La descarga está en progreso. Por favor, espere

La descarga está en progreso. Por favor, espere

Implementación de seguridad en la red y del perímetro

Presentaciones similares


Presentación del tema: "Implementación de seguridad en la red y del perímetro"— Transcripción de la presentación:

1

2 Implementación de seguridad en la red y del perímetro
Notas para el alumno: Nombre del presentador Puesto Compañía

3 Conocimientos imprescindibles
Descripción de los fundamentos de seguridad en una red Experiencia práctica con Windows® Server 2000 o Windows Server™ 2003 Experiencia con las herramientas de administración en Windows Notas para el alumno: Nivel 300

4 Orden del día Introducción Uso de defensas en el perímetro
Uso de Microsoft® Internet Security and Acceleration (ISA) Server para proteger los perímetros Uso de Firewall de Windows para proteger a los clientes Protección de redes inalámbricas Protección de comunicaciones mediante IPSec Notas para el alumno: En este tema del orden del día se explicará la seguridad en una red. Específicamente, se tratará lo siguiente: Propósito y limitaciones de las defensas de perímetro Propósito y limitaciones de las defensas de los clientes Propósito y limitaciones de las defensas ante intrusos Objetivos de seguridad en una red

5 Defensa en profundidad
El uso de una solución en niveles: Aumenta la posibilidad de que se detecten los intrusos Disminuye la posibilidad de que los intrusos logren su propósito Notas para el alumno: Una estrategia de seguridad para una organización es más efectiva cuando los datos están protegidos por más de un nivel de seguridad. La estrategia de seguridad de defensa en profundidad utiliza varios niveles de protección. Si un nivel se ve comprometido, ello no conlleva necesariamente que también lo esté toda la organización. Una estrategia de defensa en profundidad aumenta el riesgo de detectar al intruso y disminuye la oportunidad de que tenga éxito. Para reducir al máximo la posibilidad de que un ataque contra los equipos cliente de su organización alcance su objetivo, tiene que implementar el grado apropiado de defensa en cada nivel. Hay muchas formas de proteger cada nivel individual mediante herramientas, tecnologías, directivas y la aplicación de las recomendaciones. Por ejemplo: Nivel de directivas, procedimientos y concienciación: programas de aprendizaje de seguridad para los usuarios Nivel de seguridad física: guardias de seguridad, bloqueos y dispositivos de seguimiento Nivel perimetral: servidores de seguridad de hardware, software o ambos, y redes privadas virtuales con procedimientos de cuarentena Nivel de red de Internet: segmentación de red, Seguridad IP (IPSec) y sistemas de detección de intrusos de red Nivel de host: prácticas destinadas a reforzar los servidores y clientes, herramientas de administración de revisiones, métodos seguros de autenticación y sistemas de detección de intrusos basados en hosts Nivel de aplicación: prácticas destinadas a reforzar las aplicaciones y el software antivirus Nivel de datos: listas de control de acceso (ACL) y cifrado Esta sesión se centra en la seguridad de una red y de su perímetro. Los métodos y prácticas de seguridad explicados en esta sesión tienen que ver principalmente con los niveles de host, red interna y perímetro. No obstante, es importante tener en cuenta que la seguridad de los clientes debe formar parte únicamente de la estrategia de seguridad global de la organización. Directivas, procedimientos y concienciación Seguridad física Datos ACL, cifrado Refuerzo de las aplicaciones, antivirus Aplicación Refuerzo del sistema operativo, administración de actualizaciones, autenticación y HIDS Host Red interna Segmentos de red, IPSec y NIDS Perimetral Servidores de seguridad, sistemas de cuarentena en VPN Guardias de seguridad, bloqueos y dispositivos de seguimiento Programas de aprendizaje para los usuarios

6 Propósito y limitaciones de las defensas de perímetro
Los servidores de seguridad y enrutadores de borde configurados correctamente constituyen la piedra angular de la seguridad del perímetro Internet y la movilidad aumentan los riesgos de seguridad Las redes VPN han debilitado el perímetro y, junto con las redes inalámbricas, han ocasionado, esencialmente, la desaparición del concepto tradicional de perímetro de red Los servidores de seguridad tradicionales con filtrado de paquetes, sólo bloquean los puertos de red y las direcciones de los equipos En la actualidad, la mayor parte de los ataques se producen en el nivel de aplicación Notas para el alumno: Los servidores de seguridad y enrutadores de borde configurados correctamente constituyen la piedra angular de la seguridad del perímetro. Sin embargo, los siguientes elementos superan las capacidades de los servidores de seguridad tradicionales: Los dispositivos y clientes móviles aumentan los riesgos de seguridad. Las redes privadas virtuales (VPN, Virtual Private Network) representan un punto de entrada destructivo y pernicioso de virus y gusanos en muchas organizaciones que omiten el servidor de seguridad. Los servidores de seguridad con filtrado de paquetes de primera generación sólo bloquean los puertos de red y las direcciones de los equipos. Actualmente, la mayor parte de los ataques se producen en el nivel de aplicación, que no es inspeccionado por casi ningún servidor seguridad. El perímetro de una red es el punto en el que la red interna de una organización expone una interfaz a las redes que no son de confianza. Muchas personas asumen que el perímetro sólo consta de la conexión entre la red interna e Internet, pero esa definición es demasiado limitada. Desde el punto de vista de la seguridad, el perímetro de red abarca cada punto donde la red interna se conecta a redes y hosts que no son controlados por el grupo de tecnología de la información de la organización. Esto incluye las conexiones a Internet, socios comerciales, redes VPN y conexiones de acceso telefónico. Una nueva tendencia que está surgiendo en estos momentos en la seguridad de las redes es el desuso generalizado de la zona desmilitarizada (DMZ, Demilitarized Zone) o subred protegida. Muchas organizaciones pretenden proteger sus redes internas del mundo exterior implementando una solución de servidor de seguridad. Sin embargo, el número de aplicaciones de la subred protegida está aumentando debido a la cantidad cada vez mayor de transacciones entre compañías (B2B, Business To Business) que se realizan. En consecuencia, la subred protegida, que se diseñó únicamente para contener un subconjunto de datos y aplicaciones, ahora aloja una aglomeración notable de datos confidenciales y valiosos. Comprometer la subred protegida hoy en día casi equivale a comprometer toda la red de confianza. Para hacer frente a la creciente cantidad de transacciones B2B, las organizaciones están creando soluciones de seguridad para el perímetro que son más abiertas y menos restrictivas. Cuando la protección se disminuye en el perímetro tradicional, en la red interna deben tomarse más medidas de seguridad. La tendencia en auge para los próximos años será abrir el perímetro al mismo tiempo que se fortalece la seguridad en la red interna con medidas complementarias como el uso de Firewall de Windows, el filtrado de puertos de IPSec, la autenticación de LAN 802.1x, la utilización de servidores de seguridad delante enrutadores y conmutadores, el cifrado y la supervisión de los sistemas.

7 Propósito y limitaciones de las defensas de los clientes
Las defensas de los clientes bloquean los ataques que omiten las defensas del perímetro o que se originan en la red interna Las defensas de los clientes incluyen, entre otras: Refuerzo de la seguridad del sistema operativo Programas antivirus Servidores de seguridad personales Las defensas de los clientes requieren que se configuren muchos equipos En entornos no administrados, los usuarios pueden omitir las defensas de los clientes Notas para el alumno: Las defensas de los clientes se incluyen en el nivel de defensa del host, dentro del modelo de defensa en profundidad. Las defensas de los clientes actúan con frecuencia como último nivel de defensa debido a que pueden bloquear los ataques que omiten las defensas del perímetro, por ejemplo los servidores de seguridad. Además, las defensas de los clientes pueden bloquear los ataques que se originan en la red interna, como los intentos de introducirse en un sistema por parte de empleados deshonestos. Las defensas de los clientes incluyen tanto las medidas que están relacionadas con la red como aquéllas que no lo están. Algunas típicas son el refuerzo de la seguridad del sistema operativo, la aplicación de revisiones, la instalación de software antivirus y el uso de servidores de seguridad personales. Las defensas de los clientes pueden resultar difíciles de configurar porque requieren la realización de cambios en muchos equipos. Esto sólo puede llevarse a cabo de modo eficaz en un entorno de red administrada. En un entorno de red no administrada, es posible que los usuarios no puedan deshabilitar los mecanismos de protección y, por tanto, omitan las defensas de los clientes. Al evaluar la eficacia de las defensas de los clientes y el modo en que van a funcionar dentro de una estrategia de defensa en profundidad, debería considerar cómo se aplican.

8 Propósito y limitaciones de la detección de intrusos
Detecta el modelo de ataques comunes, registra el tráfico sospechoso en registros de sucesos y/o alerta a los administradores Las amenazas y puntos vulnerables evolucionan constantemente, lo que deja a los sistemas en una situación vulnerable hasta que se conoce un nuevo ataque, conllevando a crear y distribuir una nueva firma Notas para el alumno: Los sistemas de detección de intrusos (IDS, Intrusion Detection Systems) se suelen utilizar en un sistema que supervisa una gran cantidad de solicitudes de conexión TCP a varios puertos diferentes en un equipo de destino. IDS puede ejecutarse en un equipo de destino que supervise su propio tráfico o en un equipo independiente que vigile todo el tráfico de la red. Aunque IDS no pueda impedir un ataque, permitirá su detección en un primer momento, con lo que la organización podrá conseguir que los daños que cause sean mínimos. Por lo general, IDS hará lo siguiente: Detectar el patrón de los ataques *conocidos* comunes, registrar el tráfico sospechoso en los registros de sucesos y/o alertar a los administradores a través de mensajes de correo electrónico, localizadores ("buscas") y otros métodos. Una limitación de IDS es que los nuevos ataques evolucionan constantemente, lo que provoca que muchos sistemas sean vulnerables hasta que el fabricante de IDS cree una nueva definición de firma para el ataque y se descargue en IDS (casi de la misma forma que se crean y distribuyen las definiciones de los antivirus).

9 Objetivos de seguridad en una red
Defensa del perímetro Defensa de los clientes Detección de intrusos Control de acceso a la red Confidencialidad Acceso remoto seguro Servidor ISA Firewall de Windows 802.1x / WPA IPSec Notas para el alumno: Los objetivos comunes de seguridad en una red incluyen: Defensa frente a los ataques del perímetro de red Defensa frente a los ataques en el cliente que se originan en la red Detección de los intentos de entrar en el sistema Control de las personas que pueden tener acceso a la red Protección de las comunicaciones para lograr confidencialidad Suministro de acceso remoto seguro En esta presentación, verá la forma en que las tecnologías como ISA Server, Firewall de Windows, Seguridad IP (IPSec) y otras tecnologías de seguridad para dispositivos inalámbricos pueden ayudarle a alcanzar estos objetivos.

10 Orden del día Introducción Uso de defensas en el perímetro
Uso de ISA Server para proteger los perímetros Uso de Firewall de Windows para proteger a los clientes Protección de redes inalámbricas Protección de comunicaciones mediante IPSec Notas para el alumno: En este tema del orden del día, se explicará el uso de las defensas del perímetro. Específicamente se tratará: Información general sobre las conexiones de perímetro Diseño del servidor de seguridad: de triple interfaz Diseño del servidor de seguridad: de tipo opuesto con opuesto o sándwich Contra qué NO protegen los servidores de seguridad Servidores de seguridad de software y de hardware Tipos de funciones de los servidores de seguridad

11 Información general sobre las conexiones de perímetro
Internet Sucursales Socios comerciales Usuarios remotos Redes inalámbricas Aplicaciones de Internet Los perímetros de red incluyen conexiones a: Socio comercial LAN Oficina principal Sucursal Red inalámbrica Usuario remoto Notas para el alumno: Los tipos de dispositivos que se encuentran en el perímetro incluyen clientes VPN y servidores VPN, servidores de acceso remoto (RAS) y clientes RAS, enrutadores de borde, servidores de seguridad, sistemas de detección de intrusos de red (NIDS) y servidores proxy. Debe asegurarse de proteger todos los puntos de entrada a una red interna y de que no hay otros no autorizados, como los módems que se conectan a los equipos cliente o servidores, o los puntos de acceso inalámbricos con fines sospechosos. Las conexiones del perímetro no sólo están en la oficina principal, sino en cada ubicación de la organización con presencia en Internet. Una organización debe ser diligente a la hora de garantizar que todos los puntos de entrada son seguros y que los nuevos no permiten introducirse accidentalmente en la organización. Por ejemplo, un empleado de una sucursal podría configurar un punto de acceso inalámbrico para utilizar la red en una sala que no tuviera conexiones de red. Información adicional: En el vínculo siguiente puede encontrar ayuda paso a paso para planear e implementar una solución completa que permita proteger una red:  (este sitio está en inglés).

12 Diseño del servidor de seguridad: de triple interfaz
Subred protegida Internet LAN Servidor de seguridad Notas para el alumno: En una configuración de red de perímetro con un servidor de seguridad de triple interfaz, éste se configura con tres adaptadores de red. Cada uno de los adaptadores se conecta a una de las redes siguientes: Internet Servidores de la red interna que se encuentran en la subred protegida Clientes de la red interna Aunque los servidores de la red de perímetro tienen direcciones IP que suponen una presencia en Internet, el equipo servidor de seguridad no permite el acceso directo a los recursos que se encuentran en la red interna. El servidor de seguridad filtrará y enrutará los paquetes a la subred protegida, tal como se determine en la configuración de las reglas de protocolo y de puertos del servidor de seguridad. Una ventaja de un servidor de seguridad de triple interfaz es que ofrece un único punto de administración para configurar el acceso tanto a la red de perímetro como a la red interna. Sin embargo, la administración de la creación de reglas podría ser más compleja para la subred protegida y la red interna. Cuando entra en juego la complejidad de administración, la posibilidad de llevar a cabo una configuración incorrecta también aumenta. Una desventaja de un servidor de seguridad de triple interfaz es que presenta un único punto de acceso a todos los componentes de la red. Si el servidor de seguridad se ve comprometido, la subred protegida y la red interna también podrían verse comprometidas. Al implementar un servidor de seguridad de triple interfaz, que suele utilizarse en compañías pequeñas y medianas, debería ponerse el mismo cuidado en el planeamiento y en la implementación.

13 Diseño del servidor de seguridad: de tipo opuesto con opuesto o sándwich
Internet Externa Servidor de seguridad LAN Interna Subred protegida Notas para el alumno: En una red de perímetro con servidores de seguridad de tipo sándwich, en cada lado de la subred protegida se ubican dos servidores de seguridad. Ambos se conectan a la subred protegida: uno de ellos se conecta también a Internet y el otro a la red interna. En esta configuración, no hay un único punto de acceso. Para llegar a la red interna, un usuario tendría que conseguir pasar ambos servidores de seguridad. Es habitual trabajar con dos proveedores de servidores de seguridad diferentes para conseguir la máxima seguridad. Esta configuración en la que intervienen dos proveedores impide que un punto débil de uno de los servidores de seguridad pueda aprovecharse fácilmente en ambos. La administración no se realiza de forma centralizada en los dos servidores para la subred protegida y para las redes de Internet. Una configuración de tipo sándwich permite la creación de muchas reglas granulares para el acceso interno y externo a la red. Por ejemplo, es posible crear reglas que únicamente permitan el acceso del tráfico HTTP y SMTP a la subred protegida desde Internet y otras que sólo permitan el acceso del tráfico cifrado de IPSec a los servidores de servicios de fondo en una red interna de la subred protegida. Generalmente, es más fácil configurar reglas para un diseño de servidor de seguridad de tipo sándwich si la directiva de acceso de una organización admite un tráfico de red limitado y muy controlado entre los equipos de la subred protegida y equipos seleccionados de la red interna.

14 Contra qué NO protegen los servidores de seguridad
Tráfico peligroso que atraviesa los puertos abiertos y no es inspeccionado en el nivel de aplicación por el servidor de seguridad Tráfico que atraviesa un túnel o sesión cifrados Ataques que se producen una vez que se ha entrado en una red Tráfico que parece legítimo Usuarios y administradores que intencionada o accidentalmente instalan virus Administradores que utilizan contraseñas poco seguras Notas para el alumno: Tenga en cuenta que un servidor de seguridad no protege frente a todos los tipos de ataques. Aunque las defensas del perímetro se encuentran entre los elementos más importantes que puede implementar en una red, *nunca* debe confiar sólo en un servidor de seguridad para proteger toda la red. Tráfico peligroso que atraviesa los puertos abiertos y que no es inspeccionado por el servidor de seguridad: la primera generación de servidores de seguridad no permite la inspección de los datos del nivel de aplicación. Si un puerto se abre y permite el tráfico (por ejemplo, el puerto 80), un usuario interno podría comprobar su correo electrónico basado en Web y abrir un archivo adjunto que estuviera infectado con un virus. Tráfico que atraviesa un túnel o sesión cifrados: el tráfico cifrado que no puede descifrarse e inspeccionarse en la mayor parte de servidores de seguridad. Esto introduce la posibilidad de que el tráfico peligroso pueda pasar cifrado a través del servidor de seguridad aunque éste inspeccione el nivel de aplicación. Ataques que se producen una vez que se ha entrado en una red: los servidores de seguridad no pueden proteger frente a un ataque una vez que se ha entrado en la red interna. Por ejemplo, un empleado de ventas que trabaje fuera podría volver a su oficina principal con su portátil (que utiliza sin la protección del servidor de seguridad de la organización y no contiene una solución antivirus) e infectar con un virus a todos los equipos internos. Tráfico que parece legítimo: el tráfico puede tener una apariencia legítima pero contener lógica que pueda explotar un punto vulnerable. Por ejemplo, una cadena HTTP podría cumplir los estándares de la Unidad máxima de transmisión (MTU, Maximum Transmission Unit) y simular que realiza una solicitud legítima a un servidor Web pero en realidad aprovecharse de un punto débil de un servidor Web. Usuarios y administradores que intencionada o accidentalmente instalan virus: en el ejemplo anterior, un empleado de ventas que trabaje fuera podría volver a su oficina con su portátil, que utiliza sin la protección del servidor de seguridad de la organización y que no contiene una solución antivirus, e infectar con un virus a todos los equipos internos. En esta situación, el servidor de seguridad no puede ofrecer ninguna protección y existe un riesgo aún mayor frente al virus que merodea sin control en la red interna de confianza. Administradores que utilizan contraseñas poco seguras: el uso de contraseñas seguras y soluciones de autenticación con varios factores constituyen un principio fundamental de seguridad. Si no se utiliza una autenticación con varios factores al implementar una contraseña que no sea extremadamente compleja en un servidor de seguridad, es muy fácil que éste se vea comprometido.

15 Servidores de seguridad de software y de hardware
Factores de decisión Descripción Flexibilidad La actualización de las vulnerabilidades y revisiones más recientes suele ser más fácil con servidores de seguridad basados en software. Extensibilidad Muchos servidores de seguridad de hardware sólo permiten una capacidad de personalización limitada. Elección de proveedores Los servidores de seguridad de software permiten elegir entre hardware para una amplia variedad de necesidades y no se depende de un único proveedor para obtener hardware adicional. Costo El precio de compra inicial para los servidores de seguridad de hardware podría ser inferior. Los servidores de seguridad de software se benefician del menor costo de las CPU. El hardware se puede actualizar fácilmente y el hardware antiguo se puede reutilizar. Complejidad Los servidores de seguridad de hardware suelen ser menos complejos. Disponibilidad global El factor de decisión más importante es si un servidor de seguridad puede realizar las tareas necesarias. Con frecuencia, la diferencia entre los servidores de hardware y de software no resulta clara. Notas para el alumno: Aunque los servidores de seguridad técnicamente son hardware y software, en ocasiones se distinguen por el hecho de que el software se tiene que instalar en un sistema existente (de software) o el servidor de seguridad viene empaquetado como un dispositivo con el software instalado (de hardware). Con frecuencia, la diferencia entre ambos tipos no resulta clara. Por ejemplo, algunos servidores de seguridad que se venden como dispositivos son de software, que se configura de forma personalizada, y vienen con hardware. Tenga en cuenta que las diferencias que se pueden ver en esta diapositiva sólo son directrices generales. Debe evaluar cualquier servidor de seguridad principalmente en función de su idoneidad global para realizar las tareas que usted requiera. Aunque las diferencias entre los dos tipos de servidores de seguridad varían, hay algunos aspectos generales que debe considerar cuando elija uno. Si no sabe con seguridad lo que necesita, un factor importante al tomar una decisión es si el servidor de seguridad está certificado por la International Computer Security Association (ICSA) y si puede ampliarse para satisfacer las necesidades de su organización ahora y en el futuro. Recursos adicionales: Para comprobar si un servidor de seguridad cumple los estándares de la ICSA, visite (este sitio está en inglés).

16 Tipos de funciones de los servidores de seguridad
Filtrado de paquetes Inspección de estado Inspección del nivel de aplicación Notas para el alumno: Los servidores de seguridad tradicionales proporcionan la forma más básica de protección: filtran paquetes específicos. El filtrado de paquetes IP intercepta y evalúa los paquetes antes de que pasen a través de un servidor de seguridad. Los filtros de paquetes IP controlan el acceso en función de las direcciones IP de origen y destino, el protocolo de comunicación y el puerto IP (canal de comunicación) que se utilizan. El problema de este enfoque es que sólo se pueden filtrar los aspectos de nivel inferior de un paquete de red, no el contenido del tráfico. Un servidor de seguridad con inspección de estado inspeccionará un paquete IP cuando llegue a él desde Internet. El servidor de seguridad debe decidir si el paquete se debe reenviar a la red interna. Para ello, "echa un vistazo" a fin de comprobar qué conexiones han sido abiertas desde dentro de la red hacia Internet (lo que también se conoce como tráfico solicitado). Si hay una conexión abierta que se aplique al paquete que ha llegado desde Internet, se le permitirá el paso. De lo contrario, el paquete se rechazará. *La inspección del nivel de aplicación es la clave*. Si conoce el protocolo de comunicación de una aplicación, el servidor de seguridad puede inspeccionar el tráfico legítimo y actuar como protección frente a una comunicación peligrosa o inapropiada. Sólo se permite el paso a través del servidor de seguridad a los paquetes que cumplen las definiciones del protocolo. Los filtros del nivel de aplicación son lo suficientemente inteligentes como para inspeccionar la información que pasa a través del servidor de seguridad. Por lo tanto, estos filtros pueden cerrar los puntos débiles específicos de las aplicaciones. Además, las reglas del servidor de seguridad pueden especificar recursos específicos de la aplicación a los que se concede o deniega el acceso. Por ejemplo, es posible que un servidor de seguridad del nivel de aplicación pueda inspeccionar el tráfico HTTP y bloquee las solicitudes no válidas destinadas a los servidores Web. Microsoft ISA Server es un ejemplo de servidor de seguridad que realiza todos estos tipos de inspección. Internet Inspección multinivel (Incluido el filtrado del nivel de aplicación)

17 Orden del día Introducción Uso de defensas en el perímetro
Uso de ISA Server para proteger los perímetros Uso de Firewall de Windows para proteger a los clientes Protección de redes inalámbricas Protección de comunicaciones mediante IPSec Notas para el alumno: En este tema del orden del día, se explicará el uso de ISA Server para proteger los perímetros. Específicamente se tratará: Objetivos de seguridad en una red Protección de los perímetros Protección de los clientes Protección de los servidores Web URLScan Protección de Exchange Server Tráfico que omite la inspección de los servidores de seguridad Inspección de todo el tráfico Inspección de SSL Refuerzo de la seguridad de ISA Server Recomendaciones

18 Objetivos de seguridad en una red
Defensa del perímetro Defensa de los clientes Detección de intrusos Control de acceso a la red Confidencialidad Acceso remoto seguro Servidor ISA * Firewall de Windows 802.1x / WPA IPSec Notas para el alumno: ISA Server ayuda a lograr los siguientes objetivos de seguridad en una red: Defensa del perímetro Detección de intrusos *ISA Server tiene capacidades básicas de detección de intrusos que se amplían gracias al trabajo de los asociados. Acceso remoto seguro Información adicional Asociados para ISA Server que trabajan en la mejora de la capacidad de detección de intrusos: (este sitio está en inglés) * Detección básica de intrusos, que se amplía gracias al trabajo de los asociados

19 Protección de los perímetros
ISA Server tiene completas capacidades de filtrado: Filtrado de paquetes Inspección de estado Inspección del nivel de aplicación ISA Server bloquea todo el tráfico de red salvo que usted lo permita ISA Server permite establecer conexiones VPN seguras ISA Server tiene las certificaciones ICSA y Common Criteria Notas para el alumno: La solución de servidor de seguridad de Microsoft, ISA Server, proporciona seguridad empresarial gracias al filtrado en varios niveles: en los paquetes, en los circuitos y en las aplicaciones. ISA Server analiza y controla el tráfico específico de una aplicación con filtros específicos de la aplicación que inspeccionan los datos reales. Es posible habilitar el filtrado inteligente de HTTP, FTP, correo electrónico SMTP, conferencia H.323, medios de transmisión, RPC y otros. Sin necesidad de modificaciones, ISA Server bloquea todo el tráfico de red y sólo admite los tipos de tráfico que usted permita pasar específicamente a través del servidor de seguridad. Esto representa el control más pesimista del tráfico que pasa a través de las redes, tanto si son de confianza como si no. ISA Server se combina con el Servicio de enrutamiento y acceso remoto de Windows (RRAS, Routing and Remote Access Service) como ayuda para proteger el acceso remoto a la red. ISA Server simplifica la configuración de RRAS y ayuda a proteger el servidor VPN frente a ataques que se realicen desde Internet. ISA Server 2000 ha recibido las certificaciones ICSA y Common Criteria. Son las certificaciones que más se utilizan en el sector para los productos de servidor de seguridad. Información adicional: Consulte “ISA Server 2000 Achieves Common Criteria Certification” (en inglés) en:

20 Protección de los clientes
Método Descripción Funciones de proxy Procesa todas las solicitudes para los clientes y nunca permite las conexiones directas. Clientes admitidos Se admiten todos los clientes sin software especial. La instalación del software de servidor de seguridad ISA en clientes Windows permite utilizar más funciones. Reglas Las reglas de protocolo, reglas de sitio y contenido, y reglas de publicación determinan si se permite el acceso. Complementos El precio de compra inicial para los servidores de seguridad de hardware podría ser inferior. Los servidores de seguridad de software se benefician del menor costo de las CPU. El hardware se puede actualizar fácilmente y el hardware antiguo se puede reutilizar. Notas para el alumno: ISA Server funciona como servidor proxy. Esto significa que ISA Server procesa todas las solicitudes de cliente y nunca permite ningún tráfico de red directo entre un cliente y un servidor que estén en lados diferentes del servidor de seguridad. Aunque es posible mejorar las funciones de ISA Server si se configura el software de cliente, ISA Server puede proporcionar protección para todos los equipos que utilizan TCP/IP sin tener que emplear software especial en los equipos cliente. Las reglas, extremadamente configurables, permiten controlar de forma granular el tráfico entrante y saliente. Por ejemplo, se pueden crear reglas para permitir únicamente el tráfico HTTP a los sitios de los socios comerciales de 8 a.m. a 1 p.m. De 12 p.m. a 1 p.m. se permite el acceso HTTP sin restricción pero se concede mayor prioridad al tráfico SMTP. De 1 p.m. a 5 p.m., de nuevo las reglas sólo permiten el tráfico HTTP a los sitios de los socios comerciales. Después de las 5 p.m., las reglas HTTP son menos estrictas. Microsoft ha publicado el kit de desarrollo de software (SDK), que está disponible públicamente. Esto facilita a los programadores de Microsoft y a otros proveedores la adición de funciones a ISA Server. Los siguientes son ejemplos de proveedores que proporcionan complementos: Elaboración de informes: Revisión e informes del tráfico a través de ISA Server: Aelita Software, Burst Technology, Sane Solutions, Secure Computing, Soft-ex Communications, Wavecrest Computing, WebSpy y WebTrends Servicios de seguridad: Corbett Technologies, Foundstone e InDepth Technologies Detección de intrusos: GFI e Internet Security Systems Control del uso de Internet en la organización: 8e6 Technologies, Burst Technologies, Cobion AG, Conerpost Software, FilterLogic, Futuresoft Inc, iCognito Technologies, N2H2 Inc, Nexus Technology Ltd, Secure Computing Corporation, SurfControl, Wavecrest Computing y Websense Inc.

21 Protección de los servidores Web
Reglas de publicación en Web Para proteger de ataques externos a los servidores Web que se encuentran detrás de los servidores de seguridad, inspeccione el tráfico HTTP y compruebe que su formato es apropiado y cumple los estándares Inspección del tráfico SSL Descifra e inspecciona las solicitudes Web entrantes cifradas para comprobar que su formato es apropiado y que cumple los estándares Si se desea, volverá a cifrar el tráfico antes de enviarlo al servidor Web Notas para el alumno: Las reglas de publicación permiten que las solicitudes seleccionadas de los clientes externos lleguen a los servidores Web públicos. ISA Server puede inspeccionar las solicitudes entrantes y filtrarlas. Por ejemplo, se pueden crear reglas de publicación en Web para redirigir las solicitudes a los servidores Web internos que alojan sitios Web diferentes. ISA Server inspecciona el trafico de acuerdo con las reglas de destino configuradas en el servidor y reenvía las solicitudes al servidor Web interno. ISA Server también registrará los paquetes que no cumplan las reglas definidas por el administrador y, si se desea, los paquetes que sí las cumplan. ISA Server puede inspeccionar el tráfico de Secure Sockets Layer (SSL) y terminar el túnel SSL cifrado desde el cliente. Si las reglas permiten este tráfico, ISA Server puede reenviar las solicitudes al servidor Web publicado, ya sea de forma cifrada o sin cifrar. La ventaja principal es que ningún tráfico puede pasar a la red interna sin que ISA Server realice una inspección completa del mismo para asegurarse de que cumple las reglas y los estándares. Información adicional: Para obtener más información sobre la publicación de ISA Server, consulte: (este sitio está en inglés).

22 URLScan El paquete de características 1 de ISA Server incluye URLScan 2.5 para ISA Server Permite que el filtro ISAPI de URLScan se aplique al perímetro de la red Se produce un bloqueo general en todos los servidores Web que se encuentran detrás del servidor de seguridad Se bloquean en el perímetro los ataques conocidos y los descubiertos recientemente Notas para el alumno: URLScan 2.5 se incluye con el paquete de características 1 de ISA Server. También se puede descargar para proteger los servidores IIS que ejecutan la versión 4.0 y posteriores. URLScan es una herramienta de seguridad que se instala como un filtro de la Interfaz de programación de aplicaciones de seguridad en Internet (ISAPI) y que examina todas las solicitudes entrantes al servidor y filtra las que se basen en reglas establecidas por el administrador. El filtrado de las solicitudes ayuda a proteger el servidor al garantizar que sólo se procesan las solicitudes válidas. La herramienta de seguridad URLScan comprende dos archivos, UrlScan.dll y UrlScan.ini, que funcionan juntos para que un administrador pueda configurar la seguridad. Por ejemplo, una solicitud podría ser extremadamente larga, solicitar una acción inusual, superar el tamaño de MTU de Internet, estar codificada con un juego de caracteres alternativo o incluir secuencias de caracteres que apenas aparezcan en las solicitudes legítimas. Estas reglas están incluidas en el archivo UrlScan.ini. El archivo UrlScan.ini contiene las secciones siguientes, que pueden ser modificadas por un administrador para proporcionar un control granular de las solicitudes que se reenvían a los servidores Web internos: [Options]: describe opciones generales de URLScan. [AllowVerbs] y [DenyVerbs]: define los verbos (también conocidos como métodos HTTP) que URLScan admite. [DenyHeaders]: enumera los encabezados HTTP que no se permiten en una solicitud HTTP. [AllowExtensions] y [DenyExtensions]: define las extensiones de nombre de archivo que URLScan admite. [DenyURLSequences]: enumera las cadenas que no se permiten en una solicitud HTTP. Aunque URLScan se diseñó originalmente para ejecutarse en un servidor IIS, su uso en ISA Server permite realizar estas funciones en la periferia de la red en lugar de configurarlo en cada servidor Web. La ejecución de URLScan en ISA Server puede complementar las instalaciones existentes de URLScan o reducir la complejidad de la configuración al ejecutarse en el borde de la red, en lugar de ejecutarse en cada servidor Web y servidor con Outlook Web Access de la red interna. Si los servidores Web requieren una configuración diferente, configure URLScan en ISA Server con la configuración menos restrictiva que se aplique a cualquier servidor publicado y, a continuación, aplique la configuración de URLScan más restrictiva en el servidor que la requiera. Servidor Web 1 Servidor Web 2 ISA Server Servidor Web 3

23 Protección de Exchange Server
Método Descripción Asistente para publicación de correo Configura reglas de ISA Server con el fin de publicar servicios de correo interno para usuarios externos de forma segura Message Screener Filtra los mensajes de correo electrónico SMTP que entran en la red interna Publicación RPC Protege el acceso del protocolo nativo de los clientes Microsoft Outlook® Publicación OWA Proporciona protección del servidor de solicitudes de cliente OWA para los usuarios remotos de Outlook que tienen acceso a Microsoft Exchange Server sin una VPN a través de redes que no son de confianza Notas para el alumno: Para proteger los servidores de correo donde se ejecuta Microsoft Exchange, ISA Server protege los servidores de correo interno que están disponibles para los clientes externos. El Asistente para publicación de correo permite hacer esto fácilmente y de forma segura. SMTP Message Screener puede bloquear los mensajes de correo electrónico que contienen tipos específicos de archivos adjuntos o palabras clave. También es posible configurar los remitentes o los dominios cuyo correo desea rechazar. Message Screener procesa todo el tráfico SMTP entrante antes de que llegue al servidor de correo interno. Message Screener es un componente opcional que no se instala automáticamente si realiza una instalación típica de ISA Server. Debe instalar el programa SMTP Message Screener en un equipo donde se ejecute Servicios de Internet Information Server (IIS) 5.0 o un servicio SMTP posterior. SMTP Message Screener utiliza el Modelo de objetos componentes distribuido (DCOM, Distributed Component Object Model) para comunicar con el filtro SMTP de ISA Server. Puede instalar el filtro SMTP en el mismo equipo donde se ejecuta ISA Server o en otro diferente. La publicación de Llamada a procedimiento remoto (RPC, Remote Procedure Call) proporciona acceso seguro a los clientes Outlook en Internet. Para ello, ISA Server inspecciona el tráfico RPC y únicamente abre los puertos necesarios para que un cliente se comunique con el servidor Exchange. El paquete de características 1 de ISA Server también automatiza la publicación en Web para proteger el tráfico de Outlook Web Access (OWA) y Outlook Mobile Access (OMA). El asistente de publicación configura todas las reglas necesarias para esta tarea.

24 Demostración 1 Inspección del nivel de aplicación en ISA Server Publicación en Web URLScan Message Screener Notas para el alumno: En esta demostración, se tratará: Cómo publicar un servidor Web en la red interna mediante Publicación en Web de ISA Server Cómo instalar y habilitar URLScan en el servidor ISA Server y cómo comprobar la presencia del nuevo filtro Web Cómo configurar y utilizar SMTP Message Screener

25 Tráfico que omite la inspección de los servidores de seguridad
Los túneles SSL atraviesan los servidores de seguridad tradicionales debido a que este tipo de tráfico está cifrado, lo que permite a los virus y gusanos pasar sin ser detectados e infectar los servidores internos El tráfico VPN se cifra y no se puede inspeccionar El tráfico de Instant Messenger (IM) no se suele inspeccionar y podría utilizarse para transferir archivos Notas para el alumno: Algunos servidores de seguridad del nivel de aplicación no inspeccionan parte del tráfico que los atraviesa. Esto podría permitir que entre tráfico peligroso en la red. Esta diapositiva ofrece ejemplos de tráfico que puede no ser inspeccionado por un servidor de seguridad. Al elegir una solución de servidor de seguridad, debe determinar los puntos de entrada de los protocolos en la red y si el riesgo de permitir que estos protocolos entren en ella sin ser inspeccionados es aceptable.

26 Inspección de todo el tráfico
Utilice sistemas de detección de intrusos y otros mecanismos para inspeccionar el tráfico VPN una vez descifrado Recuerde: defensa en profundidad Utilice un servidor de seguridad que pueda inspeccionar el tráfico SSL Expanda las capacidades de inspección del servidor de seguridad Utilice complementos para el servidor de seguridad que permitan inspeccionar el tráfico de IM Notas para el alumno: Para impedir que el tráfico omita el servidor de seguridad, considere las estrategias siguientes: Utilice una estrategia de defensa en profundidad para detectar el tráfico problemático una vez descifrado el tráfico VPN. Para ello, puede utilizar sistemas de detección de intrusos en la red. Utilice un servidor de seguridad que pueda inspeccionar el tráfico SSL entrante. ISA Server puede ocuparse de ello. En la siguiente dispositiva se explica esto detalladamente. Expanda las capacidades de inspección del servidor de seguridad. Por ejemplo, Akonix proporciona un complemento para ISA Server que permite la inspección del tráfico de IM. Información adicional: Para obtener información sobre Akonix L7 Enterprise para ISA Server, consulte: (este sitio está en inglés)

27 Inspección de SSL Los túneles SSL atraviesan los servidores de seguridad tradicionales debido a que este tipo de tráfico está cifrado, lo que permite a los virus y gusanos pasar sin ser detectados e infectar los servidores internos ISA Server puede descifrar e inspeccionar el tráfico SSL. El tráfico inspeccionado se puede enviar al servidor interno sin cifrar o cifrado de nuevo Notas para el alumno: SSL cifra el tráfico de red para proteger la confidencialidad entre el cliente y el servidor. Aunque esta confidencialidad es necesaria para el tráfico de red que atraviesa las redes que no son seguras, como Internet, también impide que los servidores de seguridad inspeccionen este tráfico cifrado. Los servidores de seguridad tradicionales pasan el tráfico SSL a los servidores Web internos sin inspeccionarlo, con lo que permiten que los virus, gusanos u otros ataques los atraviesen sin ser detectados. Puede configurar ISA Server como extremo del túnel SSL. Para ello, debe instalar un certificado de servidor Web en el equipo que ejecuta ISA Server, de modo que éste pueda demostrar su identidad ante los equipos cliente. Una vez que ISA Server inspecciona el tráfico del túnel SSL, lo reenvía al servidor interno. Es posible configurar ISA Server para enviar este tráfico sin cifrar o cifrado de nuevo.

28 Demostración 2 Inspección de SSL en ISA Server
Notas para el alumno: En esta demostración, se tratará: Cómo inspecciona el servidor ISA Server el tráfico SSL para proporcionar un túnel seguro que permita salir y entrar en él

29 Refuerzo de la seguridad de ISA Server
Refuerzo de la pila de red Deshabilite los protocolos de red innecesarios en la interfaz de red externa: Cliente para redes Microsoft Compartir impresoras y archivos para redes Microsoft NetBIOS sobre TCP/IP Notas para el alumno: ISA Server suele conectarse directamente a Internet y, por lo tanto, está expuesto a posibles ataques provenientes del exterior. Si el servidor de seguridad se bloquea o se ve comprometido desde la red interna, es posible que puedan entrar intrusos en la red. Si se refuerza más el servidor ISA Server, es posible aumentar la seguridad del servidor de seguridad. Debe configurar la pila de red de Windows Server 2000 o Windows Server 2003 para impedir ataques de denegación de servicio. Los artículos y de Knowledge Base (Base de conocimiento) de Microsoft contienen información detallada sobre cómo hacer esto. También debe deshabilitar los protocolos de red innecesarios. Normalmente, esto incluye deshabilitar el Cliente para redes Microsoft y la función Compartir impresoras y archivos para redes Microsoft en la interfaz externa de ISA Server. Además, debe deshabilitar NetBIOS sobre TCP/IP en la interfaz externa.

30 Recomendaciones Utilice reglas de acceso que únicamente permitan las solicitudes que se admitan de forma específica Utilice las capacidades de autenticación de ISA Server para restringir y registrar el acceso a Internet Configure reglas de publicación en Web para conjuntos de destinos específicos Utilice la inspección de SSL para inspeccionar los datos cifrados que entren en la red Notas para el alumno: Puede conceder acceso a Internet si crea reglas de sitios y de contenido. Las reglas de sitios y de contenido determinan si los usuarios o conjuntos de direcciones de cliente pueden tener acceso al contenido de conjuntos de destinos específicos y cuándo. Si un cliente solicita un objeto, ISA Server comprueba las reglas de sitios y de contenido. La solicitud sólo se admitirá si una regla de sitios y de contenido permite específicamente el acceso de cliente al contenido y si se permite al cliente comunicarse con el protocolo específico. Puede establecer la configuración de las solicitudes Web entrantes y salientes de forma que los usuarios se deban autenticar antes de procesar las reglas. De este modo se garantiza que las solicitudes sólo se permiten si el usuario que las efectúa se ha autenticado. Las reglas de publicación en Web determinan cómo debe interceptar ISA Server las solicitudes entrantes de objetos HTTP en un servidor Web interno y cómo debe responder en nombre del servidor Web. Las solicitudes se reenvían a un servidor Web interno, que se encuentra detrás del equipo que ejecuta ISA Server. Configure las reglas sólo para conjuntos de destinos específicos, que incluyen una o varias direcciones URL. La inspección SSL permite la inspección y modificación del tráfico HTTP. Los puentes de SSL se utilizan cuando ISA Server finaliza una conexión SSL o cuando la inicia.

31 Orden del día Introducción Uso de defensas en el perímetro
Uso de ISA Server para proteger los perímetros Uso de Firewall de Windows para proteger a los clientes Protección de redes inalámbricas Protección de comunicaciones mediante IPSec Notas para el alumno: En este tema del orden del día, se explicará el uso de Firewall de Windows para proteger a los clientes. Específicamente se tratará: Objetivos de seguridad en una red Información general sobre Firewall de Windows Habilitar Firewall de Windows Configuración avanzada de Firewall de Windows Registro de seguridad de Firewall de Windows Firewall de Windows en la compañía Recomendaciones

32 Objetivos de seguridad en una red
Defensa del perímetro Defensa de los clientes Detección de intrusos Control de acceso a la red Confidencialidad Acceso remoto seguro Servidor ISA Firewall de Windows 802.1x / WPA IPSec Notas para el alumno: Firewall de Windows ayuda a lograr el siguiente objetivo de seguridad en la red: Defensa de los clientes

33 Información general sobre Firewall de Windows
Firewall de Windows en Microsoft Windows XP y Microsoft Windows Server 2003 Qué es Notas para el alumno: Firewall de Windows resulta útil si se desea proteger una conexión de acceso telefónico cuando se marca directamente a un número de un proveedor de servicios Internet (ISP, Internet Service Provider) o para proteger una conexión LAN a una línea asimétrica de suscripción digital (ADSL, Asymmetric Digital Subscriber Line) o módem por cable. Firewall de Windows también puede habilitarse en la conexión a Internet de un equipo host que utiliza Conexión compartida a Internet (ICS, Internet Connection Sharing) para proporcionar protección al equipo host ICS. De forma predeterminada, Firewall de Windows bloquea el tráfico entrante que no se haya solicitado. Uno de los objetivos de diseño de Firewall de Windows es que resulte tan fácil de utilizar como sea posible y no requiera la intervención del usuario. Cuando se habilita Firewall de Windows, los equipos quedan automáticamente protegidos frente a la mayor parte de los ataques basados en la red. Es posible configurarlo para que permita el tráfico entrante que se seleccione. Ayuda a detener los ataques basados en la red, como Blaster, al bloquear todo el tráfico entrante no solicitado Qué hace Los puertos se pueden abrir para los servicios que se ejecutan en el equipo La administración corporativa se realiza a través de directivas de grupo Características principales

34 Habilitar Firewall de Windows
Se puede habilitar: Al activar una casilla de verificación Con el Asistente para configuración de red Con el Asistente para conexión nueva Se habilita de forma independiente en cada conexión de red Notas para el alumno: Un objetivo de diseño importante de Firewall de Windows es su facilidad de uso. Puede ir a la ficha Avanzadas de la página Propiedades de una conexión de red y habilitar Firewall de Windows a través de una casilla de verificación. La carpeta Conexiones de red se encuentra en el área Conexiones de red e Internet del Panel de control. Firewall de Windows también se puede habilitar mediante el Asistente para configuración de red y el Asistente para conexión nueva. Firewall de Windows se puede habilitar de forma independiente en cada conexión de red. Por ejemplo, puede habilitarlo en una conexión de acceso telefónico que utilice para conectarse a Internet. Puede deshabilitarlo en una conexión Ethernet que utilice para conectarse a la red corporativa.

35 Configuración avanzada de Firewall de Windows
Servicios de red Aplicaciones basadas en Web Notas para el alumno: Si en un equipo ejecuta servicios de red o aplicaciones basadas en Web, puede abrir puertos específicos si selecciona los protocolos para los que desee permitir las conexiones entrantes. Recuerde que habilitar Firewall de Windows en una conexión a través de la que reciba correo electrónico podría afectar a las notificaciones de correo nuevo. Dado que Firewall de Windows inspecciona todas las comunicaciones entrantes, algunos programas, especialmente los de correo electrónico, se podrían comportar de forma diferente si lo activa. Algunos programas de correo electrónico sondean periódicamente su servidor para comprobar si hay correo nuevo. Otros esperan que el servidor de correo les notifique ese hecho. Firewall de Windows no afecta al comportamiento de Outlook Express porque la solicitud de notificar el correo electrónico nuevo se origina desde dentro del servidor de seguridad. Sin embargo, Microsoft Outlook 2000 se conecta a un servidor basado en Microsoft Exchange que utiliza RPC para enviar a los clientes las notificaciones de recepción de mensajes nuevos. Como la notificación RPC se inicia en un servidor basado en Exchange que está fuera del servidor de seguridad, Firewall de Windows no permite que los mensajes RPC lleguen a la red doméstica desde Internet. El mensaje con la notificación RPC se descarta. Puede enviar y recibir mensajes de correo electrónico pero debe comprobar usted mismo si hay mensajes nuevos o bien puede configurar Outlook 2000 y Outlook 2003 de modo que sondeen el servidor Exchange para comprobarlo.

36 Registro de seguridad de Firewall de Windows
Opciones de registro Opciones del archivo de registro Notas para el alumno: Firewall de Windows tiene la capacidad de registrar el tráfico de red. Este registro sigue el Formato de archivo extendido W3C ( [en inglés]). El archivo de registro es un archivo de texto ASCII que se puede importar para analizar los datos. De forma predeterminada, Firewall de Windows no registra los paquetes descartados ni las conexiones correctas. Debe habilitar el registro para solucionar problemas o para recopilar registros y realizar análisis centralizados. La información que se recopila en los registros de Firewall de Windows puede resultar de un interés inestimable en el análisis de ataques que se han llevado a cabo. Si configura el registro, no olvide limitar el tamaño del archivo de registro para no utilizar todo el espacio de disco disponible en los equipos. No obstante, asegúrese de registrar información suficiente para realizar un seguimiento de los posibles ataques.

37 Firewall de Windows en la compañía
Configure Firewall de Windows mediante directivas de grupo Combine Firewall de Windows con Control de cuarentena de acceso a la red Notas para el alumno: Aunque Firewall de Windows se diseñó como servidor de seguridad personal, puede aumentar la seguridad en un entorno empresarial al proporcionar un nivel adicional de seguridad en el cliente. Firewall de Windows puede configurarse de forma centralizada mediante directivas de grupo en Active Directory®. Para administrar equipos cliente, muchas organizaciones deben poder tener acceso a estos equipos a través de la red. Para asegurarse de que los usuarios no habilitan Firewall de Windows mientras se encuentran en su red, aplique la opción de directiva de grupo Prohibir el uso de Firewall de Windows en su red de dominio DNS. Al aplicar esta opción de directiva de grupo, los usuarios con cuentas de administrador no pueden habilitar ni configurar Firewall de Windows porque la ficha Avanzadas deja de estar disponible y se bloquean las opciones del asistente relacionadas en equipos con Windows XP Professional. Esta opción de directiva de grupo se encuentra en Configuración del equipo\Plantillas administrativas\Conexiones de red\ La protección de Firewall de Windows sigue estando disponible cuando los equipos cliente no están conectados a la red corporativa. El Control de cuarentena de acceso a la red es una característica de los servidores VPN basados en Windows Server Puede utilizarla para controlar el acceso de los clientes VPN a la red corporativa. Por ejemplo, puede emplear una secuencia de comandos para comprobar si Firewall de Windows está configurado en los clientes VPN y desconectar los que no lo tengan habilitado. Información adicional: Para obtener más información del Control de cuarentena de acceso a la red de Windows Server 2003, consulte: Para obtener más información sobre la configuración de directivas de grupo para Firewall de Windows, consulte:

38 Recomendaciones Utilice Firewall de Windows en las oficinas domésticas y en las pequeñas compañías con el fin de proporcionar protección a los equipos que estén conectados directamente a Internet No active Firewall de Windows en una conexión VPN (aunque debe habilitarlo en la conexión LAN o de acceso telefónico subyacente) Configure las definiciones de servicio para cada conexión de Firewall de Windows a través de la que desee que funcione el servicio Establezca el tamaño del registro de seguridad en 16 megabytes para impedir el desbordamiento que podrían ocasionar los ataques de denegación de servicio Notas para el alumno: Firewall de Windows *siempre* se debe utilizar en todos los equipos que estén conectados a Internet y que no ofrezcan el grado de protección que proporciona un servidor de seguridad tradicional. No active Firewall de Windows en una conexión VPN porque interfiere con el uso compartido de archivos y con otras funciones VPN. Sin embargo, en el resto de las conexiones se DEBE utilizar Firewall de Windows mientras se tenga acceso a la VPN para impedir que el tráfico no solicitado se enrute a la red corporativa interna. Firewall de Windows puede habilitarse en una LAN, incluso en una LAN inalámbrica, y en conexiones de Servicio de acceso remoto como PPP sobre Ethernet, acceso telefónico y VPN. Se puede habilitar en varias conexiones en un sistema, cada una con sus propias opciones y configuración. Cada conexión debe analizarse para determinar a qué tráfico no solicitado se le debe permitir entrar en esa interfaz. El registro de seguridad se debe configurar para grabar una cantidad apropiada de datos que no puedan sobrescribirse fácilmente. Un archivo con un tamaño de 16 megabytes es suficiente en la mayor parte de las instalaciones de equipos.

39 Demostración 3 Firewall de Windows Configuración manual de Firewall de Windows Prueba de Firewall de Windows Revisión de los archivos de registro de Firewall de Windows Configuración de directivas de grupo Notas para el alumno: En esta demostración, se tratará: Cómo habilitar y probar Firewall de Windows Como revisar los archivos de registro de Firewall de Windows y configurar directivas de grupo

40 Orden del día Introducción Uso de defensas en el perímetro
Uso de ISA Server para proteger los perímetros Uso de Firewall de Windows para proteger a los clientes Protección de redes inalámbricas Protección de comunicaciones mediante IPSec Notas para el alumno: En este tema del orden del día, se tratará cómo proteger las redes inalámbricas. Específicamente se tratará: Objetivos de seguridad en una red Aspectos de seguridad en dispositivos inalámbricos Posibles soluciones Comparación de la seguridad de las redes de área local inalámbricas (WLAN) 802.1X 802.1X en Requisitos del sistema para 802.1x Configuración de 802.1x Directiva de acceso Perfil de directivas de acceso Wi-Fi Protected Access (WPA) Recomendaciones

41 Objetivos de seguridad en una red
Defensa del perímetro Defensa de los clientes Detección de intrusos Control de acceso a la red Confidencialidad Acceso remoto seguro Servidor ISA Firewall de Windows 802.1x / WPA IPSec Notas para el alumno: 802.1x y Wireless Protected Access (WPA) son características de seguridad para redes inalámbricas. Ayudan a lograr los siguientes objetivos de seguridad en una red: Control de las personas que pueden tener acceso a la red Confidencialidad del tráfico de red

42 Aspectos de seguridad en dispositivos inalámbricos
Limitaciones de Wired Equivalent Privacy (WEP) Las claves WEP estáticas no se cambian de forma dinámica y, por lo tanto, son vulnerables a los ataques No hay un método estándar para proporcionar claves WEP estáticas a los clientes Escalabilidad: el compromiso de una clave WEP estática expone a todos los usuarios Limitaciones del filtrado de direcciones MAC Un intruso podría suplantar una dirección MAC permitida Notas para el alumno: La especificación no define un protocolo de administración de claves Wired Equivalent Privacy (WEP). El uso de claves WEP estáticas no es suficientemente seguro para impedir el acceso no autorizado a la red y mantener la confidencialidad de las comunicaciones. Ésta es una limitación de los servicios de seguridad de IEEE , especialmente en un modo de red de infraestructura inalámbrica con un gran número de emisoras. Recientemente, WEP ha demostrado ser un protocolo débil desde el punto de vista criptográfico. Investigadores de la Universidad de Berkeley fueron capaces de desentrañar el cifrado de los datos codificados con WEP. Teóricamente, usuarios con malas intenciones podrían hacer lo mismo en la red. Además, no hay un método estándar para proporcionar claves WEP estáticas a los clientes. Dado que todos comparten la misma clave WEP estática, si esta clave se ve comprometida, las comunicaciones de todos los usuarios pueden verse comprometidas. El control de acceso a las redes inalámbricas es un reto cada vez más difícil de superar para los administradores de red. El acceso ilimitado implica que cualquier usuario que disponga de una tarjeta de red inalámbrica pueda obtener acceso a la red. Por otro lado, un acceso muy restringido invalida las ventajas que supone el acceso inalámbrico e irrita a los usuarios. Limitar el acceso a su infraestructura inalámbrica y mantener alejados a los intrusos al mismo tiempo que ofrece a los usuarios la libertad de trabajar sin cables es un desafío al que se enfrentan todas las compañías que implementan redes inalámbricas. En muchas redes inalámbricas pequeñas, la supervisión de direcciones de Control de acceso a medios (MAC, Media Access Control) constituye la mejor elección. El punto de acceso inalámbrico suele tener la capacidad de almacenar una lista de direcciones MAC con permiso para tener acceso a la red. Si la dirección MAC no se ha agregado al punto de acceso, se rechaza y el usuario no puede conectarse a la red. Esta técnica tiene la ventaja añadida de impedir que los intrusos suplanten las direcciones IP. Sin embargo, si no se puede entrar en la red, no es posible suplantar una dirección. Desgraciadamente, hay herramientas que permiten que un intruso suplante una dirección MAC. Información adicional: Para obtener más información, consulte Microsoft Wi-Fi Technology Center:

43 Posibles soluciones Autenticación de nivel 2 basada en contraseñas
PEAP/MSCHAP v2 de IEEE 802.1x Autenticación de nivel 2 basada en certificados EAP-TLS de IEEE 802.1x Otras opciones Conexiones VPN L2TP/IPsec (la solución preferida) o PPTP No permite usuarios móviles Resulta útil cuando se utilizan zonas interactivas inalámbricas públicas No se produce la autenticación de los equipos ni se procesa la configuración establecida en directivas de grupo IPSec Problemas de interoperabilidad Notas para el alumno: Hay varios protocolos y soluciones de terceros que permiten mejorar la seguridad de las redes WLAN. La solución recomendada es utilizar la Autenticación de nivel 2. La Autenticación de nivel 2 basada en contraseñas es relativamente fácil de implementar porque no requiere una Infraestructura de clave pública (PKI, Public Key Infrastructure). El protocolo que se utiliza para esto es la autenticación de IEEE 802.1x que utiliza el Protocolo protegido de autenticación extensible (PEAP, Protected Extensible Authentication Protocol) y el Protocolo de autenticación por desafío mutuo de Microsoft (MSCHAP, Microsoft Challenge Handshake Authentication Protocol) v2 en la autenticación de los clientes. Si su organización puede implementar una PKI, una solución más segura es utilizar la Seguridad del nivel de transporte del protocolo de autenticación extensible (EAP-TLS, Extensible Authentication Protocol Transport Layer Security) para el acceso de red 802.1x. EAP-TLS utiliza certificados para la autenticación mutua de puntos de acceso y clientes inalámbricos. En ciertas circunstancias, es posible utilizar otras opciones: Conexiones VPN: requiere que los usuarios de dispositivos inalámbricos se conecten mediante tecnologías VPN que puedan cifrar sus datos. Sin embargo, las conexiones VPN suelen requerir que los usuarios establezcan un túnel VPN independiente una vez que se conectan a la red inalámbrica. Esta solución no se puede utilizar si hay usuarios móviles y sólo resulta útil en ciertos escenarios, por ejemplo, al establecer una conexión a través de conexiones inalámbricas inseguras, por ejemplo, en una zona interactiva inalámbrica pública. Además, ya que en las conexiones VPN no se realiza la autenticación de ningún equipo, la configuración de los equipos establecida en las directivas de grupo no se procesa. IPSec: puede configurar directivas IPSec mediante directivas de grupo. Sin embargo, es posible que no todos los equipos cliente admitan IPSec. Además, IPSec no puede cifrar algunos tipos de tráfico de red. Los problemas de interoperabilidad de IPSec podrían ocasionar otras dificultades adicionales. Con frecuencia, IPSec no es una solución viable para proteger el tráfico inalámbrico.

44 Comparaciones de la seguridad de WLAN
Tipo de seguridad de WLAN Nivel de seguridad Facilidad de implementación Facilidad de uso e integración WEP estático Bajo Alta Altos PEAP de IEEE 802.1X Alto Media TLS de IEEE 802.1x Baja VPN Alto (L2TP/IPSec) Bajos IPSec Notas para el alumno: A continuación se comparan las diferentes soluciones. Observe que, cuanto mayor es la seguridad, más difícil se vuelve la implementación. No obstante, puede ahorrar tiempo en la implementación de soluciones muy seguras si la centraliza y utiliza herramientas de administración centralizada, por ejemplo, directivas de grupo. Información adicional (puede estar en inglés): 5-Minute Security Advisor—Deploying 802.1X with Windows XP: Windows Server 2003 Planning Guide, Designing Wireless LAN Security Using 802.1x: The Advantages of PEAP: A Standard Approach to User Authentication for IEEE Wireless Network Access:

45 802.1x Define un mecanismo de control de acceso basado en puertos
Funciona en cualquier tipo de red, tanto inalámbrica como con cables No hay ningún requisito especial en cuanto a claves de cifrado Permite elegir los métodos de autenticación con EAP Es la opción elegida por los elementos del mismo nivel en el momento de la autenticación El punto de acceso no tiene que preocuparse de los métodos de EAP Administra las claves de forma automática No es necesario programar previamente las claves de cifrado para la red inalámbrica Notas para el alumno: El estándar 802.1x soluciona las limitaciones más importantes del estándar : IEEE 802.1x es un estándar para el control de acceso de red basado en puertos (ya sea con cables o inalámbrico) que proporciona acceso de red autenticado a redes inalámbricas y a redes Ethernet con cable. El control de acceso de red basado en puertos utiliza las características físicas de una infraestructura de LAN conmutada para autenticar los dispositivos que se conectan a un puerto LAN e impedir el acceso a ese puerto en los casos en los que el proceso de autenticación no se realiza correctamente. Durante la interacción del control de acceso de red basado en puertos, un puerto LAN adopta una de dos funciones: autenticador o solicitante. En la función de autenticador, un puerto LAN exige la autenticación antes de permitir que el usuario tenga acceso a los servicios conectados al puerto. En la función de solicitante, un puerto LAN solicita el acceso a los servicios conectados al puerto que actúa como autenticador. Un servidor de autenticación, que puede ser una entidad independiente o ubicada junto al autenticador, comprueba las credenciales del solicitante en nombre del autenticador. El servidor de autenticación responde entonces al autenticador y le indica si el solicitante dispone de autorización para tener acceso a los servicios del autenticador. El control del acceso a la red basado en puertos del autenticador define dos puntos lógicos de acceso a la LAN, a través de un puerto LAN físico. El primer punto de acceso lógico, el puerto no controlado, permite el intercambio de datos entre el autenticador y el resto de los equipos de la LAN, independientemente del estado de autorización del equipo. El segundo punto de acceso lógico, el puerto controlado, permite el intercambio de datos entre un usuario de LAN autenticado y el autenticador. IEEE 802.1x utiliza protocolos de seguridad estándar, como el Servicio de autenticación de Internet (IAS, Internet Authentication Service) de Servicio de usuario de acceso telefónico de autenticación remota (RADIUS, Remote Authentication Dial-In User Service), para permitir la identificación centralizada de los usuarios, la autenticación, la administración dinámica de claves y servicios de cuentas. El uso de IEEE 802.1x ofrece una estructura efectiva para autenticar y controlar el tráfico de usuarios a una red protegida, además de las claves de cifrado que varían de forma dinámica x vincula el Protocolo de autenticación extensible (EAP, Extensible Authentication Protocol) a medios LAN inalámbricos y con cables, y admite el uso de varios métodos de autenticación, como son las tarjetas de token, Kerberos, las contraseñas de un solo uso, los certificados y la autenticación de claves públicas.

46 802.1x en 802.11 Asociación Acceso bloqueado Asociado 802.11
Inalámbrico Punto de acceso Servidor RADIUS Equipo portátil Acceso bloqueado Asociación Ethernet Asociado Notas para el alumno: Al utilizar IEEE 802.1x y EAP-TLS como método de autenticación, se emplean certificados de clave pública (no contraseñas) para realizar la autenticación y obtener claves de cifrado. Los clientes y los puntos de acceso realizan la autenticación mutua. EAP protegido (PEAP) es un protocolo de autenticación que utiliza la Seguridad del nivel de transporte (TLS, Transport Layer Security) para mejorar la seguridad de otros métodos de autenticación EAP. PEAP para el Cliente de autenticación 802.1x de Microsoft también proporciona compatibilidad con PEAP-EAP-MSCHAPv2, que utiliza certificados para la autenticación del servidor y credenciales basadas en contraseñas para la autenticación del cliente. El uso de PEAP-EAP-MSCHAPV2 no implica una implementación de PKI extensa. Para habilitar 802.1x, debe implementar un servidor RADIUS (un equipo donde se ejecute IAS), un controlador de dominio con Windows Server 2003 o Windows Server 2000 con Service Pack 4, y un punto de acceso inalámbrico compatible con 802.1x. También puede necesitar una entidad emisora de certificados que emita los certificados. Para saber cómo funciona 802.1x, a continuación se muestran las interacciones que se producen entre los elementos de 802.1x: El cliente intenta establecer una conexión inalámbrica. El proceso de asociación de comienza. Puesto que el cliente no ha sido autenticado, se bloquea el acceso. Para comenzar el proceso, el cliente envía un mensaje de inicio de EAP sobre LAN (EAPOL, EAP-Over-LAN). El punto de acceso responde con un mensaje de identidad de solicitud de EAP (EAP-Request/Identity), que solicita la identidad del cliente. El cliente envía un mensaje de identidad de respuesta de EAP (EAP-Response/Identity). El punto de acceso reenvía la identidad del cliente al servidor RADIUS. El servidor de autenticación utiliza un algoritmo de autenticación para comprobar la identidad del cliente. Podría tratarse de certificados digitales o de algún otro tipo de autenticación de EAP, como MSCHAPv2. Para ello, el servidor RADIUS envía un mensaje de desafío de acceso al punto de acceso. El punto de acceso envía el desafío al cliente en forma de un mensaje de solicitud de EAP (EAP-Request). El cliente responde con un mensaje de respuesta de EAP (EAP-Response), que contiene sus credenciales en respuesta al desafío. El punto de acceso reenvía las credenciales al servidor RADIUS como mensaje de solicitud de acceso de RADIUS (Radius-Access-Request). El servidor de autenticación enviará un mensaje de aceptación o rechazo de acceso de RADIUS (Radius-Access-Accept o Reject) al punto de acceso. El punto de acceso envía un paquete de éxito o rechazo de EAP (EAP-success o EAP-reject) al cliente. Si el servidor RADIUS aceptó el cliente, el punto de acceso pasará el puerto del cliente a un estado autorizado y reenviará el tráfico adicional. El punto de acceso envía una clave de cifrado al punto de acceso mediante un mensaje de clave de EAPOL. El cliente genera una clave WEP idéntica. El cliente y el punto de acceso cifran entonces todas las comunicaciones mediante esta clave WEP. 802.11 RADIUS Inicio de EAPOL Identidad de solicitud de EAP Identidad de respuesta de EAP Solicitud de acceso de RADIUS Desafío de acceso de RADIUS Solicitud de EAP Solicitud de acceso de RADIUS Respuesta de EAP(credenciales) Éxito de EAP Aceptación de acceso de RADIUS Acceso permitido Clave de EAPOL (clave)

47 Requisitos del sistema para 802.1x
Cliente: Windows XP Servidor: IAS de Windows Server 2003 Servicio de autenticación Internet: nuestro servidor RADIUS Certificado en el equipo IAS 802.1x en Windows 2000 El cliente e IAS deben tener SP3 Vea el artículo de KB No se admite la configuración rápida en el cliente Sólo se admiten EAP-TLS y MS-CHAPv2 Es posible que los futuros métodos de EAP en Windows XP y Windows Server 2003 no se puedan utilizar Notas para el alumno: La solución recomendada para utilizar 802.1x con Windows es instalar Windows XP en el equipo cliente. El servidor RADIUS debería ejecutar Windows Server 2003 con el Servicio de autenticación Internet (IAS, Internet Authentication Service) instalado. El servidor IAS también debe tener instalado un certificado. Es posible utilizar Windows 2000 para la autenticación basada en 802.1x. Para ello, compruebe que el servidor IAS Server y los clientes tienen instalado el Service Pack de Windows 2000 más reciente. El artículo de Knowledge Base (Base de conocimiento) contiene información adicional y vínculos a archivos que deben descargarse. Cuando se utiliza Windows 2000, el software de cliente requiere una configuración manual porque en esta plataforma no se admite la configuración rápida. Además, el único método de autenticación requerido es TLS y MS-CHAPv2. Los métodos EAP futuros que se puedan incluir en Windows XP y Windows Server 2003 podrían no ser utilizados en Windows 2000.

48 Configuración de 802.1x Configurar Windows Server 2003 con IAS
Unir un dominio Inscribir un certificado de equipo Registrar IAS en Active Directory Configurar el registro RADIUS Agregar el punto de acceso como cliente RADIUS Configurar el punto de acceso para RADIUS y 802.1x Crear una directiva de acceso para clientes inalámbricos Configurar los clientes No olvide importar el certificado raíz Notas para el alumno: Los pasos para configurar 802.1x en la red son: Configurar un equipo para ejecutar Windows Server 2003 e instalar el componente IAS. Unir un dominio a la red corporativa. Inscribir un certificado de equipo para el servidor. Registrar IAS en Active Directory agregando el equipo al grupo del servidor IAS y acceso remoto. Configurar el registro de RADIUS en IAS. Agregar un punto de acceso inalámbrico como cliente RADIUS en el servidor IAS. Configurar el punto de acceso para utilizar RADIUS y 802.1x. Crear una directiva de acceso para clientes inalámbricos Configurar los equipos cliente para utilizar 802.1x. Obtener un certificado para la entidad emisora de certificados (CA, Certificate Authority) raíz de la entidad que emitió el certificado de equipo del servidor IAS y agregarlo como raíz de confianza en el equipo cliente. Para ello, puede utilizar Active Directory.

49 Directiva de acceso Condición de directiva
El tipo de puerto NAS coincide con Wireless IEEE o con otro tipo de red inalámbrica Grupo de Windows = <algún grupo de AD> Opcional; proporciona control administrativo Debe contener cuentas de usuario y de equipo Notas para el alumno: A continuación, en el servidor IAS, cree una directiva de acceso. La directiva de acceso debe contener la condición El tipo de puerto NAS coincide con Wireless IEEE o con otro tipo de red inalámbrica. También debe agregar una condición de directiva que requiera la pertenencia a un grupo de Windows. De este modo, se limita el acceso de 802.1x a los integrantes de este grupo. Compruebe que agrega todas las cuentas de equipo y de usuario a las que se deba permitir el acceso inalámbrico. Esta condición de la directiva no es obligatoria pero le da a usted control administrativo sobre el acceso inalámbrico.

50 Perfil de directivas de acceso
Tiempo de espera: 60 min. (802.11b) o 10 min. (802.11a/g) No elija métodos de autenticación regulares Tipo de EAP: EAP protegido; utilice certificados de equipo Cifrado: sólo el más seguro (MPPE de 128 bits) Atributos: Ignore-User-Dialin-Properties = True Notas para el alumno: La directiva de acceso también debe contener un perfil. La configuración que debe establecer en el perfil es la que se indica a continuación: Tiempo de espera. Utilice 60 minutos para b o 10 minutos para a u b. Cuando finalice el tiempo de espera, el cliente deberá volver a establecer la conexión, lo que sucede automáticamente. El tiempo de espera está diseñado para reducir la cantidad de datos que un intruso es capaz de interceptar y utilizar para realizar un ataque por la fuerza bruta contra la clave de cifrado. No elija ningún método de autenticación regular; en su lugar, elija EAP. En la página EAP Providers (Proveedores de EAP), elija Protected EAP (PEAP) (EAP protegido). Utilice el certificado de equipo que instaló en el servidor IAS. Elija el método de cifrado más seguro disponible. Actualmente, es MPPE de 128 bits, deshabilitar el resto de métodos de cifrado, donde MPPE es el acrónimo de Microsoft Point-to-Point Encryption (Cifrado punto a punto de Microsoft). Por último, establezca el atributo Ignore-User-Dialin-Properties = True. Información adicional: Para obtener información detallada sobre cómo configurar 802.1x, consulte la sección sobre recursos de implementación en (este sitio está en inglés)

51 Wireless Protected Access (WPA)
Especificación de mejoras en la seguridad interoperable y basada en estándares que aumenta enormemente el nivel de protección de los datos y el control de acceso para los sistemas actuales y futuros de una LAN inalámbrica WPA requiere la autenticación de 802.1x para el acceso de red Objetivos Cifrado mejorado de los datos Permitir la autenticación de los usuarios Compatible con versiones futuras de i Proporcionar una solución que no sea RADIUS para las oficinas domésticas o de pequeño tamaño Wi-Fi Alliance comenzó las pruebas de certificación de la interoperabilidad de los productos de WPA en febrero de 2003 Notas para el alumno: Cuando se creó, WPA tenía dos objetivos de diseño principales en relación a la seguridad. El primero era proporcionar un cifrado de datos mejorado, que era poco seguro con WEP. El segundo objetivo era permitir la autenticación de usuarios, que no era posible en WEP. Para lograr el primer objetivo, WPA utiliza el Protocolo de integridad temporal de claves (TKIP, Temporal Key Integrity Protocol). TKIP proporciona mejoras en el cifrado, entre las que se incluyen funciones de mezcla de claves en cada paquete, un método de comprobación de la integridad de mensajes (MIC, Message Integrity Check), también conocido como Michael, y un vector de inicialización extendido (IV, Initialization Vector) con reglas de secuenciación. WPA implementa 802.1x y EAP para permitir la autenticación de usuarios. Al igual que en todas las implementaciones de 802.1x, se necesita una infraestructura de RADIUS (IAS) para realizar la autenticación. WPA será compatible con la especificación de seguridad de IEEE i que está siendo desarrollada por el IEEE. WPA es un subconjunto del borrador de i, que toma ciertas partes del borrador de i que ya está preparado para aparecer en el mercado, como su implementación de 802.1x y TKIP. Estas características también se pueden habilitar en la mayor parte de los productos certificados de Wi-Fi como actualización de software. En un entorno doméstico o de pequeña oficina u oficina doméstica (SOHO, Small Office/Home Office), donde no hay servidores de autenticación centrales ni una estructura de EAP, WPA se ejecuta en un modo especial. Este modo también se conoce como clave previamente compartida (PSK, Pre-Shared Key). PSK se ha diseñado para que sea fácil de configurar, con lo que permite al usuario doméstico utilizar las claves o contraseñas especificadas manualmente. El usuario doméstico escribe una contraseña (también denominada clave maestra) en el punto de acceso o puerta de enlace inalámbrica doméstica y cada equipo que se encuentra en la red inalámbrica Wi-Fi. Después, el proceso de WPA es automático: La contraseña permite que únicamente los dispositivos con una contraseña que coincida se unan a la red, con lo que se evita el acceso de fisgones y otros usuarios no autorizados. La contraseña activa automáticamente el proceso de cifrado de TKIP, que se ha mencionado anteriormente. Una limitación de seguridad importante de WPA en el modo doméstico es que algunos fabricantes de puntos de acceso inalámbricos permiten que los usuarios especifiquen contraseñas que no son complejas. La ausencia de contraseñas complejas puede hacer que el modo doméstico sea excepcionalmente vulnerable si se utilizan contraseñas poco seguras y predecibles.

52 Recomendaciones Utilice la autenticación de 802.1x
Organice en grupos a los usuarios y equipos inalámbricos Aplique directivas de acceso inalámbrico con directivas de grupo Utilice EAP-TLS para la autenticación basada en certificados y PEAP para la autenticación basada en contraseñas Configure una directiva de acceso remoto para permitir la autenticación de los usuarios y de los equipos Desarrolle un método que se ocupe de los puntos de acceso sospechosos, como la autenticación de 802.1x basada en LAN, las encuestas a sitios, la supervisión de la red y el entrenamiento de los usuarios Notas para el alumno: Se recomienda seguir las prácticas siguientes al utilizar Active Directory en una red donde se utiliza acceso inalámbrico: Utilice la autenticación de 802.1x siempre que se conecte a una red inalámbrica x es un estándar de IEEE que mejora la seguridad y la implementación al permitir la identificación centralizada de los usuarios, la autenticación, la administración dinámica de claves y el uso de cuentas. Organice en grupos a los usuarios y equipos inalámbricos para facilitar la administración. A continuación, puede centralizar la administración de directivas si aplica una directiva a estos grupos. Esto facilita la comprobación de qué directiva se aplica y a qué usuarios o equipos. Planee su directiva inalámbrica minuciosamente. El Asistente para conjunto resultante de directivas (RSOP, Resultant Set of Policy) se puede utilizar para saber exactamente qué directiva se aplica a cualquier objeto del directorio. EAP-TLS es un método de autenticación mutua, lo que significa que tanto el cliente como el servidor prueban sus identidades entre sí. Durante el intercambio de EAP-TLS, el cliente envía su certificado de usuario y el servidor envía su certificado de equipo. Para EAP-TLS se requiere una infraestructura de clave pública. PEAP-MSCHAPv2 se puede utilizar en organizaciones que no implementen una PKI. Realizar la autenticación del equipo permite al dominio autenticar el dispositivo, lo que es necesario para la ejecución de las directivas del grupo de equipos y la configuración de la instalación de software. Cualquier empleado puede comprometer la seguridad de los datos corporativos si conecta un punto de acceso inalámbrico (WAP) a una clavija disponible de la red. En el peor de los casos, un WAP malintencionado que se introduzca en un entorno corporativo podría incluso no tener habilitado WEP, lo que permitiría la asociación y, en última instancia, el acceso a la red a cualquier posible intruso. Debe desarrollar métodos para ocuparse de la posibilidad de que existan puntos de acceso sospechosos. Esto incluye requerir la autenticación basada en 802.1x en los conmutadores para garantizar el control de acceso desde la red con cables, realizar encuestas a los sitios y supervisar la red para detectar los puntos de acceso sospechosos, y entrenar a los usuarios.

53 Orden del día Introducción a la defensa en profundidad
Uso de defensas en el perímetro Uso de ISA Server para proteger los perímetros Uso de Firewall de Windows para proteger a los clientes Protección de redes inalámbricas Protección de comunicaciones mediante IPSec Notas para el alumno: En este tema del orden del día, se explicará cómo proteger las comunicaciones de red entre equipos mediante IPSec. Específicamente se tratará: Objetivos de seguridad en una red Introducción a IPSec Escenarios de IPSec Implementación del filtrado de paquetes de IPSec El filtrado de paquetes no es suficiente para proteger los servidores Tráfico que IPSec no filtra Comunicaciones internas seguras IPSec para la replicación de dominios Acceso a VPN a través de medios que no son de confianza Rendimiento de IPSec Recomendaciones

54 Objetivos de seguridad en una red
Defensa del perímetro Defensa de los clientes Detección de intrusos Control de acceso a la red Confidencialidad Acceso remoto seguro Servidor ISA Firewall de Windows 802.1x / WPA IPSec Notas para el alumno: IPSec ayuda a lograr los siguientes objetivos de seguridad en una red: Defensa de los clientes Confidencialidad del tráfico de red Acceso remoto seguro

55 Introducción a IPSec ¿Qué es Seguridad de IP (IPSec)?
Un método para proteger el tráfico IP Una estructura de estándares abiertos desarrollada por el Grupo de trabajo de ingeniería de Internet (IETF, Internet Engineering Task Force) ¿Por qué se debe utilizar IPSec? Para garantizar que las comunicaciones se cifran y se autentican en el nivel IP Para proporcionar seguridad en el transporte independiente de las aplicaciones o de los protocolos del nivel de aplicación Notas para el alumno: IPSec es la solución a largo plazo para la creación de redes seguras. Proporciona una línea de defensa fundamental contra los ataques de las redes privadas y desde Internet, al mismo tiempo que equilibra la seguridad con la facilidad de uso. IPSec tiene dos objetivos: Proteger la confidencialidad y la integridad del contenido de los paquetes IP y autenticar al emisor de los paquetes. Proporcionar una línea de defensa frente a los ataques de red realizados a través del filtrado de paquetes y exigir comunicaciones de confianza. Ambos objetivos se cumplen gracias al uso de servicios de protección basados en criptografía, protocolos de seguridad y administración dinámica de claves. Estos fundamentos proporcionan la resistencia y la flexibilidad necesarias para proteger las comunicaciones entre equipos de redes privadas, dominios, sitios, sitios remotos, extranets y clientes de acceso telefónico. IPSec se puede utilizar incluso para bloquear la recepción o transmisión de tipos de tráfico específicos. IPSec se basa en un modelo de seguridad completo, que establece confianzas entre una dirección IP de origen y otra de destino, y las protege. No es necesario que la propia dirección IP se considere una identidad. En cambio, el sistema que subyace tras ella tiene una identidad que se valida a través de un proceso de autenticación. Los únicos equipos que deben tener constancia del tráfico que se protege son el emisor y el receptor. Cada equipo se ocupa de la seguridad en su extremo respectivo, bajo la suposición de que el medio sobre el que la comunicación tiene lugar no es seguro. Cualquier equipo que únicamente enrute los datos del origen al destino no tiene que admitir el uso de IPSec, a menos que entre ambos equipos se realice el filtrado de paquetes al estilo de un servidor de seguridad o la traducción de direcciones de red. Este modelo permite que IPSec se implemente correctamente en muchos escenarios corporativos. IPSec pasa completamente desapercibido para las aplicaciones porque los servicios de cifrado, integración y autenticación se implementan en el nivel de transporte. Las aplicaciones siguen comunicándose normalmente entre sí con los puertos TCP y UDP.

56 Escenarios de IPSec Filtrado básico para permitir o bloquear paquetes
Comunicaciones seguras en la LAN interna Replicación en los dominios a través de servidores de seguridad Acceso a VPN a través de medios que no son de confianza Notas para el alumno: IPSec puede servir de ayuda en diversos escenarios comunes que se enumeran en la diapositiva. Al crear una directiva IPSec en una organización para alguno de los escenarios de esta diapositiva, considere lo siguiente: Evalúe el tipo de información que se envía a través de la red. ¿Son datos financieros confidenciales, información propietaria o correo electrónico? Algunos departamentos de una compañía pueden requerir un nivel mayor de seguridad que los demás debido a su función específica. Considere lo siguiente: ¿Qué debe proteger? ¿Debe proteger el tráfico entre algunos equipos o de todos ellos, o sólo para algunos protocolos o puertos específicos? ¿Cómo debe protegerlo? ¿Debe proteger el tráfico con Encabezado de autenticación (AH) o también con Carga de seguridad encapsuladora (ESP, Encapsulation Security Payload) y con qué grado de seguridad? ¿Dónde debe protegerlo? ¿Debe protegerlo sólo a través de conexiones de acceso remoto o también a través de la red de área local? ¿Quién va a administrar la directiva? ¿Los administradores de dominios, de servidores o de equipos locales? ¿Funcionará la configuración de cifrado en todos los equipos pertinentes? ¿Se tendrá acceso a los datos en equipos con criptografía segura (cifrado 3DES) y también en equipos donde se utilice criptografía estándar (DES)? Determine dónde se almacena la información, cómo se enruta a través de la red y desde qué equipos se puede tener acceso a ella. Estos datos proporcionan información de la velocidad, capacidad y utilización de la red antes de implementar IPSec, lo que resulta útil para optimizar el rendimiento. Evalúe su vulnerabilidad ante varios tipos de ataques de red. Diseñe y documente un plan de seguridad de red en toda la compañía. Tenga en cuenta lo siguiente: La estructura de seguridad general de Windows 2000 y de las versiones posteriores, incluido el uso de Active Directory y la forma en que se aplica la seguridad a los objetos de directiva de grupo. Los escenarios de comunicación que requiere, por ejemplo, intranet, acceso remoto, extranets para socios comerciales y comunicación entre sitios (de enrutador a enrutador). El nivel de seguridad necesario para cada escenario. Por ejemplo, puede decidir que sólo se requiere confidencialidad en las comunicaciones de Internet. Diseñe, cree y pruebe las directivas de IPSec para cada escenario. Esto le permite aclarar y especificar qué directivas y estructuras de directivas son necesarias. Durante las pruebas de los escenarios de implementación, utilice cargas de trabajo estándar en las aplicaciones con el fin de obtener resultados realistas. Durante las pruebas iniciales, puede ver el contenido de los paquetes mediante el Monitor de red de Microsoft o con un rastreador de red con el nivel de método de seguridad Sólo integridad o un método de seguridad personalizado establecido como AH porque el uso de Cifrado e integridad o ESP con cifrado impedirá ver los paquetes.

57 Implementación del filtrado de paquetes de IPSec
Filtros para tráfico permitido y bloqueado No se produce ninguna negociación real de las asociaciones de seguridad de IPSec Los filtros se solapan: la coincidencia más específica determina la acción No proporciona filtrado de estado Se debe establecer "NoDefaultExempt = 1" para que sea seguro Notas para el alumno: Aunque IPSec no proporciona funciones completas de servidor de seguridad, se puede utilizar para permitir o bloquear estáticamente el tráfico en función de combinaciones de direcciones de origen o destino, según el protocolo IP y los puertos TCP y UDP. Algunas de las funciones de los servidores de seguridad estándar que IPSec no ofrece son la inspección de estado, el conocimiento del protocolo de aplicación, la inspección de intrusos y el registro de paquetes. Los administradores deben empezar por planear el cambio de todas las implementaciones de IPSec nuevas y existentes para utilizar la configuración de la clave del Registro NoDefaultExempt=1 en los equipos basados en Windows 2000 o Windows XP. La clave del Registro NoDefaultExempt=1 se admite en Windows Server 2003 para que los administradores puedan restaurar el comportamiento de exención predeterminado por compatibilidad con las versiones anteriores de diseños de directivas IPSec y con los programas. Durante la actualización a Windows Server 2003, se mantiene el valor de configuración de la clave del Registro NoDefaultExempt=1 existente. Cuando haya analizado y determinado a qué tráfico desea permitir el uso del filtrado de paquetes IPSec, haga lo siguiente para agregar, modificar o quitar filtros IPSec: Cree una consola que contenga Directivas de seguridad IP. O bien, abra un archivo de consola guardado que contenga Directivas de seguridad IP. Haga doble clic en la directiva que desee modificar. Haga doble clic en la regla que contenga la lista de filtros IP que desee modificar. En la ficha Lista de filtros IP, haga doble clic en la lista de filtros IP que contenga el filtro IPSec que desee modificar. En el cuadro de diálogo Lista de filtros IP, elija entre las opciones siguientes: Para agregar un filtro, haga clic en Agregar. Para modificar un filtro existente, seleccione el que desee y haga clic en Modificar. Para quitar un filtro existente, seleccione el que desee y haga clic en Quitar. Si va a agregar o a modificar un filtro, en Propiedades de filtros IP, haga clic en la ficha Direcciones y, después, seleccione la Dirección de origen: Seleccione Para proteger paquetes de Mi dirección IP Todas las direcciones IP del equipo para el que va a configurar este filtro. Cualquier dirección IP Cualquier equipo. Un DNS específico El nombre del sistema de nombres de dominio (DNS, Domain Name System) que especifique en Nombre de host. Una dirección IP específica La dirección IP que especifique en Dirección IP. Una subred IP específica La subred IP, definida por la dirección IP que especifique en Dirección IP y máscara de subred. Servidores DNS<dinámicos> Los servidores DNS del equipo para el que está configurando este filtro. Servidores WINS<dinámicos> Los servidores WINS del equipo para el que está configurando este filtro. Servidor DHCP<dinámico> El servidor DHCP del equipo para el que está configurando este filtro. Puerta de enlace predeterminada <dinámica> La puerta de enlace predeterminada del equipo para el que está configurando este filtro. 8. Haga clic en Dirección de destino y repita el paso 6 para la dirección de destino. 9. Seleccione la opción Reflejar imagen apropiada. 10. En la ficha Descripción, en Descripción, escriba una descripción para este filtro (por ejemplo, especifique a qué equipos y tipos de tráfico se aplica). 11. Si requiere filtrado IP adicional para un protocolo o número de puerto específicos, en la ficha Protocolo, configure las opciones avanzadas del filtro. Desde IP A IP Protocolo Puerto de origen Puerto de destino Acción Cualquiera Mi IP de Internet N/D Bloquear TCP 80 Permitir

58 El filtrado de paquetes no es suficiente para proteger un servidor
Los paquetes IP suplantados contienen consultas o contenido peligroso que puede seguir llegando a los puertos abiertos a través de los servidores de seguridad IPSec no permite la inspección de estado Muchas herramientas que utilizan los piratas informáticos emplean los puertos de origen 80, 88, 135 y otros para conectar a cualquier puerto de destino Notas para el alumno: Si se bloquea la comunicación a puertos específicos de un servidor, es más difícil que un intruso tenga acceso a éste o que el servidor se utilice con el fin de atacar a otros equipos, pero no se impide completamente la posibilidad de un ataque. Puede reforzar la seguridad mediante el filtrado IPSec para controlar exactamente el tipo de comunicación permitida entre los sistemas. También puede utilizar IPSec con el componente Traducción de direcciones de red (NAT, Network Address Translation) o Servidor de seguridad básico de RRAS o con el filtro de paquetes IP para mejorar el filtrado de IPSec del tráfico entrante o saliente. Sin embargo, no debería depender de este filtrado de paquetes para reemplazar la función de servidor de seguridad.

59 Tráfico que IPSec no filtra
Direcciones de difusión IP No puede proteger a varios receptores Direcciones de multidifusión De a Kerberos: puerto UDP 88 de origen o destino Kerberos es un protocolo seguro, que el servicio de negociación IKE puede utilizar para la autenticación de otros equipos en un dominio IKE: puerto UDP 500 de destino Obligatorio para permitir que IKE negocie los parámetros de seguridad de IPSec Windows Server 2003 configura únicamente la exención predeterminada de IKE Notas para el alumno: La característica IPSec de Windows 2000 y Windows Server 2003 no se diseñó como servidor de seguridad basado en host con todas las funciones. Su propósito era permitir un filtrado básico de tipo permitir y bloquear mediante direcciones de red e información del protocolo y de los puertos en los paquetes de red. IPSec también se diseñó como herramienta administrativa para mejorar la seguridad de las comunicaciones de forma que sea transparente para los programas. Por ello, permite el filtrado del tráfico necesario para negociar la seguridad del modo de transporte de IPSec o el modo de túnel de IPSec, principalmente en entornos de intranet donde se pueden aplicar confianzas a los equipos con el servicio Kerberos o con rutas de acceso específicas a través de Internet donde se puedan utilizar certificados digitales de PKI. Para facilitar esto, cierto tráfico está exento de la configuración predeterminada de IPSec. De forma predeterminada, Windows Server 2003 quita todas las exenciones predeterminadas, excepto la de IKE. Es posible que haya que realizar cambios en el diseño de las directivas IPSec actuales para poder utilizarlas en Windows Server 2003. Información adicional: Para encontrar más información sobre las limitaciones de IPSec, consulte:

60 Comunicaciones internas seguras
Utilice IPSec para permitir la autenticación mutua de dispositivos Utilice certificados o Kerberos La utilización de claves compartidas sólo es conveniente para pruebas Utilice Encabezado de autenticación (AH) para garantizar la integridad de los paquetes El Encabezado de autenticación proporciona integridad en los paquetes El Encabezado de autenticación no cifra, con lo que se basa en los sistemas de detección de intrusos de red Utilice Carga de seguridad encapsuladora (ESP) para cifrar el tráfico sensible ESP proporciona integridad en los paquetes y confidencialidad El cifrado impide la inspección de los paquetes Planee minuciosamente qué tráfico debe protegerse Notas para el alumno: Puede utilizar IPSec para proteger las comunicaciones dentro de la red corporativa. Hay tres estrategias generales: Utilice IPSec para garantizar que sólo los equipos autorizados, por ejemplo los integrantes de un dominio, se comuniquen con los equipos de una red. Puede utilizar Kerberos para implementar IPSec siempre y cuando los equipos sean integrantes de uno de los dominios corporativos. El uso de un certificado permite incluir los equipos que no sean integrantes de un dominio en la implementación de IPSec. Una clave previamente compartida no proporciona suficiente seguridad para resultar útil en un entorno que no sea de prueba. Para garantizar la integridad de los paquetes únicamente, utilice Encabezado de autenticación (AH). El Encabezado de autenticación permite la autenticación y comprobación de la integridad de los paquetes pero no permite el cifrado. Dado que el Encabezado de autenticación no cifra el tráfico de red, deja que sea la detección de intrusos basada en red la que inspeccione el tráfico. ESP cifra el tráfico sensible y proporciona confidencialidad. El uso de ESP hace imposible utilizar sistemas de detección de intrusos basados en red porque se cifra el tráfico de red. Planee siempre minuciosamente qué tráfico se debe proteger y cómo. Información adicional: Diseño de directivas IPSec en: Consideraciones especiales sobre IPSec en:

61 IPSec para la replicación de dominios
Utilice IPSec para la replicación a través de servidores de seguridad En cada controlador de dominio, cree una directiva IPSec para proteger todo el tráfico a la dirección IP del otro controlador de dominio Utilice ESP 3DES para el cifrado Permita el tráfico a través del servidor de seguridad: Puerto UDP 500 (IKE) Protocolo IP 50 (ESP) Notas para el alumno: Si los controladores de dominio están separados mediante servidores de seguridad, el tráfico normal de replicación requiere que abra un gran número de puertos. Puede utilizar IPSec con el fin de reducir el número de puertos que se abren. Para ello: En cada controlador de dominio, cree una directiva IPSec para proteger todo el tráfico a la dirección IP del otro controlador de dominio. Utilice ESP para cifrar el tráfico y elija el algoritmo de cifrado más seguro disponible para IPSec basado en Windows, que es 3DES. En el servidor de seguridad, permita el paso de todo el tráfico que provenga de o se dirija a: El puerto UDP 500 de cada controlador de dominio, que es utilizado por IKE El protocolo IP 50, que es utilizado por ESP

62 Acceso de VPN a través de medios que no son de confianza
VPN de cliente Utilice L2TP/IPSec VPN de sucursal Entre Windows 2000 o Windows Server, con RRAS: utilice túnel L2TP/IPSec (fácil de configurar, aparece como una interfaz enrutable) A una puerta de enlace de terceros: utilice L2TP/IPSec o el modo de túnel puro de IPSec A la puerta de enlace RRAS de Microsoft Windows NT® 4: utilice PPTP (IPSec no está disponible) Notas para el alumno: IPSec puede utilizarse para establecer una VPN a través de un medio que no es de confianza. Hay dos tipos de VPN: VPN de cliente. Los clientes siempre utilizan L2TP junto con IPSec cuando establecen una conexión VPN basada en IPSec con un servidor VPN donde se ejecute Windows 2000 o Windows Server L2TP encapsula las comunicaciones de cliente e IPSec permite cifrar el tráfico. (Las conexiones VPN del cliente Windows también pueden utilizar PPTP.) VPN de sucursal. Las conexiones VPN de sucursal se establecen entre dos puertas de enlace VPN y permiten las comunicaciones entre todos los clientes conectados a ellas. No es necesario configurar ningún cliente, sólo las puertas de enlace VPN. El protocolo que se utiliza depende de las capacidades del servidor remoto con el que se está estableciendo una conexión. Información adicional: Consulte “Designing and Planning IPSec Policies” en: Consulte “Special IPSec Considerations” en:

63 Rendimiento de IPSec El procesamiento de IPSec tiene algunas consecuencias en el rendimiento Tiempo de negociación de IKE, inicialmente entre 2 y 5 segundos 5 recorridos de ida y vuelta Autenticación: Kerberos o certificados Generación de claves criptográficas y mensajes cifrados Se realiza una vez cada ocho horas de forma predeterminada y se puede configurar El cambio de claves de la sesión es rápido:< entre uno y dos segundos, dos recorridos de ida y vuelta, una vez cada hora y se puede configurar Cifrado de paquetes ¿Cómo se puede mejorar? Al descargar el proceso criptográfico en NIC, IPSec casi alcanza la velocidad de los dispositivos con cable Mediante CPU más rápidas Notas para el alumno: El proceso de IPSec tiene varias consecuencias en el rendimiento de las comunicaciones de red. Cuando implemente IPSec, debe tener esto en cuenta. La consecuencia más apreciable se produce durante la configuración de la sesión, cuando tiene lugar la generación y el intercambio de claves. Generalmente, este proceso tarda entre dos y cinco segundos, pero el tiempo exacto depende de varios factores, como la velocidad de la red y si en la autenticación de Kerberos se utilizan comunicaciones con un controlador de domino. También afecta al rendimiento el cifrado de los paquetes, en menor medida pero de forma continuada. En muchos casos, las consecuencias en el rendimiento cuando la configuración de la sesión ha finalizado son muy pequeñas e imperceptibles para la mayor parte de las aplicaciones de red. Puede atenuar las consecuencias de IPSec en el rendimiento mediante adaptadores de red que descarguen el proceso criptográfico en el hardware de la tarjeta de interfaz de red (NIC, Network Interface Card) o mediante CPU más rápidas.

64 Recomendaciones Planee minuciosamente la implementación de IPSec
Elija entre AH y ESP Utilice directivas de grupo para implementar directivas IPSec Considere el uso de NIC de IPSec No utilice nunca la autenticación con claves compartidas fuera de un entorno de prueba Elija entre la autenticación basada en Kerberos o en certificados Tenga cuidado al requerir el uso de IPSec para las comunicaciones con controladores de dominio y otros servidores de infraestructuras Notas para el alumno: Antes de implementar cualquier solución IPSec, debe asegurarse de que ha planeado cuidadosamente lo que desea llevar a cabo y cómo implementarlo. Antes de utilizar IPSec, decida si sólo requiere autenticación, lo que puede conseguir mediante Encabezado de autenticación, o si también necesita confidencialidad, que requiere ESP. Al implementar IPSec, utilice directivas de grupo siempre que sea posible. La utilización de directivas de grupo garantiza la coherencia y que se exijan los requisitos corporativos. Considere la posibilidad de descargar el proceso criptográfico en NIC si observa que el uso de IPSec crea un problema de rendimiento. Con frecuencia, sólo unos pocos equipos requieren esta clase de NIC. El uso de claves previamente compartidas es un método que puede utilizarse con IPSec, pero sólo en un entorno de laboratorio y para solucionar problemas. Las claves previamente compartidas no proporcionan un grado suficiente de seguridad en un entorno de producción. Utilice siempre la autenticación basada en Kerberos o en certificados. El tipo que elija dependerá de sus requisitos. La autenticación basada en Kerberos es más fácil de configurar pero requiere que todos los equipos sean integrantes del dominio. Los certificados permiten que todos los equipos que puedan emplear IPSec se comuniquen entre sí, pero debe implementar una PKI para utilizarlos. Como los clientes pueden requerir comunicaciones que no sean seguras con los controladores de dominio y otros servidores de infraestructuras, por ejemplo, con servidores DNS y DHCP, a fin de poder establecer una asociación de seguridad, compruebe que sus directivas IPSec para estos servidores no impiden las comunicaciones.

65 Demostración 4 IPSec Configuración y pruebas de una directiva IPSec sencilla Configuración y pruebas de un filtro de paquetes IPSec Notas para el alumno: En esta demostración, se tratará: Cómo configurar y probar una directiva IPSec sencilla Cómo crear un filtro de paquetes IPSec

66 Resumen de la sesión Introducción a la defensa en profundidad
Uso de defensas en el perímetro Uso de ISA Server para proteger los perímetros Uso de Firewall de Windows para proteger a los clientes Protección de redes inalámbricas Protección de redes mediante IPSec Notas para el alumno:

67 Pasos siguientes Mantenerse informado sobre seguridad
Suscribirse a boletines de seguridad: boletines.asp Obtener las directrices de seguridad de Microsoft más recientes: Obtener aprendizaje adicional de seguridad Buscar seminarios de aprendizaje en línea y presenciales: Buscar un CTEC local que ofrezca cursos prácticos: Notas para el alumno: En los pasos siguientes es necesario que vaya al sitio Web de Microsoft para: Obtener la información más reciente sobre seguridad. Obtener aprendizaje adicional de seguridad.

68 Para obtener más información
Sitio de seguridad de Microsoft (todos los usuarios) Sitio de seguridad de TechNet (profesionales de IT) seguridad/default.asp Sitio de seguridad de MSDN (desarrolladores) (este sitio está en inglés) Notas para el alumno: Hay más información técnica para profesionales de tecnología de la información y desarrolladores en los sitios Web siguientes: Sitio de seguridad de Microsoft (todos los usuarios) (este sitio está en inglés) Sitio de seguridad de TechNet (profesionales de IT) (este sitio está en inglés) Sitio de seguridad de MSDN® (desarrolladores) (este sitio está en inglés)

69 Preguntas y respuestas

70 Notas para el alumno:


Descargar ppt "Implementación de seguridad en la red y del perímetro"

Presentaciones similares


Anuncios Google