NAP(Network Access Protection)是近年微軟在網路安全議題經常提及的重要計畫,這項神祕的技術目前仍未真正問世,必須等到Windows Server 「Longhorn」和Windows Vista發表,才會以作業系統的元件和API的形態亮相,屆時我們才有辦法看到全貌。企業使用NAP目前不確定是否需額外付授權費,NAP未來是否有機會支援目前的Windows版本?微軟表示Windows XP SP2的用戶可能有機會透過更新的方式取得NAP功能。

NAP 1.0總共需要幾個條件:Windows Server 「Longhorn」、DHCP服務、路由與遠端存取服務(RRAS,作為VPN連線)、網路政策伺服器(NPS,取代既有的IAS網際網路認證服務、RADIUS伺服器和Proxy伺服器)。相關的網路技術包括DHCP、VPN、IPSec和802.1x。

VPN隔離檢查健康,IPSec區隔內部網域
一般透過802.1x的存取控管可從集線器、交換器、無線網路AP等網路設備層級執行封鎖,而微軟提供伺服器軟體層的控管能再隔離不合乎規範的連線。

遠端存取的VPN隔離(Network Access Quarantine Control),在Windows Server 2003內即已提供,但真正使用的企業用戶屈指可數,它屬於伺服器端的NAC控管,算是NAP的序曲。微軟希望當使用者從VPN連入公司網路前,可以透過Connection Manager(CM,屬於Connection Manager Administration Kits套件)先檢查本機電腦是否安裝公司要求的修補程式、防毒軟體病毒碼新舊、是否啟用個人防火牆/網際網路連線防火牆等設定,如果不符合這些條件,CM會將電腦連入受到隔離的網路,等到電腦下載安裝修補程式和最新病毒碼,符合標準後才能進入公司網路,這樣就可以確保來自外部存取的電腦安全,降低VPN存取引發的網路攻擊威脅。

外部電腦可以由CM檢查隔離,其實內部電腦也可以藉DHCP比照辦理。當不受控管的電腦透過DHCP取得IP時同步檢查。在NAP架構中,DHCP將不再只是單純發放IP,這套協定將延伸類似Connections Manager的機制,主要的Windows伺服器端須啟用DHCP NAP Enforcement Server(ES)元件,搭配已安裝DHCP NAP Enforcement Client(EC)的個人端電腦,這套機制才能完整運用。

除了VPN和DHCP的網路隔離,其實IPSec 不只用來提供VPN加密連線,還可以用來區隔內部網路。就像有些公司會購置多部防火牆把內部網路分區限制存取,微軟的做法勢將透過IPSec將網域隔離(Domain Isolation),限制每臺伺服器只能接受備有特定的X.509憑證和一定信任等級的末端電腦連入,有點類似軟體的802.1x控管,外部使用者只能進到內部網路的某一區,無法「全區走透透」,如此一來,可以縮小中毒或感染的影響範圍。

以管理連線電腦的健康為主
NAP強調對內連線電腦健康自我管理,並非對外防止惡意使用者存取,當一個得到授權且電腦符合公司資安政策的使用者,企圖散播惡意程式到網路上,它無法預防這類的不當行為。

針對特殊應用的電腦,管理者可以自定驗證過程的例外處理,使相容於NAP的電腦檢查狀態時,能直接變成符合政策;為了導入初期便於觀察,NAP也提供純監控模式,所有電腦不論是否符合政策都可以繼續上網,但狀態會被記錄與統計,提供後續分析,輔助決策。文⊙李宗翰


Advertisement

更多 iThome相關內容