De wereld van policygebaseerd netwerk- en systeembeheer heeft de afgelopen jaren een flinke evolutie doorgemaakt. Belangrijkste verandering is dat de verschillende standaarden van de Trusting Computing Group, Cisco en Microsoft samen zijn gesmolten tot een enkele set regels rond het beheren en het bekrachtigen van die policies. Hoewel er echt wel uitgebreidere en beter afgewerkte producten zijn die hetzelfde doen, zal Network Access Protection van Microsoft ondanks zijn duidelijke beperkingen ongetwijfeld zijn stempel drukken op homogene Windowsomgevingen.

NAP bestaat uit subsytemen voor clients en servers met een architectuur die is gebaseerd op ofwel 802.1X, ofwel DHCP, ofwel VPN's met VLAN-toewijzing om apparaten te isoleren indien nodig. Windows Server 2008 wordt geleverd met verschillende NAP-diensten, en Windows Server 2008 R2 zal die verder uitbreiden.

Clientondersteuning zit in Windows Vistas, Windows XP SP3 en Windows 7. Deze client-diensten verzamelen de statusgegevens van het systeem en sturen deze door naar de Windows Server, die de rapportages verder afhandelt. De NAP-componenten tonen de status van een apparaat in een scherm die lijkt op Windows Security Centre, met een systeemoverzicht, antivirus, de actieve firewall en andere beveiligingsgegevens die onder elkaar op het scherm staan.

De NAP-diensten analiseren vervolgens de algehele status van elk apparaat, vergelijken deze met de policies zoals gedefinieerd op de Network Policy Server en onderneemt op basis daarvan actie. NAP biedt ongeveer dezelfde toegangscontrole als andere NAC-producten, maar mist veel toeters en bellen die we elders wel hebben gezien.

NAP in R2

Microsoft gaat ondertussen rustig door met het ontwikkelen van nieuwe functies voor NAP en alles dat daarmee te maken heeft. Een paar verbeteringen in NAP voor Windows Server 2008 R2 moet vooral de uitrol beter laten verlopen. Zo kan de setup van de logging database geautomatiseerd worden, en worden er meerdere kant-en-klare configuraties geleverd voor de System Health Validator (SHV).

NAP vereist dat je meerdere databases instelt voor het beheer van het complete systeem, zoals dus die logging database. In de voorgaande versies betekende dat een uitgebreide en vaak tijdrovende SQL-gebaseerde configuratie. Dat is in R2 volledig geautomatiseerd, waardoor de beheerder dit monnikenwerk bespaard blijft.

Ook kreeg je voorheen slechts met één SHV-configuratie werken voor je hele omgeving, waardoor eventuele veranderingen aan de systeemeisen ook direct voor alle systemen moesten gaan gelden. Nu kun je verschillende policies toepassen op specifieke SHV-configuraties. Je kunt dus bijvoorbeeld differentiëren tussen systemen die direct aan het netwerk zijn gekoppeld en alleen een check van de antivirus krijgen, en systemen die via de VPN op je netwerk komen en waarvan je wellicht meer zou willen eisen.

Als R2 samen wordt gebruikt met Windows 7, krijg je daarnaast de beschikking over een gestroomlijnde omgeving voor remote access, waarmee beveiliging voor sessies voor Remote Workspace, Presentation Virtualization en Remote Desktop Gateway Services eenvoudiger kan worden ingesteld.

NAP in het lab

We hebben gekeken naar hoe NAP omgaat met verschillende alledaagse scenario's, zoals gasttoegang, apparaten die op veel van plek wisselen en niet-Windows apparaten. We hebben ook de methodes onder de loep genomen waarmee NAP de beleidsregels toepast. We hebben Windows Server 2008 geïnstalleerd als de kern van het netwerk, en we hebben zowel Windows Vista als Windows XP SP3 als client-OS ingezet voor de verschillende apparaten. We hebben ook een Mac OS X-client en een printer op het netwerk aangesloten, ondanks dat NAP niets doet met niet-Windowsapparaten.

Het instellen van de NAP was op zich intuïtief, maar de procedure zelf is redelijk complex. Je moet om NAP aan de praat te krijgen een bijzonder lange lijst van benodigde services afgaan en installeren. Zelfs deze zeer eenvoudige uitrol kostte een paar uur om uit te voeren door de eisen die 802.1X stelde aan Windows Server 2008, zoals de installatie van de RADIUS-server, verschillende certificaten en toepassingsclients.

Je configureert de NAP-policies met de Network Policy Server van Windows Server 2008. Zoals we gewend zijn van andere NAC-producten worden acties uitgevoerd op basis van de policies en de systeemstatus. Policies geven aan in hoeverre netwerktoegang wordt verleend, door middel van 802.1X en VLAN, of via DHCP lease-toepassing.

Het instellen van de policies is eenvoudig, vooral omdat er niet zo veel in te stellen valt. Ze houden slechts rekening met de systeemstatus, en je kunt het niet fijnstellen op factoren zoals verschillende poorten of tijdstip. Samengevat kijkt NAP naar de geïnstalleerde antivirussoftware, antispyware, firewall en de automatische updates.

Het NAP-platform is voor Vista hetzelfde als voor XP, en toch heeft deze een paar extra mogelijkheden. Vista biedt een beheerconsole voor het instellen van zowel lokale componenten als Group Policy, terwijl de Windows System Health agent van NAP samenwerkt met Windows Defender in het Security Center. Het onderliggende toepassingsmechaniek bevat daarnaast nog wat uitgebreide functies, zoals geautenticeerde IP voor IPSec en ondersteuning voor single sign-on in 802.1X.

Veilig, of domweg verborgen?

De clients worden toegewezen aan een VLAN op basis van hun systeemstatus, waardoor ze bijvoorbeeld specifieke beperkingen opgelegd kunnen krijgen totdat eventuele problemen verholpen zijn. VLAN is als aanpak een stuk veiliger dan DHCP, maar vereist wel een 802.1X-implementatie en dat is eigenlijk altijd zwaar en belastend.

De toepassing van DHCP is een beetje een vals lokkertje. Apparaten krijgen met het toewijzen van IP-adressen alle hoeken van het netwerk te zien, en je kunt ervan uit gaan dat de veilige clients zich dan aan jouw plannen houden. Flexibele apparaten zullen hier wel een weggetje omheen verzinnen door met statische IP-adressen te werken. Je zult wellicht gecharmeerd zijn van de relatieve eenvoud van DHCP, zeker als je een kleine omgeving beheert, maar bedenk wel dat we hier te maken hebben met een veredeld 'security through obscurity'-model en dat echte security ver te zoeken is.

Onderhand zijn kwaadaardige organisaties prima in staat om hun malware zo te maken dat deze met de IP-adressen kunnen rommelen, en op die manier is er dan ook bij DHCP een grote achterdeur die voor hen openstaat in NAC-implementaties. Dat geldt ook voor NAP. Nee, echte toepassing van de beveiliging moet volledig gebruik kunnen maken van de infrastructuur, en bij NAP betekent dat eigenlijk gewoon 802.1X. Om het allemaal erger te maken, blijkt het uitrollen daarvan moeilijk, zelfs al gebruik je uitstekende hulptools als XpressConnect van Cloudpath Networks en Beacon van Great Bay Software.

De NAP-kloof

Microsoft NAP gaat waarschijnlijk hoe dan ook een belangrijk deel uitmaken van van je policy-netwerk, of je het nou volledig uit gaat rollen of niet. Bedenk daarbij dat hoewel NAP wordt meegeleverd met Windows Server 2008, Vista, Windows 7 en Windows XP SP3, je wel wat budget opzij moet zetten voor het installeren van 802.1X en VLAN. Of je moet de beperkingen van DHCP kennen en voor lief nemen natuurlijk.

Zoals veel andere producten mist NAP een van de sleutelfuncties om een beheerbare omgeving te creëren. In plaats van echte reporting, werkt NAP met logbestanden. De informatie is weliswaar aanwezig, maar het is lastig om de relevante delen op het juiste moment eruit te trekken op het moment dat zich rare dingen voordoen.

Bij een 100 procent Windowsomgeving zou NAP wel eens de kern kunnen vormen van uw policy-beheer. Binnen heterogene omgevingen, en dat komt toch vaker voor met alle BlackBerries, Macs, iPhones en printers die je binnen bedrijven treft tegenwoordig, zal NAP eerder een deel uitmaken van een completere NAC-omgeving.

Uiteindelijk is Microsoft NAP een effectieve detectiepoort voor Windows-endpoints. Helaas is het opzetten ervan complex, zijn de policies beperkt en biedt het geen reporting. Je kunt NAP dus beter gebruiken in combinatie met andere producten om toch tot een compleet, beheerbare en schaalbare omgeving te komen.

Voordelen

- Ingebouwd in zowel Windowsservers als Windowsclients.

- Eenvoudige configuratie van policies zelf

- Keuzevrijheid tussen uitgebreide en veilige 802.1X en gemakkelijkere DHCP voor de toepassing van policies.

- Uitstekende ondersteuning voor gebruikers van buiten.

Nadelen

- Het instellen van de omgeving is ingewikkeld en tijdrovend.

- Alleen ondersteuning voor Windowsclients

- Geen on-demand agent voor gasttoegang

- Weinig mogelijkheden voor instellen van policies en toepassing

- Logging in plaats van echte rapportage

Prijs: Meegeleverd met Windows Server 2008, Windows XP Service Pack 3, Windows Vista en Windows 7.

Platform: NAP-diensten ondersteunt toestandschecks voor clients met Windows XP, Windows Vista of Windows 7.

Cijfers:

Beheerbaarheid: 7

Toepassing Policies: 6

Schaalbaarheid: 8

Rapportage: 5

Installatie: 6

Prijs/Prestaties: 8

Gewogen gemiddelde: 6,7 Bron: Infoworld.com Bron: Techworld