Ejercicio: En el dominio de Contoso, el departamento de Sistemas necesita tener acceso de forma remota y cifrado. Este departamento está representado por un grupo ContosoSys y está formado por 3 usuarios "contososys1", "contososys2" y "contososysadmin".
Los miembros de este grupo deben poder acceder a los recursos de Contoso de forma remota mediante una conexión VPN en la que LON-RTR será el servidor NAS.
Los usuarios "contososys1" y "contososys2" sólo deben poder acceder a la VPN cuando se conectan desde sus equipos con IPs 192.168.10.170 y 192.168.10.171 respectivamente.
El usuario "contososysadmin" debe poder conectarse desde cualquier dirección IP.
Servidor NAS: LON-RTR con tarjeta “externa” la 192.168.10.1 Servidor RADIUS: LON-SRV2
Cliente RADIUS: LON-RTR
Las condiciones tienen que cumplirse todas estan unidas por AND
Opcion mas avanzada de firewall de MS
Microsoft Forefront TMG (Threat Management Gateway) Lo normal es Fortinet cisco juniper
Registro de actividad (Accounting):
Un servidor RADIUS es un estandar AAA (Authentication, Autorization, Accounting)
- Authentication: EAP, MS-CHAP, CHAP, PAP,…
- Autorization: Network policies. Definimos condiciones y limitaciones (constrains) en base a nombre de usuario, grupo de ususarios, direcciones ip, sistema operativo, …
- Accounting: Registro de actividad del propio servidor NPS y los usuarios que autentica
El registro de actividad puede almacenarse en 3 localizaciones:
- Registro de Eventos (event log) - Archivo en el disco duro - Base de datos SQL
Esto nos permite monitorizar la activar del servidor NPS para hacer diagnostico de fallos, asi como monitorizar la actividad de los usuarios.
Eventos que podemos monitorizar del propio servidor NPS serian las conexiones y peticiones de autenticacion por parte de un cliente RADIUS.
En un NPS, por defecto esta habilitado el resgistro de eventos de errores, peticiones de autenticacion rechazadas y peticiones de autenticacion aceptadas en el log event.
Guardar la informacion en el event log puede no ser suficiente para las necesidades de auditoria de una
organización. Cuando el log se llena, desaparecen los eventos mas antiguos. Nosotros tendriamos que hacer un backup manual de estos logs para poder recuperar un historico de eventos de NPS.
Si queremos tener informacion mas detallada de un historico extenso de los eventos, tenemos que habilitar el logging, en un archivo o en una base de datos de SQL server.
Halitando el logging podemos usar herramientas para analizar el historico de enventos, correlacion de eventos…
Para almacenar la informacion de actividad en un servidor SQL Server necesitamos: - Un servidor SQL accesible.
- Credenciales para acceder a una base de datos en modo escritura - Un base de datos en SQL Serer
- Un procedimiento almacenado (un scrip hecho en SQL) que se llame “report_event” que recoja la informacion de accounting en formato xml y la convierta a formato SQL Server
Manual configuracion logging en SQL
configuracion del LOG de NPS
IAS: Internet Authentication Server
EL archivo log NO deberia estar en la misma particion que el sistema. Puede ocupar mucho espacio y llenar la particion haciendo que el sistema se vuelva inestable.
Si la particion donde se encuentra el archivo de log se llena, el servidor RADIUS se para y no permite conexiones. Es recomendable por ese motivo usar un servidor SQL Server que tendra sus archivos MDF y LDF en una cabina de almacenamiento
Si desmarcamos la ultima casilla el NPS no se parara cuando se llene la particion donde esta log
Se recomienda que el archivo de log esta en una maquina diferente a la del NPS: - Una carpeta compartida montado como una unidad de red.
- Usando el protoclo Syslog
- Enviando la informaicon de accounting a un proceso en memoria que se encarga de gestionarlo. Esto se hace usando lo que se denomina un Named Pipe (\\.pipe\....)
El servidor de log deberia estar protegido. Es lo que suele llamarse un servidor Bastion.
Logman herramienta para en guardar log utilizando el protocolo syslog
Como registro de actividad adicional usado para diagnostico de fallos, podemos usar el trace (debug) En el servidor RRAS (LON-RTR)
Habilitar modo debug verbose CUIDADO ALMACENA TODA LA ACTIVADA AFECTA AL RENDIMIENTO netsh ras set tr * en
netsh ras set tr * dis
Se almacena en el directorio C:\windows\Tracing
Ejercicio: Configurar servidor RADIUS de LON-SRV2 para que almacene los archivos log en LON-DC1. Configurar el servidor VPN para que almacene una traza de las conexiónes que se han llevado a cabo
1º modo no recomendable
netsh ras set tr * en
netsh ras set tr * dis
2º modo recomendable
Conectar el servidor donde almacenaremos los logs por vpn y ya podriamos pasar datos por datos