0

Görev tanımınızın içinde şirket ağının güvenliğinden de sorumludur yazıyor mu? O zaman şirket dışından bağlanan kullanıcıların şirkete VPN veya switch ile bağlandığında nasıl rahat edebiliyorsunuz? Şirket dışı demek; patchler yüklenmemiş demektir, antivirüs programınız güncelleme yapmamış demektir, büyük ihtimalle bilgisayarda virüs-spam-trojan var demektir. Bende bir şirketin sisteminden sorumluyum ve VPN bağlantı yasak. Bu bir çözüm gibi görünsede değildir Çünkü iş verimliliğini düşürüyor ama göz göre göre dışardan bağlanmalarınada izin veremem.

Şirket ağlarını korumak için çok çaba sarf ediyoruz bu konu için fazlasıyla para ve zamanımızı harcıyoruz. Bu güvenlik önlemlerimizde bazıları antivirüs yazılımları, spam korumaları, Windows server ve client uygulamaları için update mekanizmaları vs… Eğer bulunduğunuz ortamlarda güvenlikten sorumlu yetkili iseniz tüm senaryoları düşünmek zorundasınız. Bir kullanıcının nerden, nezaman ve nasıl bir tip bağlantı yaparsa yapsın bu bağlantı kesinlikle güvenli olmak zorundadır. Bu kapsamda Microsoft’un özellikle şirket ağlarına uzun zaman bağlanamayan bilgisayarlar için geliştirdiği son sistemden bahsetmek istiyorum.  Başlarda konu Windows Server 2003 R2 ile anıldı ama daha sonra R2 piyasa çıkınca burdan kaldırıldığı öğrendim. Artık bu güvenlik sistemi, adına Longhorn denilen Microsoft server ailesinin yeni üyesi ile geliyor. Server tarafında Longhorn ile client tarafında da Windows XP enaz service pack 2 olmak zorunda ve tabiki Vista tarafındanda destekleniyor.

NAP – Network Access Protection

Öncelikli olarak bahsettiğimiz konu dışardan saldırılara karşı bir önlem değildir yada bunları durduran bir sistem değildir ve Windows Server 2003’de yer alan Network Access Quarantine Control den farklıdır.  NAP sisteminizin sağlığını kontrol eden ve sizin verdiğiniz emirleri uygulayan bir sistemdir. Kullanıcının sisteminize nasıl, nezaman ve nereden ulaşmak isterse istesin NPS Server (Network Policy Server) devreye girer ve policy serverdan gerekli talimatları alıp bilgisayarın sisteme sağlıklı bir şekilde ulaşmasını sağlar.

Nasıl çalışıyor ;

Çalışması için öncelikle sisteminizde Longhorn Server ve Vista kullanıcıları olması gerektiğinide unutmamak gerekiyor. Windows XP SP2 ilede destekleniyor.

Kullanılan platformlar ;

 

  • The Network Policy Server – NPS ; NPS, Longhorn Server’ın kendisidir. Bu sistem 2 parçadan oluşur. NAP Administration Server ve NAP Enforcement Server.
  • The System Health Validator – SHV ; NAP server üstünde çalışır ve Policy server ile iletişim halindedir.
  • A Health Registration Authority – HRA ; Bu servis IIS ile ve Windows Certificate servis ile çalışır.
  • Remedation Server ; Bir veya birden fazla serverdan oluşabilir. Bu sistem kısıtlanmış ağ da yeralır.
  • NAP Clients ; The System Health Agents (SHAs) ; NAP client’ın içinde yeralır.

 

SHAs kullanıcının sağlık durumu hakkında bilgi içerir ve son durumu NPS tarafından uygulanır bu bilgide Statement of Health (SoH) olarak adlandırılır.

Sistem sağlıklı yada uygunsuz bir bilgisayar bulduğunda bunu öncelikli olarak kısıtlanmış ağ bölgesine çekilir.Bunu nasıl anlıyor? Bilgisayar NPS’e geldiğinde NPS Policy server ile iletişime geçiyor. Siz bu server üstünde tanımladığınız bazı kurallar var. Örnek XP SP2 için Firewall açık olsun yada microsoft windows patchleri son versyonlar olsun gibi kurallar, gelen bilgisayardaki durumla karşılaştırılır ve eksikler varsa bilgisayar kısıtlı bölgeye alınır. Burası Remedation server veya serverları içerir.  Bu bilgisayara tanımladığınız kurallar uygulanır. Bütün güvenlik kuralları uygulanır ve bilgisayarın NAP Client’ına yeni SoH uygulanır.

Uygulama teknolojileri olarak 4 ana başlıkda toplanmışlardır. Bunlar ; DHCP, VPN, IPSec ve 802.1x dir.


Şekil-1 – MSHowto NAP Yapısı

Şekil üstünden açıklarsak;

1.     Kullanıcı şirket ağına girmek istiyor bu başvuru herşekilde olabilir. Router, Switch, VPN …

2.     Bağlantı arabirimleri NPS ile iletişime geçiyor

3.     NPS ise Policy Server’e soruyor kullanıcıdan aldığım bilgiler ile senin kuralların uyuşuyor mu diye?

4.     Eğer uyumlu değilse bilgisayar kısıtlanmış bölgeye alınıyor ve gerekli güncellemeler yapılıyor.

5.     Bilgisayar şirket sistemine girmeye hak kazanmıştır.

Kısaca açıklamak gerekirse ; Artık sistemlerinizi daha fazla gözlemliyebileceksiniz ve sisteminize bağlanan kullanıcıların sağlıklı olduklarını bileceksiniz. Bir sonraki yazımda NAP ile ilgili değişik senaryolar ile devam ediyor olacağız.

Referanslar

 

http://www.microsoft.com/technet/network/nap/napoverview.mspx

 

http://www.windowsnetworking.com/articles_tutorials/Introduction-Network-Access-Protection-Part1.html

 

http://www.microsoft.com/emea/itsshowtime/turkiye/sessionh.aspx?videoid=212

Bu İçeriğe Tepkin Ne Oldu?
  • 0
    harika_
    Harika!!
  • 0
    be_enmedim
    Beğenmedim
  • 0
    _ok_iyi
    Çok iyi
  • 0
    sevdim_
    Sevdim!
  • 0
    bilemedim_
    Bilemedim!
  • 0
    olmad_
    Olmadı!
  • 0
    k_zd_m_
    Kızdım!

System & SAP Basis Administrator

Yazarın Profili

Bültenimize Katılın

Tıklayın, üyemiz olun ve yeni güncellemelerden haberdar olan ilk kişi siz olun.

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir