Network Access Protection (NAP): la soluzione di policy enforcement in Windows Server 2008 R2 PierGiorgio Malusardi IT Pro Evangelist Microsoft Italia http://blogs.technet.com/pgmalusardi
Agenda Network Access Protection: panoramica Architettura di NAP Policy di Network Access Protection © 2007 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries. The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.
Network Access Protection: panoramica Non è una soluzione di sicurezza serve per evitare attacchi blocca utenti malevoli È una tecnologia di policy enforcement un sistema di controllo degli accessi alla rete basato sullo stato dei computer Aiuta a mantenere i computer conformi alle policy Riduce le possibilità di attacco
Network Access Protection: panoramica È il motore di policy che consente di fornire accessi sicuri alla rete Usando NAP server (NPS) un amministratore IT può impostare policy di accesso alla rete basate su identità in AD, periodo della giornata, locazione, ecc… Consente decisioni sugli accessi basate sullo stato di Windows Security Center Con NAP è possibile valutare, forzare e rimediare le impostazioni del Security Center per rete, host e accesso da remoto. Consente l’uso di System Center e Forefront Client Security per definire la conformità e controllare gli accessi Usando le estensioni a NAP fornite da SCCM o FCS, un amministratore IT può forzare la conformità alle policy di patch e di sicurezza con elevati livelli di granularità per rete, host e accesso da remoto. Abilita i report sulla conformità per gli accessi alla rete Con NAP un amministratore IT può valutare il livello di conformità alle policy aziendali senza impattare l’accesso o la produttività.
Network Access Protection: panoramica Infrastruttura: Windows Server 2008 Windows Server 2008 R2 Client Windows XP SP2 Windows Vista Windows 7
Network Access Protection: panoramica Funzioni Verifica delle condizioni Rimedi Autorizzazione e autenticazione di rete Contabilità
Architettura di NAP: introduzione Rete sicura Internet VPN Active Directory Policy Server NPS Device 802.1x Rete di confine DHCP HRA Rete ristretta Server dei rimedi Client NAP
Architettura di NAP: introduzione Remote Desktop Gateway RDP su HTTPS Messaggi RADIUS Remediation Server Policy Server VPN Unified Access Gateway PEAP su PPP Query su richieste di sistema Aggiornamenti DHCP DHCP NPS Client NAP PEAP su EAPOL HTTPS HRA Device 802.1x
Architettura di NAP: componenti client Srv rimedi_A Srv Rimedi_B Enforcement Client System Health Agent NAP Agent API SHA API EC SHA_1 SHA_2 SHA_3 API SHA NAP Agent Client NAP API NAP EC EC_1 VPN EC_2 DHCP EC_3 IPSec NAP srv_A VPN NAP srv_B DHCP NAP srv_C HRA
Architettura di NAP: componenti client Srv rimedi_A Srv Rimedi_B Enforcement Client Impongono le condizioni di accesso alla rete Hanno dei corrispondenti server NAP System Health Agent Eseguono le verifiche di compatibilità con le health policy Ogni SHA ha una controparte in esecuzione sul server NPS: System Health Validator Possono avere un corrispondente server dei rimedi NAP Agent Mantiene lo stato di salute corrente del computer come lista di Statement of Health (SoH) Abilità il dialogo tra SHA e EC API SHA Forniscono funzioni per: - Registrare nuovi SHA presso NAP Agent - Richiedere e ricevere SoH dagli SHA - Passare SoH Respond (SoHR) agli SHA API EC Forniscono funzioni per: - Registrare nuovi EC presso il NAP Agent - Richiedere SoH al NAP Agent - Passare SoHR al NAP Agent SHA_1 SHA_2 SHA_3 API SHA NAP Agent Client NAP API NAP EC EC_1 VPN EC_2 DHCP EC_3 IPSec NAP srv_A VPN NAP srv_B DHCP NAP srv_C HRA
Architettura di NAP: componenti server Policy srv_A Policy srv_B Network Policy Server NAP Administration Server System Health Validator API SHV NAP Server SHV_1 SHV_2 SHV_3 API SHV NAP Administration Srv NPS NPS Messaggi RADIUS NAP Srv ES_1 VPN ES_2 DHCP ES_3 IPSec Client NAP
Architettura di NAP: componenti server Policy srv_A Policy srv_B Network Policy Server Riceve i messaggi RADIUS dai server NAP Estrae dai messaggi RADIUS gli SoH e li passa al NAP Administration Server NAP Administration Server Smista gli SoH ricevuti dall’NPS e li passa ai corretti SHV Assembla gli SoHR ricevuti dagli SHV e li passa all’NPS System Health Validator Uno per ogni tipo di controllo di conformità eseguito sul client Possono avere un corrispondente Policy Server a cui chiedere la conformità alle policy (non è obbligatorio) Verificano gli SoH ricevuti e costruiscono gli SoHR API SHV Forniscono funzioni per: - Registrare nuovi SHAV presso NAP Admin - Passare gli SoH agli SHV - Passare gli SoH Respond (SoHR) al NAP Admin NAP Server Hanno un corrispondente sul client nei NAP EC Determinano l’accesso alla rete protetta o di quarantena Possono convivere con il server NPS SHV_1 SHV_2 SHV_3 API SHV NAP Administration Srv NPS NPS Messaggi RADIUS NAP Srv ES_1 VPN ES_2 DHCP ES_3 IPSec Client NAP
Architettura di NAP: visione d’insieme Srv rimedi_A Srv Rimedi_B Policy srv_A Policy srv_B Componenti forniti da terze parti SHA_1 SHA_2 SHA_3 SHV_1 SHV_2 SHV_3 API SHA API SHV NAP Agent NAP Administration Srv NPS Client NAP API NAP EC NPS EC_1 EC_2 DHCP EC_3 IPSec Messaggi RADIUS NAP Srv ES_1 ES_2 DHCP ES_3 IPSec
Architettura di NAP: comunicazione c/s Srv rimedi_A Srv Rimedi_B Policy srv_A Policy srv_B SHA_1 SHA_2 SHA_3 SHV_1 SHV_2 SHV_3 API SHA API SHV NAP Agent NAP Administration Srv NPS Client NAP API NAP EC NPS EC_1 Messaggi RADIUS NAP Srv ES_1
Architettura di NAP: comunicazione c/s Srv rimedi_A Srv Rimedi_B Policy srv_A Policy srv_B SHA_1 SHA_2 SHA_3 SHV_1 SHV_2 SHV_3 API SHA API SHV NAP Agent NAP Administration Srv NPS Client NAP API NAP EC NPS EC_1 Messaggi RADIUS NAP Srv ES_1
Tecnologie integrate con NAP Windows Security Center System Center Configuration Manager Forefront Client Security 3ze Parti…
Policy di Network Access Protection Connection Request Policy (CRP): “Proxy” Valutate in ordine Usata la prima che corrisponde alle condizioni del client Network Policy (NP): “Authorize” Health Policies (HP) “Evaluate and Enforce” Verificate tutte Applicata solo quella che corrisponde Connection Request Policy Network Policy Health Authentication Authorization
Policy NAP: concetti generali Policy NAP: dalle più specifiche alle più generiche Tutte le Health Policies sono valutate e scritte in log Forzatura degli accessi per rete e host sono basati sulle regole di accesso e indipendenti dalle policy NAP Le impostazioni per la rete delle policy NAP (Quarantena, “in salute” e differita) impattano il client e non la tecnologia di forzatura
Policy NAP: condizioni Connection Request Policy Tipo di NAS Giorno e ora Nome utente NAS/ES Criteri VPN Stato di salute del PC Client Tipo di porta Network Policy Tipo di NAS Giorno e ora Gruppo di sicurezza Scope DHCP Policy di salute Capacità NAP Sistema operativo Metodi di autenticazione NAS/ES Stato di salute del PC Client
Policy NAP: impostazioni Connection Request Policy Metodo di autenticazione Proxy di accounting e autenticazione Modifica di attributi Iniezione di attributi Network Policy Risposte: Access Accept/Reject Iniezione di attributi Forzatura NAP Impostazioni RRAS
Policy NAP: scenari È il motore di policy che consente di fornire accessi sicuri alla rete Scenario: Accesso wireless sicuro con autenticazione degli utenti su AD Consente decisioni sugli accessi basate sullo stato di Windows Security Center Scenario: Vietare l’accesso ad internet ai client senza antivirus Consente l’uso di System Center e Forefront Client Security per definire la conformità e controllare gli accessi Scenario: Richiesta di bitlocker (FCSv2) e registrazione della conformità alle policy di patch per accessi DA Abilita i report sulla conformità per gli accessi alla rete Scenario: Pubblicazione di HRA su internet per registrare la conformità alle policy senza forzare IPsec
Policy NAP: scenari Scenario: Accesso wireless sicuro con autenticazione degli utenti su AD CRP – per ora giorno e locazione dell’utente NP – per IP del NAS, richiede PEAP-MSCHAPv2 e nessuna valutazione dello stato di salute Scenario: Vietare l’accesso ad internet ai client senza antivirus CRP – per ora, giorno e locazione dell’utente NP – per segmento IP del NAS, richiede PEAP-TLS e una policy di NAP che richiede il real time scan dell’AV Forzatura – Assegnazione alla VLAN 802.1x, VLAN ristretta senza accesso a Internet Scenario: Richiesta di bitlocker (FCSv2) e registrazione della conformità alle policy di patch per accessi DA CRP – per ora, giorno e locazione dell’utente NP – per tipo di HRA del NAS gruppo di appartenenza del PC, le health policy richiedono SHV di FCS e SCCM Forzatura – Accesso pieno via DirectAccess richiede certificati di salute Scenario: Pubblicazione di HRA su internet per registrare la conformità alle policy senza forzare IPsec CRP – a per ora, giorno e locazione dell’utente NP – per tipo di HRA del NAS, le health policy richiedono WSHV con tutte le opzioni
Network Access Protection: scenari Scenario: Richiesta di bitlocker (FCSv2) e registrazione della conformità alle policy di patch per accessi DA CRP – per ora, giorno e locazione dell’utente NP – per tipo di HRA del NAS gruppo di appartenenza del PC, le health policy richiedono SHV di FCS e SCCM Forzatura – Accesso pieno via DirectAccess richiede certificati di salute Scenario: Pubblicazione di HRA su internet per registrare la conformità alle policy senza forzare IPsec CRP – a per ora, giorno e locazione dell’utente NP – per tipo di HRA del NAS, le health policy richiedono WSHV con tutte le opzioni
Valore di NAP per le tecnologie di accesso Policy di accesso granulari basate su: Identità Conformità Ecc. Infrastruttura unificata di policy per diverse tecnologie di controllo degli accessi
3/29/2017 4:45 AM © 2008 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries. The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION. © 2007 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries. The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.