V prvním díle, jsme otevřeli seriál na téma Windows Server 2008 popisem několika novinek v tomto operačním systému - Řadič domény jen pro čtení (RODC); Šifrování disků pomocí BitLocker™ a Server Core. Dnes budeme pokračovat tématy neméně závažnými – bezpečností interních, tedy vnitřních sítí pomocí technologie Network Access Protection (NAP) a dále se zaměříme na nasazení tohoto serveru jako aplikačního serveru – hlavně jako web Internet Information Server (IIS).
V prvním díle, jsme otevřeli seriál na téma Windows Server 2008 popisem několika novinek v tomto operačním systému - Řadič domény jen pro čtení (RODC); Šifrování disků pomocí BitLocker™ a Server Core. Dnes budeme pokračovat tématy neméně závažnými – bezpečností interních, tedy vnitřních sítí pomocí technologie Network Access Protection (NAP) a dále se zaměříme na nasazení tohoto serveru jako aplikačního serveru – hlavně jako web Internet Information Server (IIS).
Network Access Protection (NAP)
Network Access Protecetion (NAP) je technologie síťové ochrany. Je složena z několika částí a každá z nich je velmi zajímavá. Máme zde samotného klienta (zatím je pouze ve Windows Vista a ve Windows Server 2008; plánuje se také klient pro Windows XP, který bude součástí SP3), dále síťový prvek, či síťovou službu (switch, wifi router, DHCP, VPN), dále RADIUS server, na němž jsou uloženy politiky NAP a finálně také NAP server, který politiky vytváří a na RADIUS server aplikuje.
Celá koncepce NAP je založena na myšlence, že definice sítě tak, jak ji dnes známe, již neobstojí. Jedná se typické segmentování sítí, kterým navyšujeme jejich bezpečnost. Tedy např. vytváření vnitřní firemní LAN sítě, speciálních sítí pro servery, různé DMZ sítě a mnohé další. Ty jsme byli nyní leckdy nuceni budovat, abychom jimi snížili pravděpodobnost síťového útoku. Sítě jsou tedy zabezpečovány fyzickými prvky sítí (switche, routery, atd.) – nikoli logicky. A to je právě ten problém. Co když si některý zaměstnanec přinese do firmy svůj notebook, zapojí jej do LAN sítě a protože jej měl zavirován, nechtěně nám do vnitřní sítě pustí nějaký vir? Ano, dá se to řešit zákazem takové činnosti, ale ruku na srdce – kdo z nás jej ještě nikdy neporušil?
S technologií NAP dostáváme do ruky zcela nový nástroj, který by měl zcela změnit naše smýšlení o bezpečnosti sítí. Síť budeme definovat logicky – politikami a nikoli fyzickými prvky. Pojďme si celý proces NAP popsat tak, jak by mohl probíhat a zároveň si na něm popíšeme všechny zúčastněné komponenty.
- Klient, po připojení do sítě, bude muset nahlásit svůj stav – tedy zdali splňuje správcem vydefinované podmínky, či nikoli. Toto zajišťuje NAP klient přímo v operačním systému. Hodně dotazů je mi kladeno vždy na to samé – jak to bude s jinými operačními systémy, nebo síťovými prvky, např. tiskárnami apod. Již dnes má Microsoft v oblasti NAP několik desítek partnerů (http://www.microsoft.com/windowsserver2008/nap-partners.mspx), kteří vyvíjejí NAP klienty přesně pro tyto účely – pro svá specifická zařízení, či konkrétní software.
- Zařízení, se kterým klient komunikuje, očekává hlášení NAP klienta o jeho stavu. Toto hlášení předává dál s dotazem, zdali má klientovi umožnit komunikaci, či zdali jej má (a jak) omezit v jeho činnosti. Tímto zařízením mohou být následující prvky:
- Přepínač/switch s podporou protokolu 802.1x
- WiFi směřovač/router s podporou protokolu 802.1x
- DHCP Server
- VPN Server
- Jakmile zařízení obdrží (nebo naopak neobdrží) informace o stavu klienta, kontaktuje RADIUS server a ověřuje na něm, zdali se tento stav shoduje se správcem vydefinovanými podmínkami. Jakmile získá odpověď, povolí, či zakáže klientovi komunikovat – případně může povolit jen částečnou komunikaci, např. jen na nějaké servery, konkrétním protokolem, nebo pouze do části sítě.
- Politiky, které jsou uloženy na RADIUS serveru, definujeme pomocí NAP Serveru, který je součástí Windows Server 2008. Z něj máme možnost nastavit podmínky, které musí klient splnit a i případně to, jak jej budeme omezovat.
- Dále můžeme mít v síti také server, který v případě, že klient z nějakého důvodu selže (nesplní vydefinované podmínky), zajistí nápravu. Ideálním spojencem může být např. chystaný System Center Configuration Manager (nástupce Microsoft SMS) – ten se na klienta může pokusit naaplikovat instalační balíček s aktualizací Windows, či jiného software (např. antivirového), nebo na klienta aplikovat konfigurační balíček, který zajistí změnu nastavení klienta (např. nastaví heslo na spořič obrazovky).
Tolik tedy alespoň velmi zjednodušeně o tom, jak tento proces vypadá. Je zcela namístě již nyní začít přemýšlet o implementaci NAP, protože to sebou přinese celou řadu otázek. Jsou moje zařízení kompatibilní s touto technologií? Jak budou vypadat politiky, které chci na svoji síť aplikovat? Jsou tyto politiky aplikovatelné na všechna síťová zařízení? Pokud ne, co dodavatel software/hardware – jak se k celé problematice staví? A mnoho a mnoho dalšího. Každopádně cíl by měl být takový, že pokud si zaměstnanec přinese z domova již jednou zmiňovaný notebook a zapojí jej do lokální sítě, nemělo by se nic stát – pouze nesplní podmínky vydefinované správcem a proto jej buď zcela nepustíme do naší sítě (pomocí přepínače/switch), nebo jej pustíme pouze někam (kombinace DHCP, směřovač/router). Velmi hezky nám NAP také spolupracuje s technologií šifrování na úrovni IP protokolu – IPSec, čímž se nám možnost využití ještě dále rozšiřuje o další scénáře nasazení. Každopádně si nyní zapamatujme, že již nejen hardware definuje síť, ale nově také NAP – tedy podmínky, kterými vydefinujeme, co musí klient splnit, aby se mohl stát součástí takovéto sítě.
Internet Information Server (IIS) v. 7
Co napsat o novém web serveru ve Windows Server 2008? Dalo by se to napsat asi takhle: je to rychlé, je to stabilní a je to prima… no a přesně toto mi řekl správce web serverové farmy, který se stará o několik tisíc webů na můj dotaz, co by mi řekl o IIS 7 J. To, že se nový IIS velmi povedl, potvrdí několik faktů. Celý web „microsoft.com“ jede nyní na IIS 7. Také dva poskytovatelé hotovaných řešení, společnost Active24 a IGNUM mají již IIS 7 nasazen a jejich odezva je velmi pozitivní. Ale dost marketingu, co tedy IIS 7 přináší nového z technického pohledu?
- Nová řada nástrojů pro správu:
- nová grafická konzola, která je zcela jiná, než jak jsme byli zvyklí dosud – orientuje se na více na úkoly, které chcete vykonávat, nikoli na oblasti jako dříve
- plná podpora pro práci s IIS z příkazového řádku (případně s pomocí nástroje AppCMD.exe, který vám pomůže se syntaxí příkazů)
- plné propojení IIS s technologiemi .NET Framework
- runtime diagnostika
- automatické sledování chyb a logů
- Delegování správy - administrátor může nyní plně předat administraci web site správci aplikace. Ten může vyvíjet celý web na svém IIS a následně přenést celou aplikaci, včetně jejího nastavení a nastavení IIS (!), na „živý“ server.
- Sdílená konfigurace pro web farmy - tato konfigurace (systém popsaný v bodě 2) může být následně sdílena mnoha web servery, což velmi zjednodušuje nasazení webových farem.
- Bezpečná vzdálená správa – celá konzola IIS může komunikovat s IIS 7 skrz HTTPS protokol. Tím pádem je zajištěna zvýšena dostupnost pro správce IIS (HTTP) a také bezpečnost komunikace (SSL).
- V IIS 7 se také setkáme s rozšířenou podporou FTP protokolu. A to hlavně o možnost FTPS (tedy FTP over SSL) a vůbec vylepšené správy FTP účtů a jejich nastavení.
Tolik tedy v druhém díle o chystaném Windows Server 2008. Příště bychom se podívali na novinky v oblasti terminálových sluřeb.