IMPLEMENTAR UNA SOLUCIÓN NAP

Requisitos previos y objetivos

1. Requisitos previos

Tener nociones acerca de la administración de una red informática.

2. Objetivos

Implementación de NAP.

Administración y resolución de errores de la solución.

Introducción
Muchos ataques provienen del interior, por lo que es necesario implementar políticas de
seguridad (contraseña…). Los equipos portátiles pueden suponer grandes problemas. En
efecto, tienen la posibilidad de conectarse a otras redes, por lo que puede producirse una
posible contaminación. Tras la conexión del equipo a la red de la empresa, la
contaminación se expande rápidamente en el conjunto de la red. Es, por tanto, necesario
validar el estado de salud de los equipos antes de aceptar su acceso a la red.

NAP (Network Access Protection) permite implementar directivas que deben respetar
los distintos equipos para poder acceder a la red de la empresa.

Visión general de la solución NAP

NAP está integrado en los sistemas operativos desde Windows XP SP3. Permite
implementar protecciones a nivel de los recursos de red. Comprueba el estado de salud
de los equipos que desean acceder a la red y ofrece, también, la posibilidad de
actualizarse con el objetivo de respetar las condiciones definidas por el administrador.
Si un equipo respeta las condiciones de seguridad impuestas, tendrá un acceso completo
a la red. Esta solución no se hace para protegerse de los piratas informáticos u otros
problemas similares sino para comprobar el estado de salud de los equipos.

En caso de querer utilizar NAP con un servidor DHCP el usuario puede, si pasa a un
direccionamiento estático, cortocircuitar NAP. Éste deja de utilizarse en tal caso.

1. Forma de aplicar NAP

La solución NAP permite gestionar la mayoría de equipos que pueden encontrarse en la

empresa:

 Ordenador portátil
 Equipo de sobremesa
  Ordenador no administrado por la empresa (perteneciente a una persona ajena a
la empresa)

El ordenador portátil presenta un riesgo mucho más importante, pues se conecta a redes
externas. Si se conecta esporádicamente a la red de la empresa, puede que no alcance a
recuperar los parches y actualizaciones emitidos por el servidor WSUS. Es muy
importante asegurar el estado de salud de este tipo de equipos.

Mucho menos problemáticos son los equipos de sobremesa que, a su vez, pueden no
respetar las condiciones de seguridad (equipos que se encienden tras varios meses de
inactividad, imagen restaurada en un equipo…). Es, por tanto, posible implementar
NAP para este tipo de equipos.

Por último, los equipos no administrados en la empresa suponen problemas. Es

frecuente recibir consultores o personas externas a la organización. Estas personas
pueden necesitar conectarse a Internet, y el acceso se ofrece, a menudo, a través de
redes Wi-Fi. Esto supone que el equipo (y todo lo que pueda contener) tendría acceso a
la red de producción. La implementación del servidor NAP permite limitar el acceso de
estos equipos a la red de Internet únicamente. Los equipos internos a la empresa y que
respeten las condiciones de seguridad tendrán, por su parte, un acceso completo.

El cliente de cumplimiento envía el estado de salud de un equipo al servidor de

cumplimiento presente en el servidor NAP.

Existen varios niveles de cumplimiento:

 Cumplimiento NAP para comunicaciones IPsec: permite restringir la

comunicación únicamente a los equipos que cumplen con las condiciones.
 Cumplimiento NAP para 802.1x para conexiones con cable o inalámbricas:
solo aquellos equipos que cumplan con las condiciones tendrán un acceso
limitado al cliente RADIUS (switch, punto de acceso Wi-Fi…).
 Cumplimiento NAP para VPN para los accesos VPN: el equipo debe cumplir
para poder obtener un acceso limitado mediante una conexión VPN.
 Cumplimiento NAP para DirectAccess: para poder conectase a la red de la
empresa mediante un servidor DirectAccess es necesario que el equipo cumpla
con las condiciones.
 Cumplimiento NAP para DHCP para la configuración de direcciones: solo
aquellos equipos que cumplan las condiciones recibirán un contrato DHCP que
les permitirá tener un acceso completo a la red de la empresa.

2. Arquitectura de la plataforma NAP

Una arquitectura NAP contiene varios componentes. El cliente NAP está presente en
cada puesto o servidor, y permite la comunicación con el servidor NAP para validar el
acceso a la red en función del cumplimiento de cada puesto. Encontramos, a su vez,
algunas restricciones a este examen de conformidad, se trata de servidores que requieren
una validación antes de poder tener o no acceso. Entre estos servidores podemos
encontrar DHCP, VPN, DirectAccess… No es obligatorio contar con un controlador de
dominio Active Directory en la etapa de validación de la conformidad, aunque es
indispensable para conexiones de tipo VPN o 802.1x.
Por último, la arquitectura NAP está compuesta por una red restringida (o red de
cuarentena). Esta red puede ser de tipo lógico o físico. Contiene servidores de
actualización que permiten a los equipos declarados como no conformes corregir el
problema (antivirus no actualizado, por ejemplo).

Proceso de aplicación de NAP

Una restricción de conformidad puede considerarse como un paso por aduana: si los
papeles no están en regla, es imposible entrar en un país extranjero. Ocurre de forma
similar con las directivas de mantenimiento: para poder acceder a la red, el equipo debe
mostrar su conformidad e integridad para probar que cumple con la directiva de
mantenimiento. El acceso puede denegarse o autorizarse parcialmente hasta que se
comprueba la conformidad del equipo.

1. Implementar IPsec con NAP

Hemos visto más arriba cómo es preciso que el equipo esté conforme para que pueda
comunicarse con otros equipos. Este tipo de restricción está compuesta por una
autoridad HRA que ejecute Windows Server 2012 o superior así como un cliente de
cumplimiento que ejecute, como mínimo, Windows Server 2003.
La autoridad HRA tiene como objetivo emitir certificados de tipo X509 cuando el
equipo se considera conforme. Si el equipo no cumple, se rechazan sus intentos de
comunicación. Este método es, no obstante, algo más complejo puesto que invoca a una
autoridad HRA y a una entidad emisora de certificados. Se aplican a las comunicaciones
IPv4 e IPv6, por lo que es difícil esquivarlas.

2. 802.1x con NAP

Este tipo de restricción de cumplimiento permite filtrar equipos que se conectan a un

cliente RADIUS (switch, punto de acceso Wi-Fi…). Para los equipos no conformes es
posible implementar un filtro de paquetes IP o redirigir a los equipos a una VLAN de
cuarentena. Es, no obstante, preciso asegurar que los switches o puntos de acceso Wi-Fi
afectados son compatibles con la autenticación 802.1x. Este tipo de implementación
resulta muy segura puesto que es difícil, para un equipo que se pone en cuarentena, (en
una VLAN aparte), salir si no está conforme.

Configurando esta restricción de cumplimiento para los switches y puntos de acceso

Wi-Fi, el conjunto de equipos, fijos y portátiles, se ven afectados.

3. Implementar NAP con un servidor VPN

Cuando un usuario se conecta mediante VPN se utiliza la directiva de cumplimiento

para el servidor VPN. Este tipo de restricción utiliza un conjunto de filtros de paquetes
IP, lo que permite limitar el tráfico de los clientes. De este modo, los equipos pueden
conectarse únicamente con aquellos recursos contenidos en la red restringida. Los
paquetes que no superen este filtro se eliminarán automáticamente.

4. Uso de NAP para DHCP

NAP interviene cuando se produce la asignación o renovación de una configuración IP.

Si el equipo resulta no conforme, el servidor DHCP renueva automáticamente el
contrato DHCP del equipo para ubicarlo en una red restringida. Resulta útil configurar
las interfaces de red del servidor NAP de manera estática. Para poder actualizarse, el
equipo recibe una lista de hosts que apuntan a los servidores alojados en la red
restringida. De este modo, el protocolo TCP/IP devuelve un error si alguna aplicación
instalada en el equipo intenta enviar una trama Unicast distinta a las permitidas
mediante las rutas estáticas.

No es posible utilizar el método de cumplimiento por DHCP en clientes IPv6.

Verificación del cumplimiento

La verificación del cumplimiento se asegura mediante dos componentes de NAP, los
agentes de mantenimiento del sistema y los validadores de mantenimiento del sistema.
De este modo, el servidor NAP recibe por parte del cliente un estado de cumplimiento,
el cual se compara con el estado de cumplimiento requerido. A continuación, el servidor
NAP envía la respuesta al cliente y le pide actualizar alguno de sus componentes
(antivirus, por ejemplo) si fuera necesario.
Una directiva de mantenimiento está compuesta por uno o varios validadores de
mantenimiento del sistema. Esto permite definir los criterios necesarios para que un
equipo se considere como conforme. Si el equipo no responde a los criterios definidos
en la directiva, el servidor puede decidir realizar distintas operaciones. Puede rechazar
la solicitud de conexión, ubicar al equipo en una red restringida o autorizar al equipo a
pesar de su estado de incumplimiento.

Si se ubica en una red restringida, el equipo podrá acceder a un grupo de servidores. Se

trata de un listado de servidores presentes en la red restringida. Estos servidores
permiten realizar la actualización de los equipos que no cumplen con las condiciones.
De este modo, estos servidores contienen los recursos que necesita el agente NAP para
realizar las actualizaciones adecuadas (definición del antivirus, por ejemplo).

Supervisión y mantenimiento del

servidor NAP
La supervisión y el mantenimiento son aspectos muy importantes en la implementación
de una solución NAP. Estas operaciones permiten asegurar el correcto funcionamiento
de la funcionalidad.

El seguimiento NAP se habilita mediante la consola Configuración del cliente de

NAP. Esta operación consiste en registrar los eventos NAP en un archivo de log. Es
posible configurar tres niveles: Básico, Avanzado o Depuración.

Para ello podemos utilizar varios archivos de log:

 IASNAP.log: este registro permite obtener información detallada acerca de los

procesos de protección de acceso a la red, la autenticación o la autorización
NPS.
 IASSAM.log: contiene información relativa a la autenticación del usuario y sus
autorizaciones.

Mantenimiento de NAP

Para resolver problemas en la funcionalidad NAP es posible utilizar varias herramientas.

El comando netsh permite consultar el estado de un cliente NAP. Es, de este modo,
posible obtener información relativa al estado de restricción, el estado de los clientes de
cumplimiento, el estado de los agentes de mantenimiento del sistema instalados así
como los grupos de servidores aprobados configurados.

El mantenimiento puede, a su vez, realizarse mediante archivos de log de Windows.

Existen distintos ID que pueden resultar útiles para analizar el comportamiento de la
funcionalidad NAP:

 ID 6272: se otorga acceso al usuario.

 ID 6273: se rechaza el acceso al usuario.
 ID 6274: petición ignorada por el servidor NPS (problema de configuración o
imposibilidad de crear registros de gestión de cuentas).
  ID 6276: usuario puesto en cuarentena (puesto no conforme…).
 ID 6278: acceso total otorgado al usuario.

Trabajos prácticos: Implementar la

solución NAP
Estos trabajos prácticos permiten instalar y configurar el servidor NAP. Los clientes de
cumplimiento utilizados son el DHCP y VPN.

1. Configuración de los componentes NAP

Objetivo: instalación y configuración del servidor NAP

Máquinas virtuales: AD1 y CL8-01

En AD1, abra la consola Administrador del servidor y, a continuación, haga clic en

Agregar roles y características.

En la ventana Seleccione el tipo de instalación, deje la opción por defecto y, a

continuación, haga clic dos veces en Siguiente.

Marque la opción correspondiente al rol Servicios de acceso y directivas de redes y, a

continuación, haga clic en Agregar características en la ventana emergente.

En la ventana de selección de características, haga clic en Siguiente.

Marque la opción Servidor de directivas de redes en la ventana Seleccionar servicios

de rol.
Haga clic en Instalar para realizar la instalación.

Una vez terminada la instalación, es preciso configurar el servicio para asegurar que
solamente aquellos equipos que respetan la política de seguridad (antivirus actualizado)
obtienen un contrato DHCP.

Abra la consola NPS presente en las Herramientas administrativas.

Despliegue el nodo Protección de acceso a redes, y, a continuación, haga clic en

Validadores de mantenimiento del sistema.

En el panel central, haga clic en Validador de mantenimiento de seguridad de

Windows.
Haga clic en Configuración en el panel central y, a continuación, haga doble clic en
Configuración por defecto.

En Windows 8/Windows 7/Windows Vista, desmarque todas las opciones excepto las
correspondientes al antivirus.

Haga clic en Aceptar y, a continuación, en Grupos de servidores de actualizaciones.

Los servidores de actualizaciones permiten a los clientes no conformes actualizarse para
poder obtener la conformidad.

Haga clic con el botón derecho en Grupos de servidores de actualizaciones y, a

continuación, seleccione Nuevo.

Escriba Grupo de servidores 1 en el campo Nombre de grupo y, a continuación,

mediante el botón Agregar, escriba la dirección IP 192.168.1.200 y el nombre del
equipo SRVWSUS.

El nombre y la dirección IP del servidor se utilizan como ejemplo, no existe ningún

servidor con este nombre en la maqueta que hemos montado.

Vamos, ahora, a crear dos directivas. Estas últimas permitirán al servidor saber qué
requisitos previos tienen que cumplirse para aplicar esta directiva. En nuestro ejemplo,
la directiva conforme va a aplicarse a aquellos puestos que respeten la política de
seguridad (antivirus al día…). La directiva no conforme está destinada a aquellos
equipos en los que haya fallado algún punto de control SHV (puntos de seguridad), por
ejemplo antivirus no presente o no actualizado.

Despliegue el nodo Directivas, haga clic con el botón derecho en Directivas de

mantenimiento, y, a continuación, haga clic en Nueva.

En la ventana Crear nuevas directivas de mantenimiento, configure la directiva tal y

como se indica a continuación:
  Nombre de directiva: Conforme.
 Comprobaciones de SHV para clientes: El cliente supera todas las
comprobaciones de SHV.
 SHV usados en estas directivas de mantenimiento: habilite la opción
Validador de mantenimiento de seguridad de Windows.

Haga clic en Aceptar para validar la información introducida.

Cree otra directiva con los siguientes parámetros:

 Nombre de directiva: No conforme.

 Comprobaciones de SHV para clientes: El cliente no supera una o más
comprobaciones de SHV.
 SHV usados en estas directivas de mantenimiento: habilite la opción
Validador de mantenimiento de seguridad de Windows.

Haga clic en Aceptar para validar la información introducida.

 Haga clic en Directivas de red y seleccione una de las dos directivas presentes. Haga
clic con el botón derecho en la selección y marque la opción Desactivar. Repita la
operación con la otra directiva.

Haga clic con el botón derecho en Directivas de red y, a continuación, seleccione

Nueva.

En la ventana Especificar nombre de directiva de red y tipo de conexión, configure

la directiva tal y como se muestra a continuación:

 Nombre de directiva: Conforme - Acceso completo.

 Tipo de servidor de acceso a la red: servidor DHCP.

Haga clic en Siguiente.

En la ventana Especificar condiciones, haga clic en Agregar y, a continuación, haga

doble clic en Directivas de mantenimiento.

Seleccione Conforme en la lista desplegable, y, a continuación, haga clic en Aceptar.

Haga clic en Siguiente.

Verifique que está marcada la opción Acceso concedido y, a continuación, haga clic en
Siguiente.

En la ventana Configurar métodos de autenticación, marque Realizar solo

comprobación de mantenimiento del equipo. Desmarque todas las demás opciones.
Haga clic dos veces en Siguiente.

En la ventana Configurar opciones, haga clic en Cumplimiento NAP. Verifique que

está marcada la opción Permitir acceso completo a la red.

Valide haciendo clic en Siguiente y, a continuación, en Finalizar.

Recree la misma regla con los siguientes parámetros:

 Nombre de directiva: No conforme - Restringido.

 Tipo de servidor: servidor DHCP.
 Condiciones: Directivas de mantenimiento (seleccionar la directiva No
conforme).
 Permisos de acceso: verifique que está marcada la opción Acceso concedido.

A continuación se implementará una limitación al acceso.

 Métodos de autenticación: Realizar solo comprobación de mantenimiento

del equipo.
 Opciones: Cumplimiento NAP (Permitir acceso limitado y marque Habilitar
corrección automática de equipos cliente).
Valide la información haciendo clic en Siguiente y, a continuación, en Finalizar.

Ahora es posible configurar el servidor DHCP para controlar el cumplimiento NAP.

Haga clic con el botón derecho en Ámbito y, a continuación, haga clic en

Propiedades.

Es preciso que el nodo Ámbito esté desplegado.

En la pestaña Protección de acceso a redes, seleccione la opción Habilitar para este

ámbito y compruebe que está marcada la opción Usar perfil predeterminado de
Protección de acceso a redes.

Haga clic con el botón derecho en Directivas y, a continuación, haga clic en Nueva
directiva.

Escriba Puesto no conforme en el campo Nombre de la directiva y, a continuación,

haga clic en Siguiente.
En la ventana de configuración de las condiciones de la directiva, haga clic en
Agregar.

Configure la condición tal y como se indica a continuación:

 Criterio: Clase de usuario.

 Operador: Es igual a.
 Valor: Clase de protección de acceso a red predeterminada.

Haga clic en Agregar para agregar el valor seleccionado.

Valide haciendo clic en Aceptar y, a continuación, en Siguiente.

Marque la opción 006 Servidores DNS y, a continuación, escriba la dirección IP

192.168.1.99.
La dirección IP debe coincidir con la del servidor DNS presente en la red de cuarentena.
Esta última no existe en la maqueta.

Valide el mensaje de advertencia haciendo clic en Sí.

Marque la opción 015 Nombre de dominio DNS y, a continuación, escriba

restringido.Formation.local.
Haga clic en Siguiente y, a continuación, en Finalizar.

En el equipo CL8-01, abra la interfaz Windows y, a continuación, escriba

napclcfg.msc.

Este comando permite mostrar la consola de configuración del cliente NAP para
habilitar, en el equipo, el cliente de aplicación de cuarentena DHCP.

Despliegue Clientes de cumplimiento y, a continuación, haga doble clic en Cliente de

aplicación de cuarentena DHCP.
Marque la opción Habilitar este cliente de cumplimiento.

En la interfaz Windows, escriba services.msc.

Haga doble clic en el servicio Agente de protección de acceso a redes.

Modifique el tipo de arranque del servicio para que sea Automático e inícielo.

En la interfaz Windows, escriba gpedit.msc, y, a continuación, pulse [Enter].

Despliegue los nodos Directiva Configuración del equipo, Plantillas

administrativas, Componentes de Windows y, a continuación, haga clic en Centro de
seguridad.

Haga doble clic en Activar el Centro de seguridad (solo equipos de dominio),

seleccione la opción Activo y, a continuación, haga clic en Aceptar.

La tarjeta de red debe configurarse para recibir una dirección IP de un servidor DHCP.
Si no fuera el caso, modifique la configuración del adaptador. El equipo está, de
momento, en la red de producción.

Tal y como muestra la siguiente captura de pantalla, el servidor DHCP le ha concedido

un acceso completo.
 En el menú de la interfaz Windows, escriba Windows Defender y, a continuación,
ejecútelo.

Haga clic en la pestaña Configuración y, a continuación, Administrador, desmarque

la opción Activar Windows Defender.

Haga clic en Guardar los cambios.

Esto va a permitir simular una no-conformidad con la política de seguridad. Es posible,

a su vez, incluir en las directivas de cumplimiento del servidor NPS la obligación de
poseer un firewall activo. Bastará con deshabilitar el firewall en el puesto de trabajo.

Espere algunos segundos o libere el contrato DHCP mediante el comando DOS:

ipconfig /release

Solicite un nuevo contrato ejecutando el comando ipconfig /renew en una ventana de

comandos DOS.

El equipo se encuentra, ahora, en la red de cuarentena. El servidor DHCP ha asignado,

correctamente, el sufijo DNS restringido.formacion.local. El servidor DNS debe, a su
vez, distribuirse para los equipos no conformes.
Es, ahora, mucho más sencillo aislar los equipos que no respetan la política de seguridad de la
empresa.

Validación de conocimientos adquiridos:

preguntas/respuestas
1. Preguntas

Puede validar los conocimientos adquiridos respondiendo a las siguientes preguntas.

1 ¿Qué permite hacer NAP?

2 ¿Qué sistema operativo, como mínimo, es necesario tener instalado en los equipos
clientes para utilizar NAP?

3 Describa brevemente la funcionalidad NAP.

4 ¿Cuáles son los clientes de cumplimiento que pueden configurarse?

5 ¿Con qué cliente de cumplimiento se utiliza HRA?

6 ¿Cuál es el objetivo de la autoridad HRA?

7 ¿Es posible utilizar NAP con DHCPv6?

8 ¿Cuáles son los componentes que se encargan de validar el estado de conformidad de

los equipos?

9 ¿Para qué consola se habilita el seguimiento de NAP?

10 ¿Cuáles son los archivos de log que utiliza NAP?

2. Resultados

Consulte las siguientes páginas para comprobar sus respuestas.

Por cada respuesta correcta, cuente un punto.

Número de puntos: /10

Para superar este capítulo, su puntuación mínima debería ser de 8 sobre 10.

3. Respuestas

1 ¿Qué permite hacer NAP?

NAP permite implementar directivas que deben respetar los equipos cliente si quieren
poder acceder a la red, en caso contrario accederán a una red de cuarentena o se les
denegará el acceso.

2 ¿Qué sistema operativo, como mínimo, es necesario tener instalado en los equipos
clientes para utilizar NAP?

Es necesario, como mínimo, Windows XP SP3.

3 Describa brevemente la funcionalidad NAP.

NAP permite comprobar el estado de salud de los equipos que se conectan a la red. Si
no respeta los criterios de seguridad impuestos por el administrador, el equipo se sitúa
en una red de cuarentena, o se rechaza completamente su acceso. En caso de que se
sitúe en una red de cuarentena existe un grupo de servidores a su disposición que le
permiten actualizarse.

4 ¿Cuáles son los clientes de cumplimiento que pueden configurarse?

Existen varios clientes de cumplimiento NAP que pueden configurarse en el sistema

operativo. DHCP, VPN, IPsec o RADIUS son algunos de ellos.

5 ¿Con qué cliente de cumplimiento se utiliza HRA?

HRA se utiliza cuando se implementa IPsec con NAP.

6 ¿Cuál es el objetivo de la autoridad HRA?

La autoridad HRA tiene como objetivo emitir certificados digitales que se utilizan con
IPsec.

7 ¿Es posible utilizar NAP con DHCPv6?

No, NAP no puede utilizarse con un servidor DHCP que distribuya direcciones IPv6,
solamente aquellos servidores que trabajen con direcciones IPv4 son compatibles.
8 ¿Cuáles son los componentes que se encargan de validar el estado de conformidad de
los equipos?

Los agentes de mantenimiento del sistema (SHA) y los validadores de mantenimiento

del sistema (SHV) aseguran el cumplimiento.

9 ¿Para qué consola se habilita el seguimiento de NAP?

El seguimiento de NAP se habilita mediante la consola Configuración del cliente NAP.

10 ¿Cuáles son los archivos de log que utiliza NAP?

Los archivos IASNAP.log y IASSAM.log permiten supervisar el comportamiento de

NAP.