network access protection
DESCRIPTION
Charla impartida por Francisco Nogal en el IV Curso de Verano de Seguridad Informática de la Universidad Europea de Madrid.TRANSCRIPT
Network Access Protection
Retos actuales en la red
Redes altamentes conectadasMultiples metodos de acceso
Usuarios con diferentes permisos
Diferentes dispositivos de acceso
Nuevos retosIncremento de trabajo movil
Incremento exposicion a malware
Control de invitados
Estrategias clavesValidar identidad y salud
Actualizacion de sistemas queno cumplen
Monitorizacion continua
Intranet
Customers
Partners
Remote Employees
Network Access Protection
El control de acceso a la red soluciona:Validar requisitos de salud
Monitorizar estado de los equipos de la red
Limitar acceso a aquellos que no cumplen
Remediación automática
Customers
Partners
Remote Employees
Intranet
Multiples plataformas
La mayoria de los dispositivos
Soporta multiples soluciones antivirus
Opciones de cumplimiento!
VPN
DHCP
Terminal Services Gateway
802.1x
IPsec
Direct Access
Network Access Protection
Multiples modos de cumplimientoModo monitorizacion
Monitorizar estado de cumplimiento
Modo diferidoAcceso completo hasta cierta fecha
Cumplimiento completo
Multiples plataformasWindows® 7, Vista & XP SP3
Windows® Server 2008 & 2008 R2
Otros SSOO a traves de partners
Terminologia
NPS (Network Policy Server)Servidor utilizado para validad la identidad del usuario y el estado de salud
HRA (Health Registration Authority)Servidor distribuidor de certificados a equipos que cumplen con estado de salud
SHA (System Health Agent)Componente que monitoriza y genera informes del estado de salud del cliente
SHV (System Health Validator)Componentes de servidor que interpreta los informes del SHA
SoH (Statement of Health)Protocolo utilizado para comunicar estado de salud entre SHAs y SHVs
QEC/EC (Quarantine Enforcement Client)Componente que administra comportamiento de cuarentena en el cliente
NAS (Network Access Server)Servidor que permite acceso a la red– e.g. 802.1x switch, VPN, TSG, DHCP server, HRA
NAP –Como funciona
Solicitud de acceso
Autenticacion y estado de saludenviado al NPS (RADIUS)
NPS valida contra politicas de salud
Si cumple, acceso garantizado
Si no cumple, accesorestringido y remediacion
Microsoft NPS
Corporate Network
Directory and Health Serverse.g.., Active Directory, Patch, AV
NAS DHCP, VPN, HRA, TSG, 802.1x switch
RestrictedNetwork
Remediation Servers
e.g., Patch
Not policy compliant
Policy compliant
1
3
5
4
1
3
4
5
2
2
NAP Arquitectura
Health
Data
Network Access Messages
Network Access Devices andEnforcement Servers (ES)
Actualizaciones
Servidores de remediacion
Politica de salud
Servidores de salud del sistema
NAP Client
System Health Agents (SHA)
SHA-AV
SHA-Patch
SHA-WSC
NAP Agent
Enforcement Clients (EC)IPsec802.1x
DHCPVPNEC-x
Network Policy Server (NPS)
System Health Validators (SHV)
SHV-AV
SHV-Patch
SHV-WSC
NAP Server
802.1x Switch
ES-x
HRAVPN SrvDHCP srv…
SoH Packets
Opciones de políticas de salud
Centro de seguridadFirewall on/off
Anti-virus instalado y actualizado
Anti-spyware instalado y actualizado
Actualizaciones automaticas habilitadas
SCCMParches de software instalados
Remediacion con instalacion automatica de parches
SHA/SHVs de tercerosLa mayoria de los vendedores antivirus
Planificación básica
Identificar objetivos
Inventariado de metodos de acceso
Determinar cumplimiento que mejor se ajuste a necesidades
Entender el estado de salud necesario
Determinar si se requieren excepciones
Objetivos potenciales
Administrar los riesgos dentro de una red
Monitorizar cumplimientos de políticas de seguridad
Mantener equipos actualizados
Protegerse de equipos no administradosProteccion de sedes remotas
Proteccion de acceso remotos