Longhorn: NAP

Network Access Protection (NAP) ist das Stichwort für eine neue Technologie, die wesentlich mehr Sicherheit für Netzwerke bringen soll und deren erste Ansätze unter dem Namen Network Access Quarantine bekannt wurden. Mit der Verwaltungskonsole für NAP befasst sich der folgende Beitrag.

Vom vormaligen Begriff Network Access Quarantine hat man sich gelöst, weil er sich doch etwas zu sehr auf eine technische Umsetzung und weniger auf den Nutzen der Technologie bezieht.

Das Grundkonzept von NAP ist recht einfach: Clients werden zunächst in einem Quarantäne- Netzwerk überprüft, bevor sie mit vollen Zugriffsberechtigungen ins Netzwerk dürfen. Clients, die nicht korrekt konfiguriert sind, werden entweder entsprechend angepasst oder erhalten keinen Zugriff. Die Zeitdauer der Quarantäne ist aber sehr kurz, solange alles in Ordnung ist, weil in diesem Fall nur eine relativ kleine Menge von Einstellungen überprüft werden muss.

Die Verwaltung der NAP erfolgt über eine als Network Policy Server bezeichnete Konsole. In dieser Konsole finden sich auf der linken Seite mehrere Knoten. Bei RADIUS Clients werden die entsprechenden Clients konfiguriert, falls der NAP als RADIUS-Proxy eingesetzt werden kann. In dieser Rolle kann er eine Überprüfung der Clients durchführen, die über den RADIUS-Client auf das Netzwerk zugreifen. Der RADIUS-Client selbst ist der Einwahlserver.

Mit den Einstellungen bei Authentication Processing wird festgelegt, gegen welche Systeme eine Authentifizierung erfolgt, entweder gegen die lokale oder vertraute Domänen, oder ob mit RADIUS gearbeitet wird. Bei Verwendung von RADIUS werden die Anforderungen an eine definierte Gruppe von externen RADIUS-Servern weitergeleitet. Damit lassen sich autarke NAP-Infrastrukturen realisieren, die nur eine Prüfung der zugreifenden Systeme durchführen, aber nicht direkt mit der Active Directory-Infrastruktur verbunden sind. Eine solche Infrastruktur könnte beispielsweise auch in einer DMZ (Demilitarized Zone) eines Netzwerks platziert werden.

Die Authorization Policies legen fest, unter welchen Voraussetzungen welche Zugriffe auf das Netzwerk zugelassen werden. Diese Richtlinien können mit oder ohne Überprüfung der Clients definiert werden. Mit NAP kann man also auch steuern, dass bestimmte Systeme überhaupt nicht und andere generell zugreifen dürfen. Wie alle Richtlinien im Network Policy Server können auch diese mit einem Assistenten erstellt werden (Bild 2).

Bild 2: Die meisten Funktionen können über Assistenten konfiguriert werden.
Bild 2: Die meisten Funktionen können über Assistenten konfiguriert werden.

Im Bereich Network Access Protection wird schließlich der Schutz im engeren Sinn konfiguriert., Dort werden die System Health Validators konfiguriert, die die eigentliche Analyse der Clientsysteme durchführen. Über Templates wird konfiguriert, wie die SHVs angepasst werden. Außerdem können die Server festgelegt werden, über die eine Aktualisierung von Clients erfolgt, die den definierten Anforderungen nicht entsprechen.

Über die sogenannten Accounting-Schnittstellen werden alle Informationen in definierten Datenspeichern abgelegt. Dabei kann mit lokalen Dateien und dem Microsoft SQL Server gearbeitet werden. Im Prinzip geht es dabei aber um mehr als um Accounting – es geht um eine Protokollierung darüber, welche Systeme in welchem Zustand Zugriff auf das Netzwerk erhalten haben oder welchen Systemen dieser Zugriff verweigert wurde.

Mit der Nutzung der Konsole ist es allerdings nicht getan. Die Konfiguration eigener Überprüfungsmechanismen und die Konzeption und Umsetzung einer NAP-Infrastruktur erfordert einigen Planungsaufwand. Entsprechend wird das Thema im kommenden Jahr in Expert’s inside Windows NT/2000 auch einigen Raum einnehmen, um alle Facetten detailliert betrachten zu können