network access protection
TRANSCRIPT
![Page 1: Network Access Protection](https://reader036.vdocumento.com/reader036/viewer/2022062304/55cf9aaa550346d033a2d111/html5/thumbnails/1.jpg)
Protección de acceso a la RED (NAP)
José Parada GimenoITPro Evangelist
![Page 2: Network Access Protection](https://reader036.vdocumento.com/reader036/viewer/2022062304/55cf9aaa550346d033a2d111/html5/thumbnails/2.jpg)
Agenda
Introducción-NPSNAP
FundamentosArquitecturaInteroperabilidadDespliegueSolución de problemas
![Page 3: Network Access Protection](https://reader036.vdocumento.com/reader036/viewer/2022062304/55cf9aaa550346d033a2d111/html5/thumbnails/3.jpg)
Internet
Intranet
`
Remote Employees
Remote Access Gateway
Web Server
Customers
Perimeter
X Infrastructure ServersExtranet
Server
`
Los riegos de un mundo conectado
Redes InterconectadasDatos DistribuidosTrabajadores MóbilesExtranet de NegocioAcceso RemotoServicio WebWirelessDispositivos Móbiles
![Page 4: Network Access Protection](https://reader036.vdocumento.com/reader036/viewer/2022062304/55cf9aaa550346d033a2d111/html5/thumbnails/4.jpg)
Que es NPS?
“Network Policy Server” es el sucesor del “Internet Authentication Services” (IAS) de versiones previas de Windows ServerNPS es la implementación de Microsoft del standar RADIUS y soporta los principales RFC de RADIUSSolo esta disponible en Windows Server 2008 y tienes ventajas significativas frente a IAS, en especial NAP
![Page 5: Network Access Protection](https://reader036.vdocumento.com/reader036/viewer/2022062304/55cf9aaa550346d033a2d111/html5/thumbnails/5.jpg)
Instalación del Role NPSNPS esta disponible como componente del Role de Servicio de Acceso a Red
![Page 6: Network Access Protection](https://reader036.vdocumento.com/reader036/viewer/2022062304/55cf9aaa550346d033a2d111/html5/thumbnails/6.jpg)
DEMO
Instalación Role NPSInstalación Role DHCP
Instalación NPS
![Page 7: Network Access Protection](https://reader036.vdocumento.com/reader036/viewer/2022062304/55cf9aaa550346d033a2d111/html5/thumbnails/7.jpg)
Usos de NPS
NPS se puede usar para autenticar diferentes tipos de conexiones incluyendo VPN, 802.1x, wireless 802.1x y servicios de acceso remotoNPS proporciona definición y cumplimiento de políticas pero no es una fuente para autenticación.Cuando una petición de autenticación llega al NPS la comprueba contras su políticas y luego utiliza “Active Directory” para autenticar al usuario o dispositivo
![Page 8: Network Access Protection](https://reader036.vdocumento.com/reader036/viewer/2022062304/55cf9aaa550346d033a2d111/html5/thumbnails/8.jpg)
Proceso de Autenticación Simple NPS
El usuario solicita acceso al puerto
El dispositivo de Red pregunata la usuario
por credecialesEl Dispositivo reenvia las credenciales y el
detalle de la conexión
El RADIUS evalua los detalles de la conexión
con la política; reenvia las credenciales a AD para la
autenticación
Si se cumple la política y el usuario es autenticado,
se le permite el accesoEl dispositivo permite
la conexión
![Page 9: Network Access Protection](https://reader036.vdocumento.com/reader036/viewer/2022062304/55cf9aaa550346d033a2d111/html5/thumbnails/9.jpg)
Motor de Políticas
Las peticiones se envian a una pila de procesamiento compuesta de varias etapasCada etapa considera la petición como un parametro de Entrada/SalidaCada etapa devuelve uno de los siguientes valores: Rechazado, Aceptado o desechadoAl final de la pila, la petición se transforma en un paquete RADIUS y se envia de vuelta a la red
![Page 10: Network Access Protection](https://reader036.vdocumento.com/reader036/viewer/2022062304/55cf9aaa550346d033a2d111/html5/thumbnails/10.jpg)
Procesamiento de PolíticasLas políticas son reglas ordenadas secuencialmenteSolo una política aplica a una petición de accesoPolitica 1: Saludable
If: Si el equipo es saludable, permite el acceso totalElse: Ve a la siguiente política
If: Si el equipo NO es Saludable, ponla en una red restringida y obliga a que instale las actualizacionesElse: Ve a la siguiente política
Politica 2: No Saludable
If: Si el equipo tiene nivel bajo, ponlo en una red restringidaElse: Ve a la siguiente política
Politica 3: Nivel Bajo
Por defectoIf: No se aplica ninguna otra política, deniega el acceso a red
![Page 11: Network Access Protection](https://reader036.vdocumento.com/reader036/viewer/2022062304/55cf9aaa550346d033a2d111/html5/thumbnails/11.jpg)
NAP: Acceso basado en políticas
Validación de Políticas: Determina si los equipos cumplen con la política de seguridad de la organización. A los que cumplen se les estima como “Saludables”
Restricciones de Red: Restringe el acceso a la red a los equipos en función de su salud.
Remediación: Provee las actualizaciones necesarias para permitir que un equipo se vuelva saludable. Una vez que esto ocurre, se le quitan las restricciones de red
Cumplimiento sobre la marcha: Los cambios en la política de seguridad de la organización o en la salud de los equipos pueden provocar restricciones de red
![Page 12: Network Access Protection](https://reader036.vdocumento.com/reader036/viewer/2022062304/55cf9aaa550346d033a2d111/html5/thumbnails/12.jpg)
Network Access ProtectionFuncionamiento
No Cumplela Política
1
RedRestringida
El cliente solicita acceso a la red y presenta su estado de salud actual
1
4Si no cumple la política el cliente solo tiene acceso a una VLAN restringida donde hay recursos para solucionar sus problemas, descargar actualizaciones, firmas(Repetir 1-4)
2 DHCP, VPN o Switch/Router envía el estado de salud al Servidor de Políticas de Red (RADIUS)
5 Si cumple la política al cliente se le permite el acceso total a la red corporativa
MSFT NPS
3
Servidor de Políticas e.g. Patch,
AV
Cumple laPolítica
3 El Servidor de Políticas (NPS) valida contra la política de salud definida por IT
2
ClienteWindows
DHCP, VPNSwitch/Router
Fix UpServerse.g. Patch
Red Corporativa5
4
![Page 13: Network Access Protection](https://reader036.vdocumento.com/reader036/viewer/2022062304/55cf9aaa550346d033a2d111/html5/thumbnails/13.jpg)
Opciones de ForzadoForzado
Cliente Saludable
Cliente no Saludable
DHCPConfiguración IP completa. Acceso Total
Conjunto de rutas restringido
VPN (Microsoft and 3rd Party) Acceso Total VLAN Restringida
802.1X Acceso Total VLAN Restringida
IPsec
Puede comunicar con cualquier nodo en que confie
Nodos saludables rechazan la conexión de sistemas no Saludables
•Complementa la protección a nivel 2•Funciona con la infraestructura existente•Aislamiento Flexible
![Page 14: Network Access Protection](https://reader036.vdocumento.com/reader036/viewer/2022062304/55cf9aaa550346d033a2d111/html5/thumbnails/14.jpg)
Forzado DHCPConfigurar NPS
Configurar los Validadores de salud del SistemaConfigurar la Política de SaludConfigurar las Políticas de Red
Configurar DHCPConfigurar y habilitar Ámbito para clientes NAPConfigurar Clases (Usuario por defecto y NAP)
Configurar ClienteHabilitar los servicios de NAPAHabilitar el Cliente de Cuarentena DHCP y el CS
![Page 15: Network Access Protection](https://reader036.vdocumento.com/reader036/viewer/2022062304/55cf9aaa550346d033a2d111/html5/thumbnails/15.jpg)
Forzado 802.1XConfigurar el Switch 802.1XConfigurar NPS
Obtener Certificado de equipoConfigurar el Cliente RADIUSConfigurar la Política de solicitud de ConexiónConfigurar los Validadores de salud del sistemaConfigurar la Política de SaludConfigurar las Políticas de Red
Configurar ClienteHabilitar los servicios de NAPA y WAHabilitar el Cliente de Cuarentena EAP y el CSConfigurar los métodos de Autenticación
![Page 16: Network Access Protection](https://reader036.vdocumento.com/reader036/viewer/2022062304/55cf9aaa550346d033a2d111/html5/thumbnails/16.jpg)
Forzado IPSec IConfigurar DC y CA
Crear Grupo de Exentos IPSecCrear y Publicar Plantilla de Certificado
Autenticación de ClienteAutenticación de Salud del Sistema
Habilitar Auto-enrolamiento del certificados
Instalar y configurar una CA SubordinadaInstalar y configurar un HRA
Permisos de HRA en CAPropiedades de la CA en el HRA
![Page 17: Network Access Protection](https://reader036.vdocumento.com/reader036/viewer/2022062304/55cf9aaa550346d033a2d111/html5/thumbnails/17.jpg)
Forzado IPSec IIConfigurar NPS
Configurar los Validadores de salud del sistemaConfigurar la Política de SaludConfigurar las Políticas de Red
Configurar ClienteHabilitar los servicios de NAPA y WAHabilitar el Centro de SeguridadHabilitar el Usuario de confianza IPSecConfigurar el HRA como servidor de confianzaConsulta Guías en www.microsoft.com/nap
![Page 18: Network Access Protection](https://reader036.vdocumento.com/reader036/viewer/2022062304/55cf9aaa550346d033a2d111/html5/thumbnails/18.jpg)
Protección LAN con NAP
Solicitando Acceso.
Mi estado de salud
MS NPS
Cliente Switch 802.1X
Servidores de Remediación
¿Puedo acceder? Aquí esta mi estado de Salud
¿Debe este cliente ser restringido basándonos en su estado de salud?
Actualización de políticas al servidor
NPS
Tienes acceso restringido hasta que te actualices
¿Puedo obtener Actualizaciones?
Aquí las tienes.
Según las políticas, el cliente no esta al día.Poner en cuarentena y solicitar actualización.
Red Restringida
Se permite el acceso total al Cliente
Servidores de Chequeo de Salud
Según las políticas, el cliente cumple. Permitir Acceso.
PatchStatusAV
Status
![Page 19: Network Access Protection](https://reader036.vdocumento.com/reader036/viewer/2022062304/55cf9aaa550346d033a2d111/html5/thumbnails/19.jpg)
Protección Perimetral con NAP
Solicitando Acceso. Aquí esta mi nuevo estado de salud
MS NPSCliente
Remote Access
Gateway
Servidores de Remediación
¿Puedo acceder? Aquí esta mi estado de Salud
¿Debe este cliente ser restringido basándonos en su estado de salud?
Actualización de políticas al servidor
NPS
Recurso bloqueado hasta que te actualices
¿Puedo obtener Actualizaciones?
Aquí las tienes.
Según las políticas, el cliente no esta al día.Poner en cuarentena y solicitar actualización.
Se permite el acceso total a los recursos al Cliente
Servidores de Chequeo de Salud
Según las políticas, el cliente cumple.Permitir Acceso.
![Page 20: Network Access Protection](https://reader036.vdocumento.com/reader036/viewer/2022062304/55cf9aaa550346d033a2d111/html5/thumbnails/20.jpg)
Protección del Host con NAP
Accediendo a la REd X
Servidor de Remediación
NPSHRA
¿Puedo obtener un certificado de Salud? Aqui esta mi estado de Salud
¿Esta el Cliente ok?
No. Necesita Actualizarse
NO obtienes tu certiificado. Actualizate.Necesito
Actualizaciones.
Aqui las tienes
Aqui tienes el certificado de Salud
SI. Emite el certificado de SaludCliente
Sin Política
Autenticación Opcional
Autenticación Requerida
![Page 21: Network Access Protection](https://reader036.vdocumento.com/reader036/viewer/2022062304/55cf9aaa550346d033a2d111/html5/thumbnails/21.jpg)
DEMO
Configuración Switch D-LinkConfiguración NAP para 802.1X
Configuración NAP
![Page 22: Network Access Protection](https://reader036.vdocumento.com/reader036/viewer/2022062304/55cf9aaa550346d033a2d111/html5/thumbnails/22.jpg)
Componentes Basicos de NAP
NPS Policy Server(RADIUS)
Quarantine Server (QS)
Client
Quarantine Agent (QA)
Health policyUpdates
HealthStatements
NetworkAccess
Requests
System Health Servers
Remediation Servers
HealthCertificate
802.1x SwitchesPolicy Firewalls
SSL VPN GatewaysCertificate Servers
(SHA)MS SHA, SMS
System Health Validator
(EC)(DHCP, IPsec, 802.1X, VPN)
• Cliente• SHA – Agente de salud chequea la salud del
sistema• QA – Coordina SHA/EC• EC – Método de Forzado
• Servidor de Remedios• Proporciona parches, firmas AV , etc…
• Network Policy Server• QS – evalua la salud del cliente• SHV – evalua la respuesta SHA
• System Health Server• Proporciona SHV
(SHA)3rd Parties
(EC)3rd Party EAP
VPN’s
![Page 23: Network Access Protection](https://reader036.vdocumento.com/reader036/viewer/2022062304/55cf9aaa550346d033a2d111/html5/thumbnails/23.jpg)
Servicio de Cuarentena de ClienteArquitectura
SHA APIs
QEC APIs
ADMIN (COM) APIs
SHA1
HealthX.509Enroll
SHA Coordination
SoH & BOH
Cache
IPSECQEC
DHCPQEC
EAPHostQEC
Third-Party QEC
SHA2 SHA3
Quarantine
Agent
CryptoAPI X.509
Stores
IPSEC DHCP
COM COM COMQUARANTINE
SERVICE
UIShell Ext.
RRAS
RRAS
COMCOMCOM COM
All SHAs
are Out of
Process
All SHA’s using public COM APIs
Health Key n Cert
La funcionalidad de Enrolamiento de Certificado de salud es responsble de la adquisición y mantenimiento de una representación X509 de una Declaración de Salud (SoH).
![Page 24: Network Access Protection](https://reader036.vdocumento.com/reader036/viewer/2022062304/55cf9aaa550346d033a2d111/html5/thumbnails/24.jpg)
Enrolamiento del certificado de Salud
Health X.509 Certificate Enrollment
Agent
Health Certificate Request Protocol
Certificate Enrollment
Certificate Subscription API
Quarantine Agent
CryptoAPI 1.0
CryptoAPI 2.0
SVCHOST
Health Key and Certificate Management Service
COM
APIS
Key Generation
Request Generation
Certificate Addition
Certificate Enrollment
HealthRegistration
Authority
CertificateAuthority
Health Certificate Server
![Page 25: Network Access Protection](https://reader036.vdocumento.com/reader036/viewer/2022062304/55cf9aaa550346d033a2d111/html5/thumbnails/25.jpg)
802.1X o IPsec = FlexibilidadNAP soporta ambosCado uno tiene ventajas e inconvenientesDefensa en profundidad integrada en varias capasAcceso rápido a la red para clientes saludables.Autenticación 802.1X; extensiones a PEAP y 802.1X no son requeridosAgnóstico desde el punto de vista de Red, pero los fabricantes pueden innovar y proveer de valorElección del cliente: habilidad para proteger el acceso a la red, acceso a las aplicaciones en cualquier combinación según necesidades y donde sea apropiadoDespliegue combinado según necesidades, riesgos y la infraestructura existente
![Page 26: Network Access Protection](https://reader036.vdocumento.com/reader036/viewer/2022062304/55cf9aaa550346d033a2d111/html5/thumbnails/26.jpg)
DEMO
Configuración Cliente NAP 8021.XAutoremediación
Pruebas en Clientes NAP
![Page 27: Network Access Protection](https://reader036.vdocumento.com/reader036/viewer/2022062304/55cf9aaa550346d033a2d111/html5/thumbnails/27.jpg)
Anti-Virus Software de Seguridad
Actualizaciones
Aplicativos de Seguridad
Dispositivos de Red
Integradores de Sistemas
Interoperabilidad
![Page 28: Network Access Protection](https://reader036.vdocumento.com/reader036/viewer/2022062304/55cf9aaa550346d033a2d111/html5/thumbnails/28.jpg)
1. El Cliente se autentica en la red y envia su Certificado de Salud (SoH), incluyendo los datos opacos del (System Health Agent -SHA) al Cisco Secure Access Control Server (ACS) a través del Switch/Router.
2. ACS envía el SoH al Microsoft Network Policy Server (NPS) vía el protocolo HCAP. El NPS evalúa la salud del cliente en coordinación con los validadores de salud de partners.
3. ACS asigna el acceso a red basado en lo que establece el NPS sobre su estado de salud. El Cliente pasa por el proceso de remediación si lo necesita y se reautentica en el ACS si cambia si estado de salud.
Partner Policy Server
Client
Partner System Health Agents (SHAs)
NAP Agent (QA)
EAP Host QEC
EAPFAST802.1x or UDP HCAPRADIUS
802.1x
MSNPS
CiscoACS
SwitchesRouters
Escenario Host Credentials Authorization Protocol (HCAP)
EAP-FAST
EAPoUDP
Interoperabilidad NAC/NAP
![Page 29: Network Access Protection](https://reader036.vdocumento.com/reader036/viewer/2022062304/55cf9aaa550346d033a2d111/html5/thumbnails/29.jpg)
Beneficios de la Interoperabilidad• Interoperabilidad y elección del cliente: Los clientes pueden elegir entre
diferentes componentes, infraestructura y tecnología mientras implementan una única solución coordinadas
• Protección de la Inversiones: Permite al cliente rehusar o proteger las inversiones de sus despliegues NAC o NAP. Puede empezar desplegando Cisco NAC e integrarlo a posteriori con NAP.
• Agente único incluido en Windows Vista: Los equipos que ejecuten Windows Vista o Windows Server W2K8 llevan incluido el Agente NAP como parte del sistema operativo que se puede usar para NAP o NAC.
• Ecosistema de integración para ISV: Las APIs del cliente NAP sirven de interface única de programación para reportar la salud y forzar a NAP y Cisco NAC, simplificando el desarrollo te agentes de salud de terceros y componentes de forzado de salud
• Agente de despliegue y soporte a actualizaciones: Microsoft distribuirá los módulos de Cisco EAP modules a través de Windows Update / Windows Server Update Services
• Soporte a otras plataformas: Para soportar otros SO que no sean Windows Microsoft licenciara la tecnología del cliente NAP y las APIs que soportan a NAP y Cisco NAC a desarrolladores de terceros.
![Page 30: Network Access Protection](https://reader036.vdocumento.com/reader036/viewer/2022062304/55cf9aaa550346d033a2d111/html5/thumbnails/30.jpg)
DesplieguePlanificación de Requerimientos
Definir la política de salud requeridaDefinir los métodos de forzado requeridosPlanificar la arquitectura NAPPlanificar las excepciones
Definir roles y responsabilidadesFases del despliegue
Pruebas en LaboratorioPilotoModo de ReporteForzado diferidoForzado
![Page 31: Network Access Protection](https://reader036.vdocumento.com/reader036/viewer/2022062304/55cf9aaa550346d033a2d111/html5/thumbnails/31.jpg)
Solución de ProblemasFichero Batch simple para recolectar informaciónIpconfig, Net start, Gpresults, Reg queryNetsh nap client show stateNetsh nap client show grouppolicywinmgmt /verifyrepository (salvagerepository)WMIC /NAMESPACE:\\root\securitycenterWMIC /NAMESPACE:\\root\ccm certutil -store mywevtutil epl Microsoft-Windows-NetworkAccessProtection/OperationalSMS/WindowsUpdate logsSQLIPSec
![Page 32: Network Access Protection](https://reader036.vdocumento.com/reader036/viewer/2022062304/55cf9aaa550346d033a2d111/html5/thumbnails/32.jpg)
RecursosTechnet
http://www.microsoft.com/nap
NAP Bloghttp://blogs.technet.com/nap/default.aspx
Forohttp://forums.microsoft.com/TechNet/ShowForum.aspx?ForumID=576&SiteID=17
Virtual Labhttp://www.microsoft.com/downloads/details.aspx?familyid=ac38e5bb-18ce-40cb-8e59-188f7a198897&displaylang=en
![Page 33: Network Access Protection](https://reader036.vdocumento.com/reader036/viewer/2022062304/55cf9aaa550346d033a2d111/html5/thumbnails/33.jpg)
Recursos TechNet• TechCenter de Windows Server 2008
http://www.microsoft.com/spain/technet/prodtechnol/windowsserver/2008/default.mspx
• Próximos webcasts en vivohttp://www.microsoft.com/spain/technet/jornadas/default.mspx
• Webcasts grabados sobre Windows Server
http://www.microsoft.com/spain/technet/jornadas/webcasts/webcasts_ant.aspx?id=1
• Webcasts grabados otras tecnologías Microsoft
http://www.microsoft.com/spain/technet/jornadas/webcasts/webcasts_ant.aspx
• Foros técnicoshttp://forums.microsoft.com/technet-es/default.aspx?siteid=30
![Page 34: Network Access Protection](https://reader036.vdocumento.com/reader036/viewer/2022062304/55cf9aaa550346d033a2d111/html5/thumbnails/34.jpg)
Recursos TechNet• Registrarse a la newsletter TechNet Flash
http://www.microsoft.com/spain/technet/boletines/default.mspx
• Obtenga una Suscripción TechNet Plushttp://technet.microsoft.com/es-es/subscriptions/default.aspx
![Page 35: Network Access Protection](https://reader036.vdocumento.com/reader036/viewer/2022062304/55cf9aaa550346d033a2d111/html5/thumbnails/35.jpg)
El Rostro de Windows Server
está cambiando.
Descúbrelo en
www.microsoft.es/rostros