Prezentace se nahrává, počkejte prosím

Prezentace se nahrává, počkejte prosím

Security hardening IV NAP a karantény Jiří Hýzler, MCT, MVP OKsystem s.r.o. 22/05/08.

Podobné prezentace


Prezentace na téma: "Security hardening IV NAP a karantény Jiří Hýzler, MCT, MVP OKsystem s.r.o. 22/05/08."— Transkript prezentace:

1 Security hardening IV NAP a karantény Jiří Hýzler, MCT, MVP OKsystem s.r.o. 22/05/08

2 O čem bude seminář Dnes se podíváme Network Access Protection (NAP) technologii, představenou ve Windows Server 2008: Architektura a komponenty NAP Fungování NAP v souvislosti s přidělováním adres z DHCP serveru, pro VPN připojení, fungování NAP na počítačích využívající IPSec komunikaci, fungování NAP pro IEEE 802.1X autentizovaná připojení Demo ukázky NAP EC enforcement a konfigurace NPS připomenutí VPN Network Access Quarantine Control co je nového / odstraněno v RRAS ve Windows Server 2008 Diskuse

3 Proč používat Network Access Protection? Private Network Unhealthy computer Healthy computer

4 Scenario 1: Notebooky vašich zaměstnanců NAP

5 Scenario 2: Pracovní stanice v lokální síti Network Policy Server

6 Scenario 3: Notebooky návštěv, zákazníků,... Network Policy Server

7 Scenario 4: Nespravované domácí počítače

8 Komponenty NAP

9 Komunikace v NAP

10 Komponenty Network Protection Services Network Policy Server (NPS) Network Access Protection (NAP) Policy Server IEEE Wireless IEEE Wired RADIUS Server RADIUS Proxy Routing and Remote Access  Remote Access Service  Routing Health Registration Authority (HRA)

11 NAP Architektura MS Network Policy Server Quarantine Server (QS) Client Quarantine Agent (QA) Updates Health Statements Network Access Requests System Health Servers Remediation Servers Health Certificate Network Access Devices and Servers System Health Agent (SHA) MS and 3rd Parties System Health Validator Enforcement Client (EC) (DHCP, IPSec, 802.1X, VPN) Health policy

12 According to policy, the client is not up to date. Quarantine client, request it to update. Should this client be restricted based on its health? Network Layer Protection s NAP Requesting access. Here’s my new health status. MS NPS Client 802.1x Switch Remediation Servers May I have access? Here’s my current health status. Ongoing policy updates to Network Policy Server You are given restricted access until fix-up. Can I have updates? Here you go. Restricted Network Client is granted access to full intranet. System Health Servers According to policy, the client is up to date. Grant access.

13 NAP – Enforcement Options Restricted VLANFull access802.1X Healthy peers reject connection requests from unhealthy systems Can communicate with any trusted peer Complements layer 2 protection Works with existing servers and infrastructure Offers flexible isolation IPsec Restricted VLANFull accessVPN Restricted set of routesFull IP address given, full access DHCP Unhealthy ClientHealthy ClientEnforcement

14 Host Layer Protection s NAP Accessing the network X Remediation Server NPS HRA May I have a health certificate? Here’s my SoH. Client ok? No. Needs fix-up. You don’t get a health certificate. Go fix up. I need updates. Here you go. Here’s your health certificate. Yes. Issue health certificate. Client No Policy Authentication Optional Authentication Required Accessing the network X Remediation Server NPS HRA Client No Policy Authentication Optional Authentication Required

15 IPsec enforcement Secure network Boundary network Restricted network IPsec Authenticated Unauthenticated

16 NAP s DHCP NPS Server DHCP Server Requesting access. Here’s my new health status. The client requests and receives updates I need to Lease an IP address You are not within the Health Policy requirements Access Granted. Here is your new IP Address VPN Server Client IEEE 802.1X Devices Remediation Servers

17

18 NAP s RRAS (VPN) VPN Server Remediation Servers RADIUS Messages PEAP Messages Client NPS Server

19

20 VPN Quarantine Control - připomenutí VPN Quarantine Control: Umožňuje provést inspekci VPN klientských počítačů ještě před tím než jim umožníte přistupovat do firemní sítě Používá klientské skripty pro analýzu bezpečnostní konfigurace vzdáleného klienta – během této doby se klient nachází ve VPN Quarantine network, která může mít omezený přístup k firemním prostředkům Po ověřění bezpečnostní konfigurace se VPN klient připojený k VPN serveru se přesune z VPN Quarantine network do VPN Clients network Umožňuje provést inspekci VPN klientských počítačů ještě před tím než jim umožníte přistupovat do firemní sítě Používá klientské skripty pro analýzu bezpečnostní konfigurace vzdáleného klienta – během této doby se klient nachází ve VPN Quarantine network, která může mít omezený přístup k firemním prostředkům Po ověřění bezpečnostní konfigurace se VPN klient připojený k VPN serveru se přesune z VPN Quarantine network do VPN Clients network

21 Jak pracuje VPN Quarantine Control? DNS Server Web Server Domain Controller File Server Quarantine script VPN Quarantine Clients Network VPN Clients Network RQC.exe Quarantine remote access policy DNS Server Web Server Domain Controller File Server Quarantine script VPN Quarantine Clients Network VPN Clients Network RQC.exe Quarantine remote access policy VPN Server

22 Co je nového v RRAS ve Windows Server 2008 NAP enforcement for VPN konfigurace remote access policy je nyní přes Network Policy Server (NPS) Secure Socket Tunneling Protocol (SSTP) podpora pro Windows Server 2008 a Windows Vista SP1 (v XP SP3 není !!) prochází přes NAT (TCP 443) – změna portu v HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SstpSvc\Parameters\ nastavte ListenerPort na požadovanou hodnotu (více v změny v kryptografických algoritmech PPTP podpora pouze 128-bit RC4 encryption algorithm podpora 40 and 56-bit RC4 odstraněna, ale může být přidána (není doporučeno) změnou klíče v registrech L2TP/IPsec podpora DES s MD5 odstraněna, ale může být přidána (není doporučeno) změnou klíče v registrech IKE Main Mode podporuje: nově AES 256, AES 192, AES 128 a zachován je 3DES Secure Hash Algorithm 1 (SHA1) integrity check algorithm nově Diffie-Hellman (DH) groups 19 a 20 pro Main Mode negotiation IKE Quick Mode podporuje: nově AES 256, AES 192, AES 128 a zachován je 3DES Secure Hash Algorithm 1 (SHA1) integrity check algorithm

23 Co je odstraněno ve Windows Server 2008 Bandwidth Allocation Protocol (BAP). Odstraněn z Windows Vista. Disabled v Windows Server X.25. Serial Line Interface Protocol (SLIP). SLIP-based connections jsou automaticky aktualizovány na PPP-based connections. Asynchronous Transfer Mode (ATM). IP over IEEE NWLink IPX/SPX/NetBIOS Compatible Transport Protocol. Services for Macintosh. Open Shortest Path First (OSPF) routing protocol component

24 Odkazy Network Access Protection: product-home.aspxhttp://www.microsoft.com/windowsserver2008/en/us/nap- product-home.aspx Introduction to Network Access Protection: Network Access Protection Platform Architecture : Network Access Protection Policies in Windows Server 2008: Internet Protocol Security Enforcement in the Network Access Protection Platform: Support Webcast: Introduction to Network Access Protection: Network Access Protection: Frequently Asked Questions: Network Access Protection: TechNet Forums: Step-by-Step Guide: Demonstrate NAP IPsec Enforcement in a Test Lab: 7e7ffc4bed32&displaylang=en 7e7ffc4bed32&displaylang=en Step-by-Step Guide: Demonstrate NAP 802.1X Enforcement in a Test Lab: eff0608&displaylang=en eff0608&displaylang=en

25 Odkazy Step-by-Step Guide: Demonstrate NAP VPN Enforcement in a Test Lab: 378cc3d900a7&displaylang=en 378cc3d900a7&displaylang=en Step-by-Step Guide: Demonstrate NAP DHCP Enforcement in a Test Lab: 188f7a198897&displaylang=en 188f7a198897&displaylang=en TechNet Virtual Lab: Network Access Protection with IPSec Enforcement : entCategory=3&culture=en-US&CountryCode=US entCategory=3&culture=en-US&CountryCode=US Improving Network Compliance with Windows Server 2008 Network Access Protection:

26 Diskuse Otázky ?

27


Stáhnout ppt "Security hardening IV NAP a karantény Jiří Hýzler, MCT, MVP OKsystem s.r.o. 22/05/08."

Podobné prezentace


Reklamy Google