La descarga está en progreso. Por favor, espere

La descarga está en progreso. Por favor, espere

José Parada Gimeno ITPro Evangelist

Presentaciones similares


Presentación del tema: "José Parada Gimeno ITPro Evangelist"— Transcripción de la presentación:

1 José Parada Gimeno ITPro Evangelist

2 Introducción-NPS NAP Fundamentos Arquitectura Interoperabilidad Despliegue Solución de problemas

3 Internet Intranet Remote Employees Remote Access Gateway Web Server Customers Perimeter X Infrastructure Servers Extranet Server Redes Interconectadas Datos Distribuidos Trabajadores Móbiles Extranet de Negocio Acceso Remoto Servicio Web Wireless Dispositivos Móbiles

4 Network Policy Server es el sucesor del Internet Authentication Services (IAS) de versiones previas de Windows Server NPS es la implementación de Microsoft del standar RADIUS y soporta los principales RFC de RADIUS Solo esta disponible en Windows Server 2008 y tienes ventajas significativas frente a IAS, en especial NAP

5 NPS esta disponible como componente del Role de Servicio de Acceso a Red

6 Instalación Role NPS Instalación Role DHCP

7 NPS se puede usar para autenticar diferentes tipos de conexiones incluyendo VPN, 802.1x, wireless 802.1x y servicios de acceso remoto NPS proporciona definición y cumplimiento de políticas pero no es una fuente para autenticación. Cuando una petición de autenticación llega al NPS la comprueba contras su políticas y luego utiliza Active Directory para autenticar al usuario o dispositivo

8 El usuario solicita acceso al puerto El dispositivo de Red pregunata la usuario por credeciales El Dispositivo reenvia las credenciales y el detalle de la conexión El RADIUS evalua los detalles de la conexión con la política; reenvia las credenciales a AD para la autenticación Si se cumple la política y el usuario es autenticado, se le permite el acceso El dispositivo permite la conexión

9 Las peticiones se envian a una pila de procesamiento compuesta de varias etapas Cada etapa considera la petición como un parametro de Entrada/Salida Cada etapa devuelve uno de los siguientes valores: Rechazado, Aceptado o desechado Al final de la pila, la petición se transforma en un paquete RADIUS y se envia de vuelta a la red

10 Las políticas son reglas ordenadas secuencialmente Solo una política aplica a una petición de acceso Politica 1: Saludable If: Si el equipo es saludable, permite el acceso total Else: Ve a la siguiente política If: Si el equipo NO es Saludable, ponla en una red restringida y obliga a que instale las actualizaciones Else: Ve a la siguiente política Politica 2: No Saludable If: Si el equipo tiene nivel bajo, ponlo en una red restringida Else: Ve a la siguiente política Politica 3: Nivel Bajo Por defecto If: No se aplica ninguna otra política, deniega el acceso a red

11 Validación de Políticas: Determina si los equipos cumplen con la política de seguridad de la organización. A los que cumplen se les estima como Saludables Restricciones de Red: Restringe el acceso a la red a los equipos en función de su salud. Remediación: Provee las actualizaciones necesarias para permitir que un equipo se vuelva saludable. Una vez que esto ocurre, se le quitan las restricciones de red Cumplimiento sobre la marcha: Los cambios en la política de seguridad de la organización o en la salud de los equipos pueden provocar restricciones de red

12 No Cumple la Política 1 Red Restringida El cliente solicita acceso a la red y presenta su estado de salud actual 1 4 Si no cumple la política el cliente solo tiene acceso a una VLAN restringida donde hay recursos para solucionar sus problemas, descargar actualizaciones, firmas(Repetir 1-4) 2 DHCP, VPN o Switch/Router envía el estado de salud al Servidor de Políticas de Red (RADIUS) 5 Si cumple la política al cliente se le permite el acceso total a la red corporativa MSFT NPS 3 Servidor de Políticas e.g. Patch, AV Cumple la Política 3 El Servidor de Políticas (NPS) valida contra la política de salud definida por IT 2 Cliente Windows DHCP, VPN Switch/Router Fix Up Servers e.g. Patch Red Corporativa 5 4

13 ForzadoCliente SaludableCliente no Saludable DHCP Configuración IP completa. Acceso Total Conjunto de rutas restringido VPN (Microsoft and 3 rd Party) Acceso TotalVLAN Restringida 802.1XAcceso TotalVLAN Restringida IPsec Puede comunicar con cualquier nodo en que confie Nodos saludables rechazan la conexión de sistemas no Saludables Complementa la protección a nivel 2 Funciona con la infraestructura existente Aislamiento Flexible

14 Configurar NPS Configurar los Validadores de salud del Sistema Configurar la Política de Salud Configurar las Políticas de Red Configurar DHCP Configurar y habilitar Ámbito para clientes NAP Configurar Clases (Usuario por defecto y NAP) Configurar Cliente Habilitar los servicios de NAPA Habilitar el Cliente de Cuarentena DHCP y el CS

15 Configurar el Switch 802.1X Configurar NPS Obtener Certificado de equipo Configurar el Cliente RADIUS Configurar la Política de solicitud de Conexión Configurar los Validadores de salud del sistema Configurar la Política de Salud Configurar las Políticas de Red Configurar Cliente Habilitar los servicios de NAPA y WA Habilitar el Cliente de Cuarentena EAP y el CS Configurar los métodos de Autenticación

16 Configurar DC y CA Crear Grupo de Exentos IPSec Crear y Publicar Plantilla de Certificado Autenticación de Cliente Autenticación de Salud del Sistema Habilitar Auto-enrolamiento del certificados Instalar y configurar una CA Subordinada Instalar y configurar un HRA Permisos de HRA en CA Propiedades de la CA en el HRA

17 Configurar NPS Configurar los Validadores de salud del sistema Configurar la Política de Salud Configurar las Políticas de Red Configurar Cliente Habilitar los servicios de NAPA y WA Habilitar el Centro de Seguridad Habilitar el Usuario de confianza IPSec Configurar el HRA como servidor de confianza Consulta Guías en

18 Solicitando Acceso. Mi estado de salud MS NPS Cliente Switch802.1X Servidores de Remediación ¿Puedo acceder? Aquí esta mi estado de Salud ¿Debe este cliente ser restringido basándonos en su estado de salud? Actualización de políticas al servidor NPS Tienes acceso restringido hasta que te actualices ¿Puedo obtener Actualizaciones? Aquí las tienes. Según las políticas, el cliente no esta al día. Poner en cuarentena y solicitar actualización. Red Restringida Se permite el acceso total al Cliente Servidores de Chequeo de Salud Según las políticas, el cliente cumple. Permitir Acceso. Patch Status AV Status

19 Solicitando Acceso. Aquí esta mi nuevo estado de salud MS NPS Cliente Remote Access Gateway Servidores de Remediación ¿Puedo acceder? Aquí esta mi estado de Salud ¿Debe este cliente ser restringido basándonos en su estado de salud? Actualización de políticas al servidor NPS Recurso bloqueado hasta que te actualices ¿Puedo obtener Actualizaciones? Aquí las tienes. Según las políticas, el cliente no esta al día. Poner en cuarentena y solicitar actualización. Se permite el acceso total a los recursos al Cliente Servidores de Chequeo de Salud Según las políticas, el cliente cumple. Permitir Acceso.

20 Accediendo a la REd X Servidor de Remediación NPS HRA ¿Puedo obtener un certificado de Salud? Aqui esta mi estado de Salud ¿Esta el Cliente ok? No. Necesita Actualizarse NO obtienes tu certiificado. Actualizate. Necesito Actualizaciones. Aqui las tienes Aqui tienes el certificado de Salud SI. Emite el certificado de Salud Cliente Sin Política Autenticación Opcional Autenticación Requerida

21 Configuración Switch D-Link Configuración NAP para 802.1X

22 NPS Policy Server (RADIUS) Quarantine Server (QS) Client Quarantine Agent (QA) Health policyUpdates Health Statements Network Access Requests System Health Servers Remediation Servers Health Certificate 802.1x Switches Policy Firewalls SSL VPN Gateways Certificate Servers (SHA) MS SHA, SMS System Health Validator (EC) (DHCP, IPsec, 802.1X, VPN) Cliente SHA – Agente de salud chequea la salud del sistema QA – Coordina SHA/EC EC – Método de Forzado Servidor de Remedios Proporciona parches, firmas AV, etc… Network Policy Server QS – evalua la salud del cliente SHV – evalua la respuesta SHA System Health Server Proporciona SHV (SHA) 3 rd Parties (EC) 3 rd Party EAP VPNs

23 La funcionalidad de Enrolamiento de Certificado de salud es responsble de la adquisición y mantenimiento de una representación X509 de una Declaración de Salud (SoH).

24

25 NAP soporta ambos Cado uno tiene ventajas e inconvenientes Defensa en profundidad integrada en varias capas Acceso rápido a la red para clientes saludables. Autenticación 802.1X; extensiones a PEAP y 802.1X no son requeridos Agnóstico desde el punto de vista de Red, pero los fabricantes pueden innovar y proveer de valor Elección del cliente: habilidad para proteger el acceso a la red, acceso a las aplicaciones en cualquier combinación según necesidades y donde sea apropiado Despliegue combinado según necesidades, riesgos y la infraestructura existente

26 Configuración Cliente NAP 8021.X Autoremediación

27 Anti-Virus Software de Seguridad Actualizaciones Aplicativos de Seguridad Dispositivos de Red Integradores de Sistemas

28 1.El Cliente se autentica en la red y envia su Certificado de Salud (SoH), incluyendo los datos opacos del (System Health Agent -SHA) al Cisco Secure Access Control Server (ACS) a través del Switch/Router. 2.ACS envía el SoH al Microsoft Network Policy Server (NPS) vía el protocolo HCAP. El NPS evalúa la salud del cliente en coordinación con los validadores de salud de partners. 3.ACS asigna el acceso a red basado en lo que establece el NPS sobre su estado de salud. El Cliente pasa por el proceso de remediación si lo necesita y se reautentica en el ACS si cambia si estado de salud. Partner Policy Server Client Partner System Health Agents (SHAs) NAP Agent (QA) EAP Host QEC EAPFAST 802.1x or UDP HCAP RADIUS 802.1x MS NPS Cisco ACS Switches Routers Escenario Host Credentials Authorization Protocol (HCAP) EAP-FAST EAPoUDP

29 Interoperabilidad y elección del cliente: Los clientes pueden elegir entre diferentes componentes, infraestructura y tecnología mientras implementan una única solución coordinadas Protección de la Inversiones: Permite al cliente rehusar o proteger las inversiones de sus despliegues NAC o NAP. Puede empezar desplegando Cisco NAC e integrarlo a posteriori con NAP. Agente único incluido en Windows Vista: Los equipos que ejecuten Windows Vista o Windows Server W2K8 llevan incluido el Agente NAP como parte del sistema operativo que se puede usar para NAP o NAC. Ecosistema de integración para ISV: Las APIs del cliente NAP sirven de interface única de programación para reportar la salud y forzar a NAP y Cisco NAC, simplificando el desarrollo te agentes de salud de terceros y componentes de forzado de salud Agente de despliegue y soporte a actualizaciones: Microsoft distribuirá los módulos de Cisco EAP modules a través de Windows Update / Windows Server Update Services Soporte a otras plataformas: Para soportar otros SO que no sean Windows Microsoft licenciara la tecnología del cliente NAP y las APIs que soportan a NAP y Cisco NAC a desarrolladores de terceros.

30 Planificación de Requerimientos Definir la política de salud requerida Definir los métodos de forzado requeridos Planificar la arquitectura NAP Planificar las excepciones Definir roles y responsabilidades Fases del despliegue Pruebas en Laboratorio Piloto Modo de Reporte Forzado diferido Forzado

31 Fichero Batch simple para recolectar información Ipconfig, Net start, Gpresults, Reg query Netsh nap client show state Netsh nap client show grouppolicy winmgmt /verifyrepository (salvagerepository) WMIC /NAMESPACE:\\root\securitycenter WMIC /NAMESPACE:\\root\ccm certutil -store my wevtutil epl Microsoft-Windows- NetworkAccessProtection/Operational SMS/WindowsUpdate logs SQL IPSec

32 Technet NAP Blog Foro orumID=576&SiteID=17 Virtual Lab ?familyid=ac38e5bb-18ce-40cb-8e f7a198897&displaylang=en

33 TechCenter de Windows Server ult.mspx Próximos webcasts en vivo Webcasts grabados sobre Windows Server ?id=1 Webcasts grabados otras tecnologías Microsoft Foros técnicos

34 Registrarse a la newsletter TechNet Flash Obtenga una Suscripción TechNet Plus

35 El Rostro de Windows Server está cambiando. Descúbrelo en


Descargar ppt "José Parada Gimeno ITPro Evangelist"

Presentaciones similares


Anuncios Google