خوب فکر میکنم منظورم را متوجه شده اید ، بله منظورم کاربران ریموت هستند . شما براحتی می توانید لپ تاپ ها و کامپیوتر هایی را که در شبکه داخلی شما قرار دارند را امن کنید و تمهدیات امنیت خود را بر روی دسکتاپ آنها اعمال کنید ، البته باید دقت کنید که این لپتاپ ها جزء اموال سازمان شما محسوب شوند . خوب تا اینجا مشکلی نیست ف تا اینکه برخی از کاربران شما تصمیم می گیرند که با استفاده از لپتاپ و کامپیوتر خود ار بیرون از سازمان و با استفاده از یک ارتباط VPN به شبکه داخلی متصل شده و برخی از کارهای سازمانی خود را از راه دور و زمانی که در مسافرت به سر می برند انجام دهند . به دلیل اینکه این دستگاه ها دیگر جزء اموال سازمان شما محسوب نمی شوند مدیریت آنها بسیار سخت خواهند بود و شما به عنوان مدیر شبکه هیچگونه دسترسی مستقیمی به آنها نخواهید داشت .

قبل از اینکه سرویس Network Access Protection معرفی شود به شخصه تا جایی که می توانستم با اتصال کامپیوترهایی که مدیر شبکه نمی توانست به آنها دسترسی و کنترل مدیریتی کامل را داشته باشد به شبکه داخلی مبارزه می کردم . دلایل خاص خودم را دارم ، در این چند سالی که به عنوان مدیر شبکه در شبکه های مختلف مشغول به کار بوده ام تجربیات بسیار بدی از اینگونه اتصال های از راه دور بدست آورده ام. این چیز عجیب و غریبی نیست که کامپیوترهایی که به این روش به شبکه داخلی سازمان متصل می شوند ممکن است آنتی ویروس نداشته باشند و یا مملو از کدهای مخرب و ویروس و … باشند و از این بدتر از سیستم عامل های بروز رسانی نشده استفاده کنند . ما کاربرانی را داریم که همچنان از ویندوز XP بدون سرویس پک برای برقراری اینگونه ارتباطات استفاده می کنند !!!!

Network Access Protection برای حل کردن این مشکلات به وجود آمده است. زمانی که یک کاربر توسط ارتباط از راه دور در شبکه متصل می شود ابتدا توسط یک سیستم یا بهتر بگوییم یک policy امنیتی سلامتش بر اساس یک سری معیار تعیین شده توسط مدیر شبکه بررسی می شود که به آن به اصطلاح Health Policy گفته می شود . این Health Policy بر اساس معیار هایی که هر سازمان تعیین می کند می توانید متغیر باشد ، در برخی از سازمان ها معیاز بروز بودن آنتی ویروس ، نصب شدن آخرین بسته های بروز رسانی و امنیتی سیستم عامل و امثال اینها می تواند باشد . اگر سیستمی که به شبکه متصل شده است در مقایسه با این policy توانست حد نصاب قبولی را بدست بیاورد ، براحتی می تواند به شبکه متصل شده و مثل حالت عادی از منابع شبکه استفاده کند . اما اگر شرایط لازم را برای اتصال نداشت چندین حالت برای برخورد با آن وجود دارد ، ابتدا اینکه دسترسی کاربر مورد نظر به شبکه را کاملا قطع می کنیم ، در روش دوم مشکلات سیستم را تا جای امکان حل می کنیم تا بتواند به شرایط مطلوب برای برقراری ارتباط برسد و در نهایت اینکه به کاربر اجازه دسترسی می دهیم اما وضعیت سیستمی که به شبکه متصل شده است را دائما مانیتور و چک می کنیم ، البته منظور از اینکه این کار را می کنیم یعنی سیستم اینکار را انجام می دهد و شما صرفا یکبار اینکار را انجام می دهید.

واژه هایی که باید با آنها آشنا شوید
قبل از اینکه وارد جزئیات تنظیمات Network Access Protection شویم بهتر است با برخی از واژه هایی که مایکروسافت برای استفاده از این سیستم در راهنماهای خود استفاده می کند آشنا شویم تا در حین مطالعه مقاله ها به مشکلی برخورد نکنیم :

Enforcement Client که به اختصار EC هم گفته می شود . Enforcement Client چیزی نیست به غیر از ماشینی که قصد برقراری ارتباط با شبکه را دارد . به خاطر داشته باشید که همه client ها یا بهتر بگوییم workstation ها با سرویس Network Access Protection هماهنگی و همخوانی ندارند . برای اینکه در سرویس NAP بتوانید به عنوان یک Enforcement Client شناخته شوید بایستی سیستم شما توانایی اجرای کامپوننت System Health Agent component بر روی خود را داشته باشد ، در خصوص این Agent بعدا بصورت مفصل صحبت خواهم کرد . تنها سیستم عامل های ویندوز ویستا و ویندوز XP سرویس پک ۳ و ویندوز سون هستند که قابلیت نصب System Health Agent بر رور خود را دارند بنابراین اینها تنها سیستم عامل هایی خواهند بود که در ساختار سناریوی ما می توانند قرار بگیرند.

System Health Agent که به اختصار SHA هم گفته می شود ، البته این را با الگوریتم hashing ای که با همین نام وجود دارد اشتباه نگیرید. System Health Agent به عنوان یک سرویس بر روی سیستم های کلاینت نصب شده و تمامی فعالیت هایی که در Windows Security Center انجام می شود را مانیتور می کند. وظیفه این Agent این است که اطلاعات مربوط به سلامتی یا Health سیستم را بدست آورده و به محض برقراری ارتباط با سرور NAP در اختیار سرور (Enforcement Server ) قرار دهد .

Enforcement Server همانطور که از نامش پیداست این سرور اطلاعات مربوط به policy هایی که توسط سرور NAP اعمال می شود را در اختیار داشته و کلاینت را مجبور به اعمال این policy می کند.

System Health Validator که به اختصار SHV هم گفته می شود. System Health Validator اطلاعات مربوط به System Health Agent را از سیستم دریافت کرده و آن را با اطلاعاتی که در Health Policy ایجاد شده توسط سرور NAP وجود دارد مقایسه می کند.

Remediation Server سروری است که برای Enforcement Client هایی قابل دسترس است که نتوانسته اند با policy که از جانب NAP اعمال شده است برابری کنند. در واقع Remediation Server دارای تمامی مکانیزمهایی است که توان این را دارند که enforcement client با policy اعمال شده منطبق کنند . برای مثال Remediation Server می تواند بسته های امنیتی مورد نیاز کلاینت را برای اینکه بتواند با policy هماهنگ شود بدست آورده و بر روی Enforcement Client اعمال می کند .

محدودیت های Network Access Protection
آخرین نکته ای که در خصوص سرویس NAP بایستی توجه کرد این است که این سرویس قطعا باعث بالا رفتن درجه امنیت سازمان شما خواهد شد امامکانیزم های امنیتی که شما تاکنون پیاده سازی کرده اید را نقض نکرده و جای آنها را نمی تواند بگیرد . کار بسیار خوبی که NAP برای ما انجام می دهد این است که مطمئن می شود که Remote Client هایی که به شکبه متصل می شوند با policy اعمال شده از سوی سرور مطابقت داشته باشند . کار بهتری که انجام می دهد این است که client را به نوعی مجبور می کند که از Policy موجود طبیعت کند و خود را با آن یکسان کند . نکته جالبتر در خصوص NAP این است که بر پایه و اساس استانداردهای باز بنا شده است و منحصر به فرد نیست ، یعنی هر شرکتی که تولید نرم افزار انجام می دهد می تواند یک ماژول برای policy های NAP ارائه دهد تا به هنگام استفاده توسط این سیستم به کلاینت اعمال شود و این به نطر من شاهکار است .

اما نکنه در اینجاست که NAP نمی تواند مهاجمین و نفوذگران را از شبکه شما دور نگه دارد ، این سیستم صرفا پارامترهای امنیتی کلاینت ها را با یک مبنا و اساس مقایسه می کند و مطمئن می شود که این موارد رعایت شده اند ، بنابراین صرفا زمانی می تواند ما را از دسترسی مهاجمین در امان نگه دارد که ماشین مبدا یا همان کلاینت تمامی موارد امنیتی را رعایت کرده باشند. حال فرض کنید این سیستم که قصد اتصال به شبکه شما را دارد کامپیوتر یک هکر است که تمامی موارد امنیتی مورد نیاز برای NAP را رعایت کرده است !! در این حالت هکر براحتی به سیستم متصل شده و به داخل شبکه شما دسترسی پیدا می کند .