 |
 |
Навигация |
 |
|
|
Наши темы |
|
|
|  |
Защита сетевого доступа для Windows
Размещено 07/12/2007 |
|
Введение.
Сегодня компания Microsoft предлагает функцию защиты сетевого доступа, которая не допускает в сеть компьютеры, не прошедшие проверку на безопасность. В этой статье рассказывается о принципах защиты сетевого доступа как одной из новых функций Windows Server 2008.
Защита Сетевого Доступа Microsoft (Network Access Protection, MS-NAP) действует по принципу соответствия требованиям: в сеть допускаются только те системы Microsoft, которые соответствуют установленным требованиям безопасности в сети. Важнейшее условие доступа в сеть – наличие пакета обновлений и заплаток определенной версии. Тем не менее, функция MS-NAP не предназначена для защиты от действий злоумышленников. Применение MS-NAP обеспечивает отдельным клиентам защиту при подключении к сети. В этой статье впервые в эксклюзивной серии TechRepublic будет описано применение MS-NAP.
Почему так важна защита сетевого доступа?
В сущности, главное преимущество защиты сетевого доступа
заключается в том, что она не допускает в сеть тех
клиентов, чья система не соответствует необходимому
уровню безопасности. Критериями могут служить версия
пакета обновления, настройки антивирусного программного
приложения и другие аспекты. Особое значение защита
сетевого доступа имеет для предотвращения доступа в сеть
мобильных компьютерных систем. Взять, к примеру,
пользователя ноутбука, который использует соединение VPN
для доступа к офисной сети, когда решает поработать
дома. В такой ситуации защита сетевого доступа не
позволит пользователю войти в сеть, если его система не
смогла обратиться к защитным инструментам управления
сетевым доступом.
Большое значение защита сетевого имеет и в том случае,
когда к сети пытаются подключить домашние компьютеры. В
принципе, обеспечение доступа в сеть тем компьютерам,
поддержкой и администрированием которых организация не
занимается, считается плохой практикой, но тем не менее,
иногда такое случается. В такой ситуации защита сетевого
доступа играет огромную роль; в противном случае никто
не гарантирует, что на компьютере, получившем доступ в
сеть, установлен антивирус, не говоря уже о пакетах
обновлений и заплатках.
Кроме того, защита сетевого доступа может применяться
для управления безопасностью стандартных настольных
систем и других серверов Windows Server 2008 с целью
определить, могут ли они быть допущены в сеть. Это
позволяет снизить уровень риска, связанного с тем, что
одна из таких систем в течение долго времени долго не
выходила в сеть и стала, как следствие, уязвимой. Эта
ситуация, по сути, аналогична сценарию с сетевым
доступом для ноутбука, описанному выше.
Разработка сценария применения защиты сетевого
доступа MS-NAP
Параметры защиты сетевого доступа могут быть настроены
для Windows Server 2008 в качестве сервера и Windows
Vista, Windows Server 2008 или Windows XP с пакетом
обновлений Service Pack 3 в качестве поддерживаемых
клиентов. Пакет обновлений Service Pack 3 для Windows XP
еще не появился в открытом доступе, но уже известно, что
он будет включать клиент NAP для Windows XP, которое на
момент написания статьи находится в стадии
бета-тестирования, осуществляемого специалистами
Microsoft.
Различные роли MS-NAP осуществляют применение сетевой
политики, хранение данных о политике безопасности,
обеспечивают текущий уровень безопасности и изолируют те
устройства, которые не соответствуют установленным
требованиям. Их функционирование определяется в
соответствии с методами обеспечения защиты сетевого
доступа, указанными при настройке сети.
Предусматривается также создание изоляционной зоны (сети
коррекции) для устройств, не соответствующих
установленным требованиям. В этой зоне устройства
проходят необходимую корректировку и настройку, прежде
чем будут допущены в сеть предприятия. На рисунке А
приводится общая схема функционирования защиты MS-NAP и
различных ее ролей.
Рисунок А Система защиты MS-NAP включает в себя
различные роли.
Компания Microsoft уже давно предлагает продукты,
способные осуществлять различные сетевые функции, такие
как DNS, DHCP, маршрутизация и WINS. Появление защиты
MS-NAP не означает отказа от этих продуктов. Хотя
ИТ-специалисты на предприятии не всегда используют в
полной мере сетевые службы, функционирование которых
обеспечивает оборудование сети, применение MS-NAP
позволяет использовать роли сервера Windows для
аутентификации и управления политикой безопасности. В
обеспечении безопасности защита MS-NAP опирается на
стандартное сетевое оборудование – поэтому с точки
зрения работы в сети, ее не назовешь исключительно
продуктом Microsoft.
Более подробное описание MS-NAP
Основную идею MS-NAP понять довольно легко, но как же
функционирует эта система? Защита MS-NAP опирается на
сложный комплекс схем коммуникации и ролей сервера для
обеспечения безопасности в сети. Здесь мы подробнее
рассмотрим потоки трафика MS-NAP. Для обеспечения
безопасности со стороны сервера система MS-NAP
использует следующие компоненты:
Полномочия реестра безопасности (Health Registry
Authority, HRA): Этот компьютер с операционной
системой Windows Server 2008, которому присвоена роль
IIS, получает сертификаты безопасности в системе центров
сертификации.
Сервер политики безопасности NAP (NAP Health Policy
Server, NPS): Этот компьютер с операционной системой
Windows Server 2008, которому присвоена роль NPS,
подтверждает уровень безопасности и содержит данные от
требованиях политики безопасности.
Сервер коррекции (Remediation Server): На этом
компьютере содержатся ресурсы, к которым могут
обратиться те клиенты NAP, которые не соответствуют
требованиям политики безопасности, с целью
откорректировать свое состояние. Под ресурсами могут
подразумеваться обновления баз данных антивирусов и
обновления программного обеспечения.
Сервер, содержащий требования к безопасности (Health
Requirement Server): Эта роль обеспечивает текущий
уровень безопасности серверов MS-NAP.
Клиент NAP: Этот клиент представляет собой
управляемый компьютер, к которому применяются требования
политики MS-NAP (Windows XP SP3, Vista)
Сервер VPN: Эту роль может исполнять существующая
система, но в любом случае, сервер VPN представляет
собой точку доступа клиентов во внешнюю сеть (которая не
ограничивается одним лишь Интернетом).
Сетевое оборудование: Коммутаторы или устройства
WAP (Wireless Access Points, беспроводные точки доступа)
с поддержкой аутентификации IEEE 802.1X.
Сервер DHCP: В системе MS-NAP сервер DHCP
использует протокол RADIUS для связи с сервером NPS для
определения уровня безопасности клиента NAP. Сервер DHCP
– ключевой элемент MS-NAP: если система соответствует
требованиям безопасности, она получит неограниченный
доступ к сети; в противном случае, она будет направлена
в сеть коррекции с целью повышения уровня своей
безопасности в соответствии с существующими
требованиями.
Примеры использования MS-NAP
Получив общее представление о функционировании защиты
MS-NAP, рассмотрим, каким образом эта система может быть
использована для защиты универсальных сетей.
Безопасность – основной приоритет для любой организации,
поэтому при введении в эксплуатацию новой сети
необходимо продумать вопросы безопасности еще на стадии
разработки. Защита MS-NAP может запретить доступ в сеть
предприятия определенным опознанным пользователям или
незащищенным системам. В сетях Windows одним из наиболее
эффективных инструментов управления доступом, с точки
зрения профессионалов в области информационных
технологий, является домен Active Directory (AD).
В рамках AD возможно управление многими элементами
системы, а также использование других пакетов
управления, например, Systems Management Server (SMS),
управление антивирусным программным обеспечением и
обновлениями Windows. Защита MS-NAP позволяет обеспечить
безопасность там, где обычные системы управления
доступом оказываются бессильны.
Возьмем, к примеру, ситуацию, когда у поставщика или
другого делового партнера предприятия может возникнуть
потребность подключиться напрямую к одному из ресурсов в
сети предприятия. При этом поставщик может
воспользоваться для доступа в сеть компьютером,
подключенным к другому домену или механизму управления,
который, таким образом, не подконтролен ИТ-специалиста
данного предприятия. Наконец, этот компьютер может
оказаться элементом другой системы Active Directory – в
этом случае после подключения к сети предприятия
придется затратить значительное время на решение проблем
совместимости настроек. Если в сети используется защита
MS-NAP, установленные требования к безопасности будут
применены к компьютеру поставщика еще до того, как он
получит доступ в сеть.
Кто имеет право обновлять системы, не подконтрольные
данному предприятию, – совсем другой вопрос, гораздо
более спорный, чем сама мысль о том, что такие системы
не могут быть напрямую допущены в сеть предприятия. Но
если необходимость обеспечить прямой доступ постороннему
компьютеру в сеть предприятия все-акти возникает,
использование MS-NAP позволяет применить к нему
требования, установленные в данной сети, еще до того,
как система получит в нее доступ. Это позволяет
выравнять несоответствие между стандартами,
установленными в сети, и теми, что применяет компания,
выпускающая оборудование.
Разумеется, одна из основных задач MS-NAP – ограничивать
доступ в сеть удаленных пользователей данной организации
(работающих на ноутбуках или домашних компьютерах),
чтобы избежать риска в случае ошибки соединения. В тех
редких случаях, когда к сети подключаются пользователи,
управление компьютерами которых вообще не
осуществляется, риск повышается. Использование защиты
MS-NAP для всех удаленных систем позволит управлять и
этими компьютерами, администрирование которых затруднено
в связи с тем, что они редко бывают в сети. Клиент
MS-NAP при этом не должен быть членом домена AD данной
организации (то есть, наличие учетной записи для его
компьютера необязательно). Однако с помощью AD можно
управлять аутентификацией непосредственно.
Ресурсы Microsoft для MS-NAP
Сегодня в Интернете можно найти подробную информацию о
предварительной разработке MS-NAP и тестировании этой
системы защиты в бета-версиях операционной системы
Windows Server 2008. Кроме того, компания Microsoft
выпустила полный отчет об архитектуре системы и ее
применении, в котором эти вопросы рассматриваются с
более глобальных позиций. Этот отчет можно найти
на сайте Microsoft в Интернете.
Межплатформенная поддержка NAP
Защита MS-NAP функционирует на основе протокола
аутентификации IEEE 802.1X, который находит широкое
применение в современных компьютерных сетях. Это
обеспечивает совместимость MS-NAP с различными
устройствами и клиентами с операционными системами
Windows Server 2008, Vista и XP с поддержкой NAP. В
целом, протокол аутентификации IEEE 802.1X обеспечивает
безопасный доступ к беспроводным сетям и сетям Ethernet.
Это становится возможным за счет протокола RADIUS,
который служит стандартным протоколом для IEEE 802.1X.
Главное преимущество этого протокола аутентификации
заключается в том, что для функционирования сети при
этом не требуется сервер аутентификации в роли сервера
базы данных, а значит сетевое оборудование, совместимое
с этим протоколом, может передавать запросы на роли
MS-NAP, определенные в соответствии с конфигурацией
системы. При этом защита MS-NAP позволяет
централизованно управлять авторизацией, учетной записью
и аутентификацией с использованием системы показателей
уровня безопасности. Сегодня оборудование многих
производителей поддерживает этот протокол
аутентификации, разработанный HP, Microsoft, Cisco,
сетями Trapeze и Enterasys.
Автор: Рик Вановер (Rick
Vanover)
Источник:
articles.techrepublic.com.com
|
| |
|
