Network Access Protection (NAP) osigurava propustljivost sa specifičnim Health Polisama za sisteme koji pristupaju mreži. NAP asistira administratorima pri konfigurisanju i održavanju specifične Health polise. Ovaj modul nudi informacije o tome na koji način NAP radi i kako se konfiguriše, nadgleda i kako se rešavaju problemi sa NAP-om.

NAP je System Health Policy-Enforcement platforma koja je ugrađena u Windows Server 2008, Windows 7, Windows Vista i Windows XP Service Pack 3 (koji uključuje NAP klijenta za Windows XP, koji je trenutno u beta testiranju). Ova platforma omogućava administratorima da zaštite privatnu mrežu primenjivanjem pokornosti (Compilance) sa System Health zahtevima. NAP omogućava administratorima kreiranje prilagođenih Health-requirement polisa koje proveravaju validnost zdravlja kompjutera pre dodeljivanja pristupa ili pre uspostavljanja komunikacije, kao i automatsko ažuriranje (Update) kompjutera da bi se osigurala odlazna saglasnost i da bi se ograničio pristup nesaglasnim (Noncompilant) kompjuterima (kompjuteri koji ne ispunjavaju zahteve definisane u Health polisi) mreži sve dok ne postanu saglasni i dok u potpunosti ne ispunjavaju sve zahteve Health polise.

U ovoj lekciji ćete naučiti:

  • Šta je Network Access Protection
  • NAP scenarija
  • NAP Enforcement metode
  • NAP Platform arhitekturu
  • Interakcije NAP arhitekture
  • NAP klijentsku infrastrukturu
  • NAP Server-Side infrastrukturu
  • Komunikaciju između NAP Platform komponenata

 

Šta je Network Access Protection?

NAP za Windows Server 2008, Windows 7, Windows Vista i Windows XP Service Pack 3 nudi komponente i Application Programing Interface (API) koji pomaže admninistratorima da primene saglasnost sa Healt-requirement polisama za mrežni pristup ili komunikaciju. NAP omogućava programerima i administratorima da kreiraju solucije za proveru validnosti kompjutera koji pokušava da se konektuje na mrežu kao i ažuriranja (Updates) ili pristupa potrebnim Health Update Resursima i ograničavanje pristupa ili komunikacije kompjuterima koji nisu saglasni sa Healt-requirement polisama (zahtevima iz Health Polisa).

NAP sadrži tri važna i izrazita aspekta:

  • Health State Validacija (provera stanja kompjutera)
  • Health Policy Compilance (upoređivanje stanja kompjutera sa zahtevima Health polise)
  • Ograničeni pristup (ograničeni pristup mreži za kompjutere koji ne ispunjavaju potrebne zahteve)



Network Access Protection može:

  • Da primora primenjivanje Health-requirement polisa na klijentskim kompjuterima
  • Da se postara da klijentski kompjuteri budu saglasni sa zahtevima iz Healt polise
  • Da ponudi potrebnu podršku kompjuterima koji ne ispunjavaju Health zahteve koji su precizirani u Healt.requirement polisi.

 

NAP scenarija

NAP nudi solucije i rešenja za sledeća najčešća scenarija:

  • Verifikovanje Health stanja (stanja kompjutera) za Roaming laptopove
  • Verifikovanje Health stanja za desktop kompjutere
  • Verifikovanje Health stanja za laptop koji posećuje mrežu (Visiting Laptop)
  • Verifikovanje Health stanja za kućni kompjuter kojim niko ne upravlja



U zavisnosti od svojih potreba, administratori za svoje potrebe mogu da konfigurišu soluciju koja adresira bilo koju ili sve ove scenarije.

NAP Enforcement metode

Komponente NAP infrastrukture poznate kao Enforcement Clients (ECs) i Enforcement serveri (ESs) zahtevaju proveru stanja zdravlja (Health State validaciju) i prisiljavaju primenjivanje ograničenog mrežnog pristupa za kompjutere koji ne ispunjavaju Health zahteve za specifični mrežni pristup ili komunikaciju. Windows 7, Windows XP SP3 & Windows Server 2008 uključuju podršku za NAP za sledeće tipove mrežnog pristupa ili mrežne komunikacije:

  • Internet Protocol Security (IPSec) zaštićeni saobraćaj
  • Insitute of Electrical and Electronics Engineers (IEEE) 802.1x-authenticated network connections
    Remote Access VPN Connections
  • Dynamic Host Configuration Protocol (DHCP) konfiguracija adresa



Windows 7 i Windows Server 2008 takođe uključuju NAP podršku za Terminal Service Gateway (TS Gateway) konekcije.

Metoda

Ključne tačke

IPSec Enforcement for IPSec protected communications
  • Kompjuter mora da ispunjava zahteve Health polise da bi mogao da komunicira sa drugim kompjuterima koji ispunjavaju zahteve.
  • Najjači NAP Enforcement tip i može da se primeni za IP adresu ili Protocol Port broja.

802.1x Enforcement for IEEE 802.1x-authenticated wired or wireless connections
  • Kompjuter mora da bude saglasan sa zahtevima iz Helath polise da bi dobio neograničeni pristup kroz 802.1x konekciju.

VPN enforcement for remote access connections
  • Kompjuter mora da bude saglasan sa zahtevima iz Health polise da bi dobio neograničeni pristup kroz RAS konekciju.

DHCP enforcement for DHCP based address configurations
  • Kompjuter mora da bude saglasan sa zahtevima iz Health polise da bi dobio neograničeni pristup Ipv4 konfiguraciji od DHCP servera.
  • Ovo je najslabija forma NAP Enforcementa.


Tabela 32.01 

NAP Platform arhitektura

Komponente NAP-enabled mrežne infrastrukture sastoje se iz sledećeg:

  • NAP klijenata
  • NAP Enforcement tački koje uključuju: HRA, VPN Server, DHCP Server, Network Access uređaja.
  • NAP Health Policy servera
  • Health Requirement servera
  • AD DS
  • Restricted Network, koja uključuje: Remidiation servere, NAP klijente sa ograničenim pristupom.

 

Slika 32.01 

Interakcije NAP arhitekture

Slika 32.02

Sledeće interakcije su za kompjutere i uređaje NAP-omogućene mrežne infrastrukture: 

  • Između NAP klijenta i HRA
  • Između NAP klijenta i 802.1x Network Access uređaja (Ethernet switch ili Wireless Access point)
  • Između NAP klijenta i VPN servera
  • Između NAP klijenta i DHCP servera
  • Između NAP klijenta i Remediation servera
  • Između HRA i NAP Health Policy servera
  • Između 802.1x Network Access uređaja & NAP Health Policy servera
  • Između VPN servera i NAP Health Policy servera
  • Između DHCP servera i NAP Health Policy servera
  • Između NAP Health Policy servera i Health Requirement servera

 

NAP Client infrastruktura

NAP arhitektura klijenata sastoji se od sledećeg:

  • Sloj (Layer) NAP EC komponenata
  • Sloj (Layer) System Health Agenta (SHA) komponenata
  • NAP Agent
  • SHA Application Programming Interface (API)
  • NAP EC API



NAP ECs za NAP platformu koja je podržana u Windows 7, Windows Vista, Windows Server 2008 i Windows XP SP2 (sa NAP klijentom za Windows XP) su sledeći:

  • IPSec NAP EC za IPSec zaštićenu komunikaciju
  • EAPHost NAP EC for 802.1x autentifikovane konekcije
  • VPN NAP EC za Remote Access VPN konekcije
  • DHCP NAP EC za DHCP-based Ipv4 konfiguraciju adresa

 

Slika 32.03 

NAP Server Side infrastruktura

Slika 32.04

Windows-based NAP Enforcement Point ima sloj NAP Enforcement Server (ES) komponenata. Svaki NAP ES je definisan za različiti tip mrežnog pristupa ili mrežne komunikacije. Na primer, postoji NAP ES za Remote Access VPN konekcije i NAP ES za DHCP konfiguracije. NAP ES tipično se poklapa sa specifičnim tipom NAP-enabled klijenta. Softveri drugih proizvođača (Third-party software vendors) ili Microsoft mogu da ponude dodatne NAP ESs za NAP platforme.

Komunikacija između NAP Platform komponenata (komponente NAP platforme)

Slika 32.05

NAP Agent komponenta može da komunicira sa NAP Administration Server komponentom kroz sledeći proces:

  1. NAP Agent prolazi SsoH NAP EC
  2. NAP EC prolazi SsoH ka NAP ES-u
  3. NAP ES prolazi Ssoh ka NAP servisu
  4. NPS servis prolazi SsoH ka NAP Administration serveru


NAP Administration server može da komunicira sa NAP agentom kroz sledeći proces:

  1. NAP Administration server prolazi SoHRs ka NPS servisu.
  2. NPS Servis prolazi System Statement Health odgovor (SSoHR) ka NAP ES-u.
  3. NAP ES prolazi SSoHR ka NAP EC-u.
  4. NAP EC prolazi SSoHR ka NAP Agentu


SHA može da komunicira sa odgovarajućim SHV-om kroz sledeći proces:

  1. SHA prolazi SoH ka NAP agentu
  2. NAP Agent prolazi SoH koji se nalazi unutar SsoH, ka NAP EC
  3. NAP EC prolazi SoH ka NAP ES
  4. NAP ES prolazi SoH ka NAP Administration serveru
  5. NAP Administration server prolazi SoH ka SHV-u
Dodaj komentar Sviđa mi se - (0) Ne sviđa mi se - (0)    

  • Predstavljanje zaštite mrežnog pristupa (Network Access Protection) 1
  • Predstavljanje zaštite mrežnog pristupa (Network Access Protection) 2
  • Predstavljanje zaštite mrežnog pristupa (Network Access Protection) 3
  • Predstavljanje zaštite mrežnog pristupa (Network Access Protection) 4