Asegúr@IT III - Network Access Protection (NAP)

5,041 views

Published on

La protección de las redes en entornos en los que los trabajadores utilizan dispositivos móviles para conectarse (portátiles, pdas, teléfonos móviles) necesitan comprobar la salud de los equipos que se conectan a la red. Windows Server 2008 y Windows Vista incorporan NAP, una tecnología que permite controlar la salud de los equipos que se desean conectar a la red. Juan Luís Rambla, MVP de Spectra en Windows Security de Informática 64 cuenta como implantar esta tecnología.

Published in: Technology
1 Comment
5 Likes
Statistics
Notes
No Downloads
Views
Total views
5,041
On SlideShare
0
From Embeds
0
Number of Embeds
1,469
Actions
Shares
0
Downloads
0
Comments
1
Likes
5
Embeds 0
No embeds

No notes for slide
  • Asegúr@IT III - Network Access Protection (NAP)

    1. 1. Protección de acceso a Redes Juan Luis García Rambla MVP Windows Security [email_address]
    2. 2. Introducción <ul><li>Problemática de las redes. </li></ul><ul><ul><li>¿Quién está en mi red? </li></ul></ul><ul><ul><li>¿Estará controlado? </li></ul></ul><ul><ul><li>¿Cumplirá las normas de uso de la empresa? </li></ul></ul><ul><ul><li>¿Se encontrará actualizado? </li></ul></ul><ul><ul><li>¿Está en la VLAN quien debe estar? </li></ul></ul><ul><ul><li>Si se conecta remotamente ¿seguro que está seguro? </li></ul></ul>
    3. 3. ¿Qué es Network Access Protection? <ul><li>Es una plataforma que fuerza el cumplimiento de unos estados de salud para el acceso a las redes. </li></ul><ul><li>Establece redes de cuarentena a la espera de cumplir los diferentes criterios. </li></ul><ul><li>Componentes de Sistema Operativo. </li></ul><ul><ul><li>Servidor NAP Windows Server 2008. </li></ul></ul><ul><ul><li>Clientes Nap: Windows Vista y Windows XP SP2 </li></ul></ul><ul><li>Permite la integración con sistemas de terceros. </li></ul>
    4. 4. ¿Qué es NAP?
    5. 5. Componentes de NAP <ul><li>Métodos para forzar el cumplimiento Network Access Protection. </li></ul><ul><ul><li>Validar el estado de salud. </li></ul></ul><ul><ul><li>Aplicación de remedios. </li></ul></ul><ul><ul><li>Limitar el acceso. </li></ul></ul><ul><li>Network Policy Server (NPS) </li></ul><ul><li>Componentes de infraestructura: </li></ul><ul><ul><li>Switch. </li></ul></ul><ul><ul><li>DHCP. </li></ul></ul><ul><ul><li>Terminal Server. </li></ul></ul><ul><ul><li>… </li></ul></ul>
    6. 6. Arquitectura NAP Network Policy Server Quarantine Server (QS) Client Quarantine Agent (QA) Health policy Updates Health Statements Network Access Requests System Health Servers Remediation Servers Health Certificate Network Access Devices and Servers System Health Agent (SHA ) MS and 3rd Parties System Health Validator Enforcement Client (EC) (DHCP, IPSec, 802.1X, VPN)
    7. 7. Network Policy Server (NPS) <ul><li>Servidor Remote Authentication Dial-In User Service (RADIUS) y proxy para Windows Server 2008. </li></ul><ul><ul><li>Sustituye al Servicios de Autentificación de Internet Service (IAS) de Windows Server 2003 </li></ul></ul><ul><li>Servidor de políticas para Network Access Protection </li></ul><ul><ul><li>Los administradores definen los requerimientos de estado de salud como política en un entorno NAP. </li></ul></ul><ul><ul><li>Proporcionan el punto de validación de políticas de salud configuradas. </li></ul></ul>
    8. 8. Componentes de la infraestructura NAP <ul><li>Servicio de Directorio Activo. </li></ul><ul><ul><li>Almacena las cuentas de usuarios y equipo que serán utilizados para autenticar las conexiones. </li></ul></ul><ul><li>Servidor de salud de certificados. </li></ul><ul><ul><li>Ofrece certificados para equipos que cumplent las condiciones de salud. </li></ul></ul><ul><li>Servidores de remedio. </li></ul><ul><ul><li>Utilizado por SHAs o clientes no compatibles para obtener las actualizaciones. </li></ul></ul><ul><li>Servidor de políticas </li></ul><ul><ul><li>Utilizado por los SHV para validar el estado actual de salud de los clientes NAP. </li></ul></ul>
    9. 9. Validación de la política de salud. <ul><li>Los equipos parametrizan las condiciones exigidas por el servidor NPS. </li></ul><ul><li>Equipos que cumplen. </li></ul><ul><ul><li>Ganan acceso ilimitado. </li></ul></ul><ul><li>Equipos que no cumplen las condiciones o no son compatibles con NAP. </li></ul><ul><ul><li>Tienen acceso ilimitado pero se registra un log de estado </li></ul></ul><ul><ul><li>Acceso limitado a redes restringidas. </li></ul></ul><ul><li>Hay equipos que pueden estar exceptuados del cumplimiento NAP. </li></ul>
    10. 10. Aplicación de remedio <ul><li>Aquellos equipos que no cumplan con las condiciones de seguridad, pueden aplicarse métodos automatizados para remediarlo. </li></ul><ul><ul><li>Levantar servicios automáticamente. </li></ul></ul><ul><ul><li>Ejecutar procedimientos. </li></ul></ul><ul><ul><li>Iniciar los procedimientos de actualización de sistema operativo o soluciones de seguridad. </li></ul></ul><ul><ul><li>Notificaciones. </li></ul></ul>
    11. 11. Como trabaja NAP Network Access Requests Restricted Network Windows Client Network Access Devices NPS Active Directory Health Statements QA SHA EC QS SHV Not Compliant Policy Compliant Remediation Servers
    12. 12. Escenarios NAP <ul><li>NAP proporciona soluciones en diferentes escenarios: </li></ul><ul><ul><li>Internet Protocol security (IPsec). </li></ul></ul><ul><ul><li>IEEE 802.1X. </li></ul></ul><ul><ul><li>Acceso remoto en conexiones privadas virtuales (VPN). </li></ul></ul><ul><ul><li>En configuraciones Dynamic Host Configuration Protocol (DHCP). </li></ul></ul>
    13. 13. Example network NAP client that has limited access DHCP server Remediation servers VPN server NPS Active Directory Intranet Restricted network Perimeter network Health certificate server IEEE 802.1X devices Internet Policy servers
    14. 14. NAP con DHCP Requiero acceso este es mi estado de salud El cliente requiere y recibe las actualizaciones Necesito una dirección IP No cumples requerimientos de estado de salud Acceso concedido. Esta es tu nueva dirección IP. Servidor NPS Cliente Servidor DHCP Servidor VPN Dispositivo IEEE 802.1X Servidores de remedio
    15. 15. Integración con otros fabricantes <ul><li>Existen implementaciones con soluciones de terceros. </li></ul><ul><ul><li>Integración con NAC de Cisco. </li></ul></ul><ul><ul><li>Agentes de cumplimiento NAP para sistemas Linux. </li></ul></ul><ul><ul><li>Integración con arquitectura Hardware de diversos fabricantes. </li></ul></ul>
    16. 16.
    17. 17.
    18. 18. Limitaciones de NAP <ul><li>No está diseñado para asegurar las conexiones a red de un usuario malicioso. </li></ul><ul><ul><li>No se puede prevernir el acceso a una red desde un equipo que cumple las condiciones de seguridad. </li></ul></ul><ul><li>No está diseñado para prevenir conexiones en entornos donde no sea de aplicación los controles: </li></ul><ul><ul><li>Conexiones Ethernet en un Swith que no requiere autenticación 802.1X. </li></ul></ul>
    19. 19. DEMO IMPLEMENTACIÓN NAP
    20. 20. Contacto <ul><li>Juan Luis García Rambla </li></ul><ul><ul><li>[email_address] </li></ul></ul><ul><li>Informática64 </li></ul><ul><ul><li>www.informática64.com </li></ul></ul><ul><li>Subscripción a TechNews </li></ul><ul><ul><li>http://www.informatica64.com/boletines.html </li></ul></ul>
    21. 21. Campaña Hand On Lab <ul><li>http://www.microsoft.com/spain/seminarios/hol.mspx </li></ul>
    22. 22. Formación Técnica en Seguridad y Auditoría Informática <ul><li>Master de seguridad promovido por Informática64 en el que colaboran MicrosoftTechnet, S21Sec y WindowsTI Magazine. </li></ul><ul><li>Se realizarán 2 ediciones. </li></ul><ul><ul><li>Auditores Junior. </li></ul></ul><ul><ul><li>Profesionales. </li></ul></ul><ul><li>Información en la web de Informática64. </li></ul><ul><ul><li>www.informatica64.com </li></ul></ul>

    ×