При использовании описанной ранее технологии подключения по протоколу 802.1х проверяется только сертификат компьютера (или пользователя). Естественно, что разработчики попытались расширить объем проверок. Так появилась технология NAP (Network Access Protection, название используется Microsoft, для других продуктов возможно другое имя; например, Network Access Control для продуктов Symantec Endpoint Protection).

Среди продуктов, предназначенных для контроля доступа устройств, можно отметить решения Cisco, Microsoft, Symantec. Технология NAP от Microsoft поддерживается серверами Windows 2008. В качестве клиентов могут быть компьютеры с операционной системой Windows XP SP3 и старше.

Технология NAP предусматривает ограничение использования ненадежными системами следующих сетевых служб:

служб IPsec (Internet Protocol security protected communication);

подключений с использованием протокола 802.1x;

создания VPN-подключений;

получения конфигурации от DHCP-сервера.

Идея проверки проста. Клиент, желающий получить один из перечисленных здесь сервисов, должен предоставить о себе определенные данные. Штатно существует возможность проверки выполнения параметров, определяемых центром безопасности сервера: наличия антивирусной программы, обновлений, настроек брандмауэра и т. п. Эти данные предоставляются специальной программой с клиентского компьютера (агентом) и анализируются службами сервера. В случае прохождения проверки (соответствия настроек параметрам, заданным администратором) клиентский компьютер получает сертификат, дающий право на использование запрашиваемых услуг. Если проверка не прошла, то дальнейшее поведение будет зависеть от выбранных администратором настроек: либо будет проведено обновление до нужного уровня безопасности, либо введены некоторые ограничения в работе и т. п.

Для расширения числа контролируемых состояний параметров клиента, необходимо разрабатывать собственные модули. Соответствующие интерфейсы (API) описаны, но требуют привлечения подготовленного программиста.

Как уже говорилось, технологии Cisco/Microsoft не являются единственными вариантами решений. На рис. 9.10 представлено сообщение, которое получает пользователь от системы безопасного доступа к сети, реализованной на оборудовании Nortel: программа предлагает посетить указанный сайт и установить отсутствующее программное обеспечение.

Сообщение системы безопасного доступа о действиях, требуемых от пользователя для подключения к сети Примечание

Рис. 9.10. Сообщение системы безопасного доступа о действиях, требуемых от пользователя для подключения к сети Примечание

Сходная технология ограничения была предусмотрена в Windows 2003 для подключения клиентов удаленного доступа (помещение клиентов в карантин с ограниченным доступом во внутреннюю сеть). На практике эта технология не нашла распространения, поскольку требовала разработки специальных программ, проверяющих выполнение условий, предъявляемых к подключаемым системам.

За подробностями внедрения NAP мы отошлем читателя на сайт разработчика - страницу Networking and Access Technologies (http://technet.microsoft.com/en-us/network/bb545879).

Настройка протокола 802.1х | Самоучитель системного администратора | Обнаружение нештатной сетевой активности


Самоучитель системного администратора



Новости за месяц

  • Ноябрь
    2020
  • Пн
  • Вт
  • Ср
  • Чт
  • Пт
  • Сб
  • Вс