Network Access Protection - 4 - NAP IPSEC Enforcement – NAP’ın IPSEC Uygulaması
Merhaba,
Bugün sizlere spesifik olarak NAP’in IPSEC uygulamasi hakkinda bilgi vermek istiyorum.
NAP IPSEC Enforcement – NAP’in IPSEC Uygulamasi
NAP’in IPSEC uygulamasi, Health Registration Authority (HRA) tarafindan Client’lara “Saglik Sertifikasi” verilmesiyle saglanir. Compliant ( saglikli ) olan Client’lara bu saglik sertifikasini kullanarak diger sistemlere IPSEC kullanarak authentication yapar. Non-Compliant ( sagliksiz ) olan Client’lara saglik sertifikasi alamayacaklarindan IPSEC authentication yapamazlar ve bu yüzde network´te bulunan kaynaklara baglanamazlar.
Saglik sertifikasi alarak, güvenli olan network ´ün parçasi olabilmek için, NAP Client IPSEC Enforcement uygulamasini asagidaki sekilde kullanir:
1- Client ilk açildiginda, host-based firewall akiktir, ancak hiç bir istisnaya müsaade etmez. Bu sekilde baska kimsenin onunla konusmasina izin vermez. Client su an için saglik sertifikasina sahip olmadigi için kisitli bir network içeresinde bulunur. Bu kisitli network içeresinde bulunan bütün Client’lara ile konusabilir veya örnegin internete çikabilir ancak güvenli network´te bulunan Client’lara ile görüsemez.
2- Client açildiktan sonra ilk olarak bulundugu network´ ten IP Adresi alir
3- Client üzerinde bulunan NAP IPSEC QEC, Health Registration Authority (HRA) ile HTTPS baglantisi kurar (https://server/domainhra/hcsrvext.dll)
4- IPSEC QEC daha sonra baglanti bilgileri ve SoH bilgisini bu HTTPS kanalini kullanarak HRA Server tarafina gönderir.
5- HRA Radius Access-Request mesaji ile client tarafindan gelen SoH ´i NPS Server´a gönderir.
6- NPS Server gelen bu SoH listesini, NAP Administration Server tarafina yönlendirir.
7- NAP Administration Server aldigi SoH ´leri onlara uygun SHV´lere ( System Health Validtor ) gönderir.
8- SHV´ler gelen SoH´lerin içerigini kontrol eder ve buna uygun bir SoHResponse cevabini NAP Administration Server´a yollar.
9- NAP Administration Server bu SoHResponse´lar NPS e yönlendirir.
10- NPS gelen SoHResponse´lari kendi üzerinde ayarlanmis “Network Access” ve “Health Policy”´lere göre kontrol eder ve Client’in saglikli veya sagliksiz olduguna dolayisiyla kisitli veya güvenli network ´e atanmasina karar verir.
11- NPS bu karari verdikten sonra RADIUS Acces-Accept mesaji içinde bu bilgiyi ve SoHResponse mesajalar ini (vendor-specific attribute olarak ) gönderir
12- HRA gelen bu SoHResponse mesajlarini Client üzerinde bulunan IPSEC QEC ´ye gönderir. Client „saglikli“ ise, HRA tarafindan ayni zamanda „saglik sertifikasi“ da yollanir.
13- NAP Client, aldigi bu sertifikayi kendi „Computer Certificate Store“ içine ekler. IPSEC QEC, IPSEC bazli authentication için gerekli olan ayarlari bu saglik sertifikasi kullanarak yapar. Bunun disinda Client, üzerinde çalisan host-based firewall ´da saglik sertifikasini kullanan diger Client’lara baglanmasi için gerekli ayarlari yapar. Bu sekilde Client ´imiz, güvenli network ‘ün bir parçasi haline gelir.
Isaretli bölümler, Client’in “sagliksiz” bir durumdan saglikli duruma geçisindeki adimlari göstermek amaciyla konulmustur.
NAP IPSEC Enforcement – IPsec QEC Health Certificate Request:
NAP IPSEC Enforcement – Uygulama Komponentleri:
IPSEC Quarantine Enforcement Client (QEC)
IPSEC QEC, Health Registration Authority ´den Health Certificate (Saglik Sertifikasi)´ni alir.
Alinan bu sertifikanin IPSEC bazli konusmalarda kullanilmasini saglar.
Client üzerinde çalisan host-based firewall ´un IPSEC bazli konusmalara izin vermesine imkân verir.
Certificate Authority
NAP-Complient ( yani saglikli ) Client’lara health certificate ( saglik sertifikasi) yaratir.
Bu sertifikalarin ömrü sadece 4 saat oldugu için bizin tavsiyemiz sadece bu is için ayri bir CA Server kurulmasidir.
Enterprise veya bir Trusted Root CA altinda bulunan Standalone subordinate CA olabilir.
Health Registration Authority (HRA)
HRA, Saglik kontrollerini gecen Client’lara için sertifika verir. Client tarafindaki IPSEC QEC ile konusan web servisidir ve Windows Server 2008 ile gelen yeni bir ROLE ´dür.
Saglik sertifikalari kisa geçerlilik süresi olan X509 sertifikalaridir.
Network Policy Server (NPS)
NPS, HRA tarafindan SoH ´leri kontrol etmek amaçli kullanilir.
NAP IPSEC Enforcement – SoH ne zaman yenilenir?
1- Saglik sertifikasinin geçerlilik süresinin 80% doldugunda,
2- Network durumu degisirse
3- Client konfigürasyonunda bir degisiklik olursa (Anti virüs kapatildi, firewall kapatildi vs. )
4- Group Policy yenilenirse,
NAP IPSEC Enforcement ile paylasmak istediklerim simdilik bu kadar, bir sonraki makalede bulusmak üzere…
Aydin