No House? I hack

Estándar

Hola chicos!

Hace tiempo me enviaron un mail con una improvisada felicitación de Navidad. En el subject ponía lo siguiente: No vas a tener casa en la puta vida.

Hoy, me han enviado otro mail, pero esta vez con un comentario de Gandrolf, el cual se ha encontrado este bonito defacement en la http://www.mviv.es/

mviv.jpg

El chaval se ceba a gusto con el mviv, explicando su malestar por NO tener vivienda, y comentando todo tipo de injusticias que se vive en este nuestro mundo. La mejor frase es la del final, en la que dice:

Nota al administrador: Cambia el estado del portal a online en configuration.php, y todo volvera a estar como estaba.

Jaja! Y encima buena gente el chaval! Nota: La Web ya está OFFLINE.

No voy a entrar en si la Web está hecha en php, o si Joomla o Mambo es una mierda, etc, etc, etc… Eso se lo vamos a dejar al Maligno, que seguro que lo hace mucho mejor que yo. Todos los técnicos sabemos o deberíamos saber que si se configuran los sistemas (da igual cuales sean) de una manera eficiente y con cierta coherencia, podemos llegar a unos muy buenos niveles en seguridad y usabilidad. 

Pero es que esto no tiene nombre. Hemos entrado en la Web del ministerio, por si hay alguna noticia, y no hemos visto nada. Como tenemos una vista muy mala malosa, alguien ha mirado el código fuente…. Y todos nos hemos descojonado….

chaos.png

H4ck3d by d3 Z4p4t3r0 Ch40s

Y ahora me pregunto yo….

Arreglo cutre por parte de la Administración o plan B para el hacker…..? 

Lo único cierto de todo esto es que No vamos a tener casa en la puta vida!

Por cierto, si queréis ver todo el texto, lo tenéis aquí

Saludos!

Y el tonto de la semana es…..

Estándar

Pues para quien va a ser….. Para la ciudad de los krispis!

Muchas veces pienso que lo hace queriendo…. Postear gilipolleces sin tener ni puta idea de lo que habla. Mi madre me enseñó desde muy pequeñito a no hablar de algo que desconocía. Él no haría caso a su madre. Y así te van las cosas! Diciendo tonterías! Eso está muy, muy mal….

Hoy os traigo queridos amigos, un nuevo notición en la superweb de la ciudad de los krispis. El caso del desaparecido CTRL + ALT + SUP…..

En la ciudad de los krispis se han hecho eco de este notición sin parangón. Parece que José Manuel no tiene que haber instalado muchos Vista. Bueno que digo. Ni Windows XP, porque las opciones están en su mismo sitio…

El tío no encuentra la opción para mostrar CTRL + ALT + SUP…. Y claro, se mosquea y pone un notición en primera página.

No te preocupes Joselito, que aquí está tu colega Juanillo para explicártelo.

Si en nuestro Windows Vista queremos “recuperar” el inicio de sesión con CTRL + ALT + SUP, y pongo recuperar entre comillas, porque al introducir Windows Vista en un dominio debe de por sí solo activar esta opción (que de oculta nada chaval), debemos realizar dos sencillos pasos.

Primer paso

————-

Podemos ir a la caja de búsqueda o a la caja de Ejecutar, y teclear estas dos opciones (igual de válidas)

1).- control userpasswords2 (Por defecto en Windows XP y válido en Vista)

2).- netplwiz (Válido sólo en Vista)

En Vista tenemos un “acceso directo” al panel avanzado de usuarios. Antiguamente teníamos que teclear el comando del paso 1, o invocarlo desde la dll netplwiz.dll, también válida, (rundll32 netplwiz.dll,UsersRunDll ) , que se encarga, entre otras cosas, de invocar al asistente de usuarios. Tiene muchas más opciones, pero en este caso nos interesa esta.

Una vez invocado el asistente avanzado, nos saldrá esta ventana:

1.png


Y ahí está amigos. Tal y como está en Windows XP. Marcáis esta casilla y estaréis obligados a pulsar las teclas mágicas.

Si queréis que Windows no muestre el último usuario que ha iniciado la máquina, lo podréis hacer desde las políticas de usuario, tal y como está en Windows XP también.

Esta vez tendréis que teclear el oscuro comando gpedit.msc o secpol.msc, comandos que nadie seguro habrá escuchado. Os tendréis que ir a configuración de equipo, ya que es una directiva a nivel de equipo, y configurar las directivas de seguridad que llevará en el equipo.

La política no puede ser más confusa, y de seguro que pasará por alto a muchísimos técnicos. No sé como los ingenieros de Microsoft no le pudieron dar otro nombre a la política. La política en cuestión se denomina “No mostrar el último nombre de usuario“, y reluce tal que así:

politicausers.png

La activáis y punto.

Pues asín son los hechos y asín se los hemos contado. Un caso difícil de resolver, tan difícil, que hasta los expertos de seguridad de la ciudad de los krispis han recurrido al ya viejo dicho. Que Vista no es seguro…. O sí?

 Saludos a tod@s!!

Amarillismo en Kriptopolis

Estándar

Siento el post…. Pero alguien tenía que decirlo……

Llevo toda la mañana descojonándome al ver una noticia en la ciudad de los krispis con una noticia que dice:

Empezó como rumor, pero está a punto de ser una realidad. Desde mañana mismo, 8 de Agosto, Dell ofrecerá equipos portátiles y de escritorio equipados con Ubuntu Linux 7.04 desde Alemania, Reino Unido y Francia.

Al fin la community ha sido escuchada. Al fin se han puesto los papeles sobre la mesa. Spectra ya no va a estafarnos más. Porque ahora puedo comparme un PC con Ubuntu.

Comentarios a remarcar en la ciudad de los krispis…

” Hombre, que bueno.

Y sobre todo usando ubuntu. Es tan supremamente compatible y tiene drivers para todo, recien instalé el 7.04 y me reconoció todo mi sistema.

Lástima, todavía depender del XP para los jueguitos (wine me saca el malgenio), pero sigo trabajando en ello.”

Estamos asistiendo a una nueva era de la informatica. La era Ubuntu

Muchos grandes cambios comienzan así, poco a poco, con dudas y titubeos.

Lo importante es que los mayores fabricantes del mundo empiezan a hartarse del yugo de microsoft y empiezan a notar nuestro aliento en la coronilla.

Como es lógico están probando a ver qué pasa, pero si esto sale adelante (y saldrá) el software libre habrá dado un paso de gigante. Y con ello nuestra libertad como usuarios informáticos.”

Qué guapo no? Notición del 15 como dirían en mi barrio. Así que esta mañana, al leer la noticia, me he puesto a mirar cómo serán esos super-pc que se venden con Ubuntu preinstalado. Así que me he dado una vuelta por Alemania, Reino Unido y Francia a ver esos precios y PC. Esto es lo que me he encontrado.

Alemania 

http://www1.euro.dell.com/content/topics/segtopic.aspx/e510_nseries?c=de&l=de&s=gen

Francia

http://www1.euro.dell.com/content/topics/segtopic.aspx/e510_nseries?c=fr&l=fr&s=gen

Reino Unido

http://www1.euro.dell.com/content/topics/segtopic.aspx/e510_nseries?c=uk&l=en&s=gen

Redirigiendo a una página de error. Vaya por Dios. Se habrán arrepentido?
Espero que no joder! Qué hacer? Pues nada, iremos al sitio en donde empezó todo. Iremos a ver a los americanos! A Dell iu e sei! Y esto es lo que me he encontrado…

PC Dell Inspiron E530 con Ubuntu preinstalado

DellUbuntu

Precio: 549 $

PC Dell Inspiron E530 con Windows Vista preinstalado

dellvista.png

Precio: 699 $

Joder. Pues sí que es verdad que está más barato con Ubuntu! Aunque el PC de Windows Vista viene con un procesador con 2MB de caché, 2 GHz de velocidad y un bus de 800, frente al procesador que viene con Ubuntu, que sólo tiene 1MB de caché, 1.60 GHz de velocidad, y un bus de 800. Bueno, y el PC con Vista tiene 1GB de Ram , frente al módulo de 512 MB que viene con Ubuntu. El PC con Vista viene con 320 GB de disco duro, frente a los 160 GB que tiene el de Ubuntu. Y el monitor que trae el PC con Windows Vista es de 19 pulgadas, frente al de 17 pulgadas que viene con Ubuntu. El que viene con Windows le mete goles al de Ubuntu no?

Por qué habrán puesto menos características en los PC con Ubuntu? Publicidad encubierta? Seguro que no. Ah! ya lo sé… Tantos manuales y how-to diciendo que Linux tiraba bien con pocos recursos, que han dicho los de Dell; cojones! Demos a estos chicos lo que piden!

Yo, como soy una buena persona, he pensado en todos esos talibanes que dirán: Pues yo quiero un PC igualito que el que viene con Windows Vista, pero sin nada de Spectra! Spectra nos tima! Y yo no quiero ser timado! Ubuntu is free! Ubuntu no nos tima!

Así que os presento una configuración casi igualita que la que viene con Windows Vista, pero con Ubuntu….

Nuevo y flamante Dell 530 con Ubuntu y las mismas características que el preinstalado con Windows Vista

dellmodifiedubuntu.png

Cosas que no se pueden cambiar:

1) No hay procesadores como el que viene con Vista. No hay más opciones

2) No hay oportunidad de adquirir un módem.

Así que este PC sin el mismo procesador y sin módem, pero con tu flamante Ubuntu descapotable preinstalado, te viene a costar la bonita suma de…….

Precio: 719 $

Comorrrr? Más caro que el que viene con Windows Vista? Y sin módem? Esto es imposible! Es culpa de Spectra seguro….

Y para el que se quiera entretener un poco jugando al quita y pon:

http://configure.us.dell.com/dellstore/config.aspx?c=us&cs=19&kc=6V440&l=en&oc=DDCWDAL&s=dhs

Bueno chavales! A trabajar! Y recordad…. Spectra es muy mala y os quiere timar! Haced caso siempre a la ciudad de los Krispis!

GudBai!

Windows Server 2008 Parte IV. Artículo Windows TI Magazine

Estándar

Bueno chic@s, terminamos con la última entrega. Esta vez le toca a Windows Deployment Services y algunas notas sobre Windows Server 2008.

—————————Artículos anteriores——————————

http://windowstips.wordpress.com/2007/08/04/windows-server-2008-parte-iii-articulo-windows-ti-magazine/

http://windowstips.wordpress.com/2007/07/31/windows-server-2008-parte-ii-articulo-windows-ti-magazine/

http://windowstips.wordpress.com/2007/07/30/windows-server-2008-parte-i-articulo-windows-ti-magazine/

—————————Artículos anteriores——————————

 Windows Deployment Services
Respecto al despliegue de sistemas, en anteriores versiones de Windows disponíamos de la herramienta RIS (Remote Installation Services).  Con Windows Server LongHorn, esta herramienta se ha actualizado, denominándose ahora Windows Deployment Services. Se nos presenta como una serie de componentes que podremos utilizar para llevar a efecto con éxito un despliegue masivo de equipos. Estos componentes están organizados en tres categorías:
• Componentes de servidor: Estos incluyen un entorno de pre-arranque (Pre-Boot Execution Environment o PXE) y un TFTP (Trivial File Transfer Protocol), componentes que necesitaremos para poder arrancar un cliente con soporte de red, y posteriormente instalar el sistema operativo. También se incluyen directorios compartidos, repositorio de imágenes y los ficheros necesarios para poder realizar un despliegue.

•  Componentes de cliente: Estos componentes incluyen un interfaz gráfico que arranca con el Windows Preinstallation Environment (Windows PE). Éste se comunica con el servidor de componentes para poder seleccionar e instalar la imagen del sistema operativo.

• Componentes de mantenimiento: Son una serie de herramientas que nos ayudarán a mantener el servidor, las imágenes de los sistemas operativos, junto a otras posibilidades.
Gracias a esta tecnología de despliegue podemos mantener e instalar equipos a través de la red, sin que tengamos que estar físicamente en el equipo. Al poder automatizar estas tareas, la corporación gana en tiempo, mejora el mantenimiento y reduce el esfuerzo humano, con las consiguientes ventajas económicas que ello supone. Si antiguamente, para implantar una oficina de 100 equipos con Windows XP, necesitábamos 3 administradores y 25 CD de instalación, gracias a estas soluciones, ahorraríamos coste humano y dejaría de ser una necesidad el disponer de soporte de medios para el almacenamiento de esos sistemas operativos.

Algunas notas sobre servicios en Windows Server LongHorn
En el campo de los servicios, Windows Server LongHorn amplía su uso del principio del mínimo privilegio mediante una reducción, aún mayor, de los privilegios y el acceso a los archivos y claves del Registro. Windows Server LongHorn crea una nueva cuenta de grupo, denominada Identificador de seguridad del servicio (SID), la cual es exclusiva de cada servicio. Un servicio puede establecer permisos en todos sus recursos, pero de forma que sólo tenga acceso su SID de servicio. Esto impide que los servicios que se ejecutan bajo la misma cuenta de usuario puedan tener acceso si un servicio se ve en peligro. El SID de un servicio lo podemos ver tecleando en el intérprete de comandos o en Windows PowerShell el comando sc showsid seguido del nombre del servicio.
Los SID de servicio protegen el acceso a los recursos que son propiedad de un servicio específico, aunque de manera predeterminada los servicios continúan pudiendo acceder a todos los objetos para los que la cuenta de usuario en la que se ejecutan tenga privilegios.
Windows Server LongHorn introduce un nuevo tipo de servicio restringido denominado servicio restringido de escritura, que concede un acceso de escritura de servicio sólo a aquellos objetos accesibles a su SID de servicio, al grupo Todos y al SID asignado a la sesión de inicio. Para ello se utilizan SID restringidos, un tipo de SID introducido en Windows 2000. Cuando el proceso que abre un objeto es un servicio restringido de escritura, el algoritmo de comprobación de acceso cambia para que un SID que no se haya sido asignado a un proceso, no se pueda usar para conceder al proceso acceso de escritura a un objeto.
Ahora, con Windows Server LongHorn, es más sencillo que un servicio impida que otros servicios que se ejecutan en la misma cuenta tengan acceso a los objetos que éste servicio crea. En versiones anteriores de Windows, el autor de un objeto es también propietario de él, y como propietario del mismo, es capaz de leer y cambiar los permisos de sus objetos, concediendo acceso completo a sus propios objetos. Windows Server LongHorn introduce el nuevo SID de derechos de propietario, el cual, si existe en los permisos de un objeto, puede limitar los accesos que un propietario tiene a su propio objeto, incluso eliminando el derecho de establecer y consultar los permisos.
Cuándo el Administrador de control de servicio inicia un proceso que hospeda uno o varios servicios de Windows, éste crea un token de seguridad (que incluye la cuenta de usuario de un proceso, las pertenencias a grupos y los privilegios de seguridad) para el proceso que contiene sólo los privilegios necesarios para los servicios del proceso.
Si un servicio especifica un privilegio que no está disponible para la cuenta en que se ejecuta, el servicio no se puede iniciar. Si ninguno de los servicios que se ejecutan en un proceso de cuenta de servicio local necesita algún tipo de privilegio, el Administrador de control de servicio elimina dicho privilegio del token de seguridad del proceso. Un código malicioso no podrá utilizar los privilegios no solicitados por los servicios que se ejecutan en el proceso. En Windows Server LongHorn, la elevación de privilegios mediante inyecciones dll o suplantación de tokens, es todavía, si cabe, mucho más difícil.
Mantener el control de los servidores en una corporación, y que los clientes puedan acceder a los recursos alojados en los servidores en una red, son prioridades fundamentales para los administradores. Partiendo de esta premisa, Windows Server LongHorn actualiza su  área de funcionalidad Internet Information Services 7.0 (IIS 7.0), que nos va a ayudar a los administradores a maximizar el control sobre los accesos a los servidores de red.
Windows Server LongHorn ofrece una plataforma unificada para la publicación web que integra IIS 7.0, ASP .NET, Windows Communication Foundation, Windows Workflow Foundation, y Windows SharePoint Services 3.0.
Podemos presentar IIS 7.0 como una de las principales mejoras que se han introducido en esta nueva versión de sistema operativo servidor Windows. Juega un papel clave en la integración de tecnologías Web. Ayuda a los desarrolladores y administradores a maximizar el control sobre las interfaces de Internet y de red.  Para ello hace uso de sus potentes características, como son la administración delegada, una seguridad mejorada, un área de superficie menor para un posible ataque, aplicación integrada y gestión del rendimiento para servicios web, así como herramientas mejoradas de administración.
Para aquellas empresas que tengan usuarios remotos, Windows Server LongHorn añade una serie de mejoras e innovaciones en los servicios de terminal (Terminal Services Web Access y Terminal Services Gateway). Con ello se facilita la integración de aplicaciones remotas y locales en los equipos cliente, el acceso a estos mismos programas a través de un navegador web, y el acceder a terminales y aplicaciones remotas a través de firewalls.
Esta nueva funcionalidad de Terminal Services Web Access ofrece una gran flexibilidad en el acceso a aplicaciones remotas a través de un navegador web, aceptando una amplia variedad de formas en que el usuario puede hacer uso de los programas desde terminales remotos. Por su parte, Terminal Services Gateway permite al usuario acceder a terminales remotos y a programas de terminales remotos de una manera tipo firewall. Y todo ello sin tener que configurar nada en el cliente.
Son otras muchas las novedades y mejoras que incorpora Windows Server LongHorn. Evidentemente no es posible analizarlas íntegramente en un simple artículo. Una mayor flexibilidad a la hora de controlar dominios que se encuentren en localizaciones no seguras, el uso y facilidad de integración de aplicaciones de negocio junto a otros son claros ejemplos de ello y que por el momento no abordaremos de forma directa en el presente artículo. .
Hemos pretendido con estas breves líneas en torno a Windows Server LongHorn realizar un breve acercamiento a alguna de las nuevas características y funcionalidades del sistema tanto en el ámbito de la seguridad, como en el nivel de aplicación. Hemos simplemente destacado y mencionado alguna de las muchas innovaciones que hemos considerado de especial interés. En ningún término nuestro planteamiento ha sido generar con el presente artículo información técnica de referencia, y bajo esta panorámica deben ser asimilados los datos aquí recogidos. Será necesario que administradores y técnicos del sistema sigan trabajando y estudiando características y funcionalidades del nuevo entorno servidor Windows. Pero sin lugar a dudas este nuevo sistema les proporcionará mejores condiciones y herramientas para el correcto desarrollo de sus tareas habituales.

 Espero que os haya gustado. Saludetes! 

Windows Server 2008 Parte III. Artículo Windows TI Magazine

Estándar

Bueno chic@s , seguimos con la tercera parte del artículo sobre Windows Server 2008. Esta parte está dedicada a Bitlocker y NAP (NetWork Access Protection)

Bitloker. Cifrado de datos

Windows Server LongHorn incorpora una nueva funcionalidad en el campo de cifrado de datos. BitLocker. Este nuevo sistema garantiza la seguridad y la confidencialidad de los datos almacenados en el disco mediante cifrado.

BitLocker va a ser el encargado de realizar los procesos de cifrado y descifrado de una forma totalmente transparente. Adicionalmente y a diferencia de Windows Vista, podemos extender el cifrado de datos a otros volúmenes que utilicemos para tal fin.

Este mismo mecanismo interviene también cuando el equipo entra en el modo de hibernación o para garantizar también la seguridad del fichero de paginación, los ficheros temporales y todos aquellos elementos que puedan contener información sensible.

Los mecanismos de seguridad implementados por BitLocker se complementan mediante unas nuevas especificaciones de seguridad hardware llamada Trusted Platform Module (TPM). Este nuevo chip TPM proporciona una plataforma segura para el almacenamiento de claves, password o certificados, haciendo más difícil el ataque contra las mismas. Una vez que el mecanismo de cifrado ha sido puesto en marcha, la clave de cifrado es eliminada del disco y posteriormente almacenada en el Chip TPM.

Con objeto de defendernos de un posible ataque al sistema hardware que intente explotar posibles vulnerabilidades, se proporcionan mecanismos de autentificación mediante sistemas adicionales tales como el uso de Token (llave USB) o una password (PIN) para evitar esta posibilidad.

Cabe decir en este punto que aunque nuestros equipos no dispusieran de este mecanismo de seguridad, las especificaciones de BitLocker admiten su funcionalidad sin el chip TPM.

El uso combinado de mecanismos hardware y software aumenta sensiblemente el porcentaje de posibilidades de éxito  a la hora de protegernos de aquellos ataques que tengan como objetivo la modificación o alteración de datos. Estos aunque cifrados podrían ser manipulados mediante la explotación de vulnerabilidades para poder posteriormente acceder a ellos.

La implementación de BitLocker requiere de la existencia de condiciones determinadas  para poderla llevar a efecto. Un factor a considerar es que el sistema debe disponer al menos de dos particiones NTFS. Una de ellas, la partición activa, albergará el sistema de arranque y no se encontrará cifrada. Es por ello que BitLocker también proporciona mecanismos para garantizar que no se han producido modificaciones en el sistema de arranque del sistema, tales como los que pueden provenir de ataques tipo malware que pudieran producir un ataque colateral o el control del acceso al sistema.

Los mecanismos de implementación pueden variar en función del escenario que necesitemos implantar. Dependiendo del mismo son diversas las posibilidades. De este modo podremos utilizar BitLocker sólo con TPM, con algún dispositivo de validación (USB), TPM más PIN, o TPM con dispositivo de validación (USB).

La implementación de esta tecnología dependerá fundamentalmente si nuestro hardware presenta o no el chip TPM. Si no lo llevase, la única opción posible sería el almacenamiento de clave bajo dispositivo USB.

Para todos aquellos que necesiten utilizar el cifrado y no posean el Chip TPM, Windows Server LongHorn presenta una directiva de seguridad bajo la cuál podemos condicionar el uso de BitLocker sin el citado Chip. Por defecto el sistema sólo admite la configuración de BitLocker si el equipo cuenta con el Chip.

imagen-10.png

NAP (NetWork Access Protection)
Sin lugar a dudas podemos afirmar que en la actualidad las redes corporativas y las no corporativas son cada día más complicadas de administrar y securizar. Los escenarios presentan cada vez circunstancias de mayor dificultad: comerciales que conectan sus PDAs a los portátiles o equipos de sobremesa, conexión permanente por parte de los usuarios de dispositivos de almacenamiento externo, usuarios que presentan necesidades operativas en distintas redes de forma habitual son, junto a otros, claros ejemplos de ello.
Desgraciadamente estas circunstancias incrementan considerablemente las múltiples amenazas de seguridad posibles como pueden ser malware, exploits, spyware, DOS, Script-Kiddies y otros. Estas aplicaciones pueden tomar el control de nuestro sistema, realizando acciones malévolas de forma totalmente transparente. Lo peor de todo, aún así, es que además pueden utilizar el sistema comprometido como puerta de entrada de otras amenazas.
La característica NAP (NetWork Access Protection) es otra de las novedades que nos ofrece Windows Server Longhorn en cuanto a la securización del sistema. Podemos utilizar NAP para paliar el impacto de situaciones como las antes indicadas, y optimizar el nivel de protección de la red corporativa y la información contenida en la misma.
Esta tecnología se pensó en un principio para que estuviese presente en Microsoft Windows Server 2003 R2, pero finalmente en su lugar apareció NAQS (Network Access Quarantine Control) integrándose con IAS (Internet Authentication Service) como solución de control de acceso para clientes de acceso remoto. Esta implementación a través de una validación del modelo de seguridad vía vbscripting,  fue algo que más tarde apareció integrado en la solución de Microsoft ISA Server 2004 a través de una característica conocida como VPN Quarantine. En el siguiente enlace podemos encontrar más información al respecto: http://go.microsoft.com/fwlink/?LinkId=56447.
La implementación de NAP en Windows Server Longhorn nos permite especificar cuál es la política de salud de nuestra red. De este modo se establecen una serie de  condiciones  que ayudarán a los administradores a determinar que equipos de los que se conecten a nuestra red desde cualquier medio (VPN, Internet, Wireless junto a otros) cumplen con una política de salud aceptable y acorde a las directrices de la seguridad corporativa.
Si para nosotros una buena política de salud pasa por defendernos de las enfermedades, hacer ejercicio de forma constante, una buena alimentación, etc.,  para un equipo una buena política de salud pasaría por disponer de un antivirus a pleno funcionamiento y con las firmas actualizadas, tener instaladas todas las actualizaciones de seguridad, junto a otras medidas de securización que puedan considerarse como imprescindibles. Para los equipos que no cumpliese con la política de seguridad establecida, podrían ser dos las circunstancias: en primer lugar que no fuese posible la conexión a nuestra red corporativa o como alternativa que esta fuese limitada. En este segundo caso la conexión se realizaría pero en una red aislada de toda la corporación, con acceso sólo a algunos recursos, y a la espera de poder cumplir con los mínimos requisitos de salud.
Con NAP podremos:
• Asegurar una política de salud en nuestros equipos que se configuren para DHCP, equipos que se conecten a través de mecanismos de autenticación 802.1X, VPN, y equipos que tengan una política de seguridad NAP IPSEC aplicadas a sus comunicaciones.
• Reforzar la política de seguridad y de salud en equipos portátiles, cuando éstos vuelvan a conectarse a nuestra red
• Restringir el acceso a nuestra red a todo equipo que no cumpla con la política de salud de la compañía
NAP también incluye una API (Aplication Programming Interface) para desarrolladores. A través de ella será posible la generación de componentes de seguridad realizados a medida de las necesidades del sistema corporativo
Una infraestructura NAP requiere de un servidor Windows Server LongHorn para su despliegue, y los clientes soportados son Windows Server LongHorn, Windows Vista y Windows XP SP2. Para éste último, necesitamos instalar el cliente NAP para Windows XP, y que actualmente se puede descargar desde la Web http://connect.microsoft.com/.
Estas tecnologías puede ser utilizadas en  de forma independiente o junto a otras en función del modelo de seguridad y la infraestructura a utilizar.  La implementación de políticas de salud se realiza a través de un NPS (Network Policy Server) disponible en Microsoft Windows Server LongHorn.y que reemplaza a IAS (Internet Authentication Service) presente en Microsoft Windows Server 2000/2003.
NAP se va a responsabilizar de llevar a efecto una serie de acciones:
• Validación de la política
• Aplicación de NAP
• Restricción (cuando ésta es necesaria)
• Establecer las pautas para adecuar el nivel de salud de un cliente
• Supervisión
NPS (Network Policy Server) utiliza SHVs (System Health Validators)  para analizar el estado de salud del equipo. SHVs viene incorporado dentro de las políticas de red, y determina la acción a tomar basándose en el estado de salud del equipo que se conecta. Como indicábamos las acciones que se pueden desencadenar son varias: conceder el acceso a toda la red en aquellas situaciones en que se cumplen las demandas de seguridad establecidas o por el contrario denegar el acceso o limitar el mismo a una red de cuarentena en caso contrario.
El estado de salud de un equipo es monitorizado por una parte del cliente NAP, denominada SHAs (System Health Agent). La protección de acceso a la red utiliza en definitiva SHAs y SHVs para monitorizar, reforzar y remediar la configuración de seguridad-salud de un equipo.
Windows Security Health Validation y Windows Security Health Agent se encuentran incluidos en Windows Server LongHorn y Windows Vista. Ellos refuerzan las siguientes configuraciones en un entorno NAP protegido:
• El PC cliente tiene el Firewall instalado y en funcionamiento
• El PC cliente tiene el antivirus instalado y en funcionamiento
• El PC cliente tiene las últimas bases de virus instaladas
• El PC cliente tiene el software anti-spyware instalado y en funcionamiento
• El PC cliente tiene las últimas bases anti-spyware instaladas
• El PC cliente tiene habilitado Microsoft Update Services
Si a todo esto añadimos un servidor WSUS, el cliente NAP puede verificar que las últimas actualizaciones de seguridad están instaladas en el equipo, basándose en uno de los cuatro niveles de seguridad establecidos por la plataforma Microsoft Security Response Center (MSRT).
Como mencionábamos con anterioridad NAP puede ser configurado para denegar totalmente el acceso a la red, o permitir acceso sólo a una red de cuarentena. En una red de cuarentena podremos encontrar servicios NAP, tales como servidores  de certificados de salud (HRA), necesarios para la obtención de certificados provenientes de una entidad certificadora (CA) o remediation servers (RS). Estos últimos disponen los recursos necesarios para que aquellos clientes que no tengan un nivel de salud óptimo, puedan realizar ciertas tareas. Como opción podemos disponer también en la red de cuarentena de recursos que permitan actualizar los equipos con las últimas actualizaciones de seguridad, bases de virus, bases anti-spyware, y otros.
Una breve descripción del proceso sería la siguiente. El agente de salud del sistema (SHAs) contiene la información de salud de los equipos. Éste pasa la información a un servidor NPS. El validador de salud (SHVs) del servidor de políticas de red (NPS) realiza el proceso de validación de la política de salud del equipo cliente, y determina si cumple los requisitos para poder conectarse a la red. Si no los cumple, manda a este equipo a una red de cuarentena, en donde dispondrá de los recursos necesarios para que se pueda actualizar acorde a la política de salud de la red corporativa.
Con NAP también nos es posible configurar los servicios de remediación, para que éstos automáticamente actualicen los equipos en función de la política de salud de la empresa. Analicemos un ejemplo de posible intervención de estos servicios. En una política de seguridad donde los equipos deban disponer del Firewall Windows activado, si habilitamos la opción en automático (servicios de remediación), aquel cliente que no tenga disponga del firewall de Windows activado, sería enviado a un segmento de red de cuarentena, y los componentes NAP del cliente habilitarían  el firewall de Windows sin intervención del usuario.
La operativa de NAP es posible en diversos escenarios.  Algunas posibilidades podrían ser los siguientes: tráfico protegido con IPSEC, 802.1X, VPN con acceso remoto, DHCP IPV4 (tanto para renovación como concesión de direcciones). Describamos con algo más de detalle estos escenarios.
• NAP para entornos IPSEC. Para la implementación de NAP en entornos con IPSEC es necesario implantar una entidad certificadora de salud (HRA Server), un NPS Server y un cliente IPSEC. El HRA publica los certificados de salud X.509 para los clientes NAP. Estos certificados son utilizados para autenticar los clientes NAP cuando éstos inician una comunicación basada en IPSEC con otros clientes NAP de la intranet. Este es el método más seguro de aplicar NAP.

• NAP para entornos 802.1X. Para implementar esta solución, necesitamos desplegar un servidor NPS y un componente (EAP). El servidor NPS envía la autenticación basada en 802.1X a un punto de acceso de la red interna. Si el equipo cliente no cumpliese con alguna regla establecida, el servidor NPS limitaría el acceso al cliente mandando al punto de acceso un filtro basado en dirección IP o identificador virtual.

• NAP para entornos VPN (Virtual Private Network). En esta ocasión necesitamos de un servidor y un cliente VPN. Usando NAP para entornos VPN, los servidores VPN pueden forzar el cumplimiento de la política de salud de la empresa cuando los clientes externos se conecten a nuestra intranet. Esta solución proporciona los mecanismos necesarios para establecer una comunicación segura entre un cliente externo y la red interna.

• NAP para entornos de configuración dinámica de direcciones (DHCP). Para implementar esta solución, necesitamos el componente NAP de un servidor DHCP y un servidor NAP. Usando DHCP, podemos cumplir con la política de salud de la empresa a través de NPS y DHCP. cuando un equipo intente renovar o solicitar una dirección IP (IPV4). El servidor limitaría el acceso a los equipos que no cumpliesen con la política de salud de la empresa asignando direcciones IP reservadas para tal fin.
Cada uno de estos métodos de implementación NAP tiene sus ventajas e inconvenientes, por lo que implantar una plataforma de este tipo en una corporación dependerá en gran medida de las necesidades de servicio y condiciones operativas de ésta. NAP adicionalmente proporciona una API para desarrolladores que necesiten integrar su software a las necesidades de la empresa. Con ello las posibilidades de personalización de las soluciones es aún mucho mayor. 

Saludos a tod@s!