NAP (Network Access Protection) IPsec (Internet Protocol security) Enforcement biedt de meest krachtige en flexibele methode om te zorgen dat clientcomputers voldoen aan de netwerkstatusvereisten.
IPsec Enforcement beperkt de communicatie in uw netwerk tot die computers die worden beschouwd als compatibel en die de vereiste statuscertificaten hebben. Door gebruik te maken van IPsec en de flexibiliteit in configuratie die IPsec biedt, hebt u met deze methode voor het afdwingen van NAP de mogelijkheid om vereisten voor beveiligde communicatie met compatibele clients te definiëren per IP-adres of per poortnummer. Zie
Voordelen van IPsec Enforcement
IPsec Enforcement wordt doorgaans gebruikt wanneer u een krachtiger en robuuster afdwingmechanisme wilt gebruiken dan 802.1X, DHCP of VPN Enforcement. IPsec Enforcement biedt de volgende voordelen:
Afdwingen is fraudebestendig
IPsec Enforcement kan niet worden genegeerd door een NAP-client opnieuw te configureren. Een NAP-client kan geen statuscertificaat ontvangen van of communicatie starten met een compatibele computer door de instellingen op de lokale computer te manipuleren, zelfs indien de gebruiker over lokale beheerdersrechten beschikt. IPsec Enforcement kan evenmin worden genegeerd via het gebruik van hubs of van virtuele-computertechnologieën.
Geen upgrade van infrastructuur vereist
IPsec Enforcement werkt op de internetlaag van de TCP/IP-protocolsuite en is derhalve onafhankelijk van fysieke onderdelen van de netwerkinfrastructuur, zoals hubs, switches en routers.
Netwerktoegang beperkt per server of per toepassing
Met IPsec Enforcement kunnen compatibele computers communicatie starten met niet-compatibele computers, maar niet-compatibele computers kunnen geen communicatie starten met compatibele computers. De beheerder definieert het type verkeer dat moet worden geverifieerd via een statuscertificaat en worden beveiligd met IPsec via IPsec-beleidsinstellingen. Via IPsec-beleid kunnen IP-filters worden gemaakt waarmee verkeer kan worden gedefinieerd op basis van bron-IP-adres, doel-IP-adres, IP-protocolnummer, bron- en doel-TCP-poort en bron- en doel-UDP-poort. Met IPsec-beleid en gedefinieerde IP-filters kan netwerktoegang worden beperkt per server of per toepassing.
Optionele end-to-end versleuteling
Met IPsec-beleidsinstellingen kunt u IP-verkeer tussen IPsec-peers versleutelen voor hooggevoelig verkeer. In tegenstelling tot IEEE 802.11 LAN's (Wireless Local Area Network), waarbij alleen frames van de draadloze client naar het draadloze toegangspunt worden versleuteld, vindt IPsec-versleuteling plaats tussen IPsec-peercomputers.
IPsec Enforcement en logische netwerken
IPsec Enforcement verdeelt een fysiek netwerk in drie logische netwerken. Een computer is slechts lid van één logisch netwerk tegelijk. De logische netwerken worden gedefinieerd in termen van computers die statuscertificaten hebben en computers die IPsec-verificatie vereisen voor binnenkomende communicatiepogingen. Via logische netwerken kunt u de toegang beperken van computers die niet voldoen aan de statusvereisten en kunt u compatibele computers een zekere beveiliging bieden tegen niet-compatibele computers. IPsec Enforcement definieert de volgende logische netwerken:
-
Beveiligd netwerk
Computers in het beveiligde netwerk hebben statuscertificaten en vereisen dat inkomende communicatie aan de hand van deze certificaten wordt geverifieerd. Beveiligde netwerken gebruiken een algemene reeks IPsec-beleidsinstellingen voor IPsec-beveiliging. De meeste server- en clientcomputers die lid zijn van een Active Directory®-infrastructuur, zullen zich in een beveiligd netwerk bevinden. NAP-statusbeleidsservers, servers met AD CS (Active Directory Certificate Services) en e-mailservers zijn voorbeelden van netwerkonderdelen die zich doorgaans in een beveiligd netwerk bevinden.
-
Begrenzingsnetwerk
Computers in het begrenzingsnetwerk hebben statuscertificaten, maar vereisen geen IPsec-verificatie van inkomende communicatiepogingen. Computers in het begrenzingsnetwerk moeten toegankelijk zijn voor computers in het gehele netwerk. Dit soort computers zijn bijvoorbeeld servers die de status van NAP-clients moeten evalueren en herstellen of andere netwerkdiensten voor computers in het netwerk met beperkte toegang moeten bieden. Voorbeelden hiervan zijn HRA-servers, antivirusupdateservers, alleen-lezen domeincontrollers en DNS-servers. Aangezien computers in het begrenzingsnetwerk niet vereisen dat communicatie wordt geverifieerd en beveiligd, moeten ze nauwgezet worden beheerd om te voorkomen dat ze worden misbruikt voor aanvallen op computers in het beveiligde netwerk.
-
Netwerk met beperkte toegang
Computers in een netwerk met beperkte toegang beschikken niet over statuscertificaten. Dit zijn computers die de statuscontrole niet hebben voltooid, die gast zijn of die niet in aanmerking komen voor NAP. Voorbeelden hiervan zijn computers waarop een Windows-versie wordt uitgevoerd die geen ondersteuning biedt van NAP, Apple Macintosh-computers of UNIX-computers.
In de volgende afbeelding ziet u een voorbeeld van een logisch IPsec-netwerk.