70-411 - Modulo 6 · Administracion de NPS linea de comandos NETSH NPS . Puertos RADIUS Los puertos...

62
------------------------------------------------------------------------------------------------------------------------------------------ ------------------------------------------------------------------------------------------------------------------------------------------ Module 6: Installing, Configuring, and Troubleshooting the Network Policy Server Role ------------------------------------------------------------------------------------------------------------------------------------------ ------------------------------------------------------------------------------------------------------------------------------------------ Network Policy Server: NPS es un conjunto de servicios englobados en un unico Rol. Las funciones basicas que incluye NPS son: - RADIUS Server - RADIUS Proxy - NAP (Network Access Protection) RADIUS es un servidor AAA: - Authentication - Authorization - Accounting: registro de actividad Authentication: Comprobar que las credenciales de un usuario son validas: Usuario/Password, Smartcard, claims, Certificados digitales, biometria, … incluso podemos usar autentificacion multifactor. Authorization: Si las credenciales son validas, el siguiente paso es determinar los privilegios y permisos del usuario dentro de la red. Accounting: auditar todas las actividades que el usuario lleva a cabo con los permisos y privilegios que tiene asignados. RADIUS almacena toda esta actividad en un archivo local o en una base de datos como SQL Server

Transcript of 70-411 - Modulo 6 · Administracion de NPS linea de comandos NETSH NPS . Puertos RADIUS Los puertos...

Page 1: 70-411 - Modulo 6 · Administracion de NPS linea de comandos NETSH NPS . Puertos RADIUS Los puertos estandar de RADIUS son: 1812: para utenticacion ... Lo normal es Fortinet cisco

------------------------------------------------------------------------------------------------------------------------------------------

------------------------------------------------------------------------------------------------------------------------------------------

Module 6: Installing, Configuring, and Troubleshooting the Network Policy Server Role

------------------------------------------------------------------------------------------------------------------------------------------

------------------------------------------------------------------------------------------------------------------------------------------

Network Policy Server:

NPS es un conjunto de servicios englobados en un unico Rol.

Las funciones basicas que incluye NPS son:

- RADIUS Server

- RADIUS Proxy

- NAP (Network Access Protection)

RADIUS es un servidor AAA:

- Authentication

- Authorization

- Accounting: registro de actividad

Authentication: Comprobar que las credenciales de un usuario son validas: Usuario/Password, Smartcard, claims,

Certificados digitales, biometria, … incluso podemos usar autentificacion multifactor.

Authorization: Si las credenciales son validas, el siguiente paso es determinar los privilegios y permisos del usuario

dentro de la red.

Accounting: auditar todas las actividades que el usuario lleva a cabo con los permisos y privilegios que tiene

asignados. RADIUS almacena toda esta actividad en un archivo local o en una base de datos como SQL Server

Page 2: 70-411 - Modulo 6 · Administracion de NPS linea de comandos NETSH NPS . Puertos RADIUS Los puertos estandar de RADIUS son: 1812: para utenticacion ... Lo normal es Fortinet cisco

RADIUS (Remote Access Dial-In User Service) es un estandar de servidor AAA

TACACS+ (Terminal Access Controller Access Control Server)

NPS es la implementacion de Microsoft de RADIUS

NAP: Chequeo de salud del sistema (Comprobar actualizaciones, si tiene instalado y actualizado un antivirus, si el

cortafuegos esta habilitado,…) Estas comprobaciones estan dentro de las health Roules.

En una Infraestructura RADIUS tenemos varios componentes:

- RADIUS Server: Hace las tareas de autentificacion, autorizacion y registro de actividad. Para la validacion

de credenciales puede usar una base de datos externa, por ejemplo SQL Server, o un directorio activo. Es

un estandar compatible con otros servicios de Gestion de identidad. Un ejemplo de estos servicios es

Oracle Directory Server.

- RADIUS Client: Es quien hace las peticiones al RADIUS server para validar las credenciales de un cliente.

Suele ser un NAS.

- RADIUS Proxy: Distribuye las peticiones de acceso a la red entre diferentes RADIUS. Suele usarse para

balanceo de carga.

- NAS (Network access Server): Servidor RRAS, Switch, AP wireless, servidor VPN… son los puntos de

conexion de los usuarios con la red

Page 3: 70-411 - Modulo 6 · Administracion de NPS linea de comandos NETSH NPS . Puertos RADIUS Los puertos estandar de RADIUS son: 1812: para utenticacion ... Lo normal es Fortinet cisco

Nosotros contruiremos una estructura donde:

- LON-RTR: Servidor NAS (Network Access Server) como servidor VPN y tambien cliente RADIUS.

- LON-DC1: Servidor RADIUS que se va a registrar en el AD para usar su base de datos para autenticacion.

- LON-CL1: Cliente VPN

Page 4: 70-411 - Modulo 6 · Administracion de NPS linea de comandos NETSH NPS . Puertos RADIUS Los puertos estandar de RADIUS son: 1812: para utenticacion ... Lo normal es Fortinet cisco
Page 5: 70-411 - Modulo 6 · Administracion de NPS linea de comandos NETSH NPS . Puertos RADIUS Los puertos estandar de RADIUS son: 1812: para utenticacion ... Lo normal es Fortinet cisco
Page 6: 70-411 - Modulo 6 · Administracion de NPS linea de comandos NETSH NPS . Puertos RADIUS Los puertos estandar de RADIUS son: 1812: para utenticacion ... Lo normal es Fortinet cisco

Si instalamos el servidor RADIUS en un servidor de grupo de trabajo, usaria para autenticar usuarios la SAM, La base

de datos local de ese equipo.

Cuando un usuario quiera iniciar sesion en la VPN desde su equipo, Los pasos seran:

1. El usuario, desde su equipo (LON-CL1), usara el cliente VPN para solicitar la conexión.

2. LON-RTR, como servidor VPN, recibira la peticion de conexión desde LON-CL1. LON-RTR pedira las

credenciales al usuario que se conecta desde LON-CL1. LON-RTR no validara las credenciales contra su base

de datos interna, sino que al ser un Cliente RADIUS, reenviara la peticion de autenticacion a LON-DC1, que es

el servidor RADIUS.

3. LON-DC1 recibe la peticion de autenticacion desde LON-RTR. Al estar registrado con el AD, comprueba en el

directorio activo si las credenciales son validas. LON-DC1 Responde a LON-RTR aceptando o denegando las

credenciales.

4. Si las credenciales se han aceptado, LON-RTR permite el acceso del usuario a traves de la VPN. Cualquier

actividad del usuario estara controlada por el servidor RADIUS.

5. Si las credenciales no se han aceptado. LON-RTR derivara al usuario a una red de Remediacion. En esta red

contamos con lo que se denomina un grupo de remediacion.

Administracion de NPS linea de comandos NETSH NPS

Page 7: 70-411 - Modulo 6 · Administracion de NPS linea de comandos NETSH NPS . Puertos RADIUS Los puertos estandar de RADIUS son: 1812: para utenticacion ... Lo normal es Fortinet cisco

Puertos RADIUS

Los puertos estandar de RADIUS son:

1812: para utenticacion

1813: para accounting

Configuracion Servidor VPN RADIUS

Page 8: 70-411 - Modulo 6 · Administracion de NPS linea de comandos NETSH NPS . Puertos RADIUS Los puertos estandar de RADIUS son: 1812: para utenticacion ... Lo normal es Fortinet cisco
Page 9: 70-411 - Modulo 6 · Administracion de NPS linea de comandos NETSH NPS . Puertos RADIUS Los puertos estandar de RADIUS son: 1812: para utenticacion ... Lo normal es Fortinet cisco
Page 10: 70-411 - Modulo 6 · Administracion de NPS linea de comandos NETSH NPS . Puertos RADIUS Los puertos estandar de RADIUS son: 1812: para utenticacion ... Lo normal es Fortinet cisco

En la parte de la contraseña para activar el cliente RADIUS es mas seguro darle a generar

Page 11: 70-411 - Modulo 6 · Administracion de NPS linea de comandos NETSH NPS . Puertos RADIUS Los puertos estandar de RADIUS son: 1812: para utenticacion ... Lo normal es Fortinet cisco

Metodos de autenticacion soportado por NPS:

De mas seguro a menos seguro

- EAP (Extensible Authenticacion Protocol) : es un marco de autenticacion, permite varios metodos de

autenticacion. Podemos usar para la autenticacion certificados digitales, tarjetas inteligentes, … hay

varias versiones de EAP, como PEAP (Protected EAP) o LEAP (Ligthtweitght EAP NO SEGURO LEAP Crack)

- MS-CHAPv2: CHAP (Challenge authentication Protocol) Para evitar transmitir la contraseña en plano,

los extremos intercambian un “texto de desafio” Uno de los extremos cifra el texto con la contraseña y

lo devuelve al otro extremo. Si el otro extremo es capaz de descifrarlo, es por que los dos tienen la

misma contraseña. Se aplica un algoritmo de cifrado simetrico (misma contraseña para cifrar y descifrar).

- MS-CHAP: Igual que MS-CHAPv2, pero usa MD5 para cifrar el texto de desafio. Es mas debil que el de

MS-CHAPv2

Si marcamos varios siempre negociaran el mas seguro compatible con los 2 extremos

Page 12: 70-411 - Modulo 6 · Administracion de NPS linea de comandos NETSH NPS . Puertos RADIUS Los puertos estandar de RADIUS son: 1812: para utenticacion ... Lo normal es Fortinet cisco
Page 13: 70-411 - Modulo 6 · Administracion de NPS linea de comandos NETSH NPS . Puertos RADIUS Los puertos estandar de RADIUS son: 1812: para utenticacion ... Lo normal es Fortinet cisco

Realm: Es el metodo de identificar a diferentes clientes u organizaciones. Si la organización implementa un directorio

activo, el Realm coincide con el nombre del dominio de AD (adatum.com, contoso.com)

Page 14: 70-411 - Modulo 6 · Administracion de NPS linea de comandos NETSH NPS . Puertos RADIUS Los puertos estandar de RADIUS son: 1812: para utenticacion ... Lo normal es Fortinet cisco

netsh nps show config.txt

Desde powershell exportar configuracion NPS sirve para importar la configuracion en otro servidor

Export-NpsConfiguration -Path C:\nps.xml

nps.xml

Page 15: 70-411 - Modulo 6 · Administracion de NPS linea de comandos NETSH NPS . Puertos RADIUS Los puertos estandar de RADIUS son: 1812: para utenticacion ... Lo normal es Fortinet cisco

Clientes RADIUS:

Suelen ser los servidores NAS (Network Access Server):

- Wireles AP. WPA2-enterprise

- Switch: 802.1x

- Servidores VPN de terceros o el servidor RRAS (Routing and remote access server) de windows server

2012 r2

Se comunican con el servidor RADIUS usando los puertos:

1812 o 1645 para autenticacion

1813 o 1646 para registro de actividad

Los puertos se pueden cambiar

Proxy RADIUS:

Distribuye las peticiones de autenticacion u autorizacion entre diferentes servidores RADIUS.

Escenarios de uso de Proxy RADIUS:

- Somos un ISP con multiples clientes y queremos autenticar a los usuarios contra diferentes servidores

RADIUS en funcion de su Realm.

- Si tenemos servidores RADIUS que no son miembros de un dominio

- Para autenticar usuarios de otro dominio con el que tenemos una relacion de confianza

- Para autenticar usuarios contra una base datos que no sea AD: SQL server, Oracle identitu manager,

oracle Directory Services, Open LDAP.

- Muchos usuarios que piden autenticacion y queremos distribuir la carga entre multiples servidores

RADIUS.

- Proteger la infraestructura de red mediante firewalls concando el proxy RADIUS en la zona DMZ

Tipos de VPN:

- Acceso Remoto (Road Warrior): un usuario movil que se conecta con la red local. Este donde este el

usuario, abre su cliente VPN para conectarse con el servidor VPN. La conexión VPN no es permanente

- Sitio a Sitio: Conexión VPN permanente entro dos localizaciones, por ejemplo, una central y una sucursal.

Se usan 2 servidores VPN, uno en cada localizacion. La VPN es transparente para los usuarios

Page 16: 70-411 - Modulo 6 · Administracion de NPS linea de comandos NETSH NPS . Puertos RADIUS Los puertos estandar de RADIUS son: 1812: para utenticacion ... Lo normal es Fortinet cisco

Configuracion de Servidor VPN (Ciente RADIUS)

Page 17: 70-411 - Modulo 6 · Administracion de NPS linea de comandos NETSH NPS . Puertos RADIUS Los puertos estandar de RADIUS son: 1812: para utenticacion ... Lo normal es Fortinet cisco

Tarjeta de red que da al exterior

Page 18: 70-411 - Modulo 6 · Administracion de NPS linea de comandos NETSH NPS . Puertos RADIUS Los puertos estandar de RADIUS son: 1812: para utenticacion ... Lo normal es Fortinet cisco
Page 19: 70-411 - Modulo 6 · Administracion de NPS linea de comandos NETSH NPS . Puertos RADIUS Los puertos estandar de RADIUS son: 1812: para utenticacion ... Lo normal es Fortinet cisco

Connection Request Policy:

Page 20: 70-411 - Modulo 6 · Administracion de NPS linea de comandos NETSH NPS . Puertos RADIUS Los puertos estandar de RADIUS son: 1812: para utenticacion ... Lo normal es Fortinet cisco

- Tunnel Type: GRE, IPSec, L2Tp, PPTP,…

Esta es la politica de peticion de conexion se crea con el asistente

Page 21: 70-411 - Modulo 6 · Administracion de NPS linea de comandos NETSH NPS . Puertos RADIUS Los puertos estandar de RADIUS son: 1812: para utenticacion ... Lo normal es Fortinet cisco
Page 22: 70-411 - Modulo 6 · Administracion de NPS linea de comandos NETSH NPS . Puertos RADIUS Los puertos estandar de RADIUS son: 1812: para utenticacion ... Lo normal es Fortinet cisco

Politica de red creada con el asistente

Page 23: 70-411 - Modulo 6 · Administracion de NPS linea de comandos NETSH NPS . Puertos RADIUS Los puertos estandar de RADIUS son: 1812: para utenticacion ... Lo normal es Fortinet cisco

Las politicas de conexión de NPS prevalecen sobre las de dial-in de usuario si esta marcado el check

Page 24: 70-411 - Modulo 6 · Administracion de NPS linea de comandos NETSH NPS . Puertos RADIUS Los puertos estandar de RADIUS son: 1812: para utenticacion ... Lo normal es Fortinet cisco
Page 25: 70-411 - Modulo 6 · Administracion de NPS linea de comandos NETSH NPS . Puertos RADIUS Los puertos estandar de RADIUS son: 1812: para utenticacion ... Lo normal es Fortinet cisco
Page 26: 70-411 - Modulo 6 · Administracion de NPS linea de comandos NETSH NPS . Puertos RADIUS Los puertos estandar de RADIUS son: 1812: para utenticacion ... Lo normal es Fortinet cisco
Page 27: 70-411 - Modulo 6 · Administracion de NPS linea de comandos NETSH NPS . Puertos RADIUS Los puertos estandar de RADIUS son: 1812: para utenticacion ... Lo normal es Fortinet cisco

Autenticacion local VS RADIUS:

Podemos configurar un servidor VPN para los usuario sque quieran conectarse lo hagan contra la base de datos local.

Por ejemplo usando LON-RTR (que no pertenece al dominio), podmeos configurar la autenticacion local. En este

caso, si el usuario “sales1” quisiera iniciar sesion en la VPN, tendriamos que crear el usuario “sales1” en usuario y

grupos locales de LON-RTR

RADIUS Server Groups:

Supongamos el escenario con 3 dominios:

- Adatum.com

- Contoso.com

- Tailspontoys.com

Page 28: 70-411 - Modulo 6 · Administracion de NPS linea de comandos NETSH NPS . Puertos RADIUS Los puertos estandar de RADIUS son: 1812: para utenticacion ... Lo normal es Fortinet cisco

Creamos una maquina LON-RTR (Grupo de trabajo) y la configuramos como servidor VPN con RRAS. Para que LON-

RTR pueda distribuir las peticiones de autenticacion al dominio correcto, tenemos que configurar LON-RTR como

Proxy RADIUS.

Para que el proxy pueda redirigir las peticiones al servidor RADIUS correspondiente a cada dominio, creamos un

grupo de Servidores RADIUS remotos.

Por defecto windows 8.1 no permite conectar con MS-CHAPv2 hay que permitirlo expresamente en las opciones de

la VPN

Page 29: 70-411 - Modulo 6 · Administracion de NPS linea de comandos NETSH NPS . Puertos RADIUS Los puertos estandar de RADIUS son: 1812: para utenticacion ... Lo normal es Fortinet cisco

Esquemas de cifrado:

- Esquema de cifrado simetrico: Se usa la misma contraseña para cifrar y descifrar.

o Algoritmos: DES (Data Encryption Standar) (56 bits), 3DES (Ciframos con una clave, el resultado

lo desciframos con otra diferente y luego lo volvemos a cifrar)(128 bits), AES (Advanced

Encrytion Standar)(128 256 512 bits), Blowfish.

- Esquema de cifrado asimetrico: usamos un par de claves relacionadas entre si, pero en las que es

imposible (o cumputacionalmente muy costoso) obtener una de las claves a partir de la otra. Lo que

ciframos con una clave, solo puede descifrarse con su par y al reves. A este par de claves las llamamos

Page 30: 70-411 - Modulo 6 · Administracion de NPS linea de comandos NETSH NPS . Puertos RADIUS Los puertos estandar de RADIUS son: 1812: para utenticacion ... Lo normal es Fortinet cisco

publica y privada. Este esquema tambien suele llarmarse esquema de clave publica. La clave publica esta

disponible para cualquiera y la clave privada solo para el propietario.

Un algoritmo simetrico es mas fuerte que uno asimetrico a igualdad de longitud. Pero la debilidad del algoritmo

simetrico es la distribucion de la clave entre las partes.

Un esquema de cifrado asimetrico nos permite:

- Autenticacion: ciframos con nuestra clave privada para que todos puedan descifrarlas con sus claves

publicas asi demostramos que somos nosotros los que ciframos el mensaje

- Integridad: igual que autenticacion pero se utiliza la comprobacion de HASH

- Confidencialidad: ciframos con la clave publica del destino asi solo podra descifrarla el destino con su

clave privada

El par de claves publica y privada es lo que conocemos como certificado digital. La clave publica se almacena en un

servidor accesible para cualquera y la clave privada la guarda el propietario.

Necesitamos un conjunto de servidores para este tipo de cifrado:

- Certification Authority: servidor que emite certificados.

- CRL (Certificate Revocation list): servidor que almacena claves publicas, asi como las fechas de validez de

las mismas.

- Web Enrollment: Servicio para que los usuarios puedan solicitar certificados.

Toda esta infraestructura (y algunos servidores mas que son opcionales) Se donomina PKI (Public Key Infrastructure)

IMPORTANTE PARA EL EXAMEN SABER EL VENDOR CLASS DEL RRAS DE MS 311$

Page 31: 70-411 - Modulo 6 · Administracion de NPS linea de comandos NETSH NPS . Puertos RADIUS Los puertos estandar de RADIUS son: 1812: para utenticacion ... Lo normal es Fortinet cisco

Ejercicio: En el dominio de Contoso, el departamento de Sistemas necesita tener acceso de forma remota y cifrado.

Este departamento está representado por un grupo ContosoSys y está formado por 3 usuarios "contososys1",

"contososys2" y "contososysadmin".

Los miembros de este grupo deben poder acceder a los recursos de Contoso de forma remota mediante una

conexión VPN en la que LON-RTR será el servidor NAS.

Page 32: 70-411 - Modulo 6 · Administracion de NPS linea de comandos NETSH NPS . Puertos RADIUS Los puertos estandar de RADIUS son: 1812: para utenticacion ... Lo normal es Fortinet cisco

Los usuarios "contososys1" y "contososys2" sólo deben poder acceder a la VPN cuando se conectan desde sus

equipos con IPs 192.168.10.170 y 192.168.10.171 respectivamente.

El usuario "contososysadmin" debe poder conectarse desde cualquier dirección IP.

Servidor NAS: LON-RTR con tarjeta “externa” la 192.168.10.1

Servidor RADIUS: LON-SRV2

Cliente RADIUS: LON-RTR

Configuracion del Servidor RADIUS en LON-SRV2 en modo manual

Page 33: 70-411 - Modulo 6 · Administracion de NPS linea de comandos NETSH NPS . Puertos RADIUS Los puertos estandar de RADIUS son: 1812: para utenticacion ... Lo normal es Fortinet cisco
Page 34: 70-411 - Modulo 6 · Administracion de NPS linea de comandos NETSH NPS . Puertos RADIUS Los puertos estandar de RADIUS son: 1812: para utenticacion ... Lo normal es Fortinet cisco
Page 35: 70-411 - Modulo 6 · Administracion de NPS linea de comandos NETSH NPS . Puertos RADIUS Los puertos estandar de RADIUS son: 1812: para utenticacion ... Lo normal es Fortinet cisco
Page 36: 70-411 - Modulo 6 · Administracion de NPS linea de comandos NETSH NPS . Puertos RADIUS Los puertos estandar de RADIUS son: 1812: para utenticacion ... Lo normal es Fortinet cisco
Page 37: 70-411 - Modulo 6 · Administracion de NPS linea de comandos NETSH NPS . Puertos RADIUS Los puertos estandar de RADIUS son: 1812: para utenticacion ... Lo normal es Fortinet cisco

Se deja sin configurar por que luego en la politica de red se puede configurar

Page 38: 70-411 - Modulo 6 · Administracion de NPS linea de comandos NETSH NPS . Puertos RADIUS Los puertos estandar de RADIUS son: 1812: para utenticacion ... Lo normal es Fortinet cisco
Page 39: 70-411 - Modulo 6 · Administracion de NPS linea de comandos NETSH NPS . Puertos RADIUS Los puertos estandar de RADIUS son: 1812: para utenticacion ... Lo normal es Fortinet cisco
Page 40: 70-411 - Modulo 6 · Administracion de NPS linea de comandos NETSH NPS . Puertos RADIUS Los puertos estandar de RADIUS son: 1812: para utenticacion ... Lo normal es Fortinet cisco
Page 41: 70-411 - Modulo 6 · Administracion de NPS linea de comandos NETSH NPS . Puertos RADIUS Los puertos estandar de RADIUS son: 1812: para utenticacion ... Lo normal es Fortinet cisco
Page 42: 70-411 - Modulo 6 · Administracion de NPS linea de comandos NETSH NPS . Puertos RADIUS Los puertos estandar de RADIUS son: 1812: para utenticacion ... Lo normal es Fortinet cisco

Aquí podemos dejar que el usuario cambie la contraseña si caduca a traves de la VPN

Page 43: 70-411 - Modulo 6 · Administracion de NPS linea de comandos NETSH NPS . Puertos RADIUS Los puertos estandar de RADIUS son: 1812: para utenticacion ... Lo normal es Fortinet cisco
Page 44: 70-411 - Modulo 6 · Administracion de NPS linea de comandos NETSH NPS . Puertos RADIUS Los puertos estandar de RADIUS son: 1812: para utenticacion ... Lo normal es Fortinet cisco

Ahora en el RTR

Page 45: 70-411 - Modulo 6 · Administracion de NPS linea de comandos NETSH NPS . Puertos RADIUS Los puertos estandar de RADIUS son: 1812: para utenticacion ... Lo normal es Fortinet cisco
Page 46: 70-411 - Modulo 6 · Administracion de NPS linea de comandos NETSH NPS . Puertos RADIUS Los puertos estandar de RADIUS son: 1812: para utenticacion ... Lo normal es Fortinet cisco
Page 47: 70-411 - Modulo 6 · Administracion de NPS linea de comandos NETSH NPS . Puertos RADIUS Los puertos estandar de RADIUS son: 1812: para utenticacion ... Lo normal es Fortinet cisco

Para ver configuracion del RTR

Page 48: 70-411 - Modulo 6 · Administracion de NPS linea de comandos NETSH NPS . Puertos RADIUS Los puertos estandar de RADIUS son: 1812: para utenticacion ... Lo normal es Fortinet cisco
Page 49: 70-411 - Modulo 6 · Administracion de NPS linea de comandos NETSH NPS . Puertos RADIUS Los puertos estandar de RADIUS son: 1812: para utenticacion ... Lo normal es Fortinet cisco
Page 50: 70-411 - Modulo 6 · Administracion de NPS linea de comandos NETSH NPS . Puertos RADIUS Los puertos estandar de RADIUS son: 1812: para utenticacion ... Lo normal es Fortinet cisco

LIMITAR QUIEN PUEDE ENTRAR A LA VPN

Page 51: 70-411 - Modulo 6 · Administracion de NPS linea de comandos NETSH NPS . Puertos RADIUS Los puertos estandar de RADIUS son: 1812: para utenticacion ... Lo normal es Fortinet cisco

Las condiciones tienen que cumplirse todas estan unidas por AND

Para filtrar por usuario utilizamos politica de peticion de conexion

Page 52: 70-411 - Modulo 6 · Administracion de NPS linea de comandos NETSH NPS . Puertos RADIUS Los puertos estandar de RADIUS son: 1812: para utenticacion ... Lo normal es Fortinet cisco

Para filtrar por IP

Page 53: 70-411 - Modulo 6 · Administracion de NPS linea de comandos NETSH NPS . Puertos RADIUS Los puertos estandar de RADIUS son: 1812: para utenticacion ... Lo normal es Fortinet cisco

Opcion mas avanzada de firewall de MS

Microsoft Forefront TMG (Threat Management Gateway)

Lo normal es Fortinet cisco juniper

Registro de actividad (Accounting):

Un servidor RADIUS es un estandar AAA (Authentication, Autorization, Accounting)

- Authentication: EAP, MS-CHAP, CHAP, PAP,…

- Autorization: Network policies. Definimos condiciones y limitaciones (constrains) en base a nombre de

usuario, grupo de ususarios, direcciones ip, sistema operativo, …

- Accounting: Registro de actividad del propio servidor NPS y los usuarios que autentica

El registro de actividad puede almacenarse en 3 localizaciones:

- Registro de Eventos (event log)

- Archivo en el disco duro

- Base de datos SQL

Esto nos permite monitorizar la activar del servidor NPS para hacer diagnostico de fallos, asi como monitorizar la

actividad de los usuarios.

Eventos que podemos monitorizar del propio servidor NPS serian las conexiones y peticiones de autenticacion por

parte de un cliente RADIUS.

Configuracion de log visor de eventos:

Page 54: 70-411 - Modulo 6 · Administracion de NPS linea de comandos NETSH NPS . Puertos RADIUS Los puertos estandar de RADIUS son: 1812: para utenticacion ... Lo normal es Fortinet cisco

En un NPS, por defecto esta habilitado el resgistro de eventos de errores, peticiones de autenticacion rechazadas y

peticiones de autenticacion aceptadas en el log event.

Estos eventos se almacenan en los logs system y security

Page 55: 70-411 - Modulo 6 · Administracion de NPS linea de comandos NETSH NPS . Puertos RADIUS Los puertos estandar de RADIUS son: 1812: para utenticacion ... Lo normal es Fortinet cisco
Page 56: 70-411 - Modulo 6 · Administracion de NPS linea de comandos NETSH NPS . Puertos RADIUS Los puertos estandar de RADIUS son: 1812: para utenticacion ... Lo normal es Fortinet cisco

Guardar la informacion en el event log puede no ser suficiente para las necesidades de auditoria de una

organización. Cuando el log se llena, desaparecen los eventos mas antiguos. Nosotros tendriamos que hacer un

backup manual de estos logs para poder recuperar un historico de eventos de NPS.

Page 57: 70-411 - Modulo 6 · Administracion de NPS linea de comandos NETSH NPS . Puertos RADIUS Los puertos estandar de RADIUS son: 1812: para utenticacion ... Lo normal es Fortinet cisco

Si queremos tener informacion mas detallada de un historico extenso de los eventos, tenemos que habilitar el

logging, en un archivo o en una base de datos de SQL server.

Halitando el logging podemos usar herramientas para analizar el historico de enventos, correlacion de eventos…

Para almacenar la informacion de actividad en un servidor SQL Server necesitamos:

- Un servidor SQL accesible.

- Credenciales para acceder a una base de datos en modo escritura

- Un base de datos en SQL Serer

- Un procedimiento almacenado (un scrip hecho en SQL) que se llame “report_event” que recoja la

informacion de accounting en formato xml y la convierta a formato SQL Server

Manual configuracion logging en SQL

http://technet.microsoft.com/en-us/library/cc754123%28v=ws.10%29.aspx

Page 58: 70-411 - Modulo 6 · Administracion de NPS linea de comandos NETSH NPS . Puertos RADIUS Los puertos estandar de RADIUS son: 1812: para utenticacion ... Lo normal es Fortinet cisco

configuracion del LOG de NPS

IAS: Internet Authentication Server

EL archivo log NO deberia estar en la misma particion que el sistema. Puede ocupar mucho espacio y llenar la

particion haciendo que el sistema se vuelva inestable.

Si la particion donde se encuentra el archivo de log se llena, el servidor RADIUS se para y no permite conexiones. Es

recomendable por ese motivo usar un servidor SQL Server que tendra sus archivos MDF y LDF en una cabina de

almacenamiento

Page 59: 70-411 - Modulo 6 · Administracion de NPS linea de comandos NETSH NPS . Puertos RADIUS Los puertos estandar de RADIUS son: 1812: para utenticacion ... Lo normal es Fortinet cisco

Si desmarcamos la ultima casilla el NPS no se parara cuando se llene la particion donde esta log

Se recomienda que el archivo de log esta en una maquina diferente a la del NPS:

- Una carpeta compartida montado como una unidad de red.

Page 60: 70-411 - Modulo 6 · Administracion de NPS linea de comandos NETSH NPS . Puertos RADIUS Los puertos estandar de RADIUS son: 1812: para utenticacion ... Lo normal es Fortinet cisco

- Usando el protoclo Syslog

- Enviando la informaicon de accounting a un proceso en memoria que se encarga de gestionarlo. Esto se

hace usando lo que se denomina un Named Pipe (\\.pipe\....)

El servidor de log deberia estar protegido. Es lo que suele llamarse un servidor Bastion.

Logman herramienta para en guardar log utilizando el protocolo syslog

Como registro de actividad adicional usado para diagnostico de fallos, podemos usar el trace (debug) En el

servidor RRAS (LON-RTR)

Habilitar modo debug verbose CUIDADO ALMACENA TODA LA ACTIVADA AFECTA AL RENDIMIENTO

netsh ras set tr * en

netsh ras set tr * dis

Se almacena en el directorio

C:\windows\Tracing

Ejercicio: Configurar servidor RADIUS de LON-SRV2 para que almacene los archivos log en LON-DC1. Configurar el

servidor VPN para que almacene una traza de las conexiónes que se han llevado a cabo

1º modo no recomendable

Filtro para atravesar la VPN

Page 61: 70-411 - Modulo 6 · Administracion de NPS linea de comandos NETSH NPS . Puertos RADIUS Los puertos estandar de RADIUS son: 1812: para utenticacion ... Lo normal es Fortinet cisco
Page 62: 70-411 - Modulo 6 · Administracion de NPS linea de comandos NETSH NPS . Puertos RADIUS Los puertos estandar de RADIUS son: 1812: para utenticacion ... Lo normal es Fortinet cisco

netsh ras set tr * en

netsh ras set tr * dis

2º modo recomendable

Conectar el servidor donde almacenaremos los logs por vpn y ya podriamos pasar datos por datos

Pregunta 6/19 Q1 respuesta D condicion en network policies