3流プログラマのメモ書き

元開発職→社内SE→派遣で営業支援の三流プログラマのIT技術メモ書き。 このメモが忘れっぽい自分とググってきた技術者の役に立ってくれれば幸いです。(jehupc.exblog.jpから移転中)

(MCP70-642)3.2 ネットワークアクセス保護(NAP)

サーバがらみ

MCP70-642 Windows Server 2008 Network Infrastructure, Configuring のメモです。

参考書は下記を使用。

MCP教科書 Windows Server 2008 Network編(試験番号:70-642) (MCP教科書)

これはまだ使ったことないので、なかなか難解な部分です。。。

■3.2.1 ネットワークアクセス保護(NAP)

セキュリティ要件を満たしていないPCを隔離(検疫)する機能。

■3.2.2 NAP実施環境の要素

下記の要素があるらしい。

NAPクライアント

 NAPクライアント機能が有効化されてないとダメ。

ネットワークポリシーサーバ(NPS)

 クライアントに対するポリシーを定義しておく。

 また、ポリシーにOK、ポリシーにNG、NAP非対応時の動作も定義できる。

修復サーバー

 ポリシー満たしていないクライアントに対して、ポリシーを満たさせるためのパッチや手順等を提供するサーバ。

アクセスデバイス(NAP実施サーバ)

 NAPクライアントとNPSとの間にある機器。NAP実施方法により、配置物は変わるらしい。

NAPの動作

NAPではネットワーク的に3つのゾーンとなるらしい。

・検疫ゾーン:ポリシーNG、NAP非対応のクライアントがいるゾーン

・境界ゾーン:アクセスデバイス、修復サーバ

・セキュアゾーン:保護されてるサーバ達

NAP実施方法として以下5つが提供されている。

DHCP NAP

 アクセスデバイスDHCPサーバ。

 クライアントがDHCPサーバーからIP取得するときにNAPを実施する。

 DHCPオプションやサブネットで区別。

VPN NAP

 アクセスデバイス:RRASサーバ。

 VPNクライアントが接続するときにNAPを実施。

 ポリシーNGな場合は、パケットフィルタで、限定的アクセスを強制。

IPSec NAP

 セキュアゾーンにアクセスにIPSecを強制。

 認証に正常性証明書とやらを使うらしい。なにやら複雑そう。

IEEE802.1x NAP

 アクセスデバイス802.1x対応のスイッチ、アクセスポイント。

 有線でも無線でもOK。ポリシーNGは違うVLANにするなどができる。

・ターミナルサービスゲートウェイNAP

 RDPをHTTPSカプセル化したのがTSゲートウェイ

 ポリシーNGだと、ターミナルサーバへのアクセス拒否。

■3.2.2 NAPコンポーネント

システム正常性エージェント(SHA)

 クライアントの状態検査と、検証。サーバのSHVと対になる。

システム正常性検証ツール(SHV)

 SHAに対応するNPS側コンポーネント。ポリシーのチェックをするのかな。

検疫エージェント(QA)

 SHAの情報をECに渡す。

実施クライアント(EC)

 動作を強制するクライアントコンポーネント。ESに正常性ステートメントを送信する。

実施サーバ(ES)

 ECから渡された情報をSHVに中継。

検疫サーバ(QS)

 SHVから来た正常性ステートメント応答(SoHR)を受け取り、RADIUSを使ってアクセスデバイスに送信。

■3.2.3 NAPクライアントの構成

・セキュリティセンター

・Network Access Protection Agentサービス

・NAP実施クライアント

が有効になってないとダメ。

※現状では Vista と XP SP3 が対応。

これらがグループポリシーで有効化できる。(AD環境)

NAP実施クライアントをローカルで指定するにはnapclcfg.mscの「NAPクライアントの構成」から有効にできる。

■3.2.4 DHCP強制

クライアントはDHCPを使わないといけない。

ポリシーNGのときは下記のDHCPオプションをリースする。

サブネットマスク : 255.255.255.255

デフォルトゲートウェイなし

・設定した非準拠用DHCPオプション

DHCP NAPは最も制限の緩やかな方法。クライアントが手動でIP構成すると制限が適用されないから。

ただし、お手軽感あり。

DHCP NAP構成ポイント

NAPサーバ側

管理ツール「ネットワークポリシーサーバ」→「NAPを構成する」から可能。(ネットワーク接続の方法でDHCPを選択)

・NPSとDHCPサーバが別コンピュータのときは「RADIUSクライアント」を追加する。

 この場合、DHCPサーバにもNPSをインストールし、RADIUSプロキシとして構成する。

 ※アクセスデバイスとNPS間は RADIUS 通信が必要のため。

DHCPサーバ側

DHCPサーバのスコープでNAPを有効化するには、管理ツール「DHCP」のプロパティで、「ネットワークアクセス保護」タブ→「このスコープに対して有効にする」で可能。

・ポリシーNG時の構成を変更するには、管理ツール「DHCP」の「スコープオプション」右クリ「オプションの構成」→「詳細設定」タブで可能。

■3.2.5 VPN強制

VPN NAP構成ポイント

NAPサーバ側

管理ツール「ネットワークポリシーサーバ」→「NAPを構成する」から可能。(ネットワーク接続の方法で仮想プライベートネットワークを選択)

RADIUSに関してはDHCP NAPと同じ。

・「認証方法の構成」で EPP-TLS , PEAP-MS-CHAP のどちらかを選択。

VPNクライアント側(RRASサーバではなくVPNクライアント側の設定となる)

VPN接続プロパティで「詳細(カスタム設定)」→「拡張認証プロトコルを使う(EAP)」で、認証方法選択。

 後は、サーバの証明書を検証するすばやい再接続を有効化する検疫のチェックを有効にするでOK。

■3.2.6 IPSec強制

正常性証明書

 これを用いてコンピュータ認証を行う。

 ポリシーがOKなクライアントのみ、これを受けてとれる。ポリシーNGになったらクライアントは証明書を削除する。

正常性登録機関

 IPSec NAP におけるアクセスデバイスのこと。

セキュアゾーンのサーバはIPSec出ないと通信できない。

境界ゾーンはIPSecと通常の通信両方ともOK。

※NAPポリシーOKなクライアント間でもIPSecで安全な通信ができる。(エンドtoエンドで安全なのはIPSec NAPだけ)

IPSecで必要な設定

・セキュア、境界ゾーンのコンピュータに正常性証明書を配布。

IPSecポリシー設定

 セキュアゾーン:正常性証明書によるIPSec通信必須。

 境界ゾーン:IPSecと通常の通信両方許可。

 クライアント:IPSecで要求されたら、IPSec通信で応答する。

・正常性登録機関(アクセスデバイス)とCAを設定(正常性証明書を配布)

・NAPポリシー作成(NPS

・NAPクライアントの構成(セキュリティセンター、NAPサービス、NAP実施クライアントの有効化)

と、ここでタイムアウト。。。

試験本番まで残り数時間しかないので、あとは赤本を斜め読みでなんとか踏ん張るのみです。。。

残っているはNAPの802.1x無線LAN、ファイウォールと、ファイルおよび印刷サービスの構成、ネットワークの監視と管理です。。

赤本でのこりおよそ240頁ほど。。

さあて、どうなることやら。。。。