La Protección de Acceso a Red (Network Access Protection,

NAP) es un conjunto de componentes del sistema operativo

que proporcionan una plataforma para proteger el acceso a
las redes privadas. La plataforma NAP proporciona una
manera integrada de detectar el estado de un cliente de red
que esté intentando conectarse o comunicarse con una red, y
aislar a ese cliente de red hasta que se hayan satisfecho los
requisitos de salud.
Para proteger el acceso a una red, una infraestructura de red
necesita proporcionar las siguientes áreas de funcionalidad:
validación de políticas, restricción de red, solución de
situaciones de no conformidad y cumplimiento posterior de
las directivas. La plataforma NAP permite forzar la
configuración de direcciones DHCP, conexiones de red
basadas en VPN, y comunicación basada en IPSec y se
constituye como una arquitectura a través de la cual la
validación de políticas, la restricción de red, la solución de
disconformidades y el cumplimiento de directivas continuado
pueden producirse por medio de componentes adicionales
suministrados
ARQUITECTURA DE LA PLATAFORMA NAP
Los componentes de una infraestructura de red habilitado para NAP consisten en lo siguiente:

Computadoras clientes NAP que soportan la plataforma NAP para el sistema de acceso a la red de
salud-validado o comunicación.
Puntos de aplicación de NAP Equipos o acceso a la red dispositivo de s que utilizan NAP o se
pueden usar con NAP para requerir la evaluación del estado de salud de un cliente NAP y
proporcionar acceso a la red restringido o comunicación. Utilización punto s de cumplimiento
NAP un Servidor de directivas de redes (NPS) que actúa como un servidor de directivas de
mantenimiento NAP para evaluar el estado de salud de los clientes NAP, si se permite el
acceso a la red o la comunicación, y el conjunto de acciones de remediación que un cliente
NAP no cumplen las normas debe realizar. Ejemplos de cumplimiento NAP punto s son los
siguientes:
Autoridad de registro de mantenimiento (HRA) Un equipo que ejecuta Windows Server 2008 e
Internet Information Services (IIS) que obtiene los certificados de salud de una autoridad de
certificación (CA) para las computadoras compatibles.
Servidor VPN Un equipo que ejecuta Windows Server 2008 y Enrutamiento y acceso remoto que
permite conexiones VPN de acceso remoto a una intranet.
Servidor DHCP Un equipo que ejecuta Windows Server 2008 y t él DHCP servicio del servidor
que proporciona el Protocolo de Internet versión 4 automático (IP v4) la configuración de
direcciones a los clientes DHCP intranet.
Dispositivos de acceso de red Conmutadores Ethernet o puntos de acceso inalámbricos
compatibles con la autenticación IEEE 802.1X.
Servidores de políticas de mantenimiento NAP Los equipos que ejecutan
Windows Server 2008 y el servicio NPS que tiendas políticas de requisitos de salud
y proporcionan la validación del estado de salud de los PAN. NPS es el reemplazo
para el Servicio de autenticación de Internet (IAS), el servidor de acceso telefónico
de autenticación de Servicio de usuario remota (RADIUS) y el proxy se incluye en
Windows Server 2003. NPS también pueden actuar como un servidor de
autenticación, autorización y contabilidad (AAA) para el acceso a la red. Al actuar
como un servidor AAA o servidor de directivas de mantenimiento NAP, NPS se
suelen ejecutar en un servidor independiente para la configuración centralizada de
políticas de acceso a la red y requerimientos de salud, como FIGURA 1 muestra. El
servicio NPS también se ejecuta en Windows Server 2008 NAP basado puntos del
orden que no cuentan con un sistema incorporado en RADIUS cliente, tales como
una HRA o servidor DHCP. Sin embargo, en º s configuración de ese, el servicio NPS
actúa como proxy RADIUS para intercambiar mensajes RADIUS con un servidor de
la política de salud N AP.
ARQUITECTURA DEL CLIENTE NAP
 La arquitectura cliente NAP consiste en lo siguiente:

Una capa de ient cl (CE) componentes de cumplimiento NAP Cada NAP CE se define
para un tipo diferente de acceso a la red o la comunicación. Por ejemplo, hay una
CE NAP para conexiones VPN de acceso remoto y un EC NAP para la configuración
DHCP. El NAP EC se puede adaptar a un tipo específico de punto de cumplimiento
NAP. Por ejemplo, el DHCP NAP CE está diseñado para trabajar con un punto de
cumplimiento NAP basado en DHCP. Algunos NAP EC se proporcionan con los
proveedores de plataformas NAP y software de terceros o Microsoft puede
proporcionar otros.
Una capa de agente de la salud del sistema (SHA) componentes Un componente que
mantiene y reporta uno o varios elementos de la salud del sistema. Por ejemplo,
podría haber un SHA para firmas de antivirus y un SHA para las actualizaciones del
sistema operativo. A n SHA se puede adaptar a un servidor de remediación. Por
ejemplo, un SHA para el control de firmas de antivirus se hace coincidir con el
servidor que contiene el archivo más reciente de firma antivirus. SHA no tiene que
tener un servidor de reparación correspondiente. Por ejemplo, un SHA
simplemente puede comprobar la configuración del sistema local para asegurarse
de que un servidor de seguridad basado en host está habilitada. Windows Vista y
Windows XP Service Pack 3 incluir una seguridad de Windows Validador SHA que
monitorea la configuración de Windows Seguridad Center. Los proveedores de
software de terceros o Microsoft pueden proporcionar SHA adicionales a la
plataforma NAP.
• Agente NAP Mantiene la información sobre el estado de
salud actual del cliente NAP y facilita la comunicación entre
las capas NAP CE y SHA. El Agente de NAP se proporciona
con la plataforma NAP.
• Interfaz de programación de aplicaciones SHA
(API) Proporciona un conjunto de llamadas a funciones que
permiten SHA se registren con el Agente NAP, para indicar
el estado de salud del sistema, responden a las preguntas
de la condición de la salud del sistema del Agente del PAN y
para el Agente NAP pase a la salud del sistema información
de remediación para un SHA. La API SHA permite a los
proveedores para crear e instalar SHA adicionales. La API de
SHA se proporciona con la plataforma.
• API NAP CE Proporciona un conjunto de llamadas a
funciones que permiten NAP EC para registrarse con el
agente NAP, al estado de salud del sistema solicitud y pasar
información de remediación de la salud del sistema para el
Agente NAP. El NAP CE API permite a los proveedores para
crear e instalar NAP adicional EC. La API de NAP CE se
proporciona con la plataforma NAP
 CONCLUSION
NAP protege las redes y dispositivos que componen la red
aplicando políticas de confianza basadas en requerimientos
de salud que deben cumplir los dispositivos al componer
una red.
La mayor diferencia que presenta esta solución es que al no
ser fabricante de equipos de networking Microsoft basa su
despliegue de agentes y aplicaciones en el lado del cliente y
en el uso de distinto tipo de servidores en el lado de la red
tanto para la verificación como para la admisión.
Microsoft define NAP como sigue: La protección del
acceso de red (Network Access Protection NAP) es una
plataforma que proporciona componentes para la
aplicación de políticas para ayudar a asegurarse que las
computadoras conectadas o a conectarse en una red
cumplan con los requisitos para la salud del sistema .