Jump to content
  • entry
    1
  • comment
    1
  • views
    548

NAP Γιατί όχι?


nkoasidis

286 views

 Share

Όπως γνωρίζουμε όλοι μας ένα χαρακτηριστικό τον Windows Server 2008 και R2 είναι το λεγόμενο NAP(Network Access Protection).Προσωπική μου γνώμη είναι ένα πολύ δυνατό κομμάτι των WS2008 γιατί μας δίνει την δυνατότητα να ορίσουμε πολιτικές με τις οποίες θα καθορίσουμε το state όλων μας των clients να είναι το ίδιο και ταυτόχρονα οι clients οι οποίοι δεν είναι να γίνουν πριν να έχουν έλεγχο στο δίκτυο μας. Από την δουλεία του administrator αυτό είναι ένα δυνατό σημείο γιατί όπως και με το group policy ορίζουμε τις πολιτικές που θέλουμε στο δίκτυο το NAP θα λέγαμε ότι επεκτείνει την δυνατότητα να ορίζουμε πολιτικές και ταυτόχρονα έλεγχο εάν αυτές οι πολιτικές τηρούνται εάν όχι διόρθωση αυτών αυτόματα.

Λόγοι να έχω NAP

1. Έχω κεντρικοί διαχείριση όλων των πολιτικών που θα ορίσω με τον NPS(Network Policy Server).Επίσης πολύ σημαντικό μηδέν κόστος γιατί είναι built στον WS2008.

2. Μπορούμε να ορίσουμε πολιτικές σε επίπεδο DHCP, VPN, Terminal Services Gateway, IPSEC σε ποιο ευέλικτοι μορφή όπως επίσης και για virtual clients.

3. Clients με Vista όπως επίσης και Windows XP με SP3 έχουν τον agent embeded οπότε μηδέν κόστος σε licensing.

4. Μεγάλη υποστήριξη από τρίτους κατασκευαστές σε επίπεδο antivirus, patch management και εύκολο intergration.

Θα πούμε όμως το εξής μήπως αυτό το κάνει και ο Windows Server 2003 με την λειτουργία του Network Access Quarantine Control. Όχι ακριβώς το Network Quarantine Control αφορά μόνο την επίβλεψη του client μας αλλά μόνο σε remote access λύση. Επίσης χρειάζονται custom write scripts για τον έλεγχο. Αντίθετα το NAP δίνει την δυνατότητα και σε τρίτους κατασκευαστές να εμπεριέχονται στις πολιτικές που θα ορίσουμε όπως επίσης όχι μόνο σε επίπεδο remote access αλλά και σε remote, local, managed, unmanaged, and guest client inspection στην ουσία είναι η μετεξέλιξη του Network Access Quarantine Control. Επίσης λόγο το ότι το NAP είναι τόσο open έχουμε από τρίτους κατασκευαστές για το NAP τα SHA και SHV που φτιάχνουν και δεν αφήνουν παραπονεμένους τους clients για Linux και για Macintosh. Ήδη η Microsoft έχει δικούς της SHA οι οποίοι είναι οι System Center Configuration Manager SHA (SCCM SHA) και ο Forefront Client Security SHA (FCS SHA).

Πως λειτουργεί το NAP

Όταν ένας client κάνει προσπάθεια να έχει πρόσβαση σένα δίκτυο ή να επικοινωνήσει με το δίκτυο θα πρέπει να παρουσιάση το state health που έχει και να αποδείξει ότι είναι health compliance. Εάν αυτός ο χρήστης δεν μπορέσει να αποδείξει ότι είναι compliant με τα system health requirements για παράδειγμα ότι έχει τα τελευταία updates τόσο σε επίπεδο λειτουργικού όσο και σε antivirus εγκατεστημένα ή προσβασή του στο δίκτυο ή η επικοινωνία με το δίκτυο να περιοριστεί σ’ένα περιορισμένο(restricted) δίκτυο.Σ’αυτο το περιορισμένο δίκτυο θα υπάρχουν οι servers που θα του δώσουν τα health states που του λείπουν οι servers αυτοί είναι οι λεγόμενοι Remediation servers. Εφόσον γίνουν τα updates γίνεται πάλι προσπάθεια για σύνδεση στο δίκτυο έαν πλέον είναι health compliant του επιτρέπεται πλέον η πρόσβαση στο δίκτυο.

Στο επόμενο θα μιλήσουμε ποιο αναλυτικά τα μέρη από τα οποία αποτελείται οι υλοποίηση του NAP και θα δούμε την εγκατάσταση του NAP και την λειτουργία του.

 Share

1 Comment


Recommended Comments

Guest
Add a comment...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Loading...
×
×
  • Create New...