Cohen
MFC Üyesi
-
- Üyelik Tarihi
- 2 Şub 2013
-
- Mesajlar
- 1,686
-
- MFC Puanı
- 66
NAP Windows Server 2008 Security
Güvenlik anlamında ileri boyutlu bir çözüm getiren bu yeni teknoloji sayesinde network'e dışarıdan katılmakta olan kullanıcılar için çeşitli kriterler belirleyebiliyoruz. Eğer bağlanıcak kişi bu kriterlere uygun değilse ayrı bir bölüme alıp network ile ilişkisini kesip gerekliliklerini yerine getirmesini sağladıktan sonra networkümüze dahil ediyoruz. NAP temel anlamda bu mantıkla çalışıyor. Yani bir kontrol mekanizması gibi güvenliğimizi sağlıyor.
Burada dikkat etmemiz gereken bölüm, NAPın bizi dışarıdan gelecek tehlikelere karşı korumak yerine networkümüze katılıcak bilgisayarların , önceden belirlediğimiz kriterlere uyup uymadığını kontrol etmesidir.Örneğin herhangi bir antivirus yazılımına sahip mi, updateleri en son güncel halindemi, gibi. Ama bu gereklilikleri sağlayan kötü amaçlı biri de NAPı rahatlıkla geçip sisteme zarar verebilir.
Bir kullanıcı dışarıdan özel ağımıza bağlanmak istediğinde, ilk olarak üzerinde bulunan (System Healt Agent) ile sağlık bilgisini bizim networkümüzde bulunan Network Policy Servere iletir.Policy server ise bu bilginin kendi üzerinde bizim tarafımızdan hazırlanan kurallara uygun olup olmadığını geri dönüş yapar. Ardından eğer kabul edilirse networke dahil edilir. Eğer kural dışı bir durum saptanırsa bu bilgisayar özel bir ağa alınarak Remediation Server tarafından kural dışı bulunan tüm özellikleri düzeltilmeye çalışılır.
Dışarıdan bağlanan bir kullanıcıyı NAP kullanarak şı durumlarda kontrol edebiliriz:
Internet Protocol security (IPsec)-protected traffic:
IPSEC sayesinde networkümüz 3 adet mantıksal networke bölebiliriz.Bunlar kısıtlı(restricted) network,güvenli(secure) network ve sınır(boundary) networkdür.
İstemci bilgisayar için sağlık sertifikaları düzenlenebilir, böylece bu sertifikaya göre clientın hangi networkde yer alması gerektiği belirlenir. Örneğin active directorye üye olan tüm makinalar güvenli network içerisinde yer alabilirler. IPSEC ilede sadece bu network içerisindeki bilgisayarların birbirleri ile iletişimde olmaları sağlanabilinir.Sağlık sertifikası olmayan bilgisayarlar otomatik olarak kısıtlı networke gönderilirler.
IEEE 802.1X-authenticated network connections:
IEEE 802.1X-authenticated network bağlantıları için kullanabileceğimiz NAP modelidir. Örneğin bir access point. Aynı şekilde sınırlı veya güvenli networkler oluşturabiliriz.
Remote access VPN connections:
Vpn bağlantıları için NAP kullandığımızda dışarıdan VPN servera bir istek geldiğinde VPN server bunu NPS servera ileticek ve aynı şekilde bağlanılacak bilgisayar için sağlık kontrolleri gerçekleştirilecek.
Lakin burada 2003 server ile birlikte kullandığımız Network Access Quarantine Control ile NAPı karıştırmamamız gerekir.Network Access Quarantine Control kullanmamız için RQS.exe ve RQC.exe üzerinde konfigurasyonlar yapmalı ayrıca scriptler hazırlamalıyız.
Vpn bağlantısı için uygulanan adımlar şu şekildedir:
* Client VPN servera bağlantı gerçekleştirir,
* Client NAP health policy servera kimlik doğrulama bilgilerini gönderir,
* Eğer bu bilgiler uygun değilse VPN bağlantısı kesilir,
* Eğer kimlik bilgileri geçerliyse NAP health policy server , clienttan sağlık bilgilerini ister,
* Client bilgilerini gönderir,
* NAP health policy server,clientin gönderdiği bilgiye göre bir değerlendirme yapar. Eğer client ın durumunu uygun bulursa bunu clientın kendisine ve vpn servera iletir. Eğer uygun değilse gereklilikleri remediation servera sonuç olarak iletir,
* Uygun olmadığı takdirdede vpn bağlantısı gerçekleşir ama clientın networkdeki yetkileri kısıtlanır. Client networkde sadece remediation servera bilgi gönderebilir,
* Client güncelleştirme gerekliliklerini remediation servera iletir,
* Gerekli güncelleştirmeler client üzerinde gerçekleştirilir,
* Client Vpn server ile tekrar kimlik doğrulamasına girer ve güncelleştirilmiş sağlık durumunu gönderir,
* Tüm güncelleştirmelerin yapıldığı doğrulandıktan sonra NAP health policy server clientın durumunun uygun olduğuna karar verir ve VPN servera geçişe izin vermesini söyler,
* VPN server bağlantıyı tamamlar.
Dynamic Host Configuration Protocol (DHCP) address configurations:
Sanırım en çok kullanılacak modellerden biri olacaktır.Bir client bilgisayarı ile networke dahil olmak istediğinde DHCP serverdan IP almak isteyecektir. İşte bu sırada NAP ile gerekli kontroller gerçekleştiriliyor ve uygunsa clienta IP ataması yapılıyor. Eğer uygun değilse aynı şekilde uygun hale getirilemeye çalışılıyor.
Böylece belirlediğimiz kurallar ne ise,sadece bu kurallara uygun olan bilgisayarlar IP alabiliyorlar ve doğal olarakda networkümüze dahil olabiliyorlar.
Güvenlik anlamında ileri boyutlu bir çözüm getiren bu yeni teknoloji sayesinde network'e dışarıdan katılmakta olan kullanıcılar için çeşitli kriterler belirleyebiliyoruz. Eğer bağlanıcak kişi bu kriterlere uygun değilse ayrı bir bölüme alıp network ile ilişkisini kesip gerekliliklerini yerine getirmesini sağladıktan sonra networkümüze dahil ediyoruz. NAP temel anlamda bu mantıkla çalışıyor. Yani bir kontrol mekanizması gibi güvenliğimizi sağlıyor.
Burada dikkat etmemiz gereken bölüm, NAPın bizi dışarıdan gelecek tehlikelere karşı korumak yerine networkümüze katılıcak bilgisayarların , önceden belirlediğimiz kriterlere uyup uymadığını kontrol etmesidir.Örneğin herhangi bir antivirus yazılımına sahip mi, updateleri en son güncel halindemi, gibi. Ama bu gereklilikleri sağlayan kötü amaçlı biri de NAPı rahatlıkla geçip sisteme zarar verebilir.
Bir kullanıcı dışarıdan özel ağımıza bağlanmak istediğinde, ilk olarak üzerinde bulunan (System Healt Agent) ile sağlık bilgisini bizim networkümüzde bulunan Network Policy Servere iletir.Policy server ise bu bilginin kendi üzerinde bizim tarafımızdan hazırlanan kurallara uygun olup olmadığını geri dönüş yapar. Ardından eğer kabul edilirse networke dahil edilir. Eğer kural dışı bir durum saptanırsa bu bilgisayar özel bir ağa alınarak Remediation Server tarafından kural dışı bulunan tüm özellikleri düzeltilmeye çalışılır.
Dışarıdan bağlanan bir kullanıcıyı NAP kullanarak şı durumlarda kontrol edebiliriz:
Internet Protocol security (IPsec)-protected traffic:
IPSEC sayesinde networkümüz 3 adet mantıksal networke bölebiliriz.Bunlar kısıtlı(restricted) network,güvenli(secure) network ve sınır(boundary) networkdür.
İstemci bilgisayar için sağlık sertifikaları düzenlenebilir, böylece bu sertifikaya göre clientın hangi networkde yer alması gerektiği belirlenir. Örneğin active directorye üye olan tüm makinalar güvenli network içerisinde yer alabilirler. IPSEC ilede sadece bu network içerisindeki bilgisayarların birbirleri ile iletişimde olmaları sağlanabilinir.Sağlık sertifikası olmayan bilgisayarlar otomatik olarak kısıtlı networke gönderilirler.
IEEE 802.1X-authenticated network connections:
IEEE 802.1X-authenticated network bağlantıları için kullanabileceğimiz NAP modelidir. Örneğin bir access point. Aynı şekilde sınırlı veya güvenli networkler oluşturabiliriz.
Remote access VPN connections:
Vpn bağlantıları için NAP kullandığımızda dışarıdan VPN servera bir istek geldiğinde VPN server bunu NPS servera ileticek ve aynı şekilde bağlanılacak bilgisayar için sağlık kontrolleri gerçekleştirilecek.
Lakin burada 2003 server ile birlikte kullandığımız Network Access Quarantine Control ile NAPı karıştırmamamız gerekir.Network Access Quarantine Control kullanmamız için RQS.exe ve RQC.exe üzerinde konfigurasyonlar yapmalı ayrıca scriptler hazırlamalıyız.
Vpn bağlantısı için uygulanan adımlar şu şekildedir:
* Client VPN servera bağlantı gerçekleştirir,
* Client NAP health policy servera kimlik doğrulama bilgilerini gönderir,
* Eğer bu bilgiler uygun değilse VPN bağlantısı kesilir,
* Eğer kimlik bilgileri geçerliyse NAP health policy server , clienttan sağlık bilgilerini ister,
* Client bilgilerini gönderir,
* NAP health policy server,clientin gönderdiği bilgiye göre bir değerlendirme yapar. Eğer client ın durumunu uygun bulursa bunu clientın kendisine ve vpn servera iletir. Eğer uygun değilse gereklilikleri remediation servera sonuç olarak iletir,
* Uygun olmadığı takdirdede vpn bağlantısı gerçekleşir ama clientın networkdeki yetkileri kısıtlanır. Client networkde sadece remediation servera bilgi gönderebilir,
* Client güncelleştirme gerekliliklerini remediation servera iletir,
* Gerekli güncelleştirmeler client üzerinde gerçekleştirilir,
* Client Vpn server ile tekrar kimlik doğrulamasına girer ve güncelleştirilmiş sağlık durumunu gönderir,
* Tüm güncelleştirmelerin yapıldığı doğrulandıktan sonra NAP health policy server clientın durumunun uygun olduğuna karar verir ve VPN servera geçişe izin vermesini söyler,
* VPN server bağlantıyı tamamlar.
Dynamic Host Configuration Protocol (DHCP) address configurations:
Sanırım en çok kullanılacak modellerden biri olacaktır.Bir client bilgisayarı ile networke dahil olmak istediğinde DHCP serverdan IP almak isteyecektir. İşte bu sırada NAP ile gerekli kontroller gerçekleştiriliyor ve uygunsa clienta IP ataması yapılıyor. Eğer uygun değilse aynı şekilde uygun hale getirilemeye çalışılıyor.
Böylece belirlediğimiz kurallar ne ise,sadece bu kurallara uygun olan bilgisayarlar IP alabiliyorlar ve doğal olarakda networkümüze dahil olabiliyorlar.