Merhaba,

Bugün sizlere spesifik olarak NAP’ın IPSEC uygulaması hakkında bilgi vermek istiyorum.

 

NAP IPSEC Enforcement – NAP’ın IPSEC Uygulaması

NAP’ın IPSEC uygulaması, Health Registration Authority (HRA) tarafından Client’lara “Sağlık Sertifikası” verilmesiyle sağlanır. Compliant ( sağlıklı ) olan Client’lara bu sağlık sertifikasını kullanarak diğer sistemlere IPSEC kullanarak authentication yapar. Non-Compliant ( sağlıksız ) olan Client’lara sağlık sertifikası alamayacaklarından IPSEC authentication yapamazlar ve bu yüzde network´te bulunan kaynaklara bağlanamazlar.

 

Sağlık sertifikası alarak, güvenli olan network ´ün parçası olabilmek için, NAP Client IPSEC Enforcement uygulamasını aşağıdaki şekilde kullanır:

 

 

 

 

1-     Client ilk açıldığında, host-based firewall akiktir, ancak hiç bir istisnaya müsaade etmez. Bu şekilde başka kimsenin onunla konuşmasına izin vermez. Client su an için sağlık sertifikasına sahip olmadığı için kısıtlı bir network içeresinde bulunur. Bu kısıtlı network içeresinde bulunan bütün Client’lara ile konuşabilir veya örneğin internete çıkabilir ancak güvenli network´te bulunan Client’lara ile görüşemez.

 

2-     Client açıldıktan sonra ilk olarak bulunduğu network´ ten IP Adresi alır

 

3-     Client üzerinde bulunan NAP IPSEC QEC, Health Registration Authority (HRA) ile HTTPS bağlantısı kurar  (https://server/domainhra/hcsrvext.dll)

 

4-     IPSEC QEC daha sonra bağlantı bilgileri ve SoH bilgisini bu HTTPS kanalını kullanarak HRA Server tarafına gönderir.

 

5-     HRA Radius Access-Request mesajı ile client tarafından gelen SoH ´i NPS Server´a gönderir.

 

6-     NPS Server gelen bu SoH listesini, NAP Administration Server tarafına yönlendirir.

 

7-     NAP Administration Server aldığı SoH ´leri onlara uygun SHV´lere  ( System Health Validtor ) gönderir.

 

8-     SHV´ler gelen SoH´lerin içeriğini kontrol eder ve buna uygun bir SoHResponse cevabini NAP Administration Server´a yollar.

 

9-     NAP Administration Server bu SoHResponse´lar NPS e yönlendirir.

 

10-  NPS gelen SoHResponse´lari kendi üzerinde ayarlanmış “Network Access” ve “Health Policy”´lere göre kontrol eder ve Client’ın sağlıklı veya sağlıksız olduğuna dolayısıyla kısıtlı veya güvenli network ´e atanmasına karar verir.

 

11-  NPS bu kararı verdikten sonra RADIUS Acces-Accept mesajı içinde bu bilgiyi ve SoHResponse mesajalar ini (vendor-specific attribute olarak ) gönderir

 

12-  HRA gelen bu SoHResponse mesajlarını Client üzerinde bulunan IPSEC QEC ´ye gönderir. Client „sağlıklı“ ise, HRA tarafından ayni zamanda „sağlık sertifikası“ da yollanır.

 

13-  NAP Client, aldığı bu sertifikayı kendi „Computer Certificate Store“ içine ekler. IPSEC QEC, IPSEC bazlı authentication için gerekli olan ayarları bu sağlık sertifikası kullanarak yapar. Bunun dışında Client, üzerinde çalışan host-based firewall ´da sağlık sertifikasını kullanan diğer Client’lara bağlanması için gerekli ayarları yapar. Bu şekilde Client ´imiz, güvenli network ‘ün bir parçası haline gelir.

 

İşaretli bölümler, Client’ın “sağlıksız” bir durumdan sağlıklı duruma geçişindeki adımları göstermek amacıyla konulmuştur.

 

 

NAP IPSEC Enforcement – IPsec QEC Health Certificate Request:

  

 

 

NAP IPSEC Enforcement – Uygulama Komponentleri:

IPSEC Quarantine Enforcement Client (QEC)

 

IPSEC QEC, Health Registration Authority ´den Health Certificate (Sağlık Sertifikası)´ni alır.

Alınan bu sertifikanın IPSEC bazlı konuşmalarda kullanılmasını sağlar.

Client üzerinde çalışan host-based firewall ´un IPSEC bazlı konuşmalara izin vermesine imkân verir.

 

Certificate Authority

 

NAP-Complient ( yani sağlıklı ) Client’lara health certificate ( sağlık sertifikası) yaratır.

Bu sertifikaların ömrü sadece 4 saat olduğu için bizin tavsiyemiz sadece bu is için ayrı bir CA Server kurulmasıdır.

Enterprise veya bir Trusted Root CA altında bulunan Standalone subordinate CA olabilir.

 

Health Registration Authority (HRA)

 

HRA, Sağlık kontrollerini gecen Client’lara için sertifika verir. Client tarafındaki IPSEC QEC ile konuşan web servisidir ve Windows Server 2008 ile gelen yeni bir ROLE ´dür.

Sağlık sertifikaları kısa geçerlilik süresi olan X509 sertifikalarıdır.

 

 

Network Policy Server (NPS)

 

NPS, HRA tarafından SoH ´leri kontrol etmek amaçlı kullanılır.

 

 

NAP IPSEC Enforcement – SoH ne zaman yenilenir?

1-     Sağlık sertifikasının geçerlilik süresinin 80% dolduğunda,

2-     Network durumu değişirse

3-     Client konfigürasyonunda bir değişiklik olursa (Anti virüs kapatıldı, firewall kapatıldı vs. )

4-     Group Policy yenilenirse,

 

NAP IPSEC Enforcement ile paylaşmak istediklerim şimdilik bu kadar, bir sonraki makalede buluşmak üzere…

 

Aydin