Upload
doancong
View
217
Download
1
Embed Size (px)
Citation preview
------------------------------------------------------------------------------------------------------------------------------------------
------------------------------------------------------------------------------------------------------------------------------------------
--------------------------------------------------------------70-411------------------------------------------------------------------
------------------------------------------------------------------------------------------------------------------------------------------
------------------------------------------------------------------------------------------------------------------------------------------
------------------------------------------------------------------------------------------------------------------------------------------
------------------------------------------------------------------------------------------------------------------------------------------
Module 7: Implementing Network Access Protection
------------------------------------------------------------------------------------------------------------------------------------------
------------------------------------------------------------------------------------------------------------------------------------------
Network Access Protection:
Ademas de usar herramientas como cortafuegos, sistemas de deteccion de instrusos, antivirus, antimalware, ….,
ahora vamos a implementar otra “capa de seguridad”.
Se suele decir que “La seguridad de una red es igual a la del nodo mas debil”. Con NAP vamos a intentar garantizar
cierto nivel de seguridad en todos los hosts que se van a conectar a nuestra red.
Estableceremos una serie de “politicas de salud” (Health Policies) de forma que los hosts pueden estar en 2
situaciones:
Compliant: Cumple con los requisitos de estas politicas
Non-compliant: no cumple con estos requisitos.
Non NAP-Capable: Son host de sistemas operativos antiguos o no son sistemas operativos de microsoft y no
soportan NAP. En estos casos, tenemos que definir que hacer con estos hosts.
Si un host en compliant, tendra acceso completo a la red.
Si un host es Non-compliant, tendremos que decidir si lo aislamos (Cuarantine) o lo derivamos a una red Restringida.
En la red restringida tendremos un conjunto de servidores que llamamos servidores de remediacion, que van a
permitir al host actualizarse para cumplir con las politicas. Entre otros servidores, tenemos en esta red de
remediacion los siguientes:
- WSUS: Windows Server Update Services para que los hosts descarguen y apliquen las ultimas
actualizaciones del sistema operativo.
- Servidor de firmas de virus: para que el host descargue las ultimas firmas y actualice el antivirus.
- Proxy: para permitir el acceso a internet del host y que actualice aquellos aspectos que le fallan en la
politica de salud
Una vez se han actualizado, los host pueden solicitar de nuevo el acceso a la red. En la mayoria de los casos el
sistema NAP monitoriza de forma activa los hosts y les concede el acceso (Cuando ya son compliant) sin que lo
tengan que pedir de nuevo.
Podemos usar NAP para cualquier sistema operativo de microsoft desde Windows XP SP3 y Windows Server 2008
Con esta aplicación podemos mover los archivos locales de actualización
Move content
Entre otros, los requisitos de saludos mas habituales son:
- Firewal habilitado.
- Actualizaciones de seguridad del sistema operativo instaladas.
- Antivirus y antimalware habilitado y actualizado.
Puede aplicarse a productos de microsoft y a productos de terceros. NAP es un sistema extensible y los fabricantes
pueden desarrolar agentes NAP para sus productos.
NAP no puede:
- Evitar que un usuario autorizado y que cumpla las politicas de salud haga cosas que no debe hacer
- Evitar que hosts con sistemas operativos windows sp2 o inferiores, o de otros fabricante, accedan a la
red si se ha creado una excepcion para ellos. Si creamos una excepcion en las politicas de salud para ,por
ejemplo permitir que accedan iPADs, NAP ya no puede controlar estos dispositivos.
Si un host es Compliant, pero deja de cumplir los requisitos de salud, se le aisla de la red aunque previamente
hubiera tenido acceso.
Metodos de Refuerzo (Enforcement) NAP:
El sistema NAP nos permite usar varios metodos para forzar la seguridad de la red, es decir, para aislar los hosts Non-
Compliant
- IPSec Enforcement: Es el mas robusto de todos los metodos. Puede usarse para el acceso desde el
exterior y para la comunicación interna entre hosts dentro de la intranet. IPSec puede proteger
mediante autenticacion, cifrado y chequeo de integridad, las comunicaciones internas entre dos hosts.
Por ejemplo, NAP puede evitar que un host tenga comunicación con un servidor de archivos (Carpeta
compartida) independientemente del usuario y los privilegios del usuario. Si cumple con los requisitos de
salud, se le permite la conexión y esta puede estar cifrada.
- 802.1X Enforcement: Si los host se conectan a la red mediante un AP o un switch que soporte
autenticacion 802.1X, NAP controla si cumple los requisitos de salud. Si el hosts es Non-compliant, se le
corta el acceso o se le deriva a una red de remediacion. Es un sistema de seguridad robusto, pero no
ofrece cifrado como IPSec y requiere el uso de hardware compatible con 802.1X.
- VPN enforcement: Si los hosts se conectan a la red atraves de un servidor NAS (Network Access Server),
NAP puede chequear su estado de salud antes de permitirle el acceso. No requiere hardware especifico,
pero solo se puede hacer para conexiones desde el exterior.
- DirectAccess enforcement: DirectAccess es un tipo de VPN de Microsoft en el que no se requiere de
interaccion del usuario para abrir la VPN. El usuario esta permanentemente conectado a la VPN siempre
que tenga acceso a internet. Solo valido para las conexión externas.
- DHCP enforcement: Es el metodo menos seguro. Si un host no cumple requisitos de salud, el servidor
DHCP no le asigna una IP dentro de la red local. Puede asignarle una IP de la red de remediacion. Si el
usuario del hosts es administrador local de la maquina. Puede asignarse una IP de forma estatica y
obtener acceso a la red local.
Arquitectura de NAP:
- Cliente NAP: Software que se instala en los hosts y que recopila la informacion de “Salud” de ese host.
Ultimas actualizaciones instaladas, antivirus actualizado, firewall habilitado, .. Lo envia al servidor NAP
en los que se denomina SoH (Statement of Health).
- HRA (Health Registration Authority): El HRA recibe el SoH de los clientes NAP y lo compara con los
requisitos de saludos que tenemos en el Health Policy Server. Si cumple con los requisitos, el HRA pide a
la autoridad certificadora (CA) un “cerfificado de salud” para el cliente NAP.
- HPS (Health Policy Server): Contiene las politicas de Salud.
El cliente NAP incluye una serie de procesos que se donominan SHAs (System Health Agents). Cada SHA comprueba
un aspecto de seguridad:
- Actualizaciones del sistema operativo.
- Cortafuegos de Windows habilitado.
- Antivirus de Windows habilitado y actualizado.
- Cada fabricante desarrolla sus propios SHAs
En el HRA tenemos el equivalente a los SHAs, pero en el lado del servidor. Se donominan SHVs (Sytem Health
Validators).
- Un SHV que se conecta a windows update o a un WSUS y comprueba cuales son realmente las ultimas
actualizaciones.
- Un SHV que se conecta a un servidor de firmas de antivirus (de Microsoft o de terceros) y verifical cual es
la ultima firma
- Un SHV para comprobar si el Firewall (de Microsoft o de otros fabricante) esta habilitado o no.
Una policy Health es un conjunto de SHVs y cuales de ellos se tiene que complir para considerar que un cliente NAP
es compliant o no. La politica puede incluir excepciones, por ejemplo, cuando un host es non NAP-Capable.
IPSec Enforcement:
Es un tipo de “refuerzo” de NAP que se puede implementar para equipos dentro de la red local y tambien para
conexiones desde el exterior. El unico que se puede usar tanto para dentro como fuera de la red local.
IPSec es una suite de protocolos capa 3 que proporcionan:
- Autenticacion
- Cifrado
- Integridad
Permite establecer conexiones seguras entre 2 equipos de la red. Habitualmente, el unico trafico cifrado en un
dominio es la replicacion del AD. Con IPSec pordemos cifrar todas las comunicaciones.
Podemos definir con IPSec 3 “subredes”:
- Secure Network: Todos los equipos de esta red son NAP capable, tiene certificados de salud y exigen
cetificados de salud para la conexión con otro Host. Aquí podemos tener servidores de archivos,
servidores de impresión, Clientes criticos…
- Boundary Network: Todos los equipos de esta red son NAP capable, tienen certificados de salud, aunque
no los exigen para la conexión con otro host. Pueden comunicarse con los hosts de la Secure Network
(Por que tienen los certificados que les exigen) y con los de la Restricted Network (No exigen certificados
para que otro host se conecte con ellos). Aquí tenemos servidores de aceso como VPN o DCHP
- Restricted Network: Los equipos de esta red son Non NAP-Capable o NAP-Capable pero sin certificado.
Podemos usar IPSec para proteger las comunicaciones:
- Todos los hosts del dominio
- Para una subred dentro del dominio
- Para determinados servicios en base a direcciones IP y puertos, tanto TCP como UDP.
Por ejemplo, podemos proteger la conexión con un servidor de archivos (SMB) que contiene documentos
confidenciales, Pero dejar sin cifrado una conexión al mismo servidor por puerto 80.
Consideraciones para IPSec Enforcement:
- Es el mas complejo. Requiere de HRA y CA (Certification authority).
- Se puede usar para la red local y para el acceso desde el exterior
- No requiere hardware especifico
- Es el mas robusto
- Podemos usarlo para IPv4 e IPv6
802.1X Enfrocement:
Podemos restringir el acceso de hosts Non-compliant en switches o puntos de acceso que soporten el protocolo
802.1X.
La limiacion de acceso se lleva a cabo mediante un perfil de red, como puede ser una VLAN separada para los NON-
compliant o un SSID sin conexión al resto de la red.
No es necesario contar con HRA y CA, pero si con clientes que soporten PEAP.
Consideraciones para usar 802.1X Enfrocement:
- Es robusto y no requiere de servidores certificados ni HRA.
- Solo puede usarse para la red local
- Requiere hardware especifico.
- No podemos filtrar las conexiones por IP o puertos
VPN/DirectAccess Enforcement:
- La restriccion de acceso se hace en los NAS (Network Access Server), como pueden ser el RRAS
actuando como servidor VPN
- No requiere HRA, CAs ni hardware especifico.
- No permite filtrar por IPs o por puertos al acceso a servicios dentro de la red.
DHCP Enforcement:
La resticcion se basa en asignar o no una dirreccion IP valida a un host si es compliant o no.
Consideraciones para usar DHCP Enforcement:
- Es el metodo mas debil. Si se asigna una IP estatica al host tendra acceso a la red.
- No habilita cifrado.
- No requiere HRA, Cas ni hardware especifico.
- Solo para acceso local
System Health validators (SHV):
Los SHV son la contraparte de los SHAs en el lado del servidor:
- Cliente NAP: SHA
- Servidor NAP: SHV
Por cada SHA en el cliente hay un SHV en el servidor. El SHC recibe el SoH del SHA y lo compara con los requisitos de
las politicas. Tras la comparacion, el SHV devuelve un SoHR (Statement os Health Response) al agente. En esa
respuesta informa al cliente NAP de que requisitos debe cumplir para ser compliant.
Health Policy:
Una “politica de Salud” es un conjunto de SHVs y otras configuraciones. Por ejemplo, una politica podria ser: “para
que un host sea compliant, debe tener el firawall activado y las actualizaciones de seguridad”
Otra podria ser: “para que sea compliant, debe tener el firewall activado O las actualizaciones de seguridad”
Si un host es compliant, tendra acceso completo a la red.
Si un host es Non-compliant hay varias opciones:
- Rechazar su conexión
- Redirigir a la red restringida con los servidores de remediacion.
- Permitir su conexión independientemente de su estado de salud (SoH)
Remediation Servers:
Servidores que se encuentran en la red restringida y que permiten que un host non-compliant se actualice para
pasar a ser compliant.
- Servidor WSUS.
- Servidor de firmas antivirus
Configuracion de NAP:
Algunos SHVs requieren que los clientes este habilitado el Windows Security Center. Por ejemplo, el SHV del firewall
con seguridad avanzada de Microsoft. De esta forma, el agente NAP puede cambiar el estado del firewall si no
cumple con las politicas y puede avisar al usuario de esa falta de cumplimiento.
Windows Security Center no esta en windows Server.
Tendremos que habilitar el NAP Service en el cliente.
Configuracion de NAP por DHCP
Activar Centro de seguridad (GPO local)
Atencion! Solo se puede activar el centro de seguridad en equipos unidos a un dominio
Primero activamos a nivel de politica el centro de seguridad
Y ahora hay que reiniciar para que se apliquen los cambios por es una politica de equipo local.
Ahora nos vamos al servidor que va a controlar el acceso a la red del cliente mediante DHCP y NAP
Configuramos el ambito en el DCHP
Elegimos las opciones que queramos del NAP y vamos a crear la politica de salud para los que son compliant y los
non-compliant
Ahora creamos las politicas de red
Cuidado con la autenticacion hay que elegir solo comprobar salud de la maquina ya que el DCHP no pide usuario y
contraseña
Importante para el examen grupo de remediacion y auto remediacion
Ahora vamos a terminar de configurar el DCHP
Como es de DCHP la que estamos configurando habilitamos el SHA
Reiniciamos para que se aplique la configuracion
Ya hemos terminado ahora si el cliente tiene el firewall activado el DCHP le dara ip, si no, el NAP le habilitara el
firewall automaticamente
Ejercicio: Configurar el Servicio NAP para que los equipos (LON-CL1) non comliant los derive a una red que se llame
remediation.adatum.com con un rango de Ips 192.168.30.201-210
Necesitamos una tarjeta de red en la red para el que el DCHP pueda entregar ips en la subred de mediacion
Primero quitamos la autoremediacion y despues creariamos el scope
IPSec:
IPSec es una suite de protocolos de seguridad. Es un estandar desarrollado por el IETF (Internet Engineering Task
Force)
Cualquier sistema operativo actual tiene soporte para IPSec.
Aporta:
- Confidencialidad mediante cifrado
- Autenticacion
- Chequeo de integridad
Incluye funcionalidad como el intercambio de claves. De esta forma ayuda a que la principal vulnerabilidad de los
algoritmos simetricos sea mas dificil de explotar.
IPSec puede funcionar en dos modos:
- AH (Authentication Header): Solo se utilizan metodos de autenticacion (de un unico extremo o mutua).
No se aplica cifrado a la carga.
- ESP (Encryption/Encapsulation Security Payload): Se aplica cifrado a la carga para conseguir
confidencialidad e integridad.
Es un protocolo de capa 3, lo que significa que es transparente para los servicios.
Por ejemplo, en SSL para HTTPS, solo se cifra el trafico que va por el puerto 443. Si ademas queremos cifrar el trafico
FTP, tendriamos que habilitar FTPS. Si queremos cifrar el correo electronico POP3, tendriamos que habilitar POPS.
Con IPSec todos los servicios van protegidos.
Usando IPSec podemos proteger las conexiones desde el exterior mediante VPNs y las conexiones internas entre
pares de hosts. Se suele usar para cifrar las conexiones de equipos cliente con servidores, pero no entre DC.
IPSec tiene dos modos de comunicación:
- Modo transporte:Se utiliza para las VPNs L2TP (Layer 2 tunnelling protocol) en las VPNs de acceso
remoto
- Modo tunel: Se utiliza para crear VPNs sitio a sitio
Requisitos para implementar IPSec:
- PKI (Public Key Infraestructure) para la emision de certificados.
- AD DS que proporciona la infraestructura para la distribucion de los certificados generados en la PKI. El
proceso de solicitar un certificado, que se genere en la CA, Se distribuya a quien lo ha solicitado y se
instale, se denomina Enrollment.
- Dos o mas Host que pertenecen al mismo dominio
Autenticacion:
- Si estamos en un dominio, podemos usar Kerberos v5.
- Certificados emitidos por una CA confiable.
- Clave Pre-compartida. Ofrece el minimo nivel de seguridad porque la clave se almacena en plano. Se
puede usar para hacer pruebas, pero nunca en produccion.
Cifrado:
- DES (Data Encryption System): Usa una clave de cifrado de 56 bits y no se considera seguro.
- 3DES: Usa 3 claves de 56 bits. Cifra con la primera descifra con la segunda y vuelve a cifrar con la tercera
no se considera seguro.
- AES (Advances Encryption Standar): Tiene claves de 128, 192 y 256 bits
Integridad:
Usa los mismo algoritmos que para el cifrado. IPSec soporta otros algoritmos como RSA o SHA-1.
Para consguir autenticacion, cifrado e integridad entre dos extremos, estos deben ponerse de acuerdo en las
opciones que van a elegir en cada categoria. El conjunto de algoritmos que selecciona cada extremo para la conexión
se denomina “asociacion de seguridad” (Security Association, SA).
Ejemplo IPSec:
Host1: Kerberos v5 + 3DES
Host2: Certificados +AES
Si las SAs en cada extremo no coninciden, no habra comunicación segura mediante IPSec.
IPSec Enforcement:
El metodo de Enforcement mas robusto en NAP es IPSec Enforcement
Este metodo exige algunos Requisitos:
- CA (Certificate Authority): emite certificados.
- HRA (Health Resgistry Authority): Recibe los SoH de parte de los agentes NAP y pide a la CA un
certificado para el cliente.
- NPS para guardar las Health Policies.
- Cliente NAP que soporte IPSec Enforcement.
Dependiendo del estado de salud de los clientes, IPSec divide la red en 3 zonas o subredes
- Secure Network: tienen su certificado de salud y a cualquier host que quiera comunicar con ellos
tambien le exige el certificado de salud.
- Boundary Network: Tienen certificado de salud, aunque no lo exigen a aquien quiera comunicar con
ellos.
- Restricted Network: Los host no soportan NAP o si lo soportan, pero no tienen certificado de salud.
Comunicaciones posibles entre estas 3 redes:
Secure <-> Secure Secure <-> Boundary
Boundary <-> Boundary Boundary <-> Restricted
Restricted <-> Restricted
Proceso de IPSec Enforcement:
Ya tenemos toda la red con los requisitos para IPSec Enfocement implementada y un host quiere conectarse con la
red Secure Network:
1- El host que quiere acceder a la red esta inicialmente en la restricted Network.
2- Accede a la red restringida y obtiene una direccion IP. El DHCP esta en la Boundary Network.
3- El cliente NAP envia el SoH al HRA. El HRA esta en la Boundary Network. Envia el SoH usando HTTP o HTTPS.
4- El HRA reenvia el SoH al NPS (Servidor NAP), que esta en la Secure Network. Esta comunicación se lleva a
cabo usando mensajes RADIUS.
5- El NPS recibe el SoH y lo pasa a los SHVs.
6- Los SHVs analizan el SoH y devuelven una respuesta (SoHR) al NPS. El analisis se hace comparando con las
Health Policies definidas en la red
7- El SoHR se devuelve al HRA.
8- El HRA devuelve el SoHR al cliente NAP.
a. Si el cliente es Compliant, el HRA solicita un certificado para el cliente y se lo envia. La CA esta en la
Secure Network. Cuando el cliente recibe el certificado, pasa a la Secure Network.
b. Si el cliente es Non compliant, el SoHR lleva instrucciones de como remediar su situacion. El cliente
sigue en la Restricted Network hasta que remedie su estado. En esta red estaran los Remediation
Servers
NAP Compliant proceso
1- Negro
2- Verde
3- Azul (Certificado tipo X.509)
Si habilitamos el Tracing en el cliente NAP se generaran archivos de log en %systemroot%/system32/logfiles:
- IASNAP.log: Informacion detallada sobre el proceso NAP
- IASSAM.log: Autenticacion y autorizacion
Tambien se puede habilitar desde linea de comandos
Netsh nap client set tracing state=enable level=advanced
Desactivar modo traza
Netsh nap client set tracing state=disable
Mostrar informacion
Netsh nap client show state
Ejercicio configurar VPN enforcement para que los host que van a conectarse a la red local desde internet usando
una vpn tengan que cumplir con las politicas de salud definidas por la empresa. Esta politica de salud establece que
los hosts deben tener el firewall activado. La autentificacion de la VPN sera EAP.
LON-DC1: DC y CA (vmnet2)
LON-RTR: RRAS y NPS
LON-CL1 Cliente NAP y VPN (vmnet3)
Autoridad Certificadora:
Es un servidor que emite certificados. Los certificados son de muchos tipos y para diferentes usos:
- Certificados de equipo. Autenticar un servidor
- Certificados de Usuario. Autenticar un usuario
- Certificados de Servicio. Autenticar un servicio, como IIS para SSL
- Certificados de salud. Para clientes NAP compliant
- ….
Si se usan para autenticacion, un certificado demuestra que el usuario, equipo, servicio, …, es quien dice ser. La CA
es quien garantiza la identidad del certificado.
La autoridad certificadora debe ser confiable para los que los destinatarios acepten los certificados que emiten.
En Microsoft hay dos tipos de Cas:
- Enterprise: Integrada en el directorio activo
- Stand-alone: No integrada en el directorio activo
Si es Enterprise, podemos configurar todos los equipos y usuarios del dominio para que soliciten de forma
automatica su certificado y la CA se lo entregue (auto-enrollment)
Instalacion del Rol AD CS
Una vez instalado el rol ya no se puede cambiar el nombre, despromocionar o casi cualquir cosa
Configuracion del AD CS
IMPORTANTE!
Y asi se veria en la herramientas
Cambiar propiedades de las plantillas (dar permisos para que usuarios soliciten certificados)
Para que se aplique hay que reiniciar el servicio AD CS
Ahora configuramos una GPO para que todas los equipos del dominio pidan su certificado.
Y la enlazamos al dominio
Ahora desde una mmc vamos a ver si al propio servidor le esta dando certificado
Como es un certificado de equipo
Y ya vemos los certificados que nos ha dado la CA
Y vemos que ya tiene los certificados instalados
Ahora metemos LON-RTR en el dominio para que le genere su certificado
Vemos que la autoridad certificadora aparece
Vamos a solicitar un nuevo certificado de equipo para LON-RTR
Hacemos lo mismo con LON-CL1
IMPORTANTE PARA EL EXAMEN DIFERENCIA ENTRE SHV de windows vista en adelante a XP
A partir de windows Vista Se puede solicitar Spyware
En windows XP no aparece esta opcion
Vamos a instalar el ROL NPS en LON-RTR
Configuramos el NPS en LON-RTR solo chequeo de firewall
Lo primero registramos NPS en el DA
Hay que pedir un certificado de usuario para hacer login en la VPN
Ahora politica de RED
Primero la compliant como condicion ponemos la Health policy compliant que creamos antes
El check en Perform machine health check only sirve para que una vez conectado a la VPN siga comprobando que
cumple los requisitos del NAP y echarlo en cuanto NO los cumpla.
Y como es compliant dejamos el forzado de NAP en permitir full network access
GRE antiguo no seguro
ESP El mas seguro IPSec escapsula trafico
L2TP seguro se suele combinar con IPSec
PPTP No muy seguro aun se usa
SSTP utilizan puertos especificos 443 y obliga a certificado de servidor web
El propio servidor va autenticar por esta esta metido en dominio si no estubiera tendriamos que configurar un
servidor RADIUS
Al añadir el PEAP estamos configurando la autenticacion de la maquina con certificado de equipo tambien forzamos
NAP
Y ahora ponemos tambien EAP-MSCHAP v2 para autenticar tambien al usuario con certificado de usuario
Y ya estaria
Volver a comprobar las politicas de conexión en el NPS porque automaticamente activa una nueva despues de
configurar el VPN
Vamos a crear una regla en el firewall para permitir el ping en LON-RTR
Vamos a configurar el NAP en el cliente NAPCLCFG.MSC (Se puede hacer por politicas)
Comprobamos que el servicio esta iniciado en el Cliente
Tambien comprobamos si es Security center esta habilitado para que la autoremediacion funcione por GPO o
gpedit.msc
Ahora vamos a crear la conexión a la VPN en el cliente
Modificamos la configuracion de autenticacion de la VPN para que pida certificado de equipo
Quitamos fast reconnect para que no almacene las contraseñas en cache
Si apagamos el firewall nos echa automaticamente de la VPN.
Para configurar el NAP en los clientes por GPO
Primero activar el servicio
Hemos creado una CA Enterprise para la emision de certificados.
- Nos permite distribuir certificados usando el AD
- Los equipos y usuarios pueden solicitar y recibir de forma automatica certificados (GPO)
- La CA se convierte en confiable (trusted) de forma automatica
Para abrir la consola del la entidad certificadora
Certsrv.msc
Marcando esta opcion seguiremos monitorizando al equipo una vez este dentro de la VPN y si deja de ser compliant
se le sacara fuera de la VPN