Académique Documents
Professionnel Documents
Culture Documents
2. Objetivos
Implementación de NAP.
Introducción
Muchos ataques provienen del interior, por lo que es necesario implementar políticas de
seguridad (contraseña…). Los equipos portátiles pueden suponer grandes problemas. En
efecto, tienen la posibilidad de conectarse a otras redes, por lo que puede producirse una
posible contaminación. Tras la conexión del equipo a la red de la empresa, la
contaminación se expande rápidamente en el conjunto de la red. Es, por tanto, necesario
validar el estado de salud de los equipos antes de aceptar su acceso a la red.
NAP (Network Access Protection) permite implementar directivas que deben respetar
los distintos equipos para poder acceder a la red de la empresa.
En caso de querer utilizar NAP con un servidor DHCP el usuario puede, si pasa a un
direccionamiento estático, cortocircuitar NAP. Éste deja de utilizarse en tal caso.
Ordenador portátil
Equipo de sobremesa
Ordenador no administrado por la empresa (perteneciente a una persona ajena a
la empresa)
El ordenador portátil presenta un riesgo mucho más importante, pues se conecta a redes
externas. Si se conecta esporádicamente a la red de la empresa, puede que no alcance a
recuperar los parches y actualizaciones emitidos por el servidor WSUS. Es muy
importante asegurar el estado de salud de este tipo de equipos.
Mucho menos problemáticos son los equipos de sobremesa que, a su vez, pueden no
respetar las condiciones de seguridad (equipos que se encienden tras varios meses de
inactividad, imagen restaurada en un equipo…). Es, por tanto, posible implementar
NAP para este tipo de equipos.
Una arquitectura NAP contiene varios componentes. El cliente NAP está presente en
cada puesto o servidor, y permite la comunicación con el servidor NAP para validar el
acceso a la red en función del cumplimiento de cada puesto. Encontramos, a su vez,
algunas restricciones a este examen de conformidad, se trata de servidores que requieren
una validación antes de poder tener o no acceso. Entre estos servidores podemos
encontrar DHCP, VPN, DirectAccess… No es obligatorio contar con un controlador de
dominio Active Directory en la etapa de validación de la conformidad, aunque es
indispensable para conexiones de tipo VPN o 802.1x.
Por último, la arquitectura NAP está compuesta por una red restringida (o red de
cuarentena). Esta red puede ser de tipo lógico o físico. Contiene servidores de
actualización que permiten a los equipos declarados como no conformes corregir el
problema (antivirus no actualizado, por ejemplo).
Hemos visto más arriba cómo es preciso que el equipo esté conforme para que pueda
comunicarse con otros equipos. Este tipo de restricción está compuesta por una
autoridad HRA que ejecute Windows Server 2012 o superior así como un cliente de
cumplimiento que ejecute, como mínimo, Windows Server 2003.
La autoridad HRA tiene como objetivo emitir certificados de tipo X509 cuando el
equipo se considera conforme. Si el equipo no cumple, se rechazan sus intentos de
comunicación. Este método es, no obstante, algo más complejo puesto que invoca a una
autoridad HRA y a una entidad emisora de certificados. Se aplican a las comunicaciones
IPv4 e IPv6, por lo que es difícil esquivarlas.
Mantenimiento de NAP
Una vez terminada la instalación, es preciso configurar el servicio para asegurar que
solamente aquellos equipos que respetan la política de seguridad (antivirus actualizado)
obtienen un contrato DHCP.
En Windows 8/Windows 7/Windows Vista, desmarque todas las opciones excepto las
correspondientes al antivirus.
Vamos, ahora, a crear dos directivas. Estas últimas permitirán al servidor saber qué
requisitos previos tienen que cumplirse para aplicar esta directiva. En nuestro ejemplo,
la directiva conforme va a aplicarse a aquellos puestos que respeten la política de
seguridad (antivirus al día…). La directiva no conforme está destinada a aquellos
equipos en los que haya fallado algún punto de control SHV (puntos de seguridad), por
ejemplo antivirus no presente o no actualizado.
Verifique que está marcada la opción Acceso concedido y, a continuación, haga clic en
Siguiente.
Haga clic con el botón derecho en Directivas y, a continuación, haga clic en Nueva
directiva.
Este comando permite mostrar la consola de configuración del cliente NAP para
habilitar, en el equipo, el cliente de aplicación de cuarentena DHCP.
Modifique el tipo de arranque del servicio para que sea Automático e inícielo.
La tarjeta de red debe configurarse para recibir una dirección IP de un servidor DHCP.
Si no fuera el caso, modifique la configuración del adaptador. El equipo está, de
momento, en la red de producción.
2 ¿Qué sistema operativo, como mínimo, es necesario tener instalado en los equipos
clientes para utilizar NAP?
Para superar este capítulo, su puntuación mínima debería ser de 8 sobre 10.
3. Respuestas
NAP permite implementar directivas que deben respetar los equipos cliente si quieren
poder acceder a la red, en caso contrario accederán a una red de cuarentena o se les
denegará el acceso.
2 ¿Qué sistema operativo, como mínimo, es necesario tener instalado en los equipos
clientes para utilizar NAP?
NAP permite comprobar el estado de salud de los equipos que se conectan a la red. Si
no respeta los criterios de seguridad impuestos por el administrador, el equipo se sitúa
en una red de cuarentena, o se rechaza completamente su acceso. En caso de que se
sitúe en una red de cuarentena existe un grupo de servidores a su disposición que le
permiten actualizarse.
La autoridad HRA tiene como objetivo emitir certificados digitales que se utilizan con
IPsec.
No, NAP no puede utilizarse con un servidor DHCP que distribuya direcciones IPv6,
solamente aquellos servidores que trabajen con direcciones IPv4 son compatibles.
8 ¿Cuáles son los componentes que se encargan de validar el estado de conformidad de
los equipos?