NAP (Network Access Protection)

Windows Longhorn ile gelen yeni bir diÄŸer özellikte NAP(Network Access Protection).Güvenlik anlamında ileri boyutlu bir çözüm getiren bu yeni teknoloji sayesinde networkümüze dışarıdan katılmakta olan kullanıcılar için çeÅŸitli kriterler belirleyebiliyoruz.EÄŸer baÄŸlanıcak kiÅŸi bu kriterlere uygun deÄŸilse ayrı bir bölüme alıp network ile iliÅŸkisini kesip gerekliliklerini yerine getirmesini saÄŸladıktan sonra networkümüze dahil ediyoruz.NAP temel anlamda bu mantıkla çalışıyor.Yani bir kontrol mekanizması gibi güvenliÄŸimizi saÄŸlıyor.Burada dikkat etmemiz gereken bölüm,NAP’ın bizi dışarıdan gelicek tehlikelere karşı korumak yerine networkümüze katılıcak bilgisayarların , önceden belirlediÄŸimiz kriterlere uyup uymadığını kontrol etmesidir.ÖrneÄŸin herhangi bir antivirus yazılımına sahipmi,updateleri en son güncel halindemi, gibi.Ama bu gereklilikleri saÄŸlayan kötü amaçlı biride NAP’ı rahatlıkla geçip sisteme zarar verebilir.

nap2.png

Bir kullanıcı dışarıdan özel ağımıza baÄŸlanmak istediÄŸinde ,ilk olarak üzerinde bulunan (System Healt Agent) ile saÄŸlık bilgisini bizim networkümüzde bulunan Network Policy Server’e iletir.Policy server ise bu bilginin kendi üzerinde bizim tarafımızdan hazırlanan kurallara uygun olup olmadığını geri dönüş yapar.Ardından eÄŸer kabul edilirse networke dahil edilir.EÄŸer kural dışı bir durum saptanırsa bu bilgisayar özel bir aÄŸa alınarak Remediation Server tarafından kural dışı bulunan tüm özellikleri düzeltilmeye çalışılır.

Peki biz dışarıdan bağlanan bir kullanıcıyı NAP kullanarak hangi durumlarda kontrol edebiliriz.

· Internet Protocol security (IPsec)-protected traffic:

IPSEC sayesinde networkümüz 3 adet mantıksal networke bölebiliriz.Bunlar kısıtlı(restricted) network,güvenli(secure) network ve sınır(boundary) networkdür.
Ä°stemci bilgisayar için saÄŸlık sertifikaları düzenlenebilir,böylece bu sertifikaya göre client’ın hangi networkde yer alması gerektiÄŸi belirlenir.ÖrneÄŸin active directory’e üye olan tüm makinalar güvenli network içerisinde yer alabilirler.IPSEC ilede sadece bu network içerisindeki bilgisayarların birbirleri ile iletiÅŸimde olmaları saÄŸlanabilinir.SaÄŸlık sertifikası olmayan bilgisayarlar otomatik olarak kısıtlı networke gönderilirler.

napip.png

IEEE 802.1X-authenticated network connections:

IEEE 802.1X-authenticated network bağlantıları için kullanabileceğimiz NAP modelidir.Örneğin bir access point.
Aynı şekilde sınırlı veya güvenli networkler oluşturabiliriz.

Remote access VPN connections:

Vpn baÄŸlantıları için NAP kullandığımızda dışarıdan VPN server’a bir istek geldiÄŸinde VPN server bunu NPS server’a ileticek ve aynı ÅŸekilde baÄŸlanılacak bilgisayar için saÄŸlık kontrolleri gerçekleÅŸtirilecek.
Yalnız burada 2003 server ile birlikte kullandığımız Network Access Quarantine Control ile NAP’ı karıştırmamamız gerekir.Network Access Quarantine Control kullanmamız için RQS.exe ve RQC.exe üzerinde konfigurasyonlar yapmalı ayrıca scriptler hazırlamalıyız.
Vpn bağlantısı için uygulanan adımlar şu şekildedir.

-Client VPN server’a baÄŸlantı gerçekleÅŸtirir.
-Client NAP health policy server’a kimlik doÄŸrulama bilgilerini gönderir.
-Eğer bu bilgiler uygun değilse VPN bağlantısı kesilir.
-EÄŸer kimlik bilgileri geçerliyse NAP health policy server , client’tan saÄŸlık bilgilerini ister.
-Client bilgilerini gönderir.
-NAP health policy server,clientin gönderdiÄŸi bilgiye göre bir deÄŸerlendirme yapar.EÄŸer client ‘ın durumunu uygun bulursa bunu clientın kendisine ve vpn server’a iletir.EÄŸer uygun deÄŸilse gereklilikleri remediation server’a sonuç olarak iletir.
-Uygun olmadığı takdirdede vpn baÄŸlantısı gerçekleÅŸir ama client’ın networkdeki yetkileri kısıtlanır.Client networkde sadece remediation server’a bilgi gönderebilir.
-Client güncelleÅŸtirme gerekliliklerini remediation server’a iletir.
-Gerekli güncelleştirmeler client üzerinde gerçekleştirilir.
-Client Vpn server ile tekrar kimlik doğrulamasına girer ve güncelleştirilmiş sağlık durumunu gönderir.
-Tüm güncelleÅŸtirmelerin yapıldığı doÄŸrulandıktan sonra NAP health policy server clientın durumunun uygun olduÄŸuna karar verir ve VPN server’a geçiÅŸe izin vermesini söyler.
-VPN server bağlantıyı tamamlar.

Dynamic Host Configuration Protocol (DHCP) address configurations:

Sanırım en çok kullanılacak modellerden biri olucaktır.Bir client bilgisayarı ile networke dahil olmak istediÄŸinde DHCP server’dan ip almak isteyecektir.Ä°ÅŸte bu sırada NAP ile gerekli kontroller gerçekleÅŸtiriliyor ve uygunsa client’a ip ataması yapılıyor.EÄŸer uygun deÄŸilse aynı ÅŸekilde uygun hale getirilemeye çalışılıyor.
Böylece belirlediğimiz kurallar ne ise,sadece bu kurallara uygun olan bilgisayarlar ip alabiliyorlar ve doğal olarakda networkümüze dahil olabiliyorlar.

Bu yazi May 28th, 2007 tarihinde ve Windows Server 2008 kategorisi altina yazilmistir. RSS 2.0 feed ile yorumlara abone olabilirsiniz. Ayrica yorum birakabilir, yada kendi sitenizde konuyu geri izleme yapabilirsiniz.

Bu ve benzeri yazilardan haberdar olmak icin mail adresinizi yaziniz.




Konuyla Ilgili Benzer Yazilar:

  • Microsoft Forefront Integration Kit for Network Access Protection
  • Okunması gerekenler..
  • XP SP3 için NAP’ı aktif hale getirmek
  • Exchange Server 2007 Service Pack 1 Beta 2
  • Exchange 2007 replica inconsistent
  • Exchange 2007 ile birlikte tarihe karisanlar
  • Virtual Network Manager
  • Hyper-V - Wireless Network Adaptor
  • Access-Based Enumeration
  • Microsoft Malware Protection Center
  • Network Interfaces on IPCOP
  • RSAT (Remote Server Administration Tools) Download



    • Yorum yok

    Ilk yorum yapan siz olun.

    Yorum yapin

    Toplam 423 yazi ve 153 yorum bulunmaktadir.

    1. Haberdar Ol

      Son eklenen makalelerin mailinize gelmesi icin adresinizi yazin.

       RSS abonesi ol

    2. Kategoriler

    3. Etiket Bulutu

    4. Son Eklenen 15 Yazı

    5. ArÅŸiv

      En Populer 25 Yazi

      Bugun En Cok Okunan 25 Yazi

      Su an Okunanlar

      Gezdiklerim