Kurs: 6421: Rešavanje problema i konfiguracija Windows Server 2008 mrežne infrastrukture Materijali vezani uz ovu lekciju: - Test kako nap radi - Kako NAP radi (PDF dokument) NAP dizajn omogućava administratorima da ga konfigurišu tako da ispunjava sve potrebe njihove mreže. Iz tog razloga NAP konfiguracija varira u zavisnosti od karakteristika i zahteva administratora. Ipak, NAP operacije ostaju identične. Kada klijent pokuša da pristupi ili da započne komunikaciju na mreži, on mora da prezentuje zdravlje svog sistema (System Health) ili Proof-of-health Compilance. Ako klijent ne može da dokaže da je saglasan sa System-health zahtevima (na primer, zahtevi koji se odnose na najnoviji operativni sistem ili instalirani i ažurirani AVP), njegov pristup mreži ili komunikacija sa drugim kompjuterima i serverima na mreži može da bude ograničena sve dok u potpunosti ne ispuni sve zahteve koji su definisani u Health-requirement polisi. Nakon što su sva ažuriranja instalirana, klijent ponovo zahteva pristup mreži ili ponovo pokušava da uspostavi komunikaciju. Ako je klijent saglasan sa zahtevima iz Health-requirement polise, klijentu će biti dozvoljen pristup ili komunikacija na mreži. U ovoj lekciji ćete naučiti:
NAP Enforcement procesNAP je Policy-enforcement platforma koja je ugrađena u Windows 7, Windows Server 2008 i Windows XP operativne sisteme, koja omogućava administratoru da zaštiti vrednost mreže na mnogo viši način implementiranjem saglasnosti sa System-health zahtevima. Sa Network Access Protection-om administrator može da kreira prilagođene Health polise da bi proverio zdravlje kompjutera pre dozvoljavanja pristupa ili komunikacije, takođe može da se konfiguriše automatsko ažuriranje saglasnih kompjutera da bi se osigurala dodatna saglasnost i kao opcija može da se konfiguriše da se nesaglasni kompjuteri smeštaju u ograničenu mrežu sve dok ne prođu celokupne testove i dok ne postanu u potpunosti saglasni sa Health polisama. Da bi se proverio pristup mreži na osnovu zdravlja sistema, mrežna infrastruktura mora da ponudi sledeće funkcionalnosti:
Kako radi IPSec Enforcement?IPSec Enforcement ograničava komunikaciju za IPSec-protected NAP klijente tako što odbacuje dolazeće (Incoming) pokušaje uspostavljanja komunikacije koje šalju kompjuteri koji ne mogu da pregovaraju o IPSec zaštiti koristeći Health sertifikate. Za razliku od 802.1x i VPN Enforcementa, u kojima se Enforcement događa u Network Entry tački, svaki individualni kompjuter mora da poseduje IPSec Enforcement. Iz razloga što administrator može da iskoristi prednosti IPSec Policy postavki, Enforcement Health sertifikati mogu da se primene za sve kompjutere koji se nalaze u domenu, za specifične kompjutere u podmreži, za jedan specifični kompjuter, za specifični skup TCP & UDP portova ili za skup TCP ili UDP portova na specifičnom kompjuteru. IPSec Enforcement definiše sledeće logičke mreže:
Kako radi 802.1x Enforcement?IEEE 802.1x Enforcement daje instrukcije 802.1x-omogućenim Access Pointima kako da koriste ograničeni Access profile (Limited Access Profile) kao set IP packet filtera ili kao VLAN ID da bi smanjili saobraćaj nesaglasnog kompjutera tako da nesaglasni kompjuter može da dosegne samo resurse koji se nalaze u Restricted mreži. Za IP Packet filtriranje 802.1x-omogućeni Access Point-i primenjuje IP packet filtere za IP saobraćaj koji se razmenjuje sa 802.1x klijentom i tiho odbacuje sve pakete koji ne odgovaraju definisanom IP Packet filteru. Za VLAN IDs 802.1x-omogućeni Access Point-i primenjuje VLAN ID na sve pakete koji se razmenjuju sa 802.1x klijentom, a saobraćaj ne napušta VLAN koji odgovara Restricted mreži. Ako je NAP klijent nesaglasan, 802.1x konekcija će imati primenjen ograničen Access Profile i NAP klijent će moći da pristupi samo resursima koji se nalaze u Restricted mreži. Kako VPN Enforcement radi?VPN enforcement koristi remote-access IP paket filtera da bi ograničio VPN klijentski saobraćaj tako da on može da dosegne samo resurse koji se nalaze na Restricted mreži. VPN Server primenjuje IP Paket filtere za IP saobraćaj koji prima od VPN klijenta, i tiho odbacuje sve pakete koji ne odgovaraju konfigurisanom paket filteru. Ako je VPN klijent nesaglasan, VPN konekcija ima primenjene paket filtere, i VPN klijent će moći da pristupi samo resursima koji se nalaze u Restricted mreži. Kako radi DHCP Enforcement?DHCP konfiguracija adresa ograničava mrežni pristup DHCP klijentima koristeći svoju Ipv4 Routing tabelu. DHCP Enforcement postavlja iznos za DHCP ruter opciju na 0.0.0.0, tako da nesaglasni kompjuteri nemaju konfigurisani default Gateway. DHCP Enforcement takođe setuje masku podmreže za dodeljene IP adrese na 255.255.255.255 tako da ne postoji ruta za prikačenu podmrežu (Attached Subnet). Da bi dozvolio nesaglasnom kompjuteru pristup Restricted Network Remediation serverima, DHCP Server dodeljuje Classless Static Routed DHCP opciju. Ova opcija sadrži host rute ka kompjuterima koji se nalaze u Restricted mreži, kao što je na primer DNS server ili Remediation serveri. Krajnji rezultat DHCP ograničenog mrežnog pristupa je konfiguracija i ruterova tabela koja dozvoljava konektivnost samo ka određenim destinacionim adresama koje odgovaraju Restricted mreži. Odatle, kada aplikacija pokuša da pošalje Unicast Ipv4 adresu koja ne odgovara onim adresama koje su određene preko ClassLess Static Routed opcije, TCP-IP protokol će vratiti Routing Error (grešku).
|