Network Access Protection (NAP) is een methodiek die je kunt gebruiken om de health status van een werkplek te bepalen. NAP bestaat als sinds de introductie van Windows 2008, tijd om er eens bij stil te staan. Ik zie dat steeds meer bedrijven gaan onderzoeken of NAP iets voor hen is.
Waarom zou ik NAP gebruiken?
De manier waarop we naar security kijken is aan het veranderen. Traditioneel is alles op internet “gevaarlijk” en is alles op het LAN “veilig” en “betrouwbaar”. Maar is dit werkelijk zo? De praktijk leert ons dat dit niet het geval is. Werden vroeger aanvallen over het netwerk gedaan, zien we nu dat juist de applicatie gebruikt wordt om toegang te krijgen tot een systeem. Gebruikers krijgen iets voorgeschoteld wat er betrouwbaar uit ziet. Dit kan een website zijn, een document van een “bekende” of een gekregen USB stick. In zijn onschuld gaat de gebruiker aan de slag met deze data en voert ongewild en onwetend een kwade code uit.
Traditioneel hebben we dus een firewall om deze kwade code tegen te houden, maar dat is niet meer genoeg. De code wordt niet naar ons gepusht. Er wordt rustig gewacht totdat we langs komen en dan werd snel de code gerund. Dit kan al vanaf een website gebeuren. Om je hier tegen te bewapen moet je werkplek uitgerust zijn met een geupdate antivirus oplossing en al je applicaties en je Windows moeten geüpdate zijn. Is dit niet het geval dan is de betreffende werkplek een risico geworden en wil je hem niet op je netwerk. NAP zorgt er voor dat er eerst een check gedaan wordt voordat een werkplek toegang krijgt tot het netwerk.
Hoe werkt NAP?
Op het moment dat een werkplek opstart wordt zijn health status gecontroleerd. Dit gebeurd via de System Health Agent (SHA). De standaard SHA is het Security Center van Windows, maar het is mogelijk om daarnaast de standaard additionele SHA’s te installeren. Gezamenlijk bepalen alle SHA’s de health status van de client aan de NAP agent. Deze health status wordt dan terug gerapporteerd door NAP agent op basis van een NAP Enforcement Client (NAP EC) aan de NAP Enforcement Service (NAP ES). Deze laatste draait op de Network Policy Server (NPS). Op de NPS zijn System Health Validators (SHV) gedefinieerd. Voor elke SHA is er een SHV tegenhanger. In de SHV staat wanneer een SHA Healthy is. Bijvoorbeeld:
Op de NPS heb je een SHV voor antivirus. Hierin kun je twee zaken aangeven
- Staat de antivirus applicatie aan
- Is de antivirus applicatie up to date
Als je nu dus een werkplek hebt met daarop FEP die al 20 dagen niet is geüpdate, dan zal de SHA terug rapporteren
A. AAN
B. OUT OFF DATE
Standaard zal de werkplek op dat moment niet healthy zijn.
Wat gebeurd er dan met een ongezonde werkplek
Op het moment dat een werkplek niet healthy is wordt deze in het quarantaine netwerk geplaatst. Wat een werkplek kan in het quarantaine netwerk is iets wat je als administrator moet bepalen, maar meestal zal je een werkplek zoveel mogelijk willen beperken in waar hij naar toe mag. In ons voorbeeld zal je er minimaal voor moeten zorgen dat de werkplek de nieuwste antivirus updates kan ophalen. Hij heeft dus minimaal toegang nodig tot een WSUS server en/of Microsoft updates.
Heeft hij zijn updates opgehaald dan zal de SHA opnieuw de status terug rapporteren. SHV zal dan de werkplek healthy verklaren en de werkplek krijgt toegang tot het netwerk.
Hoe komt hij dan in het quarantaine netwerk?
Er zijn drie methodes om een werkplek in quarantaine te zetten:
- DHCP. Deze methode is het eenvoudigste te implementeren, maar ook het eenvoudigste te omzeilen. Op het moment dat een gebruiker zijn werkplek een vast IP nummer geeft zal hij kunnen communiceren met het netwerk en grijpt NAP niet meer in. Deze methode is dan ook interessant voor een POC of test omgeving. Ook als je wil leren te werken met NAP is deze manier een goede start.
- IPSec. Deze methode is de meeste veilige methode. Het is niet mogelijk om deze NAP methode te omzeilen. Daarnaast zal het verkeer versleuteld en geauthentiseerd worden. Dit zal het netwerk veel veiliger maken. IPSec is wel de moeilijkste manier om NAP in te zetten
- IEEE 802.1x. Deze methode is naast IPSec de meest veilige methode en is veel makkelijker te implementeren. Deze zie je dan ook het meeste ingezet worden in praktijk.
- Naast de drie hier boven genoemde methodes kan NAP ook gebruikt worden voor VPN/Direct Accss en Remote Desktop Gateway. Hierbij wordt op basis van de SHV’s bepaald of een werkplek de connectie mag opzetten.
Martijn Bellaard