security
NAP beschermt IT-omgevingen tegen ‘risicowerkplekken’ Net w ork Access Protection helpt organisaties bij het controleren en w eren van onbetrou w bare w erkplekken Beveiliging is een vreemd o nderw erp. Is er eenmaal schade geleden, dan speelt geld geen rol. M aar z olan g alles g oed loo p t en veilig lijkt, is het knap lastig is om bu dget ten te reserveren vo or de beveiliging van de in f ormatieomgevin g. Het idee dat een omgeving hermetisch beveilig d kan w orden als een so ort ‘digitaal Fort Knox’ en daarnaast w erkbaar blijf t vo or gebruikers is een u topie. Er is w el een meer realistische en meestal min der kostbare o p tie. Een mo del w aarin de balans tussen veiligheid en gebruikersvriendelijkheid op timaal is. Zo’n mo del w ord t mede mo gelijk gemaakt met N AP: Net w ork Access Pro tectio n.
Tom Driessen en Gérard van der Burg
M ede door de enorme groei in gebruik van mobiele w erkstations (in het bijzonder laptops) is het relatie f eenvoudig ge w orden om bedrijfsin f ormatiesystemen binnen te dringen, bijvoorbeeld via e-mail o f Instant M essaging. Verschillende partijen zijn al enige tijd geleden begonnen aan een vorm van controle aan de uiteinden van het interne net w erk (LA N) en het begin van het internet. Sygate (nu Symantec) is er daar één van, met het product Universal Net w ork Access Control. O ok Check Point is hier met het product Integrity al geruime tijd mee bezig. Cisco hee f t al jaren N AC (Net w ork A dmission Control) op de plank liggen om deze pijnpunten binnen de bedrijfsnet w erken te beschermen. Bij M icroso f t w ord t de N AP (Net w ork Access Pro tection) tech nologie gebruikt, een tech nisch pro tectieplat f orm dat in M icroso f t W indo ws-Server 2008 is geïn tegreerd. M icroso f t N AP w ord t niet zo zeer als een o p zichzelf staan d pro d uct gezien, maar meer als een plat f orm w aar al veel ISV’s en IHV’s o p inspelen en in mee w erken. Enkele van deze spelers zijn: • McA fee en Syman tec (an tivirus) • A ltiris en PatchLink (patch managemen t)
1 — jan uari 2008
ITB08-01_v3.indd 29
29
22-01-2008 12:13:42
security Remediation network/ External network quest Connec tion re
Cliënt OK
Cliënt not OK
• RSA (security) • Citrix, En trasys en F5 (net w erkprod ucten)
NPS/NAP
da Up
Secured network
tes
O ok M icroso f t en Cisco zijn een samenw erkin gsverband aan gegaan. In eerste instan tie om hu n eigen pro ducten o p timaal met elkaar te laten samen w erken (in teroperabiliteit). Daarnaast delen zij in f ormatie over vormen van beveiliging tegen risico w erkstations. N AC o f N AP, de co ncep ten, zijn nau w met elkaar verw an t. A ls w erkplekken voldoen aan alle veiligheidseisen, z oals virusup dates en W ind o ws-up dates, dan krijgen ze volledig o f gedeelde toegang to t het bedrijfsnet w erk. N AP zal gedurende de aan w ezigheid van een risico w erkstatio n, maar o ok van het geaccep teerde w erkstation, de gez o ndheidsstatus in de gaten blijven h ou den. O ok kan het reageren op w ijzigingen die als risico gezien w orden
Boundary network
WSUS/SCCM
Figuur 1
vanuit de gede finieerde N AP-policies. N AP-policies w orden geco n figureerd o p een Net w ork Policy Server (NPS). NPS is een standaard onderdeel van W ind o ws server 2008. N AP controleert de w erkplekken die zich aanmelden in de in frastructuur op hun health-status. Tijdens de check, die geïnitieerd w ordt op de NPS-server,
DHCP
VPN
w ordt een verzoek naar de N AP-cliënt op de w erkplek gestuurd om de SoH (Statement o f Health) te rapporteren. De N AP-cliënt ant w oordt hierop met de SoHR (Statement o f Health Response). De System Health Validator (SHV) op de NPS-server controleert de inhoud van het SoH-bericht. A ls de SoH voldoet aan de gestelde policy, dan krijgt de w erkplek
Domain controller
Bedrijfsnetwerk
Internet
DMZ NPS/NAP
Health Registration Authority
WSUS Remediation netwerksegment
Figuur 2
30
ITB08-01_v3.indd 30
1 — jan uari 2008
22-01-2008 12:13:44
WSUS/SCCM/AV updates
SHV
Updates
Health-policy
Werkplek SHA Microsoft
SHA Derde partij
NPS-Server met RADIUS SoHR’s Health certificate
Authenticatieverzoeken System Health Validator
Quarantine agent EC DHCP, VPN, IPSec, 802,1xEC
EC Derde partij
SSL VPN gateway 802.1x switch Certificate server
Quarantine Server
Figuur 3
toegang tot het net w erk. A ls de SoH niet voldoet aan de gestelde policy, dan beschou w t de NPS-server het w erkstation als risico. In figuur 1 w ord op high-level niveau w eergegeven hoe de connectie loopt.
zal deze w orden geleverd zodra Service Pack 3 beschikbaar komt. De N AP-cliën t bestaat uit drie componen ten: • System Health A gen t (SH A) • Q uaran tine A gen t (Q A) • En f orcemen t Clien t (EC)
O p de NPS-server kan gecon fig ureerd w orden hoe deze met risico w erkplekken moet omgaan. Dit kan betekenen dat de w erkplek geplaatst w ord t in een remediation-net w erk w aar de w erkplek zijn SoH kan verbeteren. O ok is het mogelijk om te co n fig ureren dat de w erkplek toch toegelaten w ord t op het net w erk, maar dan slech ts tijdelijk. Een remediatio n-netw erksegmen t bevat servers om de a f gekeurde w erkplek te ku nnen bedienen met up dates. Dit kunnen up dates zijn vo or W in do ws, virusscanners en servers van leveranciers die de (N AP-)cliën t hebben uitgebreid. Vaak hee f t het net w erksegmen t alleen toegang to t In ternet en niet to t het bedrijfsnet w erk. In figu ur 2 staan de comp o nen ten a f gebeeld die bij een N AP-implemen tatie vereist zijn.
O m communicatie tussen de N AP-cliënt en de NPS-server mogelijk te maken is een certificatenin frastructuur (PKI) vereist. De w erkplekken en de servers moeten van de juiste certificaten w orden voorzien. Zonder certificaten zal er geen verbinding tot stand komen. Via GPO ’s kunnen certificaten aan w erkplekken toegekend w orden. Dit is één van de redenen w aarom w erkplekken die gebruik maken van N AP, voordeel hebben als zij lid zijn van een Active Directory-domein. Figuur 3 gee f t alle componenten w eer die in de N AP-cliënt aangebracht zijn en daarnaast de communicatiestroom met de NPS-server.
ren de SH A geïnstalleerd w orden op de cliën ts. De Q A is de tussenlig gen de laag tussen de SH A en de EC. De Q A verzamelt alle health-in f ormatie die de SH A ’s beschikbaar stellen vo or de Q A . Deze in f ormatie w ord t geconverteerd naar een leesbaar f ormaat voor de EC. Daarna w ord t de health-in f ormatie beschikbaar gemaakt vo or de EC. De EC is het gedeelte dat mee w erkt om de w erkplek de juiste policy op te leggen, zoals gecon figureerd in de N APp olicy. Vo or iedere N AP-uitrolmo gelijkheid is er een specifieke EC no od zakelijk. Stan daard zijn de W in d o ws Vista-w erkplekken vo orzien van een EC vo or de volgende uitrolscenario’s: • IPSec-uitrol • 802.1x-uitrol • DHCP-uitrol • VPN-uitrol • Terminal Server Gate w ay-uitrol
De SH A is het comp onen t dat verifieert o f het w erkstation voldoet aan de gedefinieerde health-policy. De W in do ws Vista-w erkstations w orden standaard geleverd met de M icroso f t SH A . De M icroso f t SH A co n troleert bijvoorbeeld o f de W in do ws Fire w all actie f is en o f de W indo ws Up date Services gestart zijn. A ls er een virusscan ner van een derde partij w ord t geïnstalleerd moet er een bijbeho-
Zo dra bepaald is w elk type N AP-uitrol geïmplemen teerd w ord t, moet o p de w erkplek de EC gecon fig ureerd w orden. A ls de w erkplek lid is van het corporate d omein, kan de EC gecon fig ureerd w orden met een GPO . In de GPO w ord t het juiste EC-type geactiveerd. A ls de w erkplek niet eigen is en toch moet w orden verb o nden met het net w erk, dan moet de gebruiker han dmatig de EC activeren.
De cliën t w aarmee de N AP-server communiceert, moet geïnstalleerd zijn o p het w erkstatio n dat verbin din g w il maken met het net w erk. De N AP-cliën t w ord t standaard meegeleverd met alle versies van W in do ws Vista. Voor W ind o ws XP
1 — jan uari 2008
ITB08-01_v3.indd 31
31
22-01-2008 12:13:45
Software for Service Management Solutions
Alles in één Webgebaseerd Meertalig
Denk vooruit. Blijf vooruit.
www.clientele-itsm.nl ITB08-01_v3.indd 32
22-01-2008 12:13:45
security
Figuur 4
De EC kan geactiveerd w orden d oor het N AP-cliën t Con fig uration-scherm te openen (N APCLCFG. MSC). Zie fig u ur 4. Het is met W in d o ws Server 2008 mogelijk om de toegan gsrestricties die met N AP w orden a f ged w o ngen te combineren met een VPN-server. A lle inkomende VPN-verbin din gen w orden dan verplich t o n derw orpen aan een N AP-scan en op basis van het resultaat in de SoHR toegelaten o f niet. Bestaande VPN-servers moeten w orden vervangen d o or een VPN-server o p basis van W indo ws Server 2008-technologie. In dien er voor een N AP-uitrol geko zen w ord t in combinatie met DHCP, dan w orden w erkplekken die een req uest uitsturen om een IPadres te krijgen van de DHCP-server o ok geco n troleerd d oor de N AP-server. A ls de w erkplek voldoet aan de p olicy krijg t de w erkplek een IP-adres. O ok de DHCP-server moet geïnstalleerd zijn met W ind o ws Server 2008 om deze uitrol mogelijk te maken. Vo or ieder type uitrol is de NPS-server n oo dzakelijk. A ls er gekozen w ord t vo or de IPsec-uitrol communiceren de sw itches via het RA DIUS-pro tocol met de NPS-server. O ngeacht de grootte van de organisatie vergt de implementatie van N AP
een goede voorbereiding en planning. A llereerst moet er gekozen w orden w elk scenario van N AP gebruikt gaat w orden. Technisch gezien houdt dit in dat alle w erkplekken moeten beschikken over de N AP-cliënt en dus dat de w erkstations minimaal W indo ws Vista o f W indo ws XP SP3 moeten hebben. Daarnaast moet de N AP-policy gede finieerd en gecon figureerd w orden. Het is aan te bevelen om de N AP-in frastructuur eerst een korte periode te laten w erken zonder remediation policy. O p deze manier krijgt de beheerder van de in frastructuur inzicht in de z w akke plekken van zijn w erkplekken. O ok kan hij ontbrekende updates gecontroleerd uitrollen zonder dat de N AP-client dit gaat f orceren. A ls de rapportage aangee f t dat de w erkplekken up-to-date zijn qua so f t w are patches en virusscanner updates kan de N AP-policy ingeschakeld w orden. Deze gecontroleerde w ijze van implementeren van N AP gee f t de minste kans op productieverstoringen en zorgt voor een N AP-baseline implementatie. M icroso f t positio neert N AP niet als de beveiligingso plossing voor allerlei w erkplekvarian ten, maar meer als een geco n troleerde beheero plossin g. D o or N AP te gebruiken zorg t de beheerder van het net w erk ervo or dat alleen comp u ters die voldoen aan de stan daard,
verbinding ku nnen maken. Het concep t van N AP is vo oral gerich t op de in frastructuren w aar geen externe gebruikers verbin din g h oeven te maken. Het is niet o nmo gelijk om als externe gebruiker verbinding te maken, maar het hee f t w el beh oorlijk w at voeten in aarde. M icroso f t N AP eist een certificatenin frastructuur binnen het N AP-plat f orm en daarnaast is het w enselijk dat de w erkplekken lid zijn van de M icroso f t Active Directory. Deze vereisten z ou men misschien los w illen ku nnen trekken van het N AP-plat f orm. M icroso f t hee f t met N AP een prod uct gemaakt dat, zeker in samen w erkin g met beveiligingo plossingen zoals Cisco N AC, een nieu w e stap is om in frastructuren beter gecon troleerd te beveiligen. Er blijven er n og vragen o n bean t w o ord. Een daarvan is o f er ruimte is vo or aanpassin gen, w aard oor N AP gedimensioneerder ingezet kan w orden in heterogene omgevingen w aar o ok externe mede w erkers w erkzaam zijn. De up dates o f volgende versies z ullen o ns leren o f M icroso f t hier zelf o ok zo tegenaan kijkt.
Tom Driessen is Consultant bij Avanade. Gérard van der Burg is Architect bij Avanade (
[email protected] en
[email protected]).
1 — jan uari 2008
ITB08-01_v3.indd 33
33
22-01-2008 12:13:46