Lantranet [dot] com

bloggin' like a Professional

  • Navigator

    open all | close all
  • Kategorien

  • Neueste Beiträge

NPS & NAP

Rolle:     NPS    Network Protection Server

bestehend aus:

RADIUS  (Remote Authentication Dial-In User Service)
– WLAN 802.1x Authentifizierung)
–  VPN Client Zugriff

„NPS“ (Network Policy Services)   – „Richtlinien“
Client Integritätsprüfung
– Richtlinien

NAP (Network Access Protection)   – „Netzwerkzugriffschutz“
Client Integritätsprüfung
– zulassen
– verweigern
– bedingten Zugriff statten

Punkt 1-4 Grundsatzfunktionen (Arten) von NAP-Erzwingungspunkten:

  1. IPSec-Verbindungs (-sicherheit / – erzwingungspunkt)
    –          NAP Client muss Integritätsprüfung bestehen bevor ein Integritätszertifikat ausgestellt wird
    –          Ohne Zertifikat keine Verbindung zum IPSec geschützten Host
    –          NAP-Erzwingung auf einzelne IP-Adressen oder Ports
    –          Windows 2008 Zertifikatsinfrastruktur notwendig
  2. 802.1x Erzwingungspunkt
    –          Ethernet Switches oder WLAN-AP’s mit 802.1x notwendigso konfigurierbar, dass per ACL (Access Control List) oder per VLAN authentifiziert wird

    per ACL: inkompatible Computer können nicht mit anderen inkompatiblen Computern kommunizieren (also gar nicht mehr), damit man zum Beispiel verhindert, dass sich ein Wurm sogar im Quarantäne Netzwerk „ausdehnt“.

    per VLAN: zB. auf einem managed Switch (Layer3)

    Port 1-8 = VLAN1, Port 9-17 = VLAN2, Port 18-24 = VLAN3.

    per „System State of  Health“ und „System State of  Health Response“ werden die Clients automatisch vom L3-managed Switch zwischen den VLANs verschoben je nachdem ob er zB verschieden Updates installiert hat oder nicht.

  3. VPN Erzwingungspunkt
    – VPN Server mit Win2008
  4. DHCP-Erzwingungspunkt
    – Server 2008 & DHCP-Server & NPS-Server
    – Inkompatible Computer erhalten IP Adressen mit SM/32 ohne Gateway
    – zusätzlich eine Liste von Hostrouten um Ressourcen in der Wartungsservergruppe zu erreichen

NAP-Integritätsprüfung – technische Funktion:

  • Systemintegritätsagent
    system health agent = SHA (=Clientkomponente)SHA stellt ein SOH (Statement of Health) aus  (wie Gesundheitszeugnis)
    -nur unter Server2008, Vista und XP mit SP3
  • Systemintegritätsprüfung
    system health validator =SHV (=Serverkomponente)
    SHV analysiert das SOH, das von SHA generiert wurde, und stellt als Antwort dann ein
    SOHR (statement of health response) aus.

    Der NAP Integritätsrichlinienserver stellt aufgrund des SOHR’s fest, welche Zugriffsebene der Client erhält und ob Wartung notwendig ist. (=>eventuell Quarantänenetzwerk)

Ablauf eines NAP-Verbindungsprozesses:

  1. NAP-Client stellt Verbindung zu einem NAP Netzwerk her.
  2. Jeder SHA auf dem NAP-Client (einer für jeden zu überprüfenden Systemzweig) prüft seine Systemintegrität und erstellt ein SOH.
    Alle SOH’s werden zu einem SSOH (System Statement of Health) zusammengefasst.
  3. NAP-Client sendet das SSOH über den NAP Erzwingungspunkt an den NAP-Integritätsrichtlinienserver
  4. Der  NAP-Integritätsrichtlinienserver entscheidet mit Hilfe der installierten SHV’s, ob der NAP-Client die Integritätsanforderungen erfüllt.
    Jeder SHV erstellt ein SOHR, dass Wartungsanweisungen enthalten kann.
  5. NAP-Server fasst alle SOHR’s zu einem SSOHR zusammen
  6. SSOHR wird über den NAP Erzwingungspunkt an den NAP-Client gesendet.
    NAP Erzwingungspunkt verbindet den Client mit dem für ihn vorgesehenen Netzwerk
  7. Jeder SHA auf dem Client-PC verarbeitet das für ihn ausgestellt SOHR
    Client versucht die geforderten Systemintegritätsrichlinien zu erfüllen.
  8. Wenn die Anforderungen erfüllt sind, beginnt das Ganze von vorne.