Защита доступа к сети Network Access Protection (NAP) в Windows 2008 Server - Основы защиты доступа к сети
ОГЛАВЛЕНИЕ
Основы защиты доступа к сети
Инструмент NAP спроектирован, чтобы расширить корпоративный VPN. Процесс начинается, когда клиент устанавливает VPN сессию с сервером Windows 2008, на котором запущена служба Routing and Remote Access (маршрутизация и удаленный доступ). После того, как пользователь устанавливает соединение, сервер сетевой политики проверяет состояние удаленной системы. Это обеспечивается путем сравнения конфигурации удаленного компьютера с политикой сетевого доступа, которая определена администратором. Что происходит дальше, зависит от того, что администратор прописал в этой политике.
У администратора есть настройка для конфигурации либо политики мониторинга (monitoring only policy), либо политики изоляции (isolation policy). Если включена только политика мониторинга, то любой пользователь с правильным правами получит доступ к сетевым ресурсам, вне зависимости от того, удовлетворяет ли его компьютер корпоративной политике безопасности или нет. Хотя политика мониторинга не запрещает любому компьютеру доступ в вашу сеть, результат сравнения конфигурации удаленного компьютера с корпоративными требованиями записывается в специальный журнал.
На мой взгляд, политика мониторинга лучше всего подходит для перехода в среду NAP. Подумайте на секунду, если у вас есть удаленные пользователи, которым необходим доступ к ресурсам, находящимся в вашей корпоративной сети, для выполнения из работы, то вы, вероятней всего, не захотите изначально включать NAP в изоляционном режиме. Если вы все же захотите сделать так, то велик шанс того, что ни один из ваших удаленных пользователей не сможет получить доступ к вашей корпоративной сети. Вместо этого вы можете настроить NAP для использования политики мониторинга. Это позволит вам оценить влияние ваших политик доступа к сети без случайного запрета выполнять кому-то его работу. После такого тестирования вы сможете включить политику в изоляционном режиме.
Как вы, вероятно, уже догадались, в режиме изоляции компьютеры, который не удовлетворяют корпоративной политике безопасности, помещаются в сетевой сегмент, который изолирован от ресурсов промышленной сети. Конечно, это очень общее заявление. Это полностью на усмотрение администратора, решить, что делать с пользователем, компьютер которого не удовлетворяет корпоративной политике. Обычно, администратор предоставляет пользователям, компьютеры которых не удовлетворяют корпоративной политике, доступ к изолированному сетевому сегменту, о котором я говорил выше. Также у администратора есть возможность ограничения доступа к одному ресурсу или к всем сетевым ресурсам.
Вы можете удивиться, какое может быть преимущество в предоставлении доступа компьютерам, которые не соответствуют требованиям корпорации, к изолированному сетевому сегменту. Если компьютер, который не соответствует требованиям, подключается к сети, и инструмент NAP запущен в изоляционном режиме, то такому компьютеру закрыт доступ в промышленную сеть. Обычно такой карантин продолжается, пока пользователь подключен к сети. Простой карантин компьютеров, которые не удовлетворяют политикам компании, позволяет избежать вирусного заражения или использования брешей в безопасности в вашей сети, но не закрывает для пользователя много всего полезного. В конце концов, если пользователь не может получить доступ к сетевым ресурсам, то он не может выполнять свою работу.
Тут как раз и приходит на помощь изолированный сетевой сегмент. Администратор может поместить специальный набор обновлений и антивирусов в этот изолированный сегмент. Такие ресурсы позволяет привести компьютер удаленного пользователя в соответствие с требованиями компании. Например, на таких серверах могут содержаться обновления для безопасности или для антивирусной программы.
Очень важно обратить внимание на то, что инструмент NAP не содержит каких-либо механизмов, которые способны проверить состояние удаленного компьютера и установку на нем обновлений. Это уже будет работа агентов состояния системы и валидатора состояния систем. По слухам, эти компоненты будут интегрированы в следующую версию SMS Server.
Реализация защиты доступа к сети (Network Access Protection) требует использования нескольких серверов, каждый из которых выполняет определенную роль. Как может выглядеть такая простая реализация, вы можете увидеть на рисунке 1.
Как вы можете увидеть из диаграммы, клиент с операционной системой Windows Vista подключается к серверу Windows 2008 Server, на котором запущена служба удаленного доступа Remote Access (RRAS). Этот сервер работает как сервер VPN server для сети. Клиент с Windows Vista устанавливает соединение с этим сервером VPN server обычным способом.
Когда удаленный пользователь подключается к серверу VPN server, контроллер домена проверяет права пользователя. В обязанности сервера сетевых политик входит определение, какие политики необходимо задействовать, и что случиться, если удаленный клиент не имеет полномочий. В тестовой среде необходимо использовать один физический сервер для выполнения ролей службы маршрутизации и удаленного доступа, а также для роли сервера сетевых политик. В реальной ситуации сервера VPN server располагаются по периметру сети, и размещение сервера сетевых политик по периметру сети очень плохая идея.