Windows Server 2008

Architektura serwerowych elementów NAP Udostępnij na: Facebook

Opublikowano: 6 listopada 2007

Zawartość strony
 Wstęp   Wstęp
 Architektura   Architektura
 Serwerowe komponenty platformy NAP   Serwerowe komponenty platformy NAP

Wstęp

Serwer NAP (Network Access Protection) to nadzorowany przez system operacyjny Windows Server 2008 komputer weryfikujący, spełnianie przez klientów NAP aktualne wymogi bezpieczeństwa, określone przez serwery NPS (Network Protecion Server). W skład platformy NAP wchodzą zarówno komponenty nowe, jak też zmodernizowane wersje istniejących komponentów.

 Do początku strony Do początku strony

Architektura

Architekturę serwerowych elementów platformy NAP przedstawiono na rys. 1. Poszczególne składniki tej architektury są zgromadzone na serwerze NPS oraz na serwerach NAP.

Rys. 1. Architektura serwerowych elementów platformy NAP.

Jak pokazano na rys. 1, w serwerze NAP występuje warstwa serwerowych komponentów wymuszających NAP ES (Network Access Protection Enforcement Server). Każdy z tych komponentów obsługuje inny rodzaj komunikacji, np. komponent NAP ES VPN (Network Access Protection Enforcement Server VPN) obsługuje dostęp do intranetu przez prywatne sieci wirtualne, a komponent wymuszający NAP ES DHCP (Network Access Protection Enforcement Server DHCP) kontroluje komputery klienckie żądające od serwerów DHCP przydziału adresu IP. Serwery wymuszające NAP ES (Network Access Protection Enforcement Server) są dopasowane do określonych rodzajów klientów wymuszających NAP EC (Network Access Protection Enforcement Client), na przykład NAP ES DHCP współpracuje z NAP EC DHCP. Serwery wymuszające NAP ES wchodzą w skład platformy NAP.

Gdy stan kondycji klienta NAP jest weryfikowany w oparciu o raporty kondycji, serwery wymuszające NAP ES uzyskują listę wchodzących w grę certyfikatów od odpowiednich klientów wymuszających NAP EC, po czym przekazują ją do serwera NPS w formie komunikatu RADIUS Access-Request.

Jak pokazano na rys. 1, serwer NPS zbudowany jest z następujących elementów:

  • NPS (Network Protection Server): odbiera komunikaty RADIUS Access-Request o kondycji komputerów i przekazuje je do serwera administracyjnego NAP.
  • Komponent administracyjny NAP: obsługuje komunikację między serwerem NPS a modułami sprawdzania kondycji.
  • Warstwa modułów sprawdzania kondycji (System Health Validator -SHV): każdy moduł sprawdzania kondycji zajmuje się innymi wymogami bezpieczeństwa (np. weryfikator sygnatur wirusów lub weryfikator aktualizacji systemu operacyjnego). Poszczególne moduły sprawdzania mogą być dopasowane do konkretnych serwerów bezpieczeństwa, na przykład weryfikator sygnatur wirusów do serwera pliku takich sygnatur. Jednak nie każdy weryfikator musi mieć odpowiadający mu serwer bezpieczeństwa – dany moduł może np. tylko poinstruować klienta NAP, aby ten sprawdził, czy lokalne ustawienia systemowe gwarantują uaktywnienie zapory internetowej na hoście.
  • Interfejs programistyczny API modułów sprawdzania kondycji: zestaw wywołań funkcji, umożliwiający modułom sprawdzania kondycji, rejestrację w komponencie administracyjnym NAP, odbieranie raportów o kondycji z tego serwera oraz przekazywanie informacji z serwerów korygujących do odpowiednich agentów systemu klientów NAP.

Typowa konfiguracja infrastruktury serwerów NAP to kilka serwerów NAP, które obsługują poszczególne sposoby uzyskiwania dostępu do sieci lub metody komunikowania się przez sieć, oraz serwery NPS, zapewniające weryfikację i korygowanie kondycji klientów. Z każdym serwerem NAP mógłby być zainstalowany oddzielny serwer NPS, ale wtedy zasady bezpieczeństwa musiałyby być konfigurowane dla każdego serwera NAP z osobna. Jeśli serwer NPS jest instalowany łącznie z serwerem NAP, to wszystkie serwerowe komponenty platformy NAP są obecne na serwerze NAP (rys. 2).

Rys. 2. Architektura serwerowych elementów platformy NAP w sytuacji, gdy serwer NPS jest zainstalowany razem z serwerem NAP.

Architektura platformy NAP składa się z następujących części składowych:

  • trzech komponentów po stronie klienta: warstwy agentów kondycji systemu, agenta NAP, warstwy klientów wymuszających NAP EC,
  • czterech komponenty po stronie serwera: warstwy modułów sprawdzania kondycji, komponentu administracyjnego NAP, serwera zasad NPS, warstwy serwerowych komponentów wymuszających NAP ES,
  • serwerów bezpieczeństwa,
  • serwerów korygujących

Relacje między powyższymi komponentami platformy NAP pokazano na rys. 3.

Rys. 3. Relacje pomiędzy komponentami platformy NAP. Na biało oznaczono elementy wbudowane w platformę NAP.

Warto zwrócić uwagę na wzajemne zgranie następujących komponentów:

  • Klienci wymuszający NAP EC zazwyczaj są dopasowani do serwerowych komponentów wymuszających NAP ES (np. komponent DHCP NAP EC zainstalowany w kliencie NAP jest dostosowany do komponentu DHCP NAP ES zainstalowanego na serwerze NAP)
  • Agenci kondycji systemu mogą być dopasowani do odpowiednich serwerów korygujących (np. agent kondycji systemu oprogramowania antywirusowego zainstalowany na kliencie NAP jest zwykle skoordynowany z serwerem korygującym plik sygnatur wirusów)
  • Moduły sprawdzania kondycji mogą być zsynchronizowane z odpowiednimi serwerami bezpieczeństwa (np. moduł sprawdzania kondycji oprogramowania antywirusowego zainstalowany na serwerze NAP jest zwykle dostosowany do serwera bezpieczeństwa antywirusowego).
  • Serwer NAP może mieć zainstalowane moduły sprawdzania kondycji, które nie mają odpowiedniego agenta kondycji systemu ani serwera bezpieczeństwa. Przykładem może być moduł sprawdzania kondycji, sprawdzający ustawienia rejestru klienta albo reagujący na alarmy generowane przez któryś z systemów wykrywania włamań, a także podejmujący odpowiednie decyzje dotyczące ograniczania dostępu klienta do sieci.

Niezależni dostawcy oprogramowania mogą w jeden z poniższych sposobów rozbudowywać platformę NAP:

  • Opracowywać nowe metody określania stanu kondycji klientów, próbujących łączyć się lub komunikować. Niezależni dostawcy oprogramowania muszą utworzyć moduł agenta kondycji systemu instalowany w kliencie NAP, moduł sprawdzania kondycji systemu instalowany na serwerze NPS albo na serwerach NAP przydzielających dostęp do sieci bądź upoważniających klienta do komunikowania się przez sieć, a w miarę potrzeb także odpowiedni serwer bezpieczeństwa oraz serwer korygujący. Jeśli te ostatnie są dostępne (np. serwer dystrybuujący sygnatury wirusów), to trzeba opracować jedynie odpowiedni moduł agenta kondycji systemu i moduł sprawdzania kondycji systemu. W niektórych przypadkach serwer bezpieczeństwa nie jest wymagany, na przykład wtedy, gdy rolą danego modułu sprawdzania kondycji systemu jest jedynie kontrolowanie ustawień w rejestrze systemu.
  • Opracowywać nowe metody wymuszania zgodności, próbujących łączyć się lub komunikować klientów z wymogami bezpieczeństwa, obowiązującymi w danej sieci. Niezależni dostawcy oprogramowania muszą utworzyć klientów wymuszających NAP EC instalowanych na kliencie NAP i odpowiadające im serwerowe komponenty wymuszające NAP ES, instalowane na serwerze NPS, które będą się komunikować przez protokół RADIUS.

 Do początku strony Do początku strony

Serwerowe komponenty platformy NAP

Serwer wymuszający NAP ES

Serwery wymuszające NAP ES (Enforcement Server) przekazują informację o stanie kondycji klienta NAP do serwera NPS w celu porównania z aktualnie obowiązującymi wymogami bezpieczeństwa i – zależnie od wyniku tego porównania – ograniczają (lub nie) dostęp tego klienta do fragmentu sieci z ograniczeniami.

W system Windows Server 2008 wbudowano następujące komponenty NAP ES:

  • IPsec NAP ES ingerujący w komunikację IPsec. W przypadku tej komunikacji serwer HCS przekazuje informacje o kondycji klienta NAP do serwera NPS.
  • VPN NAP ES ingerujący w komunikację przez sieci wirtualne VPN. Ta nowa funkcjonalność w grupie Routing and Remote Access wykorzystuje komunikaty protokołu EAP (Extensible Authentication Protocol) osadzone w komunikatach RADIUS (PEAP-TLV) w celu przesłania informacji o stanie kondycji klienta NAP do serwera NPS. Wymuszanie VPN polega na filtrowaniu pakietów IP.
  • Komponent DHCP NAP ES ingerujący w przydzielanie adresów IP przez serwery DHCP. Taka funkcjonalność serwera DHCP wykorzystuje do komunikacji z klienckimi komponentami wymuszającymi DHCP NAP EC standardowe komunikaty DHCP. Wymuszanie DHCP polega na odpowiednim zastosowaniu opcji serwera DHCP.

W przypadku uwierzytelniania w przełączniku lub bezprzewodowym punkcie dostępu do sieci 802.1X, nowa funkcjonalność wykorzystuje komunikaty PEAP-TLV do komunikacji serwera NPS z klientem NAP. Wymuszanie 802.1X polega na filtrowaniu pakietów IP albo na tworzeniu wirtualnych sieci LAN.

Komponent administracyjny NAP

Komponent administracyjny NAP świadczy następujące usługi:

  • odbiera raporty o kondycji od poszczególnych serwerowych komponentów wymuszających NAP ES (przez serwer NPS),
  • przekazuje raporty o kondycji odpowiednim modułom sprawdzania kondycji,
  • gromadzi odpowiedzi SoHR (System of Health Response) wystawione przez poszczególne moduły sprawdzania kondycji i przekazuje je do serwera NPS dla wypracowania sumarycznej oceny kondycji klienta.

Serwer NPS

RADIUS to opisany w dokumentach RFC 2865 i RFC 2866 protokół szeroko stosowany do centralnego uwierzytelniania, autoryzacji i kontroli dostępu do sieci. Pierwotnie opracowany na użytek dostępu telefonicznego, obecnie jest stosowany przez bezprzewodowe punkty dostępu, uwierzytelniające przełączniki Ethernetowe, serwery VPN, serwery DSL (Digital Subscriber Line) oraz inne serwery dostępu do sieci.

Serwer NPS to wbudowany w system Windows Server 2008 serwer RADIUS i proxy. Zastępuje znane z serwera Windows Server 2003 usługi IAS (Internet Authentication Service). Na użytek platformy NAP serwer NPS został poszerzony o komponent administracyjny NAP, obsługę interfejsu programistycznego modułów sprawdzania kondycji oraz opcje konfigurowania dostępu do sieci zgodnie z prowadzoną polityką bezpieczeństwa.

Moduły sprawdzania kondycji

Moduł sprawdzania kondycji otrzymuje z komponentu administracyjnego NAP raport o kondycji klienta NAP i sprawdza, czy stan tego klienta odpowiada wymogom bezpieczeństwa. Na przykład raport o kondycji wystawiony przez agenta kondycji systemu odpowiedzialnego za oprogramowanie antywirusowe zawiera numer wersji pliku sygnatur wirusowych używany przez danego klienta. Weryfikator antywirusowy może, więc porównać ten numer z numerem najnowszej wersji uzyskanym z serwera zasad bezpieczeństwa i w ten sposób stwierdzić, czy klient spełnia wymogi bezpieczeństwa w aspekcie oprogramowania antywirusowego.

Odpowiedzi SoHR wystawione przez moduły sprawdzania kondycji i przekazane zwrotnie do agentów kondycji systemu klientów NAP informują, co należy zrobić, aby klient uzyskał zgodność z wymogami bezpieczeństwa. Na przykład odpowiedź SoHR wysłana przez weryfikator antywirusowy mogłaby poinstruować agenta antywirusowego, aby zażądał najnowszej wersji pliku sygnatur wirusowych z serwera takich sygnatur. Odpowiedź SoHR mogłaby zawierać sieciową nazwę lub adres IP serwera takich sygnatur.

 Do początku strony Do początku strony

Windows Server 2008