آموزش راه اندازی Network Access Protection

تاریخ:۱۳۹۳/۱۲/۱۷

 

آموزش راه اندازی Network Access Protection - قسمت اول

 
 
 
در این سری از مقاله ها ابتدا به بررسی این می پردازین که سرویس Network Access Protection چیست و سپس بصورت قدم به قدم نحوه پیاده سازی آن را شرح خواهیم داد . Network Access Protection سرویسی بود که با معرفی ویندوز سرور 2008 یا بهتر بگوییم ویندوز Longhorn به بازار معرفی شد . اما در آن زمان صرفا به عنوان یک سرویس معرفی شد و چندان کاربردی نداشت ، ضمن اینکه به عنوان نسخه آزمایشی ارائه شده بود . اما با گذشت زمان و ارائه ویندوز سرور 2008 و 2008 R2 این سرویس وارد محیط عملیاتی شد و بر همین اساس من نیز تصمیم گرفتم یک سری مقاله در خصوص شیوه پیاده سازی این سرویس برای شما دوستان آماده کنم . اکثر مواردی را که در این سری مقالات می خوانید بروز هستند اما ممکن است بر حسب تغییرات زیادی که مایکروسافت در محصولاتش می دهد کمی تغییر کرده باشد اما مطمئن باشید تغییرات محسوس نیستند . هدف من از نگارش این سری مقاله آموزش این سرویس زیبا و امنیتی بسیار خوب به دوستانی است که تاکنون به قابلیت های ویندوز سرور 2008 شک داشتند ، پیاده سازی این سرویس به نظر کمی دشوار می آید اما با ما باشید تا انتهای سری مقالات تا این مسئله برایتان آسان شود . این مقالات بصورت قدم به قدم می باشد و امیدوارم عمری باقی باشد تا ادامه مقالات را به ترتیب در وب سایت انجمن حرفه ای های فناوری اطلاعات ایران قرار بدهم . به سراغ اصل موضوع می رویم. 

Network Access Protection چیست ؟


Network Access Protection یا به اختصار NAP برای اداره کردن یکی از ناامیدی های واقعی و اصلی مدیران شبکه های کامپیوتری ایجاد شد ، مشکلی که هر مدیر شبکه با آن مواجه شده و تجربه آن را دارد . به عنوان یک مدیر شبکه مطمئن هستم که شما زمان و انرژی زیادی را برای امن سازی شبکه خود تا جای ممکن صرف کرده اید . اما نکته اینجاست که برخی از ماشین هایی که در شبکه قرار دارند حارج از حیطه کنترل شما هستند و شما هیچگونه کنترل مستقیمی نمی توانید بر روی آنها داشته باشید ، این سیستم ها در فرآیند امن سازی شبکه کار ما را واقعا دشوار می کنند . شاید در برخی اوقات امن سازی شبکه در این موارد غیر ممکن به نظر برسد . 

خوب فکر میکنم منظورم را متوجه شده اید ، بله منظورم کاربران ریموت هستند . شما براحتی می توانید لپ تاپ ها و کامپیوتر هایی را که در شبکه داخلی شما قرار دارند را امن کنید و تمهدیات امنیت خود را بر روی دسکتاپ آنها اعمال کنید ، البته باید دقت کنید که این لپتاپ ها جزء اموال سازمان شما محسوب شوند . خوب تا اینجا مشکلی نیست ف تا اینکه برخی از کاربران شما تصمیم می گیرند که با استفاده از لپتاپ و کامپیوتر خود ار بیرون از سازمان و با استفاده از یک ارتباط VPN به شبکه داخلی متصل شده و برخی از کارهای سازمانی خود را از راه دور و زمانی که در مسافرت به سر می برند انجام دهند . به دلیل اینکه این دستگاه ها دیگر جزء اموال سازمان شما محسوب نمی شوند مدیریت آنها بسیار سخت خواهند بود و شما به عنوان مدیر شبکه هیچگونه دسترسی مستقیمی به آنها نخواهید داشت . 

قبل از اینکه سرویس Network Access Protection معرفی شود به شخصه تا جایی که می توانستم با اتصال کامپیوترهایی که مدیر شبکه نمی توانست به آنها دسترسی و کنترل مدیریتی کامل را داشته باشد به شبکه داخلی مبارزه می کردم . دلایل خاص خودم را دارم ، در این چند سالی که به عنوان مدیر شبکه در شبکه های مختلف مشغول به کار بوده ام تجربیات بسیار بدی از اینگونه اتصال های از راه دور بدست آورده ام. این چیز عجیب و غریبی نیست که کامپیوترهایی که به این روش به شبکه داخلی سازمان متصل می شوند ممکن است آنتی ویروس نداشته باشند و یا مملو از کدهای مخرب و ویروس و ... باشند و از این بدتر از سیستم عامل های بروز رسانی نشده استفاده کنند . ما کاربرانی را داریم که همچنان از ویندوز XP بدون سرویس پک برای برقراری اینگونه ارتباطات استفاده می کنند !!!! 

Network Access Protection برای حل کردن این مشکلات به وجود آمده است. زمانی که یک کاربر توسط ارتباط از راه دور هب شبکه متصل می شود ابتدا توسط یک سیستم یا بهتر بگوییم یک policy امنیتی سلامتش بر اساس یک سری معیار تعیین شده توسط مدیر شبکه بررسی می شود که به آن به اصطلاح Health Policy گفته می شود . این Health Policy بر اساس معیار هایی که هر سازمان تعیین می کند می توانید متغیر باشد ، در برخی از سازمان ها معیاز بروز بودن آنتی ویروس ، نصب شدن آخرین بسته های بروز رسانی و امنیتی سیستم عامل و امثال اینها می تواند باشد . اگر سیستمی که به شبکه متصل شده است در مقایسه با این policy توانست حد نصاب قبولی را بدست بیاورد ، براحتی می تواند به شبکه متصل شده و مثل حالت عادی از منابع شبکه استفاده کند . اما اگر شرایط لازم را برای اتصال نداشت چندین حالت برای برخورد با آن وجود دارد ، ابتدا اینکه دسترسی کاربر مورد نظر به شبکه را کاملا قطع می کنیم ، در روش دوم مشکلات سیستم را تا جای امکان حل می کنیم تا بتواند به شرایط مطلوب برای برقراری ارتباط برسد و در نهایت اینکه به کاربر اجازه دسترسی می دهیم اما وضعیت سیستمی که به شبکه متصل شده است را دائما مانیتور و چک می کنیم ، البته منظور از اینکه این کار را می کنیم یعنی سیستم اینکار را انجام می دهد و شما صرفا یکبار اینکار را انجام می دهید. 


واژه هایی که باید با آنها آشنا شوید


قبل از اینکه وارد جزئیات تنظیمات Network Access Protection شویم بهتر است با برخی از واژه هایی که مایکروسافت برای استفاده از این سیستم در راهنماهای خود استفاده می کند آشنا شویم تا در حین مطالعه مقاله ها به مشکلی برخورد نکنیم : 

  • Enforcement Client که به اختصار EC هم گفته می شود . Enforcement Client چیزی نیست به غیر از ماشینی که قصد برقراری ارتباط با شبکه را دارد . به خاطر داشته باشید که همه client ها یا بهتر بگوییم workstation ها با سرویس Network Access Protection هماهنگی و همخوانی ندارند . برای اینکه در سرویس NAP بتوانید به عنوان یک Enforcement Client شناخته شوید بایستی سیستم شما توانایی اجرای کامپوننت System Health Agent component بر روی خود را داشته باشد ، در خصوص این Agent بعدا بصورت مفصل صحبت خواهم کرد . تنها سیستم عامل های ویندوز ویستا و ویندوز XP سرویس پک 3 و ویندوز سون هستند که قابلیت نصب System Health Agent بر رور خود را دارند بنابراین اینها تنها سیستم عامل هایی خواهند بود که در ساختار سناریوی ما می توانند قرار بگیرند.
  • System Health Agent که به اختصار SHA هم گفته می شود ، البته این را با الگوریتم hashing ای که با همین نام وجود دارد اشتباه نگیرید. System Health Agent به عنوان یک سرویس بر روی سیستم های کلاینت نصب شده و تمامی فعالیت هایی که در Windows Security Center انجام می شود را مانیتور می کند. وظیفه این Agent این است که اطلاعات مربوط به سلامتی یا Health سیستم را بدست آورده و به محض برقراری ارتباط با سرور NAP در اختیار سرور (Enforcement Server ) قرار دهد .

  • Enforcement Server همانطور که از نامش پیداست این سرور اطلاعات مربوط به policy هایی که توسط سرور NAP اعمال می شود را در اختیار داشته و کلاینت را مجبور به اعمال این policy می کند.

  • System Health Validator که به اختصار SHV هم گفته می شود. System Health Validator اطلاعات مربوط به System Health Agent را از سیستم دریافت کرده و آن را با اطلاعاتی که در Health Policy ایجاد شده توسط سرور NAP وجود دارد مقایسه می کند.

  • Remediation Server سروری است که برای Enforcement Client هایی قابل دسترس است که نتوانسته اند با policy که از جانب NAP اعمال شده است برابری کنند. در واقع Remediation Server دارای تمامی مکانیزمهایی است که توان این را دارند که enforcement client با policy اعمال شده منطبق کنند . برای مثال Remediation Server می تواند بسته های امنیتی مورد نیاز کلاینت را برای اینکه بتواند با policy هماهنگ شود بدست آورده و بر روی Enforcement Client اعمال می کند .

راه اندازی Network Access Protection


محدودیت های Network Access Protection

 
آخرین نکته ای که در خصوص سرویس NAP بایستی توجه کرد این است که این سرویس قطعا باعث بالا رفتن درجه امنیت سازمان شما خواهد شد امامکانیزم های امنیتی که شما تاکنون پیاده سازی کرده اید را نقض نکرده و جای آنها را نمی تواند بگیرد . کار بسیار خوبی که NAP برای ما انجام می دهد این است که مطمئن می شود که Remote Client هایی که به شکبه متصل می شوند با policy اعمال شده از سوی سرور مطابقت داشته باشند . کار بهتری که انجام می دهد این است که client را به نوعی مجبور می کند که از Policy موجود طبیعت کند و خود را با آن یکسان کند . نکته جالبتر در خصوص NAP این است که بر پایه و اساس استانداردهای باز بنا شده است و منحصر به فرد نیست ، یعنی هر شرکتی که تولید نرم افزار انجام می دهد می تواند یک ماژول برای policy های NAP ارائه دهد تا به هنگام استفاده توسط این سیستم به کلاینت اعمال شود و این به نطر من شاهکار است . 

اما نکنه در اینجاست که NAP نمی تواند مهاجمین و نفوذگران را از شبکه شما دور نگه دارد ، این سیستم صرفا پارامترهای امنیتی کلاینت ها را با یک مبنا و اساس مقایسه می کند و مطمئن می شود که این موارد رعایت شده اند ، بنابراین صرفا زمانی می تواند ما را از دسترسی مهاجمین در امان نگه دارد که ماشین مبدا یا همان کلاینت تمامی موارد امنیتی را رعایت کرده باشند. حال فرض کنید این سیستم که قصد اتصال به شبکه شما را دارد کامپیوتر یک هکر است که تمامی موارد امنیتی مورد نیاز برای NAP را رعایت کرده است !! در این حالت هکر براحتی به سیستم متصل شده و به داخل شبکه شما دسترسی پیدا می کند . 


نتیجه


در این مقاله شما با سرویس Network Access Policy آشنا شدید و متوجه شدید که این سرویس به ما این امکان را می دهد که از سلامت سیستم هایی که از راه دور به شبکه ما وارد می شوند اطمینان حاص کنیم و آنها را مورد تجزیه و تحلیل قرار دهیم ، با انواع اجزای این سرویس آشنا شدیم و واژه هایی که در مقالات آینده به آنها زیاد برمی خوریم را نیز معرفی کردیم ، اما در مقاله بعدی از همین سری مقالات در خصوص پیاده سازی همین اجزایی که در اینجا معرفی کردیم صحبت خواهیم کرد ، پس منتظر مقاله بعدی باشید.

طراحی و نصب شبکه

برگرفته از سایت http://network.itpro.ir/

 

 

 
طراحی شبکه نصب شبکهطراحی شبکه نصب شبکهطراحی شبکه نصب شبکه طراحی شبکه نصب شبکه طراحی شبکه نصب شبکه طراحی شبکه نصب شبکه طراحی شبکه نصب شبکه طراحی شبکه نصب شبکه طراحی شبکه نصب شبکه طراحی شبکه نصب شبکه طراحی شبکه نصب شبکه طراحی شبکه نصب شبکه طراحی شبکه نصب شبکه طراحی شبکه نصب شبکه طراحی شبکه نصب شبکه طراحی شبکه نصب شبکه طراحی شبکه نصب شبکه طراحی شبکه نصب شبکه طراحی شبکه نصب شبکه طراحی شبکه نصب شبکه طراحی شبکه نصب شبکه طراحی شبکه نصب شبکه طراحی شبکه نصب شبکه طراحی شبکه نصب شبکه  طراحی شبکه نصب شبکهطراحی شبکه نصب شبکه  طراحی شبکه نصب شبکه طراحی شبکه نصب شبکه طراحی شبکه نصب شبکه طراحی شبکه نصب شبکه طراحی شبکه نصب شبکه طراحی شبکه نصب شبکه طراحی شبکه نصب شبکه طراحی شبکه نصب شبکه طراحی شبکه نصب شبکه طراحی شبکه نصب شبکه طراحی شبکه نصب شبکه طراحی شبکه نصب شبکه طراحی شبکه نصب شبکه طراحی شبکه نصب شبکه طراحی شبکه نصب شبکه طراحی شبکه نصب شبکه طراحی شبکه نصب شبکه طراحی شبکه نصب شبکه طراحی شبکه نصب شبکه طراحی شبکه نصب شبکه طراحی شبکه نصب شبکه طراحی شبکه نصب شبکه طراحی شبکه نصب شبکه طراحی شبکه نصب شبکه  طراحی شبکه نصب شبکه طراحی شبکه نصب شبکه طراحی شبکه نصب شبکه طراحی شبکه نصب شبکهطراحی شبکه نصب شبکه طراحی شبکه نصب شبکه طراحی شبکه نصب شبکه طراحی شبکه نصب شبکه طراحی شبکه نصب شبکه طراحی شبکه نصب شبکه طراحی شبکه نصب شبکه طراحی شبکه نصب شبکه طراحی شبکه نصب شبکه طراحی شبکه نصب شبکه طراحی شبکه نصب شبکه طراحی شبکه نصب شبکه طراحی شبکه نصب شبکه طراحی شبکه نصب شبکه طراحی شبکه نصب شبکه طراحی شبکه نصب شبکه
تجهیزات شبکه  فروش سوییچ  فروش کابل شبکه  فروش رک تجهیزات شبکه  فروش سوییچ  فروش کابل شبکه  فروش رک تجهیزات شبکه  فروش سوییچ  فروش کابل شبکه  فروش رک تجهیزات شبکه  فروش سوییچ  فروش کابل شبکه  فروش رک تجهیزات شبکه  فروش سوییچ  فروش کابل شبکه  فروش رک تجهیزات شبکه  فروش سوییچ  فروش کابل شبکه  فروش رک تجهیزات شبکه  فروش سوییچ  فروش کابل شبکه  فروش رک تجهیزات شبکه  فروش سوییچ  فروش کابل شبکه  فروش رک تجهیزات شبکه  فروش سوییچ  فروش کابل شبکه  فروش رک تجهیزات شبکه  فروش سوییچ  فروش کابل شبکه  فروش رک تجهیزات شبکه  فروش سوییچ  فروش کابل شبکه  فروش رک تجهیزات شبکه  فروش سوییچ  فروش کابل شبکه  فروش رک تجهیزات شبکه  فروش سوییچ  فروش کابل شبکه  فروش رک تجهیزات شبکه  فروش سوییچ  فروش کابل شبکه  فروش رک تجهیزات شبکه  فروش سوییچ  فروش کابل شبکه  فروش رک تجهیزات شبکه  فروش سوییچ  فروش کابل شبکه  فروش رک تجهیزات شبکه  فروش سوییچ  فروش کابل شبکه  فروش رکتجهیزات شبکه  فروش سوییچ  فروش کابل شبکه  فروش رک تجهیزات شبکه  فروش سوییچ  فروش کابل شبکه  فروش رک  تجهیزات شبکه  فروش سوییچ  فروش کابل شبکه  فروش رک تجهیزات شبکه  فروش سوییچ  فروش کابل شبکه  فروش رک تجهیزات شبکه  فروش سوییچ  فروش کابل شبکه  فروش رک تجهیزات شبکه  فروش سوییچ  فروش کابل شبکه  فروش رک تجهیزات شبکه  فروش سوییچ  فروش کابل شبکه  فروش رک تجهیزات شبکه  فروش سوییچ  فروش کابل شبکه  فروش رک تجهیزات شبکه  فروش سوییچ  فروش کابل شبکه  فروش رک تجهیزات شبکه  فروش سوییچ  فروش کابل شبکه  فروش رک تجهیزات شبکه  فروش سوییچ  فروش کابل شبکه  فروش رک تجهیزات شبکه  فروش سوییچ  فروش کابل شبکه  فروش رک تجهیزات شبکه  فروش سوییچ  فروش کابل شبکه  فروش رک تجهیزات شبکه  فروش سوییچ  فروش کابل شبکه  فروش رک تجهیزات شبکه  فروش سوییچ  فروش کابل شبکه  فروش رک تجهیزات شبکه  فروش سوییچ  فروش کابل شبکه  فروش رک تجهیزات شبکه  فروش سوییچ  فروش کابل شبکه  فروش رک تجهیزات شبکه  فروش سوییچ  فروش کابل شبکه  فروش رک تجهیزات شبکه  فروش سوییچ  فروش کابل شبکه  فروش رک تجهیزات شبکه  فروش سوییچ  فروش کابل شبکه  فروش رک تجهیزات شبکه  فروش سوییچ  فروش کابل شبکه  فروش رک تجهیزات شبکه  فروش سوییچ  فروش کابل شبکه  فروش رک تجهیزات شبکه  فروش سوییچ  فروش کابل شبکه  فروش رک تجهیزات شبکه  فروش سوییچ  فروش کابل شبکه  فروش رک تجهیزات شبکه  فروش سوییچ  فروش کابل شبکه  فروش رک تجهیزات شبکه  فروش سوییچ  فروش کابل شبکه  فروش رک تجهیزات شبکه  فروش سوییچ  فروش کابل شبکه  فروش رک تجهیزات شبکه  فروش سوییچ  فروش کابل شبکه  فروش رک تجهیزات شبکه  فروش سوییچ  فروش کابل شبکه  فروش رک تجهیزات شبکه  فروش سوییچ  فروش کابل شبکه  فروش رک تجهیزات شبکه  فروش سوییچ  فروش کابل شبکه  فروش رک تجهیزات شبکه  فروش سوییچ  فروش کابل شبکه  فروش رک تجهیزات شبکه  فروش سوییچ  فروش کابل شبکه  فروش رک تجهیزات شبکه  فروش سوییچ  فروش کابل شبکه  فروش رک تجهیزات شبکه  فروش سوییچ  فروش کابل شبکه  فروش رک تجهیزات شبکه  فروش سوییچ  فروش کابل شبکه  فروش رک تجهیزات شبکه  فروش سوییچ  فروش کابل شبکه  فروش رک تجهیزات شبکه  فروش سوییچ  فروش کابل شبکه  فروش رک تجهیزات شبکه  فروش سوییچ  فروش کابل شبکه  فروش رک تجهیزات شبکه  فروش سوییچ  فروش کابل شبکه  فروش رک تجهیزات شبکه  فروش سوییچ  فروش کابل شبکه  فروش رک تجهیزات شبکه  فروش سوییچ  فروش کابل شبکه  فروش رک تجهیزات شبکه  فروش سوییچ  فروش کابل شبکه  فروش رک تجهیزات شبکه  فروش سوییچ  فروش کابل شبکه  فروش رک تجهیزات شبکه  فروش سوییچ  فروش کابل شبکه  فروش رک تجهیزات شبکه  فروش سوییچ  فروش کابل شبکه  فروش رک تجهیزات شبکه  فروش سوییچ  فروش کابل شبکه  فروش رک تجهیزات شبکه  فروش سوییچ  فروش کابل شبکه  فروش رک تجهیزات شبکه  فروش سوییچ  فروش کابل شبکه  فروش رک تجهیزات شبکه  فروش سوییچ  فروش کابل شبکه  فروش رک تجهیزات شبکه  فروش سوییچ  فروش کابل شبکه  فروش رک تجهیزات شبکه  فروش سوییچ  فروش کابل شبکه  فروش رک تجهیزات شبکه  فروش سوییچ  فروش کابل شبکه  فروش رک تجهیزات شبکه  فروش سوییچ  فروش کابل شبکه  فروش رک تجهیزات شبکه  فروش سوییچ  فروش کابل شبکه  فروش رک تجهیزات شبکه  فروش سوییچ  فروش کابل شبکه  فروش رک تجهیزات شبکه  فروش سوییچ  فروش کابل شبکه  فروش رک تجهیزات شبکه  فروش سوییچ  فروش کابل شبکه  فروش رک تجهیزات شبکه  فروش سوییچ  فروش کابل شبکه  فروش رک تجهیزات شبکه  فروش سوییچ  فروش کابل شبکه  فروش رک تجهیزات شبکه  فروش سوییچ  فروش کابل شبکه  فروش رک تجهیزات شبکه  فروش سوییچ  فروش کابل شبکه  فروش رک تجهیزات شبکه  فروش سوییچ  فروش کابل شبکه  فروش رک تجهیزات شبکه  فروش سوییچ  فروش کابل شبکه  فروش رک تجهیزات شبکه  فروش سوییچ  فروش کابل شبکه  فروش رک تجهیزات شبکه  فروش سوییچ  فروش کابل شبکه  فروش رک تجهیزات شبکه  فروش سوییچ  فروش کابل شبکه  فروش رک تجهیزات شبکه  فروش سوییچ  فروش کابل شبکه  فروش رکتجهیزات شبکه  فروش سوییچ  فروش کابل شبکه  فروش رکتجهیزات شبکه  فروش سوییچ  فروش کابل شبکه  فروش رک

  • بازدید روز

    ۶۴

    بازدید دیروز

    ۵۷

    بازدید ماه

    ۱۹۴

    بازدید کل

    ۴۲۰۰۵۵

    افراد آنلاین

    ۵۸