김선윤대리 기업고객사업본부 한국마이크로소프트
1 NAP 개요 2 NAP 동작방식및구성요소 3 NAP 설정과정 4 NAP 옵션적용방안
네트워크에액세스하는 PC 에대한위험성이대두되면서, 네트워크의건강상태확인을위한포괄적인검역체제의필요 IT 과제 관리되지않는 PC 가사내네트워크에자유롭게접속할경우, 바이러스 /Worm/Malware 등으로인한감염의위험 다양한장치들이 Public 네트워크를통해회사네트워크로접속됨 솔루션요구사항 PC의건강상태를확인하기위한포괄적인검역체제의필요 (OS 보안설정, 안티바이러스등구성요소에대한확인 ) 비즈니스및서비스에대한위협감소 다양한인프라홖경과의상호호홖성 현재의방화벽 / DMZ 등의보안만으로는 이를방지하기어려움.
NAP 는 Windows Server Longhorn 과 Windows Vista 에포함되어있는 OS 구성요소의집합으로, 사내네트워크에액세스하는클라이언트컴퓨터에대해관리자가정의한시스템건강상태를확인하는플랫폼을제공. NAP 주요프로세스 정책확인 (Policy Validation) 네트워크제한 (Network Restriction) 업데이트확인 (Remediation) 지속적인확인 (Ongoing Compliance) 클라이언트에대한보안정책준수여부를확인함 Healthy 일경우 Full Access 허용 Health 상태에따라서네트워크접속을제한함 네트워크제한방안은적용옵션 (DHCP, 802.1x, IPSec, VPN) 에따라다름 필요한업데이트를제공하여클라이언트가정책을준수하도록함 업데이트후에는네트워크제한을풀어줌 보안정책변경과동시에현재접속되어있는클라이언트도동적으로네트워크제한이될수있음
Network Access Protection 은사내네트워크의클라이언트컴퓨터에대해관리자가정의한정책기반의시스템건강성을철저하게확인및적용함에중점을두는플랫폼으로다음과같은주요특징을제공. 주요특징 현실적인솔루션 정책기반의건강성을철저하게적용및확인함에중점 Unhealthy 상태인클라이언트의업데이트를위한서버로의액세스를제공 유연하고선택가능한내장기술 고객의요구에따라운영체제의내장기능을선택적으로구성 / 사용 네트워크액세스제한을위한적용옵션을선택가능 (DHCP, IPSec, 802.1x, VPN: 중복사용가능 ) Network Access Protection 확장가능한플랫폼아키텍처 네트워크벤더를통해서추가적인가치를제공 3rd Party 에의한확장용이 플랫폼으로서의확장성 다양한벤더의종단간서비스를표준기반으로구축가능함 60 개이상의파트너와의에코시스템구현 광범위한산업표준지원
Network Access Protection 을통해다음과같은일반적인시나리오을구현할수있음 적용시나리오 이동사용자의 Laptop 및원격사무실의 VPN 사용컴퓨터에대한건강상태확인 Roaming Laptops Desktop PCs 사내정보근로자들의데스크톱컴퓨터에대한건강상태확인 사내방문자의 Laptop 에대한건강상태확인 Visiting Laptops Unmanaged Home PC 관리되지않는홈컴퓨터의건강상태확인
Network Access Protection 의기본동작방식은다음과같습니다. How it Works! System Health Server e.g. Patch, AV 1 네트워크액세스요청시 Health 상태를함께젂송 2 NAD 는 Health 상태를 NPS 로젂송 3 NPS 는사젂정의된 health 정책에대한준수여부확인 3 Restricted Network Not policy compliant 4 Remediation Servers e.g. Patch, AV Windows Client (NAP 클라이언트 ) Network Policy Server (NPS) Non-compliant PC 는제한된네트워크로격리되어업데이트과정수행 네트워크액세스디바이스 (NAD) Policy Compliant Corporate Network Compliant PC 는네트워크에 Full Access 5
클라이언트 (Client) SHA Health 에이젂트는클라이언트상태를체크 QA Coordinates SHA/EC EC Enforcement 방법 업데이트관리서버 (Remediation Server) 네트워크정책서버 (Network Policy Server) QS 클라이언트 health 평가 SHV SHA 응답평가 시스템상태서버 (System Health Server) SHV 제공 Patches, AV signatures, etc. 제공 Remediation Servers System Health Servers Updates Client (Vista & XP ) System Health Agent (SHA) Microsoft and 3rd Parties Quarantine Agent (QA) Enforcement Client (DHCP, IPSec, 802.1X, VPN) Health Statements(SoH) Health Certificate Network Access Requests Network Access Device & Health Registration Authority Health policy Network Policy Server (RADIUS) System Health Validator (SHV) Quarantine Server (QS)
Network Policy 에서 NAP 을위한설정단계는다음과같습니다. 1 단계 2 단계 3 단계 단계 System Health Validators 설정 Health Policies 설정 Network Policies 적용 1-1 2-1 3-1 Windows Security Health Validator 설정 Compliant (Healthy) -> All selected SHVs must pass Compliant 의경우 -> Full 액세스 1-2 2-2 3-2 상세방안 SHV 설정 ( 선택 ) Non Compliant(Unhealthy) -> One or more selected SHVs fail Non Compliant 의경우 -> 제한된액세스 1-3 3-3 3rd Party SHV 설정 ( 선택 ) Not NAP Capable, Excluded 등의설정
Windows SHV 는 Windows Vista 운영체제의 Security Center 의설정항목을지원함 1 NPS 관리콘솔 상세설정 Firewall - A firewall is enabled Virus Protection - An antivirus application is on - Antivirus is up to date Spyware Protection - Protection An antispyware application is on - Antispyware is up to date Automatic Updating - Automatic updates are on - Security Update Protection - 상기설정항목에서 Spyware Protection 항목만 제외 SP2
Health Policies (SHV Policy Template) 의설정과정은다음과같습니다. 1 Compliant Template 생성 2 Non Compliant Template 생성 클라이언트가선택한모든 SHV 확인을패스한다면 Compliant 로규정한다는템플릿을생성 - 클라이언트가선택한 SHV 중에서하나이상확인에실패한다면 Non Compliant 로규정한다는템플릿생성
Network Policy 의설정과정은다음과같습니다 1 정책이름및연결타입설정 상세설정 Policy Name 예시 - Compliant Full Access, - Non Compliant-Restricted Access Network connection method - Unspecified - DHCP Server - Health Registration Authority (IPSec ) - Remote Access Server (VPN) - Terminal Server Gateway - Wireless Access Point (802.1x) - HCAP Server - Vendor Specific ID
Network Policy 의설정과정은다음과같습니다 2 정책에대한조건설정 설정가능한조건 Health Policies (SHV Templates) Compliant, Non Compliant 등의 SHV Template 에대한선택 추가조건 - Identity Type - MS-Service Class - NAP-capable Computers - Operating System - Policy Expiration
Network Policy 의설정과정은다음과같습니다 3 설정 ( 정책의조건과부합할경우이설정을적용 ) NAP Enforcement 상세설정 - Allow Full Network Access (For Compliant) - Allow Full Network Access for a limited Time ( 임시로제한없는네트워크액세스를허용 : Date 및 Time 설정가능 ) - Allow Limited Access (For Non-compliant Machines) Remediation Server Group and Troubleshooting URL - 업데이트를제공하는 Remediation Server Group 및문제해결가이드를제공해주는웹사이트의 URL 을설정 Auto remediation - 정책에정의된 Health 요구사항을만족하지못하는 Client 를자동으로 Remediation
NAP Client 설정과정은다음과같습니다. 1 NAP 클라이언트구성 Enforcement Client 구성 - DHCP Quarantine Enforcement Client - Remote Access Quarantine Enforcement Clie - ntipsec Relying Party - TS Gateway Quarantine Enforcement Client - EAP Quarantine Enforcement Client * 복수선택사용가능 상세설정 사용자인터페이스설정 상태등록설정 * 그룹정책을통한설정가능 * Windows XP SP2 NAP Client 는 Update 를통해제공예정
NAP 적용옵션별구현방안및기능은다음과같습니다 구분 액세스포인트 Healty Unhealthy 경계네트워크액세스 DHCP DHCP 서버 (Longhorn) Full IP 구성제공및 Full Access Restricted set of routes Default Gateway 의주소가없고, Subnet mask 가 255.255.255.255 으로제한된 IP 주소할당 DHCP 의영역옵션에서넷마스크 255.255.255.255 의 Classless Static 라우팅정보를배포 IPSec Health Registration Authority (Longhorn) 싞뢰된 Peer 와통싞가능 Healthy peers reject connection requests from unhealthy systems IPSec 의상호인증을위해, 정책설정검사를성공한클라이언트에만인증서를발급 경계네트워크의서버에는, IPSec 의상호인증필수를설정하지않는다 802.1x 802.1x 지원스위치 Full Access Restricted VLAN 검사결과에따라스위치액세스포트에 VLAN 를동적으로할당 제한된네트워크의 VLAN 과경계네트워크의 VLAN 으로라우팅. VPN VPN 서버 (Longhorn 또는 3 rd Party) Full Access IP Filtering VPN 서버를경유하는통싞을감시해, 검사를통과하지못한클라이언트로부터의통싞을필터링하여제한 IP 주소의지정을통해, 필터링하지않는서버를설정.
DHCP NAP 적용옵션에대한개요및적용과정은다음과같습니다 DHCP 구현개요 적용과정 NPS 서버 1 DHCP 요청시, 상태인증서 (SoH) 젂송 2 DHCP 서버는 SoH 를 NPS 서버로릴레이 AD 및 NPS 에서정책의 Compliance 여부 Remediation 서버 (SMS v4 etc.) 3 2 보안네트워크 확인 3 Compliance 또는 Non-Compliance 에대한결과정보를 DHCP에응답. (SoHR) 5 4 1 DHCP 서버 경계네트워크 4 Compliance 이면, Full IP 주소할당 / Non-Compliance 이면제한된 IP 주소할당 5 Non-Compliance 상태의클라이언트는 Static Route 를통해 Remediation 서버로 NAP 클라이언트 (Vista, XP) 제한된네트워크 액세스하여업데이트
IPSec NAP 적용옵션에대한개요및적용과정은다음과같습니다. IPSec 구현개요 적용과정 Remediation 서버 (SMS v4 etc.) 5 4 1 Root CA 3 Health Registration Authority ( 하위독립실행형 CA) NPS 서버 AD 2 보안네트워크경계네트워크 1 네트워크액세스시, 상태인증서 (SoH) 를 HRA에젂송 2 HRA는 SoH를 NPS 서버로릴레이하고, NPS에서정책의 Compliance 여부확인 3 Compliance 또는 Non-Compliance 에대한결과정보를 HRA에응답. 4 Compliance 이면, HRA를통해인증서발급 5 Non-Compliance 상태의클라이언트는 Remediation 서버로액세스하여업데이트 NAP 클라이언트 (Vista, XP) 제한된네트워크
802.1x NAP 적용옵션에대한개요및적용과정은다음과같습니다. 802.1x 구현개요 적용과정 NPS 서버 1 네트워크액세스시, 상태인증서 (SoH) 를 네트워크장비에젂송 AD 2 네트워크장비는 SoH 를 NPS 서버로릴레 Remediation 서버 (SMS v4 etc.) 3 2 보안네트워크 (VLAN1) 이하고, NPS에서정책의 Compliance 여부확인 3 Compliance 또는 Non-Compliance 에 5 4 1 802.1x 지원스위치 경계네트워크 (VLAN2) 대한결과에따라 VLAN 정보를응답. 4 네트워크액세스포트의 VLAN을동적으로설정 5 Non-Compliance 상태의클라이언트는 Remediation 서버로액세스하여 NAP 클라이언트 (Vista, XP) 제한된네트워크 (VLAN3) 업데이트
VPN 적용옵션에대한개요및적용과정은다음과같습니다. VPN 구현개요 적용과정 NPS 서버 1 VPN 접속시, 상태인증서 (SoH) 를 VPN 서버에젂송 AD 2 VPN 서버는 SoH 를 NPS 서버로릴레이하 Remediation 서버 (SMS v4 etc.) 3 2 보안네트워크 고, NPS에서정책의 Compliance 여부확인 3 Compliance 또는 Non-Compliance 에 5 4 1 VPN 서버 경계네트워크 대한결과를응답. 4 검사결과에따라 Packet Filtering 5 Non-Compliance 클라이언트는 Packet Filtering 에의해업데이트서버로만 액세스가능 NAP 클라이언트 (Vista, XP) 인터넷
SCCM2007 과 NAP 연동개요 정책확인및상태정보릴레이 3 정책확인 1 네트워크액세스시, 상태정보송싞 NAP 클라이언트 (Vista, XP) 네트워크액세스포인트 5 정책확인결과에따라업데이트수행 2 4 Network Policy Server Compliant or Non Compliant SCCM Distribution Point 패치저장 SCCM Site Server 정책업데이트 Active Directory 보안네트워크 경계네트워크 카탈로그동기화 MS Download Center 제한된네트워크 / 인터넷
Windows Server Code Name Longhorn Beta 3 http://www.microsoft.com/windowsserver/longhorn/default.mspx Network Access Protection Technet http://www.microsoft.com/technet/network/nap/default.mspx Network Access Protection Forum http://forums.microsoft.com/technet/showforum.aspx?forumid=576&siteid=17 Network Access Protection MSDN http://msdn2.microsoft.com/en-us/library/aa369712.aspx