Birçok yeni ürünün piyasa sürüldüğü şu günlerde biz IT Profesyonellerinin işi bir hayli zor. Exchange 2007, Windows Vista, Office 2007 Ailesi ve Microsoft’un yeni güvenlik çözüm yelpazesi ForeFront Security bunlar arasında en çok dikkat çekenler gibi görünse de asıl bomba en gerilerden geliyor.
Sektördeki birçok teknik personel, henüz bu ürünleri bile görmemişken; beklenen o büyük lansman çok yaklaştı. Evet Microsoft’un yeni server platformu Code Name: “Longhorn” büyük yeniliklerle padoktan çıkıp StartingBox’taki yerini almaya hazırlanıyor. Hoş, Türkiye de yeni server ürününe geçiş ne derece hızlı olur bilinmez ama biz tedbirimizi önceden almalı ve yeni gelecek teknolojilere aşina olmalıyız diye düşünüyorum.
Makalenin başlığından da anlayabileceğiniz gibi bahsedeceğimiz konu NAP. Yani “Network Access Protection”. Türkçe olarak “Ağ Erişim Koruması” diyebiliriz. Longhorn server ile gelen yeni bir teknoloji bu. Network kurulumlarında vazgeçilmezlerden olacağı kesin çünkü sistemin devamlılığı konusunda oldukça büyük getirileri var.
Öncelikle bunun bir güvenlik teknolojisinden çok bir kontrol mekanizması olduğunun altını çizelim. Tabi dolaylı yollardan güvenlik konusunda da bize yardımcı olmuyor değil. Adından da anlaşılacağı gibi, ağımızdaki bilgisayarların sağlık durumunu kontrol ederek belirlediğimiz sağlık kuralları çerçevesinde ağa erişimlerine izin veriyor yada bu kuralların yerine getirilmesi için istemcilere yardımcı oluyor ve çözümler üretiyor.
Peki nedir bu sağlık durumu? Buradaki sağlıktan kasıt bilgisayarın kritik güvenlik mekanizmalarının durumudur. Bunun içinde Updatelerin güncellik durumu, antivirüs programlarının güncellik durumu, güvenlik duvarının durumu gibi özellikler yer alır. Sağlıklı bir bilgisayar için ilk yapmamız gerekenlerin ;
• Updatelerinin tam olmasını sağlamak
• Antivirüs Programının güncel kalmasını sağlamak
• İyi konfigure edilmiş bir güvenlik duvarına sahip olmak
olduğunu hepimiz biliyoruzdur. İşte NAP bunları bizim için kontrol ediyor ve ağa erişimleri bu özellikler doğrultusunda ve belediğimiz kurallar çerçevesinde çok daha güvenli hale getiriyor.
Olayın çalışma mantığına aşağıdaki diagram ile bakalım.
Bu örnek yapıda görüldüğü üzere her şey bir client’ın ağımıza girmek için DHCP’den ip istemesi ile başlıyor. IP isteğini alan DHCP, IP vermeden önce clientin üzerinde çalışan SHA (System Healt Agent) ile oluşturulan sağlık bilgisini NPS’e (Network Policy Server/Longhorn) iletiyor. Bu Bilgiyi alan NPS Policy Server’a gidip bilgiyi gösteriyor ve “Şu şu özelliklere sahip bir bilgisayar ağa girmek istiyor ne diyorsun?” diyor. Polcy Server, üzerinde tanımlı olan kurallara göre NPS’ten gelen bu bilgiyi kontrol ediyor ve uygundur yada değildir cevabını tekrar NPS’e gönderiyor. Dönen cevaba göre eğer kural dışı bir durum yoksa DHCP IP adresi veriyor ve ağa erişim sağlanıyor. Şayet kural dışı bir durum varsa NPS, client’i DHCP aracılığıyla Kısıtlı bir ağa yönlendiriyor ve burada devreye “Remediation Server” giriyor. Policy serverın belirlediği uygunsuzluk durumları burada “Remediation Server” tarafından düzeltilmeye çalışılıyor. Bu kısıtlı ağda problemli durumlar ortadan kaldırılıyor ve client’a ağa erişim yetkisi veriliyor. Olay kabaca böyle çalışmakta.
Microsoft, NAP kontrolünü kullanarak bir istemcinin sağlıklı olup olmadığını ve sağlıklı olmayı sürdürdüğünü kontrol etmemizin, 4 temel noktada uygulanabileceğini söylüyor.
• VPN Bağlantıları
• 802.1x Altyapısı
• DHCP
• IPSec
Mesela yukarıdaki durumu VPN için düşünürsek, DHCP’nin bulunduğu yerde bir VPN
server olacaktı ve gelen VPN Connection istekleri doğrultusunda NPS serverla iletişim halinde olacaktı.
IPSec ile kullanımı biraz daha güvenli gibi görünüyor ancak IPSec’in ağa getirdiği ekstra yük unutulamamalı. İstemciler için yeni bir sertifika düzenlenebiliyor. Adı “Sağlık Sertifikası”. Bu durumda sağlıklı oldukları doğrulanan istemcilere, sertifika sunucumuz tarafından bir “Sağlık Sertifikası” düzenlenir. Bizde bu sertifikayı IPSec ilkesinde kullanarak sadece bu sertifikaya sahip bilgisayarların birbirleri ile iletişimde olmalarını sağlayabiliyoruz. Tabi IPSec’in ağa getirdiği yükü göz ardı etmemek gerekir.
Küçük sistemler için en uygun yöntem, DHCP aracılığıyla kontrol yapmak diye düşünüyorum. Hem oldukça basit, hem de herkesin kullandığı bir servis. Sabah bilgisayarını açıp ağa erişmek isteyen bir istemci DHCP’den ip almak için geliyor. Eğer kurallara uygunsa ip alıyor, değilse özel bölgeye alınıp Remedation Server’lar tarafından sağlıklı hale getiriliyor ve o şekilde sisteme girebiliyor. Böylece ağımızda çalışan bilgisayarlar bizim belirlediğimiz sağlık seviyesinde oluyor ve emin olun daha az güvenlik problemiyle karşılaşıyoruz.
Tabi insanın aklına hemen şöyle bir şey geliyor. İstemcinin sağlıklı olduğu doğrulanıp ağa giriyor ancak ağda çalışırken belirli update’leri kaldırıyor yada güvenlik duvarını kapatıyorlar. İşte burada, bu kontrol mekanizmasını iyi planlamamız gerektiği ortaya çıkıyor. Microsoft, bu sık kontroller için en iyi yöntemin IP adres kiralarını kullanmak olduğunu söylüyor. Örneğin IP kiralama süresini 1 Satte yada uygun bir süreye çekerek yeterli sıklıkta bu kontroller yapılabilir. Sonuçta IP kira süresi dolan istemci tekrar DHCP’ye gidicek ve IP alma işlemi sırasında tekrar NAP kontrolünden geçmek zorunda kalacak. Aynı durum IPSec’te Sertifika son kullanım tarihinin değiştirilmesi ile de sağlanabiliyor.
Son olarak NAP’ın çalışması için istemcilerde NAP’ın Agent yazılımının olması gerekiyor. Vistada bu dahili olarak geliyor. XP’de de SP2 olan sistemler bu yapıya uygun olarak çalışıyor.
Evet Microsoft’un bu yeni teknolojisi ses getireceğe benziyor. Zaten Microsoft seminerlerinde ve toplantılarında iş ortaklarına NAP konusunda güzel projelerin gelebileceği sinyallerini veriyor.
Ayrıca Microsoft bu teknolojinin sadece kendine özgü kalmayacağından da bahsediyor. Yani değişik platformlardaki istemcilerinde bu yapı ile entegre çalışabilmesi için uğraştıklarından bahsediyor. Örneğin Cisco ile uzun zamandır bu konu ile ilgili çalışmaları olduğunu ve Cisco Agent Sağlıklıyım dediğinde bunu NAP’ın anlayabildiğini, aynı şekilde Vista sağlıklıyım dediğinde de bunu Cisco anlayabildiğini söylüyorlar. Microsoft yakın gelecekte bu mekanizmayı her türlü işletim sistemi ile uyumlu hale getirmeyi hedefliyor.
Çarş. Kas. 07, 2007 7:41 pm