El documento describe las opciones de Network Access Protection para validar la identidad de los usuarios y el estado de salud de sus dispositivos. NAP monitorea el cumplimiento de políticas de seguridad y actualizaciones, y puede restringir el acceso o remediar sistemas que no cumplen para proteger la red. Las opciones incluyen validación a través de 802.1x, IPSec, VPN y más, con el objetivo de administrar riesgos, mantener equipos actualizados y proteger recursos remotos.
2. Retosactuales en la red Redesaltamentesconectadas Multiples metodos de acceso Usuarios con diferentespermisos Diferentesdispositivos de acceso Nuevosretos Incremento de trabajomovil Incrementoexposicion a malware Control de invitados Estrategias claves Validaridentidad y salud Actualizacion de sistemasqueno cumplen Monitorizacion continua Internet Boundary Zone Customers Employees , Partners, Vendors Intranet Partners Remote Employees
3. Network Access Protection El control de acceso a la red soluciona: Validarrequisitos de salud Monitorizarestado de los equipos de la red Limitaracceso a aquellosque no cumplen Remediaciónautomática Internet Boundary Zone Customers Employees , Partners, Vendors Intranet Partners Multiples plataformas La mayoria de los dispositivos Soporta multiples soluciones antivirus Remote Employees
4. Opciones de cumplimiento! Multiples modos de cumplimiento Modomonitorizacion Monitorizarestado de cumplimiento Mododiferido Accesocompleto hasta ciertafecha Cumplimientocompleto Multiples plataformas Windows® 7, Vista & XP SP3 Windows® Server 2008 & 2008 R2 Otros SSOO a traves de partners IPsec 802.1x VPN DHCP Terminal Services Gateway Direct Access Network Access Protection
5. Terminologia NPS (Network Policy Server) Servidorutilizadoparavalidad la identidad del usuario y el estado de salud HRA (Health Registration Authority) Servidordistribuidor de certificados a equiposquecumplen con estado de salud SHA (System Health Agent) Componentequemonitoriza y genera informesdel estado de salud del cliente SHV (System Health Validator) Componentes de servidorqueinterpreta los informes del SHA SoH (Statement of Health) Protocoloutilizadoparacomunicarestado de salud entre SHAs y SHVs QEC/EC (Quarantine Enforcement Client) Componentequeadministracomportamiento de cuarentena en el cliente NAS (Network Access Server) Servidorquepermiteacceso a la red– e.g. 802.1x switch, VPN, TSG, DHCP server, HRA
6. NAP – Como funciona 1 Directory and Health Serverse.g.., Active Directory, Patch, AV 1 Solicitud de acceso Autenticacion y estado de saludenviado al NPS (RADIUS) NPS valida contra politicas de salud Si cumple, accesogarantizado Si no cumple, accesorestringido y remediacion Microsoft NPS 2 3 5 Not policy compliant Remediation Serverse.g., Patch 2 3 RestrictedNetwork Policy compliant 4 NAS DHCP, VPN, HRA, TSG, 802.1x switch 5 Corporate Network 4
7. NAP Arquitectura Servidores de salud del sistema Servidores de remediacion Politica de salud Actualizaciones Network Policy Server (NPS) NAP Client SoH Packets System Health Validators (SHV) System Health Agents (SHA) SHV-AV SHV-Patch SHV-WSC SHA-Patch SHA-WSC SHA-AV NAP Server NAP Agent Network Access Messages Enforcement Clients (EC) Network Access Devices and Enforcement Servers (ES) IPsec 802.1x EC-x DHCP VPN HRA VPN Srv DHCP srv … ES-x Health Data 802.1x Switch
8. Novedades en Windows® 7 & Server 2008 R2 Mejoras y nuevascaracteristicas: Plantillas de configuration Multiples SHV Mejorasinterfazcliente NAP Nuevosescenarios NAP para Direct Access Remediacion en Terminal Services Gateway Forefront Client Security SHA/SHV
9. Off-network Health AssessmentRecording compliance for roaming clients NAP can be used to assess compliance of your off-network clients Clients connect to an internet facing health validation server which records health assessment Out of compliance clients can be remediated before they return to the intranet Advantages Record compliance for all your assets Remediate clients anywhere Scalable solution Easy to deploy Policy Servers NPS HRA Remediation Serverse.g., Patch Corporate Resources Not policy compliant
10. Opciones de políticasde salud Centro de seguridad Firewall on/off Anti-virus instalado y actualizado Anti-spyware instalado y actualizado Actualizacionesautomaticashabilitadas SCCM Parches de software instalados Remediacion con instalacionautomatica de parches SHA/SHVs de terceros La mayoria de los vendedores antivirus
11. Planificación básica Identificarobjetivos Inventariado de metodos de acceso Determinarcumplimientoquemejor se ajuste a necesidades Entender el estado de saludnecesario Determinarsi se requierenexcepciones
12. Objetivospotenciales Administrar los riesgosdentro de una red Monitorizarcumplimientos de políticas de seguridad Mantenerequiposactualizados Protegerse de equipos no administrados Proteccion de sedesremotas Proteccion de accesoremotos