============================================================================
- MS Forefront TMG 2010: Montar una red de cuarentena para VPNs con NAP (1 de 5)
- MS Forefront TMG 2010: Montar una red de cuarentena para VPNs con NAP (2 de 5)
- MS Forefront TMG 2010: Montar una red de cuarentena para VPNs con NAP (3 de 5)
- MS Forefront TMG 2010: Montar una red de cuarentena para VPNs con NAP (4 de 5)
- MS Forefront TMG 2010: Montar una red de cuarentena para VPNs con NAP (5 de 5)
============================================================================

Configuración de políticas NAP en los clientes

Con estas configuraciones ya se ha concluido la parte de los servidores, tanto de MS Forefront TMG 2010 como del servidor con el rol de NPS. Ahora se deben configurar ciertas políticas en los clientes que van a usar el acceso por medio de una conexión VPN, que en este caso se ha realizado mediante el uso de GPOs en el propio Active Directory. Una configuración utilizada habitualmente consiste en habilitar el cliente de cuarentena de EAP en las propiedades del cliente de NAP y habilitar el agente de protección de acceso a redes.


Figura 17: Cliente de cuarentena EAP


Figura 18: Agente de protección de acceso a redes

Establecida la configuración de los equipos cliente para ser compatibles con NAP se debe configurar las opciones del cliente VPN para que se conecte correctamente al servidor de MS Forefront TMG 2010.


Figura 19: Configuración del cliente VPN

Ahora sólo se debe probar el correcto funcionamiento y la conexión a través de la VPN, siendo satisfactoria como muestra la siguiente imagen.


Figura 20: Conexión desde el lado del cliente


Figura 21: Conexión vista en el servidor Forefront TMG 2010

Si deshabilitamos el Firewall de la máquina y lo volvemos a activar vemos como entra en juego el validador de NAP y automáticamente entra en la cuarentena de clientes VPN para salir de ella cuando se resuelva el problema.


Figura 22: Reglas del firewall

============================================================================
- MS Forefront TMG 2010: Montar una red de cuarentena para VPNs con NAP (1 de 5)
- MS Forefront TMG 2010: Montar una red de cuarentena para VPNs con NAP (2 de 5)
- MS Forefront TMG 2010: Montar una red de cuarentena para VPNs con NAP (3 de 5)
- MS Forefront TMG 2010: Montar una red de cuarentena para VPNs con NAP (4 de 5)
- MS Forefront TMG 2010: Montar una red de cuarentena para VPNs con NAP (5 de 5)
============================================================================

============================================================================
- MS Forefront TMG 2010: Montar una red de cuarentena para VPNs con NAP (1 de 5)
- MS Forefront TMG 2010: Montar una red de cuarentena para VPNs con NAP (2 de 5)
- MS Forefront TMG 2010: Montar una red de cuarentena para VPNs con NAP (3 de 5)
- MS Forefront TMG 2010: Montar una red de cuarentena para VPNs con NAP (4 de 5)
- MS Forefront TMG 2010: Montar una red de cuarentena para VPNs con NAP (5 de 5)
============================================================================

Configuración de VPN en Forefront TMG 2010 con NAP

En el siguiente paso se deben poner los métodos de autenticación necesarios para poder usar dentro de la configuración de la VPN que se ha realizado en MS Forefront Threat Management Gateway 2010 uso del sistema NAP, tal y como se ha comentado anteriormente.


Figura 12: Métodos de autenticación

Una vez configuradas las directivas de validación hay que configurar la directiva de red para acceder por medio de una conexión VPN, ya que en la configuración de marcado en las opciones del usuario por defecto se controla el acceso a través de la directiva de red NPS.


Figura 13: Configuración de Marcado de los usuarios

En este caso la directiva está basada en el tipo de servidor VPN-Dial Up y la condición para el acceso es que la dirección del cliente RADIUS que pregunta para autenticar los usuarios sea la dirección interna IPv4 del servidor MS Forefront TMG 2010.


Figura 14: Regla de acceso por VPN


Figura 15: Condición de dirección

La autenticación de esta regla de red debe configurarse para los métodos elegidos anteriormente y se debe elegir el certificado confiable del servidor para la autenticación EAP [Extensible Authentication Protocol], además el cliente de la conexión VPN debe confiar en el emisor del certificado, en este caso la CA del dominio.


Figura 16: Configuración de EAP en NPS

============================================================================
- MS Forefront TMG 2010: Montar una red de cuarentena para VPNs con NAP (1 de 5)
- MS Forefront TMG 2010: Montar una red de cuarentena para VPNs con NAP (2 de 5)
- MS Forefront TMG 2010: Montar una red de cuarentena para VPNs con NAP (3 de 5)
- MS Forefront TMG 2010: Montar una red de cuarentena para VPNs con NAP (4 de 5)
- MS Forefront TMG 2010: Montar una red de cuarentena para VPNs con NAP (5 de 5)
============================================================================

============================================================================
- MS Forefront TMG 2010: Montar una red de cuarentena para VPNs con NAP (1 de 5)
- MS Forefront TMG 2010: Montar una red de cuarentena para VPNs con NAP (2 de 5)
- MS Forefront TMG 2010: Montar una red de cuarentena para VPNs con NAP (3 de 5)
- MS Forefront TMG 2010: Montar una red de cuarentena para VPNs con NAP (4 de 5)
- MS Forefront TMG 2010: Montar una red de cuarentena para VPNs con NAP (5 de 5)
============================================================================

Configuración de Políticas NAP y validación NPS

Para probar el funcionamiento simplemente se configura el validador para que el firewall esté activado en todos los interfaces de red de la máquina que se conectará por VPN a la red, aunque pueden seleccionarse más opciones.


Figura 8: Validador de mantenimiento de seguridad

Después de configurar el validador se tienen que crear las directivas de mantenimiento para luego aplicarlas en la configuración de las directivas de red. Se crean dos políticas de mantenimiento, una política que verifica que el cliente cumple con todas las comprobaciones de salud (en este caso solamente el Firewall) y otra política para cuando el cliente no las supere.


Figura 9: Configuración de políticas de cumplimiento

Ahora se deben crear dos políticas de red, una para cuando el cliente cumple con la directiva de mantenimiento y otra para cuando no la cumple. La directiva de red comprobará la directiva de mantenimiento (Cumple o No cumple) y en función de eso, permitirá el acceso por VPN o el servidor MS Forefront TMG 2010 pondrá el equipo en la rede de cuarentena de VPN. En el asistente de configuración se debe especificar la directiva de mantenimiento elegida y el tipo de acceso que se le concede.


Figura 10: Elección de directivas de mantenimiento


Figura 11: Tipo de acceso

============================================================================
- MS Forefront TMG 2010: Montar una red de cuarentena para VPNs con NAP (1 de 5)
- MS Forefront TMG 2010: Montar una red de cuarentena para VPNs con NAP (2 de 5)
- MS Forefront TMG 2010: Montar una red de cuarentena para VPNs con NAP (3 de 5)
- MS Forefront TMG 2010: Montar una red de cuarentena para VPNs con NAP (4 de 5)
- MS Forefront TMG 2010: Montar una red de cuarentena para VPNs con NAP (5 de 5)
============================================================================

============================================================================
- MS Forefront TMG 2010: Montar una red de cuarentena para VPNs con NAP (1 de 5)
- MS Forefront TMG 2010: Montar una red de cuarentena para VPNs con NAP (2 de 5)
- MS Forefront TMG 2010: Montar una red de cuarentena para VPNs con NAP (3 de 5)
- MS Forefront TMG 2010: Montar una red de cuarentena para VPNs con NAP (4 de 5)
- MS Forefront TMG 2010: Montar una red de cuarentena para VPNs con NAP (5 de 5)
============================================================================

Configuración del Cliente RADIUS (continuación)

Una vez configurados los mecanismos de autenticación EAP y RADIUS se debe configurar la cuarentena, al habilitar el control de la cuarentena se puede elegir cómo va a poner MS Forefront TMG 2010 a los clientes en la red de cuarentena, mediante las directivas de Forefront TMG o dependiendo de las directivas de NAP, como se muestra en esta serie de entradas. En cualquier caso MS Forefront TMG 2010 indica que se deben realizar configuraciones para lograr esto tanto en el servidor MS Forefront TMG 2010 como en los clientes VPN, así como la configuración en si misma de NAP.


Figura 4: Configuración de Cuarentena. Aviso de configuraciones alternativas

Desde este punto ya estaría configurado el servidor MS Forefront TMG 2010, toda la configuración necesaria para habilitar la cuarentena de VPN se ha realizado con estos sencillos pasos. Ahora falta configurar tanto el servidor NPS como las directivas de red del mismo con NAP, además de los propios clientes de VPN.

El servidor NPS requiere varios puntos de configuración, uno de ellos es el servidor RADIUS del que se debe comprobar que use el puerto estándar, como el configurado en el servidor MS Forefront TMG 2010. A parte del servidor RADIUS se ha de configurar el cliente RADIUS (en este caso el servidor MS Forefront TMG 2010) en el servidor NPS, como se muestra a continuación, indicando el nombre del servidor (o la dirección IP) la clave previamente compartida y habilitando

Figura 5: Configuración de Cliente RADIUS


Figura 6: Configuración de Cliente RADIUS - Opciones avanzadas


Figura 7: Cliente RADIUS funcionando

Una vez configurado el cliente RADIUS se debe configurar la parte de NAP y las políticas de validación del servidor NPS.

============================================================================
- MS Forefront TMG 2010: Montar una red de cuarentena para VPNs con NAP (1 de 5)
- MS Forefront TMG 2010: Montar una red de cuarentena para VPNs con NAP (2 de 5)
- MS Forefront TMG 2010: Montar una red de cuarentena para VPNs con NAP (3 de 5)
- MS Forefront TMG 2010: Montar una red de cuarentena para VPNs con NAP (4 de 5)
- MS Forefront TMG 2010: Montar una red de cuarentena para VPNs con NAP (5 de 5)
============================================================================

============================================================================
- MS Forefront TMG 2010: Montar una red de cuarentena para VPNs con NAP (1 de 5)
- MS Forefront TMG 2010: Montar una red de cuarentena para VPNs con NAP (2 de 5)
- MS Forefront TMG 2010: Montar una red de cuarentena para VPNs con NAP (3 de 5)
- MS Forefront TMG 2010: Montar una red de cuarentena para VPNs con NAP (4 de 5)
- MS Forefront TMG 2010: Montar una red de cuarentena para VPNs con NAP (5 de 5)
============================================================================

Hoy en día es común utilizar una infraestructura de red VPN (Virtual Private Network) para conectarse a la infraestructura de sistemas de la empresa, lo que no es tan habitual es realizarlo haciendo también uso de la tecnología NAP (Network Access Protection). En esta serie de entradas se podrá ver la configuración necesaria para lograrlo.

Estado inicial: Un servidor VNP con PPTP sin NAP, un RADIUS y un NPS

Se parte de la situación en que existe MS Threat Management Gateway TMG 2010 configurado como servidor de conexiones VPN para acceder a la red interna. En este ejemplo configurada mediante el protocolo PPTP, aunque sería igualmente válido con L2TP y con SSTP, pero, como puede observarse en la siguiente imagen, sin NAP habilitado.


Figura 1: VPN mediante PPTP sin NAP

Lo primero que se debe configurar para poder utilizar NAP con MS Forefront TMG 2010 es cambiar el método de autenticación de los clientes VPN para seleccionar el protocolo de autenticación extensible EAP (Extensible Authentication Protocol) con tarjeta inteligente u otro certificado, que, como indica el propio MS Forefront TMG 2010 para la configuración de cuarentena basado en NAP, se debe configurar EAP como mecanismo de autenticación. Además, cuando se autentica por EAP, los usuarios debe autenticarlos un servidor RADIUS y no los propios grupos de Windows.


Figura 2: Configuración de EAP

Configuración del Cliente RADIUS

En este laboratorio se dispone de otro servidor que actuará como RADIUS y como servidor de políticas de acceso a la red NPS (Network Policy Server), por lo tanto MS Forefront TMG 2010 tiene que actuar como cliente RADIUS y se debe configurar de la siguiente forma.

Figura 3: Configuración del cliente RADIUS

Se debe activar RADIUS para autenticar los usuarios remotos configurando el nombre del servidor, en este caso NPS y se recomienda mantener el puerto de autenticación y el tiempo de espera, pero se recomienda encarecidamente añadir una clave previamente compartida entre el cliente y el servidor RADIUS, clave que se deberá añadir en ambos sitios.

============================================================================
- MS Forefront TMG 2010: Montar una red de cuarentena para VPNs con NAP (1 de 5)
- MS Forefront TMG 2010: Montar una red de cuarentena para VPNs con NAP (2 de 5)
- MS Forefront TMG 2010: Montar una red de cuarentena para VPNs con NAP (3 de 5)
- MS Forefront TMG 2010: Montar una red de cuarentena para VPNs con NAP (4 de 5)
- MS Forefront TMG 2010: Montar una red de cuarentena para VPNs con NAP (5 de 5)
============================================================================