главная    •    Новости    •    софт    •    RSS-ленты    •    реклама    •    PDA-Версия    •    Контакты
Windows XP     •    Windows 7    •    Windows 8    •    Windows 10   •    Windows Server     •    Железо
Полезные советы      •     Администрирование      •     Сеть      •     Безопасность      •     статьи
Реклама на сайте
Книга жалоб и предложений
Правила на сайте
О Winblog.ru и о копирайте
Написать в редакцию
Конфиденциальность
                       
  • Настольные Windows-программы будут работать на смартфонах
  • Windows 10 Insider Preview: вышла сборка 14986
  • Windows 10 Creators Update сделают безопаснее для организаций
  • В Windows 10 будет поддержка шрифта Брайля
  • Введение.

    Сегодня компания Microsoft предлагает функцию защиты сетевого доступа, которая не допускает в сеть компьютеры, не прошедшие проверку на безопасность. В этой статье рассказывается о принципах защиты сетевого доступа как одной из новых функций Windows Server 2008.

    Защита Сетевого Доступа Microsoft (Network Access Protection, MS-NAP) действует по принципу соответствия требованиям: в сеть допускаются только те системы Microsoft, которые соответствуют установленным требованиям безопасности в сети. Важнейшее условие доступа в сеть – наличие пакета обновлений и заплаток определенной версии. Тем не менее, функция MS-NAP не предназначена для защиты от действий злоумышленников. Применение MS-NAP обеспечивает отдельным клиентам защиту при подключении к сети. В этой статье впервые в эксклюзивной серии TechRepublic будет описано применение MS-NAP.

    Почему так важна защита сетевого доступа?

    В сущности, главное преимущество защиты сетевого доступа заключается в том, что она не допускает в сеть тех клиентов, чья система не соответствует необходимому уровню безопасности. Критериями могут служить версия пакета обновления, настройки антивирусного программного приложения и другие аспекты. Особое значение защита сетевого доступа имеет для предотвращения доступа в сеть мобильных компьютерных систем. Взять, к примеру, пользователя ноутбука, который использует соединение VPN для доступа к офисной сети, когда решает поработать дома. В такой ситуации защита сетевого доступа не позволит пользователю войти в сеть, если его система не смогла обратиться к защитным инструментам управления сетевым доступом.

    Большое значение защита сетевого имеет и в том случае, когда к сети пытаются подключить домашние компьютеры. В принципе, обеспечение доступа в сеть тем компьютерам, поддержкой и администрированием которых организация не занимается, считается плохой практикой, но тем не менее, иногда такое случается. В такой ситуации защита сетевого доступа играет огромную роль; в противном случае никто не гарантирует, что на компьютере, получившем доступ в сеть, установлен антивирус, не говоря уже о пакетах обновлений и заплатках.

    Кроме того, защита сетевого доступа может применяться для управления безопасностью стандартных настольных систем и других серверов Windows Server 2008 с целью определить, могут ли они быть допущены в сеть. Это позволяет снизить уровень риска, связанного с тем, что одна из таких систем в течение долго времени долго не выходила в сеть и стала, как следствие, уязвимой. Эта ситуация, по сути, аналогична сценарию с сетевым доступом для ноутбука, описанному выше.

    Разработка сценария применения защиты сетевого доступа MS-NAP

    Параметры защиты сетевого доступа могут быть настроены для Windows Server 2008 в качестве сервера и Windows Vista, Windows Server 2008 или Windows XP с пакетом обновлений Service Pack 3 в качестве поддерживаемых клиентов. Пакет обновлений Service Pack 3 для Windows XP еще не появился в открытом доступе, но уже известно, что он будет включать клиент NAP для Windows XP, которое на момент написания статьи находится в стадии бета-тестирования, осуществляемого специалистами Microsoft.

    Различные роли MS-NAP осуществляют применение сетевой политики, хранение данных о политике безопасности, обеспечивают текущий уровень безопасности и изолируют те устройства, которые не соответствуют установленным требованиям. Их функционирование определяется в соответствии с методами обеспечения защиты сетевого доступа, указанными при настройке сети. Предусматривается также создание изоляционной зоны (сети коррекции) для устройств, не соответствующих установленным требованиям. В этой зоне устройства проходят необходимую корректировку и настройку, прежде чем будут допущены в сеть предприятия. На рисунке А приводится общая схема функционирования защиты MS-NAP и различных ее ролей.

    Защита сетевого доступа для Windows
    Рисунок А Система защиты MS-NAP включает в себя различные роли.


    Компания Microsoft уже давно предлагает продукты, способные осуществлять различные сетевые функции, такие как DNS, DHCP, маршрутизация и WINS. Появление защиты MS-NAP не означает отказа от этих продуктов. Хотя ИТ-специалисты на предприятии не всегда используют в полной мере сетевые службы, функционирование которых обеспечивает оборудование сети, применение MS-NAP позволяет использовать роли сервера Windows для аутентификации и управления политикой безопасности. В обеспечении безопасности защита MS-NAP опирается на стандартное сетевое оборудование – поэтому с точки зрения работы в сети, ее не назовешь исключительно продуктом Microsoft.

    Более подробное описание MS-NAP

    Основную идею MS-NAP понять довольно легко, но как же функционирует эта система? Защита MS-NAP опирается на сложный комплекс схем коммуникации и ролей сервера для обеспечения безопасности в сети. Здесь мы подробнее рассмотрим потоки трафика MS-NAP. Для обеспечения безопасности со стороны сервера система MS-NAP использует следующие компоненты:

    Полномочия реестра безопасности (Health Registry Authority, HRA): Этот компьютер с операционной системой Windows Server 2008, которому присвоена роль IIS, получает сертификаты безопасности в системе центров сертификации.

    Сервер политики безопасности NAP (NAP Health Policy Server, NPS): Этот компьютер с операционной системой Windows Server 2008, которому присвоена роль NPS, подтверждает уровень безопасности и содержит данные от требованиях политики безопасности.

    Сервер коррекции (Remediation Server): На этом компьютере содержатся ресурсы, к которым могут обратиться те клиенты NAP, которые не соответствуют требованиям политики безопасности, с целью откорректировать свое состояние. Под ресурсами могут подразумеваться обновления баз данных антивирусов и обновления программного обеспечения.

    Сервер, содержащий требования к безопасности (Health Requirement Server): Эта роль обеспечивает текущий уровень безопасности серверов MS-NAP.

    Клиент NAP: Этот клиент представляет собой управляемый компьютер, к которому применяются требования политики MS-NAP (Windows XP SP3, Vista)

    Сервер VPN: Эту роль может исполнять существующая система, но в любом случае, сервер VPN представляет собой точку доступа клиентов во внешнюю сеть (которая не ограничивается одним лишь Интернетом).

    Сетевое оборудование: Коммутаторы или устройства WAP (Wireless Access Points, беспроводные точки доступа) с поддержкой аутентификации IEEE 802.1X.

    Сервер DHCP: В системе MS-NAP сервер DHCP использует протокол RADIUS для связи с сервером NPS для определения уровня безопасности клиента NAP. Сервер DHCP – ключевой элемент MS-NAP: если система соответствует требованиям безопасности, она получит неограниченный доступ к сети; в противном случае, она будет направлена в сеть коррекции с целью повышения уровня своей безопасности в соответствии с существующими требованиями.

    Примеры использования MS-NAP

    Получив общее представление о функционировании защиты MS-NAP, рассмотрим, каким образом эта система может быть использована для защиты универсальных сетей. Безопасность – основной приоритет для любой организации, поэтому при введении в эксплуатацию новой сети необходимо продумать вопросы безопасности еще на стадии разработки. Защита MS-NAP может запретить доступ в сеть предприятия определенным опознанным пользователям или незащищенным системам. В сетях Windows одним из наиболее эффективных инструментов управления доступом, с точки зрения профессионалов в области информационных технологий, является домен Active Directory (AD).

    В рамках AD возможно управление многими элементами системы, а также использование других пакетов управления, например, Systems Management Server (SMS), управление антивирусным программным обеспечением и обновлениями Windows. Защита MS-NAP позволяет обеспечить безопасность там, где обычные системы управления доступом оказываются бессильны.

    Возьмем, к примеру, ситуацию, когда у поставщика или другого делового партнера предприятия может возникнуть потребность подключиться напрямую к одному из ресурсов в сети предприятия. При этом поставщик может воспользоваться для доступа в сеть компьютером, подключенным к другому домену или механизму управления, который, таким образом, не подконтролен ИТ-специалиста данного предприятия. Наконец, этот компьютер может оказаться элементом другой системы Active Directory – в этом случае после подключения к сети предприятия придется затратить значительное время на решение проблем совместимости настроек. Если в сети используется защита MS-NAP, установленные требования к безопасности будут применены к компьютеру поставщика еще до того, как он получит доступ в сеть.

    Кто имеет право обновлять системы, не подконтрольные данному предприятию, – совсем другой вопрос, гораздо более спорный, чем сама мысль о том, что такие системы не могут быть напрямую допущены в сеть предприятия. Но если необходимость обеспечить прямой доступ постороннему компьютеру в сеть предприятия все-акти возникает, использование MS-NAP позволяет применить к нему требования, установленные в данной сети, еще до того, как система получит в нее доступ. Это позволяет выравнять несоответствие между стандартами, установленными в сети, и теми, что применяет компания, выпускающая оборудование.

    Разумеется, одна из основных задач MS-NAP – ограничивать доступ в сеть удаленных пользователей данной организации (работающих на ноутбуках или домашних компьютерах), чтобы избежать риска в случае ошибки соединения. В тех редких случаях, когда к сети подключаются пользователи, управление компьютерами которых вообще не осуществляется, риск повышается. Использование защиты MS-NAP для всех удаленных систем позволит управлять и этими компьютерами, администрирование которых затруднено в связи с тем, что они редко бывают в сети. Клиент MS-NAP при этом не должен быть членом домена AD данной организации (то есть, наличие учетной записи для его компьютера необязательно). Однако с помощью AD можно управлять аутентификацией непосредственно.

    Ресурсы Microsoft для MS-NAP

    Сегодня в Интернете можно найти подробную информацию о предварительной разработке MS-NAP и тестировании этой системы защиты в бета-версиях операционной системы Windows Server 2008. Кроме того, компания Microsoft выпустила полный отчет об архитектуре системы и ее применении, в котором эти вопросы рассматриваются с более глобальных позиций. Этот отчет можно найти на сайте Microsoft в Интернете.

    Межплатформенная поддержка NAP

    Защита MS-NAP функционирует на основе протокола аутентификации IEEE 802.1X, который находит широкое применение в современных компьютерных сетях. Это обеспечивает совместимость MS-NAP с различными устройствами и клиентами с операционными системами Windows Server 2008, Vista и XP с поддержкой NAP. В целом, протокол аутентификации IEEE 802.1X обеспечивает безопасный доступ к беспроводным сетям и сетям Ethernet. Это становится возможным за счет протокола RADIUS, который служит стандартным протоколом для IEEE 802.1X.

    Главное преимущество этого протокола аутентификации заключается в том, что для функционирования сети при этом не требуется сервер аутентификации в роли сервера базы данных, а значит сетевое оборудование, совместимое с этим протоколом, может передавать запросы на роли MS-NAP, определенные в соответствии с конфигурацией системы. При этом защита MS-NAP позволяет централизованно управлять авторизацией, учетной записью и аутентификацией с использованием системы показателей уровня безопасности. Сегодня оборудование многих производителей поддерживает этот протокол аутентификации, разработанный HP, Microsoft, Cisco, сетями Trapeze и Enterasys.

    Автор: Рик Вановер (Rick Vanover)
    Источник: articles.techrepublic.com.com


    Оцените статью:
    Голосов 2

    Материалы по теме:
  • 10 фактов, которые нужно знать о технологии защиты сетевого доступа NAP системы Vista
  • В третьем сервис паке Windows XP будет представлена технология защиты сетевого доступа NAP
  • Технология защиты сетевого доступа Network Access Protection (NAP) для Windows
  • Защита сетевого доступа в Windows Vista и Longhorn Server
  • Есть ли разница между NAP в ХР и Vista?


    • bowtiesmilelaughingblushsmileyrelaxedsmirk
      heart_eyeskissing_heartkissing_closed_eyesflushedrelievedsatisfiedgrin
      winkstuck_out_tongue_winking_eyestuck_out_tongue_closed_eyesgrinningkissingstuck_out_tonguesleeping
      worriedfrowninganguishedopen_mouthgrimacingconfusedhushed
      expressionlessunamusedsweat_smilesweatdisappointed_relievedwearypensive
      disappointedconfoundedfearfulcold_sweatperseverecrysob
      joyastonishedscreamtired_faceangryragetriumph
      sleepyyummasksunglassesdizzy_faceimpsmiling_imp
      neutral_faceno_mouthinnocent

    Для отправки комментария, обязательно ответьте на вопрос

    Вопрос:
    Сколько будет один минус один?
    Ответ:*




    ВЕРСИЯ ДЛЯ PDA      СДЕЛАТЬ СТАРТОВОЙ    НАПИШИТЕ НАМ    РЕКЛАМА

    Copyright © 2006-2016 Winblog.ru All rights reserved.
    Права на статьи принадлежат их авторам. Копирование и использование материалов разрешается только в случае указания явной гиперссылки на веб-сайт winblog.ru, как на источник получения информации.
    Сайт для посетителей возрастом 18+