- •Для чего нужна защита доступа к сети?
- •Некоторые дополнительные особенности
- •Применение защиты доступа к сети и ограничение доступа к сети
- •Обновление
- •Способы применения защиты доступа к сети
- •Применение защиты доступа к сети для соединений iPsec
- •Применение защиты доступа к сети для стандарта безопасности 802.1x
- •Применение защиты доступа к сети для виртуальных частных сетей
- •Применение защиты доступа к сети для протокола dhcp
- •Применение защиты доступа к сети для шлюза служб терминалов
- •Комбинированные подходы
- •Подготовка к развертыванию
- •Клиентские компоненты защиты доступа к сети
- •Серверные компоненты защиты доступа к сети
Лекция 5 Защита доступа к сети
Тема: Защита доступа к сети
Защита доступа к сети (NAP) – это новый набор компонентов операционной системы в Windows Server® 2008 и Windows Vista®, предоставляющий платформу, которая помогает обеспечивать соответствие клиентских систем в частной сети требованиям к работоспособности, заданным администратором. Политики NAP определяют необходимое состояние конфигурации и обновления для операционной системы и критически важного программного обеспечения на клиентских компьютерах. Например, они могут требовать, чтобы на компьютерах использовалось антивирусное программное обеспечение с новейшими сигнатурами, были установлены необходимые обновления операционной системы и включен индивидуальный брандмауэр. Обеспечивая соответствие требованиям к работоспособности, защита доступа к сети помогает администраторам сети уменьшить риск, связанный с неправильной настройкой клиентских компьютеров, из-за чего они могут оказаться уязвимы для вирусов и других вредоносных программ.
Для чего нужна защита доступа к сети?
Защита доступа к сети обеспечивает соблюдение требований к работоспособности, отслеживая и оценивая работоспособность клиентских компьютеров, когда они пытаются подключиться к сети или передать по ней данные. При обнаружении клиентских компьютеров, которые не соответствуют требованиям, они могут быть помещены в сеть с ограниченным доступом, содержащую ресурсы, помогающие привести клиентские системы в соответствие политикам работоспособности.
Для кого предназначена эта возможность
Защита доступа к сети может заинтересовать администраторов сетей и систем, которым необходимо обеспечить соответствие клиентских компьютеров, подключающихся к сети, требованиям к работоспособности. Защита доступа к сети дает администраторам сети следующие возможности:
•обеспечивать в локальной сети работоспособность настольных компьютеров, настроенных для использования протокола DHCP, подключающихся к сети через устройства проверки подлинности 802.1X или выполняющих обмен данными в соответствии с политиками NAP IPsec;
•обеспечивать соблюдение требований к работоспособности мобильных компьютеров при их повторном подключении к корпоративной сети;
•проверять соответствие политикам и работоспособность неуправляемых домашних компьютеров, подключающихся к корпоративной сети через сервер виртуальной частной сети со службами маршрутизации и удаленного доступа;
•определять работоспособность мобильных компьютеров, принадлежащих посетителям и партнерам организации, и ограничивать доступ к ресурсам организации для этих компьютеров.
В зависимости от конкретных требований администраторы могут создать и настроить решение, пригодное для использования во всех этих сценариях.
Защита доступа к сети включает также набор прикладных программных интерфейсов (API), позволяющих разработчикам и поставщикам создавать собственные компоненты для проверки сетевых политик, обеспечения соответствия требованиям и изоляции сети.
Некоторые дополнительные особенности
Для развертывания защиты доступа к сети необходимы серверы с ОС Windows Server 2008, а также клиентские компьютеры с ОС Windows Vista, Windows Server 2008 или Windows XP с пакетом обновления 3 (SP3). Центральным сервером, который выполняет анализ работоспособности для защиты доступа к сети, должен быть компьютер с ОС Windows Server 2008 с сервером политики сети (NPS).
Сервер политики сети – это реализация RADIUS-сервера и RADIUS-прокси для систем Windows. Он заменяет службу проверки подлинности в Интернете в системе Windows Server 2003. Устройства доступа и серверы NAP являются клиентами для RADIUS-сервера на базе сервера политики сети. Сервер политики сети выполняет проверку подлинности и авторизацию при попытках подключения к сети, определяет, соответствуют ли компьютеры заданным политикам работоспособности, и ограничивает доступ к сети для компьютеров, которые им не соответствуют.
Новые возможности
Платформа NAP представляет собой новую технологию проверки работоспособности клиентов и обеспечения их соответствия требованиям, входящую в операционные системы Windows Server 2008 и Windows Vista.
Значение этой возможности
Одной из самых важных проблем для современных компаний является повышение уязвимости клиентских устройств перед вредоносным программным обеспечением, таким как вирусы и вирусы-черви. Эти программы могут попасть на незащищенные или неправильно настроенные компьютеры и использовать их для распространения на другие устройства в корпоративной сети. Платформа NAP позволяет администраторам защитить сети, обеспечив соответствие клиентских систем требованиям к конфигурации и уровню обновления для их защиты от вредоносных программ.
Ключевые процессы защиты доступа к сети
Для правильной работы защиты доступа к сети должны быть реализованы процессы проверки соответствия политике, применения защиты доступа к сети и ограничения доступа, а также обновления систем и непрерывной проверки их соответствия требованиям.
Проверка соответствия политике
Для анализа состояния работоспособности клиентских компьютеров сервер политики сети использует средства проверки работоспособности системы. Эти средства интегрируются в политики сети, определяющие на основе состояния работоспособности клиентов действия, которые необходимо выполнить (например, предоставить полный или ограниченный доступ к сети). Состояние работоспособности отслеживают клиентские компоненты NAP, которые называются агентами работоспособности системы. Средства проверки работоспособности системы и агенты работоспособности системы используются компонентами защиты доступа к сети для отслеживания, применения и обновления конфигураций клиентских компьютеров.
В состав операционных систем Windows Server 2008 и Windows Vista входят агент работоспособности системы безопасности Windows и средство проверки работоспособности системы безопасности Windows, которые обеспечивают соответствие компьютеров с поддержкой NAP следующим требованиям:
•на клиентском компьютере должен быть установлен и включен программный брандмауэр;
•на клиентском компьютере должно быть установлено и включено анти-вирусное ПО;
•на клиентском компьютере должны быть установлены текущие обновления антивирусного ПО;
•на клиентском компьютере должна быть установлена и включена анти-шпионская программа;
•на клиентском компьютере установлены текущие обновления антишпионской программы;
•на клиентском компьютере включены службы обновления Microsoft.
Кроме того, если на клиентских компьютерах с поддержкой защиты доступа к сети выполняется агент центра обновления Windows и они зарегистрированы на сервере служб Windows Server Update Service (WSUS), защита доступа к сети может проверить наличие наиболее свежих обновлений программного обеспечения системы безопасности с использованием одного из четырех возможных значений, которые соответствуют уровням угроз для системы безопасности, определяемым центром Microsoft Security Response Center.