domingo, diciembre 31, 2006

Chequeo Médico

Quedan unos minutos para que empiece la fiesta de fin de año. Sí, la fiesta en Bronxtolex comienza a las 12 de la mañana tomando cervezas y acaba cuando ya no se aguanta más.

Como yo ya tengo una edad no se cuantos días tardaré en recuperarme así que os dejo el artículo de Windows TI Magazine de Diciembre, por si tardo en regresar, sobre NAP que va de lo que voy a necesitar yo después de esta noche. Hasta el año que viene.

Chequeo Médico

A finales del año 2004, gracias a ser MVP de Seguridad en Microsoft fui invitado a asistir al Security Summit que nos ofreció durante una semana la gente de Seguridad en Redmond. Allí, entre muchas cosas, nos contaron el funcionamiento de SenderID, lo que sería el WSUS y también el NAP. NAP son las siglas de Network Access Protection y es de lo que quería hablar este mes porque ya casi está aquí, entre nosotros.

La idea de Microsoft con respecto a esta tecnología consiste en aunar en la industria una forma avanzada y extensible de controlar la configuración segura de todas las máquinas que se le conectan a un sufrido administrador en su red. La idea proviene de las Redes de Cuarentena (Quarantine Networks) de las que disponíamos en las conexiones VPN. En esta tecnología, Redes de Cuarentena, cuando un cliente VPN se intenta conectar a la red principal se lanzan una serie de scripts en la máquina cliente que comprueban la configuración de la misma para ver si cumple la “Política de Salud” exigida por el administrador. A ningún administrador le gusta que se conecte a su red un equipo portátil que está rodando por el mundo, sin parchear, sin tener el firewall conectado o sin las firmas del antivirus actualizadas ya que puede ser un foco de problemas en la red principal.

Si el cliente VPN no cumple la Política de Salud marcada por el administrador entonces no se le conecta a la red principal sino a una red paralela, llamada “Red de Cuarentena” donde va a poder acceder a los “Servidores de Remediación” (Remetidation Servers) que serán, lógicamente, los necesarios para arreglar aquello que hace que un equipo no cumpla la política, es decir, el WSUS para que actualice los parches, el servidor de gestión de software si la distribución está controlada por el administrador, el correo mediante acceso Web por si es una “urgencia”, el servidor de antivirus o lo que el administrador considere necesario.

Esta idea de Redes de Cuarentena estaba bastante avanzada también por Cisco y Trend Micro, así que lo mejor sería trabajar de forma conjunta para poder ofrecer una solución interoperable de futuro. Network Admission Control de Cisco-Trend Micro y Network Access Protection de Microsoft son la evolución de las Redes de Cuarentena y son interoperables como ya nos anticiparon a principios de Septiembre de este año.

En esta nueva tecnología ya no pensamos en una conexión de un Cliente VPN sino en una conexión a nuestra red, ya sea en un Switch, en un Punto de Acceso Wireless, mediante una conexión VPN o de cualquier otra manera. En el momento que la máquina se conecta a la red el Cliente NAP que debe correr en la máquina genera un documento del “Estado de Salud” (Statement of Health “SoH”) de la máquina. Éste es enviado al “Servidor de Política de Red” (Network Policy Server “NPS”), que es el sustituto en Windows Server “Longhorn” de IAS (Internet Authentication Server) en Windows Server 2003. El “Doctor” NPS comprueba con los Servidores de Políticas si el Estado de Salud (SoH) de nuestro “paciente” es correcto para poder estar conectado a la red a la que quiere conectar. Si es un Estado de Salud correcto se le permite la conexión y si no, pues decidimos que hacer. O bien le situamos en una red de remediación o bien optamos por no permitirle la conexión o en otro caso, directamente, en reconfigurar de forma “sana” la máquina en el acto.

Esta rápida descripción del funcionamiento nos permite hacernos dos preguntas. La primera: ¿Depende de donde conectemos la máquina cliente podremos tener diferentes requerimientos de salud? La respuesta es: Por supuesto, es genial, podemos definir la red como zonas distintas de seguridad que nos exigen distintos niveles de salud. La segunda pregunta que seguro que a todos nos viene a la cabeza es: ¿Cómo forzamos la política para que no se conecte una máquina cliente que no cumple el estado de salud requerido? Para ello tenemos varias formas de hacerlo.

1.- Servidor DHCP: Es la forma más sencilla y menos “segura” pero la tecnología NAP intenta ayudar a los administradores y usuarios a no ser vulnerables, no es una tecnología para luchar contra usuarios maliciosos, aunque ayude a ello. En este entorno cuando el cliente DHCP realiza la petición el servidor comprueba el SoH y si no cumple el nivel de salud, se le configura para trabajar en la red de remediación o directamente no se le concede una configuración de red válida.

2.- Servidor VPN: Para aquellas máquinas que se conectan mediante clientes VPN se aplica un funcionamiento similar al de las predecesoras Redes de Cuarentena. Usamos el servidor VPN para configurar al cliente dentro de una red de remediación o directamente no le permitimos la conexión.

3.- 802.1x: En todos los switch de la conexión Lan o VLan de la organización, cuando algún cliente se conecta a un puerto de un switch o a un Punto de Accesso Wireless, mediante el protocolo 802.1x se envía al servidor NPS el SoH de la máquina cliente. Si no cumple la Política de Salud entonces se deniega la conexión al puerto o se le configura de forma dinámica en otra VLan para la remediación.

4.- IPSec: En este caso el certificado X.509 para IPSec se emite de forma dinámica cuando una máquina es conectada. El proceso es sencillo, primero, el agente NAP genera el SoH que es enviado al NPS que a su vez comprueba si es válido o no con el Servidor de Políticas (PS). Si la cumple un Certificador de Salud genera un certificado X.509 para comunicaciones IPSec que deberá usar el cliente. En el momento que tenga el certificado podrá comunicarse con todos equipos de la red que también tienen el certificado IPSec y si no, quedará aislado.

Al final la idea es ver como restringir a las máquinas que no están sanas de comunicarse con las sanas. Sencillo.

La solución NAP viene con Windows Server “Longhorn” para la parte servidora y preparada para clientes Windows Server “Longhorn” y Windows Vista aunque se tiene prevista una implementación NAP para Windows XP SP2. No obstante clientes compatibles NAC existen ya para Windows 2000/XP SP2. ¿Muchas Siglas? ¡Cómo los médicos!

Más info: Technet

Chema Alonso
Microsoft MVP Windows Security

2 comentarios:

  1. Acojonante, tiene muy buena pinta :). Tengo ganas de probarlo, sabes cuando alguna de estas ideas verán la luz definitivamente?

    ResponderEliminar
  2. La verdad es que hace ya casi un año que oi hablar de ello en la cisco expo de Madrid, aunque me dio la sensacion de que a pesar de ser una idea excepcional quedaba limitado a grandes corporaciones,productos Cisco etc..., pero contando lo que cuentas... muy interesante.
    Un saludo y Feliz año 2007.
    A ver cuando nos deleitas con algun articulillo sobre webtrojans o inyecciones sql de esas tan bonitas que tan bien te salen eh? ;)

    ResponderEliminar