implementando la seguridad perimetral y de red rafael vázquez consultor senior secdor r&d
TRANSCRIPT
Implementando la Implementando la Seguridad Perimetral y Seguridad Perimetral y de Redde Red
RafaelRafael Vázquez Vázquez
Consultor SeniorConsultor Senior
Secdor R&DSecdor R&D
ConocimientosConocimientos imprescindiblesimprescindibles
DescripciónDescripción dede loslos fundamentosfundamentos dede seguridadseguridad dede unauna redred
Experiencia práctica con Experiencia práctica con Windows® Server 2000 o Windows® Server 2000 o Windows Server™ 2003Windows Server™ 2003
Experiencia con las herramientas de Experiencia con las herramientas de administración de Windowsadministración de Windows
NivelNivel 300300
OrdenOrden deldel díadía
IntroducciónIntroducción Uso de defensas en el perímetroUso de defensas en el perímetro Uso de Microsoft® Internet Security Uso de Microsoft® Internet Security
and Acceleration (ISA) Server para and Acceleration (ISA) Server para proteger los perímetrosproteger los perímetros
Uso del cortafuegos de Windows para Uso del cortafuegos de Windows para proteger a los clientesproteger a los clientes
Protección de redes inalámbricasProtección de redes inalámbricas Protección de comunicaciones Protección de comunicaciones
mediante IPSecmediante IPSec
DefensaDefensa enen profundidadprofundidad ElEl usouso dede unauna soluciónsolución enen niveles:niveles:
Aumenta la posibilidad de que se detecten los Aumenta la posibilidad de que se detecten los intrusosintrusos
Disminuye la posibilidad de que los intrusos Disminuye la posibilidad de que los intrusos logren su propósitologren su propósito
Directivas, procedimientos y concienciación
Directivas, procedimientos y concienciación
RefuerzoRefuerzo deldel sistemasistema operativo,operativo, administraciónadministración dede actualizaciones,actualizaciones, autenticación,autenticación, HIDSHIDS
ServidoresServidores dede seguridad,seguridad, sistemassistemas dede cuarentenacuarentena enen VPNVPNGuardiasGuardias dede seguridad,seguridad, bloqueos,bloqueos, dispositivosdispositivos dede seguimientoseguimiento
SegmentosSegmentos dede red,red, IPSec,IPSec, NIDSNIDS
RefuerzoRefuerzo dede laslas aplicaciones,aplicaciones, antivirusantivirus
ACL,ACL, cifradocifrado
ProgramasProgramas dede aprendizajeaprendizaje parapara loslos usuariosusuarios
Seguridad físicaSeguridad física
PerimetralPerimetral
Red internaRed interna
HostHost
AplicaciónAplicación
DatosDatos
PropósitoPropósito yy limitacioneslimitaciones dede laslas defensasdefensas dede perímetroperímetro LosLos servidoresservidores dede seguridadseguridad yy enrutadoresenrutadores dede
bordeborde configuradosconfigurados correctamentecorrectamente constituyenconstituyen lala piedrapiedra angularangular dede lala seguridadseguridad deldel perímetroperímetro
Internet y la movilidad aumentan los riesgos de Internet y la movilidad aumentan los riesgos de seguridadseguridad
Las redes VPN han debilitado el perímetro y, Las redes VPN han debilitado el perímetro y, junto con las redes inalámbricas, han junto con las redes inalámbricas, han ocasionado, esencialmente, la desaparición del ocasionado, esencialmente, la desaparición del concepto tradicional de perímetro de redconcepto tradicional de perímetro de red
Los servidores de seguridad tradicionales con Los servidores de seguridad tradicionales con filtrado de paquetes sólo bloquean los puertos filtrado de paquetes sólo bloquean los puertos de red y las direcciones de los equiposde red y las direcciones de los equipos
En la actualidad, la mayor parte de los ataques En la actualidad, la mayor parte de los ataques se producen en el nivel de aplicaciónse producen en el nivel de aplicación
PropósitoPropósito yy limitacioneslimitaciones dede laslas defensasdefensas dede loslos clientesclientes LasLas defensasdefensas dede loslos clientesclientes bloqueanbloquean loslos ataquesataques queque
omitenomiten laslas defensasdefensas deldel perímetroperímetro oo queque sese originanoriginan enen lala redred internainterna
Las defensas de los clientes incluyen, entre otras:Las defensas de los clientes incluyen, entre otras: Refuerzo de la seguridad del sistema operativoRefuerzo de la seguridad del sistema operativo Programas antivirusProgramas antivirus Servidores de seguridad personalesServidores de seguridad personales
Las defensas de los clientes requieren que se Las defensas de los clientes requieren que se configuren muchos equiposconfiguren muchos equipos
En entornos no administrados, los usuarios pueden En entornos no administrados, los usuarios pueden omitir las defensas de los clientesomitir las defensas de los clientes
PropósitoPropósito yy limitacioneslimitaciones dede lala deteccióndetección dede intrusosintrusos
DetectaDetecta elel modelomodelo dede ataquesataques comunes,comunes, registraregistra elel tráficotráfico sospechososospechoso enen registrosregistros dede sucesossucesos y/oy/o alertaalerta aa loslos administradoresadministradores
Las amenazas y puntos vulnerables Las amenazas y puntos vulnerables evolucionan constantemente, lo que deja evolucionan constantemente, lo que deja a los sistemas en una situación a los sistemas en una situación vulnerable hasta que se conoce un vulnerable hasta que se conoce un ataque nuevo y se crea y distribuye una ataque nuevo y se crea y distribuye una nueva firmanueva firma
ObjetivosObjetivos dede seguridadseguridad enen unauna redred
DefensaDefensa deldel perímetroperímetro
DefensaDefensa dede loslos clientesclientes
DetecciónDetección dede intrusosintrusos
ControlControl dede accesoacceso aa lala redred
ConfidencialidadConfidencialidad AccesoAccesoremotoremoto seguroseguro
ServidorServidor ISAISA
FirewallFirewall dede WindowsWindows
802.1x802.1x // WPAWPA
IPSecIPSec
OrdenOrden deldel díadía
IntroducciónIntroducción Uso de defensas en el perímetroUso de defensas en el perímetro Uso de ISA Server para proteger los Uso de ISA Server para proteger los
perímetrosperímetros Uso del cortafuegos de Windows para Uso del cortafuegos de Windows para
proteger a los clientesproteger a los clientes Protección de redes inalámbricasProtección de redes inalámbricas Protección de comunicaciones Protección de comunicaciones
mediante IPSecmediante IPSec
InformaciónInformación generalgeneral sobresobre laslas conexionesconexiones dede perímetroperímetro
Internet Sucursales Socios comerciales Usuarios remotos Redes inalámbricas Aplicaciones de Internet
Los perímetros de red incluyen conexiones a:
Socio comercial
LAN
Oficina principal
LAN
Sucursal
LAN
Red inalámbrica
Usuario remoto
Internet
DiseñoDiseño deldel servidorservidor dede seguridad:seguridad: dede tripletriple interfazinterfaz
Subred protegidaInternet
LAN
Servidor de seguridad
DiseñoDiseño deldel servidorservidor dede seguridad:seguridad: dede tipotipo opuestoopuesto concon opuestoopuesto oo sándwichsándwich
Internet
ExternaServidor de seguridad
LANInternaServidor de seguridad
Subred protegida
Tráfico peligroso que atraviesa los puertos abiertos y no es inspeccionado en el nivel de aplicación por el servidor de seguridad
Tráfico que atraviesa un túnel o sesión cifradosTráfico que atraviesa un túnel o sesión cifrados Ataques que se producen una vez que se ha
entrado en una red Tráfico que parece legítimo Usuarios y administradores que intencionada o
accidentalmente instalan virus Administradores que utilizan contraseñas poco
seguras
ContraContra quéqué NONO protegenprotegen loslos servidoresservidores dede seguridadseguridad
ServidoresServidores dede seguridadseguridad dede softwaresoftware yy dede hardwarehardware
Factores de decisión Descripción
FlexibilidadLa actualización de las vulnerabilidades y revisiones más recientes suele ser más fácil con servidores de seguridad basados en software.
Extensibilidad Muchos servidores de seguridad de hardware sólo permiten una capacidad de personalización limitada.
Elección de proveedores
Los servidores de seguridad de software permiten elegir entre hardware para una amplia variedad de necesidades y no se depende de un único proveedor para obtener hardware adicional.
Costo
El precio de compra inicial para los servidores de seguridad de hardware podría ser inferior. Los servidores de seguridad de software se benefician del menor costo de las CPU. El hardware se puede actualizar fácilmente y el hardware antiguo se puede reutilizar.
Complejidad Los servidores de seguridad de hardware suelen ser menos complejos.
Disponibilidad global
El factor de decisión más importante es si un servidor de seguridad puede realizar las tareas necesarias. Con frecuencia, la diferencia entre los servidores de hardware y de software no resulta clara.
TiposTipos dede funcionesfunciones dede loslos servidoresservidores dede seguridadseguridad FiltradoFiltrado dede paquetespaquetes Inspección de estadoInspección de estado Inspección del nivel de aplicaciónInspección del nivel de aplicación
InspecciónInspección multinivelmultinivel(Incluido el filtrado del nivel de aplicación)(Incluido el filtrado del nivel de aplicación)
InternetInternet
OrdenOrden deldel díadía
IntroducciónIntroducción Uso de defensas en el perímetroUso de defensas en el perímetro Uso de ISA Server para proteger los Uso de ISA Server para proteger los
perímetrosperímetros Uso del cortafuegos de Windows para Uso del cortafuegos de Windows para
proteger a los clientesproteger a los clientes Protección de redes inalámbricasProtección de redes inalámbricas Protección de comunicaciones mediante Protección de comunicaciones mediante
IPSecIPSec
Análisis de la información de un Análisis de la información de un paquetepaquete Actualmente - la mayoría de los cortafuegos comprueban Actualmente - la mayoría de los cortafuegos comprueban
solamente la información básica del paquete solamente la información básica del paquete Equivalente en el mundo real a mirar el número y el destino de un Equivalente en el mundo real a mirar el número y el destino de un
autobús - y de no mirar a los pasajerosautobús - y de no mirar a los pasajeros
Asunciones Fundamentales N3/N4Asunciones Fundamentales N3/N4
Confiamos en que el tráfico sobre un puerto es lo que Confiamos en que el tráfico sobre un puerto es lo que pensamos que debe ser (TCP80==HTTP)pensamos que debe ser (TCP80==HTTP)
Confiamos implícitamente que el tráfico que atraviesa Confiamos implícitamente que el tráfico que atraviesa está limpio (obviamos la revisión de este)está limpio (obviamos la revisión de este)
No utilizamos estos dispositivos para protegernos de No utilizamos estos dispositivos para protegernos de las redes internas, ya que confiamos en nuestros las redes internas, ya que confiamos en nuestros usuariosusuarios
El usuario de la máquina 1.2.3.4 debe ser el único que El usuario de la máquina 1.2.3.4 debe ser el único que siempre utiliza la misma máquinasiempre utiliza la misma máquina
TCP 80 está casi siempre abierto para todo – Es el TCP 80 está casi siempre abierto para todo – Es el protocolo universal que hace de puente y evita el protocolo universal que hace de puente y evita el cortafuegocortafuego
La mayoría de estos errores dan lugar a una brecha de La mayoría de estos errores dan lugar a una brecha de seguridad de la cual se responsabiliza generalmente al seguridad de la cual se responsabiliza generalmente al S.O., o a las aplicaciones – pero su origen puede ser la S.O., o a las aplicaciones – pero su origen puede ser la redred
ObjetivosObjetivos dede seguridadseguridad enen unauna redred
DefensaDefensa deldel perímetroperímetro
DefensaDefensa dede loslos clientesclientes
DetecciónDetección dede intrusosintrusos
ControlControl dede accesoacceso aa lala redred
ConfidencialidadConfidencialidad AccesoAccesoremotoremoto seguroseguro
ServidorServidor ISAISA
**
FirewallFirewall dede WindowsWindows
802.1x802.1x // WPAWPA
IPSecIPSec
** DetecciónDetección básicabásica dede intrusos,intrusos, queque sese amplíaamplía graciasgracias alal trabajotrabajo dede loslos asociadosasociados
ProtecciónProtección dede loslos perímetrosperímetros ISAISA ServerServer tienetiene completascompletas capacidadescapacidades
dede filtrado:filtrado: Filtrado de paquetesFiltrado de paquetes Inspección de estadoInspección de estado Inspección del nivel de aplicaciónInspección del nivel de aplicación
ISA Server bloquea todo el tráfico de red a ISA Server bloquea todo el tráfico de red a menos que usted lo permitamenos que usted lo permita
ISA Server permite establecer conexiones ISA Server permite establecer conexiones VPN segurasVPN seguras
ISA Server tiene las certificaciones ICSA y ISA Server tiene las certificaciones ICSA y Common CriteriaCommon Criteria
DMZs en ISA ServerDMZs en ISA Server
ISA Server las llama “redes ISA Server las llama “redes perimetrales”perimetrales”
TiposTipos Opuesto – con – opuesto (DMZ regular)Opuesto – con – opuesto (DMZ regular) Triple Interfaz (Subred apantallada)Triple Interfaz (Subred apantallada) Tercera opción interesante no Tercera opción interesante no
documentadadocumentada Bastante fácil de elegirBastante fácil de elegir
Pero primero …Pero primero …
Interfaces de RedInterfaces de Red
Dos tiposDos tipos InternaInterna ExternaExterna
Dos tipos de externaDos tipos de externa Interfaz-InternetInterfaz-Internet DMZDMZ
Interfaces InternasInterfaces Internas
Puede tener más de unaPuede tener más de una Definida por la LATDefinida por la LAT
Cualquier interfaz cuya dirección IP está en la Cualquier interfaz cuya dirección IP está en la LAT es una interfaz internaLAT es una interfaz interna
Interfaces externaInterfaces externa
Interfaz-InternetInterfaz-Internet Puede tener sólo unaPuede tener sólo una Debe ser la fronteraDebe ser la frontera Sólo una interfaz con una puerta de enlace Sólo una interfaz con una puerta de enlace
por defectopor defecto Está conectada a InternetEstá conectada a Internet Más de una no está suportada y no trabajaMás de una no está suportada y no trabaja
DMZDMZ El resto de las interfaces en el ordenadorEl resto de las interfaces en el ordenador
No incluida en la LAT, no conectada a InternetNo incluida en la LAT, no conectada a Internet
Comportamiento del tráficoComportamiento del tráfico
InternetInternet
DMZDMZ LANLAN
publicación de servidorespublicación de servidores publicación de webpublicación de web NATNAT inspección de aplicacióninspección de aplicación
filtrado de paquetesfiltrado de paquetes enrutamientoenrutamiento
publicación de publicación de servidoresservidores publicación de webpublicación de web
NATNAT inspección de aplicacióninspección de aplicación
Diseño apropiadoDiseño apropiado
Servidores ISA opuesto-con-opuestoServidores ISA opuesto-con-opuesto LATsLATs
Externo: rango(s) de direcciones IP de la Externo: rango(s) de direcciones IP de la red de la DMZred de la DMZ
Interno: rango(s) de direcciones IP de la Interno: rango(s) de direcciones IP de la red corporativared corporativa
Alcanza a inspeccionar todoAlcanza a inspeccionar todo Internet a DMZInternet a DMZ DMZ a red corporativaDMZ a red corporativa
Diseño SubóptimoDiseño Subóptimo
El tráfico entrante y saliente de la DMZ no El tráfico entrante y saliente de la DMZ no está bien protegidoestá bien protegido El filtrado de paquetes es igual al de cualquier El filtrado de paquetes es igual al de cualquier
otro cortafuegosotro cortafuegos No reconoce lo protocolos de aplicacionesNo reconoce lo protocolos de aplicaciones No puede inspeccionar para cumplir con las No puede inspeccionar para cumplir con las
reglasreglas No utiliza filtros de Web o aplicacionesNo utiliza filtros de Web o aplicaciones
Recomendación —Recomendación — No utilice diseños de triple interfazNo utilice diseños de triple interfaz Si lo utiliza descargue la seguridad sobre los Si lo utiliza descargue la seguridad sobre los
propios servicios de la DMZpropios servicios de la DMZ
Publicación opuesto-con-opuestoPublicación opuesto-con-opuesto
En la DMZEn la DMZ Método de publicación normalMétodo de publicación normal
En la red corporativaEn la red corporativa Publicación de recursos sobre el servidor Publicación de recursos sobre el servidor
ISA internoISA interno Publicación del servidor ISA interno sobre Publicación del servidor ISA interno sobre
el servidor ISA externoel servidor ISA externo Usar tarjetas SSL para HTTPSUsar tarjetas SSL para HTTPS
http://www.microsoft.com/isaserver/http://www.microsoft.com/isaserver/partners/ssl.asppartners/ssl.asp
AEP Crypto — ¡rápido y barato!AEP Crypto — ¡rápido y barato!
Alternativa InteresanteAlternativa Interesante
Diseño de triple interfacesDiseño de triple interfaces No interfaz de “DMZ”No interfaz de “DMZ” Dos interfaces internasDos interfaces internas
Inspección de aplicaciones entre Internet Inspección de aplicaciones entre Internet y todas las interfaces internasy todas las interfaces internas
Necesidad de proteger la comunicación a Necesidad de proteger la comunicación a través de las interfaces — ¿Cómo?través de las interfaces — ¿Cómo?
Bueno para presupuestos limitadosBueno para presupuestos limitados
Alternativa interesanteAlternativa interesante
InternetInternet
interna 1interna 1
Subred Subred apantalladaapantallada
interna 2interna 2
Red Red corporativacorporativa
RRAS filtros de paquetesRRAS filtros de paquetes
publicación de servidorespublicación de servidores publicación de Webpublicación de Web NATNAT inspección de aplicacióninspección de aplicación
publicación de servidorespublicación de servidores publicación de Webpublicación de Web NATNAT inspección de aplicacióninspección de aplicación
ProtecciónProtección dede loslos clientesclientes
Método Descripción
Funciones de proxy
Procesa todas las solicitudes para los clientes y nunca permite las conexiones directas.
Clientes admitidos
Se admiten todos los clientes sin software especial. La instalación del software de servidor de seguridad ISA en clientes Windows permite utilizar más funciones.
Reglas Las reglas de protocolo, reglas de sitio y contenido, y reglas de publicación determinan si se permite el acceso.
Complementos
El precio de compra inicial para los servidores de seguridad de hardware podría ser inferior. Los servidores de seguridad de software se benefician del menor costo de las CPU. El hardware se puede actualizar fácilmente y el hardware antiguo se puede reutilizar.
ProtecciónProtección dede loslos servidoresservidores WebWeb
ReglasReglas dede publicaciónpublicación enen WebWeb Para proteger de ataques externos a los Para proteger de ataques externos a los
servidores Web que se encuentran detrás de los servidores Web que se encuentran detrás de los servidores de seguridad, inspeccione el tráfico servidores de seguridad, inspeccione el tráfico HTTP y compruebe que su formato es apropiado y HTTP y compruebe que su formato es apropiado y cumple los estándarescumple los estándares
Inspección del tráfico SSLInspección del tráfico SSL Descifra e inspecciona las solicitudes Web Descifra e inspecciona las solicitudes Web
entrantes cifradas para comprobar que su formato entrantes cifradas para comprobar que su formato es apropiado y que cumple los estándareses apropiado y que cumple los estándares
Si se desea, volverá a cifrar el tráfico antes de Si se desea, volverá a cifrar el tráfico antes de enviarlo al servidor Webenviarlo al servidor Web
URLScanURLScan ElEl paquetepaquete dede característicascaracterísticas 11 dede ISAISA ServerServer
incluyeincluye URLScanURLScan 2.52.5 parapara ISAISA ServerServer Permite que el filtro ISAPI de URLScan se Permite que el filtro ISAPI de URLScan se
aplique al perímetro de la redaplique al perímetro de la red Se produce un bloqueo general en todos los Se produce un bloqueo general en todos los
servidores Web que se encuentran detrás del servidores Web que se encuentran detrás del servidor de seguridadservidor de seguridad
Se bloquean en el perímetro los ataques Se bloquean en el perímetro los ataques conocidos y los descubiertos recientementeconocidos y los descubiertos recientemente
Servidor Web 1
ISA Server
Servidor Web 2
Servidor Web 3
ProtecciónProtección dede ExchangeExchange ServerServer
Método Descripción
Asistente para publicación de correo
Configura reglas de ISA Server con el fin de publicar servicios de correo interno para usuarios externos de forma segura
Message Screener
Filtra los mensajes de correo electrónico SMTP que entran en la red interna
Publicación RPC Protege el acceso del protocolo nativo de los clientes Microsoft Outlook®
Publicación OWA
Proporciona protección del servidor de solicitudes de cliente OWA para los usuarios remotos de Outlook que tienen acceso a Microsoft Exchange Server sin una VPN a través de redes que no son de confianza
DemostraciónDemostración 11InspecciónInspección deldel nivelnivel dede aplicaciónaplicación
enen ISAISA ServerServer
PublicaciónPublicación enen WebWebURLScanURLScan
MessageMessage ScreenerScreener
TráficoTráfico queque omiteomite lala inspeccióninspección dede loslos servidoresservidores dede seguridadseguridad
LosLos túnelestúneles SSLSSL atraviesanatraviesan loslos servidoresservidores dede seguridadseguridad tradicionalestradicionales porqueporque esteeste tipotipo dede tráficotráfico estáestá cifrado,cifrado, lolo queque permitepermite aa loslos virusvirus yy gusanosgusanos pasarpasar sinsin serser detectadosdetectados ee infectarinfectar loslos servidoresservidores internosinternos
El tráfico VPN se cifra y no se puede El tráfico VPN se cifra y no se puede inspeccionarinspeccionar
El tráfico de Instant Messenger (IM) no se El tráfico de Instant Messenger (IM) no se suele inspeccionar y podría utilizarse para suele inspeccionar y podría utilizarse para transferir archivostransferir archivos
InspecciónInspección dede todotodo elel tráficotráfico
UtiliceUtilice sistemassistemas dede deteccióndetección dede intrusosintrusos yy otrosotros mecanismosmecanismos parapara inspeccionarinspeccionar elel tráficotráfico VPNVPN unauna vezvez descifradodescifrado Recuerde: defensa en profundidadRecuerde: defensa en profundidad
Utilice un servidor de seguridad que pueda Utilice un servidor de seguridad que pueda inspeccionar el tráfico SSLinspeccionar el tráfico SSL
Expanda las capacidades de inspección del Expanda las capacidades de inspección del servidor de seguridadservidor de seguridad Utilice complementos para el servidor de seguridad Utilice complementos para el servidor de seguridad
que permitan inspeccionar el tráfico de IMque permitan inspeccionar el tráfico de IM
InspecciónInspección dede SSLSSL
LosLos túnelestúneles SSLSSL atraviesanatraviesan loslos servidoresservidores dede seguridadseguridad tradicionalestradicionales porqueporque esteeste tipotipo dede tráficotráfico estáestá cifrado,cifrado, lolo queque permitepermite aa loslos virusvirus yy gusanosgusanos pasarpasar sinsin serser detectadosdetectados ee infectarinfectar loslos servidoresservidores internosinternos
ISA Server puede descifrar e inspeccionar el ISA Server puede descifrar e inspeccionar el tráfico SSL. El tráfico inspeccionado se puede tráfico SSL. El tráfico inspeccionado se puede enviar al servidor interno sin cifrar o cifrado de enviar al servidor interno sin cifrar o cifrado de nuevonuevo
DemostraciónDemostración 22InspecciónInspección dede SSLSSL enen ISAISA ServerServer
RefuerzoRefuerzo dede lala seguridadseguridad dede ISAISA ServerServer
RefuerzoRefuerzo dede lala pilapila dede redred Deshabilite los protocolos de red Deshabilite los protocolos de red
innecesarios en la interfaz de red externa:innecesarios en la interfaz de red externa: Cliente para redes MicrosoftCliente para redes Microsoft Compartir impresoras y archivos para redes Compartir impresoras y archivos para redes
MicrosoftMicrosoft NetBIOS sobre TCP/IPNetBIOS sobre TCP/IP
Ampliando la plataformaAmpliando la plataforma
Ubicamos los Cortafuegos en diferentes localizaciones por Ubicamos los Cortafuegos en diferentes localizaciones por diversas razones. Se debe comprender las necesidades y diversas razones. Se debe comprender las necesidades y establecer los filtros en concordancia.establecer los filtros en concordancia.
Amplíe la funcionalidad básica con filtros de protocolos que Amplíe la funcionalidad básica con filtros de protocolos que cubran su escenario específicocubran su escenario específico
Ningún dispositivo será siempre la solución perfecta; las Ningún dispositivo será siempre la solución perfecta; las soluciones son más importantes que los dispositivossoluciones son más importantes que los dispositivos
Una visión para una Red SeguraUna visión para una Red Segura
Internet
Enrutadores Redundantes
Cortafuegos ISA
VLAN
VLAN
DC + Infrastructure
NIC teams/2 switches
VLAN
Front-end
VLAN
Backend
Detección de Intrusión
Priemr nivel de Cortafuegos
Filtros URL para OWATerminación RPC para Outlook
La implementación de uno o más Switches VLANs controlan el tráfico Inter-VLAN como lo hacen los cortafuegos – Las VLANs no están a prueba de bala (pero tampoco son servidores)Se permite o bloquea el tráfico basado en los requisitos de uso de las aplicaciones, los filtros entienden y hacen cumplir estos requisitos
..
Detección de IntrusiónDetección de Intrusión
RecomendacionesRecomendaciones UtiliceUtilice reglasreglas dede accesoacceso queque únicamenteúnicamente
permitanpermitan laslas solicitudessolicitudes queque sese admitanadmitan dede formaforma específicaespecífica
Utilice las capacidades de autenticación Utilice las capacidades de autenticación de ISA Server para restringir y registrar de ISA Server para restringir y registrar el acceso a Internetel acceso a Internet
Configure reglas de publicación en Web Configure reglas de publicación en Web para conjuntos de destinos específicospara conjuntos de destinos específicos
Utilice la inspección de SSL para Utilice la inspección de SSL para inspeccionar los datos cifrados que inspeccionar los datos cifrados que entren en la redentren en la red
OrdenOrden deldel díadía
IntroducciónIntroducción Uso de defensas en el perímetroUso de defensas en el perímetro Uso de ISA Server para proteger los Uso de ISA Server para proteger los
perímetrosperímetros Uso del cortafuegos de Windows Uso del cortafuegos de Windows
para proteger a los clientespara proteger a los clientes Protección de redes inalámbricasProtección de redes inalámbricas Protección de comunicaciones Protección de comunicaciones
mediante IPSecmediante IPSec
ObjetivosObjetivos dede seguridadseguridad enen unauna redred
DefensaDefensa deldel perímetroperímetro
DefensaDefensa dede loslos clientesclientes
DetecciónDetección dede intrusosintrusos
ControlControl dede accesoacceso aa lala redred
ConfidencialidadConfidencialidad AccesoAccesoremotoremoto seguroseguro
ServidorServidor ISAISA
FirewallFirewall dede WindowsWindows
802.1x802.1x // WPAWPA
IPSecIPSec
InformaciónInformación generalgeneral sobresobre el el cortafuegos decortafuegos de WindowsWindows
CortafuegosCortafuegos dede WindowsWindows enen MicrosoftMicrosoft WindowsWindows XPXP yy MicrosoftMicrosoft WindowsWindows ServerServer 20032003
AyudaAyuda aa detenerdetener loslos ataquesataques basadosbasados enen lala red,red, comocomo Blaster,Blaster, alal bloquearbloquear todotodo elel tráficotráfico entranteentrante nono solicitadosolicitado
LosLos puertospuertos sese puedenpueden abrirabrir parapara loslos serviciosservicios queque sese ejecutanejecutan enen elel equipoequipo
La administración corporativa se realiza La administración corporativa se realiza a través de directivas de grupoa través de directivas de grupo
QuéQué eses
QuéQué hacehace
CaracterísticasCaracterísticas principalesprincipales
SeSe puedepuede habilitar:habilitar: Al activar una Al activar una
casilla de casilla de verificaciónverificación
Con el Asistente Con el Asistente para configuración para configuración de redde red
Con el Asistente Con el Asistente para conexión para conexión nuevanueva
Se habilita de forma Se habilita de forma independiente en independiente en cada conexión de redcada conexión de red
HabilitarHabilitar el cortafuegosel cortafuegos dede WindowsWindows
ServiciosServicios dede redred Aplicaciones basadas Aplicaciones basadas
en Weben Web
ConfiguraciónConfiguración avanzadaavanzada deldel cortafuegoscortafuegos dede WindowsWindows
OpcionesOpciones dede registroregistro
Opciones del Opciones del archivo de registroarchivo de registro
RegistroRegistro dede seguridadseguridad del del cortafuegos de Windowscortafuegos de Windows
CortafuegosCortafuegos dede WindowsWindows enen lala compañíacompañía ConfigureConfigure el cortafuegosel cortafuegos dede WindowsWindows
mediantemediante directivasdirectivas dede grupogrupo Combine el cortafuegos de Windows con Combine el cortafuegos de Windows con
Control de cuarentena de acceso a la redControl de cuarentena de acceso a la red
UtiliceUtilice el cortafuegosel cortafuegos dede WindowsWindows enen laslas oficinasoficinas domésticasdomésticas yy enen laslas pequeñaspequeñas compañíascompañías concon elel finfin dede proporcionarproporcionar protecciónprotección aa loslos equiposequipos queque esténestén conectadosconectados directamentedirectamente aa InternetInternet
No active el cortafuegos de Windows en una No active el cortafuegos de Windows en una conexión VPN (aunque debe habilitarlo en la conexión VPN (aunque debe habilitarlo en la conexión LAN o de acceso telefónico conexión LAN o de acceso telefónico subyacente)subyacente)
Configure las definiciones de servicio para cada Configure las definiciones de servicio para cada conexión de cortafuegos de Windows a través conexión de cortafuegos de Windows a través de la que desee que funcione el serviciode la que desee que funcione el servicio
Establezca el tamaño del registro de seguridad Establezca el tamaño del registro de seguridad en 16 megabytes para impedir el en 16 megabytes para impedir el desbordamiento que podrían ocasionar los desbordamiento que podrían ocasionar los ataques de denegación de servicioataques de denegación de servicio
RecomendacionesRecomendaciones
DemostraciónDemostración 33Cortafuegos deCortafuegos de WindowsWindows
ConfiguraciónConfiguración manualmanual PruebaPrueba
RevisiónRevisión dede loslos archivosarchivos dede registroregistro ConfiguraciónConfiguración dede directivasdirectivas dede grupogrupo
OrdenOrden deldel díadía
IntroducciónIntroducción Uso de defensas en el perímetroUso de defensas en el perímetro Uso de ISA Server para proteger los Uso de ISA Server para proteger los
perímetrosperímetros Uso de Firewall de Windows para proteger Uso de Firewall de Windows para proteger
a los clientesa los clientes Protección de redes inalámbricasProtección de redes inalámbricas Protección de comunicaciones mediante Protección de comunicaciones mediante
IPSecIPSec
ObjetivosObjetivos dede seguridadseguridad enen unauna redred
DefensaDefensa deldel perímetroperímetro
DefensaDefensa dede loslos clientesclientes
DetecciónDetección dede intrusosintrusos
ControlControl dede accesoacceso aa lala redred
ConfidencialidadConfidencialidad AccesoAccesoremotoremoto seguroseguro
ServidorServidor ISAISA
FirewallFirewall dede WindowsWindows
802.1x802.1x // WPAWPA
IPSecIPSec
LimitacionesLimitaciones dede WiredWired EquivalentEquivalent PrivacyPrivacy (WEP)(WEP) Las claves WEP estáticas no se cambian de Las claves WEP estáticas no se cambian de
forma dinámica y, por lo tanto, son forma dinámica y, por lo tanto, son vulnerables a los ataquesvulnerables a los ataques
No hay un método estándar para proporcionar No hay un método estándar para proporcionar claves WEP estáticas a los clientesclaves WEP estáticas a los clientes
Escalabilidad: el compromiso de una clave Escalabilidad: el compromiso de una clave WEP estática expone a todos los usuariosWEP estática expone a todos los usuarios
Limitaciones del filtrado de direcciones Limitaciones del filtrado de direcciones MACMAC Un intruso podría suplantar una dirección Un intruso podría suplantar una dirección
MAC permitidaMAC permitida
AspectosAspectos dede seguridadseguridad enen dispositivosdispositivos inalámbricosinalámbricos
AutenticaciónAutenticación dede nivelnivel 22 basadabasada enen contraseñascontraseñas PEAP/MSCHAP v2 de IEEE 802.1xPEAP/MSCHAP v2 de IEEE 802.1x
Autenticación de nivel 2 basada en certificadosAutenticación de nivel 2 basada en certificados EAP-TLS de IEEE 802.1xEAP-TLS de IEEE 802.1x
Otras opcionesOtras opciones Conexiones VPNConexiones VPN
L2TP/IPsec (la solución preferida) o PPTPL2TP/IPsec (la solución preferida) o PPTP No permite usuarios móvilesNo permite usuarios móviles Resulta útil cuando se utilizan zonas interactivas Resulta útil cuando se utilizan zonas interactivas
inalámbricas públicasinalámbricas públicas No se produce la autenticación de los equipos ni se No se produce la autenticación de los equipos ni se
procesa la configuración establecida en directivas de procesa la configuración establecida en directivas de grupogrupo
IPSecIPSec Problemas de interoperabilidadProblemas de interoperabilidad
PosiblesPosibles solucionessoluciones
Tipo de seguridad de WLAN
Nivel de seguridad
Facilidad de implementación
Facilidad de uso e
integración
WEPWEP estáticoestático BajoBajo AltaAlta AltosAltos
PEAPPEAP dede IEEEIEEE 802.1X802.1X AltoAlto MediaMedia AltosAltos
TLSTLS dede IEEEIEEE 802.1x802.1x AltoAlto BajaBaja AltosAltos
VPNVPN AltoAlto (L2TP/IPSec)(L2TP/IPSec) MediaMedia BajosBajos
IPSecIPSec AltoAlto BajaBaja BajosBajos
ComparacionesComparaciones dede lala seguridadseguridad dede WLANWLAN
DefineDefine unun mecanismomecanismo dede controlcontrol dede accesoacceso basadobasado enen puertospuertos Funciona en cualquier tipo de red, tanto Funciona en cualquier tipo de red, tanto
inalámbrica como con cablesinalámbrica como con cables No hay ningún requisito especial en cuanto a No hay ningún requisito especial en cuanto a
claves de cifradoclaves de cifrado
Permite elegir los métodos de autenticación Permite elegir los métodos de autenticación con EAPcon EAP Es la opción elegida por los elementos del mismo Es la opción elegida por los elementos del mismo
nivel en el momento de la autenticaciónnivel en el momento de la autenticación El punto de acceso no tiene que preocuparse de El punto de acceso no tiene que preocuparse de
los métodos de EAPlos métodos de EAP
Administra las claves de forma automáticaAdministra las claves de forma automática No es necesario programar previamente las No es necesario programar previamente las
claves de cifrado para la red inalámbricaclaves de cifrado para la red inalámbrica
802.1x802.1x
EthernetEthernet
PuntoPunto dede accesoacceso
ServidorServidor RADIUSRADIUS
InicioInicio dede EAPOLEAPOL
IdentidadIdentidad dede respuestarespuesta dede EAPEAP
DesafíoDesafío dede accesoacceso dede RADIUSRADIUS
RespuestaRespuesta dede EAP EAP (credenciales)(credenciales)
AccesoAcceso bloqueadobloqueado
AsociaciónAsociación
AceptaciónAceptación dede accesoacceso dede RADIUSRADIUS
IdentidadIdentidad dede solicitudsolicitud dede EAPEAP
SolicitudSolicitud dede EAPEAP
SolicitudSolicitud dede accesoacceso dede RADIUSRADIUS
SolicitudSolicitud dede accesoacceso dede RADIUSRADIUS
RADIUSRADIUS
EquipoEquipo portátilportátil
InalámbricoInalámbrico
802.11802.11AsociadoAsociado 802.11802.11
ÉxitoÉxito dede EAPEAP
AccesoAcceso permitidopermitidoClaveClave dede EAPOLEAPOL (clave)(clave)
802.1x802.1x enen 802.11802.11
RequisitosRequisitos deldel sistemasistema parapara 802.1x802.1x Cliente:Cliente: WindowsWindows XPXP Servidor: IAS de Windows Server 2003Servidor: IAS de Windows Server 2003
Servicio de autenticación Internet: nuestro Servicio de autenticación Internet: nuestro servidor RADIUSservidor RADIUS
Certificado en el equipo IASCertificado en el equipo IAS 802.1x en Windows 2000802.1x en Windows 2000
El cliente e IAS deben tener SP3El cliente e IAS deben tener SP3 Vea el artículo 313664 de KBVea el artículo 313664 de KB No se admite la configuración rápida No se admite la configuración rápida
en el clienteen el cliente Sólo se admiten EAP-TLS y MS-CHAPv2Sólo se admiten EAP-TLS y MS-CHAPv2
Es posible que los futuros métodos de EAP en Es posible que los futuros métodos de EAP en Windows XP y Windows Server 2003 no se Windows XP y Windows Server 2003 no se puedan utilizarpuedan utilizar
ConfiguraciónConfiguración dede 802.1x802.1x1.1. ConfigurarConfigurar WindowsWindows ServerServer 20032003 concon IASIAS
2.2. Unir un dominioUnir un dominio
3.3. Inscribir un certificado de equipoInscribir un certificado de equipo
4.4. Registrar IAS en Active DirectoryRegistrar IAS en Active Directory
5.5. Configurar el registro RADIUSConfigurar el registro RADIUS
6.6. Agregar el punto de acceso como cliente Agregar el punto de acceso como cliente RADIUSRADIUS
7.7. Configurar el punto de acceso para RADIUS y Configurar el punto de acceso para RADIUS y 802.1x802.1x
8.8. Crear una directiva de acceso para clientes Crear una directiva de acceso para clientes inalámbricosinalámbricos
9.9. Configurar los clientesConfigurar los clientes1.1. No olvide importar el certificado raízNo olvide importar el certificado raíz
DirectivaDirectiva dede accesoacceso
CondiciónCondición dede directivadirectiva El tipo de puerto NAS El tipo de puerto NAS
coincide con Wireless coincide con Wireless IEEE 802.11 o con IEEE 802.11 o con otro tipo de red otro tipo de red inalámbricainalámbrica
Grupo de Windows = Grupo de Windows = <algún grupo de AD><algún grupo de AD> Opcional; proporciona Opcional; proporciona
control administrativocontrol administrativo Debe contener cuentas Debe contener cuentas
de usuario y de equipode usuario y de equipo
PerfilPerfil dede directivasdirectivas dede accesoacceso
PerfilPerfil Tiempo de espera: Tiempo de espera:
60 min. (802.11b) o 60 min. (802.11b) o 10 min. (802.11a/g)10 min. (802.11a/g)
No elija métodos de No elija métodos de autenticación regularesautenticación regulares
Tipo de EAP: EAP Tipo de EAP: EAP protegido; utilice protegido; utilice certificados de equipocertificados de equipo
Cifrado: sólo el más Cifrado: sólo el más seguro seguro (MPPE de 128 bits)(MPPE de 128 bits)
Atributos: Atributos: Ignore-User-Ignore-User-Dialin-Properties = TrueDialin-Properties = True
Especificación de mejoras en la seguridad interoperables y basadas en estándares que aumenta enormemente el nivel de protección de los datos y el control de acceso para los sistemas actuales y futuros de LAN inalámbrica
WPA requiere la autenticación de 802.1x para el acceso de red
ObjetivosObjetivos Cifrado mejorado de los datosCifrado mejorado de los datos Permitir la autenticación de los usuariosPermitir la autenticación de los usuarios Compatible con versiones futuras de 802.11iCompatible con versiones futuras de 802.11i Proporcionar una solución que no sea RADIUS para las oficinas Proporcionar una solución que no sea RADIUS para las oficinas
domésticas o de pequeño tamañodomésticas o de pequeño tamaño
Wi-Fi Alliance comenzó las pruebas de certificación de la interoperabilidad de los productos de WPA en febrero de 2003
WirelessWireless ProtectedProtected AccessAccess (WPA)(WPA)
RecomendacionesRecomendaciones UtiliceUtilice lala autenticaciónautenticación dede 802.1x802.1x Organice en grupos a los usuarios y equipos Organice en grupos a los usuarios y equipos
inalámbricosinalámbricos Aplique directivas de acceso inalámbrico con Aplique directivas de acceso inalámbrico con
directivas de grupodirectivas de grupo Utilice EAP-TLS para la autenticación basada en Utilice EAP-TLS para la autenticación basada en
certificados y PEAP para la autenticación basada certificados y PEAP para la autenticación basada en contraseñasen contraseñas
Configure una directiva de acceso remoto para Configure una directiva de acceso remoto para permitir la autenticación de los usuarios y de los permitir la autenticación de los usuarios y de los equiposequipos
Desarrolle un método que se ocupe de los Desarrolle un método que se ocupe de los puntos de acceso sospechosos, como la puntos de acceso sospechosos, como la autenticación de 802.1x basada en LAN, las autenticación de 802.1x basada en LAN, las encuestas a sitios, la supervisión de la red y el encuestas a sitios, la supervisión de la red y el entrenamiento de los usuariosentrenamiento de los usuarios
OrdenOrden deldel díadía
IntroducciónIntroducción aa lala defensadefensa enen profundidadprofundidad Uso de defensas en el perímetroUso de defensas en el perímetro Uso de ISA Server para proteger los Uso de ISA Server para proteger los
perímetrosperímetros Uso del cortafuegos de Windows para Uso del cortafuegos de Windows para
proteger a los clientesproteger a los clientes Protección de redes inalámbricasProtección de redes inalámbricas Protección de comunicaciones mediante Protección de comunicaciones mediante
IPSecIPSec
ObjetivosObjetivos dede seguridadseguridad enen unauna redred
DefensaDefensa deldel perímetroperímetro
DefensaDefensa dede loslos clientesclientes
DetecciónDetección dede intrusosintrusos
ControlControl dede accesoacceso aa lala redred
ConfidencialidadConfidencialidad AccesoAccesoremotoremoto seguroseguro
ServidorServidor ISAISA
FirewallFirewall dede WindowsWindows
802.1x802.1x // WPAWPA
IPSecIPSec
¿Qué¿Qué eses SeguridadSeguridad dede IPIP (IPSec)?(IPSec)? Un método para proteger el tráfico IPUn método para proteger el tráfico IP Una estructura de estándares abiertos Una estructura de estándares abiertos
desarrollada por el Grupo de trabajo de ingeniería desarrollada por el Grupo de trabajo de ingeniería de Internet (IETF, de Internet (IETF, Internet Engineering Task ForceInternet Engineering Task Force))
¿Por qué se debe utilizar IPSec?¿Por qué se debe utilizar IPSec? Para garantizar que las comunicaciones se cifran Para garantizar que las comunicaciones se cifran
y se autentican en el nivel IPy se autentican en el nivel IP Para proporcionar seguridad en el transporte Para proporcionar seguridad en el transporte
independiente de las aplicaciones o de los independiente de las aplicaciones o de los protocolos del nivel de aplicaciónprotocolos del nivel de aplicación
IntroducciónIntroducción aa IPSecIPSec
FiltradoFiltrado básicobásico parapara permitirpermitir oo bloquearbloquear paquetespaquetes
Comunicaciones Comunicaciones seguras en la LAN seguras en la LAN internainterna
Replicación en los Replicación en los dominios a través dominios a través de servidores de de servidores de seguridadseguridad
Acceso a VPN a Acceso a VPN a través de medios través de medios que no son de que no son de confianzaconfianza
EscenariosEscenarios dede IPSecIPSec
FiltrosFiltros parapara tráficotráfico permitidopermitido yy bloqueadobloqueado No se produce ninguna negociación real de No se produce ninguna negociación real de
las asociaciones de seguridad de IPSeclas asociaciones de seguridad de IPSec Los filtros se solapan: la coincidencia más Los filtros se solapan: la coincidencia más
específica determina la acciónespecífica determina la acción No proporciona filtrado de estadoNo proporciona filtrado de estado Se debe establecer "NoDefaultExempt = 1" Se debe establecer "NoDefaultExempt = 1"
para que sea seguropara que sea seguro
Desde IP A IP Protocolo Puerto de origen
Puerto de
destinoAcción
Cualquiera Mi IP de Internet Cualquiera N/D N/D Bloquear
Cualquiera Mi IP de Internet TCP Cualquiera 80 Permitir
ImplementaciónImplementación deldel filtradofiltrado dede paquetespaquetes dede IPSecIPSec
LosLos paquetespaquetes IPIP suplantadossuplantados contienencontienen consultasconsultas oo contenidocontenido peligrosopeligroso queque puedepuede seguirseguir llegandollegando aa loslos puertospuertos abiertosabiertos aa travéstravés dede loslos servidoresservidores dede seguridadseguridad
IPSec no permite la inspección de estadoIPSec no permite la inspección de estado Muchas herramientas que utilizan los Muchas herramientas que utilizan los
piratas informáticos emplean los puertos piratas informáticos emplean los puertos de origen 80, 88, 135 y otros para de origen 80, 88, 135 y otros para conectar a cualquier puerto de destinoconectar a cualquier puerto de destino
ElEl filtradofiltrado dede paquetespaquetes nono eses suficientesuficiente parapara protegerproteger unun servidorservidor
DireccionesDirecciones dede difusióndifusión IPIP No puede proteger a varios receptoresNo puede proteger a varios receptores
Direcciones de multidifusiónDirecciones de multidifusión De 224.0.0.0 a 239.255.255.255De 224.0.0.0 a 239.255.255.255
Kerberos: puerto UDP 88 de origen o destinoKerberos: puerto UDP 88 de origen o destino Kerberos es un protocolo seguro, que el servicio Kerberos es un protocolo seguro, que el servicio
de negociaciónde negociación IKE puede utilizar para la IKE puede utilizar para la autenticación de otros equipos en un dominioautenticación de otros equipos en un dominio
IKE: puerto UDP 500 de destinoIKE: puerto UDP 500 de destino Obligatorio para permitir que IKE negocie los Obligatorio para permitir que IKE negocie los
parámetros de seguridad de IPSecparámetros de seguridad de IPSec Windows Server 2003 configura únicamente Windows Server 2003 configura únicamente
la exención predeterminada de IKEla exención predeterminada de IKE
TráficoTráfico queque IPSecIPSec nono filtrafiltra
ComunicacionesComunicaciones internasinternas segurasseguras UtiliceUtilice IPSecIPSec parapara permitirpermitir lala autenticaciónautenticación mutuamutua dede
dispositivosdispositivos Utilice certificados o KerberosUtilice certificados o Kerberos La utilización de claves compartidas sólo es conveniente para La utilización de claves compartidas sólo es conveniente para
pruebaspruebas Utilice Encabezado de autenticación (AH) para Utilice Encabezado de autenticación (AH) para
garantizar la integridad de los paquetesgarantizar la integridad de los paquetes El Encabezado de autenticación proporciona integridad en los El Encabezado de autenticación proporciona integridad en los
paquetespaquetes El Encabezado de autenticación no cifra, con lo que se basa en El Encabezado de autenticación no cifra, con lo que se basa en
los sistemas de detección de intrusos de redlos sistemas de detección de intrusos de red Utilice Carga de seguridad encapsuladora (ESP) para Utilice Carga de seguridad encapsuladora (ESP) para
cifrar el tráfico sensiblecifrar el tráfico sensible ESP proporciona integridad en los paquetes y confidencialidadESP proporciona integridad en los paquetes y confidencialidad El cifrado impide la inspección de los paquetesEl cifrado impide la inspección de los paquetes
Planee minuciosamente qué tráfico debe protegersePlanee minuciosamente qué tráfico debe protegerse
IPsec “servidor iniciado” conexiones para IPsec “servidor iniciado” conexiones para servidores internosservidores internos
AplicaciónAplicación
IPsecIPsecDriverDriver
Directiva: Directiva: Cliente (solo Cliente (solo responde)responde)
Personalizar la Personalizar la seguridad en seguridad en la directiva: la directiva: “Server”“Server”
““Asegurar desde aquí a Asegurar desde aquí a cualquier destino, todo el cualquier destino, todo el tráfico unicast. Acepta sin tráfico unicast. Acepta sin asegurar. Miembros del asegurar. Miembros del dominio de confianza. ”dominio de confianza. ”
““Envía en texto claro, Envía en texto claro, asegura el tráfico solo asegura el tráfico solo si es requerido. si es requerido. Miembros del dominio Miembros del dominio de confianza.”de confianza.”
Directorio Directorio ActivoActivo
Key DistributionKey DistributionCenter (KDC)Center (KDC)
Windows 2000 controlador de dominoWindows 2000 controlador de domino
TGTTGT
TGTTGT
IKE SA negociaciónIKE SA negociación
UDP puerto 500UDP puerto 500
Ticket de SesiónTicket de Sesión
ticketticket
IPsec SAs establecidasIPsec SAs establecidas
Configuración del servidor no para usar en Internet! Configuración del servidor no para usar en Internet!
filtrosfiltros
Atravesar dominios que no confían Atravesar dominios que no confían entre síentre sí
Dominio ADominio A Windows 2000Windows 2000
IPsec con IPsec con autenticación autenticación
KerberosKerberos
Dominio B Windows 2000Dominio B Windows 2000
IPsec con IPsec con autenticación autenticación
KerberosKerberos
Si la política IPSEC está configurada para confiar Si la política IPSEC está configurada para confiar en ciertos miembros de dominio en ciertos miembros de dominio
(o dominios confiados),(o dominios confiados),la negociación IKE entre miembros de dominios la negociación IKE entre miembros de dominios
no confiados fallará en la autenticación de no confiados fallará en la autenticación de KerberosKerberos
Si A no confía en Si A no confía en BB
IPsec no puede IPsec no puede establecerse usando establecerse usando
IKE Kerb IKE Kerb authenticationauthentication
Atravesar dominios que no confían Atravesar dominios que no confían entre síentre sí
Windows 2000 Windows 2000 Dominio ADominio A
IPsec con IPsec con Autenticación Autenticación
KerberosKerberos
Windows 2000 Windows 2000 Dominio BDominio B
IPsec con IPsec con Autenticación Autenticación
KerberosKerberos
Cambiar la directiva IPsec sobre servidorA y clienteB Cambiar la directiva IPsec sobre servidorA y clienteB para usar primero autenticación por certificado, use para usar primero autenticación por certificado, use certificado desde la Raíz CA0, y después Kerberos.certificado desde la Raíz CA0, y después Kerberos.
La raíz CA0 común permite que ambos utilicen su La raíz CA0 común permite que ambos utilicen su propios certificados para la autenticación IKEpropios certificados para la autenticación IKE
Autoenroll Autoenroll servidor servidor en CA1en CA1
Autoenroll Autoenroll cliente en cliente en CA2CA2
CA1CA1 CA2CA2
CA0 CA0 Común Común
RaízRaíz
IPsec trabaja IPsec trabaja usando IKE usando IKE certificado certificado
autenticaciónautenticación
IPSecIPSec parapara lala replicaciónreplicación dede dominiosdominios UtiliceUtilice IPSecIPSec parapara lala replicaciónreplicación aa travéstravés dede
servidoresservidores dede seguridadseguridad En cada controlador de dominio, cree una En cada controlador de dominio, cree una
directiva IPSec para proteger todo el tráfico a la directiva IPSec para proteger todo el tráfico a la dirección IP del otro controlador de dominiodirección IP del otro controlador de dominio
Utilice ESP 3DES para el cifradoUtilice ESP 3DES para el cifrado Permita el tráfico a través del servidor de Permita el tráfico a través del servidor de
seguridad:seguridad: Puerto UDP 500 (IKE)Puerto UDP 500 (IKE) Protocolo IP 50 (ESP)Protocolo IP 50 (ESP)
AccesoAcceso dede VPNVPN aa travéstravés dede mediosmedios queque nono sonson dede confianzaconfianza VPNVPN dede clientecliente
Utilice L2TP/IPSecUtilice L2TP/IPSec
VPN de sucursalVPN de sucursal Entre Windows 2000 o Windows Server, con Entre Windows 2000 o Windows Server, con
RRAS: utilice túnel L2TP/IPSec (fácil de RRAS: utilice túnel L2TP/IPSec (fácil de configurar, aparece como una interfaz configurar, aparece como una interfaz enrutable)enrutable)
A una puerta de enlace de terceros: utilice A una puerta de enlace de terceros: utilice L2TP/IPSec o el modo de túnel puro de IPSecL2TP/IPSec o el modo de túnel puro de IPSec
A la puerta de enlace RRAS de Microsoft A la puerta de enlace RRAS de Microsoft Windows NT® 4: utilice PPTP (IPSec no está Windows NT® 4: utilice PPTP (IPSec no está disponible)disponible)
Unos datos enviadosUnos datos enviados
Solución IPSec sobre NATSolución IPSec sobre NAT
NATNAT
Envío de DatosEnvío de Datos
NATNATAA N1N1 N2N2 BB
Mapeo Estático:Mapeo Estático:N2, 500 -> B, 500N2, 500 -> B, 500N2, 4500 -> B, 4500N2, 4500 -> B, 4500
Nota de B a sí mismo: “N1 es realmente A… Encuentra SA para A<->B”Nota de B a sí mismo: “N1 es realmente A… Encuentra SA para A<->B”
UDP orig 4500, dest 4500UDP orig 4500, dest 4500A, N2A, N2 ESPESP ……resto del paquete IPsecresto del paquete IPsec
UDP orig 8888, dest 4500UDP orig 8888, dest 4500N1, N2N1, N2 ESPESP ……resto del resto del paquetepaquete IPsec IPsec
UDP orig 8888, dest 4500UDP orig 8888, dest 4500N1, BN1, B ESPESP ……resto del paquete IPsecresto del paquete IPsec
orig 8888orig 8888N1N1
BB
Solución IPSec sobre NATSolución IPSec sobre NAT
UDP orig 4500, dest 4500UDP orig 4500, dest 4500IPIP ESPESP ……resto del paquete IPsecresto del paquete IPsec
El tamaño incrementado del paquete puedeEl tamaño incrementado del paquete puedegenerar error de tamaño en el Path MTUgenerar error de tamaño en el Path MTU
L2TP recibe el error PMTU y lo corrigeL2TP recibe el error PMTU y lo corrige La corrección general de PMTU necesitada para el La corrección general de PMTU necesitada para el
tráfico no-L2TPtráfico no-L2TP Implementaciones de MicrosoftImplementaciones de Microsoft
Para clientes, meta cumplida para RAS VPNPara clientes, meta cumplida para RAS VPN No es una solución general por ahoraNo es una solución general por ahora
Para Windows Server 2003, caso general cubiertoPara Windows Server 2003, caso general cubierto Hecho para escenarios servidor-a-servidor (e.g. DC-DC)Hecho para escenarios servidor-a-servidor (e.g. DC-DC)
Encapsulación UDP: Detalle de Implementación—Path MTUEncapsulación UDP: Detalle de Implementación—Path MTU
Estado de IPsec NAT TraversalEstado de IPsec NAT Traversal Manipulado por la necesidad para el acceso remoto sobre IPSec - basado en VPNsManipulado por la necesidad para el acceso remoto sobre IPSec - basado en VPNs Implementado en IETF Estándar Propuesto (Draft-02)Implementado en IETF Estándar Propuesto (Draft-02) La interoperabilidad probada con enrutadores de 3La interoperabilidad probada con enrutadores de 3rosros para L2TP/IPSec para L2TP/IPSec Previsto para L2TP/IPsec en WindowsXP y anterioresPrevisto para L2TP/IPsec en WindowsXP y anteriores Previsto para todos los usos de IPsec en Windows Server 2003Previsto para todos los usos de IPsec en Windows Server 2003 Soportado por el Sistema OperativoSoportado por el Sistema Operativo
Versión Versión Soporte L2TP/IPsecSoporte L2TP/IPsecSoporte General del Modo Soporte General del Modo
Transporte de IPsecTransporte de IPsec
Windows Server 2003Windows Server 2003 SiSi SiSi44
Windows XPWindows XP SiSi11 No recomendadoNo recomendado55
Windows 2000Windows 2000 SiSi22 NoNo
Windows NT4Windows NT4 SiSi33 NoNo
Windows 98/MeWindows 98/Me SiSi33 NoNo
Nota 1: Windows Update o Nota 1: Windows Update o QFEQFENota 2: QFENota 2: QFENota 3: Con descarga de webNota 3: Con descarga de web
Nota 4: FTP Activo no trabajaráNota 4: FTP Activo no trabajaráNota 5: Algunas reducciones PTMU no Nota 5: Algunas reducciones PTMU no trabajantrabajan
Estados EstándaresEstados Estándares
Draft-02 fue lo mejor disponible Draft-02 fue lo mejor disponible durante mucho tiempo - windowsdurante mucho tiempo - windows Microsoft y otros lo han implementadoMicrosoft y otros lo han implementado Usable ahoraUsable ahora
Versión RFC en revisión ahoraVersión RFC en revisión ahora Cambia algunos detalles pequeños en Cambia algunos detalles pequeños en
números estándaresnúmeros estándares Microsoft lo adoptará en lanzamientos Microsoft lo adoptará en lanzamientos
futurosfuturos
Escenarios de ImplementaciónEscenarios de Implementación
Filtrado básico de paquetes Filtrado básico de paquetes permitir/bloquearpermitir/bloquear
Asegurar la comunicación interna en la Asegurar la comunicación interna en la LANLAN Cliente a servidorCliente a servidor Entre grandes grupos de ordenadoresEntre grandes grupos de ordenadores
Usar IPsec para la replicación de dominios Usar IPsec para la replicación de dominios a través de cortafuegosa través de cortafuegos
Establecimiento de túneles VPN sitio-a-Establecimiento de túneles VPN sitio-a-sitiositio
Acceso desde red confiado, a máquinas Acceso desde red confiado, a máquinas autorizadasautorizadas
VPN con sucursales: túneles VPN con sucursales: túneles enrutador-a-enrutadorenrutador-a-enrutador
Enrutador Enrutador Windows 2000, Windows 2000,
2003 RRAS2003 RRAS
Windows 2000, Windows 2000, 2003 o otro 2003 o otro enrutador enrutador
L2TP/IPsecL2TP/IPsec
Enrutador de 3Enrutador de 3rosros
Tunel L2TP/IPsecTunel L2TP/IPsec
(recomendado: fácil (recomendado: fácil de configurar; de configurar; aparece como aparece como interfaz enrutable)interfaz enrutable)
L2TP/IPsec o L2TP/IPsec o IPsec puro en IPsec puro en modo túnelmodo túnel
Túnel Túnel PPTPPPTP
Enrutador Enrutador Windows NT4 Windows NT4
RRASRRAS
El problemaEl problema
Usted conoce quien es su gente.Usted conoce quien es su gente. ¿Usted conoce quienes son sus ¿Usted conoce quienes son sus
ordenadores?ordenadores? ¿Usted sabe que está haciendo su ¿Usted sabe que está haciendo su
gente y sus aplicaciones?gente y sus aplicaciones?
Conociendo sus ordenadoresConociendo sus ordenadores
Windows 2000 no Windows 2000 no requiererequiere ser miembro ser miembro del dominiodel dominio
¿La directiva de grupo ayuda?¿La directiva de grupo ayuda? No puede hacerla cumplir a sus miembrosNo puede hacerla cumplir a sus miembros Puede prohibir retirarse desde el dominioPuede prohibir retirarse desde el dominio No puede parar a los no miembros que se No puede parar a los no miembros que se
comunican sobre la redcomunican sobre la red
Parar el acceso a red no confiableParar el acceso a red no confiable
Usted requiere que sus usuarios sean miembros del Usted requiere que sus usuarios sean miembros del dominio.dominio.
Por qué no, sus ordenadores, también?Por qué no, sus ordenadores, también? ““Muéstreme las credenciales”Muéstreme las credenciales” Típicamente no puede parar que alguien se conecte en su LANTípicamente no puede parar que alguien se conecte en su LAN
Acceso a red basado en: autenticación mutua= Acceso a red basado en: autenticación mutua= confianzaconfianza IKE Kerberos- trabaja dentro y atraviesa bosques con relación IKE Kerberos- trabaja dentro y atraviesa bosques con relación
de confianza bidireccionalde confianza bidireccional Nivel de Bosque IPsec AH con Kerberos Nivel de Bosque IPsec AH con Kerberos miembros del miembros del
dominio en los que se confíadominio en los que se confía Autenticación del certificado de IKE – control más fino para la Autenticación del certificado de IKE – control más fino para la
confianzaconfianza Autorice el acceso a red solamente a ordenadores específicos Autorice el acceso a red solamente a ordenadores específicos
del dominio utilizando el derecho de inicio de sesión “Acceso del dominio utilizando el derecho de inicio de sesión “Acceso a este ordenador desde la red”a este ordenador desde la red”
Conocer sus ordenadoresConocer sus ordenadores
Es una buena idea porque usted...Es una buena idea porque usted... Tiene (o desea) una directiva que requiera Tiene (o desea) una directiva que requiera
el uso de máquinas aprobadas solamenteel uso de máquinas aprobadas solamente Desea forzar a los ordenadores del centro Desea forzar a los ordenadores del centro
de datos a comunicarse solamente con de datos a comunicarse solamente con otros aprobados (no con servidores otros aprobados (no con servidores extraños)extraños)
Limitar las comunicaciones servidor-a-Limitar las comunicaciones servidor-a-servidor en su DMZ para frustrar ataques servidor en su DMZ para frustrar ataques MITM y spoofing de direccionesMITM y spoofing de direcciones
Hágalo con IPsec AHHágalo con IPsec AH Autenticación de paqueteAutenticación de paquete
La suma de comprobaciones significa la La suma de comprobaciones significa la fuente fuente eses la fuente la fuente
El contenido El contenido seasea el contenido el contenido Fácil de localizar las averías con Fácil de localizar las averías con
NetmonNetmon Los cortafuegos pueden filtrar el Los cortafuegos pueden filtrar el
interior de AH en protocolos y puertos interior de AH en protocolos y puertos en caso de necesidaden caso de necesidad
El sistema de Detección de Intrusos El sistema de Detección de Intrusos (NIDS) puede examinar el contenido de (NIDS) puede examinar el contenido de los paquetes en caso de necesidadlos paquetes en caso de necesidad
EscenariosEscenarios
TCI nivel empresarialTCI nivel empresarial Prevenir que lo que no son miembros del Prevenir que lo que no son miembros del
dominio hagan cualquier cosadominio hagan cualquier cosa IPsec AH Certificado o KerberosIPsec AH Certificado o Kerberos Aplicar directivas de grupos con “dominio Aplicar directivas de grupos con “dominio
por defecto”por defecto”
TCI servidor-a-servidorTCI servidor-a-servidor Prevenir servidores no autorizados o Prevenir servidores no autorizados o
enmascarados en el centro de datosenmascarados en el centro de datos Sólo certificados — enrollment manualSólo certificados — enrollment manual
Mover los enrutadores VPN con RRAS Mover los enrutadores VPN con RRAS a Windows Server 2003a Windows Server 2003
Mover los clientes VPN a Windows XP Mover los clientes VPN a Windows XP o Windows 2000o Windows 2000 Si fuese absolutamente necesario, Si fuese absolutamente necesario,
descargue y use cliente Windows 98 r descargue y use cliente Windows 98 r Windows NTWindows NT
Mover los RAS VPN a L2TP/IPSecMover los RAS VPN a L2TP/IPSec Descargar las actualizaciones de los Descargar las actualizaciones de los
clientes Windows XP y Windows 2000clientes Windows XP y Windows 2000
Próximos PasosPróximos Pasos
RendimientoRendimiento dede IPSecIPSec ElEl procesamientoprocesamiento dede IPSecIPSec tienetiene algunasalgunas
consecuenciasconsecuencias enen elel rendimientorendimiento Tiempo de negociación de IKE, inicialmente entre 2 y 5 Tiempo de negociación de IKE, inicialmente entre 2 y 5
segundossegundos 5 recorridos de ida y vuelta5 recorridos de ida y vuelta Autenticación: Kerberos o certificadosAutenticación: Kerberos o certificados Generación de claves criptográficas y mensajes cifradosGeneración de claves criptográficas y mensajes cifrados Se realiza una vez cada ocho horas de forma Se realiza una vez cada ocho horas de forma
predeterminada y se puede configurarpredeterminada y se puede configurar El cambio de claves de la sesión es rápido:< entre uno y El cambio de claves de la sesión es rápido:< entre uno y
dos segundos, dos recorridos de ida y vuelta, una vez dos segundos, dos recorridos de ida y vuelta, una vez cada hora y se puede configurarcada hora y se puede configurar
Cifrado de paquetesCifrado de paquetes ¿Cómo se puede mejorar?¿Cómo se puede mejorar?
Al descargar el proceso criptográfico en NIC, IPSec casi Al descargar el proceso criptográfico en NIC, IPSec casi alcanza la velocidad de los dispositivos con cablealcanza la velocidad de los dispositivos con cable
Mediante CPU más rápidasMediante CPU más rápidas
RecomendacionesRecomendaciones PlaneePlanee minuciosamenteminuciosamente lala implementaciónimplementación dede
IPSecIPSec Elija entre AH y ESPElija entre AH y ESP Utilice directivas de grupo para implementar Utilice directivas de grupo para implementar
directivas IPSecdirectivas IPSec Considere el uso de NIC de IPSecConsidere el uso de NIC de IPSec No utilice nunca la autenticación con claves No utilice nunca la autenticación con claves
compartidas fuera de un entorno de pruebacompartidas fuera de un entorno de prueba Elija entre la autenticación basada en Kerberos Elija entre la autenticación basada en Kerberos
o en certificadoso en certificados Tenga cuidado al requerir el uso de IPSec para Tenga cuidado al requerir el uso de IPSec para
las comunicaciones con controladores de las comunicaciones con controladores de dominio y otros servidores de infraestructurasdominio y otros servidores de infraestructuras
DemostraciónDemostración 44IPSecIPSec
ConfiguraciónConfiguración yy pruebaspruebas dede unauna directivadirectiva IPSecIPSec sencillasencilla
ConfiguraciónConfiguración yy pruebaspruebas dede unun filtrofiltro dede paquetespaquetes IPSecIPSec
ResumenResumen dede lala sesiónsesión
IntroducciónIntroducción aa lala defensadefensa enen profundidadprofundidad Uso de defensas en el perímetroUso de defensas en el perímetro Uso de ISA Server para proteger los Uso de ISA Server para proteger los
perímetrosperímetros Uso del Cortafuegos de Windows para Uso del Cortafuegos de Windows para
proteger a los clientesproteger a los clientes Protección de redes inalámbricasProtección de redes inalámbricas Protección de redes mediante IPSecProtección de redes mediante IPSec
PasosPasos siguientessiguientes1.1. MantenerseMantenerse informadoinformado sobresobre
seguridadseguridad Suscribirse a boletines de seguridad:Suscribirse a boletines de seguridad:
http://www.microsoft.com/spain/technet/seguridad/boletineshttp://www.microsoft.com/spain/technet/seguridad/boletines Obtener las directrices de seguridad de Microsoft Obtener las directrices de seguridad de Microsoft
más recientes:más recientes:http://www.microsoft.com/latam/technet/seguridad/practicas.asphttp://www.microsoft.com/latam/technet/seguridad/practicas.asp
2.2. Obtener aprendizaje adicional Obtener aprendizaje adicional de seguridadde seguridad1.1. Buscar seminarios de aprendizaje en línea y Buscar seminarios de aprendizaje en línea y
presenciales:presenciales:httphttp://://www.microsoft.comwww.microsoft.com//spainspain//technettechnet/seminarios/seminarios
1.1. Buscar un CTEC local que ofrezca cursos prácticos:Buscar un CTEC local que ofrezca cursos prácticos:http://www.microsoft.com/spain/technet/formacion/ctec/http://www.microsoft.com/spain/technet/formacion/ctec/
ParaPara obtenerobtener másmás informacióninformación
SitioSitio dede seguridadseguridad dede MicrosoftMicrosoft (todos(todos loslos usuarios)usuarios) http://www.microsoft.com/spain/seguridadhttp://www.microsoft.com/spain/seguridad
Sitio de seguridad de TechNet Sitio de seguridad de TechNet (profesionales de IT)(profesionales de IT) http://www.microsoft.com/spain/technet/http://www.microsoft.com/spain/technet/
seguridadseguridad
Sitio de seguridad de MSDN Sitio de seguridad de MSDN (desarrolladores)(desarrolladores) http://msdn.microsoft.com/security http://msdn.microsoft.com/security
(este sitio está en inglés)(este sitio está en inglés)
PreguntasPreguntas yy respuestasrespuestas