Post on 26-Jun-2020
Ejercicio configurar VPN enforcement para que los host que van a conectarse a la red local desde internet usando una
vpn tengan que cumplir con las politicas de salud definidas por la empresa. Esta politica de salud establece que los hosts
deben tener el firewall activado. La autentificacion de la VPN sera EAP.
LON-DC1: DC y CA (vmnet2)
LON-RTR: RRAS y NPS
LON-CL1 Cliente NAP y VPN (vmnet3)
Autoridad Certificadora:
Es un servidor que emite certificados. Los certificados son de muchos tipos y para diferentes usos:
- Certificados de equipo. Autenticar un servidor
- Certificados de Usuario. Autenticar un usuario
- Certificados de Servicio. Autenticar un servicio, como IIS para SSL
- Certificados de salud. Para clientes NAP compliant
- ….
Si se usan para autenticacion, un certificado demuestra que el usuario, equipo, servicio, …, es quien dice ser. La CA es
quien garantiza la identidad del certificado.
La autoridad certificadora debe ser confiable para los que los destinatarios acepten los certificados que emiten.
En Microsoft hay dos tipos de Cas:
- Enterprise: Integrada en el directorio activo
- Stand-alone: No integrada en el directorio activo
Si es Enterprise, podemos configurar todos los equipos y usuarios del dominio para que soliciten de forma automatica su
certificado y la CA se lo entregue (auto-enrollment)
Instalacion del Rol AD CS
Una vez instalado el rol ya no se puede cambiar el nombre, despromocionar o casi cualquir cosa
Configuracion del AD CS
IMPORTANTE!
Y asi se veria en la herramientas
Cambiar propiedades de las plantillas (dar permisos para que usuarios soliciten certificados)
Para que se aplique hay que reiniciar el servicio AD CS
Ahora configuramos una GPO para que todas los equipos del dominio pidan su certificado.
Y la enlazamos al dominio
Ahora desde una mmc vamos a ver si al propio servidor le esta dando certificado
Como es un certificado de equipo
Y ya vemos los certificados que nos ha dado la CA
Y vemos que ya tiene los certificados instalados
Ahora metemos LON-RTR en el dominio para que le genere su certificado
Vemos que la autoridad certificadora aparece
Vamos a solicitar un nuevo certificado de equipo para LON-RTR
Y ya lo tendriamos
Hacemos lo mismo con LON-CL1
IMPORTANTE PARA EL EXAMEN DIFERENCIA ENTRE SHV de windows vista en adelante a XP
A partir de windows Vista Se puede solicitar Spyware
En windows XP no aparece esta opcion
Vamos a instalar el ROL NPS en LON-RTR
Configuramos el NPS en LON-RTR solo chequeo de firewall
Lo primero registramos NPS en el DA
Hay que pedir un certificado de usuario para hacer login en la VPN
Configuracion de las politicas de salud
Ahora politica de RED
Primero la compliant como condicion ponemos la Health policy compliant que creamos antes
El check en Perform machine health check only sirve para que una vez conectado a la VPN siga comprobando que
cumple los requisitos del NAP y echarlo en cuanto NO los cumpla.
Y como es compliant dejamos el forzado de NAP en permitir full network access
Ahora para los non Compliant
Y asi quedan las 2
Ahora creamos la politica de conexión
GRE antiguo no seguro
ESP El mas seguro IPSec escapsula trafico
L2TP seguro se suele combinar con IPSec
PPTP No muy seguro aun se usa
SSTP utilizan puertos especificos 443 y obliga a certificado de servidor web
El propio servidor va autenticar por esta esta metido en dominio si no estubiera tendriamos que configurar un servidor
RADIUS
Al añadir el PEAP estamos configurando la autenticacion de la maquina con certificado de equipo tambien forzamos NAP
Y ahora ponemos tambien EAP-MSCHAP v2 para autenticar tambien al usuario con certificado de usuario
Y ya estaria
Ahora vamos a configurar el RTR como VPN
Volver a comprobar las politicas de conexión en el NPS porque automaticamente activa una nueva despues de
configurar el VPN
Vamos a crear una regla en el firewall para permitir el ping en LON-RTR
Vamos a configurar el NAP en el cliente NAPCLCFG.MSC (Se puede hacer por politicas)
Comprobamos que el servicio esta iniciado en el Cliente
Tambien comprobamos si es Security center esta habilitado para que la autoremediacion funcione por GPO o gpedit.msc
Ahora vamos a crear la conexión a la VPN en el cliente
Modificamos la configuracion de autenticacion de la VPN para que pida certificado de equipo
Quitamos fast reconnect para que no almacene las contraseñas en cache