Merhaba,

NAP ile ilgili ilk makalemde NAP’ın genel komponentleri hakkında konuşmuştuk, bugün sizlere spesifik olarak NAP’ın DHCP uygulaması hakkında bilgi vermek istiyorum.

NAP DHCP Enforcement – NAP’ın DHCP Uygulaması

NAP’ın DHCP uygulaması, standart DHCP mesajlarının içine Client’ın sağlık durumu belirten raporları (SoH) gömerek Client´ın sağlıklı veya sağlıksız olduğuna DHCP sunucu vasıtasıyla karar vermesini sağlar.

NAP özelliklerine sahip DHCP Client Servisi, NAP Agent´a Client’ın sağlık durumunu belirten raporu  (SoH) sorgular. DHCP Client Servisi bu raporu DHCPDiscover, DHCPRequest veya DHCPInform paketlerinin içine kendine özel Microsoft Vendor-specific DHCP Option olarak yerleştirir. DHCPDecline ve DHCPRelease mesajları sağlık raporu ( SoH ) içermez.

NAP özelliklerine sahip DHCP Client ayni özelliklere sahip DHCP Server´dan IPv4 adresi almak istediğinde aşağıdaki prosedür uygulanır:

 

 

 

1-     Client üzerinde çalışan ve DHCP Client Servisi´nin bir parçası olan DHCP QEC (Quarantine Enforcement Client) NAP Agent´a sağlık raporlarını (SoH) sorgular.

 

2-     NAP Agent, Client üzerinde yüklenmiş olan System Health Agent (SHA) ´lar tarafından belleğe yazılmış sağlık raporlarını DHCP QEC´ye yollar.

 

3-     DHCP Client Servisi, DHCPDiscover paketini hazırlar ve yollar. DHCPDiscover paketinin içine Client´tin sağlık raporu (SoH) Microsoft Vendor-specific DHCP options kullanılarak yerleştirilir.

 

4-     NAP özelliklerine sahip DHCP Server Servisi, DHCPDiscover paketini alır ve DHCPDiscover paketinin içinden Client’ın sağlık raporunu çıkarır. DHCP Server Servisi çıkarttığı bu sağlık raporunu NPS Server´a Radius Vendor Specific Attribute´lari kullanarak Radius Access-Request paketinin içinde yollar.

 

*5-9 arasındaki adımlar sadece bir sunucu üzerinde de olabilir, burada sadece işlemlerin detayını anlatmak açısından 2 ayrı sunucuda olduğu kabul edilmiştir*

 

5-     Radius Access-Request paketini alan NPS Server, Radius Vendor-specific attributes içinden SoH´i çıkartır ve bunu NAP Administration Server´a yollar.

 

6-     SoH ´i alan NAP Administration Server bunu ilgili System Health Validator´a (SHV) gönderir.

 

7-     SHV, NAP Administration Server tarafından yollanan SoH´yi analiz eder ve SoHResponse (Sağlık raporu analiz sonuçları) paketi ile NAP Administration Server´a cevap verir.

 

8-     NAP Administration Server, ona iletilen SOHResponse´lari NPS Server´a yollar.

 

9-     NPS Server iletilen SoHResponse´lari üzerinde ayarlanmış olan Network Access Politikaları ile karşılaştırıp, Client’ın kısıtlı veya kısıtlama olmadan network ´e bağlanmasına karar verir.

 

10-  NPS Server Radius Access-Accept paketi hazırlar ve Client’ın network ‘e bağlanmasına izin veren (veya vermeyen) SoHResponse mesajlarını Radius Vendor-specific attribute olarak DHCP Server´a gönderir.

 

11-  Radius Access-Accept paketini alan DHCP Server, paketin içinden SoHResponse mesajlarını alır ve bunları DHCP Vendor-specific option mesajı olarak formatlar.

 

12-  DHCP Server, Router DHCP Option ayarı 0.0.0.0 ve subnet mask ayarı 255.255.255.255 olan DHCPOffer paketini ve varsa ayarlanmış Classless Static Route opsiyonlarını Client´a yollar.

 

 

NAP DHCP Enforcement – SoH içeren DHCP Paketi:

 

 

NAP DHCP Enforcement – Uygulama Komponentleri:

        DHCP Quarantine Enforcement Client (QEC)

 

QEC, SoH bilgisini Microsoft Vendor-Specific DHCP Option olarak NAP´tan anlayan DHCP sunucusuna gönderir.

 

SoH burada binary blog olarak tanımlanır ve Vendor Specific Extensions Option (43) olarak gönderilir.

 

SoH sadece DHCPDiscover, DHCPRequest veya DHCPInform mesajlarında bulunur, DHCPDecline veya DHCPRelease mesajlarında SoH yoktur.

 

DHCP Server

 

NAP spesifik bir Scope yâda tüm Scope´lar için kullanılabilir

Windows Server 2008 DHCP Server Client tarafından yollanan SoH içerikli DHCP paketini alır

DHCP Server bu SoH bilgisini arka planda çalışan NPS Server´a yollar

NPS gerekli Scope Opsiyonlarını DHCP´ye bildirir.

 

Network Policy Server (NPS)

 

NPS, DHCP Server tarafından gönderilen SoH bilgisini kontrol etmek amaçla kullanılır.

 

 

NAP DHCP Enforcement – SoH ne zaman yenilenir?

1-     DHCP Lease biterse

2-     Network durumu değişip DHCP Renewal olursa

3-     Client konfigürasyonunda bir değişiklik olursa (Anti virüs kapatıldı, firewall kapatıldı vs. )

 

 

NAP DHCP Enforcement ile paylaşmak istediklerim şimdilik bu kadar, bir sonraki makalede buluşmak üzere…

 

Aydın