Windows 2008 Security aided by NAP and IPSEC

Windows 2008 Security aided by NAP and IPSEC

NAP או Network Access Protection הינה טכנולוגיה המאפשרת הגנה על הרשת הארגונית באמצעות שרתי Windows 2008, למעשה זהו שם מייקרוסופטי למוצר NAC.
ההגנה על הרשת מתבצעת על בסיס "בריאות" (SSoH - system statement of health) המחשבים המתחברים לרשת, דהיינו ניתן לקבוע כי רק מחשבים העומדים במדיניות שנקבעה יוכלו להתחבר לרשת הארגונית. טכנולוגיה זו מונעת התחברת לרשת הארגון ובכך מצמצמת את הסיכון להכנסת תחנות בעיתיות העלולות להכיל וירוסים, Malwares וכו'.
תחנות העבודה הנתמכות בטכנולוגיה זו הן Windows Vista ו – Windows XP SP3.
ההתחברות ל – NAP מתאפשרת באמצעות הטכנולוגיות הבאות:
1. הזדהות באמצעות 802.1x
2. גישה ב – VPN
3. הגדרות DHCP
4. חיבור ל – TS Gateway (חדש ב – Windows 2008).
5. IPsec.

NAP מאפשר כניסה לרשת באמצעות אכיפת "בריאות", אך ישנו תסריט העלול לפגוע בכל זאת ברשת.
ניתן לבצע התקפת Man in the middle) MITM) באופן הבא:


ניתן להכנס עם מחשב בין ה – NAP Client לבין ה – NAP Server (יותר נכון להגיד - HRA, יוסבר בהמשך) . לאחר שהתחנה נמצאה "בריאה" שרת ה – NAP מפנה את תחנת הקצה לסגמנט IP שברשת הארגונית. התוקף הנמצא באמצע מאזין לכל התעבורה ואינו מזוהה כלל ברשת. כעת ניתן לבצע מגוון פעילויות כגון MAC\IP Spoofing ולעבוד ברשת במקום התחנה המורשית או במקום שרת ובכך לגרום לנזקים יותר גדולים. להתקפה זו קיים פתרון והוא שימוש בפרוטוקול IPsec המובנה ב – Windows 2000 ומעלה.

ה – NAP בשילוב עם IPsec מחייב שני מרכיבים: Health Registration Authority) HRA) ו – Enforcement Client) IPsec NAP EC).
ה – HRA הוא שרת המריץ Windows 2008 ו – IIS המבקש תעודות מסוג X.509 (סטנדרט הקובע את סוג המידע שתכיל התעודה) משרת ה – Certificate Authority) CA) עבור לקוח ה - NAP כאשר שרת ה - NAP האחראי על המדיניות (Health Policy Server) קובע כי הלקוח מתאים למדיניותו.
ה – NAP Clients משתמשים בתעודות "הבריאות" (Health Certificates) שניתנו להם משרת ה –CA למטרת הזדהות ב – IPsec מול שאר הארגון. חשוב לציין כי במידה והמחשב אינו עומד במדיניות הארגון תוך כדי העבודה התעודה תמחק ולא תהיה למחשב זה גישה לרשת הארגונית.
ה – IPSec NAP EC הוא רכיב מתוך החבילה הכוללת של ה – NAP Agent המותקן על ה - Client.

איך לקוח מקבל תעודה?
להלן שרטוט המועיל בהבנת מקום הימצאות השרתים שיוסברו (השרטוט נועד להדגמה בלבד):


. כאשר מחשב מאותחל ה – Firewall שלו נדלק ואינו מאפשר חריגות במטרה שלא יתחברו אליו מחשבים זדוניים תוך כדי התחברות לרשת הארגונית.
2. ה – NAP Client מושך קונפיגורציות IP המשייכות את הלקוח לרשת המוגבלת (Restricted Network).
3. ה – IPsec NAP EC שולח ב – HTTP over SSL את נתוניו, בקשה לתעודה, ומצב בריאותו (SSoH) ל – HRA.
4. ה – HRA מעביר את ה – SSoH (מצב הבריאות) לשרת האחראי על מדיניות ה"בריאות" (NAP Health Policy Server).
5. השירות NPS בשרת ה – Health Policy Server מעביר את הבקשה לשרת ניהול ה- NAP (NAP Admin Server).
6. שרת ניהול ה – NAP מפרק את מצב הבריאות הכללי הנשלח (SSoH) לתתי קטגוריות (SoH) ומעביר אותם לבדיקת המדיניות המתאימים להם מול ה – SHV's שלהם.
לדוגמא: System Statement of Health) SSoH) מכיל את מצב הבריאות הכללי המורכב מאנטי וירוס ו – Firewall.
האנטי וירוס וה – Firewall בנפרד מכילים את מצב בריאותם הנקרא Statement of Health) SoH.)
בכדי לבדוק את מצבי ה"בריאות" נדרש רכיב System Health Validator) SHV) לכל SoH.
7. לאחר שכל SHV בודק האם ה – Client עומד במדיניות מועברת תגובה לשרת ניהול ה- NAP המכילה אישור או דחייה לקבלת גישה לרשת. התגובה נקראת Statement of Health Response) SoHR).
8. שרת ניהול ה – NAP מעביר את הבקשות לשירות ה – NPS, אשר בודק את אישור/דחיית הגישה לרשת (SoHR) מול המדיניות שנקבעה בשרת ה – Health Requirement.
הערה: ה – Health Requirement מכיל את העדכונים הנדרשים בפועל, לדוגמא קובץ חתימות עדכני. ה – SHV אינו חייב להכיל את ההגדרות העדכניות וניתן להגדירו כך שיפנה לבדיקה ב – Health Requirement Server.
כתוצאה מהבדיקה נוצרת תגובת "בריאות" כללית הנקראת SSoHR (System State of Health Response).
9. ה – SSoHR נשלח ל – HRA.
10. ה – HRA שולח את התגובה ל – IPsec NAP EC אשר מועברת לרכיב ב – NAP Agent האחראי על וידוא "בריאות" המחשב הנקרא System Health Authority) SHA).
11. אם ה – NAP Client נמצא מתאים לדרישות, ה – HRA מבקש תעודה משרת ה – CA ושולח אותה ל – NAP Client. אם אינו נמצא מתאים ננקטות פעולות לפי המדיניות שנקבעה בסעיף 8, בכדי להחלים ניתן לשרת ה"החלמה" (Remediation Server).

הערה: במידה וה – SoH משתנה השלבים 3 עד 11 חוזרים על עצמם.

לסיכום, ניתן ליישם NAP בגישה בין שרתים בודדים, בגישה מרחוק לרשת ובמצבים טובים (אני אופטימי) גם בכלל הארגון. השיקולים הם אינם אבטחתיים אלא תפעוליים.
חשוב להזכיר כי ה – NAP מובנה בשרתי Windows 2008 ואין צורך לרכוש אותו בנפרד – יתרון לטובת Microsoft. ומכיוון שהינו כלי שמובנה במערכות ההפעלה החדשות ניתן לנהלו באמצעות GPO, דבר המקל על פריסת המוצר.