Dit is mijn vierde blog over Network Access Protection. In deze vierde blog wil ik de derde manier voor NAP enforcement bespreken, deze gaat op basis van IPSec. IPSec enforcement is de beste, maar ook de meest complexe NAP oplossing. In deze blog wil ik vooral ingaan hoe IPSec enforcement werkt. In latere blogs zal ik dan stap voor stap de configuratie van NAP IPSec behandelen.
IPSec
IPSec is een openstandaard authenticatie en encryptie technologie. IPSec is niet een protocol op zichzelf, maar een beschrijving hoe een aantal protocollen gezamenlijk ingezet kunnen worden voor Authenticatie en Encryptie. Meestal wordt IPSec gebruikt voor VPN technologie, Tunnel Mode. IPSec kan ook gebruikt worden in Transport mode. IPSec functioneert net boven de Netwerk/IP laag. Dit betekent dat alle informatie na het IP nummer beschermt kan worden met IPSec. Ik zeg met opzet beschermt en niet Encrypted. IPSec bestaat uit twee headers, Authentication Header en Encapsulation Security Payload.
Authentication Header
De Authentication header (AH) zorgt voor twee dingen:
- Integriteit, AH zorgt er voor dat ik zeker weet dat de data onveranderd is overgekomen.
- Authenticatie, AH zorgt er voor dat ik zeker weet wie de afzender is.
Op het moment dat IPSec communicatie start zullende hosts eerst gaan authentiseren bij elkaar. Dat kan op basis van een Certificaat, Pre shared key en in het geval van Windows kan het ook op basis van Kerberos. Nadat ze geauthenticeerd zijn maken ze afspraken over welk protocol ze gaan gebruiken voor integriteit van de data.
Encapsulation Security Payload
De Encapsulation Security Payload (ESP) zorgt voor encryptie van de data en komt na AH. Nadat de protocollen voor AH zijn vastgesteld worden er Encryptie protocollen vastgesteld. Alle data wordt dan versleuteld en is onleesbaar voor iemand die onderweg probeert mee te lezen.
IPSec kun je definiëren op basis van IP nummer en/of poort nummer. Je kunt er dus voor kiezen om al het verkeer tussen twee computers te authentiseren (AH) en te encrypten (ESP). Het is ook mogelijk om alleen het verkeer voor een speciale poort te encrypten, bijvoorbeeld poort 80. Dan zal al het http verkeer worden versleutelt op basis van IPSec.
IPSec & NAP
Op het moment dat een computer aan gaat zal de NAP agent de health status van de Windows doorgeven aan de NPS server. Als de health status in orde is zal de Health Registration Authority (HRA) een certificaat aanvragen voor de computer. Dit certificaat wordt vervolgens gebruikt door Windows om IPSec authenticatie mogelijk te maken. Heeft een Windows computer dus geen health certificaat dan kan hij dus geen IPSec authenticatie doen en is het dus niet mogelijk voor hem om te gaan communiceren met ander computers.
Bij IPSec enforcement werk je met drie logische netwerken:
- Secure Network. In dit netwerk zitten alle server en clients die gebruik maken van IPSec om te communiceren. Clients moeten dan dus gezond zijn om deel te kunnen nemen aan dit netwerk. Voor de meeste servers geldt dat je deze niet aan de health check wil onderwerpen. Je kunt er natuurlijk voor kiezen om een server wel op health te laten controleren, maar als een server dan een patch achter loopt, zal deze in het boundary netwerk geplaatst worden. Dit betekent dat hij niet lang mag communiceren met andere servers. Als deze server een core business server is, die niet gepatcht mag worden heb je dus een uitdaging. Servers kun je uitsluiten van de health check en IPSec enforcement. Om dit mogelijk te maken moeten ze via de AD DS een health certificaat krijgen. Deze gebruiken ze dan voor de IPSec communicatie.
- Boundary Network. In dit netwerk zitten servers die niet per definitie gebruik maken van IPSec. Ze kunnen het wel, maar dwingen het niet af. Clients die dus niet gezond zijn kunnen met deze servers communiceren. Hier vind je dus de server die gebruikt worden voor remediation. Computers in dit netwerk kunnen communiceren met computers in het secure netwerk.
- Restricted network. In dit netwerk zitten alle computers die “noncompliant” zijn. Deze computers hebben geen healthcertificaat en kunnen dus geen communicatie hebben over IPSec. Computer in dit netwerk kunnen communiceren met computers in het boundary netwerk, maar niet met computers in het secure network.
Voordelen IPsec enforcemend
Aan het gebruik van IPSec enforcement zitten een aantal voordelen ten opzichten van DHCP en 802.1x:
- Tamper-proof, het is niet mogelijk deze methode te omzeilen zoals dat wel mogelijk is bij DHCP enforcement.
- Geen infra upgrade nodig, IPSec werkt over elke type Infra. Bij 802.1x kan het nodig zijn om switches te vervangen door switches die 802.1x spreken. Dit is bij IPSec niet noodzakelijk
- Flexibel, een computer in het secure network kunnen communicatie initialiseren naar een computer in het restricted network (dit kan niet andersom).
- Encryptie, IPSec kan ook gebruikt worden voor encryptie. Dit kan vooral over wireless een interessante optie zijn.
In mijn aankomende blogs wil ik stap voor stap IPSec enforcement gaan configureren.