Самым легким и распространенным способом проникновения в вашу сеть злонамеренных пользователей Интернета и вредоносных программ является не использование брешей в фильтрах или грубый подбор паролей, а перехват соединения ваших пользователей мобильных устройств, когда они соединяются с вашей сетью, находясь в командировке или вне офиса. Управление карантином доступа к сети (Network Access Quarantine Control), или NAQC, запрещает свободный доступ к сети из удаленного места, пока адресат не удостоверится в соответствии настроек удаленного компьютера определенному стандарту.
автор Jonathan Hassell
Самым легким и распространенным способом проникновения в вашу сеть злонамеренных пользователей Интернета и вредоносных программ является не использование брешей в фильтрах или грубый подбор паролей, а перехват соединения ваших пользователей мобильных устройств, когда они соединяются с вашей сетью, находясь в командировке или вне офиса.
Постараемся понять почему. Удостоверение подлинности большинства удаленных пользователей происходит на основе идентичности имени пользователя и пароля; не принимается никаких мер для проверки их оборудования и программного обеспечения на соответствие определенным требованиям. Удаленные пользователи могут не соблюдать следующие правила безопасности:
Вы думаете, что все подчиненные системы следуют определенной политике, но раньше о пользователях мобильных устройств обычно забывали или делали для них исключение. Однако Windows Server 2003 включает новую функцию в своем Resource Kit, называемую «Управление карантином доступа к сети», которая позволяет вам фильтровать соединения удаленных пользователей, если их системы не соответствуют требованиям безопасности или не имеют последнего обновления.
Как работает Карантин Доступа к Сети
Управление карантином доступа к сети (Network Access Quarantine Control), или NAQC, запрещает свободный доступ к сети из удаленного места, пока адресат не удостоверится в соответствии настроек удаленного компьютера определенному стандарту.
Чтобы использовать NAQC, ваши удаленные компьютеры должны иметь соответствующие ОС: Windows 98 Second Edition, Windows Millennium Edition, Windows 2000, или Windows XP Home или Professional. Эти версии Windows поддерживают модуль соединения, содержащий информацию о соединении, базовый скрипт и компонент оповещения, который можно создать с помощью менеджера соединений (Connection Manager Administration Kit - CMAK). Дополнительно вам понадобится как минимум одна система Windows Server 2003, с проверенным слушающим компонентом, в рамках этой статьи, предположим, что это сервис Remote Access Quarantine Agent (RQS.EXE) из Windows Server 2003 Resource Kit. Наконец, вам понадобится сервер RADIUS, согласующийся с NAQC, например Internet Authentication Service в Windows Server 2003, чтобы ограничить сетевой доступ.
Пошаговый обзор NAQC
Вот подробная схема того, как работают процессы соединения и карантина, имея ввиду, что вы используете RQC.EXE в качестве клиента и RQS.EXE в качестве сервера.
Установка NAQC
В этом разделе я рассмотрю непосредственно установку NAQC в вашей сети. Ее можно разделить на шесть этапов:
Создание изолированных ресурсов
Первый шаг – создание ресурсов, к которым удаленный пользователь может обращаться через фильтры карантина. Примерами таких ресурсов могут быть серверы DNS и DHCP, чтобы могла передаваться информация об соединении и IP-адресах, файловые серверы, чтобы можно было скачать нужное программное обеспечение и обновления, и web-серверы, описывающие процесс карантина или дающие возможность связаться с администратором.
Существует два способа, чтобы определить и использовать изолированные ресурсы. Первый способ – идентифицировать определенные серверы в вашей сети как изолированные ресурсы вне зависимости от их физического и сетевого положения. Это позволит вам использовать уже существующий компьютер для организации карантина, но вам придется создать для каждого такого компьютера индивидуальный фильтр.
Другой способ – ограничить ресурсы определенным сегментом сети. Таким образом, вам понадобится всего один фильтр карантина, чтобы передавать трафик удаленному пользователю, но вам, скорее всего, придется провести переадресацию этих машин и даже купить новые. Зато этот метод облегчает работу фильтра. Вам только надо будет сделать правило для службы уведомления на 7250 TCP порту, еще одно для DHCP трафика на 68 и 67 UDP портах, а для остального трафика указать сегмент сети, выделенного под карантин. Вы также можете установить любые другие сетевые фильтры и правила.
Как написать базовый скрипт
Следующим шагом будет написание базового скрипта, который будет запускаться клиентом. У каждой организации свой подход к решению этой задачи, но скрипт должен запускать RQC.EXE после проверки совместимость с карантином и содержать следующие параметры:
rqc ConnName TunnelConnName TCPPort Domain Username ScriptVersion
Далее объясняются приведенные выше аргументы:
Установка слушающих компонентов.
Агент карантина удаленного доступа к сети, также известный как RQS.EXE, должен быть установлен на машинах с Windows Server 2003, принимающих запросы с помощью RRAS. RQS можно найти в Windows Server 2003 Resource Kit Tools. Как только вы запустите инсталлятор для этих инструментов, выберите опцию Командная Строка (Command Shell) из группы Программы (Programs) в стартовом меню (Start menu) и запустите RQS_SETUP /INSTALL из нее. Этот загрузочный файл перепишет необходимые бинарные файлы в папку WindowsRoot\System32\RAS и сделает нужные изменения в настройках служб и реестра, чтобы слушающий компонент автоматически начинал работу при загрузке сервера.
Здесь потребуется немного поработать руками: вам надо указать версию базового скрипта. Слушающий компонент сравнит версию, переданную удаленным компьютером, со значением, хранящимся в RRAS, чтобы быть уверенным в том, что клиент использует последнюю версию данного скрипта. Чтобы вручную сделать эти изменения после запуска RQS_SETUP:
В качестве альтернативы вы можете изменить загрузочный файл RQS_SETUP, чтобы автоматизировать этот процесс в будущем. Для этого:
REM REG ADD %ServicePath% /v AllowedSet /t REG_MULTI_SZ /d Version1\0Version1a\0Test
Два замечания: RQS установлен как зависимый от RRAS. Однако, когда RRAS перезапускается, RQS не запускается автоматически, т.ч. вам придется запускать его вручную. Также, по умолчанию RQS.EXE слушает порт 7250. Чтобы изменить его, выберите HKEY_LOCAL_MACHINE/System/CurrentControlSet/Services/Rqs/key, создайте новый строковый параметр, назовите его Port и дайте ему значение нужного вам порта.
Создание изолированного профиля соединения
Следующий шаг – создание изолированного профиля менеджера соединений, который является обычным профилем соединения с некоторыми изменениями. Вам следует добавить действие, выполняемое после соединения, чтобы ваш базовый скрипт начинал работу и возвращал сообщения об удачах и неудачах службе RRAS. Вам также потребуется добавить компонент оповещения в профиль.
В этом разделе предполагается, что вы знакомы с созданием модулей соединения при помощи CMAK Wizard, т.к. этот процесс не входит в рамки нашей статьи. Процесс может разветвляться в разделе Специализированные Действия (Custom Actions), и мы начнем обзор именно с этого момента.
Рис. 1: Раздел Специализированные Действия мастера CMAK
Figure 2: Раздел Новое Специализированное Действие
Figure 3: Раздел Дополнительные Файлы
В следующей статье
В следующей части мы рассмотрим распределение профилей удаленным пользователям, настройку политики, которую будет проводить карантин, и как эта технология внедрена в новом Microsoft ISA Server 2004.
Но доступ к знаниям открыт для всех