O seu portal de estudos

Tudo que você sempre quis saber sobre NAP e não tinha pra quem perguntar.

Posted by Carlos Lauff em 29 de junho de 2011

Olá, pessoal.

Hoje aqui no CooperaTI, por sugestão de um de nossos leitores, vou iniciar uma série de artigos explicando e exemplificando (mas não hoje!) o uso de um dos recursos mais interessantes do Windows Server 2008: o NAP (Network Access Protection ou Proteção de Acesso a Rede).

Na prática, o NAP controla o acesso aos recursos da rede com base na identidade de um computador cliente e na conformidade com regras impostas por uma política de segurança de governança corporativa.

Permite aos administradores de rede definir níveis mais refinados de acesso à rede com base, por exemplo, nos grupos aos quais o computador cliente pertence e o grau em que esse cliente é compatível com a política de governança corporativa.

Se um cliente não estiver em conformidade com a política de governança, o NAP restringe o seu acesso a rede e oferece um mecanismo de remediação para que esse cliente retorne ao estado de conformidade e seu nível de acesso aos recursos de rede seja aumentado de forma dinâmica.

É importante ressaltar que o NAP não é projetado para proteger a rede contra usuários maliciosos. Seu uso permite aos administradores de rede manter a integridade dos computadores clientes e por consequência, manter a integridade da rede de uma forma geral.

Bem, vamos do começo. O NAP deve ser implantado em ambientes com servidores Windows Server 2008 e clientes executando Windows XP com SP3, Windows Vista ou Windows 7. Qualquer outro sistema operacional é considerado incompatível com o NAP.

O NAP é um componente do NPS (Serviço de Proteção à Rede) que avalia a integridade do computador cliente comparando suas configurações com as exigências da política de integridade que podem conter desde a obrigatoriedade de um firewall ativado, a presença de um software antivírus e antispyware atualizados e também as atualizações do Windows Updade.

Se a integridade do computador cliente for validada, o seu acesso completo aos recursos da rede é garantido. Caso a integridade não passe pelo teste de validade, o administrador pode optar por corrigir automaticamente as falhas, isolando o computador em  uma rede restrita, chamada rede de remediação que pode conter, por exemplo, um servidor WSUS que forneça as atualizações automáticas para o cliente se essa for uma das exigências. Quando o computador cliente é atualizado, automaticamente seu nível de acesso é alterado de restrito para completo.

Computadores que não suportam o NAP podem ser isolados em uma rede restrita e dessa forma não alcançarem recursos da rede corporativa.

Pode ser aplicado nas seguintes comunicações de rede: DHCP, VPN, IPSec, Gateway da Área de Trabalho Remota e autenticação IEEE 802.1X (ethernet e wireless).

No próximo artigo, demonstrarei como implantar o método de imposição NAP mais simples: NAP sobre DHCP. Completo, do início ao fim.

Antes de encerrar, deixo aqui um abraço aos amigos Vagner Fonseca e Ricardo Pinheiro que hoje partem para Porto Alegre para nos representar no FISL e vão palestrar sobre mercado de trabalho e certificações. Quem puder, vale a pena dar uma conferida.

No mais, deixem seus comentários e sugestões. Sigam @portalCooperati no Twitter. O meu Twitter é @CalLauff.

E, pra não perder o costume, fica aqui o pedido para que vocês assinem o nosso portal.

Até!

Anúncios

13 Respostas to “Tudo que você sempre quis saber sobre NAP e não tinha pra quem perguntar.”

  1. Rafael said

    NAP caiu muito no meu último exame, não estava preparado para tantas questões rs. Esses posts vão vir em boa hora 🙂

  2. Valeu Carlos!!! Pelo jeito essa série de artigos será bem útil mesmo!!! ;D
    Um forte abraço!

  3. Edemir Assuncao said

    Otimo Post!

  4. George Rocha said

    Caro Carlos parabéns!!!!

    O título do post já diz tudo!

    É isso ai COOPERATI neles!!!

  5. João Carlos Nunes said

    Parabéns pelo post… Estava tentando entender a real funcionalidade do NAP. Aguardo os próximos posts com sua usabilidade. Abraço

  6. Realmente um assunto muito bacana para provas… parabéns.
    Uma pergunta, NAP, na pratica é utilizado nas empresas?? eu vejo isso como mais dor de cabeça do que solução.
    Quantas empresas vc conhece que utilizam??

    • Olá, Rodrigo.

      Ainda é um recurso pouco difundido por conta do não conhecimento da tecnologia por muitos administradores ou pela insegurança na sua implantação de uma forma plena.

      Em que sentido o NAP poderia ser uma dor de cabeça?

      Gostaria de saber sua impressão.

      Obrigado pelo comentário.

      • Concordo com vc quando diz “não conhecimento da tecnologia por muitos administradores”…

        Mas tem outros fatores, exemplo, vc implanta la um NAP DHCP na sua rede, derrepente vem um consultor com um Notebook fora do padrão que vc configurou, na pratica sabemos que ele não vai ficar esperando o servidor de remediação resolver os problemas, e vai querer conectar logo na rede, e ele tem razão, pq tempo= $$$, então não vai esperar… fora que se for um pouco mais “safo”, e souber um IP disponível na sua rede, coloca o IP manualmente e toda a configuração que vc fez de NAP DHCP vai para o saco….

        To dando o Exemplo de NAP DHCP so, pq é o que mais conheço…. mas vejo essa situação que comentei como bem comum na maioria das empresas…. a ideia do NAP para o administrador é ótima, pois transfere a responsabilidade de segurança da maquina para o cliente, e vai te proporcionar menos preocupação com sua rede…. mas os usuários vão acabar te dando mais dor de cabeça….

      • Sim, no caso do DHCP você tem razão. Mas é apenas uma face do NAP.

        Não podemos deixar de levar em conta que o seu ambiente deve ser estruturado de forma a contemplar essa situação. Se o usuário é um visitante, você terá uma conta específica para ele e ele terá que se autenticar. Aí entra o NAP sobre autenticação. Se for por uma VPN, também temos NAP sobre VPN e assim por diante.

        Na pior das hipóteses você deverá ter uma rede isolada, com acesso a internet e a recursos que não necessitem de autenticação no domínio para disponibilizar para esse computador cliente. Se ele não se enquadra nas suas exigências ou não suporta o NAP, ele vai ter que se contentar com essa rede restrita. E não esqueça que estamos falando de política de governança de segurança: ou o computador cliente está de acordo ou não entra…

  7. Excelente post, porém gostaria que os senhores comparassem o NAP da MS com o NAC da Cisco.`

    No meu ponto de vista, o NAC é potencialmente uma solução mais segura, porque os pontos de acesso podem ser protegidos de layer 1 a layer 3.

    Existe a exigência de que o park seja todo Cisco, o que para alguns é mais um ponto positivo.

    Abraço a todos.

    • Bernardes said

      Tomando a liberdade de responder um post do Carlos,

      E quem disse que o NAP não integra com Layer 3, entregando Vlan dinâmica e controle de portas? E não há exigência de ambiente.

      O Carlos está só aquecendo os leitores para o real poder do NAP!

  8. Leandro said

    Fla ae Lauff,

    esse material vai ser ótimo, pois o Finet me ensinou mais não entrou em minha mente, rs!!!

    abraço!!!!

Deixe um comentário

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair / Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair / Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair / Alterar )

Foto do Google+

Você está comentando utilizando sua conta Google+. Sair / Alterar )

Conectando a %s

 
%d blogueiros gostam disto: