José Parada GimenoMicrosoft ITPro [email protected]
Agenda
Protección de Acceso a Redes (NAP)Server CoreMejoras en los Servicios de Terminal
NAP: Acceso basado en políticas
Validación de Políticas: Determina si los equipos cumplen con la política de seguridad de la organización. A los que cumplen se les estima como “Saludables”.
Restricciones de Red: Restringe el acceso a la red a los equipos en función de su salud.
Remediación: Provee las actualizaciones necesarias para permitir que un equipo se vuelva saludable. Una vez que esto ocurre, se le quitan las restricciones de red.
Cumplimiento sobre la marcha: Los cambios en la política de seguridad de la organización o en la salud de los equipos pueden provocar restricciones de red.
Network Access ProtectionFuncionamiento
No Cumple
la Política
1
RedRestringida
El cliente solicita acceso a la red y presenta su estado de salud actual
1
4Si no cumple la política el cliente solo tiene acceso a una VLAN restringida donde hay recursos para solucionar sus problemas, descargar actualizaciones, firmas(Repetir 1-4)
2 DHCP, VPN o Switch/Router envía el estado de salud al Servidor de Políticas de Red (RADIUS)
5 Si cumple la política al cliente se le permite el acceso total a la red corporativa
MSFT NPS
3
Servidor de Políticas
Cumple la
Política
3 El Servidor de Políticas (NPS) valida contra la política de salud definida por IT
2
ClienteWindows
DHCP, VPNSwitch/Router
Fix UpServerse.g. Patch
Red Corporativa5
4
Opciones de ForzadoForzado
Cliente Saludable
Cliente no Saludable
DHCPConfiguración IP completa. Acceso Total
Conjunto de rutas restringido
VPN (Microsoft and 3rd Party) Acceso Total VLAN Restringida
802.1X Acceso Total VLAN Restringida
IPsec
Puede comunicar con cualquier nodo en que confie
Nodos saludables rechazan la conexión de sistemas no Saludables
•Complementa la protección a nivel 2•Funciona con la infraestructura existente•Aislamiento Flexible
Componentes Basicos de NAP
NPS Policy Server(RADIUS)
Quarantine Server (QS)
Cliente
Agente de Quarentena QA
Política de SaludActualizaciones
Estado de Salud
SolicitudAccesoa la Red
Servidores deSalud
Servidor de Remedios
HealthCertificate
802.1x SwitchesPolicy Firewalls
SSL VPN GatewaysCertificate Servers
(SHA)MS SHA, SMS
System Health Validator
(EC)(DHCP, IPsec, 802.1X, VPN)
• Cliente• SHA – Agente de salud chequea la salud del
sistema• QA – Coordina SHA/EC• EC – Método de Forzado
• Servidor de Remedios• Proporciona parches, firmas AV , etc…
• Network Policy Server• QS – evalua la salud del cliente• SHV – evalua la respuesta SHA
• System Health Server• Proporciona SHV
(SHA)3rd Parties
(EC)3rd Party EAP
VPN’s
Plataforma extensible - NAPAPIs publicas para desarrollar SHV o Agentes
Mas de 100 partners tienen ya soluciones (Casas antivirus)Hay agentes para otras plataformas (Linux)
Integrable con la plataforma de Gestión y Seguridad de Microsoft
SCCM 07 o Forefront.
Integrable con la plataforma NAC de CiscoExtensible con la electrónica de red apropiada
HP Pro Curve.
CONTROLde ACCESO
CONTROL de INTEGRIDAD
GESTIÓNde ATAQUES
Red unificada segura
VILTUAR SERVER
VILTUAR SERVER
VILTUAR SERVER
Visibilidad
Adap
tive
Edge
Servicios IT Corporativos
Gestión Control CumplimientoTrazabilidad
Proactive Defense
Nuevos servicios en el acceso a la red
RESOLUCIÓNde INCIDENCIAS
802.1X Supplic
ant
802.1X Supplicant
802.1X Authenticator
Policy Enforcement Point (PEP)
Supported in ProCurve Edge Devices5300 / 5400 / 3400 / 3500
4100 / 42002600 / 2600-PWR / 2800
2610/2810/29002500
420 / 530 / WESM
IASRADIUS
IDM Agent
PCM / IDM 2.3 Server
Power
Fault
switch 5304xlJ4850A Console
procurvehp
Reset Clear SelfTest
Use xl modules onlyLED Mode SelectAct FDx !Max
Status
Power ModulesFan1 2 B C D E F GA H
A
C D
B
AuthenticationDirectory
Active Directory
Network Mgmt Server
ProCurve hardware
ProCurve
MAC-Auth
Web-AuthMAC Address
HTTP Request
Network PolicyServer
Microsoft IASMicrosoft NPS
NAP Agent
NPSRADIUS
Microsoft
Microsoft Windows server 2008 y HP Procurve
Integración NAP con la red
NAP
Conmutador/Acceso WIFI
Gestión depolíticas
RADIUS/Servicio de Directorio
Integridad Dispositivode acceso
Control de Acceso
Acceso
¿Quién soy?
IntegridadNAP/NAC¿Cómo estoy?
Básico802.1x
Acceso permitido o denegado
Acceso permitido o denegado
MedioRFC3580
Acceso permitido a una vlan
Si es denegado acceso a Vlan restingrida
Avanzado Acceso y Política de uso de acuerdo al contexto
Acceso y Política de uso de acuerdo al contexto y/o integridad
Políticas:· Un Conjunto de: Vlan, permisos,
control de ancho de banda y calidad de servicio.
Contexto:· Basado en: Usuario, momento,
dispositivo y localización.
Armonizar diferentes sistemas sobre una única RED
RADIUS Directorio
HP Procurve
LAN/WAN
VLAN usuarios (UnTagged)
VLAN voz (Tagged)
RADIUS Directorio
HP Procurve
LAN/WAN
Wireless Switch
Dispositivos en cascada (Teléfono IP y PC )
Diferentes sistemas IP sobre la red. (PCs, telefónia, Camaras IP, etc..)
Autenticación multiusuario -Tecnología en puerto lógico
Para HP ProCurve, cada dispositivo conectado sobre un mismo puerto pertenece a un puerto lógico distinto.Este puerto lógico se encarga de
Proveer procesos de autenticación separados para cada dispositivo.Aprovisionar un entorno de producción diferente para cada dispositivo
La tecnología en puerto lógico se utiliza para la arquitectura de conexión de teléfonos y PCs de usuarios en cadena
RADIUS Directorio
HP Procurve
LAN/WAN
VLAN usuarios
VLAN voz
802.1x/MAC + RFC4675 [VLAN_Voz]
802.1x + RFC3580 [VLAN_Producción]
Beneficios NAP y HP ProCurve
Integrado en Windows 2008 ServerUnifica y permite diferentes sistemas. Control granular avanzado.Para usuarios y dispositivos cableados, inalámbricos y remotos.Registro para auditoría.Dinámico y automático.Protección antes y después del acceso.
{ Configuración NAP}
NameTitleGroup
demo
DesplieguePlanificación de Requerimientos
Definir la política de salud requeridaDefinir los métodos de forzado requeridosPlanificar la arquitectura NAPPlanificar las excepciones
Definir roles y responsabilidadesFases del despliegue
Pruebas en LaboratorioPilotoModo de ReporteForzado diferidoForzado
Server Core{El Windows sin Windows}
David Cervigón LunaIT Pro EvangelistMicrosoft Ibé[email protected]
José Parada GimenoIT Pro EvangelistMicrosoft Ibé[email protected]
¿Porqué Server Core?
Reduce el mantenimiento del software Solo se instalan los componentes esenciales
Reduce la superficie de AtaqueMenos cosas que parchear y asegurar
Reduce la GestiónMenos cosas que gestionar / actualizar.
Menor consumo de recursosMemoria (p.e 184 MB frente a 309 MB en VMs recién instaladas)Almacenamiento (Core: 1.6 GB / Completo: 7.6 GB, en instalación base, sin Pagefile.sys).
Server CoreOpciones Mínimas de InstalaciónPoca superficie de ataqueInterfaz por Línea de ComandosSet limitado de Roles de ServidorRoles de Servidor de Server Core
Server CoreSeguridad, TCP/IP, Sistema de Ficheros, RPC,y otros Sub-Systems del nucleo de Servidor.
DNS DHCP File AD
ServidorWith WinFx, Shell, Tools, etc.
TS IAS WebServer
SharePoint® Etc…
Server, Server Roles (Por ejemplo, solo)
GUI, CLR, Shell, IE,
Media, OE, etc.
MediaServer
WebServer
Server Core NO es un "SKU”
Seleccionar el modo de instación “Server Core “ en el Unattend.xml:
<InstallFrom><MetaData>
<Key>/IMAGE/Name</Key><Value>Windows Longhorn Server Core</Value>
</MetaData></InstallFrom>
{ Server Core}
demo
{Terminal Server }
José Parada GimenoITPro EvangelistMicrosoft
Corporation
{Hoy no me puedo Conectar}
TS Gateway
TS GatewayDMZInternet Red Interna
Terminal Server
Hotel F
irew
all E
xter
no
Fire
wal
l Int
erno
Casa
Business Partner/Client Site
Other RDPHosts
TerminalServer
Internet
Terminal Services Gateway Server
Network Policy Server
Active Directory DC
Tunel RDP sobre
RPC/HTTPS
Pasa tráfico RDP/SSL al
TS
Deshace el RPC/HTTPS
Seguridad FuerteUsa cifrado estándar de la industria (SSL, HTTPS)El tráfico RDP sigue cifrado de extremo a extremo desde el cliente al servidorLa salud del equipo cliente se puede chequear mediante NAPSe puede terminar el trafico SSL en dispositivos intermedios para detectar intrusiones o filtrar en la DMZAutenticación mediante contraseña o smartcards
Conectividad Sencilla
El puerto de SSL, 443 ofrece menos problemas de conectividad que el puerto RDP 3389.
Https esta abierto de salida en casi todos los proxy.Https esta abierto de entrada en casi todos los Firewalls.En dispositivos con NAT, es sencillo redirigir el puerto 443.
{ Configurar Terminal Server Gateway}
NameTitleGroup
demo
{No encuentro la Aplicación}
TS Web Access
TS Web AccessPublicación o despliegue de aplicaciones a través de una pagina Web.
TS Web AccessRequiere que IIS este instalado en el equipoSolo es una página WEB, NO proporciona ningún tipo de canal de comunicaciones como en el caso de TS GatewayGenera automáticamente una Pagina Web con unas WebParts donde están la definición de la conexión RDP.
Fácil de personalizar la Web en función del usuario que se conecte.
El cliente ha de ser Vista SP1 o W2K8
TS Gateway Con TS Web AccessEl host RDP se puede situar tras un
FirewallHTTP/S se usa para atravesar el FirewallSe chequean AD / ISA / NAP antes de permitir la conexiónEl escritorio y las aplicaciones no se ejecutan dentro de IE
AD / IAS / NAP
El Usuario navega a TS Web Access
El usuario inicia la conexión HTTPS al TS Gateway
Terminal Servers o XP / Vista
TS Gateway
TS Web Access
Internet
DMZ Red Interna Network
RDP Sobre HTTP/S se establece a TSG RDP 3389 a host
Chequeo AD / IAS / NAP
Cliente (TS) Vista RDC
Publicación de aplicacionesPuede ser mediante paquetes RDP o MSI
RDP es simplemente un fichero con los parámetros de conexiónMSI es un mínimo paquete de instalación del RDP
Se pueden publicar simplemente compartiéndolos en un directorio o mediante el sistema de distribución de software que queramosEl DA es muy útil para desplegar estas aplicaciones personalizando en función del usuario.
Integración de Aplicaciones en el Escritorio Local
Terminal Server
Parece que los programas se ejecutan en local
Requiere el cliente de
acceso remoto
{ Publicar Aplicaciones con TSWebAccess}
NameTitleGroup
demo
{No puedo ver ni Imprimir mis Foto }Easy PrintRedirección Dispositivos
Terminal Server
Remote Desktop Protocol
Equipo Cliente
Redireccionamiento de Dispositivos
Redireccionamiento de Dispositivos PnPPara dispositivos “Windows Portable
Devices” como reproductores MTP y cámaras PTPConfigurable mediante políticas
Computer Configuration\Administrative Templates\Windows Components\Terminal Services\Terminal Server\Device and Resource Redirection\Do not allow supported Plug and Play device RedirectionComputer Configuration\Administrative Templates\System\Device Installation\Device Installation Restrictions
También disponible para dispositivos utilizados en puntos de servicio con Windows embebido (Windows Embedded for Point of Service POS), que utilizan Microsoft POS para .NET 1.11
Terminal Server
Impresión Sencilla
1234El usuario abre Microsoft Word via Terminal ServicesEl documento se imprime en la impresora local
“TS Easy Print” utiliza el driver del cliente y aparece el interface de Usuario completo para impresión.
El usuario quiere imprimir un documento a su impresora local
1
2
3
4
Impresión Sencilla – Easy PrintRe-direccionamiento de impresoras
locales en la aplicación que se ejecuta en el Terminal serverEs un driver del servidor que actúa como Proxy enviando todos los trabajos de impresión al equipo local.No requiere la instalación de ningún driver en el servidor, solo hace falta W2K8Requiere en cliente RDC 6.1 y el Framework 3.0 SP1 (estará disponible para XP y 2003)
{Redireccionamiento de dispositivios e Impresión Sencilla}
NameTitleGroup
demo
{Tengo que volver a escribir mis credenciales}Otras capacidadesAutenticación y SSO
Terminal Server
Terminal Server
Windows Server 2008 1
Gestor de Sesiones o “Session Broker”
Windows Server 20082
1
2
3
4
5
6
123456 El Usuario Remoto Conecta via Terminal Services
TS: El Servidor 1 contacta con el “Session Broker” para determinar donde ha de iniciar sesión el usuario
“Session Broker” indica al Servidor 1 que este usuario no tiene sesión y que el Servidor 2 tiene menos carga
El Servidor 1 indica al cliente vía RDP que ha de redirigirse al Servidor 2El Cliente es redirigido al Servidor 2Se Crea la Sesión en el Servidor 2 para el cliente
Session Broker
Gestor de Sesiones o “Session Broker”Permite la conexión al nodo que
albergue menos sesiones y pesar cada servidor para que alberguen mas o menos sesiones en función de su rendimiento.Guarde el estado de la sesión y en caso de problemas en la conexión, nos permite conectarnos a la sesión ya establecida en el mismo nodo.Permite el drenado de sesiones en un nodo para poder ponerlo fuera de línea para mantenimiento etc.
Capacidades del nuevo Escritorio Remoto
Monitor SpanningDesktop ExperienceDesktop CompositionFont SmoothingDisplay Data Prioritization
Terminal Server
Active Directory
Autenticación a Nivel de Red
AutenticaciónAutenticación a nivel de Red: Se realiza la autenticación del usuario antes de que se conecte a la sesión y se muestre el inicio de sesión en el servidor de Terminales
Evita posibles ataques de DOSAutenticación de Servidor. Verifica que nos conectamos al servidor correcto y evita que nos conectemos a una maquina maliciosaSSO: evita tener que volver a introducir nuestras credenciales
Mejoras en el Licenciamiento.Seguimiento y reporte de las
licencias por usuario.Las licencias por equipo se pueden revocarMejoras en el Gestor de Licencias que mejoran el diagnostico y la resolución de posibles problemas.Proveedor WMI para poder administrar el Servidor de Licencias
RecursosGuía paso a paso Terminal Server
http://www.microsoft.com/downloads/details.aspx?familyid=518D870C-FA3E-4F6A-97F5-ACAF31DE6DCE&displaylang=en
Technical Libraryhttp://technet2.microsoft.com/windowsserver2008/en/library/61d24255-dad1-4fd2-b4a3-a91a22973def1033.mspx?mfr=true
Terminal Server Bloghttp://blogs.msdn.com/ts/default.aspx
Forohttp://forums.microsoft.com/TechNet/ShowForum.aspx?ForumID=580&SiteID=17
Recursos TechNet• TechCenter de Windows Server 2008
http://www.microsoft.com/spain/technet/prodtechnol/windowsserver/2008/default.mspx
• Webcasts grabados sobre Windows Server
http://www.microsoft.com/spain/technet/jornadas/webcasts/webcasts_ant.aspx?id=1
• Webcasts grabados otras tecnologías Microsoft
http://www.microsoft.com/spain/technet/jornadas/webcasts/webcasts_ant.aspx
• Foros técnicoshttp://forums.microsoft.com/technet-es/default.aspx?siteid=30
RecursosGuía paso a paso W2K8
http://www.microsoft.com/downloads/details.aspx?familyid=518D870C-FA3E-4F6A-97F5-ACAF31DE6DCE&displaylang=en
Librería Técnicahttp://technet2.microsoft.com/windowsserver2008/en/library/61d24255-dad1-4fd2-b4a3-a91a22973def1033.mspx?mfr=true
Foro de Seguridad W2K8http://forums.microsoft.com/TechNet/ShowForum.aspx?ForumID=581&SiteID=17
Recursos TechNet• TechCenter de Windows Server 2008
http://www.microsoft.com/spain/technet/prodtechnol/windowsserver/2008/default.mspx
• Próximos webcasts en vivohttp://www.microsoft.com/spain/technet/jornadas/default.mspx
• Webcasts grabados sobre Windows Server
http://www.microsoft.com/spain/technet/jornadas/webcasts/webcasts_ant.aspx?id=1
• Webcasts grabados otras tecnologías Microsoft
http://www.microsoft.com/spain/technet/jornadas/webcasts/webcasts_ant.aspx
• Foros técnicoshttp://forums.microsoft.com/technet-es/default.aspx?siteid=30
http://www.microsoft.es/HOLSistemas