Network Access Protection WSPARCIE DLA BIZNESU / STR. 2 Mikołaj Gomółka UpGreat Systemy Komputerowe Sp. z o.o. 60-122 Poznań, ul Ostrobramska 22 Tel. 0-61 664 16 37 Faks: 0-61 664 16 21 mikolaj.gomolka@upgreat.com.pl www.upgreat.com.pl WSPARCIE DLA BIZNESU / STR. 2
WSPARCIE DLA BIZNESU / STR. 3 NAP - idea rozwiązania WSPARCIE DLA BIZNESU / STR. 3
Mechanizmy zabezpieczeń od zewnątrz Rozwiązania tradycyjnie Firewall – ochrona przed intruzami z Internetu Virtual Private Network – bezpieczny zdalny dostęp Intrusion Detection System – inspekcja ruchu i wykrywanie włamań Rozwiązania nowocześniejsze Intrusion Prevention System – inspekcja ruchu i zapobieganie włamaniom Content Security And Control – anty-wirus, anty-spam, anty-spyware, anty-phishing, blokowanie plików... INTERNET WSPARCIE DLA BIZNESU / STR. 4
Mechanizmy zabezpieczeń od wewnątrz niezabezpieczone sieci bezprzewodowe skonfigurowane „tylko na chwilę do testów” „dzikie przełączniki” pod biurkami mobilni użytkownicy i notebooki z prawami administratora nieaktualizowane komputery w zakresie Windows niezainstalowane i niezaktualizowane systemy antywirusowe wyłączony firewall kontrahenci, partnerzy, goście włączający się do sieci uzbrojone wszystkie gniazdka - dostęp absolutny WSPARCIE DLA BIZNESU / STR. 5
Network Access Protection Policy Servers Patch, AV Co to jest NAP? Sprawdzanie polityki uaktualnień Zgodność z politykami uaktualnień Nie zgodność z politykami Sieć ograniczona Remediation Servers Patch, AV Klient Windows DHCP, VPN Switch/Router NPS Zgodność z politykami Ograniczony dostęp Podwyższone bezpieczeństwo Sieć korporacyjna Zwiększenie wartości biznesowej Integracja Cisco NAC i Microsoft NAP WSPARCIE DLA BIZNESU / STR. 6 WSPARCIE DLA BIZNESU / STR. 6
Dostęp zgodny z polityką Identyfikacja i autoryzacja Kwarantanna i wymuszenie wymuszenie polityki autoryzacji dostępu do zasobów i przywilejów wsparcie dla różnych ról użytkowników Izolacja komputerów nie spełniającego wymogów kwarantanna bazująca na VLAN i ACL na poziomie użytkowników Weryfikacja i ocena Weryfikacja wymaganych poprawek, aktualizacji i aplikacji (AV) Sprawdzenie uruchomionych usług AV i firewall Sieci kwarantanny do usuwania słabych punktów i zagrożeń zintegrowana pomoc dla użytkowników Aktualizacja i kuracja Brak zgodności z polityką = Brak dostępu do sieci WSPARCIE DLA BIZNESU / STR. 7
WSPARCIE DLA BIZNESU / STR. 8 Zgodność NAP Dostępność Windows® Vista SP1,SP2 Windows® Server 2008 Windows® XP SP3 120+ Partnerów Macintosh i Linux Enforcement Option Healthy Client Unhealthy IPsec Can communicate with any trusted peer Connection requests rejected by healthy peers 802.1X Full access Restricted VLAN SSL application proxy Full application access Access to restricted set of resources VPN IP filters enforced at VPN servers DHCP Full IP address given, full access Restricted set of routes IPsec 802.1x VPN DHCP Terminal Services Gateway WSPARCIE DLA BIZNESU / STR. 8
Komponenty platformy NAP Remediation Servers System Health Servers Network Access Requests Updates Health policy Health Statements Client NPS Policy Server (RADIUS) NAP Agent (SHA) MS SHA, SMS (EC) (DHCP, IPsec, 802.1X, VPN) 3rd Parties 3rd Party EAP VPN’s Health Certificate The primary components of the NAP solution consist of the following: NAP Client System Health Agents and System Health Validators Components of the NAP infrastructure known as system health agents (SHAs) and system health validators (SHVs) provide health state tracking and validation. Windows Vista and Windows XP Service Pack 3 include a Windows Security Health Validator SHA that monitors the settings of the Windows Security Center. Windows Server 2008 includes a corresponding Windows Security Health Validator SHV. NAP is designed to be flexible and extensible. It can interoperate with any vendor’s software that provides SHAs and SHVs that use the NAP API. Enforcement Components and Methods Components of the NAP infrastructure known as enforcement clients (ECs) and enforcement servers (ESs) require health state validation and enforce limited network access for noncompliant computers for specific types of network access or communication. Windows Vista, Windows XP Service Pack 3, and Windows Server 2008 include NAP support for the following types of network access or communication: Internet Protocol security (IPsec)-protected traffic IEEE 802.1X-authenticated network connections Remote access VPN connections Dynamic Host Configuration Protocol (DHCP) address configurations Windows Vista and Windows Server 2008 also include NAP support for Terminal Server (TS) Gateway connections. These types of network access or communication are known as NAP enforcement methods. Administrators can use them separately or together to limit the access or communication of noncompliant computers. Network Policy Server (NPS) in Windows Server 2008, the replacement for Internet Authentication Service (IAS) in Windows Server 2003, acts as a health policy server for all of these NAP enforcement methods. System Health Servers Also known as, Health Registration Authorities, provide current system health state for NAP health policy servers. For example, a health requirement server for an antivirus program tracks the latest version of the antivirus signature file. NPS NPS is a Remote Authentication Dial-In User Service (RADIUS) server and proxy in Windows Server 2008. As a RADIUS server, NPS provides authentication, authorization, and accounting (AAA) services for various types of network access. For authentication and authorization, NPS uses Active Directory to verify user or computer credentials and obtain user or computer account properties when a computer attempts an 802.1X-authenticated connection or a VPN connection. NPS also acts as a NAP health policy server. Administrators define system health requirements in the form of health policies on the NPS server. NPS servers evaluate health state information provided by NAP clients to determine health compliance, and for non-compliance, the set of remediation actions that must be done by the NAP client to become compliant. Remediation servers Computers that contain health update resources that NAP clients can access to remediate their noncompliant state. Examples include antivirus signature distribution servers and software update servers. System Health Validator 802.1x Switches Policy Firewalls SSL VPN Gateways Certificate Servers NAP Server WSPARCIE DLA BIZNESU / STR. 9
Jak działa NAP? Policy Servers Sieć ograniczona Remediation Servers Patch, AV 3 1 2 Nie zgodność z politykami Sieć ograniczona 4 Remediation Servers Patch, AV Klient Windows DHCP, VPN Switch/Router NPS Zgodność z politykami 5 Sieć korporacyjna Jeśli polityki nie są zgodne to klient jest przekierowany do sieci z ograniczeniami i ma dostęp do serwera z aktualizacjami. (Powtórzyć 1 - 4) Jeśli polityki są zgodne to klient ma pełen dostęp do sieci korporacyjnej DHCP, VPN lub Switch/Router przekazuje raport o stanie aktualizacjach do Microsoft Network Policy Server (RADIUS) Klient wysyła prośbę dostępu do sieci oraz bieżący stan aktualizacji Network Policy Server (NPS) sprawdza stan uaktualnień z politykami uaktualnień 4 1 2 3 5 WSPARCIE DLA BIZNESU / STR. 10 WSPARCIE DLA BIZNESU / STR. 10
WSPARCIE DLA BIZNESU / STR. 11 Kompatybilność z NAC NAP jest kompatybilny z przodującymi platformami Network Access Control Cisco: Network Admission Control (NAC) Trusted Computing Group: Trusted Network Connect (TNC) Kompatybilność z Produktami Microsoft, taki jak Microsoft Forefront Client Security (FCS) Microsoft System Center Configuration Manage ACS Cisco Infrastructure NAP Client RADIUS TNC Compliant Infrastructure (zawiera Juniper) RADIUS Microsoft Network Policy Server TNC Server Zawiera Juniper Server WSPARCIE DLA BIZNESU / STR. 11
Szerokie wsparcie dla rozszerzeń Rozszerzenie Network Access Protection Vendors i Developers Używają dostępnego API do rozszerzenia funkcjonalności i tworzenia własnych Własne polityki sieciowe Nie jednolite środowisko systemów operacyjnych (Linux, Macintosh) Ecosystem Partnerów Sieci Anti-Virus Systems Integrator Endpoint Security Aktualizacja/Zarządzanie Kompatybilność Cisco Trusted Computing Group Ponad 120 Partnerów WSPARCIE DLA BIZNESU / STR. 12
WSPARCIE DLA BIZNESU / STR. 13 Korzyści z NAP Rozszerzone bezpieczeństwo Całą komunikacja jest uwierzytelniona, autoryzowana i zdrowa Dostęp oparty o ustawione polityki Zwiększony zwrot z inwestycji (ROI) Zwiększona produktywność użytkownika Niższe ryzyko Dostarczenie rozwiązani na protokole sieciowym Uproszczeni zarządzania zdrowiem Wprowadza pojedynczy punk zarządzania dostępem do sieci Zapewnia lepsze elastyczności Bazowanie na popularnych standardach (RADIUS, EAP, PEAP, 802.1X and IPSec) Wsparcie dla setek partnerów oraz wszystkich głównych platform NAC Reduces deployment costs with greater choice Ochrona inwestycji Przedłużenie istniejących inwestycji Łatwe przystosowanie istniejącej technologii WSPARCIE DLA BIZNESU / STR. 13
Co nowego w Windows Server 2008 R2 i Windows 7 NAP będzie obsługiwał Direct Access Serwer NPS będzie zawierał szablony konfiguracyjne Możliwość konfigurowania różnych polityk do jednego SHV Wizard do konfiguracji logowania na serwerze SQL statusu o zdrowiu Migracja z Windows Server 2003 IAS do Windows Server 2008 (R2) NPS Server WSPARCIE DLA BIZNESU / STR. 14
WSPARCIE DLA BIZNESU / STR. 15 Zapraszamy 60-122 Poznań, ul. Ostrobramska 22 tel.: 0-61 664 16 20 fax: 0-61 664 16 21 mail: biuro@upgreat.com.pl www: http://www.upgreat.com.pl WSPARCIE DLA BIZNESU / STR. 15