NAP Enforcement za IPSec polise za Windows Firewall je izgrađen za Health Certificate server, Health Registration Authority (HRA) server, kompjuter na kojem radi NPS (Network Policy server), i IPSec Enforcement Client. Health Certificate server iznajmljuje X.509 sertifikat NAP klijentima kada se dokaže da su klijenti potčinjeni (Compliant). Ovi sertifikati se dalje koriste za autentifikaciju NAP klijenata na početku IPSec komunikacije sa drugim NAP klijentima na Intranetu.
IPSec Enforcement sužava našu mrežnu komunikaciju da bi potčinio klijente i da bi ponudio najjaču NAP implementaciju koja je dostupna. Iz razloga što ovaj Enforcement metod koristi IPSec, možemo da definišemo zahteve za sigurnu komunikaciju na osnovu Per-IP address ili Per-TCP-UDP brojeva portova.
U ovoj lekciji naučićete sledeće:
Slika 38.01
IPSec Enforcement deli fizičku mrežu na tri logičke mreže. Kompjuter je član samo jedne logičke mreže u bilo kom vremenu. Logičke mreže su definisane kompjuterima koji imaju Health sertifikate i koji kompjuteri zahtevaju IPSec autentifikaciju sa Health sertifikatima za dolazeće pokušaje komunikacije. Logičke mreže dozvoljavaju ograničeni mrežni pristup i sadrži potčinjene kompjutere koji su zaštićeni od nepotčinjenih kompjutera.
Dodatna literatura:
|
Da bi dobili Health sertifikat i postali sigurni članovi mreže, NAP klijenti koriste IPSec Enforcement za startovanje na mreži i odrađivanje IPSec Enforcement NAP procesa.
NAP klijent uklanja svaki postojeći Health Certificate, ako je potrebno, i dodaje novodobijeni Health sertifikat u njegov Computer Certificate Store. IPSec NAP EC konfiguriše IPSec postavke da bi odradio autentifikaciju koristeći Health sertifikat za IPSec zaštićenu komunikaciju i konfiguriše Host-based Firewall da bi dozvolio dolazeće komunikacije od bilo kog Peer-a koji koristi Health sertifikat za IPSec autentifikaciju. NAP klijent sada pripada sigurnoj mreži.
Ako NAP klijent nije podređen (Noncompliant), NAP klijent nema Health sertifikat i neće moći da započne komunikaciju sa kompjuterima koji se nalaze u sigurnoj mreži. NAP klijent odrađuje Remediation proces da bi postao član sigurne mreže.
Da bi izgradili NAP sa IPSec i HRA, moramo da konfigurišemo sledeće:
Zahtevi za izgradnju IPsec NAP Enforcement-a: