İlginizi Çekebilir
  1. Ana Sayfa
  2. Server 2003
  3. NAP ile Tanışmak – Bölüm 1

NAP ile Tanışmak – Bölüm 1

Görev tanımınızın içinde şirket ağının güvenliğinden de sorumludur yazıyor mu? O zaman şirket dışından bağlanan kullanıcıların şirkete VPN veya switch ile bağlandığında nasıl rahat edebiliyorsunuz? Şirket dışı demek; patchler yüklenmemiş demektir, antivirüs programınız güncelleme yapmamış demektir, büyük ihtimalle bilgisayarda virüs-spam-trojan var demektir. Bende bir şirketin sisteminden sorumluyum ve VPN bağlantı yasak. Bu bir çözüm gibi görünsede değildir Çünkü iş verimliliğini düşürüyor ama göz göre göre dışardan bağlanmalarınada izin veremem.

Şirket ağlarını korumak için çok çaba sarf ediyoruz bu konu için fazlasıyla para ve zamanımızı harcıyoruz. Bu güvenlik önlemlerimizde bazıları antivirüs yazılımları, spam korumaları, Windows ve client uygulamaları için update mekanizmaları vs… Eğer bulunduğunuz ortamlarda güvenlikten sorumlu yetkili iseniz tüm senaryoları düşünmek zorundasınız. Bir kullanıcının nerden, nezaman ve nasıl bir tip bağlantı yaparsa yapsın bu bağlantı kesinlikle güvenli olmak zorundadır. Bu kapsamda Microsoft’un özellikle şirket ağlarına uzun zaman bağlanamayan bilgisayarlar için geliştirdiği son sistemden bahsetmek istiyorum.  Başlarda konu Windows 2003 R2 ile anıldı ama daha sonra R2 piyasa çıkınca burdan kaldırıldığı öğrendim. Artık bu güvenlik sistemi, adına Longhorn denilen Microsoft ailesinin yeni üyesi ile geliyor. tarafında Longhorn ile client tarafında da Windows XP enaz service pack 2 olmak zorunda ve tabiki Vista tarafındanda destekleniyor.

NAP – Network Access Protection

Öncelikli olarak bahsettiğimiz konu dışardan saldırılara karşı bir önlem değildir yada bunları durduran bir sistem değildir ve Windows Server 2003’de yer alan Network Access Quarantine Control den farklıdır.  NAP sisteminizin sağlığını kontrol eden ve sizin verdiğiniz emirleri uygulayan bir sistemdir. Kullanıcının sisteminize nasıl, nezaman ve nereden ulaşmak isterse istesin Server (Network Policy Server) devreye girer ve policy serverdan gerekli talimatları alıp bilgisayarın sisteme sağlıklı bir şekilde ulaşmasını sağlar.

Nasıl çalışıyor ;

Çalışması için öncelikle sisteminizde Longhorn Server ve Vista kullanıcıları olması gerektiğinide unutmamak gerekiyor. Windows XP SP2 ilede destekleniyor.

Kullanılan platformlar ;

 

 

SHAs kullanıcının sağlık durumu hakkında bilgi içerir ve son durumu NPS tarafından uygulanır bu bilgide Statement of Health (SoH) olarak adlandırılır.

Sistem sağlıklı yada uygunsuz bir bilgisayar bulduğunda bunu öncelikli olarak kısıtlanmış ağ bölgesine çekilir.Bunu nasıl anlıyor? Bilgisayar NPS’e geldiğinde NPS Policy server ile iletişime geçiyor. Siz bu server üstünde tanımladığınız bazı kurallar var. Örnek XP SP2 için Firewall açık olsun yada microsoft windows patchleri son versyonlar olsun gibi kurallar, gelen bilgisayardaki durumla karşılaştırılır ve eksikler varsa bilgisayar kısıtlı bölgeye alınır. Burası Remedation server veya serverları içerir.  Bu bilgisayara tanımladığınız kurallar uygulanır. Bütün güvenlik kuralları uygulanır ve bilgisayarın NAP Client’ına yeni SoH uygulanır.

Uygulama teknolojileri olarak 4 ana başlıkda toplanmışlardır. Bunlar ; DHCP, VPN, IPSec ve 802.1x dir.


Şekil-1 – MSHowto NAP Yapısı

Şekil üstünden açıklarsak;

1.     Kullanıcı şirket ağına girmek istiyor bu başvuru herşekilde olabilir. Router, Switch, VPN …

2.     Bağlantı arabirimleri NPS ile iletişime geçiyor

3.     NPS ise Policy Server’e soruyor kullanıcıdan aldığım bilgiler ile senin kuralların uyuşuyor mu diye?

4.     Eğer uyumlu değilse bilgisayar kısıtlanmış bölgeye alınıyor ve gerekli güncellemeler yapılıyor.

5.     Bilgisayar şirket sistemine girmeye hak kazanmıştır.

Kısaca açıklamak gerekirse ; Artık sistemlerinizi daha fazla gözlemliyebileceksiniz ve sisteminize bağlanan kullanıcıların sağlıklı olduklarını bileceksiniz. Bir sonraki yazımda NAP ile ilgili değişik senaryolar ile devam ediyor olacağız.

Referanslar

 

http://www.microsoft.com/technet/network/nap/napoverview.mspx

 

http://www.windowsnetworking.com/articles_tutorials/Introduction-Network-Access-Protection-Part1.html

 

http://www.microsoft.com/emea/itsshowtime/turkiye/sessionh.aspx?videoid=212

Yorum Yap

Yazar Hakkında

System & SAP Basis Administrator

Yorum Yap