350 likes | 582 Views
Protección de acceso a la RED (NAP). José Parada Gimeno ITPro Evangelist jparada@microsoft.com. Agenda. Introducción-NPS NAP Fundamentos Arquitectura Interoperabilidad Despliegue Solución de problemas. Los riegos de un mundo conectado. Redes Interconectadas Datos Distribuidos
E N D
Protección de acceso a la RED (NAP) José Parada Gimeno ITPro Evangelist jparada@microsoft.com
Agenda • Introducción-NPS • NAP • Fundamentos • Arquitectura • Interoperabilidad • Despliegue • Solución de problemas
Los riegos de un mundo conectado • Redes Interconectadas • Datos Distribuidos • Trabajadores Móbiles • Extranet de Negocio • Acceso Remoto • Servicio Web • Wireless • Dispositivos Móbiles Internet Perimeter Intranet Customers Web Server X Infrastructure Servers Extranet Server Remote Access Gateway Remote Employees
Que es NPS? • “Network Policy Server” es el sucesor del “Internet Authentication Services” (IAS) de versiones previas de Windows Server • NPS es la implementación de Microsoft del standar RADIUS y soporta los principales RFC de RADIUS • Solo esta disponible en Windows Server 2008 y tienes ventajas significativas frente a IAS, en especial NAP
Instalación del Role NPS • NPS esta disponible como componente del Role de Servicio de Acceso a Red
Instalación NPS Instalación Role NPS Instalación Role DHCP
Usos de NPS • NPS se puede usar para autenticar diferentes tipos de conexiones incluyendo VPN, 802.1x, wireless 802.1x y servicios de acceso remoto • NPS proporciona definición y cumplimiento de políticas pero no es una fuente para autenticación. • Cuando una petición de autenticación llega al NPS la comprueba contras su políticas y luego utiliza “Active Directory” para autenticar al usuario o dispositivo
El usuario solicita acceso al puerto Si se cumple la política y el usuario es autenticado, se le permite el acceso El dispositivo permite la conexión El dispositivo de Red pregunata la usuario por credeciales El Dispositivo reenvia las credenciales y el detalle de la conexión El RADIUS evalua los detalles de la conexión con la política; reenvia las credenciales a AD para la autenticación Proceso de Autenticación Simple NPS
Motor de Políticas • Las peticiones se envian a una pila de procesamiento compuesta de varias etapas • Cada etapa considera la petición como un parametro de Entrada/Salida • Cada etapa devuelve uno de los siguientes valores: Rechazado, Aceptado o desechado • Al final de la pila, la petición se transforma en un paquete RADIUS y se envia de vuelta a la red
Procesamiento de Políticas • Las políticas son reglas ordenadas secuencialmente • Solo una política aplica a una petición de acceso If: Si el equipo es saludable, permite el acceso total Else: Ve a la siguiente política Politica 1: Saludable If: Si el equipo NO es Saludable, ponla en una red restringida y obliga a que instale las actualizaciones Else:Ve a la siguiente política Politica 2: No Saludable If: Si el equipo tiene nivel bajo, ponlo en una red restringida Else: Ve a la siguiente política Politica 3: Nivel Bajo Por defecto If: No se aplica ninguna otra política, deniega el acceso a red
NAP: Acceso basado en políticas • Validación de Políticas: Determina si los equipos cumplen con la política de seguridad de la organización. A los que cumplen se les estima como “Saludables” • Restricciones de Red: Restringe el acceso a la red a los equipos en función de su salud. • Remediación: Provee las actualizaciones necesarias para permitir que un equipo se vuelva saludable. Una vez que esto ocurre, se le quitan las restricciones de red • Cumplimiento sobre la marcha: Los cambios en la política de seguridad de la organización o en la salud de los equipos pueden provocar restricciones de red
Servidor de Políticas e.g. Patch, AV Fix Up Servers e.g. Patch MSFT NPS RedRestringida DHCP, VPN Switch/Router 1 El cliente solicita acceso a la red y presenta su estado de salud actual Red Corporativa 2 3 DHCP, VPN o Switch/Router envía el estado de salud al Servidor de Políticas de Red (RADIUS) El Servidor de Políticas (NPS) valida contra la política de salud definida por IT Si no cumple la política el cliente solo tiene acceso a una VLAN restringida donde hay recursos para solucionar sus problemas, descargar actualizaciones, firmas(Repetir 1-4) 4 5 Si cumple la política al cliente se le permite el acceso total a la red corporativa Network Access ProtectionFuncionamiento 3 1 2 No Cumplela Política 4 ClienteWindows Cumple laPolítica 5
Forzado DHCP • Configurar NPS • Configurar los Validadores de salud del Sistema • Configurar la Política de Salud • Configurar las Políticas de Red • Configurar DHCP • Configurar y habilitar Ámbito para clientes NAP • Configurar Clases (Usuario por defecto y NAP) • Configurar Cliente • Habilitar los servicios de NAPA • Habilitar el Cliente de Cuarentena DHCP y el CS
Forzado 802.1X • Configurar el Switch 802.1X • Configurar NPS • Obtener Certificado de equipo • Configurar el Cliente RADIUS • Configurar la Política de solicitud de Conexión • Configurar los Validadores de salud del sistema • Configurar la Política de Salud • Configurar las Políticas de Red • Configurar Cliente • Habilitar los servicios de NAPA y WA • Habilitar el Cliente de Cuarentena EAP y el CS • Configurar los métodos de Autenticación
Forzado IPSec I • Configurar DC y CA • Crear Grupo de Exentos IPSec • Crear y Publicar Plantilla de Certificado • Autenticación de Cliente • Autenticación de Salud del Sistema • Habilitar Auto-enrolamiento del certificados • Instalar y configurar una CA Subordinada • Instalar y configurar un HRA • Permisos de HRA en CA • Propiedades de la CA en el HRA
Forzado IPSec II • Configurar NPS • Configurar los Validadores de salud del sistema • Configurar la Política de Salud • Configurar las Políticas de Red • Configurar Cliente • Habilitar los servicios de NAPA y WA • Habilitar el Centro de Seguridad • Habilitar el Usuario de confianza IPSec • Configurar el HRA como servidor de confianza Consulta Guías en www.microsoft.com/nap
Servidores de Chequeo de Salud Protección LAN con NAP Red Restringida Servidores de Remediación Aquí las tienes. ¿Puedo obtener Actualizaciones? Actualización de políticas al servidor NPS Patch Status AV Status ¿Puedo acceder? Aquí esta mi estado de Salud Solicitando Acceso. Mi estado de salud MS NPS Según las políticas, el cliente no esta al día. Poner en cuarentena y solicitar actualización. Tienes acceso restringido hasta que te actualices Según las políticas, el cliente cumple. Permitir Acceso. ¿Debe este cliente ser restringido basándonos en su estado de salud? Se permite el acceso total al Cliente Switch 802.1X Cliente
Servidores de Chequeo de Salud ProtecciónPerimetral con NAP Servidores de Remediación Actualización de políticas al servidor NPS Aquí las tienes. ¿Puedo obtener Actualizaciones? ¿Debe este cliente ser restringido basándonos en su estado de salud? • ¿Puedo acceder? Aquí esta mi estado de Salud MS NPS Cliente Se permite el acceso total a los recursos al Cliente Solicitando Acceso. Aquí esta mi nuevo estado de salud Recurso bloqueado hasta que te actualices Según las políticas, el cliente no esta al día. Poner en cuarentena y solicitar actualización. Según las políticas, el cliente cumple. Permitir Acceso. Remote Access Gateway
Protección del Host con NAP Sin Política Autenticación Opcional Autenticación Requerida ¿Puedo obtener un certificado de Salud? Aqui esta mi estado de Salud ¿Esta el Cliente ok? SI. Emite el certificado de Salud No. Necesita Actualizarse NO obtienes tu certiificado. Actualizate. Aqui tienes el certificado de Salud X HRA Necesito Actualizaciones. NPS Cliente Accediendo a la REd Aqui las tienes Servidor de Remediación
Configuración NAP Configuración Switch D-Link Configuración NAP para 802.1X
Componentes Basicos de NAP • Cliente • SHA – Agente de salud chequea la salud del sistema • QA – Coordina SHA/EC • EC – Método de Forzado • Servidor de Remedios • Proporciona parches, firmas AV , etc… • Network Policy Server • QS – evalua la salud del cliente • SHV – evalua la respuesta SHA • System Health Server • Proporciona SHV System Health Servers Remediation Servers Updates Health policy Network Access Requests Client Health Statements NPS Policy Server (RADIUS) (SHA) MS SHA, SMS (SHA) 3rd Parties Health Certificate System Health Validator Quarantine Agent (QA) (EC) (DHCP, IPsec, 802.1X, VPN) (EC) 3rd Party EAP VPN’s Quarantine Server (QS) 802.1x Switches Policy Firewalls SSL VPN Gateways Certificate Servers
Servicio de Cuarentena de ClienteArquitectura La funcionalidad de Enrolamiento de Certificado de salud es responsble de la adquisición y mantenimiento de una representación X509 de una Declaración de Salud (SoH).
802.1X o IPsec = Flexibilidad • NAP soporta ambos • Cado uno tiene ventajas e inconvenientes • Defensa en profundidad integrada en varias capas • Acceso rápido a la red para clientes saludables. • Autenticación 802.1X; extensiones a PEAP y 802.1X no son requeridos • Agnóstico desde el punto de vista de Red, pero los fabricantes pueden innovar y proveer de valor • Elección del cliente: habilidad para proteger el acceso a la red, acceso a las aplicaciones en cualquier combinación según necesidades y donde sea apropiado • Despliegue combinado según necesidades, riesgos y la infraestructura existente
Pruebas en Clientes NAP Configuración Cliente NAP 8021.X Autoremediación
Interoperabilidad Anti-Virus Software de Seguridad Actualizaciones Aplicativos de Seguridad Dispositivos de Red Integradores de Sistemas
Interoperabilidad NAC/NAP Client Partner System Health Agents (SHAs) Switches Routers Cisco ACS MS NPS Partner Policy Server EAPFAST 802.1x or UDP NAP Agent (QA) HCAP RADIUS EAP Host QEC EAP-FAST 802.1x EAPoUDP Escenario Host Credentials Authorization Protocol (HCAP) • El Cliente se autentica en la red y envia su Certificado de Salud (SoH), incluyendo los datos opacos del (SystemHealthAgent -SHA) al Cisco Secure Access Control Server (ACS) a través del Switch/Router. • ACS envía el SoH al Microsoft Network Policy Server (NPS) vía el protocolo HCAP. El NPS evalúa la salud del cliente en coordinación con los validadores de salud de partners. • ACS asigna el acceso a red basado en lo que establece el NPS sobre su estado de salud. El Cliente pasa por el proceso de remediación si lo necesita y se reautentica en el ACS si cambia si estado de salud.
Beneficios de la Interoperabilidad • Interoperabilidad y elección del cliente: Los clientes pueden elegir entre diferentes componentes, infraestructura y tecnología mientras implementan una única solución coordinadas • Protección de la Inversiones: Permite al cliente rehusar o proteger las inversiones de sus despliegues NAC o NAP. Puede empezar desplegando Cisco NAC e integrarlo a posteriori con NAP. • Agente único incluido en Windows Vista: Los equipos que ejecuten Windows Vista o Windows Server W2K8 llevan incluido el Agente NAP como parte del sistema operativo que se puede usar para NAP o NAC. • Ecosistema de integración para ISV: Las APIs del cliente NAP sirven de interface única de programación para reportar la salud y forzar a NAP y Cisco NAC, simplificando el desarrollo te agentes de salud de terceros y componentes de forzado de salud • Agente de despliegue y soporte a actualizaciones: Microsoft distribuirá los módulos de Cisco EAP modules a través de Windows Update / Windows Server UpdateServices • Soporte a otras plataformas: Para soportar otros SO que no sean Windows Microsoft licenciara la tecnología del cliente NAP y las APIs que soportan a NAP y Cisco NAC a desarrolladores de terceros.
Despliegue • Planificación de Requerimientos • Definir la política de salud requerida • Definir los métodos de forzado requeridos • Planificar la arquitectura NAP • Planificar las excepciones • Definir roles y responsabilidades • Fases del despliegue • Pruebas en Laboratorio • Piloto • Modo de Reporte • Forzado diferido • Forzado
Solución de Problemas • Fichero Batch simple pararecolectarinformación • Ipconfig, Net start, Gpresults, Reg query • Netsh nap client show state • Netsh nap client show grouppolicy • winmgmt /verifyrepository (salvagerepository) • WMIC /NAMESPACE:\\root\securitycenter • WMIC /NAMESPACE:\\root\ccm • certutil -store my • wevtutilepl Microsoft-Windows-NetworkAccessProtection/Operational • SMS/WindowsUpdate logs • SQL • IPSec
Recursos • Technet • http://www.microsoft.com/nap • NAP Blog • http://blogs.technet.com/nap/default.aspx • Foro • http://forums.microsoft.com/TechNet/ShowForum.aspx?ForumID=576&SiteID=17 • Virtual Lab • http://www.microsoft.com/downloads/details.aspx?familyid=ac38e5bb-18ce-40cb-8e59-188f7a198897&displaylang=en
Recursos TechNet • TechCenter de Windows Server 2008 http://www.microsoft.com/spain/technet/prodtechnol/windowsserver/2008/default.mspx • Próximos webcasts en vivo http://www.microsoft.com/spain/technet/jornadas/default.mspx • Webcasts grabados sobre Windows Server http://www.microsoft.com/spain/technet/jornadas/webcasts/webcasts_ant.aspx?id=1 • Webcasts grabados otras tecnologías Microsoft http://www.microsoft.com/spain/technet/jornadas/webcasts/webcasts_ant.aspx • Foros técnicos http://forums.microsoft.com/technet-es/default.aspx?siteid=30
Recursos TechNet • Registrarse a la newsletter TechNet Flash http://www.microsoft.com/spain/technet/boletines/default.mspx • Obtenga una Suscripción TechNet Plus http://technet.microsoft.com/es-es/subscriptions/default.aspx
El Rostro de Windows Server está cambiando. Descúbrelo en www.microsoft.es/rostros