Technologie Network Access Protection (NAP) přináší do Microsoft sítí tolik dlouho očekávanou možnost kontroly nad tím, kdo se přihlašuje do vaší firemní sítě. S technologií NAP tak dostáváme do ruky zcela nový nástroj, který by měl zcela změnit naše myšlení o bezpečnosti Microsoft sítí. Síť budeme definovat logicky – politikami a nikoli fyzickými prvky. Pojďme si celý proces NAP popsat tak, jak by mohl probíhat a zároveň si na něm popíšeme všechny zúčastněné komponenty.
Technologie Network Access Protection (NAP) přináší do Microsoft sítí tolik dlouho očekávanou možnost kontroly nad tím, kdo se přihlašuje do vaší firemní sítě. V současné době toto nebylo možné, a proto docházelo k dnes již zastaralému návrhu koncepce sítí, kde jsou její jednotlivé části od sebe fyzicky oddělovány a pomocí různých zařízení (typicky firewall) je potom kontrolován každičký bajt, který se chce dostat z jedné sítě do druhé. Pokud bychom přistoupili na argument, že se jedná o bezpečné řešení, určitě se nám nebude chtít souhlasit s tím, že se jedná o koncepci, která by byla nějak extrémně vlídná k uživatelům, případně k aplikacím. Jednoduchý příklad jistě hovoří sám za sebe – proč bych se měl jako uživatel přemístit z jedné části firmy do druhé jen proto, abych získal přístup tam, kam potřebuji? Nebylo by lepší celou otázku postavit zcela obráceně a říci – je jedno, kde se daný uživatel nachází, pokud splní námi vydefinovaná kritéria, ať získá přístup odkudkoli. Pokud je ale nesplní, nesmí naopak získat přístup vůbec nikde, co na tom, že je to náš vlastní uživatel a že se hlásí ze sítě, kterou považujeme za bezpečnou. Celá tato novinka se potom dá využít i k obraně vnitřních částí firemní sítě, např. před neoprávněným přístupem neautorizovaných osob a proti případnému zavlečení nechtěných virů, červů apod., které mohou napáchat v i dobře administrovaných sítích obrovské škody! S technologií NAP tak dostáváme do ruky zcela nový nástroj, který by měl zcela změnit naše myšlení o bezpečnosti Microsoft sítí. Síť budeme definovat logicky – politikami a nikoli fyzickými prvky. Pojďme si celý proces NAP popsat tak, jak by mohl probíhat a zároveň si na něm popíšeme všechny zúčastněné komponenty.
Klient, po připojení do sítě, bude muset nahlásit svůj stav – tedy zdali splňuje správcem vydefinované podmínky, či nikoli. Toto zajišťuje NAP klient přímo v operačním systému. Hodně dotazů je mi kladeno vždy na to samé – jak to bude s jinými operačními systémy, nebo jinými aplikacemi, než těmi, které jsou přímo součástí Windows? Např. s antivirovými programy? Odpověď je jednoduchá - již dnes má Microsoft v oblasti NAP několik desítek partnerů (http://www.microsoft.com/windowsserver2008/nap-partners.mspx), kteří vyvíjejí rozšíření pro NAP klienty přesně pro tyto účely – pro svá specifická zařízení, či konkrétní software. Zkontrolujte tedy, zdali váš dodavatel softwaru již zareagoval na příchod Windows Server 2008 a zdali nabízí rozšíření NAP (klienta i serveru) pro kontrolu jeho aplikací. Protože hlavním partnerem při vývoji NAP byla společnost Cisco, nabízí se i možnost propojení technologie Microsoft NAP a Cisco Network Admission Control (NAC).
Ale pojďme se vrátit k samotnému procesu – zařízení, se kterým klient komunikuje, očekává hlášení NAP klienta o jeho stavu. Toto hlášení předává dál s dotazem, zdali má klientovi umožnit komunikaci, či zdali jej má (a jak) omezit v jeho činnosti. Tímto zařízením mohou být následující prvky:
Jakmile zařízení obdrží (nebo naopak neobdrží) informace o stavu klienta, kontaktuje RADIUS server a ověřuje na něm, zdali se tento stav shoduje se správcem vydefinovanými podmínkami. Network Protection Server – tak se tato role ve Windows Server 2008 nazývá, totiž politiky kvůli hardwarové kompatibilitě ukládá právě do obecně přijímaného RADIUS serveru. Jakmile získá odpověď, povolí, či zakáže klientovi komunikovat – případně může povolit jen částečnou komunikaci, např. jen na některé servery, pouze konkrétním protokolem, nebo pouze do konkrétní části sítě.
Dále můžeme mít v síti také server, který v případě, že klient z nějakého důvodu selže (nesplní vydefinované podmínky), zajistí nápravu. Ideálním spojencem může být např. chystaný System Center Configuration Manager (nástupce Microsoft SMS) – ten se na klienta může pokusit naaplikovat instalační balíček s aktualizací Windows, či jiného software (např. antivirového), nebo na klienta aplikovat konfigurační balíček, který zajistí změnu nastavení klienta (např. nastaví heslo na spořič obrazovky).
Tolik tedy alespoň velmi zjednodušeně o tom, jak tento proces vypadá. Je zcela namístě již nyní začít přemýšlet o implementaci NAP, protože ta sebou přinese jistě celou řadu otázek. Jsou moje zařízení kompatibilní s touto technologií? Jak budou vypadat politiky, které chci na svoji síť aplikovat? Jsou tyto politiky aplikovatelné na všechna síťová zařízení? Pokud ne, co dodavatel software/hardware – jak se k celé problematice staví? A mnoho a mnoho dalšího. Každopádně cíl by měl být takový, že pokud si zaměstnanec přinese z domova svůj notebook a zapojí jej do lokální sítě, nemělo by se nic stát – buď mu bude odmítnut částečně či zcela přístup, nebo mu pomocné servery naaplikují potřebné aktualizace a změny v systému. Po chvíli se nám tedy uživatel dostává opět do naší vnitřní sítě – bez jeho zásahu, bez zásahu administrátora, bez nutnosti rezervovat pro tyto situace administrátorské síly a posilovat helpdesk – vše probíhá na pozadí a k plné spojenosti všech zúčastněných!
Na závěr si pojďme shrnout vše důležité, co byste si měli o Microsoft NAP technologii zapamatovat:
-
Požadované technologie jsou přímo vestavěny ve Windows Server 2008, Windows Vista a Windows XP Service Pack 3
-
Pro nasazení NAP nejsou potřeba žádné další licence (pokud již máte Windows CAL)
-
NAP “agent” není ve skutečnosti agent, je to služba, která běží na klientském počítači a je možné ji plně spravovat skrze Group Policy
-
Agent pro Windows XP bude vydán jako součást chystaného Service Pack 3
-
NAP není řešení bezpečnosti, je to řešení zdraví sítě
-
V současné chvíli neexistuje NAP agent pro Windows Server 2003
-
Microsoft nevyvíjí NAP agenta pro žádnou starší platformu než Windows XP Service Pack 3
-
NAP plně spolupracuje s Cisco Network Admission Control (NAC)
-
NAP spolupracuje prakticky se všemi switchi/AP na trhu a používá pouze standardní protokoly
-
NAP je již nasazen na mnoha tisících desktopech uvnitř i mimo Microsoft (sledujte případové studie na stránkách Microsoft)
-
NAP Statement of Health (SOH) protokol byl přijat jako TNC/TCG standard
Martin Pavlis – KPCS CZ – Microsoft MVP