Windows 2008 Security aided by NAP and IPSEC

12 ביוני 2008

אין תגובות

NAP או
Network Access
Protection
היא טכנולוגיה המאפשרת הגנה על הרשת הארגונית
באמצעות שרתי
Windows
2008
, למעשה זהו שם מייקרוסופטי למוצר NAC.

 ההגנה
על הרשת מתבצעת על בסיס "בריאות" (
SSoH – system statement of health) המחשבים
המתחברים לרשת, דהיינו ניתן לקבוע כי רק מחשבים העומדים במדיניות שנקבעה יוכלו
להתחבר לרשת הארגונית. טכנולוגיה זו מונעת התחברת לרשת הארגון ובכך מצמצמת את
הסיכון להכנסת תחנות בעיתיות העלולות להכיל וירוסים,
Malwares וכו'.

תחנות העבודה הנתמכות בטכנולוגיה זו הן Windows Vista ו – Windows XP SP3.

ההתחברות ל – NAP מתאפשרת באמצעות
הטכנולוגיות הבאות:

1. הזדהות באמצעות 802.1x

2.  גישה ב – VPN

3.  הגדרות DHCP

4. חיבור ל – TS Gateway (חדש ב – Windows 2008).

5. IPsec.

 

NAP מאפשר כניסה לרשת
באמצעות אכיפת "בריאות", אך ישנו תסריט העלול לפגוע בכל זאת ברשת.

ניתן לבצע התקפת Man in the middle) MITM) באופן הבא:

ניתן להכנס עם מחשב בין ה – NAP Client לבין ה – NAP Server (יותר נכון להגיד – HRA, יוסבר בהמשך) . לאחר שהתחנה נמצאה "בריאה" שרת ה – NAP מפנה את תחנת הקצה
לסגמנט
IP
שברשת הארגונית. התוקף הנמצא באמצע מאזין לכל התעבורה ואינו מזוהה כלל ברשת. כעת
ניתן לבצע מגוון פעילויות כגון
MAC\IP Spoofing ולעבוד ברשת במקום התחנה המורשית
או במקום שרת ובכך לגרום לנזקים יותר גדולים. להתקפה זו קיים פתרון והוא שימוש
בפרוטוקול
IPsec המובנה ב – Windows 2000 ומעלה.

 

ה – NAP בשילוב עם IPsec מחייב שני
מרכיבים:
Health Registration Authority) HRA) ו
Enforcement Client) IPsec NAP EC).

ה – HRA הוא שרת המריץ Windows 2008 ו – IIS המבקש תעודות מסוג X.509 (סטנדרט הקובע את סוג המידע שתכיל התעודה) משרת ה – Certificate Authority) CA) עבור לקוח ה – NAP כאשר שרת ה – NAP האחראי על
המדיניות (
Health
Policy Server
) קובע כי הלקוח מתאים למדיניותו.

ה – NAP Clients משתמשים בתעודות "הבריאות" (Health Certificates)
שניתנו להם משרת ה –
CA
למטרת הזדהות ב –
IPsec מול שאר הארגון. חשוב לציין כי במידה והמחשב אינו
עומד במדיניות הארגון תוך כדי העבודה התעודה תמחק ולא תהיה למחשב זה גישה לרשת
הארגונית.

ה – IPSec NAP EC הוא רכיב 
מתוך החבילה הכוללת של ה –
NAP Agent המותקן על ה – Client.

 

איך לקוח מקבל תעודה?

להלן שרטוט המועיל בהבנת מקום הימצאות השרתים שיוסברו
(השרטוט נועד להדגמה בלבד):

1. כאשר מחשב מאותחל ה – Firewall שלו נדלק ואינו מאפשר
חריגות במטרה שלא יתחברו אליו מחשבים זדוניים תוך כדי התחברות לרשת הארגונית.

2. ה – NAP Client מושך קונפיגורציות IP המשייכות את הלקוח לרשת המוגבלת
(
Restricted Network).

3. ה – IPsec NAP EC שולח ב – HTTP over SSL את נתוניו, בקשה לתעודה,
ומצב בריאותו (
SSoH) ל – HRA.

4. ה – HRA מעביר את ה – SSoH (מצב הבריאות) לשרת
האחראי על מדיניות ה"בריאות" (
NAP Health Policy Server).

5. השירות NPS בשרת ה – Health
Policy Server
מעביר את הבקשה לשרת ניהול ה- NAP (NAP Admin Server).

6. שרת ניהול ה – NAP מפרק את מצב הבריאות
הכללי הנשלח (
SSoH) לתתי קטגוריות (SoH) ומעביר אותם לבדיקת
המדיניות המתאימים להם מול ה –
SHV's שלהם.

לדוגמא: System Statement of Health) SSoH) מכיל את מצב הבריאות
הכללי המורכב מאנטי וירוס ו –
Firewall.

האנטי וירוס וה – Firewall בנפרד מכילים את
מצב בריאותם הנקרא
Statement of Health) SoH.)

בכדי לבדוק את מצבי ה"בריאות" נדרש רכיב System Health Validator) SHV)
לכל
SoH.

7. לאחר שכל SHV בודק האם ה – Client עומד במדיניות מועברת תגובה לשרת ניהול ה- NAP המכילה אישור או
דחייה לקבלת גישה לרשת. התגובה נקראת
Statement of Health Response) SoHR).

8. שרת ניהול ה – NAP מעביר את הבקשות לשירות
ה –
NPS,
אשר בודק את אישור
/דחיית
הגישה לרשת
(SoHR) מול המדיניות שנקבעה בשרת ה – Health Requirement.

הערה: ה – Health Requirement מכיל את העדכונים הנדרשים בפועל,
לדוגמא קובץ חתימות עדכני. ה –
SHV אינו חייב להכיל את ההגדרות העדכניות וניתן להגדירו כך שיפנה
לבדיקה ב –
Health
Requirement Server
.

כתוצאה מהבדיקה נוצרת תגובת "בריאות" כללית
הנקראת
SSoHR (System State of Health Response).

9.  ה – SSoHR
נשלח ל –
HRA.

10. ה – HRA שולח את התגובה ל – IPsec NAP EC אשר מועברת לרכיב ב – NAP Agent האחראי על וידוא "בריאות"
המחשב הנקרא
System Health Authority) SHA).

11. אם ה – NAP Client נמצא מתאים לדרישות, ה – HRA מבקש תעודה משרת ה – CA ושולח אותה ל – NAP Client. אם אינו נמצא מתאים
ננקטות פעולות לפי המדיניות שנקבעה בסעיף 8, בכדי להחלים ניתן לשרת
ה"החלמה" (
Remediation
Server
).

 

הערה: במידה וה – SoH משתנה השלבים 3 עד 11
חוזרים על עצמם.

 

לסיכום, ניתן ליישם NAP בגישה בין שרתים
בודדים, בגישה מרחוק לרשת ובמצבים טובים (אני אופטימי) גם בכלל הארגון. השיקולים
הם אינם אבטחתיים אלא תפעוליים.

חשוב להזכיר כי ה – NAP מובנה בשרתי Windows 2008 ואין צורך לרכוש אותו
בנפרד – יתרון לטובת
Microsoft.
ומכיוון שהינו כלי שמובנה במערכות ההפעלה החדשות ניתן לנהלו באמצעות
GPO, דבר המקל על פריסת המוצר.

 

 

———————————————–

Nir Valtman

Information Security Consultant

www.avnet.co.il

———————————————-

 

הוסף תגובה
facebook linkedin twitter email

כתיבת תגובה

האימייל לא יוצג באתר. שדות החובה מסומנים *