SlideShare a Scribd company logo
1 of 84
Download to read offline
 
Bienvenidos al Webcast sobre   Como Implementar Seguridad Perimetral y de Red en Sistemas Microsoft 25-febrero-2004 Olvido Nicolás Responsable de Comunidades Técnicas Microsoft España [email_address]
Acceder al audio ,[object Object],[object Object],[object Object],Sonido de   su PC  (VoIP) Hagan clic en el enlace  Click Here for Audio  de su pantalla Audio por teléfono (Puede ver este número de teléfono en cualquier momento presionando (Ctrl + i) o menú  View – Meeting Information  de la barra de herramientas )
Comunicarse con los ponentes  El panel  Seating Chart  les permite ofrecer feedback a los Ponentes. Hagan clic en el menú desplegable para cambiar el color de su asiento en cualquier momento.  Si necesita ayuda cambie su asiento a color  ROJO .
Algunos consejos ,[object Object],[object Object],[object Object],[object Object],[object Object],[object Object]
Hacer preguntas ,[object Object],Introduzca su pregunta en el recuadro que aparecerá en pantalla y haga click en el botón “Ask” Las preguntas se responderán al finalizar el webcast. Si envían una segunda pregunta, la primera será eliminada de la cola
Soporte técnico ,[object Object],[object Object],[object Object],[object Object],[object Object],[object Object]
Cuestionario de evaluación online ,[object Object],[object Object],[object Object],[object Object]
¡¡ Comencemos a grabar!!
Implementando la Seguridad Perimetral y de Red   Andrés Martín Technical Consultant Microsoft Consulting Services
Conocimientos   imprescindibles ,[object Object],[object Object],[object Object],Nivel   300
Orden   del   día ,[object Object],[object Object],[object Object],[object Object],[object Object],[object Object]
Defensa   en   profundidad ,[object Object],[object Object],[object Object],Directivas,   procedimientos   y   concienciación Refuerzo   del   sistema   operativo,   administración   de   actualizaciones,   autenticación,   HIDS Servidores   de   seguridad,   sistemas   de   cuarentena   en   VPN Guardias   de   seguridad,   bloqueos,   dispositivos   de   seguimiento Segmentos   de   red,   IPSec,   NIDS Refuerzo   de   las   aplicaciones,   antivirus ACL,   cifrado Programas   de   aprendizaje   para   los   usuarios Seguridad   física Perimetral Red   interna Host Aplicación Datos
Propósito   y   limitaciones   de   las   defensas   de   perímetro ,[object Object],[object Object],[object Object],[object Object],[object Object]
Propósito   y   limitaciones   de   las   defensas   de   los   clientes ,[object Object],[object Object],[object Object],[object Object],[object Object],[object Object]
Objetivos   de   seguridad   en   una   red Confidencialidad Firewall   de   Windows IPSec 802.1x   /   WPA Servidor   ISA Acceso remoto   seguro Control   de   acceso   a   la   red Detección   de   intrusos Defensa   de   los   clientes Defensa   del   perímetro
Orden   del   día ,[object Object],[object Object],[object Object],[object Object],[object Object],[object Object]
Información   general   sobre   las   conexiones   de   perímetro ,[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],Los   perímetros   de   red   incluyen   conexiones   a: Socio   comercial LAN Oficina   principal LAN Sucursal LAN Red   inalámbrica Usuario   remoto Internet
Diseño   del   servidor   de   seguridad:   de   triple   interfaz   Subred   protegida Internet LAN Servidor   de   seguridad
Diseño   del   servidor   de   seguridad:   de   tipo   opuesto   con   opuesto   o   sándwich   Internet Externa Servidor de seguridad LAN Interna Servidor de seguridad Subred   protegida
[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],Contra   qué   NO   protegen   los   servidores   de   seguridad
Servidores   de   seguridad   de   software   y   de   hardware   El   factor   de   decisión   más   importante   es   si   un   servidor   de   seguridad   puede   realizar   las   tareas   necesarias.   Con   frecuencia,   la   diferencia   entre   los   servidores   de   hardware   y   de   software   no   resulta   clara. Disponibilidad   global Los   servidores   de   seguridad   de   hardware   suelen   ser   menos   complejos. Complejidad Los   servidores   de   seguridad   de   software   permiten   elegir   entre   hardware   para   una   amplia   variedad   de   necesidades   y   no   se   depende   de   un   único   proveedor   para   obtener   hardware   adicional. Elección   de   proveedores El   precio   de   compra   inicial   para   los   servidores   de   seguridad   de   hardware   podría   ser   inferior.   Los   servidores   de   seguridad   de   software   se   benefician   del   menor   costo   de   las   CPU.   El   hardware   se   puede   actualizar   fácilmente   y   el   hardware   antiguo   se   puede   reutilizar.   Costo Muchos   servidores   de   seguridad   de   hardware   sólo   permiten   una   capacidad   de   personalización   limitada. Extensibilidad La   actualización   de   las   vulnerabilidades   y   revisiones   más   recientes   suele   ser   más   fácil   con   servidores   de   seguridad   basados   en   software. Descripción Flexibilidad Factores   de   decisión
Tipos   de   funciones   de   los   servidores   de   seguridad ,[object Object],[object Object],[object Object],Inspección   multinivel (Incluido el filtrado del nivel de aplicación) Internet
Orden   del   día ,[object Object],[object Object],[object Object],[object Object],[object Object],[object Object]
Objetivos   de   seguridad   en   una   red *   Detección   básica   de   intrusos,   que   se   amplía   gracias   al   trabajo   de   los   asociados Confidencialidad Firewall   de   Windows IPSec 802.1x   /   WPA * Servidor   ISA Acceso remoto   seguro Control   de   acceso   a   la   red Detección   de   intrusos Defensa   de   los   clientes Defensa   del   perímetro
Protección   de   los   perímetros   ,[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object]
Protección   de   los   clientes   Las   reglas   de   protocolo,   reglas   de   sitio   y   contenido,   y   reglas   de   publicación   determinan   si   se   permite   el   acceso. Reglas El   precio   de   compra   inicial   para   los   servidores   de   seguridad   de   hardware   podría   ser   inferior.   Los   servidores   de   seguridad   de   software   se   benefician   del   menor   costo   de   las   CPU.   El   hardware   se   puede   actualizar   fácilmente   y   el   hardware   antiguo   se   puede   reutilizar.   Complementos Se   admiten   todos   los   clientes   sin   software   especial.   La   instalación   del   software   de   servidor   de   seguridad   ISA   en   clientes   Windows   permite   utilizar   más   funciones. Clientes   admitidos Procesa   todas   las   solicitudes   para   los   clientes   y   nunca   permite   las   conexiones   directas. Descripción Funciones   de   proxy Método
Protección   de   los   servidores   Web ,[object Object],[object Object],[object Object],[object Object],[object Object]
URLScan ,[object Object],[object Object],[object Object],[object Object],Servidor   Web   1 ISA Server Servidor   Web   2 Servidor   Web   3
Protección   de   Exchange   Server   Protege   el   acceso   del   protocolo   nativo   de   los   clientes   Microsoft   Outlook® Publicación   RPC Proporciona   protección   del   servidor   de   solicitudes   de   cliente   OWA   para   los   usuarios   remotos   de   Outlook   que   tienen   acceso   a   Microsoft   Exchange   Server   sin   una   VPN   a   través   de   redes   que   no   son   de   confianza Publicación   OWA Filtra   los   mensajes   de   correo   electrónico   SMTP   que   entran   en   la   red   interna Message   Screener Configura   reglas   de   ISA   Server   con   el   fin   de   publicar   servicios   de   correo   interno   para   usuarios   externos   de   forma   segura Descripción Asistente   para   publicación   de   correo Método
Demostración   1 Inspección   del   nivel   de   aplicación   en   ISA   Server     Publicación  de  Web URLScan Inspección SSL
Tráfico   que   omite   la   inspección   de   los   servidores   de   seguridad ,[object Object],[object Object],[object Object]
Inspección   de   todo   el   tráfico ,[object Object],[object Object],[object Object],[object Object],[object Object]
Inspección   de   SSL ,[object Object],[object Object]
Refuerzo   de   la   seguridad   de   ISA   Server ,[object Object],[object Object],[object Object],[object Object],[object Object]
Recomendaciones ,[object Object],[object Object],[object Object],[object Object]
Orden   del   día ,[object Object],[object Object],[object Object],[object Object],[object Object],[object Object]
Objetivos   de   seguridad   en   una   red Confidencialidad Firewall   de   Windows IPSec 802.1x   /   WPA Servidor   ISA Acceso remoto   seguro Control   de   acceso   a   la   red Detección   de   intrusos Defensa   de   los   clientes Defensa   del   perímetro
Información   general   sobre   el cortafuegos de   Windows ,[object Object],[object Object],[object Object],[object Object],Qué   es Qué   hace Características   principales
[object Object],[object Object],[object Object],[object Object],[object Object],Habilitar   el cortafuegos   de   Windows
[object Object],[object Object],Configuración   avanzada   del   cortafuegos   de   Windows
[object Object],[object Object],Registro   de   seguridad   del cortafuegos de Windows
Cortafuegos   de   Windows   en   la   compañía ,[object Object],[object Object]
[object Object],[object Object],[object Object],[object Object],Recomendaciones
Demostración   2 Cortafuegos de   Windows     Configuración   manual   Prueba Revisión   de   los   archivos   de   registro
Orden   del   día ,[object Object],[object Object],[object Object],[object Object],[object Object],[object Object]
Objetivos   de   seguridad   en   una   red Confidencialidad Firewall   de   Windows IPSec 802.1x   /   WPA Servidor   ISA Acceso remoto   seguro Control   de   acceso   a   la   red Detección   de   intrusos Defensa   de   los   clientes Defensa   del   perímetro
[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],Aspectos   de   seguridad   en   dispositivos   inalámbricos
[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],Posibles   soluciones
Comparaciones   de   la   seguridad   de   WLAN Bajos Baja Alto IPSec Bajos Media Alto   (L2TP/IPSec) VPN Altos Baja Alto TLS   de   IEEE   802.1x   Media Alta   Facilidad   de   implementación Alto   Bajo Nivel   de   seguridad Altos PEAP   de   IEEE   802.1X   Altos WEP   estático Facilidad   de   uso   e   integración Tipo   de   seguridad   de   WLAN
[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],802.1x
802.1x   en   802.11 Ethernet Punto   de   acceso Servidor   RADIUS RADIUS Equipo   portátil Inalámbrico 802.11 Acceso   permitido Inicio   de   EAPOL Identidad   de   respuesta   de   EAP Desafío   de   acceso   de   RADIUS Respuesta   de   EAP  (credenciales) Acceso   bloqueado Asociación Aceptación   de   acceso   de   RADIUS Identidad   de   solicitud   de   EAP Solicitud   de   EAP Solicitud   de   acceso   de   RADIUS Solicitud   de   acceso   de   RADIUS Asociado   802.11 Éxito   de   EAP Clave   de   EAPOL   (clave)
Requisitos   del   sistema   para   802.1x ,[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object]
Configuración   de   802.1x ,[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object]
Directiva   de   acceso ,[object Object],[object Object],[object Object],[object Object],[object Object]
Perfil   de   directivas   de   acceso ,[object Object],[object Object],[object Object],[object Object],[object Object],[object Object]
Perfil   de   directivas   de   acceso ,[object Object],[object Object],[object Object],[object Object],[object Object],[object Object]
Perfil   de   directivas   de   acceso ,[object Object],[object Object],[object Object],[object Object],[object Object],[object Object]
Perfil   de   directivas   de   acceso ,[object Object],[object Object],[object Object],[object Object],[object Object],[object Object]
Perfil   de   directivas   de   acceso ,[object Object],[object Object],[object Object],[object Object],[object Object],[object Object]
Perfil   de   directivas   de   acceso ,[object Object],[object Object],[object Object],[object Object],[object Object],[object Object]
[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],Wireless   Protected   Access   (WPA)
Recomendaciones ,[object Object],[object Object],[object Object],[object Object],[object Object],[object Object]
Orden   del   día ,[object Object],[object Object],[object Object],[object Object],[object Object],[object Object]
Objetivos   de   seguridad   en   una   red Confidencialidad Firewall   de   Windows IPSec 802.1x   /   WPA Servidor   ISA Acceso remoto   seguro Control   de   acceso   a   la   red Detección   de   intrusos Defensa   de   los   clientes Defensa   del   perímetro
[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],Introducción   a   IPSec
[object Object],[object Object],[object Object],[object Object],Escenarios   de   IPSec
[object Object],[object Object],[object Object],[object Object],[object Object],Implementación   del   filtrado   de   paquetes   de   IPSec Bloquear N/D N/D Cualquiera Mi   IP   de   Internet Cualquiera Permitir 80 Cualquiera TCP Mi   IP   de   Internet Cualquiera Acción Puerto   de   destino Puerto   de   origen Protocolo A   IP Desde   IP
[object Object],[object Object],[object Object],El   filtrado   de   paquetes   no   es   suficiente   para   proteger   un   servidor
[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],Tráfico   que   IPSec   no   filtra
Comunicaciones   internas   seguras ,[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object]
IPSec   para   la   replicación   de   dominios   ,[object Object],[object Object],[object Object],[object Object],[object Object],[object Object]
Acceso   de   VPN   a   través   de   medios   que   no   son   de   confianza ,[object Object],[object Object],[object Object],[object Object],[object Object],[object Object]
Rendimiento   de   IPSec ,[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object]
Recomendaciones ,[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object]
Resumen   de   la   sesión ,[object Object],[object Object],[object Object],[object Object],[object Object],[object Object]
Pasos   siguientes ,[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object]
Para   obtener   más   información ,[object Object],[object Object],[object Object],[object Object],[object Object],[object Object]
Preguntas   y   respuestas
¿Preguntas? ,[object Object],Introduzca su pregunta en el recuadro que aparecerá en pantalla y haga click en el botón “Ask”
Preguntas   y   respuestas
Próximo Webcast ,[object Object],[object Object],[object Object],[object Object]
Cuestionario de evaluación online ,[object Object],[object Object],[object Object]
 

More Related Content

What's hot

Ejercicio seguridad en redes
Ejercicio seguridad en redesEjercicio seguridad en redes
Ejercicio seguridad en redesvverdu
 
Panda Managed Office Protection
Panda Managed Office ProtectionPanda Managed Office Protection
Panda Managed Office Protectioncomprodi
 
Unidad 6: Software malicioso
Unidad 6: Software maliciosoUnidad 6: Software malicioso
Unidad 6: Software maliciosocarmenrico14
 
Herramientas para la seguridad informática, un problema de dirección
Herramientas para la seguridad informática, un problema de direcciónHerramientas para la seguridad informática, un problema de dirección
Herramientas para la seguridad informática, un problema de direcciónAdonys Maceo
 
Seguridad y amenazas en la red.
Seguridad y amenazas en la red.Seguridad y amenazas en la red.
Seguridad y amenazas en la red.guestf3ba8a
 
Unidad 4 - Software antimalware
Unidad 4 - Software antimalwareUnidad 4 - Software antimalware
Unidad 4 - Software antimalwarevverdu
 
5.1.3 seguridad de los servidores
5.1.3 seguridad de los servidores5.1.3 seguridad de los servidores
5.1.3 seguridad de los servidoreschavarl
 
Seguridad en redes corporativas II (PRAXITEC)
Seguridad en redes corporativas II (PRAXITEC)Seguridad en redes corporativas II (PRAXITEC)
Seguridad en redes corporativas II (PRAXITEC)Jack Daniel Cáceres Meza
 
Seguridad en las redes
Seguridad en las redesSeguridad en las redes
Seguridad en las redesjeromin
 
Managed Office Protection
Managed Office ProtectionManaged Office Protection
Managed Office Protectioncomprodi
 
Brief Ca Security Threat Management
Brief Ca Security Threat ManagementBrief Ca Security Threat Management
Brief Ca Security Threat ManagementCA RMDM Latam
 
Actualizaciones automaticas desistemaa operativo
Actualizaciones automaticas desistemaa operativoActualizaciones automaticas desistemaa operativo
Actualizaciones automaticas desistemaa operativoyuyeraldin
 
Ataques Y Vulnerabilidades
Ataques Y VulnerabilidadesAtaques Y Vulnerabilidades
Ataques Y Vulnerabilidadeslamugre
 
Tema 4 mecanismos de defensa
Tema 4 mecanismos de defensaTema 4 mecanismos de defensa
Tema 4 mecanismos de defensaMariano Galvez
 
WINDOWS 2019 HARDENING (Aseguramiento)
WINDOWS 2019 HARDENING (Aseguramiento)WINDOWS 2019 HARDENING (Aseguramiento)
WINDOWS 2019 HARDENING (Aseguramiento)Cristian Garcia G.
 

What's hot (20)

Ejercicio seguridad en redes
Ejercicio seguridad en redesEjercicio seguridad en redes
Ejercicio seguridad en redes
 
Seguridad redes u_libre_sesion_1
Seguridad redes u_libre_sesion_1Seguridad redes u_libre_sesion_1
Seguridad redes u_libre_sesion_1
 
Panda Managed Office Protection
Panda Managed Office ProtectionPanda Managed Office Protection
Panda Managed Office Protection
 
Unidad 6: Software malicioso
Unidad 6: Software maliciosoUnidad 6: Software malicioso
Unidad 6: Software malicioso
 
Herramientas para la seguridad informática, un problema de dirección
Herramientas para la seguridad informática, un problema de direcciónHerramientas para la seguridad informática, un problema de dirección
Herramientas para la seguridad informática, un problema de dirección
 
Monografia auditoria informatica
Monografia auditoria informaticaMonografia auditoria informatica
Monografia auditoria informatica
 
Seguridad y amenazas en la red.
Seguridad y amenazas en la red.Seguridad y amenazas en la red.
Seguridad y amenazas en la red.
 
Unidad 4 - Software antimalware
Unidad 4 - Software antimalwareUnidad 4 - Software antimalware
Unidad 4 - Software antimalware
 
5.1.3 seguridad de los servidores
5.1.3 seguridad de los servidores5.1.3 seguridad de los servidores
5.1.3 seguridad de los servidores
 
Seguridad en redes corporativas II (PRAXITEC)
Seguridad en redes corporativas II (PRAXITEC)Seguridad en redes corporativas II (PRAXITEC)
Seguridad en redes corporativas II (PRAXITEC)
 
Seguridad en las redes
Seguridad en las redesSeguridad en las redes
Seguridad en las redes
 
Cybersecurity
CybersecurityCybersecurity
Cybersecurity
 
Managed Office Protection
Managed Office ProtectionManaged Office Protection
Managed Office Protection
 
Trabajo
TrabajoTrabajo
Trabajo
 
Brief Ca Security Threat Management
Brief Ca Security Threat ManagementBrief Ca Security Threat Management
Brief Ca Security Threat Management
 
Clase 18
Clase 18Clase 18
Clase 18
 
Actualizaciones automaticas desistemaa operativo
Actualizaciones automaticas desistemaa operativoActualizaciones automaticas desistemaa operativo
Actualizaciones automaticas desistemaa operativo
 
Ataques Y Vulnerabilidades
Ataques Y VulnerabilidadesAtaques Y Vulnerabilidades
Ataques Y Vulnerabilidades
 
Tema 4 mecanismos de defensa
Tema 4 mecanismos de defensaTema 4 mecanismos de defensa
Tema 4 mecanismos de defensa
 
WINDOWS 2019 HARDENING (Aseguramiento)
WINDOWS 2019 HARDENING (Aseguramiento)WINDOWS 2019 HARDENING (Aseguramiento)
WINDOWS 2019 HARDENING (Aseguramiento)
 

Viewers also liked

Peritaje Cerca Perimetral Casa 7
Peritaje Cerca Perimetral Casa 7Peritaje Cerca Perimetral Casa 7
Peritaje Cerca Perimetral Casa 7Tania Caplier
 
Protección perimetral. Fundamentos de firewalls y redes privadas virtuales
Protección perimetral. Fundamentos de firewalls y redes privadas virtuales Protección perimetral. Fundamentos de firewalls y redes privadas virtuales
Protección perimetral. Fundamentos de firewalls y redes privadas virtuales Francisco Ribadas
 
20101014 seguridad perimetral
20101014 seguridad perimetral20101014 seguridad perimetral
20101014 seguridad perimetral3calabera
 
Proyecto de seguridad perimetral calier int
Proyecto de seguridad perimetral calier intProyecto de seguridad perimetral calier int
Proyecto de seguridad perimetral calier intalberto_arroyo
 
Seguridad Perimetral - Oscar Gonzalez, Miguel Tolaba
Seguridad Perimetral - Oscar Gonzalez, Miguel TolabaSeguridad Perimetral - Oscar Gonzalez, Miguel Tolaba
Seguridad Perimetral - Oscar Gonzalez, Miguel TolabaOscar Gonzalez
 
Introducción a la Seguridad Perimetral
Introducción a la Seguridad PerimetralIntroducción a la Seguridad Perimetral
Introducción a la Seguridad PerimetralEsteban Saavedra
 
Guía de seguridad proteccion perimetral…clave de la seguridad fisica
Guía de seguridad proteccion perimetral…clave de la seguridad fisica Guía de seguridad proteccion perimetral…clave de la seguridad fisica
Guía de seguridad proteccion perimetral…clave de la seguridad fisica miguel911
 
Proyecto de grado tsu
Proyecto de grado tsuProyecto de grado tsu
Proyecto de grado tsujermandes
 

Viewers also liked (12)

Algunas imágenes de alambrados
Algunas imágenes de alambradosAlgunas imágenes de alambrados
Algunas imágenes de alambrados
 
Peritaje Cerca Perimetral Casa 7
Peritaje Cerca Perimetral Casa 7Peritaje Cerca Perimetral Casa 7
Peritaje Cerca Perimetral Casa 7
 
Protección perimetral. Fundamentos de firewalls y redes privadas virtuales
Protección perimetral. Fundamentos de firewalls y redes privadas virtuales Protección perimetral. Fundamentos de firewalls y redes privadas virtuales
Protección perimetral. Fundamentos de firewalls y redes privadas virtuales
 
20101014 seguridad perimetral
20101014 seguridad perimetral20101014 seguridad perimetral
20101014 seguridad perimetral
 
Proyecto de seguridad perimetral calier int
Proyecto de seguridad perimetral calier intProyecto de seguridad perimetral calier int
Proyecto de seguridad perimetral calier int
 
Defensa perimetral
Defensa perimetralDefensa perimetral
Defensa perimetral
 
Seguridad Perimetral - Oscar Gonzalez, Miguel Tolaba
Seguridad Perimetral - Oscar Gonzalez, Miguel TolabaSeguridad Perimetral - Oscar Gonzalez, Miguel Tolaba
Seguridad Perimetral - Oscar Gonzalez, Miguel Tolaba
 
Introducción a la Seguridad Perimetral
Introducción a la Seguridad PerimetralIntroducción a la Seguridad Perimetral
Introducción a la Seguridad Perimetral
 
Estudio de seguridad
Estudio de seguridadEstudio de seguridad
Estudio de seguridad
 
Guía de seguridad proteccion perimetral…clave de la seguridad fisica
Guía de seguridad proteccion perimetral…clave de la seguridad fisica Guía de seguridad proteccion perimetral…clave de la seguridad fisica
Guía de seguridad proteccion perimetral…clave de la seguridad fisica
 
Analisis De Seguridad
Analisis De SeguridadAnalisis De Seguridad
Analisis De Seguridad
 
Proyecto de grado tsu
Proyecto de grado tsuProyecto de grado tsu
Proyecto de grado tsu
 

Similar to Implementing network security_es

Microsoft Windows Server 2003 Y Windows 2000
Microsoft Windows Server 2003 Y Windows 2000Microsoft Windows Server 2003 Y Windows 2000
Microsoft Windows Server 2003 Y Windows 2000teddy666
 
Microsoft Windows Server 2003 Y Windows 2000 I
Microsoft Windows Server 2003 Y Windows 2000 IMicrosoft Windows Server 2003 Y Windows 2000 I
Microsoft Windows Server 2003 Y Windows 2000 Iteddy666
 
Modulo 10: Conceptos de Seguridad de LAN
Modulo 10: Conceptos de Seguridad de LANModulo 10: Conceptos de Seguridad de LAN
Modulo 10: Conceptos de Seguridad de LANsrkamote
 
Firewall cisco
Firewall ciscoFirewall cisco
Firewall ciscogus_marca
 
Seguridad en redes ip
Seguridad en redes ipSeguridad en redes ip
Seguridad en redes ipTensor
 
Seguridad en redes ip
Seguridad en redes ipSeguridad en redes ip
Seguridad en redes ipTensor
 
Seguridad en redes ip
Seguridad en redes ipSeguridad en redes ip
Seguridad en redes ipTensor
 
Seguridad en redes ip
Seguridad en redes ipSeguridad en redes ip
Seguridad en redes ipTensor
 
ISA Server 2006
ISA Server 2006ISA Server 2006
ISA Server 2006k4n71na
 
Seguridad en redes ip
Seguridad en redes ipSeguridad en redes ip
Seguridad en redes ipTensor
 
Tendencias de seguridad en redes
Tendencias de seguridad en redesTendencias de seguridad en redes
Tendencias de seguridad en redesFundación Proydesa
 
Seguridad Perimetral
Seguridad PerimetralSeguridad Perimetral
Seguridad PerimetralJosé Moreno
 
6 3 prevencion deteccion y recuperacion
6 3 prevencion deteccion y recuperacion6 3 prevencion deteccion y recuperacion
6 3 prevencion deteccion y recuperacionUVM
 
Vpn SSL en Microsoft
Vpn SSL en MicrosoftVpn SSL en Microsoft
Vpn SSL en MicrosoftChema Alonso
 
ELEMENTOS CLAVES PARA LA SEGURIDAD POR ACCESO REMOTO
ELEMENTOS CLAVES PARA LA SEGURIDAD POR ACCESO REMOTOELEMENTOS CLAVES PARA LA SEGURIDAD POR ACCESO REMOTO
ELEMENTOS CLAVES PARA LA SEGURIDAD POR ACCESO REMOTOelsiscarolinacaasest
 

Similar to Implementing network security_es (20)

Microsoft Windows Server 2003 Y Windows 2000
Microsoft Windows Server 2003 Y Windows 2000Microsoft Windows Server 2003 Y Windows 2000
Microsoft Windows Server 2003 Y Windows 2000
 
Microsoft Windows Server 2003 Y Windows 2000 I
Microsoft Windows Server 2003 Y Windows 2000 IMicrosoft Windows Server 2003 Y Windows 2000 I
Microsoft Windows Server 2003 Y Windows 2000 I
 
Modulo 10: Conceptos de Seguridad de LAN
Modulo 10: Conceptos de Seguridad de LANModulo 10: Conceptos de Seguridad de LAN
Modulo 10: Conceptos de Seguridad de LAN
 
Firewall cisco
Firewall ciscoFirewall cisco
Firewall cisco
 
Seguridad en redes ip
Seguridad en redes ipSeguridad en redes ip
Seguridad en redes ip
 
Seguridad en redes ip
Seguridad en redes ipSeguridad en redes ip
Seguridad en redes ip
 
Seguridad en redes ip
Seguridad en redes ipSeguridad en redes ip
Seguridad en redes ip
 
Seguridad en redes ip
Seguridad en redes ipSeguridad en redes ip
Seguridad en redes ip
 
ISA Server 2006
ISA Server 2006ISA Server 2006
ISA Server 2006
 
Seguridad en redes ip
Seguridad en redes ipSeguridad en redes ip
Seguridad en redes ip
 
VPNs
VPNsVPNs
VPNs
 
Tendencias de seguridad en redes
Tendencias de seguridad en redesTendencias de seguridad en redes
Tendencias de seguridad en redes
 
Seguridad Perimetral
Seguridad PerimetralSeguridad Perimetral
Seguridad Perimetral
 
Ricardo ojeda
Ricardo ojedaRicardo ojeda
Ricardo ojeda
 
6 3 prevencion deteccion y recuperacion
6 3 prevencion deteccion y recuperacion6 3 prevencion deteccion y recuperacion
6 3 prevencion deteccion y recuperacion
 
Investigacion seguridad 2
Investigacion seguridad 2Investigacion seguridad 2
Investigacion seguridad 2
 
Vpn SSL en Microsoft
Vpn SSL en MicrosoftVpn SSL en Microsoft
Vpn SSL en Microsoft
 
Seguridad informatica
Seguridad informaticaSeguridad informatica
Seguridad informatica
 
ELEMENTOS CLAVES PARA LA SEGURIDAD POR ACCESO REMOTO
ELEMENTOS CLAVES PARA LA SEGURIDAD POR ACCESO REMOTOELEMENTOS CLAVES PARA LA SEGURIDAD POR ACCESO REMOTO
ELEMENTOS CLAVES PARA LA SEGURIDAD POR ACCESO REMOTO
 
Expo semana 8
Expo semana 8Expo semana 8
Expo semana 8
 

More from Jazminmrodenas (20)

Aaaaa
AaaaaAaaaa
Aaaaa
 
Moradito
MoraditoMoradito
Moradito
 
Celestito
CelestitoCelestito
Celestito
 
Google apps[1]
Google apps[1]Google apps[1]
Google apps[1]
 
Escrito
EscritoEscrito
Escrito
 
Blogs y wikis
Blogs y wikisBlogs y wikis
Blogs y wikis
 
Google
GoogleGoogle
Google
 
Sociedad de la informacion[1]
Sociedad de la informacion[1]Sociedad de la informacion[1]
Sociedad de la informacion[1]
 
Copyright jazmin
Copyright jazminCopyright jazmin
Copyright jazmin
 
Master magazine n35
Master magazine n35Master magazine n35
Master magazine n35
 
Informatica 2
Informatica 2Informatica 2
Informatica 2
 
Informatica 1
Informatica 1Informatica 1
Informatica 1
 
Excel 3
Excel 3Excel 3
Excel 3
 
Excel 3
Excel 3Excel 3
Excel 3
 
Excel 2
Excel 2Excel 2
Excel 2
 
Excel
ExcelExcel
Excel
 
Seguridad practica empresas[1]
Seguridad practica empresas[1]Seguridad practica empresas[1]
Seguridad practica empresas[1]
 
Tecnologia
TecnologiaTecnologia
Tecnologia
 
Sociedad de la informacion[1]
Sociedad de la informacion[1]Sociedad de la informacion[1]
Sociedad de la informacion[1]
 
Apple news
Apple newsApple news
Apple news
 

Implementing network security_es

  • 1.  
  • 2. Bienvenidos al Webcast sobre Como Implementar Seguridad Perimetral y de Red en Sistemas Microsoft 25-febrero-2004 Olvido Nicolás Responsable de Comunidades Técnicas Microsoft España [email_address]
  • 3.
  • 4. Comunicarse con los ponentes El panel Seating Chart les permite ofrecer feedback a los Ponentes. Hagan clic en el menú desplegable para cambiar el color de su asiento en cualquier momento. Si necesita ayuda cambie su asiento a color ROJO .
  • 5.
  • 6.
  • 7.
  • 8.
  • 9. ¡¡ Comencemos a grabar!!
  • 10. Implementando la Seguridad Perimetral y de Red Andrés Martín Technical Consultant Microsoft Consulting Services
  • 11.
  • 12.
  • 13.
  • 14.
  • 15.
  • 16. Objetivos de seguridad en una red Confidencialidad Firewall de Windows IPSec 802.1x / WPA Servidor ISA Acceso remoto seguro Control de acceso a la red Detección de intrusos Defensa de los clientes Defensa del perímetro
  • 17.
  • 18.
  • 19. Diseño del servidor de seguridad: de triple interfaz Subred protegida Internet LAN Servidor de seguridad
  • 20. Diseño del servidor de seguridad: de tipo opuesto con opuesto o sándwich Internet Externa Servidor de seguridad LAN Interna Servidor de seguridad Subred protegida
  • 21.
  • 22. Servidores de seguridad de software y de hardware El factor de decisión más importante es si un servidor de seguridad puede realizar las tareas necesarias. Con frecuencia, la diferencia entre los servidores de hardware y de software no resulta clara. Disponibilidad global Los servidores de seguridad de hardware suelen ser menos complejos. Complejidad Los servidores de seguridad de software permiten elegir entre hardware para una amplia variedad de necesidades y no se depende de un único proveedor para obtener hardware adicional. Elección de proveedores El precio de compra inicial para los servidores de seguridad de hardware podría ser inferior. Los servidores de seguridad de software se benefician del menor costo de las CPU. El hardware se puede actualizar fácilmente y el hardware antiguo se puede reutilizar. Costo Muchos servidores de seguridad de hardware sólo permiten una capacidad de personalización limitada. Extensibilidad La actualización de las vulnerabilidades y revisiones más recientes suele ser más fácil con servidores de seguridad basados en software. Descripción Flexibilidad Factores de decisión
  • 23.
  • 24.
  • 25. Objetivos de seguridad en una red * Detección básica de intrusos, que se amplía gracias al trabajo de los asociados Confidencialidad Firewall de Windows IPSec 802.1x / WPA * Servidor ISA Acceso remoto seguro Control de acceso a la red Detección de intrusos Defensa de los clientes Defensa del perímetro
  • 26.
  • 27. Protección de los clientes Las reglas de protocolo, reglas de sitio y contenido, y reglas de publicación determinan si se permite el acceso. Reglas El precio de compra inicial para los servidores de seguridad de hardware podría ser inferior. Los servidores de seguridad de software se benefician del menor costo de las CPU. El hardware se puede actualizar fácilmente y el hardware antiguo se puede reutilizar. Complementos Se admiten todos los clientes sin software especial. La instalación del software de servidor de seguridad ISA en clientes Windows permite utilizar más funciones. Clientes admitidos Procesa todas las solicitudes para los clientes y nunca permite las conexiones directas. Descripción Funciones de proxy Método
  • 28.
  • 29.
  • 30. Protección de Exchange Server Protege el acceso del protocolo nativo de los clientes Microsoft Outlook® Publicación RPC Proporciona protección del servidor de solicitudes de cliente OWA para los usuarios remotos de Outlook que tienen acceso a Microsoft Exchange Server sin una VPN a través de redes que no son de confianza Publicación OWA Filtra los mensajes de correo electrónico SMTP que entran en la red interna Message Screener Configura reglas de ISA Server con el fin de publicar servicios de correo interno para usuarios externos de forma segura Descripción Asistente para publicación de correo Método
  • 31. Demostración 1 Inspección del nivel de aplicación en ISA Server Publicación de Web URLScan Inspección SSL
  • 32.
  • 33.
  • 34.
  • 35.
  • 36.
  • 37.
  • 38. Objetivos de seguridad en una red Confidencialidad Firewall de Windows IPSec 802.1x / WPA Servidor ISA Acceso remoto seguro Control de acceso a la red Detección de intrusos Defensa de los clientes Defensa del perímetro
  • 39.
  • 40.
  • 41.
  • 42.
  • 43.
  • 44.
  • 45. Demostración 2 Cortafuegos de Windows Configuración manual Prueba Revisión de los archivos de registro
  • 46.
  • 47. Objetivos de seguridad en una red Confidencialidad Firewall de Windows IPSec 802.1x / WPA Servidor ISA Acceso remoto seguro Control de acceso a la red Detección de intrusos Defensa de los clientes Defensa del perímetro
  • 48.
  • 49.
  • 50. Comparaciones de la seguridad de WLAN Bajos Baja Alto IPSec Bajos Media Alto (L2TP/IPSec) VPN Altos Baja Alto TLS de IEEE 802.1x Media Alta Facilidad de implementación Alto Bajo Nivel de seguridad Altos PEAP de IEEE 802.1X Altos WEP estático Facilidad de uso e integración Tipo de seguridad de WLAN
  • 51.
  • 52. 802.1x en 802.11 Ethernet Punto de acceso Servidor RADIUS RADIUS Equipo portátil Inalámbrico 802.11 Acceso permitido Inicio de EAPOL Identidad de respuesta de EAP Desafío de acceso de RADIUS Respuesta de EAP (credenciales) Acceso bloqueado Asociación Aceptación de acceso de RADIUS Identidad de solicitud de EAP Solicitud de EAP Solicitud de acceso de RADIUS Solicitud de acceso de RADIUS Asociado 802.11 Éxito de EAP Clave de EAPOL (clave)
  • 53.
  • 54.
  • 55.
  • 56.
  • 57.
  • 58.
  • 59.
  • 60.
  • 61.
  • 62.
  • 63.
  • 64.
  • 65. Objetivos de seguridad en una red Confidencialidad Firewall de Windows IPSec 802.1x / WPA Servidor ISA Acceso remoto seguro Control de acceso a la red Detección de intrusos Defensa de los clientes Defensa del perímetro
  • 66.
  • 67.
  • 68.
  • 69.
  • 70.
  • 71.
  • 72.
  • 73.
  • 74.
  • 75.
  • 76.
  • 77.
  • 78.
  • 79. Preguntas y respuestas
  • 80.
  • 81. Preguntas y respuestas
  • 82.
  • 83.
  • 84.  

Editor's Notes

  1. Notas para el alumno:
  2. Notas para el alumno:
  3. Notas para el alumno: En este tema del orden del día se explicará la seguridad en una red. Específicamente, se tratará lo siguiente: Propósito y limitaciones de las defensas de perímetro Propósito y limitaciones de las defensas de los clientes Propósito y limitaciones de las defensas ante intrusos Objetivos de seguridad en una red
  4. Notas para el alumno: Una estrategia de seguridad para una organización es más efectiva cuando los datos están protegidos por más de un nivel de seguridad. La estrategia de seguridad de defensa en profundidad utiliza varios niveles de protección. Si un nivel se ve comprometido, ello no conlleva necesariamente que también lo esté toda la organización. Una estrategia de defensa en profundidad aumenta el riesgo de detectar al intruso y disminuye la oportunidad de que tenga éxito. Para reducir al máximo la posibilidad de que un ataque contra los equipos cliente de su organización alcance su objetivo, tiene que implementar el grado apropiado de defensa en cada nivel. Hay muchas formas de proteger cada nivel individual mediante herramientas, tecnologías, directivas y la aplicación de las recomendaciones. Por ejemplo: Nivel de directivas, procedimientos y concienciación: programas de aprendizaje de seguridad para los usuarios Nivel de seguridad física: guardias de seguridad, bloqueos y dispositivos de seguimiento Nivel perimetral: servidores de seguridad de hardware, software o ambos, y redes privadas virtuales con procedimientos de cuarentena Nivel de red de Internet: segmentación de red, Seguridad IP (IPSec) y sistemas de detección de intrusos de red Nivel de host: prácticas destinadas a reforzar los servidores y clientes, herramientas de administración de revisiones, métodos seguros de autenticación y sistemas de detección de intrusos basados en hosts Nivel de aplicación: prácticas destinadas a reforzar las aplicaciones y el software antivirus Nivel de datos: listas de control de acceso (ACL) y cifrado Esta sesión se centra en la seguridad de una red y de su perímetro. Los métodos y prácticas de seguridad explicados en esta sesión tienen que ver principalmente con los niveles de host, red interna y perímetro. No obstante, es importante tener en cuenta que la seguridad de los clientes debe formar parte únicamente de la estrategia de seguridad global de la organización.
  5. Notas para el alumno: Los servidores de seguridad y enrutadores de borde configurados correctamente constituyen la piedra angular de la seguridad del perímetro. Sin embargo, los siguientes elementos superan las capacidades de los servidores de seguridad tradicionales: Los dispositivos y clientes móviles aumentan los riesgos de seguridad. Las redes privadas virtuales (VPN, Virtual Private Network ) representan un punto de entrada destructivo y pernicioso de virus y gusanos en muchas organizaciones que omiten el servidor de seguridad. Los servidores de seguridad con filtrado de paquetes de primera generación sólo bloquean los puertos de red y las direcciones de los equipos. Actualmente, la mayor parte de los ataques se producen en el nivel de aplicación, que no es inspeccionado por casi ningún servidor seguridad. El perímetro de una red es el punto en el que la red interna de una organización expone una interfaz a las redes que no son de confianza. Muchas personas asumen que el perímetro sólo consta de la conexión entre la red interna e Internet, pero esa definición es demasiado limitada. Desde el punto de vista de la seguridad, el perímetro de red abarca cada punto donde la red interna se conecta a redes y hosts que no son controlados por el grupo de tecnología de la información de la organización. Esto incluye las conexiones a Internet, socios comerciales, redes VPN y conexiones de acceso telefónico. Una nueva tendencia que está surgiendo en estos momentos en la seguridad de las redes es el desuso generalizado de la zona desmilitarizada (DMZ, Demilitarized Zone ) o subred protegida. Muchas organizaciones pretenden proteger sus redes internas del mundo exterior implementando una solución de servidor de seguridad. Sin embargo, el número de aplicaciones de la subred protegida está aumentando debido a la cantidad cada vez mayor de transacciones entre compañías (B2B, Business To Business) que se realizan. En consecuencia, la subred protegida, que se diseñó únicamente para contener un subconjunto de datos y aplicaciones, ahora aloja una aglomeración notable de datos confidenciales y valiosos. Comprometer la subred protegida hoy en día casi equivale a comprometer toda la red de confianza. Para hacer frente a la creciente cantidad de transacciones B2B, las organizaciones están creando soluciones de seguridad para el perímetro que son más abiertas y menos restrictivas. Cuando la protección se disminuye en el perímetro tradicional, en la red interna deben tomarse más medidas de seguridad. La tendencia en auge para los próximos años será abrir el perímetro al mismo tiempo que se fortalece la seguridad en la red interna con medidas complementarias como el uso de Firewall de Windows, el filtrado de puertos de IPSec, la autenticación de LAN 802.1x, la utilización de servidores de seguridad delante enrutadores y conmutadores, el cifrado y la supervisión de los sistemas.
  6. Notas para el alumno: Las defensas de los clientes se incluyen en el nivel de defensa del host, dentro del modelo de defensa en profundidad. Las defensas de los clientes actúan con frecuencia como último nivel de defensa debido a que pueden bloquear los ataques que omiten las defensas del perímetro, por ejemplo los servidores de seguridad. Además, las defensas de los clientes pueden bloquear los ataques que se originan en la red interna, como los intentos de introducirse en un sistema por parte de empleados deshonestos. Las defensas de los clientes incluyen tanto las medidas que están relacionadas con la red como aquéllas que no lo están. Algunas típicas son el refuerzo de la seguridad del sistema operativo, la aplicación de revisiones, la instalación de software antivirus y el uso de servidores de seguridad personales. Las defensas de los clientes pueden resultar difíciles de configurar porque requieren la realización de cambios en muchos equipos. Esto sólo puede llevarse a cabo de modo eficaz en un entorno de red administrada. En un entorno de red no administrada, es posible que los usuarios no puedan deshabilitar los mecanismos de protección y, por tanto, omitan las defensas de los clientes. Al evaluar la eficacia de las defensas de los clientes y el modo en que van a funcionar dentro de una estrategia de defensa en profundidad, debería considerar cómo se aplican.
  7. Notas para el alumno: Los objetivos comunes de seguridad en una red incluyen: Defensa frente a los ataques del perímetro de red Defensa frente a los ataques en el cliente que se originan en la red Detección de los intentos de entrar en el sistema Control de las personas que pueden tener acceso a la red Protección de las comunicaciones para lograr confidencialidad Suministro de acceso remoto seguro En esta presentación, verá la forma en que las tecnologías como ISA Server, Firewall de Windows, Seguridad IP (IPSec) y otras tecnologías de seguridad para dispositivos inalámbricos pueden ayudarle a alcanzar estos objetivos.
  8. Notas para el alumno: En este tema del orden del día, se explicará el uso de las defensas del perímetro. Específicamente se tratará: Información general sobre las conexiones de perímetro Diseño del servidor de seguridad: de triple interfaz Diseño del servidor de seguridad: de tipo opuesto con opuesto o sándwich Contra qué NO protegen los servidores de seguridad Servidores de seguridad de software y de hardware Tipos de funciones de los servidores de seguridad
  9. Notas para el alumno: Los tipos de dispositivos que se encuentran en el perímetro incluyen clientes VPN y servidores VPN, servidores de acceso remoto (RAS) y clientes RAS, enrutadores de borde, servidores de seguridad, sistemas de detección de intrusos de red (NIDS) y servidores proxy. Debe asegurarse de proteger todos los puntos de entrada a una red interna y de que no hay otros no autorizados, como los módems que se conectan a los equipos cliente o servidores, o los puntos de acceso inalámbricos con fines sospechosos. Las conexiones del perímetro no sólo están en la oficina principal, sino en cada ubicación de la organización con presencia en Internet. Una organización debe ser diligente a la hora de garantizar que todos los puntos de entrada son seguros y que los nuevos no permiten introducirse accidentalmente en la organización. Por ejemplo, un empleado de una sucursal podría configurar un punto de acceso inalámbrico para utilizar la red en una sala que no tuviera conexiones de red. Información adicional: En el vínculo siguiente puede encontrar ayuda paso a paso para planear e implementar una solución completa que permita proteger una red:  http://msdn.microsoft.com/library/en-us/dnnetsec/html/THCMCh15.asp (este sitio está en inglés).
  10. Notas para el alumno: En una configuración de red de perímetro con un servidor de seguridad de triple interfaz, éste se configura con tres adaptadores de red. Cada uno de los adaptadores se conecta a una de las redes siguientes: Internet Servidores de la red interna que se encuentran en la subred protegida Clientes de la red interna Aunque los servidores de la red de perímetro tienen direcciones IP que suponen una presencia en Internet, el equipo servidor de seguridad no permite el acceso directo a los recursos que se encuentran en la red interna. El servidor de seguridad filtrará y enrutará los paquetes a la subred protegida, tal como se determine en la configuración de las reglas de protocolo y de puertos del servidor de seguridad. Una ventaja de un servidor de seguridad de triple interfaz es que ofrece un único punto de administración para configurar el acceso tanto a la red de perímetro como a la red interna. Sin embargo, la administración de la creación de reglas podría ser más compleja para la subred protegida y la red interna. Cuando entra en juego la complejidad de administración, la posibilidad de llevar a cabo una configuración incorrecta también aumenta. Una desventaja de un servidor de seguridad de triple interfaz es que presenta un único punto de acceso a todos los componentes de la red. Si el servidor de seguridad se ve comprometido, la subred protegida y la red interna también podrían verse comprometidas. Al implementar un servidor de seguridad de triple interfaz, que suele utilizarse en compañías pequeñas y medianas, debería ponerse el mismo cuidado en el planeamiento y en la implementación.
  11. Notas para el alumno: En una red de perímetro con servidores de seguridad de tipo sándwich, en cada lado de la subred protegida se ubican dos servidores de seguridad. Ambos se conectan a la subred protegida: uno de ellos se conecta también a Internet y el otro a la red interna. En esta configuración, no hay un único punto de acceso. Para llegar a la red interna, un usuario tendría que conseguir pasar ambos servidores de seguridad. Es habitual trabajar con dos proveedores de servidores de seguridad diferentes para conseguir la máxima seguridad. Esta configuración en la que intervienen dos proveedores impide que un punto débil de uno de los servidores de seguridad pueda aprovecharse fácilmente en ambos. La administración no se realiza de forma centralizada en los dos servidores para la subred protegida y para las redes de Internet. Una configuración de tipo sándwich permite la creación de muchas reglas granulares para el acceso interno y externo a la red. Por ejemplo, es posible crear reglas que únicamente permitan el acceso del tráfico HTTP y SMTP a la subred protegida desde Internet y otras que sólo permitan el acceso del tráfico cifrado de IPSec a los servidores de servicios de fondo en una red interna de la subred protegida. Generalmente, es más fácil configurar reglas para un diseño de servidor de seguridad de tipo sándwich si la directiva de acceso de una organización admite un tráfico de red limitado y muy controlado entre los equipos de la subred protegida y equipos seleccionados de la red interna.
  12. Notas para el alumno: Tenga en cuenta que un servidor de seguridad no protege frente a todos los tipos de ataques. Aunque las defensas del perímetro se encuentran entre los elementos más importantes que puede implementar en una red, *nunca* debe confiar sólo en un servidor de seguridad para proteger toda la red. Tráfico peligroso que atraviesa los puertos abiertos y que no es inspeccionado por el servidor de seguridad : la primera generación de servidores de seguridad no permite la inspección de los datos del nivel de aplicación. Si un puerto se abre y permite el tráfico (por ejemplo, el puerto 80), un usuario interno podría comprobar su correo electrónico basado en Web y abrir un archivo adjunto que estuviera infectado con un virus. Tráfico que atraviesa un túnel o sesión cifrados : el tráfico cifrado que no puede descifrarse e inspeccionarse en la mayor parte de servidores de seguridad. Esto introduce la posibilidad de que el tráfico peligroso pueda pasar cifrado a través del servidor de seguridad aunque éste inspeccione el nivel de aplicación. Ataques que se producen una vez que se ha entrado en una red : los servidores de seguridad no pueden proteger frente a un ataque una vez que se ha entrado en la red interna. Por ejemplo, un empleado de ventas que trabaje fuera podría volver a su oficina principal con su portátil (que utiliza sin la protección del servidor de seguridad de la organización y no contiene una solución antivirus) e infectar con un virus a todos los equipos internos. Tráfico que parece legítimo : el tráfico puede tener una apariencia legítima pero contener lógica que pueda explotar un punto vulnerable. Por ejemplo, una cadena HTTP podría cumplir los estándares de la Unidad máxima de transmisión (MTU, Maximum Transmission Unit ) y simular que realiza una solicitud legítima a un servidor Web pero en realidad aprovecharse de un punto débil de un servidor Web. Usuarios y administradores que intencionada o accidentalmente instalan virus : en el ejemplo anterior, un empleado de ventas que trabaje fuera podría volver a su oficina con su portátil, que utiliza sin la protección del servidor de seguridad de la organización y que no contiene una solución antivirus, e infectar con un virus a todos los equipos internos. En esta situación, el servidor de seguridad no puede ofrecer ninguna protección y existe un riesgo aún mayor frente al virus que merodea sin control en la red interna de confianza. Administradores que utilizan contraseñas poco seguras : el uso de contraseñas seguras y soluciones de autenticación con varios factores constituyen un principio fundamental de seguridad. Si no se utiliza una autenticación con varios factores al implementar una contraseña que no sea extremadamente compleja en un servidor de seguridad, es muy fácil que éste se vea comprometido.
  13. Notas para el alumno: Aunque los servidores de seguridad técnicamente son hardware y software, en ocasiones se distinguen por el hecho de que el software se tiene que instalar en un sistema existente (de software) o el servidor de seguridad viene empaquetado como un dispositivo con el software instalado (de hardware). Con frecuencia, la diferencia entre ambos tipos no resulta clara. Por ejemplo, algunos servidores de seguridad que se venden como dispositivos son de software, que se configura de forma personalizada, y vienen con hardware. Tenga en cuenta que las diferencias que se pueden ver en esta diapositiva sólo son directrices generales. Debe evaluar cualquier servidor de seguridad principalmente en función de su idoneidad global para realizar las tareas que usted requiera. Aunque las diferencias entre los dos tipos de servidores de seguridad varían, hay algunos aspectos generales que debe considerar cuando elija uno. Si no sabe con seguridad lo que necesita, un factor importante al tomar una decisión es si el servidor de seguridad está certificado por la International Computer Security Association (ICSA) y si puede ampliarse para satisfacer las necesidades de su organización ahora y en el futuro. Recursos adicionales: Para comprobar si un servidor de seguridad cumple los estándares de la ICSA, visite http://www.icsalabs.com/html/communities/firewalls/certification/rxvendors/index.shtml (este sitio está en inglés).
  14. Notas para el alumno: Los servidores de seguridad tradicionales proporcionan la forma más básica de protección: filtran paquetes específicos. El filtrado de paquetes IP intercepta y evalúa los paquetes antes de que pasen a través de un servidor de seguridad. Los filtros de paquetes IP controlan el acceso en función de las direcciones IP de origen y destino, el protocolo de comunicación y el puerto IP (canal de comunicación) que se utilizan. El problema de este enfoque es que sólo se pueden filtrar los aspectos de nivel inferior de un paquete de red, no el contenido del tráfico. Un servidor de seguridad con inspección de estado inspeccionará un paquete IP cuando llegue a él desde Internet. El servidor de seguridad debe decidir si el paquete se debe reenviar a la red interna. Para ello, "echa un vistazo" a fin de comprobar qué conexiones han sido abiertas desde dentro de la red hacia Internet (lo que también se conoce como tráfico solicitado ). Si hay una conexión abierta que se aplique al paquete que ha llegado desde Internet, se le permitirá el paso. De lo contrario, el paquete se rechazará. *La inspección del nivel de aplicación es la clave*. Si conoce el protocolo de comunicación de una aplicación, el servidor de seguridad puede inspeccionar el tráfico legítimo y actuar como protección frente a una comunicación peligrosa o inapropiada. Sólo se permite el paso a través del servidor de seguridad a los paquetes que cumplen las definiciones del protocolo. Los filtros del nivel de aplicación son lo suficientemente inteligentes como para inspeccionar la información que pasa a través del servidor de seguridad. Por lo tanto, estos filtros pueden cerrar los puntos débiles específicos de las aplicaciones. Además, las reglas del servidor de seguridad pueden especificar recursos específicos de la aplicación a los que se concede o deniega el acceso. Por ejemplo, es posible que un servidor de seguridad del nivel de aplicación pueda inspeccionar el tráfico HTTP y bloquee las solicitudes no válidas destinadas a los servidores Web. Microsoft ISA Server es un ejemplo de servidor de seguridad que realiza todos estos tipos de inspección.
  15. Notas para el alumno: En este tema del orden del día, se explicará el uso de ISA Server para proteger los perímetros. Específicamente se tratará: Objetivos de seguridad en una red Protección de los perímetros Protección de los clientes Protección de los servidores Web URLScan Protección de Exchange Server Tráfico que omite la inspección de los servidores de seguridad Inspección de todo el tráfico Inspección de SSL Refuerzo de la seguridad de ISA Server Recomendaciones
  16. Notas para el alumno: ISA Server ayuda a lograr los siguientes objetivos de seguridad en una red: Defensa del perímetro Detección de intrusos *ISA Server tiene capacidades básicas de detección de intrusos que se amplían gracias al trabajo de los asociados. Acceso remoto seguro Información adicional Asociados para ISA Server que trabajan en la mejora de la capacidad de detección de intrusos: http://www.microsoft.com/isaserver/partners/intrusiondetection.asp (este sitio está en inglés)
  17. Notas para el alumno: La solución de servidor de seguridad de Microsoft, ISA Server, proporciona seguridad empresarial gracias al filtrado en varios niveles: en los paquetes, en los circuitos y en las aplicaciones. ISA Server analiza y controla el tráfico específico de una aplicación con filtros específicos de la aplicación que inspeccionan los datos reales. Es posible habilitar el filtrado inteligente de HTTP, FTP, correo electrónico SMTP, conferencia H.323, medios de transmisión, RPC y otros. Sin necesidad de modificaciones, ISA Server bloquea todo el tráfico de red y sólo admite los tipos de tráfico que usted permita pasar específicamente a través del servidor de seguridad. Esto representa el control más pesimista del tráfico que pasa a través de las redes, tanto si son de confianza como si no. ISA Server se combina con el Servicio de enrutamiento y acceso remoto de Windows (RRAS, Routing and Remote Access Service ) como ayuda para proteger el acceso remoto a la red. ISA Server simplifica la configuración de RRAS y ayuda a proteger el servidor VPN frente a ataques que se realicen desde Internet. ISA Server 2000 ha recibido las certificaciones ICSA y Common Criteria. Son las certificaciones que más se utilizan en el sector para los productos de servidor de seguridad. Información adicional: Consulte “ISA Server 2000 Achieves Common Criteria Certification” (en inglés) en: http://www.microsoft.com/isaserver/techinfo/deployment/commoncrit.asp
  18. Notas para el alumno: ISA Server funciona como servidor proxy. Esto significa que ISA Server procesa todas las solicitudes de cliente y nunca permite ningún tráfico de red directo entre un cliente y un servidor que estén en lados diferentes del servidor de seguridad. Aunque es posible mejorar las funciones de ISA Server si se configura el software de cliente, ISA Server puede proporcionar protección para todos los equipos que utilizan TCP/IP sin tener que emplear software especial en los equipos cliente. Las reglas, extremadamente configurables, permiten controlar de forma granular el tráfico entrante y saliente. Por ejemplo, se pueden crear reglas para permitir únicamente el tráfico HTTP a los sitios de los socios comerciales de 8 a.m. a 1 p.m. De 12 p.m. a 1 p.m. se permite el acceso HTTP sin restricción pero se concede mayor prioridad al tráfico SMTP. De 1 p.m. a 5 p.m., de nuevo las reglas sólo permiten el tráfico HTTP a los sitios de los socios comerciales. Después de las 5 p.m., las reglas HTTP son menos estrictas. Microsoft ha publicado el kit de desarrollo de software (SDK), que está disponible públicamente. Esto facilita a los programadores de Microsoft y a otros proveedores la adición de funciones a ISA Server. Los siguientes son ejemplos de proveedores que proporcionan complementos: Elaboración de informes: Revisión e informes del tráfico a través de ISA Server: Aelita Software, Burst Technology, Sane Solutions, Secure Computing, Soft-ex Communications, Wavecrest Computing, WebSpy y WebTrends Servicios de seguridad: Corbett Technologies, Foundstone e InDepth Technologies Detección de intrusos: GFI e Internet Security Systems Control del uso de Internet en la organización: 8e6 Technologies, Burst Technologies, Cobion AG, Conerpost Software, FilterLogic, Futuresoft Inc, iCognito Technologies, N2H2 Inc, Nexus Technology Ltd, Secure Computing Corporation, SurfControl, Wavecrest Computing y Websense Inc.
  19. Notas para el alumno: Las reglas de publicación permiten que las solicitudes seleccionadas de los clientes externos lleguen a los servidores Web públicos. ISA Server puede inspeccionar las solicitudes entrantes y filtrarlas. Por ejemplo, se pueden crear reglas de publicación en Web para redirigir las solicitudes a los servidores Web internos que alojan sitios Web diferentes. ISA Server inspecciona el trafico de acuerdo con las reglas de destino configuradas en el servidor y reenvía las solicitudes al servidor Web interno. ISA Server también registrará los paquetes que no cumplan las reglas definidas por el administrador y, si se desea, los paquetes que sí las cumplan. ISA Server puede inspeccionar el tráfico de Secure Sockets Layer (SSL) y terminar el túnel SSL cifrado desde el cliente. Si las reglas permiten este tráfico, ISA Server puede reenviar las solicitudes al servidor Web publicado, ya sea de forma cifrada o sin cifrar. La ventaja principal es que ningún tráfico puede pasar a la red interna sin que ISA Server realice una inspección completa del mismo para asegurarse de que cumple las reglas y los estándares. Información adicional: Para obtener más información sobre la publicación de ISA Server, consulte: http://www.microsoft.com/technet/prodtechnol/isa/proddocs/isadocs/m_p_c_pnatrule.asp (este sitio está en inglés).
  20. Notas para el alumno: URLScan 2.5 se incluye con el paquete de características 1 de ISA Server. También se puede descargar para proteger los servidores IIS que ejecutan la versión 4.0 y posteriores. URLScan es una herramienta de seguridad que se instala como un filtro de la Interfaz de programación de aplicaciones de seguridad en Internet (ISAPI) y que examina todas las solicitudes entrantes al servidor y filtra las que se basen en reglas establecidas por el administrador. El filtrado de las solicitudes ayuda a proteger el servidor al garantizar que sólo se procesan las solicitudes válidas. La herramienta de seguridad URLScan comprende dos archivos, UrlScan.dll y UrlScan.ini, que funcionan juntos para que un administrador pueda configurar la seguridad. Por ejemplo, una solicitud podría ser extremadamente larga, solicitar una acción inusual, superar el tamaño de MTU de Internet, estar codificada con un juego de caracteres alternativo o incluir secuencias de caracteres que apenas aparezcan en las solicitudes legítimas. Estas reglas están incluidas en el archivo UrlScan.ini. El archivo UrlScan.ini contiene las secciones siguientes, que pueden ser modificadas por un administrador para proporcionar un control granular de las solicitudes que se reenvían a los servidores Web internos: [Options] : describe opciones generales de URLScan. [AllowVerbs] y [DenyVerbs] : define los verbos (también conocidos como métodos HTTP) que URLScan admite. [DenyHeaders] : enumera los encabezados HTTP que no se permiten en una solicitud HTTP. [AllowExtensions] y [DenyExtensions] : define las extensiones de nombre de archivo que URLScan admite. [DenyURLSequences] : enumera las cadenas que no se permiten en una solicitud HTTP. Aunque URLScan se diseñó originalmente para ejecutarse en un servidor IIS, su uso en ISA Server permite realizar estas funciones en la periferia de la red en lugar de configurarlo en cada servidor Web. La ejecución de URLScan en ISA Server puede complementar las instalaciones existentes de URLScan o reducir la complejidad de la configuración al ejecutarse en el borde de la red, en lugar de ejecutarse en cada servidor Web y servidor con Outlook Web Access de la red interna. Si los servidores Web requieren una configuración diferente, configure URLScan en ISA Server con la configuración menos restrictiva que se aplique a cualquier servidor publicado y, a continuación, aplique la configuración de URLScan más restrictiva en el servidor que la requiera.
  21. Notas para el alumno: Para proteger los servidores de correo donde se ejecuta Microsoft Exchange, ISA Server protege los servidores de correo interno que están disponibles para los clientes externos. El Asistente para publicación de correo permite hacer esto fácilmente y de forma segura. SMTP Message Screener puede bloquear los mensajes de correo electrónico que contienen tipos específicos de archivos adjuntos o palabras clave. También es posible configurar los remitentes o los dominios cuyo correo desea rechazar. Message Screener procesa todo el tráfico SMTP entrante antes de que llegue al servidor de correo interno. Message Screener es un componente opcional que no se instala automáticamente si realiza una instalación típica de ISA Server. Debe instalar el programa SMTP Message Screener en un equipo donde se ejecute Servicios de Internet Information Server (IIS) 5.0 o un servicio SMTP posterior. SMTP Message Screener utiliza el Modelo de objetos componentes distribuido (DCOM, Distributed Component Object Model ) para comunicar con el filtro SMTP de ISA Server. Puede instalar el filtro SMTP en el mismo equipo donde se ejecuta ISA Server o en otro diferente. La publicación de Llamada a procedimiento remoto (RPC, Remote Procedure Call ) proporciona acceso seguro a los clientes Outlook en Internet. Para ello, ISA Server inspecciona el tráfico RPC y únicamente abre los puertos necesarios para que un cliente se comunique con el servidor Exchange. El paquete de características 1 de ISA Server también automatiza la publicación en Web para proteger el tráfico de Outlook Web Access (OWA) y Outlook Mobile Access (OMA). El asistente de publicación configura todas las reglas necesarias para esta tarea.
  22. Notas para el alumno: En esta demostración, se tratará: Cómo publicar un servidor Web en la red interna mediante Publicación en Web de ISA Server Cómo instalar y habilitar URLScan en el servidor ISA Server y cómo comprobar la presencia del nuevo filtro Web Cómo configurar y utilizar SMTP Message Screener
  23. Notas para el alumno: Algunos servidores de seguridad del nivel de aplicación no inspeccionan parte del tráfico que los atraviesa. Esto podría permitir que entre tráfico peligroso en la red. Esta diapositiva ofrece ejemplos de tráfico que puede no ser inspeccionado por un servidor de seguridad. Al elegir una solución de servidor de seguridad, debe determinar los puntos de entrada de los protocolos en la red y si el riesgo de permitir que estos protocolos entren en ella sin ser inspeccionados es aceptable.
  24. Notas para el alumno: Para impedir que el tráfico omita el servidor de seguridad, considere las estrategias siguientes: Utilice una estrategia de defensa en profundidad para detectar el tráfico problemático una vez descifrado el tráfico VPN. Para ello, puede utilizar sistemas de detección de intrusos en la red. Utilice un servidor de seguridad que pueda inspeccionar el tráfico SSL entrante. ISA Server puede ocuparse de ello. En la siguiente dispositiva se explica esto detalladamente. Expanda las capacidades de inspección del servidor de seguridad. Por ejemplo, Akonix proporciona un complemento para ISA Server que permite la inspección del tráfico de IM. Información adicional: Para obtener información sobre Akonix L7 Enterprise para ISA Server, consulte: http://www.akonix.com/products/l7_isa.asp (este sitio está en inglés)
  25. Notas para el alumno: SSL cifra el tráfico de red para proteger la confidencialidad entre el cliente y el servidor. Aunque esta confidencialidad es necesaria para el tráfico de red que atraviesa las redes que no son seguras, como Internet, también impide que los servidores de seguridad inspeccionen este tráfico cifrado. Los servidores de seguridad tradicionales pasan el tráfico SSL a los servidores Web internos sin inspeccionarlo, con lo que permiten que los virus, gusanos u otros ataques los atraviesen sin ser detectados. Puede configurar ISA Server como extremo del túnel SSL. Para ello, debe instalar un certificado de servidor Web en el equipo que ejecuta ISA Server, de modo que éste pueda demostrar su identidad ante los equipos cliente. Una vez que ISA Server inspecciona el tráfico del túnel SSL, lo reenvía al servidor interno. Es posible configurar ISA Server para enviar este tráfico sin cifrar o cifrado de nuevo.
  26. Notas para el alumno: ISA Server suele conectarse directamente a Internet y, por lo tanto, está expuesto a posibles ataques provenientes del exterior. Si el servidor de seguridad se bloquea o se ve comprometido desde la red interna, es posible que puedan entrar intrusos en la red. Si se refuerza más el servidor ISA Server, es posible aumentar la seguridad del servidor de seguridad. Debe configurar la pila de red de Windows Server 2000 o Windows Server 2003 para impedir ataques de denegación de servicio. Los artículos 315669 y 324270 de Knowledge Base (Base de conocimiento) de Microsoft contienen información detallada sobre cómo hacer esto. También debe deshabilitar los protocolos de red innecesarios. Normalmente, esto incluye deshabilitar el Cliente para redes Microsoft y la función Compartir impresoras y archivos para redes Microsoft en la interfaz externa de ISA Server. Además, debe deshabilitar NetBIOS sobre TCP/IP en la interfaz externa.
  27. Notas para el alumno: Puede conceder acceso a Internet si crea reglas de sitios y de contenido. Las reglas de sitios y de contenido determinan si los usuarios o conjuntos de direcciones de cliente pueden tener acceso al contenido de conjuntos de destinos específicos y cuándo. Si un cliente solicita un objeto, ISA Server comprueba las reglas de sitios y de contenido. La solicitud sólo se admitirá si una regla de sitios y de contenido permite específicamente el acceso de cliente al contenido y si se permite al cliente comunicarse con el protocolo específico. Puede establecer la configuración de las solicitudes Web entrantes y salientes de forma que los usuarios se deban autenticar antes de procesar las reglas. De este modo se garantiza que las solicitudes sólo se permiten si el usuario que las efectúa se ha autenticado. Las reglas de publicación en Web determinan cómo debe interceptar ISA Server las solicitudes entrantes de objetos HTTP en un servidor Web interno y cómo debe responder en nombre del servidor Web. Las solicitudes se reenvían a un servidor Web interno, que se encuentra detrás del equipo que ejecuta ISA Server. Configure las reglas sólo para conjuntos de destinos específicos, que incluyen una o varias direcciones URL. La inspección SSL permite la inspección y modificación del tráfico HTTP. Los puentes de SSL se utilizan cuando ISA Server finaliza una conexión SSL o cuando la inicia.
  28. Notas para el alumno: En este tema del orden del día, se explicará el uso de Firewall de Windows para proteger a los clientes. Específicamente se tratará: Objetivos de seguridad en una red Información general sobre Firewall de Windows Habilitar Firewall de Windows Configuración avanzada de Firewall de Windows Registro de seguridad de Firewall de Windows Firewall de Windows en la compañía Recomendaciones
  29. Notas para el alumno: Firewall de Windows ayuda a lograr el siguiente objetivo de seguridad en la red: Defensa de los clientes
  30. Notas para el alumno: Firewall de Windows resulta útil si se desea proteger una conexión de acceso telefónico cuando se marca directamente a un número de un proveedor de servicios Internet (ISP, Internet Service Provider ) o para proteger una conexión LAN a una línea asimétrica de suscripción digital (ADSL, Asymmetric Digital Subscriber Line ) o módem por cable. Firewall de Windows también puede habilitarse en la conexión a Internet de un equipo host que utiliza Conexión compartida a Internet (ICS, Internet Connection Sharing ) para proporcionar protección al equipo host ICS. De forma predeterminada, Firewall de Windows bloquea el tráfico entrante que no se haya solicitado. Uno de los objetivos de diseño de Firewall de Windows es que resulte tan fácil de utilizar como sea posible y no requiera la intervención del usuario. Cuando se habilita Firewall de Windows, los equipos quedan automáticamente protegidos frente a la mayor parte de los ataques basados en la red. Es posible configurarlo para que permita el tráfico entrante que se seleccione.
  31. Notas para el alumno: Un objetivo de diseño importante de Firewall de Windows es su facilidad de uso. Puede ir a la ficha Avanzadas de la página Propiedades de una conexión de red y habilitar Firewall de Windows a través de una casilla de verificación. La carpeta Conexiones de red se encuentra en el área Conexiones de red e Internet del Panel de control. Firewall de Windows también se puede habilitar mediante el Asistente para configuración de red y el Asistente para conexión nueva. Firewall de Windows se puede habilitar de forma independiente en cada conexión de red. Por ejemplo, puede habilitarlo en una conexión de acceso telefónico que utilice para conectarse a Internet. Puede deshabilitarlo en una conexión Ethernet que utilice para conectarse a la red corporativa.
  32. Notas para el alumno: Si en un equipo ejecuta servicios de red o aplicaciones basadas en Web, puede abrir puertos específicos si selecciona los protocolos para los que desee permitir las conexiones entrantes. Recuerde que habilitar Firewall de Windows en una conexión a través de la que reciba correo electrónico podría afectar a las notificaciones de correo nuevo. Dado que Firewall de Windows inspecciona todas las comunicaciones entrantes, algunos programas, especialmente los de correo electrónico, se podrían comportar de forma diferente si lo activa. Algunos programas de correo electrónico sondean periódicamente su servidor para comprobar si hay correo nuevo. Otros esperan que el servidor de correo les notifique ese hecho. Firewall de Windows no afecta al comportamiento de Outlook Express porque la solicitud de notificar el correo electrónico nuevo se origina desde dentro del servidor de seguridad. Sin embargo, Microsoft Outlook 2000 se conecta a un servidor basado en Microsoft Exchange que utiliza RPC para enviar a los clientes las notificaciones de recepción de mensajes nuevos. Como la notificación RPC se inicia en un servidor basado en Exchange que está fuera del servidor de seguridad, Firewall de Windows no permite que los mensajes RPC lleguen a la red doméstica desde Internet. El mensaje con la notificación RPC se descarta. Puede enviar y recibir mensajes de correo electrónico pero debe comprobar usted mismo si hay mensajes nuevos o bien puede configurar Outlook 2000 y Outlook 2003 de modo que sondeen el servidor Exchange para comprobarlo.
  33. Notas para el alumno: Firewall de Windows tiene la capacidad de registrar el tráfico de red. Este registro sigue el Formato de archivo extendido W3C ( http://www.w3.org/TR/WD-logfile.html [en inglés]). El archivo de registro es un archivo de texto ASCII que se puede importar para analizar los datos. De forma predeterminada, Firewall de Windows no registra los paquetes descartados ni las conexiones correctas. Debe habilitar el registro para solucionar problemas o para recopilar registros y realizar análisis centralizados. La información que se recopila en los registros de Firewall de Windows puede resultar de un interés inestimable en el análisis de ataques que se han llevado a cabo. Si configura el registro, no olvide limitar el tamaño del archivo de registro para no utilizar todo el espacio de disco disponible en los equipos. No obstante, asegúrese de registrar información suficiente para realizar un seguimiento de los posibles ataques.
  34. Notas para el alumno: Aunque Firewall de Windows se diseñó como servidor de seguridad personal, puede aumentar la seguridad en un entorno empresarial al proporcionar un nivel adicional de seguridad en el cliente. Firewall de Windows puede configurarse de forma centralizada mediante directivas de grupo en Active Directory®. Para administrar equipos cliente, muchas organizaciones deben poder tener acceso a estos equipos a través de la red. Para asegurarse de que los usuarios no habilitan Firewall de Windows mientras se encuentran en su red, aplique la opción de directiva de grupo Prohibir el uso de Firewall de Windows en su red de dominio DNS . Al aplicar esta opción de directiva de grupo, los usuarios con cuentas de administrador no pueden habilitar ni configurar Firewall de Windows porque la ficha Avanzadas deja de estar disponible y se bloquean las opciones del asistente relacionadas en equipos con Windows XP Professional. Esta opción de directiva de grupo se encuentra en Configuración del equipo\\Plantillas administrativas\\Conexiones de red\\ La protección de Firewall de Windows sigue estando disponible cuando los equipos cliente no están conectados a la red corporativa. El Control de cuarentena de acceso a la red es una característica de los servidores VPN basados en Windows Server 2003. Puede utilizarla para controlar el acceso de los clientes VPN a la red corporativa. Por ejemplo, puede emplear una secuencia de comandos para comprobar si Firewall de Windows está configurado en los clientes VPN y desconectar los que no lo tengan habilitado. Información adicional: Para obtener más información del Control de cuarentena de acceso a la red de Windows Server 2003, consulte: http://www.microsoft.com/windowsserver2003/techinfo/overview/quarantine.mspx Para obtener más información sobre la configuración de directivas de grupo para Firewall de Windows, consulte: http://www.microsoft.com/technet/treeview/default.asp?url=/technet/prodtechnol/windowsserver2003/proddocs/entserver/hnw_prohibit.asp
  35. Notas para el alumno: Firewall de Windows *siempre* se debe utilizar en todos los equipos que estén conectados a Internet y que no ofrezcan el grado de protección que proporciona un servidor de seguridad tradicional. No active Firewall de Windows en una conexión VPN porque interfiere con el uso compartido de archivos y con otras funciones VPN. Sin embargo, en el resto de las conexiones se DEBE utilizar Firewall de Windows mientras se tenga acceso a la VPN para impedir que el tráfico no solicitado se enrute a la red corporativa interna. Firewall de Windows puede habilitarse en una LAN, incluso en una LAN inalámbrica, y en conexiones de Servicio de acceso remoto como PPP sobre Ethernet, acceso telefónico y VPN. Se puede habilitar en varias conexiones en un sistema, cada una con sus propias opciones y configuración. Cada conexión debe analizarse para determinar a qué tráfico no solicitado se le debe permitir entrar en esa interfaz. El registro de seguridad se debe configurar para grabar una cantidad apropiada de datos que no puedan sobrescribirse fácilmente. Un archivo con un tamaño de 16 megabytes es suficiente en la mayor parte de las instalaciones de equipos.
  36. Notas para el alumno: En esta demostración, se tratará: Cómo habilitar y probar Firewall de Windows Como revisar los archivos de registro de Firewall de Windows y configurar directivas de grupo
  37. Notas para el alumno: En este tema del orden del día, se tratará cómo proteger las redes inalámbricas. Específicamente se tratará: Objetivos de seguridad en una red Aspectos de seguridad en dispositivos inalámbricos Posibles soluciones Comparación de la seguridad de las redes de área local inalámbricas (WLAN) 802.1X 802.1X en 802.11 Requisitos del sistema para 802.1x Configuración de 802.1x Directiva de acceso Perfil de directivas de acceso Wi-Fi Protected Access (WPA) Recomendaciones
  38. Notas para el alumno: 802.1x y Wireless Protected Access (WPA) son características de seguridad para redes inalámbricas. Ayudan a lograr los siguientes objetivos de seguridad en una red: Control de las personas que pueden tener acceso a la red Confidencialidad del tráfico de red
  39. Notas para el alumno: La especificación 802.11 no define un protocolo de administración de claves Wired Equivalent Privacy (WEP). El uso de claves WEP estáticas no es suficientemente seguro para impedir el acceso no autorizado a la red y mantener la confidencialidad de las comunicaciones. Ésta es una limitación de los servicios de seguridad de IEEE 802.11, especialmente en un modo de red de infraestructura inalámbrica con un gran número de emisoras. Recientemente, WEP ha demostrado ser un protocolo débil desde el punto de vista criptográfico. Investigadores de la Universidad de Berkeley fueron capaces de desentrañar el cifrado de los datos codificados con WEP. Teóricamente, usuarios con malas intenciones podrían hacer lo mismo en la red. Además, no hay un método estándar para proporcionar claves WEP estáticas a los clientes. Dado que todos comparten la misma clave WEP estática, si esta clave se ve comprometida, las comunicaciones de todos los usuarios pueden verse comprometidas. El control de acceso a las redes inalámbricas es un reto cada vez más difícil de superar para los administradores de red. El acceso ilimitado implica que cualquier usuario que disponga de una tarjeta de red inalámbrica pueda obtener acceso a la red. Por otro lado, un acceso muy restringido invalida las ventajas que supone el acceso inalámbrico e irrita a los usuarios. Limitar el acceso a su infraestructura inalámbrica y mantener alejados a los intrusos al mismo tiempo que ofrece a los usuarios la libertad de trabajar sin cables es un desafío al que se enfrentan todas las compañías que implementan redes inalámbricas. En muchas redes inalámbricas pequeñas, la supervisión de direcciones de Control de acceso a medios (MAC, Media Access Control ) constituye la mejor elección. El punto de acceso inalámbrico suele tener la capacidad de almacenar una lista de direcciones MAC con permiso para tener acceso a la red. Si la dirección MAC no se ha agregado al punto de acceso, se rechaza y el usuario no puede conectarse a la red. Esta técnica tiene la ventaja añadida de impedir que los intrusos suplanten las direcciones IP. Sin embargo, si no se puede entrar en la red, no es posible suplantar una dirección. Desgraciadamente, hay herramientas que permiten que un intruso suplante una dirección MAC. Información adicional: Para obtener más información, consulte Microsoft Wi-Fi Technology Center: http://www.microsoft.com/windowsserver2003/technologies/networking/wifi/default.mspx
  40. Notas para el alumno: Hay varios protocolos y soluciones de terceros que permiten mejorar la seguridad de las redes WLAN. La solución recomendada es utilizar la Autenticación de nivel 2. La Autenticación de nivel 2 basada en contraseñas es relativamente fácil de implementar porque no requiere una Infraestructura de clave pública (PKI, Public Key Infrastructure ). El protocolo que se utiliza para esto es la autenticación de IEEE 802.1x que utiliza el Protocolo protegido de autenticación extensible (PEAP, Protected Extensible Authentication Protocol ) y el Protocolo de autenticación por desafío mutuo de Microsoft (MSCHAP, Microsoft Challenge Handshake Authentication Protocol ) v2 en la autenticación de los clientes. Si su organización puede implementar una PKI, una solución más segura es utilizar la Seguridad del nivel de transporte del protocolo de autenticación extensible (EAP-TLS, Extensible Authentication Protocol Transport Layer Security ) para el acceso de red 802.1x. EAP-TLS utiliza certificados para la autenticación mutua de puntos de acceso y clientes inalámbricos. En ciertas circunstancias, es posible utilizar otras opciones: Conexiones VPN : requiere que los usuarios de dispositivos inalámbricos se conecten mediante tecnologías VPN que puedan cifrar sus datos. Sin embargo, las conexiones VPN suelen requerir que los usuarios establezcan un túnel VPN independiente una vez que se conectan a la red inalámbrica. Esta solución no se puede utilizar si hay usuarios móviles y sólo resulta útil en ciertos escenarios, por ejemplo, al establecer una conexión a través de conexiones inalámbricas inseguras, por ejemplo, en una zona interactiva inalámbrica pública. Además, ya que en las conexiones VPN no se realiza la autenticación de ningún equipo, la configuración de los equipos establecida en las directivas de grupo no se procesa. IPSec : puede configurar directivas IPSec mediante directivas de grupo. Sin embargo, es posible que no todos los equipos cliente admitan IPSec. Además, IPSec no puede cifrar algunos tipos de tráfico de red. Los problemas de interoperabilidad de IPSec podrían ocasionar otras dificultades adicionales. Con frecuencia, IPSec no es una solución viable para proteger el tráfico inalámbrico.
  41. Notas para el alumno: A continuación se comparan las diferentes soluciones. Observe que, cuanto mayor es la seguridad, más difícil se vuelve la implementación. No obstante, puede ahorrar tiempo en la implementación de soluciones muy seguras si la centraliza y utiliza herramientas de administración centralizada, por ejemplo, directivas de grupo. Información adicional (puede estar en inglés): 5-Minute Security Advisor—Deploying 802.1X with Windows XP: http://www.microsoft.com/technet/columns/security/5min/5min-303.asp Windows Server 2003 Planning Guide, Designing Wireless LAN Security Using 802.1x: http://www.microsoft.com/technet/security/prodtech/win2003/pkiwire/plan/swlanpg6.asp The Advantages of PEAP: A Standard Approach to User Authentication for IEEE 802.11 Wireless Network Access: http://www.microsoft.com/windowsserver2003/techinfo/overview/peap.mspx
  42. Notas para el alumno: El estándar 802.1x soluciona las limitaciones más importantes del estándar 802.11: IEEE 802.1x es un estándar para el control de acceso de red basado en puertos (ya sea con cables o inalámbrico) que proporciona acceso de red autenticado a redes inalámbricas 802.11 y a redes Ethernet con cable. El control de acceso de red basado en puertos utiliza las características físicas de una infraestructura de LAN conmutada para autenticar los dispositivos que se conectan a un puerto LAN e impedir el acceso a ese puerto en los casos en los que el proceso de autenticación no se realiza correctamente. Durante la interacción del control de acceso de red basado en puertos, un puerto LAN adopta una de dos funciones: autenticador o solicitante . En la función de autenticador, un puerto LAN exige la autenticación antes de permitir que el usuario tenga acceso a los servicios conectados al puerto. En la función de solicitante, un puerto LAN solicita el acceso a los servicios conectados al puerto que actúa como autenticador. Un servidor de autenticación , que puede ser una entidad independiente o ubicada junto al autenticador, comprueba las credenciales del solicitante en nombre del autenticador. El servidor de autenticación responde entonces al autenticador y le indica si el solicitante dispone de autorización para tener acceso a los servicios del autenticador. El control del acceso a la red basado en puertos del autenticador define dos puntos lógicos de acceso a la LAN, a través de un puerto LAN físico. El primer punto de acceso lógico, el puerto no controlado , permite el intercambio de datos entre el autenticador y el resto de los equipos de la LAN, independientemente del estado de autorización del equipo. El segundo punto de acceso lógico, el puerto controlado , permite el intercambio de datos entre un usuario de LAN autenticado y el autenticador. IEEE 802.1x utiliza protocolos de seguridad estándar, como el Servicio de autenticación de Internet (IAS, Internet Authentication Service ) de Servicio de usuario de acceso telefónico de autenticación remota (RADIUS, Remote Authentication Dial-In User Service ), para permitir la identificación centralizada de los usuarios, la autenticación, la administración dinámica de claves y servicios de cuentas. El uso de IEEE 802.1x ofrece una estructura efectiva para autenticar y controlar el tráfico de usuarios a una red protegida, además de las claves de cifrado que varían de forma dinámica. 802.1x vincula el Protocolo de autenticación extensible (EAP, Extensible Authentication Protocol ) a medios LAN inalámbricos y con cables, y admite el uso de varios métodos de autenticación, como son las tarjetas de token, Kerberos, las contraseñas de un solo uso, los certificados y la autenticación de claves públicas.
  43. Notas para el alumno: Al utilizar IEEE 802.1x y EAP-TLS como método de autenticación, se emplean certificados de clave pública (no contraseñas) para realizar la autenticación y obtener claves de cifrado. Los clientes y los puntos de acceso realizan la autenticación mutua. EAP protegido (PEAP) es un protocolo de autenticación que utiliza la Seguridad del nivel de transporte (TLS, Transport Layer Security ) para mejorar la seguridad de otros métodos de autenticación EAP. PEAP para el Cliente de autenticación 802.1x de Microsoft también proporciona compatibilidad con PEAP-EAP-MSCHAPv2, que utiliza certificados para la autenticación del servidor y credenciales basadas en contraseñas para la autenticación del cliente. El uso de PEAP-EAP-MSCHAPV2 no implica una implementación de PKI extensa. Para habilitar 802.1x, debe implementar un servidor RADIUS (un equipo donde se ejecute IAS), un controlador de dominio con Windows Server 2003 o Windows Server 2000 con Service Pack 4, y un punto de acceso inalámbrico compatible con 802.1x. También puede necesitar una entidad emisora de certificados que emita los certificados. Para saber cómo funciona 802.1x, a continuación se muestran las interacciones que se producen entre los elementos de 802.1x: El cliente intenta establecer una conexión inalámbrica. El proceso de asociación de 802.11 comienza. Puesto que el cliente no ha sido autenticado, se bloquea el acceso. Para comenzar el proceso, el cliente envía un mensaje de inicio de EAP sobre LAN (EAPOL, EAP-Over-LAN ). El punto de acceso responde con un mensaje de identidad de solicitud de EAP (EAP-Request/Identity), que solicita la identidad del cliente. El cliente envía un mensaje de identidad de respuesta de EAP (EAP-Response/Identity). El punto de acceso reenvía la identidad del cliente al servidor RADIUS. El servidor de autenticación utiliza un algoritmo de autenticación para comprobar la identidad del cliente. Podría tratarse de certificados digitales o de algún otro tipo de autenticación de EAP, como MSCHAPv2. Para ello, el servidor RADIUS envía un mensaje de desafío de acceso al punto de acceso. El punto de acceso envía el desafío al cliente en forma de un mensaje de solicitud de EAP (EAP-Request). El cliente responde con un mensaje de respuesta de EAP (EAP-Response), que contiene sus credenciales en respuesta al desafío. El punto de acceso reenvía las credenciales al servidor RADIUS como mensaje de solicitud de acceso de RADIUS (Radius-Access-Request). El servidor de autenticación enviará un mensaje de aceptación o rechazo de acceso de RADIUS (Radius-Access-Accept o Reject) al punto de acceso. El punto de acceso envía un paquete de éxito o rechazo de EAP (EAP-success o EAP-reject) al cliente. Si el servidor RADIUS aceptó el cliente, el punto de acceso pasará el puerto del cliente a un estado autorizado y reenviará el tráfico adicional. El punto de acceso envía una clave de cifrado al punto de acceso mediante un mensaje de clave de EAPOL. El cliente genera una clave WEP idéntica. El cliente y el punto de acceso cifran entonces todas las comunicaciones mediante esta clave WEP.
  44. Notas para el alumno: La solución recomendada para utilizar 802.1x con Windows es instalar Windows XP en el equipo cliente. El servidor RADIUS debería ejecutar Windows Server 2003 con el Servicio de autenticación Internet (IAS, Internet Authentication Service ) instalado. El servidor IAS también debe tener instalado un certificado. Es posible utilizar Windows 2000 para la autenticación basada en 802.1x. Para ello, compruebe que el servidor IAS Server y los clientes tienen instalado el Service Pack de Windows 2000 más reciente. El artículo 313664 de Knowledge Base (Base de conocimiento) contiene información adicional y vínculos a archivos que deben descargarse. Cuando se utiliza Windows 2000, el software de cliente requiere una configuración manual porque en esta plataforma no se admite la configuración rápida. Además, el único método de autenticación requerido es TLS y MS-CHAPv2. Los métodos EAP futuros que se puedan incluir en Windows XP y Windows Server 2003 podrían no ser utilizados en Windows 2000.
  45. Notas para el alumno: Los pasos para configurar 802.1x en la red son: Configurar un equipo para ejecutar Windows Server 2003 e instalar el componente IAS. Unir un dominio a la red corporativa. Inscribir un certificado de equipo para el servidor. Registrar IAS en Active Directory agregando el equipo al grupo del servidor IAS y acceso remoto. Configurar el registro de RADIUS en IAS. Agregar un punto de acceso inalámbrico como cliente RADIUS en el servidor IAS. Configurar el punto de acceso para utilizar RADIUS y 802.1x. Crear una directiva de acceso para clientes inalámbricos Configurar los equipos cliente para utilizar 802.1x. Obtener un certificado para la entidad emisora de certificados (CA, Certificate Authority ) raíz de la entidad que emitió el certificado de equipo del servidor IAS y agregarlo como raíz de confianza en el equipo cliente. Para ello, puede utilizar Active Directory.
  46. Notas para el alumno: A continuación, en el servidor IAS, cree una directiva de acceso. La directiva de acceso debe contener la condición El tipo de puerto NAS coincide con Wireless IEEE 802.11 o con otro tipo de red inalámbrica . También debe agregar una condición de directiva que requiera la pertenencia a un grupo de Windows. De este modo, se limita el acceso de 802.1x a los integrantes de este grupo. Compruebe que agrega todas las cuentas de equipo y de usuario a las que se deba permitir el acceso inalámbrico. Esta condición de la directiva no es obligatoria pero le da a usted control administrativo sobre el acceso inalámbrico.
  47. Notas para el alumno: La directiva de acceso también debe contener un perfil. La configuración que debe establecer en el perfil es la que se indica a continuación: Tiempo de espera. Utilice 60 minutos para 802.11b o 10 minutos para 802.11a u 802.11b. Cuando finalice el tiempo de espera, el cliente deberá volver a establecer la conexión, lo que sucede automáticamente. El tiempo de espera está diseñado para reducir la cantidad de datos que un intruso es capaz de interceptar y utilizar para realizar un ataque por la fuerza bruta contra la clave de cifrado. No elija ningún método de autenticación regular; en su lugar, elija EAP. En la página EAP Providers (Proveedores de EAP), elija Protected EAP (PEAP) (EAP protegido). Utilice el certificado de equipo que instaló en el servidor IAS. Elija el método de cifrado más seguro disponible. Actualmente, es MPPE de 128 bits, deshabilitar el resto de métodos de cifrado , donde MPPE es el acrónimo de Microsoft Point-to-Point Encryption (Cifrado punto a punto de Microsoft). Por último, establezca el atributo Ignore-User-Dialin-Properties = True . Información adicional: Para obtener información detallada sobre cómo configurar 802.1x, consulte la sección sobre recursos de implementación en http://www.microsoft.com/windowsserver2003/technologies/networking/wifi/default.mspx (este sitio está en inglés)
  48. Notas para el alumno: La directiva de acceso también debe contener un perfil. La configuración que debe establecer en el perfil es la que se indica a continuación: Tiempo de espera. Utilice 60 minutos para 802.11b o 10 minutos para 802.11a u 802.11b. Cuando finalice el tiempo de espera, el cliente deberá volver a establecer la conexión, lo que sucede automáticamente. El tiempo de espera está diseñado para reducir la cantidad de datos que un intruso es capaz de interceptar y utilizar para realizar un ataque por la fuerza bruta contra la clave de cifrado. No elija ningún método de autenticación regular; en su lugar, elija EAP. En la página EAP Providers (Proveedores de EAP), elija Protected EAP (PEAP) (EAP protegido). Utilice el certificado de equipo que instaló en el servidor IAS. Elija el método de cifrado más seguro disponible. Actualmente, es MPPE de 128 bits, deshabilitar el resto de métodos de cifrado , donde MPPE es el acrónimo de Microsoft Point-to-Point Encryption (Cifrado punto a punto de Microsoft). Por último, establezca el atributo Ignore-User-Dialin-Properties = True . Información adicional: Para obtener información detallada sobre cómo configurar 802.1x, consulte la sección sobre recursos de implementación en http://www.microsoft.com/windowsserver2003/technologies/networking/wifi/default.mspx (este sitio está en inglés)
  49. Notas para el alumno: La directiva de acceso también debe contener un perfil. La configuración que debe establecer en el perfil es la que se indica a continuación: Tiempo de espera. Utilice 60 minutos para 802.11b o 10 minutos para 802.11a u 802.11b. Cuando finalice el tiempo de espera, el cliente deberá volver a establecer la conexión, lo que sucede automáticamente. El tiempo de espera está diseñado para reducir la cantidad de datos que un intruso es capaz de interceptar y utilizar para realizar un ataque por la fuerza bruta contra la clave de cifrado. No elija ningún método de autenticación regular; en su lugar, elija EAP. En la página EAP Providers (Proveedores de EAP), elija Protected EAP (PEAP) (EAP protegido). Utilice el certificado de equipo que instaló en el servidor IAS. Elija el método de cifrado más seguro disponible. Actualmente, es MPPE de 128 bits, deshabilitar el resto de métodos de cifrado , donde MPPE es el acrónimo de Microsoft Point-to-Point Encryption (Cifrado punto a punto de Microsoft). Por último, establezca el atributo Ignore-User-Dialin-Properties = True . Información adicional: Para obtener información detallada sobre cómo configurar 802.1x, consulte la sección sobre recursos de implementación en http://www.microsoft.com/windowsserver2003/technologies/networking/wifi/default.mspx (este sitio está en inglés)
  50. Notas para el alumno: La directiva de acceso también debe contener un perfil. La configuración que debe establecer en el perfil es la que se indica a continuación: Tiempo de espera. Utilice 60 minutos para 802.11b o 10 minutos para 802.11a u 802.11b. Cuando finalice el tiempo de espera, el cliente deberá volver a establecer la conexión, lo que sucede automáticamente. El tiempo de espera está diseñado para reducir la cantidad de datos que un intruso es capaz de interceptar y utilizar para realizar un ataque por la fuerza bruta contra la clave de cifrado. No elija ningún método de autenticación regular; en su lugar, elija EAP. En la página EAP Providers (Proveedores de EAP), elija Protected EAP (PEAP) (EAP protegido). Utilice el certificado de equipo que instaló en el servidor IAS. Elija el método de cifrado más seguro disponible. Actualmente, es MPPE de 128 bits, deshabilitar el resto de métodos de cifrado , donde MPPE es el acrónimo de Microsoft Point-to-Point Encryption (Cifrado punto a punto de Microsoft). Por último, establezca el atributo Ignore-User-Dialin-Properties = True . Información adicional: Para obtener información detallada sobre cómo configurar 802.1x, consulte la sección sobre recursos de implementación en http://www.microsoft.com/windowsserver2003/technologies/networking/wifi/default.mspx (este sitio está en inglés)
  51. Notas para el alumno: La directiva de acceso también debe contener un perfil. La configuración que debe establecer en el perfil es la que se indica a continuación: Tiempo de espera. Utilice 60 minutos para 802.11b o 10 minutos para 802.11a u 802.11b. Cuando finalice el tiempo de espera, el cliente deberá volver a establecer la conexión, lo que sucede automáticamente. El tiempo de espera está diseñado para reducir la cantidad de datos que un intruso es capaz de interceptar y utilizar para realizar un ataque por la fuerza bruta contra la clave de cifrado. No elija ningún método de autenticación regular; en su lugar, elija EAP. En la página EAP Providers (Proveedores de EAP), elija Protected EAP (PEAP) (EAP protegido). Utilice el certificado de equipo que instaló en el servidor IAS. Elija el método de cifrado más seguro disponible. Actualmente, es MPPE de 128 bits, deshabilitar el resto de métodos de cifrado , donde MPPE es el acrónimo de Microsoft Point-to-Point Encryption (Cifrado punto a punto de Microsoft). Por último, establezca el atributo Ignore-User-Dialin-Properties = True . Información adicional: Para obtener información detallada sobre cómo configurar 802.1x, consulte la sección sobre recursos de implementación en http://www.microsoft.com/windowsserver2003/technologies/networking/wifi/default.mspx (este sitio está en inglés)
  52. Notas para el alumno: La directiva de acceso también debe contener un perfil. La configuración que debe establecer en el perfil es la que se indica a continuación: Tiempo de espera. Utilice 60 minutos para 802.11b o 10 minutos para 802.11a u 802.11b. Cuando finalice el tiempo de espera, el cliente deberá volver a establecer la conexión, lo que sucede automáticamente. El tiempo de espera está diseñado para reducir la cantidad de datos que un intruso es capaz de interceptar y utilizar para realizar un ataque por la fuerza bruta contra la clave de cifrado. No elija ningún método de autenticación regular; en su lugar, elija EAP. En la página EAP Providers (Proveedores de EAP), elija Protected EAP (PEAP) (EAP protegido). Utilice el certificado de equipo que instaló en el servidor IAS. Elija el método de cifrado más seguro disponible. Actualmente, es MPPE de 128 bits, deshabilitar el resto de métodos de cifrado , donde MPPE es el acrónimo de Microsoft Point-to-Point Encryption (Cifrado punto a punto de Microsoft). Por último, establezca el atributo Ignore-User-Dialin-Properties = True . Información adicional: Para obtener información detallada sobre cómo configurar 802.1x, consulte la sección sobre recursos de implementación en http://www.microsoft.com/windowsserver2003/technologies/networking/wifi/default.mspx (este sitio está en inglés)
  53. Notas para el alumno: Cuando se creó, WPA tenía dos objetivos de diseño principales en relación a la seguridad. El primero era proporcionar un cifrado de datos mejorado, que era poco seguro con WEP. El segundo objetivo era permitir la autenticación de usuarios, que no era posible en WEP. Para lograr el primer objetivo, WPA utiliza el Protocolo de integridad temporal de claves (TKIP, Temporal Key Integrity Protocol ). TKIP proporciona mejoras en el cifrado, entre las que se incluyen funciones de mezcla de claves en cada paquete, un método de comprobación de la integridad de mensajes (MIC, Message Integrity Check ), también conocido como Michael, y un vector de inicialización extendido (IV, Initialization Vector ) con reglas de secuenciación. WPA implementa 802.1x y EAP para permitir la autenticación de usuarios. Al igual que en todas las implementaciones de 802.1x, se necesita una infraestructura de RADIUS (IAS) para realizar la autenticación. WPA será compatible con la especificación de seguridad de IEEE 802.11i que está siendo desarrollada por el IEEE. WPA es un subconjunto del borrador de 802.11i, que toma ciertas partes del borrador de 802.11i que ya está preparado para aparecer en el mercado, como su implementación de 802.1x y TKIP. Estas características también se pueden habilitar en la mayor parte de los productos certificados de Wi-Fi como actualización de software. En un entorno doméstico o de pequeña oficina u oficina doméstica (SOHO, Small Office/Home Office ), donde no hay servidores de autenticación centrales ni una estructura de EAP, WPA se ejecuta en un modo especial. Este modo también se conoce como clave previamente compartida (PSK, Pre-Shared Key ). PSK se ha diseñado para que sea fácil de configurar, con lo que permite al usuario doméstico utilizar las claves o contraseñas especificadas manualmente. El usuario doméstico escribe una contraseña (también denominada clave maestra) en el punto de acceso o puerta de enlace inalámbrica doméstica y cada equipo que se encuentra en la red inalámbrica Wi-Fi. Después, el proceso de WPA es automático: La contraseña permite que únicamente los dispositivos con una contraseña que coincida se unan a la red, con lo que se evita el acceso de fisgones y otros usuarios no autorizados. La contraseña activa automáticamente el proceso de cifrado de TKIP, que se ha mencionado anteriormente. Una limitación de seguridad importante de WPA en el modo doméstico es que algunos fabricantes de puntos de acceso inalámbricos permiten que los usuarios especifiquen contraseñas que no son complejas. La ausencia de contraseñas complejas puede hacer que el modo doméstico sea excepcionalmente vulnerable si se utilizan contraseñas poco seguras y predecibles.
  54. Notas para el alumno: Se recomienda seguir las prácticas siguientes al utilizar Active Directory en una red donde se utiliza acceso inalámbrico: Utilice la autenticación de 802.1x siempre que se conecte a una red inalámbrica 802.11. 802.1x es un estándar de IEEE que mejora la seguridad y la implementación al permitir la identificación centralizada de los usuarios, la autenticación, la administración dinámica de claves y el uso de cuentas. Organice en grupos a los usuarios y equipos inalámbricos para facilitar la administración. A continuación, puede centralizar la administración de directivas si aplica una directiva a estos grupos. Esto facilita la comprobación de qué directiva se aplica y a qué usuarios o equipos. Planee su directiva inalámbrica minuciosamente. El Asistente para conjunto resultante de directivas (RSOP, Resultant Set of Policy ) se puede utilizar para saber exactamente qué directiva se aplica a cualquier objeto del directorio. EAP-TLS es un método de autenticación mutua, lo que significa que tanto el cliente como el servidor prueban sus identidades entre sí. Durante el intercambio de EAP-TLS, el cliente envía su certificado de usuario y el servidor envía su certificado de equipo. Para EAP-TLS se requiere una infraestructura de clave pública. PEAP-MSCHAPv2 se puede utilizar en organizaciones que no implementen una PKI. Realizar la autenticación del equipo permite al dominio autenticar el dispositivo, lo que es necesario para la ejecución de las directivas del grupo de equipos y la configuración de la instalación de software. Cualquier empleado puede comprometer la seguridad de los datos corporativos si conecta un punto de acceso inalámbrico (WAP) a una clavija disponible de la red. En el peor de los casos, un WAP malintencionado que se introduzca en un entorno corporativo podría incluso no tener habilitado WEP, lo que permitiría la asociación y, en última instancia, el acceso a la red a cualquier posible intruso. Debe desarrollar métodos para ocuparse de la posibilidad de que existan puntos de acceso sospechosos. Esto incluye requerir la autenticación basada en 802.1x en los conmutadores para garantizar el control de acceso desde la red con cables, realizar encuestas a los sitios y supervisar la red para detectar los puntos de acceso sospechosos, y entrenar a los usuarios.
  55. Notas para el alumno: En este tema del orden del día, se explicará cómo proteger las comunicaciones de red entre equipos mediante IPSec. Específicamente se tratará: Objetivos de seguridad en una red Introducción a IPSec Escenarios de IPSec Implementación del filtrado de paquetes de IPSec El filtrado de paquetes no es suficiente para proteger los servidores Tráfico que IPSec no filtra Comunicaciones internas seguras IPSec para la replicación de dominios Acceso a VPN a través de medios que no son de confianza Rendimiento de IPSec Recomendaciones
  56. Notas para el alumno: IPSec ayuda a lograr los siguientes objetivos de seguridad en una red: Defensa de los clientes Confidencialidad del tráfico de red Acceso remoto seguro
  57. Notas para el alumno: IPSec es la solución a largo plazo para la creación de redes seguras. Proporciona una línea de defensa fundamental contra los ataques de las redes privadas y desde Internet, al mismo tiempo que equilibra la seguridad con la facilidad de uso. IPSec tiene dos objetivos: Proteger la confidencialidad y la integridad del contenido de los paquetes IP y autenticar al emisor de los paquetes. Proporcionar una línea de defensa frente a los ataques de red realizados a través del filtrado de paquetes y exigir comunicaciones de confianza. Ambos objetivos se cumplen gracias al uso de servicios de protección basados en criptografía, protocolos de seguridad y administración dinámica de claves. Estos fundamentos proporcionan la resistencia y la flexibilidad necesarias para proteger las comunicaciones entre equipos de redes privadas, dominios, sitios, sitios remotos, extranets y clientes de acceso telefónico. IPSec se puede utilizar incluso para bloquear la recepción o transmisión de tipos de tráfico específicos. IPSec se basa en un modelo de seguridad completo, que establece confianzas entre una dirección IP de origen y otra de destino, y las protege. No es necesario que la propia dirección IP se considere una identidad. En cambio, el sistema que subyace tras ella tiene una identidad que se valida a través de un proceso de autenticación. Los únicos equipos que deben tener constancia del tráfico que se protege son el emisor y el receptor. Cada equipo se ocupa de la seguridad en su extremo respectivo, bajo la suposición de que el medio sobre el que la comunicación tiene lugar no es seguro. Cualquier equipo que únicamente enrute los datos del origen al destino no tiene que admitir el uso de IPSec, a menos que entre ambos equipos se realice el filtrado de paquetes al estilo de un servidor de seguridad o la traducción de direcciones de red. Este modelo permite que IPSec se implemente correctamente en muchos escenarios corporativos. IPSec pasa completamente desapercibido para las aplicaciones porque los servicios de cifrado, integración y autenticación se implementan en el nivel de transporte. Las aplicaciones siguen comunicándose normalmente entre sí con los puertos TCP y UDP.
  58. Notas para el alumno: IPSec puede servir de ayuda en diversos escenarios comunes que se enumeran en la diapositiva. Al crear una directiva IPSec en una organización para alguno de los escenarios de esta diapositiva, considere lo siguiente: Evalúe el tipo de información que se envía a través de la red. ¿Son datos financieros confidenciales, información propietaria o correo electrónico? Algunos departamentos de una compañía pueden requerir un nivel mayor de seguridad que los demás debido a su función específica. Considere lo siguiente: ¿Qué debe proteger? ¿Debe proteger el tráfico entre algunos equipos o de todos ellos, o sólo para algunos protocolos o puertos específicos? ¿Cómo debe protegerlo? ¿Debe proteger el tráfico con Encabezado de autenticación (AH) o también con Carga de seguridad encapsuladora (ESP, Encapsulation Security Payload) y con qué grado de seguridad? ¿Dónde debe protegerlo? ¿Debe protegerlo sólo a través de conexiones de acceso remoto o también a través de la red de área local? ¿Quién va a administrar la directiva? ¿Los administradores de dominios, de servidores o de equipos locales? ¿Funcionará la configuración de cifrado en todos los equipos pertinentes? ¿Se tendrá acceso a los datos en equipos con criptografía segura (cifrado 3DES) y también en equipos donde se utilice criptografía estándar (DES)? Determine dónde se almacena la información, cómo se enruta a través de la red y desde qué equipos se puede tener acceso a ella. Estos datos proporcionan información de la velocidad, capacidad y utilización de la red antes de implementar IPSec, lo que resulta útil para optimizar el rendimiento. Evalúe su vulnerabilidad ante varios tipos de ataques de red. Diseñe y documente un plan de seguridad de red en toda la compañía. Tenga en cuenta lo siguiente: La estructura de seguridad general de Windows 2000 y de las versiones posteriores, incluido el uso de Active Directory y la forma en que se aplica la seguridad a los objetos de directiva de grupo. Los escenarios de comunicación que requiere, por ejemplo, intranet, acceso remoto, extranets para socios comerciales y comunicación entre sitios (de enrutador a enrutador). El nivel de seguridad necesario para cada escenario. Por ejemplo, puede decidir que sólo se requiere confidencialidad en las comunicaciones de Internet. Diseñe, cree y pruebe las directivas de IPSec para cada escenario. Esto le permite aclarar y especificar qué directivas y estructuras de directivas son necesarias. Durante las pruebas de los escenarios de implementación, utilice cargas de trabajo estándar en las aplicaciones con el fin de obtener resultados realistas. Durante las pruebas iniciales, puede ver el contenido de los paquetes mediante el Monitor de red de Microsoft o con un rastreador de red con el nivel de método de seguridad Sólo integridad o un método de seguridad personalizado establecido como AH porque el uso de Cifrado e integridad o ESP con cifrado impedirá ver los paquetes.
  59. Notas para el alumno: Aunque IPSec no proporciona funciones completas de servidor de seguridad, se puede utilizar para permitir o bloquear estáticamente el tráfico en función de combinaciones de direcciones de origen o destino, según el protocolo IP y los puertos TCP y UDP. Algunas de las funciones de los servidores de seguridad estándar que IPSec no ofrece son la inspección de estado, el conocimiento del protocolo de aplicación, la inspección de intrusos y el registro de paquetes. Los administradores deben empezar por planear el cambio de todas las implementaciones de IPSec nuevas y existentes para utilizar la configuración de la clave del Registro NoDefaultExempt=1 en los equipos basados en Windows 2000 o Windows XP. La clave del Registro NoDefaultExempt=1 se admite en Windows Server 2003 para que los administradores puedan restaurar el comportamiento de exención predeterminado por compatibilidad con las versiones anteriores de diseños de directivas IPSec y con los programas. Durante la actualización a Windows Server 2003, se mantiene el valor de configuración de la clave del Registro NoDefaultExempt=1 existente. Cuando haya analizado y determinado a qué tráfico desea permitir el uso del filtrado de paquetes IPSec, haga lo siguiente para agregar, modificar o quitar filtros IPSec: Cree una consola que contenga Directivas de seguridad IP. O bien, abra un archivo de consola guardado que contenga Directivas de seguridad IP. Haga doble clic en la directiva que desee modificar. Haga doble clic en la regla que contenga la lista de filtros IP que desee modificar. En la ficha Lista de filtros IP , haga doble clic en la lista de filtros IP que contenga el filtro IPSec que desee modificar. En el cuadro de diálogo Lista de filtros IP , elija entre las opciones siguientes: Para agregar un filtro, haga clic en Agregar . Para modificar un filtro existente, seleccione el que desee y haga clic en Modificar . Para quitar un filtro existente, seleccione el que desee y haga clic en Quitar . Si va a agregar o a modificar un filtro, en Propiedades de filtros IP , haga clic en la ficha Direcciones y, después, seleccione la Dirección de origen: Seleccione Para proteger paquetes de Mi dirección IP Todas las direcciones IP del equipo para el que va a configurar este filtro. Cualquier dirección IP Cualquier equipo. Un DNS específico El nombre del sistema de nombres de dominio (DNS, Domain Name System ) que especifique en Nombre de host. Una dirección IP específica La dirección IP que especifique en Dirección IP. Una subred IP específica La subred IP, definida por la dirección IP que especifique en Dirección IP y máscara de subred. Servidores DNS<dinámicos> Los servidores DNS del equipo para el que está configurando este filtro. Servidores WINS<dinámicos> Los servidores WINS del equipo para el que está configurando este filtro. Servidor DHCP<dinámico> El servidor DHCP del equipo para el que está configurando este filtro. Puerta de enlace predeterminada <dinámica> La puerta de enlace predeterminada del equipo para el que está configurando este filtro. 8. Haga clic en Dirección de destino y repita el paso 6 para la dirección de destino. 9. Seleccione la opción Reflejar imagen apropiada. 10. En la ficha Descripción , en Descripción , escriba una descripción para este filtro (por ejemplo, especifique a qué equipos y tipos de tráfico se aplica). 11. Si requiere filtrado IP adicional para un protocolo o número de puerto específicos, en la ficha Protocolo , configure las opciones avanzadas del filtro.
  60. Notas para el alumno: Si se bloquea la comunicación a puertos específicos de un servidor, es más difícil que un intruso tenga acceso a éste o que el servidor se utilice con el fin de atacar a otros equipos, pero no se impide completamente la posibilidad de un ataque. Puede reforzar la seguridad mediante el filtrado IPSec para controlar exactamente el tipo de comunicación permitida entre los sistemas. También puede utilizar IPSec con el componente Traducción de direcciones de red (NAT, Network Address Translation ) o Servidor de seguridad básico de RRAS o con el filtro de paquetes IP para mejorar el filtrado de IPSec del tráfico entrante o saliente. Sin embargo, no debería depender de este filtrado de paquetes para reemplazar la función de servidor de seguridad.
  61. Notas para el alumno: La característica IPSec de Windows 2000 y Windows Server 2003 no se diseñó como servidor de seguridad basado en host con todas las funciones. Su propósito era permitir un filtrado básico de tipo permitir y bloquear mediante direcciones de red e información del protocolo y de los puertos en los paquetes de red. IPSec también se diseñó como herramienta administrativa para mejorar la seguridad de las comunicaciones de forma que sea transparente para los programas. Por ello, permite el filtrado del tráfico necesario para negociar la seguridad del modo de transporte de IPSec o el modo de túnel de IPSec, principalmente en entornos de intranet donde se pueden aplicar confianzas a los equipos con el servicio Kerberos o con rutas de acceso específicas a través de Internet donde se puedan utilizar certificados digitales de PKI. Para facilitar esto, cierto tráfico está exento de la configuración predeterminada de IPSec. De forma predeterminada, Windows Server 2003 quita todas las exenciones predeterminadas, excepto la de IKE. Es posible que haya que realizar cambios en el diseño de las directivas IPSec actuales para poder utilizarlas en Windows Server 2003. Información adicional: Para encontrar más información sobre las limitaciones de IPSec, consulte: http://support.microsoft.com/?kbid=253169
  62. Notas para el alumno: Puede utilizar IPSec para proteger las comunicaciones dentro de la red corporativa. Hay tres estrategias generales: Utilice IPSec para garantizar que sólo los equipos autorizados, por ejemplo los integrantes de un dominio, se comuniquen con los equipos de una red. Puede utilizar Kerberos para implementar IPSec siempre y cuando los equipos sean integrantes de uno de los dominios corporativos. El uso de un certificado permite incluir los equipos que no sean integrantes de un dominio en la implementación de IPSec. Una clave previamente compartida no proporciona suficiente seguridad para resultar útil en un entorno que no sea de prueba. Para garantizar la integridad de los paquetes únicamente, utilice Encabezado de autenticación (AH). El Encabezado de autenticación permite la autenticación y comprobación de la integridad de los paquetes pero no permite el cifrado. Dado que el Encabezado de autenticación no cifra el tráfico de red, deja que sea la detección de intrusos basada en red la que inspeccione el tráfico. ESP cifra el tráfico sensible y proporciona confidencialidad. El uso de ESP hace imposible utilizar sistemas de detección de intrusos basados en red porque se cifra el tráfico de red. Planee siempre minuciosamente qué tráfico se debe proteger y cómo. Información adicional: Diseño de directivas IPSec en: http://www.microsoft.com/technet/prodtechnol/windowsserver2003/proddocs/datacenter/sag_IPSECimplemntg.asp Consideraciones especiales sobre IPSec en: http://www.microsoft.com/technet/prodtechnol/windowsserver2003/proddocs/datacenter/sag_IPSecbpSpecial.asp
  63. Notas para el alumno: Si los controladores de dominio están separados mediante servidores de seguridad, el tráfico normal de replicación requiere que abra un gran número de puertos. Puede utilizar IPSec con el fin de reducir el número de puertos que se abren. Para ello: En cada controlador de dominio, cree una directiva IPSec para proteger todo el tráfico a la dirección IP del otro controlador de dominio. Utilice ESP para cifrar el tráfico y elija el algoritmo de cifrado más seguro disponible para IPSec basado en Windows, que es 3DES. En el servidor de seguridad, permita el paso de todo el tráfico que provenga de o se dirija a: El puerto UDP 500 de cada controlador de dominio, que es utilizado por IKE El protocolo IP 50, que es utilizado por ESP
  64. Notas para el alumno: IPSec puede utilizarse para establecer una VPN a través de un medio que no es de confianza. Hay dos tipos de VPN: VPN de cliente. Los clientes siempre utilizan L2TP junto con IPSec cuando establecen una conexión VPN basada en IPSec con un servidor VPN donde se ejecute Windows 2000 o Windows Server 2003. L2TP encapsula las comunicaciones de cliente e IPSec permite cifrar el tráfico. (Las conexiones VPN del cliente Windows también pueden utilizar PPTP.) VPN de sucursal . Las conexiones VPN de sucursal se establecen entre dos puertas de enlace VPN y permiten las comunicaciones entre todos los clientes conectados a ellas. No es necesario configurar ningún cliente, sólo las puertas de enlace VPN. El protocolo que se utiliza depende de las capacidades del servidor remoto con el que se está estableciendo una conexión. Información adicional: Consulte “Designing and Planning IPSec Policies” en: http://www.microsoft.com/technet/prodtechnol/windowsserver2003/proddocs/datacenter/sag_IPSECimplemntg.asp Consulte “Special IPSec Considerations” en: http://www.microsoft.com/technet/prodtechnol/windowsserver2003/proddocs/datacenter/sag_IPSecbpSpecial.asp
  65. Notas para el alumno: El proceso de IPSec tiene varias consecuencias en el rendimiento de las comunicaciones de red. Cuando implemente IPSec, debe tener esto en cuenta. La consecuencia más apreciable se produce durante la configuración de la sesión, cuando tiene lugar la generación y el intercambio de claves. Generalmente, este proceso tarda entre dos y cinco segundos, pero el tiempo exacto depende de varios factores, como la velocidad de la red y si en la autenticación de Kerberos se utilizan comunicaciones con un controlador de domino. También afecta al rendimiento el cifrado de los paquetes, en menor medida pero de forma continuada. En muchos casos, las consecuencias en el rendimiento cuando la configuración de la sesión ha finalizado son muy pequeñas e imperceptibles para la mayor parte de las aplicaciones de red. Puede atenuar las consecuencias de IPSec en el rendimiento mediante adaptadores de red que descarguen el proceso criptográfico en el hardware de la tarjeta de interfaz de red (NIC, Network Interface Card ) o mediante CPU más rápidas.
  66. Notas para el alumno: Antes de implementar cualquier solución IPSec, debe asegurarse de que ha planeado cuidadosamente lo que desea llevar a cabo y cómo implementarlo. Antes de utilizar IPSec, decida si sólo requiere autenticación, lo que puede conseguir mediante Encabezado de autenticación, o si también necesita confidencialidad, que requiere ESP. Al implementar IPSec, utilice directivas de grupo siempre que sea posible. La utilización de directivas de grupo garantiza la coherencia y que se exijan los requisitos corporativos. Considere la posibilidad de descargar el proceso criptográfico en NIC si observa que el uso de IPSec crea un problema de rendimiento. Con frecuencia, sólo unos pocos equipos requieren esta clase de NIC. El uso de claves previamente compartidas es un método que puede utilizarse con IPSec, pero sólo en un entorno de laboratorio y para solucionar problemas. Las claves previamente compartidas no proporcionan un grado suficiente de seguridad en un entorno de producción. Utilice siempre la autenticación basada en Kerberos o en certificados. El tipo que elija dependerá de sus requisitos. La autenticación basada en Kerberos es más fácil de configurar pero requiere que todos los equipos sean integrantes del dominio. Los certificados permiten que todos los equipos que puedan emplear IPSec se comuniquen entre sí, pero debe implementar una PKI para utilizarlos. Como los clientes pueden requerir comunicaciones que no sean seguras con los controladores de dominio y otros servidores de infraestructuras, por ejemplo, con servidores DNS y DHCP, a fin de poder establecer una asociación de seguridad, compruebe que sus directivas IPSec para estos servidores no impiden las comunicaciones.
  67. Notas para el alumno:
  68. Notas para el alumno: En los pasos siguientes es necesario que vaya al sitio Web de Microsoft para: Obtener la información más reciente sobre seguridad. Obtener aprendizaje adicional de seguridad.
  69. Notas para el alumno: Hay más información técnica para profesionales de tecnología de la información y desarrolladores en los sitios Web siguientes: Sitio de seguridad de Microsoft (todos los usuarios) http://www.microsoft.com/security (este sitio está en inglés) Sitio de seguridad de TechNet (profesionales de IT) http://www.microsoft.com/technet/security (este sitio está en inglés) Sitio de seguridad de MSDN® (desarrolladores) http://msdn.microsoft.com/security (este sitio está en inglés)
  70. Notas para el alumno: