I denne artikkelen går vi gjennom Network Access Protection (NAP) som er en ny funksjonalitet som kom i Microsoft Windows Server 2008. NAP er i realiteten et skall som legger seg rundt andre tjenester, som for eksempel IPsec og DHCP, og skal gi bedre sikkerhet.
Hva er NAP
NAP er en tjeneste som skal sørge for at klientene våre tilfredsstiller helsepolicyer (Health Policy) vi ønsker følge. Eksempler på helse policyer er for eksempel krav til antivirus. De fleste har i dag definert at man skal ha vise kriterier for å få bruke nettverket. Det er heldigvis allmenn enighet om at vi skal ha antivirus, og de fleste er også enig om at dette bør oppdateres. Det er også enighet om at vi bør kjøre Windows Update regelmessig, mange firmaer bruker også Windows Server Update Services (WSUS).
Men selv om vi har disse forutsetningene har vi ingen god kontrollmulighet for å sjekke om disse kriteriene er oppfylt. Det vi kan gjøre er å bruke verktøy som Microsoft Baseline Security Analyser (MBSA), eller antivirusprogrammet sin managment-modul, men dette blir ikke proaktivt som selvfølgelig er den beste måten. Det er her NAP kommer inn i bilde.
NAP ligger seg som et beskyttende lag rundt nettet og nekter brukerne tilgang hvis de ikke tilfredsstiller de kravene vi har satt opp.
Hvilke krav kan vi stille
Kravene vi setter er veldig fleksible og strekker seg fra enkle krav som at maskinen må være medlem av domene eller en spesiell gruppe, til at maskinen må være oppdatert på alle fronter og kanskje inneholde en del firmaspesifikke innstillinger og programmer. Dette vil da si at vi kan lage en veldig enkel policy som nekter brukere som ikke er medlem av domene å få kontakt med serverne våre, men allikevel kan de få tilgang til nettverket.
Dette kan gjøres på to måter: Den enkle måten er at DHCP-serveren gir ut en låst rutingtabell som kun gir tilgang til internett (Gateway og DNS) eller at vi bruker 802.1x for å flytte disse maskinene inn i et eget VLAN.
Det blir brukt System Health Agents (SHA) og Validators (SHV) til denne jobben. SHV er en komponent som ligger på NAP-serveren og sjekker om klientene sine agenter følger helse-policyene. Man kan bruke en SHA eller flere. En god SHA er Windows Security Health Agent. Denne er innebygd i Windows XP (med SP3) og Vista. Denne dekker det meste av nødvendige sikkerhetssjekker uten at man må gå over til ”NAP-godkjente” produkter.
Windows Security Health Agenten er den samme som gir deg beskjed hvis brannveggen din er slått av eller antivirus ikke er oppdatert osv. En av de bedre tingene med denne agenten er at så lenge antivirusprogrammet eller brannveggen er godkjent av Windows så vil man bli godkjent av SHV.
Mange produsenter lager SHA/SHV og disse er mer spesifiserte og vanskeligere å manipulere enn Windows Security Heath Agenten. Kaspersky Labs, Managesoft og CA er eksempler på produsenter som har eller kommer med løsninger for NAP.
Enforcement-teknologier
- IPSec enforcement bruker en IPSec NAP enforcement client (EC) sammen med en Health Registration Authority (HRA). HRA-serveren deler ut X.509 sertifikater hvis klienten blir godkjent. IPSec er den sterkeste “enforcement”-metoden.
- 802.1x enforcement bruker NPS (NAP Server) sammen med en EAPHost NAP enforcement client. Når en klient kobler seg opp vil den bli sendt til VLAN basert på om klienten er godkjent eller ei. 802.1x er en sterk enforcement-metode.
- VPN enforcement bruker VPN NAP enforcement service og VPN NAP enforcement client. VPN-serveren tvinger igjennom bruk av health policier før brukeren tillates tilgang til VPN. VPN enforcement er en sterk enforcement-metode, men er begrenset til VPN klienter.
- DHCP enforcement bruker DHCP NAP enforcement server og DHCP NAP enforcement klient. DHCP-serveren tvinger gjennom health policy når klientene leier addresser og når de fornyer leien. DHCP enforcement bruker IP-tabeller (ruting-tabeller) og er den svakeste formen av enforcement-metodene, men også den enkleste å implementere.
Man kan også bruke NAP til å beskytte Terminal Services-oppkoblinger via TSGatewayen.
Et skall
En stor fordel med med NAP er at teknologien er laget som et skall rundt eksisterende teknologier uten å modifisere teknologien den skal brukes mot. Dette medfører at tingene fungerer som forventet og NAP blir usynlig for brukeren, eller frem til brukeren ikke er NAP-kompatible selvfølgelig. Da vil brukerne få beskjed om at han ikke er kompatibel hvis ikke NAP klarer å løse problemet selv.
Auto Remediation
Auto Remediation er en funksjon som gjør at klient-pc-en vil forsøke å løse NAP-blokkeringen. Hvis man for eksempel bruker en Health Policy som krever at brannveggen er slått på og at antiviruset er oppdatert, vil NAP-klient slå på brannveggen og oppdatere antivirusprogrammet automatisk hvis mulig. Dette medfører at det blir lettere for brukerne.
Hvis dette ikke lykkes, kan brukerne bli koblet opp mot en Remediation Server, som er en webserver med mulighet for å gi mer informasjon til brukeren og bedre begrunnelsen om hva som feiler. Man kan også legge linker til hva som skal til for å bli godkjent hvis ikke Auto Remediation fungerer.
Ikke-godkjente maskiner
Hva man skal gjøre med de maskinene som ikke blir godkjent er også veldig fleksibelt. Man kan velge løsningen med 802.1x som gir eget VLAN til ikke-godkjente maskiner, man kan legge brukeren i VPN-karantene, man kan bruke IPsec-karantene eller bruke DHCP-karantene (ruting-tabell).
I tillegg kan man også gi tidsbestemt tilgang til nettet. Eksempelvis kan ikke-godkjente bruker ha tilgang i 20 minutter og deretter bli hivd ut.
Man kan også bruke NAP som et loggverktøy for å logge aktiviteten uten å utføre handlinger på brukeren. NAP kan også bruke en WSUS-server som grunnlag i stedet for Windows Update. På den måten slipper man å ta i bruk oppdateringer som ikke er ferdig testet.
Sertifikattjeneste
Skal man ha fullt utbytte så bør man implementer en Certificate Authority struktur (PKI). Dette er en nødvendighet hvis man skal bruke IPSec, 802.1x og VPN, men man kan sette opp DHCP uten PKI. Før eller siden må man gå over til å bruke sertifikater uansett så hvorfor ikke gjøre det nå.
NAP-klienter
NAP kan kun brukes mot følgende operativsystemer:
- Windows Server 2008
- Windows Vista
- Windows XP med Service Pack 3
Selv om ikke Windows Server 2003 står på denne listen så er det ikke et stort problem. Serverne skal jo beskyttes mot klienter og de vil være tilgjengelig for klienter når de er godkjent. Dette kommer igjen inn på fordelen med at NAP er et skall rundt tjenestene. En NAP-agent for Windows Server 2003 hadde vært ønskelig i noen tilfelle, men ingen nødvendighet.
Det er også tredjeparts beta-er ut som gjør at man kan bruke både Linux og Mac som klienter i et NAP-system og dette er med på å øke nytteverdien. NAC fra Cisco er også kompatibelt med NAP slik at disse tjenestene kan utnytte hverandre.
Oppsummering
NAP gir oss muligheten til å sikre nettverket mot de mest normale måtene for spredning av virus og andre typer malware, nemlig via utdaterte klienter. Klienter som for eksempel ikke har oppdatert antivirus, Windows Update eller har deaktivert brannvegg vil være blant våre ikke-godkjente. Disse vil bli isolert fra de som er godkjent, og våre andre nettverksresurser som servere og skrivere.
De isolerte klientene kan bruke auto-remediation eller remediation-servere for å oppdatere status fra ikke-godkjent til godkjent og dermed bli sluppet inn på nettet.
NAP kan også bruke for å isolere ut gjeste pc-er fra bedriftsnettet, mens vi fortsatt ønsker at disse gjeste-pc-ene skal få tilgang på internett. NAP er også såpass fleksibelt at de fleste kan bruke det, selv i små nettverk.
NAP er selvfølgelig ingen erstatning for antivirusprogram eller andre sikkerhetstiltak, men er en måte for oss å sjekke at maskinen følger en fornuftig helsepolicy før den slippes inn i nettet.
Mer informasjon finner du på Microsoft TechNet.
Sender din rapport, vennligst vent...