Академический Документы
Профессиональный Документы
Культура Документы
Se suele decir que La seguridad de una red es igual a la del nodo mas debil. Con NAP vamos a intentar garantizar
cierto nivel de seguridad en todos los hosts que se van a conectar a nuestra red.
Estableceremos una serie de politicas de salud (Health Policies) de forma que los hosts pueden estar en 2
situaciones:
Compliant: Cumple con los requisitos de estas politicas
Non-compliant: no cumple con estos requisitos.
Non NAP-Capable: Son host de sistemas operativos antiguos o no son sistemas operativos de microsoft y no
soportan NAP. En estos casos, tenemos que definir que hacer con estos hosts.
WSUS: Windows Server Update Services para que los hosts descarguen y apliquen las ultimas
actualizaciones del sistema operativo.
Servidor de firmas de virus: para que el host descargue las ultimas firmas y actualice el antivirus.
Proxy: para permitir el acceso a internet del host y que actualice aquellos aspectos que le fallan en la
politica de salud
Una vez se han actualizado, los host pueden solicitar de nuevo el acceso a la red. En la mayoria de los casos el
sistema NAP monitoriza de forma activa los hosts y les concede el acceso (Cuando ya son compliant) sin que lo
tengan que pedir de nuevo.
Podemos usar NAP para cualquier sistema operativo de microsoft desde Windows XP SP3 y Windows Server 2008
Firewal habilitado.
Puede aplicarse a productos de microsoft y a productos de terceros. NAP es un sistema extensible y los fabricantes
pueden desarrolar agentes NAP para sus productos.
NAP no puede:
-
Evitar que un usuario autorizado y que cumpla las politicas de salud haga cosas que no debe hacer
Evitar que hosts con sistemas operativos windows sp2 o inferiores, o de otros fabricante, accedan a la
red si se ha creado una excepcion para ellos. Si creamos una excepcion en las politicas de salud para ,por
ejemplo permitir que accedan iPADs, NAP ya no puede controlar estos dispositivos.
Si un host es Compliant, pero deja de cumplir los requisitos de salud, se le aisla de la red aunque previamente
hubiera tenido acceso.
IPSec Enforcement: Es el mas robusto de todos los metodos. Puede usarse para el acceso desde el
exterior y para la comunicacin interna entre hosts dentro de la intranet. IPSec puede proteger
mediante autenticacion, cifrado y chequeo de integridad, las comunicaciones internas entre dos hosts.
Por ejemplo, NAP puede evitar que un host tenga comunicacin con un servidor de archivos (Carpeta
compartida) independientemente del usuario y los privilegios del usuario. Si cumple con los requisitos de
salud, se le permite la conexin y esta puede estar cifrada.
-
802.1X Enforcement: Si los host se conectan a la red mediante un AP o un switch que soporte
autenticacion 802.1X, NAP controla si cumple los requisitos de salud. Si el hosts es Non-compliant, se le
corta el acceso o se le deriva a una red de remediacion. Es un sistema de seguridad robusto, pero no
ofrece cifrado como IPSec y requiere el uso de hardware compatible con 802.1X.
VPN enforcement: Si los hosts se conectan a la red atraves de un servidor NAS (Network Access Server),
NAP puede chequear su estado de salud antes de permitirle el acceso. No requiere hardware especifico,
pero solo se puede hacer para conexiones desde el exterior.
DHCP enforcement: Es el metodo menos seguro. Si un host no cumple requisitos de salud, el servidor
DHCP no le asigna una IP dentro de la red local. Puede asignarle una IP de la red de remediacion. Si el
usuario del hosts es administrador local de la maquina. Puede asignarse una IP de forma estatica y
obtener acceso a la red local.
Arquitectura de NAP:
-
Cliente NAP: Software que se instala en los hosts y que recopila la informacion de Salud de ese host.
Ultimas actualizaciones instaladas, antivirus actualizado, firewall habilitado, .. Lo envia al servidor NAP
en los que se denomina SoH (Statement of Health).
HRA (Health Registration Authority): El HRA recibe el SoH de los clientes NAP y lo compara con los
requisitos de saludos que tenemos en el Health Policy Server. Si cumple con los requisitos, el HRA pide a
la autoridad certificadora (CA) un cerfificado de salud para el cliente NAP.
El cliente NAP incluye una serie de procesos que se donominan SHAs (System Health Agents). Cada SHA comprueba
un aspecto de seguridad:
-
En el HRA tenemos el equivalente a los SHAs, pero en el lado del servidor. Se donominan SHVs (Sytem Health
Validators).
-
Un SHV que se conecta a windows update o a un WSUS y comprueba cuales son realmente las ultimas
actualizaciones.
Un SHV que se conecta a un servidor de firmas de antivirus (de Microsoft o de terceros) y verifical cual es
la ultima firma
Un SHV para comprobar si el Firewall (de Microsoft o de otros fabricante) esta habilitado o no.
Una policy Health es un conjunto de SHVs y cuales de ellos se tiene que complir para considerar que un cliente NAP
es compliant o no. La politica puede incluir excepciones, por ejemplo, cuando un host es non NAP-Capable.
IPSec Enforcement:
Es un tipo de refuerzo de NAP que se puede implementar para equipos dentro de la red local y tambien para
conexiones desde el exterior. El unico que se puede usar tanto para dentro como fuera de la red local.
IPSec es una suite de protocolos capa 3 que proporcionan:
-
Autenticacion
Cifrado
Integridad
Permite establecer conexiones seguras entre 2 equipos de la red. Habitualmente, el unico trafico cifrado en un
dominio es la replicacion del AD. Con IPSec pordemos cifrar todas las comunicaciones.
Podemos definir con IPSec 3 subredes:
-
Secure Network: Todos los equipos de esta red son NAP capable, tiene certificados de salud y exigen
cetificados de salud para la conexin con otro Host. Aqu podemos tener servidores de archivos,
servidores de impresin, Clientes criticos
Boundary Network: Todos los equipos de esta red son NAP capable, tienen certificados de salud, aunque
no los exigen para la conexin con otro host. Pueden comunicarse con los hosts de la Secure Network
(Por que tienen los certificados que les exigen) y con los de la Restricted Network (No exigen certificados
para que otro host se conecte con ellos). Aqu tenemos servidores de aceso como VPN o DCHP
Restricted Network: Los equipos de esta red son Non NAP-Capable o NAP-Capable pero sin certificado.
Para determinados servicios en base a direcciones IP y puertos, tanto TCP como UDP.
Por ejemplo, podemos proteger la conexin con un servidor de archivos (SMB) que contiene documentos
confidenciales, Pero dejar sin cifrado una conexin al mismo servidor por puerto 80.
Consideraciones para IPSec Enforcement:
-
Es el mas robusto
802.1X Enfrocement:
Podemos restringir el acceso de hosts Non-compliant en switches o puntos de acceso que soporten el protocolo
802.1X.
La limiacion de acceso se lleva a cabo mediante un perfil de red, como puede ser una VLAN separada para los NONcompliant o un SSID sin conexin al resto de la red.
No es necesario contar con HRA y CA, pero si con clientes que soporten PEAP.
VPN/DirectAccess Enforcement:
-
La restriccion de acceso se hace en los NAS (Network Access Server), como pueden ser el RRAS
actuando como servidor VPN
No permite filtrar por IPs o por puertos al acceso a servicios dentro de la red.
DHCP Enforcement:
La resticcion se basa en asignar o no una dirreccion IP valida a un host si es compliant o no.
Consideraciones para usar DHCP Enforcement:
-
Es el metodo mas debil. Si se asigna una IP estatica al host tendra acceso a la red.
No habilita cifrado.
Por cada SHA en el cliente hay un SHV en el servidor. El SHC recibe el SoH del SHA y lo compara con los requisitos de
las politicas. Tras la comparacion, el SHV devuelve un SoHR (Statement os Health Response) al agente. En esa
respuesta informa al cliente NAP de que requisitos debe cumplir para ser compliant.
Health Policy:
Una politica de Salud es un conjunto de SHVs y otras configuraciones. Por ejemplo, una politica podria ser: para
que un host sea compliant, debe tener el firawall activado y las actualizaciones de seguridad
Otra podria ser: para que sea compliant, debe tener el firewall activado O las actualizaciones de seguridad
Si un host es compliant, tendra acceso completo a la red.
Si un host es Non-compliant hay varias opciones:
-
Rechazar su conexin
Remediation Servers:
Servidores que se encuentran en la red restringida y que permiten que un host non-compliant se actualice para
pasar a ser compliant.
-
Servidor WSUS.
Configuracion de NAP:
Algunos SHVs requieren que los clientes este habilitado el Windows Security Center. Por ejemplo, el SHV del firewall
con seguridad avanzada de Microsoft. De esta forma, el agente NAP puede cambiar el estado del firewall si no
cumple con las politicas y puede avisar al usuario de esa falta de cumplimiento.
Windows Security Center no esta en windows Server.
Tendremos que habilitar el NAP Service en el cliente.
Y ahora hay que reiniciar para que se apliquen los cambios por es una politica de equipo local.
Ahora nos vamos al servidor que va a controlar el acceso a la red del cliente mediante DHCP y NAP
Elegimos las opciones que queramos del NAP y vamos a crear la politica de salud para los que son compliant y los
non-compliant
Asi queda
Ahora configurar en el cliente para decirle que tipo de enforcement estamos usando desde una mmc
Ejercicio: Configurar el Servicio NAP para que los equipos (LON-CL1) non comliant los derive a una red que se llame
remediation.adatum.com con un rango de Ips 192.168.30.201-210
Necesitamos una tarjeta de red en la red para el que el DCHP pueda entregar ips en la subred de mediacion
Primero quitamos la autoremediacion y despues creariamos el scope
IPSec:
IPSec es una suite de protocolos de seguridad. Es un estandar desarrollado por el IETF (Internet Engineering Task
Force)
Cualquier sistema operativo actual tiene soporte para IPSec.
Aporta:
-
Autenticacion
Chequeo de integridad
Incluye funcionalidad como el intercambio de claves. De esta forma ayuda a que la principal vulnerabilidad de los
algoritmos simetricos sea mas dificil de explotar.
AH (Authentication Header): Solo se utilizan metodos de autenticacion (de un unico extremo o mutua).
No se aplica cifrado a la carga.
Modo transporte:Se utiliza para las VPNs L2TP (Layer 2 tunnelling protocol) en las VPNs de acceso
remoto
Autenticacion:
-
Clave Pre-compartida. Ofrece el minimo nivel de seguridad porque la clave se almacena en plano. Se
puede usar para hacer pruebas, pero nunca en produccion.
Cifrado:
-
DES (Data Encryption System): Usa una clave de cifrado de 56 bits y no se considera seguro.
3DES: Usa 3 claves de 56 bits. Cifra con la primera descifra con la segunda y vuelve a cifrar con la tercera
no se considera seguro.
AES (Advances Encryption Standar): Tiene claves de 128, 192 y 256 bits
Integridad:
Usa los mismo algoritmos que para el cifrado. IPSec soporta otros algoritmos como RSA o SHA-1.
Para consguir autenticacion, cifrado e integridad entre dos extremos, estos deben ponerse de acuerdo en las
opciones que van a elegir en cada categoria. El conjunto de algoritmos que selecciona cada extremo para la conexin
se denomina asociacion de seguridad (Security Association, SA).
Ejemplo IPSec:
Host1: Kerberos v5 + 3DES
Host2: Certificados +AES
Si las SAs en cada extremo no coninciden, no habra comunicacin segura mediante IPSec.
IPSec Enforcement:
El metodo de Enforcement mas robusto en NAP es IPSec Enforcement
Este metodo exige algunos Requisitos:
-
HRA (Health Resgistry Authority): Recibe los SoH de parte de los agentes NAP y pide a la CA un
certificado para el cliente.
Dependiendo del estado de salud de los clientes, IPSec divide la red en 3 zonas o subredes
-
Secure Network: tienen su certificado de salud y a cualquier host que quiera comunicar con ellos
tambien le exige el certificado de salud.
Boundary Network: Tienen certificado de salud, aunque no lo exigen a aquien quiera comunicar con
ellos.
Restricted Network: Los host no soportan NAP o si lo soportan, pero no tienen certificado de salud.
Mostrar informacion
Netsh nap client show state
Ejercicio configurar VPN enforcement para que los host que van a conectarse a la red local desde internet usando
una vpn tengan que cumplir con las politicas de salud definidas por la empresa. Esta politica de salud establece que
los hosts deben tener el firewall activado. La autentificacion de la VPN sera EAP.
LON-DC1: DC y CA (vmnet2)
LON-RTR: RRAS y NPS
Autoridad Certificadora:
Es un servidor que emite certificados. Los certificados son de muchos tipos y para diferentes usos:
-
Si se usan para autenticacion, un certificado demuestra que el usuario, equipo, servicio, , es quien dice ser. La CA
es quien garantiza la identidad del certificado.
La autoridad certificadora debe ser confiable para los que los destinatarios acepten los certificados que emiten.
Si es Enterprise, podemos configurar todos los equipos y usuarios del dominio para que soliciten de forma
automatica su certificado y la CA se lo entregue (auto-enrollment)
Una vez instalado el rol ya no se puede cambiar el nombre, despromocionar o casi cualquir cosa
Configuracion del AD CS
IMPORTANTE!
Cambiar propiedades de las plantillas (dar permisos para que usuarios soliciten certificados)
Ahora configuramos una GPO para que todas los equipos del dominio pidan su certificado.
Y la enlazamos al dominio
Ahora desde una mmc vamos a ver si al propio servidor le esta dando certificado
Y ya lo tendriamos
Primero la compliant como condicion ponemos la Health policy compliant que creamos antes
El check en Perform machine health check only sirve para que una vez conectado a la VPN siga comprobando que
cumple los requisitos del NAP y echarlo en cuanto NO los cumpla.
El propio servidor va autenticar por esta esta metido en dominio si no estubiera tendriamos que configurar un
servidor RADIUS
Al aadir el PEAP estamos configurando la autenticacion de la maquina con certificado de equipo tambien forzamos
NAP
Y ahora ponemos tambien EAP-MSCHAP v2 para autenticar tambien al usuario con certificado de usuario
Y ya estaria
Volver a comprobar las politicas de conexin en el NPS porque automaticamente activa una nueva despues de
configurar el VPN
Vamos a configurar el NAP en el cliente NAPCLCFG.MSC (Se puede hacer por politicas)
Tambien comprobamos si es Security center esta habilitado para que la autoremediacion funcione por GPO o
gpedit.msc
Y el forzado de NAP
Los equipos y usuarios pueden solicitar y recibir de forma automatica certificados (GPO)
Marcando esta opcion seguiremos monitorizando al equipo una vez este dentro de la VPN y si deja de ser compliant
se le sacara fuera de la VPN