NAP – 高可靠性,高安全性兼备的新一代网络安全接入解决方案

Presentation on theme: "NAP – 高可靠性,高安全性兼备的新一代网络安全接入解决方案"— Presentation transcript:

1 NAP – 高可靠性,高安全性兼备的新一代网络安全接入解决方案
3/3/ :08 PM NAP – 高可靠性,高安全性兼备的新一代网络安全接入解决方案 © 2007 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries. The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.

2 课程概览 网络接入安全需求分析 微软网络接入防护(NAP)解决方案概述 如何实现NAP（DEMO演示） 和其他厂商的合作
应用实例(MS IT)分析 Q&A

3 确保私有网络安全性的重要性 健康计算机 私有网络 不健康的计算机
管理员面对的一个严峻的挑战是确保连接到私有网络的计算机更新过，符合安全策略。 这个复杂任务通常牵涉到维护计算机健康，如果计算机是家庭计算机或移动笔记本电脑（不在管理员控制 的范围之内），则强制要求在这些计算机上实现尤为困难。 攻击者可以先攻击一台没有及时更新补丁的home computer，然后利用这台计算机攻击私有网络，而管理 员通常缺乏足够的时间和资源来弥补这些漏洞、 Network Access Protection for Windows Server 2008和Windows vista提供了一个组件和应用程序接口， 帮组管理员确保强制的安全健康策略得以贯彻。 开发人员和管理员可以创建一个解决方案，来检查连接到网络的计算机，并且提供所需要的更新资源（叫 健康更新资源），对于不更新的计算机限制接入。 NAP的强制更新功能可以和其他厂商的软件整合，管理员可以定制开发和部署的系统。 最终实现： 监视计算机访问网络是否符和健康策略要求 自动更新计算机，使其符合健康策略要求 或则，限制不符合安全策略要求的计算机，将其局限在受限制的网络中。 注意：NAP不是被设计用来防治恶意使用者破坏安全网络的，它被设计用于帮助管理员维护网络上的计算 机的健康。它不能防治一个已经符合安全要求的计算机上的恶意用户释放攻击，或执行其他不适当的行为。 不健康的计算机

4 需求1:确保漫游计算机的健康 NAP 4 场景一： 第一种场景，用于检查laptops计算机的健康状态。
便携性是笔记本电脑的优点，但同时也带来的风险，公司的笔记本电脑自由的带入和离开公司网络，如果 长时间离开公司，则可能没有接收到最近的软件更新和设置更改。 笔记本电脑也可能在非安全的网络中感染病毒，比如internet. 使用NAP，网络管理员可以在笔记本电脑重新接入公司网络的时候检查（可以是VPN接入的时候或物理连 接的时候）。 4

5 需求2:确保桌面计算机的健康 Network Policy Server 5
虽然台式机不经常离开网络，但依旧有健康的风险。为了最小化这种风险，管理员必须保证它们接受最新 的补丁包及软件更新。 另外，这些计算机访问web site，共享文件夹， 等其他公共资源也会带来高风险，使用NAP，网络管 理员可以自动检查每一台台式机的健康状态，管理员可以检查日志文件，确认哪些计算机不符合，然后自 动的更新这些不符合要求的计算机。 当管理员修改健康策略，计算机可以自动的获得最新的更新。 Network Policy Server 5

6 需求3:确保访客便携计算机的健康 Network Policy Server 6 场景3：访问计算机的健康状态
公司总是有客户和访客接入到私有网络，这些计算机可能不符合网络的要求，并带有健康风险。 使用NAP，管理员可以确定访客的笔记本电脑只能访问受限网络。 通常，管理员并不要求提供和更新客户的计算机，所以，管理员可以考虑在受限网络中开放internent访问 （其他资源不允许访问）。 Network Policy Server 6

7 需求4:确保家庭计算机的健康 7 不受管理的家庭计算机 不受管理的家庭计算机对网络管理员又是一个挑战，因为它们不直接物理访问到这些计算机。
使用NAP，当用户使用VPN连接的时候，管理员可以检查需要的程序，注册表设置，文件，家庭计算机会 被限制在受限网络中，直到健康状态符合要求。 7

8 课程概览 网络接入安全需求分析 微软网络接入防护(NAP)解决方案概述 如何实现NAP（DEMO演示） 和其他厂商的合作
应用实例(MS IT)分析 Q&A

9 Network Access Protection 解决方案
策略评估 网络限制约束 补救 继续依从策略 策略, 过程和通告 数据 应用程序 主机 内部网络 当今的世界是高度连接的：互连的网络，分布的数据，移动的用户，extranets的业务，远程访问，web service，无线等等 微软改变网络边缘的概念，以微软的解决方案为出发点，通盘的考虑安全问题，微软已经有了很多相关的 技术，其中之一就是NAP 企业受到病毒攻击的原因： consultants/guests plugging in, employees connecting with VPN, and the everyday　attacks on vulnerable computers in the network. 网络管理员一直寻求一个工具来侦测和管理，实现安全健康策略和强制基线。保持网络的弹性，修补漏洞。 ＮＡＰ可以使平台，是内置在windows内的核心组件，这个平台允许下列功能： 策略确认 限制约束 补救 Ongoing compliance 边界网络 9

10 Network Access Protection
策略服务器 MSFT Security Center, SMS, Antigen or 3rd party 3 不符合策略要求 1 2 受限网络 4 修补服务器 WSUS, SMS & 3rd party Windows Vista 客户机 MSFT Network Policy Server 符合策略要求 DHCP, VPN Switch/Router 5 企业内部网络 优点： 安全增强 所有的通讯都经过验证授权并保证是健康的 采用DHCP, VPN, IPsec, 802.1X等技术实现了深度防御 基于策略的访问使得设置和控制均可实现

11 强制方式 强制方式 健康客户机 不健康的客户机 DHCP 可以访问整个网络 限制可访问的网络（由路由器加以限制）
VPN (Microsoft and 3rd Party) 完全访问 基于IP包过滤器的过滤 802.1X 通过IP包过滤器过滤或 虚拟局域网来限制 IPsec 能够和任何受信客户端进行通讯 健康的通讯伙伴将拒绝不符合要求的通讯请求 是2层保护的补充 可以工作在现有的服务器和网络基础结构之上 很容易实现隔离

12 课程概览 网络接入安全需求分析 微软网络接入防护(NAP)解决方案概述 如何实现NAP（DEMO演示） 和其他厂商的合作
应用实例(MS IT)分析 Q&A

13 NAP的实现 （DEMO演示） NAP – 强制选项 NAP with DHCP 基于IPSEC的通讯 NAP with RRAS 强制选项

14 Network Protection Services 概览
Network Policy Server (NPS) Network Access Protection (NAP) Policy Server IEEE Wireless IEEE Wired RADIUS Server RADIUS Proxy Routing and Remote Access Remote Access Service Routing Health Registration Authority (HRA) 我们来看看 网络保护服务概览 当安装了Network policy and Access service，一些角色服务被启用，NPS是微软的RADIUS服务器和 PROXY的实现。 NPS可以用来集中管理多样的网络接入，包括无线，vpn，dialup， 802。1x身份验证交换机。 另外，NPS可以被用来部署 (PEAP)-MS-CHAP v2的安全身份验证密码，为无线连接提供保护。 NPS也为部署NAP包含关键组件。 在安装了NPS role service后，下列技术可以部署： NAP Policy server，NAP 评估NAP-Capable客户发来的SoH（statements of health） 使用Network Policy server MMC，可以设置802.1x的连接请求策略，（802.11无线及802.3有线以太网的 网络访问） NPS作为RADIUS服务器，为无线，身份验证交换机，远程拨叫用户和VPN用户提供集中的连接验证，授 权和记账。 NPS作为RADIUS Proxy，连接请求策略可以被设置为告诉NPS服务器，转发连接请求到某个特定的 Radius server。 Routing and Remote Access 提供远程访问服务 路由 Health Registration Authority (HRA)是NAP的组件，用于颁发健康证书给客户。HRA仅用于NAP的强制方 式为IPSEC强制。

15 NAP 结构概览 系统健康服务器 修补服务器 客户机 MS Network Policy Server 系统安全检察 隔离代理(QA)
更新 Health policy 网络访问请求 客户机 安全申明 MS Network Policy Server 系统安全代理(SHA) 微软或其他 安全证书 系统安全检察 隔离代理(QA) 强制客户端 (EC) (DHCP, IPSec, 802.1X, VPN) 网络接入设备和服务器 隔离服务器(QS) NAP架构概览 客户环境包括SHA（系统安全代理）,QA（隔离代理）和EC（强制客户） SHA检查和声明客户的健康状态（补丁状态，病毒签名，系统设置等） 每一个SHA定义一个系统健康要求或一组系统健康要求。比如一个SHA定义防病毒签名，一个 SHA指定操作系统更新。Windows Vista 和 Windows Server 2008 包含了一个Windows Security Health Validator SHA. 其他的软件厂商或微软可以提供额外的SHA到NAP平台。 Enforcement Client（EC）运用强制执行的方法，每个NAP EC被定义为不同的网络接入或连接类型。 Remediation Server安装需要的更新，设置，应用程序，将客户计算机变化为健康状态，当一个客户机被 限制，它就被路由到Remediation Server。 Network Access Device and server有智力判断赋予或拒绝客户访问网络的请求（防火墙or an appliance） System Health Server通过定义客户端上的系统组件的健康要求，提供客户依从策略 NPS server包括QS和System Health Validator.QS sits在IAS Policy服务器上，执行SHV检查下来相配的动 作，SHV检查安全代理生成的声明。 15

16 NAP with DHCP IEEE 802.1X 我需要一个IP租约 设备 请求接入 这是我的健康状态. 客户机 DHCP Server
NPS Server ＮＡＰ可以使用ＤＨＣＰ来强制健康策略，可以帮助抵御病毒，蠕虫和恶意软件的攻 击 DHCP强制包含DHCP NAPS ES组件和DHCP NAP EC组件 使用DHCP 强制，DHCP server可以在计算机尝试租借和更新IP地址强制健康策略要 求。 DHCP强制是最容易的强制，因为DHCP强制依赖IP路由表中的条目，所以是最薄弱的 限制。 在NAP客户和DHCP服务器之间，NAP客户端使用DHCP message来获得一个合法的 IP V4地址设置，并指示它的健康状态， NAP server使用DHCP message分配设置为 限制网络的IPV4地址设置，并且指示remediation server。 你不符合健康要求 客户机要求更新 修补服务器 VPN Server 允许接入，这是你的新的IP地址 16

17 Demo 基于DHCP的NAP 问题：(DHCP的NAP实际上是微软的DHCP什么技术的发展？) Answer：DHCP Option

18 基于IPSEC的通讯 安全网络 边界网络 受限网络 IPsec Authenticated Unauthenticated 18
一台计算机在一个时刻只能在三个逻辑网络之一之中。 Secure network: 有健康证书的计算机集合，并且要求incoming连接为IPSEC验证尝试采用健康证书。在一个被管理网络，大多数服务器 和客户机属于AD域，在secure network中。 Boundary network：有健康证书，但不需要incoming连接尝试采用健康证书来进行IPSEC验证尝试。在boundary network中的计算机必 须能访问整个网络的计算机。 Restricted networks: 没有健康证书，包含不符合NAP规范的客户计算机的集合 在安全网络中的计算机可以初始连接三个逻辑网络中的任何计算机，初始连接在安全网络或边界网络中的计算机采用IPSEC和健康证书。 初始化连接在限制网络中计算机不采用IPSEC 在安全网络中的计算机将接受在安全和边界网络中的计算机（用ＩＰＳＥＣ进行验证），但不接受在限制网络中的计算机的连接 在边界网络中的计算机可以初始化连接在安全或边界网络中的计算机（使用ＩＰＳＥＣ和健康证书）。和限制网络中的计算机通讯不采 用ＩＰＳＥＣ验证。 边界网络通常只由ＨＣＳ和ＮＡＰ　remediation server， 安全网络 IPsec Authenticated Unauthenticated 边界网络 受限网络 18

19 Demo 基于IPSEC的NAP 问题：如果这台计算机不是域内的计算机，它能不能从HRA（健康代理）那里获得证书呢？

20 NAP with RRAS RADIUS 消息 PEAP 消息 Client NPS Server VPN Server 修补服务器 20
VPN NAP强制服务器是RRAS的新功能。 使用EAP RADIUS来传递在NAP客户和NPS服务器间健康信息，VPN强制通过ＩＰ包过虑 在ＶＰＮ服务器上ＶＰＮ　ＮＡＰ　ＥＳ发送消息给ＶＰＮ客户机上的VPN NAP EC, VPN NAP　ＥＣ是 远程访问连接管理服务中的新功能，用来从NAP的客户端代理发送提供SOH的列表和SOH消息（以PEAP- TYPE-LENGTH-VALUE的形式）。 紧接着VPN NAP EC可以发送健康证书（以PEAP-TLV消息形式） 修补服务器 20

21 Demo 基于VPN的NAP 问题：和传统的VPN隔离网络相比，它们之间有什么异同呢？ 这部分的演示采用播放截图的方式进行

22 课程概览 网络接入安全需求分析 微软网络接入防护(NAP)解决方案概述 如何实现NAP（DEMO演示） 和其他厂商的合作
应用实例(MS IT)分析 Q&A

23 其他厂商在这个领域的探索 和传统的Cisco厂商所提供的NAC比较
好了，到了这里，我们发现我们还没有讨论传统的802.1x的NAP实现方法。 因为，讨论采用802.1x的实现方法，必然要讨论和其他厂商的兼容和结合。

24 Cisco NAC 架构 1. Communications agent － Cisco Trust Agent（简称CTA）
Network access devices : 每一个设备在一开始寻求网络服务时将先与一个网络存取装置（router、switch、VPN concentrator、or firewall）联系。这些装置能要求端点必须提供由CTA产生的「安全凭证」，并且将这些讯息转送至政 策服务器（policy server）以取得该端点存取网络之「允许权」。 3.    Policy servers － 思科安全存取控制服务器（Cisco Secure Access Control Server，简称ACS）判定并给予其适当的存 取权限 4。Management systems ： 提供监控和报告工具，以及管理端点安全的应用服务。

25 Cisco NAC工作原理 1. Host向底层网络设备提出验证
2.  底层网络设备向后传递验证予Policy Server 3.  Policy Server确认使用者认证及权限 4.  将使用者权限传递予各节点网络设备 5.  各节点网络设备强制执行控管该使用者权限 6.  底层网络设备告知使用者可否联机，若为否则将其导向Quarantine Zone(政策非最新者)或告知其无权 使用网络 从这张胶片可见，我们要实现统一的难度在于： 1。计算机 所提交的802.1x协议（消息）要符合共同的标准。 2。网络设备向后传递验证消息的时候，又要符合身份验证 服务器的标准。 领人欣慰的是，微软和思科已经达成协议，共同遵守和开发相应的标准，可以预见，这些标准将大大方便 用户。

26 微软的NAP的特点 微软的NAP有自己独特的地方 因为集成在操作系统中，所以可以完美的实现在网络和主机两个层面上实施防护 网络层面的防护
主机层面的防护 现在我们可以得出一个重要的结论了： 网络层防护 主机层防护

27 使用NAP实现网络层面的防护 Restricted Network System Health Remediation Servers
Here you go. Can I have updates? Ongoing policy updates to Network Policy Server May I have access? Here’s my current health status. Requesting access. Here’s my new health status. Should this client be restricted based on its health? NAP网络层面的防护 IT管理员设置安全策略，它不同时的传递给IAS Policy Server， IAS Policy server在任 何时候保存一个健康缓存。 客户请求网络访问，并且发送SOH Network access device发送信息到IAS Policy server IAS比较缓存和SOH，如果不匹配，IAS policy server通知Network access device限制 客户-将其放置在一个vlan或分离的子网中。 NAP系统传递系统信息给客户，告诉其如何访问fix-up服务器，客户机连接到 remediation server，并且请求更新， remediation server提供客户所需要的更新，客户 返回network access device，再一次发送soh，接下来客户将通过系统安全策略，这次 用户获得了访问网络资源的能力。 According to policy, the client is not up to date. Quarantine client, request it to update. MS NPS Client According to policy, the client is up to date. Grant access. You are given restricted access until fix-up. 802.1x Switch Client is granted access to full intranet. 27

28  使用NAP实现主机层面的防护 X X No Policy No Policy Authentication Authentication
Accessing the network X Remediation Server NPS HRA Client No Policy Authentication Optional Required No Policy Authentication Optional Authentication Required May I have a health certificate? Here’s my SoH. Client ok? No. Needs fix-up. Yes. Issue health certificate. You don’t get a health certificate. Go fix up. Here’s your health certificate.  HRA X Client I need updates. Accessing the network 主机层面的防护 Here is an example of host layer protection in which a client tries to access the network. [BUILD1] 第一次尝试被拒绝. [BUILD2] 客户申请一个健康证书，但一开始被拒绝，直到它修补后，符合策略. [BUILD3] 通过Remediation Server修补 [BUILD4] After the client gets its health certificate, it is finally allowed in. Here you go. NPS Remediation Server 28

29 课程概览 网络接入安全需求分析 微软网络接入防护(NAP)解决方案概述 如何实现NAP（DEMO演示） 和其他厂商的合作
应用实例(MS IT)分析 Q&A

30 NAP 发展 客户操作系统支持 Longhorn Server Beta 3 部署亮点
Vista: DHCP, VPN, IPsec, 802.1x, Terminal Services, Windows Security Center XP NAP: 和vista一样支持, 目前beta版的客户端已经可用 其他厂商: NAP 跨平台授权 Longhorn Server Beta 3 新功能: NAP-NAC, SMSv4, MOMv3, XP 802.1x, 改善了管理 在微软IT部门和早期技术测试伙伴中已经开始推广 部署亮点 在微软的生产环境中部署超过75000台 在微软中开始担负起发现和修补不符合要求的系统的工作 NPS 正在执行数量高达百万的事务 所有TAP 客户在使用中 今天NAP正在微软大量的使用 . NAP TAP 伙伴正在跟进

31 当前的MSIT NAP部署状况 IPSec DHCP VPN 强制方式 Windows 2008服务器数量 客户数量 健康策略检察
2 NPS/HRA Servers – NT Dev Domain 8,000 Vista Clients Deferred enforcement Windows SHA (Firewall, AU and AV) 2 NPS/HRA Servers – Redmond and North America Domain 32,000 Vista Clients SMS SHA DHCP 2 DHCP Servers Wired – 11,900 IP’s (B40,B41,43,44) Wireless – 5100 IP’s (B40,B41,43,44) Reporting mode only VPN 2 NPS 2 VPN 100 clients in Feb 1000 clients in March Enforcement Mode Windows SHA (Firewall) SCCM (patch management) CA E-Trust (AV)

32 NAP 产品团队部署 Cisco Wired Switches IPSec 2 NPS Servers
强制方式 Windows 2008 server 网络设备 安全策略检察 IPSec DHCP Wireless 802.1x Wired 802.1x 2 NPS Servers 2 NPS Proxies 2 DHCP Servers Cisco Wired Switches Extreme Wired Switches Aruba Wireless Windows SHA (spyware, Firewall) SCCM (patching) Computer Associates (AV)

33 用户体验 开发人员改善了错误报告

34 用户体验 用户可以更清晰的理解NAP强制，并更熟练的修改以依从策略要求

35 修补站点

36 报告

37 课程回顾 网络接入安全需求分析 微软网络接入防护(NAP)解决方案概述 如何实现NAP（DEMO演示） 和其他厂商的合作
应用实例(MS IT)分析

38 防病毒 软件安全类 补丁类 应用程序安全类 网络设备类 系统集成类

39 参考资源 站点和 白皮书 www.microsoft.com/nap NAP FAQ
NAP Blog Windows Server 2008

40 3/3/ :08 PM Q&A 答惑解疑 © 2007 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries. The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.

41 3/3/ :08 PM © 2007 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries. The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION. © 2007 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries. The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.