NAP (Network Access Protection) nos permite controlar el acceso completo o registringido a la red si cumplen las directivas de mantenimiento correspondientes, tanto en conexiones locales como de acceso remoto. Voy a tratar de explicar cómo podemos configurar NAP en una conexión VPN con SSTP, pero solo voy a comentar la configuración del NPS, puesto que la configuración del servidor RRAS con SSTP lo había publicado en su momento:
Este es el esquema que trataremos de configurar en este artículo
Una vez que tenemos configurado el servidor VPN, empezamos con la configuración del NPS. Primero debemos configurar el servidor RRAS para que la autenticación de los clientes VPN sea mediante RADIUS:
ahora debemos configurar en el servidor NPS el cliente Radius, en este caso sería el servidor RRAS
escribimos un nombre descriptivo, el nombre o dirección IP del cliente radius y la clave compartida entre ambos
también debemos seleccionar que el cliente Radius es compatible con NAP
Una vez que hemos configurado el cliente y servidor radius respectivamente, vamos a comenzar con la configuración de NAP. Seleccionamos el servidor de NPS (Local) y en la parte derecha pulsamos en Configurar NAP y continuamos con el asistente
seleccionamos como método de conexión de red la opción Red privada virtual (VPN), escribimos un nombre para esta directiva y pulsamos en Siguiente
agregamos el cliente radius (RRAS) que utilizarán esta directiva y pulsamos en Siguiente
agregamos el grupo de usuarios que tendrán acceso mediante VPN (ACL NPS VPN Usuarios) y pulsamos en Siguiente
ahora debemos seleccionar el certificado que utilizará el servidor para presentarle a los clientes VPN, sino es el que tiene seleccionado por defecto podemos elegir otro diferente. Además, seleccionaremos como se autenticarán los usuarios, en nuestro caso elegimos Tarjeta inteligente u otro certificado (EAP-TLS) y pulsamos en Siguiente
ahora debemos seleccionar los servidores de actualizaciones (WSUS) que tengamos disponibles para los equipos que no superen las SHV y también la URL de Ayuda si disponemos de ella
como no teníamos configurado el grupo de servidor de actualizaciones configurados, vamos a hacerlo sobre la marcha y pulsamos en Grupo Nuevo y añadimos nuestro servidor de actualizaciones
una vez configurado el grupo de servidores de actualizaciones pulsamos en Siguiente
ahora tenemos que indicarle que ocurrirá si el cliente cumple o no los requisitos de NAP, además habilitamos la corrección automática de equipos cliente. Y los clientes que no cumplan con NAP no se les permitirá acceso a la red de la empresa y pulsamos en Siguiente
ahora nos muestra el resumen de lo que hemos ido configurando y pulsamos en finalizar
Si ahora revisamos las directivas de red veremos que tenemos tres creadas desde el asistente anterior:
Vamos a ver cada una de las directivas:
NAP VPN Compatible
como vemos tenemos configurada la directiva de mantenimiento NAP VPN Compatible
ahora veremos la directiva de mantenimiento para que veáis la configuración de la misma, para poder conectarse con esta directiva de mantenimiento debe cumplir todas las comprobaciones de SHV
Debemos seleccionar el método de autenticación desde el botón Agregar y seleccionamos Microsoft: Tarjeta inteligente u otro certificado y desmarcamos el resto de métodos que viene seleccionados por defecto (MS-CHAP-v2 y MS-CHAP)
ahora revisamos las opciones de Cumplimiento NAP y por defecto está seleccionado Permitir acceso completo a la red y Habilitar corrección automática de equipo client
NAP VPN No Compatible
como vemos tenemos configurada la directiva de mantenimiento NAP VPN No Compatible
La configuración de autenticación es la misma en todas las directivas, por lo que vamos directamente a la Configuración NAP y ahora pulsamos en Configurar
NAP VPN No Compatible con NAP
La configuración de esta directiva es igual que la NAP VPN No Compatible con la diferencia que en la configuración de compatibilidad con NAP se ha seleccionado que El equipo no es compatible con NAP. El resto de configuración es exactamente la misma que la directiva anterior.
Ahora debemos configurar el cliente que se conectará al servidor VPN, pero antes de configurar la conexión VPN debemos tener configurado los siguientes servicios en los equipos que se conectarán a la VPN:
Iniciar el servicio Agente de Protección de acceso a redes y cambiarla el Tipo de Inicio a Automático
Iniciar el servicio Centro de seguridad
y por último debemos habilitar el Cliente de aplicación de cuarentena de EAP desde la Configuración del cliente NAP (Inicio – Ejecutar – napclcfg.msc)
Como la máquina la cual he configurado el cliente VPN no está en el dominio, tengo que instalar el certificado raíz de confianza y el certificado personal del usuario. Yo he configurado una CA interna en mi DC y solicitaré ambos certificados desde el servidor Web de la CA. Accedemos al servidor WEB y nos autenticamos con los datos del usuario con el que nos vamos a conectar a la VPN, para que el certificado que nos emita será para dicho usuario:
Primero vamos a instalar la CA, para ello debéis hacerlo de la siguiente forma
Ahora vamos a solicitar en línea el certificado de usuario, para ello abrimos la misma URL pero elegimos otras opciones
Una vez que ha finalizado la solicitud e instalación del certificado vamos a verificar que lo tenemos instalado, para ello abrimos Internet Explorer y vamos a Herramientas – Opciones de Internet – Contenido – Certificados
Ahora si podemos proceder a configurar la conexión VPN, para ello vamos a la Centro de Redes y Recursos Compartidos y creamos una configuración de red con la siguiente configuración
Ahora debemos probar la conexión VPN para verificar que autentica y conecta correctamente, pero como no tengo antivirus estoy restringido
Desde la consola del RRAS también puedo ver la conexión del cliente VPN y su estado
Si ahora instalo el antivirus y pruebo a conectarme pero sigo sin poder conectarme y estoy "registringido" porque aún no he actualizado el antivirus
si actualizo el antivirus y vuelvo a conectarme ahora sí cumplo todos los requisitos
como hemos hecho antes podemos verificar los clientes conectados y su estado desde el RRAS
por supuesto tengo acceso a los recursos internos de la empresa
Si ahora que estoy conectado desactivo el antivirus el sistema me alertará de que estoy registringido restringido y me muestra cual es la razón
Si pulsamos en Más información nos llevará a la web de soporte que hemos configurado anteriormente (yo he puesto la página por defecto del IIS pero vosotros deberíais poner una web de ayuda)
Antes de conectaros la VPN podéis comprobar el estado de vuestro equipo desde el Centro de Actividades (
)
Como veis podemos hacer muchas cosas y muy interesantes, además podemos hacer filtros IP, etc.. Es bastante sencillo y rápido de configurar, además es muy útil no solo para conexiones VPN sino también para DirectAccess, Redes Inalámbricas, DHCP, etc… casi todo lo que queráis implementar con NPS es posible implementarle NAP
Espero que os sea de utilidad!!!
) 
