Ana içeriğe atla

Network Access Protection (NAP) Components

NAP, istemci tarafında ağ bağlantısı için sağlık kontrolü yapan bir teknolojidir. Windows Vista ve sonraki işletim sistemlerinde bütünleşik olarak çalışmaktadır. Temel olarak bu sağlık kontrolündeki başlıklar; yazılım gereksinimleri, güvenlik yamaları gereksinimleri ve gerekli olan bir takım bilgisayar ayaları olarak özetlenebilir.
Eğer bir istemci belirtilen kurallara göre sağlıklı değil ise ağ erişimi sınırlanır ve buna ekl olarak remediation dediğimiz bu bilgisayarın ne yaparsa sağlıklı kabul edileceğine dair yönlendirmelerde sunabilir.
NAP aslında tek başına bunu yapan bir hizmet değildir. NAP altında sunucu ve istemci bileşenleri olmak üzere iki başlık altında alt özellikler sunmaktadır.
İstemci Bileşenleri
Statement of health (SoH)
İstemci bilgisayarın sağlık durum beyanı anlamına gelir. Yani mevcut durumu için bir rapor olarak özetlenebilir. Bu raporu System health agents (SHAs) çıkarır ve NPS sunucusu üzerinde ilişkili olduğu bir system health validator (SHV) bileşenine gönderir.
System health agent (SHA)
İstemci bilgisayarın durumunu kontrol eden bir bileşendir. Bu bileşen Windows Security Health Agent (WSHA) tarafından sağlanan bilgileri NPS sunucusu tarafında ilişkili olduğu System health validators (SHVs) bileşenine göndermekten sorumludur.
Windows Security Health Agent (WSHA), Windows XP SP3 ve sonrası işletim sistemlerinde aşağıdaki bileşenlerin durumunu kontrol eden bir ajandır
  • Firewall
  • Virus Protection – Yüklümü? – Açık mı? – Güncel mi?
  • Spyware Protection – Yüklümü? – Açık mı? – Güncel mi?
  • Automatic Updating – Servis Çalışıyor mu?
  • Security Update Protection – Güncel güvenlik yamaları yüklü mü?

NAP Agent
İstemci tarafında çalışan ve istemcinin sağlık bilgisini toplayıp NAP sunucusuna raporlayan servistir. WSHA bu servis ile konuşur. Temel olarak farklı ajanlardan aldığı sağlık bilgilerini düzenler ve raporlar. Farklı dememizin sebebi, pek çok farklı üretici de Microsoft NAP mimarisi ile uyumlu ajanlar yazmakta ve bunun üzerinden bilgi toplanabilmektedir.
Enforcement client
DHCP, VPN ve IPSec gibi network erişim ile ilgili olan istemci yazılımlarıdır. Eğer NAP kullanmak istiyorsanız en az bir tane enforcement client yüklü olması gereklidir. NPS üzerinde her bir bağlantı yöntemi için ( Network giriş yöntemi ) farklı policy tanımlayabilirsiniz ( DHCP, VPN, IPsec, Terminal Services Gateway (TS Gateway), Extensible Authentication Protocol (EAP), Wireless vb )
Sunucu Bileşenleri
Remediation server
Güvenlik politikalarına uygun olmayan istemci makinelerin güvenlik politikalarına uymasını sağlayacak sunuculardır. Örneğin NAP uygulamasına geçtiniz ve bir GPO ile tüm istemci makinelerdeki NAP Client servisinin çalışmasını istiyorsunuz.
Bu servisi başlatmalıyız ki istemci tarafında bir sağlık raporu oluşsun ve iletilsin. Bu sağlık raporu uygun da çıkabilir uygun değil de ama önemli olan bu servisin çalışması ve raporun bir şekilde NPS sunucusuna iletilmesidir. Veya başka bir örnek, bu servisi çalışan ancak birkaç haftadır kurum dışında olduğu için Anti Virus ürünü güncel olmayan bir makineyi düşünün. Her iki senaryo da da bilgisayar network’ e dahil olamayacağı için ne DC ile konuşup güncel policyleri alır nede anti virus sunucusundan yeni veri tabanını. Remediation server işte tam bu noktada devreye giriyor. NPS üzerinde IPSec, DHCP, VPN veya hangi erişim için kural yazdıysanız üzerinde aşağıdaki gibi Remediation server olarak Domain Controller, Anti Virus Server gibi sağlıklı duruma geçmek için erişmesi gereken sunucuları tanımlıyorsunuz.

System health validators (SHVs)
İstemci tarafında çalışan SHA agent’ in bilgi verdiği ve ilişkili olduğu NAP’ ın sunucu bileşenlerinden biridir. Her bir SHA agent NPS sunucusu tarafında bağımsız bir SHV ile konuşur. NPS, SHV bileşenini istemci makinelerin sağlık durumunu kontrol için kullanır. SHA tarafından gönderilen statement of health (SoH) yani istemcinin sağlık bilgisinde policy ile uyumsuz bir durum olursa eğer SHV, SHA ajanına statement of health response (SoHR) mesajı gönderir.
Aşağıdaki şekli incelediğiniz zaman System Health Validators altında bir tane bütünleşik gelen “Windows Security Health Validator görebiliyoruz.
NPS üzerinde korunan ağlar yani networkler birden çok SHV ye sahip olabilirler. Böyle bir durumda NPS server tüm SHV çıktılarını koordine etmekten sorumludur. Bu nedenle health policy tanımlarken dikkatli olmamız gereklidir. Aksi halde erişim sorunları yaşayabiliriz.
Örneğin bir önceki resim içerisinden Windows Security Health Validator seçersek bir den çok policy elementi ( Default, DHCP, IPSec vb ) tanımlayabildiğimizi görebiliyoruz.
Health policies
Öncelikle SHV ile yaptığınız ayarları bir sağlık policy’ ye bağlayarak network koruması sağlayabilirsiniz.
System Health Validators kısmında ayarları yaptıktan sonra bunu bir Health Policy ye bağlayabilirsiniz.
Eğer birden çok SHV tanımlı ise hepsinin uygun olması veya diğer seçenekleri seçebilirsiniz

Statement of health response (SoHR)
Bir bilgisayar erişmek istediği network için kullandığı erişim yöntemi ( DHCP, EAP, IPSec vb ) bir policy ile korunuyor ve bu policy de bir veya birden çok SHV ile denetleniyor ise, istemci makine bu SHV kurallarına uygun olmalıdır. Yani Firewall, anti virus, anti spam vb gereksinimleri yerine getirmeli. Eğer yerine getiremiyor ise SHV tarafından o istemcide çalışan SHA ajanına bir SoHR mesajı – raporu gönderilir. Bu rapor temel olarak istemcinin uygun olmadığını ve bunun nasıl uygun yani compliant olabileceğinin bilgisini sunmaktadır. Her bilgisayarın durumuna göre farklı bilgiler içerebilmektedir. Yani kimi sadece firewall açmalı iken kimi bilgisayar da hem firewall açılmalı hem de AV virus veri tabanı güncellenmeli durumu oluşabilir.



Kavramlar
Windows Security Health Agent (WSHA)
Windows XP SP3 ve sonrası işletim sistemlerinde “Windows Securtiy Center” durum bilgisini takip edip bunu aynı bilgisayardaki Network Access Protection Client servisine bildiren bir ajandır. Varsayılan olarak NAP Client ile birlikte çalışır. Topladığı sağlık bilgisini NAP Agent servisine verir. Ek olarak sağlık taramasından geçemeyen yani NAP için uygun bir güvenlik – sağlık durumuna sahip olmayan bilgisayarlar için “Remediation” yani iyileştirme özelliği sunabilir. Eğer NPS üzerindeki ilgili Network Access Protection NAP Policy içerisinde “Automatic remediation tanımlu ise Windows Security Health Agent WSHA istemci ayarlarını istenilen ayarlara getirmeyi dener.
WSHA, Windows Server Update servis üzerinden güncel yama ve durum bilgisini alır.
Windows Security Health Validator (WSHV)
NAP senaryosunda ağ erişimi için gerekli olan ayarları temsil eder.
Yukarıdaki şekilde de görüldüğü gibi temel olarak NAP senaryosunda ağ erişimi yapacak sistemin sağlıklı olup olmadığına buradaki ayarlar üzerinden karar vermekteyiz.


Alıntı: http://www.hakanuzuner.com/index.php/network-access-protection-nap-components.html

Yorumlar

Yorum Gönder

Bu blogdaki popüler yayınlar

Facebook ve diğer sosyal uygulamalar bizi dinliyor mu ?

Merhabalar  Bu konuyu Sayın Murat GÖÇE nin twitterda attığı bir gönderiden sonra yazmak istedim. Açıkcası uzun zamandır da gönderi paylaşmadığımı fark ettiğim tekrar bu mecrayı hareketlendirmek istedim.  Öncelikle sosyal medya uygulamalarından ve çalışma mantığından bahsetmek gerekirse; Öncelik olarak sizi yeni kişiler ile tanıştırmaktansa sizin tanıdığınız kişiler ile aynı ortamı kullanmayı hedeflerler. Bunu yapabilmek için kullandığınız sosyal medya uygulaması mobil ise telefon rehberinize yani kişilerinize veya mail adres defterinize erişmek ister. Bu uygulamayı mobil değilde masaüstü kullanmak isterseniz kayıt olurken kullandığınız mail adresinize yada diğer sosyal medya hesaplarınıza erişmek ister.  Ugulama öncelik olarak kendi bünyesinde sizinde iletişim halinde bulunduğunuz kişiler ile ortak alanı oluşturmak ve kendi veri tabanında mail yada telefon numarası olmayan kişileride uygulamayı kullanmak için davet sistemini kullanmanızı sağlamaktır. Çoğunluk olarak bu tü...
Yorum Gönder
Devamı

Girdiğimiz Siteler Takip mi Ediliyor?

Girdiğimiz Siteler Takip mi Ediliyor? Avrupa Birliği, internetin denetimi ile ilgili yakın zamanda uygulamaya giren yeni kurallar getirdi. En çok dikkat çeken maddelerin başında, internet sitelerinin 'cookies' yada 'çerezler' olarak bilinen ve kullanıcılara ait bilgileri kaydeden yazılım programlarını, siteyi ziyaret eden kişilerin bilgisayarlarına yüklemeden önce izin istemek zorunda kalmasını sağlayan madde var. Peki koskoca AB'nin internet sitlerinin çerezleri ile ne işi var da böyle bir zorunluluk getirdi? İnternet siteleri birkaç farklı sebepten ötürü bizim bilgisayarımızda bazı bilgileri tutuyor. Bunların içinde en önemlisi oturum bilgilerini saklamak. Facebook, tweeter veya mail siteleri gibi oturum açılan sitelerde ilk girişte sizden kullanıcı adı ve şifrenizi sorduktan sonra sizin siz olduğunuzu anlayabiliyor. Fakat daha sonraki yaptığınız her işlemde işlemi yapanın siz olup olmadığınızı tekrar sormuyor. Bir session bilgisi oluşturuyor ve bunu size gönderiy...
Yorum Gönder
Devamı

80'lerde reklamlar

Mintaxla Canım Mintaxla:  80'li yıllardaki eğlenceli reklamların kendine has yüzleri, şarkıları, dansları bir döneme damgasını vurdu. 80’lerde reklamların şimdikilere göre daha eğlenceli olduğunu düşünen bir kitle var. Haklılar mı, bilinmez ama kesin olan bir şey varsa o da o devrin reklam filmlerinin oldukça komik oldukları. Markaların ürünlerini tanıtmak için giriştikleri birbirinden ilginç çabalar, 80’li yıllarda çocuk olanların hala zihninde. Kendine has yüzleri, reklam kontrastındaki abartı, reklamlardaki karakterlerin üçte ikisinin bağırarak şarkı söylemesi o dönem reklamlarının olmazsa olmaz özelliklerinden. Fiyatı şöyle, temizliği böyle :) Örneğin o yılların ünlü TV dizisi Kuruntu Ailesi ile başlayan sonrasında Derya Alabora’nın da dâhil olduğu  Mintax  serisi gibi. “ Mintaxla Canım Mintaxla ” sloganı günümüzde bile efsane olmuş bir reklam terimi. Hatta yeni serileri bile çekildi. Bu kez düzenlemiş reklam şarkısı ile birlikte… Yine 80’li yılların en...
Yorum Gönder
Devamı