1 — januari 2008 29

NAP beschermt IT-omgevingen tegen ‘risicowerkplekken’ Network Access Protection helpt organisaties bij het

controleren en weren van onbetrouwbare werkplekken

security

Beve ilig ing is een vreemd onderwerp . Is er eenmaa l schade ge leden ,

dan spee lt ge ld geen ro l. Maar zo lang a lles goed loopt en ve ilig lijkt ,

is het knap last ig is om budgetten te reserveren voor de beve ilig ing

van de informat ieomgeving . Het idee dat een omgeving hermet isch

beve iligd kan worden a ls een soort ‘d ig itaa l Fort Knox’ en daarnaast

werkbaar b lijf t voor gebru ikers is een utop ie . Er is we l een meer

rea list ische en meesta l m inder kostbare opt ie . Een mode l waarin de

ba lans tussen ve ilighe id en gebru ikersvriende lijkhe id opt imaa l is.

Zo’n mode l wordt mede moge lijk gemaakt met NAP: Network Access

Protect ion .

Tom Driessen en Gérard van der Burg

Mede door de enorme groe i in gebru ik van mob ie le werkstat ions (in het b ijzon-der laptops) is het re lat ief eenvoud ig geworden om bedrijfsinformat iesyste-men b innen te dringen , b ijvoorbee ld via e-ma il o f Instant Messag ing . Versch illende part ijen z ijn a l en ige t ijd ge leden begon-nen aan een vorm van contro le aan de u ite inden van het interne netwerk (LAN) en het beg in van het internet . Sygate (nu Symantec) is er daar één van , met het product Un iversa l Network Access Contro l. Ook Check Po int is h ier met het product Integrity a l geru ime t ijd mee bez ig . Cisco heef t a l jaren NAC (Network Adm ission Contro l) op de p lank liggen om deze p ijnpunten b innen de bedrijfs-netwerken te beschermen .Bij M icrosoft wordt de NAP (Network Access Protect ion) techno log ie gebru ikt , een techn isch protect iep lat form dat in M icrosoft W indows-Server 2008 is ge ïntegreerd . M icrosoft NAP wordt n iet zozeer a ls een op z ichze lf staand product gez ien , maar meer a ls een p lat form waar a l vee l ISV’s en IHV’s op inspe len en in meewerken . Enke le van deze spe lers z ijn:• McA fee en Symantec (ant ivirus) • A lt iris en PatchLink (patch manage-

ment)

ITB08-01_v3.indd 29 22-01-2008 12:13:42

30 1 — januari 2008

• RSA (security) • Citrix, Entrasys en F5 (netwerkproduc-

ten)

Ook M icrosoft en Cisco z ijn een samen-werk ingsverband aangegaan . In eerste instant ie om hun e igen producten opt i-maa l met e lkaar te laten samenwerken (interoperab ilite it). Daarnaast de len z ij informat ie over vormen van beve ilig ing tegen risicowerkstat ions. NAC of NAP, de concepten , z ijn nauw met e lkaar ver-want . A ls werkp lekken vo ldoen aan a lle ve i-lighe idse isen , zoa ls virusupdates en W indows-updates, dan krijgen ze vo lle-d ig of gedee lde toegang tot het bedrijfs-netwerk . NAP za l gedurende de aanwe-z ighe id van een risicowerkstat ion , maar ook van het geaccepteerde werkstat ion , de gezondhe idsstatus in de gaten b lij-ven houden . Ook kan het reageren op w ijz ig ingen d ie a ls risico gez ien worden

vanu it de gedef in ieerde NAP-po licies. NAP-po licies worden geconf igureerd op een Network Po licy Server (NPS). NPS is een standaardonderdee l van W indows server 2008.NAP contro leert de werkp lekken d ie z ich aanme lden in de infrastructuur op hun hea lth-status. Tijdens de check , d ie ge ïn it ieerd wordt op de NPS-server,

wordt een verzoek naar de NAP-cliënt op de werkp lek gestuurd om de SoH (Statement of Hea lth) te rapporteren . De NAP-cliënt antwoordt h ierop met de SoHR (Statement of Hea lth Response). De System Hea lth Va lidator (SHV) op de NPS-server contro leert de inhoud van het SoH-bericht . A ls de SoH vo ldoet aan de geste lde po licy, dan krijgt de werkp lek

Remediation network/External network

Boundary network

Secured networkNPS/NAP

Cliënt OKConnection request

Cliënt not OK

WSUS/SCCM

UpdatesFiguur 1

BedrijfsnetwerkInternetDMZ

VPN DHCP Domain controller

NPS/NAP

Health Registration Authority

WSUS

Remediation netwerksegment

Figuur 2

security

ITB08-01_v3.indd 30 22-01-2008 12:13:44

1 — januari 2008 31

toegang tot het netwerk . A ls de SoH n iet vo ldoet aan de geste lde po licy, dan beschouwt de NPS-server het werkstat ion a ls risico . In f iguur 1 word op h igh-leve l n iveau weergegeven hoe de connect ie loopt .

Op de NPS-server kan geconf igureerd worden hoe deze met risicowerkp lekken moet omgaan . D it kan betekenen dat de werkp lek gep laatst wordt in een reme-d iat ion-netwerk waar de werkp lek z ijn SoH kan verbeteren . Ook is het moge lijk om te conf igureren dat de werkp lek toch toege laten wordt op het netwerk , maar dan slechts t ijde lijk . Een remed iat ion-net-werksegment bevat servers om de afge-keurde werkp lek te kunnen bed ienen met updates. D it kunnen updates z ijn voor W indows, virusscanners en servers van leveranciers d ie de (NAP-)cliënt heb-ben u itgebre id . Vaak heef t het netwerk-segment a lleen toegang tot Internet en n iet tot het bedrijfsnetwerk .In f iguur 2 staan de componenten afge-bee ld d ie b ij een NAP-imp lementat ie vere ist z ijn .

De cliënt waarmee de NAP-server com-mun iceert , moet ge ïnsta lleerd z ijn op het werkstat ion dat verb ind ing w il maken met het netwerk . De NAP-cliënt wordt standaard meege leverd met a lle versies van W indows V ista . Voor W indows XP

za l deze worden ge leverd zodra Service Pack 3 besch ikbaar komt . De NAP-cliënt bestaat u it drie componenten: • System Hea lth Agent (SHA) • Quarant ine Agent (Q A) • Enforcement Client (EC)

Om commun icat ie tussen de NAP-cliënt en de NPS-server moge lijk te maken is een cert if icaten infrastructuur (PKI) vere ist . De werkp lekken en de servers moeten van de ju iste cert if icaten wor-den voorz ien . Zonder cert if icaten za l er geen verb ind ing tot stand komen . V ia GPO’s kunnen cert if icaten aan werk-p lekken toegekend worden . D it is één van de redenen waarom werkp lekken d ie gebru ik maken van NAP, voordee l hebben a ls z ij lid z ijn van een Act ive D irectory-dome in . Figuur 3 geef t a lle componenten weer d ie in de NAP-cliënt aangebracht z ijn en daarnaast de com-mun icat iestroom met de NPS-server.

De SHA is het component dat verif ieert of het werkstat ion vo ldoet aan de gede-f in ieerde hea lth-po licy. De W indows V ista-werkstat ions worden standaard ge leverd met de M icrosoft SHA . De M icrosoft SHA contro leert b ijvoorbee ld of de W indows Firewa ll act ief is en of de W indows Update Services gestart z ijn . A ls er een virusscanner van een derde part ij wordt ge ïnsta lleerd moet er een b ijbeho-

Quarantine agent

SHAMicrosoft

SHADerde partij

ECDHCP, VPN, IPSec,

802,1xEC

ECDerde partij

System Health Validator

Quarantine Server

WerkplekNPS-Server met RADIUS

SSL VPN gateway802.1x switch

Certificate server

SoHR’sHealth certificate

Authenticatie-verzoeken

WSUS/SCCM/AV updates SHV

Health-policyUpdates

Figuur 3

rende SHA ge ïnsta lleerd worden op de cliënts. De Q A is de tussen liggende laag tussen de SHA en de EC. De Q A verzame lt a lle hea lth-informat ie d ie de SHA’s besch ik-baar ste llen voor de Q A . Deze informat ie wordt geconverteerd naar een leesbaar formaat voor de EC. Daarna wordt de hea lth-informat ie besch ikbaar gemaakt voor de EC.De EC is het gedee lte dat meewerkt om de werkp lek de ju iste po licy op te leg-gen , zoa ls geconf igureerd in de NAP-po licy. Voor iedere NAP-u itro lmoge lijk-he id is er een specif ieke EC noodzake lijk . Standaard z ijn de W indows V ista-werk-p lekken voorz ien van een EC voor de vo l-gende u itro lscenario’s:• IPSec-u itro l • 802.1x-u itro l • DHCP-u itro l • VPN-u itro l • Term ina l Server Gateway-u itro l

Zodra bepaa ld is we lk type NAP-u itro l ge ïmp lementeerd wordt , moet op de werkp lek de EC geconf igureerd worden . A ls de werkp lek lid is van het corporate dome in , kan de EC geconf igureerd wor-den met een GPO . In de GPO wordt het ju iste EC-type geact iveerd . A ls de werk-p lek n iet e igen is en toch moet worden verbonden met het netwerk , dan moet de gebru iker handmat ig de EC act iveren .

ITB08-01_v3.indd 31 22-01-2008 12:13:45

Denk vooruit. Blijf vooruit.

� Alles in één

� Webgebaseerd

� Meertalig

www.clientele-itsm.nl

Software forService Management

Solutions

ITB08-01_v3.indd 32 22-01-2008 12:13:45

1 — januari 2008 33

De EC kan geact iveerd worden door het NAP-cliënt Conf igurat ion-scherm te ope-nen (NAPCLCFG .MSC). Zie f iguur 4.

Het is met W indows Server 2008 moge lijk om de toegangsrestrict ies d ie met NAP worden afgedwongen te comb ineren met een VPN-server. A lle inkomende VPN-verb ind ingen worden dan verp licht onderworpen aan een NAP-scan en op basis van het resu ltaat in de SoHR toe-ge laten of n iet . Bestaande VPN-servers moeten worden vervangen door een VPN-server op basis van W indows Server 2008-techno log ie . Ind ien er voor een NAP-u itro l gekozen wordt in comb inat ie met DHCP, dan worden werkp lekken d ie een request u itsturen om een IP-adres te krijgen van de DHCP-server ook gecontro leerd door de NAP-server. A ls de werkp lek vo ldoet aan de po licy krijgt de werkp lek een IP-adres. Ook de DHCP-ser-ver moet ge ïnsta lleerd z ijn met W indows Server 2008 om deze u itro l moge lijk te maken . Voor ieder type u itro l is de NPS-server noodzake lijk . A ls er gekozen wordt voor de IPsec-u itro l commun iceren de sw itches via het RADIUS-protoco l met de NPS-server.

Ongeacht de grootte van de organ i-sat ie vergt de imp lementat ie van NAP

een goede voorbere id ing en p lann ing . A llereerst moet er gekozen worden we lk scenario van NAP gebru ikt gaat worden . Techn isch gez ien houdt d it in dat a lle werkp lekken moeten besch ikken over de NAP-cliënt en dus dat de werkstat ions m in imaa l W indows V ista of W indows XP SP3 moeten hebben . Daarnaast moet de NAP-po licy gedef in ieerd en geconf igu-reerd worden . Het is aan te beve len om de NAP-infrastructuur eerst een korte periode te laten werken zonder reme-d iat ion po licy. Op deze man ier krijgt de beheerder van de infrastructuur inz icht in de zwakke p lekken van z ijn werkp lekken . Ook kan h ij ontbrekende updates gecon-tro leerd u itro llen zonder dat de NAP-cli-ent d it gaat forceren . A ls de rapportage aangeef t dat de werkp lekken up-to-date z ijn qua software patches en virusscanner updates kan de NAP-po licy ingeschake ld worden . Deze gecontro leerde w ijze van imp lementeren van NAP geef t de m inste kans op product ieverstoringen en zorgt voor een NAP-base line imp lementat ie .M icrosoft posit ioneert NAP n iet a ls de beve ilig ingsop lossing voor a llerle i werkp lekvarianten , maar meer a ls een gecontro leerde beheerop lossing . Door NAP te gebru iken zorgt de beheerder van het netwerk ervoor dat a lleen com-puters d ie vo ldoen aan de standaard ,

verb ind ing kunnen maken . Het concept van NAP is voora l gericht op de infra-structuren waar geen externe gebru i-kers verb ind ing hoeven te maken . Het is n iet onmoge lijk om a ls externe gebru iker verb ind ing te maken , maar het heef t we l behoorlijk wat voeten in aarde . M icrosoft NAP e ist een cert if icaten-infrastructuur b innen het NAP-p lat form en daarnaast is het wense lijk dat de werkp lekken lid z ijn van de M icrosoft Act ive D irectory. Deze vere isten zou men m issch ien los w illen kunnen trekken van het NAP-p lat form . M icrosoft heef t met NAP een product gemaakt dat , zeker in samenwerk ing met beve ilig ingop lossin-gen zoa ls Cisco NAC, een n ieuwe stap is om infrastructuren beter gecontro leerd te beve iligen . Er b lijven er nog vragen onbeantwoord . Een daarvan is o f er ru imte is voor aanpassingen , waardoor NAP ged imensioneerder ingezet kan worden in heterogene omgevingen waar ook externe medewerkers werkzaam z ijn . De updates o f vo lgende versies zu l-len ons leren of M icrosoft h ier ze lf ook zo tegenaan k ijkt .

Tom Driessen is Consultant bij Avanade . Gérard van der Burg is Architect bij Avanade (tomdr@avanade .com en gerardv@avanade .com).

Figuur 4

security

ITB08-01_v3.indd 33 22-01-2008 12:13:46