Jos Parada Gimeno ITPro Evangelist jparada@microsoft.

com

Introduccin-NPS NAP
Fundamentos Arquitectura Interoperabilidad Despliegue Solucin de problemas

Internet

Redes Interconectadas Datos Distribuidos Trabajadores Mbiles Extranet de Negocio Acceso Remoto Servicio Web Wireless Dispositivos Mbiles

Perimeter
Customers Web Server
`

Intranet
`

Extranet Server

Infrastructure Servers

Remote Access Gateway

Remote Employees

Network Policy Server es el sucesor del Internet Authentication Services (IAS) de versiones previas de Windows Server NPS es la implementacin de Microsoft del standar RADIUS y soporta los principales RFC de RADIUS Solo esta disponible en Windows Server 2008 y tienes ventajas significativas frente a IAS, en especial NAP

NPS esta disponible como componente del Role de Servicio de Acceso a Red

Instalacin Role NPS Instalacin Role DHCP

NPS se puede usar para autenticar diferentes tipos de conexiones incluyendo VPN, 802.1x, wireless 802.1x y servicios de acceso remoto NPS proporciona definicin y cumplimiento de polticas pero no es una fuente para autenticacin. Cuando una peticin de autenticacin llega al NPS la comprueba contras su polticas y luego utiliza Active Directory para autenticar al usuario o dispositivo

El usuario solicita acceso al puerto El dispositivo de Red pregunata la usuario por credeciales

El Dispositivo reenvia las credenciales y el detalle de la conexin

El RADIUS evalua los detalles de la conexin con la poltica; reenvia las credenciales a AD para la autenticacin

Si se cumple la poltica y el usuario es autenticado, se le permite el acceso El dispositivo permite la conexin

Las peticiones se envian a una pila de procesamiento compuesta de varias etapas Cada etapa considera la peticin como un parametro de Entrada/Salida Cada etapa devuelve uno de los siguientes valores: Rechazado, Aceptado o desechado Al final de la pila, la peticin se transforma en un paquete RADIUS y se envia de vuelta a la red

Las polticas son reglas ordenadas secuencialmente Solo una poltica aplica a una peticin de acceso
Politica 1: Saludable If: Si el equipo es saludable, permite el acceso total Else: Ve a la siguiente poltica

Politica 2: No Saludable

If: Si el equipo NO es Saludable, ponla en una red restringida y obliga a que instale las actualizaciones Else: Ve a la siguiente poltica

Politica 3: Nivel Bajo

If: Si el equipo tiene nivel bajo, ponlo en una red restringida Else: Ve a la siguiente poltica

Por defecto

If: No se aplica ninguna otra poltica, deniega el acceso a red

Validacin de Polticas: Determina si los equipos cumplen con la poltica de seguridad de la organizacin. A los que cumplen se les estima como Saludables Restricciones de Red: Restringe el acceso a la red a los equipos en funcin de su salud. Remediacin: Provee las actualizaciones necesarias para permitir que un equipo se vuelva saludable. Una vez que esto ocurre, se le quitan las restricciones de red Cumplimiento sobre la marcha: Los cambios en la poltica de seguridad de la organizacin o en la salud de los equipos pueden provocar restricciones de red

Funcionamiento
3

Servidor de Polticas e.g. Patch,

AV

2 No Cumple la Poltica 4

Fix Up Servers
e.g. Patch

Cliente Windows

MSFT NPS DHCP, VPN Switch/Router

Cumple la Poltica

Red Restringida

1 2 3

El cliente solicita acceso a la red y presenta su estado de salud actual DHCP, VPN o Switch/Router enva el estado de salud al Servidor de Polticas de Red (RADIUS) El Servidor de Polticas (NPS) valida contra la poltica de salud definida por IT Si no cumple la poltica el cliente solo tiene acceso a una VLAN restringida donde hay recursos para solucionar sus problemas, descargar actualizaciones, firmas(Repetir 1-4)

Red Corporativa

Si cumple la poltica al cliente se le permite el acceso total a la red corporativa

Forzado
DHCP VPN (Microsoft and 3rd Party) 802.1X

Cliente Saludable
Configuracin IP completa. Acceso Total Acceso Total Acceso Total

Cliente no Saludable
Conjunto de rutas restringido VLAN Restringida VLAN Restringida

IPsec

Puede comunicar con Nodos saludables cualquier nodo en que rechazan la conexin de confie sistemas no Saludables Complementa la proteccin a nivel 2 Funciona con la infraestructura existente Aislamiento Flexible

Configurar NPS
Configurar los Validadores de salud del Sistema Configurar la Poltica de Salud Configurar las Polticas de Red

Configurar DHCP
Configurar y habilitar mbito para clientes NAP Configurar Clases (Usuario por defecto y NAP)

Configurar Cliente
Habilitar los servicios de NAPA Habilitar el Cliente de Cuarentena DHCP y el CS

Configurar el Switch 802.1X Configurar NPS

Obtener Certificado de equipo Configurar el Cliente RADIUS Configurar la Poltica de solicitud de Conexin Configurar los Validadores de salud del sistema Configurar la Poltica de Salud Configurar las Polticas de Red

Configurar Cliente
Habilitar los servicios de NAPA y WA Habilitar el Cliente de Cuarentena EAP y el CS Configurar los mtodos de Autenticacin

Configurar DC y CA Crear Grupo de Exentos IPSec Crear y Publicar Plantilla de Certificado Autenticacin de Cliente Autenticacin de Salud del Sistema Habilitar Auto-enrolamiento del certificados Instalar y configurar una CA Subordinada Instalar y configurar un HRA Permisos de HRA en CA Propiedades de la CA en el HRA

Configurar NPS
Configurar los Validadores de salud del sistema Configurar la Poltica de Salud Configurar las Polticas de Red

Configurar Cliente
Habilitar los servicios de NAPA y WA Habilitar el Centro de Seguridad Habilitar el Usuario de confianza IPSec Configurar el HRA como servidor de confianza

Consulta Guas en www.microsoft.com/nap

Red Restringida

Servidores de Remediacin

Servidores de Chequeo de Salud

Aquobtener las tienes. Puedo Actualizaciones?

Patch Status AV Status

Puedo acceder? Aqu Solicitando Acceso. esta mi estado de Salud Mi estado de salud Tienes acceso restringido hasta que te actualices

Actualizacin de polticas al servidor NPS

MS NPS

Cliente

Switch 802.1X

Segn las polticas, el Segn las polticas, elcliente clienteno Debe este cliente ser Se permite el acceso esta al da. cumple. Permitir Acceso. en su restringido basndonos total al Cliente Poner en cuarentena y solicitar estado de salud? actualizacin.

Servidores de Remediacin

Servidores de Chequeo de Salud

Aqu las tienes. Puedo obtener Actualizaciones?

Puedo acceder? Aqu Cliente esta mi estado de Salud Se permite el acceso Solicitando Acceso. Aqu Recurso bloqueado total a loste recursos esta mi nuevo estado deal Remote hasta que actualices Cliente salud Access Gateway

Actualizacin de polticas al servidor NPS Debe este cliente ser restringido basndonos en su estado de salud?

MS NPS

Segn las las polticas, polticas, el el cliente cliente Segn no esta al da. cumple. Poner en cuarentena y solicitar Permitir Acceso. actualizacin.

Sin Poltica Autenticacin Opcional Autenticacin Requerida

Puedo obtener un certificado de Salud? Aqui esta mi estado de Salud

NO Aqui obtienes tienes el tu certificado certiificado. de Actualizate. Salud Necesito Actualizaciones. Accediendo a la REd Aqui las tienes

Esta el Cliente ok? SI. No. Emite Necesita el certificado Actualizarse de Salud

Cliente

HRA

NPS

Servidor de Remediacin

Configuracin Switch D-Link Configuracin NAP para 802.1X

 Cliente
SHA Agente de salud chequea la salud del sistema QA Coordina SHA/EC EC Mtodo de Forzado

Network Policy Server

QS evalua la salud del cliente SHV evalua la respuesta SHA

System Health Server

Proporciona SHV

Servidor de Remedios
Proporciona parches, firmas AV , etc Remediation Servers
Updates

System Health Servers

Health policy Health Statements Network Access Requests

Client
(SHA)
MS SHA, SMS

(SHA)
3rd Parties

NPS Policy Server (RADIUS) System Health Validator Quarantine Server (QS)

Quarantine Agent (QA)

(EC)
(DHCP, IPsec, 802.1X, VPN)

Health Certificate

(EC)
3rd Party EAP VPNs

802.1x Switches Policy Firewalls SSL VPN Gateways Certificate Servers

Arquitectura
All SHAs are Out of Process
Q U A R A N T I N E S E R V I C E SHA1 SHA2 SHA3

All SHAs using public COM APIs

COM

COM

COM UI Shell Ext. Health Key n Cert

SHA APIs Quaran tine Agent SHA Coordi nation ADMIN (COM) APIs QEC APIs COM IPSEC QEC COM DHCP QEC COM EAPHost QEC COM SoH & BOH Cache Health X.509 Enroll

CryptoAPI X.509 Stores

La funcionalidad de Enrolamiento de Certificado de salud es responsble de la adquisicin y mantenimiento de una representacin X509 de una Declaracin de Salud (SoH).

IPSEC

DHCP

RRAS

ThirdParty QEC

RRAS

Quarantine Agent Health X.509 Certificate Enrollment Agent

Certificate Subscription API Health Certificate Request Protocol Certificate Enrollment

Health Key and Certificate Management Service

SVCHOST Key Generation C O M A P I S Request Generation Certificate Addition Certificate Enrollment CryptoAPI 2.0

CryptoAPI 1.0

Health Certificate Server

Health Registration Authority

Certificate Authority

NAP soporta ambos Cado uno tiene ventajas e inconvenientes Defensa en profundidad integrada en varias capas Acceso rpido a la red para clientes saludables. Autenticacin 802.1X; extensiones a PEAP y 802.1X no son requeridos Agnstico desde el punto de vista de Red, pero los fabricantes pueden innovar y proveer de valor Eleccin del cliente: habilidad para proteger el acceso a la red, acceso a las aplicaciones en cualquier combinacin segn necesidades y donde sea apropiado Despliegue combinado segn necesidades, riesgos y la infraestructura existente

Configuracin Cliente NAP 8021.X Autoremediacin

Anti-Virus

Software de Seguridad

Actualizaciones

Aplicativos de Seguridad

Dispositivos de Red

Integradores de Sistemas

Client

Partner System Health Agents (SHAs) NAP Agent (QA) EAP Host QEC 802.1x EAP-FAST EAPoUDP
EAPFAST 802.1x or UDP Switches Routers Cisco ACS RADIUS MS NPS

HCAP

Partner Policy Server

Escenario Host Credentials Authorization Protocol (HCAP)

1. El Cliente se autentica en la red y envia su Certificado de Salud (SoH), incluyendo los datos opacos del (System Health Agent -SHA) al Cisco Secure Access Control Server (ACS) a travs del Switch/Router.
2. ACS enva el SoH al Microsoft Network Policy Server (NPS) va el protocolo HCAP. El NPS evala la salud del cliente en coordinacin con los validadores de salud de partners.

3. ACS asigna el acceso a red basado en lo que establece el NPS sobre su estado de salud. El Cliente pasa por el proceso de remediacin si lo necesita y se reautentica en el ACS si cambia si estado de salud.

 Interoperabilidad y eleccin del cliente: Los clientes pueden elegir entre diferentes componentes, infraestructura y tecnologa mientras implementan una nica solucin coordinadas
Proteccin de la Inversiones: Permite al cliente rehusar o proteger las inversiones de sus despliegues NAC o NAP. Puede empezar desplegando Cisco NAC e integrarlo a posteriori con NAP. Agente nico incluido en Windows Vista: Los equipos que ejecuten Windows Vista o Windows Server W2K8 llevan incluido el Agente NAP como parte del sistema operativo que se puede usar para NAP o NAC. Ecosistema de integracin para ISV: Las APIs del cliente NAP sirven de interface nica de programacin para reportar la salud y forzar a NAP y Cisco NAC, simplificando el desarrollo te agentes de salud de terceros y componentes de forzado de salud Agente de despliegue y soporte a actualizaciones: Microsoft distribuir los mdulos de Cisco EAP modules a travs de Windows Update / Windows Server Update Services Soporte a otras plataformas: Para soportar otros SO que no sean Windows Microsoft licenciara la tecnologa del cliente NAP y las APIs que soportan a NAP y Cisco NAC a desarrolladores de terceros.

Planificacin de Requerimientos
Definir la poltica de salud requerida Definir los mtodos de forzado requeridos Planificar la arquitectura NAP Planificar las excepciones

Definir roles y responsabilidades Fases del despliegue

Pruebas en Laboratorio Piloto Modo de Reporte Forzado diferido Forzado

Fichero Batch simple para recolectar informacin Ipconfig, Net start, Gpresults, Reg query Netsh nap client show state Netsh nap client show grouppolicy winmgmt /verifyrepository (salvagerepository) WMIC /NAMESPACE:\\root\securitycenter WMIC /NAMESPACE:\\root\ccm certutil -store my wevtutil epl Microsoft-WindowsNetworkAccessProtection/Operational SMS/WindowsUpdate logs SQL IPSec

Technet
http://www.microsoft.com/nap

NAP Blog
http://blogs.technet.com/nap/default.aspx

Foro
http://forums.microsoft.com/TechNet/ShowForum.aspx?F orumID=576&SiteID=17

Virtual Lab
http://www.microsoft.com/downloads/details.aspx ?familyid=ac38e5bb-18ce-40cb-8e59188f7a198897&displaylang=en

 TechCenter de Windows Server 2008

http://www.microsoft.com/spain/technet/prodtechnol/windowsserver/2008/defa ult.mspx

Prximos webcasts en vivo

http://www.microsoft.com/spain/technet/jornadas/default.mspx

Webcasts grabados sobre Windows Server

http://www.microsoft.com/spain/technet/jornadas/webcasts/webcasts_ant.aspx ?id=1

Webcasts grabados otras tecnologas Microsoft

http://www.microsoft.com/spain/technet/jornadas/webcasts/webcasts_ant.aspx

Foros tcnicos
http://forums.microsoft.com/technet-es/default.aspx?siteid=30

 Registrarse a la newsletter TechNet Flash

http://www.microsoft.com/spain/technet/boletines/default.mspx

Obtenga una Suscripcin TechNet Plus

http://technet.microsoft.com/es-es/subscriptions/default.aspx

El Rostro de Windows Server

est cambiando.

Descbrelo en
www.microsoft.es/rostros