Network Access Protection ist für die Sicherheit von IT-Systemen eines der wichtigsten Themen überhaupt. Das Ziel ist der Schutz vor Bedrohungen, die absichtlich oder unabsichtlich von außen eingeschleppt werden.
Im Gegensatz zu Firewalls geht es dabei aber nicht um Datenpakete, die ein Angreifer sendet, sondern um „freundliche“ (oder zumindest vermeintlich freundliche) Systeme, die sich mit dem Netzwerk verbinden und von Angreifern als Vehikel genutzt werden, um das interne Netzwerk zu infizieren.
Diese Bedrohung ist durch de zunehmende Mobilität von Benutzern in den vergangenen Jahren massiv gewachsen. Benutzer mit Laptops stellen ein erhebliches Risiko dar, weil sie sich unterwegs beispielsweise über drahtlose Netzwerke mit unsicheren Umgebungen verbinden und damit durch Viren in all ihren Ausprägungen infiziert werden können. Wenn sich ein solches System wieder mit dem internen Netzwerk verbindet, besteht das Risiko, dass damit Viren eingeschleust werden, die eigentlich sonst durch Firewalls und Virenscanner ausgeschlossen wären.
|
Teil 1 |
Grundlagen und Konzepte |
|
Teil 2 |
Die Basiskonfiguration für eine NAP-Infrastruktur: NPS-Server |
Network Access Protection
Network Access Protection (NAP) kann aber auch für die kontinuierliche Überwachung des Netzwerks verwendet werden, um sicherzustellen, dass sich alle Desktopsysteme in einem definierten, sicheren Zustand befinden. Dabei geht es beispielsweise darum, dass Virenscanner nicht abgeschaltet werden oder Benutzer wichtige Konfigurationseinstellungen nicht unberechtigt modifizieren. Hier ist NAP eher eine zusätzliche Maßnahme. Schon durch die Konfiguration von Systemeinstellungen über Gruppenrichtlinien, durch die gezielte Einschränkung von Benutzerrechten und andere Maßnahmen sollte erreicht werden, dass Situationen, die durch die NAP erkannt werden, schon vorab vermieden werden.
Neben den eigenen Mitarbeitern mit ihren Laptops sind aber auch Besucher, die sich mit ihren eigenen Laptops mit dem Firmennetzwerk verbinden, ein Sicherheitsrisiko. Derzeit lässt sich nur schwer kontrollieren, ob das geschieht, da sich jemand mit einem Netzwerk, das mit DHCP arbeitet, sehr einfach verbinden kann. Network Access Protection kann zumindest sicherstellen, dass solche Systeme einen definierten Sicherheitsstatus erfüllen, bevor sie ins Netzwerk gelassen werden. Und wenn die Systeme das nicht machen, können sie ausgeschlossen werden.
Externe Zugriffe
Schließlich gibt es noch die Systeme, auf denen Mitarbeiter zu Hause arbeiten und von denen aus sie sich über das Internet und VPNs mit dem Firmennetzwerk verbinden.
Diese Zugriffe müssen in verschiedenen Situationen überprüft werden. NAP unterstützt eine Reihe von Ansätzen:
-
IPscec: Mit dieser Variante kann sichergestellt werden, dass Systeme, die über IPsec eine Verbindung mit dem internen Netzwerk aufbauen, sicher sind. Darüber hinaus können auch Vorgaben für die Verschlüsselung der IPsec-Verbindung gemacht werden.
-
802.1X: Für Zugriffe über IEEE 802.1X wird NAP ebenfalls angeboten. Damit können beispielsweise Systeme, die sich über drahtlose Netzwerke verbinden, kontrolliert werden.
-
VPN: Ein weiterer Bereich sind VPNs, soweit diese nicht ohnehin über IPsec realisiert werden.
-
DHCP: Vor allem für interne Systeme und für Rechner von externen Personen, die sich mit dem Firmennetzwerk verbinden, ist die Unterstützung von NAP für DHCP von Bedeutung. Damit kann bei der Vergabe oder Erneuerung einer DHCP-Lease der Status der Systeme überprüft werden.
-
NPS/RADIUS: Schließlich gibt es noch die Unterstützung für RADIUS, also das Zusammenspiel mit Systemen, die eine RADIUS-Authentifizierung durchführen.
Network Policy Server
Eine zentrale Rolle in diesem Konzept nimmt der NPS (Network Policy Server) ein, der beim Windows Server Longhorn den IAS (Internet Authentication Service) des Windows Server 2003 ersetzt. Dieser ist der Richtlinien-Server für alle Zugriffsvarianten. Zugriffe laufen also über ihn und werden dort überprüft. Nur die Systeme, die den dort definierten Richtlinien entsprechen, dürfen auch auf das interne Netzwerk zugreifen. Die Überprüfung erfolgt generell gegen eine Richtlinie, die auch als Health Policy bezeichnet wird. In dieser Richtlinie sind Anforderungen an die Sicherheitskonfiguration der Systeme beschrieben.
Wenn ein System mit dieser Richtlinie übereinstimmt, erhält es Zugang zum Netzwerk. Systeme, deren Status nicht mit der Richtlinie übereinstimmt, können entweder gänzlich ausgeschlossen oder zunächst neu konfiguriert werden. In der Phase der Rekonfiguration können sie eingeschränkten Zugriff auf das Netzwerk erhalten.
Für die Möglichkeiten von NAP spielen vor allem zwei Komponenten eine wichtige Rolle:
-
Der System Health Agent ist eine Clientsoftware, die mit dem lokalen NAP-Agent zusammenarbeitet und Informationen über den Systemstatus liefert.
-
Der System Health Validator ist die zugehörige Serverkomponente, die diese Informationen empfängt und mit der Richtlinie vergleicht. Sie entscheidet darüber, ob sich ein System in einem ausreichenden Sicherheitsstatus befindet.
Wichtig ist auch der Remediation Server. Dieser oder diese Server werden für die Aktualisierung von Clients benötigt, die sich in einem nicht sicheren Zustand befinden. Darauf gibt es also beispielsweise Patches, Antivirensoftware und andere erforderliche Komponenten.
Die vielleicht größte Schwäche bei NAP liegt derzeit darin, dass die SHAs und SHVs in ihrer Funktionalität noch relativ begrenzt sind. Hier darf man gespannt sein auf das Angebot von Drittherstellern – und vielleicht auch von Microsoft.
Wie geht es weiter?
Der folgende Teil der Serie konzentriert sich aber zunächst darauf, wie man eine NAP-Umgebung konfiguriert. Dazu gehören der NPS-Server, ein Remediation-Server und ein Client.
Die ersten Schritte werden am Beispiel von DHCP erläutert, weil dieses Protokoll für Zugriffe in jedem Netzwerk eine Rolle spielt –gerade wenn sich Benutzer mit ihren Laptops wieder mit dem Firmennetz verbinden, nachdem sie unterwegs andere Netzwerke genutzt haben.