Network Access Protection (NAP) Components

NAP, istemci tarafında ağ bağlantısı için sağlık kontrolü yapan bir teknolojidir. Windows Vista ve sonraki işletim sistemlerinde bütünleşik olarak çalışmaktadır. Temel olarak bu sağlık kontrolündeki başlıklar; yazılım gereksinimleri, güvenlik yamaları gereksinimleri ve gerekli olan bir takım bilgisayar ayaları olarak özetlenebilir.

Eğer bir istemci belirtilen kurallara göre sağlıklı değil ise ağ erişimi sınırlanır ve buna ekl olarak remediation dediğimiz bu bilgisayarın ne yaparsa sağlıklı kabul edileceğine dair yönlendirmelerde sunabilir.

NAP aslında tek başına bunu yapan bir hizmet değildir. NAP altında sunucu ve istemci bileşenleri olmak üzere iki başlık altında alt özellikler sunmaktadır.

İstemci Bileşenleri

Statement of health (SoH)

İstemci bilgisayarın sağlık durum beyanı anlamına gelir. Yani mevcut durumu için bir rapor olarak özetlenebilir. Bu raporu System health agents (SHAs) çıkarır ve NPS sunucusu üzerinde ilişkili olduğu bir system health validator (SHV) bileşenine gönderir.

System health agent (SHA)

İstemci bilgisayarın durumunu kontrol eden bir bileşendir. Bu bileşen Windows Security Health Agent (WSHA) tarafından sağlanan bilgileri NPS sunucusu tarafında ilişkili olduğu System health validators (SHVs) bileşenine göndermekten sorumludur.

Windows Security Health Agent (WSHA), Windows XP SP3 ve sonrası işletim sistemlerinde aşağıdaki bileşenlerin durumunu kontrol eden bir ajandır

  • Firewall
  • Virus Protection – Yüklümü? – Açık mı? – Güncel mi?
  • Spyware Protection – Yüklümü? – Açık mı? – Güncel mi?
  • Automatic Updating – Servis Çalışıyor mu?
  • Security Update Protection – Güncel güvenlik yamaları yüklü mü?

 

NAP Agent

İstemci tarafında çalışan ve istemcinin sağlık bilgisini toplayıp NAP sunucusuna raporlayan servistir. WSHA bu servis ile konuşur. Temel olarak farklı ajanlardan aldığı sağlık bilgilerini düzenler ve raporlar. Farklı dememizin sebebi, pek çok farklı üretici de Microsoft NAP mimarisi ile uyumlu ajanlar yazmakta ve bunun üzerinden bilgi toplanabilmektedir.

Enforcement client

DHCP, VPN ve IPSec gibi network erişim ile ilgili olan istemci yazılımlarıdır. Eğer NAP kullanmak istiyorsanız en az bir tane enforcement client yüklü olması gereklidir. NPS üzerinde her bir bağlantı yöntemi için ( Network giriş yöntemi ) farklı policy tanımlayabilirsiniz ( DHCP, VPN, IPsec, Terminal Services Gateway (TS Gateway), Extensible Authentication Protocol (EAP), Wireless vb )

Sunucu Bileşenleri

Remediation server

Güvenlik politikalarına uygun olmayan istemci makinelerin güvenlik politikalarına uymasını sağlayacak sunuculardır. Örneğin NAP uygulamasına geçtiniz ve bir GPO ile tüm istemci makinelerdeki NAP Client servisinin çalışmasını istiyorsunuz.

Bu servisi başlatmalıyız ki istemci tarafında bir sağlık raporu oluşsun ve iletilsin. Bu sağlık raporu uygun da çıkabilir uygun değil de ama önemli olan bu servisin çalışması ve raporun bir şekilde NPS sunucusuna iletilmesidir. Veya başka bir örnek, bu servisi çalışan ancak birkaç haftadır kurum dışında olduğu için Anti Virus ürünü güncel olmayan bir makineyi düşünün. Her iki senaryo da da bilgisayar network’ e dahil olamayacağı için ne DC ile konuşup güncel policyleri alır nede anti virus sunucusundan yeni veri tabanını. Remediation server işte tam bu noktada devreye giriyor. NPS üzerinde IPSec, DHCP, VPN veya hangi erişim için kural yazdıysanız üzerinde aşağıdaki gibi Remediation server olarak Domain Controller, Anti Virus Server gibi sağlıklı duruma geçmek için erişmesi gereken sunucuları tanımlıyorsunuz.

 

System health validators (SHVs)

İstemci tarafında çalışan SHA agent’ in bilgi verdiği ve ilişkili olduğu NAP’ ın sunucu bileşenlerinden biridir. Her bir SHA agent NPS sunucusu tarafında bağımsız bir SHV ile konuşur. NPS, SHV bileşenini istemci makinelerin sağlık durumunu kontrol için kullanır. SHA tarafından gönderilen statement of health (SoH) yani istemcinin sağlık bilgisinde policy ile uyumsuz bir durum olursa eğer SHV, SHA ajanına statement of health response (SoHR) mesajı gönderir.

Aşağıdaki şekli incelediğiniz zaman System Health Validators altında bir tane bütünleşik gelen “Windows Security Health Validator görebiliyoruz.

NPS üzerinde korunan ağlar yani networkler birden çok SHV ye sahip olabilirler. Böyle bir durumda NPS server tüm SHV çıktılarını koordine etmekten sorumludur. Bu nedenle health policy tanımlarken dikkatli olmamız gereklidir. Aksi halde erişim sorunları yaşayabiliriz.

Örneğin bir önceki resim içerisinden Windows Security Health Validator seçersek bir den çok policy elementi ( Default, DHCP, IPSec vb ) tanımlayabildiğimizi görebiliyoruz.

Health policies

Öncelikle SHV ile yaptığınız ayarları bir sağlık policy’ ye bağlayarak network koruması sağlayabilirsiniz.

System Health Validators kısmında ayarları yaptıktan sonra bunu bir Health Policy ye bağlayabilirsiniz.

Eğer birden çok SHV tanımlı ise hepsinin uygun olması veya diğer seçenekleri seçebilirsiniz

 

Statement of health response (SoHR)

Bir bilgisayar erişmek istediği network için kullandığı erişim yöntemi ( DHCP, EAP, IPSec vb ) bir policy ile korunuyor ve bu policy de bir veya birden çok SHV ile denetleniyor ise, istemci makine bu SHV kurallarına uygun olmalıdır. Yani Firewall, anti virus, anti spam vb gereksinimleri yerine getirmeli. Eğer yerine getiremiyor ise SHV tarafından o istemcide çalışan SHA ajanına bir SoHR mesajı – raporu gönderilir. Bu rapor temel olarak istemcinin uygun olmadığını ve bunun nasıl uygun yani compliant olabileceğinin bilgisini sunmaktadır. Her bilgisayarın durumuna göre farklı bilgiler içerebilmektedir. Yani kimi sadece firewall açmalı iken kimi bilgisayar da hem firewall açılmalı hem de AV virus veri tabanı güncellenmeli durumu oluşabilir.

 

 

 

Kavramlar

Windows Security Health Agent (WSHA)

Windows XP SP3 ve sonrası işletim sistemlerinde “Windows Securtiy Center” durum bilgisini takip edip bunu aynı bilgisayardaki Network Access Protection Client servisine bildiren bir ajandır. Varsayılan olarak NAP Client ile birlikte çalışır. Topladığı sağlık bilgisini NAP Agent servisine verir. Ek olarak sağlık taramasından geçemeyen yani NAP için uygun bir güvenlik – sağlık durumuna sahip olmayan bilgisayarlar için “Remediation” yani iyileştirme özelliği sunabilir. Eğer NPS üzerindeki ilgili Network Access Protection NAP Policy içerisinde “Automatic remediation tanımlu ise Windows Security Health Agent WSHA istemci ayarlarını istenilen ayarlara getirmeyi dener.

WSHA, Windows Server Update servis üzerinden güncel yama ve durum bilgisini alır.

Windows Security Health Validator (WSHV)

NAP senaryosunda ağ erişimi için gerekli olan ayarları temsil eder.

Yukarıdaki şekilde de görüldüğü gibi temel olarak NAP senaryosunda ağ erişimi yapacak sistemin sağlıklı olup olmadığına buradaki ayarlar üzerinden karar vermekteyiz.