reklama

NAP ve Windows Serveru 2008 neboli síťová karanténa

(placená inzerce) Technologie síťové karantény, kterou najdete v operačním systému Windows Server 2008, účinně chrání interní prostředí před zavlečením softwarových virů a červů.

Jde o klasický problém. Vaše síť může být sebelépe zabezpečena proti útokům zvenčí, a přesto se může stát, že vám najednou začnou vypovídat jednotlivé servery, a než se stačíte rozkoukat, divíte se, jak je možné, že všechny vaše počítače jsou nakaženy záhadným virem/červem, který se zničehonic objevil ve vaší síti. Jak se to mohlo stát? Firewall vás přece chrání před útoky zvenčí a na všech e-mailových systémech také máte vše zabezpečeno. Jak je to tedy možné? Odpověď je velmi jednoduchá. Problém do vaší sítě byl zavlečen nějakým přenosným zařízením. A bohužel to ani nemusel způsobit zákeřný útočník, ale klidně jeden z vašich neopatrných zaměstnanců, který navíc nemá o ničem ani ponětí. Popišme si tedy některé ze situací, které se mohly stát, ať máme představu, čemu přesně čelíme…

Typickým příkladem, který může nastat, je uživatel, který fyzicky odnáší nějaká zařízení z vaší interní sítě, používá je mimo ni a následně se s nimi vrací zpět. Tedy typicky notebooky. Pokud je totiž přenosný počítač mimo vaši síť a tím pádem i bez vaší ochrany, může se stát, a to úmyslně i neúmyslně, že bude napaden. No a v momentě, kdy je tento útok úspěšný, může tuto nákazu dále šířit kolem sebe na všechny strany. A v tomto psychologickém momentě je právě skryt celý problém. Nikdo vašemu zaměstnanci nebrání v tom, aby svůj, resp. firemní, laptop zapojit do vaší interní sítě. Vždyť je to přece někdo, koho důvěrně známe a automaticky tak předpokládáme, že je s ním vše v naprostém pořádku... Totéž se může stát, pokud za vámi přijde do práce váš kamarád, který potřebuje jen na moment něco vyřídit na internetu, a vy mu umožníte se jen na krátkou chviličku připojit přes vaši síť tam, kam potřebuje. Vždyť se přece nemůže nic stát. Ale může… Většině správců dodnes běhá mráz po zádech v momentě, kdy zazní slova jako „I Love You“, „Code Red“ anebo „Slammer“.

A právě v podobných chvílích oceníte technologii Network Access Protection (dále jen „NAP“). Jde o řešení zdraví sítě, tedy řešení, které si neklade za cíl síť zabezpečit, ale udržet ji zdravou. Podívejme se na to, co nám NAP nabízí a především jakým způsobem řeší síťovou karanténu.

Klepněte pro větší obrázek
Jak funguje NAP

V první řadě je nutno říci, že jde o řešení na bázi politik. V praxi to znamená, že správce přesně definuje kritéria, kterým musí klientské počítače připojené do sítě vyhovovat, a ta se potom aplikují na připojené klientské stanice ve chvíli, kdy se snaží do chráněné sítě připojit. Jak to funguje? Když uživatel, návštěva či kdokoli jiný přijdou do práce a zapnou počítač, dojde ve chvíli připojení ke komunikaci mezi klientem a serverem. NAP agent hlásí stav daného počítače na NAP server a ten porovnává přijaté parametry s jednotlivými kritérii, která definoval správce. Ve chvíli, kdy tato kritéria souhlasí, je stanice označena za bezpečnou a je připojena do sítě. Jenže to není všechno...

Každý počítač s NAP agentem zároveň v reálném čase sleduje svůj stav, a jakmile dojde ke změně v nastavení, která není v souladu s politikou, je schopen přijmout, opět předem definovaná opatření, aby síť ochránil. Ať už jde o odpojení počítače ze sítě, či o nápravu situace. Jde tedy o konstantní monitoring zdraví dané stanice.

A tím se dostáváme k situaci, kdy počítač nevyhovuje daným politikám. Co se stane? Protože svět není černobílý, může správce definovat samozřejmě více možností, jak k těmto stanicím přistupovat. Může je odpojit od sítě a tím je izolovat. Anebo je může také „vyléčit“ a přesměrovat je na servery, kde jsou uloženy opravné mechanismy. Může jít například o aktualizační balíčky, data antiviru, sady nastavení apod. Jakmile je posléze stanice opravena, proběhne znovu kontrola stavu a posléze je připojena zpět do sítě.

Z předchozích odstavců zcela jasně vyplývá architektura a technické řešení NAP technologie. Co zde však musí v každém případě zaznít, je několik dalších a klíčových charakteristik NAP, které musíte znát:

  • Veškeré požadované technologie jsou již vestavěny do Windows Serveru 2008, Windows Visty a především Windows XP SP3. To znamená, že drtivá většina dnešních klientských stanic plně vyhovuje a bude spolupracovat s technologií NAP.
  • Jde o řešení založené na mezinárodně uznávaných standardech, a tudíž nejde o proprietární systém. Navíc je tím pádem zaručeno, že funguje s většinou standardních síťových zařízení (switche, routery apod.).
  • Technologie NAP nepotřebuje žádné další licence (CAL), postačí pouze licence serverová. Nemusíte tedy kalkulovat investice ani utrácet další prostředky.
  • Služba NAP, někdy nazývaná NAP agent, běží na klientských počítačích a je spravovatelná za pomoci skupinových politik. Správce tedy může mít plnou kontrolu nad nastavením klientské části technologie NAP.
  • V současné chvíli není k dispozici NAP služba pro Windows Server 2003.
Klepněte pro větší obrázek
Partneři NAP

Je už samozřejmě na každém z nás, aby zvážil možnosti nasazení a konfigurace ve svém vlastním prostředí. Nicméně zde jasně vidíte, že se Windows Server 2008 snaží poskytnout svému administrátorovi co největší možnosti ochrany interní sítě. Ať už jde o vestavěný firewall, či o podporu šifrování spojení (IPSEC), nebo právě popsanou technologii Network Access Protection. Věřím tomu, že vhodnou kombinací všech zmíněných služeb a nastavení lze dosáhnout správcovské nirvány. Jinými slovy zdravé a funkční sítě.

Více informací o technologii NAP

Martin Pavlis (martin@pavlis.net) – Microsoft MVP

 

Články ze série Microsoft TechNet nevytváří redakce Živě.cz, ale partneři programu Microsoft TechNet. Jsou publikovány v rámci mediálního partnerství Živě.cz a společnosti Microsoft.

Témata článku: Love, Moment

Určitě si přečtěte

UPC překopli páteřní kabel. V Brně i druhý den nejede internet ani kabelovka

UPC překopli páteřní kabel. V Brně i druhý den nejede internet ani kabelovka

** V Brně byl velký výpadek služeb UPC ** Důvodem je překopnutý páteřní kabel ** V některých lokalitách služby stále nefungují

5.  12.  2016 | Jakub Čížek | 104

17 expertek Microsoftu předpovědělo rok 2027. Splní se alespoň něco?

17 expertek Microsoftu předpovědělo rok 2027. Splní se alespoň něco?

** Zmizí klasické vyhledávače ** Budeme programovat buňky ** Kvantové počítače překonají šifry

6.  12.  2016 | Jakub Čížek | 36

11 tipů na dobrý stolní počítač: od základu po herní mašiny

11 tipů na dobrý stolní počítač: od základu po herní mašiny

** Postavte si stolní počítač! Máme pro vás 11 vzorových sestav s rozpisem komponent ** Většina tipů cílí na hráče, věnujeme se ale i základnímu PC a počítačům na střih videa ** Nadělte si nový počítač třeba pod stromeček

5.  12.  2016 | Adam Kahánek | 74

Nejlepší notebooky nad 20 tisíc: poradíme, které teď chcete

Nejlepší notebooky nad 20 tisíc: poradíme, které teď chcete

** V notebooku s cenou nad 20 tisíc nesmí chybět kvalitní displej a rychlé úložiště ** Za dalších deset tisíc můžete dostat navíc styl nebo výkonnější komponenty ** Vybírat můžete z různých velikostí i konstrukcí

8.  12.  2016 | Stanislav Janů | 85


reklama