El cumplimiento de Protección de acceso a redes (NAP) para el protocolo de seguridad de Internet (IPsec) proporciona el método más seguro y flexible para que el equipo cliente cumpla los requisitos de mantenimiento de red.
El cumplimiento para IPsec limita la comunicación en la red a aquellos equipos que se considera que cumplen y han adquirido certificados de mantenimiento. Al aprovechar IPsec y la flexibilidad de su configuración, este método de cumplimiento NAP le permite definir requisitos para unas comunicaciones seguras con clientes compatibles según dirección IP o número de puerto. Para obtener más información acerca de IPsec, consulte
Ventajas del cumplimiento para IPsec
El cumplimiento para IPsec se suele usar cuando se desea un mecanismo de cumplimiento más seguro y sólido de lo que ofrecen 802.1X, DHCP o VPN. Las ventajas del cumplimiento para IPsec son las siguientes:
Cumplimiento resistente a la alteración
El cumplimiento para IPsec no se puede evitar volviendo a configurar un cliente NAP. Un cliente NAP no puede recibir un certificado de mantenimiento ni puede iniciar una comunicación con un equipo compatible mediante la manipulación de la configuración en el equipo local, aunque el usuario tenga permisos de administrador local. Asimismo, el cumplimiento para IPsec no se puede evitar mediante el uso de tecnologías de equipo virtual o concentradores.
No es necesaria la actualización de la infraestructura
El cumplimiento para IPsec funciona en el nivel de Internet del conjunto de protocolos TCP/IP y, por lo tanto, es independiente de los componentes de la infraestructura de red física tales como concentradores, conmutadores y enrutadores.
El acceso a la red es limitado por servidor o por aplicación
Con el cumplimiento para IPsec, los equipos compatibles pueden iniciar comunicaciones con equipos no compatibles, pero los equipos no compatibles no pueden iniciar comunicaciones con equipos compatibles. El administrador define el tipo de tráfico que debe autenticarse con un certificado de mantenimiento y que debe protegerse con IPsec mediante valores de la directiva IPsec. La directiva IPsec permite crear filtros IP que pueden definir el tráfico por medio de dirección IP de origen, dirección IP de destino, número de protocolo IP, puerto TCP de origen y de destino, y puerto UDP de origen y de destino. Con la directiva IPsec y la definición del filtro IP, es posible limitar el acceso a la red por servidor o por aplicación.
Cifrado punto a punto opcional
Al especificar valores para la directiva IPsec, puede cifrar el tráfico IP entre equipos del mismo nivel con IPsec para el tráfico altamente confidencial. A diferencia de las redes de área local (LAN) inalámbricas IEEE 802.11, que solo cifran marcos desde el cliente inalámbrico al punto de acceso inalámbrico, el cifrado IPsec tiene lugar entre equipos del mismo nivel con IPsec.
Cumplimiento para IPsec y redes lógicas
El cumplimiento para IPsec divide una red física en tres redes lógicas. Un equipo solo es miembro de una red lógica cada vez. Las redes lógicas se definen según los equipos que tienen certificados de mantenimiento y los equipos que requieren autenticación IPsec para los intentos de comunicación entrante. Las redes lógicas le permiten limitar el acceso de los equipos que no cumplen los requisitos de mantenimiento y proporcionan equipos compatibles con un nivel de protección desde equipos no compatibles. El cumplimiento para IPsec define las siguientes redes lógicas:
-
Red segura
Los equipos de una red segura tienen certificados de mantenimiento y requieren que los intentos de comunicación entrante se autentiquen con estos certificados. Usan un conjunto común de configuraciones de directiva IPsec para ofrecer protección IPsec. Por ejemplo, la mayoría de los equipos servidor y cliente que son miembros de una infraestructura de Active Directory® estarán en una red segura. Los servidores de directivas de mantenimiento NAP, los servidores que ejecutan Servicios de certificados de Active Directory (AD CS) y los servidores de correo electrónico son ejemplos de componentes de red que suelen residir en una red segura.
-
Red de límite
Los equipos en una red de límite tienen certificados de mantenimiento, pero no necesitan la autenticación IPsec de los intentos de comunicación entrante. Los equipos en una red de límite deben estar accesibles para los equipos de toda la red. Estos tipos de equipos son los servidores necesarios para evaluar y remediar el estado del cliente NAP o, de lo contrario, proveer servicios de red a equipos en la red restringida, como servidores HRA, servidores de actualización de antivirus, controladores de dominio de solo lectura y servidores DNS. Debido a que los equipos en la red de límite no necesitan autenticación ni comunicación protegida, deben vigilarse de cerca para evitar que se usen para atacar equipos en la red segura.
-
Red restringida
Los equipos en la red restringida no tienen certificados de mantenimiento. Se trata de equipos que no han finalizado las comprobaciones de mantenimiento, son invitados o no son aptos para NAP; por ejemplo, equipos que ejecutan versiones de Windows que no admiten NAP, equipos Apple Macintosh o equipos basados en UNIX.
La figura siguiente muestra un ejemplo de redes lógicas con IPsec.