Ağ Erişim Koruması (Network Access Protection)

Eyl 07, 2013

NAP (Network Access Protection), Windows Server 2008 ve Windows Vista ile birlikte gelen olan bir ağ güvenliği uygulamasıdır. Aslında NAP bir güvenlik teknolojisinden çok bir kontrol mekanizmasıdır. Yaptığı kontrollerin sonucunda da dolaylı yoldan güvenlik konusunda yardım sağlamaktadır. Sistem ağa bağlanan bilgisayarların durumlarına göre erişim izni verip vermemeye karar vermektedir. İzin belirlenen kurallar çerçevesinde kararlaştırılmaktadır, kurallara uygun olmayan istemcilere ise yardımcı olup çözümler üretmektedir.
NAP ağa dahil olacak bilgisayarları kontrol ederken kullandığı bazı kriterler şunlardır:

  • Güncel ve aktif bir anti-virüs programı olması
  • Güncel ve aktif bir anti-spyware programı olması
  • Etkin bir güvenlik duvarı bulunması
  • Otomatik Windows güncelleştirmelerinin etkin olması.

Bu kriterler NAP tarafından kontrol edilir ve ağa erişim izni verilir, bu sayede ağ daha güvenli hale gelir.

NAP Bileşenleri

  • Sunucu Tarafı

    1. NPS (Network Policy Server): NPS, Windows Server 2000 ve 2003 'de bulunan IAS’ın (Internet Authentication Service) yerini almıştır. Bu katmanda kimlik doğrulama ve yetkilendirme hizmetleri yapılır.
    2. SHV (System Health Validator): İstemcilerde sistemin sağlık denetimini yapan SHA'ları denetleyen katmandır. Yönetici kendi SHV'sini belirleyip güvenlik kriterleri oluşturabilir.
    3. ES (Enforcement Server): EC (Enforcement Client)'in sunucudaki karşılığıdır. EC ile birlikte istemcinin sağlık durumuna göre sınırlı veya sınırsız erişim hakkı verilmesini sağlarlar.
    4. QS (Quarantine Server): SHV ve EC arasnıdaki aracı bileşendir.
    5. HRA (Health Registration Authority): HRA, Sertifika Otoritesi yapılandırmasın esnasında sertifika sunucusundan istemci bilgisayarlar adına sağlık sertifikası talebi yapar ve sağlık durumunlarına göre sertifikaları istemcilere iletir.
    6. IIS 7.0: IPsec uygulaması kullanılırken HRA HTTP üzerinden sertifika isteminde bulunur. Bu sebeple IIS (Internet Information Services) kurularak sunucunun HTTP yayını yapması sağlanır.
  • İstemci Tarafı

    • SHA (System Health Agent): Belirlenen sağlık kriterlerine uygun olarak bilgisayarlardaki denetlemeyi yaparlar ve istemcinin durumu ile ilgili sistem sağlığı bilgileri oluşturular.
    • QA (Quarantine Agent):  SHA'ların oluşturduğu sistem sağlığı bilgilerini EC'ye bildirirler. Çalışması için işletim sistemindeki NAP Agent hizmeti aktif olmalıdır.
    • EC (Enforcement Client): Ağda uygulanan NAP yönteminin istemcilerde etkinleştirilmesini sağlar.

NAP Uygulamaları

NAP uygulama senayoları 4 başlık altında toplanabilir:

  1. DHCP uygulaması: Ağa dahil olmak isteyen bir bilgisayar ilk olarak DHCP sunucusundan IP isteğinde bulunmaktadır. Bu işlem sırasında NAP bilgisayar üzerindeki gerekli kontrolleri yapar ve eğer kullanıcı gerekli koşulları sağlıyor ise kullanıcıya IP ataması yapılır. Bu yöntem kullanıcıların yönetici (administrator) haklarına sahip olmadıkları ağlarda tercih edilmektedir; çünkü kullanıcılar yönetici haklarına sahip iseler el ile ip atayıp ağa dahil olabilirler ve sistem istenilen güvenliği sağlayamaz.



  2. VPN uygulaması: VPN sunucusuna bir istek geldiğinde sunucu bunu NPS sunucusuna iletir ve bağlanılacak bilgisayar için sağlık kontrolleri gerçekleştirilir. İstemci gerekli koşulları sağlıyorsa ağa dahil olur. Gerekli koşullar sağlanmıyorsa kullanıcı kısıtlı yetkilerle ağa dahil olur. Bu sırada istemcinin sağlık bilgileri Remediation Server'a gönderilir. Remediation Server ile istemci arasındaki haberleşme sonucu istemci tarafında gerekli görülen güncelleştirmeler yapılır ve güncelleştirilmiş sağlık durumu kontrolden geçer. Tüm gerekli işlemlerin yapıldığı doğrulandıktan sonra NAP Health Policy Server kullanıcının durumunu kontrol eder ve kullanıcıyı uygunsa ağa dahil eder.
  3. 802.1x uygulaması: 802.1x  Yerel ağ (LAN) ve kablosuz yerel ağlarda (WLAN) güvenli kimlik denetimini sağlamaktadır. Bu yöntem ile de sınırlı ve güvenli ağlar oluşturup kimlik denetimi ile kullanıcılar istenilen sanal ağa yönlendirilebilir.
  4. IPSec (Internet Protocol Security) uygulaması: Bu uygulama sayesinde yerel ağda sınırlı ve güvenli gibi mantıksal sanal ağlar yaratılabilir. Sunucuda oluşturulan sağlık sertifikları ağdaki bilgisayarların sağlık durumlarını kontrol ederek uygun olan ağa dahil eder.
Bu uygulamaların yapısından da anlaşıldığı gibi; kullanılan yöntemin mevcut ortama göre işleyiş amacına ulaşma oranları büyük değişiklik gösterebilmektedir. Başlangıçta da belirtildiği gibi NAP yaptığı kontrollerin sonucunda dolaylı yoldan güvenlik konusunda yardım sağlamaktadır. Sistem ağa bağlanan bilgisayarların durumlarına göre erişim izni verip vermemeye karar vermektedir. İzin belirlenen kurallar çerçevesinde kararlaştırılmaktadır, kurallara uygun olmayan istemcilere ise yardımcı olup çözümler üretmektedir.