Implementando la Seguridad Perimetral y de Red Rafael Vázquez Consultor Senior Secdor R&D.

Implementando la Implementando la Seguridad Perimetral y Seguridad Perimetral y de Redde Red

RafaelRafael Vázquez Vázquez

Consultor SeniorConsultor Senior

Secdor R&DSecdor R&D

ConocimientosConocimientos imprescindiblesimprescindibles

DescripciónDescripción dede loslos fundamentosfundamentos dede seguridadseguridad dede unauna redred

Experiencia práctica con Experiencia práctica con Windows® Server 2000 o Windows® Server 2000 o Windows Server™ 2003Windows Server™ 2003

Experiencia con las herramientas de Experiencia con las herramientas de administración de Windowsadministración de Windows

NivelNivel 300300

OrdenOrden deldel díadía

IntroducciónIntroducción Uso de defensas en el perímetroUso de defensas en el perímetro Uso de Microsoft® Internet Security Uso de Microsoft® Internet Security

and Acceleration (ISA) Server para and Acceleration (ISA) Server para proteger los perímetrosproteger los perímetros

Uso del cortafuegos de Windows para Uso del cortafuegos de Windows para proteger a los clientesproteger a los clientes

Protección de redes inalámbricasProtección de redes inalámbricas Protección de comunicaciones Protección de comunicaciones

mediante IPSecmediante IPSec

DefensaDefensa enen profundidadprofundidad ElEl usouso dede unauna soluciónsolución enen niveles:niveles:

Aumenta la posibilidad de que se detecten los Aumenta la posibilidad de que se detecten los intrusosintrusos

Disminuye la posibilidad de que los intrusos Disminuye la posibilidad de que los intrusos logren su propósitologren su propósito

Directivas, procedimientos y concienciación

Directivas, procedimientos y concienciación

RefuerzoRefuerzo deldel sistemasistema operativo,operativo, administraciónadministración dede actualizaciones,actualizaciones, autenticación,autenticación, HIDSHIDS

ServidoresServidores dede seguridad,seguridad, sistemassistemas dede cuarentenacuarentena enen VPNVPNGuardiasGuardias dede seguridad,seguridad, bloqueos,bloqueos, dispositivosdispositivos dede seguimientoseguimiento

SegmentosSegmentos dede red,red, IPSec,IPSec, NIDSNIDS

RefuerzoRefuerzo dede laslas aplicaciones,aplicaciones, antivirusantivirus

ACL,ACL, cifradocifrado

ProgramasProgramas dede aprendizajeaprendizaje parapara loslos usuariosusuarios

Seguridad físicaSeguridad física

PerimetralPerimetral

Red internaRed interna

HostHost

AplicaciónAplicación

DatosDatos

PropósitoPropósito yy limitacioneslimitaciones dede laslas defensasdefensas dede perímetroperímetro LosLos servidoresservidores dede seguridadseguridad yy enrutadoresenrutadores dede

bordeborde configuradosconfigurados correctamentecorrectamente constituyenconstituyen lala piedrapiedra angularangular dede lala seguridadseguridad deldel perímetroperímetro

Internet y la movilidad aumentan los riesgos de Internet y la movilidad aumentan los riesgos de seguridadseguridad

Las redes VPN han debilitado el perímetro y, Las redes VPN han debilitado el perímetro y, junto con las redes inalámbricas, han junto con las redes inalámbricas, han ocasionado, esencialmente, la desaparición del ocasionado, esencialmente, la desaparición del concepto tradicional de perímetro de redconcepto tradicional de perímetro de red

Los servidores de seguridad tradicionales con Los servidores de seguridad tradicionales con filtrado de paquetes sólo bloquean los puertos filtrado de paquetes sólo bloquean los puertos de red y las direcciones de los equiposde red y las direcciones de los equipos

En la actualidad, la mayor parte de los ataques En la actualidad, la mayor parte de los ataques se producen en el nivel de aplicaciónse producen en el nivel de aplicación

PropósitoPropósito yy limitacioneslimitaciones dede laslas defensasdefensas dede loslos clientesclientes LasLas defensasdefensas dede loslos clientesclientes bloqueanbloquean loslos ataquesataques queque

omitenomiten laslas defensasdefensas deldel perímetroperímetro oo queque sese originanoriginan enen lala redred internainterna

Las defensas de los clientes incluyen, entre otras:Las defensas de los clientes incluyen, entre otras: Refuerzo de la seguridad del sistema operativoRefuerzo de la seguridad del sistema operativo Programas antivirusProgramas antivirus Servidores de seguridad personalesServidores de seguridad personales

Las defensas de los clientes requieren que se Las defensas de los clientes requieren que se configuren muchos equiposconfiguren muchos equipos

En entornos no administrados, los usuarios pueden En entornos no administrados, los usuarios pueden omitir las defensas de los clientesomitir las defensas de los clientes

PropósitoPropósito yy limitacioneslimitaciones dede lala deteccióndetección dede intrusosintrusos

DetectaDetecta elel modelomodelo dede ataquesataques comunes,comunes, registraregistra elel tráficotráfico sospechososospechoso enen registrosregistros dede sucesossucesos y/oy/o alertaalerta aa loslos administradoresadministradores

Las amenazas y puntos vulnerables Las amenazas y puntos vulnerables evolucionan constantemente, lo que deja evolucionan constantemente, lo que deja a los sistemas en una situación a los sistemas en una situación vulnerable hasta que se conoce un vulnerable hasta que se conoce un ataque nuevo y se crea y distribuye una ataque nuevo y se crea y distribuye una nueva firmanueva firma

ObjetivosObjetivos dede seguridadseguridad enen unauna redred

DefensaDefensa deldel perímetroperímetro

DefensaDefensa dede loslos clientesclientes

DetecciónDetección dede intrusosintrusos

ControlControl dede accesoacceso aa lala redred

ConfidencialidadConfidencialidad AccesoAccesoremotoremoto seguroseguro

ServidorServidor ISAISA

FirewallFirewall dede WindowsWindows

802.1x802.1x // WPAWPA

IPSecIPSec


IntroducciónIntroducción Uso de defensas en el perímetroUso de defensas en el perímetro Uso de ISA Server para proteger los Uso de ISA Server para proteger los

perímetrosperímetros Uso del cortafuegos de Windows para Uso del cortafuegos de Windows para

proteger a los clientesproteger a los clientes Protección de redes inalámbricasProtección de redes inalámbricas Protección de comunicaciones Protección de comunicaciones


InformaciónInformación generalgeneral sobresobre laslas conexionesconexiones dede perímetroperímetro

Internet Sucursales Socios comerciales Usuarios remotos Redes inalámbricas Aplicaciones de Internet

Los perímetros de red incluyen conexiones a:

Socio comercial

LAN

Oficina principal

LAN

Sucursal

LAN

Red inalámbrica

Usuario remoto

Internet

DiseñoDiseño deldel servidorservidor dede seguridad:seguridad: dede tripletriple interfazinterfaz

Subred protegidaInternet

LAN

Servidor de seguridad

DiseñoDiseño deldel servidorservidor dede seguridad:seguridad: dede tipotipo opuestoopuesto concon opuestoopuesto oo sándwichsándwich

Internet

ExternaServidor de seguridad

LANInternaServidor de seguridad

Subred protegida

Tráfico peligroso que atraviesa los puertos abiertos y no es inspeccionado en el nivel de aplicación por el servidor de seguridad

Tráfico que atraviesa un túnel o sesión cifradosTráfico que atraviesa un túnel o sesión cifrados Ataques que se producen una vez que se ha

entrado en una red Tráfico que parece legítimo Usuarios y administradores que intencionada o

accidentalmente instalan virus Administradores que utilizan contraseñas poco

seguras

ContraContra quéqué NONO protegenprotegen loslos servidoresservidores dede seguridadseguridad

ServidoresServidores dede seguridadseguridad dede softwaresoftware yy dede hardwarehardware

Factores de decisión Descripción

FlexibilidadLa actualización de las vulnerabilidades y revisiones más recientes suele ser más fácil con servidores de seguridad basados en software.

Extensibilidad Muchos servidores de seguridad de hardware sólo permiten una capacidad de personalización limitada.

Elección de proveedores

Los servidores de seguridad de software permiten elegir entre hardware para una amplia variedad de necesidades y no se depende de un único proveedor para obtener hardware adicional.

Costo

El precio de compra inicial para los servidores de seguridad de hardware podría ser inferior. Los servidores de seguridad de software se benefician del menor costo de las CPU. El hardware se puede actualizar fácilmente y el hardware antiguo se puede reutilizar.

Complejidad Los servidores de seguridad de hardware suelen ser menos complejos.

Disponibilidad global

El factor de decisión más importante es si un servidor de seguridad puede realizar las tareas necesarias. Con frecuencia, la diferencia entre los servidores de hardware y de software no resulta clara.

TiposTipos dede funcionesfunciones dede loslos servidoresservidores dede seguridadseguridad FiltradoFiltrado dede paquetespaquetes Inspección de estadoInspección de estado Inspección del nivel de aplicaciónInspección del nivel de aplicación

InspecciónInspección multinivelmultinivel(Incluido el filtrado del nivel de aplicación)(Incluido el filtrado del nivel de aplicación)

InternetInternet




proteger a los clientesproteger a los clientes Protección de redes inalámbricasProtección de redes inalámbricas Protección de comunicaciones mediante Protección de comunicaciones mediante

IPSecIPSec

Análisis de la información de un Análisis de la información de un paquetepaquete Actualmente - la mayoría de los cortafuegos comprueban Actualmente - la mayoría de los cortafuegos comprueban

solamente la información básica del paquete solamente la información básica del paquete Equivalente en el mundo real a mirar el número y el destino de un Equivalente en el mundo real a mirar el número y el destino de un

autobús - y de no mirar a los pasajerosautobús - y de no mirar a los pasajeros

Asunciones Fundamentales N3/N4Asunciones Fundamentales N3/N4

Confiamos en que el tráfico sobre un puerto es lo que Confiamos en que el tráfico sobre un puerto es lo que pensamos que debe ser (TCP80==HTTP)pensamos que debe ser (TCP80==HTTP)

Confiamos implícitamente que el tráfico que atraviesa Confiamos implícitamente que el tráfico que atraviesa está limpio (obviamos la revisión de este)está limpio (obviamos la revisión de este)

No utilizamos estos dispositivos para protegernos de No utilizamos estos dispositivos para protegernos de las redes internas, ya que confiamos en nuestros las redes internas, ya que confiamos en nuestros usuariosusuarios

El usuario de la máquina 1.2.3.4 debe ser el único que El usuario de la máquina 1.2.3.4 debe ser el único que siempre utiliza la misma máquinasiempre utiliza la misma máquina

TCP 80 está casi siempre abierto para todo – Es el TCP 80 está casi siempre abierto para todo – Es el protocolo universal que hace de puente y evita el protocolo universal que hace de puente y evita el cortafuegocortafuego

La mayoría de estos errores dan lugar a una brecha de La mayoría de estos errores dan lugar a una brecha de seguridad de la cual se responsabiliza generalmente al seguridad de la cual se responsabiliza generalmente al S.O., o a las aplicaciones – pero su origen puede ser la S.O., o a las aplicaciones – pero su origen puede ser la redred








**


802.1x802.1x // WPAWPA

IPSecIPSec

** DetecciónDetección básicabásica dede intrusos,intrusos, queque sese amplíaamplía graciasgracias alal trabajotrabajo dede loslos asociadosasociados

ProtecciónProtección dede loslos perímetrosperímetros ISAISA ServerServer tienetiene completascompletas capacidadescapacidades

dede filtrado:filtrado: Filtrado de paquetesFiltrado de paquetes Inspección de estadoInspección de estado Inspección del nivel de aplicaciónInspección del nivel de aplicación

ISA Server bloquea todo el tráfico de red a ISA Server bloquea todo el tráfico de red a menos que usted lo permitamenos que usted lo permita

ISA Server permite establecer conexiones ISA Server permite establecer conexiones VPN segurasVPN seguras

ISA Server tiene las certificaciones ICSA y ISA Server tiene las certificaciones ICSA y Common CriteriaCommon Criteria

DMZs en ISA ServerDMZs en ISA Server

ISA Server las llama “redes ISA Server las llama “redes perimetrales”perimetrales”

TiposTipos Opuesto – con – opuesto (DMZ regular)Opuesto – con – opuesto (DMZ regular) Triple Interfaz (Subred apantallada)Triple Interfaz (Subred apantallada) Tercera opción interesante no Tercera opción interesante no

documentadadocumentada Bastante fácil de elegirBastante fácil de elegir

Pero primero …Pero primero …

Interfaces de RedInterfaces de Red

Dos tiposDos tipos InternaInterna ExternaExterna

Dos tipos de externaDos tipos de externa Interfaz-InternetInterfaz-Internet DMZDMZ

Interfaces InternasInterfaces Internas

Puede tener más de unaPuede tener más de una Definida por la LATDefinida por la LAT

Cualquier interfaz cuya dirección IP está en la Cualquier interfaz cuya dirección IP está en la LAT es una interfaz internaLAT es una interfaz interna

Interfaces externaInterfaces externa

Interfaz-InternetInterfaz-Internet Puede tener sólo unaPuede tener sólo una Debe ser la fronteraDebe ser la frontera Sólo una interfaz con una puerta de enlace Sólo una interfaz con una puerta de enlace

por defectopor defecto Está conectada a InternetEstá conectada a Internet Más de una no está suportada y no trabajaMás de una no está suportada y no trabaja

DMZDMZ El resto de las interfaces en el ordenadorEl resto de las interfaces en el ordenador

No incluida en la LAT, no conectada a InternetNo incluida en la LAT, no conectada a Internet

Comportamiento del tráficoComportamiento del tráfico

InternetInternet

DMZDMZ LANLAN

publicación de servidorespublicación de servidores publicación de webpublicación de web NATNAT inspección de aplicacióninspección de aplicación

filtrado de paquetesfiltrado de paquetes enrutamientoenrutamiento

publicación de publicación de servidoresservidores publicación de webpublicación de web

NATNAT inspección de aplicacióninspección de aplicación

Diseño apropiadoDiseño apropiado

Servidores ISA opuesto-con-opuestoServidores ISA opuesto-con-opuesto LATsLATs

Externo: rango(s) de direcciones IP de la Externo: rango(s) de direcciones IP de la red de la DMZred de la DMZ

Interno: rango(s) de direcciones IP de la Interno: rango(s) de direcciones IP de la red corporativared corporativa

Alcanza a inspeccionar todoAlcanza a inspeccionar todo Internet a DMZInternet a DMZ DMZ a red corporativaDMZ a red corporativa

Diseño SubóptimoDiseño Subóptimo

El tráfico entrante y saliente de la DMZ no El tráfico entrante y saliente de la DMZ no está bien protegidoestá bien protegido El filtrado de paquetes es igual al de cualquier El filtrado de paquetes es igual al de cualquier

otro cortafuegosotro cortafuegos No reconoce lo protocolos de aplicacionesNo reconoce lo protocolos de aplicaciones No puede inspeccionar para cumplir con las No puede inspeccionar para cumplir con las

reglasreglas No utiliza filtros de Web o aplicacionesNo utiliza filtros de Web o aplicaciones

Recomendación —Recomendación — No utilice diseños de triple interfazNo utilice diseños de triple interfaz Si lo utiliza descargue la seguridad sobre los Si lo utiliza descargue la seguridad sobre los

propios servicios de la DMZpropios servicios de la DMZ

Publicación opuesto-con-opuestoPublicación opuesto-con-opuesto

En la DMZEn la DMZ Método de publicación normalMétodo de publicación normal

En la red corporativaEn la red corporativa Publicación de recursos sobre el servidor Publicación de recursos sobre el servidor

ISA internoISA interno Publicación del servidor ISA interno sobre Publicación del servidor ISA interno sobre

el servidor ISA externoel servidor ISA externo Usar tarjetas SSL para HTTPSUsar tarjetas SSL para HTTPS

http://www.microsoft.com/isaserver/http://www.microsoft.com/isaserver/partners/ssl.asppartners/ssl.asp

AEP Crypto — ¡rápido y barato!AEP Crypto — ¡rápido y barato!

Alternativa InteresanteAlternativa Interesante

Diseño de triple interfacesDiseño de triple interfaces No interfaz de “DMZ”No interfaz de “DMZ” Dos interfaces internasDos interfaces internas

Inspección de aplicaciones entre Internet Inspección de aplicaciones entre Internet y todas las interfaces internasy todas las interfaces internas

Necesidad de proteger la comunicación a Necesidad de proteger la comunicación a través de las interfaces — ¿Cómo?través de las interfaces — ¿Cómo?

Bueno para presupuestos limitadosBueno para presupuestos limitados

Alternativa interesanteAlternativa interesante

InternetInternet

interna 1interna 1

Subred Subred apantalladaapantallada

interna 2interna 2

Red Red corporativacorporativa

RRAS filtros de paquetesRRAS filtros de paquetes

publicación de servidorespublicación de servidores publicación de Webpublicación de Web NATNAT inspección de aplicacióninspección de aplicación

publicación de servidorespublicación de servidores publicación de Webpublicación de Web NATNAT inspección de aplicacióninspección de aplicación

ProtecciónProtección dede loslos clientesclientes

Método Descripción

Funciones de proxy

Procesa todas las solicitudes para los clientes y nunca permite las conexiones directas.

Clientes admitidos

Se admiten todos los clientes sin software especial. La instalación del software de servidor de seguridad ISA en clientes Windows permite utilizar más funciones.

Reglas Las reglas de protocolo, reglas de sitio y contenido, y reglas de publicación determinan si se permite el acceso.

Complementos

El precio de compra inicial para los servidores de seguridad de hardware podría ser inferior. Los servidores de seguridad de software se benefician del menor costo de las CPU. El hardware se puede actualizar fácilmente y el hardware antiguo se puede reutilizar.

ProtecciónProtección dede loslos servidoresservidores WebWeb

ReglasReglas dede publicaciónpublicación enen WebWeb Para proteger de ataques externos a los Para proteger de ataques externos a los

servidores Web que se encuentran detrás de los servidores Web que se encuentran detrás de los servidores de seguridad, inspeccione el tráfico servidores de seguridad, inspeccione el tráfico HTTP y compruebe que su formato es apropiado y HTTP y compruebe que su formato es apropiado y cumple los estándarescumple los estándares

Inspección del tráfico SSLInspección del tráfico SSL Descifra e inspecciona las solicitudes Web Descifra e inspecciona las solicitudes Web

entrantes cifradas para comprobar que su formato entrantes cifradas para comprobar que su formato es apropiado y que cumple los estándareses apropiado y que cumple los estándares

Si se desea, volverá a cifrar el tráfico antes de Si se desea, volverá a cifrar el tráfico antes de enviarlo al servidor Webenviarlo al servidor Web

URLScanURLScan ElEl paquetepaquete dede característicascaracterísticas 11 dede ISAISA ServerServer

incluyeincluye URLScanURLScan 2.52.5 parapara ISAISA ServerServer Permite que el filtro ISAPI de URLScan se Permite que el filtro ISAPI de URLScan se

aplique al perímetro de la redaplique al perímetro de la red Se produce un bloqueo general en todos los Se produce un bloqueo general en todos los

servidores Web que se encuentran detrás del servidores Web que se encuentran detrás del servidor de seguridadservidor de seguridad

Se bloquean en el perímetro los ataques Se bloquean en el perímetro los ataques conocidos y los descubiertos recientementeconocidos y los descubiertos recientemente

Servidor Web 1

ISA Server

Servidor Web 2

Servidor Web 3

ProtecciónProtección dede ExchangeExchange ServerServer

Método Descripción

Asistente para publicación de correo

Configura reglas de ISA Server con el fin de publicar servicios de correo interno para usuarios externos de forma segura

Message Screener

Filtra los mensajes de correo electrónico SMTP que entran en la red interna

Publicación RPC Protege el acceso del protocolo nativo de los clientes Microsoft Outlook®

Publicación OWA

Proporciona protección del servidor de solicitudes de cliente OWA para los usuarios remotos de Outlook que tienen acceso a Microsoft Exchange Server sin una VPN a través de redes que no son de confianza

DemostraciónDemostración 11InspecciónInspección deldel nivelnivel dede aplicaciónaplicación

enen ISAISA ServerServer

PublicaciónPublicación enen WebWebURLScanURLScan

MessageMessage ScreenerScreener

TráficoTráfico queque omiteomite lala inspeccióninspección dede loslos servidoresservidores dede seguridadseguridad

LosLos túnelestúneles SSLSSL atraviesanatraviesan loslos servidoresservidores dede seguridadseguridad tradicionalestradicionales porqueporque esteeste tipotipo dede tráficotráfico estáestá cifrado,cifrado, lolo queque permitepermite aa loslos virusvirus yy gusanosgusanos pasarpasar sinsin serser detectadosdetectados ee infectarinfectar loslos servidoresservidores internosinternos

El tráfico VPN se cifra y no se puede El tráfico VPN se cifra y no se puede inspeccionarinspeccionar

El tráfico de Instant Messenger (IM) no se El tráfico de Instant Messenger (IM) no se suele inspeccionar y podría utilizarse para suele inspeccionar y podría utilizarse para transferir archivostransferir archivos

InspecciónInspección dede todotodo elel tráficotráfico

UtiliceUtilice sistemassistemas dede deteccióndetección dede intrusosintrusos yy otrosotros mecanismosmecanismos parapara inspeccionarinspeccionar elel tráficotráfico VPNVPN unauna vezvez descifradodescifrado Recuerde: defensa en profundidadRecuerde: defensa en profundidad

Utilice un servidor de seguridad que pueda Utilice un servidor de seguridad que pueda inspeccionar el tráfico SSLinspeccionar el tráfico SSL

Expanda las capacidades de inspección del Expanda las capacidades de inspección del servidor de seguridadservidor de seguridad Utilice complementos para el servidor de seguridad Utilice complementos para el servidor de seguridad

que permitan inspeccionar el tráfico de IMque permitan inspeccionar el tráfico de IM

InspecciónInspección dede SSLSSL

LosLos túnelestúneles SSLSSL atraviesanatraviesan loslos servidoresservidores dede seguridadseguridad tradicionalestradicionales porqueporque esteeste tipotipo dede tráficotráfico estáestá cifrado,cifrado, lolo queque permitepermite aa loslos virusvirus yy gusanosgusanos pasarpasar sinsin serser detectadosdetectados ee infectarinfectar loslos servidoresservidores internosinternos

ISA Server puede descifrar e inspeccionar el ISA Server puede descifrar e inspeccionar el tráfico SSL. El tráfico inspeccionado se puede tráfico SSL. El tráfico inspeccionado se puede enviar al servidor interno sin cifrar o cifrado de enviar al servidor interno sin cifrar o cifrado de nuevonuevo

DemostraciónDemostración 22InspecciónInspección dede SSLSSL enen ISAISA ServerServer

RefuerzoRefuerzo dede lala seguridadseguridad dede ISAISA ServerServer

RefuerzoRefuerzo dede lala pilapila dede redred Deshabilite los protocolos de red Deshabilite los protocolos de red

innecesarios en la interfaz de red externa:innecesarios en la interfaz de red externa: Cliente para redes MicrosoftCliente para redes Microsoft Compartir impresoras y archivos para redes Compartir impresoras y archivos para redes

MicrosoftMicrosoft NetBIOS sobre TCP/IPNetBIOS sobre TCP/IP

Ampliando la plataformaAmpliando la plataforma

Ubicamos los Cortafuegos en diferentes localizaciones por Ubicamos los Cortafuegos en diferentes localizaciones por diversas razones. Se debe comprender las necesidades y diversas razones. Se debe comprender las necesidades y establecer los filtros en concordancia.establecer los filtros en concordancia.

Amplíe la funcionalidad básica con filtros de protocolos que Amplíe la funcionalidad básica con filtros de protocolos que cubran su escenario específicocubran su escenario específico

Ningún dispositivo será siempre la solución perfecta; las Ningún dispositivo será siempre la solución perfecta; las soluciones son más importantes que los dispositivossoluciones son más importantes que los dispositivos

Una visión para una Red SeguraUna visión para una Red Segura

Internet

Enrutadores Redundantes

Cortafuegos ISA

VLAN

VLAN

DC + Infrastructure

NIC teams/2 switches

VLAN

Front-end

VLAN

Backend

Detección de Intrusión

Priemr nivel de Cortafuegos

Filtros URL para OWATerminación RPC para Outlook

La implementación de uno o más Switches VLANs controlan el tráfico Inter-VLAN como lo hacen los cortafuegos – Las VLANs no están a prueba de bala (pero tampoco son servidores)Se permite o bloquea el tráfico basado en los requisitos de uso de las aplicaciones, los filtros entienden y hacen cumplir estos requisitos

..

Detección de IntrusiónDetección de Intrusión

RecomendacionesRecomendaciones UtiliceUtilice reglasreglas dede accesoacceso queque únicamenteúnicamente

permitanpermitan laslas solicitudessolicitudes queque sese admitanadmitan dede formaforma específicaespecífica

Utilice las capacidades de autenticación Utilice las capacidades de autenticación de ISA Server para restringir y registrar de ISA Server para restringir y registrar el acceso a Internetel acceso a Internet

Configure reglas de publicación en Web Configure reglas de publicación en Web para conjuntos de destinos específicospara conjuntos de destinos específicos

Utilice la inspección de SSL para Utilice la inspección de SSL para inspeccionar los datos cifrados que inspeccionar los datos cifrados que entren en la redentren en la red



perímetrosperímetros Uso del cortafuegos de Windows Uso del cortafuegos de Windows

para proteger a los clientespara proteger a los clientes Protección de redes inalámbricasProtección de redes inalámbricas Protección de comunicaciones Protección de comunicaciones










802.1x802.1x // WPAWPA

IPSecIPSec

InformaciónInformación generalgeneral sobresobre el el cortafuegos decortafuegos de WindowsWindows

CortafuegosCortafuegos dede WindowsWindows enen MicrosoftMicrosoft WindowsWindows XPXP yy MicrosoftMicrosoft WindowsWindows ServerServer 20032003

AyudaAyuda aa detenerdetener loslos ataquesataques basadosbasados enen lala red,red, comocomo Blaster,Blaster, alal bloquearbloquear todotodo elel tráficotráfico entranteentrante nono solicitadosolicitado

LosLos puertospuertos sese puedenpueden abrirabrir parapara loslos serviciosservicios queque sese ejecutanejecutan enen elel equipoequipo

La administración corporativa se realiza La administración corporativa se realiza a través de directivas de grupoa través de directivas de grupo

QuéQué eses

QuéQué hacehace

CaracterísticasCaracterísticas principalesprincipales

SeSe puedepuede habilitar:habilitar: Al activar una Al activar una

casilla de casilla de verificaciónverificación

Con el Asistente Con el Asistente para configuración para configuración de redde red

Con el Asistente Con el Asistente para conexión para conexión nuevanueva

Se habilita de forma Se habilita de forma independiente en independiente en cada conexión de redcada conexión de red

HabilitarHabilitar el cortafuegosel cortafuegos dede WindowsWindows

ServiciosServicios dede redred Aplicaciones basadas Aplicaciones basadas

en Weben Web

ConfiguraciónConfiguración avanzadaavanzada deldel cortafuegoscortafuegos dede WindowsWindows

OpcionesOpciones dede registroregistro

Opciones del Opciones del archivo de registroarchivo de registro

RegistroRegistro dede seguridadseguridad del del cortafuegos de Windowscortafuegos de Windows

CortafuegosCortafuegos dede WindowsWindows enen lala compañíacompañía ConfigureConfigure el cortafuegosel cortafuegos dede WindowsWindows

mediantemediante directivasdirectivas dede grupogrupo Combine el cortafuegos de Windows con Combine el cortafuegos de Windows con

Control de cuarentena de acceso a la redControl de cuarentena de acceso a la red

UtiliceUtilice el cortafuegosel cortafuegos dede WindowsWindows enen laslas oficinasoficinas domésticasdomésticas yy enen laslas pequeñaspequeñas compañíascompañías concon elel finfin dede proporcionarproporcionar protecciónprotección aa loslos equiposequipos queque esténestén conectadosconectados directamentedirectamente aa InternetInternet

No active el cortafuegos de Windows en una No active el cortafuegos de Windows en una conexión VPN (aunque debe habilitarlo en la conexión VPN (aunque debe habilitarlo en la conexión LAN o de acceso telefónico conexión LAN o de acceso telefónico subyacente)subyacente)

Configure las definiciones de servicio para cada Configure las definiciones de servicio para cada conexión de cortafuegos de Windows a través conexión de cortafuegos de Windows a través de la que desee que funcione el serviciode la que desee que funcione el servicio

Establezca el tamaño del registro de seguridad Establezca el tamaño del registro de seguridad en 16 megabytes para impedir el en 16 megabytes para impedir el desbordamiento que podrían ocasionar los desbordamiento que podrían ocasionar los ataques de denegación de servicioataques de denegación de servicio

RecomendacionesRecomendaciones

DemostraciónDemostración 33Cortafuegos deCortafuegos de WindowsWindows

ConfiguraciónConfiguración manualmanual PruebaPrueba

RevisiónRevisión dede loslos archivosarchivos dede registroregistro ConfiguraciónConfiguración dede directivasdirectivas dede grupogrupo



perímetrosperímetros Uso de Firewall de Windows para proteger Uso de Firewall de Windows para proteger

a los clientesa los clientes Protección de redes inalámbricasProtección de redes inalámbricas Protección de comunicaciones mediante Protección de comunicaciones mediante

IPSecIPSec









802.1x802.1x // WPAWPA

IPSecIPSec

LimitacionesLimitaciones dede WiredWired EquivalentEquivalent PrivacyPrivacy (WEP)(WEP) Las claves WEP estáticas no se cambian de Las claves WEP estáticas no se cambian de

forma dinámica y, por lo tanto, son forma dinámica y, por lo tanto, son vulnerables a los ataquesvulnerables a los ataques

No hay un método estándar para proporcionar No hay un método estándar para proporcionar claves WEP estáticas a los clientesclaves WEP estáticas a los clientes

Escalabilidad: el compromiso de una clave Escalabilidad: el compromiso de una clave WEP estática expone a todos los usuariosWEP estática expone a todos los usuarios

Limitaciones del filtrado de direcciones Limitaciones del filtrado de direcciones MACMAC Un intruso podría suplantar una dirección Un intruso podría suplantar una dirección

MAC permitidaMAC permitida

AspectosAspectos dede seguridadseguridad enen dispositivosdispositivos inalámbricosinalámbricos

AutenticaciónAutenticación dede nivelnivel 22 basadabasada enen contraseñascontraseñas PEAP/MSCHAP v2 de IEEE 802.1xPEAP/MSCHAP v2 de IEEE 802.1x

Autenticación de nivel 2 basada en certificadosAutenticación de nivel 2 basada en certificados EAP-TLS de IEEE 802.1xEAP-TLS de IEEE 802.1x

Otras opcionesOtras opciones Conexiones VPNConexiones VPN

L2TP/IPsec (la solución preferida) o PPTPL2TP/IPsec (la solución preferida) o PPTP No permite usuarios móvilesNo permite usuarios móviles Resulta útil cuando se utilizan zonas interactivas Resulta útil cuando se utilizan zonas interactivas

inalámbricas públicasinalámbricas públicas No se produce la autenticación de los equipos ni se No se produce la autenticación de los equipos ni se

procesa la configuración establecida en directivas de procesa la configuración establecida en directivas de grupogrupo

IPSecIPSec Problemas de interoperabilidadProblemas de interoperabilidad

PosiblesPosibles solucionessoluciones

Tipo de seguridad de WLAN

Nivel de seguridad

Facilidad de implementación

Facilidad de uso e

integración

WEPWEP estáticoestático BajoBajo AltaAlta AltosAltos

PEAPPEAP dede IEEEIEEE 802.1X802.1X AltoAlto MediaMedia AltosAltos

TLSTLS dede IEEEIEEE 802.1x802.1x AltoAlto BajaBaja AltosAltos

VPNVPN AltoAlto (L2TP/IPSec)(L2TP/IPSec) MediaMedia BajosBajos

IPSecIPSec AltoAlto BajaBaja BajosBajos

ComparacionesComparaciones dede lala seguridadseguridad dede WLANWLAN

DefineDefine unun mecanismomecanismo dede controlcontrol dede accesoacceso basadobasado enen puertospuertos Funciona en cualquier tipo de red, tanto Funciona en cualquier tipo de red, tanto

inalámbrica como con cablesinalámbrica como con cables No hay ningún requisito especial en cuanto a No hay ningún requisito especial en cuanto a

claves de cifradoclaves de cifrado

Permite elegir los métodos de autenticación Permite elegir los métodos de autenticación con EAPcon EAP Es la opción elegida por los elementos del mismo Es la opción elegida por los elementos del mismo

nivel en el momento de la autenticaciónnivel en el momento de la autenticación El punto de acceso no tiene que preocuparse de El punto de acceso no tiene que preocuparse de

los métodos de EAPlos métodos de EAP

Administra las claves de forma automáticaAdministra las claves de forma automática No es necesario programar previamente las No es necesario programar previamente las

claves de cifrado para la red inalámbricaclaves de cifrado para la red inalámbrica

802.1x802.1x

EthernetEthernet

PuntoPunto dede accesoacceso

ServidorServidor RADIUSRADIUS

InicioInicio dede EAPOLEAPOL

IdentidadIdentidad dede respuestarespuesta dede EAPEAP

DesafíoDesafío dede accesoacceso dede RADIUSRADIUS

RespuestaRespuesta dede EAP EAP (credenciales)(credenciales)

AccesoAcceso bloqueadobloqueado

AsociaciónAsociación

AceptaciónAceptación dede accesoacceso dede RADIUSRADIUS

IdentidadIdentidad dede solicitudsolicitud dede EAPEAP

SolicitudSolicitud dede EAPEAP

SolicitudSolicitud dede accesoacceso dede RADIUSRADIUS

SolicitudSolicitud dede accesoacceso dede RADIUSRADIUS

RADIUSRADIUS

EquipoEquipo portátilportátil

InalámbricoInalámbrico

802.11802.11AsociadoAsociado 802.11802.11

ÉxitoÉxito dede EAPEAP

AccesoAcceso permitidopermitidoClaveClave dede EAPOLEAPOL (clave)(clave)

802.1x802.1x enen 802.11802.11

RequisitosRequisitos deldel sistemasistema parapara 802.1x802.1x Cliente:Cliente: WindowsWindows XPXP Servidor: IAS de Windows Server 2003Servidor: IAS de Windows Server 2003

Servicio de autenticación Internet: nuestro Servicio de autenticación Internet: nuestro servidor RADIUSservidor RADIUS

Certificado en el equipo IASCertificado en el equipo IAS 802.1x en Windows 2000802.1x en Windows 2000

El cliente e IAS deben tener SP3El cliente e IAS deben tener SP3 Vea el artículo 313664 de KBVea el artículo 313664 de KB No se admite la configuración rápida No se admite la configuración rápida

en el clienteen el cliente Sólo se admiten EAP-TLS y MS-CHAPv2Sólo se admiten EAP-TLS y MS-CHAPv2

Es posible que los futuros métodos de EAP en Es posible que los futuros métodos de EAP en Windows XP y Windows Server 2003 no se Windows XP y Windows Server 2003 no se puedan utilizarpuedan utilizar

ConfiguraciónConfiguración dede 802.1x802.1x1.1. ConfigurarConfigurar WindowsWindows ServerServer 20032003 concon IASIAS

2.2. Unir un dominioUnir un dominio

3.3. Inscribir un certificado de equipoInscribir un certificado de equipo

4.4. Registrar IAS en Active DirectoryRegistrar IAS en Active Directory

5.5. Configurar el registro RADIUSConfigurar el registro RADIUS

6.6. Agregar el punto de acceso como cliente Agregar el punto de acceso como cliente RADIUSRADIUS

7.7. Configurar el punto de acceso para RADIUS y Configurar el punto de acceso para RADIUS y 802.1x802.1x

8.8. Crear una directiva de acceso para clientes Crear una directiva de acceso para clientes inalámbricosinalámbricos

9.9. Configurar los clientesConfigurar los clientes1.1. No olvide importar el certificado raízNo olvide importar el certificado raíz

DirectivaDirectiva dede accesoacceso

CondiciónCondición dede directivadirectiva El tipo de puerto NAS El tipo de puerto NAS

coincide con Wireless coincide con Wireless IEEE 802.11 o con IEEE 802.11 o con otro tipo de red otro tipo de red inalámbricainalámbrica

Grupo de Windows = Grupo de Windows = <algún grupo de AD><algún grupo de AD> Opcional; proporciona Opcional; proporciona

control administrativocontrol administrativo Debe contener cuentas Debe contener cuentas

de usuario y de equipode usuario y de equipo

PerfilPerfil dede directivasdirectivas dede accesoacceso

PerfilPerfil Tiempo de espera: Tiempo de espera:

60 min. (802.11b) o 60 min. (802.11b) o 10 min. (802.11a/g)10 min. (802.11a/g)

No elija métodos de No elija métodos de autenticación regularesautenticación regulares

Tipo de EAP: EAP Tipo de EAP: EAP protegido; utilice protegido; utilice certificados de equipocertificados de equipo

Cifrado: sólo el más Cifrado: sólo el más seguro seguro (MPPE de 128 bits)(MPPE de 128 bits)

Atributos: Atributos: Ignore-User-Ignore-User-Dialin-Properties = TrueDialin-Properties = True

Especificación de mejoras en la seguridad interoperables y basadas en estándares que aumenta enormemente el nivel de protección de los datos y el control de acceso para los sistemas actuales y futuros de LAN inalámbrica

WPA requiere la autenticación de 802.1x para el acceso de red

ObjetivosObjetivos Cifrado mejorado de los datosCifrado mejorado de los datos Permitir la autenticación de los usuariosPermitir la autenticación de los usuarios Compatible con versiones futuras de 802.11iCompatible con versiones futuras de 802.11i Proporcionar una solución que no sea RADIUS para las oficinas Proporcionar una solución que no sea RADIUS para las oficinas

domésticas o de pequeño tamañodomésticas o de pequeño tamaño

Wi-Fi Alliance comenzó las pruebas de certificación de la interoperabilidad de los productos de WPA en febrero de 2003

WirelessWireless ProtectedProtected AccessAccess (WPA)(WPA)

RecomendacionesRecomendaciones UtiliceUtilice lala autenticaciónautenticación dede 802.1x802.1x Organice en grupos a los usuarios y equipos Organice en grupos a los usuarios y equipos

inalámbricosinalámbricos Aplique directivas de acceso inalámbrico con Aplique directivas de acceso inalámbrico con

directivas de grupodirectivas de grupo Utilice EAP-TLS para la autenticación basada en Utilice EAP-TLS para la autenticación basada en

certificados y PEAP para la autenticación basada certificados y PEAP para la autenticación basada en contraseñasen contraseñas

Configure una directiva de acceso remoto para Configure una directiva de acceso remoto para permitir la autenticación de los usuarios y de los permitir la autenticación de los usuarios y de los equiposequipos

Desarrolle un método que se ocupe de los Desarrolle un método que se ocupe de los puntos de acceso sospechosos, como la puntos de acceso sospechosos, como la autenticación de 802.1x basada en LAN, las autenticación de 802.1x basada en LAN, las encuestas a sitios, la supervisión de la red y el encuestas a sitios, la supervisión de la red y el entrenamiento de los usuariosentrenamiento de los usuarios


IntroducciónIntroducción aa lala defensadefensa enen profundidadprofundidad Uso de defensas en el perímetroUso de defensas en el perímetro Uso de ISA Server para proteger los Uso de ISA Server para proteger los


proteger a los clientesproteger a los clientes Protección de redes inalámbricasProtección de redes inalámbricas Protección de comunicaciones mediante Protección de comunicaciones mediante

IPSecIPSec









802.1x802.1x // WPAWPA

IPSecIPSec

¿Qué¿Qué eses SeguridadSeguridad dede IPIP (IPSec)?(IPSec)? Un método para proteger el tráfico IPUn método para proteger el tráfico IP Una estructura de estándares abiertos Una estructura de estándares abiertos

desarrollada por el Grupo de trabajo de ingeniería desarrollada por el Grupo de trabajo de ingeniería de Internet (IETF, de Internet (IETF, Internet Engineering Task ForceInternet Engineering Task Force))

¿Por qué se debe utilizar IPSec?¿Por qué se debe utilizar IPSec? Para garantizar que las comunicaciones se cifran Para garantizar que las comunicaciones se cifran

y se autentican en el nivel IPy se autentican en el nivel IP Para proporcionar seguridad en el transporte Para proporcionar seguridad en el transporte

independiente de las aplicaciones o de los independiente de las aplicaciones o de los protocolos del nivel de aplicaciónprotocolos del nivel de aplicación

IntroducciónIntroducción aa IPSecIPSec

FiltradoFiltrado básicobásico parapara permitirpermitir oo bloquearbloquear paquetespaquetes

Comunicaciones Comunicaciones seguras en la LAN seguras en la LAN internainterna

Replicación en los Replicación en los dominios a través dominios a través de servidores de de servidores de seguridadseguridad

Acceso a VPN a Acceso a VPN a través de medios través de medios que no son de que no son de confianzaconfianza

EscenariosEscenarios dede IPSecIPSec

FiltrosFiltros parapara tráficotráfico permitidopermitido yy bloqueadobloqueado No se produce ninguna negociación real de No se produce ninguna negociación real de

las asociaciones de seguridad de IPSeclas asociaciones de seguridad de IPSec Los filtros se solapan: la coincidencia más Los filtros se solapan: la coincidencia más

específica determina la acciónespecífica determina la acción No proporciona filtrado de estadoNo proporciona filtrado de estado Se debe establecer "NoDefaultExempt = 1" Se debe establecer "NoDefaultExempt = 1"

para que sea seguropara que sea seguro

Desde IP A IP Protocolo Puerto de origen

Puerto de

destinoAcción

Cualquiera Mi IP de Internet Cualquiera N/D N/D Bloquear

Cualquiera Mi IP de Internet TCP Cualquiera 80 Permitir

ImplementaciónImplementación deldel filtradofiltrado dede paquetespaquetes dede IPSecIPSec

LosLos paquetespaquetes IPIP suplantadossuplantados contienencontienen consultasconsultas oo contenidocontenido peligrosopeligroso queque puedepuede seguirseguir llegandollegando aa loslos puertospuertos abiertosabiertos aa travéstravés dede loslos servidoresservidores dede seguridadseguridad

IPSec no permite la inspección de estadoIPSec no permite la inspección de estado Muchas herramientas que utilizan los Muchas herramientas que utilizan los

piratas informáticos emplean los puertos piratas informáticos emplean los puertos de origen 80, 88, 135 y otros para de origen 80, 88, 135 y otros para conectar a cualquier puerto de destinoconectar a cualquier puerto de destino

ElEl filtradofiltrado dede paquetespaquetes nono eses suficientesuficiente parapara protegerproteger unun servidorservidor

DireccionesDirecciones dede difusióndifusión IPIP No puede proteger a varios receptoresNo puede proteger a varios receptores

Direcciones de multidifusiónDirecciones de multidifusión De 224.0.0.0 a 239.255.255.255De 224.0.0.0 a 239.255.255.255

Kerberos: puerto UDP 88 de origen o destinoKerberos: puerto UDP 88 de origen o destino Kerberos es un protocolo seguro, que el servicio Kerberos es un protocolo seguro, que el servicio

de negociaciónde negociación IKE puede utilizar para la IKE puede utilizar para la autenticación de otros equipos en un dominioautenticación de otros equipos en un dominio

IKE: puerto UDP 500 de destinoIKE: puerto UDP 500 de destino Obligatorio para permitir que IKE negocie los Obligatorio para permitir que IKE negocie los

parámetros de seguridad de IPSecparámetros de seguridad de IPSec Windows Server 2003 configura únicamente Windows Server 2003 configura únicamente

la exención predeterminada de IKEla exención predeterminada de IKE

TráficoTráfico queque IPSecIPSec nono filtrafiltra

ComunicacionesComunicaciones internasinternas segurasseguras UtiliceUtilice IPSecIPSec parapara permitirpermitir lala autenticaciónautenticación mutuamutua dede

dispositivosdispositivos Utilice certificados o KerberosUtilice certificados o Kerberos La utilización de claves compartidas sólo es conveniente para La utilización de claves compartidas sólo es conveniente para

pruebaspruebas Utilice Encabezado de autenticación (AH) para Utilice Encabezado de autenticación (AH) para

garantizar la integridad de los paquetesgarantizar la integridad de los paquetes El Encabezado de autenticación proporciona integridad en los El Encabezado de autenticación proporciona integridad en los

paquetespaquetes El Encabezado de autenticación no cifra, con lo que se basa en El Encabezado de autenticación no cifra, con lo que se basa en

los sistemas de detección de intrusos de redlos sistemas de detección de intrusos de red Utilice Carga de seguridad encapsuladora (ESP) para Utilice Carga de seguridad encapsuladora (ESP) para

cifrar el tráfico sensiblecifrar el tráfico sensible ESP proporciona integridad en los paquetes y confidencialidadESP proporciona integridad en los paquetes y confidencialidad El cifrado impide la inspección de los paquetesEl cifrado impide la inspección de los paquetes

Planee minuciosamente qué tráfico debe protegersePlanee minuciosamente qué tráfico debe protegerse

IPsec “servidor iniciado” conexiones para IPsec “servidor iniciado” conexiones para servidores internosservidores internos

AplicaciónAplicación

IPsecIPsecDriverDriver

Directiva: Directiva: Cliente (solo Cliente (solo responde)responde)

Personalizar la Personalizar la seguridad en seguridad en la directiva: la directiva: “Server”“Server”

““Asegurar desde aquí a Asegurar desde aquí a cualquier destino, todo el cualquier destino, todo el tráfico unicast. Acepta sin tráfico unicast. Acepta sin asegurar. Miembros del asegurar. Miembros del dominio de confianza. ”dominio de confianza. ”

““Envía en texto claro, Envía en texto claro, asegura el tráfico solo asegura el tráfico solo si es requerido. si es requerido. Miembros del dominio Miembros del dominio de confianza.”de confianza.”

Directorio Directorio ActivoActivo

Key DistributionKey DistributionCenter (KDC)Center (KDC)

Windows 2000 controlador de dominoWindows 2000 controlador de domino

TGTTGT

TGTTGT

IKE SA negociaciónIKE SA negociación

UDP puerto 500UDP puerto 500

Ticket de SesiónTicket de Sesión

ticketticket

IPsec SAs establecidasIPsec SAs establecidas

Configuración del servidor no para usar en Internet! Configuración del servidor no para usar en Internet!

filtrosfiltros

Atravesar dominios que no confían Atravesar dominios que no confían entre síentre sí

Dominio ADominio A Windows 2000Windows 2000

IPsec con IPsec con autenticación autenticación

KerberosKerberos

Dominio B Windows 2000Dominio B Windows 2000

IPsec con IPsec con autenticación autenticación

KerberosKerberos

Si la política IPSEC está configurada para confiar Si la política IPSEC está configurada para confiar en ciertos miembros de dominio en ciertos miembros de dominio

(o dominios confiados),(o dominios confiados),la negociación IKE entre miembros de dominios la negociación IKE entre miembros de dominios

no confiados fallará en la autenticación de no confiados fallará en la autenticación de KerberosKerberos

Si A no confía en Si A no confía en BB

IPsec no puede IPsec no puede establecerse usando establecerse usando

IKE Kerb IKE Kerb authenticationauthentication

Atravesar dominios que no confían Atravesar dominios que no confían entre síentre sí

Windows 2000 Windows 2000 Dominio ADominio A

IPsec con IPsec con Autenticación Autenticación

KerberosKerberos

Windows 2000 Windows 2000 Dominio BDominio B

IPsec con IPsec con Autenticación Autenticación

KerberosKerberos

Cambiar la directiva IPsec sobre servidorA y clienteB Cambiar la directiva IPsec sobre servidorA y clienteB para usar primero autenticación por certificado, use para usar primero autenticación por certificado, use certificado desde la Raíz CA0, y después Kerberos.certificado desde la Raíz CA0, y después Kerberos.

La raíz CA0 común permite que ambos utilicen su La raíz CA0 común permite que ambos utilicen su propios certificados para la autenticación IKEpropios certificados para la autenticación IKE

Autoenroll Autoenroll servidor servidor en CA1en CA1

Autoenroll Autoenroll cliente en cliente en CA2CA2

CA1CA1 CA2CA2

CA0 CA0 Común Común

RaízRaíz

IPsec trabaja IPsec trabaja usando IKE usando IKE certificado certificado

autenticaciónautenticación

IPSecIPSec parapara lala replicaciónreplicación dede dominiosdominios UtiliceUtilice IPSecIPSec parapara lala replicaciónreplicación aa travéstravés dede

servidoresservidores dede seguridadseguridad En cada controlador de dominio, cree una En cada controlador de dominio, cree una

directiva IPSec para proteger todo el tráfico a la directiva IPSec para proteger todo el tráfico a la dirección IP del otro controlador de dominiodirección IP del otro controlador de dominio

Utilice ESP 3DES para el cifradoUtilice ESP 3DES para el cifrado Permita el tráfico a través del servidor de Permita el tráfico a través del servidor de

seguridad:seguridad: Puerto UDP 500 (IKE)Puerto UDP 500 (IKE) Protocolo IP 50 (ESP)Protocolo IP 50 (ESP)

AccesoAcceso dede VPNVPN aa travéstravés dede mediosmedios queque nono sonson dede confianzaconfianza VPNVPN dede clientecliente

Utilice L2TP/IPSecUtilice L2TP/IPSec

VPN de sucursalVPN de sucursal Entre Windows 2000 o Windows Server, con Entre Windows 2000 o Windows Server, con

RRAS: utilice túnel L2TP/IPSec (fácil de RRAS: utilice túnel L2TP/IPSec (fácil de configurar, aparece como una interfaz configurar, aparece como una interfaz enrutable)enrutable)

A una puerta de enlace de terceros: utilice A una puerta de enlace de terceros: utilice L2TP/IPSec o el modo de túnel puro de IPSecL2TP/IPSec o el modo de túnel puro de IPSec

A la puerta de enlace RRAS de Microsoft A la puerta de enlace RRAS de Microsoft Windows NT® 4: utilice PPTP (IPSec no está Windows NT® 4: utilice PPTP (IPSec no está disponible)disponible)

Unos datos enviadosUnos datos enviados

Solución IPSec sobre NATSolución IPSec sobre NAT

NATNAT

Envío de DatosEnvío de Datos

NATNATAA N1N1 N2N2 BB

Mapeo Estático:Mapeo Estático:N2, 500 -> B, 500N2, 500 -> B, 500N2, 4500 -> B, 4500N2, 4500 -> B, 4500

Nota de B a sí mismo: “N1 es realmente A… Encuentra SA para A<->B”Nota de B a sí mismo: “N1 es realmente A… Encuentra SA para A<->B”

UDP orig 4500, dest 4500UDP orig 4500, dest 4500A, N2A, N2 ESPESP ……resto del paquete IPsecresto del paquete IPsec

UDP orig 8888, dest 4500UDP orig 8888, dest 4500N1, N2N1, N2 ESPESP ……resto del resto del paquetepaquete IPsec IPsec

UDP orig 8888, dest 4500UDP orig 8888, dest 4500N1, BN1, B ESPESP ……resto del paquete IPsecresto del paquete IPsec

orig 8888orig 8888N1N1

BB

Solución IPSec sobre NATSolución IPSec sobre NAT

UDP orig 4500, dest 4500UDP orig 4500, dest 4500IPIP ESPESP ……resto del paquete IPsecresto del paquete IPsec

El tamaño incrementado del paquete puedeEl tamaño incrementado del paquete puedegenerar error de tamaño en el Path MTUgenerar error de tamaño en el Path MTU

L2TP recibe el error PMTU y lo corrigeL2TP recibe el error PMTU y lo corrige La corrección general de PMTU necesitada para el La corrección general de PMTU necesitada para el

tráfico no-L2TPtráfico no-L2TP Implementaciones de MicrosoftImplementaciones de Microsoft

Para clientes, meta cumplida para RAS VPNPara clientes, meta cumplida para RAS VPN No es una solución general por ahoraNo es una solución general por ahora

Para Windows Server 2003, caso general cubiertoPara Windows Server 2003, caso general cubierto Hecho para escenarios servidor-a-servidor (e.g. DC-DC)Hecho para escenarios servidor-a-servidor (e.g. DC-DC)

Encapsulación UDP: Detalle de Implementación—Path MTUEncapsulación UDP: Detalle de Implementación—Path MTU

Estado de IPsec NAT TraversalEstado de IPsec NAT Traversal Manipulado por la necesidad para el acceso remoto sobre IPSec - basado en VPNsManipulado por la necesidad para el acceso remoto sobre IPSec - basado en VPNs Implementado en IETF Estándar Propuesto (Draft-02)Implementado en IETF Estándar Propuesto (Draft-02) La interoperabilidad probada con enrutadores de 3La interoperabilidad probada con enrutadores de 3rosros para L2TP/IPSec para L2TP/IPSec Previsto para L2TP/IPsec en WindowsXP y anterioresPrevisto para L2TP/IPsec en WindowsXP y anteriores Previsto para todos los usos de IPsec en Windows Server 2003Previsto para todos los usos de IPsec en Windows Server 2003 Soportado por el Sistema OperativoSoportado por el Sistema Operativo

Versión Versión Soporte L2TP/IPsecSoporte L2TP/IPsecSoporte General del Modo Soporte General del Modo

Transporte de IPsecTransporte de IPsec

Windows Server 2003Windows Server 2003 SiSi SiSi44

Windows XPWindows XP SiSi11 No recomendadoNo recomendado55

Windows 2000Windows 2000 SiSi22 NoNo

Windows NT4Windows NT4 SiSi33 NoNo

Windows 98/MeWindows 98/Me SiSi33 NoNo

Nota 1: Windows Update o Nota 1: Windows Update o QFEQFENota 2: QFENota 2: QFENota 3: Con descarga de webNota 3: Con descarga de web

Nota 4: FTP Activo no trabajaráNota 4: FTP Activo no trabajaráNota 5: Algunas reducciones PTMU no Nota 5: Algunas reducciones PTMU no trabajantrabajan

Estados EstándaresEstados Estándares

Draft-02 fue lo mejor disponible Draft-02 fue lo mejor disponible durante mucho tiempo - windowsdurante mucho tiempo - windows Microsoft y otros lo han implementadoMicrosoft y otros lo han implementado Usable ahoraUsable ahora

Versión RFC en revisión ahoraVersión RFC en revisión ahora Cambia algunos detalles pequeños en Cambia algunos detalles pequeños en

números estándaresnúmeros estándares Microsoft lo adoptará en lanzamientos Microsoft lo adoptará en lanzamientos

futurosfuturos

Escenarios de ImplementaciónEscenarios de Implementación

Filtrado básico de paquetes Filtrado básico de paquetes permitir/bloquearpermitir/bloquear

Asegurar la comunicación interna en la Asegurar la comunicación interna en la LANLAN Cliente a servidorCliente a servidor Entre grandes grupos de ordenadoresEntre grandes grupos de ordenadores

Usar IPsec para la replicación de dominios Usar IPsec para la replicación de dominios a través de cortafuegosa través de cortafuegos

Establecimiento de túneles VPN sitio-a-Establecimiento de túneles VPN sitio-a-sitiositio

Acceso desde red confiado, a máquinas Acceso desde red confiado, a máquinas autorizadasautorizadas

VPN con sucursales: túneles VPN con sucursales: túneles enrutador-a-enrutadorenrutador-a-enrutador

Enrutador Enrutador Windows 2000, Windows 2000,

2003 RRAS2003 RRAS

Windows 2000, Windows 2000, 2003 o otro 2003 o otro enrutador enrutador

L2TP/IPsecL2TP/IPsec

Enrutador de 3Enrutador de 3rosros

Tunel L2TP/IPsecTunel L2TP/IPsec

(recomendado: fácil (recomendado: fácil de configurar; de configurar; aparece como aparece como interfaz enrutable)interfaz enrutable)

L2TP/IPsec o L2TP/IPsec o IPsec puro en IPsec puro en modo túnelmodo túnel

Túnel Túnel PPTPPPTP

Enrutador Enrutador Windows NT4 Windows NT4

RRASRRAS

El problemaEl problema

Usted conoce quien es su gente.Usted conoce quien es su gente. ¿Usted conoce quienes son sus ¿Usted conoce quienes son sus

ordenadores?ordenadores? ¿Usted sabe que está haciendo su ¿Usted sabe que está haciendo su

gente y sus aplicaciones?gente y sus aplicaciones?

Conociendo sus ordenadoresConociendo sus ordenadores

Windows 2000 no Windows 2000 no requiererequiere ser miembro ser miembro del dominiodel dominio

¿La directiva de grupo ayuda?¿La directiva de grupo ayuda? No puede hacerla cumplir a sus miembrosNo puede hacerla cumplir a sus miembros Puede prohibir retirarse desde el dominioPuede prohibir retirarse desde el dominio No puede parar a los no miembros que se No puede parar a los no miembros que se

comunican sobre la redcomunican sobre la red

Parar el acceso a red no confiableParar el acceso a red no confiable

Usted requiere que sus usuarios sean miembros del Usted requiere que sus usuarios sean miembros del dominio.dominio.

Por qué no, sus ordenadores, también?Por qué no, sus ordenadores, también? ““Muéstreme las credenciales”Muéstreme las credenciales” Típicamente no puede parar que alguien se conecte en su LANTípicamente no puede parar que alguien se conecte en su LAN

Acceso a red basado en: autenticación mutua= Acceso a red basado en: autenticación mutua= confianzaconfianza IKE Kerberos- trabaja dentro y atraviesa bosques con relación IKE Kerberos- trabaja dentro y atraviesa bosques con relación

de confianza bidireccionalde confianza bidireccional Nivel de Bosque IPsec AH con Kerberos Nivel de Bosque IPsec AH con Kerberos miembros del miembros del

dominio en los que se confíadominio en los que se confía Autenticación del certificado de IKE – control más fino para la Autenticación del certificado de IKE – control más fino para la

confianzaconfianza Autorice el acceso a red solamente a ordenadores específicos Autorice el acceso a red solamente a ordenadores específicos

del dominio utilizando el derecho de inicio de sesión “Acceso del dominio utilizando el derecho de inicio de sesión “Acceso a este ordenador desde la red”a este ordenador desde la red”

Conocer sus ordenadoresConocer sus ordenadores

Es una buena idea porque usted...Es una buena idea porque usted... Tiene (o desea) una directiva que requiera Tiene (o desea) una directiva que requiera

el uso de máquinas aprobadas solamenteel uso de máquinas aprobadas solamente Desea forzar a los ordenadores del centro Desea forzar a los ordenadores del centro

de datos a comunicarse solamente con de datos a comunicarse solamente con otros aprobados (no con servidores otros aprobados (no con servidores extraños)extraños)

Limitar las comunicaciones servidor-a-Limitar las comunicaciones servidor-a-servidor en su DMZ para frustrar ataques servidor en su DMZ para frustrar ataques MITM y spoofing de direccionesMITM y spoofing de direcciones

Hágalo con IPsec AHHágalo con IPsec AH Autenticación de paqueteAutenticación de paquete

La suma de comprobaciones significa la La suma de comprobaciones significa la fuente fuente eses la fuente la fuente

El contenido El contenido seasea el contenido el contenido Fácil de localizar las averías con Fácil de localizar las averías con

NetmonNetmon Los cortafuegos pueden filtrar el Los cortafuegos pueden filtrar el

interior de AH en protocolos y puertos interior de AH en protocolos y puertos en caso de necesidaden caso de necesidad

El sistema de Detección de Intrusos El sistema de Detección de Intrusos (NIDS) puede examinar el contenido de (NIDS) puede examinar el contenido de los paquetes en caso de necesidadlos paquetes en caso de necesidad

EscenariosEscenarios

TCI nivel empresarialTCI nivel empresarial Prevenir que lo que no son miembros del Prevenir que lo que no son miembros del

dominio hagan cualquier cosadominio hagan cualquier cosa IPsec AH Certificado o KerberosIPsec AH Certificado o Kerberos Aplicar directivas de grupos con “dominio Aplicar directivas de grupos con “dominio

por defecto”por defecto”

TCI servidor-a-servidorTCI servidor-a-servidor Prevenir servidores no autorizados o Prevenir servidores no autorizados o

enmascarados en el centro de datosenmascarados en el centro de datos Sólo certificados — enrollment manualSólo certificados — enrollment manual

Mover los enrutadores VPN con RRAS Mover los enrutadores VPN con RRAS a Windows Server 2003a Windows Server 2003

Mover los clientes VPN a Windows XP Mover los clientes VPN a Windows XP o Windows 2000o Windows 2000 Si fuese absolutamente necesario, Si fuese absolutamente necesario,

descargue y use cliente Windows 98 r descargue y use cliente Windows 98 r Windows NTWindows NT

Mover los RAS VPN a L2TP/IPSecMover los RAS VPN a L2TP/IPSec Descargar las actualizaciones de los Descargar las actualizaciones de los

clientes Windows XP y Windows 2000clientes Windows XP y Windows 2000

Próximos PasosPróximos Pasos

RendimientoRendimiento dede IPSecIPSec ElEl procesamientoprocesamiento dede IPSecIPSec tienetiene algunasalgunas

consecuenciasconsecuencias enen elel rendimientorendimiento Tiempo de negociación de IKE, inicialmente entre 2 y 5 Tiempo de negociación de IKE, inicialmente entre 2 y 5

segundossegundos 5 recorridos de ida y vuelta5 recorridos de ida y vuelta Autenticación: Kerberos o certificadosAutenticación: Kerberos o certificados Generación de claves criptográficas y mensajes cifradosGeneración de claves criptográficas y mensajes cifrados Se realiza una vez cada ocho horas de forma Se realiza una vez cada ocho horas de forma

predeterminada y se puede configurarpredeterminada y se puede configurar El cambio de claves de la sesión es rápido:< entre uno y El cambio de claves de la sesión es rápido:< entre uno y

dos segundos, dos recorridos de ida y vuelta, una vez dos segundos, dos recorridos de ida y vuelta, una vez cada hora y se puede configurarcada hora y se puede configurar

Cifrado de paquetesCifrado de paquetes ¿Cómo se puede mejorar?¿Cómo se puede mejorar?

Al descargar el proceso criptográfico en NIC, IPSec casi Al descargar el proceso criptográfico en NIC, IPSec casi alcanza la velocidad de los dispositivos con cablealcanza la velocidad de los dispositivos con cable

Mediante CPU más rápidasMediante CPU más rápidas

RecomendacionesRecomendaciones PlaneePlanee minuciosamenteminuciosamente lala implementaciónimplementación dede

IPSecIPSec Elija entre AH y ESPElija entre AH y ESP Utilice directivas de grupo para implementar Utilice directivas de grupo para implementar

directivas IPSecdirectivas IPSec Considere el uso de NIC de IPSecConsidere el uso de NIC de IPSec No utilice nunca la autenticación con claves No utilice nunca la autenticación con claves

compartidas fuera de un entorno de pruebacompartidas fuera de un entorno de prueba Elija entre la autenticación basada en Kerberos Elija entre la autenticación basada en Kerberos

o en certificadoso en certificados Tenga cuidado al requerir el uso de IPSec para Tenga cuidado al requerir el uso de IPSec para

las comunicaciones con controladores de las comunicaciones con controladores de dominio y otros servidores de infraestructurasdominio y otros servidores de infraestructuras

DemostraciónDemostración 44IPSecIPSec

ConfiguraciónConfiguración yy pruebaspruebas dede unauna directivadirectiva IPSecIPSec sencillasencilla

ConfiguraciónConfiguración yy pruebaspruebas dede unun filtrofiltro dede paquetespaquetes IPSecIPSec

ResumenResumen dede lala sesiónsesión

IntroducciónIntroducción aa lala defensadefensa enen profundidadprofundidad Uso de defensas en el perímetroUso de defensas en el perímetro Uso de ISA Server para proteger los Uso de ISA Server para proteger los

perímetrosperímetros Uso del Cortafuegos de Windows para Uso del Cortafuegos de Windows para

proteger a los clientesproteger a los clientes Protección de redes inalámbricasProtección de redes inalámbricas Protección de redes mediante IPSecProtección de redes mediante IPSec

PasosPasos siguientessiguientes1.1. MantenerseMantenerse informadoinformado sobresobre

seguridadseguridad Suscribirse a boletines de seguridad:Suscribirse a boletines de seguridad:

http://www.microsoft.com/spain/technet/seguridad/boletineshttp://www.microsoft.com/spain/technet/seguridad/boletines Obtener las directrices de seguridad de Microsoft Obtener las directrices de seguridad de Microsoft

más recientes:más recientes:http://www.microsoft.com/latam/technet/seguridad/practicas.asphttp://www.microsoft.com/latam/technet/seguridad/practicas.asp

2.2. Obtener aprendizaje adicional Obtener aprendizaje adicional de seguridadde seguridad1.1. Buscar seminarios de aprendizaje en línea y Buscar seminarios de aprendizaje en línea y

presenciales:presenciales:httphttp://://www.microsoft.comwww.microsoft.com//spainspain//technettechnet/seminarios/seminarios

1.1. Buscar un CTEC local que ofrezca cursos prácticos:Buscar un CTEC local que ofrezca cursos prácticos:http://www.microsoft.com/spain/technet/formacion/ctec/http://www.microsoft.com/spain/technet/formacion/ctec/

ParaPara obtenerobtener másmás informacióninformación

SitioSitio dede seguridadseguridad dede MicrosoftMicrosoft (todos(todos loslos usuarios)usuarios) http://www.microsoft.com/spain/seguridadhttp://www.microsoft.com/spain/seguridad

Sitio de seguridad de TechNet Sitio de seguridad de TechNet (profesionales de IT)(profesionales de IT) http://www.microsoft.com/spain/technet/http://www.microsoft.com/spain/technet/

seguridadseguridad

Sitio de seguridad de MSDN Sitio de seguridad de MSDN (desarrolladores)(desarrolladores) http://msdn.microsoft.com/security http://msdn.microsoft.com/security

(este sitio está en inglés)(este sitio está en inglés)

PreguntasPreguntas yy respuestasrespuestas

Implementando la Seguridad Perimetral y de Red Rafael Vázquez Consultor Senior Secdor R&D.

Documents

Transcript of Implementando la Seguridad Perimetral y de Red Rafael Vázquez Consultor Senior Secdor R&D.