Vynucení protokolu IPsec (Internet Protocol security) architektury NAP (Network Access Protection) nabízí nejsilnější a nejpružnější způsob udržení souladu klientských počítačů s požadavky na stav sítě.
Vynucení protokolu IPsec omezí komunikaci v síti na počítače, které jsou pokládány za počítače splňující požadavky a které získaly certifikáty stavu. Tato metoda vynucení architektury NAP využívá protokol IPsec a jeho pružnost konfigurace a umožňuje tak definovat požadavky na zabezpečenou komunikaci s klienty splňujícími požadavky, která je založena na adresách IP nebo na číslech portů. Další informace o protokolu IPsec naleznete na adrese
Výhody vynucení protokolu IPsec
Vynucení protokolu IPsec se používá obvykle v případech, kdy je zapotřebí silnější a odolnější mechanismus vynucení, než jaký poskytují vynucení typů 802.1X, DHCP a VPN. Výhody vynucení protokolu IPsec jsou následující:
Vynucení odolné proti zfalšování
Vynucení protokolu IPsec nelze obejít změnou konfigurace klienta NAP. Klient NAP nemůže obdržet certifikát stavu ani zahájit komunikaci s počítačem splňujícím požadavky tím způsobem, že by některý uživatel záměrně změnil nastavení v místním počítači, i když by měl oprávnění místního správce. Vynucení protokolu IPsec není možné obejít ani pomocí rozbočovačů nebo technologií virtuálních počítačů.
Žádný upgrade infrastruktury
Vynucení protokolu IPsec funguje v internetové vrstvě sady protokolů TCP/IP. Je proto nezávislé na fyzických součástech infrastruktury sítě, jako jsou rozbočovače, přepínače a směrovače.
Přístup k síti omezený na základě serverů nebo aplikací
S vynucením protokolu IPsec mohou počítače splňující požadavky zahájit komunikaci s počítači nesplňujícími požadavky, avšak počítače nesplňující požadavky nemohou zahájit komunikaci s počítači splňujícími požadavky. Správce definuje typ komunikace, který musí být ověřován certifikátem stavu a chráněn protokolem IPsec, pomocí nastavení zásad protokolu IPsec. Zásady protokolu IPsec umožňují vytvářet filtry IP, které mohou definovat komunikaci pomocí zdrojové adresy IP, cílové adresy IP, čísla protokolu IP, zdrojového a cílového portu TCP a zdrojového a cílového portu UDP. Zásady protokolu IPsec a filtry IP umožňují omezit přístup k síti na základě serverů nebo aplikací.
Možnost šifrování podél celého spojení
Jedná-li se o velmi důvěrnou komunikaci, je možné zadat nastavení zásad protokolu IPsec tak, aby byl přenos pomocí protokolu IP mezi účastníky komunikace IPsec šifrován. Na rozdíl od bezdrátových místních sítí IEEE 802.11, ve kterých se šifrují pouze rámce přenášené z klienta bezdrátové sítě do přístupového bodu bezdrátové sítě, probíhá šifrování IPsec mezi účastnickými počítači protokolu IPsec.
Vynucení protokolu IPsec a logické sítě
Vynucení protokolu IPsec rozdělí fyzickou síť na tři logické sítě. Počítač je v libovolném okamžiku členem pouze jedné logické sítě. Logické sítě jsou definovány tím, které počítače mají certifikáty stavu a které vyžadují pro příchozí pokusy o komunikaci ověření IPsec. Logické sítě umožňují omezit přístup počítačů, které nesplňují požadavky na stav, a poskytují počítačům splňujícím požadavky ochranu před počítači nesplňujícími požadavky. Vynucení protokolu IPsec definuje následující logické sítě:
-
Zabezpečená síť
Počítače v zabezpečené síti mají certifikáty stavu a vyžadují, aby byla příchozí komunikace ověřena pomocí těchto certifikátů. K poskytování ochrany protokolem IPsec používají společnou sadu nastavení zásad protokolu IPsec. V zabezpečené síti bude pravděpodobně většina serverů a klientských počítačů, které jsou součástí infrastruktury služby Active Directory®. Jako příklad síťových součástí, které normálně patří do zabezpečené sítě, je možné uvést servery zásad stavu NAP, servery provozující službu AD CS (Active Directory Certificate Services) a e-mailové servery.
-
Hraniční síť
Počítače v hraniční síti mají certifikáty stavu, ale nevyžadují ověření příchozích pokusů o komunikaci pomocí protokolu IPsec. Počítače v hraniční síti musí být dostupné pro počítače v celé síti. Tyto typy počítačů jsou servery, které slouží k hodnocení a nápravě stavu klientů NAP a k dalšímu poskytování síťových služeb počítačům v omezené síti - například servery HRA, servery pro aktualizaci antivirových programů, řadiče domény jen pro čtení a servery DNS. Protože počítače v hraniční síti nevyžadují ověřování a chráněnou komunikaci, musí být pečlivě spravovány, aby se zabránilo jejich zneužití k napadení počítačů v zabezpečené síti.
-
Omezená síť
Počítače v omezené síti nemají certifikáty stavu. Jsou to počítače, které nedokončily kontroly stavu, jsou pouze hosty nebo nejsou způsobilé pro architekturu NAP, například počítače s verzemi systému Windows, které nepodporují architekturu NAP, počítače Apple Macintosh a počítače se systémem UNIX.
Na následujícím obrázku je znázorněn příklad logických sítí s protokolem IPsec.