Network Policy and Access Services NPAS – Network Policy Server NPS – Kavramlar
Bu makalemde sizlere temel olarak Network Policy Server kavramından bahsedeceğim. İlerleyen bölümlerde ise gerçek hayat senaryoları ve sektörde kullanım örneklerini uygulamalı olarak anlatacağım.
Network Policy Server aslında Network Policy and Access Services (NPAS) rolünün bir bileşeni olduğu için öncelikle bu başlık için genel bir açıklama yapmak istiyorum.
Network Policy and Access Services NPAS
Ağ ilkesi ve erişim hizmetleri – NPAS, temel olarak şirket ağınızın sağlığını ve güveliğini korumanıza yardımcı olan bir sunucu rolüdür. Bu sunucu rolü içerisinde aşağıdaki bileşenler yer almaktadır.
· Network Policy Server (NPS)
· Health Registration Authority (HRA)
· Host Credential Authorization Protocol (HCAP)
Network Policy Server (NPS)
NPS, Windows server sisteminin bir network bileşenidir. Bu bileşen sayesinde organizasyon seviyesinde ağ erişim kuralları ( network access policy ) oluşturabilirsiniz. Bu kurallar sayesinde şirket ağına bağlanacak olan istemcilerin sağlık kontrolü, kimlik doğrulama ve yetkilendirme süreçlerinde kullanılacak protokolleri ayarlayabilirsiniz. Yine NPS yüklü bir Windows server işletim sistemi aynı zamanda RADIUS Proxy görevi de görebilir, yani gelen istekleri uzak bir RADIUS sunucusuna yönlendirebilir.
Health Registration Authority (HRA)
NAP Bileşenlerinden birisidir. Temel görevi sağlık durumu onaylanan istemciler için sertifika sağlamaktır. Bu sertifika sayesinde sağlık durumu uygun olan istemci makineler IPSec protokolü üzerinden diğer intranet içerisindeki istemciler ile güvenli bir şekilde görüşebilmektedir. Yani NAP alt yapısında IPSec kuralları için temel bir rol oynamaktadır.
Host Credential Authorization Protocol (HCAP)
HCAP temel olarak Microsoft Network Access Protection (NAP) çözümü ile Cisco Network Admission Control ürününün beraber çalışmasını sağlayan bir protokoldür.
NPS ve NAP ile beraber HCAP kullanılması durumunda Cisco 802.1x istemciler mevcut erişim ilkelerimiz üzerinden ağımıza bağlanabilirler.
Gelelim bizim asıl konumuz olan NPS başlığına.
Yukarıda pek çok yeni tanım olduğu için NPS özelinde tanımı bir daha yapmak ve bu taze bilgi ile ilerleyen konuları takip etmenizi istediğim için tanımı bir kez daha paylaşıyorum.
Network Policy Server NPS, Windows Server işletim sisteminin bir network bileşenidir. Bu bileşen sayesinde organizasyon seviyesinde ağ erişim kuralları ( network access policy ) oluşturabilirsiniz. Bu kurallar sayesinde şirket ağına bağlanacak olan istemcilerin sağlık kontrolü, kimlik doğrulama ve yetkilendirme süreçlerinde kullanılacak protokolleri ayarlayabilirsiniz. Yine NPS yüklü bir Windows server işletim sistemi aynı zamanda RADIUS Proxy görevi de görebilir, yani gelen istekleri uzak bir RADIUS sunucusuna yönlendirebilir. Ek olarak isterseniz Network Access Protection NAP server ile entegre kullanabilirsiniz. Makalemin ilerleyen bölümlerinde bu senaryolardan detaylı olarak bahsediyorum.
NPS size sunduğu bu özellikleri aslında aşağıdaki 3 temel özellik ile sağlamaktadır.
· RADIUS server
· RADIUS Proxy
· Network Access Protection (NAP) policy server
RADIUS Server
NPS, RADIUS Server özelliği sayesinde merkezi kimlik doğrulama ve yetkilendirme işlemlerini wireless, switch, dial-up VPN bağlantılar için gerçekleştirebilir. Eğer NPS’ i bir RADIUS Server olarak kullanırsanız bu durumda wireless access point ve ya VPN Server’ ı RADIUS client olarak tanımlayabilirsiniz. Access Point veya VPN Server tarafında ise RADIUS server olarak NPS sunucusunun gösterebilirsiniz. Bu sayede RADIUS istekleri için hem merkezi kural yazabilirken hem de loglama işlemleri (kullanıcı bilgilerini-accounting log) için NPS yerel veri tabanı desteğini de kullanım olursunuz. ( isteğe bağlı olur isterseniz logları yerel olarak metin temelli saklayabilirsiniz)
RADIUS Proxy
NPS sunucusunun bir RADIUS Proxy olarak ayarlayabilirsiniz. Bu sayede RADIUS istemcilerinden gelen istekleri bir RADIUS sunucusuna yönlendirebilir.
Bu senaryodaki en önemli bölüm, merkezi bir noktada olduğu için NPS iletilen tüm kullanıcı bilgilerini saklamaktadır. – accounting log
Network Access Protection (NAP) Policy Server
NAP, istemci tarafında ağ bağlantısı için sağlık kontrolü yapan bir teknolojidir. Windows Vista ve sonraki işletim sistemlerinde bütünleşik olarak çalışmaktadır. Temel olarak bu sağlık kontrolündeki başlıklar; yazılım gereksinimleri, güvenlik yamaları gereksinimleri ve gerekli olan bir takım bilgisayar ayaları olarak özetlenebilir.
Eğer bir istemci belirtilen kurallara göre sağlıklı değil ise ağ erişimi sınırlanır ve buna ekl olarak remediation dediğimiz bu bilgisayarın ne yaparsa sağlıklı kabul edileceğine dair yönlendirmelerde sunabilir.
NAP aslında tek başına bunu yapan bir hizmet değildir. NAP altında sunucu ve istemci bileşenleri olmak üzere iki başlık altında alt özellikler sunmaktadır.
İstemci Bileşenleri
Statement of health (SoH)
İstemci bilgisayarın sağlık durum beyanı anlamına gelir. Yani mevcut durumu için bir rapor olarak özetlenebilir. Bu raporu System health agents (SHAs) çıkarır ve NPS sunucusu üzerinde ilişkili olduğu bir system health validator (SHV) bileşenine gönderir.
System health agent (SHA)
İstemci bilgisayarın durumunu kontrol eden bir bileşendir. Bu bileşen Windows Security Health Agent (WSHA) tarafından sağlanan bilgileri NPS sunucusu tarafında ilişkili olduğu System health validators (SHVs) bileşenine göndermekten sorumludur.
Windows Security Health Agent (WSHA), Windows XP SP3 ve sonrası işletim sistemlerinde aşağıdaki bileşenlerin durumunu kontrol eden bir ajandır
· Firewall
· Virus Protection – Yüklümü? – Açık mı? – Güncel mi?
· Spyware Protection – Yüklümü? – Açık mı? – Güncel mi?
· Automatic Updating – Servis Çalışıyor mu?
· Security Update Protection – Güncel güvenlik yamaları yüklü mü?
NAP Agent
İstemci tarafında çalışan ve istemcinin sağlık bilgisini toplayıp NAP sunucusuna raporlayan servistir. WSHA bu servis ile konuşur. Temel olarak farklı ajanlardan aldığı sağlık bilgilerini düzenler ve raporlar. Farklı dememizin sebebi, pek çok farklı üretici de Microsoft NAP mimarisi ile uyumlu ajanlar yazmakta ve bunun üzerinden bilgi toplanabilmektedir.
Enforcement client
DHCP, VPN ve IPSec gibi network erişim ile ilgili olan istemci yazılımlarıdır. Eğer NAP kullanmak istiyorsanız en az bir tane enforcement client yüklü olması gereklidir. NPS üzerinde her bir bağlantı yöntemi için ( Network giriş yöntemi ) farklı policy tanımlayabilirsiniz ( DHCP, VPN, IPsec, Terminal Services Gateway (TS Gateway), Extensible Authentication Protocol (EAP), Wireless vb )
Sunucu Bileşenleri
Remediation server
Güvenlik politikalarına uygun olmayan istemci makinelerin güvenlik politikalarına uymasını sağlayacak sunuculardır. Örneğin NAP uygulamasına geçtiniz ve bir GPO ile tüm istemci makinelerdeki NAP Client servisinin çalışmasını istiyorsunuz.
Bu servisi başlatmalıyız ki istemci tarafında bir sağlık raporu oluşsun ve iletilsin. Bu sağlık raporu uygun da çıkabilir uygun değil de ama önemli olan bu servisin çalışması ve raporun bir şekilde NPS sunucusuna iletilmesidir. Veya başka bir örnek, bu servisi çalışan ancak birkaç haftadır kurum dışında olduğu için Anti Virus ürünü güncel olmayan bir makineyi düşünün. Her iki senaryo da da bilgisayar network’ e dahil olamayacağı için ne DC ile konuşup güncel policyleri alır nede anti virus sunucusundan yeni veri tabanını. Remediation server işte tam bu noktada devreye giriyor. NPS üzerinde IPSec, DHCP, VPN veya hangi erişim için kural yazdıysanız üzerinde aşağıdaki gibi Remediation server olarak Domain Controller, Anti Virus Server gibi sağlıklı duruma geçmek için erişmesi gereken sunucuları tanımlıyorsunuz.
System health validators (SHVs)
İstemci tarafında çalışan SHA agent’ in bilgi verdiği ve ilişkili olduğu NAP’ ın sunucu bileşenlerinden biridir. Her bir SHA agent NPS sunucusu tarafında bağımsız bir SHV ile konuşur. NPS, SHV bileşenini istemci makinelerin sağlık durumunu kontrol için kullanır. SHA tarafından gönderilen statement of health (SoH) yani istemcinin sağlık bilgisinde policy ile uyumsuz bir durum olursa eğer SHV, SHA ajanına statement of health response (SoHR) mesajı gönderir.
Aşağıdaki şekli incelediğiniz zaman System Health Validators altında bir tane bütünleşik gelen “Windows Security Health Validator görebiliyoruz.
NPS üzerinde korunan ağlar yani networkler birden çok SHV ye sahip olabilirler. Böyle bir durumda NPS server tüm SHV çıktılarını koordine etmekten sorumludur. Bu nedenle health policy tanımlarken dikkatli olmamız gereklidir. Aksi halde erişim sorunları yaşayabiliriz.
Örneğin bir önceki resim içerisinden Windows Security Health Validator seçersek bir den çok policy elementi ( Default, DHCP, IPSec vb ) tanımlayabildiğimizi görebiliyoruz.
Health policies
Öncelikle SHV ile yaptığınız ayarları bir sağlık policy’ ye bağlayarak network koruması sağlayabilirsiniz.
System Health Validators kısmında ayarları yaptıktan sonra bunu bir Health Policy ye bağlayabilirsiniz.
Eğer birden çok SHV tanımlı ise hepsinin uygun olması veya diğer seçenekleri seçebilirsiniz
Statement of health response (SoHR)
Bir bilgisayar erişmek istediği network için kullandığı erişim yöntemi ( DHCP, EAP, IPSec vb ) bir policy ile korunuyor ve bu policy de bir veya birden çok SHV ile denetleniyor ise, istemci makine bu SHV kurallarına uygun olmalıdır. Yani Firewall, anti virus, anti spam vb gereksinimleri yerine getirmeli. Eğer yerine getiremiyor ise SHV tarafından o istemcide çalışan SHA ajanına bir SoHR mesajı – raporu gönderilir. Bu rapor temel olarak istemcinin uygun olmadığını ve bunun nasıl uygun yani compliant olabileceğinin bilgisini sunmaktadır. Her bilgisayarın durumuna göre farklı bilgiler içerebilmektedir. Yani kimi sadece firewall açmalı iken kimi bilgisayar da hem firewall açılmalı hem de AV virus veri tabanı güncellenmeli durumu oluşabilir.
Evet, makalemin bu ilk bölümünde belki de en sıkıcı bölümleri bitirmiş olduk. Malum benim makalelerim genellikle uygulama ağırlıklı olduğu için bu makale bir hayli tanım ağırlıklı oldu, ancak makalemin bundan sonraki bölümlerinin ve genel olarak Windows Server ile beraber gelen NPS rolünün tüm özelliklerini uygulamalı olarak öğrenebilmeniz için kavramları iyi biliyor olmanız gerekli. Bu nedenle makalemin ilk bölümünü tamamen teknik terim ve kavramlara ayırdım. Makalemin bir sonraki bölümünde görüşmek dileği ile esen kalın.
Kavramlar
Windows Security Health Agent (WSHA)
Windows XP SP3 ve sonrası işletim sistemlerinde “Windows Securtiy Center” durum bilgisini takip edip bunu aynı bilgisayardaki Network Access Protection Client servisine bildiren bir ajandır. Varsayılan olarak NAP Client ile birlikte çalışır. Topladığı sağlık bilgisini NAP Agent servisine verir. Ek olarak sağlık taramasından geçemeyen yani NAP için uygun bir güvenlik – sağlık durumuna sahip olmayan bilgisayarlar için “Remediation” yani iyileştirme özelliği sunabilir. Eğer NPS üzerindeki ilgili Network Access Protection NAP Policy içerisinde “Automatic remediation tanımlu ise Windows Security Health Agent WSHA istemci ayarlarını istenilen ayarlara getirmeyi dener.
WSHA, Windows Server Update servis üzerinden güncel yama ve durum bilgisini alır.
Windows Security Health Validator (WSHV)
NAP senaryosunda ağ erişimi için gerekli olan ayarları temsil eder.
Yukarıdaki şekilde de görüldüğü gibi temel olarak NAP senaryosunda ağ erişimi yapacak sistemin sağlıklı olup olmadığına buradaki ayarlar üzerinden karar vermekteyiz.
Kaynaklar
https://technet.microsoft.com/en-us/network/bb545879.aspx
https://msdn.microsoft.com/en-us/library/cc754378.aspx
https://msdn.microsoft.com/en-us/library/cc732912.aspx