Network Access Protection – NAP

04.02.2008 | 00:38 Dokümanlar , Windows Server 1 Yorum

Microsoft NAPBirçok yeni ürünün piyasa çıktığı şu günlerde biz IT Profesyonellerinin işi bir hayli zor. Exchange Server 2007, Windows Vista, Office 2007 Ailesi ve Microsoft’un yeni güvenlik çözüm yelpazesi ForeFront Security bunlar arasında en çok dikkat çekenler gibi gözükse de asıl bomba en gerilerden geliyor.

Sektördeki birçok profesyonel henüz bu ürünleri bile görmemişken, beklenen o büyük lansman çok yaklaştı. Microsoft’un yeni sunucu platformu “Windows Server 2008” büyük yeniliklerle padoktan çıkıp Startingbox’taki yerini almaya hazırlanıyor. Hoş, Türkiye de yeni server ürününe geçiş ne derece hızlı olur bilinmez ama biz tedbirimizi önceden almalı ve yeni gelecek teknolojilere aşina olmalıyız diye düşünüyorum.

Makalenin başlığından da anlayabileceğiniz gibi bahsedeceğim konu NAP. Yani “Network Access Protection“. Türkçe olarak “Ağ Erişim Koruması” diyebiliriz. Windows Server 2008 ile gelen yeni bir ağ koruma teknoloji. Ağdaki sistemlerin devamlılığı ve sağlığı konusunda büyük getirileri var.

Öncelikle bunun bir güvenlik teknolojisinden çok bir kontrol mekanizması olduğunun altını çizelim. Tabi dolaylı yollardan güvenlik konusunda da bize yardımcı olmuyor değil.

Adından da anlaşılacağı gibi ağımızdaki bilgisayarların sağlık durumunu kontrol ederek belirlediğimiz sağlık kuralları çerçevesinde ağa erişimlerine izin veriyor, ya da bu kuralların yerine getirilmesi için istemcilere yardımcı oluyor ve çözümler uyguluyor.

Peki nedir bu sağlık durumu? Buradaki sağlıktan kasıt bilgisayarın kritik güvenlik mekanizmalarının durumudur. Bunun içinde güncelleştirmelerin durumu, antivirüs programlarının güncellik durumu, güvenlik duvarının durumu gibi özellikler yer alıyor.

<p”>Sağlıklı bir bilgisayar için aşağıdakilerin mutlaka yapılmış olması gerektiği konusunda hem fikiriz sanırım.

  • Güncelleştirmelerin tam olmasını sağlamak
  • Anti virüs programının güncel kalmasını sağlamak
  • İyi konfigure edilmiş bir güvenlik duvarına sahip olmak

İşte NAP bunları bizim için kontrol ediyor ve ağa erişimleri bu özellikler doğrultusunda ve belediğimiz kurallar çerçevesinde çok daha güvenli hale getiriyor.

Olayın çalışma mantığına aşağıdaki diagram ile bakalım.

Bu örnek yapıda görüldüğü üzere her şey bir Client’ın ağımıza girmek için DHCP’den ip istemesi ile başlıyor. IP isteğini alan DHCP, IP vermeden önce Client’ın üzerinde çalışan SHA (System Healt Agent) ile oluşturulan sağlık bilgisini NPS’e (Network Policy Server/Longhorn) iletiyor.

Bu Bilgiyi alan NPS, Policy Server ‘a gidip bilgiyi gösteriyor ve “Şu şu özelliklere sahip bir bilgisayar ağa girmek istiyor ne diyorsun?” sorgusu yapıyor. Policy Server, üzerinde tanımlı olan kurallara göre NPS’ten gelen bu bilgiyi kontrol ediyor ve uygundur yada değildir cevabını tekrar NPS’e gönderiyor. Dönen cevaba göre eğer kural dışı bir durum yoksa, DHCP IP adresi veriyor ve ağa erişim sağlanıyor. Şayet kural dışı bir durum varsa NPS, Client’ı DHCP aracılığıyla kısıtlı bir ağa yönlendiriyor ve burada devreye “Remediation Server” giriyor.

Policy serverın belirlediği uygunsuzluk durumları burada “Remediation Server” tarafından düzeltilmeye çalışılıyor. Örneğin güncelleştirmelerin yapması sağlanıyor, antivirüs yazılımı yüklenebiliyor, güvenlik duvarı yapılandırılıyor vs.. Bu kısıtlı ağda problemli durumlar ortadan kaldırılıyor ve Client’a ağa erişim yetkisi veriliyor. Olay kabaca böyle.

Microsoft, bu kontrol mekanizmasını kullanarak bir istemcinin sağlıklı olup olmadığını ve sağlıklı olmayı sürdürüp sürdürmediğini kontrol etmenin, 4 temel noktada uygulanabileceğini söylüyor.

  • VPN Bağlantıları
  • 802.1x Altyapısı
  • DHCP
  • IPSec

Yukarıdaki durumu VPN için düşünürsek, DHCP’nin bulunduğu yerde bir VPN server olacaktı ve gelen VPN Connection istekleri doğrultusunda NPS serverla iletişim kuracaktı.

IPSec ile kullanımı biraz daha güvenli gibi görünüyor ancak IPSec’in ağa getirdiği ekstra yük unutulamamalı. İstemciler için yeni bir sertifika düzenlenebiliyor. Adı “Sağlık Sertifikası”. Bu durumda sağlıklı oldukları doğrulanan istemcilere, sertifika sunucumuz tarafından bir “Sağlık Sertifikası” düzenleniyor. Bizde bu sertifikayı IPSec ilkesinde kullanarak sadece bu sertifikaya sahip bilgisayarların birbirleri ile iletişimde olmalarını sağlayabiliyoruz.

Küçük sistemler için en uygun yöntem, DHCP aracılığıyla kontrol yapmak diye düşünüyorum. Hem oldukça basit, hem de herkesin kullandığı bir servis.

Sabah bilgisayarını açıp ağa erişmek isteyen bir istemci DHCP’den ip almak için geliyor. Eğer kurallara uygunsa ip alıyor, değilse özel bölgeye alınıp Remedation Server’lar tarafından sağlıklı hale getiriliyor ve o şekilde sisteme girebiliyor. Böylece ağımızda çalışan bilgisayarlar, bizim belirlediğimiz sağlık seviyesinde oluyor ve emin olun daha az güvenlik problemiyle karşılaşıyoruz.

Tabi insanın aklına hemen şöyle bir şey geliyor. İstemci sağlıklı olduğu doğrulandıktan sonra ağa giriyor ancak, ağda çalışırken belirli update’leri kaldırıyor yada güvenlik duvarını kapatıyorlar. İşte burada, bu kontrol mekanizmasını iyi planlamamız gerektiği ortaya çıkıyor. Microsoft, sık kontroller için en iyi yöntemin IP adres kira sürelerini kullanmak olduğunu söylüyor.

Örneğin IP kira süresini 1 Satte yada uygun bir süreye çekerek yeterli sıklıkta bu kontroller yapılabilir. Sonuçta IP kira süresi dolan istemci tekrar DHCP’ye gidecek ve IP alma işlemi sırasında tekrar NAP kontrolünden geçmek zorunda kalacak. Aynı durum IPSec’te Sertifika son kullanım tarihinin değiştirilmesi ile de sağlanabilir.

Son olarak NAP’ın çalışması için, istemcilerde NAP’ın Agent yazılımının olması gerekiyor. Bu agent Vista’da dahili olarak geliyor. XP’de ise SP2 olan sistemler bu yapıya uygun olarak çalışıyormuş. (SP3 ile geliyor olmalı diye düşünüyorum)

Evet Microsoft’un bu yeni teknolojisi ses getireceğe benziyor. Microsoft iş ortaklarına, NAP konusunda güzel projelerin gelebileceği sinyallerini veriyor. Ayrıca Microsoft bu teknolojinin sadece Windows’a özgü kalmayacağından da bahsediyor. Yani değişik platformlardaki istemcilerin de bu yapı ile entegre çalışabilmesi için uğraştıklarından bahsediyor. Örneğin Cisco ile uzun zamandır bu konu ile ilgili çalışmaları olduğunu ve Cisco Agent Sağlıklıyım dediğinde bunu NAP’ın anlayabildiğini, aynı şekilde Vista sağlıklıyım dediğinde de bunu Cisco Router ‘ların anlayabildiğini söylüyorlar. Microsoft yakın gelecekte bu mekanizmayı her türlü işletim sistemi ile uyumlu hale getirmeyi hedefliyor.

Yazı Etiketleri: ,

Sayfa Başı ▲

Yorumlar (1)

  1. hasan

    çok güzel. peki sabah dhcp den ip almak için gelmezde boşta olan bir ip yi manual verirse ne olur sisteme giremezmi merak ediyorum.

Yorum Ekle