módulo 6: 70-411 · un ejemplo de estos servicios es oracle directory server. ... esquema de...

Network Policy Server.

NPS es un conjunto de servicios englobados en un único Rol.

RADIUS SERVER•RADIUS Proxy•NAP (Network Access Protection)•

Las funciones básicas que incluye NPS son

Authentication: Autenticación•Authorization: Autorización•Accouting: Registro de Actividad.•

RADIUS es un servidor AAA:

Autenticación: Comprobar que las credenciales de un usuario son válidas: usuario / password, smartcard, claims, certificados digitales, biometría.... Incluso podemos usar autenticación multifactor.

Autorización: Si las credenciales son válidas, el siguiente paso es determinar los privilegios y permiso del usuario dentro de la red.

Registro de Actividad: Auditar todas las actividades que el usuario lleva a cabo con los permisos y privilegios que tiene asignados. RADIUS almacena toda esta actividad en un archivo local o en una base de datos como SQL Server

RADIUS (Remote Access Dial-In User Service) es un estándar de servidor AAA

TACACS+ (Terminal Access Controller Access Control Server)

NPS es la implementación de Microsoft de RADIUS

NAP: Chequeo de salud del sistema (comprobar actualizaciones, si tiene instalado y actualizado un antivirus, si el cortafuegos está habilitado...) Estas comprobaciones están dentro de las Health Rules

RADIUS Server•RADIUS Client•RADIUS Proxy•NAS (Network Access Server): Switch, AP Wireless Servidor de VPN... Son los puntos de conexión de los usuarios con la red.•

En una Infraestructura RADIUS tenemos varios componentes:

9/12/2014

RADIUS Server •RADIUS Proxy •NAP (Network Access Protection) •

NPS es un rol de Windows Server 2012 R2 que implementa varias funciones:

El servidor RADIUS es un servidor AAA (Authentication, Authorization, Accounting).

NAS: Network Access Server (servidor RRAS, punto de acceso Wireless, Switch, servidor de VPN, …). Son los puntos de conexión de los usuarios con la red.

•

Cliente RADIUS: Es quien hace peticiones al RADIUS server para validar las credenciales de un cliente. Suele ser un NAS. •Servidor RADIUS: Hace las tareas de autenticación, autorización y registro de actividad. Para la validación de credenciales puede usar una base de datos externa, por ejemplo SQL Server, o un Directorio Activo. Es un estándar compatible con otros servicios de Gestión de Identidad. Un ejemplo de estos servicios es Oracle Directory Server.

•

PROXY RAIDUS: Distribuye las peticiones de acceso a la red entre diferentes servidores RADIUS. Suele usarse para balanceo de carga.

•

En un infraestructura RADIUS tenemos varios componentes:

Módulo 6: 70-411 jueves, 4 de diciembre de 2014 12:36

MCSA 70-411 página 1

Nosotros construiremos una estructura donde:

LON-RTR: Servidor NAS (Network Access Server) como servidor VPN y también cliente RADIUS. •LON-DC1: Servidor RADIUS que se va a registrar en el AD para usar su base de datos para autenticación. •LON-CL1: Cliente VPN. •

Consola NPS:


Si instalamos el servidor RADIUS en un servidor de grupo de trabajo, usaría para autenticar usuarios la SAM, la base de datos local de ese equipo.

El usuario, desde su equipo (LON-CL1), usará el cliente VPN para solicitar la conexión. 1.LON-RTR, como servidor VPN, recibirá la petición de conexión desde LON-CL1. LON-RTR pedirá las credenciales al usuario que se conecta desde LON-CL1. LON-RTR no validará las credenciales contra su base de datos interna, sino que al ser un Cliente RADIUS, reenviará la petición de autenticación a LON-DC1, que es el servidor RADIUS.

2.

LON-DC1 recibe la petición de autenticación desde LON-RTR. Al estar registrado con el AD, comprueba en el Directorio Activo si las credenciales son válidas. LON-DC1 responde a LON-RTR aceptando o denegando las credenciales.

3.

Si las credenciales se han aceptado, LON-RTR permite el acceso del usuario a través de la VPN. Cualquier actividad del usuario estará controlada por el servidor RADIUS.

4.

Si las credenciales no se han aceptado, LON-RTR derivará al usuario a una red de Remediación. En esta red contamos con lo que se denomina un grupo de Remediación.

5.

Cuando un usuario quiera iniciar sesión en la VPN desde su equipo, los pasos serán:

Administración de NPS línea de comandos --> netsh nps


Los puertos estándar de RADIUS son:

-1812 para autenticación-1813 para registro de actividad

Rol NPS - En la consola Registramos en el AD•

RADIUS Server for dial-Up or VPN Connections•

Configuramos como servidor de autenticación RADIUS a LON-DC1:


Ahora le decimos quienes van a ser los clientes VPN:•

Le ponemos una contraseñas: Es más seguro "Generar" que "Manual".•


EAP (Extension Autentication Protocol): Es un marco de autenticación, permite varios métodos de autenticación.•Podemos usar para la autenticación certificaciones digitales, tarjetas inteligentes,… Hay varias versiones de EAP, como PEAP (Protected EAP) o LEAP (Lightweight EAP).MS-CHAPv2: CHAP (Challenge Autentication Protocol). Para evitar transmitir la contraseña en plano, los extremos intercambian un "texto de desafío". Uno de los extremos cifra el texto con la contraseña y lo devuelve al otro extremo. Si el otro extremo es capaz de descodificarlo, es porque los 2 tienen la misma contraseña. Se aplica un algoritmo de cifrado simétrico (misma contraseña para cifrar y descifrar).

•

MS-CHAP: Igual que MS-CHAPv2, pero usa MD5 para cifrar el texto de desafío. Es más débil que el de MS -CHAPv2•

Métodos de autenticación soportados por NPS:

Si marcamos varios siempre negociaran el más seguro compatible con los 2 extremos.


Realm: Es el método de identificar a diferentes clientes u organizaciones. Si la organización implementa un Directorio Activo, el Realm coincide con el nombre del dominio de AD (adatum.com, contoso.com).


Con este comando vemos lo mismo que en cmd pero redireccionado a un .txt•

Con este comando lo exportamos a XML•Con el archivo XML podemos exportar e importar, con el txt solo podemos leer.•


Cliente RADIUS.

Wireless AP: WPA2-Enterprise•Switch: 802.1X•Servidores VPN de terceros o el servidor RRAS (Routing and Remote Access Server) de Windows Server 2012 R2.•

Los clientes RADIUS suelen ser los servidores NAS (Network Access Server)

1812 o 1645 para autenticación•1813 o 1646 para el registro de actividad.•

Se comunican con el servidor RADIUS usando los puertos:

Los puertos se pueden cambiar.

Proxy RADIUS.

Distribuye las peticiones de autenticación y autorización entre diferentes servidores RADIUS.

Somos un ISP con múltiples clientes y queremos autenticar a los usuarios contra diferentes servidores RADIUS en función de suRealm.

•

Si tenemos servidores RADIUS que no son miembros de un dominio.•Para autenticar usuarios de otro dominio con el que tenemos una relación de confianza.•Para autenticar usuarios contra una base de datos que no sea AD: SQL Server, Oracle Identit Manager, Oracle Directory Service , OpenLDAP,…

•

Muchos usuarios que piden autenticación y queremos distribuir la carga entre múltiples servidores RADIUS.•Proteger la infraestructura de red mediante firewalls colocando el Proxy RADIUS en la zona DMZ.•

Escenarios de uso de Proxy RADIUS:

Vamos a configurar el cliente RADIUS, en este caso LON-RTR.

LON-RTR lo tenemos configurado como Router, primero hay que deshabilitarlo para configurarlo como servidor VPN

Tipos de VPNs.

Acceso Remoto (Road Warrior): Un usuario móvil se conecta con la red local. Esté donde esté el usuario, abre su cliente VPN p ara conectarse con el servidor VPN. La conexión VPN no es permanente.

•

Sitio a Sitio: Conexión VPN permanente entre 2 localizaciones, por ejemplo, una central y una sucursal. Se usan 2 servidores VPN, uno en cada localización. La VPN es transparente para los usuarios.

•


Nuestra red externa será la 192.168.20.1•


Se ha creado la política de petición de conexión con el asistente.○

En LON-DC1.•

Si esta opción no se marca, es porque hay otra política de conexión que restringe el acceso a la red.•


Las políticas de conexión de NPS prevalecen sobre las de Dial-In de usuario si está marcado el check.•


Si un usuario no tienen permiso para entrar en la red, no accede. Al configurar el servidor RADIUS, se modifica automáticame nte la opción de Conectarse. Sino no habría que ir usuario por usuario habilitándolo.

•

Política de petición de conexión.•


Connection Request Policy.

Tunnel Type: GRE, IPSec, L2TP, PPTP, ….

Autenticación Local Vs RADIUS.

Podemos configurar un servidor VPN para que los usuarios que quieran conectarse lo hagan contra la base de datos local. Por ejemplo, usando LON-RTR (que no pertenece al dominio), podemos configurar la autenticación local. En este caso, si el usuario "sales1" quisiera iniciar sesión en la VPN, tendríamos que crear el usuario "sales1" en Usuarios Grupos Locales de LON-RTR.

RADIUS Server Groups.

adatum.com•contoso.com•tailspontoys.com•

Supongamos el escenario con 3 dominios.

Creamos una máquina LON-RTR (grupo de trabajo) y la configuramos como servidor VPN con RRAS. Para que LON-RTR pueda distribuir las peticiones de autenticación al dominio correcto, tenemos que configurar LON-RTR como Proxy RADIUS.Para que el Proxy pueda redirigir las peticiones al servidor RADIUS correspondiente a cada dominio, creamos un Grupo de Servidores RADIUS Remotos.

Nos conectamos a través de una conexión VPN desde LON-CL1Cambiamos la IP a la 192.168.20.50 y configuramos.


Si probamos con [email protected] aparece otro mensaje de error. Ahora hay que analizar porque no se conecta.

Vemos que no está configurado para que acepte el protocolo MS-CHAPv2


mailto:[email protected]

Aceptamos e intentamos volver a conectarse y se conecta correctamente.


Vemos que el rango de IP que le ha dado está dentro del rango que hemos configurado anteriormente (ver imágenes anteriores)

Faltaría en el Router habilitar el cortafuegos y evitar que alguien entre en plano, y solo pueda conectarse de forma segura.

Esquema de Cifrado.

Algoritmos: DES (Data Encryption Standard) (56 bits), 3DES (ciframos una clave, el resultado lo desciframos con otra diferente y luego volvemos a cifrar), AES (Advanced Encryption Standard), Blowfish

○

Esquema de Cifrado Simétrico. Se usa la misma contraseña para cifrar y descifrar. •

Esquema de Cifrado Asimétrico. Usamos un par de claves relacionadas entre sí, pero en las que es imposible (o computacionalmente muy costoso) obtener una de las claves a partir de la otra. Lo ciframos con una clave, sólo puede descifra se con su par y al revés. A este par de claves las llamamos Pública y Privada. Este esquema también suele llamarse esquema de cl ave Pública. La clave pública está disponible para cualquiera y la clave privada sólo para el propietario.

•

Un algoritmo simétrico es mas fuerte que uno asimétrico a igualdad de longitud. Pero la debilidad de algoritmo simétrico es la distribución de la calve entre las partes.

Autenticación.•Integridad.•Confidencialidad.•

Un esquema de cifrado asimétrico nos permite:

El par de claves pública y privada es lo que conocemos como Certificado Digital. La clave pública se almacena en un servidor accesible para cualquiera y la clave privada la guarda el propietario.

Certification Authority: Servidor que emite certificados.•CRL (Certificate Revocation List): Servidor que almacena las claves públicas, así como las fechas de validez de las mismas.•Web Enrollment: Servicio para que los usuarios puedan solicitar certificados.•

Necesitamos un conjunto de servidores para este tipo de cifrado:

Toda esta infraestructura (y algunos servidores más que son opcionales) se denomina PKI (Public Key Infraestructure)

IMPORTANTE PARA EL EXAMEN SABER EL VENDOR CLASS DEL RRAS DE MS 311$


10/12/2014

Ejercicio:-------------------------------------------------------------------------------------------------------------------------------------------------------En el dominio de Contoso, el departamento de Sistemas necesita tener acceso de forma remota y cifrado.Este departamento está representado por un grupo "ContosoSys" y está formado por 3 usuarios "contososys1", "contososys2" y "contososysadmin".Los miembros de este grupo deben poder acceder a los recursos de Contoso de forma remota mediante una conexión VPN en la que LON-RTR será el servidor NAS.Los usuarios "consotosys1" y "contososys2" sólo deben poder acceder a la VPN cuando se conectan desde sus equipos con IPs 192.168.10.170 y 192.168.10.171 respectivamente. El usuario "contososysadmin" debe poder conectarse desde cualquier dirección IP.

LON-SRV2•Creamos el grupos y los usuarios:•


Instalamos el rol NPS :•

Servidor NAS: LON-RTR con tarjeta "externa" la 192.168.10.1•Servidor RADIUS: LON-SRV2•Cliente RADIUS: LON-RTR•

LON-SRV2•


Hay que crear tanto la plantilla como el cliente. Ya hemos creado la plantilla en los pasos anteriores, ahora creamos el clie nte.•


Si no definimos las políticas de conexión y de red no permitimos que se conecte nadie.•

Esta política de red bloquea el acceso de cualquier conexión•


Queremos que se conecten por VPN•

Se puede establecer que sea la configuración de Red quien pida credenciales, lo podemos hacer aquí, pero lo normal es hacerlo en la política de red.

•


la política de red.


Este valor identificador de servidor RAS de Microsoft•

Tenemos que crear una regla que permita el acceso a los usuarios. (Politica de Red)•


Si tuviera certificados digitales utilizaría PAP, pero como no tenemos marcamos lo siguiente, MS -CHAP y MS-CHAP2 cualquiera de las 2 permite cambiar la contraseña a través de la VPN.

•


LON-RTR•


Ahora vamos a un cliente y ver si podemos conectarnos a la VPN a través de contoso.•Vamos a LON-CL1 y lo ponemos en la VMNet2 que es donde están el resto de equipos.•Y le damos una dirección IP dentro del rango, entramos como administrador y le damos la IP 192.168.10.101 por ejemplo.•


Y nos da IP dentro del rango de contoso que hemos puesto anteriormente.•

Si deshabilitamos la conexión de VPN de LON-CL1 seguimos haciendo Ping a 192.168.20.10 y no deberiamos, eso es porque el router está enrutando y no hemos puesto ninguna condicion para que solo acepte conexiones seguras.

•

Para ello volvemos a dehabilitar y volver a configurarlo para habilitar el tráfico seguro (LON -RTR).•Hacemos de nuevo el proceso de configuración, hasta llegar a esta imagen y dejamos marcada esa opcion.•


Ahora con la VPN desconectada, desde LON-CL1 hacemos ping y no responde•

Con la VPN conectada si nos deja hacer ping.•

Pero pueden entrar cualquier usuario del dominio de contoso. Y necesitamos que solo accedan los del grupo de usuarios de contososys.

•

LON-SRV2•


Para la conexión se tienen que cumplir todas esas condiciones.•

Probamos a conectar con un usuario que no pertenece al grupo de contososys•

Y vemos que no podemos acceder•


Accedemos con un usuario de contososys, en este caso contoso\contososys1•

Quitamos la condición que hemos creado antes:•


Y nos deja entrar con "contososysadmin" pero no deja conectar a los usuarios del grupo contososys.•Creamos otra política de conexión.•


Y ya tenemos las 3 condiciones•


Todo lo demás por defecto hasta finalizar•

Volvemos a LON-CL1 y probamos a conectar con contososys1 y no deja porque tLON-CL1 tiene la IP 101 y hemos puesto la condición de conexión para que tengan a 170.

•

Cambiamos la IP de LON-CL1•

-------------------------------------------------------------------------------------------------------------------------------------------------------

Microsoft Forefront TMG (Threat Management Gateway) --> herramienta para conexiones VPNs


11/12/2014.

Registro de Actividad (Accounting)

Authentication: EAP, MS-CHAP, CHAP, PAP,…•Authorization: Network Policies, Definimos condiciones y limitaciones (constrains) en base a nombre de usuario, grupos de usuarios, direcciones IP, sistemas operativos,…

•

Accounting: Registro de actividad del propio servidor NPS y de los usuarios que autentica.•

Un servidor RADIUS es un estándar AAA (Authentication, Authorization, Accounting).

Registro de Eventos (Event Log).•Archivo en disco duro.•Base de Datos SQL.•

El Registro de Actividad puede almacenarse en 3 localizaciones:

Esto nos permite monitorizar la actividad de servidor NPS para hacer diagnóstico de fallos, así como monitorizar la actividad de los usuarios.

Eventos que podemos monitorizar del propio servidor NPS serian las conexiones y peticiones de autenticación por parte de un cliente RADIUS.

Tenemos habilitado que se almacenen en el Log Event.•

En un NPS, por defecto está habilitado el registro de eventos de errores, peticiones de autenticación rechazadas y peticiones de autenticación aceptadas en el Log Event.

Estos eventos se almacenan en los logs System y Security.


Podemos configurar los filtros para ver el evento que nos interesa.

Guardar la información en el Event Log puede no ser suficiente para las necesidades de auditoria de una organización. Cuando el log se llena, desaparecen los eventos más antiguos. Nosotros tendríamos que hacer un backup manual de estos logs para poder recuperar un histórico de eventos de NPS.

Si queremos tener información más detallada y un histórico extenso de los eventos, tenemos que habilitar el Logging, en un archivo o en un base de datos SQL Server.Habilitando el logging podemos usar herramientas para analizar el histórico de eventos, correlación de eventos...


Un servidor SQL Server accesible•Credenciales para acceder a una base de datos en modo escritura.•Una base de datos en SQL Server.•Un procedimiento almacenado (un script hecho en SQL) que se llame "report_event" que recoja la información de Accounting en formato XML y la convierta a formato de SQL Server

•

-Este archivo guarda el registro de actividad completo.

Para almacenar la información de actividad en un servidor SQL Server necesitamos:

IAS: Internet Authentication Server.El archivo de log NO debería estar en la misma partición que el sistema. Puede ocupar mucho espacio y llenar la partición haciendo que el sistema se vuelva inestable.

Si la partición donde se encuentra el archivo de log se llena, el servidor RADIUS se para y no permite nuevas conexiones. Es recomendable por este motivo usar un servidor SQL Server que tendrá sus archivos MDF y LDF en una cabina de almacenamiento.


Si desmarcamos la última casilla el NPS no se parara cuando se llene la partición donde esta log.

Usando carpeta compartida montada como unidad de red.•Usando el protocolo Syslog•Enviando la información de accounting a un proceso en memoria que se encarga de gestionarlo. Esto se hace usando lo que se denomina un Name Pipe (\\.pipe\...)

•

El servidor de logs debería estar protegido. Es lo que suele llamarse un servidor Bastion.•

Se recomienda que el archivo de log esté en una maquina diferente a la del NPS:

Logman herramienta para en guardar log utilizando el protocolo syslog

Como registro de actividad adicional usado para diagnóstico de fallos, podemos usar el trace (debug) en el servidor RRAS (LON-RTR).


Para habilitar/ deshabilitar la traza en el router ( no está en el contexto pero funciona)

Ejercicio.-------------------------------------------------------------------------------------------------------------------------------------------------------Configurar el servidor RADIUS de LON-SRV2 para que almacene los archivos de log en LON-DC1. Configurar el servidor VPN para que almacene una traza de las conexiones que se han llevado a cabo.

LON-RTR

Intentamos hacer un ping desde LON-SRV1 a LON-DC1 y no llega porque tenemos los filtros puestos.

Añadimos filtros tanto entrantes como salientes.


Y ya nos deja entrar desde LON-SRV1 a LON-DC1

-------------------------------------------------------------------------------------------------------------------------------------------------------

Repaso examen:


Repaso examen:EAP: Extensible Authentication Protocol. Certificados para autenticación mutua, EAP es un conjunto de protocolos.TLS: Transport Layer SecurityPEAP: Protected EAP. Certificados para autenticación de servidor.

EAP-MS-CHAPv2

La pregunta 6 del modulo 6 está la respuesta correcta es la a) ...NPS... connection policy


módulo 6: 70-411 · un ejemplo de estos servicios es oracle directory server. ... esquema de...

Documents