José Parada GimenoMicrosoft ITPro Evangelistjparada@microsoft.com

Agenda

Protección de Acceso a Redes (NAP)Server CoreMejoras en los Servicios de Terminal

{NAP}

José Parada GimenoMicrosoft ITPro Evangelistjparada@microsoft.com

Carlos DelsoPM HP ProCurveCarlos.delso.foronda@hp.com

NAP: Acceso basado en políticas

Validación de Políticas: Determina si los equipos cumplen con la política de seguridad de la organización. A los que cumplen se les estima como “Saludables”.

Restricciones de Red: Restringe el acceso a la red a los equipos en función de su salud.

Remediación: Provee las actualizaciones necesarias para permitir que un equipo se vuelva saludable. Una vez que esto ocurre, se le quitan las restricciones de red.

Cumplimiento sobre la marcha: Los cambios en la política de seguridad de la organización o en la salud de los equipos pueden provocar restricciones de red.

Network Access ProtectionFuncionamiento

No Cumple

la Política

1

RedRestringida

El cliente solicita acceso a la red y presenta su estado de salud actual

1

4Si no cumple la política el cliente solo tiene acceso a una VLAN restringida donde hay recursos para solucionar sus problemas, descargar actualizaciones, firmas(Repetir 1-4)

2 DHCP, VPN o Switch/Router envía el estado de salud al Servidor de Políticas de Red (RADIUS)

5 Si cumple la política al cliente se le permite el acceso total a la red corporativa

MSFT NPS

3

Servidor de Políticas

Cumple la

Política

3 El Servidor de Políticas (NPS) valida contra la política de salud definida por IT

2

ClienteWindows

DHCP, VPNSwitch/Router

Fix UpServerse.g. Patch

Red Corporativa5

4

Opciones de ForzadoForzado

Cliente Saludable

Cliente no Saludable

DHCPConfiguración IP completa. Acceso Total

Conjunto de rutas restringido

VPN (Microsoft and 3rd Party) Acceso Total VLAN Restringida

802.1X Acceso Total VLAN Restringida

IPsec

Puede comunicar con cualquier nodo en que confie

Nodos saludables rechazan la conexión de sistemas no Saludables

•Complementa la protección a nivel 2•Funciona con la infraestructura existente•Aislamiento Flexible

Componentes Basicos de NAP

NPS Policy Server(RADIUS)

Quarantine Server (QS)

Cliente

Agente de Quarentena QA

Política de SaludActualizaciones

Estado de Salud

SolicitudAccesoa la Red

Servidores deSalud

Servidor de Remedios

HealthCertificate

802.1x SwitchesPolicy Firewalls

SSL VPN GatewaysCertificate Servers

(SHA)MS SHA, SMS

System Health Validator

(EC)(DHCP, IPsec, 802.1X, VPN)

• Cliente• SHA – Agente de salud chequea la salud del

sistema• QA – Coordina SHA/EC• EC – Método de Forzado

• Servidor de Remedios• Proporciona parches, firmas AV , etc…

• Network Policy Server• QS – evalua la salud del cliente• SHV – evalua la respuesta SHA

• System Health Server• Proporciona SHV

(SHA)3rd Parties

(EC)3rd Party EAP

VPN’s

Plataforma extensible - NAPAPIs publicas para desarrollar SHV o Agentes

Mas de 100 partners tienen ya soluciones (Casas antivirus)Hay agentes para otras plataformas (Linux)

Integrable con la plataforma de Gestión y Seguridad de Microsoft

SCCM 07 o Forefront.

Integrable con la plataforma NAC de CiscoExtensible con la electrónica de red apropiada

HP Pro Curve.

CONTROLde ACCESO

CONTROL de INTEGRIDAD

GESTIÓNde ATAQUES

Red unificada segura

VILTUAR SERVER

VILTUAR SERVER

VILTUAR SERVER

Visibilidad

Adap

tive

Edge

Servicios IT Corporativos

Gestión Control CumplimientoTrazabilidad

Proactive Defense

Nuevos servicios en el acceso a la red

RESOLUCIÓNde INCIDENCIAS

802.1X Supplic

ant

802.1X Supplicant

802.1X Authenticator

Policy Enforcement Point (PEP)

Supported in ProCurve Edge Devices5300 / 5400 / 3400 / 3500

4100 / 42002600 / 2600-PWR / 2800

2610/2810/29002500

420 / 530 / WESM

IASRADIUS

IDM Agent

PCM / IDM 2.3 Server

Power

Fault

switch 5304xlJ4850A Console

procurvehp

Reset Clear SelfTest

Use xl modules onlyLED Mode SelectAct FDx !Max

Status

Power ModulesFan1 2 B C D E F GA H

A

C D

B

AuthenticationDirectory

Active Directory

Network Mgmt Server

ProCurve hardware

ProCurve

MAC-Auth

Web-AuthMAC Address

HTTP Request

Network PolicyServer

Microsoft IASMicrosoft NPS

NAP Agent

NPSRADIUS

Microsoft

Microsoft Windows server 2008 y HP Procurve

Integración NAP con la red

NAP

Conmutador/Acceso WIFI

Gestión depolíticas

RADIUS/Servicio de Directorio

Integridad Dispositivode acceso

Control de Acceso

Acceso

¿Quién soy?

IntegridadNAP/NAC¿Cómo estoy?

Básico802.1x

Acceso permitido o denegado

Acceso permitido o denegado

MedioRFC3580

Acceso permitido a una vlan

Si es denegado acceso a Vlan restingrida

Avanzado Acceso y Política de uso de acuerdo al contexto

Acceso y Política de uso de acuerdo al contexto y/o integridad

Políticas:· Un Conjunto de: Vlan, permisos,

control de ancho de banda y calidad de servicio.

Contexto:· Basado en: Usuario, momento,

dispositivo y localización.

Armonizar diferentes sistemas sobre una única RED

RADIUS Directorio

HP Procurve

LAN/WAN

VLAN usuarios (UnTagged)

VLAN voz (Tagged)

RADIUS Directorio

HP Procurve

LAN/WAN

Wireless Switch

Dispositivos en cascada (Teléfono IP y PC )

Diferentes sistemas IP sobre la red. (PCs, telefónia, Camaras IP, etc..)

Autenticación multiusuario -Tecnología en puerto lógico

Para HP ProCurve, cada dispositivo conectado sobre un mismo puerto pertenece a un puerto lógico distinto.Este puerto lógico se encarga de

Proveer procesos de autenticación separados para cada dispositivo.Aprovisionar un entorno de producción diferente para cada dispositivo

La tecnología en puerto lógico se utiliza para la arquitectura de conexión de teléfonos y PCs de usuarios en cadena

RADIUS Directorio

HP Procurve

LAN/WAN

VLAN usuarios

VLAN voz

802.1x/MAC + RFC4675 [VLAN_Voz]

802.1x + RFC3580 [VLAN_Producción]

Beneficios NAP y HP ProCurve

Integrado en Windows 2008 ServerUnifica y permite diferentes sistemas. Control granular avanzado.Para usuarios y dispositivos cableados, inalámbricos y remotos.Registro para auditoría.Dinámico y automático.Protección antes y después del acceso.

{ Configuración NAP}

NameTitleGroup

demo

DesplieguePlanificación de Requerimientos

Definir la política de salud requeridaDefinir los métodos de forzado requeridosPlanificar la arquitectura NAPPlanificar las excepciones

Definir roles y responsabilidadesFases del despliegue

Pruebas en LaboratorioPilotoModo de ReporteForzado diferidoForzado

Server Core{El Windows sin Windows}

David Cervigón LunaIT Pro EvangelistMicrosoft IbéricaDavid.cervigon@microsoft.com

José Parada GimenoIT Pro EvangelistMicrosoft Ibéricajparada@microsoft.com

¿Porqué Server Core?

Reduce el mantenimiento del software Solo se instalan los componentes esenciales

Reduce la superficie de AtaqueMenos cosas que parchear y asegurar

Reduce la GestiónMenos cosas que gestionar / actualizar.

Menor consumo de recursosMemoria (p.e 184 MB frente a 309 MB en VMs recién instaladas)Almacenamiento (Core: 1.6 GB / Completo: 7.6 GB, en instalación base, sin Pagefile.sys).

Server CoreOpciones Mínimas de InstalaciónPoca superficie de ataqueInterfaz por Línea de ComandosSet limitado de Roles de ServidorRoles de Servidor de Server Core

Server CoreSeguridad, TCP/IP, Sistema de Ficheros, RPC,y otros Sub-Systems del nucleo de Servidor.

DNS DHCP File AD

ServidorWith WinFx, Shell, Tools, etc.

TS IAS WebServer

SharePoint® Etc…

Server, Server Roles (Por ejemplo, solo)

GUI, CLR, Shell, IE,

Media, OE, etc.

MediaServer

WebServer

Server Core NO es un "SKU”

Seleccionar el modo de instación “Server Core “ en el Unattend.xml:

<InstallFrom><MetaData>

<Key>/IMAGE/Name</Key><Value>Windows Longhorn Server Core</Value>

</MetaData></InstallFrom>

{ Server Core}

demo

{Terminal Server }

José Parada GimenoITPro EvangelistMicrosoft

Corporation

{Hoy no me puedo Conectar}

TS Gateway

TS GatewayDMZInternet Red Interna

Terminal Server

Hotel F

irew

all E

xter

no

Fire

wal

l Int

erno

Casa

Business Partner/Client Site

Other RDPHosts

TerminalServer

Internet

Terminal Services Gateway Server

Network Policy Server

Active Directory DC

Tunel RDP sobre

RPC/HTTPS

Pasa tráfico RDP/SSL al

TS

Deshace el RPC/HTTPS

Seguridad FuerteUsa cifrado estándar de la industria (SSL, HTTPS)El tráfico RDP sigue cifrado de extremo a extremo desde el cliente al servidorLa salud del equipo cliente se puede chequear mediante NAPSe puede terminar el trafico SSL en dispositivos intermedios para detectar intrusiones o filtrar en la DMZAutenticación mediante contraseña o smartcards

Conectividad Sencilla

El puerto de SSL, 443 ofrece menos problemas de conectividad que el puerto RDP 3389.

Https esta abierto de salida en casi todos los proxy.Https esta abierto de entrada en casi todos los Firewalls.En dispositivos con NAT, es sencillo redirigir el puerto 443.

{ Configurar Terminal Server Gateway}

NameTitleGroup

demo

{No encuentro la Aplicación}

TS Web Access

TS Web AccessPublicación o despliegue de aplicaciones a través de una pagina Web.

TS Web AccessRequiere que IIS este instalado en el equipoSolo es una página WEB, NO proporciona ningún tipo de canal de comunicaciones como en el caso de TS GatewayGenera automáticamente una Pagina Web con unas WebParts donde están la definición de la conexión RDP.

Fácil de personalizar la Web en función del usuario que se conecte.

El cliente ha de ser Vista SP1 o W2K8

TS Gateway Con TS Web AccessEl host RDP se puede situar tras un

FirewallHTTP/S se usa para atravesar el FirewallSe chequean AD / ISA / NAP antes de permitir la conexiónEl escritorio y las aplicaciones no se ejecutan dentro de IE

AD / IAS / NAP

El Usuario navega a TS Web Access

El usuario inicia la conexión HTTPS al TS Gateway

Terminal Servers o XP / Vista

TS Gateway

TS Web Access

Internet

DMZ Red Interna Network

RDP Sobre HTTP/S se establece a TSG RDP 3389 a host

Chequeo AD / IAS / NAP

Cliente (TS) Vista RDC

Publicación de aplicacionesPuede ser mediante paquetes RDP o MSI

RDP es simplemente un fichero con los parámetros de conexiónMSI es un mínimo paquete de instalación del RDP

Se pueden publicar simplemente compartiéndolos en un directorio o mediante el sistema de distribución de software que queramosEl DA es muy útil para desplegar estas aplicaciones personalizando en función del usuario.

Integración de Aplicaciones en el Escritorio Local

Terminal Server

Parece que los programas se ejecutan en local

Requiere el cliente de

acceso remoto

{ Publicar Aplicaciones con TSWebAccess}

NameTitleGroup

demo

{No puedo ver ni Imprimir mis Foto }Easy PrintRedirección Dispositivos

Terminal Server

Remote Desktop Protocol

Equipo Cliente

Redireccionamiento de Dispositivos

Redireccionamiento de Dispositivos PnPPara dispositivos “Windows Portable

Devices” como reproductores MTP y cámaras PTPConfigurable mediante políticas

Computer Configuration\Administrative Templates\Windows Components\Terminal Services\Terminal Server\Device and Resource Redirection\Do not allow supported Plug and Play device RedirectionComputer Configuration\Administrative Templates\System\Device Installation\Device Installation Restrictions

También disponible para dispositivos utilizados en puntos de servicio con Windows embebido (Windows Embedded for Point of Service POS), que utilizan Microsoft POS para .NET 1.11

Terminal Server

Impresión Sencilla

1234El usuario abre Microsoft Word via Terminal ServicesEl documento se imprime en la impresora local

“TS Easy Print” utiliza el driver del cliente y aparece el interface de Usuario completo para impresión.

El usuario quiere imprimir un documento a su impresora local

1

2

3

4

Impresión Sencilla – Easy PrintRe-direccionamiento de impresoras

locales en la aplicación que se ejecuta en el Terminal serverEs un driver del servidor que actúa como Proxy enviando todos los trabajos de impresión al equipo local.No requiere la instalación de ningún driver en el servidor, solo hace falta W2K8Requiere en cliente RDC 6.1 y el Framework 3.0 SP1 (estará disponible para XP y 2003)

{Redireccionamiento de dispositivios e Impresión Sencilla}

NameTitleGroup

demo

{Tengo que volver a escribir mis credenciales}Otras capacidadesAutenticación y SSO

Terminal Server

Terminal Server

Windows Server 2008 1

Gestor de Sesiones o “Session Broker”

Windows Server 20082

1

2

3

4

5

6

123456 El Usuario Remoto Conecta via Terminal Services

TS: El Servidor 1 contacta con el “Session Broker” para determinar donde ha de iniciar sesión el usuario

“Session Broker” indica al Servidor 1 que este usuario no tiene sesión y que el Servidor 2 tiene menos carga

El Servidor 1 indica al cliente vía RDP que ha de redirigirse al Servidor 2El Cliente es redirigido al Servidor 2Se Crea la Sesión en el Servidor 2 para el cliente

Session Broker

Gestor de Sesiones o “Session Broker”Permite la conexión al nodo que

albergue menos sesiones y pesar cada servidor para que alberguen mas o menos sesiones en función de su rendimiento.Guarde el estado de la sesión y en caso de problemas en la conexión, nos permite conectarnos a la sesión ya establecida en el mismo nodo.Permite el drenado de sesiones en un nodo para poder ponerlo fuera de línea para mantenimiento etc.

Capacidades del nuevo Escritorio Remoto

Monitor SpanningDesktop ExperienceDesktop CompositionFont SmoothingDisplay Data Prioritization

Terminal Server

Active Directory

Autenticación a Nivel de Red

AutenticaciónAutenticación a nivel de Red: Se realiza la autenticación del usuario antes de que se conecte a la sesión y se muestre el inicio de sesión en el servidor de Terminales

Evita posibles ataques de DOSAutenticación de Servidor. Verifica que nos conectamos al servidor correcto y evita que nos conectemos a una maquina maliciosaSSO: evita tener que volver a introducir nuestras credenciales

Mejoras en el Licenciamiento.Seguimiento y reporte de las

licencias por usuario.Las licencias por equipo se pueden revocarMejoras en el Gestor de Licencias que mejoran el diagnostico y la resolución de posibles problemas.Proveedor WMI para poder administrar el Servidor de Licencias

RecursosGuía paso a paso Terminal Server

http://www.microsoft.com/downloads/details.aspx?familyid=518D870C-FA3E-4F6A-97F5-ACAF31DE6DCE&displaylang=en

Technical Libraryhttp://technet2.microsoft.com/windowsserver2008/en/library/61d24255-dad1-4fd2-b4a3-a91a22973def1033.mspx?mfr=true

Terminal Server Bloghttp://blogs.msdn.com/ts/default.aspx

Forohttp://forums.microsoft.com/TechNet/ShowForum.aspx?ForumID=580&SiteID=17

Recursos TechNet• TechCenter de Windows Server 2008

http://www.microsoft.com/spain/technet/prodtechnol/windowsserver/2008/default.mspx

• Webcasts grabados sobre Windows Server

http://www.microsoft.com/spain/technet/jornadas/webcasts/webcasts_ant.aspx?id=1

• Webcasts grabados otras tecnologías Microsoft

http://www.microsoft.com/spain/technet/jornadas/webcasts/webcasts_ant.aspx

• Foros técnicoshttp://forums.microsoft.com/technet-es/default.aspx?siteid=30

RecursosGuía paso a paso W2K8

http://www.microsoft.com/downloads/details.aspx?familyid=518D870C-FA3E-4F6A-97F5-ACAF31DE6DCE&displaylang=en

Librería Técnicahttp://technet2.microsoft.com/windowsserver2008/en/library/61d24255-dad1-4fd2-b4a3-a91a22973def1033.mspx?mfr=true

Foro de Seguridad W2K8http://forums.microsoft.com/TechNet/ShowForum.aspx?ForumID=581&SiteID=17

Recursos TechNet• TechCenter de Windows Server 2008

http://www.microsoft.com/spain/technet/prodtechnol/windowsserver/2008/default.mspx

• Próximos webcasts en vivohttp://www.microsoft.com/spain/technet/jornadas/default.mspx

• Webcasts grabados sobre Windows Server

http://www.microsoft.com/spain/technet/jornadas/webcasts/webcasts_ant.aspx?id=1

• Webcasts grabados otras tecnologías Microsoft

http://www.microsoft.com/spain/technet/jornadas/webcasts/webcasts_ant.aspx

• Foros técnicoshttp://forums.microsoft.com/technet-es/default.aspx?siteid=30

http://www.microsoft.es/HOLSistemas