Политики сети
Этот раздел содержит общие сведения о сетевых политиках в NPS.
Помимо этого раздела, доступна следующая документация по сетевой политике.
Сетевые политики — это наборы условий, ограничений и параметров, которые позволяют назначить пользователей, которым разрешено подключаться к сети, и обстоятельства, при которых они могут или не могут подключаться.
При обработке запросов на подключение в качестве сервера протокол RADIUS (RADIUS) сервер политики сети выполняет проверку подлинности и авторизацию для запроса на подключение. В процессе проверки подлинности NPS проверяет удостоверение пользователя или компьютера, который подключается к сети. В процессе авторизации сервер политики сети определяет, разрешен ли пользователю или компьютеру доступ к сети.
Чтобы эти определения были определены, NPS использует политики сети, настроенные в консоли NPS. NPS также проверяет свойства удаленного доступа учетной записи пользователя в Active Directory® доменных служб (AD DS) для выполнения авторизации.
Политики сети — упорядоченный набор правил
Сетевые политики можно просмотреть как правила. Каждое правило имеет набор условий и параметров. NPS сравнивает условия правила со свойствами запросов на соединение. Если между правилом и запросом на соединение возникает совпадение, параметры, определенные в правиле, применяются к соединению.
Если в NPS настроено несколько сетевых политик, они являются упорядоченным набором правил. Сервер политики сети проверяет каждый запрос на подключение к первому правилу в списке, затем ко второму и т. д., пока не будет найдено соответствие.
Каждая политика сети имеет параметр состояния политики , позволяющий включать или отключать политику. При отключении сетевой политики NPS не оценивает политику при авторизации запросов на подключение.
Если требуется, чтобы NPS вычисляют политику сети при выполнении авторизации для запросов на подключение, необходимо настроить параметр состояния политики , установив флажок политика включена.
Свойства политики сети
Существует четыре категории свойств для каждой сетевой политики.
Общие сведения
Эти свойства позволяют указать, включена ли политика, предоставлена ли политика для предоставления или запрета доступа, а также требуется ли для запросов на подключение конкретный метод сетевого подключения или тип сервера доступа к сети (NAS). Общие свойства также позволяют указать, будут ли игнорироваться свойства входящих звонков учетных записей пользователей в AD DS. Если выбран этот параметр, NPS будет использовать только параметры сетевой политики, чтобы определить, разрешено ли подключение.
Условия
Эти свойства позволяют указать условия, которые должен иметь запрос на подключение, чтобы соответствовать политике сети. Если условия, настроенные в политике, соответствуют запросу на подключение, NPS применяет параметры, указанные в политике сети к подключению. Например, если указать IPv4-адрес NAS в качестве условия сетевой политики, а сервер политики сети получит запрос на подключение от NAS, имеющего указанный IP адрес, условие в политике будет соответствовать запросу на соединение.
Ограничения
Ограничения — это дополнительные параметры сетевой политики, необходимые для сопоставления запроса на подключение. Если запрос на подключение не соответствует ограничению, NPS автоматически отклоняет запрос. В отличие от ответа NPS на несовпадающие условия в сетевой политике, если ограничение не соответствует, NPS отклоняет запрос на подключение без оценки дополнительных политик сети.
Параметры
Эти свойства позволяют указать параметры, применяемые NPS к запросу на подключение, если все условия сетевой политики для политики совпадают.
При добавлении новой политики сети с помощью консоли NPS необходимо использовать мастер создания политики сети. После создания сетевой политики с помощью мастера можно настроить политику, дважды щелкнув политику в консоли NPS, чтобы получить свойства политики.
Примеры синтаксиса сопоставления шаблонов для указания атрибутов сетевой политики см. в разделе Использование регулярных выражений в NPS.
Дополнительные сведения о NPS см. в разделе сервер политики сети (NPS).
Политика доступа в Интернет. Или к чему все эти сложности?
В течении четырёх лет я занимаюсь системным администрированием корпоративной локальной сети, и всё время так или иначе всплывает вопрос: «А какими политиками должен регламентироваться доступ в сеть Интернет для сотрудников компании?», каждый год лично мои ответы на данный вопрос постоянно меняются. И сегодня я бы хотел опубликовать статью которая предложит обсуждение данного вопроса, а также отразит моё мнение на этот вопрос.
В начале своей работы системным администратором когда я приходил в компанию, я считал, что доступ в Интернет должен быть очень строго регламентирован, что всё должно быть учтено, и подконтрольно. Никто не должен получать социальные медиа на рабочих местах, к таким медиа я относил социальные сети, видеохостинги, и всё прочее. Когда я только начинал, я находил понимание в глазах коллег, также это понимание было и отражено в серверной комнате наличием: squid с контролем доступа, с полной системой отчётов, с большим набором динамических ограничений для посещения сайтов. Группы доступа с ограничением по скорости. С лимитами трафика. С временными лимитами. С ограничением на загрузку файлов. — И мне казалось, что это здорово, и это очень, очень хорошо. Ведь таким образом сотрудники работают более продуктивно, а системные администраторы становятся своего рода «Богами Интернета», ведь так было здорово повесить всем в день сис. админа при первом входе в Интернет страницу заглушку вида: «Поздравьте своих Админов! Сегодня их день.». А Васе из отдела продаж за плохое лицо выставить скорость в 10кб/сек. — Всё это было ещё и до моего прихода в организацию, и казалось, что это то, что надо. Но на практике…
На последнем месте работы мой начальник всегда говорит мудро: «не надо закрывать соц. сети, не нужно лишних ограничений и сущностей» — но я всегда восклицал в ответ — «Нет! Нужно! Они ничего не делают, только и ходят по соц. сетям! Нужно всё закрыть.». Шло время, и вскоре старые администраторы стали уходить, и их прежние обязанности стали доставаться мне что называется «по наследству». Сначала я был очень рад! — «Ооо… Думал я. Так теперь ведь я Бог Интернета, теперь рубильник у меня».
А на практике оказывается что: все эти ограничения сильно мешают жить простым людям, которые не понимают ничего в компьютерах и ничего не посещают особо, и им нужно загружать документы, прайсы, программы — по работе, за неимением таких возможностей они постоянно звонили в ИТ отдел и просили «Богов Интернета», загрузить им файлы. — Через какое-то время мне это всё стало надоедать, и пришлось открывать людям полный доступ на загрузку файлов, так-как заниматься всей этой бессмысленной работой попросту не хотелось. И что я обнаружил в файлах конфигурации. Оказывается уже большая часть народу и без меня была давно переведена на полный доступ.
А хитрые люди. — А хитрые и так могут скачать всё что угодно наплевав на различные ограничения.
Вирусы. — Как было много, так и есть много. Ничего не спасёт от этого на должном уровне, кроме светлой головы и антивируса на конечном рабочем месте.
А сетевая безопасность. — А есть-ли она при таком подходе? Нету. И вот почему:
Порт 443, и ряд других портов пришлось открыть, ведь очевидно всякому, что ряд портов просто невозможно проксировать и тем более кешировать на высоком уровне. — Очень мне понравилась ситуация, когда в одной очень крупной организации мне человеку нужно было предоставить доступ к нашим серверам — и каково было моё удивление, когда я для Windows нашёл Portable версию SOCKS прокси сервера не требующую никаких прав, и тут же был предоставлен доступ к нашему серверу по 443 порту. — А меня убеждали, что в этой компании всё очень сложно с безопасностью. — Надо-ли говорить, что Radmin client шифрует трафик, а значит очень врядли мы попадёмся на этой схеме. — Но мы не балуем, нам надо было один раз и не надолго.
Что было дальше? — А дальше руководство затребовало отчёт о посещаемости сайта одного из сотрудников. — И мною честно были предоставлены красиво оформленные логи squid, но кому в голову пришло бы смотреть распечатанный мною отчёт на 50 страницах о посещённых URL. Ведь всякому известно, что посещение одного лишь сайта ведёт за собой массу URL. — Ограничились все лишь общей суммой трафика — и сразу пришло понимание, что исходя из обязанностей сотрудника такой объём трафика явно превышает все разумные рамки.
А помогает-ли кеширование в современном Web динамическом контенте? — Я думаю очень мало.
В итоге спустя несколько лет, я стал понимать всю мудрость слов своего начальника. И стал приходить к выводу, что умничать и быть Богом на уровне L7 трафика практически нет никакой необходимости. И всё более и более я склонен к той мысли, что гораздо эффективнее вести подсчёт L2/L3 трафика, и смотреть общее количество потреблённого трафика на хост (неделя/месяц). Хост — может быть привязан при этом DHCP + MAC — в обычной сети этого достаточно. В крайнем случае можно настроить умные свитчи с фильтрацией портов по MAC.
Мне кажется что жёсткие политики доступа в Интернет потеряли свою актуальность, а фильтрация трафика на L7 уровне приносит больше проблем чем пользы… Ведь это всё дело нужно сопровождать, постоянно что-то разрешать, что-то запрещать. А сухой остаток — практически нулевой от всего этого.
P.S. конечно при всём при этом нужно понимать, что иногда простота — хуже воровства. И необходимо соблюдать здравый баланс и закрывать всё что явно не требуется для работы сотрудников. Речь про небольшие офисные организации, которые не работают с секретными данными.
А что думает уважаемое сообщество по-этому поводу? Не развивает-ли жёсткая политика синдром консьержки, от которого нет никакого проку, кроме кучи лишних проблем сопровождения и усложнения? Какие преимущества даёт вся эта усложнённая система политик доступа? — Домен Windows это хорошо, но всё больше и больше появляется *Pad техники, так что и домены уже потеряли можно сказать свой первоначальный смысл — единый ландшафт.