La descarga está en progreso. Por favor, espere

La descarga está en progreso. Por favor, espere

Estrategias de seguridad aplicada NombrePuestoCompañía.

Presentaciones similares


Presentación del tema: "Estrategias de seguridad aplicada NombrePuestoCompañía."— Transcripción de la presentación:

1

2 Estrategias de seguridad aplicada NombrePuestoCompañía

3 Requisitos previos para la sesión Comprender los desafíos de seguridad a los que se enfrenta la compañía Comprender los desafíos de seguridad a los que se enfrenta la compañía Saber cómo proteger los equipos mediante la Directiva de grupo Saber cómo proteger los equipos mediante la Directiva de grupo Conocer los conceptos básicos del acceso remoto Conocer los conceptos básicos del acceso remoto Saber cómo aplicar revisiones de seguridad Saber cómo aplicar revisiones de seguridad Nivel 300

4 Orden del día Introducción Introducción Estrategias reales de administración de revisiones Estrategias reales de administración de revisiones Estrategias reales de acceso remoto Estrategias reales de acceso remoto Solución de problemas de configuraciones de seguridad Solución de problemas de configuraciones de seguridad

5 Defensa en profundidad El uso de una solución en niveles: El uso de una solución en niveles: Aumenta la posibilidad de que se detecten los intrusos Aumenta la posibilidad de que se detecten los intrusos Disminuye la posibilidad de que los intrusos logren su propósito Disminuye la posibilidad de que los intrusos logren su propósito Directivas, procedimientos y concienciación Refuerzo del sistema operativo, administración de actualizaciones, autenticación, HIDS Servidores de seguridad, sistemas de cuarentena en VPN Guardias de seguridad, bloqueos, dispositivos de seguimiento Segmentos de red, IPSec, NIDS Refuerzo de las aplicaciones, antivirus ACL, cifrado Programas de aprendizaje para los usuarios Seguridad física Perímetro Red interna Host Aplicación Datos

6 Desafíos comunes de seguridad Administración de revisiones: en profundidad Administración de revisiones: en profundidad Seguridad de acceso remoto Seguridad de acceso remoto Solución de problemas de directivas de seguridad Solución de problemas de directivas de seguridad

7 Orden del día Introducción Introducción Estrategias reales de administración de revisiones Estrategias reales de administración de revisiones Estrategias reales de acceso remoto Estrategias reales de acceso remoto Solución de problemas de configuraciones de seguridad Solución de problemas de configuraciones de seguridad

8 Importancia de la administración de revisiones proactiva Nombre del ataque Fecha en que se hizo público Gravedad según MSRC Boletín de MSRC Fecha del boletín de MSRC Días disponibles antes del ataque Trojan.Kaht 5-may-03CríticoMS mar-0349 SQL Slammer 24-ene-03CríticoMS jul Klez-E 17-ene-02N/DMS mar Nimda 18-sep-01N/DMS oct Code Red 16-jul-01N/DMS jun-0128

9 Proceso de administración de revisiones 1. Evaluar el entorno en el que aplicarán las revisiones Tareas periódicas A. Crear y mantener la línea de base de los sistemas B. Evaluar la arquitectura de administración de revisiones C. Revisar la configuración y la infraestructura Tareas continuadas A.Determinar los activos B.Crear un inventario de clientes 1. Activos 2. Identificar 4. Implementar 3. Evaluar y planear 2. Identificar las revisiones nuevas Tareas A. Identificar las revisiones nuevas B. Determinar la importancia de la revisión C. Comprobar la autenticidad y la integridad de la revisión 3. Evaluar y planear la implementación de revisiones Tareas A. Obtener el consentimiento para implementar la revisión B. Realizar la evaluación de riesgos C. Planear el proceso de publicación de la revisión D. Completar las pruebas de aceptación de la revisión 4. Implementar la revisión Tareas A. Distribuir e instalar la revisión B. Informar del progreso C. Tratar las excepciones D. Revisar la implementación

10 Supervisión del estado de las revisiones Suscribirse a servicios de notificación Suscribirse a servicios de notificación Servicio de notificación de Microsoft Security Servicio de notificación de Microsoft Security Listas de distribución de correo de terceros Listas de distribución de correo de terceros Visitar sitios Web Visitar sitios Web Páginas específicas de productos Páginas específicas de productos Sitios de otros fabricantes Sitios de otros fabricantes Implementar una programación de revisiones e implementaciones Implementar una programación de revisiones e implementaciones Programación de publicación de revisiones de Microsoft: segundo martes de cada mes Programación de publicación de revisiones de Microsoft: segundo martes de cada mes Excepción: los clientes corren un riesgo inmediato Excepción: los clientes corren un riesgo inmediato Configurar herramientas automatizadas que comprueben diariamente si existen nuevas actualizaciones Configurar herramientas automatizadas que comprueben diariamente si existen nuevas actualizaciones

11 Cuándo aplicar revisiones Aplíquelas lo antes posible Aplíquelas lo antes posible Aplíquelas sólo después de probarlas Aplíquelas sólo después de probarlas Implemente medidas atenuantes Implemente medidas atenuantes Aplíquelas de acuerdo con la clasificación de gravedad Aplíquelas de acuerdo con la clasificación de gravedad Clasifica- ción de la gravedad Definición Calendarios recomendados para la aplicación de revisiones Crítico Su aprovechamiento podría permitir la propagación de un gusano de Internet como Code Red o Nimda sin intervención del usuario En 24 horas Importante Su aprovechamiento podría comprometer la confidencialidad, integridad o disponibilidad de los datos de los usuarios o la integridad o disponibilidad de los recursos de procesamiento En un mes Moderada Su aprovechamiento es grave pero se ve mitigado en un grado significativo por factores como la configuración predeterminada, la auditoría, la necesidad de intervención del usuario o su dificultad de aplicación Espere al siguiente Service Pack o continuidad de revisiones que incluya la revisión o impleméntela antes de cuatro meses Baja Su aprovechamiento es extremadamente difícil o sus efectos son mínimos Espere al siguiente Service Pack o continuidad de revisiones que incluya la revisión o impleméntela antes de un 1 año

12 Herramientas de Microsoft para la administración de revisiones Herramientas de análisis Microsoft Baseline Security Analyzer (MBSA) Herramienta Inventario de Office Servicios de actualización en línea Windows Update Office Update Repositorios de contenido Catálogo de Windows Update Catálogo de descargas de Office Centro de descarga de Microsoft Herramientas de administración Característica Actualizaciones automáticas (AU) de Windows Servicios de actualización de software (SUS) Systems Management Server (SMS) Directrices preceptivas Administración de revisiones mediante SUS Guía de Microsoft para la administración de revisiones de seguridad Administración de revisiones mediante SMS

13 Ventajas de Microsoft Baseline Security Analyzer (MBSA) Automatiza la identificación de las revisiones de seguridad que faltan y de los problemas de la configuración de seguridad Automatiza la identificación de las revisiones de seguridad que faltan y de los problemas de la configuración de seguridad Permite a los administradores examinar, a la vez, muchos sistemas de forma centralizada Permite a los administradores examinar, a la vez, muchos sistemas de forma centralizada Trabaja con una amplia variedad de software de Microsoft (no sólo con Windows y Office) Trabaja con una amplia variedad de software de Microsoft (no sólo con Windows y Office)

14 Funcionamiento de MBSA El archivo MSSecure.xml contiene Nombres de los boletines de seguridad Actualizaciones específicas de productos Información de versiones y suma de comprobación Claves del Registro que han cambiado Números de artículos de Knowledge Base (Base de conocimiento) Centro de descarga de Microsoft MSSecure.xml 2. Descarga el archivo CAB con MSSecure.xml y comprueba la firma digital 1. MBSA se ejecuta en el sistema Admin, con destinos específicos 3. Examina los sistemas de destino para detectar los sistemas operativos, sus componentes y las aplicaciones 4. Analiza MSSecure para comprobar si hay actualizaciones disponibles 5. Comprueba si falta alguna actualización necesaria 6. Genera un informe con marcas de tiempo de las actualizaciones que faltan Equipo MBSA

15 Automatización de la detección con MBSA Detección de MBSA (interfaz gráfica de usuario) Detección de MBSA (interfaz gráfica de usuario) Funciona bien en redes pequeñas y medianas Funciona bien en redes pequeñas y medianas Detección de MBSA (mbsacli.exe) Detección de MBSA (mbsacli.exe) Realiza detecciones automatizadas mediante parámetros de la línea de comandos Realiza detecciones automatizadas mediante parámetros de la línea de comandos Por ejemplo: mbsacli /d miDominio /f informe.txt Por ejemplo: mbsacli /d miDominio /f informe.txt Detección de MBSA en modo HFNetChk (mbsacli.exe /hf) Detección de MBSA en modo HFNetChk (mbsacli.exe /hf) Realiza detecciones automatizadas mediante parámetros de la línea de comandos Realiza detecciones automatizadas mediante parámetros de la línea de comandos Sólo comprueba las revisiones que faltan Sólo comprueba las revisiones que faltan Por ejemplo: mbssacli -hf -o tab –f informe.txt Por ejemplo: mbssacli -hf -o tab –f informe.txt MBSA y Windows Update pueden mostrar resultados diferentes MBSA y Windows Update pueden mostrar resultados diferentes

16 Ejemplos de línea de comandos de MBSA Para analizar todos los equipos de una oficina remota: Para analizar todos los equipos de una oficina remota: Mbsacli /r /sus /n SQL /f \\server\share\SUSScan.txt Mbsacli /r /sus /n SQL /f \\server\share\SUSScan.txt Para analizar un grupo de servidores para comprobar si se ha aplicado algún hotfix: Para analizar un grupo de servidores para comprobar si se ha aplicado algún hotfix: Mbsacli -hf –fh d:\ListaDeServidores.txt –o tab –v –f D:\HFScan.txt Mbsacli -hf –fh d:\ListaDeServidores.txt –o tab –v –f D:\HFScan.txt

17 Demostración 1 Uso de MBSA Uso de MBSA con modificadores de la línea de comandos Revisión de los archivos de registro de MBSA Uso de los resultados de MBSA para crear entradas para archivos de comandos

18 Automatización de la distribución y supervisión de revisiones con SUS Realiza instalaciones de extracción de Service Packs, paquetes de continuidad de seguridad y actualizaciones críticas Realiza instalaciones de extracción de Service Packs, paquetes de continuidad de seguridad y actualizaciones críticas Otorga control sobre las actualizaciones de software a los administradores Otorga control sobre las actualizaciones de software a los administradores Impide las instalaciones no autorizadas cuando se utiliza con Actualizaciones automáticas Impide las instalaciones no autorizadas cuando se utiliza con Actualizaciones automáticas Permite realizar pruebas y ensayos Permite realizar pruebas y ensayos Sólo funciona con Windows 2000 y versiones posteriores Sólo funciona con Windows 2000 y versiones posteriores

19 Escenarios de implementación de Servicios de actualización de software (SUS) 1. Utilice SUS para administrar la distribución de revisiones descargadas de Windows Update 2. Utilice SUS para administrar y distribuir revisiones 3. Utilice SUS para administrar y distribuir revisiones en un entorno empresarial

20 Servicios de actualización de software Escenario 1 de implementación de SUS Servidor SUS 1. El servidor SUS descarga las actualizaciones y los metadatos 3. Actualizaciones automáticas obtiene la lista de actualizaciones aprobadas del servidor SUS 4. Actualizaciones automáticas descarga las actualizaciones aprobadas de Windows Update Servicio Windows Update 2. El administrador revisa, evalúa y aprueba las actualizaciones Servidor de seguridad Servicio Windows Update

21 Servicios de actualización de software Escenario 1 de implementación de SUS Utilice este escenario de implementación Utilice este escenario de implementación En una oficina pequeña con un servidor SUS y suficiente ancho de banda de Internet En una oficina pequeña con un servidor SUS y suficiente ancho de banda de Internet En un entorno con varias oficinas y un servidor SUS, en el que cada oficina dispone de una conexión directa a Internet En un entorno con varias oficinas y un servidor SUS, en el que cada oficina dispone de una conexión directa a Internet No utilice este escenario de implementación No utilice este escenario de implementación Si necesita conservar ancho de banda de Internet Si necesita conservar ancho de banda de Internet En un entorno con varias ubicaciones y una sola conexión a Internet En un entorno con varias ubicaciones y una sola conexión a Internet

22 Servicios de actualización de software Escenario 2 de implementación de SUS Servidor SUS 1. El servidor SUS descarga las actualizaciones y los metadatos 3. Actualizaciones automáticas obtiene la lista de actualizaciones aprobadas del servidor SUS 4. Actualizaciones automáticas descarga las actualizaciones aprobadas del servidor SUS Servicio Windows Update 2. El administrador revisa, evalúa y aprueba las actualizaciones Servidor de seguridad

23 Servicios de actualización de software Escenario 2 de implementación de SUS Utilice esta opción de implementación: Utilice esta opción de implementación: Para administrar revisiones en una única oficina con uno o varios servidores SUS Para administrar revisiones en una única oficina con uno o varios servidores SUS En un entorno con varias ubicaciones y un único servidor SUS, y ancho de banda suficiente entre las distintas oficinas En un entorno con varias ubicaciones y un único servidor SUS, y ancho de banda suficiente entre las distintas oficinas No utilice esta opción de implementación: No utilice esta opción de implementación: En un entorno con varias ubicaciones y ancho de banda limitado entre las distintas oficinas En un entorno con varias ubicaciones y ancho de banda limitado entre las distintas oficinas

24 Servicios de actualización de software Escenario 3 de implementación de SUS Servidor SUS primario 1. El servidor SUS descarga las actualizaciones 3. Se sincronizan las aprobaciones y actualizaciones con los servidores SUS secundarios 4. Actualizaciones automáticas obtiene la lista de actualizaciones aprobadas del servidor SUS 6. Actualizaciones automáticas descarga las actualizaciones aprobadas de Windows Update 5. Actualizaciones automáticas descarga las actualizaciones aprobadas del servidor SUS Servicio Windows Update Servidor SUS secundario Servicio Windows Update 2. El administrador revisa, evalúa y aprueba las actualizaciones Servidor de seguridad

25 Servicios de actualización de software Escenario 3 de implementación de SUS Utilice este escenario de implementación: Utilice este escenario de implementación: En un entorno con varias ubicaciones y ancho de banda limitado entre las ubicaciones En un entorno con varias ubicaciones y ancho de banda limitado entre las ubicaciones En un entorno con muchos clientes y una sola oficina En un entorno con muchos clientes y una sola oficina Utilice equilibrio de carga de red Utilice equilibrio de carga de red En un entorno con varias oficinas y una mezcla de conexiones WAN e Internet En un entorno con varias oficinas y una mezcla de conexiones WAN e Internet No utilice este escenario de implementación No utilice este escenario de implementación En un entorno con pocos clientes y una sola oficina En un entorno con pocos clientes y una sola oficina

26 Administración de un entorno SUS complejo Administre la descarga y aprobación de actualizaciones de forma centralizada Administre la descarga y aprobación de actualizaciones de forma centralizada Dominio GPO Servidor integrante Servidores integrantes Prueba SUS GPO Prueba SUS GPO OR1 GPO OC GPO OR2 Estaciones de trabajo de OC Estaciones de trabajo de OR1 Estaciones de trabajo de OR2 Use la estructura de unidades organizativas y los GPO para administrar la distribución de actualizaciones de SUS Use la estructura de unidades organizativas y los GPO para administrar la distribución de actualizaciones de SUS Use el archivo de plantilla WUAU.ADM para configurar las opciones de cliente de Actualizaciones automáticas Use el archivo de plantilla WUAU.ADM para configurar las opciones de cliente de Actualizaciones automáticas Asigne los GPO a las unidades organizativas Asigne los GPO a las unidades organizativas

27 Servicios de actualización de software Recomendaciones de implementación (1) Analice cada revisión de seguridad Analice cada revisión de seguridad Descargue e instale la revisión Descargue e instale la revisión Pruebe cada revisión de seguridad antes de implementarla Pruebe cada revisión de seguridad antes de implementarla Prepare un laboratorio de pruebas Prepare un laboratorio de pruebas Utilice un servidor SUS de prueba Utilice un servidor SUS de prueba Considere la posibilidad de utilizar equipos virtuales en el laboratorio de prueba Considere la posibilidad de utilizar equipos virtuales en el laboratorio de prueba Utilice un procedimiento de pruebas de aceptación estándar Utilice un procedimiento de pruebas de aceptación estándar

28 Servicios de actualización de software Recomendaciones de implementación (2) Realice una implementación piloto Realice una implementación piloto Configure un servidor SUS secundario para aprobar actualizaciones Configure un servidor SUS secundario para aprobar actualizaciones Configure un GPO de forma que sólo las estaciones de trabajo especificadas descarguen la revisión del servidor SUS piloto Configure un GPO de forma que sólo las estaciones de trabajo especificadas descarguen la revisión del servidor SUS piloto Si la implementación piloto fracasa, anule la aprobación del servidor SUS y desinstale manualmente la revisión Si la implementación piloto fracasa, anule la aprobación del servidor SUS y desinstale manualmente la revisión Realice la implementación Realice la implementación

29 Uso de software de administración para distribuir y aplicar revisiones Systems Management Server (SMS) 2003 Systems Management Server (SMS) 2003 Permite que los administradores controlen la administración de las revisiones Permite que los administradores controlen la administración de las revisiones Automatiza el proceso de administración de revisiones Automatiza el proceso de administración de revisiones Actualiza un amplia variedad de productos de Microsoft Actualiza un amplia variedad de productos de Microsoft Actualiza software de terceros Actualiza software de terceros Proporciona flexibilidad mediante el uso de archivos de comandos Proporciona flexibilidad mediante el uso de archivos de comandos Soluciones de terceros Soluciones de terceros Se integra con soluciones de terceros mediante archivos de comandos Se integra con soluciones de terceros mediante archivos de comandos

30 Funcionamiento de SMS 2. Los componentes de detección se replican en los clientes SMS 1. Configuración: descargar las herramientas Inventario de actualizaciones de seguridad e Inventario de Office; ejecutar el programa de instalación de herramientas de inventario 3. Se examinan los clientes; los resultados de la detección se combinan en los datos del inventario de hardware de SMS 4. El administrador utiliza el Asistente para distribuir actualizaciones de software a fin de autorizar las actualizaciones 6. El Agente de instalación de actualizaciones de software implementa las actualizaciones en los clientes 7. Periódicamente: Se sincronizan las comprobaciones de los componentes para las nuevas actualizaciones, se examinan los clientes y se implementan las actualizaciones necesarias 5. Se descargan los archivos actualizados; se crean o actualizan los paquetes, programas y anuncios; se replican los paquetes y se anuncian los programas en los clientes SMS Centro de descarga de Microsoft Servidor de seguridad Servidor del sitio SMS Punto de distribución de SMS Clientes SMS

31 Demostración 2 Utilizar SMS Implementación de revisiones mediante el Asistente para distribuir actualizaciones de software Demostración 2 Utilizar SMS Implementación de revisiones mediante el Asistente para distribuir actualizaciones de software

32 Soluciones de terceros Nombre de la compa ñí a Nombre del productoURL de la compañía Altiris, Inc. Administraci ó n de revisiones de Altiris BigFix, Inc.BigFix Patch Managerhttp://www.bigfix.com Configuresoft, Inc.Security Update Managerhttp://www.configuresoft.com Ecora, Inc.Ecora Patch Managerhttp://www.ecora.com GFI Software, Ltd. GFI LANguard Network Security Scanner Gravity Storm Software, LLC Service Pack Manager 2000http://www.securitybastion.com LANDesk Software, Ltd.LANDesk Patch Managerhttp://www.landesk.com Novadigm, Inc.Radia Patch Managerhttp://www.novadigm.com PatchLink Corp.PatchLink Updatehttp://www.patchlink.com Shavlik TechnologiesHFNetChk Prohttp://www.shavlik.com St. Bernard SoftwareUpdateExperthttp://www.stbernard.com

33 Aplicación de revisiones de Microsoft Office Herramienta Inventario de Office Herramienta Inventario de Office Office Update Office Update Las revisiones de Office requieren los archivos originales Las revisiones de Office requieren los archivos originales Office 2003 almacena en caché los archivos de instalación Office 2003 almacena en caché los archivos de instalación Aplicación de revisiones en los puntos de instalación Aplicación de revisiones en los puntos de instalación

34 Demostración 3 Herramienta Inventario de Office Analizar Office Convertir archivos de Office Update

35 Recomendaciones para la administración correcta de revisiones Utilice un proceso de control de cambios Utilice un proceso de control de cambios Lea toda la documentación relacionada Lea toda la documentación relacionada Aplique las actualizaciones sólo cuando sea necesario Aplique las actualizaciones sólo cuando sea necesario Pruebe exhaustivamente las actualizaciones Pruebe exhaustivamente las actualizaciones Garantice la coherencia entre los controladores de dominio Garantice la coherencia entre los controladores de dominio Haga una copia de seguridad del sistema y programe los períodos de inactividad en producción Haga una copia de seguridad del sistema y programe los períodos de inactividad en producción Disponga siempre de un plan para deshacer los cambios Disponga siempre de un plan para deshacer los cambios Mantenga informado al servicio de asistencia y a los grupos de usuarios clave Mantenga informado al servicio de asistencia y a los grupos de usuarios clave Trabaje primero con los servidores que no sean críticos Trabaje primero con los servidores que no sean críticos

36 Orden del día Introducción Introducción Estrategias reales de administración de revisiones Estrategias reales de administración de revisiones Estrategias reales de acceso remoto Estrategias reales de acceso remoto Solución de problemas de configuraciones de seguridad Solución de problemas de configuraciones de seguridad

37 Redes privadas virtuales (VPN) y servidores de seguridad Combinación de un servidor de seguridad con un servidor VPN Combinación de un servidor de seguridad con un servidor VPN Servidor RAS detrás del servidor de seguridad Clientes VPN Servidor RAS Servidor RAS y servidor de seguridad en el mismo equipo Clientes VPNServidor RAS

38 Servidor VPN detrás de un servidor de seguridad Desafío: permitir que el servidor de seguridad deje pasar el tráfico al servidor VPN Desafío: permitir que el servidor de seguridad deje pasar el tráfico al servidor VPN Desafío: inspección del estado de las conexiones Desafío: inspección del estado de las conexiones TráficoPuertos y protocolos Establecimiento de sesión PPTP Puerto TCP 1723 Sesión PPTP Protocolo IP 47 (GRE) IPSec IKE Puerto UDP 500 IPSec ESP Protocolo IP 50 (IPSec ESP)

39 Uso de ISA Server como servidor VPN y servidor de seguridad Característica de ISA Server Descripción Solución integrada Proporciona un servidor de seguridad y un servidor proxy en el nivel de aplicación Utiliza RRAS para proporcionar servicios VPN Proporciona opciones seguras de autenticación Permite elegir entre los protocolos PPTP y L2TP/IPSec Filtrado de paquetes Protege el servidor VPN Asistentes Simplifican la configuración con el fin de evitar errores

40 Desafíos del uso de IPSec y NAT El encabezado del paquete se modifica y se invalidan los paquetes El encabezado del paquete se modifica y se invalidan los paquetes IKE utiliza fragmentos de IP IKE utiliza fragmentos de IP Dispositivos NAT que asumen el modo de túnel Dispositivos NAT que asumen el modo de túnel Encab. NAT1 Encab. NAT2 NATNAT Encab. IP orig.Encab. TCPDatos Encab. IP orig.Encab. TCPDatosEncab. AH Insertar Encab. NAT1 Encab. NAT2 Contiene un hash cifrado del encabezado del paquete original

41 Modelo de soluciones El borrador de IETF sobre Recorridos NAT (NAT-T) recomienda que los dispositivos situados en ambos extremos: El borrador de IETF sobre Recorridos NAT (NAT-T) recomienda que los dispositivos situados en ambos extremos: Detecten la presencia de NAT Detecten la presencia de NAT Utilicen un puerto que no sea IPSec, de forma que los dispositivos NAT no interfieran con el tráfico de red Utilicen un puerto que no sea IPSec, de forma que los dispositivos NAT no interfieran con el tráfico de red Encapsulen IPSec en UDP Encapsulen IPSec en UDP Asimismo, la solución de Microsoft impide la fragmentación de los paquetes IP Asimismo, la solución de Microsoft impide la fragmentación de los paquetes IP

42 Funcionamiento de NAT-T NATNAT Encab. IP orig.Encab. TCPDatos Encab. IP orig.Encab. TCPDatosEncab. ESP Insertar Encab. IP orig.Resto…Encab. ESPUDP orig. 4500, dest Insertar Enviado por A Recib. por B Encab. IP orig.Resto…Encab. ESPUDP orig. XXX, dest Encab. NAT1 Encab. NAT2

43 Problemas de interoperabilidad Tanto el cliente VPN como el servidor VPN deben admitir NAT-T Tanto el cliente VPN como el servidor VPN deben admitir NAT-T Problemas con dispositivos de terceros Problemas con dispositivos de terceros Mejor interoperabilidad con el paso del tiempo Mejor interoperabilidad con el paso del tiempo No es necesario realizar ningún cambio en los dispositivos NAT No es necesario realizar ningún cambio en los dispositivos NAT Compatibilidad con servidores de seguridad Compatibilidad con servidores de seguridad Permite el tráfico UDP 4500 Permite el tráfico UDP 4500 Permite el tráfico UDP 500 Permite el tráfico UDP 500

44 Estado de NAT-T para Windows Implementado según el estándar propuesto por IETF Implementado según el estándar propuesto por IETF Interoperabilidad probada con puertas de enlace para IPSec y L2TP de terceros Interoperabilidad probada con puertas de enlace para IPSec y L2TP de terceros Diseñado para IPSec y L2TP en Windows XP y versiones anteriores Diseñado para IPSec y L2TP en Windows XP y versiones anteriores Diseñado para todos los usos de IPSec en Windows Server 2003 Diseñado para todos los usos de IPSec en Windows Server 2003 Versión de SO Compatibilidad con IPSec y L2TP Compatibilidad con el modo de transporte general de IPSec Windows Server 2003SíSí 4 Windows XPSí 1 No recomendado 5 Windows 2000Sí 2 No Windows NT 4Sí 3 No Windows 98 y Windows Millennium Edition Sí 3 No Nota 1: Windows Update o hotfix Nota 2: Con hotfix Nota 3: Con descarga de Web Nota 4: FTP activo no funciona Nota 5: Algunas reducciones de PTMU no funcionan

45 Exigir seguridad en los clientes de acceso remoto Problema: Problema: Es posible que los clientes remotos no satisfagan los requisitos de seguridad corporativos Es posible que los clientes remotos no satisfagan los requisitos de seguridad corporativos Los equipos no protegidos de la red corporativa ponen en peligro toda la red Los equipos no protegidos de la red corporativa ponen en peligro toda la red Soluciones: Soluciones: Impedir el acceso remoto Impedir el acceso remoto Confiar en que los usuarios protegen los clientes remotos Confiar en que los usuarios protegen los clientes remotos Crear una red distinta para los clientes VPN Crear una red distinta para los clientes VPN Exigir la configuración de seguridad al conectar Exigir la configuración de seguridad al conectar Desconectar los clientes que no son seguros: Control de cuarentena de acceso a la red Desconectar los clientes que no son seguros: Control de cuarentena de acceso a la red

46 Qué es el control de cuarentena de acceso a la red El cliente RAS obtiene acceso total a la red El cliente RAS satisface las directivas de cuarentena Cliente RAS en cuarentena El cliente de acceso remoto se autentica 1.Se agota el tiempo de espera de la cuarentena 2.El cliente RAS no pasa la comprobación de directivas Cliente RAS desconectado

47 Requisitos de la cuarentena Intranet local Internet Cliente RAS con CM Servidor RRAS Windows Server 2003 Servidor IAS Windows Server 2003 Controlador de dominio Active Directory Recursos de cuarentena Directiva de acceso remoto Se requieren también las herramientas RQC.exe y RQS.exe del Kit de recursos de Windows Server 2003

48 El proceso de cuarentena Internet Cuarentena Cliente RASServidor RRASServidor IAS Conectar Autenticar Resultado de la comprobación de directivas Acceso de cuarentena Acceso completo Autorizar la cuarentena y otros filtros Quitar la cuarentena

49 Limitaciones del control de cuarentena de acceso a la red Depende de que la configuración pueda comprobarse mediante archivos de comandos Depende de que la configuración pueda comprobarse mediante archivos de comandos Depende de los archivos de comandos del cliente Depende de los archivos de comandos del cliente Un usuario malintencionado podría eludir la cuarentena Un usuario malintencionado podría eludir la cuarentena Los usuarios deben disponer de un método para cumplir con los requisitos Los usuarios deben disponer de un método para cumplir con los requisitos Métodos para aplicar las actualizaciones Métodos para aplicar las actualizaciones Punto de instalación externa para el software antivirus Punto de instalación externa para el software antivirus Limitado a las conexiones de acceso telefónico y VPN Limitado a las conexiones de acceso telefónico y VPN

50 Consejos y trucos sobre el control de cuarentena de acceso a la red Empiece con el Kit de recursos de Windows Server 2003 Empiece con el Kit de recursos de Windows Server 2003 Utilice Connection Manager Utilice Connection Manager Cree perfiles alternativos para entornos distintos Cree perfiles alternativos para entornos distintos Diseñe un plan para los recursos de cuarentena Diseñe un plan para los recursos de cuarentena Reduzca el retraso de las aplicaciones Reduzca el retraso de las aplicaciones

51 Demostración 4 Configuración de la cuarentena de acceso a la red Instalación, configuración y comprobación de la cuarentena de acceso a la red

52 Orden del día Introducción Introducción Estrategias reales de administración de revisiones Estrategias reales de administración de revisiones Estrategias reales de acceso remoto Estrategias reales de acceso remoto Solución de problemas de configuraciones de seguridad Solución de problemas de configuraciones de seguridad

53 Resolución de conflictos entre plantillas de seguridad Uso de las herramientas Resultant Set of Policies (RSoP) Uso de las herramientas Resultant Set of Policies (RSoP) Herramientas de administración de Active Directory Herramientas de administración de Active Directory Resultados de directiva de grupo desde GPMC Resultados de directiva de grupo desde GPMC GPResult GPResult

54 Solución de errores de aplicación La aplicación de revisiones o plantillas de seguridad puede impedir el funcionamiento de las aplicaciones La aplicación de revisiones o plantillas de seguridad puede impedir el funcionamiento de las aplicaciones Herramientas para solucionar errores de las aplicaciones Herramientas para solucionar errores de las aplicaciones Network Monitor Network Monitor File Monitor File Monitor Registry Monitor Registry Monitor Dependency Walker Dependency Walker Cipher Cipher

55 Solución de problemas de servicios y procesos Quizás tenga que solucionar problemas con los servicios : Quizás tenga que solucionar problemas con los servicios : 1. Cuando los servicios y los procesos no puedan iniciarse 2. Para confirmar que todos los servicios y procesos son legítimos Herramientas para solucionar problemas con los procesos: Herramientas para solucionar problemas con los procesos: Tlist.exe o Process Explorer Tlist.exe o Process Explorer Dependency Walker Dependency Walker Examinar las propiedades de los archivos DLL Examinar las propiedades de los archivos DLL

56 Solución de problemas de conexiones de red Compruebe que sólo los puertos necesarios están abiertos en los equipos Compruebe que sólo los puertos necesarios están abiertos en los equipos Herramientas para determinar el uso de los puertos: Herramientas para determinar el uso de los puertos: Netstat –o (en Windows XP o Windows Server 2003) Netstat –o (en Windows XP o Windows Server 2003) Administrador de tareas Administrador de tareas Comprobar el uso de los puertos de las aplicaciones y servicios Comprobar el uso de los puertos de las aplicaciones y servicios

57 Recomendaciones para la solución de problemas Utilice una estrategia formal de administración de cambios y configuración para todos los cambios de seguridad Utilice una estrategia formal de administración de cambios y configuración para todos los cambios de seguridad Pruebe todos los cambios de configuración de seguridad Pruebe todos los cambios de configuración de seguridad Utilice herramientas RSOP en modo de diseño Utilice herramientas RSOP en modo de diseño Documente la configuración normal Documente la configuración normal Tenga preparada una estrategia para deshacer los cambios Tenga preparada una estrategia para deshacer los cambios Solucione los problemas de forma segura Solucione los problemas de forma segura

58 Resumen de la sesión Estrategias reales de administración de revisiones Estrategias reales de administración de revisiones Estrategias reales de acceso remoto Estrategias reales de acceso remoto Solución de problemas de configuraciones de seguridad Solución de problemas de configuraciones de seguridad

59 Pasos siguientes 1. Mantenerse informado sobre la seguridad Suscribirse a boletines de seguridad: Suscribirse a boletines de seguridad:http://www.microsoft.com/latam/technet/seguridad/boletines.asp Obtener las directrices de seguridad de Microsoft más recientes: Obtener las directrices de seguridad de Microsoft más recientes:http://www.microsoft.com/latam/technet/seguridad/ 2. Obtener aprendizaje de seguridad adicional Buscar seminarios de aprendizaje en línea y presenciales: Buscar seminarios de aprendizaje en línea y presenciales:http://www.microsoft.com/latam/technet/evento/default.asp Buscar un CTEC local que ofrezca cursos prácticos: Buscar un CTEC local que ofrezca cursos prácticos:

60 Para obtener más información Sitio de seguridad de Microsoft (todos los usuarios) Sitio de seguridad de Microsoft (todos los usuarios) Sitio de seguridad de TechNet (profesionales de IT) Sitio de seguridad de TechNet (profesionales de IT) default.asp default.asp default.asp default.asp Sitio de seguridad de MSDN (desarrolladores) Sitio de seguridad de MSDN (desarrolladores) (este sitio está en inglés) (este sitio está en inglés)

61 Preguntas y respuestas

62


Descargar ppt "Estrategias de seguridad aplicada NombrePuestoCompañía."

Presentaciones similares


Anuncios Google