silvesterlangen.de

Network Access Protection

 

Was kann ein NAP?

Dient zur Erzwingung von Integritätsrichtlinien. Es wird geprüft, ob vorher definierte Kriterien zutreffen auf Clients, die sich verbinden wollen zutreffen. Kriterien können bspw. sein: aktuelle OS Updates, ob die Firewall aktiviert ist, etc... Es sind viele Möglichkeiten vorhanden. Ein NAP sorgt kann sogar die Firewall einschalten, obwohl der Admin auf dem Client die FW eigentlich ausgeschaltet hat. Es wird darauf geachtet und sogar erzwungen, dass der Client "gesund ist. Auch die Erzwingung von IpSec ist möglich.

Wer nicht "gesund" ist kann bspw. an ein Quarantäne-Netzwerk geleitet werden bis der Client "gesund" ist.

Funktioniert aber alles erst ab Windows Vista, da dort der NAP-Client standartmäßig installiert ist. WinXP-Rechner müssen den Client zuerst selbst installieren. Download bei M$.

 

Einsatzmöglichkeit:

Laptops, da sie oft unterwegs sind. Es ist nicht gesichert, ob alle Laptops ihre Updates installiert haben oder die Firewall aktiviert ist.

Aber auch die Desktopcomputer im Betrieb sollten überwacht werden sowie Computer, die sich Remote (VPN) einloggen. Man weiß ja nie was die Mitarbeiter alles am Computer machen.

Der NAP schützt aber nicht vor böswilligen Absichten eines User, dessen Computer "healthy" ist.

 

Schutzmöglichkeiten

Per DHCP

Zugriffsschütz lässt sich in mehreren Stufen regeln. Die schwächste Variante ist die Verweigerung von IPs und Netzwerkeinstellungen für den Client. Der DHCP vergibt dann ganz einfach keine Einstellungen an den "unhealthy" Client oder er vergibt je nach Konfiguration Netzwerkeinstellungen für ein Quarantäne-Netzwerk mit eingeschränktem Zugang. Allerdings kann man das einfach umgehen, wenn man sich selbst eine IP etc. vergibt. Dann greift der NAP nicht mehr.

 

Per VPN

Der Client kann nur über ein VPN mit dem Netzwerk verbunden werden, wenn die vorher definierten Kriterien erfüllt sind. Kriterien können wieder Firewall, aktuelle Updates, usw sein. Erfüllt ein Client die Kriterien nicht (oder nur eines nicht, je nach Einstellung), dann wird keine Verbindung zustande kommen.

 

Per IPSec

 

Per Direct Access

 

• Willkommen
• Begrifflichkeiten
• Projektmanagement
• SQL Datenbank
• Programmierung C#
• Programmierung Python
• Windows 10 im Unternehmen
• Windows Server
  • ActiveDirectory
  • PowerShell
  • Wichtige Tools
  • RAID-Systeme
  • Routing
  • Core Server
  • Setup-Videos
  • Windows Deployment Service
  • Windows Server Update Service
  • Systemüberwachung
  • DNS
  • Verschlüsselung und Zertifikate
  • RADIUS Server
  • Network Access Protection
  • Datendeduplizierung
  • AD-Domäne umbenennen
  • hMailServer
  • Diverses
  • Windows Server Sicherung
  • Servergespeicherte sowie verbindliche Profile
  • RDS - Remot Desktop Server
• Exchange 2013
• Exchange 2016
• Probleme und Lösungen
• Systemsicherheit
• ESXi 6
• Asterisk*
• Linux
• Pi-Hole
• pfSense
• Opsi
• UCS Domain Controller
• Proxmox PVE
• HPE Aruba 2930F Switch Serie
• IoT-Geräte
• Zahlensysteme
• Hardware
• Netzwerke
• Mein Netzwerk
• Diverses
• AEVO-Prüfung
• Prüfungsvorbereitung
• Personalführung
• LPIC-2 Zertifizierung
• Impressum
• Datenschutzerklärung
• IT-Witze & -Sprüche