notas:microsoft:network_policy_server_nps
Diferencias
Muestra las diferencias entre dos versiones de la página.
| Ambos lados, revisión anteriorRevisión previaPróxima revisión | Revisión previa | ||
| notas:microsoft:network_policy_server_nps [2017/01/06 14:58] – cayu | notas:microsoft:network_policy_server_nps [2019/08/30 15:05] (actual) – [Configuración de clientes de red] cayu | ||
|---|---|---|---|
| Línea 5: | Línea 5: | ||
| Referencia : https:// | Referencia : https:// | ||
| + | ===== Introducción ===== | ||
| + | En los últimos años se ha producido una necesidad de acceso a las redes corporativas utilizando distintos medios de acceso, además, se ha intensificado el uso de aplicaciones que requieren que la red le garantice condiciones de seguridad y confidencialidad para el tráfico de los datos que intercambian. | ||
| + | En respuesta a esta demanda surgen iniciativas y tecnologías para resolverlas que se engloban dentro de lo que se conoce como Control de Acceso a la Red. | ||
| + | ===== Objetivo ===== | ||
| + | El foco principal es reducir las amenazas de seguridad, las mismas pueden ser causadas por usuarios de una organización sin ninguna intención, por ejemplo: | ||
| + | * Si no tenemos control de quienes se conectan a nuestra red | ||
| + | {{ : | ||
| + | Las soluciones NAC son diferentes pero pueden ser clasificadas en dos grupos | ||
| + | * **Clienless** no necesita de ningún software instalado en los dispositivos | ||
| + | * **Client-based** un componente de software es preinstalado en los dispositivos para poder asistir al proceso de NAC | ||
| + | Existe un numero de factores para decidir cual tipo de solución es la mas adecuada dependiendo de cómo esta formada la organización, | ||
| + | |||
| + | **Pre admisión NAC** : Determina que un dispositivo cumpla con ciertos criterios predeterminados antes de permitirle el acceso a la red. Si esos criterios no se cumplen, no permite que el dispositivo se conecte a la red, o le asigna un acceso restringido. | ||
| + | ===== Soluciones de Microsoft NAP (Network Access Protection) ===== | ||
| + | Microsoft ofrece una variedad de tecnologías | ||
| + | * Microsoft Network Protection (NAP) | ||
| + | * 802.1X vía Microsoft | ||
| + | ==== NAP (Network Access Protection) ==== | ||
| + | Es la solución propietaria de Microsoft. Consta de una plataforma de aplicación pensada para ser soportada por el sistema operativo de Windows. | ||
| + | NAP protege las redes y dispositivos que componen la red aplicando políticas de confianza basadas en requerimientos de salud que deben cumplir los dispositivos al componer una red. | ||
| + | La mayor diferencia que presenta esta solución es que al no ser fabricante de equipos de networking Microsoft basa su despliegue de agentes y aplicaciones en el lado del cliente y en el uso de distinto tipo de servidores en el lado de la red tanto para la verificación como para la admisión. | ||
| + | Microsoft define NAP como sigue: La protección del acceso de red (Network Access Protection NAP) es una plataforma que proporciona componentes para la aplicación de políticas para ayudar a asegurarse que las computadoras conectadas o a conectarse en una red cumplan con los requisitos para la salud del sistema. | ||
| + | ==== Microsoft 802.1X ==== | ||
| + | 802.1X es una autenticación basada en el port que puede aplicarse tanto para redes alámbricas como inalámbricas, | ||
| + | * **Suplicante** : requiere el acceso a la red | ||
| + | * **Autenticador** : autentica suplicantes y decide o no darle acceso a red. | ||
| + | Para entender mejor **802.1X** podemos hablar de ports controlados y ports no controlados. | ||
| + | * Un port **controlado** es aquel que nos habilita a ciertas direcciones de red. | ||
| + | * Un port **no controlado** nos permite un acceso irrestricto a la red. | ||
| + | {{ : | ||
| + | |||
| + | |||
| + | ===== Instalación sugerida ===== | ||
| + | Podemos configurar nuestros equipos controladores de red, tanto wifi como cableada a que por cada pedido de acceso a la red, contacte al servicio autorizante. | ||
| + | ==== Configuración de equipos de red ==== | ||
| + | === Controlador WIFI Fortinet WLC === | ||
| + | === Switch Aruba === | ||
| + | Ejemplo de configuración en un Switch Aruba 2930M con el puerto 24 afectado por el sistema de Control de Acceso a la red, con la VLAN ID 666 como VLAN de cliente no autorizado. | ||
| + | < | ||
| + | #Define authentication host and pre-shared key. | ||
| + | radius-server host 192.168.1.55 key " | ||
| + | #Enable processing of Disconnect and Change of Authorization messages from authentication server | ||
| + | radius-server host 192.168.1.55 dyn-authorization | ||
| + | snmp-server community " | ||
| + | #Set selected authentication mode | ||
| + | aaa authentication port-access eap-radius | ||
| + | #Configure switch to use GVRP VLANs assigned by RADIUS server; prevent GVRP-enabled clients from gaining access to additional tagged VLANs | ||
| + | aaa port-access gvrp-vlans | ||
| + | int 24 unknown-vlans disable | ||
| + | #Configure specified ports for authentication | ||
| + | aaa port-access authenticator 24 | ||
| + | aaa port-access authenticator 24 reauth-period 5 | ||
| + | #Assign authenticated client VLAN to authenticator ports | ||
| + | aaa port-access authenticator 24 auth-vid 1 | ||
| + | #Assign unauthenticated client VLAN to authenticator ports | ||
| + | aaa port-access authenticator 24 unauth-vid 666 | ||
| + | #Configure selected backup authentication method | ||
| + | aaa authentication port-access eap-radius authorized | ||
| + | #Set authenticator ports to client-based mode and configure client limit | ||
| + | aaa port-access authenticator 24 client-limit 1 | ||
| + | #Activate authentication on assigned ports with configured options | ||
| + | aaa port-access authenticator active | ||
| + | oobm | ||
| + | ip address dhcp-bootp | ||
| + | exit | ||
| + | vlan 1 | ||
| + | name " | ||
| + | | ||
| + | ip address dhcp-bootp | ||
| + | ipv6 enable | ||
| + | ipv6 address dhcp full | ||
| + | exit | ||
| + | vlan 666 | ||
| + | name " | ||
| + | no ip address | ||
| + | exit | ||
| + | </ | ||
| + | ==== Configuración de clientes de red ==== | ||
| + | === Configuración en cliente Windows para conexión cableada === | ||
| + | Para que los clientes Windows puedan autenticarse y conectarse a la red, primero deberemos habilitar el servicio de “Configuración automática de redes cableadas” : El Servicio de configuración automática de redes cableadas (DOT3SVC) se encarga de realizar la autenticación IEEE 802.1X en interfaces Ethernet. Si la implementación de la red cableada actual exige autenticación 802.1X, el servicio DOT3SVC debe configurarse de modo que se ejecute para establecer la conectividad de nivel 2 y/o proporcionar acceso a los recursos de red. Las redes cableadas que no exigen autenticación 802.1X no se verán afectadas por el servicio DOT3SVC. | ||
| + | {{ : | ||
| + | |||
| + | {{ : | ||
| ===== Operaciones ===== | ===== Operaciones ===== | ||
| Backup de la configuración : | Backup de la configuración : | ||
notas/microsoft/network_policy_server_nps.1483714716.txt.gz · Última modificación: 2017/01/06 14:58 por cayu