Bagikan melalui

Arsitektur sisi Server NAP

  • Artikel

Nota

Platform Perlindungan Akses Jaringan tidak tersedia dimulai dengan Windows 10

 

Arsitektur platform sisi server NAP menggunakan komputer yang menjalankan Windows Server 2008. Gambar berikut menunjukkan arsitektur dukungan sisi server untuk platform NAP, yang terdiri dari titik penegakan NAP berbasis Windows dan server kebijakan kesehatan NAP.

arsitektur dukungan sisi server untuk platform tidur siang

Titik penegakan NAP berbasis Windows memiliki lapisan komponen NAP Enforcement Server (ES). Setiap NAP ES didefinisikan untuk jenis akses atau komunikasi jaringan yang berbeda. Misalnya, ada NAP ES untuk koneksi VPN akses jarak jauh dan NAP ES untuk konfigurasi DHCP. NAP ES biasanya cocok dengan jenis klien berkemampuan NAP tertentu. Misalnya, DHCP NAP ES dirancang untuk bekerja dengan Nap Enforcement Client (EC) berbasis DHCP. Vendor perangkat lunak pihak ketiga atau Microsoft dapat menyediakan NAP ES tambahan untuk platform NAP. NAP ES mendapatkan Pernyataan Sistem Kesehatan (SSoH) dari NAP EC yang sesuai dan mengirimkannya ke server kebijakan kesehatan NAP sebagai atribut khusus vendor (VSA) Layanan Pengguna Dial-in Autentikasi Jarak Jauh (RADIUS) dari pesan RADIUS Access-Request

Seperti yang ditunjukkan pada gambar arsitektur sisi server, server kebijakan kesehatan NAP memiliki komponen berikut:

  • Layanan Server Kebijakan Jaringan (NPS)

    Menerima pesan RADIUS Access-Request, mengekstrak SSoH, dan meneruskannya ke komponen Server Administrasi NAP. Layanan NPS disediakan dengan Windows Server 2008.

  • Server Administrasi NAP

    Memfasilitasi komunikasi antara layanan NPS dan Validator Kesehatan Sistem (SHV). Komponen Server Administrasi NAP disediakan dengan platform NAP.

  • Lapisan komponen SHV

    Setiap SHV didefinisikan untuk satu atau beberapa jenis informasi kesehatan sistem dan dapat dicocokkan dengan SHA. Misalnya, mungkin ada SHV untuk program antivirus. SHV dapat dicocokkan dengan satu atau beberapa server persyaratan kesehatan. Misalnya, SHV untuk memeriksa tanda tangan antivirus cocok dengan server yang berisi file tanda tangan terbaru. SHV tidak harus memiliki server persyaratan kesehatan yang sesuai. SHV hanya dapat menginstruksikan klien berkemampuan NAP untuk memeriksa pengaturan sistem lokal untuk memastikan bahwa firewall berbasis host diaktifkan. Windows Server 2008 menyertakan Windows Security Health Validator (WSHV). SHV tambahan disediakan oleh vendor perangkat lunak pihak ketiga atau oleh Microsoft sebagai add-on ke platform NAP.

  • SHV API

    Menyediakan serangkaian panggilan fungsi yang memungkinkan SHV mendaftar dengan komponen Server Administrasi NAP, menerima Pernyataan Kesehatan (SoH) dari komponen Server Administrasi NAP, dan mengirim Pernyataan Respons Kesehatan (SoHR) ke komponen Server Administrasi NAP. API SHV disediakan dengan platform NAP. Lihat antarmuka NAP berikut: INapSystemHealthValidator dan INapSystemHealthValidationRequest.

Seperti yang dijelaskan sebelumnya, konfigurasi yang lebih umum untuk infrastruktur sisi server NAP terdiri dari titik penegakan NAP yang menyediakan akses jaringan atau komunikasi jenis tertentu dan server kebijakan kesehatan NPS terpisah yang menyediakan validasi dan remediasi kesehatan sistem. Dimungkinkan untuk menginstal layanan NPS sebagai server kebijakan kesehatan NAP pada titik penegakan NAP berbasis Windows individu. Namun, dalam konfigurasi ini, setiap titik penegakan NAP kemudian harus dikonfigurasi secara terpisah dengan akses jaringan dan kebijakan kesehatan. Konfigurasi yang disarankan adalah menggunakan server kebijakan kesehatan NAP terpisah.

Arsitektur NAP keseluruhan terdiri dari set komponen berikut:

  • Tiga komponen klien NAP (lapisan SHA, Agen NAP, dan lapisan NAP EC).
  • Empat komponen sisi server NAP (lapisan SHV, Server Administrasi NAP, layanan NPS, dan lapisan NAP ES pada titik penegakan NAP berbasis Windows).
  • Sever persyaratan kesehatan, yang merupakan komputer yang dapat menyediakan persyaratan kesehatan sistem saat ini untuk server kebijakan kesehatan NAP.
  • Server remediasi, yang merupakan komputer yang berisi sumber daya pembaruan kesehatan yang dapat diakses klien NAP untuk memulihkan status yang tidak patuh.

Gambar berikut menunjukkan hubungan antara komponen platform NAP.

hubungan antara komponen platform tidur siang

Perhatikan pencocokan set komponen berikut:

  • NAP EC dan NAP ESs biasanya cocok.

    Misalnya, DHCP NAP EC pada klien NAP dicocokkan dengan DHCP NAP ES di server DHCP.

  • SHA dan server remediasi dapat dicocokkan.

    Misalnya, SHA antivirus pada klien dicocokkan dengan server remediasi tanda tangan antivirus.

  • SHV dan server persyaratan kesehatan dapat dicocokkan.

    Misalnya, antivirus SHV di server kebijakan kesehatan NAP dapat dicocokkan dengan server persyaratan kesehatan antivirus.

Vendor perangkat lunak pihak ketiga dapat memperluas platform NAP dengan cara berikut:

  • Buat metode baru di mana kesehatan klien NAP dievaluasi.

    Vendor perangkat lunak pihak ketiga harus membuat SHA untuk klien NAP, SHV untuk server kebijakan kesehatan NAP, dan, jika diperlukan, persyaratan kesehatan dan server remediasi. Jika persyaratan kesehatan atau server remediasi sudah ada, seperti server distribusi tanda tangan antivirus, maka hanya komponen SHA dan SHV yang sesuai yang perlu dibuat. Dalam beberapa kasus, persyaratan kesehatan atau server remediasi tidak diperlukan.

  • Buat metode baru untuk menegakkan persyaratan kesehatan untuk akses atau komunikasi jaringan.

    Vendor perangkat lunak pihak ketiga harus membuat NAP EC pada klien NAP. Jika metode penegakan menggunakan layanan berbasis Windows, vendor perangkat lunak pihak ketiga harus membuat NAP ES yang sesuai yang berkomunikasi dengan server kebijakan kesehatan NAP menggunakan protokol RADIUS atau dengan menggunakan layanan NPS yang diinstal pada titik penegakan NAP sebagai proksi RADIUS.

Bagian berikut menjelaskan komponen arsitektur sisi server NAP secara lebih rinci.

Server Penegakan NAP

Server Penegakan NAP (ES) memungkinkan beberapa tingkat akses atau komunikasi jaringan, dapat meneruskan status kesehatan klien NAP ke server kebijakan kesehatan jaringan untuk dievaluasi, dan, berdasarkan respons, dapat memberikan penegakan akses jaringan terbatas.

NAP ESs yang disertakan dengan Windows Server 2008 adalah sebagai berikut:

  • IPsec NAP ES untuk komunikasi yang dilindungi IPsec.

    Untuk komunikasi yang dilindungi IPsec, Health Registration Authority (HRA), komputer yang menjalankan Windows Server 2008 dan Internet Information Services (IIS) yang mendapatkan sertifikat kesehatan dari otoritas sertifikasi (CA) untuk komputer yang sesuai, meneruskan informasi status kesehatan klien NAP ke server kebijakan kesehatan NAP.

  • DHCP NAP ES untuk konfigurasi alamat IP berbasis DHCP.

    DHCP NAP ES adalah fungsionalitas dalam layanan DHCP Server yang menggunakan pesan DHCP standar industri untuk berkomunikasi dengan DHCP NAP EC pada klien NAP. Penerapan DHCP untuk akses jaringan terbatas dilakukan melalui opsi DHCP.

  • NAP ES Gateway Layanan Terminal (TS) untuk koneksi berbasis server TS Gateway.

Untuk akses jarak jauh VPN dan koneksi yang diautentikasi 802.1X, fungsionalitas dalam layanan NPS menggunakan pesan PEAP-TLV antara klien NAP dan server kebijakan kesehatan NAP. Penegakan VPN dilakukan melalui filter paket IP yang diterapkan ke koneksi VPN. Penegakan 802.1X dilakukan di perangkat akses jaringan 802.1X dengan menerapkan filter paket IP ke koneksi atau dengan menetapkan koneksi ID VLAN yang sesuai dengan jaringan terbatas.

Server Administrasi NAP

Komponen Server Administrasi NAP menyediakan layanan berikut:

  • Mendapatkan SSoH dari NAP ES melalui layanan NPS.
  • Mendistribusikan SoH dalam SSoH ke Validator Kesehatan Sistem (SHV) yang sesuai.
  • Mengumpulkan SoHR dari SHV dan meneruskannya ke layanan NPS untuk evaluasi.

Layanan NPS

RADIUS adalah protokol yang disebarkan secara luas yang memungkinkan autentikasi terpusat, otorisasi, dan akuntansi untuk akses jaringan yang dijelaskan dalam Permintaan Komentar (RFC) 2865 dan 2866. Awalnya dikembangkan untuk akses jarak jauh dial-up, RADIUS sekarang didukung oleh titik akses nirkabel, mengautentikasi sakelar Ethernet, server VPN, server akses Digital Subscriber Line (DSL), dan server akses jaringan lainnya.

NPS adalah implementasi server dan proksi RADIUS di Windows Server 2008. NPS menggantikan Layanan Autentikasi Internet (IAS) di Windows Server 2003. Untuk platform NAP, layanan NPS mencakup komponen Server Administrator NAP, dukungan untuk SHV API dan SHV yang dapat diinstal, dan opsi untuk mengonfigurasi kebijakan kesehatan.

Berdasarkan SoHR dari SHV dan kebijakan kesehatan yang dikonfigurasi, layanan NPS membuat Pernyataan Sistem Respons Kesehatan (SSoHR), yang menunjukkan apakah klien NAP mematuhi atau tidak patuh dan menyertakan set SoHR dari SHV.

Validator Kesehatan Sistem (SHV)

SHV menerima SoH dari Server Administrasi NAP dan membandingkan informasi status kesehatan sistem dengan status kesehatan sistem yang diperlukan. Misalnya, jika SoH berasal dari SHA antivirus dan berisi nomor versi file tanda tangan virus terakhir, SHV antivirus yang sesuai dapat memeriksa dengan server persyaratan kesehatan antivirus untuk nomor versi terbaru untuk memvalidasi SoH klien NAP.

SHV mengembalikan SoHR ke Server Administrasi NAP. SoHR dapat berisi informasi tentang bagaimana SHA yang sesuai pada klien NAP dapat memenuhi persyaratan kesehatan sistem saat ini. Misalnya, SoHR yang dikirim oleh antivirus SHV dapat menginstruksikan SHA antivirus pada klien NAP untuk meminta versi terbaru file tanda tangan antivirus dari server tanda tangan antivirus tertentu berdasarkan nama atau alamat IP.