Windows Server 2008 ve Network Access Protection

NAP kısa bir tanımlama ile, ağınıza dahil olacak bilgisayarların, sizin belirlemiş olduğunuz belirli PC sağlığı kurallarına uyumlu olup olmadığını denetleyen ve elde edeceği sonuca göre bu PC’lerin ağa erişimini engelleyebilen, kısıtlayabilen veya sadece size bilgi vermek amacıyla günlüklere bilgi işleyen bir güvenlik altyapısıdır. Buna göre, ağa bağlanacak olan PC’lerin sağlık durumlarını şu noktalarda denetleyebilirsiniz:

• Bir anti-virüs programının yüklü ve çalışıyor olması
• Anti-virüs programının kullandığı virüs tanımlamalarının güncel olması
• Bir anti-casus (anti-spyware) yazılımının yüklü ve çalışıyor olması
• Anti-casus yazılımına ait tanımlama dosyalarının güncel olması
• PC’de bir güvenlik duvarının etkin olması
• Windows Automatic Updates’in etknleştirilmiş olması

Bu denetim noktalarından birini veya tamamını denetlemek ve sonuçlara göre istemcinin ağa bağlanmasına izin verip vermemek sistem yöneticisi olarak size düşecektir. Ayrıca, güvenlik uygulamaları geliştiricileri (örneğin Symantec, Cisco gibi firmalar) denetim mekanizmalarını kendi istedikleri biçimde geliştirebilecekler.NAP uygulama senaryolarına göz atacak olursak, temelde 5 farklı yöntemle karşılaşmaktayız.

• NAP DHCP uygulaması
• NAP VPN uygulaması
• NAP 802.1x uygulaması
• NAP IPSec uygulaması
• NAP TSG (Terminal Services Gateway) uygulaması

Bu NAP uygulamaları, işleyiş ve yapılandırma açılarından aralarında bazı farklılıklar gösterebilmektedir. Örneğin domain isolation uygulamaktaysanız, NAP IPSec en güvenilir yöntem olurken, kullanıcılara admin hakları verilen ortamlarda NAP DHCP en güvensiz uygulama olabilmektedir, zira kullanıcıların statik IP belirleme imkanları bulunacaktır.NAP Bileşenleri

Sunucu Tarafı

NAP’ı kullanabilmek için, NPS (Network Policy Server) yapılandırmasına sahip bir Windows Server 2008 makinesi kullanılır. NPS, Windows Server’ın eski sürümlerinden bulunan IAS’in (Internet Authentication Service) yerini alan bileşendir. Ancak uygulama yönteminize göre gerekli olabilecek diğer sunucular (örneğin AD dizin hizmeti sunucusu, Enterprise CA sunucusu vb.) Windows Server 2003 çalıştıran makineler olabilir. Windows Server 2008’de NAP bileşenleri şunlardır:

• NPS (Network Policy Server), ağ erişimi kimlik doğrulama ve yetkilendirme hizmeti katmanı. Önceki sürüm Windows Server işletim sistemlerinde bulunan IAS’in yerini almıştır.
• SHV (System Health Validator), istemcilerde bulunan SHA’lara karşılık gelen ve sistem sağlık durumunu değerlendirmeye alan katmandır. Güvenlik uygulamaları geliştiricileri kendi SHV’lerini yaratabileceklerdir.
• ES (Enforcement Server), istemci PC’lerde bulunan ve istemcilerin sağlık durumlarına göre ağa sınırsız veya sınırlı erişim verilmesine yardımcı olan EC’nin (Enforcement Client), Server 2008 tarafındaki karşılığı olan bileşendir.
• QS (Quarantine Server), NPS çalışan sunucudaki SHV’ler ile NAP hizmeti çalıştıran sunucudaki ES’ler arasındaki bir aracı bileşendir.
• HRA (Health Registration Authority), Windows Server 2008 NPS’in bir alt bileşeni olan HRA, Enterprise CA (PKI) yapılandırmasında sertifika sunucusundan istemci PC’ler adına X.509 sağlık sertifikası talebinde bulunur ve bunları istemci PC’nin sağlık durumuna göre istemcilere iletir.
• Web Server – IIS 7.0, NAP uygulama yöntemi olarak IPSec seçilmesi durumunda IIS’in (Internet Information Services) kurulu olması gerekir. HRA, http üzerinden sertifika taleplerini değerlendirecektir. Add Roles / Features ile kurulum yapılmasının ardından, IIS 7.0 üzerinde NAP için varsayılan bir yapı oluşturulur. ([Yalnızca Kayıtlı Üyeler Linkleri Görebilirler. 10 Saniyede kayıt Olmak İçin Tıklayınız…] veya etki alanı üyeliği olmayan durumlarda [Yalnızca Kayıtlı Üyeler Linkleri Görebilirler. 10 Saniyede kayıt Olmak İçin Tıklayınız…]).

İstemci TarafıWindows Vista, NAP istemci bileşenlerine tümleşik olarak sahiptir, Windows XP için Service Pack 3’le birlikte (çıkış tarihi yaklaşık olarak Şubat 2008 olacak) bu bileşenler sağlanacaktır.

• SHA (System Health Agent), PC sağlığı denetiminde kullanılan kriterlerde denetlemeyi yapan aracılardır. Sonuçları SoH (Statement of Health) bilgileri biçiminde oluştururlar. Bu bileşenlerin sunucu tarafındaki karşılıkları SHV’lerdir.
• QA (Quarantine Agent), SHA’lar tarafından oluşturulan SoH bilgilerini alıp EC’ye ileten aracıdır. Bu aracının çalışabilmesi için Windows Vista PC’lerde NAP Agent hizmetinin başlatılması gerekir.
• EC (Enforcement Client), ağda uygulanmak istenen NAP yönteminin istemci PC’lerde etkinleştirilmesi gerekir. Seçilen yönteme göre NAP uygulamasını gerçekleştirir ve istemcinin ağa erişimi denetler. Bu bileşenlerin çalışabilmesi için bir NAP enforcement yöntemi seçilmesi gereklidir (napclcfg.msc konsoluyla gerçekleştirilebilir).

NAP Nasıl Çalışır?5 farklı NAP uygulama yöntemi bulunduğundan bahsetmiştim, bu yöntemler yapılandırılmaları ve uygulanmaları açısından bazı farklılıklar göstermektedir. Örneğin en güvenilir NAP yöntemi olarak IPSec karşımıza çıkarken, NAP TSG yönteminin Auto Remediation (sağlık durumu uygun olmayan istemci PC’nin otomatik olarak uygun hale getirilmeye çalışılması) desteği bulunmamaktadır.

Bu yazı Teoman Dincel’in ssitesinden alınmıştır!