La descarga está en progreso. Por favor, espere

La descarga está en progreso. Por favor, espere

Implementando la Seguridad Perimetral y de Red Rafael Vázquez Consultor Senior Secdor R&D.

Presentaciones similares


Presentación del tema: "Implementando la Seguridad Perimetral y de Red Rafael Vázquez Consultor Senior Secdor R&D."— Transcripción de la presentación:

1

2 Implementando la Seguridad Perimetral y de Red Rafael Vázquez Consultor Senior Secdor R&D

3 Conocimientos imprescindibles Descripción de los fundamentos de seguridad de una red Descripción de los fundamentos de seguridad de una red Experiencia práctica con Windows® Server 2000 o Windows Server 2003 Experiencia práctica con Windows® Server 2000 o Windows Server 2003 Experiencia con las herramientas de administración de Windows Experiencia con las herramientas de administración de Windows Nivel 300

4 Orden del día Introducción Introducción Uso de defensas en el perímetro Uso de defensas en el perímetro Uso de Microsoft® Internet Security and Acceleration (ISA) Server para proteger los perímetros Uso de Microsoft® Internet Security and Acceleration (ISA) Server para proteger los perímetros Uso del cortafuegos de Windows para proteger a los clientes Uso del cortafuegos de Windows para proteger a los clientes Protección de redes inalámbricas Protección de redes inalámbricas Protección de comunicaciones mediante IPSec Protección de comunicaciones mediante IPSec

5 Defensa en profundidad El uso de una solución en niveles: El uso de una solución en niveles: Aumenta la posibilidad de que se detecten los intrusos Aumenta la posibilidad de que se detecten los intrusos Disminuye la posibilidad de que los intrusos logren su propósito Disminuye la posibilidad de que los intrusos logren su propósito Directivas, procedimientos y concienciación Refuerzo del sistema operativo, administración de actualizaciones, autenticación, HIDS Servidores de seguridad, sistemas de cuarentena en VPN Guardias de seguridad, bloqueos, dispositivos de seguimiento Segmentos de red, IPSec, NIDS Refuerzo de las aplicaciones, antivirus ACL, cifrado Programas de aprendizaje para los usuarios Seguridad física Perimetral Red interna Host Aplicación Datos

6 Propósito y limitaciones de las defensas de perímetro Los servidores de seguridad y enrutadores de borde configurados correctamente constituyen la piedra angular de la seguridad del perímetro Los servidores de seguridad y enrutadores de borde configurados correctamente constituyen la piedra angular de la seguridad del perímetro Internet y la movilidad aumentan los riesgos de seguridad Internet y la movilidad aumentan los riesgos de seguridad Las redes VPN han debilitado el perímetro y, junto con las redes inalámbricas, han ocasionado, esencialmente, la desaparición del concepto tradicional de perímetro de red Las redes VPN han debilitado el perímetro y, junto con las redes inalámbricas, han ocasionado, esencialmente, la desaparición del concepto tradicional de perímetro de red Los servidores de seguridad tradicionales con filtrado de paquetes sólo bloquean los puertos de red y las direcciones de los equipos Los servidores de seguridad tradicionales con filtrado de paquetes sólo bloquean los puertos de red y las direcciones de los equipos En la actualidad, la mayor parte de los ataques se producen en el nivel de aplicación En la actualidad, la mayor parte de los ataques se producen en el nivel de aplicación

7 Propósito y limitaciones de las defensas de los clientes Las defensas de los clientes bloquean los ataques que omiten las defensas del perímetro o que se originan en la red interna Las defensas de los clientes bloquean los ataques que omiten las defensas del perímetro o que se originan en la red interna Las defensas de los clientes incluyen, entre otras: Las defensas de los clientes incluyen, entre otras: Refuerzo de la seguridad del sistema operativo Refuerzo de la seguridad del sistema operativo Programas antivirus Programas antivirus Servidores de seguridad personales Servidores de seguridad personales Las defensas de los clientes requieren que se configuren muchos equipos Las defensas de los clientes requieren que se configuren muchos equipos En entornos no administrados, los usuarios pueden omitir las defensas de los clientes En entornos no administrados, los usuarios pueden omitir las defensas de los clientes

8 Propósito y limitaciones de la detección de intrusos Detecta el modelo de ataques comunes, registra el tráfico sospechoso en registros de sucesos y/o alerta a los administradores Detecta el modelo de ataques comunes, registra el tráfico sospechoso en registros de sucesos y/o alerta a los administradores Las amenazas y puntos vulnerables evolucionan constantemente, lo que deja a los sistemas en una situación vulnerable hasta que se conoce un ataque nuevo y se crea y distribuye una nueva firma Las amenazas y puntos vulnerables evolucionan constantemente, lo que deja a los sistemas en una situación vulnerable hasta que se conoce un ataque nuevo y se crea y distribuye una nueva firma

9 Objetivos de seguridad en una red Defensa del perímetro Defensa de los clientes Detección de intrusos Control de acceso a la red Confidencialidad Acceso remoto seguro Servidor ISA Firewall de Windows 802.1x / WPA IPSec

10 Orden del día Introducción Introducción Uso de defensas en el perímetro Uso de defensas en el perímetro Uso de ISA Server para proteger los perímetros Uso de ISA Server para proteger los perímetros Uso del cortafuegos de Windows para proteger a los clientes Uso del cortafuegos de Windows para proteger a los clientes Protección de redes inalámbricas Protección de redes inalámbricas Protección de comunicaciones mediante IPSec Protección de comunicaciones mediante IPSec

11 Información general sobre las conexiones de perímetro Internet Sucursales Socios comerciales Usuarios remotos Redes inalámbricas Aplicaciones de Internet Los perímetros de red incluyen conexiones a: Socio comercial LAN Oficina principal LAN Sucursal LAN Red inalámbrica Usuario remoto Internet

12 Diseño del servidor de seguridad: de triple interfaz Subred protegida Internet LAN Servidor de seguridad

13 Diseño del servidor de seguridad: de tipo opuesto con opuesto o sándwich Internet Externa Servidor de seguridad LAN Interna Servidor de seguridad Subred protegida

14 Tráfico peligroso que atraviesa los puertos abiertos y no es inspeccionado en el nivel de aplicación por el servidor de seguridad Tráfico que atraviesa un túnel o sesión cifrados Tráfico que atraviesa un túnel o sesión cifrados Ataques que se producen una vez que se ha entrado en una red Tráfico que parece legítimo Usuarios y administradores que intencionada o accidentalmente instalan virus Administradores que utilizan contraseñas poco seguras Contra qué NO protegen los servidores de seguridad

15 Servidores de seguridad de software y de hardware Factores de decisión Descripción Flexibilidad La actualización de las vulnerabilidades y revisiones más recientes suele ser más fácil con servidores de seguridad basados en software. Extensibilidad Muchos servidores de seguridad de hardware sólo permiten una capacidad de personalización limitada. Elección de proveedores Los servidores de seguridad de software permiten elegir entre hardware para una amplia variedad de necesidades y no se depende de un único proveedor para obtener hardware adicional. Costo El precio de compra inicial para los servidores de seguridad de hardware podría ser inferior. Los servidores de seguridad de software se benefician del menor costo de las CPU. El hardware se puede actualizar fácilmente y el hardware antiguo se puede reutilizar. Complejidad Los servidores de seguridad de hardware suelen ser menos complejos. Disponibilidad global El factor de decisión más importante es si un servidor de seguridad puede realizar las tareas necesarias. Con frecuencia, la diferencia entre los servidores de hardware y de software no resulta clara.

16 Tipos de funciones de los servidores de seguridad Filtrado de paquetes Filtrado de paquetes Inspección de estado Inspección de estado Inspección del nivel de aplicación Inspección del nivel de aplicación Inspección multinivel (Incluido el filtrado del nivel de aplicación) Internet

17 Orden del día Introducción Introducción Uso de defensas en el perímetro Uso de defensas en el perímetro Uso de ISA Server para proteger los perímetros Uso de ISA Server para proteger los perímetros Uso del cortafuegos de Windows para proteger a los clientes Uso del cortafuegos de Windows para proteger a los clientes Protección de redes inalámbricas Protección de redes inalámbricas Protección de comunicaciones mediante IPSec Protección de comunicaciones mediante IPSec

18 Análisis de la información de un paquete Actualmente - la mayoría de los cortafuegos comprueban solamente la información básica del paquete Actualmente - la mayoría de los cortafuegos comprueban solamente la información básica del paquete Equivalente en el mundo real a mirar el número y el destino de un autobús - y de no mirar a los pasajeros Equivalente en el mundo real a mirar el número y el destino de un autobús - y de no mirar a los pasajeros

19 Asunciones Fundamentales N3/N4 Confiamos en que el tráfico sobre un puerto es lo que pensamos que debe ser (TCP80==HTTP) Confiamos en que el tráfico sobre un puerto es lo que pensamos que debe ser (TCP80==HTTP) Confiamos implícitamente que el tráfico que atraviesa está limpio (obviamos la revisión de este) Confiamos implícitamente que el tráfico que atraviesa está limpio (obviamos la revisión de este) No utilizamos estos dispositivos para protegernos de las redes internas, ya que confiamos en nuestros usuarios No utilizamos estos dispositivos para protegernos de las redes internas, ya que confiamos en nuestros usuarios El usuario de la máquina debe ser el único que siempre utiliza la misma máquina El usuario de la máquina debe ser el único que siempre utiliza la misma máquina TCP 80 está casi siempre abierto para todo – Es el protocolo universal que hace de puente y evita el cortafuego TCP 80 está casi siempre abierto para todo – Es el protocolo universal que hace de puente y evita el cortafuego La mayoría de estos errores dan lugar a una brecha de seguridad de la cual se responsabiliza generalmente al S.O., o a las aplicaciones – pero su origen puede ser la red La mayoría de estos errores dan lugar a una brecha de seguridad de la cual se responsabiliza generalmente al S.O., o a las aplicaciones – pero su origen puede ser la red

20 Objetivos de seguridad en una red Defensa del perímetro Defensa de los clientes Detección de intrusos Control de acceso a la red Confidencialidad Acceso remoto seguro Servidor ISA * Firewall de Windows 802.1x / WPA IPSec * Detección básica de intrusos, que se amplía gracias al trabajo de los asociados

21 Protección de los perímetros ISA Server tiene completas capacidades de filtrado: ISA Server tiene completas capacidades de filtrado: Filtrado de paquetes Filtrado de paquetes Inspección de estado Inspección de estado Inspección del nivel de aplicación Inspección del nivel de aplicación ISA Server bloquea todo el tráfico de red a menos que usted lo permita ISA Server bloquea todo el tráfico de red a menos que usted lo permita ISA Server permite establecer conexiones VPN seguras ISA Server permite establecer conexiones VPN seguras ISA Server tiene las certificaciones ICSA y Common Criteria ISA Server tiene las certificaciones ICSA y Common Criteria

22 DMZs en ISA Server ISA Server las llama redes perimetrales ISA Server las llama redes perimetrales Tipos Tipos Opuesto – con – opuesto (DMZ regular) Opuesto – con – opuesto (DMZ regular) Triple Interfaz (Subred apantallada) Triple Interfaz (Subred apantallada) Tercera opción interesante no documentada Tercera opción interesante no documentada Bastante fácil de elegir Bastante fácil de elegir Pero primero … Pero primero …

23 Interfaces de Red Dos tipos Dos tipos Interna Interna Externa Externa Dos tipos de externa Dos tipos de externa Interfaz-Internet Interfaz-Internet DMZ DMZ

24 Interfaces Internas Puede tener más de una Puede tener más de una Definida por la LAT Definida por la LAT Cualquier interfaz cuya dirección IP está en la LAT es una interfaz interna Cualquier interfaz cuya dirección IP está en la LAT es una interfaz interna

25 Interfaces externa Interfaz-Internet Interfaz-Internet Puede tener sólo una Puede tener sólo una Debe ser la frontera Debe ser la frontera Sólo una interfaz con una puerta de enlace por defecto Sólo una interfaz con una puerta de enlace por defecto Está conectada a Internet Está conectada a Internet Más de una no está suportada y no trabaja Más de una no está suportada y no trabaja DMZ DMZ El resto de las interfaces en el ordenador El resto de las interfaces en el ordenador No incluida en la LAT, no conectada a Internet No incluida en la LAT, no conectada a Internet

26 Comportamiento del tráfico Internet DMZLAN publicación de servidores publicación de servidores publicación de web publicación de web NAT NAT inspección de aplicación inspección de aplicación filtrado de paquetes filtrado de paquetes enrutamiento enrutamiento publicación de servidores publicación de servidores publicación de web publicación de web NAT NAT inspección de aplicación inspección de aplicación

27 Diseño apropiado Servidores ISA opuesto-con-opuesto Servidores ISA opuesto-con-opuesto LATs LATs Externo: rango(s) de direcciones IP de la red de la DMZ Externo: rango(s) de direcciones IP de la red de la DMZ Interno: rango(s) de direcciones IP de la red corporativa Interno: rango(s) de direcciones IP de la red corporativa Alcanza a inspeccionar todo Alcanza a inspeccionar todo Internet a DMZ Internet a DMZ DMZ a red corporativa DMZ a red corporativa

28 Diseño Subóptimo El tráfico entrante y saliente de la DMZ no está bien protegido El tráfico entrante y saliente de la DMZ no está bien protegido El filtrado de paquetes es igual al de cualquier otro cortafuegos El filtrado de paquetes es igual al de cualquier otro cortafuegos No reconoce lo protocolos de aplicaciones No reconoce lo protocolos de aplicaciones No puede inspeccionar para cumplir con las reglas No puede inspeccionar para cumplir con las reglas No utiliza filtros de Web o aplicaciones No utiliza filtros de Web o aplicaciones Recomendación Recomendación No utilice diseños de triple interfaz No utilice diseños de triple interfaz Si lo utiliza descargue la seguridad sobre los propios servicios de la DMZ Si lo utiliza descargue la seguridad sobre los propios servicios de la DMZ

29 Publicación opuesto-con-opuesto En la DMZ En la DMZ Método de publicación normal Método de publicación normal En la red corporativa En la red corporativa Publicación de recursos sobre el servidor ISA interno Publicación de recursos sobre el servidor ISA interno Publicación del servidor ISA interno sobre el servidor ISA externo Publicación del servidor ISA interno sobre el servidor ISA externo Usar tarjetas SSL para HTTPS Usar tarjetas SSL para HTTPS rs/ssl.asp rs/ssl.asp AEP Crypto ¡rápido y barato! AEP Crypto ¡rápido y barato!

30 Alternativa Interesante Diseño de triple interfaces Diseño de triple interfaces No interfaz de DMZ No interfaz de DMZ Dos interfaces internas Dos interfaces internas Inspección de aplicaciones entre Internet y todas las interfaces internas Inspección de aplicaciones entre Internet y todas las interfaces internas Necesidad de proteger la comunicación a través de las interfaces ¿Cómo? Necesidad de proteger la comunicación a través de las interfaces ¿Cómo? Bueno para presupuestos limitados Bueno para presupuestos limitados

31 Alternativa interesante Internet interna 1 Subred apantallada interna 2 Red corporativa RRAS filtros de paquetes RRAS filtros de paquetes publicación de servidores publicación de servidores publicación de Web publicación de Web NAT NAT inspección de aplicación inspección de aplicación publicación de servidores publicación de servidores publicación de Web publicación de Web NAT NAT inspección de aplicación inspección de aplicación

32 Protección de los clientes MétodoDescripción Funciones de proxy Procesa todas las solicitudes para los clientes y nunca permite las conexiones directas. Clientes admitidos Se admiten todos los clientes sin software especial. La instalación del software de servidor de seguridad ISA en clientes Windows permite utilizar más funciones. Reglas Las reglas de protocolo, reglas de sitio y contenido, y reglas de publicación determinan si se permite el acceso. Complementos El precio de compra inicial para los servidores de seguridad de hardware podría ser inferior. Los servidores de seguridad de software se benefician del menor costo de las CPU. El hardware se puede actualizar fácilmente y el hardware antiguo se puede reutilizar.

33 Protección de los servidores Web Reglas de publicación en Web Reglas de publicación en Web Para proteger de ataques externos a los servidores Web que se encuentran detrás de los servidores de seguridad, inspeccione el tráfico HTTP y compruebe que su formato es apropiado y cumple los estándares Para proteger de ataques externos a los servidores Web que se encuentran detrás de los servidores de seguridad, inspeccione el tráfico HTTP y compruebe que su formato es apropiado y cumple los estándares Inspección del tráfico SSL Inspección del tráfico SSL Descifra e inspecciona las solicitudes Web entrantes cifradas para comprobar que su formato es apropiado y que cumple los estándares Descifra e inspecciona las solicitudes Web entrantes cifradas para comprobar que su formato es apropiado y que cumple los estándares Si se desea, volverá a cifrar el tráfico antes de enviarlo al servidor Web Si se desea, volverá a cifrar el tráfico antes de enviarlo al servidor Web

34 URLScan El paquete de características 1 de ISA Server incluye URLScan 2.5 para ISA Server El paquete de características 1 de ISA Server incluye URLScan 2.5 para ISA Server Permite que el filtro ISAPI de URLScan se aplique al perímetro de la red Permite que el filtro ISAPI de URLScan se aplique al perímetro de la red Se produce un bloqueo general en todos los servidores Web que se encuentran detrás del servidor de seguridad Se produce un bloqueo general en todos los servidores Web que se encuentran detrás del servidor de seguridad Se bloquean en el perímetro los ataques conocidos y los descubiertos recientemente Se bloquean en el perímetro los ataques conocidos y los descubiertos recientemente Servidor Web 1 ISA Server Servidor Web 2 Servidor Web 3

35 Protección de Exchange Server MétodoDescripción Asistente para publicación de correo Configura reglas de ISA Server con el fin de publicar servicios de correo interno para usuarios externos de forma segura Message Screener Filtra los mensajes de correo electrónico SMTP que entran en la red interna Publicación RPC Protege el acceso del protocolo nativo de los clientes Microsoft Outlook® Publicación OWA Proporciona protección del servidor de solicitudes de cliente OWA para los usuarios remotos de Outlook que tienen acceso a Microsoft Exchange Server sin una VPN a través de redes que no son de confianza

36 Demostración 1 Inspección del nivel de aplicación en ISA Server Publicación en Web URLScan Message Screener

37 Tráfico que omite la inspección de los servidores de seguridad Los túneles SSL atraviesan los servidores de seguridad tradicionales porque este tipo de tráfico está cifrado, lo que permite a los virus y gusanos pasar sin ser detectados e infectar los servidores internos Los túneles SSL atraviesan los servidores de seguridad tradicionales porque este tipo de tráfico está cifrado, lo que permite a los virus y gusanos pasar sin ser detectados e infectar los servidores internos El tráfico VPN se cifra y no se puede inspeccionar El tráfico VPN se cifra y no se puede inspeccionar El tráfico de Instant Messenger (IM) no se suele inspeccionar y podría utilizarse para transferir archivos El tráfico de Instant Messenger (IM) no se suele inspeccionar y podría utilizarse para transferir archivos

38 Inspección de todo el tráfico Utilice sistemas de detección de intrusos y otros mecanismos para inspeccionar el tráfico VPN una vez descifrado Utilice sistemas de detección de intrusos y otros mecanismos para inspeccionar el tráfico VPN una vez descifrado Recuerde: defensa en profundidad Recuerde: defensa en profundidad Utilice un servidor de seguridad que pueda inspeccionar el tráfico SSL Utilice un servidor de seguridad que pueda inspeccionar el tráfico SSL Expanda las capacidades de inspección del servidor de seguridad Expanda las capacidades de inspección del servidor de seguridad Utilice complementos para el servidor de seguridad que permitan inspeccionar el tráfico de IM Utilice complementos para el servidor de seguridad que permitan inspeccionar el tráfico de IM

39 Inspección de SSL Los túneles SSL atraviesan los servidores de seguridad tradicionales porque este tipo de tráfico está cifrado, lo que permite a los virus y gusanos pasar sin ser detectados e infectar los servidores internos Los túneles SSL atraviesan los servidores de seguridad tradicionales porque este tipo de tráfico está cifrado, lo que permite a los virus y gusanos pasar sin ser detectados e infectar los servidores internos ISA Server puede descifrar e inspeccionar el tráfico SSL. El tráfico inspeccionado se puede enviar al servidor interno sin cifrar o cifrado de nuevo ISA Server puede descifrar e inspeccionar el tráfico SSL. El tráfico inspeccionado se puede enviar al servidor interno sin cifrar o cifrado de nuevo

40 Demostración 2 Inspección de SSL en ISA Server

41 Refuerzo de la seguridad de ISA Server Refuerzo de la pila de red Refuerzo de la pila de red Deshabilite los protocolos de red innecesarios en la interfaz de red externa: Deshabilite los protocolos de red innecesarios en la interfaz de red externa: Cliente para redes Microsoft Cliente para redes Microsoft Compartir impresoras y archivos para redes Microsoft Compartir impresoras y archivos para redes Microsoft NetBIOS sobre TCP/IP NetBIOS sobre TCP/IP

42 Ampliando la plataforma Ubicamos los Cortafuegos en diferentes localizaciones por diversas razones. Se debe comprender las necesidades y establecer los filtros en concordancia. Ubicamos los Cortafuegos en diferentes localizaciones por diversas razones. Se debe comprender las necesidades y establecer los filtros en concordancia. Amplíe la funcionalidad básica con filtros de protocolos que cubran su escenario específico Amplíe la funcionalidad básica con filtros de protocolos que cubran su escenario específico Ningún dispositivo será siempre la solución perfecta; las soluciones son más importantes que los dispositivos Ningún dispositivo será siempre la solución perfecta; las soluciones son más importantes que los dispositivos

43 Una visión para una Red Segura Internet Enrutadores Redundantes Cortafuegos ISA VLAN DC + Infrastructure NIC teams/2 switches VLAN Front-end VLAN Backend Detección de Intrusión Priemr nivel de Cortafuegos Filtros URL para OWA Terminación RPC para Outlook La implementación de uno o más Switches VLANs controlan el tráfico Inter- VLAN como lo hacen los cortafuegos – Las VLANs no están a prueba de bala (pero tampoco son servidores) Se permite o bloquea el tráfico basado en los requisitos de uso de las aplicaciones, los filtros entienden y hacen cumplir estos requisitos. Detección de Intrusión

44 Recomendaciones Utilice reglas de acceso que únicamente permitan las solicitudes que se admitan de forma específica Utilice reglas de acceso que únicamente permitan las solicitudes que se admitan de forma específica Utilice las capacidades de autenticación de ISA Server para restringir y registrar el acceso a Internet Utilice las capacidades de autenticación de ISA Server para restringir y registrar el acceso a Internet Configure reglas de publicación en Web para conjuntos de destinos específicos Configure reglas de publicación en Web para conjuntos de destinos específicos Utilice la inspección de SSL para inspeccionar los datos cifrados que entren en la red Utilice la inspección de SSL para inspeccionar los datos cifrados que entren en la red

45 Orden del día Introducción Introducción Uso de defensas en el perímetro Uso de defensas en el perímetro Uso de ISA Server para proteger los perímetros Uso de ISA Server para proteger los perímetros Uso del cortafuegos de Windows para proteger a los clientes Uso del cortafuegos de Windows para proteger a los clientes Protección de redes inalámbricas Protección de redes inalámbricas Protección de comunicaciones mediante IPSec Protección de comunicaciones mediante IPSec

46 Objetivos de seguridad en una red Defensa del perímetro Defensa de los clientes Detección de intrusos Control de acceso a la red Confidencialidad Acceso remoto seguro Servidor ISA Firewall de Windows 802.1x / WPA IPSec

47 Información general sobre el cortafuegos de Windows Cortafuegos de Windows en Microsoft Windows XP y Microsoft Windows Server 2003 Cortafuegos de Windows en Microsoft Windows XP y Microsoft Windows Server 2003 Ayuda a detener los ataques basados en la red, como Blaster, al bloquear todo el tráfico entrante no solicitado Ayuda a detener los ataques basados en la red, como Blaster, al bloquear todo el tráfico entrante no solicitado Los puertos se pueden abrir para los servicios que se ejecutan en el equipo Los puertos se pueden abrir para los servicios que se ejecutan en el equipo La administración corporativa se realiza a través de directivas de grupo La administración corporativa se realiza a través de directivas de grupo Qué es Qué hace Características principales

48 Se puede habilitar: Se puede habilitar: Al activar una casilla de verificación Al activar una casilla de verificación Con el Asistente para configuración de red Con el Asistente para configuración de red Con el Asistente para conexión nueva Con el Asistente para conexión nueva Se habilita de forma independiente en cada conexión de red Se habilita de forma independiente en cada conexión de red Habilitar el cortafuegos de Windows

49 Servicios de red Servicios de red Aplicaciones basadas en Web Aplicaciones basadas en Web Configuración avanzada del cortafuegos de Windows

50 Opciones de registro Opciones de registro Opciones del archivo de registro Opciones del archivo de registro Registro de seguridad del cortafuegos de Windows

51 Cortafuegos de Windows en la compañía Configure el cortafuegos de Windows mediante directivas de grupo Configure el cortafuegos de Windows mediante directivas de grupo Combine el cortafuegos de Windows con Control de cuarentena de acceso a la red Combine el cortafuegos de Windows con Control de cuarentena de acceso a la red

52 Utilice el cortafuegos de Windows en las oficinas domésticas y en las pequeñas compañías con el fin de proporcionar protección a los equipos que estén conectados directamente a Internet Utilice el cortafuegos de Windows en las oficinas domésticas y en las pequeñas compañías con el fin de proporcionar protección a los equipos que estén conectados directamente a Internet No active el cortafuegos de Windows en una conexión VPN (aunque debe habilitarlo en la conexión LAN o de acceso telefónico subyacente) No active el cortafuegos de Windows en una conexión VPN (aunque debe habilitarlo en la conexión LAN o de acceso telefónico subyacente) Configure las definiciones de servicio para cada conexión de cortafuegos de Windows a través de la que desee que funcione el servicio Configure las definiciones de servicio para cada conexión de cortafuegos de Windows a través de la que desee que funcione el servicio Establezca el tamaño del registro de seguridad en 16 megabytes para impedir el desbordamiento que podrían ocasionar los ataques de denegación de servicio Establezca el tamaño del registro de seguridad en 16 megabytes para impedir el desbordamiento que podrían ocasionar los ataques de denegación de servicio Recomendaciones

53 Demostración 3 Cortafuegos de Windows Configuración manual Prueba Revisión de los archivos de registro Configuración de directivas de grupo

54 Orden del día Introducción Introducción Uso de defensas en el perímetro Uso de defensas en el perímetro Uso de ISA Server para proteger los perímetros Uso de ISA Server para proteger los perímetros Uso de Firewall de Windows para proteger a los clientes Uso de Firewall de Windows para proteger a los clientes Protección de redes inalámbricas Protección de redes inalámbricas Protección de comunicaciones mediante IPSec Protección de comunicaciones mediante IPSec

55 Objetivos de seguridad en una red Defensa del perímetro Defensa de los clientes Detección de intrusos Control de acceso a la red Confidencialidad Acceso remoto seguro Servidor ISA Firewall de Windows 802.1x / WPA IPSec

56 Limitaciones de Wired Equivalent Privacy (WEP) Limitaciones de Wired Equivalent Privacy (WEP) Las claves WEP estáticas no se cambian de forma dinámica y, por lo tanto, son vulnerables a los ataques Las claves WEP estáticas no se cambian de forma dinámica y, por lo tanto, son vulnerables a los ataques No hay un método estándar para proporcionar claves WEP estáticas a los clientes No hay un método estándar para proporcionar claves WEP estáticas a los clientes Escalabilidad: el compromiso de una clave WEP estática expone a todos los usuarios Escalabilidad: el compromiso de una clave WEP estática expone a todos los usuarios Limitaciones del filtrado de direcciones MAC Limitaciones del filtrado de direcciones MAC Un intruso podría suplantar una dirección MAC permitida Un intruso podría suplantar una dirección MAC permitida Aspectos de seguridad en dispositivos inalámbricos

57 Autenticación de nivel 2 basada en contraseñas Autenticación de nivel 2 basada en contraseñas PEAP/MSCHAP v2 de IEEE 802.1x PEAP/MSCHAP v2 de IEEE 802.1x Autenticación de nivel 2 basada en certificados Autenticación de nivel 2 basada en certificados EAP-TLS de IEEE 802.1x EAP-TLS de IEEE 802.1x Otras opciones Otras opciones Conexiones VPN Conexiones VPN L2TP/IPsec (la solución preferida) o PPTP L2TP/IPsec (la solución preferida) o PPTP No permite usuarios móviles No permite usuarios móviles Resulta útil cuando se utilizan zonas interactivas inalámbricas públicas Resulta útil cuando se utilizan zonas interactivas inalámbricas públicas No se produce la autenticación de los equipos ni se procesa la configuración establecida en directivas de grupo No se produce la autenticación de los equipos ni se procesa la configuración establecida en directivas de grupo IPSec IPSec Problemas de interoperabilidad Problemas de interoperabilidad Posibles soluciones

58 Tipo de seguridad de WLAN Nivel de seguridad Facilidad de implementación Facilidad de uso e integración WEP estático BajoAltaAltos PEAP de IEEE 802.1X AltoMediaAltos TLS de IEEE 802.1x AltoBajaAltos VPN Alto (L2TP/IPSec) MediaBajos IPSecAltoBajaBajos Comparaciones de la seguridad de WLAN

59 Define un mecanismo de control de acceso basado en puertos Define un mecanismo de control de acceso basado en puertos Funciona en cualquier tipo de red, tanto inalámbrica como con cables Funciona en cualquier tipo de red, tanto inalámbrica como con cables No hay ningún requisito especial en cuanto a claves de cifrado No hay ningún requisito especial en cuanto a claves de cifrado Permite elegir los métodos de autenticación con EAP Permite elegir los métodos de autenticación con EAP Es la opción elegida por los elementos del mismo nivel en el momento de la autenticación Es la opción elegida por los elementos del mismo nivel en el momento de la autenticación El punto de acceso no tiene que preocuparse de los métodos de EAP El punto de acceso no tiene que preocuparse de los métodos de EAP Administra las claves de forma automática Administra las claves de forma automática No es necesario programar previamente las claves de cifrado para la red inalámbrica No es necesario programar previamente las claves de cifrado para la red inalámbrica 802.1x

60 Ethernet Punto de acceso Servidor RADIUS Inicio de EAPOL Identidad de respuesta de EAP Desafío de acceso de RADIUS Respuesta de EAP (credenciales) Acceso bloqueado Asociación Aceptación de acceso de RADIUS Identidad de solicitud de EAP Solicitud de EAP Solicitud de acceso de RADIUS RADIUS Equipo portátil Inalámbrico Asociado Éxito de EAP Acceso permitido Clave de EAPOL (clave) 802.1x en

61 Requisitos del sistema para 802.1x Cliente: Windows XP Cliente: Windows XP Servidor: IAS de Windows Server 2003 Servidor: IAS de Windows Server 2003 Servicio de autenticación Internet: nuestro servidor RADIUS Servicio de autenticación Internet: nuestro servidor RADIUS Certificado en el equipo IAS Certificado en el equipo IAS 802.1x en Windows x en Windows 2000 El cliente e IAS deben tener SP3 El cliente e IAS deben tener SP3 Vea el artículo de KB Vea el artículo de KB No se admite la configuración rápida en el cliente No se admite la configuración rápida en el cliente Sólo se admiten EAP-TLS y MS-CHAPv2 Sólo se admiten EAP-TLS y MS-CHAPv2 Es posible que los futuros métodos de EAP en Windows XP y Windows Server 2003 no se puedan utilizar Es posible que los futuros métodos de EAP en Windows XP y Windows Server 2003 no se puedan utilizar

62 Configuración de 802.1x 1.Configurar Windows Server 2003 con IAS 2.Unir un dominio 3.Inscribir un certificado de equipo 4.Registrar IAS en Active Directory 5.Configurar el registro RADIUS 6.Agregar el punto de acceso como cliente RADIUS 7.Configurar el punto de acceso para RADIUS y 802.1x 8.Crear una directiva de acceso para clientes inalámbricos 9.Configurar los clientes No olvide importar el certificado raíz No olvide importar el certificado raíz

63 Directiva de acceso Condición de directiva Condición de directiva El tipo de puerto NAS coincide con Wireless IEEE o con otro tipo de red inalámbrica El tipo de puerto NAS coincide con Wireless IEEE o con otro tipo de red inalámbrica Grupo de Windows = Grupo de Windows = Opcional; proporciona control administrativo Opcional; proporciona control administrativo Debe contener cuentas de usuario y de equipo Debe contener cuentas de usuario y de equipo

64 Perfil de directivas de acceso Perfil Perfil Tiempo de espera: 60 min. (802.11b) o 10 min. (802.11a/g) Tiempo de espera: 60 min. (802.11b) o 10 min. (802.11a/g) No elija métodos de autenticación regulares No elija métodos de autenticación regulares Tipo de EAP: EAP protegido; utilice certificados de equipo Tipo de EAP: EAP protegido; utilice certificados de equipo Cifrado: sólo el más seguro (MPPE de 128 bits) Cifrado: sólo el más seguro (MPPE de 128 bits) Atributos: Ignore-User- Dialin-Properties = True Atributos: Ignore-User- Dialin-Properties = True

65 Especificación de mejoras en la seguridad interoperables y basadas en estándares que aumenta enormemente el nivel de protección de los datos y el control de acceso para los sistemas actuales y futuros de LAN inalámbrica WPA requiere la autenticación de 802.1x para el acceso de red Objetivos Objetivos Cifrado mejorado de los datos Cifrado mejorado de los datos Permitir la autenticación de los usuarios Permitir la autenticación de los usuarios Compatible con versiones futuras de i Compatible con versiones futuras de i Proporcionar una solución que no sea RADIUS para las oficinas domésticas o de pequeño tamaño Proporcionar una solución que no sea RADIUS para las oficinas domésticas o de pequeño tamaño Wi-Fi Alliance comenzó las pruebas de certificación de la interoperabilidad de los productos de WPA en febrero de 2003 Wireless Protected Access (WPA)

66 Recomendaciones Utilice la autenticación de 802.1x Utilice la autenticación de 802.1x Organice en grupos a los usuarios y equipos inalámbricos Organice en grupos a los usuarios y equipos inalámbricos Aplique directivas de acceso inalámbrico con directivas de grupo Aplique directivas de acceso inalámbrico con directivas de grupo Utilice EAP-TLS para la autenticación basada en certificados y PEAP para la autenticación basada en contraseñas Utilice EAP-TLS para la autenticación basada en certificados y PEAP para la autenticación basada en contraseñas Configure una directiva de acceso remoto para permitir la autenticación de los usuarios y de los equipos Configure una directiva de acceso remoto para permitir la autenticación de los usuarios y de los equipos Desarrolle un método que se ocupe de los puntos de acceso sospechosos, como la autenticación de 802.1x basada en LAN, las encuestas a sitios, la supervisión de la red y el entrenamiento de los usuarios Desarrolle un método que se ocupe de los puntos de acceso sospechosos, como la autenticación de 802.1x basada en LAN, las encuestas a sitios, la supervisión de la red y el entrenamiento de los usuarios

67 Orden del día Introducción a la defensa en profundidad Introducción a la defensa en profundidad Uso de defensas en el perímetro Uso de defensas en el perímetro Uso de ISA Server para proteger los perímetros Uso de ISA Server para proteger los perímetros Uso del cortafuegos de Windows para proteger a los clientes Uso del cortafuegos de Windows para proteger a los clientes Protección de redes inalámbricas Protección de redes inalámbricas Protección de comunicaciones mediante IPSec Protección de comunicaciones mediante IPSec

68 Objetivos de seguridad en una red Defensa del perímetro Defensa de los clientes Detección de intrusos Control de acceso a la red Confidencialidad Acceso remoto seguro Servidor ISA Firewall de Windows 802.1x / WPA IPSec

69 ¿Qué es Seguridad de IP (IPSec)? ¿Qué es Seguridad de IP (IPSec)? Un método para proteger el tráfico IP Un método para proteger el tráfico IP Una estructura de estándares abiertos desarrollada por el Grupo de trabajo de ingeniería de Internet (IETF, Internet Engineering Task Force) Una estructura de estándares abiertos desarrollada por el Grupo de trabajo de ingeniería de Internet (IETF, Internet Engineering Task Force) ¿Por qué se debe utilizar IPSec? ¿Por qué se debe utilizar IPSec? Para garantizar que las comunicaciones se cifran y se autentican en el nivel IP Para garantizar que las comunicaciones se cifran y se autentican en el nivel IP Para proporcionar seguridad en el transporte independiente de las aplicaciones o de los protocolos del nivel de aplicación Para proporcionar seguridad en el transporte independiente de las aplicaciones o de los protocolos del nivel de aplicación Introducción a IPSec

70 Filtrado básico para permitir o bloquear paquetes Filtrado básico para permitir o bloquear paquetes Comunicaciones seguras en la LAN interna Comunicaciones seguras en la LAN interna Replicación en los dominios a través de servidores de seguridad Replicación en los dominios a través de servidores de seguridad Acceso a VPN a través de medios que no son de confianza Acceso a VPN a través de medios que no son de confianza Escenarios de IPSec

71 Filtros para tráfico permitido y bloqueado Filtros para tráfico permitido y bloqueado No se produce ninguna negociación real de las asociaciones de seguridad de IPSec No se produce ninguna negociación real de las asociaciones de seguridad de IPSec Los filtros se solapan: la coincidencia más específica determina la acción Los filtros se solapan: la coincidencia más específica determina la acción No proporciona filtrado de estado No proporciona filtrado de estado Se debe establecer "NoDefaultExempt = 1" para que sea seguro Se debe establecer "NoDefaultExempt = 1" para que sea seguro Desde IPA IPProtocolo Puerto de origen Puerto de destino Acción Cualquiera Mi IP de Internet CualquieraN/D Bloquear Cualquiera Mi IP de Internet TCPCualquiera80Permitir Implementación del filtrado de paquetes de IPSec

72 Los paquetes IP suplantados contienen consultas o contenido peligroso que puede seguir llegando a los puertos abiertos a través de los servidores de seguridad Los paquetes IP suplantados contienen consultas o contenido peligroso que puede seguir llegando a los puertos abiertos a través de los servidores de seguridad IPSec no permite la inspección de estado IPSec no permite la inspección de estado Muchas herramientas que utilizan los piratas informáticos emplean los puertos de origen 80, 88, 135 y otros para conectar a cualquier puerto de destino Muchas herramientas que utilizan los piratas informáticos emplean los puertos de origen 80, 88, 135 y otros para conectar a cualquier puerto de destino El filtrado de paquetes no es suficiente para proteger un servidor

73 Direcciones de difusión IP Direcciones de difusión IP No puede proteger a varios receptores No puede proteger a varios receptores Direcciones de multidifusión Direcciones de multidifusión De a De a Kerberos: puerto UDP 88 de origen o destino Kerberos: puerto UDP 88 de origen o destino Kerberos es un protocolo seguro, que el servicio de negociación IKE puede utilizar para la autenticación de otros equipos en un dominio Kerberos es un protocolo seguro, que el servicio de negociación IKE puede utilizar para la autenticación de otros equipos en un dominio IKE: puerto UDP 500 de destino IKE: puerto UDP 500 de destino Obligatorio para permitir que IKE negocie los parámetros de seguridad de IPSec Obligatorio para permitir que IKE negocie los parámetros de seguridad de IPSec Windows Server 2003 configura únicamente la exención predeterminada de IKE Windows Server 2003 configura únicamente la exención predeterminada de IKE Tráfico que IPSec no filtra

74 Comunicaciones internas seguras Utilice IPSec para permitir la autenticación mutua de dispositivos Utilice IPSec para permitir la autenticación mutua de dispositivos Utilice certificados o Kerberos Utilice certificados o Kerberos La utilización de claves compartidas sólo es conveniente para pruebas La utilización de claves compartidas sólo es conveniente para pruebas Utilice Encabezado de autenticación (AH) para garantizar la integridad de los paquetes Utilice Encabezado de autenticación (AH) para garantizar la integridad de los paquetes El Encabezado de autenticación proporciona integridad en los paquetes El Encabezado de autenticación proporciona integridad en los paquetes El Encabezado de autenticación no cifra, con lo que se basa en los sistemas de detección de intrusos de red El Encabezado de autenticación no cifra, con lo que se basa en los sistemas de detección de intrusos de red Utilice Carga de seguridad encapsuladora (ESP) para cifrar el tráfico sensible Utilice Carga de seguridad encapsuladora (ESP) para cifrar el tráfico sensible ESP proporciona integridad en los paquetes y confidencialidad ESP proporciona integridad en los paquetes y confidencialidad El cifrado impide la inspección de los paquetes El cifrado impide la inspección de los paquetes Planee minuciosamente qué tráfico debe protegerse Planee minuciosamente qué tráfico debe protegerse

75 IPsec servidor iniciado conexiones para servidores internos Aplicación IPsecDriver Directiva: Cliente (solo responde) Personalizar la seguridad en la directiva: Server Asegurar desde aquí a cualquier destino, todo el tráfico unicast. Acepta sin asegurar. Miembros del dominio de confianza. Asegurar desde aquí a cualquier destino, todo el tráfico unicast. Acepta sin asegurar. Miembros del dominio de confianza. Envía en texto claro, asegura el tráfico solo si es requerido. Miembros del dominio de confianza. Directorio Activo Key Distribution Center (KDC) Windows 2000 controlador de domino TGT TGT IKE SA negociación UDP puerto 500 Ticket de Sesión ticket IPsec SAs establecidas Configuración del servidor no para usar en Internet! filtros

76 Atravesar dominios que no confían entre sí Dominio A Windows 2000 IPsec con autenticación Kerberos Dominio B Windows 2000 IPsec con autenticación Kerberos Si la política IPSEC está configurada para confiar en ciertos miembros de dominio (o dominios confiados), la negociación IKE entre miembros de dominios no confiados fallará en la autenticación de Kerberos Si A no confía en B IPsec no puede establecerse usando IKE Kerb authentication

77 Atravesar dominios que no confían entre sí Windows 2000 Dominio A IPsec con Autenticación Kerberos Windows 2000 Dominio B IPsec con Autenticación Kerberos Cambiar la directiva IPsec sobre servidorA y clienteB para usar primero autenticación por certificado, use certificado desde la Raíz CA0, y después Kerberos. La raíz CA0 común permite que ambos utilicen su propios certificados para la autenticación IKE Autoenroll servidor en CA1 Autoenroll cliente en CA2 CA1 CA2 CA0 Común Raíz IPsec trabaja usando IKE certificado autenticación

78 IPSec para la replicación de dominios Utilice IPSec para la replicación a través de servidores de seguridad Utilice IPSec para la replicación a través de servidores de seguridad En cada controlador de dominio, cree una directiva IPSec para proteger todo el tráfico a la dirección IP del otro controlador de dominio En cada controlador de dominio, cree una directiva IPSec para proteger todo el tráfico a la dirección IP del otro controlador de dominio Utilice ESP 3DES para el cifrado Utilice ESP 3DES para el cifrado Permita el tráfico a través del servidor de seguridad: Permita el tráfico a través del servidor de seguridad: Puerto UDP 500 (IKE) Puerto UDP 500 (IKE) Protocolo IP 50 (ESP) Protocolo IP 50 (ESP)

79 Acceso de VPN a través de medios que no son de confianza VPN de cliente VPN de cliente Utilice L2TP/IPSec Utilice L2TP/IPSec VPN de sucursal VPN de sucursal Entre Windows 2000 o Windows Server, con RRAS: utilice túnel L2TP/IPSec (fácil de configurar, aparece como una interfaz enrutable) Entre Windows 2000 o Windows Server, con RRAS: utilice túnel L2TP/IPSec (fácil de configurar, aparece como una interfaz enrutable) A una puerta de enlace de terceros: utilice L2TP/IPSec o el modo de túnel puro de IPSec A una puerta de enlace de terceros: utilice L2TP/IPSec o el modo de túnel puro de IPSec A la puerta de enlace RRAS de Microsoft Windows NT® 4: utilice PPTP (IPSec no está disponible) A la puerta de enlace RRAS de Microsoft Windows NT® 4: utilice PPTP (IPSec no está disponible)

80 Unos datos enviados Solución IPSec sobre NAT NAT Envío de Datos NAT AN1N2B Mapeo Estático: N2, 500 -> B, 500 N2, > B, 4500 Nota de B a sí mismo: N1 es realmente A… Encuentra SA para A B UDP orig 4500, dest 4500 A, N2 ESP …resto del paquete IPsec UDP orig 8888, dest 4500 N1, N2 ESP …resto del paquete IPsec UDP orig 8888, dest 4500 N1, B ESP …resto del paquete IPsec orig 8888 orig 8888N1 B

81 Solución IPSec sobre NAT UDP orig 4500, dest 4500 IP ESP …resto del paquete IPsec El tamaño incrementado del paquete puede generar error de tamaño en el Path MTU L2TP recibe el error PMTU y lo corrige L2TP recibe el error PMTU y lo corrige La corrección general de PMTU necesitada para el tráfico no-L2TP La corrección general de PMTU necesitada para el tráfico no-L2TP Implementaciones de Microsoft Implementaciones de Microsoft Para clientes, meta cumplida para RAS VPN Para clientes, meta cumplida para RAS VPN No es una solución general por ahora No es una solución general por ahora Para Windows Server 2003, caso general cubierto Para Windows Server 2003, caso general cubierto Hecho para escenarios servidor-a-servidor (e.g. DC-DC) Hecho para escenarios servidor-a-servidor (e.g. DC-DC) Encapsulación UDP: Detalle de ImplementaciónPath MTU

82 Estado de IPsec NAT Traversal Manipulado por la necesidad para el acceso remoto sobre IPSec - basado en VPNs Manipulado por la necesidad para el acceso remoto sobre IPSec - basado en VPNs Implementado en IETF Est á ndar Propuesto (Draft-02) Implementado en IETF Est á ndar Propuesto (Draft-02) La interoperabilidad probada con enrutadores de 3 ros para L2TP/IPSec La interoperabilidad probada con enrutadores de 3 ros para L2TP/IPSec Previsto para L2TP/IPsec en WindowsXP y anteriores Previsto para L2TP/IPsec en WindowsXP y anteriores Previsto para todos los usos de IPsec en Windows Server 2003 Previsto para todos los usos de IPsec en Windows Server 2003 Soportado por el Sistema Operativo Soportado por el Sistema Operativo Versi ó n Soporte L2TP/IPsec Soporte General del Modo Transporte de IPsec Windows Server 2003 Si Si 4 Windows XP Si 1 No recomendado 5 Windows 2000 Si 2 No Windows NT4 Si 3 No Windows 98/Me Si 3 No Nota 1: Windows Update o QFE Nota 2: QFE Nota 3: Con descarga de web Nota 4: FTP Activo no trabajará Nota 5: Algunas reducciones PTMU no trabajan

83 Estados Estándares Draft-02 fue lo mejor disponible durante mucho tiempo - windows Draft-02 fue lo mejor disponible durante mucho tiempo - windows Microsoft y otros lo han implementado Microsoft y otros lo han implementado Usable ahora Usable ahora Versión RFC en revisión ahora Versión RFC en revisión ahora Cambia algunos detalles pequeños en números estándares Cambia algunos detalles pequeños en números estándares Microsoft lo adoptará en lanzamientos futuros Microsoft lo adoptará en lanzamientos futuros

84 Escenarios de Implementación Filtrado básico de paquetes permitir/bloquear Filtrado básico de paquetes permitir/bloquear Asegurar la comunicación interna en la LAN Asegurar la comunicación interna en la LAN Cliente a servidor Cliente a servidor Entre grandes grupos de ordenadores Entre grandes grupos de ordenadores Usar IPsec para la replicación de dominios a través de cortafuegos Usar IPsec para la replicación de dominios a través de cortafuegos Establecimiento de túneles VPN sitio-a- sitio Establecimiento de túneles VPN sitio-a- sitio Acceso desde red confiado, a máquinas autorizadas Acceso desde red confiado, a máquinas autorizadas

85 VPN con sucursales: túneles enrutador-a-enrutador Enrutador Windows 2000, 2003 RRAS Windows 2000, 2003 o otro enrutador L2TP/IPsec Enrutador de 3 ros Tunel L2TP/IPsec (recomendado: fácil de configurar; aparece como interfaz enrutable) L2TP/IPsec o IPsec puro en modo túnel Túnel PPTP Enrutador Windows NT4 RRAS

86 El problema Usted conoce quien es su gente. Usted conoce quien es su gente. ¿Usted conoce quienes son sus ordenadores? ¿Usted conoce quienes son sus ordenadores? ¿Usted sabe que está haciendo su gente y sus aplicaciones? ¿Usted sabe que está haciendo su gente y sus aplicaciones?

87 Conociendo sus ordenadores Windows 2000 no requiere ser miembro del dominio Windows 2000 no requiere ser miembro del dominio ¿La directiva de grupo ayuda? ¿La directiva de grupo ayuda? No puede hacerla cumplir a sus miembros No puede hacerla cumplir a sus miembros Puede prohibir retirarse desde el dominio Puede prohibir retirarse desde el dominio No puede parar a los no miembros que se comunican sobre la red No puede parar a los no miembros que se comunican sobre la red

88 Parar el acceso a red no confiable Usted requiere que sus usuarios sean miembros del dominio. Usted requiere que sus usuarios sean miembros del dominio. Por qué no, sus ordenadores, también? Por qué no, sus ordenadores, también? Muéstreme las credenciales Muéstreme las credenciales Típicamente no puede parar que alguien se conecte en su LAN Típicamente no puede parar que alguien se conecte en su LAN Acceso a red basado en: autenticación mutua= confianza Acceso a red basado en: autenticación mutua= confianza IKE Kerberos- trabaja dentro y atraviesa bosques con relación de confianza bidireccional IKE Kerberos- trabaja dentro y atraviesa bosques con relación de confianza bidireccional Nivel de Bosque IPsec AH con Kerberos miembros del dominio en los que se confía Nivel de Bosque IPsec AH con Kerberos miembros del dominio en los que se confía Autenticación del certificado de IKE – control más fino para la confianza Autenticación del certificado de IKE – control más fino para la confianza Autorice el acceso a red solamente a ordenadores específicos del dominio utilizando el derecho de inicio de sesión Acceso a este ordenador desde la red Autorice el acceso a red solamente a ordenadores específicos del dominio utilizando el derecho de inicio de sesión Acceso a este ordenador desde la red

89 Conocer sus ordenadores Es una buena idea porque usted... Es una buena idea porque usted... Tiene (o desea) una directiva que requiera el uso de máquinas aprobadas solamente Tiene (o desea) una directiva que requiera el uso de máquinas aprobadas solamente Desea forzar a los ordenadores del centro de datos a comunicarse solamente con otros aprobados (no con servidores extraños) Desea forzar a los ordenadores del centro de datos a comunicarse solamente con otros aprobados (no con servidores extraños) Limitar las comunicaciones servidor-a- servidor en su DMZ para frustrar ataques MITM y spoofing de direcciones Limitar las comunicaciones servidor-a- servidor en su DMZ para frustrar ataques MITM y spoofing de direcciones

90 Hágalo con IPsec AH Autenticación de paquete Autenticación de paquete La suma de comprobaciones significa la fuente es la fuente La suma de comprobaciones significa la fuente es la fuente El contenido sea el contenido El contenido sea el contenido Fácil de localizar las averías con Netmon Fácil de localizar las averías con Netmon Los cortafuegos pueden filtrar el interior de AH en protocolos y puertos en caso de necesidad Los cortafuegos pueden filtrar el interior de AH en protocolos y puertos en caso de necesidad El sistema de Detección de Intrusos (NIDS) puede examinar el contenido de los paquetes en caso de necesidad El sistema de Detección de Intrusos (NIDS) puede examinar el contenido de los paquetes en caso de necesidad

91 Escenarios TCI nivel empresarial TCI nivel empresarial Prevenir que lo que no son miembros del dominio hagan cualquier cosa Prevenir que lo que no son miembros del dominio hagan cualquier cosa IPsec AH Certificado o Kerberos IPsec AH Certificado o Kerberos Aplicar directivas de grupos con dominio por defecto Aplicar directivas de grupos con dominio por defecto TCI servidor-a-servidor TCI servidor-a-servidor Prevenir servidores no autorizados o enmascarados en el centro de datos Prevenir servidores no autorizados o enmascarados en el centro de datos Sólo certificados enrollment manual Sólo certificados enrollment manual

92 Mover los enrutadores VPN con RRAS a Windows Server 2003 Mover los enrutadores VPN con RRAS a Windows Server 2003 Mover los clientes VPN a Windows XP o Windows 2000 Mover los clientes VPN a Windows XP o Windows 2000 Si fuese absolutamente necesario, descargue y use cliente Windows 98 r Windows NT Si fuese absolutamente necesario, descargue y use cliente Windows 98 r Windows NT Mover los RAS VPN a L2TP/IPSec Mover los RAS VPN a L2TP/IPSec Descargar las actualizaciones de los clientes Windows XP y Windows 2000 Descargar las actualizaciones de los clientes Windows XP y Windows 2000 Próximos Pasos

93 Rendimiento de IPSec El procesamiento de IPSec tiene algunas consecuencias en el rendimiento El procesamiento de IPSec tiene algunas consecuencias en el rendimiento Tiempo de negociación de IKE, inicialmente entre 2 y 5 segundos Tiempo de negociación de IKE, inicialmente entre 2 y 5 segundos 5 recorridos de ida y vuelta 5 recorridos de ida y vuelta Autenticación: Kerberos o certificados Autenticación: Kerberos o certificados Generación de claves criptográficas y mensajes cifrados Generación de claves criptográficas y mensajes cifrados Se realiza una vez cada ocho horas de forma predeterminada y se puede configurar Se realiza una vez cada ocho horas de forma predeterminada y se puede configurar El cambio de claves de la sesión es rápido:< entre uno y dos segundos, dos recorridos de ida y vuelta, una vez cada hora y se puede configurar El cambio de claves de la sesión es rápido:< entre uno y dos segundos, dos recorridos de ida y vuelta, una vez cada hora y se puede configurar Cifrado de paquetes Cifrado de paquetes ¿Cómo se puede mejorar? ¿Cómo se puede mejorar? Al descargar el proceso criptográfico en NIC, IPSec casi alcanza la velocidad de los dispositivos con cable Al descargar el proceso criptográfico en NIC, IPSec casi alcanza la velocidad de los dispositivos con cable Mediante CPU más rápidas Mediante CPU más rápidas

94 Recomendaciones Planee minuciosamente la implementación de IPSec Planee minuciosamente la implementación de IPSec Elija entre AH y ESP Elija entre AH y ESP Utilice directivas de grupo para implementar directivas IPSec Utilice directivas de grupo para implementar directivas IPSec Considere el uso de NIC de IPSec Considere el uso de NIC de IPSec No utilice nunca la autenticación con claves compartidas fuera de un entorno de prueba No utilice nunca la autenticación con claves compartidas fuera de un entorno de prueba Elija entre la autenticación basada en Kerberos o en certificados Elija entre la autenticación basada en Kerberos o en certificados Tenga cuidado al requerir el uso de IPSec para las comunicaciones con controladores de dominio y otros servidores de infraestructuras Tenga cuidado al requerir el uso de IPSec para las comunicaciones con controladores de dominio y otros servidores de infraestructuras

95 Demostración 4 IPSec Configuración y pruebas de una directiva IPSec sencilla Configuración y pruebas de un filtro de paquetes IPSec

96 Resumen de la sesión Introducción a la defensa en profundidad Introducción a la defensa en profundidad Uso de defensas en el perímetro Uso de defensas en el perímetro Uso de ISA Server para proteger los perímetros Uso de ISA Server para proteger los perímetros Uso del Cortafuegos de Windows para proteger a los clientes Uso del Cortafuegos de Windows para proteger a los clientes Protección de redes inalámbricas Protección de redes inalámbricas Protección de redes mediante IPSec Protección de redes mediante IPSec

97 Pasos siguientes 1. Mantenerse informado sobre seguridad Suscribirse a boletines de seguridad: Suscribirse a boletines de seguridad:http://www.microsoft.com/spain/technet/seguridad/boletines Obtener las directrices de seguridad de Microsoft más recientes: Obtener las directrices de seguridad de Microsoft más recientes:http://www.microsoft.com/latam/technet/seguridad/practicas.asp 2. Obtener aprendizaje adicional de seguridad Buscar seminarios de aprendizaje en línea y presenciales: Buscar seminarios de aprendizaje en línea y presenciales: Buscar un CTEC local que ofrezca cursos prácticos: Buscar un CTEC local que ofrezca cursos prácticos:http://www.microsoft.com/spain/technet/formacion/ctec/

98 Para obtener más información Sitio de seguridad de Microsoft (todos los usuarios) Sitio de seguridad de Microsoft (todos los usuarios) Sitio de seguridad de TechNet (profesionales de IT) Sitio de seguridad de TechNet (profesionales de IT) seguridad seguridad Sitio de seguridad de MSDN (desarrolladores) Sitio de seguridad de MSDN (desarrolladores) (este sitio está en inglés) (este sitio está en inglés)

99 Preguntas y respuestas

100


Descargar ppt "Implementando la Seguridad Perimetral y de Red Rafael Vázquez Consultor Senior Secdor R&D."

Presentaciones similares


Anuncios Google