Tipos de funciones de los servidores de seguridad
Filtrado de paquetes
Inspección de estado
Inspección del nivel de aplicación
Inspección multinivel
(Incluido el filtrado del nivel de aplicación)
(Gp:) Internet
Orden del día
Introducción
Uso de defensas en el perímetro
Uso de ISA Server para proteger los perímetros
Uso de Firewall de Windows para proteger a los clientes
Protección de redes inalámbricas
Protección de comunicaciones mediante IPSec
Objetivos de seguridad en una red
* Detección básica de intrusos, que se amplía gracias al trabajo de los asociados
Protección de los perímetros
ISA Server tiene completas capacidades de filtrado:
Filtrado de paquetes
Inspección de estado
Inspección del nivel de aplicación
ISA Server bloquea todo el tráfico de red salvo que usted lo permita
ISA Server permite establecer conexiones VPN seguras
ISA Server tiene las certificaciones ICSA y Common Criteria
Protección de los clientes
Protección de los servidores Web
Reglas de publicación en Web
Para proteger de ataques externos a los servidores Web que se encuentran detrás de los servidores de seguridad, inspeccione el tráfico HTTP y compruebe que su formato es apropiado y cumple los estándares
Inspección del tráfico SSL
Descifra e inspecciona las solicitudes Web entrantes cifradas para comprobar que su formato es apropiado y que cumple los estándares
Si se desea, volverá a cifrar el tráfico antes de enviarlo al servidor Web
URLScan
El paquete de características 1 de ISA Server incluye URLScan 2.5 para ISA Server
Permite que el filtro ISAPI de URLScan se aplique al perímetro de la red
Se produce un bloqueo general en todos los servidores Web que se encuentran detrás del servidor de seguridad
Se bloquean en el perímetro los ataques conocidos y los descubiertos recientemente
Servidor Web 1
ISA Server
Servidor Web 2
Servidor Web 3
Protección de Exchange Server
Demostración 1Inspección del nivel de aplicación en ISA Server Publicación en WebURLScanMessage Screener
Tráfico que omite la inspección de los servidores de seguridad
Los túneles SSL atraviesan los servidores de seguridad tradicionales debido a que este tipo de tráfico está cifrado, lo que permite a los virus y gusanos pasar sin ser detectados e infectar los servidores internos
El tráfico VPN se cifra y no se puede inspeccionar
El tráfico de Instant Messenger (IM) no se suele inspeccionar y podría utilizarse para transferir archivos
Inspección de todo el tráfico
Utilice sistemas de detección de intrusos y otros mecanismos para inspeccionar el tráfico VPN una vez descifrado
Recuerde: defensa en profundidad
Utilice un servidor de seguridad que pueda inspeccionar el tráfico SSL
Expanda las capacidades de inspección del servidor de seguridad
Utilice complementos para el servidor de seguridad que permitan inspeccionar el tráfico de IM
Inspección de SSL
Los túneles SSL atraviesan los servidores de seguridad tradicionales debido a que este tipo de tráfico está cifrado, lo que permite a los virus y gusanos pasar sin ser detectados e infectar los servidores internos
ISA Server puede descifrar e inspeccionar el tráfico SSL. El tráfico inspeccionado se puede enviar al servidor interno sin cifrar o cifrado de nuevo
Demostración 2Inspección de SSL en ISA Server
Refuerzo de la seguridad de ISA Server
Refuerzo de la pila de red
Deshabilite los protocolos de red innecesarios en la interfaz de red externa:
Cliente para redes Microsoft
Compartir impresoras y archivos para redes Microsoft
NetBIOS sobre TCP/IP
Recomendaciones
Utilice reglas de acceso que únicamente permitan las solicitudes que se admitan de forma específica
Utilice las capacidades de autenticación de ISA Server para restringir y registrar el acceso a Internet
Configure reglas de publicación en Web para conjuntos de destinos específicos
Utilice la inspección de SSL para inspeccionar los datos cifrados que entren en la red
Orden del día
Introducción
Uso de defensas en el perímetro
Uso de ISA Server para proteger los perímetros
Uso de Firewall de Windows para proteger a los clientes
Protección de redes inalámbricas
Protección de comunicaciones mediante IPSec
Objetivos de seguridad en una red
Información general sobre Firewall de Windows
Firewall de Windows en Microsoft Windows XP y Microsoft Windows Server 2003
Ayuda a detener los ataques basados en la red, como Blaster, al bloquear todo el tráfico entrante no solicitado
Los puertos se pueden abrir para los servicios que se ejecutan en el equipo
La administración corporativa se realiza a través de directivas de grupo
Qué es
Qué hace
Características principales
Se puede habilitar:
Al activar una casilla de verificación
Con el Asistente para configuración de red
Con el Asistente para conexión nueva
Se habilita de forma independiente en cada conexión de red
Habilitar Firewall de Windows
Servicios de red
Aplicaciones basadas en Web
Configuración avanzada de Firewall de Windows
Opciones de registro
Opciones del archivo de registro
Registro de seguridad de Firewall de Windows
Firewall de Windows en la compañía
Configure Firewall de Windows mediante directivas de grupo
Combine Firewall de Windows con Control de cuarentena de acceso a la red
Utilice Firewall de Windows en las oficinas domésticas y en las pequeñas compañías con el fin de proporcionar protección a los equipos que estén conectados directamente a Internet
No active Firewall de Windows en una conexión VPN (aunque debe habilitarlo en la conexión LAN o de acceso telefónico subyacente)
Configure las definiciones de servicio para cada conexión de Firewall de Windows a través de la que desee que funcione el servicio
Establezca el tamaño del registro de seguridad en 16 megabytes para impedir el desbordamiento que podrían ocasionar los ataques de denegación de servicio
Recomendaciones
Demostración 3Firewall de Windows Configuración manual de Firewall de WindowsPrueba de Firewall de WindowsRevisión de los archivos de registro de Firewall de WindowsConfiguración de directivas de grupo
Orden del día
Introducción
Uso de defensas en el perímetro
Uso de ISA Server para proteger los perímetros
Uso de Firewall de Windows para proteger a los clientes
Protección de redes inalámbricas
Protección de comunicaciones mediante IPSec
Objetivos de seguridad en una red
Limitaciones de Wired Equivalent Privacy (WEP)
Las claves WEP estáticas no se cambian de forma dinámica y, por lo tanto, son vulnerables a los ataques
No hay un método estándar para proporcionar claves WEP estáticas a los clientes
Escalabilidad: el compromiso de una clave WEP estática expone a todos los usuarios
Limitaciones del filtrado de direcciones MAC
Un intruso podría suplantar una dirección MAC permitida
Aspectos de seguridad en dispositivos inalámbricos
Autenticación de nivel 2 basada en contraseñas
PEAP/MSCHAP v2 de IEEE 802.1x
Autenticación de nivel 2 basada en certificados
EAP-TLS de IEEE 802.1x
Otras opciones
Conexiones VPN
L2TP/IPsec (la solución preferida) o PPTP
No permite usuarios móviles
Resulta útil cuando se utilizan zonas interactivas inalámbricas públicas
No se produce la autenticación de los equipos ni se procesa la configuración establecida en directivas de grupo
IPSec
Problemas de interoperabilidad
Posibles soluciones
Comparaciones de la seguridad de WLAN
Define un mecanismo de control de acceso basado en puertos
Funciona en cualquier tipo de red, tanto inalámbrica como con cables
No hay ningún requisito especial en cuanto a claves de cifrado
Permite elegir los métodos de autenticación con EAP
Es la opción elegida por los elementos del mismo nivel en el momento de la autenticación
El punto de acceso no tiene que preocuparse de los métodos de EAP
Administra las claves de forma automática
No es necesario programar previamente las claves de cifrado para la red inalámbrica
802.1x
Ethernet
Punto de acceso
Servidor RADIUS
(Gp:) Inicio de EAPOL
(Gp:) Identidad de respuesta de EAP
(Gp:) Desafío de acceso de RADIUS
(Gp:) Respuesta de EAP(credenciales)
(Gp:) Acceso bloqueado
(Gp:) Asociación
(Gp:) Aceptación de acceso de RADIUS
(Gp:) Identidad de solicitud de EAP
(Gp:) Solicitud de EAP
(Gp:) Solicitud de acceso de RADIUS
(Gp:) Solicitud de acceso de RADIUS
RADIUS
Equipo portátil
Inalámbrico
802.11
(Gp:) Asociado 802.11
(Gp:) Éxito de EAP
Acceso permitido
(Gp:) Clave de EAPOL (clave)
802.1x en 802.11
Requisitos del sistema para 802.1x
Cliente: Windows XP
Servidor: IAS de Windows Server 2003
Servicio de autenticación Internet: nuestro servidor RADIUS
Certificado en el equipo IAS
802.1x en Windows 2000
El cliente e IAS deben tener SP3
Vea el artículo 313664 de KB
No se admite la configuración rápida en el cliente
Sólo se admiten EAP-TLS y MS-CHAPv2
Es posible que los futuros métodos de EAP en Windows XP y Windows Server 2003 no se puedan utilizar
Configuración de 802.1x
Configurar Windows Server 2003 con IAS
Unir un dominio
Inscribir un certificado de equipo
Registrar IAS en Active Directory
Configurar el registro RADIUS
Agregar el punto de acceso como cliente RADIUS
Configurar el punto de acceso para RADIUS y 802.1x
Crear una directiva de acceso para clientes inalámbricos
Configurar los clientes
No olvide importar el certificado raíz
Directiva de acceso
Condición de directiva
El tipo de puerto NAS coincide con Wireless IEEE 802.11 o con otro tipo de red inalámbrica
Grupo de Windows = < algún grupo de AD>
Opcional; proporciona control administrativo
Debe contener cuentas de usuario y de equipo
Perfil de directivas de acceso
Perfil
Tiempo de espera: 60 min. (802.11b) o 10 min. (802.11a/g)
No elija métodos de autenticación regulares
Tipo de EAP: EAP protegido; utilice certificados de equipo
Cifrado: sólo el más seguro (MPPE de 128 bits)
Atributos: Ignore-User-Dialin-Properties = True
Especificación de mejoras en la seguridad interoperable y basada en estándares que aumenta enormemente el nivel de protección de los datos y el control de acceso para los sistemas actuales y futuros de una LAN inalámbrica
WPA requiere la autenticación de 802.1x para el acceso de red
Objetivos
Cifrado mejorado de los datos
Permitir la autenticación de los usuarios
Compatible con versiones futuras de 802.11i
Proporcionar una solución que no sea RADIUS para las oficinas domésticas o de pequeño tamaño
Wi-Fi Alliance comenzó las pruebas de certificación de la interoperabilidad de los productos de WPA en febrero de 2003
Wireless Protected Access (WPA)
Recomendaciones
Utilice la autenticación de 802.1x
Organice en grupos a los usuarios y equipos inalámbricos
Aplique directivas de acceso inalámbrico con directivas de grupo
Utilice EAP-TLS para la autenticación basada en certificados y PEAP para la autenticación basada en contraseñas
Configure una directiva de acceso remoto para permitir la autenticación de los usuarios y de los equipos
Desarrolle un método que se ocupe de los puntos de acceso sospechosos, como la autenticación de 802.1x basada en LAN, las encuestas a sitios, la supervisión de la red y el entrenamiento de los usuarios
Orden del día
Introducción a la defensa en profundidad
Uso de defensas en el perímetro
Uso de ISA Server para proteger los perímetros
Uso de Firewall de Windows para proteger a los clientes
Protección de redes inalámbricas
Protección de comunicaciones mediante IPSec
Objetivos de seguridad en una red
¿Qué es Seguridad de IP (IPSec)?
Un método para proteger el tráfico IP
Una estructura de estándares abiertos desarrollada por el Grupo de trabajo de ingeniería de Internet (IETF, Internet Engineering Task Force)
¿Por qué se debe utilizar IPSec?
Para garantizar que las comunicaciones se cifran y se autentican en el nivel IP
Para proporcionar seguridad en el transporte independiente de las aplicaciones o de los protocolos del nivel de aplicación
Introducción a IPSec
Filtrado básico para permitir o bloquear paquetes
Comunicaciones seguras en la LAN interna
Replicación en los dominios a través de servidores de seguridad
Acceso a VPN a través de medios que no son de confianza
Escenarios de IPSec
Filtros para tráfico permitido y bloqueado
No se produce ninguna negociación real de las asociaciones de seguridad de IPSec
Los filtros se solapan: la coincidencia más específica determina la acción
No proporciona filtrado de estado
Se debe establecer "NoDefaultExempt = 1" para que sea seguro
Implementación del filtrado de paquetes de IPSec
Los paquetes IP suplantados contienen consultas o contenido peligroso que puede seguir llegando a los puertos abiertos a través de los servidores de seguridad
IPSec no permite la inspección de estado
Muchas herramientas que utilizan los piratas informáticos emplean los puertos de origen 80, 88, 135 y otros para conectar a cualquier puerto de destino
El filtrado de paquetes no es suficiente para proteger un servidor
Direcciones de difusión IP
No puede proteger a varios receptores
Direcciones de multidifusión
De 224.0.0.0 a 239.255.255.255
Kerberos: puerto UDP 88 de origen o destino
Kerberos es un protocolo seguro, que el servicio de negociación IKE puede utilizar para la autenticación de otros equipos en un dominio
IKE: puerto UDP 500 de destino
Obligatorio para permitir que IKE negocie los parámetros de seguridad de IPSec
Windows Server 2003 configura únicamente la exención predeterminada de IKE
Tráfico que IPSec no filtra
Comunicaciones internas seguras
Utilice IPSec para permitir la autenticación mutua de dispositivos
Utilice certificados o Kerberos
La utilización de claves compartidas sólo es conveniente para pruebas
Utilice Encabezado de autenticación (AH) para garantizar la integridad de los paquetes
El Encabezado de autenticación proporciona integridad en los paquetes
El Encabezado de autenticación no cifra, con lo que se basa en los sistemas de detección de intrusos de red
Utilice Carga de seguridad encapsuladora (ESP) para cifrar el tráfico sensible
ESP proporciona integridad en los paquetes y confidencialidad
El cifrado impide la inspección de los paquetes
Planee minuciosamente qué tráfico debe protegerse
IPSec para la replicación de dominios
Utilice IPSec para la replicación a través de servidores de seguridad
En cada controlador de dominio, cree una directiva IPSec para proteger todo el tráfico a la dirección IP del otro controlador de dominio
Utilice ESP 3DES para el cifrado
Permita el tráfico a través del servidor de seguridad:
Puerto UDP 500 (IKE)
Protocolo IP 50 (ESP)
Acceso de VPN a través de medios que no son de confianza
VPN de cliente
Utilice L2TP/IPSec
VPN de sucursal
Entre Windows 2000 o Windows Server, con RRAS: utilice túnel L2TP/IPSec (fácil de configurar, aparece como una interfaz enrutable)
A una puerta de enlace de terceros: utilice L2TP/IPSec o el modo de túnel puro de IPSec
A la puerta de enlace RRAS de Microsoft Windows NT® 4: utilice PPTP (IPSec no está disponible)
Rendimiento de IPSec
El procesamiento de IPSec tiene algunas consecuencias en el rendimiento
Tiempo de negociación de IKE, inicialmente entre 2 y 5 segundos
5 recorridos de ida y vuelta
Autenticación: Kerberos o certificados
Generación de claves criptográficas y mensajes cifrados
Se realiza una vez cada ocho horas de forma predeterminada y se puede configurar
El cambio de claves de la sesión es rápido:< entre uno y dos segundos, dos recorridos de ida y vuelta, una vez cada hora y se puede configurar
Cifrado de paquetes
¿Cómo se puede mejorar?
Al descargar el proceso criptográfico en NIC, IPSec casi alcanza la velocidad de los dispositivos con cable
Mediante CPU más rápidas
Recomendaciones
Planee minuciosamente la implementación de IPSec
Elija entre AH y ESP
Utilice directivas de grupo para implementar directivas IPSec
Considere el uso de NIC de IPSec
No utilice nunca la autenticación con claves compartidas fuera de un entorno de prueba
Elija entre la autenticación basada en Kerberos o en certificados
Tenga cuidado al requerir el uso de IPSec para las comunicaciones con controladores de dominio y otros servidores de infraestructuras
Demostración 4IPSec Configuración y pruebas de una directiva IPSec sencillaConfiguración y pruebas de un filtro de paquetes IPSec
Resumen de la sesión
Introducción a la defensa en profundidad
Uso de defensas en el perímetro
Uso de ISA Server para proteger los perímetros
Uso de Firewall de Windows para proteger a los clientes
Protección de redes inalámbricas
Protección de redes mediante IPSec
Pasos siguientes
Mantenerse informado sobre seguridad
Suscribirse a boletines de seguridad:
http://www.microsoft.com/latam/technet/seguridad/boletines.asp
Obtener las directrices de seguridad de Microsoft más recientes:
http://www.microsoft.com/latam/technet/seguridad/
Obtener aprendizaje adicional de seguridad
Buscar seminarios de aprendizaje en línea y presenciales:
http://www.microsoft.com/latam/technet/evento/default.asp
Buscar un CTEC local que ofrezca cursos prácticos:
http://www.microsoft.com/mspress/latam/default.htm
Para obtener más información
Sitio de seguridad de Microsoft (todos los usuarios)
http://www.microsoft.com/latam/seguridad
Sitio de seguridad de TechNet (profesionales de IT)
http://www.microsoft.com/latam/technet/seguridad/default.asp
Sitio de seguridad de MSDN (desarrolladores)
http://msdn.microsoft.com/security (este sitio está en inglés)
Página anterior | Volver al principio del trabajo | Página siguiente |