетевой политики перед тем, как предоставить ей возможность подключения. Это помогает преодолеть расхождение в стандартах, принятых организацией и группами разработчиков компьютерного оборудования.

Главной задачей MS-NAP является профилактика рисков, возникающих при подключении удалённых пользователей, которые выходят в сеть с домашних компьютеров и ноутбуков. Самый большой риск возникает при входе в сеть пользователей, которые почти не заботятся о безопасности своих систем. MS-NAP позволяет осуществлять управление конфигурацией всех удалённых систем, включая те, что редко подключаются к сети (из-за чего не происходит своевременное обновление конфигурации параметров безопасности). Клиент MS-NAP не обязан иметь учётную запись в домене Активной директории организации. К тому же при помощи AD можно осуществлять непосредственное управление идентификацией.

Ресурсы Microsoft для MS-NAP

В интернете представлена информация о разработке и пробной версии этого инструментария для бета-версий систем Windows Server 2008. Компания Microsoft в свою очередь представила на своём сайте документацию по архитектуре и разнообразным способам применения MS-NAP .

Межплатформенная поддержка NAP

Технология MS-NAP работает на основе широко распространённого сетевого протокола идентификации IEEE 802.1X, что обеспечивает совместимость NAP с операционными системами Windows Server 2008, Vista, XP и различными видами устройств. В целом, IEEE 802.1X при помощи стандартного протокола RADIUS позволяет осуществлять безопасный доступ к беспроводным сетям и сетям Ethernet.

Читать еще:  Запуск макроса при открытии формы access

Главное достоинство этого протокола заключается в том, что серверу идентификации не нужно присваивать роль узла базы данных. Это значит, что поддерживающее IEEE 802.1X сетевое оборудование может подавать запросы на ролевые объекты MS-NAP. Таким образом, технология MS-NAP позволяет осуществлять централизованное управление процессами авторизации и идентификации, а также вести учётные записи в соответствии с заданными параметрами безопасности. В настоящее время этот протокол, разработанный совместными усилиями инженеров HP, Microsoft, Cisco, Trapeze networks и Enterasys, поддерживается большинством производителей сетевого оборудования.

Защита сетевого доступа (NAP) в Windows Server «Longhorn»

Защита доступа к сети (NAP) — это платформа применения политик, встроенная в операционные системы Microsoft Windows Vista, Microsoft Windows XP и Windows Server с кодовым названием Longhorn, которая обеспечивает повышенную безопасность сети за счет соответствия требованиям по поддержанию работоспособности системы. Благодаря защите доступа к сети можно создавать специальные политики работоспособности для оценки состояния компьютера перед тем, как разрешить доступ или взаимодействие, для автоматического обновления соответствующих требованиям компьютеров с целью обеспечения их постоянной совместимости, а также для адаптации не соответствующих требованиям компьютеров таким образом, чтобы они удовлетворяли установленным требованиям.

Защита доступа к сети включает интерфейс прикладного программирования, который может быть использован разработчиками и поставщиками для создания полноценных решений по оценке с помощью политики работоспособности, ограничения доступа к сети и обеспечения постоянного соответствия требованиям.

Для оценки доступа к сети на основе работоспособности системы сетевая инфраструктура должна обеспечивать следующие функциональные области.

Оценка с помощью политики работоспособности. Определяет, соответствует ли компьютер требованиям политики работоспособности.

Ограничение доступа к сети. Ограничивает доступ для несовместимых компьютеров.

Автоматическое исправление. Обеспечивает необходимые обновления для приведения несовместимых компьютеров к установленным требованиям.

Обеспечение постоянного соответствия требованиям. Автоматическое обновление не соответствующих требованиям компьютеров с учетом постоянно изменяющихся требований политики работоспособности.

Сценарии защиты доступа к сети (NAP)

Представляя собой наиболее гибкое для заказчиков решение, защита доступа к сети взаимодействует с ПО поставщика, которое либо содержит агент System Health Agent (SHA) и средства оценки работоспособности системы System Health Validators (SHV), либо распознает опубликованный набор интерфейсов программирования. В качестве примеров решений сторонних поставщиков, которые работают с защитой доступа к сети, можно назвать антивирусную программу, виртуальную частную сеть или сетевое оборудование. Защита доступа к сети предоставляет решение для следующих распространенных сценариев.

Проверка работоспособности и состояния мобильных переносных компьютеров
С помощью защиты доступа к сети сетевые администраторы могут проверять состояние любого переносного компьютера, когда он повторно подключается к сети компании, без ущерба для его мобильности и гибкости.

Поддержание работоспособности настольных компьютеров
Благодаря дополнительному управляющему ПО можно создавать автоматические отчеты, выполнять автоматическое обновление компьютеров, не соответствующих требованиям, а в случае изменения администраторами политик работоспособности компьютеры могут автоматически получать последние обновления, которые предотвращают угрозы их работоспособности со стороны общедоступных ресурсов.

Определение состояния переносных компьютеров, получающих доступ в сеть
Благодаря защите доступа к сети администраторы могут определить, имеют ли посещающие ее переносные компьютеры полномочия на доступ и, если нет, лимитировать их доступ к ограниченной сети, не требуя обновления или изменения конфигурации этих переносных компьютеров.

Проверка соответствия требованиям и работоспособности неуправляемых домашних компьютеров
С помощью защиты доступа к сети сетевые администраторы могут проверять наличие необходимых программ, параметров реестра, файлов или их сочетания всякий раз, когда домашний компьютер подключается к сети через виртуальную частную сеть; также они могут лимитировать подключение к ограниченной сети, пока не будут выполнены требования к работоспособности системы.

Компоненты защиты доступа к сети

NPS/RADIUS

В компоненте RADIUS Network Policy Server (NPS) сервера Windows Server Longhorn отсутствует компонент защиты доступа к сети (NAP) Enforcement Server (ES) или Enforcement Client (EC). Вместо этого он работает как сервер политик вместе с компонентами NAP ES и NAP EC. Администраторы должны задать требования к работоспособности системы в виде политик на сервере NPS. Серверы NPS обеспечивают проверку с помощью политик работоспособности и координируют свои действия со службой каталогов Active Directory каждый раз, когда компьютер пытается получить сертификат работоспособности или подключиться к точке доступа 802.1X, серверу виртуальной частной сети или службе DHCP-сервера.

Компоненты работоспособности

Агенты работоспособности системы System Health Agents (SHA). Подтверждение работоспособности (состояние исправлений, сигнатуры вирусов, конфигурация системы и т. п.).

Средства оценки работоспособности системы System Health Validators (SHV). Сертификация выводов агентов работоспособности.

Серверы работоспособности системы System Health Servers. Определение требований к работоспособности системных компонентов клиента.

Серверы исправления Remediation Servers. Установка необходимых исправлений, параметров конфигурации и приложений, а также обеспечение работоспособности клиентов.

Компоненты ограничения

Клиент Enforcement Client (EC). Согласует условия доступа с устройствами доступа к сети.

Устройство сетевого доступа. Обеспечивает сетевой доступ к работоспособным конечным точкам (это может быть коммутатор или точка доступа).

Служба сертификации работоспособности. Выпускает сертификаты для клиентов, которые прошли проверку работоспособности.

Компоненты платформы

Агент изоляции Quarantine Agent (QA). Создает отчеты о состоянии работоспособности клиентов и координирует действия SHA и EC.

Сервер изоляции Quarantine Server (QS). Ограничивает доступ клиентов к сети на основе сертификатов SHV.

Механизмы применения защиты доступа к сети

Защита доступа к сети обеспечивает гибкую платформу, которая поддерживает несколько механизмов применения доступа, включая, но не ограничиваясь только ими:

протокол IPsec для проверки подлинности на уровне узла;

проверенные сетевые подключения на основе стандарта IEEE 802.1X;

виртуальные частные сети для удаленного доступа;

Администраторы могут использовать эти технологии по отдельности или одновременно для ограничения не соответствующих требованиям компьютеров. Сервер NPS, заменивший службу проверки подлинности Windows Server 2003 в Windows Server Longhorn, действует как сервер политик работоспособности для всех этих технологий.

Защита доступа к сети требует, чтобы на серверах выполнялась ОС Windows Server Longhorn, а на клиентах — Windows Vista, Windows XP с пакетом обновления 2 (SP2) или Windows Server Longhorn.

IPsec Enforcement

IPsec Enforcement включает сервер сертификатов работоспособности и IPsec NAP EC. Сервер сертификатов работоспособности выпускает сертификаты X.509 для изоляции клиентов, после того как определено их соответствие требованиям. Эти сертификаты затем используются для проверки подлинности клиентов NAP, когда они инициируют защищенные протоколом IPsec взаимодействия с другими клиентами NAP в интранет.

IPsec Enforcement ограничивает взаимодействие сети только теми узлами, которые считаются соответствующими требованиям, и, поскольку здесь применяется протокол IPsec, можно задать требования к безопасным взаимодействиям с соответствующими требованиям клиентами на основе IP-адреса или номера порта TCP/UDP. IPsec Enforcement осуществляет взаимодействие только с совместимыми компьютерами, после того как они получили допустимую конфигурацию IP-адреса. IPsec Enforcement — самая строгая форма ограничения доступа к сети платформы защиты доступа к сети (NAP).

802.1X Enforcement

802.1X Enforcement включает сервер NPS и компонент EAPHost NAP EC. С помощью 802.1X Enforcement сервер NPS отдает команду точке доступа 802.1X (коммутатору Ethernet или точке беспроводного доступа) разместить профиль ограниченного доступа на клиент 802.1X, пока он выполняет ряд функций по исправлению. Профиль ограниченного доступа может состоять из набора IP-фильтров или идентификатора виртуальной локальной сети для ограничения трафика клиента 802.1X. 802.1X Enforcement обеспечивает очень ограниченный доступ к сети для всех компьютеров, получающих доступ через подключение по стандарту 802.1X.

VPN Enforcement

VPN Enforcement включает компоненты VPN NAP ES и VPN NAP EC. С помощью VPN Enforcement серверы виртуальных частных сетей могут применять требования политики работоспособности каждый раз, когда компьютер пытается подключиться к сети через виртуальную частную сеть. VPN Enforcement обеспечивает очень ограниченный доступ для всех компьютеров, получающих доступ через подключение по виртуальной частной сети.

Читать еще:  Как удалить строку в access

DHCP Enforcement

DHCP Enforcement включает компоненты DHCP NAP ES и DHCP NAP EC. С помощью DHCP Enforcement DHCP-серверы могут применять требования политики работоспособности каждый раз, когда компьютер пытается арендовать или обновить конфигурацию IP-адреса в сети. DHCP Enforcement — самый простой способ развертывания, потому что все клиентские компьютеры DHCP должны арендовать IP-адреса. Поскольку DHCP Enforcement использует записи в таблице маршрутизации, эта форма ограниченного доступа к сети платформы защиты доступа к сети является самой слабой.

Дополнительные компоненты и ресурсы защиты доступа к сети

Защита доступа к сети состоит из дополнительных серверных и клиентских компонентов, серверов исправления и серверов политик. Администраторы могут настроить некоторые или все перечисленные ниже компоненты при развертывании защиты доступа к сети. Сервер NAP Administration Server

NAP Administration Server — это компонент сервера NPS, который координирует данные, полученные от всех средств оценки работоспособности системы (SHV), и определяет, должны ли компоненты NAP Enforcement Server (NAP ES) ограничивать доступ клиентов на основе требований политики работоспособности.

Средство System Health Validator
Средство System Health Validator (SHV) — это серверное ПО, которое проверяет, соответствует ли заявление о работоспособности Statement of Health (SoH), представленное агентом SHA, требуемому состоянию работоспособности. SHV выполняется на сервере NPS, который должен координировать выходные данные всех средств оценки работоспособности SHV. Средство оценки работоспособности использует ответ на заявление о работоспособности Statement of Health Response (SoHR), чтобы указать на соответствие или несоответствие требуемому состоянию работоспособности и дать команды по исправлению.

Политика работоспособности
Политика работоспособности указывает необходимые условия для неограниченного доступа. Политики работоспособности настраиваются на сервере NPS. В сети может применяться несколько политик работоспособности. Например, VPN Enforcement и DHCP Enforcement могут использовать разные политики.

База данных учетных записей
В базе данных учетных записей сохраняются учетные данные пользователей и компьютеров и их свойства сетевого доступа. В доменах Windows Server Longhorn роль базы данных учетных записей выполняет Active Directory.

Сервер сертификации работоспособности Health Certificate Server
Сервер сертификации работоспособности представляет собой сочетание службы сертификации работоспособности, компьютера под управлением Windows Server Longhorn, служб IIS и службы сертификации (CA). Служба сертификации может быть установлена на компьютер под управлением Windows Server Longhorn или на отдельный компьютер. Сервер сертификации работоспособности получает сертификаты работоспособности для компьютеров, соответствующих требованиям. Сертификат работоспособности может быть использован вместо заявлений о работоспособности Statements of Health (SoHs), чтобы доказать соответствие клиента требованиям к работоспособности системы.

Сервер исправления
Сервер исправления состоит из серверов, служб и других ресурсов, к которым может получить доступ в ограниченной сети не соответствующий требованиям компьютер. Эти ресурсы могут выполнять разрешение имен или сохранять самые последние обновления ПО и компоненты, необходимые, чтобы привести компьютер в соответствие с требованиями к работоспособности. Например, серверами исправления могут быть дополнительный DNS-сервер, файловый сервер антивирусных продуктов или сервер обновления ПО. SHA может взаимодействовать с сервером исправления напрямую или с помощью средств установленного клиентского ПО.

Сервер политик
SHV взаимодействует с сервером политик для оценки заявления о работоспособности SoH соответствующего агента SHA.

Дополнительные ресурсы

Посетите веб-узел Network Access Protection TechNet (EN) для загрузки документации и пошаговых инструкций, а также для просмотра веб-презентаций.

Что такое NAP?

В ИТ проблема уязвимости сети из-за подключения к ней сомнительных компьютеров давно перешла в разряд насущных. В связи с этим активно изучаются решения, способные физически укрепить политики безопасности компании. Управление сетевым доступом (NAC) было создано как раз для этих целей. NAC предоставляет платформу для разработки служб и функций, способных опросить компьютер перед подключением к безопасной внутренней сети и проверить его на соответствие заданным требованиям по надежности и безопасности.

Корпорация Microsoft представила свою версию управления сетевым доступом посредством NAP , которая предоставляет службу проверки соответствия требованиям по работоспособности перед доступом в сеть. В состав NAP входят службы, компоненты и интерфейс программирования приложений (API), позволяющие гарантировать работоспособность серверов и сетей под управлением Windows Server 2012, а также клиентов под управлением Windows 8 и Windpws 7.

Разберем подробно — что такое NAP?

Защита доступа к сети ( Network Access Protection, NAP ) — это платформа для проверки работоспособности компьютерных систем перед их допуском в защищенные сети. Она позволяет гарантировать, что перед каждой попыткой установить новое подключение к частной сети компьютер проходит «проверку».

До появления NAP типичное подключение внешнего компьютера происходило путем создания клиентского подключения через общедоступную сеть, например Интернет, с использованием VPN-подключения.

Подключение клиента сначала проходило через брандмауэр или пересылалось прокси с применением соответствующих портов, требуемых установленным протоколом безопасности. Далее служба проверки подлинности проверяла учетные данные клиента удаленного доступа.

В случае успешной проверки подлинности учетных данных клиент подключался к той части безопасной сети, для которой ранее было установлено подключение.

В таком сценарии есть серьезный изъян. Могут ли возникнуть проблемы, если клиент удаленного доступа, является тем, за кого он себя выдает, предоставляет все необходимые учетные данные, а в частной сети выполняет только разрешенные задачи?

Да. Но допустим, что клиент удаленного доступа выполняет нестандартные запросы служб, операции по обнаружению или исследованию или — того хуже — установку злонамеренного ПО без ведома пользователей компьютера, на котором есть подключение удаленною доступа. Это и послужило одной из главных причин для реализации решения NAP .

NAP снижает вероятность занесения в безопасную сеть вирусов мною путешествующими сотрудниками или гостями. Стандартный поток информации от компьютера, подключающегося к сети, модифицируется и проходит через сен» периметра, где им занимаются компоненты платформы NAP . Сама платформа теперь включает целую экосистему NAP, а при запросе на подключение внешнего клиента он теперь именуется «NAP-клиентом».

В сети периметра остаются те же службы безопасности и устройства, что и раньше. Однако запрос на доступ NAP-клиента идет в обход для определения статуса работоспособности компонентами NAP. На рисунке ниже представлены различия между традиционным подключением удаленного доступа и подключением с использованием платформы NAP.

На рисунке показаны не только компоненты NAP, включенные в поток передачи информации, но и то, что доступ NAP-клиента может быть ограничен внешней сетью, которая получает название карантинной и где дополнительные серверы обновляют клиента, приводя его в соответствие с требованиями к работоспособности.

Полное решение NAP состоит из трех отдельных функций:

  1. проверка состояния работоспособности
  2. обеспечение соответствия политики работоспособности;
  3. ограничение доступа.

Проверка состояния работоспособности.

Проверка состояния работоспособности — это процесс проверки работоспособности компьютера и определение его совместимости. Если платформа NAP настроена на работу с карантинной сетью, доступ не соответствующего требованиям компьютера ограничивается только подсетью карантинной сети, пока тот не будет приведен в соответствие.

Если на начальной стадии платформа NAP реализована только в виде ведения журнала на предмет несоответствий требованиям, степень соответствие компьютера требования по работоспособности записывается в журнал, и ему разрешается продолжить подключение в обычном режиме.

Соответствие политики работоспособности.

В целях отслеживания и, возможно, принудительного применения требований к работоспособности администраторы создают политики работоспособности. Политика работоспособности является основой решения NAP. Политики работоспособности в числе многих других факторов соответствия устанавливают уровень обновлений ПО. сборки ОС. проверки на вирусы и включенные параметры брандмауэра.

Ограничение доступа в сеть.

Когда компьютерные системы не соответствуют стандартам работоспособности, которые требуются для подключения к частной сети, администратор может разрешить подключение, но при этом занести информацию о несоответствии в журнал, либо перенаправить подключение в карантинную сеть для настройки и обновления всех не соответствующих политикам параметров компьютера. Такова функция ограниченного доступа в NAP.

Читать еще:  Функция iif access

Если вам помогла статья или у вас остались вопросы — пожалуйста пишите в комментариях.

Network Access Protection – проблемы с NAP и Cisco

Сейчас работаю над проектом внедрения решения Microsoft NAP в одной крупной организации. Microsoft NAP планируется использовать совместно с сетевым активным оборудованием Cisco, для доступа клиентов к корпоративной сети передачи данных – так называемый сценарий 802.1X Enforcement . Также Microsoft NAP планируется использовать при организации VPN доступа к корпоративной сети.

При реализации данного проекта (802.1X) возникло несколько проблем. В руководстве Microsoft по развертыванию инфраструктуры NAP говориться о необходимости поддержки сетевым оборудованием RADIUS атрибутов для VLAN:

One layer 2 or layer 3 switch that supports 802.1X port-based authentication and RADIUS tunnel attributes for VLAN assignment.

Оказывается не все оборудование Cisco (не говоря уже о других производителях таких как 3Com, D-Link и др.) поддерживает модификацию IEEE 802.1x – VLAN Assignment. Удалось выяснить, что следующие устройства Cisco должны поддерживать данную функцию (список не полный – только то, что удалось проверить):

  • 2940 IOS 12.1(22)EA4
  • 2960 IOS 12.2(25)SED
  • 2980 CatOS 8.4GLX
  • 3550 IOS 12.1(14)EA1
  • 3560 IOS 12.2(25)SED
  • 3750 IOS 12.2(25)SED
  • 4000 CatOS 8.4GLX or IOS 12.1(19)EW
  • 4500 CatOS 8.4GLX or IOS 12.1(19)EW
  • 6500 CatOS 7.2 or IOS 12.1(13)E4

На устройствах Cisco необходимо сделать следующее:

На RADIUS-сервере (он же NAP) необходимо определить следующие атрибуты для пользователей:

Это то, что касается проблем с сетевой частью. При настройке Microsoft NAP, возникла проблема с клиентской частью данного продукта. Вообще Microsoft NAP работает на операционных системах начиная с Microsoft Windows XP SP3 и выше. В Windows XP SP3 присутствует все необходимое для работы NAP, кроме графической консоли, для настройки функций NAP. Эта консоль, по большому счету, не нужна в корпоративной сети – так как все настройки для клиентских компьютеров распространяются централизованно посредством групповых политик. Так вот, для корректной работы NAP необходимо, чтобы на клиентских компьютерах автоматически запускалась служба NAP Agent – по умолчанию она отключена. Включить ее и другие необходимые для работы NAP службы через групповую политику не сложно. Однако, если вдруг при настройке групповой политики, вы случайно или намеренно нажали на Edit Permission (см. рисунок), то на операционных системах Windows XP SP3 это действие вызовет сбой при автоматическом запуске службы NAP Agent.

При тестировании инфраструктуры NAP было потрачено несколько часов на выяснение и устранение причин не корректной работы NAP, вызванной сбоем при запуске службы NAP Agent.

Надеюсь для кого-то данная информация, при развертывании инфраструктуры Microsoft NAP, окажется полезной.

Комментарии 18

В общем плохо не будет, но вам нужно будет прочитать это, ну и прицепом это(чтоб понимать, что делаете)Вообще там много про это написано, если хватит время и терпения читайте всё

Mакс, загляни в личку.

Да нет, не волнуйтесь, домашняя сеть это не страшно. просто не обращайте на это внимание.

max-02 дал пару ссылок, они самые-самые грамотные, а потому для

понимания обычного человека — человека, т.с. «с улицы» — ну. мало-

переносимые.

Прелагаю, для знакомства: что же это такое — NAP

(Network Access Protection),

статью из журнала «Хакер» № 12/08 (120):

Из которой будет понятно: включишь — сетевая безопасность повысится;

но, с другой стороны, могут возникнуть и сложности.

Спасибо за «Хакер»! В нём я понял хоть что-то. Во всех остальных источниках не понял вообще ничего.

Систему я, очевидно, получил вместе с ОС Windows 7, которую установил недавно.

Буду изучать статью из «Хакера» дальше, с одного раза всё не осилить.

Не могу разобраться о какой же сети идёт разговор. Локальную сеть я отключил давно, т.к. от неё был в

ужасе мой Касперский.

К сожалению, с семёркой не знаком. Увы. увы.

А как ЭТО вообще-то попало на твой комп?

Когда-то решил поэспериментировать с прогой обеспечивающей

повышенную безопасность?

Сие мне не ведомо. Нашёл, то, что уже было. Я точно ничего не добавлял.

Я только искал, как избавиться от квартирантов.

Эта «Новая технология NAP» на комп поадает, похоже, лишь

тогда, когда проводится установка консоли NPS ( Network Policy

Server) и появляется новая служба обеспечивающая ей

функционирование на компе: «служба агента защиты доступа к сети

(NAP). Загляни на панель «Установка и удаление. » — если эту

технологию там отыщешь — удали её к .

А вообще-то, самым внимательным образом прочти выше указанные

статьи и, что желательно, прочти несколько раз; поскольку названная

технология вещь весьма и весьма перспективная и будет встречаться

в будущем не раз.

Удачи!

Но коли она перспективная, зачем же её удалять?

Это инструмент системного администратора, организующего

и управляющего работой большой локальной системой.

Эта « Network Access Protection» представляет собой

надстройку над системой безопасности локальной сети,

которая её (систему) курирует в автоматическом режиме по

заданным системным админом параметрам, т.е. плитикам.

Как говорят в Одессе: «оно вам нужно?», — то бишь эта

Со своей стороны, я все-таки настоятельно рекомендую

внимательно (с карандашом) прочесть названные статьи,

и многое прояснится. А эту умную «бяку», найти и. к той

самой матери. Но! Но, это сугубо моё мнение.

Сейчас я попытаюсь выяснить:

а) попала ли эта система ко мне в составе OC Windows 7, тогда я её оставлю ( всё равно она

б) скачал ли я её сам по какой-либо причине, тогда я её сотру;

в) не закачали ли её мне со стороны, та самая группа или админ. В этом случае я тоже от неё избавлюсь.

Насколько возможен вариант «в»?

а) К сожалению, с семёркой не знаком; мой

ноутбук стар и не в состоянии усвоить эту

требовательную ОС, увы. 🙁

б) Вполне возможно, иногда сам нахожу у себя вот

такое же забытое. Вполне допускаю, особенно

если есть любопытство и склонность к познанию,

что на домашнем компе может только приветствоваться.

в) Это навряд ли. но, и вот так, категорически,

сказать — НЕТ! я бы не рискнул. Из собственного

опыта: до недавнего времени в качестве firewal’a

использовал PC Tools Firewal, (эта прога -free);

запущенную мною ради любопытства, этот

файрвол у меня не прошёл. Крохотная прожка и

найти её можно поадресу:

Перешёл на C.O.M.O.D.O internet Security

PREMIUM, кстати, тоже free. И при запуске

этой тест-программы: Leak tests’a — она была

этим firewal’ом заблокирована.

P.S. Для общего образования, забей в поисковик

что-нибудь про фаерволы — найдёшь много чего

любопытного и даже неожиданного.

Удачи!

Провайдер сказал, что это люди, живущие на одной со мной улице, и ничего страшного в этом нет Здорово!Это значит, что комп с правами админа головной, а остальные ведомые. Хм. Ну а если админ отключен, как они это обошли?

На моём компе — я администратор. Разве не так?

Я что теперь должен спрашивать разрешения попользоваться собственным компом?

на твоём -да! А в вашей связке,с людьми живущими на одной улице, наверное комп провайдера ну или подведомственного ему администратора :), у вас скорее всего VPN, и видимо ничего не отключите- это у вас сеть такая

Ссылка на основную публикацию
ВсеИнструменты
Adblock
detector