reklama

NAP ve Windows Serveru 2008 neboli síťová karanténa

(placená inzerce) Technologie síťové karantény, kterou najdete v operačním systému Windows Server 2008, účinně chrání interní prostředí před zavlečením softwarových virů a červů.

Jde o klasický problém. Vaše síť může být sebelépe zabezpečena proti útokům zvenčí, a přesto se může stát, že vám najednou začnou vypovídat jednotlivé servery, a než se stačíte rozkoukat, divíte se, jak je možné, že všechny vaše počítače jsou nakaženy záhadným virem/červem, který se zničehonic objevil ve vaší síti. Jak se to mohlo stát? Firewall vás přece chrání před útoky zvenčí a na všech e-mailových systémech také máte vše zabezpečeno. Jak je to tedy možné? Odpověď je velmi jednoduchá. Problém do vaší sítě byl zavlečen nějakým přenosným zařízením. A bohužel to ani nemusel způsobit zákeřný útočník, ale klidně jeden z vašich neopatrných zaměstnanců, který navíc nemá o ničem ani ponětí. Popišme si tedy některé ze situací, které se mohly stát, ať máme představu, čemu přesně čelíme…

Typickým příkladem, který může nastat, je uživatel, který fyzicky odnáší nějaká zařízení z vaší interní sítě, používá je mimo ni a následně se s nimi vrací zpět. Tedy typicky notebooky. Pokud je totiž přenosný počítač mimo vaši síť a tím pádem i bez vaší ochrany, může se stát, a to úmyslně i neúmyslně, že bude napaden. No a v momentě, kdy je tento útok úspěšný, může tuto nákazu dále šířit kolem sebe na všechny strany. A v tomto psychologickém momentě je právě skryt celý problém. Nikdo vašemu zaměstnanci nebrání v tom, aby svůj, resp. firemní, laptop zapojit do vaší interní sítě. Vždyť je to přece někdo, koho důvěrně známe a automaticky tak předpokládáme, že je s ním vše v naprostém pořádku... Totéž se může stát, pokud za vámi přijde do práce váš kamarád, který potřebuje jen na moment něco vyřídit na internetu, a vy mu umožníte se jen na krátkou chviličku připojit přes vaši síť tam, kam potřebuje. Vždyť se přece nemůže nic stát. Ale může… Většině správců dodnes běhá mráz po zádech v momentě, kdy zazní slova jako „I Love You“, „Code Red“ anebo „Slammer“.

A právě v podobných chvílích oceníte technologii Network Access Protection (dále jen „NAP“). Jde o řešení zdraví sítě, tedy řešení, které si neklade za cíl síť zabezpečit, ale udržet ji zdravou. Podívejme se na to, co nám NAP nabízí a především jakým způsobem řeší síťovou karanténu.

Klepněte pro větší obrázek
Jak funguje NAP

V první řadě je nutno říci, že jde o řešení na bázi politik. V praxi to znamená, že správce přesně definuje kritéria, kterým musí klientské počítače připojené do sítě vyhovovat, a ta se potom aplikují na připojené klientské stanice ve chvíli, kdy se snaží do chráněné sítě připojit. Jak to funguje? Když uživatel, návštěva či kdokoli jiný přijdou do práce a zapnou počítač, dojde ve chvíli připojení ke komunikaci mezi klientem a serverem. NAP agent hlásí stav daného počítače na NAP server a ten porovnává přijaté parametry s jednotlivými kritérii, která definoval správce. Ve chvíli, kdy tato kritéria souhlasí, je stanice označena za bezpečnou a je připojena do sítě. Jenže to není všechno...

Každý počítač s NAP agentem zároveň v reálném čase sleduje svůj stav, a jakmile dojde ke změně v nastavení, která není v souladu s politikou, je schopen přijmout, opět předem definovaná opatření, aby síť ochránil. Ať už jde o odpojení počítače ze sítě, či o nápravu situace. Jde tedy o konstantní monitoring zdraví dané stanice.

A tím se dostáváme k situaci, kdy počítač nevyhovuje daným politikám. Co se stane? Protože svět není černobílý, může správce definovat samozřejmě více možností, jak k těmto stanicím přistupovat. Může je odpojit od sítě a tím je izolovat. Anebo je může také „vyléčit“ a přesměrovat je na servery, kde jsou uloženy opravné mechanismy. Může jít například o aktualizační balíčky, data antiviru, sady nastavení apod. Jakmile je posléze stanice opravena, proběhne znovu kontrola stavu a posléze je připojena zpět do sítě.

Z předchozích odstavců zcela jasně vyplývá architektura a technické řešení NAP technologie. Co zde však musí v každém případě zaznít, je několik dalších a klíčových charakteristik NAP, které musíte znát:

  • Veškeré požadované technologie jsou již vestavěny do Windows Serveru 2008, Windows Visty a především Windows XP SP3. To znamená, že drtivá většina dnešních klientských stanic plně vyhovuje a bude spolupracovat s technologií NAP.
  • Jde o řešení založené na mezinárodně uznávaných standardech, a tudíž nejde o proprietární systém. Navíc je tím pádem zaručeno, že funguje s většinou standardních síťových zařízení (switche, routery apod.).
  • Technologie NAP nepotřebuje žádné další licence (CAL), postačí pouze licence serverová. Nemusíte tedy kalkulovat investice ani utrácet další prostředky.
  • Služba NAP, někdy nazývaná NAP agent, běží na klientských počítačích a je spravovatelná za pomoci skupinových politik. Správce tedy může mít plnou kontrolu nad nastavením klientské části technologie NAP.
  • V současné chvíli není k dispozici NAP služba pro Windows Server 2003.
Klepněte pro větší obrázek
Partneři NAP

Je už samozřejmě na každém z nás, aby zvážil možnosti nasazení a konfigurace ve svém vlastním prostředí. Nicméně zde jasně vidíte, že se Windows Server 2008 snaží poskytnout svému administrátorovi co největší možnosti ochrany interní sítě. Ať už jde o vestavěný firewall, či o podporu šifrování spojení (IPSEC), nebo právě popsanou technologii Network Access Protection. Věřím tomu, že vhodnou kombinací všech zmíněných služeb a nastavení lze dosáhnout správcovské nirvány. Jinými slovy zdravé a funkční sítě.

Více informací o technologii NAP

Martin Pavlis (martin@pavlis.net) – Microsoft MVP

 

Články ze série Microsoft TechNet nevytváří redakce Živě.cz, ale partneři programu Microsoft TechNet. Jsou publikovány v rámci mediálního partnerství Živě.cz a společnosti Microsoft.

Témata článku: Napa, Moment, Switche

Určitě si přečtěte

Facebook o nás ví vše. Díky dobře skrytému vyhledávači se to dozví i ostatní

Facebook o nás ví vše. Díky dobře skrytému vyhledávači se to dozví i ostatní

** Facebook o nás ví vše, protože mu to sami řekneme ** V jeho nitru se skrývá mocný vyhledávač ** Mohou jej zneužít stalkeři, sociální inženýři a další nezbedníci

16.  2.  2017 | Jakub Čížek | 76

Vybíráte herní periferii nebo hardware? Pak zapomeňte na nálepku Gaming

Vybíráte herní periferii nebo hardware? Pak zapomeňte na nálepku Gaming

** Herní hardware se od toho běžného často liší jen vzhledem ** Při výběru stále nezapomínejte na základní parametry ** Poradíme jak vybrat herní hardware i periferie

Včera | Stanislav Janů | 28

Pojďme programovat elektroniku: Žádný bastlíř se neobejde bez armády švábů

Pojďme programovat elektroniku: Žádný bastlíř se neobejde bez armády švábů

** Každý bastlíř se po čase neobjede bez armády švábů ** Dnes si některé z nich vyzkoušíme ** Třeba zázračný posuvný registr

19.  2.  2017 | Jakub Čížek | 36


Aktuální číslo časopisu Computer

Stavba 3D tiskárny

Výbava domácí elektrodílničky

Budoucnost 5G sítí

Velké testy microSD karet a vodních chladičů

Přehled mobilních tarifů

reklama
reklama