Защита доступа к сети. Начало

Как вы, скорее всего, заметили, в последнее время большинство моих статей посвящается технологии групповой политики, которую, по моему мнению, необходимо знать и понимать, так как именно благодаря этой технологии вы можете оградить пользователей, компьютеры и сеть своей компании от многих бед. Групповые политики тесно связаны практически с каждыми технологиями, которые можно разворачивать в организации. Но в любом случае, даже если вы будете использовать сценарии с каждым параметром групповой политики, парк компьютеров вашей организации все еще будет уязвим по многим причинам.

Практически в каждой организации, одной из основных задач системного администратора, а иногда и отдельного администратора по безопасности, связанной с обслуживанием парка компьютеров является обеспечение безопасности. В организациях чаще всего для обеспечения безопасности внедряют следующие решения:

• Установка антивирусного программного обеспечения на клиентские компьютеры, файловые и почтовые сервера, а также консоли управления антивирусным программным обеспечением на выделенном сервере. К ключевым продуктам для бизнеса по обеспечению антивирусной безопасности можно отнести продукты Microsoft ForeFront, Kaspersky Enterprise Space Security, а также Symantec Endpoint Protection;
• Настройка брандмауэров на рабочих станциях и серверах в организации. Например, брандмауэр Windows в режиме повышенной безопасности позволяет фильтровать входящий и исходящий трафик, используя настраиваемые правила для определения законных и небезопасных коммуникаций;
• Развертывание межсетевых экранов в демилитаризованных зонах, которые могут быть комплексными решениями для обеспечения безопасности в сети, позволяющие защитить внутреннюю сеть организации от угроз из Интернета. Например, межсетевой экран Microsoft Forefront Threat Management Gateway 2010 предлагает единый простой способ обеспечения безопасности периметра благодаря интегрированному межсетевому экрану, VPN, предотвращению вторжений, проверке наличия вредоносных программ и фильтрации URL-адресов.
• Обеспечение безопасности обмена данных между компьютерами при помощи протокола IPSec, который чаще всего применяется для защиты трафика через Интернет при использовании виртуальных частных сетей;
• Настройка политики безопасности групповой политики. К таким политикам можно отнести политики паролей и блокировки учетных записей, политики открытого ключа, политики ограниченного использования программ и многое другое;
• Использование шифрования дисков, позволяющее защитить данные, расположенные на клиентских компьютерах в том случае, если пользовательский компьютер украден или во избежание раскрытия данных, находившихся на потерянных, украденных или неправильно списанных персональных компьютерах.

Как видите, не существует единого комплексного решения, позволяющего полностью защитить всех ваших пользователей от различных ситуаций и атак и, разумеется, перечисленный выше список решений не является окончательным. Но при помощи всех указанных выше решений обеспечения безопасности вы сможете лишь защитить сеть своей организации от атак злоумышленниками извне, то есть из сети Интернет. Также вы можете защитить свою интрасеть от человеческого фактора, так как при правильном использовании функционала групповой политики можно ограничить пользователей от выполнения многих действий, а также от внесения большинства изменений в систему. Но не стоит исключать возможность, когда сотрудники вашей компании разъезжают по командировкам. Будучи на вокзале, в аэропорту, интернет кафе или в партнерской организации, ваш пользователь мог подключать свой ноутбук к сети Интернет или к внутренней сети другой компании. А так как в расположении, где пользователь подключался к сети Интернет, могут быть не соблюдены требования безопасности, ноутбук вашего сотрудника может быть заражен и по возвращении в свой офис, вирус, расположенный на ноутбуке приехавшего сотрудника может начать распространяться на уязвимые компьютеры. Описанный выше сценарий является наиболее распространяемым и во избежание подобных ситуаций, в операционной системе Windows Server 2008 была анонсирована новая технология «Защита доступа к сети». Эта технология содержит как клиентские, так и серверные компоненты, позволяющие создавать и применять определенные политики требований к работоспособности, определяющие характеристики конфигурации программного обеспечения и системы при подключении компьютеров к внутренней сети организации. Когда клиентские компьютеры подключаются к сети организации, их компьютеры должны соответствовать определенным требованиям состояния и если компьютер не соответствует таким требованиям (например, установка последних обновлений операционной системы), то они будут помещены в сетевой карантин, где смогут загрузить последние обновления, установить антивирусное обеспечение и выполнить другие требуемые действия. В этой вводной статье я вкратце расскажу о данной технологии.

Технология защиты доступа к сети и методы принудительной защиты

Как уже было упомянуто немного ранее, защита доступа к сети (Network Access Protection, NAP) является расширяемой платформой, предоставляющей определенную инфраструктуру. Защита доступа к сети требует выполнения полной проверки и оценивает работоспособность клиентских компьютеров, при этом ограничивая сетевой доступ для клиентских компьютеров, не соответствующих этим требованиям. В защите доступа к сети применяются политики работоспособности, проверяющие и оценивающие клиентские компьютеры, приводя их в соответствие политике работоспособности до предоставления им полного доступа к сети. Несмотря на то, что технология защиты доступа к сети обеспечивает богатый функционал, такие компоненты как проверка состояния работоспособности компьютера, создание отчетов о работоспособности, сравнение показателей работоспособности клиентского компьютера с параметрами политики работоспособности, а также настройка параметров клиентского компьютера в соответствие с требованиями политики работоспособности осуществляются другими компонентами, которые называются агентами работоспособности системы и средствами проверки работоспособности системы. Агенты работоспособности по умолчанию включены как компоненты системы в операционных системах, начиная с Windows Vista и Windows Server 2008. Но для интеграции защиты доступа к сети, разработчики стороннего программного обеспечения также могут использовать набор API для написания своих собственных агентов работоспособности. Стоит обратить внимание на то, что защита доступа к сети предоставляет двухстороннюю защиту клиентских компьютеров и внутренней сети организации, обеспечивая соответствие подключающихся к сети компьютеров действующих в организации требованиям политики сети, а также политики работоспособности клиента.

Сами по себе политики работоспособности применяются с использованием компонентов клиентской стороны, которые уже проверяют и оценивают работоспособность, согласно которым ограничивается доступ к сети для несоответствующих клиентских компьютеров, а также одновременно компонентов клиентской и серверной стороны, обеспечивающих обновление несоответствующих клиентских компьютеров для предоставления им полного доступа к сети. А работоспособность задается в виде сведений о клиентском компьютере, которые используются защитой доступа к сети для определения возможности доступа данного клиента к внутренней сети организации. К примерам характеристик, которые проверяются при оценке состояния работоспособности состояния конфигурации клиентского компьютера, по сравнению с состоянием, необходимым в соответствии с политикой работоспособности можно отнести статус установки обновлений операционной системы и обновлений сигнатур антивирусного программного обеспечения, установку обновлений антишпионского программного обеспечения, работоспособность брандмауэра на клиентском компьютере и прочее. В том случае, если конфигурация клиентского компьютера не будет соответствовать необходимому состоянию, таким компьютерам или будет полностью запрещен доступ к сети организации, или им будет предоставлен доступ только к специальной сети карантина, где клиенту будут предоставлены обновления программного, антивирусного и антишпионского обеспечения.

Когда клиентские компьютеры пытаются получить доступ к сети организации через такие серверы доступа к сети как VPN-серверы, к ним применяется принудительная защита доступа к сети. Способ применения такой принудительной защиты напрямую зависит от выбранного метода применения. Политики работоспособности защиты доступа к сети могут быть применены к следующим сетевым технологиям:

• Протоколу DHCP. При использовании этого типа принудительной защиты используется серверная роль DHCP, установленная на компьютере под Windows Server 2008, обеспечивающая автоматическое предоставление IP-адресов клиентским компьютерам. Если для этого типа включена защита NAP, то IP-адреса, предоставляющие сетевой доступ могут получить лишь компьютеры, которые полностью соответствуют требованиям безопасности, а все остальные компьютеры будут получать адреса в подсети 255.255.255.255 без основного шлюза. Несмотря на то, что клиенты не могут получить доступ к сети организации, они будут обеспечены маршрутами узла, направляющих трафик на сетевые ресурсы в группе восстановления работоспособности, где они смогут установить все необходимые обновления безопасности;
• Безопасным подключениям IPSec. Этот метод включения принудительной защиты развертывается для того, чтобы клиенты проверяли актуальность защиты системы перед получением сертификата работоспособности. В свою очередь, сервер сертификации выдает клиентам NAP сертификат X.509 для проверки подлинности, который необходим для обеспечения безопасности IPSec перед подключением клиентов к сети, когда они обмениваются данными по протоколу IPsec с другими клиентами организации. При использовании текущего метода вместе с поддержкой защиты доступа к сети вам предстоит еще развернуть сервер сертификации;
• Проводным и беспроводным сетям IEEE 802.1X. Метод принудительной защиты на основании проводных или беспроводных сетей IEEE 802.1X реализуется совместно с точками беспроводного доступа или коммутаторами Ethernet с поддержкой проверки подлинности 802.1X. При этой реализации сервер NAP дает коммутатору проверки подлинности 802.1X или точке беспроводного доступа 802.1X команду перемещать несоответствующих требованиям клиентов в зону карантина или вообще не подключать к сети организации. Текущий метод защиты обеспечивает гарантии соответствия требованиям системы безопасности для компьютеров, которые могут находиться в сети продолжительное время;
• VPN-серверам и подключениям. Применение данного метода принудительной защиты предназначается для работы с виртуальными частными сетями и предусматривает развертывание VPN-сервера Windows Server 2008 и компонента «Маршрутизация и удаленный доступ». Соответственно, при использовании NAP, клиенты, подключающиеся к виртуальной частной сети должны проходить проверку работоспособности, и неограниченный сетевой доступ будут получать лишь те клиентские компьютеры, которые соответствуют требованиям системы безопасности;
• Шлюзу удаленных рабочих столов. Несмотря на то, что в большинстве случаев к серверам удаленных рабочих столов могут подключаться лишь определенные авторизированные пользователи, отслеживание состояния работоспособности клиентских компьютеров позволяет подключаться к серверам или удаленным рабочим столам только соответствующим требованиям безопасности компьютерам.

Заключение

В целом, как вы уже поняли, технология «Защита доступа к сети» обеспечивает дополнительную степень безопасности, предоставляющую допуск к ресурсам внутренней сети только тем компьютерам, которые соответствуют отведенным требованиям безопасности. Но не стоит забывать и о том, что, несмотря на обеспечение гарантии технологии защиты доступа к сети, ваши пользователи не смогут подключиться к внутренней сети без соответствия требований безопасности, работа NAP может не значительно препятствовать опытному хакеру, все равно подключиться к сети вашей организации. На этом первая статья из цикла статей по технологии защиты доступа к сети NAP подходит к концу. В следующих статьях данного цикла вы узнаете о развертывании технологии NAP, об устранении неполадок, связанных с это технологией, обо всех методах принудительной защиты, а также о многих других нюансах.