Proteção de Acesso à Rede
O Network Access Protection (NAP - Proteção de Acesso à Rede) é uma nova tecnologia de segurança do NPS (Serviço de Proteção à Rede) lançada no Windows Vista e Windows Server 2008. Essa tecnologia inclui componentes que permitem criar e impor diretivas de requisito de integridade que definem as configurações necessárias tanto de software como de sistema para os computadores que se conectam a rede.
Com o Network Access Protection, os administradores de rede podem definir políticas para os requisitos de integridade do sistema e assim verificar o estado de saúde das máquinas que tentam se conectar ao servidor. Certificar se o computador possui o sistema operacional atualizado, ou as definições de vírus do software antivírus atualizadas são alguns dos exemplos de requisitos de integridade do sistema.
Caso um computador cliente não esteja em conformidade com a política de requisitos, o NAP restringe o seu acesso à rede, porém oferece mecanismos para que o cliente se torne compatível com os requisitos, e tenha o acesso normal à rede.
Métodos de Imposição
editarO NAP impõe requisitos de integridade nos computadores que tentam conectar a uma rede, limitando o acesso quando os computadores cliente são considerados incompatíveis.
A imposição do NAP ocorre no momento em que os computadores clientes tentam acessar a rede por meio de servidores de acesso à rede.
O NAP possui suporte para múltiplos métodos de imposição (tecnologia utilizada para o acesso em uma rede), dentre eles, temos:
- Internet Protocol Security (IPSec)
- Conexões de rede autenticadas pelo padrão 802.1X do IEEE
- Conexões VPN
- Conexões Gateway de Serviços de Terminal
- Dynamic Host Configuration Protocol (DHCP)
Configuração
editarO NAP é composto por uma série de componentes cliente e servidor, e portanto exige que as configurações sejam feitas em ambos.
Componentes
editarComponentes comuns do NAP no lado do cliente:
- Cliente: são os computadores ou notebooks que possuem os componentes do NAP instalados e configurados. Devem enviar o seu estado de integridade para o servidor.
- Declaração de integridade: também conhecido como SoH, é o estado de integridade do cliente.
- Agente de integridade do sistema: também conhecido como SHA, é o componente responsável por verificar o estado de integridade do sistema.
- Agente NAP: processa as declarações de integridade do cliente e as envia para o servidor de administração do NAP.
- Cliente de imposição: tecnologia utilizada para o acesso em uma rede que deve estar instalada em um cliente.
Componentes comuns do NAP no lado do servidor:
- Servidor de atualizações: armazena as atualizações necessárias para que os clientes que não estejam em conformidade possam ser atualizados e consequentemente fiquem em conformidade com os requisitos.
- Validadores de integridade do sistema: também conhecido como SHV, é o componente responsável por validar as declarações de integridade criadas pelo SHA do cliente.
- Diretivas de integridade: é a política na qual são definidos os requisitos mínimos de segurança na qual os clientes devem atender para que tenham acesso à rede.
- Resposta à declaração de integridade: também conhecido como SoHR, é o componente responsável por retornar a resposta ao cliente, após a validação das declarações de integridade. Caso o mesmo esteja incompatível com as políticas, o SoHR auxiliará o cliente enviando informações para torná-lo compatível.
Suporte para NAP
editarO NAP está disponível em computadores que executam o Windows Server 2008 e versões posteriores ou o Windows Vista e versões posteriores. Existe também suporte para o NAP no Windows XP com Service Pack 3(SP3), porém com algumas limitações.
Referências
editar- Technet. Proteção de Acesso à Rede. Página visitada em 02 de junho de 2014.
- Microsoft. Network Access Protection (NAP) for Windows Server 2008. Página visitada em 02 de junho de 2014.
- Wikipédia Versão em Inglês. Network Access Protection. Página visitada em 02 de junho de 2014.