Siesta de estado. Policía de red: explorando las capacidades de la nueva tecnología de protección de acceso a la red NAP. Aplicación de seguridad de acceso a la red para DHCP

En TI, el problema de la vulnerabilidad de la red debido a la conexión de computadoras dudosas se ha vuelto urgente desde hace mucho tiempo. En este sentido, se están estudiando activamente soluciones que puedan reforzar físicamente las políticas de seguridad de las empresas. El control de acceso a la red (NAC) se creó precisamente para este propósito. NAC proporciona una plataforma para desarrollar servicios y funciones que pueden sondear una computadora antes de conectarse a una red interna segura y verificar que cumpla con los requisitos de confiabilidad y seguridad específicos.

Corporación microsoft presentó su versión de control de acceso a la red utilizando SIESTA, que brinda un servicio para verificar los requisitos de salud antes de acceder a la red. Parte SIESTA incluye servicios, componentes e interfaz de programación de aplicaciones (API) para ayudar a garantizar la funcionalidad de servidores y redes que ejecutan Windows Server 2012, así como clientes que ejecutan Windows 8 y Windpws 7.

Echemos un vistazo más de cerca: ¿qué es NAP?

Protección de acceso a la red ( Protección de acceso a la red, NAP ) es una plataforma para probar la funcionalidad de los sistemas informáticos antes de permitirles acceder a redes seguras. Garantiza que su computadora sea "probada" antes de cada intento de establecer una nueva conexión a una red privada.

Antes de NAP, una conexión típica computadora externa se produjo al crear una conexión de cliente a través de una red pública, como Internet, mediante una conexión VPN.

La conexión del cliente pasó primero a través del firewall o se reenvió a un proxy utilizando los puertos apropiados requeridos por el protocolo de seguridad establecido. A continuación, el servicio de autenticación verificó las credenciales del cliente de acceso remoto.

Si las credenciales se autenticaron correctamente, el cliente se conectó a la parte de la red segura que estaba conectada anteriormente.

Hay un error grave en este escenario. ¿Podrían surgir problemas si el cliente de acceso remoto es quien dice ser, proporciona todas las credenciales requeridas y solo realiza tareas autorizadas en una red privada?

Sí. Pero digamos que el cliente de acceso remoto realiza solicitudes de servicio no estándar, operaciones de descubrimiento o investigación o, peor aún, instalación de software malicioso sin el conocimiento de los usuarios de la computadora a la que está conectada la conexión de acceso remoto. Esta fue una de las principales razones para implementar la solución. SIESTA .

NAP reduce la probabilidad de entrar en red segura virus por parte de mis empleados o invitados que viajan. El flujo estándar de información de una computadora que se conecta a la red se modifica y pasa a través del perímetro, donde es manejado por los componentes de la plataforma. SIESTA. La plataforma en sí ahora incluye un ecosistema NAP completo, y cuando se solicita que un cliente externo se conecte, ahora se lo denomina "cliente NAP".

La red perimetral conserva los mismos servicios y dispositivos de seguridad que antes. Sin embargo, los componentes de NAP omiten la solicitud de acceso del cliente NAP para determinar el estado de salud. La siguiente figura muestra las diferencias entre una conexión telefónica tradicional y una conexión que utiliza la plataforma NAP.

La figura muestra no solo los componentes NAP incluidos en el flujo de información, sino también que el acceso de un cliente NAP se puede limitar a una red externa, que se denomina red de cuarentena y donde servidores adicionales actualizar el cliente para cumplir con los requisitos de rendimiento.

Una solución NAP completa consta de tres funciones separadas:

1. chequeo de salud
2. asegurar el cumplimiento de las políticas de salud;
3. Limitación de acceso.

Comprobando el estado de salud.

Las pruebas de estado son el proceso de verificar el estado de una computadora y determinar su compatibilidad. Si la plataforma NAP está configurada para funcionar con una red de cuarentena, el acceso de la computadora que no cumple se limita solo a la subred de la red de cuarentena hasta que cumpla con los requisitos.

Si NAP se implementa inicialmente solo con el registro de incumplimiento, se registra el cumplimiento de la computadora con el requisito de salud y se le permite continuar conectándose normalmente.

Cumplimiento de la política sanitaria.

Para monitorear y posiblemente hacer cumplir los requisitos de salud, los administradores crean políticas de salud. La política sanitaria es el núcleo de una solución PAN. Las políticas de salud, entre muchos otros factores de cumplimiento, establecen el nivel de actualizaciones de software. Compilaciones del sistema operativo. análisis de virus y configuración de firewall habilitados.

Restringir el acceso a la red.

Cuando los sistemas informáticos no cumplen con los estándares de salud necesarios para conectarse a una red privada, el administrador puede permitir la conexión pero registrar el incumplimiento o redirigir la conexión a una red de cuarentena para configurar y actualizar cualquier configuración de computadora que no cumpla. Esta es la función de acceso restringido de NAP.

Si el artículo le ayudó o aún tiene preguntas, escriba en los comentarios.

un aspecto Seguridad de la red Lo que frustra a muchos administradores es que no tienen control sobre la configuración de las computadoras remotas. Aunque una red corporativa puede tener una configuración muy segura, actualmente no existe nada que pueda impedir que un usuario remoto se conecte a la red corporativa utilizando un ordenador que esté infectado con virus o que no tenga las actualizaciones necesarias. Una herramienta del sistema operativo Longhorn Server llamada Protección de acceso a la red(Protección de acceso a la red, NAP) cambiará esta situación. En este artículo, le hablaré sobre la herramienta NAP y le mostraré cómo funciona.

Cuando trabajaba como administrador de red, una de las cosas que realmente me frustraba era que tenía muy poco control sobre los usuarios remotos. Los requisitos comerciales de mi organización requerían que los usuarios remotos pudieran conectarse a la red corporativa desde cualquier lugar fuera de la oficina. El problema fue que, aunque tomé medidas extremas para proteger la red corporativa, no tenía absolutamente ningún control sobre las computadoras que los usuarios podían usar para conectarse a la red de forma remota. Después de todo, el ordenador personal de un empleado no es propiedad de la empresa.

La razón por la que esto me frustró tanto fue porque nunca supe en qué estado se encontraba la computadora del usuario. A veces, los usuarios remotos pueden conectarse a la red utilizando una computadora infectada con virus. A veces, la computadora del usuario remoto puede estar ejecutando una versión desactualizada del sistema operativo Windows. Aunque tomé medidas para proteger la red corporativa, siempre tuve miedo de que un usuario remoto con una seguridad inadecuada pudiera infectar archivos en la red con un virus o exponer accidentalmente información corporativa confidencial porque su computadora podría estar infectada con un troyano.

Sin embargo, hace unos años apareció un rayo de esperanza. Microsoft se preparó para lanzar el sistema operativo Windows Server 2003 R2, que incluía hablar de una nueva herramienta llamada NAP. Para abreviar un poco la historia, solo te diré que para configurar la seguridad de la red usando versiones anteriores de esta herramienta, era necesario tener un título avanzado en el campo. la seguridad informática. Y así, la herramienta NAP se eliminó de la versión final de R2.

Microsoft ha trabajado mucho para mejorar la herramienta NAP desde entonces, y NAP es ahora una de las herramientas de seguridad principales en el sistema operativo Longhorn Server. Aunque la versión Longhorn de la herramienta NAP será mucho más fácil de configurar que la versión inédita para Windows Server 2003, sigue siendo bastante compleja. Por lo tanto, el propósito de escribir este artículo fue brindarle una descripción de la herramienta NAP y también mostrarle cómo funciona antes de su lanzamiento. versión oficial Sistema operativo del servidor Longhorn.

Para comenzar

Antes de continuar, quiero explicar una cosa más sobre la herramienta NAP. El propósito de la herramienta NAP es garantizar que la computadora del usuario remoto cumpla con los requisitos de seguridad de su organización. NAP no hace nada para impedir el acceso no autorizado a su red. Si el atacante tiene una computadora que cumple con los requisitos de seguridad de su empresa, NAP no hará nada para intentar detenerlo. Protección contra intrusos que intentan acceder a recursos de red– esta es la tarea de otros mecanismos de seguridad. NAP está diseñado para simplemente impedir que los usuarios autorizados que utilizan computadoras inseguras ingresen a su red.

Una cosa más que quiero mencionar antes de continuar es que la herramienta NAP es diferente de la herramienta Network Access Quarantine Control que está presente en el sistema operativo Windows Server 2003. La herramienta Network Access Quarantine Control utiliza políticas limitadas para controlar computadoras remotas. , pero está sujeto al NAP.

Conceptos básicos de seguridad de acceso a la red

La herramienta NAP está diseñada para ampliar VPN corporativa. El proceso comienza cuando un cliente establece una sesión VPN con un servidor Longhorn que ejecuta el servicio de enrutamiento y acceso remoto. Después de que el usuario establece una conexión, el servidor política de red Comprueba el estado del sistema remoto. Esto se logra comparando la configuración de la computadora remota con la política acceso a la red, que lo define el administrador. Lo que suceda a continuación depende de lo que el administrador haya escrito en esta política.

El administrador tiene una opción para configurar una política de solo monitoreo o una política de aislamiento. Si solo está habilitada la política de monitoreo, cualquier usuario con los derechos correctos tendrá acceso a los recursos de la red, independientemente de si su computadora cumple o no con la política de seguridad corporativa. Aunque la política de monitoreo no prohíbe que ninguna computadora acceda a su red, el resultado de comparar la configuración de la computadora remota con los requisitos corporativos se registra en un registro especial.

En mi opinión, la política de seguimiento es la más adecuada para pasar a un entorno PAN. Piénselo por un segundo: si tiene usuarios remotos que necesitan acceder a recursos en su red corporativa para trabajar, probablemente no desee habilitar inicialmente NAP en modo aislado. Si decide hacer esto, es muy probable que ninguno de sus usuarios remotos pueda acceder a su red corporativa. En su lugar, puede configurar NAP para utilizar una política de supervisión. Esto le permitirá evaluar el impacto de sus políticas de acceso a la red sin impedir accidentalmente que alguien haga su trabajo. Después de esta prueba, puede habilitar la política en modo de aislamiento.

Como probablemente ya habrás adivinado, en el modo de aislamiento, las computadoras que no cumplen con las políticas de seguridad corporativas se colocan en un segmento de red que está aislado de los recursos de la red industrial. Por supuesto, esta es una afirmación muy general. Depende totalmente del administrador decidir qué hacer con un usuario cuyo ordenador no cumple con la política corporativa. Normalmente, un administrador concederá a los usuarios cuyas computadoras no cumplan con la política corporativa acceso al segmento de red aislado que mencioné anteriormente. El administrador también tiene la capacidad de restringir el acceso a un recurso o a todos los recursos de la red.

Quizás se pregunte qué beneficio puede haber al dar acceso a un segmento de red aislado a computadoras que no cumplen con los requisitos corporativos. Si una computadora no compatible se conecta a la red y la herramienta NAP se ejecuta en modo aislado, a esa computadora se le niega el acceso a la red industrial. Normalmente, esta cuarentena continúa mientras el usuario esté conectado a la red. Simplemente poner en cuarentena las computadoras que no cumplen con las políticas de la empresa ayuda a prevenir infecciones de virus o la explotación de agujeros de seguridad en su red, pero no bloquea gran parte de la experiencia del usuario. Después de todo, si un usuario no puede acceder a los recursos de la red, entonces no podrá hacer su trabajo.

Aquí es donde viene al rescate un segmento de red aislado. El administrador puede colocar un conjunto especial de actualizaciones y antivirus en este segmento aislado. Dichos recursos le permiten hacer que la computadora del usuario remoto cumpla con los requisitos de la empresa. Por ejemplo, dichos servidores pueden contener actualizaciones de software antivirus o de seguridad.

Es muy importante tener en cuenta que la herramienta NAP no contiene ningún mecanismo que pueda verificar el estado de la computadora remota y la instalación de actualizaciones en ella. Este ya será trabajo de los agentes del estado del sistema y de los validadores del estado del sistema. Se rumorea que estos componentes se integrarán en la próxima versión de SMS Server.

Conclusión

En este artículo, les hablé de una nueva herramienta en el sistema operativo Longhorn Server llamada NAP. En la segunda parte de este artículo, lo guiaré a través del proceso de configuración utilizando esta herramienta.

Una situación en la que una estación de trabajo no tiene instalados los últimos parches,
en otro el firewall no funciona y en el tercero no hay software antivirus ni antispyware,
se reúne todo el tiempo. Pero la seguridad de toda la Red está determinada por los aspectos más
Unión debil. ¿Qué debe hacer un administrador con las computadoras cliente?
¿Cumple los requisitos de seguridad?

Nueva tecnología NAP

Tecnología de protección de acceso a la red NAP (Protección de acceso a la red),
implementado en Win2k8, está diseñado para ayudar al administrador a mantener
Seguridad de la red al más alto nivel posible. El principio de funcionamiento de NAP es
en el siguiente. Cuando un cliente se conecta a Internet, se comprueba la presencia de un firewall,
últimas actualizaciones de seguridad, actualizaciones de antivirus, etc. Si
la computadora no cumple con las políticas aceptadas, tendrá acceso total
rechazado hasta que se corrijan los problemas identificados. Dependiente
desde la configuración, las computadoras que no pasan el control se bloquean por completo o
están en cuarentena (por ejemplo, se les asignan direcciones IP de un rango diferente).
Alternativamente, puede configurar solo el registro de dichos eventos sin aceptar
cualquier medida. Los servidores de corrección pueden estar ubicados en la subred de cuarentena.
(Servidor de remediación), proporcionando recursos para abordar los problemas identificados.
Deficiencias, por ejemplo, el servidor de actualización. WSUS (Actualización del servidor de Windows)
Servicios) o base de datos antivirus. Después de la actualización, cumplimiento de la política
se verifica nuevamente: si todo es normal, el sistema obtiene acceso a la red.
Entre las configuraciones, puede especificar una página web que describa por qué
el usuario no puede conectarse y qué debe hacer al respecto.

Entonces, SIESTA no solo realiza funciones de bloqueo, sino que también
un medio para ayudar a eliminar las deficiencias identificadas. Su trabajo no se limita a
verificación única al momento de la conexión (después de la cual el usuario puede desconectarse)
antivirus, “para no interferir”). El estado se comprueba periódicamente en
durante todo el tiempo que la computadora esté conectada a Internet.

Para algunas computadoras (sistema operativo incompatible; computadora portátil del visitante, que
no tenemos derecho a administrar) se puede configurar una excepción que le permita recibir
acceso en cualquier caso.

Es muy importante entender que con NAP por sí solo no protege la Red y especialmente
no reemplaza antivirus y firewall. Él interactúa con muchos
mecanismos de cumplimiento (DHCP, VPN, IPsec, IEEE 802.1x y TS-Gateway) para
aumentando el nivel de seguridad. En realidad, una de las tareas del administrador cuando
La implementación de NAP consiste en elegir "su" método. El más simple y más
El principio de implementación y funcionamiento es DHCP, basta con reconstruir
tabla de enrutamiento y el cliente ya no podrá acceder a la red.
Un servicio DHCP modificado que cumple con NAP se llama DHCP NAP Enforcement
Cliente (CE). Otros métodos son más fiables, aunque requerirán pruebas adicionales.
ajustes.

Veamos esta opción. Todo el sistema cliente está bien, pero no
El cortafuegos está activado. ¿Qué es lo más fácil de hacer en tal situación? Bloquear
acceder o explicar al usuario cuál es su problema? No. Más fácil de encender
Firewall de Windows. Aquí llegamos a otra característica importante. SIESTA
– arquitectura cliente-servidor.

Se utiliza un agente para evaluar el estado. SIESTA o ya incorporado
sistema, o instalarse por separado. El agente envía el informe de cumplimiento
requisitos establecidos para el servidor de políticas de red ( NPS, servidor de políticas de red)
enviando un especial Marcadores SHV (Validadores de salud del sistema). servidor NPS
es un motor de procesamiento de políticas integrado en Win2k8. Él vino a reemplazar
Servicio de autenticación de Internet (IAS), que proporcionó RADIUS
autenticación en Active Directory.

Además de Win2k8, el agente ya está incluido en Windows Vista y XP SP3. El propio agente.
consta de varios niveles. Esto le permite ampliar sus capacidades. Detrás
El agente de estado del sistema ( Sistema
Agentes de Salud, S.H.A.). Además, puede funcionar simultáneamente en una computadora.
varios de estos agentes. Agente propio Microsoft SHA basado
información recibida del Centro de seguridad, verifica si el firewall está habilitado,
si hay instalado software antivirus y antispyware. Los productores de software pueden
agregue SHA para respaldar sus productos. Agente de cuarentena ( Cuarentena
Agente, control de calidad) genera informes de estado de salud SHA. Y finalmente
cliente de coerción ( Cliente de cumplimiento, CE) proporciona acceso a Internet,
en función del estado del sistema.

La API disponible permite a terceros crear implementaciones EC por su cuenta.
soluciones y el uso del protocolo de identificación de red IEEE 802.1X
garantiza la compatibilidad con varios tipos dispositivos. Actualmente
Se ha desarrollado un protocolo para autorizar las credenciales de nodo ( Credencial de anfitrión
Protocolo de autorización, HCAP), proporcionando integración con similares
desarrollo Cisco NAC (Control de admisión a la red). Activar
apoyo HCAP posible durante la instalación del servidor NPS. Hay datos sobre
desarrollo del agente Anyclick for NAP para Mac y Linux en UNETsystem (www.unetsystem.co.kr).
Compañía Avenda (www.avendasys.com)
ya ha presentado una solución lista para usar (aunque no gratuita) Avenda Linux NAP Agent
para uso en Linux.

Instalación de NPS

Role NPS, como la mayoría de los otros roles, no está habilitado de forma predeterminada
esta instalado. Seleccione el enlace en el Administrador del servidor
"Agregar roles", luego en la ventana de selección de roles marque "Servicios de políticas"
Servicios de Acceso y Política de Red. En el camino, no lo olvides
instalar otros roles que puedan ser necesarios (DHCP, servicios
terminales, VPN). EN configuraciones adicionales Usaremos DHCP, entonces
También destacamos la función "Servidor DHCP".

Pasemos a Seleccionar servicios de roles. Además de HCAP, sobre el cual
mencionado anteriormente, y el propio NPS, hay una serie de otros puntos que activamos
dependiendo de la configuración. Así, el “Centro de Registro Sanitario” (Salud
La Autoridad de Registro (HRA) es un componente de NAP que proporciona
Seguridad IPSec. Los roles HRA y HCAP requerirán IIS y Windows Process
Servicio de Activación. Aparecerá una solicitud para instalarlos en el paso correspondiente.
Rol del servicio de enrutamiento y acceso remoto
Service, RRAS) es necesario para los clientes que se conectan de forma remota (Acceso telefónico y VPN,
NAT). Eso es todo, en realidad. Una vez completada la instalación, vaya a la pestaña "Roles" en
Aparecerá un nuevo elemento en el "Administrador del servidor". También en el menú "Administrativo"
Herramientas), la consola del Servidor de políticas de red estará disponible.

Configurar NPS usando una plantilla

La consola de administración le permite configurar el servidor NPS de varias maneras.
Más simple - seleccione la configuración deseada de la lista desplegable
“Configuración estándar” en la página principal.
Desde aquí puede configurar rápidamente un servidor NAP, así como un servidor RADIUS para control remoto.
acceso (Dial-up y VPN) y conexiones IEEE 802.1x. Por ejemplo, seleccione "Protección
Protección de acceso a la red. Después de esto, aparecerá en la parte inferior de la página.
enlace a la documentación. Para comenzar a configurar, haga clic en “Configuración NAP”
NAP), – se inicia el asistente de configuración. El paso más importante es definir "Red" en la lista.
Método de conexión" método de conexión para clientes compatibles con NAP. Hay
todas las opciones NAP compatibles: DHCP, IPSec con HRA, IEEE 802.1x cableado e inalámbrico,
VPN y TS-Gateway. Luego, en el campo “Nombre de la política”, especifique si es necesario
nombre de la regla y continúe con el paso de seleccionar un servidor de protección forzada
acceso. Lo principal es no confundirse con la terminología, ya que te piden que indiques RADIUS.
cliente. Normalmente se trata de un enrutador o punto inalámbrico compatible con IEEE 802.1x.
acceso.

Si la computadora en la que está instalando NPS ejecuta el
DHCP, entonces puedes omitir este paso. Puede haber varios ámbitos DHCP en una red;
el servidor NPS puede monitorearlos todos o solo algunos. Paso “Especificar
DHCP Scopes" le permite definir los alcances que serán
controlado por este servidor. Si no especifica nada aquí, la política será
se aplican a todas las áreas del PAN. Cualquier servidor DHCP agregado también debe
Soporta NPS. Ahora indicamos los grupos de usuarios y ordenadores a los que
se aplicarán las reglas. En la página siguiente “Especificar una solución NAP
Grupo y URL” especificamos el grupo de servidores de actualización que se utilizarán
clientela. Si no existe dicho grupo, debe crearlo haciendo clic en el botón "Nuevo"
grupo". Justo debajo, en la línea "URL de solución de problemas", ingrese la dirección de la página con
instrucciones para el usuario (si es necesario) y proceder a la definición
Definir la política de Salud del PAN. Casilla marcada
"Habilitar la reparación automática de computadoras cliente"
computadoras cliente) permite que los sistemas cliente reciban actualizaciones, no
políticas satisfactorias. Si no se selecciona esta opción, los clientes no
que admiten NAP no se actualizarán automáticamente y no podrán recibir información completa
acceso hasta que se actualicen manualmente. El interruptor en la parte inferior le permite seleccionar
restringir el acceso a la Red para clientes que no soportan NAP. Por defecto
Sólo se permite acceso limitado (Denegar acceso completo a la red...). Si según
Por alguna razón, no existen restricciones para dichos sistemas, luego cambiamos a
acceso completo (Permitir acceso completo a la red...). Después de hacer clic en el botón "Siguiente"
Se crean políticas y se muestra un informe.

Presentamos la consola NPS

Las políticas se establecen de manera más sutil en menús separados. Entonces en “Servidor RADIUS y
Clientes" configura clientes y grupos remotos de servidores RADIUS (Remote RADIUS
Grupos de servidores). Si el nodo NPS está configurado como un proxy RADIUS, entonces el control remoto
Las solicitudes de conexión se reenviarán al servidor.

El menú Políticas especifica las políticas de solicitud de conexión.
Políticas de Solicitud, CRP), Políticas de Red y
desempeño (Políticas de Salud). Las políticas CRP definen un controlador
solicitud al conectar un cliente. Puede ser un nodo local o
remoto (en el caso de RADIUS). Dado que previamente hemos creado políticas usando
plantilla, entonces hay dos entradas en la lista: NAP DHCP y autenticación
Ventanas. Para agregar una nueva política, seleccione el elemento en el menú contextual
"Nuevo documento". Luego sigue las instrucciones del maestro. En la columna "Estado"
muestra si la política está activa o no, y el número en la columna adyacente indica
el orden de su procesamiento.

Para cambiar la política, haga doble clic en el nombre. En la ventana que aparece
propiedades: tres pestañas. En la pestaña Descripción general, puede cambiar el nombre
políticos; Al desmarcar la casilla de verificación “Política habilitada”, deshabilite la verificación
esta política por parte del servidor. La lista desplegable justo debajo le permite cambiar el tipo
Servidor NPS (el servidor DHCP está actualmente instalado). Se aplicará la política activa
sin ninguna restricción. En la pestaña “Condiciones”, varios
restricciones para la política seleccionada: por tiempo, dirección IP, grupo HCAP, por nombre
usuario, protocolo, servicio y tipo de túnel, etc. Incluyendo, hay
y como el desarrollador de equipos RADIUS. Todo esto le permite configurar
reglas realmente flexibles, aunque hay que trabajar un poco duro. Y,
finalmente, en la tercera pestaña “Configuración” configuras los parámetros para
políticas de red que se aplicarán después de verificar todas las restricciones.
La mayoría de las configuraciones básicas de NAP se encuentran en "Políticas de red". Distinguir
dos tipos de políticas: permisivas y prohibitivas. Después de usar la plantilla en
la lista ya contendrá cinco políticas que determinan quién y en qué
condiciones permitirán o negarán el acceso. Al seleccionar una póliza en las siguientes ventanas
Se mostrarán las condiciones y parámetros. Si es necesario, se pueden editar,
llamando al asistente haciendo doble clic. Se crea una nueva política de la misma forma que la anterior.
elemento (seleccionando “Nuevo documento” en el menú contextual).

Pasemos a las propiedades de la política. Tenga en cuenta de inmediato que ahora no hay pestañas
cuatro: se agregaron “Restricciones”. Y el contenido de otras pestañas es ligeramente
ha cambiado. La pestaña "Descripción general" especifica si se permite o deniega el acceso a
red a clientes que cumplan con los requisitos de esta política. Instalado por
De forma predeterminada, la casilla de verificación "Ignorar" cuenta de usuario propiedades de acceso telefónico" le permite ignorar
propiedades de acceso remoto de una cuenta de usuario si la solicitud de
la conexión satisface las políticas. Configurar métodos de autenticación
movido a “Restricciones”. El tiempo de inactividad y de espera de la sesión también se indica aquí,
restricciones de tiempo, tipo de puerto NAS y algunos otros. Respectivamente,
El contenido de la pestaña "Opciones" ha cambiado ligeramente. esta configurado
Filtros IP (que le permiten determinar qué paquetes procesar en esta interfaz),
cifrado, atributos RADIUS adicionales, procesamiento multicanal
conexiones. La política para asignar una dirección IP a un cliente se define en el inciso “IP
Configuración". Seleccionando " Uso forzado NAP" (Cumplimiento de NAP), nosotros
configurar el nivel de aplicación de las reglas NAP. Esto podría ser acceso completo a Internet,
acceso completo a tiempo limitado(período de prueba) y acceso limitado.

Tener políticas y configuraciones permisivas puede resultar un poco confuso. En el escenario
preparación, es necesario definir claramente las tareas e imaginar el resultado final.
resultado para no activar nada innecesario. Entonces, configuración de política de red.
para los clientes "correctos" se debe permitir el acceso completo, la actualización automática debe
estar apagado. Para los infractores, por el contrario, tenemos acceso limitado y activamos
actualización automática.

El grupo de servidores de actualización se especifica en la ventana que aparece al hacer clic en el botón
"Configurar" Responsable de la actualización automática de las computadoras cliente.
Casilla de verificación "Habilitar la reparación automática de computadoras cliente".

Configuraciones necesarias para que los clientes habilitados para NAP accedan a la red
se crean en “Políticas de Salud”. Después de usar la plantilla aquí hay dos
Políticas: compatible con DHCP y incompatible con DHCP. El segundo define a los clientes,
que no hayan superado una o más comprobaciones SHV.

Los parámetros SHV y los grupos de servidores de actualización se configuran directamente en
Menú "Protección de acceso a la red". De forma predeterminada, solo hay un SHV en NPS:
"Comprobador de estado de seguridad de Windows" (Windows
Validador de estado de seguridad). Haga doble clic para abrir la ventana de propiedades, en la que
presenta formas de resolver el código de error en diversas situaciones (SHV no puede
contacta con los servicios o no responde, SHA no responde al cliente, etc.). Por
De forma predeterminada, cuando ocurre algún error, el cliente está configurado para
"Incompatible". Al hacer clic en el botón “Configurar” podremos especificar
Requisitos para computadoras cliente (por separado Windows XP y Vista):

• ¿Debería Windows Firewall (u otro compatible?)
  cortafuegos);
• ¿Se debe habilitar un programa antivirus y qué tan actualizado está?
  versión;
• si Windows Defender u otro software antispyware funciona y qué tan bien funciona
  relevante (sólo para Vista);
• ¿Está habilitada la actualización automática?
• ¿Están instaladas las actualizaciones de seguridad? nivel dado, indicando
  hora de la última comprobación de actualizaciones.

El último menú – “Contabilidad” – es responsable de la configuración
Registro de eventos NPS. Puede utilizar local para almacenar registros.
archivo o base de datos de un servidor SQL (incluido uno remoto). Usando
El almacenamiento de eventos local se mostrará en el Visor de eventos.

Configurar un cliente NAP

El cliente NAP se configura usando consola mmc"Configuración
NAP Client" (Configuración del cliente NAP), disponible en versiones de SO compatibles.
De forma predeterminada no se muestra en la lista, por lo que debes agregarlo.
por propia cuenta. Inicie mmc desde la línea de comando y agregue un nuevo complemento
“Consola” – “Agregar o quitar complemento”. Seleccione "Configuración" de la lista
Cliente NAP" y haga clic en el botón "Agregar". En la ventana que aparece, marque
La computadora en la que se ejecutará el complemento (generalmente un sistema local).
Después de hacer clic en "Aceptar", aparece la ventana MMC nueva consola, en cuya raíz
Se ofrecen tres configuraciones: el cliente del sistema de restricción (Enforcement Client),
Configuración y opciones de la interfaz de usuario
registro sanitario (Políticas de Salud). Lista de soportados
Los mecanismos NAP están disponibles en el “Cliente de cumplimiento” (todos deshabilitados de forma predeterminada).
Por ejemplo, para activar el mecanismo DHCP, seleccione "Forzar cliente
cuarentena para DHCP" (DHCP Quarantine Enforcement Client) y haga clic en "Activar".
El elemento "Configuración de la interfaz de usuario" le permite configurar el diseño del icono del cliente NAP y
texto explicativo.

Si hay muchas computadoras, la configuración manual de los clientes llevará mucho tiempo. EN
En este caso, debe utilizar políticas de grupo que se encuentran en el nodo
Configuración del ordenador/Configuración de Windows/Configuración de seguridad/Protección de acceso
a la red (Configuración del ordenador/Configuración de Windows/Configuración de seguridad/Acceso a la red
Proteccion).

Conclusión

Nueva tecnología Protección de acceso a la red te permite aumentar
Seguridad de la red bloqueando o limitando el acceso a clientes desprotegidos.
ordenadores. Esto es especialmente cierto para sistemas remotos, como regla general,
más allá del control del administrador y sirviendo como las principales fuentes de problemas.

ADVERTENCIA

NAP por sí solo no protege la Red y, además, no reemplaza a los antivirus y
cortafuegos.

NAP no está diseñado para proteger contra personas internas y otros tipos similares.
amenazas internas, cuando el usuario tiene derechos especiales en Internet,
permitiendo que se lleven a cabo acciones maliciosas tanto de forma intencionada como accidental.

Un aspecto de la seguridad de la red que frustra a muchos administradores es que no tienen control sobre la configuración de las computadoras remotas. Aunque una red corporativa puede tener una configuración muy segura, actualmente no existe nada que pueda impedir que un usuario remoto se conecte a la red corporativa utilizando un ordenador que esté infectado con virus o que no tenga las actualizaciones necesarias. Una herramienta del sistema operativo Windows 2008 Server llamada Protección de acceso a la red (NAP) puede ayudar a cambiar esta situación. En este artículo, le hablaré sobre la herramienta NAP y le mostraré cómo funciona.

Cuando trabajaba como administrador de red, una de las cosas que realmente me frustraba era que tenía muy poco control sobre los usuarios remotos. Los requisitos comerciales de mi organización requerían que los usuarios remotos pudieran conectarse a la red corporativa desde cualquier lugar fuera de la oficina. El problema fue que, aunque tomé medidas extremas para proteger la red corporativa, no tenía absolutamente ningún control sobre las computadoras que los usuarios podían usar para conectarse a la red de forma remota. Después de todo, el ordenador personal de un empleado no es propiedad de la empresa.

La razón por la que esto me frustró tanto fue porque nunca supe en qué estado se encontraba la computadora del usuario. A veces, los usuarios remotos pueden conectarse a la red utilizando una computadora infectada con virus. A veces, la computadora del usuario remoto puede estar ejecutando una versión desactualizada del sistema operativo Windows. Aunque tomé medidas para proteger la red corporativa, siempre tuve miedo de que un usuario remoto con una seguridad inadecuada pudiera infectar archivos en la red con un virus o exponer accidentalmente información corporativa confidencial porque su computadora podría estar infectada con un troyano.

Sin embargo, hace unos años apareció un rayo de esperanza. Microsoft se preparó para lanzar el sistema operativo Windows Server 2003 R2, que incluía hablar de una nueva herramienta llamada NAP. Para abreviar un poco la historia, para configurar la seguridad de la red utilizando versiones anteriores de esta herramienta, era necesario tener un título en seguridad informática. Y así, la herramienta NAP se eliminó de la versión final de R2.

Microsoft ha trabajado mucho para mejorar la herramienta NAP desde entonces, y ahora la herramienta NAP es una de las principales herramientas de seguridad en el sistema operativo Windows 2008 Server. Aunque la versión de Windows 2008 de la herramienta NAP será mucho más fácil de configurar que la versión inédita de Windows Server 2003, sigue siendo bastante compleja. Por lo tanto, el propósito de escribir este artículo fue brindarle una descripción de la herramienta NAP y también mostrarle cómo funciona antes del lanzamiento oficial del sistema operativo Windows 2008 Server.

Para comenzar

Antes de continuar, quiero explicar una cosa más sobre la herramienta NAP. El propósito de la herramienta NAP es garantizar que la computadora del usuario remoto cumpla con los requisitos de seguridad de su organización. NAP no hace nada para impedir el acceso no autorizado a su red. Si el atacante tiene una computadora que cumple con los requisitos de seguridad de su empresa, NAP no hará nada para intentar detenerlo. La protección contra intrusos que intentan acceder a los recursos de la red es tarea de otros mecanismos de seguridad. NAP está diseñado para simplemente impedir que los usuarios autorizados que utilizan computadoras inseguras ingresen a su red.

Una cosa más que quiero mencionar antes de continuar es que la herramienta NAP es diferente de la herramienta Network Access Quarantine Control que está presente en el sistema operativo Windows Server 2003. La herramienta Network Access Quarantine Control utiliza políticas limitadas para controlar computadoras remotas. , pero está sujeto al NAP.

Conceptos básicos de seguridad de acceso a la red

La herramienta NAP está diseñada para ampliar la VPN empresarial. El proceso comienza cuando el cliente establece una sesión VPN con un servidor Windows 2008 que ejecuta el servicio de Enrutamiento y Acceso Remoto. Después de que el usuario establece una conexión, el Servidor de políticas de red verifica el estado del sistema remoto. Esto se logra comparando la configuración de la computadora remota con la política de acceso a la red definida por el administrador. Lo que suceda a continuación depende de lo que el administrador haya escrito en esta política.

El administrador tiene una opción para configurar una política de solo monitoreo o una política de aislamiento. Si solo está habilitada la política de monitoreo, cualquier usuario con los derechos correctos tendrá acceso a los recursos de la red, independientemente de si su computadora cumple o no con la política de seguridad corporativa. Aunque la política de monitoreo no prohíbe que ninguna computadora acceda a su red, el resultado de comparar la configuración de la computadora remota con los requisitos corporativos se registra en un registro especial.

En mi opinión, la política de seguimiento es la más adecuada para pasar a un entorno PAN. Piénselo por un segundo: si tiene usuarios remotos que necesitan acceder a recursos en su red corporativa para trabajar, probablemente no desee habilitar inicialmente NAP en modo aislado. Si decide hacer esto, es muy probable que ninguno de sus usuarios remotos pueda acceder a su red corporativa. En su lugar, puede configurar NAP para utilizar una política de supervisión. Esto le permitirá evaluar el impacto de sus políticas de acceso a la red sin impedir accidentalmente que alguien haga su trabajo. Después de esta prueba, puede habilitar la política en modo de aislamiento.

Como probablemente ya habrás adivinado, en el modo de aislamiento, las computadoras que no cumplen con las políticas de seguridad corporativas se colocan en un segmento de red que está aislado de los recursos de la red industrial. Por supuesto, esta es una afirmación muy general. Depende totalmente del administrador decidir qué hacer con un usuario cuyo ordenador no cumple con la política corporativa. Normalmente, un administrador concederá a los usuarios cuyas computadoras no cumplan con la política corporativa acceso al segmento de red aislado que mencioné anteriormente. El administrador también tiene la capacidad de restringir el acceso a un recurso o a todos los recursos de la red.

Quizás se pregunte qué beneficio puede haber al dar acceso a un segmento de red aislado a computadoras que no cumplen con los requisitos corporativos. Si una computadora no compatible se conecta a la red y la herramienta NAP se ejecuta en modo aislado, a esa computadora se le niega el acceso a la red industrial. Normalmente, esta cuarentena continúa mientras el usuario esté conectado a la red. Simplemente poner en cuarentena las computadoras que no cumplen con las políticas de la empresa ayuda a prevenir infecciones de virus o la explotación de agujeros de seguridad en su red, pero no bloquea gran parte de la experiencia del usuario. Después de todo, si un usuario no puede acceder a los recursos de la red, entonces no podrá hacer su trabajo.

Aquí es donde viene al rescate un segmento de red aislado. El administrador puede colocar un conjunto especial de actualizaciones y antivirus en este segmento aislado. Dichos recursos le permiten hacer que la computadora del usuario remoto cumpla con los requisitos de la empresa. Por ejemplo, dichos servidores pueden contener actualizaciones de software antivirus o de seguridad.

Es muy importante tener en cuenta que la herramienta NAP no contiene ningún mecanismo que pueda verificar el estado de la computadora remota y la instalación de actualizaciones en ella. Este ya será trabajo de los agentes del estado del sistema y de los validadores del estado del sistema. Se rumorea que estos componentes se integrarán en la próxima versión de SMS Server.

La implementación de la protección de acceso a la red requiere el uso de múltiples servidores, cada uno de los cuales desempeña una función específica. Puede ver cómo se vería una implementación tan simple en la Figura 1.

Foto 1: La implementación de la protección del acceso a la red requiere el uso de múltiples servidores

Como puede ver en el diagrama, un cliente de Windows Vista se conecta a un servidor Windows 2008 que ejecuta el Servicio de acceso remoto (RRAS). Este servidor funciona como un servidor. servidor vpn para la red. El cliente de Windows Vista establece una conexión con este servidor VPN de la forma habitual.

Cuando un usuario remoto se conecta al servidor VPN, el controlador de dominio verifica los derechos del usuario. Es responsabilidad del servidor de políticas de red determinar qué políticas deben habilitarse y qué sucede si el cliente remoto no tiene privilegios. En un entorno de prueba, debe utilizar un servidor físico para ejecutar las funciones del servicio de enrutamiento y acceso remoto y la función del servidor de políticas de red. En una situación real, los servidores VPN están ubicados a lo largo del perímetro de la red y colocar un servidor de políticas de red a lo largo del perímetro de la red es muy mala idea.

Controlador de dominio

Si observa el diagrama de la Figura A, verá que uno de los servidores requeridos es un controlador de dominio. No piense que se trata de un único servidor: se trata de toda la infraestructura de Active Directory. Como estoy seguro de que sabe, Active Directory no puede funcionar sin servidor DNS servidor. Es por eso que, si este diagrama fuera una descripción literal de una red real, entonces el controlador de dominio utilizaría servicios DNS para operar. Por supuesto, en una situación de la vida real, las organizaciones suelen utilizar varios controladores de dominio y DNS dedicados.

Otro factor a considerar, que puede no ser tan obvio en el diagrama, es que también se requieren certificados corporativos. En el caso de este diagrama, los servicios de certificados se pueden alojar fácilmente en un controlador de dominio. En una situación real, a menudo se utiliza un servidor especial para certificados, porque La naturaleza de los certificados digitales es muy sensible.

En caso de que se lo pregunte, el motivo por el que se necesita un certificado empresarial es porque el servidor VPN utiliza PEAP-MSCHAPv2 para la autenticación. Y el protocolo PEAP utiliza certificados para funcionar. El servidor VPN utilizará certificados de la máquina servidor, mientras que los clientes remotos utilizarán certificados de usuario.

Instalación de un certificado empresarial

El procedimiento para instalar un certificado empresarial puede diferir dependiendo de si está instalando servicios en un servidor Windows 2003 o en un servidor Windows 2008. Dado que uno de los propósitos al escribir este artículo fue presentarle el sistema operativo Windows 2008 Server, el siguiente procedimiento describirá la instalación de servicios de certificados para el sistema operativo Windows 2008 Server.

Antes de mostrarte cómo instalar servicios de certificados, debes recordar dos cosas. En primer lugar, el sistema operativo Windows 2008 Server aún se encuentra en fase de prueba beta. Por lo tanto, siempre existe la posibilidad de que lo que les estoy diciendo ahora cambie cuando se publique la versión final, aunque cambios muy grandes en esta etapa son muy indeseables.

Otra cosa que también hay que tener en cuenta es que se deben tomar medidas de emergencia para garantizar la seguridad de su certificado empresarial. Además de eso, si alguien se hace cargo de su certificado corporativo, se hará cargo de su red. Porque Dado que este artículo se centra en proteger el acceso a la red, le mostraré lo que debe hacer para que sus servicios de certificados estén en funcionamiento. En la práctica, hay que pensar mejor en la configuración del servidor.

Comencemos el proceso de instalación abriendo el administrador del servidor del sistema operativo Windows 2008 Server Manager y seleccionando la configuración Administrar roles en el árbol de la consola. A continuación, haga clic en el enlace Agregar roles, que se puede encontrar en la sección Resumen de roles en la consola. Como resultado de estas acciones, Windows iniciará el Asistente para agregar funciones. Haga clic en el botón Siguiente para omitir la ventana de bienvenida del asistente. Ahora verá una lista de todos los roles disponibles. Seleccione la opción Servidor de certificados de Active Directory de la lista. Los roles pueden no estar ubicados en orden alfabetico, así que si es necesario, desplázate hasta el final de la lista para encontrar el servicio que necesitas. Para continuar, haga clic en el botón Siguiente.

Luego verá una pantalla que presenta Servicios de certificados y algunas advertencias. Haga clic en el botón Siguiente para omitir esta pantalla e ir a otra ventana donde se le solicita que seleccione los componentes que desea instalar. Seleccione Autoridad de certificación así como Inscripción web de autoridad de certificación y luego haga clic en el botón Siguiente.

Luego verá una pantalla que le preguntará si desea crear un certificado empresarial o un certificado independiente. Seleccione la opción Autoridad de certificación empresarial y haga clic en el botón Siguiente. A continuación se le preguntará si este servidor actuará como CA raíz o como CA subordinada adicional. Porque es el primer (y único) certificado en su laboratorio, entonces debe seleccionar la opción CA raíz. Para continuar, haga clic en el botón Siguiente.

A continuación, el asistente le preguntará si desea crear una nueva clave privada o utilizar una clave privada existente. Porque es solo instalación de prueba, así que seleccione la opción para crear una nueva clave privada y haga clic en el botón Siguiente para continuar.

En la siguiente ventana, deberá seleccionar su proveedor de cifrado, la longitud de la clave y el algoritmo hash. En la práctica, conviene tener cuidado al elegir estas opciones. Porque Estamos creando este certificado solo con fines de demostración, así que deje todo como predeterminado y haga clic en el botón Siguiente.

En siguiente pantalla Podrás definir el nombre común así como el sufijo distintivo del certificado. Nuevamente, deja todo como predeterminado y haz clic en el botón Siguiente.

A continuación verás una ventana en la que deberás establecer el período de validez del certificado. Por defecto, este período es de 5 años, lo cual es excelente para nuestros propósitos, así que simplemente haga clic en el botón Siguiente. A continuación, se abrirá una ventana en la que deberás especificar dónde se ubicarán las bases de datos de certificados y sus correspondientes registros de transacciones. En un entorno industrial, esta elección debe hacerse con extrema precaución en términos de seguridad y tolerancia a fallos. Porque es solo laboratorio de pruebas, luego simplemente haga clic en el botón Siguiente.

Tareas de configuración básica

Antes de mostrarte cómo configurar este servidor para que actúe como servidor VPN, debes completar algunas tareas de configuración básicas. Básicamente, esto significa que debe instalar el sistema operativo Windows 2008 Server y configurarlo para usar una dirección IP estática. Esta dirección IP debe estar en el mismo intervalo en el que opera el controlador de dominio que configuramos anteriormente. El controlador de dominio que instaló anteriormente en este artículo debe especificarse como servidor DNS preferido en su configuración TCP/IP, porque También funciona como servidor DNS. Una vez que haya terminado con la configuración inicial del servidor VPN, debe usar el comando PING para verificar que el servidor VPN pueda comunicarse con el controlador de dominio.

Conexión a un dominio

Ahora que ha configurado la configuración TCP/IP de su computadora y ha verificado que se puede conectar, es hora de comenzar las tareas de configuración reales. Lo primero que debes hacer es conectar el servidor al dominio que creaste anteriormente en este artículo. El proceso para unirse a un dominio en el sistema operativo Windows 2008 Server es muy similar al mismo proceso en el sistema operativo Windows Server 2003. Haga clic. botón derecho del ratón en el comando Computadora, que se encuentra en el menú Inicio del servidor. Como resultado Acciones de Windows 2008 iniciará el subprograma del sistema desde el Panel de control. Ahora haga clic en el botón Cambiar configuración, que se encuentra en la sección Configuración de nombre de computadora, dominio y grupo de trabajo de esta ventana. Esto hará que aparezca la ventana Propiedades del sistema. La ventana Propiedades del sistema es muy similar a la de Windows Server 2003. Haga clic en el botón Cambiar para mostrar el cuadro de diálogo Cambios de nombre de computadora. Ahora seleccione el botón Dominio, que se encuentra en la sección Miembro de. Ingrese el nombre de su dominio en el campo Dominio y haga clic en el botón Aceptar.

Ahora aparecerá una ventana para ingresar sus derechos. Ingrese el nombre de usuario y la contraseña de la cuenta del administrador del dominio y haga clic en el botón Enviar. Después de una breve pausa, debería ver un cuadro de diálogo que le da la bienvenida al dominio. Haga clic en el botón Aceptar y verá otro cuadro de diálogo que le indicará que debe reiniciar su computadora. Haga clic en el botón Aceptar nuevamente y luego haga clic en el botón Cerrar. Después de reiniciar su computadora, se convertirá en miembro del dominio que especificó.

Configuración de enrutamiento y acceso remoto

Ahora es el momento de instalar el servicio de Enrutamiento y Acceso Remoto. Luego configuraremos este servicio para que nuestro servidor actúe como un servidor VPN. Comencemos el proceso iniciando el administrador del servidor. Puede encontrar un acceso directo para el Administrador del servidor en el menú Administración. Después de iniciar el administrador del servidor, vaya a la sección Resumen de funciones, que se puede encontrar en la ventana de detalles. Ahora haga clic en el enlace Agregar roles para iniciar el Asistente para agregar roles.

Después de iniciar el asistente, haga clic en el botón Siguiente para omitir la ventana de bienvenida. Ahora verá una ventana que le preguntará qué roles desea instalar en el servidor. Seleccione el enlace correspondiente a Servicios de acceso a la red. Haga clic en el botón Siguiente y verá una pantalla que es una introducción a los Servicios de acceso a la red. Haga clic en el botón Siguiente nuevamente y verá una pantalla donde puede seleccionar los componentes de Network Access Services que desea instalar. Marque las casillas correspondientes al Servidor de políticas de red y Servicios de enrutamiento y acceso remoto.

Si selecciona la casilla de Servicios de enrutamiento y acceso remoto, el Servicio de acceso remoto, el Servicio de enrutamiento y el Kit de administración de Connection Manager se seleccionan automáticamente. Debe dejar seleccionado el campo Servicio de acceso remoto porque junto con él se instalarán los componentes necesarios para que nuestro servidor funcione como servidor VPN. Los otros dos campos son opcionales. Si desea que el servidor actúe como un enrutador NAT o utilice protocolos de enrutamiento como proxy IGMP o RIP, también debe dejar seleccionado el campo Enrutamiento. De lo contrario, no podrá elegirlo.

Haga clic en el botón Siguiente y verá una pantalla que mostrará información general sobre los servicios que está a punto de instalar. Suponiendo que todo esté en orden, haga clic en el botón Instalar para comenzar el proceso de instalación. Nadie sabe cuánto tiempo llevará el proceso de instalación. versión definitiva Sistema operativo Windows 2008 Servidor. Sin embargo, en mi servidor de prueba, que ejecuta una versión beta del sistema operativo Windows 2008, el proceso de instalación tardó varios minutos. De hecho, existe la ilusión de que el servidor está bloqueado durante el proceso de instalación. Una vez que se complete el proceso de instalación, haga clic en el botón Cerrar.

Después de instalar los servicios de acceso a la red, debe configurar los servicios de enrutamiento y acceso remoto para que funcionen con conexiones VPN. Comience ingresando el comando MMC en el símbolo del sistema del servidor. Como resultado de esta acción, se abrirá una consola vacía. gestión de microsoft Consola de gestión. Seleccione el comando Agregar o quitar complemento en el menú Archivo. Windows mostrará una lista de complementos disponibles. Seleccione Complemento de enrutamiento y acceso remoto de la lista y haga clic en el botón Agregar y luego en el botón Aceptar. El complemento Enrutamiento y acceso remoto se cargará en la consola.

Haga clic derecho en el contenedor Estado del servidor (estado del servidor en la consola) y seleccione el comando Agregar servidor desde Menú de contexto. Luego seleccione la configuración Esta computadora y haga clic en el botón Aceptar. La consola ahora debería mostrar una lista para su servidor. Haga clic derecho en la lista del servidor y seleccione Configurar y habilitar enrutamiento y acceso remoto en el menú contextual. Como resultado, Windows iniciará el Asistente de configuración del servidor de enrutamiento y acceso remoto.

Haga clic en el botón Siguiente para omitir la pantalla de bienvenida del asistente. Ahora verá una pantalla que le preguntará qué configuración desea utilizar. Seleccione Acceso remoto (acceso telefónico o VPN) y haga clic en Siguiente. En la siguiente ventana puede elegir entre configurar el acceso telefónico o VPN. Seleccione el campo VPN y haga clic en el botón Siguiente.

Ahora el asistente abrirá una ventana frente a usted con Configuración de VPN conexiones. Seleccione la interfaz de red que los clientes usarán para conectarse al servidor VPN y desmarque la casilla junto a Habilitar seguridad en la interfaz seleccionada configurando filtros de paquetes estáticos. Haga clic en el botón Siguiente y luego seleccione la configuración Desde una dirección especificada y haga clic en el botón Siguiente nuevamente.

Después de esto, verá una ventana en la que deberá ingresar el rango de direcciones IP que se pueden asignar a los clientes VPN. Haga clic en el botón Nuevo e ingrese las direcciones inicial y final para el rango de direcciones IP. Haga clic en el botón Aceptar y luego en el botón Siguiente. Esto hará que Windows abra la ventana Administrar múltiples servidores de acceso remoto.

En el siguiente paso, debe seleccionar Sí para configurar el servidor para que funcione con el servidor Radius. Ahora deberá ingresar la dirección IP del servidor Radius. Porque NPS se ejecutará en la misma computadora en la que se ejecutan los servicios de enrutamiento y acceso remoto; simplemente ingrese la dirección IP de su servidor como las direcciones de servidor Radius primaria y secundaria. También deberá ingresar un secreto compartido. Para fines de demostración, simplemente ingrese rras como secreto compartido. Haga clic en el botón Siguiente y luego en el botón Finalizar. Ahora verá un par de mensajes de advertencia. Haga clic en el botón Aceptar para cerrar cada mensaje.

El último paso en el proceso de configuración de RRAS es configurar el esquema de autenticación. Para hacer esto, haga clic derecho en la lista de su servidor y seleccione el comando Propiedades en el menú contextual. Cuando vea la ventana de propiedades del servidor, vaya a la pestaña Seguridad. Ahora agregue EAP-MSCHAPv2 y PEAP en la sección Métodos de autenticación y haga clic en el botón Aceptar.

Validador de salud del sistema

La política de salud del sistema dicta lo que una computadora necesita para que su estado se considere normal y pueda conectarse a la red.

En el mundo real, la política de salud del sistema requiere que la estación de trabajo ejecute un sistema operativo que tenga instaladas las últimas actualizaciones de seguridad. Independientemente del criterio que elija para determinar si una estación de trabajo está en buen estado, necesitará trabajar un poco. Criterios Condicion normal varían mucho de una empresa a otra, por lo que Microsoft ha dejado vacío el mecanismo de comprobación de la normalidad del estado del sistema (al menos en la actual versión beta). Y si es así, deberá ajustar estos criterios a la normalidad del estado del sistema.

Para fines de demostración, crearé un verificador de estado del sistema muy simple que simplemente verifica si el firewall de Windows está habilitado. Si el firewall está conectado, asumiremos que el estado del sistema es normal.

Como mencioné anteriormente en este artículo, en el mundo real no debes alojar tu NPS en la misma computadora que tu servidor VPN. El servidor VPN está abierto al mundo exterior y alojar en él un servidor de políticas de red puede generar grandes problemas. No hay nada en el sistema operativo Windows que le impida usar el mismo servidor tanto para los componentes VPN como para los componentes del Servidor de políticas de red, por lo que para fines de demostración (y debido a limitaciones de hardware) usaré una y otra misma computadora para ambos. componentes.

Comenzaremos el proceso de configuración ingresando el comando MMC en el símbolo del sistema Ejecutar, lo que abrirá una Microsoft Management Console en blanco. Una vez que la consola esté abierta, seleccione Agregar o quitar complemento en el menú Archivo. Como resultado de esta acción, aparecerá en la pantalla el cuadro de diálogo Agregar o quitar complementos. Seleccione la opción Servidor de políticas de red de la lista de elementos disponibles y haga clic en el botón Agregar. Ahora verá una ventana en la que se le pedirá que seleccione qué computadora desea administrar: local o alguna otra. Asegúrese de que Computadora local esté seleccionada ( computadora local) y haga clic en el botón Aceptar. Haga clic en Aceptar nuevamente y se abrirá el componente del Servidor de políticas de red.

Después de esto, debes ir en el árbol de la consola a NPS (Local) | Protección de acceso a la red | Validadores de estado del sistema, que se muestra en la Figura 1. Ahora, haga clic derecho en Objeto de Windows Validadores de estado del sistema, que se pueden encontrar en la parte central de la consola, y seleccione el comando Propiedades en el menú contextual. Como resultado de esta acción, el ventana de ventanas Propiedades del validador de estado de seguridad, que se muestra en la Figura 2.

Figura 1: Navegue en el árbol de la consola hasta NPS (Local) | Protección de acceso a la red | Validadores de salud del sistema

Figura 2: Ventana Propiedades de Windows Las propiedades del validador de estado de seguridad se utilizan para configurar el control de estado del sistema.

En el cuadro de diálogo, haga clic en el botón Configurar, que abrirá el cuadro de diálogo Validador de estado de seguridad de Windows, que se muestra en la Figura 3. Como puede ver en la figura, este cuadro de diálogo le permite configurar parámetros para el control de estado de su sistema. política. De forma predeterminada, este cuadro de diálogo está configurado para requerir que el firewall de Windows esté conectado, que la actualización esté conectada Actualizacion de Windows, y también es necesario que en la estación de trabajo esté instalado un software antivirus y antispyware y que esté actualizado. Porque Solo nos interesa asegurarnos de que solo esté conectado el firewall de Windows, luego marque la casilla junto a Un firewall está habilitado para todas las conexiones de red (el firewall está habilitado para todas las conexiones de red) y desmarque todas las demás casillas. Haga clic en Aceptar dos veces para continuar.

Figura 3: Marque la casilla junto a Un firewall está habilitado para todas las conexiones de red y desmarque todas las demás casillas

Ahora que ha configurado la supervisión del estado del sistema, debe configurar una plantilla para la supervisión del estado del sistema. Las plantillas para monitorear el estado del sistema describen los resultados del monitoreo del estado del sistema. Normalmente, esto significa lo que sucederá como resultado de que se verifique que el cliente cumple las condiciones de verificación.

Para configurar plantillas para monitorear el estado del Servidor de políticas de red, haga clic derecho en el contenedor Plantilla del validador de estado del sistema y seleccione Nuevo en el menú contextual desplegable. Después de esto, aparecerá un cuadro de diálogo llamado Crear nueva plantilla SHV, que se muestra en la Figura 4.

Figura 4: Debe crear una nueva plantilla para monitorear el estado del sistema

Como puede ver en la imagen, en el cuadro de diálogo debe especificar un nombre para la nueva plantilla. Ingrese la palabra Cumplido en el campo Nombre. Ahora asegúrese de que el Cliente pasa todas las comprobaciones SHV esté seleccionado en la lista desplegable Tipo de plantilla. Marque la casilla al lado Sistema Windows Validador de salud y haga clic en el botón Aceptar.

Ahora hemos creado una plantilla que describe lo que se denomina conforme. Ahora debemos crear una segunda plantilla que describa el estado cuando no cumplimos las condiciones. Para hacer esto, haga clic derecho en el contenedor Plantillas del validador de estado del sistema y seleccione Nuevo en el menú contextual. Ahora deberías ver la misma pantalla en la que estabas trabajando hace un momento.

Esta vez el nombre de la plantilla será No conforme. Establezca el Tipo de plantilla en El cliente falla una o más comprobaciones SHV (el cliente no cumple una o más comprobaciones). Ahora marque la casilla junto a Validador de estado de seguridad de Windows y haga clic en el botón Aceptar. Si regresa a la consola principal de NPS y selecciona el contenedor Plantillas de validador de estado del sistema, podrá ver que en la ventana de la consola central se muestran tanto las plantillas conformes como las no conformes, como se muestra en la Figura 5.

Figura 5

Si regresa a la ventana principal de la consola del Servidor de políticas de red y selecciona el contenedor Plantillas de validador de estado del sistema, verá que tanto las plantillas compatibles como las no conformes se muestran en la ventana de la consola central.

Políticas de autorización sanitaria

Las políticas de autorización de estado son aquellas políticas que controlan lo que sucede si un cliente satisface las políticas de estado de la red, o lo que sucede si el sistema que solicita acceso a la red falla. Son estas políticas las que determinan qué nivel de acceso tendrá un cliente después de que se le permita ingresar a la red.

Comencemos el proceso abriendo la consola del Servidor de políticas de red si aún no está abierta y luego seleccionando el contenedor llamado Políticas de autorización. Después de esto, mire la ventana Detalles para ver si ya se han creado políticas de autorización. Mi sistema de prueba ya tenía cuatro políticas de autorización creadas previamente, pero quién sabe si estas políticas existirán en la versión final del sistema operativo Windows 2008 Server. Si tiene alguna política, elimínela haciendo clic derecho sobre ella y seleccionando Eliminar en el menú contextual desplegable.

Ahora que ha eliminado las políticas existentes anteriormente, puede comenzar a crear una nueva política de autorización. Para hacer esto, haga clic derecho en el contenedor Política de autorización y seleccione Nuevo | Comandos personalizados desde el menú contextual desplegable. Esto mostrará la tabla de propiedades para la nueva política de autorización, Nuevas propiedades de la política de autorización.

Lo primero que debes hacer es darle un nombre a la póliza. Llamemos a esto la política de acceso total compatible. Puede ingresar un nombre de política en el campo Nombre de política, que se encuentra en la pestaña Descripción general. Ahora, configure la opción para Otorgar acceso como se muestra en la Figura A. Configurar el tipo de política en Otorgar acceso no otorga a los usuarios acceso completo a la red. Todo esto significa que las solicitudes que entren dentro del alcance de esta política se enviarán para su posterior procesamiento.

Figura A Configuración del tipo de política para otorgar acceso (permitir acceso)

Ahora seleccione la pestaña Condiciones. Como sugiere el nombre, la pestaña Condiciones le permite especificar las condiciones que debe cumplir la computadora cliente para que se aplique la política. Gira la lista posibles condiciones a Protección de acceso a la red y luego seleccione la opción Plantillas SHV ubicada debajo. Después de esto, aparecerá la lista desplegable Plantillas existentes en la ventana de detalles. Seleccione la opción Cumple de la lista desplegable y haga clic en el botón Agregar. Las condiciones que se utilizan en esta ventana de política ahora mostrarán que el estado de Salud de la computadora es "Cumple", como se muestra en la Figura B. Esto significa que para estar cubiertos por esta política, las computadoras cliente deben cumplir con los criterios descritos en la política. Cumple, que creó en la parte anterior de este artículo. Más específicamente, esto significa que el Firewall de Windows debe estar habilitado en la computadora cliente.

Figura B Para calificar, las computadoras cliente deben cumplir con los requisitos descritos en la Política de cumplimiento que creamos en la parte anterior de este artículo.

Ahora seleccione la pestaña Configuración en la página de propiedades. La pestaña Configuración contiene varias configuraciones, que debe aplicarse a las computadoras para que cumplan las condiciones descritas anteriormente. Porque Esta política se aplicará a los equipos que cumplan con la política de seguridad de la red, luego debemos eliminar todas las restricciones de la configuración para que los equipos puedan acceder a la red.

Para hacer esto, vaya a Protección de acceso a la red | Aplicación del PAN. Ahora seleccione el botón No aplicar como se muestra en la Figura C. Esto evitará que las computadoras compatibles accedan a los recursos de la red.

Figura C NAP no debe aplicarse a computadoras que cumplan con los requisitos

Una vez que haya seleccionado la opción No aplicar, navegue en el árbol de la consola hasta Restricciones | Método de autentificación. Inmediatamente aparecerá un conjunto de campos en la ventana de detalles, cada uno de los cuales corresponde a un método de autenticación diferente. Continúe y desmarque todas las casillas, pero deje marcada la casilla EAP. Marque la casilla Métodos EAP y haga clic en el botón Agregar. Seleccione la opción Contraseña segura (EAP-MSCHAP v2) y haga clic en Aceptar dos veces para cerrar las distintas Cuadros de diálogo, que se abrirá durante el proceso. Haga clic en el botón Aceptar nuevamente para guardar la plantilla que creó.

Entonces, hemos creado una plantilla para las computadoras que cumplen las condiciones, ahora necesitamos crear una plantilla similar para las computadoras que no cumplen las condiciones. Para hacer esto, haga clic derecho en el contenedor Políticas de autorización en el árbol de la consola y seleccione Nuevo | Personalizado en el menú contextual desplegable. Como resultado, se abrirá la ya familiar ventana Nuevas propiedades de política de autorización.

Como en el caso anterior, lo primero que debemos hacer es introducir un nombre para la política que estamos creando. Llamemos a esta política no conforme-restringida. Aunque estamos creando una política restrictiva, aún debe seleccionar el tipo de política Conceder acceso. Tenga en cuenta que esto no garantiza el acceso a la red, sino que permite que continúe el procesamiento de la política.

Ahora seleccione la pestaña Condiciones. Cuando creamos la política de autorización para computadoras que cumplen condiciones, creamos una condición que requería que la computadora cumpliera con los requisitos de la plantilla compatible que creamos en el artículo anterior. Porque Esta política es para computadoras que no cumplen con las condiciones, luego debe asegurarse de que la configuración de la computadora cliente cumpla con las condiciones descritas en la plantilla No compatible. Específicamente, esto significa que el Firewall de Windows está desactivado en la computadora cliente.

Seleccionar de la lista condiciones disponibles Protección de acceso a la red y luego seleccione el contenedor Plantillas SHV. Seleccione la opción No conforme de la lista de plantillas existentes y luego haga clic en el botón Agregar.

A continuación, seleccione la pestaña Configuración y navegue hasta Restricciones | Método de autentificación. En la ventana de detalles, puede ver un conjunto de campos, cada uno de los cuales corresponde a un método de autenticación específico. Desmarque todas las casillas, pero deje marcada la casilla EAP. Marque la casilla Métodos EAP y luego haga clic en el botón Agregar. Seleccione la opción Contraseña segura (EAP-MSCHAP v2) y haga clic en Aceptar dos veces para cerrar todos los cuadros de diálogo innecesarios.

Entonces, todo lo que hicimos para la política para las computadoras que no cumplen con las condiciones fue exactamente idéntica a la política que creamos para las computadoras que cumplen con las condiciones, excepto por especificar una plantilla SHV diferente. Si dejamos esta política como está ahora, los equipos que no cumplan las condiciones también podrán acceder a la red. Porque Si no queremos que esto suceda, debemos utilizar el refuerzo NAP para denegar el acceso a la red.

Para hacer esto, seleccione el contenedor NAP Enforcement, que se puede encontrar en la lista Configuración disponible. Luego podrá ver varias configuraciones en la ventana Detalles. Seleccione la configuración Aplicar y luego marque la casilla Actualizar equipos no compatibles automáticamente, como se muestra en la Figura D. Haga clic en Aceptar para guardar la política que creó.

Figura D Debes fortalecer Protección NAP para ordenadores que no cumplen las condiciones

política de autenticación predeterminada

En el artículo anterior de esta serie, le mostré cómo crear políticas de autorización tanto para una computadora que cumple con una política de seguridad como para una computadora que no la cumple. En este artículo, completaremos el procedimiento de configuración del servidor. Para hacer esto, en la primera etapa necesita crear una política de autenticación predeterminada, que se puede aplicar en cualquier máquina que se autentique en el servidor RRAS.

Comencemos el proceso abriendo la consola del Servidor de políticas de red y yendo a NPS (Local) | Procesamiento de autenticación | Políticas de autenticación. Después de esto, la ventana mostrará todas las políticas de autenticación existentes anteriormente. Seleccione las políticas preexistentes, haga clic derecho sobre ellas y luego seleccione el comando Eliminar en el menú contextual.

Ahora es el momento de crear una política de autenticación predeterminada. Para hacer esto, haga clic en el enlace Nuevo, que se encuentra en la ventana Acciones, y seleccione la opción Personalizado. Windows mostrará la ventana de propiedades de Nueva política de autenticación, que se puede ver en la Figura A.

Figura A: Ingrese RRAS como nombre de la política y luego confíe en que la política esté conectada

Ingrese RRAS como nombre de la política y luego asegúrese de que la casilla Política habilitada esté marcada. A continuación, asegúrese de que el botón Fuentes disponibles esté seleccionado y luego seleccione la configuración Servidor de acceso remoto (VPN-Dialup) en la lista desplegable Fuentes disponibles.

Ahora, vaya a la pestaña Configuración y seleccione el contenedor de Autenticación en el árbol de la consola. Ahora marque la casilla Anular la configuración de autenticación de la política de autorización. Después de esto, aparecerá una variedad de métodos de autenticación en la ventana, como se muestra en la Figura B. Seleccione el campo EAP y luego haga clic en el botón Métodos EAP.

Figura B: Seleccione el campo EAP y haga clic en el botón Métodos EAP

Windows ahora mostrará el cuadro de diálogo Seleccionar proveedores EAP. Haga clic en el botón Agregar para abrir una lista de métodos de autenticación EAP. Seleccione EAP-MSCHAPv2 y EAP protegido (PEAP) de la lista y haga clic en el botón Aceptar. Los métodos de autenticación EAP seleccionados deberían aparecer en el cuadro de diálogo Seleccionar proveedores EAP, como se muestra en la Figura C. Haga clic en Aceptar para continuar.

Figura C: Debe habilitar la autenticación MSCHAPv2 y PEAP

Ahora vaya a la pestaña Condiciones. Debe seleccionar al menos una condición que debe cumplirse para que se aplique la política. Puede establecer cualquier condición que desee, pero recomiendo ir al árbol de la consola a Propiedades de conexión | Tipo de túnel y marque los campos Protocolo de túnel punto a punto y Protocolo de túnel de capa dos y luego haga clic en el botón Agregar. Esto aplicará la nueva política de autenticación a Conexiones VPN m. Haga clic en el botón Aceptar para guardar la nueva política de autenticación que acaba de crear.

Política de configuración del cliente RADIUS

Con este tipo de instalación, el Servidor de políticas de red funciona como un servidor RADIUS. A diferencia de los clientes que realizan autenticación RADIUS directa en el servidor de políticas de red, un servidor RRAS que se ejecuta como servidor VPN se ejecutará como cliente RADIUS.

El último paso en el proceso de configuración del servidor es proporcionar al Servidor de políticas de red una lista de clientes RADIUS autorizados. Porque el unico cliente RADIUS será el servidor VPN, luego simplemente ingrese la dirección IP del servidor VPN. Porque Los servicios RRAS se ejecutan en el mismo servidor fisico, como Servicios de política de red, simplemente use la dirección IP del servidor.

Para crear una política de configuración de cliente RADIUS, navegue en el árbol de la consola del servidor de políticas de red hasta NPS (local) | Clientes RADIUS. Luego haga clic en el enlace Nuevo cliente RADIUS, que se puede encontrar en la ventana Acciones. Windows iniciará el Asistente para nuevo cliente RADIUS.

En la primera ventana del asistente, deberá especificar un nombre y una dirección IP para el nuevo cliente RADIUS. Al realizar la instalación en condiciones reales, debe ingresar RRAS como nombre y también ingresar la dirección IP del servidor RRAS en el campo de dirección IP. Como recordará, estamos utilizando un entorno de prueba y RRAS se ejecuta en el mismo servidor que los Servicios de política de red. Por lo tanto, ingrese la dirección IP del servidor en el campo correspondiente y haga clic en el botón Siguiente.

Después de esto, aparecerá la ventana de Información adicional. En esta ventana deberá especificar el proveedor del cliente y el secreto compartido. Seleccione RADIUS Standard como proveedor del cliente. A los efectos de este artículo, puede mantener RRASS como un secreto compartido. Marque la casilla El cliente tiene capacidad NAP como se muestra en la Figura D y haga clic en el botón Finalizar. ¡Finalmente has configurado tu servidor de políticas de red!

Figura D: Ingrese el secreto compartido y marque la casilla El cliente tiene capacidad NAP

Configuración del cliente

Ahora que hemos terminado de configurar el Servidor de políticas de red, es hora de continuar con la configuración del cliente para conectarse al servidor. Recuerda que esta técnica que te voy a contar sólo funciona en clientes que estén ejecutando el sistema operativo Windows Vista.

Para los propósitos de este artículo, asumiré que la computadora del cliente ejecuta Windows Vista y que tiene una dirección IP estática. Como sabes, Windows Vista está diseñado para funcionar con IPv6 de forma predeterminada. La herramienta de protección de acceso a la red debería, en última instancia, admitir IPv6, pero... El sistema operativo Windows Windows 2008 Server aún se encuentra en fase de pruebas; actualmente, IPv6 no es compatible con la protección del acceso a la red. Por lo tanto, debes desactivar IPv6 en la configuración de red de tu computadora. Cuando se lance el sistema operativo Windows 2008 Server, tengo la intención de escribir una actualización de esta serie de artículos dirigida al uso de IPv6 y todo lo que ha cambiado desde entonces. versión de prueba.

La computadora cliente también debe ser miembro del dominio que contiene el Servidor de políticas de red. Además, el dominio debe contener una cuenta de usuario que pueda utilizar para iniciar sesión en el servidor de enrutamiento y acceso remoto que creó.

Ahora creemos una conexión de red privada virtual que eventualmente podrá usar para probar el servidor de protección de acceso. Red Servidor de protección de acceso. Para hacer esto, abra el Panel de control y haga clic en el enlace Red e Internet, y luego en el enlace Centro de redes. Después de iniciar Network Center, haga clic en el enlace Configurar una conexión o red. Aparecerá una ventana en la que deberás especificar el tipo de conexión que deseas crear. Seleccione la configuración Conectarse a un lugar de trabajo y haga clic en el botón Siguiente.

Seleccione la opción para conectarse usando una VPN y se le pedirá que ingrese una dirección de Internet y un nombre de destino. Debe ingresar la dirección IP del servidor RRAS en el campo Dirección de Internet. Puede ingresar cualquier nombre en el campo Nombre de destino. Marque la casilla Permitir que otras personas utilicen esta conexión y haga clic en el botón Siguiente. Ahora debe proporcionar un nombre de usuario y contraseña para el usuario que tiene permiso para iniciar sesión en el servidor RRAS, así como el nombre del dominio en el que va a iniciar sesión.

Haga clic en el botón Conectar y Vista intentará conectarse a su servidor RRAS. Lo más probable es que la conexión no se produzca. Si recibe un mensaje que dice que el asistente no puede conectarse a su estación de trabajo, haga clic en el ícono Configurar una conexión de todos modos. Esto guardará su configuración para que podamos terminar de configurarla más adelante en el próximo artículo de esta serie.

Conexión VPN a un cliente que ejecuta Windows Vista

Comencemos el proceso de configuración iniciando el Panel de control y haciendo clic en el enlace Red e Internet, y luego en el enlace Centro de redes y recursos compartidos. Cuando se abra la ventana del Centro de redes y recursos compartidos, haga clic en el enlace Administrar conexiones de red. Debería ver una ventana que muestra todas sus conexiones de red, así como la conexión VPN que creó en la última parte de este artículo.

Haga clic derecho en la conexión VPN y seleccione Propiedades en el menú emergente. Después de esto, aparecerá la ventana de propiedades de conexión. Vaya a la pestaña Seguridad y seleccione el botón de opción Avanzado (Configuración personalizada), como se muestra en la Figura A.

Figura A: Debe configurar su conexión para usar la configuración de seguridad avanzada (Configuración personalizada)

Ahora haga clic en el botón Configuración para mostrar el cuadro de diálogo Configuración de seguridad avanzada. Porque Ya hemos configurado la conexión VPN para usar un protocolo abierto para la autenticación (Protocolo de autenticación extensible), luego debe seleccionar el botón de opción Usar protocolo de autenticación extensible (EAP). Después de esto, la lista desplegable ubicada debajo de este botón de opción se activará. Seleccione EAP protegido (PEAP) (cifrado habilitado) como se muestra en la Figura B.

Figura B: Debe configurar la seguridad de su conexión VPN y utilizar Protección EAP (PEAP) (Cifrado habilitado)

Ahora haga clic en el botón Propiedades para abrir el cuadro de diálogo Propiedades de EAP protegido. Marque la casilla Validar certificado de servidor y desmarque la casilla Conectarse a estos servidores. También debe seleccionar Contraseña segura (EAP-MSCHAP V2) en la lista desplegable Seleccionar método de autenticación. Finalmente, desmarque la casilla Habilitar reconexión rápida y marque la casilla Habilitar comprobaciones de cuarentena, como se muestra en la Figura C.

Figura C: La página Propiedades de EAP protegido le permite configurar los ajustes para el Protocolo de autenticación extensible.

Después de eso, haga clic en el botón Aceptar en cada cuadro de diálogo abierto para cerrarlos. Ahora ha configurado su conexión VPN para satisfacer requisitos necesarios. Pero aún no todo está hecho. Para que la Protección de acceso a la red comience a funcionar, debe asegurarse de que el servicio de Protección de acceso a la red se inicie automáticamente. De forma predeterminada, en Windows Vista, todos los servicios están configurados para iniciarse manualmente, por lo que debe cambiar la forma en que inicia este servicio.

Para hacer esto, abra el Panel de control y haga clic en el enlace Sistema y mantenimiento, y luego en el enlace Herramientas administrativas. Ahora verá una lista de varias herramientas administrativas. Haga doble clic en el icono Servicios para abrir el Administrador de control de servicios.

Busque el servicio Agente de protección de acceso a la red en la lista de servicios. Haga doble clic en este servicio y luego cambie el tipo de inicio a Automático y haga clic en el botón Aceptar. Tenga en cuenta que cambiar el tipo de inicio del servicio a Automático no iniciará el servicio. Esto sólo garantiza que este servicio se iniciará automáticamente después de reiniciar la computadora. Sin embargo, puede iniciar servicios sin reiniciar haciendo clic derecho en el servicio y seleccionando Iniciar en el menú contextual. Si tiene problemas para iniciar el servicio, verifique que el servicio de llamada a procedimiento remoto (RPC) y el servicio DCOM Server Process Launcher se estén ejecutando. El servicio del Agente de protección de acceso a la red no puede funcionar sin estos servicios de soporte.

Comprobación de la protección de acceso a la red

Lo creas o no, finalmente hemos terminado de configurar la Protección de acceso a la red. Ahora es el momento de ejecutar algunas pruebas sencillas para asegurarnos de que todo funciona como queremos.

Como recordarás, cambiamos la configuración de nuestro servidor de políticas de red para que los equipos que no cumplan con la política sean corregidos automáticamente. También configuramos nuestro servidor de políticas de red para que el único criterio fuera que el firewall de Windows estuviera habilitado. Por lo tanto, debe desactivar el firewall en máquina cliente y luego conéctese al servidor de políticas de red que utiliza la conexión VPN que creó. Después de esto, el firewall en la máquina cliente debería habilitarse automáticamente.

Comencemos deshabilitando el firewall en la computadora cliente. Para hacer esto, abra el Panel de control y haga clic en Enlace de seguridad(seguridad). Ahora seleccione el enlace Firewall de Windows para abrir el cuadro de diálogo Firewall de Windows. Suponiendo que el Firewall de Windows ya se está ejecutando, haga clic en el enlace Activar o desactivar el Firewall de Windows. Ahora verá un cuadro de diálogo que le permitirá habilitar o deshabilitar el firewall. Seleccione el botón de opción Desactivado (no recomendado) como se muestra en la Figura D y haga clic en el botón Aceptar. El firewall de Windows ahora debería estar desactivado.

Figura D: Seleccione el botón de opción Desactivado (no recomendado) y haga clic en el botón Aceptar para desactivar el firewall de Windows.

Ahora que ha desactivado el Firewall de Windows, necesita establecer una conexión VPN con su servidor RRAS/NAP. Para hacer esto, abra el Panel de control y haga clic en el enlace Red e Internet, y luego en el enlace Centro de redes y recursos compartidos. Cuando se abra la ventana del Centro de redes y recursos compartidos, haga clic en el enlace Administrar conexiones de red. Ahora deberías ver una lista conexiones locales su estación de trabajo y las conexiones VPN existentes.

Haga doble clic en la conexión VPN que creó y luego haga clic en el botón Conectar. Deberá ingresar su nombre de usuario, contraseña y nombre de dominio. Haga clic en el botón Aceptar después de ingresar esta información y se establecerá una conexión a su servidor VPN/NAP.

Después de un breve período de tiempo después de establecer las conexiones, debería ver el siguiente mensaje en la pantalla:

Esta computadora no cumple con los requisitos de red corporativa. El acceso a la red es limitado (esta computadora no cumple con los requisitos de la red corporativa. El acceso a la red es limitado).

Puede ver este mensaje en la Figura E.

Figura E: Si el firewall está deshabilitado, debería ver este mensaje después de establecer una conexión VPN

Inmediatamente después de esto, verá que el ícono del Firewall de Windows cambia para indicar que el firewall está habilitado. Una vez que esto suceda, verá otro mensaje:

Esta computadora cumple con los requisitos de la red corporativa. Tiene acceso completo a la red (esta computadora cumple con los requisitos de la red corporativa. Tiene acceso completo a la red).

Puede ver este mensaje en la Figura F.

Figura F: Cuando el servidor NAP se conecta al Firewall de Windows, aparecerá este mensaje

El mensaje que se muestra en la Figura F también aparecerá cuando su computadora totalmente compatible con la empresa se conecte a un servidor NAP mediante una conexión VPN.

Brian Posey

Tecnología de protección de red acceso Microsoft La Protección de acceso a la red (NAP) está integrada en los sistemas operativos cliente Windows Longhorn Server y Windows Vista y amplía la funcionalidad del servicio Network Access Quarantine Control en Windows Server 2003. Esta tecnología permite a los administradores verificar el estado de todos los clientes (no solo los persistentes). remotos) conectados a los ordenadores de la red de acuerdo con los requisitos de la política de seguridad aceptada.

Los vehículos que no cumplan ciertos requisitos serán enviados a red ad hoc con acceso limitado, donde pueden suministrar a sus sistemas lo que necesitan para el nivel requerido recursos coincidentes.

A continuación se presentan 10 datos clave que necesita saber antes de implementar NAP en su red.

NAP - función adicional

NAP no llena el nicho de los mecanismos de seguridad de red, como firewalls, aplicaciones antimalware y sistemas de detección de intrusos. Esta tecnología no es en modo alguno capaz de prevenir Acceso no autorizado a la red. En cambio, ayuda a proteger las computadoras conectadas a la red cuya seguridad y configuración dejan mucho que desear frente a ataques y malware.

NAP puede operar en modo de monitoreo o en modo de aislamiento

En el modo de monitoreo, los usuarios autorizados tienen acceso a la red incluso si sus sistemas no cumplen con los requisitos de seguridad. A estas máquinas se les asigna el estado apropiado y los administradores pueden dar a los usuarios instrucciones necesarias. En modo de aislamiento, las computadoras que no cumplen con los requisitos de seguridad se transfieren a una red de cuarentena especial, donde pueden instalar todos los recursos que faltan para su aprobación.

Puede seleccionar criterios coincidentes

Los criterios de elegibilidad incluyen tener habilitadas las actualizaciones, parches y los últimos parches de seguridad, programas antivirus y antispyware, firewalls y actualizaciones automáticas de Windows. Puede configurar estos criterios utilizando la herramienta de evaluación del estado del sistema basada en servidor System Health Validator (SHV).

El servidor NAP debe estar integrado en Windows Longhorn Server

El servidor NAP es el Servidor de políticas de red (NPS). NPS reemplazará el Servicio de autenticación de Internet (IAS) de Longhorn, que es parte de ventanas Server 2003 y es responsable de la autenticación y autorización. NAP incluye el Servidor de administración NAP y el Servidor de cumplimiento de NAP. El componente System Health Validator (SHV) se ejecuta en el servidor.

NAP requiere que las computadoras cliente tengan una aplicación cliente NAP

Los clientes NAP para Windows Vista y Windows XP deberían estar disponibles con el lanzamiento de Windows Longhorn Server. El System Health Agent (SHA) se ejecuta en los sistemas cliente. Si las máquinas de su red ejecutan sistemas operativos que no admiten NAP, puede agregarlas a la lista de excepciones para permitirles continuar trabajando en la red. Si no se hace esto, las computadoras que no admiten NAP solo podrán acceder a una red de cuarentena especial.

SHA presenta una Declaración de Salud (SoH) basada en el estado del sistema cliente

La aplicación NAP agrega SoH a SHV. El SHV se conecta al servidor de políticas y determina si el estado del sistema cliente descrito en el SoH cumple con los requisitos de la política adoptada. En caso afirmativo, la computadora obtiene acceso completo a los recursos de la red. De lo contrario (en modo de aislamiento), la computadora solo obtiene acceso a la red de cuarentena, donde servidores de corrección especiales (servidores de remediación) contienen todas las actualizaciones y programas necesarios que se requieren para recibir. Acceso completo.

Uso de certificados sanitarios para agilizar el proceso de verificación

Para que un servidor Longhorn actúe como CA y emita certificados de estado, se deben instalar Internet Information Services (IIS) y Certificate Services. Esta computadora se llamará servidor de la Autoridad de Registro Sanitario (HRA). El cliente NAP enviará la declaración SoH al servidor HRA, que a su vez la enviará al servidor NPS. El servidor NPS se comunicará con el servidor de políticas para verificar el SoH. Si la verificación es exitosa, el servidor HRA emitirá al cliente un certificado de salud, que luego podrá ser utilizado para la identificación por protocolo IPSec.

Cuatro mecanismos de restricción de acceso al PAN

La aplicación de IPSec utiliza un servidor HRA y certificados X.509. La aplicación de 802.1x utiliza el componente EAPHost NAP EC para verificar que los clientes se conectan a través de un punto de acceso 802.1x (podría ser un punto de acceso inalámbrico o un conmutador Ethernet). Los perfiles restringidos pueden consistir en un conjunto de filtros IP o ID de VLAN diseñados para dirigir una computadora a una red de cuarentena. Para las restricciones de ID de VPN (aplicación de VPN), se utilizan servidores VPN cuando se intenta conectarse a través de una red privada virtual. La aplicación de DHCP utiliza servidores DHCP cuando una computadora intenta alquilar o renovar una dirección IP en la red. Puede utilizar uno o todos los métodos de restricción de acceso.

El acceso está limitado solo a aquellas computadoras que están conectadas a la red utilizando uno de los métodos descritos anteriormente.

La aplicación de DHCP es el método más simple y costoso de restringir el acceso porque todas las computadoras cliente DHCP tendrán que arrendar direcciones IP (excepto aquellas máquinas a las que se les asignan direcciones estáticas). Pero el método más fiable es la restricción de IPSec. Incluso con acceso limitado, la computadora puede conectarse a servidores DNS y DHCP, así como a servidores de corrección. También puedes alojar servidores DNS adicionales o incluirlos en una red de cuarentena de acceso limitado en lugar de los principales.

NAP es diferente del control de cuarentena de acceso a la red en Windows Server 2003

NAP se puede aplicar a absolutamente todo, no sólo a los sistemas remotos conectados a la red. Es decir, usando NAP puedes verificar y administrar el estado tanto de las computadoras portátiles que se conectan temporalmente a la red como de la local. sistemas de escritorio. NAP es fácil de implementar porque, a diferencia de NAQC, no requiere codificación personalizada ni configuración manual mediante herramientas de línea de comandos para su implementación. Además fabricantes de terceros El software puede utilizar la interfaz NAP para crear componentes de restricción de acceso a la red y verificación del estado del sistema compatibles con NAP. NAP y NAQC se pueden utilizar simultáneamente, pero en la mayoría de los casos NAP reemplazará exitosamente a NAQC.