NAP ve Windows Serveru 2008 neboli síťová karanténa

(placená inzerce) Technologie síťové karantény, kterou najdete v operačním systému Windows Server 2008, účinně chrání interní prostředí před zavlečením softwarových virů a červů.
NAP ve Windows Serveru 2008 neboli síťová karanténa

Jde o klasický problém. Vaše síť může být sebelépe zabezpečena proti útokům zvenčí, a přesto se může stát, že vám najednou začnou vypovídat jednotlivé servery, a než se stačíte rozkoukat, divíte se, jak je možné, že všechny vaše počítače jsou nakaženy záhadným virem/červem, který se zničehonic objevil ve vaší síti. Jak se to mohlo stát? Firewall vás přece chrání před útoky zvenčí a na všech e-mailových systémech také máte vše zabezpečeno. Jak je to tedy možné? Odpověď je velmi jednoduchá. Problém do vaší sítě byl zavlečen nějakým přenosným zařízením. A bohužel to ani nemusel způsobit zákeřný útočník, ale klidně jeden z vašich neopatrných zaměstnanců, který navíc nemá o ničem ani ponětí. Popišme si tedy některé ze situací, které se mohly stát, ať máme představu, čemu přesně čelíme…

Typickým příkladem, který může nastat, je uživatel, který fyzicky odnáší nějaká zařízení z vaší interní sítě, používá je mimo ni a následně se s nimi vrací zpět. Tedy typicky notebooky. Pokud je totiž přenosný počítač mimo vaši síť a tím pádem i bez vaší ochrany, může se stát, a to úmyslně i neúmyslně, že bude napaden. No a v momentě, kdy je tento útok úspěšný, může tuto nákazu dále šířit kolem sebe na všechny strany. A v tomto psychologickém momentě je právě skryt celý problém. Nikdo vašemu zaměstnanci nebrání v tom, aby svůj, resp. firemní, laptop zapojit do vaší interní sítě. Vždyť je to přece někdo, koho důvěrně známe a automaticky tak předpokládáme, že je s ním vše v naprostém pořádku... Totéž se může stát, pokud za vámi přijde do práce váš kamarád, který potřebuje jen na moment něco vyřídit na internetu, a vy mu umožníte se jen na krátkou chviličku připojit přes vaši síť tam, kam potřebuje. Vždyť se přece nemůže nic stát. Ale může… Většině správců dodnes běhá mráz po zádech v momentě, kdy zazní slova jako „I Love You“, „Code Red“ anebo „Slammer“.

A právě v podobných chvílích oceníte technologii Network Access Protection (dále jen „NAP“). Jde o řešení zdraví sítě, tedy řešení, které si neklade za cíl síť zabezpečit, ale udržet ji zdravou. Podívejme se na to, co nám NAP nabízí a především jakým způsobem řeší síťovou karanténu.

Klepněte pro větší obrázek
Jak funguje NAP

V první řadě je nutno říci, že jde o řešení na bázi politik. V praxi to znamená, že správce přesně definuje kritéria, kterým musí klientské počítače připojené do sítě vyhovovat, a ta se potom aplikují na připojené klientské stanice ve chvíli, kdy se snaží do chráněné sítě připojit. Jak to funguje? Když uživatel, návštěva či kdokoli jiný přijdou do práce a zapnou počítač, dojde ve chvíli připojení ke komunikaci mezi klientem a serverem. NAP agent hlásí stav daného počítače na NAP server a ten porovnává přijaté parametry s jednotlivými kritérii, která definoval správce. Ve chvíli, kdy tato kritéria souhlasí, je stanice označena za bezpečnou a je připojena do sítě. Jenže to není všechno...

Každý počítač s NAP agentem zároveň v reálném čase sleduje svůj stav, a jakmile dojde ke změně v nastavení, která není v souladu s politikou, je schopen přijmout, opět předem definovaná opatření, aby síť ochránil. Ať už jde o odpojení počítače ze sítě, či o nápravu situace. Jde tedy o konstantní monitoring zdraví dané stanice.

A tím se dostáváme k situaci, kdy počítač nevyhovuje daným politikám. Co se stane? Protože svět není černobílý, může správce definovat samozřejmě více možností, jak k těmto stanicím přistupovat. Může je odpojit od sítě a tím je izolovat. Anebo je může také „vyléčit“ a přesměrovat je na servery, kde jsou uloženy opravné mechanismy. Může jít například o aktualizační balíčky, data antiviru, sady nastavení apod. Jakmile je posléze stanice opravena, proběhne znovu kontrola stavu a posléze je připojena zpět do sítě.

Z předchozích odstavců zcela jasně vyplývá architektura a technické řešení NAP technologie. Co zde však musí v každém případě zaznít, je několik dalších a klíčových charakteristik NAP, které musíte znát:

  • Veškeré požadované technologie jsou již vestavěny do Windows Serveru 2008, Windows Visty a především Windows XP SP3. To znamená, že drtivá většina dnešních klientských stanic plně vyhovuje a bude spolupracovat s technologií NAP.
  • Jde o řešení založené na mezinárodně uznávaných standardech, a tudíž nejde o proprietární systém. Navíc je tím pádem zaručeno, že funguje s většinou standardních síťových zařízení (switche, routery apod.).
  • Technologie NAP nepotřebuje žádné další licence (CAL), postačí pouze licence serverová. Nemusíte tedy kalkulovat investice ani utrácet další prostředky.
  • Služba NAP, někdy nazývaná NAP agent, běží na klientských počítačích a je spravovatelná za pomoci skupinových politik. Správce tedy může mít plnou kontrolu nad nastavením klientské části technologie NAP.
  • V současné chvíli není k dispozici NAP služba pro Windows Server 2003.
Klepněte pro větší obrázek
Partneři NAP

Je už samozřejmě na každém z nás, aby zvážil možnosti nasazení a konfigurace ve svém vlastním prostředí. Nicméně zde jasně vidíte, že se Windows Server 2008 snaží poskytnout svému administrátorovi co největší možnosti ochrany interní sítě. Ať už jde o vestavěný firewall, či o podporu šifrování spojení (IPSEC), nebo právě popsanou technologii Network Access Protection. Věřím tomu, že vhodnou kombinací všech zmíněných služeb a nastavení lze dosáhnout správcovské nirvány. Jinými slovy zdravé a funkční sítě.

Více informací o technologii NAP

Martin Pavlis (martin@pavlis.net) – Microsoft MVP

 

Články ze série Microsoft TechNet nevytváří redakce Živě.cz, ale partneři programu Microsoft TechNet. Jsou publikovány v rámci mediálního partnerství Živě.cz a společnosti Microsoft.

Témata článku: Napa, Moment, Switche

Určitě si přečtěte

Pojďme programovat elektroniku: Postavíme si titěrnou Wi-Fi meteostanici s lepším teploměrem než Netatmo

Pojďme programovat elektroniku: Postavíme si titěrnou Wi-Fi meteostanici s lepším teploměrem než Netatmo

** Dnes se podíváme na maličkou Wi-Fi destičku Wemos D1 mini ** A připojíme k ní barometrický a teplotní shield ** Poběží na ní web a nabídne i JSON API

18.  6.  2017 | Jakub Čížek | 27

Jak vybrat monitor k počítači: nenechte se zlákat nepodstatnými parametry

Jak vybrat monitor k počítači: nenechte se zlákat nepodstatnými parametry

** Na jaké parametry se zaměřit a kde vás výrobci chtějí nachytat ** Monitory se stále více specifikují pro konkrétní určení ** Náročný hráč nebo profesionální grafik mají různé požadavky

20.  6.  2017 | Tomáš Holčík | 31

Dlouhodobý test HTC Vive: co vám recenze o virtuální realitě neřeknou

Dlouhodobý test HTC Vive: co vám recenze o virtuální realitě neřeknou

** Ani hry se sebelepší grafikou vás nevtáhnou tolik, jako ve virtuální realitě ** Pro sledování filmů není VR ani zdaleka ideální ** I první generace je skvělá, stále však působí jako prototyp

20.  6.  2017 | Stanislav Janů | 19

Jak unikají informace o nových iPhonech? Třeba podprsenkami čínských pracovnic

Jak unikají informace o nových iPhonech? Třeba podprsenkami čínských pracovnic

** Na černém trhu mohou zaměstnanci továren za kradené součástky inkasovat částku ve výši ročního platu ** Velké množství informací je vyneseno i z centrály Applu ** Díly jsou pašovány v botách, podprsenkách i odpadem

21.  6.  2017 | Stanislav Janů | 20


Aktuální číslo časopisu Computer

Bojujeme proti Fake News

Dva velké testy: fotoaparáty a NASy

Co musíte vědět o změně evropského roamingu

Radíme s výběrem základní desky