Cerrar
InicioNetworkingDirectAccessComo denegar el acceso a la red a equipos conectados vía DirectAccess

Como denegar el acceso a la red a equipos conectados vía DirectAccess

Una de las preguntas que los administradores se suelen hacer cuando implementan DirectAccess es como pueden evitar que se puedan conectar a la red, bien porque nos han robado la máquina o simplemente porque la hemos perido. Pues bien la respuesta es bien sencilla, tenemos varias formas de hacerlo:

  1. Deshabilitar la cuenta de equipo en el dominio: Efecto inmediato
  2. Elimina la cuenta de equipo: Efecto inmediato

Direct_Access_Deny_Red_11.png

3. Revocar el certificado de equipo: Tiempo de actualización de la CRL y distribución en los puntos de CRL

Este método es igual de efectivo, pero debemos tener en cuenta que en función del tamaño de nuestra organización podrá actuarlizarse la CRL en más o menos tiempo, lo cual permitirá a los equipos configurados con DirectAccess seguir conectándose mientras no se haya actualizado los puntos de distribución de la CRL. Teniendo en cuenta esto, vamos a ver cuales serían los pasos a seguir para revocar un certificado. Lo primero que debemos hacer es abrir la consola de administración de certificado, ir a la sección de Certificados Emitidos y en el listado de certificados buscar el que queremos revocar, pulsamos con el botón secundario del ratón encima de mismo y pulsamos en Todas las TareasRevocar certificado

Direct_Access_Deny_Red_3.png
Elegimos un Código de motivo por el cual queremos revocar el certificado (esto es a nivel informativo) y la fecha hora que se reovará (claramente lo haremos con fecha y hora del momento actual)

Direct_Access_Deny_Red_4.png

Ahora nos vamos a la opción de Certificados Revocados y verificamos que el certificado ha sido revocado
Direct_Access_Deny_Red_6.png
Y para acelerar el proceso de publicación de la CRL, sobre la opción de Certificados Revocados pulsamos con el botón secundario del ratón y pulsamos en Todas la tareas y Publicar, con esto forzaremos la actualización de la CRL

Direct_Access_Deny_Red_7.png
Ahora bien, si hemos configurado la distribución de la CRL en una ubicación diferente a la por defecto y como estamos utilizando una CA interna (en mi caso para los certificados del equipo del dominio uso una CA de Windows 2012) debemos copiar los ficheros actualizados de la CRL y copiarlos en la ubicación que corresponda. La idea es que el servidor pueda verificar la CRL antes de establecer el tunel IPSec con el cliente, de tal forma que si el certificado presentado por el cliente está presente en la CRL se denegará el acceso. Si bien es cierto, que para que esto funcione debemos tener configurado “Habilitar la comprobación fuerte de CRL para la autenticación de IPsec” (http://technet.microsoft.com/es-es/library/ee649260(v=ws.10).aspx). Por defecto se configura una comprobación débil, por lo que solo se deniegará el acceso si se comprueba que en la CRL aparece el certificado del equipo.

Por lo que hecho esto y actualizado los puntos de distribución de las CRL, el equipo seguirá conectado  pero en cuanto se intente volver a conectar ya no podrá hacerlo:

Direct_Access_Deny_Red_9.png

Si tenemos la posibilidad de acceder el equipo veremos que se quedará constatemente en “Conectando

Direct_Access_Deny_Red_10.png

Desde luego la forma más rápida y efectiva está clara, borramos o desactivamos la máquina en el dominio. Pero también tenemos la posibilidad de revocar el certificado y que vía CRL se pueda verificar que el certificado se ha revocado y por lo tanto no es válido para tener acceso a la negociación vía IPSec de DirectAccess y no permitirá el acceso a al red.

Espero que os sea de utilidad!!!

Cómo podemos public
Actualización del C

sbuytrago@asirsl.com

NO HAY COMENTARIOS

Este sitio web utiliza cookies. Si continúas navegando, consideramos que aceptas su uso. Puedes obtener más información en nuestra política de cookies. ACEPTAR

Aviso de cookies
Share This