2. Network Access Protection
NAP Nedir?
NAP Ana Fonksiyonları
NAP Algoritması
NAP Bileşenleri
Tipik Bir NAP Network Yapısı
Uygulama
Uygulama Gereksinimleri
Topoloji
NAP İçin DHCP Konfigürasyonu
3. Ağ Erişim Koruması
NAP – Network Access Protection
nedir?
«Sağlıklı» ve «Güvenilir» olduğuna dair raporu /
sertifikası bulunan PC’lerin ağa ve ağın kaynaklarına
erişimini onaylayan mekanizma veya bileşen
platformudur.
NAP Bir Güvenlik Uygulaması Değildir. Ağın Güvenli
Olmasını Sağlamaz. Ağın Güvenli Olmasına Yardımcı
Olur.
NAP Bir Kontrol Mekanizmasıdır.
4. Ağ Erişim Koruması
NAP – Network Access Protection
nedir?
Windows Server 2008 Windows Server 2003
Network Access Network Access
Protection Quarantine Control
XP SP3 XP Professional
Vista XP Home Edition
Windows 7 Windows 2000
ME
98 SP2
5. Ana Fonksiyonlar
NAP Ana Fonksiyonları
Bir bilgisayar, admin tarafından
belirlenmiş sağlık statüsüne
uygun değilse kullanıcıların
1. Health State Validation gereksinimleri yerine getirmesine
yardımcı olunabilir. Örnek olarak
2. Bir bilgisayar, ağa bağlanma girişiminde Access
Network Access Restrictionkullanıcıların bir antivirüs
/ Limited
bulunduğunda bu bilgisayarın sağlık statüsü
3. Health Policy Compliance programını update etmeleri veya
Bir bilgisayar, admin tarafından belirlenmiş
admin tarafından tanımlanmış sağlık
Windows Güvenlik Duvarı’nı
sağlık statüsüne uygun değilse bilgisayarın
gereksinim poliçeleri ile karşılaştırılır ve onay
4. ağa ve ağ etkinleştirmelerinin
Remediation kaynaklarına zarar vermesi
süreci başlar. Admin aynı zamanda bilgisayarın
ihtimaline karşın bilgisayarın beklenemeyeceği durumlarda
ağa erişmesi
sağlık poliçelerine uygun olmaması durumunda
NAP bu ve benzeri işlemleri
engellenebilir veya belirleyebilir. erişmesi
ne yapılacağını da kısıtlı düzeyde
sağlanabilir. admin ve user adına otomatik
NAP ilk kurulduğunda iş süreçlerine darbe
olarak gerçekleştirebilir.
vurmamak için raporlama modunda
Eksik uygulama güncellemeleri
çalıştırılması önerilir.
ve yönetim araçları ile
konfigürasyon değişiklikleri bu
kapsamda düşünülebilir.
6. Algoritma
NAP Çalışma Algoritması
Bilgisayar çalışmaya başladığında;
Kendi üzerinde bir sağlık kontrolü gerçekleştirir. Bu kontrol
sırasında sağlık durumunun parametresi olarak kabul
edilebilecek bileşenlerin kontrol işlemi gerçekleştirilir. Bu
bileşenlerin neler olacağı belirlenebilir.
Örnek olarak; Güncel Service Pack Yüklü mü?
Antivirus Programı Yüklü mü?
Antivirus Programı Etkin mi?
Güncel Antivirus DB
Firewall Etkin mi?
Bu sorgulamaların sonunda bilgisayarda bir rapor oluşturulur ve
saklanır.
7. Algoritma
NAP Çalışma Algoritması
Bilgisayar ağa veya ağ kaynaklarına erişmeye
çalıştığında;
Bilgisayarın oluşturduğu rapor bir kontrol noktasına gönderilir.
Bu kontrol noktasına NAP Enforcement Point denir.
NAP Enforcement Point PC’nin sağlık durumunu kontrol eder
ve olması gerekenle karşılaştırır. Bilgisayara yapılacaklar ile
ilgili bu noktalarda aksiyon alınır.
NAP Enforcement Point Dizaynları ve farkları
Bilgisayar sağlık gereksinimlerini karşılamaz ise;
Hiçbir şey yapılmayabilir. (Report-only Mode)
Erişim Reddedilebilir.
Durumunu düzeltmesi amacıyla kısıtlı bir ağa girişine izin
verilebilir. Bu ağda DHCP, WSUS, RODC, DNS gibi rollerin
yapılandırılması gerekir. Böylece bilgisayar güvenli bir şekilde
sağlık gereksinimlerini tamamlar. Bu kısıtlı ağa Remediation
Network denir.
8. Bileşenler
NAP Bileşenleri
Client tarafında;
System Health Agent (SHA)
Servis olarak çalışır.
Sağlık durumunu NAP Enforcement Point’e raporlar.
3. Parti Yazılımlar APIler ile kendi SHA’larını oluşturabiliyorlar.
NAP Enforcement Point tarafında;
System Health Validator (SHV)
Network Policy Server bileşenidir.
RADIUS ile birlikte çalışabilir.
Remediation Sunucuları
Opsiyoneldir.
WSUS kullanarak antivirus güncellemelerini kurabilir.
9. NAP Network
Tipik Bir NAP Network Yapısı
…
DHCP Domain File Mail
Controller Server Server
HEDEFLENEN AĞ
Gereksinimler
Karşılandı
DHCP WSUS DHCP Web
RODC
Proxy
REMEDIATION NETWORK KONUK AĞI
Gereksinimler
Karşılanmadı NAP Desteği
Yok
10. Uygulama
Uygulama
FS IIS
Kısıtlı Ağ
Server2.dc.com
192.168.1.2 / 24
File Services
IIS
Network Policy &
DHCP DC
Access Services -
NPS
Server1.dc.com
Windows 7 Client 192.168.1.1 / 24
client.dc.com Active Directory Domain Services
Dinamik IP DHCP Server
Network Policy & Access Services - NPS