1 Introduccion 2 Para que est diseada? 2.

2.1 NAP provee compliance sobre las siguientes tecnologas: 3 Implementacin de NAP 3.1 En la siguiente figura se ve un modelo de ejemplo de alto nivel de Network Access Protection. 3.2 A alto nivel la integracin que tienen ambas plataformas, funciona de la siguiente manera: 4 Sumario 5 Referencias 6 Fuente

Introduccion
Una de las tareas ms demandantes para los administradores de sistemas es asegurar que cualquier dispositivo que se conecte a la red corporativa en cualquiera de sus formas (PDA, Notebook, Smartphone, Workstation, Server, Virtual Server) y a travs de cualquier medio de acceso (Internet, VPN, Extranet, Wireless, Wired, Dial-Up) cumplan con el modelo de seguridad definido para la organizacin. Teniendo en cuenta esta necesidad, en los ltimos aos emergieron tecnologas de control de acceso como NAC (Network Admission Control) de Cisco Systems, NAP (Network Access Protection) de Microsoft y TNC (Trusted Network Connect) de Trusted Computing Group, a alto nivel estas tecnologas tienen por objetivo verificar que los dispositivos cumplan con el modelo de seguridad definido para la organizacin (Ej.: Firewall activado, Actualizaciones del SO, Software de Antivirus/Antimalware) antes de que estos tengan acceso a la red corporativa. El lanzamiento de Microsoft Windows Server Longhorn est acompaado de una de las tres tecnologas de control de acceso NAP (Network Access Protection): esta tecnologa se estimaba iba a realizar su primer debut en Microsoft Windows Server 2003 R2, esto no sucedi y en su lugar apareci NAQS (Network Access Quarantine Control) integrndose con IAS (Internet Authentication Service) como solucin de control de acceso para clientes de acceso remoto, a travs de una validacin del modelo de seguridad va vbscripting, esto mas tarde fue integrado con la solucin de Microsoft ISA Server 2004 a travs de una caracterstica conocida como VPN Quarantine.

Para que est diseada?

Cabe destacar que la solucin de NAP no est diseada para asegurar la red de usuarios maliciosos, si no que est diseada para ayudar a los administradores de sistemas a mantener la higiene de los dispositivos con SO Microsoft NAP compliance dentro de la red, que tiene como resultado mantener la integridad general de la red.

NAP provee compliance sobre las siguientes tecnologas:

IPSec (Internet Protocol Security). IEEE 802.1x Authenticated Network Connections. VPNs (Virtual Private Networks). Dynamic Host Configuration Protocol (DHCP). Estas tecnologas pueden ser utilizadas en forma conjunta o independiente en funcin del modelo de seguridad y la infraestructura a utilizar, el refuerzo de las polticas en estas tecnologas se realiza a travs de un NPS (Network Policy Server) que es el reemplazo del IAS (Internet Authentication Service) en Microsoft Windows Server 2000/2003 y est disponible en Microsoft Windows Server Longhorn.

Implementacin de NAP
Para su implementacin es necesario montar toda una infraestructura que soporte el framework de control de acceso, esta infraestructura cuenta con: Active Directory. Policy Servers (Network Policy Server). DHCP Servers. Dispositivos compatibles con IEEE 802.1x Health Certificate Servers (Windows Server Longhorn + IIS (Internet Information Server) + CA

(Certificate Authority). VPN Servers. System Health Agent (Windows XP + SP2, Windows Server 2003, Windows Server Longhorn + NAP Agent). NAP Administration Server (Network Policy Server). System Health Validator (Network Policy Server). Health Policy (Network Policy Server). Accounts Database (Active Directory). Remediation Server (WSUS, SMS, Antivirus/Antimalware Server, DNS Server).

En la siguiente figura se ve un modelo de ejemplo de alto nivel de Network Access Protection.

Por otro lado tenemos la propuesta de Cisco Systems NAC (Network Admission Control), que son un conjunto de tecnologas desarrolladas por Cisco Systems, utiliza la infraestructura de red para forzar las polticas de seguridad definidas en el modelo de seguridad de una organizacin en todos los dispositivos conectados a esta. Microsoft y Cisco han trabajado conjuntamente para garantizar la interoperabilidad en estas dos tecnologas, como resultado de este trabajo conjunto se obtiene: Interoperabilidad entre la plataforma de networking de Cisco Systems y la plataforma

de Sistemas Operativos Microsoft Windows. Proteccin en la inversin al trabajar con dos de los referentes ms importantes del mercado. Un solo agente incluido en Windows Vista/Windows Server codenamed Longhorn, en el caso de Windows Server 2003/Windows XP se deber utilizar el Cisco Trust Agent for NAC y el NAP Agent for NAP. Un ecosistema de Independent Software Vendors (ISV) que agregara valor a la integracin de estas plataformas (NAP-NAC). Distribucin de agentes y soporte actualizado. Soporte Multiplataforma.

A alto nivel la integracin que tienen ambas plataformas, funciona de la siguiente manera:
1- Al momento de realizar una conexin con la red, los clientes presentaran un set de credenciales (user o computer identity) las cuales luego de ser validadas definirn cual es el nivel apropiado de acceso que tendrn dentro de la red. 2- Los clientes non-compliance sern ubicados en una red de cuarentena para ser provistos de los componentes que les permitirn ser compliance y acceder a la red en forman normal. 3- Los clientes que utilicen el NAP Agent proveen credenciales (user o computer identity), esto conjuntamente con una lista de SoHs (Statements of Healths) los cuales son enviados a un Cisco Secure ACS con EAP-FAST sobre 802.1x o EAPoverUDP. 4- Cisco Secure ACS enviara la lista de SoHs a un Microsoft NPS (Network Policy Server) para validar al cliente. 5- El servidor de Microsoft NPS evaluara la SoHRs (State of Health Responses) en funcin del modelo de seguridad definido y devolver el HVS (Health Validation Status) al Cisco Secure ACS. 6- Cisco Secure ACS va a evaluar el resultado de todas las validaciones realizadas para enviar el profile de acceso correspondiente al dispositivo de acceso para permitir el acceso del cliente a la red corporativa. 7- Todos aquellos clientes non-compliance que fueron puestos en el segmento de cuarentena, van a ser re-validados posteriormente a la provisin de los requerimientos faltantes para garantizar el acceso a la red dentro del modelo de seguridad definido.

Como tercera opcin emergente en lo que respecta a tecnologas de control de acceso, esta TNC (Trusted Network Connect) una solucin desarrollada por TCG (Trusted Computing Group) una organizacin sin fines de lucro creada para desarrollar, definir y promover estndares abiertos para hardware habilitado para funcionar dentro de un modelo confiable y tecnologas de seguridad. Este modelo esta siendo utilizado por empresas como Juniper Networks dentro de su modelo de control de acceso conocido como Juniper Networks Unified Access Control Microsoft es miembro de TCG, a estado trabajando con el grupo desde el 2004 y se estn desarrollando interfaces para soportar plug-ins para garantizar la interoperabilidad entre NAP y TNC.

Sumario
NAP (Network Access Protection) es una tecnologa que incluye componentes tanto de servidor como de cliente, y que puede implementarse a travs de IPSec Enforcement,802.1x Enforcement,VPN Enforcement,DHCP Enforcement, en forma separada o conjunta. Tiene por objetivo ser totalmente interoperable con otras tecnologas de control de acceso (NAC/TNC), lo cual provee independencia del proveedor de hardware ya que NAC trabaja de momento solo con dispositivos Cisco Systems, mientras que TNC es un modelo abierto multi-vendor.