Upload
alyssa
View
41
Download
0
Embed Size (px)
DESCRIPTION
Windows Server 2008 { Network Access Protection }. Szentgyörgyi Tibor Tibor@ halasztelek.hu Oktató, rendszergazda Netacademia Oktatóközpont. Miről is lesz szó?. NAP bemutatása Komponensek Felhasználási területek DEMO: DHCP kényszerítés VPN kényszerítés NAP bevezetése. - PowerPoint PPT Presentation
Citation preview
Windows Server 2008 {Network Access Protection}
Szentgyörgyi [email protected]
Oktató, rendszergazda
Netacademia Oktatóközpont
Miről is lesz szó?NAP bemutatásaKomponensekFelhasználási területekDEMO:
DHCP kényszerítésVPN kényszerítés
NAP bevezetése
Network Access ProtectionNEM VPN karanténNEM véd a felhasználói támadások ellenNEM ISA ServerNEM feltétlen kell hozzá speciális hardverNEM kell hozzá külön licenc
Garantálja, hogy csak egészséges kliensek tartózkodhatnak a hálózatunkban
Network Access Protection
Egészségi állapot ellenőrzése (Policy Validation)A hálózati elérés korlátozása (Network Restriction)Egészségi állapot helyreállítása (Remediation)Egészségi állapot fenntartása (Ongoing Compliance)
Hozzáférés a hálózathozX
DHCP
Remediation Server
NPS
Szeretnék IP-címet.
Parancsolj!
HealthRegistration
Authority
Kaphatnék eü kiskönyvet? Nézd: egészséges vagyok, itt a SoH-om Kliens ok?
Nem.Frissítésre van szüksége
Nincs eü kiskönyved! Először gyógyulj meg!Kellene
frissítés
Parancsolj!
Yes. Eü kiskönyv kiadása
Parancsolj, az eü kiskönyved
Client
KaranténZóna
HatárZóna
VédettHálózat
KomponensekSystem health agents (SHA) System health validators (SHV) Enforcement Servers
DHCP, VPN, IPSec, 802.1x
NPS ServerRADIUS kiszolgáló
System health servers SCCM,
Remediation ServersWSUS, Antivirus Server
DEMO: NAP komponensek
Felhasználási területek
Kényszerítés Egészséges kliens Beteg kliens
DHCP Teljes IP cím, teljes hozzáférés Korlátozott útvonalak
VPN Teljes hozzáférés Korlátozott VLAN
802.1X Teljes hozzáférés Korlátozott VLAN
IPsecMinden megbízható
állomással kommunikálhat
Egészséges gépek nem állnak vele szóba
TS Gateway Teljes hozzáférés Nincs hozzáférés
IPSec
• Beteg kliensek azonnal izolálva lesznek – a tanúsítványukat visszavonja a NAP ügynök
• Hitelesítést ÉS titkosítást is tartalmaz
• Bármilyen hardverrel működik • Beépített Windows szolgáltatásokat használ kliens és kiszolgáló oldalon is
• Csak ADCS alapon, tanúsítványokkal
• Könnyen beilleszthető a meglévő környezetünkbe
• Együtt használható a többi NAP kényszerítéssel
• A Windows Server 2008-as DHCP kioszt IP címeket a nem NAP-kompatibilis gépeknek is
• Gyors, egyszerű beüzemelés
DHCP
• A „beteg” gépek karanténba kerülnek
• Nem kapnak alapértelmezett átjárót• A patikákat statikus route-tábla bejegyzések alapján érik el
•Gyógyulás után teljes értékű IP-címet kapnak
DHCP
DEMODHCP kényszerítés
•NPS beállítások•DHCP beállítások•Csoportházirend•Kliens beállítások
DEMO
VPN kényszerítés
TS Gateway + NAP
NAP bevezetése
• Kliens oldalon Vista vagy XP SP3• Válasszunk NAP kényszerítést • Első lépésben csak riportoljunk
• Riport eszköz készül• Használjuk a beépített SHV-ket• Később kipróbálhatjuk a külső SHV-kat
is
http://www.microsoft.com/nap
Step-by-Step Guide: Demonstrate NAP DHCP Enforcement in a Test Lab http://www.microsoft.com/downloads/details.aspx?FamilyID=ac38e5bb-18ce-40cb-8e59-188f7a198897&DisplayLang=enStep-by-Step Guide: Demonstrate NAP 802.1X Enforcement in a Test Lab http://www.microsoft.com/downloads/details.aspx?FamilyID=8a0925ee-ee06-4dfb-bba2-07605eff0608&DisplayLang=en.Step-by-Step Guide: Demonstrate NAP IPsec Enforcement in a Test Lab http://www.microsoft.com/downloads/details.aspx?FamilyID=298ff956-1e6c-4d97-a3ed-7e7ffc4bed32&DisplayLang=en.
http://www.microsoft.com/hun/technet/
További információk
Köszönöm a figyelmet!