viernes, 23 de enero de 2009

Windows 2008: Parte 2

NAP (Network Access Protection) es un excelente sistema de seguridad, aunque implementarlo es un proyecto importante en sí mismo. Esto es algo que Cisco ya había iniciado hace algún tiempo cuando sacó sus dispositivos ASA (firewall y concentrador VPN), pero Cisco lo llama NAC (Network Access Control). Consiste en preanalizar un cliente que quiere conectarse a la red y comprobar que cumple unas características previas de seguridad (nivel de parcheado, actualización antivirus, etc.). Si el cliente no cumple las condiciones prefijadas por el administrador se le da un acceso restringido a la red (situándolo en una Vlan determinada o filtrando su acceso a servidores críticos) hasta que las cumpla. NAP necesita un servidor RADIUS para funcionar ( el RADIUS de Microsoft –antes IAS- se llama ahora NPS). Hay un documento interesante sobre la integración NAP-NAC aquí.

El nuevo Firewall de Windows (atención, sigue estando el antiguo, el nuevo se accede por el Server Manager) me ha gustado por su elegancia y simplicidad de uso. A medida que vamos instalando roles y características, se van abriendo los puertos necesarios.

La capacidad de Virtualización de Windows 2008 tiene que evolucionar MUCHO para plantar cara a las opciones actuales del mercado. Eso de que el Hipervisor sea un rol que se añada a un servidor en vez de ser el mismo Core del sistema operativo no parece lo más óptimo. De todas maneras, desde la posición que está Microsoft sólo le queda ganar terreno, pues la cuota de mercado de la competencia (VMWare, principalmente) es tan abrumadora que difícilmente subirá.

La utilidad de Backup también sigue siendo muy limitada. Ahora aún más, porque no se puede hacer un backup parcial de un servidor, sino que se ha de hacer de TODO el sistema, aunque la gracia es que se genera un archivo VHD exportable a HyperV (o a donde queramos…). NTBackup sólo se soporta para restaurar copias. La copia del System State se ha de hacer manual... Está claro que todo está orientado a vendernos DPM.

El Asistente para Configuración de seguridad es muy útil. Se configura el equipo para su rol principal, y después se pasa el Asistente para securizar el tema (abrir o cerrar puertos, activar o desactivar servicios, etc.). En caso de que el equipo cambie de función o rol, se puede revertir el Asistente, instalar el nuevo servicio, y volverlo a pasar.

Ahora se soporta otro tipo de VPN: SSTP. Esto es básicamente, el protocolo PPTP encapsulado en SSL. Interesante para implementaciones de redes de acceso remoto, que suelen acabar en drama en cuanto hemos de atravesar firewalls, NAT’s, proxys, etc.

Seguimos...

No hay comentarios:

Publicar un comentario