Embed Size (px)
Citation preview
Protección de acceso a la RED (NAP)
José Parada GimenoITPro Evangelist
Agenda
Introducción-NPSNAP
FundamentosArquitecturaInteroperabilidadDespliegueSolución de problemas
Internet
Intranet
`
Remote Employees
Remote Access Gateway
Web Server
Customers
Perimeter
X Infrastructure ServersExtranet
Server
`
Los riegos de un mundo conectado
Redes InterconectadasDatos DistribuidosTrabajadores MóbilesExtranet de NegocioAcceso RemotoServicio WebWirelessDispositivos Móbiles
Que es NPS?
“Network Policy Server” es el sucesor del “Internet Authentication Services” (IAS) de versiones previas de Windows ServerNPS es la implementación de Microsoft del standar RADIUS y soporta los principales RFC de RADIUSSolo esta disponible en Windows Server 2008 y tienes ventajas significativas frente a IAS, en especial NAP
Instalación del Role NPSNPS esta disponible como componente del Role de Servicio de Acceso a Red
DEMO
Instalación Role NPSInstalación Role DHCP
Instalación NPS
Usos de NPS
NPS se puede usar para autenticar diferentes tipos de conexiones incluyendo VPN, 802.1x, wireless 802.1x y servicios de acceso remotoNPS proporciona definición y cumplimiento de políticas pero no es una fuente para autenticación.Cuando una petición de autenticación llega al NPS la comprueba contras su políticas y luego utiliza “Active Directory” para autenticar al usuario o dispositivo
Proceso de Autenticación Simple NPS
El usuario solicita acceso al puerto
El dispositivo de Red pregunata la usuario
por credecialesEl Dispositivo reenvia las credenciales y el
detalle de la conexión
El RADIUS evalua los detalles de la conexión
con la política; reenvia las credenciales a AD para la
autenticación
Si se cumple la política y el usuario es autenticado,
se le permite el accesoEl dispositivo permite
la conexión
Motor de Políticas
Las peticiones se envian a una pila de procesamiento compuesta de varias etapasCada etapa considera la petición como un parametro de Entrada/SalidaCada etapa devuelve uno de los siguientes valores: Rechazado, Aceptado o desechadoAl final de la pila, la petición se transforma en un paquete RADIUS y se envia de vuelta a la red
Procesamiento de PolíticasLas políticas son reglas ordenadas secuencialmenteSolo una política aplica a una petición de accesoPolitica 1: Saludable
If: Si el equipo es saludable, permite el acceso totalElse: Ve a la siguiente política
If: Si el equipo NO es Saludable, ponla en una red restringida y obliga a que instale las actualizacionesElse: Ve a la siguiente política
Politica 2: No Saludable
If: Si el equipo tiene nivel bajo, ponlo en una red restringidaElse: Ve a la siguiente política
Politica 3: Nivel Bajo
Por defectoIf: No se aplica ninguna otra política, deniega el acceso a red
NAP: Acceso basado en políticas
Validación de Políticas: Determina si los equipos cumplen con la política de seguridad de la organización. A los que cumplen se les estima como “Saludables”
Restricciones de Red: Restringe el acceso a la red a los equipos en función de su salud.
Remediación: Provee las actualizaciones necesarias para permitir que un equipo se vuelva saludable. Una vez que esto ocurre, se le quitan las restricciones de red
Cumplimiento sobre la marcha: Los cambios en la política de seguridad de la organización o en la salud de los equipos pueden provocar restricciones de red
Network Access ProtectionFuncionamiento
No Cumplela Política
1
RedRestringida
El cliente solicita acceso a la red y presenta su estado de salud actual
1
4Si no cumple la política el cliente solo tiene acceso a una VLAN restringida donde hay recursos para solucionar sus problemas, descargar actualizaciones, firmas(Repetir 1-4)
2 DHCP, VPN o Switch/Router envía el estado de salud al Servidor de Políticas de Red (RADIUS)
5 Si cumple la política al cliente se le permite el acceso total a la red corporativa
MSFT NPS
3
Servidor de Políticas e.g. Patch,
AV
Cumple laPolítica
3 El Servidor de Políticas (NPS) valida contra la política de salud definida por IT
2
ClienteWindows
DHCP, VPNSwitch/Router
Fix UpServerse.g. Patch
Red Corporativa5
4
Opciones de ForzadoForzado
Cliente Saludable
Cliente no Saludable
DHCPConfiguración IP completa. Acceso Total
Conjunto de rutas restringido
VPN (Microsoft and 3rd Party) Acceso Total VLAN Restringida
802.1X Acceso Total VLAN Restringida
IPsec
Puede comunicar con cualquier nodo en que confie
Nodos saludables rechazan la conexión de sistemas no Saludables
•Complementa la protección a nivel 2•Funciona con la infraestructura existente•Aislamiento Flexible
Forzado DHCPConfigurar NPS
Configurar los Validadores de salud del SistemaConfigurar la Política de SaludConfigurar las Políticas de Red
Configurar DHCPConfigurar y habilitar Ámbito para clientes NAPConfigurar Clases (Usuario por defecto y NAP)
Configurar ClienteHabilitar los servicios de NAPAHabilitar el Cliente de Cuarentena DHCP y el CS
Forzado 802.1XConfigurar el Switch 802.1XConfigurar NPS
Obtener Certificado de equipoConfigurar el Cliente RADIUSConfigurar la Política de solicitud de ConexiónConfigurar los Validadores de salud del sistemaConfigurar la Política de SaludConfigurar las Políticas de Red
Configurar ClienteHabilitar los servicios de NAPA y WAHabilitar el Cliente de Cuarentena EAP y el CSConfigurar los métodos de Autenticación
Forzado IPSec IConfigurar DC y CA
Crear Grupo de Exentos IPSecCrear y Publicar Plantilla de Certificado
Autenticación de ClienteAutenticación de Salud del Sistema
Habilitar Auto-enrolamiento del certificados
Instalar y configurar una CA SubordinadaInstalar y configurar un HRA
Permisos de HRA en CAPropiedades de la CA en el HRA
Forzado IPSec IIConfigurar NPS
Configurar los Validadores de salud del sistemaConfigurar la Política de SaludConfigurar las Políticas de Red
Configurar ClienteHabilitar los servicios de NAPA y WAHabilitar el Centro de SeguridadHabilitar el Usuario de confianza IPSecConfigurar el HRA como servidor de confianzaConsulta Guías en www.microsoft.com/nap
Protección LAN con NAP
Solicitando Acceso.
Mi estado de salud
MS NPS
Cliente Switch 802.1X
Servidores de Remediación
¿Puedo acceder? Aquí esta mi estado de Salud
¿Debe este cliente ser restringido basándonos en su estado de salud?
Actualización de políticas al servidor
NPS
Tienes acceso restringido hasta que te actualices
¿Puedo obtener Actualizaciones?
Aquí las tienes.
Según las políticas, el cliente no esta al día.Poner en cuarentena y solicitar actualización.
Red Restringida
Se permite el acceso total al Cliente
Servidores de Chequeo de Salud
Según las políticas, el cliente cumple. Permitir Acceso.
PatchStatusAV
Status
Protección Perimetral con NAP
Solicitando Acceso. Aquí esta mi nuevo estado de salud
MS NPSCliente
Remote Access
Gateway
Servidores de Remediación
¿Puedo acceder? Aquí esta mi estado de Salud
¿Debe este cliente ser restringido basándonos en su estado de salud?
Actualización de políticas al servidor
NPS
Recurso bloqueado hasta que te actualices
¿Puedo obtener Actualizaciones?
Aquí las tienes.
Según las políticas, el cliente no esta al día.Poner en cuarentena y solicitar actualización.
Se permite el acceso total a los recursos al Cliente
Servidores de Chequeo de Salud
Según las políticas, el cliente cumple.Permitir Acceso.
Protección del Host con NAP
Accediendo a la REd X
Servidor de Remediación
NPSHRA
¿Puedo obtener un certificado de Salud? Aqui esta mi estado de Salud
¿Esta el Cliente ok?
No. Necesita Actualizarse
NO obtienes tu certiificado. Actualizate.Necesito
Actualizaciones.
Aqui las tienes
Aqui tienes el certificado de Salud
SI. Emite el certificado de SaludCliente
Sin Política
Autenticación Opcional
Autenticación Requerida
DEMO
Configuración Switch D-LinkConfiguración NAP para 802.1X
Configuración NAP
Componentes Basicos de NAP
NPS Policy Server(RADIUS)
Quarantine Server (QS)
Client
Quarantine Agent (QA)
Health policyUpdates
HealthStatements
NetworkAccess
Requests
System Health Servers
Remediation Servers
HealthCertificate
802.1x SwitchesPolicy Firewalls
SSL VPN GatewaysCertificate Servers
(SHA)MS SHA, SMS
System Health Validator
(EC)(DHCP, IPsec, 802.1X, VPN)
• Cliente• SHA – Agente de salud chequea la salud del
sistema• QA – Coordina SHA/EC• EC – Método de Forzado
• Servidor de Remedios• Proporciona parches, firmas AV , etc…
• Network Policy Server• QS – evalua la salud del cliente• SHV – evalua la respuesta SHA
• System Health Server• Proporciona SHV
(SHA)3rd Parties
(EC)3rd Party EAP
VPN’s
Servicio de Cuarentena de ClienteArquitectura
SHA APIs
QEC APIs
ADMIN (COM) APIs
SHA1
HealthX.509Enroll
SHA Coordination
SoH & BOH
Cache
IPSECQEC
DHCPQEC
EAPHostQEC
Third-Party QEC
SHA2 SHA3
Quarantine
Agent
CryptoAPI X.509
Stores
IPSEC DHCP
COM COM COMQUARANTINE
SERVICE
UIShell Ext.
RRAS
RRAS
COMCOMCOM COM
All SHAs
are Out of
Process
All SHA’s using public COM APIs
Health Key n Cert
La funcionalidad de Enrolamiento de Certificado de salud es responsble de la adquisición y mantenimiento de una representación X509 de una Declaración de Salud (SoH).
Enrolamiento del certificado de Salud
Health X.509 Certificate Enrollment
Agent
Health Certificate Request Protocol
Certificate Enrollment
Certificate Subscription API
Quarantine Agent
CryptoAPI 1.0
CryptoAPI 2.0
SVCHOST
Health Key and Certificate Management Service
COM
APIS
Key Generation
Request Generation
Certificate Addition
Certificate Enrollment
HealthRegistration
Authority
CertificateAuthority
Health Certificate Server
802.1X o IPsec = FlexibilidadNAP soporta ambosCado uno tiene ventajas e inconvenientesDefensa en profundidad integrada en varias capasAcceso rápido a la red para clientes saludables.Autenticación 802.1X; extensiones a PEAP y 802.1X no son requeridosAgnóstico desde el punto de vista de Red, pero los fabricantes pueden innovar y proveer de valorElección del cliente: habilidad para proteger el acceso a la red, acceso a las aplicaciones en cualquier combinación según necesidades y donde sea apropiadoDespliegue combinado según necesidades, riesgos y la infraestructura existente
DEMO
Configuración Cliente NAP 8021.XAutoremediación
Pruebas en Clientes NAP
Anti-Virus Software de Seguridad
Actualizaciones
Aplicativos de Seguridad
Dispositivos de Red
Integradores de Sistemas
Interoperabilidad
1. El Cliente se autentica en la red y envia su Certificado de Salud (SoH), incluyendo los datos opacos del (System Health Agent -SHA) al Cisco Secure Access Control Server (ACS) a través del Switch/Router.
2. ACS envía el SoH al Microsoft Network Policy Server (NPS) vía el protocolo HCAP. El NPS evalúa la salud del cliente en coordinación con los validadores de salud de partners.
3. ACS asigna el acceso a red basado en lo que establece el NPS sobre su estado de salud. El Cliente pasa por el proceso de remediación si lo necesita y se reautentica en el ACS si cambia si estado de salud.
Partner Policy Server
Client
Partner System Health Agents (SHAs)
NAP Agent (QA)
EAP Host QEC
EAPFAST802.1x or UDP HCAPRADIUS
802.1x
MSNPS
CiscoACS
SwitchesRouters
Escenario Host Credentials Authorization Protocol (HCAP)
EAP-FAST
EAPoUDP
Interoperabilidad NAC/NAP
Beneficios de la Interoperabilidad• Interoperabilidad y elección del cliente: Los clientes pueden elegir entre
diferentes componentes, infraestructura y tecnología mientras implementan una única solución coordinadas
• Protección de la Inversiones: Permite al cliente rehusar o proteger las inversiones de sus despliegues NAC o NAP. Puede empezar desplegando Cisco NAC e integrarlo a posteriori con NAP.
• Agente único incluido en Windows Vista: Los equipos que ejecuten Windows Vista o Windows Server W2K8 llevan incluido el Agente NAP como parte del sistema operativo que se puede usar para NAP o NAC.
• Ecosistema de integración para ISV: Las APIs del cliente NAP sirven de interface única de programación para reportar la salud y forzar a NAP y Cisco NAC, simplificando el desarrollo te agentes de salud de terceros y componentes de forzado de salud
• Agente de despliegue y soporte a actualizaciones: Microsoft distribuirá los módulos de Cisco EAP modules a través de Windows Update / Windows Server Update Services
• Soporte a otras plataformas: Para soportar otros SO que no sean Windows Microsoft licenciara la tecnología del cliente NAP y las APIs que soportan a NAP y Cisco NAC a desarrolladores de terceros.
DesplieguePlanificación de Requerimientos
Definir la política de salud requeridaDefinir los métodos de forzado requeridosPlanificar la arquitectura NAPPlanificar las excepciones
Definir roles y responsabilidadesFases del despliegue
Pruebas en LaboratorioPilotoModo de ReporteForzado diferidoForzado
Solución de ProblemasFichero Batch simple para recolectar informaciónIpconfig, Net start, Gpresults, Reg queryNetsh nap client show stateNetsh nap client show grouppolicywinmgmt /verifyrepository (salvagerepository)WMIC /NAMESPACE:\\root\securitycenterWMIC /NAMESPACE:\\root\ccm certutil -store mywevtutil epl Microsoft-Windows-NetworkAccessProtection/OperationalSMS/WindowsUpdate logsSQLIPSec
RecursosTechnet
http://www.microsoft.com/nap
NAP Bloghttp://blogs.technet.com/nap/default.aspx
Forohttp://forums.microsoft.com/TechNet/ShowForum.aspx?ForumID=576&SiteID=17
Virtual Labhttp://www.microsoft.com/downloads/details.aspx?familyid=ac38e5bb-18ce-40cb-8e59-188f7a198897&displaylang=en
Recursos TechNet• TechCenter de Windows Server 2008
http://www.microsoft.com/spain/technet/prodtechnol/windowsserver/2008/default.mspx
• Próximos webcasts en vivohttp://www.microsoft.com/spain/technet/jornadas/default.mspx
• Webcasts grabados sobre Windows Server
http://www.microsoft.com/spain/technet/jornadas/webcasts/webcasts_ant.aspx?id=1
• Webcasts grabados otras tecnologías Microsoft
http://www.microsoft.com/spain/technet/jornadas/webcasts/webcasts_ant.aspx
• Foros técnicoshttp://forums.microsoft.com/technet-es/default.aspx?siteid=30
Recursos TechNet• Registrarse a la newsletter TechNet Flash
http://www.microsoft.com/spain/technet/boletines/default.mspx
• Obtenga una Suscripción TechNet Plushttp://technet.microsoft.com/es-es/subscriptions/default.aspx
El Rostro de Windows Server
está cambiando.
Descúbrelo en
www.microsoft.es/rostros
