Conociendo Microsoft Network Access Protection (NAP)

Publicado: Abril 12, 2007

Introducción

En seguridad informática hay una frase que dice: “Una red es tan segura, como el ultimo punto de acceso que se conecte a esta…”

Este es uno de los tantos conceptos de los que se parten al momento de diseñar la infraestructura de seguridad de una red, más aún teniendo en cuenta los requerimientos de las regulaciones actuales (SOAX, HIPAA, ISO 17799/27001, etc.) y el avance en tecnologías de intrusión (worms, virus, spyware, rootkits, etc.) que son más fáciles de utilizar y adquirir.

Una de las tareas más demandantes para los administradores de sistemas es asegurar que cualquier dispositivo que se conecte a la red corporativa en cualquiera de sus formas (PDA, Notebook, Smartphone, Workstation, Server, Virtual Server) y a través de cualquier medio de acceso (Internet, VPN, Extranet, Wireless, Wired, Dial-Up) cumplan con el modelo de seguridad definido para la organización.

Teniendo en cuenta esta necesidad, en los últimos años emergieron tecnologías de control de acceso como NAC (Network Admission Control) de Cisco Systems, NAP (Network Access Protection) de Microsoft y TNC (Trusted Network Connect) de Trusted Computing Group, a alto nivel estas tecnologías tienen por objetivo verificar que los dispositivos cumplan con el modelo de seguridad definido para la organización (Ej.: Firewall activado, Actualizaciones del SO, Software de Antivirus/Antimalware) antes de que estos tengan acceso a la red corporativa.

El lanzamiento de Microsoft Windows Server “Longhorn” está acompañado de una de las tres tecnologías de control de acceso NAP (Network Access Protection): esta tecnología se estimaba iba a realizar su primer debut en Microsoft Windows Server 2003 R2, esto no sucedió y en su lugar apareció NAQS (Network Access Quarantine Control) integrándose con IAS (Internet Authentication Service) como solución de control de acceso para clientes de acceso remoto, a través de una validación del modelo de seguridad vía vbscripting, esto mas tarde fue integrado con la solución de Microsoft ISA Server 2004 a través de una característica conocida como VPN Quarantine.

Cabe destacar que la solución de NAP no está diseñada para asegurar la red de usuarios maliciosos, si no que está diseñada para ayudar a los administradores de sistemas a mantener la higiene de los dispositivos con SO Microsoft NAP “compliance” dentro de la red, que tiene como resultado mantener la integridad general de la red.

NAP provee “compliance” sobre las siguientes tecnologías:

•	IPSec (Internet Protocol Security).
•	IEEE 802.1x Authenticated Network Connections.
•	VPNs (Virtual Private Networks).
•	Dynamic Host Configuration Protocol (DHCP).

Estas tecnologías pueden ser utilizadas en forma conjunta o independiente en función del modelo de seguridad y la infraestructura a utilizar, el refuerzo de las políticas en estas tecnologías se realiza a través de un NPS (Network Policy Server) que es el reemplazo del IAS (Internet Authentication Service) en Microsoft Windows Server 2000/2003 y está disponible en Microsoft Windows Server “Longhorn”.

Para la implementación de NAP es necesario montar toda una infraestructura que soporte el framework de control de acceso, esta infraestructura cuenta con:

•	Active Directory.
•	Policy Servers (Network Policy Server).
•	DHCP Servers.
•	Dispositivos compatibles con IEEE 802.1x
•	Health Certificate Servers (Windows Server Longhorn + IIS (Internet Information Server) + CA (Certificate Authority).
•	VPN Servers.
•	System Health Agent (Windows XP + SP2, Windows Server 2003, Windows Server Longhorn + NAP Agent).
•	NAP Administration Server (Network Policy Server).
•	System Health Validator (Network Policy Server).
•	Health Policy (Network Policy Server).
•	Accounts Database (Active Directory).
•	Remediation Server (WSUS, SMS, Antivirus/Antimalware Server, DNS Server).

En la siguiente figura se ve un modelo de ejemplo de alto nivel de Network Access Protection.

Por otro lado tenemos la propuesta de Cisco Systems NAC (Network Admission Control), que son un conjunto de tecnologías desarrolladas por Cisco Systems, utiliza la infraestructura de red para forzar las políticas de seguridad definidas en el modelo de seguridad de una organización en todos los dispositivos conectados a esta.

Microsoft y Cisco han trabajado conjuntamente para garantizar la interoperabilidad en estas dos tecnologías, como resultado de este trabajo conjunto se obtiene:

•	Interoperabilidad entre la plataforma de networking de Cisco Systems y la plataforma de Sistemas Operativos Microsoft Windows.
•	Protección en la inversión al trabajar con dos de los referentes más importantes del mercado.
•	Un solo agente incluido en Windows Vista/Windows Server codenamed “Longhorn”, en el caso de Windows Server 2003/Windows XP se deberá utilizar el Cisco Trust Agent for NAC y el NAP Agent for NAP.
•	Un ecosistema de Independent Software Vendors (ISV) que agregara valor a la integración de estas plataformas (NAP-NAC).
•	Distribución de agentes y soporte actualizado.
•	Soporte Multiplataforma.

A alto nivel la integración que tienen estas dos plataformas funciona de la siguiente manera:

•	1- Al momento de realizar una conexión con la red, los clientes presentaran un set de credenciales (user o computer identity) las cuales luego de ser validadas definirán cual es el nivel apropiado de acceso que tendrán dentro de la red.
•	2- Los clientes “non-compliance” serán ubicados en una red de cuarentena para ser provistos de los componentes que les permitirán ser “compliance” y acceder a la red en forman normal.
•	3- Los clientes que utilicen el NAP Agent proveen credenciales (user o computer identity), esto conjuntamente con una lista de SoHs (Statements of Health’s) los cuales son enviados a un Cisco Secure ACS con EAP-FAST sobre 802.1x o EAPoverUDP.
•	4- Cisco Secure ACS enviara la lista de SoHs a un Microsoft NPS (Network Policy Server) para validar al cliente.
•	5- El servidor de Microsoft NPS evaluara la SoHRs (State of Health Responses) en función del modelo de seguridad definido y devolverá el HVS (Health Validation Status) al Cisco Secure ACS.
•	6- Cisco Secure ACS va a evaluar el resultado de todas las validaciones realizadas para enviar el profile de acceso correspondiente al dispositivo de acceso para permitir el acceso del cliente a la red corporativa.
•	7- Todos aquellos clientes “non-compliance” que fueron puestos en el segmento de cuarentena, van a ser re-validados posteriormente a la provisión de los requerimientos faltantes para garantizar el acceso a la red dentro del modelo de seguridad definido.

Como tercera opción emergente en lo que respecta a tecnologías de control de acceso, esta TNC (Trusted Network Connect) una solución desarrollada por TCG (Trusted Computing Group) una organización sin fines de lucro creada para desarrollar, definir y promover estándares abiertos para hardware habilitado para funcionar dentro de un modelo confiable y tecnologías de seguridad.

Este modelo esta siendo utilizado por empresas como Juniper Networks dentro de su modelo de control de acceso conocido como Juniper Networks Unified Access Control Microsoft es miembro de TCG, a estado trabajando con el grupo desde el 2004 y se están desarrollando interfaces para soportar “plug-ins” para garantizar la interoperabilidad entre NAP y TNC.

Sumario

NAP (Network Access Protection) es una tecnología que incluye componentes tanto de servidor como de cliente, y que puede implementarse a través de IPSec Enforcement, 802.1x Enforcement, VPN Enforcement, DHCP Enforcement, en forma separada o conjunta.

Tiene por objetivo ser totalmente interoperable con otras tecnologías de control de acceso (NAC/TNC), lo cual provee independencia del proveedor de hardware ya que NAC trabaja de momento solo con dispositivos Cisco Systems, mientras que TNC es un modelo abierto multi-vendor.

Emiliano Estévez

Socio y consultor de Algeiba S.A. (eestevez@algeiba.com.ar). Es el encargado de proyectos en infraestructura de IT. Tiene más de 9 años de experiencia como profesional de IT. Ha trabajado en diferentes empresas nacionales y multinacionales, contribuyendo a incrementar la disponibilidad, seguridad y performance de sus centros de datos.

Es MCSA (Microsoft Certified Systems Administrator) en MS Windows 2000/2003 y MCSE (Microsoft Certified Systems Engineer) en MS Windows 2000/2003, ambas certificaciones con especialización en Messaging. Certificó como Cisco CRS (Customer Response Solutions) y Cisco UCSE (Unified Communications System Engineer). Actualmente se desempeña como instructor de la carrera de MCSA/MCSE en MS Windows 2000 y MS Exchange Server 2003 en BS Training Center. Actualmente esta trabajando como Consultor Senior en Seguridad para Microsoft Cono Sur.

Principio de la página

•	Otros artículos de TechNet Newsletter
•	Forefront de punta a punta
•	Microsoft te da el control
•	La seguridad en la red y la PC
•	El Control es tuyo
•	El Control es tuyo
•	El Control es tuyo
•	Microsoft liberó un nuevo Service Pack para Windows Server 2003
•	Récord: ya se vendieron más de 20 millones de copias de Windows Vista
•	Más de seis mil empresas usan Dynamics en Latinoamérica
•	Microsoft presenta visión detallada para la creación de un negocio conectado
•	Spammer holandés multado en € 75.000 por enviar 9.000 millones de e-mails
•	Microsoft Research presenta más de cien innovaciones
•	La mensajería instantánea llega a Xbox 360
•	Panda Internet Security 2007 es compatible con Windows Vista
•	Windows Server TechDays presenta lo nuevo de Longhorn
•	Chile será sede de Microsoft Research Academic Summit 2007
•	Conociendo Microsoft Network Access Protection (NAP)
•	“Hay que ser productivo desde el primer día de trabajo”
•	“La seguridad informática es un problema internacional”
•	Petrobrás suma energía con Windows Vista y 2007 Office system
•	“Hosting day” demuestra la importancia del almacenamiento
•	México realizó su Community Leadership Summit
•	Bill Gates participó de la conferencia Vida Digital

•	TechNet Newsletter Marzo
•	TechNet Newsletter Febrero
•	TechNet Newsletter Enero
•	Ediciones anteriores