Network Access Protection – 1 –
Merhaba,
Bugün sizlere Network Access Protection (NAP) hakkında bilgi vermek istiyorum. NAP içerik olarak çok detaylı bir konu olduğundan, öncelikle genel anlamda NAP´ın ne olduğu, ne ise yaradığı hakkında bilgi vereceğim. NAP´ın detaylarını daha sonra ayrıca sizlerle paylaşıyor olacağım.
Network Access Protection (NAP) nedir?
NAP kısaca, “healthy” yani “sağlıklı” olduğuna dair elinde bir rapor olan Client´ın sisteme giriş izni veren sistem komponentleri platformudur. NAP sizin ortamınıza göre özeleştirilmiş sağlık politikaları ile Client´lara ağ erişim izini vermeden, client´ın sağlık durumunu kontrol eder. Sağlık durumu kontrolünden sonra , Client´ın „non-compliant“ veya „unhealthy“ yani sağlıksız bulunması durumdan Client ya Network´e alınmaz yada yalnızca belli sunuculara ulaşabileceği bir Network´e yönlendirilir.
Client´in sağlıksız durumdan tekrar sağlıklı duruma geçebilmesi için kullanılan komponent “Remediation Server” yani “İyileştirme Sunucusu” dur. Remediation Server, Client’ın tekrar sağlıklı olabilmesi için gerekli olan yama, güncelleme vs. gibi dosyaları sunmakla görevlidir.
NAP ´i kullanabilmeniz için minimum 1 adet Windows Server 2008 veya Windows Server 2008 R2 kurmanız gerekmektedir. Bununla birlikte sadece aşağıdaki İşletim sistemleri NAP Client olarak çalışabilir:
Windows Vista
Windows XP SP3 (SP3 öncesi NAP desteklenmiyor)
Windows Server 2008/2008R2
Windows 7
NAP´ın 4 adet ana fonksiyonu var:
“Health Policy Validation” yani “Sağlık politikalarının onaylanması”
Kullanıcı Network´e bağlanmak istediğinde, kullanıcının sisteminin sağlık durumu kontrol edilir ve sistem tarafından tanımlanmış sağlık politikalarına uyup, uymadığına bakılır. Sağlık politikalarına uygun sistemler “healthy” yani sağlıklı olarak kabul edilir ve Sağlık politikalarına uymayan sistemler “unhealthy” yani sağlıksız olarak kabul edilir. NAP sistem yöneticilerinin , “sağlıksız” bir sistem hakkında ne yapılması gerektiğini ayarlamasına imkân verir.
“Network Access Restriction” yani “Network erişim kısıtlaması”
Sağlık politikalarının onaylanmasından sonra, NAP sağlıksız bir sistemin Network’e bağlanmasına izin vermek, Network’e bağlanmasını engellemek ve ya, network bağlantısında kısıtlamalar uygulamak için kullanılabilir.
“Health Policy Compliance” yani “Sağlık politikası Uyumluluğu”
NAP, sistem adminlerinin “sağlıksız” bir sisteme yazılım güncellemelerini sunarak, sistemlerin sağlık politikalarına uygun olmasını sağlar. Bunu yapmak için NAP Network Management Software tarzı yazılımları kullanır, örneğin Microsoft® Systems Management Server.
“Remediation” yani “ “İyileştirme”
Eğer bir sistem “noncompliant” yani sağlıksız olarak bulunursa, Network’e erişimi engellenebilir ve ayrı bir network segment´ine yönlendirilerek kısıtlandırma yapılabilir. Bununla birlikte bu sistemi bir “Remediation Server” Yani “İyileştirme Sunucusuna” yönlendirerek, sistemin “sağlıklı” olabilmesi için gerekli güncelleme, yama vs. alması sağlanabilir.
NAP Uygulama Şekilleri:
NAP´in Network´e erişim sağlamak isteyen Sistemleri algılaması ve bunu sürekli izlemesi, NAP´ın uygulama şekillerine göre değişir.
Su ana kadar Windows Server 2008 ve Windows Server 2008R2 da 5 tane farklı NAP Uygulama şekli mevcut. Bunların her biri standart protokol ve network erişim mekanizmaları tabanlı çalışır. NAP´ın uygulama şekilleri su şekildedir:
· DHCP
· IPsec
· VPN
· 802.1x
· Terminal Server Gateway
Bu uygulama şekillerini daha sonraki makalelerde detaylıca anlatmayı planlıyorum.
NAP ne yapmaz?
Network Access Protection sizi kötü niyetli bir kullanıcıdan korumak için Design edilmedi. NAP sistem adminlerinin Network’e bağlı olan sistemlerin “sağlıklı” olmasına yardım edilmek için Design edildi. Bu şekilde Network´ünüzün bütünlüğünü koruyabilirsiniz.
Örneğin, bir sistemin sağlık politikalarına uygun bütün yazılımları ve konfigürasyonları mevcutsa, bu sistem „compliant“ yani sağlıklı olarak kabul edilir ve Network’e bağlanmasına izin verilir.
Network´e bağlanan bu sistemin kullanıcısı, kötü niyetli biriyse, onun network içerisinde hareketlerini NAP herhangi bir şekilde kısıtlamaz. Kısaca, bu kullanıcı sistemlere virüs, trojan tarzı zararlı yazılımlar yükleyebilir.
Bir sonraki makalede, NAP in Client ve Server komponentleri ve uygulama metotları hakkında yazmayı planlıyorum.
Teşekkürler,