Dhcp windows защита доступа к сети

Description:

In today’s IT, data integrity and information security is the major concern among the system administrators — thanks to the increasing number of highly sophisticated and coordinated attacks that are ripping away the company’s
reputation and customer trust within hours that took years to build.

So, how do the hackers manage to do it? Answer is simple: By gaining access to servers and clients they were not authorized to access, caused due to one or more security lapses. Keeping this in mind, I’ve written this article
which will help you understand how NAP plays an important role in reducing such attacks by providing system administrators a more flexible and granular control of who is able to access their network.

What NAP does is that validates each client computer’s health status (that request access to the internal network) against a set of the corporate policies and determines its level of access depending upon its health. If the computer
is found to be health compliant, it is placed onto the internal network. But if the client is found to be non-compliant, NAP facilitates auto-remediation of its health by placing it in a restricted network along with
the remediation server group, which is responsible for ‘repairing’ the client’s health status. On completion of the remediation procedure successfully, it is placed onto the internal network, just like in the previous case where the computer was already healthy.

A: By ‘health’ of a computer, I mean making sure that all the measures that ensure the computer to be working in its best form possible are taken, like-
• Windows Updates are enabled and up to date (provided by default)
• A Firewall is turned on and properly configured (provided by default)
• Antivirus, anti-spyware are installed with definitions up to date(provided by default)
• Other custom application requirements/rules are met

There are five basic ways in which NAP can be implemented:-

1. IPSec: In this type of implementation, the client computer can communicate with only a limited number of servers until it demonstrates its compliance. Other administered systems
will ignore network traffic from this client when it is non-compliant. Once compliance is proved, it is allowed unrestricted access. This implementation relies on Public Key Infrastructure (PKI) certificates and hence can get complex sometimes, but is the
most secure.

2. 802.1x: In this type, over wired or wireless networks- the client’s access is restricted by network infrastructure services such as connection access points like routers and switches
until the client demonstrates its compliance.

3. VPN: This type is used to restrict connections from remote clients that attempt to dial-in or VPN at the VPN server itself. Since it is used for remote connection restriction,
we cannot use this for controlling access of local clients that are present on site.

4. DHCP: In this type, the DHCP server assigns an IPv4 address configuration to client that allows it limited access to the network until it demonstrates compliance. This is the easiest
to deploy, but also the least secure.

5. TS Gateway: This helps ensure that clients meet the health policy requirements of your organization before they are allowed to connect to internal network resources through TS Gateway servers.

What are the NAP’s advantages?

(a). Since it can be integrated with Active Directory, it can directly be managed using the Group Policy Management console.

(b). It is compatible with other custom rule enforcement applications and hence, gives more flexibility.

(c). If you have Windows Server 2008 R2 servers with Windows 7 clients, you can seamlessly make NAP work with DirectAccess for remote access too.

(d). Deploying NAP on Forefront provides even more elevated level of access control and malware protection.

In this screencast, I’ve demonstrated how NAP is implemented using DHCP! Please feel free to ask questions or leave your feedback!

Сервис, выдающий IP-адреса устройствам в локальной сети, кажется одним из самых простых и всем знакомых. Тем не менее у моих младших коллег до сих пор временами всплывают вопросы вроде «компьютер что-то получает какой-то странный адрес», а появление второго DHCP-сервера в одном сетевом сегменте вызывает некоторый трепет или проблемы в работе сети.

Чтобы у прочитавших этот материал такие вопросы не возникали, мне хотелось бы собрать в кучу основную информацию про работу механизмов выдачи адресов IP, особенности и примеры настройки отказоустойчивых и защищенных конфигураций. Да и возможно матерым специалистам будет интересно освежить нейронные связи.

Немного теории и решения интересных и не очень практических задач — под катом.

В современной локальной сети выдачей адресов обычно занимаются специализированные сервисы с поддержкой протоколов. Самым популярным из них является DHCP (Dynamic Host Configuration Protocol).

Zeroconf или зачем нам вообще какой-то DHCP

В принципе, специально для функционирования небольших сетей был создан стек технологий под названием Zeroconf. Он позволяет обойтись без каких-либо централизованных сервисов и серверов, включая, но не ограничиваясь выдачей IP-адресов. Им закрываются (ну, или почти закрываются) следующие вопросы:

Получение IP-адреса (Automatic Private IP Addressing или APIPA). Система сама назначает себе IP из сети 169.254.0.0/16 (кроме сеток /24 в начале и конце диапазона), основываясь на MAC-адресе и генераторе псевдослучайных чисел. Такая система позволяет избежать конфликтов, а адрес из этой сети называют link-local — в том числе и потому, что эти адреса не маршрутизируются.

Поиск по имени. Система анонсирует свое сетевое имя, и каждый компьютер работает с ним как с DNS, храня записи у себя в кэше. Apple использует технологию mDNS (Multicast DNS), а Microsoft — LLMNR (Link-local Multicast Name Resolution), упомянутую в статье «Домены, адреса и Windows: смешивать, но не взбалтывать».

Поиск сетевых сервисов. Например, принтеров. Пожалуй, самым известным протоколом является UPnP, который помимо прочего умеет сам открывать порты на роутерах. Протокол довольно сложен, в нем используется целый набор надстроек вроде использования http, в отличие от второго известного протокола — DNS-SD (DNS Service Discovery), который попросту использует SRV-записи, в том числе при работе mDNS.

При всех плюсах Zeroconf — без каких-либо сакральных знаний можно собрать рабочую сеть, просто соединив компьютеры на физическом уровне, — IT-специалистам он может даже мешать.

Немного раздражает, не так ли?

В системах Windows для отключения автонастройки на всех сетевых адаптерах необходимо создать параметр DWORD с именем IPAutoconfigurationEnabled в разделе HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters и поставить ему значение 0.

Разумеется, Zeroconf подходит разве что для небольших изолированных сетей (например, встретились с приятелем с ноутбуками, соединили их по Wi-Fi и давай играть Diablo II, не тратя время на какие-то сервера), да и выводить локальную сеть в интернет тоже хочется. Чтоб не мучаться со статическими настройками каждого компьютера, были созданы специальные протоколы, включая героя дня — DHCP.

DHCP и его прародители

Одна из первых реализаций протокола для выдачи IP-адресов появилась более 30 лет назад и называлась RARP (Reverse Address Resolution Protocol). Если немного упростить принцип его работы, то выглядело это так: клиент делал запрос на широковещательный адрес сети, сервер его принимал, находил в своей базе данных привязку MAC-адреса клиента и IP — и отправлял в ответ IP.

Схема работы RARP протокола.

И все вроде работало. Но у протокола были минусы: нужно было настраивать сервер в каждом сегменте локальной сети, регистрировать MAC-адреса на этом сервере, а передавать дополнительную информацию клиенту вообще не было возможности. Поэтому на смену ему был создан протокол BOOTP (Bootstrap Protocol).

Изначально он использовался для бездисковых рабочих станций, которым нужно было не только выдать IP-адрес, но и передать клиенту дополнительную информацию, такую, как адрес сервера TFTP и имя файла загрузки. В отличие от RARP, протокол уже поддерживал relay — небольшие сервисы, которые пересылали запросы «главному» серверу. Это сделало возможным использование одного сервера на несколько сетей одновременно. Вот только оставалась необходимость ручной настройки таблиц и ограничение по размеру для дополнительной информации. Как результат, на сцену вышел современный протокол DHCP, который является совместимым расширением BOOTP (DHCP-сервер поддерживает устаревших клиентов, но не наоборот).

Важным отличием от устаревших протоколов является возможность временной выдачи адреса (lease) и передачи большого количества разной информации клиенту. Достигается это за счет менее тривиальной процедуры получения адреса. Если в старых протоколах схема была простая, вида запрос-ответ, то теперь схема следующая:

• Клиент ищет сервер широковещательным запросом, запрашивая в том числе и дополнительные настройки.
• Сервер отвечает клиенту, предлагая ему IP-адрес и другие настройки.
• Клиент подтверждает принятую информацию широковещательным запросом, указав в подтверждении IP-адрес выбранного сервера.
• Сервер соглашается с клиентом, отправляя ему запрос, по получении которого клиент уже настраивает сетевой интерфейс или отвергает его.

Схема общения клиента с сервером пересылки и сервером.

Подробнее про схему взаимодействия сервера и клиента и про структуру запросов и ответов можно почитать, например, в материале «Структура, формат и назначение DHCP пакетов».

На нескольких собеседованиях меня спрашивали: «А какой транспорт и порт использует DHCP?» На всякий случай отвечаем: «Сервер UDP:67, клиент UDP:68».

С разными реализациями DHCP-сервера сталкивались многие, даже при настройке домашней сети. Действительно, сейчас сервер есть:

• На практически любом маршрутизаторе, особенно SOHO.
• На системах Windows Server. О сервере и его настройке можно почитать в официальной документации.
• На системах *nix. Пожалуй, самое популярное ПО — ISC DHCP Server (dhcpd) и «комбайн» Dnsmasq.

Конкретных реализаций довольно много, но, например, на SOHO-маршрутизаторах настройки сервера ограничены. В первую очередь это касается дополнительных настроек, помимо классического «IP-адрес, маска, шлюз, сервер DNS». А как раз эти дополнительные опции и вызывают наибольший интерес в работе протокола. С полным списком можно ознакомиться в соответствующем RFC, я же разберу несколько интересных примеров.

Удивительные опции DHCP

В этом разделе я рассмотрю практическое применение опций DHCP на оборудовании MikroTik. Сразу обращу внимание на то, что не все опции задаются очевидно, формат параметров описан в wiki. Следует отметить также то, что опции клиент применяет, только когда сам их попросит. В некоторых серверах можно принудительно отправить настройки: например, в ISC DHCP Server за это отвечает директива dhcp-parameter-request-list, а в Dnsmasq —* *—dhcp-option-force. MikroTik и Windows такого не умеют.

Option 6 и Option 15. Начнем с простого. Настройка под номером 6 — это серверы DNS, назначаемые клиентам, 15 — суффикс DNS. Назначение суффикса DNS может быть полезным при работе с доменными ресурсами в недоменной сети, как я описывал в статье «Как мы сокращали персонал через Wi-Fi». Настройка MikroTik под спойлером.

#Добавляем опцию 15. содержимое — сконвертированный в HEX суффикс.

/ip dhcp-server option

add code=15 name=dns-suffix value=0x57687920616c6c207468697320736869743f

#создаем набор опций

/ip dhcp-server option sets

add name=dns option=dns-suffix

#Добавляем опцию к DHCP-серверу для клиентов.

/ip dhcp-server network

set [find comment="wi-fi client dhcp"] dhcp-option-set=dns

Знание, что сервер DNS — это тоже опция, недавно пригодилось мне, когда разным клиентам нужно было выдать разные серверы DNS. Решение вида «выдать один сервер и сделать разные правила dst-nat на 53 порт» не подходило по ряду причин. Часть конфигурации снова под спойлером.

#настройка опций, обратите внимание, что ip экранирован одинарными кавычками

/ip dhcp-server option

add code=6 name=google value="'8.8.8.8'"

add code=6 name=cloudflare value="'1.1.1.1'"

#настройка клиентов

/ip dhcp-server lease

add address=10.0.0.2 dhcp-option=google mac-address=11:11:11:11:11:11 server=dhcp

add address=10.0.0.3 dhcp-option=cloudflare mac-address=22:22:22:22:22:22 server=dhcp

Option 66 и Option 67. Эти настройки пришли еще с BOOTP и позволяют указать TFTP-сервер и образ для сетевой загрузки. Для небольшого филиала довольно удобно установить туда микротик и бездисковые рабочие станции и закинуть на маршрутизатор подготовленный образ какого-нибудь ThinStation. Пример настройки DHCP:

/ip dhcp-server option

add name="option66" code=66 value="s'192.168.88.1'"

add name="option67" code=67 value="'pxelinux.0'"

/ip dhcp-server option sets

add name="set-pxe" options=option66,option67

Option 121 и Option 249. Используются для передачи клиенту дополнительных маршрутов, что может быть в ряде случаев удобнее, чем прописывать маршруты на шлюзе по умолчанию. Настройки практически идентичные, разве что клиенты Windows предпочитают вторую. Для настройки параметра маршруты надо перевести в шестнадцатеричный вид, собрав в одну строку маску сети назначения, адрес сети и шлюз. Также, по RFC, необходимо добавить и маршрут по умолчанию. Вариант настройки — под спойлером.

/ip dhcp-server option

add code=121 name=classless value=0x0A0000c0a8580200c0a85801

Подробнее можно прочитать в статье «Mikrotik, DHCP Classless Route».

Option 252. Автоматическая настройка прокси-сервера. Если по каким-то причинам в организации используется непрозрачный прокси, то удобно будет настроить его у клиентов через специальный файл wpad (pac). Пример настройки такого файла разобран в материале «Proxy Auto Configuration (PAC)». К сожалению, в MiroTik нет встроенного веб-сервера для размещения этого файла. Можно использовать для этого пакет hotspot или возможности metarouter, но лучше разместить файл где-либо еще.

Option 82. Одна из полезнейших опций — только не для клиента, а для DHCP-релея. Позволяет передать серверу информацию о порте коммутатора, к которому подключен клиент, и id самого коммутатора. Сервер на основе этой информации в свою очередь может выдать уже клиенту какой-то определенный набор настроек или просто занести в лог — чтобы в случае необходимости найти порт подключения клиента, не приходилось заходить на все свитчи подряд (особенно, если они не в стеке).

После настройки DHCP-Relay на маршрутизаторе в информации о клиентах появятся поля Agent Circuit ID и Agent Remote ID, где первое — идентификатор порта коммутатора, а второе — идентификатор самого коммутатора.

Выдача адресов с option 82.

Информация выдается в шестнадцатиричном формате. Для удобства восприятия при анализе журнала DHCP можно использовать скрипты. Например, решение для решения от Microsoft опубликовано в галерее скриптов Technet под названием «Декорирование DHCP опции 82».

Также опция Option 82 активно используется в системе биллинга провайдеров и при защите сети от посторонних вмешательств. Об этом чуть подробнее.

Добавим сети надежности и безопасности

Ввиду простоты протокола и присутствия широковещательных запросов есть эффективные атаки на инфраструктуру — в основном типа MITM («человек посередине»). Атаки производятся посредством поднятия своего DHCP-сервера или релея: ведь если контролировать выдачу сетевых настроек, можно запросто перенаправить трафик на скомпрометированный шлюз. Для облегчения атаки используется DHCP starvation (представляясь клиентом или релеем, злоумышленник заставляет «родной» DHCP-сервер исчерпать свои IP-адреса). Подробнее про реализацию атаки можно почитать в статье «Атакуем DHCP», методом же защиты является DHCP Snooping.

Это функция коммутатора, которая позволяет «привязать» DHCP-сервер к определенному порту. Ответы DHCP на других портах будут заблокированы. В некоторых коммутаторах можно настроить и работу с Option 82 при ее обнаружении в пакете (что говорит о присутствии релея): отбросить, заменить, оставить без изменения.

В коммутаторах MikroTik включение DHCP Snooping производится в настройках бриджа:

#Включаем dhcp-snooping и option 82

/interface bridge

add name=bridge

set [find where name="bridge"] dhcp-snooping=yes add-dhcp-option82=yes

#ставим настраиваем доверенный порт

/interface bridge port

add bridge=bridge interface=ether1

add bridge=bridge interface=ether2 trusted=yes

Настройка в других коммутаторах происходит аналогичным образом.

Стоит отметить, что не все модели MikroTik имеют полную аппаратную поддержку DHCP Snooping — она есть только у CRS3xx.

Помимо защиты от злых хакеров эта функция избавит от головной боли, когда в сети появляется другой DHCP-сервер — например, когда SOHO-роутер, используемый как свич с точкой доступа, сбрасывает свои настройки. К сожалению, в сетях, где встречается SOHO-оборудование, не всегда бывает грамотная структура кабельной сети с управляемыми маршрутизаторами. Но это уже другой вопрос.

Красивая коммутационная — залог здоровья.

К другим методам защиты можно отнести Port Security («привязка» определенного MAC-адреса к порту маршрутизатора, при обнаружении трафика с других адресов порт будет блокироваться), Анализ трафика на количество DHCP-запросов и ответов или ограничение их количества, ну и, конечно, различные системы IPSIDS.

Если говорить не только о защите сети, но и о надежности, то не лишним будет упомянуть и про возможности отказоустойчивого DHCP. Действительно, при своей простоте DHCP часто бывает одним из ключевых сервисов, и при выходе его из строя работа организации может быть парализована. Но если просто установить два сервера с идентичными настройками, то ни к чему, кроме конфликта IP-адресов, это не приведет.

Казалось бы, можно поделить область выдачи между двумя серверами, и пусть один выдает одну половину адресов, а второй — другую. Вот только парализованная половина инфраструктуры немногим лучше, чем целая.

Разберем более практичные варианты.

В системах Windows Server начиная с 2012 система резервирования DHCP работает «из коробки», в режиме балансировки нагрузки (active-active) или в режиме отказоустойчивости (active-passive). С подробным описанием технологии и настройками можно ознакомиться в официальной документации. Отмечу, что отказоустойчивость настраивается на уровне зоны, поэтому разные зоны могут работать в разном режиме.

Настройка отказоустойчивости DHCP-сервера в Windows.

В ISC DHCP Server для настройки отказоустойчивости используется директива failover peer, синхронизацию данных предлагается делать самостоятельно — например, при помощи rsync. Подробнее можно почитать в материале «Два DHCP сервера на Centos7…»

Если же делать отказоустойчивое решение на базе MikroTik, то без хитростей не обойтись. Один из вариантов решения задачи был озвучен на MUM RU 18, а затем и опубликован в блоге автора. Если вкратце: настраиваются два сервера, но с разным параметром Delay Threshold (задержка ответа). Тогда выдавать адрес будет сервер с меньшей задержкой, а с большей задержкой — только при выходе из строя первого. Синхронизацию информации опять же приходится делать скриптами.

Лично я в свое время изрядно потрепал себе нервов, когда в сети «случайно» появился роутер, подключенный в локальную сеть и WAN, и LAN интерфейсами.

Расскажите, а вам приходилось сталкиваться с проказами DHCP?

Защита доступа к сети в DHCP

Интеграция службы защиты доступа к сети (NAP) в DHCP

В Windows Server 2008 R2 служба DHCP включает в себя поддержку для NAP (Network Access Protection — защита доступа к сети). NAP представляет собой службу, которая мо­жет внедряться в сети и определять политику, которую должны соблюдать клиенты перед полным подключением к сети. NAP конфигурируется внутри сервера сетевых политик Windows (Windows Network Policy Server). Ниже перечислены шаги, необходимые для ее включения на DHCP-сервере, функционирующем под управлением Windows Server 2008 R2.

1. Откройте консоль DHCP на сервере, на котором требуется включить службу Network Access Protection, выбрав в меню Start (Пуск) пункт All Programs-Administrative Tools-DHCP. Если появится окно с приглашением подтвердить выполнение запрашиваемого действия, щелкните в нем на кнопке Continue (Продолжить).
2. Когда консоль DHCP загрузится, разверните узел, представляющий нужный сервер, чтобы отобразить узел IPv4.
3. Щелкните на узле IPv4 в правой кнопкой мыши и выберите в контекстном меню пункт Properties (Свойства).
4. Перейдите на вкладку Network Access Protection (Защита доступа к сети) и щелкните на кнопке Enable on All Scopes (Включить для всех областей).
5. Щелкните на кнопке Yes (Да), чтобы подтвердить намерение перезаписать парамет­ры службы защиты доступа к сети во всех существующих областях.
6. В нижнем разделе страницы IPv4 Network Access Protection (Защита доступа к сети по протоколу IPv4) выберите переключатель, представляющий действие, которое DHCP-серверу надлежит выполнять в случае недосягаемости сервера сетевых поли­тик (Network Policy Server), например, Restricted Access (Ограничивать доступ), и щелкните на кнопке ОК, чтобы сохранить настройки.
7. При желании включить службу Network Access Protection только для какой-то одной области IPv4, щелкните на этой области правой кнопкой мыши и выберите в контек­стном меню пункт Properties (Свойства).
8. В окне Scope Properties (Область: Свойства) перейдите на вкладку Network Access Protection (Защита доступа к сети) и выберите переключатель Enable for This Scope (Включить для этой области). При необходимости укажите подлежащий использова­нию профиль NAP, если тот, что предлагается по умолчанию, не подходит. Щелкните на кнопке ОК, чтобы завершить выполнение задачи.

Примечание. При подготовке статьи использовалась версия Windows Server 2008, CTP-сборка бета 3 от июня 2007 г. Некоторые параметры и экраны в окончательной редакции могут измениться.

Когда речь идет о защите локальной сети, обычно имеется в виду предотвращение несанкционированного доступа к сетевым ресурсам. Причина проста: большинство атак исходит из Internet и направлено против корпоративных сетей. Однако не менее актуальная проблема безопасности, которую необходимо решить администраторам, связана с обращениями обычных (прошедших проверку подлинности) пользователей к сетевым ресурсам с компьютеров со слабыми мерами защиты. Например, в ноутбуке сотрудника, выезжающего в командировки и изредка использующего VPN для подключения к локальной сети компании, необходимо своевременно устанавливать все исправления системы безопасности, сигнатуры шпионских программ и вирусов. В противном случае такой компьютер окажется вероятным источником распространения вирусов и червей. Если компьютер, на котором не включен брандмауэр, будет заражен троянской программой, посторонние лица смогут без труда получить через него доступ к ресурсам локальной сети. Аналогичный риск представляют домашние компьютеры служащих, которые устанавливают связь с локальной сетью компании через VPN. И наконец, разрешая посетителям подключать компьютеры к локальной сети даже просто для того, чтобы предоставить им доступ в Internet, можно подвергнуть другие компьютеры сети риску заражения вирусами и другими вредными программами.

Как же проверить настройки безопасности компьютера, прежде чем разрешить ему доступ к сетевым ресурсам? Когда следует предоставлять полный или ограниченный доступ? Сетевым администраторам нужен механизм, обеспечивающий соответствие всех компьютеров, подключаемых к корпоративной сети, требованиям политики безопасности и своевременную установку всех необходимых программ и обновлений.

Защита доступа к сети

В Windows Server 2003 SP1 реализована технология помещения в карантин Network Access Quarantine (NAQ), с помощью которой администраторы могут ограничить или запретить подключение к компьютерам, не соответствующим политикам безопасности компании. Однако у NAQ много недостатков. Во-первых, технология применима только к VPN-соединениям и не обезопасит сеть от незащищенных пользователей и даже от пользователей с физическим подключением к сети (например, через ноутбуки сотрудников). Во-вторых, в основе NAQ лежат составленные вручную сценарии (реализованные через диспетчер соединений), которые необходимо запустить на клиентской системе, прежде чем ему будет предоставлен VPN-доступ. Эти сценарии проверяют, в частности, состояние брандмауэра и антивирусной защиты, наличие хранителя экрана с паролем и состояние Internet Connection Sharing. Помимо того что подготовка сценариев — трудоемкая задача, отнимающая много времени, различные типы программ защиты на клиентской стороне могут стать источником проблем. Например, если на VPN-клиентах установлены разные антивирусные программы, то для каждой программы необходимо подготовить специальный сценарий и использовать свой пакет диспетчера соединений. Данное решение — статическое. После того как клиент пройдет все проверки и основной сценарий сообщит серверу о состоянии клиента, пользователь волен отключить брандмауэр, антивирусную программу и все остальные функции безопасности. Эти действия не будут обнаружены, и уровень доступа к ресурсам останется неизменным.

В Windows Server 2008 большинство недостатков NAQ устраняется благодаря технологии Network Access Protection (NAP). С помощью NAP администратор может назначить специальные политики соответствия, которые должны быть удовлетворены, прежде чем клиентский компьютер сможет обратиться к сетевым ресурсам. Если клиентский компьютер не соответствует требованиям к состоянию, он помещается в карантин (с ограниченным доступом к определенным узлам) или просто не получает доступа.

Кроме того, NAP может автоматически скорректировать настройки не отвечающих требованиям клиентских систем, по возможности обновляя компьютеры в соответствии с корпоративной политикой. В зависимости от типа клиентских соединений администратор настраивает метод принудительного применения NAP. NAP обеспечивает соответствие требованиям для следующих типов соединений:

• соединения с защитой Ipsec;

• соединения с проверкой подлинности IEEE 802.1x;

• VPN-соединения;

• DHCP-управляемые соединения;

• соединения шлюза служб терминалов.

В данной статье рассматривается реализация NAP для DHCP-управляемых соединений. Использование NAP в сочетании с DHCP позволяет защитить сеть от всех потенциально небезопасных клиентов, управляемых через DHCP (т. е. получающих IP-адреса от службы DHCP), в том числе NAP-совместимых настольных компьютеров-резидентов.

К NAP-совместимым операционным системам относятся Windows Vista (по умолчанию) и Windows XP SP2 с программой NAP-клиента (ныне представленной бета-версией 3). NAP-клиент также войдет в состав XP SP3. Более старые операционные системы не поддерживаются, так как в NAP используется информация от компонента Windows Security Center (WSC), который имеется только в Vista и XP SP2.

Преимущество NAP заключается в том, что область применения не ограничивается только технологиями Microsoft. Использовать NAP может любая система, способная передать сведения о своем состоянии серверу NAP. Компания Microsoft сотрудничает со многими поставщиками оборудования и программных продуктов и другими партнерскими компаниями, помогая им проектировать NAP-совместимые устройства и программы. Чтобы использовать NAP для управляемых службой DHCP соединений, требуется подготовить среду, настроить политики состояния, составить сетевые политики для NAP, настроить DHCP для NAP и реализовать NAP на клиентской стороне.

Подготовка среды

Во-первых, необходима инфраструктура Active Directory (AD) с одним или несколькими контроллерами домена Windows 2003 (или Windows Server 2008). Нужно установить DHCP на компьютере Windows Server 2008, так как прошлые версии службы DHCP (в частности, версия Windows 2003) не распознают NAP. Требуется по крайней мере один статический адрес для этого компьютера.

Следует установить Windows Server 2008 на сервере, который является членом домена. После установки нужно добавить роли Windows Server 2008 с названиями Network Policy Server и DHCP Server. Эту задачу легко выполнить с помощью консоли Server Manager, которую можно найти на странице приветствия или в разделе Administrative Tools. Откройте Server Manager, перейдите к Roles Summary и щелкните на Add Roles. В Windows Server 2008 роль Network Policy Server заменяет Internet Authentication Service (IAS) операционной системы Windows 2003. Таким образом, Network Policy Server (NPS) позволяет создавать различные типы политик, не только относящиеся к NAP.

Настройка политик состояния

Чтобы настроить политики состояния, перейдите к Administrative Tools и щелкните на добавленной роли Network Policy Server. В открывшейся консоли NPS необходимо настроить параметры System Health Validator и Health Policy, чтобы подготовить подходящую сетевую политику. Компонент System Health Validator задает требования к настройкам безопасности клиентов, которые обращаются к сети, а Health Policy определяет различные конфигурации для NAP-совместимых клиентов.

Дважды щелкните на узле Network Access Protection в левой части консоли и на System Health Validator. Элемент Windows Security Health Validator появится в правой части консоли. Следует дважды щелкнуть на этом элементе, чтобы открыть окно настройки (экран 1). В нем нужно щелкнуть на кнопке Configure, чтобы увидеть требования к безопасности. Как показано на экране 2, можно просто установить соответствующие флажки, назначив требования к клиентам. В Windows Vista можно потребовать включить брандмауэр и функции автоматического обновления, своевременно обновлять антивирусные и антишпионские программы, а также устанавливать оперативные исправления. Аналогичные требования применимы и к XP SP2, кроме отсутствующего в этой операционной системе компонента антишпионажа. В целях тестирования установим только флажок брандмауэра как для Vista, так и для XP. Два раза нажмите OK, чтобы завершить настройку System Health Validator.

Для настройки параметра Health Policy следует дважды щелкнуть на узле Policies в консоли NPS, щелкнуть правой кнопкой мыши на Health Policies и выбрать пункт New в контекстном меню. В окне, показанном на экране 3, введите имя политики и выберите круг проверок System Health Validator (SHV).

Для начала подготовим политику для соответствующих клиентов. Требуется ввести имя политики compliant и выбрать из раскрывающегося меню пункт Client passes all SHV checks. Выбор этого параметра означает, что корректным считается клиент, который соответствует всем требованиям, заданным в SHV (в данном примере — только требование к брандмауэру). Затем нужно установить флажок Windows Security Health Validator и нажать OK. Первая политика настроена.

Следующий этап — создать политику для компьютеров, не соответствующих требованиям безопасности. Повторите шаги, чтобы создать новую политику состояния, которую можно назвать noncompliant. В раскрывающемся меню нужно выбрать пункт Client fails one or more SHV checks; в результате клиент, у которого выявлен хотя бы один некорректный компонент, считается несоответствующим. Наконец, следует установить флажок Windows Security Health Validator и нажать OK.

Создание сетевых политик для NAP

После того как будет завершена настройка параметров SHV и Health Policy, можно настроить сетевые политики. В узле Policies консоли NPS требуется щелкнуть Network Policies и отключить политики по умолчанию. Две стандартные политики — Connections to Microsoft Routing and Remote Access Server и Connections to other access servers. Нужно щелкнуть правой кнопкой мыши на папке Network Policies и выбрать пункт New. Будет запущен мастер для создания новой политики. Введите имя политики (например, noncompliant-restricted для политики, применяемой к несоответствующим клиентам). Затем следует выбрать из раскрывающегося списка тип сервера сетевого доступа, который будет применять политику к клиентам. По умолчанию это Unspecified; для целей данной статьи выбираем DHCP Server.

Щелкните на кнопке Next, чтобы продолжить работу со страницей Conditions, и на кнопке Add, чтобы выбрать условия для политики. Из списка доступных условий необходимо выбрать Health Policies из группы Network Access Protection. В открывшемся окне выберем созданную ранее политику состояния noncompliant.

Теперь следует повторить процедуру, чтобы добавить к политике условие NAP-Capable (экран 4). Это условие ограничивает применение политики только NAP-совместимыми компьютерами.

Откройте окно Specify Access Permission, щелкнув на кнопке Next. В этом окне необходимо указать действия в отношении клиентов, соответствующих политике. На первый взгляд логично отказать в доступе некорректным клиентам, но в действительности полностью лишать их доступа неправильно. Предпочтительно предоставить им ограниченный доступ лишь к тем компьютерам, которые помогут повысить их безопасность (т. е. серверам с программами коррекции). Выберите пункт Access Granted и щелкните на кнопке Next.

В окне Configure Authentication Methods нужно установить флажок Perform machine health check only и снять все остальные флажки (экран 5). Поскольку выполняется настройка политики для проверки состояния безопасности клиентов через DHCP и поскольку клиенты DHCP не проходят проверку подлинности на сервере DHCP, настраивать методы проверки подлинности не нужно. Достаточно щелкнуть на кнопке Next в окне Configure Constraints — ни один из параметров к нашему примеру не применим.

Выберем пункт NAP Enforcement в разделе Network Access Protection окна Configure Settings (экран 6). Для этой политики следует указать метод реализации NAP — Allow limited access. В данном режиме клиенты помещаются в карантин и получают доступ только к серверам коррекции. Из этого окна можно настроить серверы коррекции: достаточно щелкнуть на кнопке Configure, чтобы создать группу Remediation Server, и ввести IP-адреса для компьютеров. Также следует установить флажок Enable auto-remediation of client computers. Благодаря этим двум параметрам клиентский компонент NAP Enforcement автоматически обновляет состояние системы безопасности компьютера (например, отключенный брандмауэр будет включаться автоматически).

После того как будет готова политика для несоответствующих клиентов, необходимо составить политику для корректных клиентов. Выполните те же шаги, чтобы создать новую сетевую политику, дав ей имя compliant full. На странице Conditions выберите политику состояния compliant, установите флажок Allow full network access на вкладке NAP Enforcement Settings. Все другие параметры — такие же, как в политике для некорректных клиентов.

Наконец, можно настроить политику для NAP-несовместимых клиентов, предоставив или запретив им доступ к сети. Политика должна открывать или запрещать доступ NAP-несовместимым клиентам путем реализации исключительного условия NAP-совместимости в режиме Only computers that are not NAP-capable. В тестовой среде данная политика необязательна.

На экране 7 показана консоль NPS после того, как будут созданы все необходимые политики. Затем требуется настроить DHCP.

Настройка DHCP для NAP

Необходимо настроить DHCP для использования NPS и подготовленных политик. Во-первых, требуется создать область на сервере DHCP. Цель этого действия — настроить DHCP-сервер на распространение различных групп параметров области соответствующим и несоответствующим клиентам NAP. Завершив создание области, щелкните правой кнопкой мыши в консоли DHCP. Выберите пункт Properties и перейдите к вкладке Network Access Protection. Затем установите флажок Enable for this scope (экран  и используйте профиль NAP, выбираемый по умолчанию.

Кроме того, в разделе свойств IPv4 на вкладке Network Access Protection можно настроить поведение DHCP, на случай если DHCP не удастся установить связь с сервером сетевой политики. По умолчанию клиентам предоставляется полный доступ, но можно выбрать режимы Restricted Access или Drop Client Packet. Можно также включить и выключить NAP на уровне сервера.

Наконец, необходимо настроить дополнительные параметры для NAP-несовместимых клиентов. Щелкните правой кнопкой мыши на Scope Options и выберите Configure Options. В диалоговом окне Configure Scope Options следует выбрать вкладку Advanced. Выберите Select Default Network Access Protection Class в качестве класса User и определите специфические параметры DHCP для этого класса клиентов (например, другое имя домена DNS или другой шлюз).

Применение NAP на стороне клиента

Последний этап — настроить клиента для работы с NAP. Принудительно применить NAP на клиентах можно с помощью консоли NAP Client, групповой политики или утилиты Netsh (с новым контекстом для настройки NAP). Поскольку нельзя настроить домен или объекты групповой политики (GPO) организационной единицы (OU) так, чтобы охватить параметры NAP из Windows 2003, применение групповой политики требует редактирования объектов GPO из консоли управления групповой политикой (GPMC) Vista или Windows Server 2008. Используйте консоль администрирования Services, чтобы запустить службу Network Access Protection Agent, изменив тип запуска этой службы на Automatic (это можно сделать и с помощью групповой политики).

В Windows Vista запустите консоль MMC и добавьте оснастку NAP Client Configuration. Или выберите пункт Run из меню Start и введите команду

napclcfg.msc

Требуется выбрать узел Enforcement Clients в левой панели задач, щелкнуть два раза на клиенте DHCP Quarantine Enforcement справа, установить флажок Enable this enforcement client и нажать OK. С этого момента клиент получит возможность использовать NAP.

Чтобы применить Netsh для настройки NAP на клиенте, перейдите к командной строке и введите

Netsh nap client set enforcement ID = 79617

В XP SP2 требуется установить клиентскую программу NAP для XP Beta 3, чтобы обеспечить совместимость операционной системы с NAP.

Тестирование NAP

Для тестирования NAP на клиенте нужно настроить клиент Vista и присоединить его к домену. Получите IP-адрес из DHCP-сервера; брандмауэр должен находиться в активном состоянии по умолчанию. Убедитесь, что назначен статический IP-адрес из области, заданной на предшествующих этапах, с назначенными параметрами области. Чтобы убедиться в наличии всей необходимой DHCP-информации (например, о DNS-серверах, шлюзе, WINS-серверах), введите в командной строке

ipconfig /all

Результат выполнения команды показан на экране 9.

Затем следует вручную отключить брандмауэр Vista. Через несколько секунд клиент DHCP выполнит автокоррекцию, внеся изменения в состояние клиентской системы, и включит брандмауэр. Для исправления системы, направленной в карантин, нужно перейти к NAP-консоли Windows Server 2008 и настроить Windows Security Health Validator на установку и своевременное обновление антивирусной программы. Если на клиенте Vista нет антивирусного решения, необходимо запустить команду ipconfig /release, а следом — ipconfig /renew, чтобы направить клиента в карантин и дать уведомление о карантине в панели задач. Вновь запустите ipconfig /all и обратите внимание, что в компьютере действуют настройки, заданные в классе DHCP Network Access Protection. Как показано на экране 10, имеется лишь IP-адрес и маска подсети; доступ в Internet и к другим компьютерам сети отсутствует.

Эффективное решение

Поддерживать состояние компьютеров — задача, отнимающая много времени у любого администратора. Она еще более усложняется, если приходится следить за состоянием ноутбуков, компьютеров домашних пользователей и партнеров или компьютеров, не охваченных корпоративной системой применения исправлений (например, Windows Server Update Services — WSUS, Microsoft Systems Management Server — SMS). В этой связи NAP представляет собой эффективное средство управления безопасностью сетевых компьютеров.

Дамир Диздаревич (ddamir@logosoft.ba) — менеджер учебного центра Logosoft в Сараево (Босния). Имеет сертификаты MCSE, MCTS, MCITP и MCT. Специализируется на безопасности Windows Server и опубликовал более 350 статей в журналах по ИТ

Использование NAP для проверки состояния компьютера перед разрешением сетевого доступа

1. Подготовьте среду: установите DHCP на контроллере домена Windows Server 2008 с AD и введите роли Network Policy Server и DHCP Server.

2. Настройте политики состояния (параметры System Health Validator и Health Policy).

3. Подготовьте сетевые политики для NAP: настройте политики для соответствующих и несоответствующих клиентов, а также политики для клиентов, несовместимых с NAP.

4. Настройте DHCP для NAP: настройте DHCP-сервер для распространения различных наборов параметров соответствующим и несоответствующим клиентам NAP.

5. Обеспечьте применение NAP на клиентской стороне: используйте клиентскую консоль NAP, групповую политику или утилиту Netsh для настройки клиента на работу с NAP.

Лекция 5 Защита доступа к сети

Тема: Защита доступа к сети

Защита доступа к
сети (NAP) –
это новый набор компонентов операционной
системы в Windows Server® 2008 и Windows Vista®,
предоставляющий платформу, которая
помогает обеспечивать соответствие
клиентских систем в частной сети
требованиям к работоспособности,
заданным администратором. Политики NAP
определяют необходимое состояние
конфигурации и обновления для операционной
системы и критически важного программного
обеспечения на клиентских компьютерах.
Например, они могут требовать, чтобы на
компьютерах использовалось антивирусное
программное обеспечение с новейшими
сигнатурами, были установлены необходимые
обновления операционной системы и
включен индивидуальный брандмауэр.
Обеспечивая соответствие требованиям
к работоспособности, защита доступа к
сети помогает администраторам сети
уменьшить риск, связанный с неправильной
настройкой клиентских компьютеров,
из-за чего они могут оказаться уязвимы
для вирусов и других вредоносных
программ.

Для чего нужна защита доступа к сети?

Защита доступа к сети обеспечивает
соблюдение требований к работоспособности,
отслеживая и оценивая работоспособность
клиентских компьютеров, когда они
пытаются подключиться к сети или передать
по ней данные. При обнаружении клиентских
компьютеров, которые не соответствуют
требованиям, они могут быть помещены в
сеть с ограниченным доступом, содержащую
ресурсы, помогающие привести клиентские
системы в соответствие политикам
работоспособности.

Для кого предназначена эта возможность

Защита доступа к сети может заинтересовать
администраторов сетей и систем, которым
необходимо обеспечить соответствие
клиентских компьютеров, подключающихся
к сети, требованиям к работоспособности.
Защита доступа к сети дает администраторам
сети следующие возможности:

•обеспечивать в локальной сети
работоспособность настольных компьютеров,
настроенных для использования протокола
DHCP, подключающихся к сети через устройства
проверки подлинности 802.1X или выполняющих
обмен данными в соответствии с политиками
NAP IPsec;

•обеспечивать соблюдение требований
к работоспособности мобильных компьютеров
при их повторном подключении к
корпоративной сети;

•проверять соответствие политикам и
работоспособность неуправляемых
домашних компьютеров, подключающихся
к корпоративной сети через сервер
виртуальной частной сети со службами
маршрутизации и удаленного доступа;

•определять работоспособность мобильных
компьютеров, принадлежащих посетителям
и партнерам организации, и ограничивать
доступ к ресурсам организации для этих
компьютеров.

В зависимости от конкретных требований
администраторы могут создать и настроить
решение, пригодное для использования
во всех этих сценариях.

Защита доступа к сети включает также
набор прикладных программных интерфейсов
(API), позволяющих разработчикам и
поставщикам создавать собственные
компоненты для проверки сетевых политик,
обеспечения соответствия требованиям
и изоляции сети.

Некоторые дополнительные особенности

Для развертывания защиты доступа к сети
необходимы серверы с ОС Windows Server 2008, а
также клиентские компьютеры с ОС Windows
Vista, Windows Server 2008 или Windows XP с пакетом
обновления 3 (SP3). Центральным сервером,
который выполняет анализ работоспособности
для защиты доступа к сети, должен быть
компьютер с ОС Windows Server 2008 с сервером
политики сети (NPS). 

Сервер политики
сети – это
реализация RADIUS-сервера и RADIUS-прокси для
систем Windows. Он заменяет службу проверки
подлинности в Интернете в системе
Windows Server 2003. Устройства доступа и серверы
NAP являются клиентами для RADIUS-сервера
на базе сервера политики сети. Сервер
политики сети выполняет проверку
подлинности и авторизацию при попытках
подключения к сети, определяет,
соответствуют ли компьютеры заданным
политикам работоспособности, и
ограничивает доступ к сети для компьютеров,
которые им не соответствуют.

Новые возможности

Платформа NAP представляет собой новую
технологию проверки работоспособности
клиентов и обеспечения их соответствия
требованиям, входящую в операционные
системы Windows Server 2008 и Windows Vista.

Значение этой возможности

Одной из самых важных проблем для
современных компаний является повышение
уязвимости клиентских устройств перед
вредоносным программным обеспечением,
таким как вирусы и вирусы-черви. Эти
программы могут попасть на незащищенные
или неправильно настроенные компьютеры
и использовать их для распространения
на другие устройства в корпоративной
сети. Платформа NAP позволяет администраторам
защитить сети, обеспечив соответствие
клиентских систем требованиям к
конфигурации и уровню обновления для
их защиты от вредоносных программ.

Ключевые процессы защиты доступа к
сети

Для правильной работы защиты доступа
к сети должны быть реализованы процессы
проверки соответствия политике,
применения защиты доступа к сети и
ограничения доступа, а также обновления
систем и непрерывной проверки их
соответствия требованиям.

Проверка соответствия политике

Для анализа состояния работоспособности
клиентских компьютеров сервер политики
сети использует средства проверки
работоспособности системы. Эти средства
интегрируются в политики сети, определяющие
на основе состояния работоспособности
клиентов действия, которые необходимо
выполнить (например, предоставить полный
или ограниченный доступ к сети). Состояние
работоспособности отслеживают клиентские
компоненты NAP, которые называются
агентами работоспособности системы.
Средства проверки работоспособности
системы и агенты работоспособности
системы используются компонентами
защиты доступа к сети для отслеживания,
применения и обновления конфигураций
клиентских компьютеров.

В состав операционных систем Windows Server
2008 и Windows Vista входят агент работоспособности
системы безопасности Windows и средство
проверки работоспособности системы
безопасности Windows, которые обеспечивают
соответствие компьютеров с поддержкой
NAP следующим требованиям:

•на клиентском компьютере должен быть
установлен и включен программный
брандмауэр;

•на клиентском компьютере должно быть
установлено и включено анти-вирусное
ПО;

•на клиентском компьютере должны быть
установлены текущие обновления
антивирусного ПО;

•на клиентском компьютере должна быть
установлена и включена анти-шпионская
программа;

•на клиентском компьютере установлены
текущие обновления антишпионской
программы;

•на клиентском компьютере включены
службы обновления Microsoft.

Кроме того, если на клиентских компьютерах
с поддержкой защиты доступа к сети
выполняется агент центра обновления
Windows и они зарегистрированы на сервере
служб Windows Server Update Service (WSUS), защита доступа
к сети может проверить наличие наиболее
свежих обновлений программного
обеспечения системы безопасности с
использованием одного из четырех
возможных значений, которые соответствуют
уровням угроз для системы безопасности,
определяемым центром Microsoft Security Response
Center.