implementación de seguridad en la red y del perímetro nombre del presentador puestocompañía
TRANSCRIPT
ImplementaciónImplementación dede seguridadseguridad enen lala redred yy deldel perímetroperímetro
NombreNombre deldel presentadorpresentador
PuestoPuesto
CompañíaCompañía
ConocimientosConocimientos imprescindiblesimprescindibles
DescripciónDescripción dede loslos fundamentosfundamentos dede seguridadseguridad en unaen una redred
Experiencia práctica con Experiencia práctica con Windows® Server 2000 o Windows® Server 2000 o Windows Server™ 2003Windows Server™ 2003
Experiencia con las herramientas de Experiencia con las herramientas de administración en Windowsadministración en Windows
NivelNivel 300300
OrdenOrden deldel díadía
IntroducciónIntroducción Uso de defensas en el perímetroUso de defensas en el perímetro Uso de Microsoft® Internet Security and Uso de Microsoft® Internet Security and
Acceleration (ISA) Server para proteger Acceleration (ISA) Server para proteger los perímetroslos perímetros
Uso de Firewall de Windows para proteger Uso de Firewall de Windows para proteger a los clientesa los clientes
Protección de redes inalámbricasProtección de redes inalámbricas Protección de comunicaciones mediante Protección de comunicaciones mediante
IPSecIPSec
DefensaDefensa enen profundidadprofundidad ElEl usouso dede unauna soluciónsolución enen niveles:niveles:
Aumenta la posibilidad de que se detecten los Aumenta la posibilidad de que se detecten los intrusosintrusos
Disminuye la posibilidad de que los intrusos Disminuye la posibilidad de que los intrusos logren su propósitologren su propósito
Directivas, procedimientos y concienciación
Directivas, procedimientos y concienciación
RefuerzoRefuerzo deldel sistemasistema operativo,operativo, administraciónadministración dede actualizaciones,actualizaciones, autenticación y HIDSautenticación y HIDS
ServidoresServidores dede seguridad,seguridad, sistemassistemas dede cuarentenacuarentena enen VPNVPNGuardiasGuardias dede seguridad,seguridad, bloqueos ybloqueos y dispositivosdispositivos dede seguimientoseguimiento
SegmentosSegmentos dede red,red, IPSec y NIDSIPSec y NIDS
RefuerzoRefuerzo dede laslas aplicaciones,aplicaciones, antivirusantivirus
ACL,ACL, cifradocifrado
ProgramasProgramas dede aprendizajeaprendizaje parapara loslos usuariosusuarios
Seguridad físicaSeguridad física
PerimetralPerimetral
Red internaRed interna
HostHost
AplicaciónAplicación
DatosDatos
PropósitoPropósito yy limitacioneslimitaciones dede laslas defensasdefensas dede perímetroperímetro LosLos servidoresservidores dede seguridadseguridad yy enrutadoresenrutadores dede
bordeborde configuradosconfigurados correctamentecorrectamente constituyenconstituyen lala piedrapiedra angularangular dede lala seguridadseguridad deldel perímetroperímetro
Internet y la movilidad aumentan los riesgos de Internet y la movilidad aumentan los riesgos de seguridadseguridad
Las redes VPN han debilitado el perímetro y, Las redes VPN han debilitado el perímetro y, junto con las redes inalámbricas, han junto con las redes inalámbricas, han ocasionado, esencialmente, la desaparición del ocasionado, esencialmente, la desaparición del concepto tradicional de perímetro de redconcepto tradicional de perímetro de red
Los servidores de seguridad tradicionales con Los servidores de seguridad tradicionales con filtrado de paquetes, sólo bloquean los puertos filtrado de paquetes, sólo bloquean los puertos de red y las direcciones de los equiposde red y las direcciones de los equipos
En la actualidad, la mayor parte de los ataques En la actualidad, la mayor parte de los ataques se producen en el nivel de aplicaciónse producen en el nivel de aplicación
PropósitoPropósito yy limitacioneslimitaciones dede laslas defensasdefensas dede loslos clientesclientes LasLas defensasdefensas dede loslos clientesclientes bloqueanbloquean loslos ataquesataques queque
omitenomiten laslas defensasdefensas deldel perímetroperímetro oo queque sese originanoriginan enen lala redred internainterna
Las defensas de los clientes incluyen, entre otras:Las defensas de los clientes incluyen, entre otras: Refuerzo de la seguridad del sistema operativoRefuerzo de la seguridad del sistema operativo Programas antivirusProgramas antivirus Servidores de seguridad personalesServidores de seguridad personales
Las defensas de los clientes requieren que se Las defensas de los clientes requieren que se configuren muchos equiposconfiguren muchos equipos
En entornos no administrados, los usuarios pueden En entornos no administrados, los usuarios pueden omitir las defensas de los clientesomitir las defensas de los clientes
PropósitoPropósito yy limitacioneslimitaciones dede lala deteccióndetección dede intrusosintrusos
DetectaDetecta elel modelomodelo dede ataquesataques comunes,comunes, registraregistra elel tráficotráfico sospechososospechoso enen registrosregistros dede sucesossucesos y/oy/o alertaalerta aa loslos administradoresadministradores
Las amenazas y puntos vulnerables Las amenazas y puntos vulnerables evolucionan constantemente, lo que deja a evolucionan constantemente, lo que deja a los sistemas en una situación vulnerable los sistemas en una situación vulnerable hasta que se conoce hasta que se conoce un nuevo ataque, un nuevo ataque, conllevando a crear y distribuir conllevando a crear y distribuir una nueva una nueva firmafirma
ObjetivosObjetivos dede seguridadseguridad enen unauna redred
DefensaDefensa deldel perímetroperímetro
DefensaDefensa dede loslos clientesclientes
DetecciónDetección dede intrusosintrusos
ControlControl dede accesoacceso aa lala redred
ConfidencialidadConfidencialidad AccesoAccesoremotoremoto seguroseguro
ServidorServidor ISAISA
FirewallFirewall dede WindowsWindows
802.1x802.1x // WPAWPA
IPSecIPSec
OrdenOrden deldel díadía
IntroducciónIntroducción Uso de defensas en el perímetroUso de defensas en el perímetro Uso de ISA Server para proteger los Uso de ISA Server para proteger los
perímetrosperímetros Uso de Firewall de Windows para Uso de Firewall de Windows para
proteger a los clientesproteger a los clientes Protección de redes inalámbricasProtección de redes inalámbricas Protección de comunicaciones Protección de comunicaciones
mediante IPSecmediante IPSec
InformaciónInformación generalgeneral sobresobre laslas conexionesconexiones dede perímetroperímetro
Internet Sucursales Socios comerciales Usuarios remotos Redes inalámbricas Aplicaciones de Internet
Los perímetros de red incluyen conexiones a:
Socio comercial
LAN
Oficina principal
LAN
Sucursal
LAN
Red inalámbrica
Usuario remoto
Internet
DiseñoDiseño deldel servidorservidor dede seguridad:seguridad: dede tripletriple interfazinterfaz
Subred protegidaInternet
LAN
Servidor de seguridad
DiseñoDiseño deldel servidorservidor dede seguridad:seguridad: dede tipotipo opuestoopuesto concon opuestoopuesto oo sándwichsándwich
Internet
ExternaServidor de seguridad
LANInternaServidor de seguridad
Subred protegida
Tráfico peligroso que atraviesa los puertos abiertos y no es inspeccionado en el nivel de aplicación por el servidor de seguridad
Tráfico que atraviesa un túnel o sesión cifradosTráfico que atraviesa un túnel o sesión cifrados Ataques que se producen una vez que se ha
entrado en una red Tráfico que parece legítimo Usuarios y administradores que intencionada o
accidentalmente instalan virus Administradores que utilizan contraseñas poco
seguras
ContraContra quéqué NONO protegenprotegen loslos servidoresservidores dede seguridadseguridad
ServidoresServidores dede seguridadseguridad dede softwaresoftware yy dede hardwarehardware
Factores de decisión Descripción
FlexibilidadLa actualización de las vulnerabilidades y revisiones más recientes suele ser más fácil con servidores de seguridad basados en software.
Extensibilidad Muchos servidores de seguridad de hardware sólo permiten una capacidad de personalización limitada.
Elección de proveedores
Los servidores de seguridad de software permiten elegir entre hardware para una amplia variedad de necesidades y no se depende de un único proveedor para obtener hardware adicional.
Costo
El precio de compra inicial para los servidores de seguridad de hardware podría ser inferior. Los servidores de seguridad de software se benefician del menor costo de las CPU. El hardware se puede actualizar fácilmente y el hardware antiguo se puede reutilizar.
Complejidad Los servidores de seguridad de hardware suelen ser menos complejos.
Disponibilidad global
El factor de decisión más importante es si un servidor de seguridad puede realizar las tareas necesarias. Con frecuencia, la diferencia entre los servidores de hardware y de software no resulta clara.
TiposTipos dede funcionesfunciones dede loslos servidoresservidores dede seguridadseguridad FiltradoFiltrado dede paquetespaquetes Inspección de estadoInspección de estado Inspección del nivel de aplicaciónInspección del nivel de aplicación
InspecciónInspección multinivelmultinivel(Incluido el filtrado del nivel de aplicación)(Incluido el filtrado del nivel de aplicación)
InternetInternet
OrdenOrden deldel díadía
IntroducciónIntroducción Uso de defensas en el perímetroUso de defensas en el perímetro Uso de ISA Server para proteger los perímetrosUso de ISA Server para proteger los perímetros Uso de Firewall de Windows para proteger a los clientesUso de Firewall de Windows para proteger a los clientes Protección de redes inalámbricasProtección de redes inalámbricas Protección de comunicaciones mediante IPSecProtección de comunicaciones mediante IPSec
ObjetivosObjetivos dede seguridadseguridad enen unauna redred
DefensaDefensa deldel perímetroperímetro
DefensaDefensa dede loslos clientesclientes
DetecciónDetección dede intrusosintrusos
ControlControl dede accesoacceso aa lala redred
ConfidencialidadConfidencialidad AccesoAccesoremotoremoto seguroseguro
ServidorServidor ISAISA
**
FirewallFirewall dede WindowsWindows
802.1x802.1x // WPAWPA
IPSecIPSec
** DetecciónDetección básicabásica dede intrusos,intrusos, queque sese amplíaamplía graciasgracias alal trabajotrabajo dede loslos asociadosasociados
ProtecciónProtección dede loslos perímetrosperímetros ISAISA ServerServer tienetiene completascompletas capacidadescapacidades dede filtrado:filtrado:
Filtrado de paquetesFiltrado de paquetes Inspección de estadoInspección de estado Inspección del nivel de aplicaciónInspección del nivel de aplicación
ISA Server bloquea todo el tráfico de red salvo que usted lo permitaISA Server bloquea todo el tráfico de red salvo que usted lo permita ISA Server permite establecer conexiones VPN segurasISA Server permite establecer conexiones VPN seguras ISA Server tiene las certificaciones ICSA y Common CriteriaISA Server tiene las certificaciones ICSA y Common Criteria
ProtecciónProtección dede loslos clientesclientes
Método Descripción
Funciones de proxy
Procesa todas las solicitudes para los clientes y nunca permite las conexiones directas.
Clientes admitidos
Se admiten todos los clientes sin software especial. La instalación del software de servidor de seguridad ISA en clientes Windows permite utilizar más funciones.
Reglas Las reglas de protocolo, reglas de sitio y contenido, y reglas de publicación determinan si se permite el acceso.
Complementos
El precio de compra inicial para los servidores de seguridad de hardware podría ser inferior. Los servidores de seguridad de software se benefician del menor costo de las CPU. El hardware se puede actualizar fácilmente y el hardware antiguo se puede reutilizar.
ProtecciónProtección dede loslos servidoresservidores WebWeb
ReglasReglas dede publicaciónpublicación enen WebWeb Para proteger de ataques externos a los Para proteger de ataques externos a los
servidores Web que se encuentran detrás de los servidores Web que se encuentran detrás de los servidores de seguridad, inspeccione el tráfico servidores de seguridad, inspeccione el tráfico HTTP y compruebe que su formato es apropiado y HTTP y compruebe que su formato es apropiado y cumple los estándarescumple los estándares
Inspección del tráfico SSLInspección del tráfico SSL Descifra e inspecciona las solicitudes Web Descifra e inspecciona las solicitudes Web
entrantes cifradas para comprobar que su formato entrantes cifradas para comprobar que su formato es apropiado y que cumple los estándareses apropiado y que cumple los estándares
Si se desea, volverá a cifrar el tráfico antes de Si se desea, volverá a cifrar el tráfico antes de enviarlo al servidor Webenviarlo al servidor Web
URLScanURLScan ElEl paquetepaquete dede característicascaracterísticas 11 dede ISAISA ServerServer
incluyeincluye URLScanURLScan 2.52.5 parapara ISAISA ServerServer Permite que el filtro ISAPI de URLScan se aplique Permite que el filtro ISAPI de URLScan se aplique
al perímetro de la redal perímetro de la red Se produce un bloqueo general en todos los Se produce un bloqueo general en todos los
servidores Web que se encuentran detrás del servidor servidores Web que se encuentran detrás del servidor de seguridadde seguridad
Se bloquean en el perímetro los ataques conocidos y Se bloquean en el perímetro los ataques conocidos y los descubiertos recientementelos descubiertos recientemente
Servidor Web 1
ISA Server
Servidor Web 2
Servidor Web 3
ProtecciónProtección dede ExchangeExchange ServerServer
Método Descripción
Asistente para publicación de correo
Configura reglas de ISA Server con el fin de publicar servicios de correo interno para usuarios externos de forma segura
Message Screener
Filtra los mensajes de correo electrónico SMTP que entran en la red interna
Publicación RPC Protege el acceso del protocolo nativo de los clientes Microsoft Outlook®
Publicación OWA
Proporciona protección del servidor de solicitudes de cliente OWA para los usuarios remotos de Outlook que tienen acceso a Microsoft Exchange Server sin una VPN a través de redes que no son de confianza
DemostraciónDemostración 11InspecciónInspección deldel nivelnivel dede aplicaciónaplicación
enen ISAISA ServerServer
PublicaciónPublicación enen WebWebURLScanURLScan
MessageMessage ScreenerScreener
TráficoTráfico queque omiteomite lala inspeccióninspección dede loslos servidoresservidores dede seguridadseguridad
LosLos túnelestúneles SSLSSL atraviesanatraviesan loslos servidoresservidores dede seguridadseguridad tradicionalestradicionales debido a quedebido a que esteeste tipotipo dede tráficotráfico estáestá cifrado,cifrado, lolo queque permitepermite aa loslos virusvirus yy gusanosgusanos pasarpasar sinsin serser detectadosdetectados ee infectarinfectar loslos servidoresservidores internosinternos
El tráfico VPN se cifra y no se puede El tráfico VPN se cifra y no se puede inspeccionarinspeccionar
El tráfico de Instant Messenger (IM) no se El tráfico de Instant Messenger (IM) no se suele inspeccionar y podría utilizarse para suele inspeccionar y podría utilizarse para transferir archivostransferir archivos
InspecciónInspección dede todotodo elel tráficotráfico
UtiliceUtilice sistemassistemas dede deteccióndetección dede intrusosintrusos yy otrosotros mecanismosmecanismos parapara inspeccionarinspeccionar elel tráficotráfico VPNVPN unauna vezvez descifradodescifrado Recuerde: defensa en profundidadRecuerde: defensa en profundidad
Utilice un servidor de seguridad que pueda Utilice un servidor de seguridad que pueda inspeccionar el tráfico SSLinspeccionar el tráfico SSL
Expanda las capacidades de inspección del Expanda las capacidades de inspección del servidor de seguridadservidor de seguridad Utilice complementos para el servidor de seguridad Utilice complementos para el servidor de seguridad
que permitan inspeccionar el tráfico de IMque permitan inspeccionar el tráfico de IM
InspecciónInspección dede SSLSSL
LosLos túnelestúneles SSLSSL atraviesanatraviesan loslos servidoresservidores dede seguridadseguridad tradicionalestradicionales debido a quedebido a que esteeste tipotipo dede tráficotráfico estáestá cifrado,cifrado, lolo queque permitepermite aa loslos virusvirus yy gusanosgusanos pasarpasar sinsin serser detectadosdetectados ee infectarinfectar loslos servidoresservidores internosinternos
ISA Server puede descifrar e inspeccionar el ISA Server puede descifrar e inspeccionar el tráfico SSL. El tráfico inspeccionado se puede tráfico SSL. El tráfico inspeccionado se puede enviar al servidor interno sin cifrar o cifrado de enviar al servidor interno sin cifrar o cifrado de nuevonuevo
DemostraciónDemostración 22InspecciónInspección dede SSLSSL enen ISAISA ServerServer
RefuerzoRefuerzo dede lala seguridadseguridad dede ISAISA ServerServer
RefuerzoRefuerzo dede lala pilapila dede redred Deshabilite los protocolos de red Deshabilite los protocolos de red
innecesarios en la interfaz de red externa:innecesarios en la interfaz de red externa: Cliente para redes MicrosoftCliente para redes Microsoft Compartir impresoras y archivos para redes Compartir impresoras y archivos para redes
MicrosoftMicrosoft NetBIOS sobre TCP/IPNetBIOS sobre TCP/IP
RecomendacionesRecomendaciones UtiliceUtilice reglasreglas dede accesoacceso queque únicamenteúnicamente
permitanpermitan laslas solicitudessolicitudes queque sese admitanadmitan dede formaforma específicaespecífica
Utilice las capacidades de autenticación Utilice las capacidades de autenticación de ISA Server para restringir y registrar de ISA Server para restringir y registrar el acceso a Internetel acceso a Internet
Configure reglas de publicación en Web Configure reglas de publicación en Web para conjuntos de destinos específicospara conjuntos de destinos específicos
Utilice la inspección de SSL para Utilice la inspección de SSL para inspeccionar los datos cifrados que inspeccionar los datos cifrados que entren en la redentren en la red
OrdenOrden deldel díadía
IntroducciónIntroducción Uso de defensas en el perímetroUso de defensas en el perímetro Uso de ISA Server para proteger los Uso de ISA Server para proteger los
perímetrosperímetros Uso de Firewall de Windows para Uso de Firewall de Windows para
proteger a los clientesproteger a los clientes Protección de redes inalámbricasProtección de redes inalámbricas Protección de comunicaciones Protección de comunicaciones
mediante IPSecmediante IPSec
ObjetivosObjetivos dede seguridadseguridad enen unauna redred
DefensaDefensa deldel perímetroperímetro
DefensaDefensa dede loslos clientesclientes
DetecciónDetección dede intrusosintrusos
ControlControl dede accesoacceso aa lala redred
ConfidencialidadConfidencialidad AccesoAccesoremotoremoto seguroseguro
ServidorServidor ISAISA
FirewallFirewall dede WindowsWindows
802.1x802.1x // WPAWPA
IPSecIPSec
InformaciónInformación generalgeneral sobresobre FirewallFirewall dede WindowsWindows
FirewallFirewall dede WindowsWindows enen MicrosoftMicrosoft WindowsWindows XPXP yy MicrosoftMicrosoft WindowsWindows ServerServer 20032003
AyudaAyuda aa detenerdetener loslos ataquesataques basadosbasados enen lala red,red, comocomo Blaster,Blaster, alal bloquearbloquear todotodo elel tráficotráfico entranteentrante nono solicitadosolicitado
LosLos puertospuertos sese puedenpueden abrirabrir parapara loslos serviciosservicios queque sese ejecutanejecutan enen elel equipoequipo
La administración corporativa se realiza La administración corporativa se realiza a través de directivas de grupoa través de directivas de grupo
QuéQué eses
QuéQué hacehace
CaracterísticasCaracterísticas principalesprincipales
SeSe puedepuede habilitar:habilitar: Al activar una Al activar una
casilla de verificacióncasilla de verificación Con el Asistente para configuración Con el Asistente para configuración
de redde red Con el Asistente para conexión Con el Asistente para conexión
nuevanueva Se habilita de forma independiente en Se habilita de forma independiente en
cada conexión de redcada conexión de red
HabilitarHabilitar FirewallFirewall dede WindowsWindows
ServiciosServicios dede redred Aplicaciones Aplicaciones
basadas en Webbasadas en Web
ConfiguraciónConfiguración avanzadaavanzada dede FirewallFirewall dede WindowsWindows
OpcionesOpciones dede registroregistro Opciones del archivo de registroOpciones del archivo de registro
RegistroRegistro dede seguridadseguridad dede FirewallFirewall dede WindowsWindows
FirewallFirewall dede WindowsWindows enen lala compañíacompañía ConfigureConfigure FirewallFirewall dede WindowsWindows mediantemediante
directivasdirectivas dede grupogrupo Combine Firewall de Windows con Combine Firewall de Windows con
Control de cuarentena de acceso a la redControl de cuarentena de acceso a la red
UtiliceUtilice FirewallFirewall dede WindowsWindows enen laslas oficinasoficinas domésticasdomésticas yy enen laslas pequeñaspequeñas compañíascompañías concon elel finfin dede proporcionarproporcionar protecciónprotección aa loslos equiposequipos queque esténestén conectadosconectados directamentedirectamente aa InternetInternet
No active Firewall de Windows en una conexión No active Firewall de Windows en una conexión VPN (aunque debe habilitarlo en la conexión LAN o VPN (aunque debe habilitarlo en la conexión LAN o de acceso telefónico subyacente)de acceso telefónico subyacente)
Configure las definiciones de servicio para cada Configure las definiciones de servicio para cada conexión de Firewall de Windows a través de la que conexión de Firewall de Windows a través de la que desee que funcione el serviciodesee que funcione el servicio
Establezca el tamaño del registro de seguridad en Establezca el tamaño del registro de seguridad en 16 megabytes para impedir el desbordamiento que 16 megabytes para impedir el desbordamiento que podrían ocasionar los ataques de denegación de podrían ocasionar los ataques de denegación de servicioservicio
RecomendacionesRecomendaciones
DemostraciónDemostración 33FirewallFirewall dede WindowsWindows
ConfiguraciónConfiguración manualmanual dede FirewallFirewall dede WindowsWindows
PruebaPrueba dede FirewallFirewall dede WindowsWindowsRevisiónRevisión dede loslos archivosarchivos dede registroregistro
dede FirewallFirewall dede WindowsWindowsConfiguraciónConfiguración dede directivasdirectivas dede grupogrupo
OrdenOrden deldel díadía
IntroducciónIntroducción Uso de defensas en el perímetroUso de defensas en el perímetro Uso de ISA Server para proteger los perímetrosUso de ISA Server para proteger los perímetros Uso de Firewall de Windows para proteger a los clientesUso de Firewall de Windows para proteger a los clientes Protección de redes inalámbricasProtección de redes inalámbricas Protección de comunicaciones mediante IPSecProtección de comunicaciones mediante IPSec
ObjetivosObjetivos dede seguridadseguridad enen unauna redred
DefensaDefensa deldel perímetroperímetro
DefensaDefensa dede loslos clientesclientes
DetecciónDetección dede intrusosintrusos
ControlControl dede accesoacceso aa lala redred
ConfidencialidadConfidencialidad AccesoAccesoremotoremoto seguroseguro
ServidorServidor ISAISA
FirewallFirewall dede WindowsWindows
802.1x802.1x // WPAWPA
IPSecIPSec
LimitacionesLimitaciones dede WiredWired EquivalentEquivalent PrivacyPrivacy (WEP)(WEP) Las claves WEP estáticas no se cambian de Las claves WEP estáticas no se cambian de
forma dinámica y, por lo tanto, son forma dinámica y, por lo tanto, son vulnerables a los ataquesvulnerables a los ataques
No hay un método estándar para proporcionar No hay un método estándar para proporcionar claves WEP estáticas a los clientesclaves WEP estáticas a los clientes
Escalabilidad: el compromiso de una clave Escalabilidad: el compromiso de una clave WEP estática expone a todos los usuariosWEP estática expone a todos los usuarios
Limitaciones del filtrado de direcciones Limitaciones del filtrado de direcciones MACMAC Un intruso podría suplantar una dirección Un intruso podría suplantar una dirección
MAC permitidaMAC permitida
AspectosAspectos dede seguridadseguridad enen dispositivosdispositivos inalámbricosinalámbricos
AutenticaciónAutenticación dede nivelnivel 22 basadabasada enen contraseñascontraseñas PEAP/MSCHAP v2 de IEEE 802.1xPEAP/MSCHAP v2 de IEEE 802.1x
Autenticación de nivel 2 basada en certificadosAutenticación de nivel 2 basada en certificados EAP-TLS de IEEE 802.1xEAP-TLS de IEEE 802.1x
Otras opcionesOtras opciones Conexiones VPNConexiones VPN
L2TP/IPsec (la solución preferida) o PPTPL2TP/IPsec (la solución preferida) o PPTP No permite usuarios móvilesNo permite usuarios móviles Resulta útil cuando se utilizan zonas interactivas Resulta útil cuando se utilizan zonas interactivas
inalámbricas públicasinalámbricas públicas No se produce la autenticación de los equipos ni se procesa No se produce la autenticación de los equipos ni se procesa
la configuración establecida en directivas de grupola configuración establecida en directivas de grupo IPSecIPSec
Problemas de interoperabilidadProblemas de interoperabilidad
PosiblesPosibles solucionessoluciones
Tipo de seguridad de WLAN
Nivel de seguridad
Facilidad de implementación
Facilidad de uso e
integración
WEPWEP estáticoestático BajoBajo AltaAlta AltosAltos
PEAPPEAP dede IEEEIEEE 802.1X802.1X AltoAlto MediaMedia AltosAltos
TLSTLS dede IEEEIEEE 802.1x802.1x AltoAlto BajaBaja AltosAltos
VPNVPN AltoAlto (L2TP/IPSec)(L2TP/IPSec) MediaMedia BajosBajos
IPSecIPSec AltoAlto BajaBaja BajosBajos
ComparacionesComparaciones dede lala seguridadseguridad dede WLANWLAN
DefineDefine unun mecanismomecanismo dede controlcontrol dede accesoacceso basadobasado enen puertospuertos Funciona en cualquier tipo de red, tanto inalámbrica como Funciona en cualquier tipo de red, tanto inalámbrica como
con cablescon cables No hay ningún requisito especial en cuanto a claves de No hay ningún requisito especial en cuanto a claves de
cifradocifrado
Permite elegir los métodos de autenticación con EAPPermite elegir los métodos de autenticación con EAP Es la opción elegida por los elementos del mismo nivel en el Es la opción elegida por los elementos del mismo nivel en el
momento de la autenticaciónmomento de la autenticación El punto de acceso no tiene que preocuparse de los El punto de acceso no tiene que preocuparse de los
métodos de EAPmétodos de EAP
Administra las claves de forma automáticaAdministra las claves de forma automática No es necesario programar previamente las claves de No es necesario programar previamente las claves de
cifrado para la red inalámbricacifrado para la red inalámbrica
802.1x802.1x
EthernetEthernet
PuntoPunto dede accesoacceso
ServidorServidor RADIUSRADIUS
InicioInicio dede EAPOLEAPOL
IdentidadIdentidad dede respuestarespuesta dede EAPEAP
DesafíoDesafío dede accesoacceso dede RADIUSRADIUS
RespuestaRespuesta dede EAPEAP(credenciales)(credenciales)
AccesoAcceso bloqueadobloqueado
AsociaciónAsociación
AceptaciónAceptación dede accesoacceso dede RADIUSRADIUS
IdentidadIdentidad dede solicitudsolicitud dede EAPEAP
SolicitudSolicitud dede EAPEAP
SolicitudSolicitud dede accesoacceso dede RADIUSRADIUS
SolicitudSolicitud dede accesoacceso dede RADIUSRADIUS
RADIUSRADIUS
EquipoEquipo portátilportátil
InalámbricoInalámbrico
802.11802.11AsociadoAsociado 802.11802.11
ÉxitoÉxito dede EAPEAP
AccesoAcceso permitidopermitidoClaveClave dede EAPOLEAPOL (clave)(clave)
802.1x802.1x enen 802.11802.11
RequisitosRequisitos deldel sistemasistema parapara 802.1x802.1x Cliente:Cliente: WindowsWindows XPXP Servidor: IAS de Windows Server 2003Servidor: IAS de Windows Server 2003
Servicio de autenticación Internet: nuestro Servicio de autenticación Internet: nuestro servidor RADIUSservidor RADIUS
Certificado en el equipo IASCertificado en el equipo IAS 802.1x en Windows 2000802.1x en Windows 2000
El cliente e IAS deben tener SP3El cliente e IAS deben tener SP3 Vea el artículo 313664 de KBVea el artículo 313664 de KB No se admite la configuración rápida No se admite la configuración rápida
en el clienteen el cliente Sólo se admiten EAP-TLS y MS-CHAPv2Sólo se admiten EAP-TLS y MS-CHAPv2
Es posible que los futuros métodos de EAP en Es posible que los futuros métodos de EAP en Windows XP y Windows Server 2003 no se Windows XP y Windows Server 2003 no se puedan utilizarpuedan utilizar
ConfiguraciónConfiguración dede 802.1x802.1x1.1. ConfigurarConfigurar WindowsWindows ServerServer 20032003 concon IASIAS
2.2. Unir un dominioUnir un dominio
3.3. Inscribir un certificado de equipoInscribir un certificado de equipo
4.4. Registrar IAS en Active DirectoryRegistrar IAS en Active Directory
5.5. Configurar el registro RADIUSConfigurar el registro RADIUS
6.6. Agregar el punto de acceso como cliente RADIUSAgregar el punto de acceso como cliente RADIUS
7.7. Configurar el punto de acceso para RADIUS y Configurar el punto de acceso para RADIUS y 802.1x802.1x
8.8. Crear una directiva de acceso para clientes Crear una directiva de acceso para clientes inalámbricosinalámbricos
9.9. Configurar los clientesConfigurar los clientes1.1. No olvide importar el certificado raízNo olvide importar el certificado raíz
DirectivaDirectiva dede accesoacceso
CondiciónCondición dede directivadirectiva El tipo de puerto NAS El tipo de puerto NAS
coincide con Wireless coincide con Wireless IEEE 802.11 o con otro IEEE 802.11 o con otro tipo de red inalámbricatipo de red inalámbrica
Grupo de Windows = Grupo de Windows = <algún grupo de AD><algún grupo de AD> Opcional; proporciona Opcional; proporciona
control administrativocontrol administrativo Debe contener cuentas Debe contener cuentas
de usuario y de equipode usuario y de equipo
Perfil de directivas de accesoPerfil de directivas de acceso
PerfilPerfil Tiempo de espera: Tiempo de espera:
60 min. (802.11b) o 60 min. (802.11b) o 10 min. (802.11a/g)10 min. (802.11a/g)
No elija métodos de No elija métodos de autenticación regularesautenticación regulares
Tipo de EAP: EAP Tipo de EAP: EAP protegido; utilice protegido; utilice certificados de equipocertificados de equipo
Cifrado: sólo el Cifrado: sólo el más seguro más seguro (MPPE de 128 bits)(MPPE de 128 bits)
Atributos: Atributos: Ignore-User-Ignore-User-Dialin-Properties = TrueDialin-Properties = True
Especificación de mejoras en la seguridad interoperable y basada en estándares que aumenta enormemente el nivel de protección de los datos y el control de acceso para los sistemas actuales y futuros de una LAN inalámbrica
WPA requiere la autenticación de 802.1x para el acceso de red
ObjetivosObjetivos Cifrado mejorado de los datosCifrado mejorado de los datos Permitir la autenticación de los usuariosPermitir la autenticación de los usuarios Compatible con versiones futuras de 802.11iCompatible con versiones futuras de 802.11i Proporcionar una solución que no sea RADIUS para las oficinas Proporcionar una solución que no sea RADIUS para las oficinas
domésticas o de pequeño tamañodomésticas o de pequeño tamaño
Wi-Fi Alliance comenzó las pruebas de certificación de la interoperabilidad de los productos de WPA en febrero de 2003
WirelessWireless ProtectedProtected AccessAccess (WPA)(WPA)
RecomendacionesRecomendaciones UtiliceUtilice lala autenticaciónautenticación dede 802.1x802.1x Organice en grupos a los usuarios y equipos Organice en grupos a los usuarios y equipos
inalámbricosinalámbricos Aplique directivas de acceso inalámbrico con Aplique directivas de acceso inalámbrico con
directivas de grupodirectivas de grupo Utilice EAP-TLS para la autenticación basada en Utilice EAP-TLS para la autenticación basada en
certificados y PEAP para la autenticación basada en certificados y PEAP para la autenticación basada en contraseñascontraseñas
Configure una directiva de acceso remoto para permitir Configure una directiva de acceso remoto para permitir la autenticación de los usuarios y de los equiposla autenticación de los usuarios y de los equipos
Desarrolle un método que se ocupe de los puntos de Desarrolle un método que se ocupe de los puntos de acceso sospechosos, como la autenticación de 802.1x acceso sospechosos, como la autenticación de 802.1x basada en LAN, las encuestas a sitios, la supervisión basada en LAN, las encuestas a sitios, la supervisión de la red y el entrenamiento de los usuariosde la red y el entrenamiento de los usuarios
OrdenOrden deldel díadía
IntroducciónIntroducción aa lala defensadefensa enen profundidadprofundidad Uso de defensas en el perímetroUso de defensas en el perímetro Uso de ISA Server para proteger los perímetrosUso de ISA Server para proteger los perímetros Uso de Firewall de Windows para proteger a los clientesUso de Firewall de Windows para proteger a los clientes Protección de redes inalámbricasProtección de redes inalámbricas Protección de comunicaciones mediante IPSecProtección de comunicaciones mediante IPSec
ObjetivosObjetivos dede seguridadseguridad enen unauna redred
DefensaDefensa deldel perímetroperímetro
DefensaDefensa dede loslos clientesclientes
DetecciónDetección dede intrusosintrusos
ControlControl dede accesoacceso aa lala redred
ConfidencialidadConfidencialidad AccesoAccesoremotoremoto seguroseguro
ServidorServidor ISAISA
FirewallFirewall dede WindowsWindows
802.1x802.1x // WPAWPA
IPSecIPSec
¿Qué¿Qué eses SeguridadSeguridad dede IPIP (IPSec)?(IPSec)? Un método para proteger el tráfico IPUn método para proteger el tráfico IP Una estructura de estándares abiertos Una estructura de estándares abiertos
desarrollada por el Grupo de trabajo de ingeniería desarrollada por el Grupo de trabajo de ingeniería de Internet (IETF, de Internet (IETF, Internet Engineering Task ForceInternet Engineering Task Force))
¿Por qué se debe utilizar IPSec?¿Por qué se debe utilizar IPSec? Para garantizar que las comunicaciones se cifran Para garantizar que las comunicaciones se cifran
y se autentican en el nivel IPy se autentican en el nivel IP Para proporcionar seguridad en el transporte Para proporcionar seguridad en el transporte
independiente de las aplicaciones o de los independiente de las aplicaciones o de los protocolos del nivel de aplicaciónprotocolos del nivel de aplicación
IntroducciónIntroducción aa IPSecIPSec
FiltradoFiltrado básicobásico parapara permitirpermitir oo bloquearbloquear paquetespaquetes
Comunicaciones Comunicaciones seguras en la LAN seguras en la LAN internainterna
Replicación en los Replicación en los dominios a través de dominios a través de servidores de servidores de seguridadseguridad
Acceso a VPN a Acceso a VPN a través de medios que través de medios que no son de confianzano son de confianza
EscenariosEscenarios dede IPSecIPSec
FiltrosFiltros parapara tráficotráfico permitidopermitido yy bloqueadobloqueado No se produce ninguna negociación real de No se produce ninguna negociación real de
las asociaciones de seguridad de IPSeclas asociaciones de seguridad de IPSec Los filtros se solapan: la coincidencia más Los filtros se solapan: la coincidencia más
específica determina la acciónespecífica determina la acción No proporciona filtrado de estadoNo proporciona filtrado de estado Se debe establecer "NoDefaultExempt = 1" Se debe establecer "NoDefaultExempt = 1"
para que sea seguropara que sea seguro
Desde IP A IP Protocolo Puerto de origen
Puerto de
destinoAcción
Cualquiera Mi IP de Internet Cualquiera N/D N/D Bloquear
Cualquiera Mi IP de Internet TCP Cualquiera 80 Permitir
ImplementaciónImplementación deldel filtradofiltrado dede paquetespaquetes dede IPSecIPSec
LosLos paquetespaquetes IPIP suplantadossuplantados contienencontienen consultasconsultas oo contenidocontenido peligrosopeligroso queque puedepuede seguirseguir llegandollegando aa loslos puertospuertos abiertosabiertos aa travéstravés dede loslos servidoresservidores dede seguridadseguridad
IPSec no permite la inspección de estadoIPSec no permite la inspección de estado Muchas herramientas que utilizan los Muchas herramientas que utilizan los
piratas informáticos emplean los puertos piratas informáticos emplean los puertos de origen 80, 88, 135 y otros para conectar de origen 80, 88, 135 y otros para conectar a cualquier puerto de destinoa cualquier puerto de destino
ElEl filtradofiltrado dede paquetespaquetes nono eses suficientesuficiente parapara protegerproteger unun servidorservidor
DireccionesDirecciones dede difusióndifusión IPIP No puede proteger a varios receptoresNo puede proteger a varios receptores
Direcciones de multidifusiónDirecciones de multidifusión De 224.0.0.0 a 239.255.255.255De 224.0.0.0 a 239.255.255.255
Kerberos: puerto UDP 88 de origen o destinoKerberos: puerto UDP 88 de origen o destino Kerberos es un protocolo seguro, que el servicio Kerberos es un protocolo seguro, que el servicio
de negociaciónde negociación IKE puede utilizar para la IKE puede utilizar para la autenticación de otros equipos en un dominioautenticación de otros equipos en un dominio
IKE: puerto UDP 500 de destinoIKE: puerto UDP 500 de destino Obligatorio para permitir que IKE negocie los Obligatorio para permitir que IKE negocie los
parámetros de seguridad de IPSecparámetros de seguridad de IPSec Windows Server 2003 configura únicamente Windows Server 2003 configura únicamente
la exención predeterminada de IKEla exención predeterminada de IKE
TráficoTráfico queque IPSecIPSec nono filtrafiltra
ComunicacionesComunicaciones internasinternas segurasseguras UtiliceUtilice IPSecIPSec parapara permitirpermitir lala autenticaciónautenticación mutuamutua dede
dispositivosdispositivos Utilice certificados o KerberosUtilice certificados o Kerberos La utilización de claves compartidas sólo es conveniente para La utilización de claves compartidas sólo es conveniente para
pruebaspruebas Utilice Encabezado de autenticación (AH) para garantizar la Utilice Encabezado de autenticación (AH) para garantizar la
integridad de los paquetesintegridad de los paquetes El Encabezado de autenticación proporciona integridad en los El Encabezado de autenticación proporciona integridad en los
paquetespaquetes El Encabezado de autenticación no cifra, con lo que se basa en los El Encabezado de autenticación no cifra, con lo que se basa en los
sistemas de detección de intrusos de redsistemas de detección de intrusos de red Utilice Carga de seguridad encapsuladora (ESP) para cifrar Utilice Carga de seguridad encapsuladora (ESP) para cifrar
el tráfico sensibleel tráfico sensible ESP proporciona integridad en los paquetes y confidencialidadESP proporciona integridad en los paquetes y confidencialidad El cifrado impide la inspección de los paquetesEl cifrado impide la inspección de los paquetes
Planee minuciosamente qué tráfico debe protegersePlanee minuciosamente qué tráfico debe protegerse
IPSecIPSec parapara lala replicaciónreplicación dede dominiosdominios UtiliceUtilice IPSecIPSec parapara lala replicaciónreplicación aa travéstravés dede
servidoresservidores dede seguridadseguridad En cada controlador de dominio, cree una directiva En cada controlador de dominio, cree una directiva
IPSec para proteger todo el tráfico a la dirección IP IPSec para proteger todo el tráfico a la dirección IP del otro controlador de dominiodel otro controlador de dominio
Utilice ESP 3DES para el cifradoUtilice ESP 3DES para el cifrado Permita el tráfico a través del servidor de Permita el tráfico a través del servidor de
seguridad:seguridad: Puerto UDP 500 (IKE)Puerto UDP 500 (IKE) Protocolo IP 50 (ESP)Protocolo IP 50 (ESP)
AccesoAcceso dede VPNVPN aa travéstravés dede mediosmedios queque nono sonson dede confianzaconfianza VPNVPN dede clientecliente
Utilice L2TP/IPSecUtilice L2TP/IPSec
VPN de sucursalVPN de sucursal Entre Windows 2000 o Windows Server, con Entre Windows 2000 o Windows Server, con
RRAS: utilice túnel L2TP/IPSec (fácil de RRAS: utilice túnel L2TP/IPSec (fácil de configurar, aparece como una interfaz enrutable)configurar, aparece como una interfaz enrutable)
A una puerta de enlace de terceros: utilice A una puerta de enlace de terceros: utilice L2TP/IPSec o el modo de túnel puro de IPSecL2TP/IPSec o el modo de túnel puro de IPSec
A la puerta de enlace RRAS de Microsoft A la puerta de enlace RRAS de Microsoft Windows NT® 4: utilice PPTP (IPSec no está Windows NT® 4: utilice PPTP (IPSec no está disponible)disponible)
RendimientoRendimiento dede IPSecIPSec ElEl procesamientoprocesamiento dede IPSecIPSec tienetiene algunasalgunas consecuenciasconsecuencias
enen elel rendimientorendimiento Tiempo de negociación de IKE, inicialmente entre 2 y 5 Tiempo de negociación de IKE, inicialmente entre 2 y 5
segundossegundos 5 recorridos de ida y vuelta5 recorridos de ida y vuelta Autenticación: Kerberos o certificadosAutenticación: Kerberos o certificados Generación de claves criptográficas y mensajes cifradosGeneración de claves criptográficas y mensajes cifrados Se realiza una vez cada ocho horas de forma predeterminada y se Se realiza una vez cada ocho horas de forma predeterminada y se
puede configurarpuede configurar El cambio de claves de la sesión es rápido:< entre uno y dos El cambio de claves de la sesión es rápido:< entre uno y dos
segundos, dos recorridos de ida y vuelta, una vez cada hora y segundos, dos recorridos de ida y vuelta, una vez cada hora y se puede configurarse puede configurar
Cifrado de paquetesCifrado de paquetes ¿Cómo se puede mejorar?¿Cómo se puede mejorar?
Al descargar el proceso criptográfico en NIC, IPSec casi alcanza Al descargar el proceso criptográfico en NIC, IPSec casi alcanza la velocidad de los dispositivos con cablela velocidad de los dispositivos con cable
Mediante CPU más rápidasMediante CPU más rápidas
RecomendacionesRecomendaciones PlaneePlanee minuciosamenteminuciosamente lala implementaciónimplementación dede IPSecIPSec Elija entre AH y ESPElija entre AH y ESP Utilice directivas de grupo para implementar Utilice directivas de grupo para implementar
directivas IPSecdirectivas IPSec Considere el uso de NIC de IPSecConsidere el uso de NIC de IPSec No utilice nunca la autenticación con claves No utilice nunca la autenticación con claves
compartidas fuera de un entorno de pruebacompartidas fuera de un entorno de prueba Elija entre la autenticación basada en Kerberos o en Elija entre la autenticación basada en Kerberos o en
certificadoscertificados Tenga cuidado al requerir el uso de IPSec para las Tenga cuidado al requerir el uso de IPSec para las
comunicaciones con controladores de dominio y comunicaciones con controladores de dominio y otros servidores de infraestructurasotros servidores de infraestructuras
DemostraciónDemostración 44IPSecIPSec
ConfiguraciónConfiguración yy pruebaspruebas dede unauna directivadirectiva IPSecIPSec sencillasencilla
ConfiguraciónConfiguración yy pruebaspruebas dede unun filtrofiltro dede paquetespaquetes IPSecIPSec
ResumenResumen dede lala sesiónsesión
IntroducciónIntroducción aa lala defensadefensa enen profundidadprofundidad Uso de defensas en el perímetroUso de defensas en el perímetro Uso de ISA Server para proteger los Uso de ISA Server para proteger los
perímetrosperímetros Uso de Firewall de Windows para Uso de Firewall de Windows para
proteger a los clientesproteger a los clientes Protección de redes inalámbricasProtección de redes inalámbricas Protección de redes mediante IPSecProtección de redes mediante IPSec
PasosPasos siguientessiguientes1.1. MantenerseMantenerse informadoinformado sobresobre
seguridadseguridad Suscribirse a boletines de seguridad:Suscribirse a boletines de seguridad:
http://www.microsoft.com/latam/technet/seguridad/http://www.microsoft.com/latam/technet/seguridad/boletines.asp boletines.asp
Obtener las directrices de seguridad de Microsoft Obtener las directrices de seguridad de Microsoft más recientes:más recientes:http://www.microsoft.com/latam/technet/seguridad/http://www.microsoft.com/latam/technet/seguridad/
2.2. Obtener aprendizaje adicional Obtener aprendizaje adicional de seguridadde seguridad1.1. Buscar seminarios de aprendizaje en línea y presenciales:Buscar seminarios de aprendizaje en línea y presenciales:
http://www.microsoft.com/latam/technet/evento/default.asphttp://www.microsoft.com/latam/technet/evento/default.asp
1.1. Buscar un CTEC local que ofrezca cursos prácticos:Buscar un CTEC local que ofrezca cursos prácticos:http://www.microsoft.com/mspress/latam/default.htmhttp://www.microsoft.com/mspress/latam/default.htm
ParaPara obtenerobtener másmás informacióninformación
SitioSitio dede seguridadseguridad dede MicrosoftMicrosoft (todos(todos loslos usuarios)usuarios) http://www.microsoft.com/latam/seguridadhttp://www.microsoft.com/latam/seguridad
Sitio de seguridad de TechNet (profesionales de IT)Sitio de seguridad de TechNet (profesionales de IT) http://www.microsoft.com/latam/technet/http://www.microsoft.com/latam/technet/
seguridad/default.aspseguridad/default.asp Sitio de seguridad de MSDN (desarrolladores)Sitio de seguridad de MSDN (desarrolladores)
http://msdn.microsoft.com/security http://msdn.microsoft.com/security (este sitio está en inglés)(este sitio está en inglés)
PreguntasPreguntas yy respuestasrespuestas