NAP: Ochrana síťového přístupu ve Windows

Network Access Protection je souhrnné označení jednak pro samotnou koncepci komplexní ochrany přístupu klientů do sítě, jednak označení pro nasazení konkrétních služeb a aplikací v systémech Windows.


Oblast počítačové bezpečnosti – zaměříme-li se na běžné firemní sítě v rozsahu stovek až tisíců uživatelů – prošla v poslední dekádě několika vývojovými fázemi a také samozřejmě módními vlnami. Při zpětném pohledu nám jejich nastínění dobře ukáže cestu k řešení, které dnes tvůrce Windows označuje jako NAP. Koncepce komplexní ochrany síťového přístupu nespadla z nebe a představuje jakési logické vyústění dlouhodobých změn pohledu na otázku síťové bezpečnosti jako takovou.

Zhruba před 10 lety byla zaklínadlem síťové bezpečnosti ochrana tzv. perimetru, tedy oné mýtické „demilitarizované“ zóny na styku vnitřní a veřejné sítě. Pravým guru byl správce vstupního firewallu a klasická díla bezpečnostní literatury popisovala chytání lstivých hackerů bourajících takovéto zábrany. Opravdu masová popularita internetu však přinesla nové hrozby a též způsob nazírání ochrany.

Další důležitou fází tak byl přechod k individuálnímu zabezpečení síťových rozhraní a heslem dne se stal „personal firewall“. Spoléhat se na ochranu jediným firewallem již nestačilo, zodpovědní chrání každé PC, o serverech ani nemluvě, protože škodlivý software útočí zevnitř.

Ruku v ruce s ním přichází rozmach bezdrátových sítí, který obnažuje další opomíjený problém – zabezpečení fyzického přístupu do vnitřní sítě, ať již té bezdrátové, nebo tradiční „kabelové“. A otázkou dne pak bylo: kdo jsi, že vstupuješ do našeho síťového prostředí?

Po těchto fázích již zůstal jen krůček k rozšíření pojetí bezpečnosti na další související otázky. Obzvláště palčivá je situace větších firem, jejichž pracovníci se běžně připojují vzdáleně po síti z různých počítačů, o jejichž momentálním stavu máme jen mlhavou představu. Jaký je na nich software? Jsou operační systémy takových PC aktuální a se záplatami? Pracuje na nich antivirový program?

Historický exkurs nás dostává k současnému pojetí bezpečného síťového přístupu, který vlastně zahrnuje všechny oblasti, jimiž jsme postupně prošli. Jsme-li dnes důslední, nejenže vybavujeme klientské stanice důležitými softwarovými prostředky (antivir, antispyware, firewall, ochrana spouštění aplikací pod vysokými oprávněními atd.), ale také ověřujeme či vynucujeme jejich nastavení a aktuální činnost.

Taká kontrola může probíhat s různorodým načasováním, avšak nejvhodnější chvíle se nabízí v okamžiku, kdy se chce uživatel znovu připojit do sítě. Ani moc nezáleží na tom, zdali přišel s notebookem a připojil síťový kabel v „zasedačce“, nebo zda se v klidu domova připojuje pomocí VPN. Pokus a připojení je ideální příležitost pro lustraci a následné bezpečnostní zásahy.

 

Co je NAP ve Windows

Network Access Protection je souhrnné označení jednak pro samotnou koncepci komplexní ochrany přístupu klientů do sítě, jednak označení pro nasazení konkrétních služeb a aplikací v systémech Windows, které v součinnosti takovouto ochranu zajišťují. Skeptik by po bližším ohledání možná řekl, že se vlastně nejedná o nic zásadně nového.

Skutečně, NAP je mozaikou technologií a služeb, které samy o sobě se rozvíjejí už léta najdeme je nejen v nejnovějších verzích Windows. Tak třeba protokoly pro virtuální privátní sítě, jako IPSec, jsou k dispozici již delší dobu, stejně jako třeba kontrola a ověření linkového přístupu pomocí protokolu 802.1X.

Další pilíř, služba DHCP, také není převratnou novinkou, i když bychom neměli podceňovat její vylepšení, a schopnost vynucení nastavení klientů, třeba pomocí Group Policy, rovněž není nic zbrusu nového. NAP však přináší novou kvalitu díky jiným věcem. Propojení všech komponent ochrany poskytuje klíčovou výhodu díky těsnému sepětí všech činností, ucelenému způsobu správy a řízení a moderním možnostem, které jsou k dispozici.

Základní myšlenka – bezpečnost musí vzejít z bezpečného klientského počítače – je naplněna koncepcí „agentu“, tedy softwarové komponenty, která kontroluje klíčová nastavení svého „bydliště“, podává o nich zprávy a v případě nutnosti pracuje se zpětnou vazbou, tedy vynucuje požadovaná lokální nastavení.

Klientský operační systém tak vlastně prochází několika vrstvami kontroly, v nichž je průběžně vystaven riziku, že při nesplnění podmínek budou jeho možnosti působení v síti omezeny. Na vše dohlíží služba centrálních politik, která ona pravidla udržuje a poskytuje všem zúčastněným, a je tak zároveň středobodem centralizované správy.

Poslední varianty Windows (2008 R2 a 7) tak vlastně přinášejí prozatím nejúplnější naplnění této myšlenky v podobě potřebných služeb a jednotného ovládání potřebných nastavení. Jak si řekneme dále, promítla se koncepce NAP do řady jinak známých rozhraní pro správu a služeb serverových Windows.

 

Kam prorůstá NAP

Zavedení koncepce NAP přineslo jednak změny a úpravy některých dobře známých a zavedených služeb, jednak některé novinky. Připomeňme ty, jež byly zmíněny v předchozích dílech – základem je jistě samotná koncepce VPN a její nové podoby ve Windows, a k tomu přistupuje nová podoba firewallu s integrovanou technologií IPSec. Pojďme se pak podívat na další změny.

Služba IAS byla zahrnuta již ve Windows 2000 a znalí kroutili hlavami, proč se prostě nejmenuje RADIUS, když jde o RADIUS. Tato doznala důležitých změn – nově pojmenována jako Network Policy Server, poskytuje nejen tradiční služby ověřování a účtování (tedy RADIUS), ale nově též „drží“ centrální politiky řízení přístupu do sítě a hlavně kontroly stavu zabezpečení kontrolovaných operačních systémů (health policies). Tímto se služba stala opravdovým středobodem správy a řízení přístupu, neboť zde rovněž určujeme další veledůležité propojení se serverovou službou kouzelného jména „remediation server“.

Koncepce NAP umožňuje v případě nedostatečného nastavení žádajícího systému dočasné připojení do omezené vnitřní sítě, v níž právě ony „ozdravné servery“ nabízejí medicínu: záplaty, aktualizace antivirů či antispywaru, instalaci chybějících komponent apod. Tímto jsme též zmínili novou roli, kterou server Windows může plnit, tedy onu „remediation“. Musíme též pro úplnost připomenout, že služba či role Network Policy Server zahrnuje i řízení výchozích požadavků na připojení klientů do sítě, takže právě na těchto pravidlech se prověřuje vstupní pověření, kdy dochází k autentizaci.

Již dříve jsme zmínili, že koncepce NAP jde hluboko až na úroveň fyzické ochrany, která těsně souvisí se samotným zpřístupněním konektivity pro přistupující počítač. Takový požadavek se musel promítnout do činnosti služby DHCP, která je úhelným kamenem, neboť ten, kdo obdrží platnou konfiguraci IP, je ve hře. Služba DHCP plně spolupracuje s výše uvedenou službou, a pokud žádající klient nesplňuje potřebnou politiku, je mu přidělena konfigurace dovolující přístup nanejvýše do sítě s již zmíněnými ozdravnými servery.

Jinak se též od počátku vývoje této síti i mechanismu jako takovému říká síťová karanténa, která byla k dispozici již ve Windows 2003. Nejedná se přesně o totéž (obojí je dnes k dispozici zároveň), ale princip je obdobný.

Nesmíme ale zapomínat na stranu klientskou, tedy operační systém, který žádá o přístup do sítě. Zde hraje hlavní roli komponenta s názvem system health agent, tedy onen lokální kontrolní „orgán“. I zde znalci Windows rozeznají spíše evoluční změnu, než úplnou novinku, neboť tato součást Windows již delší dobu poskytuje úhrnné přehledy o tom, zdali antivirus je aktivní a čerství a zda jsou třeba povoleny automatické aktualizace. A právě zde se otevírá prostor pro programátory, kteří chtějí možnosti agentů rozšířit a celý systém NAP tak doplnit o další kontroly.

Určitě bychom ještě měli zmínit úvodní ověřování klientu v síti a protokol 802.1X. Tento průmyslový standard byl zabudován do Windows již před řadou let v souvislosti s rozvojem bezdrátových sítí a dnes je klíčovou součástí koncepce NAP, a to i v oblasti sítí po kabelu, jejichž propojování zajišťují tradiční síťové prvky (přepínače, směrovače).

Právě zde se opět nabízí kooperace se zařízeními dalších dodavatelů – protokol 802.1X potřebuje spolupráci s aktivním síťovým prvkem (stanice Wi-Fi, přepínač) a kvalita spolupráce se službou Network Policy Server pak určuje sílu této úrovně zabezpečení.

 

Širší obzory bezpečnosti

Společnost Microsoft sice dodává popisované řešení NAP jako součást svých operačních systémů, rozhodně tím však neříká v této oblasti své poslední slovo. Produktová řada Microsoft Forefront se již několik let hlásí o své slovo a představuje dnes hlavní bezpečnostní řešení, pracující jako nadstavba nad „běžnými“ možnostmi Windows.

Jde o další úroveň bezpečnostní koncepce – především zde přistupujeme k aplikační kontrole a těsné spolupráci se službami, které jsou publikovány po síti. Microsoft tak doplňuje své klíčové aplikace, jako jsou Exchange či SharePoint, o úroveň hloubkové bezpečnostní kontroly. To vše v co nejtěsnějším spojení s kontrolou přístupových sítí, kterou zajišťuje člen rodiny Forefront s názvem Threat Management Gateway, jinak též postaru ISA Server. Právě rodina Forefront je tedy nejvyšší stupeň zabezpečení, který si můžeme z dílen Microsoftu dopřát.

 

Tento článek vyšel v tištěném SecurityWorldu 3/2010.











Komentáře