NAP Enforcement za IPSec polise za Windows Firewall je izgrađen za Health Certificate server, Health Registration Authority (HRA) server, kompjuter na kojem radi NPS (Network Policy server), i IPSec Enforcement Client. Health Certificate server iznajmljuje X.509 sertifikat NAP klijentima kada se dokaže da su klijenti potčinjeni (Compliant). Ovi sertifikati se dalje koriste za autentifikaciju NAP klijenata na početku IPSec komunikacije sa drugim NAP klijentima na Intranetu.

IPSec Enforcement sužava našu mrežnu komunikaciju da bi potčinio klijente i da bi ponudio najjaču NAP implementaciju koja je dostupna. Iz razloga što ovaj Enforcement metod koristi IPSec, možemo da definišemo zahteve za sigurnu komunikaciju na osnovu Per-IP address ili Per-TCP-UDP brojeva portova.

U ovoj lekciji naučićete sledeće:

• IPSec Enforcement za logičke mreže (Logival Networks)
• IPSec NAP Enforcement procesi
• Zahtevi za izgradnju IPSec NAP Enforcement-a

IPSec Enforcement za logičke mreže (Logical Networks)

Slika 38.01

IPSec Enforcement deli fizičku mrežu na tri logičke mreže. Kompjuter je član samo jedne logičke mreže u bilo kom vremenu. Logičke mreže su definisane kompjuterima koji imaju Health sertifikate i koji kompjuteri zahtevaju IPSec autentifikaciju sa Health sertifikatima za dolazeće pokušaje komunikacije. Logičke mreže dozvoljavaju ograničeni mrežni pristup i sadrži potčinjene kompjutere koji su zaštićeni od nepotčinjenih kompjutera.

IPSec NAP Enforcement procesi

Da bi dobili Health sertifikat i postali sigurni članovi mreže, NAP klijenti koriste IPSec Enforcement za startovanje na mreži i odrađivanje IPSec Enforcement NAP procesa.

NAP klijent uklanja svaki postojeći Health Certificate, ako je potrebno, i dodaje novodobijeni Health sertifikat u njegov Computer Certificate Store. IPSec NAP EC konfiguriše IPSec postavke da bi odradio autentifikaciju koristeći Health sertifikat za IPSec zaštićenu komunikaciju i konfiguriše Host-based Firewall da bi dozvolio dolazeće komunikacije od bilo kog Peer-a koji koristi Health sertifikat za IPSec autentifikaciju. NAP klijent sada pripada sigurnoj mreži.

Ako NAP klijent nije podređen (Noncompliant), NAP klijent nema Health sertifikat i neće moći da započne komunikaciju sa kompjuterima koji se nalaze u sigurnoj mreži. NAP klijent odrađuje Remediation proces da bi postao član sigurne mreže.

Zahtevi za izgradnju IPSec NAP Enforcement-a

Da bi izgradili NAP sa IPSec i HRA, moramo da konfigurišemo sledeće:

• U NPS-u, konfigurišemo Connection Request Policy, network Policy, i NAP Health Policy. Administrator može da konfiguriše ove polise individualno koristeći NPS konzolu ili može da iskoristi novi Network Access Protection čarobnjak.
• Omogućili NAP IPSec Enforcement Client i NAP Servis na klijentskim kompjuterima koji podržavaju NAP.
• Instalirati HRA na lokalnom kompjuteru ili na udaljenom kompjuteru.
• Instalirati i konfigurisati Active Directory Certificate Services (AD CS) i šablone sertifikata (Certificate Templates).
• Konfigurisati grupne polise i bilo koje druge postavke koje naša izgradnja zahteva.
• Konfigurisati Windows Security Health Validator (WSHV), ili instalirati i konfigurisati druge System Health agente (SHAs) i System Health validatore (SHVs), u zavisnosti od naše NAP izgradnje.

Zahtevi za izgradnju IPsec NAP Enforcement-a:

• Active Directory
• Active Directory Certificate Services
• Network Policy server
• Health Registration Authority

Dodaj komentar Sviđa mi se - (0) Ne sviđa mi se - (0)    

Ime Nick Email Title Sigurnosni kod

CommentText

• Konfiguracija IPSec NAP Enforcement-a 1

• Konfiguracija IPSec NAP Enforcement-a 2

• Konfiguracija IPSec NAP Enforcement-a 3