La descarga está en progreso. Por favor, espere

La descarga está en progreso. Por favor, espere

Windows Server 2003 Certificate Services. PKI. Javier Pereña Peñaranda Ingeniero de Sistemas Código: HOL-WIN09.

Presentaciones similares


Presentación del tema: "Windows Server 2003 Certificate Services. PKI. Javier Pereña Peñaranda Ingeniero de Sistemas Código: HOL-WIN09."— Transcripción de la presentación:

1 Windows Server 2003 Certificate Services. PKI. Javier Pereña Peñaranda Ingeniero de Sistemas Código: HOL-WIN09

2 Agenda Introducción PKI. –Conceptos básicos de seguridad. Sistemas de control de acceso. –Sistemas Preventivos –Qué es un Mecanismo de Control de Acceso –¿Qué entendemos por acceso? –Objetivos de los Mecanismos de Control de Acceso –¿Cómo se preservan estos principios? –Características esenciales de un Sistema de Control de Acceso (SCA) –Etapas del Proceso de Control de Acceso –Identificación

3 Agenda Autentificación –Autentificación Tipo1 »Tipos de contraseñas. »Passwords managers –Autentificación Tipo 2 –Autentificación Tipo 3: Biometría »Dispositivos Biométricos. »Tipos de Biometrías. »Aceptabilidad de Biometrías. Certificate Services. Implementación de PKI en Windows Server 2003 –Componentes de PKI –Inicio de sesión con Smart Card Implantación de Smart Cards DEMOS !!!!

4 Agenda SSL en IIS 6.0 con OWA. –Solicitud de certificados. –Instalación de certificados. –Mantenimiento de certificados. Certificados y firma digital en Outlook –Firma digital. –Encriptación. IPSec. –Introducción. –Escenarios. –Implementación. DEMOS !!!!

5 Agenda DEMO. Autenticación biométrica mediante OneTouch by Intuate biometrics

6 Agenda FUTURO Protocolo SET. Aplicación práctica de smartcards al e-commerce. –Características. –Entorno. –Certificación. –Jerarquía de certificación. –Autoridades de Registro. –Procedimiento. –Pago electrónico. –Ventajas sobre SSL. –SET frente a SSL y TLS

7 Introducción a la Seguridad

8 Gestión de la Seguridad Personas Tecnología Procesos

9 Bug Un error de software o computer bug, que significa bicho de computadora, es el resultado de una falla de programación introducida en el proceso de creación de programas de computadora. El término bug fue acreditado erróneamente a Grace Murray Hopper, una pionera en la historia de la computación, pero Thomas Edison ya lo empleaba en sus trabajos para describir defectos en sistemas mecánicos por el año 1870.programaciónprogramas de computadoraGrace Murray Hoppercomputación Thomas Edison1870 Fuente: Wikipedia en Español

10 Bug

11 Exploit Exploit (viene de to exploit - aprovechar) - código escrito con el fin de aprovechar un error de programación para obtener diversos privilegios. software. software Un buen número de exploits tienen su origen en un conjunto de fallos similares. Algunos de los grupos de vulnerabilidades más conocidos son: –Vulnerabilidades de desbordamiento de pila o buffer overflow.buffer overflow –Vulnerabilidades de condición de carrera (Race condition).condición de carrera –Vulnerabilidades de error de formato de cadena (format string bugs).error de formato –Vulnerabilidades de Cross Site Scripting (XSS).Cross Site Scripting (XSS) –Vulnerabilidades de inyección SQL (SQL injection).SQL injection –Vulnerabilidades de inyeccion de caraceres (CRLF).CRLF Fuente: Wikipedia en Español

12 Proceso explotación Vulnerabilidad 1.- Se descubre una vulnerabilidad a) Por el fabricante b) Por un tercero 2.- Se aprende a explotarlo a) Ingeniería inversa de Código b) Ingeniería inversa de Patch 3.- Se usa un Payload para automatizar

13 Comunidades Hacker infohacking.com

14 Servidor de Día-0 Zero Day Server es aquel que tiene todo el software que corre en su sistema actualizado y no tiene ningún bug conocido. Es el máximo nivel de seguridad que se puede alcanzar con el software que corre en un sistema. Existen Zero Day Exploits.

15 Auditoría de Seguridad El objetivo es dejar un Servidor en Día-0. No es la única auditoría de seguridad que debe realizarse. Se debe realizar de forma automática y de forma manual [artesana]. Se debe realizar con la visión de un atacante y con la visión del administrador.

16 Auditoría Caja Negra Se realiza desde fuera Ofrece la visión de un hacker No puede ser ejecutada desde dentro: –Falsos positivos No garantiza Servidor Seguro No todos los escáner ofrecen los mismos resultados. SSS, Nessus, GFI Languard, Retina, ISS Real Secure, etc …

17 Scanners de Vulnerabilidades Satan, Saint, Sara Shadow Security Scanner –http://www.safety-lab.com GFI Languard Network Security Scanner –http:///www.gfihispana.com Retina –http://www.eeye.com Nessus –http://www.nessus.org NetBrute, R3X

18 Auditoría Caja Blanca Se realiza internamente Con privilegios y visualización completa del sistema Se utilizan herramientas proporcionadas por el fabricante o propias –MBSA –EXBPA –MOM 2005 –….

19 Sistemas de Control de Acceso

20 Sistemas Preventivos Dentro de las estrategias de Administración de la Seguridad existen tres funciones que son esenciales en cuanto a las acciones a aplicar para mitigar los riesgos asociados a los sistemas computacionales. –Prevención: Esta función guarda relación con planificar y realizar todas aquellas actividades necesarias para evitar que se produzcan eventos de seguridad que puedan provocar algún daño sobre cualquier medio informático. –Detección: Es la capacidad de poder detectar y reaccionar oportunamente frente a algún incidente de seguridad que se produzca para minimizar su daño. –Recuperación: En caso de haberse producido daño, poder recuperar rápidamente la operación y los servicios esenciales del negocio DISASTER RECOVERY PLAN

21 Sistemas Preventivos Dentro de la función de Prevención, se pueden distinguir diferentes ámbitos de acción posible, los cuales es necesario tomar en consideración, para poder conseguir un adecuado nivel de seguridad en la LAN interna de las empresas, a saber: –Mecanismos de Control de Acceso. –Control de Acceso Perimetral. –Seguridad de las Operaciones. –Seguridad Física. NOTA: Solo los 2 primeros aspectos se verán con detalle en este HOL.

22 Qué es un Mecanismo de Control de Acceso Un mecanismo de control de acceso corresponde a ciertas herramientas que sirven para administrar de forma efectiva el debido acceso de cada uno de los usuarios y sujetos a cada uno de los respectivos recursos de un sistema informático. Los mecanismos de Control de Acceso tienen como misión proteger a los sistemas y activos informáticos de accesos no debidamente autorizados que puedan ocasionar algún daño a la información que éstos contienen. Estas herramientas y técnicas constituyen la primera línea de defensa contra los eventuales riesgos asociados con accesos externos.

23 ¿Qué entendemos por acceso? Es el flujo de información entre un Sujeto y un Objeto Sujeto: Entidad activa (persona o proceso que solicita información de un objeto para realizar un tarea, lo cual puede generar cambios en el estado de un sistema) Objeto: Entidad pasiva que contiene información Programas Procesos Programas OBJETO SUJETO

24 Objetivos de los Mecanismos de Control de Acceso Los mecanismos de control de acceso (MCA) también buscan preservar el cumplimiento de los 3 principios fundamentales que gobiernan la seguridad de los sistemas informáticos. integridad Confidencialidad Disponibilidad

25 ¿Cómo se preservan estos principios? Confidencialidad: Con el fin de preservar un nivel de privacidad adecuado de la información que se alberga en los sistemas computacionales, los SCA, generan una definición de las necesidades reales de información de los usuarios. Integridad: Este principio vela por la total consistencia tanto externa como interna de la información y que ésta solo sea manipulada por entes debidamente autorizados. Disponibilidad: En este caso lo que se persigue es tener un acceso a los datos confiable y seguro para los usuarios autorizados.

26 Características esenciales de un Sistema de Control de Acceso (SCA) Todo SCA, debiera contener al menos las siguientes funcionalidades: –Proteger claves de acceso. –Desplegar e indicar los privilegios y restricciones que cada usuario autorizado tiene. –Ser capaz de registrar y notificar todas las violaciones de acceso cometidas en los sistemas IDS –Poseer la habilidad de restringir y bloquear los accesos de forma dinámica y flexible. –Proteger las tablas de control de seguridad, diarios y grupos de datos de almacenamiento. –Tener facilidad de mantenimiento y actualización para agregar cambios en las plataformas que supervisa.

27 Etapas del Proceso de Control de Acceso El proceso de control de acceso, pasa por las siguientes fases o etapas: –El sujeto presenta ciertas credenciales de identificación y ciertos niveles de privilegio. (Etapa de Identificación) –Hay que verificar si él es quien dice ser, y si las credenciales que presenta corresponden a su asignación de responsabilidad. (Etapa de Autentificación) –De ser exitosas las dos etapas anteriores, este usuario obtiene acceso a los recursos que ha solicitado (Etapa de Autorización). –Se debe llevar un registro de todas y cada una de las acciones que éste realizó en el sistema (Auditabilidad)

28 Etapas de un control de Acceso IdentificaciónautentificaciónAutorización Auditabilidad

29 Identificación El proceso de identificación de un individuo consiste en la presentación de credenciales que debieran acreditar su identidad. Éstas, en general son conocidas, y pueden ser: –Nombre de usuario (username) –Número de usuario (number ID) –Numero de cuenta (counter ID) –Dirección IP de la máquina que se conecta –Identificación del área funcional –Dirección MAC de la máquina que se conecta La más difundida de estas identificaciones es el nombre de usuario o la dirección de correo electrónico.

30 Autentificación El proceso de autentificación tiene que ver con la validación de la identidad de un individuo. Es decir, éste debe probar quien dice ser. Para ello debe presentar credenciales que permitan acreditar su identidad. Existen tres tipos de credenciales, más conocidas como factores de autentificación, que son: –Tipo1: Algo que la persona sabe (contraseña, PIN, frase, etc.) –Tipo2: Algo que la persona posee (Carnet de identidad, smartcard, etc.) –Tipo3: Algo que la persona es (su huella digital, etc.) Cuando un esquema de autentificación usa dos o más factores, se habla de autentificación robusta.

31 Autentificación Tipo1 Contraseñas: Corresponde a un conjunto de caracteres que se le asigna a un determinado sujeto y que solo él debe conocer, para validar su identidad. A este respecto deben tenerse las siguientes consideraciones como parte de una política de administración de éstas: –Estas claves no deben ser fácilmente deducibles (password triviales) –Debieran chequearse en todos los sistemas la existencia de contraseñas débiles y eliminarlas. MBSA 2.0, SSS, GFILanguard, Retina…………… –Los usuarios deberían cambiarlas cada cierto tiempo y, si fuera posible, no reutilizar contraseñas viejas. –Debiera contarse con un mecanismo generador de claves robustas, para cada usuario que requiera cambios. DE NIVEL C2 –Debieran bloquearse las cuentas después de un cierto numero de intentos fallidos (máximo 5) Contraseñas dinámicas por SW: Corresponde a un programa que genera números a partir de una base real (numero de tarjeta de crédito) mediante lo que se conoce como Función de Hashing

32 Tipos de contraseñas Contraseñas estáticas: Son las claves que se asignan una vez y no cambian en el tiempo. Contraseñas cognitivas: Son mecanismos de acceso que se basan en la formulación de una serie de preguntas personales para validar la identidad de una persona. Son utilizados en ciertos procesos que tienen poca frecuencia de uso (mecanismos de recuperación de contraseñas perdidas) Contraseñas Dinámicas: Corresponde a aquel tipo de contraseñas cuya vigencia es relativamente de corta duración (de unos días a unos cuantos minutos).

33 Password managers Con objeto de conseguir una protección real de estos sistemas, las claves de acceso ya creadas deberían ser almacenadas en un sistema que permita una verdadera protección y privacidad de ellas. Estos programas que realizan estas funciones de administración de claves de acceso, se conocen como administradores de contraseñas (password managers). Ej –Ej: PasswordLock – – Password Manager XP – – Password Wallet from InfoCard – –Password Wallet from TigerSoft – etc.http://www.inet.hr/tigersoft/pwallet.htm También existe una solución basada en dispositivos de hardware: –Trusted Computing Group –http://www.trustedcomputinggroup.org/http://www.trustedcomputinggroup.org/

34 Autentificación Tipo2 Token: Es un dispositivo portátil que despliega una secuencia de números que deben ser introducidos en la máquina, la cual está corriendo un mecanismo de autentificación interno para validar la identidad de quién desea ingresar en él. La validación se produce mediante la sincronización entre la información aportada por el Token y el mecanismo de autentificación del Computador Protegido (ver figura).

35 Autentificación Tipo2 MemoryCard: Es una tarjeta portátil, que tiene almacenada la información de autentificación del usuario. Ejemplo: –Tarjeta de entrada a un edificio o una empresa Tarjeta RedBanc SmartCard: Es un dispositivo similar al anterior, pero incorpora capacidad de procesamiento propia, lo cual permite un autentificación de 2 factores (pide escribir un Pin para desbloquear la tarjeta y una vez hecho esto, se incorpora la información proporcionada en la máquina debidamente protegida (ver figura). Frase Clave (PassPhrase): Es una serie de palabras que sirven para enmascarar una clave virtual, que permiten validar el acceso a ciertos servicios empresariales.

36 Autentificación Tipo3: Biometría Las medidas Biométricas son características especiales que identifican a los individuos en forma unívoca por sus rasgos biológicos más distintivos. Estas medidas se pueden obtener mediante dispositivos altamente sensibles, los que permiten medir la geometría de la mano, y ciertos patrones de la forma del ojo, para asegurar la identidad de los individuos. Sin embargo estos dispositivos no han tenido mucha difusión por los siguientes factores: –Se hace necesario un proceso de enrolamiento previo para registrar la información de los personas. –La gente no está acostumbrada a intervenirse ciertos órganos esenciales del cuerpo humano (ojos, manos).

37 Dispositivos Biométricos Debido a su alta sensibilidad estos dispositivos son susceptibles a ciertos errores denominados falsos positivos y falsos negativos. Sensibilidad Tasa Falso Positivo: Rechaza usuario valido (error tipo 1) Tasa Falso Negativo= Acepta Usuario no valido (error tipo 2) Tasa de Error Cruzada (CER)

38 Tipos de Biometrías Escaneo de la palma de la mano. Geometría de la Mano. Escaneo del Iris. Análisis de Patrón de Retina. Huella Digital. Reconocimiento de Voz. Reconocimiento Facial. Cadencia de la firma. Cadencia de la forma de teclear.

39 Aceptabilidad de Biometrías Escaneo del Iris. Cadencia de la forma de teclear. Cadencia de la firma. Reconocimiento de Voz. Reconocimiento Facial. Huella Digital. Escaneo de la palma de la mano. Geometría de la Mano. Análisis de Patrón de Retina.

40 SmartCard

41 Agenda Visión general de Smart Cards –¿Qué es una Smart Card? –Tarjeta y Lector Implementación de PKI en Windows Server 2003 –Componentes de PKI –Inicio de sesión con Smart Card Implantación de Smart Cards DEMOS !!!!

42 Instalación de los Servicios de Certificados

43 Smart Cards Visión general de Smart Cards ¿Qué es una Smart Card? Tarjeta y Lector

44 ¿Qué es una Smart Card? Tarjeta de aspecto similar a las tarjetas de pago actuales –ISO > tamaño –ISO > características físicas del soporte plástico (flexibilidad, temperatura), posición de contactos eléctricos, forma de comunicación del chip con el exterior –ISO > SC de proximidad (contactless) –Otros estándares según función Telefonía celular digital Tarjetas de crédito (Europay, Mastercard, Visa) Monedero electrónico (Visacash, Mondex, Proton) Proporcionan portabilidad, seguridad y fácil utilización de los datos que almacenan. Contiene un chip de memoria únicamente o bien un chip de memoria y un microprocesador

45 Memoria vs. Microprocesador Smart Cards de memoria –Almacenamiento simple de datos Kbytes para OS & aplicaciones (ROM) Bytes para datos runtime (RAM) Bytes para datos de usuario (EEPROM). –Uso similar a un floppy. –Seguridad opcional (PIN). –Tarjetas monedero, tarjetas telefónicas, … Smart Cards de microprocesador –Pueden añadir, borrar y manipular la información en la memoria de la tarjeta. –Cuenta con S.O., puertos I/O y sistema de almacenamiento con características nativas de seguridad. –Mayor cantidad de memoria de usuario (4,8,16,32Kb) –Similar a un ordenador en miniatura. –Tarjetas criptográficas RSA. –Otros algoritmos presentes (DES, 3DES, ECC, SHA1, etc)

46 Modelos más comunes Smart Cards de contacto –Se insertan en un lector. –Contacto físico con el lector. –ISO y USB-Token

47 Componentes de la SC Proporcionados por el fabricante de la tarjeta –Smart Card –CSP –SCSP (opcional) –Software de instalación Sistema Operativo –Windows Powered Smart Card, MultOS, Java Card, GemPlus, Schlumberger, Siemens, Bull, …

48 Componentes del lector SC Proporcionados por el fabricante del lector –Lector RS-232, PCMCIA, USB –Driver del lector Windows 95, 98, Me, NT 4.0, 2K, XP, 2K3 –Software de instalación

49 Smart Card Services CSP/SCSP/Otros SP Smart Card Fabricante de la SmartCard Driver Lector Fabricante del lector Win2K/XP/2K3 Componentes de la SmartCard

50 Smart Cards Implementación de PKI en Windows Server 2003 Componentes de PKI Inicio de sesión con Smart Card

51 Public Key Infrastructure La infraestructura de PKI alude al conjunto de componentes (basados en certificados y CAs) que permiten una comunicación segura entre ambos extremos de la comunicación. Objetivos: –Integridad de los datos –Autenticación de los extremos –Confidencialidad de los datos –Valor legal (Non-repudiation) –Imposibilidad de reutilización (Anti-replay)

52 Componentes de PKI Key and Certificate Management Tools Certificate Publication Point Certification Authority Digital Certificate Public Key–Enabled Applications and Services Certificate Revocation List

53 PKI Tools CategoryTools MMC snap-ins Certification Authority Certificates Certificate Templates Command line Certutil.exe Certreq.exe Resource kit PKI Health (PKIview.msc) Key Recovery Tool (KRT.EXE)

54 Autoridades Certificadoras Enterprise Root CA Enterprise Subordinate / Issuing CA Stand-alone Root CA Stand-alone Subordinate / Issuing CA Es prioritario tener en cuenta que: –Enterprise mode Integrado en AD Los certificados y las plantillas serán publicados en el AD y se emplearán recursos del dominio. –Stand-alone mode Independiente Se utiliza cuando no existe AD o bien cuando delegamos en una tercera empresa la distribución de los certificados

55 Standalone CA Vs. Enterprise CA AttributesStandalone CAEnterprise CA AD integrationNon-AD integratedAD integrated Enrollment methodWeb forms-based MMC-based or Web forms-based Certificate templatesNone Supports certificate templates Subject informationEntered manuallyDerived from AD Certificate issuance Manual certificate approval Based on certificate template DACL Host server Workgroup or domain member Domain member Publication of CRL and certificate Manual publication to AD Automatic publication to AD

56 Software Code Signing Encrypting File System Smart Card Logon Smart Card Logon Wireless Security Wireless Security IP Security Digital Signatures Internet Authentication Secure Aplicaciones que hacen uso de PKI Windows.NET Certificate Services Software Restriction Policy Software Restriction Policy

57 Verificación de la autenticidad del certificado (certificate chaining) Step Process Certificate discovery 1.Collect CA certificates from Cache, Group Policy, Enterprise Policy, applications, and AIA URLs. Path validation 2.Process public key certificates and issuer certificates for validity. Path validation terminates at a root certificate. Revocation checking 3.Ensure no certificates are revoked –Windows 2000: Revocation checked after chain is built –Windows XP/W2K3: Revocation checked as chain is built

58 How CRLs Are Published Los Base CRLs se publican en intervalos más largos Los Delta CRLs se publican con más frecuencia Las entradas de los Delta CRLs se incluyen en el siguiente Base CRL Time Revoke Cert5 Revoke Cert7 Base CRL #4 Cert3 Cert5 Cert7 Delta CRL #2 Delta CRL #3 Cert5 Cert Base CRL #1 Cert3

59 Types of CRLs CharacteristicsBase CRLsDelta CRLs Certificates Contain all certificates that have been revoked Contain only those certificates that have been revoked since the last base CRL Publication interval Published at less frequent intervals Published at shorter intervals SizeLarger in sizeSmaller in size Supported by Supported by all Windows Clients Only recognized by Windows XP and Windows 2003 computers

60 Inicio de Sesión Tarjetas Inteligentes 1 Card insertion causes Winlogon to display GINA 2 User inputs PIN 5 Kerberos sends certificate in a PKINIT login request to the KDC 7 KDC returns TGT, encrypted with a session key which is in turn encrypted using users public key 8 Smart card decrypts the TGT using private key allowing LSA to log user on 6 KDC verifies certificate then looks up principal in DS ReaderReader 3 GINA passes PIN to LSA SC 4 LSA accesses smart card and retrieves cert from card LSAKerberos KerberosKDC

61 Implantación de política de inicio de sesión con Smart Card

62 Requisitos para iniciar sesión con Smart Cards

63 How to enroll an Smart Card using an Enrollment Agent

64 How to configure Smart Card removal behavior

65 SmartCards Implantación de Smart Cards

66 Smart Cards en PKI

67 Entornos de uso de Smart Cards Almacenamiento seguro de credenciales PKI Incremento de seguridad: two-factor authentication Aumento de la seguridad: –de inicio de sesión de usuario interactivo –De autenticación de cliente para acceso selectivo a datos, recursos y sitios Web –Inicio de sesión remoto (Dial-Up, VPN) –Autenticación Wireless

68 Recomendaciones para Usuarios y Políticas Usuarios –Definir política de uso de smart card para logon interactivo –Definir qué ocurrirrá si el usuario extrae la tarjeta del lector Power Users y Administradores –Definir política de uso de smart card para estas cuentas Uso de políticas de contraseña largas RAS configurado para exigir autenticación vía Smart Card

69 Configuración vía GPO

70

71 Protocolos de autenticación en Windows Server System. Estándar. PAP. SPAP. CHAP. MS-CHAP. MS-CHAPv2. Extensibles. EAP y PEAP SMARTCARDS y CERTIFICADOS DIGITALES Windows Server System

72

73 Nuevas funcionalidades de Smart Cards bajo W2K3

74 SSL en IIS 6.0 con OWA Se recomienda utilizar solo conexiones SSL cuando se habilita la autenticación básica. Para habilitar SSL en el directorio virtual de RPC se debe obtener un certificado y publicarlo en el sitio Web 1.Click Start, point to Administrative Tools, and then click Internet Information Services (IIS) Manager. 2.Expand Web Sites, expand Default Web Site, right-click Rpc, and then click Properties. 3.Click the Directory Security tab, and then click Edit under Secure communications. 4.Click to select the Require secure channel (SSL) check box and the Require 128-bit encryption check box. Note We recommend that you click to select the Require 128-bit encryption check box. However, RPC over HTTP functions correctly even if you do not require 128-bit encryption. 5.Click OK, click Apply, and then click OK.

75 Certificados y firma digital en Outlook Firma digital Asociar una huella digital a mi –Huella digital. –Yo firmo los datos del correo electrónico. Cifrado Usar un certificado digital para firmar mi correo electrónico. –Encripta la información cuando se envía a través de Internet. –Garantiza la confidencialidad, integridad, y que la persona que envía el correo es quién dice ser. –Evita ataques man-in-the-middle SNIFFING + SPOOFING ARP = HIJACKING (SECUESTRO) Y ENVENAMIENTO DE SESIONES

76 IPSec - Introducción Gran cantidad de los datos que circulan por la red circulan en claro y pueden ser capturados e interpretados por un analizador de red. Estos datos además de ser interpretados pueden ser modificados y retransmitidos posteriormente a la red. Los sistemas no comprueban la autenticidad del origen de los datos.

77 IPSec - Escenarios El sistema IPSEC puede trabajar en dos modos: –Modo de transporte: donde la encriptación se realiza de extremo a extremo. –Modo túnel donde la encriptación se realiza únicamente entre los extremos del tunel.

78 Modos IPSEC Cifrado Modo de túnel Proporciona cifrado y autenticación sólo entre los puntos finales del túnel Cifrado Modo de transporte Proporciona cifrado y autenticación de extremo a extremo

79 IPSec en Windows Se configura mediante políticas. –Almacenadas en el Directorio Activo o en en Registro Local del Servidor. –Controlan la entrada y salida de paquetes permitidos.

80 IPSec - Políticas Podrán utilizarse políticas por defecto o las creadas manualmente. El sistema proporciona 3 políticas por defecto que van a determinar diferentes comportamientos de la máquina con respecto a IPSEC. –Cliente. –Servidor. –Servidor seguro.

81 Implementación IPSEC en un Hospital Servidor B. de D. Resto del Personal Médico Servidor Seguro Servidor No IPSEC 3ecto elgtasp Texto claro Texto cifrado Conexión

82 IPSec - Despliegue GPO Domain OU Site GPO Despliegue centralizado desde el directorio activo. Configuración posible mediante plantillas.

83 Políticas de Grupo

84 Reglas IPSEC Las reglas IPSEC determinan el comportamiento del sistema en la transmisión de la información. Las reglas están compuestas por los siguientes objetos: –Filtros. –Acción de filtros. –Método de autentificación.

85 Configuración de Reglas IPSEC En la configuración de las reglas hay que especificar las siguientes acciones: –Determinar la posibilidad o no de establecer un túnel de comunicación. –Qué redes se van a ver afectadas por la regla. –El método de autentificación inicial para la transmisión. –Métodos de seguridad. –Los filtros y las acciones de filtrado.

86 IPSec - Filtros En la configuración de los filtros hay que especificar los siguientes parámetros: –Determinar la posibilidad o no de establecer un túnel de comunicación. –Qué redes o equipos se van a ver afectados. –El método de autentificación para la transmisión. –Métodos de seguridad. –Las acciones de filtrado.

87 Métodos de autentificación Determinan el proceso inicial de la comunicación IPSEC. Existen 3 metodologías de autentificación: –Clave Compartida. –Kerberos. –Certificado.

88 IPSec - Autenticación Kerberos –Requiere tiempo de sincronización. –Solo dentro del bosque. Certificados –Requiere la implementación de PKI. –CRL está deshabilitado por defecto. Secretos Compartidos. –Tan seguro como sea el secreto. –En entornos grandes es dificil de mantener.

89 Métodos de seguridad Determina la seguridad de la transmisión de la información. Se pueden definir: –Integridad AH (Algoritmos SHA1, MD5). –Integridad ESP (Algoritmos SHA1, MD5). –Confidencialidad ESP (Algoritmos DES, 3DES).

90 Acceso seguro: IPSec + EFS + Certificados

91 Autenticación Biométrica

92 Próximas Acciones Servidores: Desarrollo:

93 Boletín quincenal TechNews

94

95 ¿ Preguntas ?

96 Contacto Javier Pereña Peñaranda Technet –http://www.microsoft.com/spain/technet Informatica64 –http://www.informatica64.com – Material Seminarios –http://www.informatica64.com/handsonlab/handsonlab.asp


Descargar ppt "Windows Server 2003 Certificate Services. PKI. Javier Pereña Peñaranda Ingeniero de Sistemas Código: HOL-WIN09."

Presentaciones similares


Anuncios Google