Цель этой статьи – кратко ответить на следующий вопрос: каким образом NAP(Network Access Protection) осуществляет фильтрацию за несоблюдение клиентов требованиям безопасности, другими словами, как компьютеры соответствующие этим требованиям фильтруются от компьютеров не соответствующих им?

Прежде чем рассказывать об этом, нужно представить некоторые NAP-руководства.

В частности, есть пять различных методов выполнения защиты доступа к сети: 802.1x, DHCP, IPSec, Terminal Server Gateway, а также VPN. В качестве примера, будет рассмотрен DHCP, но не следует забывать, что он имеет ряд недостатков безопасности.

Во-первых, DHCP ограничивает доступ к сети клиентам, не соответствующим требованиям. Вместе с тем, он только представляет собой простой набор маршрутов по умолчанию.

Во-вторых, из-за ограничений, присущих в государственном DHCP стандарте, он не обеспечивает аутентификацию сервера и целостности сообщений. То есть, кто-то с доступом к локальной сети может злонамеренно изменить DHCP трафик без обнаружения этого факта клиентом или сервером.

Никаких ограничений не существует в NAP над сертификатом на основе, к примеру, IPsec. В IPsec клиент и сервер являются взаимно аутентифицируемыми и сетевой трафик защищен шифрованием и контрольными суммами.

Вместе с тем, с целью изучить технологию NAP, DHCP сложно предпочесть чему-то другому. Это менее сложная настройка, чем в других сценариях, и, таким образом, быстрее осуществимая.

NAP архитектура

Клиентские компьютеры не будут иметь полный доступ к корпоративной сети, если они не будут считаться соответствующими требованиям NAP.

Первый шаг состоит в том, что NAP-агент по клиенту направляет запрос на DHCP сервер.

DHCP-сервер получает запрос от клиента, извлекает SoH(Statement of Health, выражение о соответствии требованиям NAP), и передает его на сервер сетевой политики, на котором он проходит оценку. В данном примере, это просто вопрос одного сервиса к другому, выполняющийся службами на том же сервере.

Если SoH считается подтвержденным, то DHCP-сервер определяет для клиента IP, находящийся в главной, NAP-совместимой корпоративной сети. Если SoH не совместимо, то DHCP-сервер предоставляет клиенту IP, находящийся в так называемой, «песочнице».

Новая технология Forefront Client Security(FCS)/NAP отличается от предыдущих тем, какая информация включается в SoH, и как она оценивается сервером сетевых политик. Forefront Client Security NAP состоит из двух плагинов: агента системы охраны (SHA) для клиента, а также валидатора системы охраны (SHV) для сервера.

Поток данных

Клиент SHA передает FCS информацию, связанную с SoH, которая будет оцениваться SHV. Представьте SoH как список ответов на вопросы. Например, один пункт, это ответ на вопрос: "Запущен ли Forefront Client Security?". Другой ответ на вопрос: "Являются ли базы сигнатур вирусов обновленными?"

Когда FCS/NAP получает SoH, он оценивает каждую позицию, которая, в свою очередь настроена администратором, в отношении политики в области охраны. Например, в случае отрицательного ответа на вопрос о том, Forefront работает, SHV проверяет настройки политики, которые свидетельствуют о том, что Forefront должен быть запущен на здоровых клиентах.

После оценки каждого ответа на SoH, есть два возможных состояния в SHV, которые могут быть переданы на сервер сетевых политик:

1. Клиент здоров и соответствует требованиям.

2. Клиент нездоров и не отвечает требованиям безопасности

В последнем случае, для каждого несоблюдения пункта политики, SHV представляет сообщение, чтобы объяснить пользователю причины, почему машина не соответствующими требованиям. Например, "Forefront Client не запущен" или "База вирусных сигнатур является устаревшей" и т.п. Эти сообщения являются видимыми с помощью встроенных инструментов, таких, как napstat.exe и Netsh.exe.

Таким образом, настройка NAP на серверах и рабочих станциях FCS позволяет производить точечную настройку требований безопасности и проверять соответствие им рабочих станций, что несомненно положительно сказывается на общем уровне защиты корпоративной сети.

 

Литература:

1.     “Forefront Client Security Team Blog”. Электронный ресурс / Способ доступа: URL: http://blogs.technet.com/clientsecurity/

2.     “Forefront Client Security TechCenter”. Электронный ресурс / Способ доступа: URL: http://technet.microsoft.com/ru-ru/default.aspx

3.     “Security Central – InfoWorld”. Электронный ресурс / Способ доступа: URL: http://www.infoworld.com/d/security-central