Ejercicio configurar VPN enforcement para que los host que van a conectarse a la red local desde internet usando una vpn tengan que cumplir con las politicas de salud definidas por la empresa. Esta politica de salud establece que los hosts deben tener el firewall activado. La autentificacion de la VPN sera EAP. LON-DC1: DC y CA (vmnet2) LON-RTR: RRAS y NPS LON-CL1 Cliente NAP y VPN (vmnet3) Autoridad Certificadora: Es un servidor que emite certificados. Los certificados son de muchos tipos y para diferentes usos: - Certificados de equipo. Autenticar un servidor - Certificados de Usuario. Autenticar un usuario - Certificados de Servicio. Autenticar un servicio, como IIS para SSL - Certificados de salud. Para clientes NAP compliant -. Si se usan para autenticacion, un certificado demuestra que el usuario, equipo, servicio,, es quien dice ser. La CA es quien garantiza la identidad del certificado. La autoridad certificadora debe ser confiable para los que los destinatarios acepten los certificados que emiten. En Microsoft hay dos tipos de Cas: - Enterprise: Integrada en el directorio activo - Stand-alone: No integrada en el directorio activo Si es Enterprise, podemos configurar todos los equipos y usuarios del dominio para que soliciten de forma automatica su certificado y la CA se lo entregue (auto-enrollment) Instalacion del Rol AD CS
Una vez instalado el rol ya no se puede cambiar el nombre, despromocionar o casi cualquir cosa Configuracion del AD CS IMPORTANTE!
Y asi se veria en la herramientas Cambiar propiedades de las plantillas (dar permisos para que usuarios soliciten certificados)
Para que se aplique hay que reiniciar el servicio AD CS Ahora configuramos una GPO para que todas los equipos del dominio pidan su certificado.
Y la enlazamos al dominio Ahora desde una mmc vamos a ver si al propio servidor le esta dando certificado Como es un certificado de equipo
Y ya vemos los certificados que nos ha dado la CA Y vemos que ya tiene los certificados instalados Ahora metemos LON-RTR en el dominio para que le genere su certificado Vemos que la autoridad certificadora aparece Vamos a solicitar un nuevo certificado de equipo para LON-RTR
Y ya lo tendriamos Hacemos lo mismo con LON-CL1 IMPORTANTE PARA EL EXAMEN DIFERENCIA ENTRE SHV de windows vista en adelante a XP A partir de windows Vista Se puede solicitar Spyware En windows XP no aparece esta opcion Vamos a instalar el ROL NPS en LON-RTR Configuramos el NPS en LON-RTR solo chequeo de firewall Lo primero registramos NPS en el DA
Hay que pedir un certificado de usuario para hacer login en la VPN Configuracion de las politicas de salud
Ahora politica de RED Primero la compliant como condicion ponemos la Health policy compliant que creamos antes
El check en Perform machine health check only sirve para que una vez conectado a la VPN siga comprobando que cumple los requisitos del NAP y echarlo en cuanto NO los cumpla. Y como es compliant dejamos el forzado de NAP en permitir full network access
Ahora para los non Compliant
Y asi quedan las 2 Ahora creamos la politica de conexión
GRE antiguo no seguro ESP El mas seguro IPSec escapsula trafico L2TP seguro se suele combinar con IPSec PPTP No muy seguro aun se usa SSTP utilizan puertos especificos 443 y obliga a certificado de servidor web
El propio servidor va autenticar por esta esta metido en dominio si no estubiera tendriamos que configurar un servidor RADIUS Al añadir el PEAP estamos configurando la autenticacion de la maquina con certificado de equipo tambien forzamos NAP
Y ahora ponemos tambien EAP-MSCHAP v2 para autenticar tambien al usuario con certificado de usuario Y ya estaria
Ahora vamos a configurar el RTR como VPN
Volver a comprobar las politicas de conexión en el NPS porque automaticamente activa una nueva despues de configurar el VPN Vamos a crear una regla en el firewall para permitir el ping en LON-RTR
Vamos a configurar el NAP en el cliente NAPCLCFG.MSC (Se puede hacer por politicas)
Comprobamos que el servicio esta iniciado en el Cliente Tambien comprobamos si es Security center esta habilitado para que la autoremediacion funcione por GPO o gpedit.msc Ahora vamos a crear la conexión a la VPN en el cliente Modificamos la configuracion de autenticacion de la VPN para que pida certificado de equipo
Quitamos fast reconnect para que no almacene las contraseñas en cache