Network Access Quarantine Control odlaže normalni udaljeni pristup u privatnu mrežu sve dok konfiguracija Remote Access kompjutera ne bude proverena i procenjena skriptom koji je kreirao administrator. Kada skript obavesti Remote Access Server da se uspešno startovao i da udaljeni klijentski kompjuter ima sve potrebne konfiguracije koje su propisane mrežnim polisama, karantin stanje se uklanja i udaljenom klijentskom kompjuteru se dodeljuje normalan pristup. U ovoj lekciji naučićete koncept izgradnje Network Access Quarantine Control komponente.
Karantin resursi (Quarantine resources)
Da bi omogućili udaljenim klijentima pristup resursima na Access Name Serveru, Web serveru ili File serveru dok su u karantin modu, moramo da lociramo servere koji će biti dostupni udaljenim klijentima.
Sledeća tabela prikazuje tipove karantin resursa:
Client-side skiptovi za Network Quarantine
Karantin skipta ili program koji kreira administrator za validaciju klijentske konfiguracije u toku udaljenog pristupa može biti .exe fajl ili prosti komandni fajl (.cmd ili .bat). U skriptu, se nalazi nekoliko testova koji proveravaju da li Remote Access Client ima sve potrebne konfiguracije koje nalaže mrežna polisa (Network Policy).
Startovanje Rqc.exe:
Ako su svi testovi koji se nalaze u skripti odrađeni uspešno, skript mora da startuje rqc.exe sa sledećim parametrima:
Rqc connName TunnelConnName TCPPort Domain User name ScriptVersion
Parametri Rqc.exe za komandnu liniju su sledeći:
- ConnName: Ime konekcije udaljenog pristupa (Remote Access Connection Name) na tom hostu. Iznos ovog paramtra može da se nasledi iz Connection Manager Profila %DialRasEntry% variable (takođe poznata kao Macro).
- TunnecConnName: Ime Tunnel konekcije na hostu. Iznos ovog parametra može da se nasledi od Connection Managera profila %TunnelRasEntry% variable.
- TCPPort: TCP Port koji se koristi za slanje poruke obaveštenja. Defoltni TCP port koji koristi rqc.exe je 7250. Ako konfigurišemo komponentu slušača (Rqc.exe) da koristi drugi TCP port, onda moramo da unesemo broj tog TCP porta.
- Domain: Domen korisnika koji se konektuje. Iznos ovog parametra može da se nasledi od Connection manager profila %Domain% variable.
- UserName: Korisničko ime korisnika koji se konektuje. Iznos ovog parametra može da se nasledi iz Connection Manager profila %UserName% variable.
- ScriptVersion: Text String koji sadrži verziju skripta. Možemo da odredimo Text String koristeći karaktere sa tastature osim –0 karakter sekvence.
Konfiguracija VPN klijentskog Profila za Network Quarantine koristeći Connection manager
Da bi omogućili klijentima da koriste Quarantine Mode, moramo da konfigurišemo Connection manager profil koristeći Connection manager Administration Kit.
Konfiguracija karantin CM Profila
Quarantine-enabled profil sadrži sledeće komponente:
- Post-connect akcije koje startuju Network Policy Requrements Script: Ova funkcionalnost je konfigurisana kada je CM profil kreiran sa CMAK-om.
- Network Policy Requirement Script: Ovaj skript odrađuje proveru validacije na remote Access klijentskom kompjuteru da bi proverio da li konfiguracija klijenta odgovara Network Policy.
- Notification Component: Komponent obaveštavanja šalje poruku koja ukazuje na uspešno startovanje skipta na Quarantine-Compatible Remote Access Server-u. Možemo da koristimo svoj Notification Component ili možemo da koristimo Rqc.exe, koji smo dobili u Windows Server 2003 SP1.
Da bi konfigurisali Quarantine CKM profil, potrebno je da startujemo Connection Manager Administration Kit Wizard. Dva dela konfiguracionog procesa su specifična za kreiranje CM profila:
- Define Custom Action: Možemo da koristimo Connection Manager Administration Kit Wizard za definisanje prilagođenih akcija. Ove akcije se mogu odrađivati pre konektovanja udaljenog klijenta, ili u bilo kom stadijumu u toku ili nakon konekcije. Da bi kreirali profil koji će biti omogućen za karantin kontrolu (Quarantine control), moramo da konfigurišemo prilagođenu akciju (custom action) koja će startovati Quarantine Requirements Script nakon konektovanja udaljenog klijenta.
- Add the notification component as an additional file: Kao deo CM profila, možemo da instaliramo dodatne fajlove na klijentskom kompjuteru. Da bi omogućili Quarantine Profile, moramo da dodamo Rqc.exe ili prilagođeni komponent za obaveštavanje u profil.
Distribuiranje CM Profila
Nakon kreiranja Quarantine Connection Manager Profila, on mora da se distribuira i instalira na svim udaljenim klijentskim kompjuterima. Profil je sam za sebe .exe fajl koji mora da se startuje udaljenom klijentu da bi se instalirao profil i konfigurisala Quarantine Control konekcija.
Postoji mnogo metoda kojim možemo da distribuiramo i startujemo Profil na udaljenim klijentskim kompjuterima:
- Poslati Profil .exe fajl, ili link ka profilu, našim udaljenim klijentima sa instrukcijama o tome kako se startuje Profil koji instalira Quarantine konekciju.
- Smestiti Profil Exe fajl na Web stranicu i dati korisnicima instrukcije da startuju Profil koji instalira karantin konekciju.
- Startovati Profil kao deo startup skripta ili kao deo domenskog Logon skripta.
- Smestiti .exe fajl na CD ili flopi disk.
Izgradnja Listener komponente
Remote Access Quarantine Agent Service (Rqc.exe) mora da se instalira na svim Windows Server 2003 Remote Access serverima koji nude karantin servis. Ova instalacija se odrađuje dodavanjem Remote Access Quarantine Servis komponente koja je uključena u Windows Server 2003 SP1.
Konfiguracija Rqc.exe na serverima koji rade na Windows Server 2003 SP1
Da bi instalirali i konfigurisali Rqc.exe na Remote Access Serveru na kojem radi Windows Server 2003 SP1, treba da kliknemo na Add-Remove Windows Components u Control Panelu. Remote Access Quarantine Service je komponenta koja se nalazi ispod Networking Services.
Konfiguracija Remote Access polisa za Network Quarantine
Za podršku Network Access Quarantine Control-a, administrator mora da konfiguriše quarantine remote access polisu za zahtevanim stanjem. Za Remote Access konekcije, administrator može da odredi MS-Quarantine-IPFilter ili MS-Quarantine-Session-Timeout atribute.
MS-Quarantine-IPFilter settings
Paket filteri koji konfigurisani za MS-Quarantine atribut nude karantin za Remote Access klijenta sve dok komponent za obaveštavanje na Remote Access klijentu ne ukaže na to da je klijent kompatibilan sa mrežnom polisom.
Možemo da koristimo MS-Quarantine-IPFilter atribut da konfigurišemo dolazeće i odlazeće filtere koji dozvoljavaju samo sledeće:
- Saobraćaj koji je generisala komponenta za obaveštavanje. Ako koristimo Rqc.exe i Rqs.exe sa defoltnim portom, potrebno je da konfigurišemo jedan Input filter koji dozvoljava saobraćaj samo sa TCP 7250 porta.
- Saobraćaj koji je potreban za DHCP poruke između Remote Access klijenata i Remote Access Servera.
- Saobraćaj koji je potreban za pristup Quarantine resursima. Ovo uključuje filtere koji dozvoljavaju Remote Access klijentu da pristupi DNS ili WINS serverima, šerovanim folderima i Web sajtovima.
MS-Quarantine-Session Timeout Settings
Možemo da koristimo MS-Quarantine-Session-Timeout atribut da odredimo koliko će dugo Remote Access Server čekati da primi obaveštenje da je skript startovan uspešno pre nego što odbaci konekciju.
Network Access Quarantine Control ograničenja
Network Access Quarantine Control može da bude moćan metod za čuvanje nesigurnih klijentski kompjutera od naše mreže u kompaniji, ali korišćenje ove tehnike poseduje i neka ograničenja.
- Efektnost korišćenja ovog metoda zavisi od postavki koje se mogu proveriti korišćenjem skripta: Na primer, možemo da testiramo da li na klijentu radi podržana verzija operativnog sistema ili nekog drugog softvera. Takođe možemo da izvršimo testiranje klijentskog kompjutera na specifične update-ove, na određene virus definicije, i druge postavke. Ipak, ne možemo da odradimo kompletnu analizu sigurnosti na klijentskim kompjuterima.
- Quarantine Control zavisi od Client-side skriptovanaja: ovo znači da će maliciozni korisnik možda koristiti klijenta za obmanjivanje Quarantine restrikcija. Network Access Quarantine Control nije namenjen za odbranu od malicioznih korisnika nego da osigura da su kompjuteri koje koriste autorizovani korisnici konfigurisani kako nalaže mrežna polisa
- Možemo koristiti Network Quarantine samo sa Dial-up i VPN konekcije: Mrežni karantin se ne može koristiti za druge mrežne konekcije kao što su Wireless konekcije.