Utisci korisnika

Kada sam na fakultetu polagala ispit iz Obrazovne tehnologije jedno od pitanja je bilo nastava na daljinu. Pojam, značenje, prednosti i nedostaci su mi bili poznati ali u isto vreme daleki, nedostižni…

Pre svega želim da vam se zahvalim na veoma brzom i profesionalnom pristupu. Jovan Knežević - Hong Kong


Kompletna lista utisaka

Testiranje online

Arhitektura računara

Za one koji žele da znaju više.

Windows OS

Ovo bi svakako trebalo da probate.

Odnosi s javnošću

Koliko znate PR?

Pogledajte još neke od testova

Newsletter

Ukoliko želite da Vas redovno obaveštavamo o novostima sa Link eLearning sajta prijavite se na našu newsletter listu.

Ime:

Prezime:

Email:


Anketa

Arhiva anketa

BAZA ZNANJA


Kurs: 6421: Rešavanje problema i konfiguracija Windows Server 2008 mrežne infrastrukture

Modul: Konfiguracija zaštite mrežnog pristupa (Network Access Protection)

Autor: Test Instruktor

Naziv jedinice: Kako NAP radi


Materijali vezani uz ovu lekciju:

- Test kako nap radi
- Kako NAP radi (PDF dokument)



NAP dizajn omogućava administratorima da ga konfigurišu tako da ispunjava sve potrebe njihove mreže. Iz tog razloga NAP konfiguracija varira u zavisnosti od karakteristika i zahteva administratora. Ipak, NAP operacije ostaju identične.

Kada klijent pokuša da pristupi ili da započne komunikaciju na mreži, on mora da prezentuje zdravlje svog sistema (System Health) ili Proof-of-health Compilance. Ako klijent ne može da dokaže da je saglasan sa System-health zahtevima (na primer, zahtevi koji se odnose na najnoviji operativni sistem ili instalirani i ažurirani AVP), njegov pristup mreži ili komunikacija sa drugim kompjuterima i serverima na mreži može da bude ograničena sve dok u potpunosti ne ispuni sve zahteve koji su definisani u Health-requirement polisi.   Nakon što su sva ažuriranja instalirana, klijent ponovo zahteva pristup mreži ili ponovo pokušava da uspostavi komunikaciju. Ako je klijent saglasan sa zahtevima iz  Health-requirement polise, klijentu će biti dozvoljen pristup ili komunikacija na mreži.

U ovoj lekciji ćete naučiti:

  • NAP Enforcement procese
  • Kako IPSec Enforcement radi
  • Kako 802.1x Enforcement radi
  • Kako VPN Enforcement radi
  • Kako DHCP Enforcement radi

 

NAP Enforcement proces

NAP je Policy-enforcement platforma koja je ugrađena u Windows 7, Windows Server 2008 i Windows XP operativne sisteme, koja omogućava administratoru da zaštiti vrednost mreže na mnogo viši način implementiranjem saglasnosti sa System-health zahtevima. Sa Network Access Protection-om administrator može da kreira prilagođene Health polise da bi proverio zdravlje kompjutera pre dozvoljavanja pristupa ili komunikacije, takođe može da se konfiguriše automatsko ažuriranje saglasnih kompjutera da bi se osigurala dodatna saglasnost i kao opcija može da se konfiguriše da se nesaglasni kompjuteri smeštaju u ograničenu mrežu sve dok ne prođu celokupne testove i dok ne postanu u potpunosti saglasni sa Health polisama.

Da bi se proverio pristup mreži na osnovu zdravlja sistema, mrežna infrastruktura mora da ponudi sledeće funkcionalnosti:

  • Health Policy Validation: Određuje da li su kompjuteri saglasni za zahtevima iz Health polise.
  • Network-Access Limitation: Ograničava pristup za nesaglasne kompjutere.
  • Automatic Remediation: Nudi potrebna ažuriranja da bi dozvolio nesaglasnim kompjuterima da postanu saglasni.
  • Ongoing Compilance: Automatski ažurira saglasne kompjutere tako da kompjuteri budu dosledni sa najnovijim promenama u zahtevima Health polise.

 

Kako radi IPSec Enforcement?

IPSec Enforcement ograničava komunikaciju za IPSec-protected NAP klijente tako što odbacuje dolazeće (Incoming) pokušaje uspostavljanja komunikacije koje šalju kompjuteri koji ne mogu da pregovaraju o IPSec zaštiti koristeći Health sertifikate. Za razliku od 802.1x i VPN Enforcementa, u kojima se Enforcement  događa u Network Entry tački, svaki individualni kompjuter mora da poseduje IPSec Enforcement. Iz razloga što administrator može da iskoristi prednosti IPSec Policy postavki, Enforcement Health sertifikati mogu da se primene za sve kompjutere koji se nalaze u domenu, za specifične kompjutere u podmreži, za jedan specifični kompjuter, za specifični skup TCP & UDP portova ili za skup TCP ili UDP portova na specifičnom kompjuteru.

IPSec Enforcement definiše sledeće logičke mreže:

  • Secure Network
  • Boundary Network
  • Restricted Network



Na osnovu definicije za tri logične mreže, moguće je sledeće iniciranje komunikacije:

  • Kompjuteri u sigurnoj mreži (Secure Network) mogu da započnu komunikaciju sa kompjuterima koji se nalaze u sve tri logičke mreže.
  • Kompjuteri koji se nalaze u Boundary mreži mogu da započnu komunikaciju sa kompjuterima koji se nalaze u sigurnoj ili Boundary mrežama koje IPSec ili Health sertifikati autentifikuju, ili mogu da započnu komunikaciju sa kompjuterima koji se nalaze u ograničenoj (Restricted) mreži koju IPSec nije autentifikovao.
  • Kompjuteri koji se nalaze u ograničenoj mreži mogu da započnu komunikaciju sa kompjuterima koji se nalaze u Restricted ili Boundary mrežama.

 

Kako radi 802.1x Enforcement?

IEEE 802.1x Enforcement daje instrukcije 802.1x-omogućenim Access Pointima kako da koriste ograničeni Access profile (Limited Access Profile) kao set IP packet filtera ili kao VLAN ID da bi smanjili saobraćaj nesaglasnog kompjutera tako da nesaglasni kompjuter može da dosegne samo resurse koji se nalaze u Restricted mreži. Za IP Packet filtriranje 802.1x-omogućeni Access Point-i primenjuje IP packet filtere za IP saobraćaj koji se razmenjuje sa 802.1x klijentom i tiho odbacuje sve pakete koji ne odgovaraju definisanom IP Packet filteru. Za VLAN IDs 802.1x-omogućeni Access Point-i primenjuje VLAN ID na sve pakete koji se razmenjuju sa 802.1x klijentom, a saobraćaj ne napušta VLAN koji odgovara Restricted mreži.

Ako je NAP klijent nesaglasan, 802.1x konekcija će imati primenjen ograničen Access Profile i NAP klijent će moći da pristupi samo resursima koji se nalaze u Restricted mreži.

Kako VPN Enforcement radi?

VPN enforcement koristi remote-access IP paket filtera da bi ograničio VPN klijentski saobraćaj tako da on može da dosegne samo resurse koji se nalaze na Restricted mreži. VPN Server primenjuje IP Paket filtere za IP saobraćaj koji prima od VPN klijenta, i tiho odbacuje sve pakete koji ne odgovaraju konfigurisanom paket filteru.

Ako je VPN klijent nesaglasan, VPN konekcija ima primenjene paket filtere, i VPN klijent će moći da pristupi samo resursima koji se nalaze u Restricted mreži.

Kako radi DHCP Enforcement?

DHCP konfiguracija adresa ograničava mrežni pristup DHCP klijentima koristeći svoju Ipv4 Routing tabelu. DHCP Enforcement postavlja iznos za DHCP ruter opciju na 0.0.0.0, tako da nesaglasni kompjuteri nemaju konfigurisani default Gateway. DHCP Enforcement takođe setuje masku podmreže za dodeljene IP adrese na 255.255.255.255 tako da ne postoji ruta za prikačenu podmrežu (Attached Subnet).

Da bi dozvolio nesaglasnom kompjuteru pristup Restricted Network Remediation serverima, DHCP Server dodeljuje Classless Static Routed DHCP opciju. Ova opcija sadrži host rute ka kompjuterima koji se nalaze u Restricted mreži, kao što je na primer DNS server ili Remediation serveri. Krajnji rezultat DHCP ograničenog mrežnog pristupa je konfiguracija i ruterova tabela koja dozvoljava konektivnost samo ka određenim destinacionim adresama koje odgovaraju Restricted mreži. Odatle, kada aplikacija pokuša da pošalje Unicast Ipv4 adresu koja ne odgovara onim adresama koje su određene preko ClassLess Static Routed opcije, TCP-IP protokol će vratiti Routing Error (grešku).


Smatrate da je ova lekcija korisna?  Preporučite je. Broj preporuka:0


Molimo Vas unesite svoje podatke i dobićete pristup besplatnim lekcijama.

Ime: 
Prezime: 
Email: