MS Forefront TMG 2010: Montar una red de cuarentena para VPNs con NAP [Network Access Protection] (1 de 5)

by jmalonso 16. mayo 2011 10:10
============================================================================
- MS Forefront TMG 2010: Montar una red de cuarentena para VPNs con NAP (1 de 5)
 - MS Forefront TMG 2010: Montar una red de cuarentena para VPNs con NAP (2 de 5)
- MS Forefront TMG 2010: Montar una red de cuarentena para VPNs con NAP (3 de 5)
- MS Forefront TMG 2010: Montar una red de cuarentena para VPNs con NAP (4 de 5)
- MS Forefront TMG 2010: Montar una red de cuarentena para VPNs con NAP (5 de 5)
============================================================================

Hoy en día es común utilizar una infraestructura de red VPN (Virtual Private Network) para conectarse a la infraestructura de sistemas de la empresa, lo que no es tan habitual es realizarlo haciendo también uso de la tecnología NAP (Network Access Protection). En esta serie de entradas se podrá ver la configuración necesaria para lograrlo.

Estado inicial: Un servidor VNP con PPTP sin NAP, un RADIUS y un NPS

Se parte de la situación en que existe MS Threat Management Gateway TMG 2010 configurado como servidor de conexiones VPN para acceder a la red interna. En este ejemplo configurada mediante el protocolo PPTP, aunque sería igualmente válido con L2TP y con SSTP, pero, como puede observarse en la siguiente imagen, sin NAP habilitado.


Figura 1: VPN mediante PPTP sin NAP

Lo primero que se debe configurar para poder utilizar NAP con MS Forefront TMG 2010 es cambiar el método de autenticación de los clientes VPN para seleccionar el protocolo de autenticación extensible EAP (Extensible Authentication Protocol) con tarjeta inteligente u otro certificado, que, como indica el propio MS Forefront TMG 2010 para la configuración de cuarentena basado en NAP, se debe configurar EAP como mecanismo de autenticación. Además, cuando se autentica por EAP, los usuarios debe autenticarlos un servidor RADIUS y no los propios grupos de Windows.


Figura 2: Configuración de EAP

Configuración del Cliente RADIUS

En este laboratorio se dispone de otro servidor que actuará como RADIUS y como servidor de políticas de acceso a la red NPS (Network Policy Server), por lo tanto MS Forefront TMG 2010 tiene que actuar como cliente RADIUS y se debe configurar de la siguiente forma.


Figura 3: Configuración del cliente RADIUS

Se debe activar RADIUS para autenticar los usuarios remotos configurando el nombre del servidor, en este caso NPS y se recomienda mantener el puerto de autenticación y el tiempo de espera, pero se recomienda encarecidamente añadir una clave previamente compartida entre el cliente y el servidor RADIUS, clave que se deberá añadir en ambos sitios.

============================================================================
- MS Forefront TMG 2010: Montar una red de cuarentena para VPNs con NAP (1 de 5)
 - MS Forefront TMG 2010: Montar una red de cuarentena para VPNs con NAP (2 de 5)
- MS Forefront TMG 2010: Montar una red de cuarentena para VPNs con NAP (3 de 5)
- MS Forefront TMG 2010: Montar una red de cuarentena para VPNs con NAP (4 de 5)
- MS Forefront TMG 2010: Montar una red de cuarentena para VPNs con NAP (5 de 5)
============================================================================
Category: Forefront TMG
Tags: , , , ,
Comentarios (0)
E-mail Permalink Post RSS
Comentarios no permitidos

Un Blog de:

Paperblog

Libros de Forefront TMG 2010
& SharePoint 2010: Seguridad
¡Ya disponibles a la venta!

 
250 páginas. 20 €. En Español

Compra tu Libro de Seguridad

 
250 páginas. 20 y 12 €. En Español

Próximos Eventos Seguridad & Forefront

Compra tus libros de:
Análisis Forense & LOPD

GFI Web Monitor

MetaShield Protector

Calendario de Artículos

<<  mayo 2012  >>
lumamijuvido
30123456
78910111213
14151617181920
21222324252627
28293031123
45678910

Mostrar calendario en la página principal

Últimos Comentarios

Comment RSS