Module 6: Installing, Configuring, and Troubleshooting the Network Policy Server Role
-----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
RADIUS Server
RADIUS Proxy
NAP (Network Access Protection)
Authentication
Authorization
Accounting: registro de actividad
Authentication: Comprobar que las credenciales de un usuario son validas: Usuario/Password, Smartcard, claims,
Certificados digitales, biometria, incluso podemos usar autentificacion multifactor.
Authorization: Si las credenciales son validas, el siguiente paso es determinar los privilegios y permisos del usuario
dentro de la red.
Accounting: auditar todas las actividades que el usuario lleva a cabo con los permisos y privilegios que tiene
asignados. RADIUS almacena toda esta actividad en un archivo local o en una base de datos como SQL Server
NAP: Chequeo de salud del sistema (Comprobar actualizaciones, si tiene instalado y actualizado un antivirus, si el
cortafuegos esta habilitado,) Estas comprobaciones estan dentro de las health Roules.
RADIUS Server: Hace las tareas de autentificacion, autorizacion y registro de actividad. Para la validacion
de credenciales puede usar una base de datos externa, por ejemplo SQL Server, o un directorio activo. Es
un estandar compatible con otros servicios de Gestion de identidad. Un ejemplo de estos servicios es
Oracle Directory Server.
RADIUS Client: Es quien hace las peticiones al RADIUS server para validar las credenciales de un cliente.
Suele ser un NAS.
RADIUS Proxy: Distribuye las peticiones de acceso a la red entre diferentes RADIUS. Suele usarse para
balanceo de carga.
NAS (Network access Server): Servidor RRAS, Switch, AP wireless, servidor VPN son los puntos de
conexion de los usuarios con la red
LON-RTR: Servidor NAS (Network Access Server) como servidor VPN y tambien cliente RADIUS.
LON-DC1: Servidor RADIUS que se va a registrar en el AD para usar su base de datos para autenticacion.
LON-CL1: Cliente VPN
Si instalamos el servidor RADIUS en un servidor de grupo de trabajo, usaria para autenticar usuarios la SAM, La base
de datos local de ese equipo.
Cuando un usuario quiera iniciar sesion en la VPN desde su equipo, Los pasos seran:
1. El usuario, desde su equipo (LON-CL1), usara el cliente VPN para solicitar la conexin.
2. LON-RTR, como servidor VPN, recibira la peticion de conexin desde LON-CL1. LON-RTR pedira las
credenciales al usuario que se conecta desde LON-CL1. LON-RTR no validara las credenciales contra su base
de datos interna, sino que al ser un Cliente RADIUS, reenviara la peticion de autenticacion a LON-DC1, que es
el servidor RADIUS.
3. LON-DC1 recibe la peticion de autenticacion desde LON-RTR. Al estar registrado con el AD, comprueba en el
directorio activo si las credenciales son validas. LON-DC1 Responde a LON-RTR aceptando o denegando las
credenciales.
4. Si las credenciales se han aceptado, LON-RTR permite el acceso del usuario a traves de la VPN. Cualquier
actividad del usuario estara controlada por el servidor RADIUS.
5. Si las credenciales no se han aceptado. LON-RTR derivara al usuario a una red de Remediacion. En esta red
contamos con lo que se denomina un grupo de remediacion.
Puertos RADIUS
En la parte de la contrasea para activar el cliente RADIUS es mas seguro darle a generar
Si marcamos varios siempre negociaran el mas seguro compatible con los 2 extremos
Desde powershell exportar configuracion NPS sirve para importar la configuracion en otro servidor
Export-NpsConfiguration -Path C:\nps.xml
nps.xml
Clientes RADIUS:
Suelen ser los servidores NAS (Network Access Server):
-
Proxy RADIUS:
Distribuye las peticiones de autenticacion u autorizacion entre diferentes servidores RADIUS.
Escenarios de uso de Proxy RADIUS:
-
Somos un ISP con multiples clientes y queremos autenticar a los usuarios contra diferentes servidores
RADIUS en funcion de su Realm.
Si tenemos servidores RADIUS que no son miembros de un dominio
Para autenticar usuarios de otro dominio con el que tenemos una relacion de confianza
Para autenticar usuarios contra una base datos que no sea AD: SQL server, Oracle identitu manager,
oracle Directory Services, Open LDAP.
Muchos usuarios que piden autenticacion y queremos distribuir la carga entre multiples servidores
RADIUS.
Proteger la infraestructura de red mediante firewalls concando el proxy RADIUS en la zona DMZ
Tipos de VPN:
-
Acceso Remoto (Road Warrior): un usuario movil que se conecta con la red local. Este donde este el
usuario, abre su cliente VPN para conectarse con el servidor VPN. La conexin VPN no es permanente
Sitio a Sitio: Conexin VPN permanente entro dos localizaciones, por ejemplo, una central y una sucursal.
Se usan 2 servidores VPN, uno en cada localizacion. La VPN es transparente para los usuarios
Las politicas de conexin de NPS prevalecen sobre las de dial-in de usuario si esta marcado el check
Adatum.com
Contoso.com
Tailspontoys.com
Creamos una maquina LON-RTR (Grupo de trabajo) y la configuramos como servidor VPN con RRAS. Para que LONRTR pueda distribuir las peticiones de autenticacion al dominio correcto, tenemos que configurar LON-RTR como
Proxy RADIUS.
Para que el proxy pueda redirigir las peticiones al servidor RADIUS correspondiente a cada dominio, creamos un
grupo de Servidores RADIUS remotos.
Por defecto windows 8.1 no permite conectar con MS-CHAPv2 hay que permitirlo expresamente en las opciones de
la VPN
Esquemas de cifrado:
publica y privada. Este esquema tambien suele llarmarse esquema de clave publica. La clave publica esta
disponible para cualquiera y la clave privada solo para el propietario.
Un algoritmo simetrico es mas fuerte que uno asimetrico a igualdad de longitud. Pero la debilidad del algoritmo
simetrico es la distribucion de la clave entre las partes.
Autenticacion: ciframos con nuestra clave privada para que todos puedan descifrarlas con sus claves
publicas asi demostramos que somos nosotros los que ciframos el mensaje
Integridad: igual que autenticacion pero se utiliza la comprobacion de HASH
Confidencialidad: ciframos con la clave publica del destino asi solo podra descifrarla el destino con su
clave privada
El par de claves publica y privada es lo que conocemos como certificado digital. La clave publica se almacena en un
servidor accesible para cualquera y la clave privada la guarda el propietario.
Toda esta infraestructura (y algunos servidores mas que son opcionales) Se donomina PKI (Public Key Infrastructure)
Ejercicio: En el dominio de Contoso, el departamento de Sistemas necesita tener acceso de forma remota y cifrado.
Este departamento est representado por un grupo ContosoSys y est formado por 3 usuarios "contososys1",
"contososys2" y "contososysadmin".
Los miembros de este grupo deben poder acceder a los recursos de Contoso de forma remota mediante una
conexin VPN en la que LON-RTR ser el servidor NAS.
Los usuarios "contososys1" y "contososys2" slo deben poder acceder a la VPN cuando se conectan desde sus
equipos con IPs 192.168.10.170 y 192.168.10.171 respectivamente.
Se deja sin configurar por que luego en la politica de red se puede configurar
Aqu podemos dejar que el usuario cambie la contrasea si caduca a traves de la VPN
Ahora en el RTR
Las condiciones tienen que cumplirse todas estan unidas por AND
Esto nos permite monitorizar la activar del servidor NPS para hacer diagnostico de fallos, asi como monitorizar la
actividad de los usuarios.
Eventos que podemos monitorizar del propio servidor NPS serian las conexiones y peticiones de autenticacion por
parte de un cliente RADIUS.
En un NPS, por defecto esta habilitado el resgistro de eventos de errores, peticiones de autenticacion rechazadas y
peticiones de autenticacion aceptadas en el log event.
Guardar la informacion en el event log puede no ser suficiente para las necesidades de auditoria de una
organizacin. Cuando el log se llena, desaparecen los eventos mas antiguos. Nosotros tendriamos que hacer un
backup manual de estos logs para poder recuperar un historico de eventos de NPS.
Si queremos tener informacion mas detallada de un historico extenso de los eventos, tenemos que habilitar el
logging, en un archivo o en una base de datos de SQL server.
Halitando el logging podemos usar herramientas para analizar el historico de enventos, correlacion de eventos
EL archivo log NO deberia estar en la misma particion que el sistema. Puede ocupar mucho espacio y llenar la
particion haciendo que el sistema se vuelva inestable.
Si la particion donde se encuentra el archivo de log se llena, el servidor RADIUS se para y no permite conexiones. Es
recomendable por ese motivo usar un servidor SQL Server que tendra sus archivos MDF y LDF en una cabina de
almacenamiento
Si desmarcamos la ultima casilla el NPS no se parara cuando se llene la particion donde esta log
Se recomienda que el archivo de log esta en una maquina diferente a la del NPS:
-
El servidor de log deberia estar protegido. Es lo que suele llamarse un servidor Bastion.
Como registro de actividad adicional usado para diagnostico de fallos, podemos usar el trace (debug) En el
servidor RRAS (LON-RTR)
Habilitar modo debug verbose CUIDADO ALMACENA TODA LA ACTIVADA AFECTA AL RENDIMIENTO
netsh ras set tr * en
Se almacena en el directorio
C:\windows\Tracing
Ejercicio: Configurar servidor RADIUS de LON-SRV2 para que almacene los archivos log en LON-DC1. Configurar el
servidor VPN para que almacene una traza de las conexines que se han llevado a cabo
1 modo no recomendable
2 modo recomendable
Conectar el servidor donde almacenaremos los logs por vpn y ya podriamos pasar datos por datos