Bienvenidos al Webcast sobre Como Implementar Seguridad Perimetral y de Red en Sistemas Microsoft...

Bienvenidos al Webcast sobreBienvenidos al Webcast sobre

Como Implementar Seguridad Como Implementar Seguridad Perimetral y de Red en Sistemas Perimetral y de Red en Sistemas

MicrosoftMicrosoft

25-febrero-200425-febrero-2004

Olvido NicolásOlvido NicolásResponsable de Comunidades TécnicasResponsable de Comunidades Técnicas

Microsoft EspañaMicrosoft España

[email protected]@microsoft.com

Acceder al audioAcceder al audio

Telf. gratuito para España: 800 099 463 – PASSCODE 479513

Telf. en Estado Unidos: +1 718 354 1114Telf. en Gran Bretaña: +44 (0)207 784 1022

Sonido deSonido de su PCsu PC (VoIP) (VoIP)

Hagan clic en el enlace Click Here for Audio de su

pantalla

Audio por teléfonoAudio por teléfono

(Puede ver este número de teléfono en cualquier momento presionando (Ctrl + i) o menú View – Meeting Information de la barra de herramientas)

Comunicarse con los ponentes Comunicarse con los ponentes El panel Seating Chart les permite ofrecer

feedback a los Ponentes. Hagan clic en el menú desplegable para cambiar el color de su asiento en cualquier momento.

Si necesita ayuda cambie su asiento

a color ROJO.

Algunos consejosAlgunos consejos

Pantalla Completa Ctrl+HPantalla Completa Ctrl+H Presione Ctrl+H en su teclado para ver la pantalla completa

durante la demostración. Presionando de nuevo Ctrl+H volverán a aparecer los menús.

Resolución Recomendada Resolución Recomendada 1024 x 768 pixels

Impresión de la presentación en formato PDF al final del eventoImpresión de la presentación en formato PDF al final del evento En el Menú File (parte superior de su pantalla) seleccione la

opción Print to PDF, o la combinación de teclas Ctrl+P de su teclado. Print to PDF estará disponible cuando nuestro Ponente lo mencione de nuevo en la conclusión del evento.

Hacer preguntasHacer preguntas Si tiene cualquier pregunta durante la presentación haga click Si tiene cualquier pregunta durante la presentación haga click

en el botón “Ask a Question”en el botón “Ask a Question”

Introduzca su pregunta en el Introduzca su pregunta en el recuadro que aparecerá en recuadro que aparecerá en pantalla y haga click en el botón pantalla y haga click en el botón “Ask”“Ask”

Las preguntas se responderán al finalizar el webcast. Si Las preguntas se responderán al finalizar el webcast. Si envían una segunda pregunta, la primera será eliminada envían una segunda pregunta, la primera será eliminada de la cola de la cola

Soporte técnicoSoporte técnico Entrar de nuevo en la ReuniónEntrar de nuevo en la Reunión Si su conexión a Internet se interrumpe o su explorador se Si su conexión a Internet se interrumpe o su explorador se

detiene, vuelva a la ventana inicial de su explorador, detiene, vuelva a la ventana inicial de su explorador, (probablemente esté minimizada en su barra de tareas), y (probablemente esté minimizada en su barra de tareas), y haga clic en el botón “Entrar de nuevo en la Reunión” para haga clic en el botón “Entrar de nuevo en la Reunión” para actualizar la sesión de conferenciaactualizar la sesión de conferencia. .

Soporte TécnicoSoporte Técnico Si experimenta alguna dificultad técnica durante el evento de Si experimenta alguna dificultad técnica durante el evento de

hoy, por favor,hoy, por favor, cambie a Rojo el color de su asientocambie a Rojo el color de su asiento o pulse o pulse asterisco y cero en su teléfono de llamada por tonos para asterisco y cero en su teléfono de llamada por tonos para pedir ayuda al operador. pedir ayuda al operador.

También puede envíar su pregunta de soporte técnico a través También puede envíar su pregunta de soporte técnico a través del panel del panel Questions & AnswersQuestions & Answers como si estuviese enviando como si estuviese enviando una pregunta. una pregunta.

Cuando esté listo para comenzar Cuando esté listo para comenzar indíquelo en el recuadro “Seating indíquelo en el recuadro “Seating Chart”Chart”

Cuestionario de evaluación onlineCuestionario de evaluación online

Su opinión es muy importante para nosotrosSu opinión es muy importante para nosotros

Por favor, le agradeceríamos que nos enviase su feedback completando el Por favor, le agradeceríamos que nos enviase su feedback completando el cuestionario de evaluación en esta direccióncuestionario de evaluación en esta dirección

www.microsoft.com/spain/TechNet/EvaluacionWebcastwww.microsoft.com/spain/TechNet/EvaluacionWebcast

Recibirá un recordatorio por email en un par de días. Recibirá un recordatorio por email en un par de días.

¡¡ Comencemos a grabar!!¡¡ Comencemos a grabar!!

Implementando la Implementando la Seguridad Perimetral y Seguridad Perimetral y de Redde Red

Andrés MartínAndrés Martín

Technical ConsultantTechnical Consultant

Microsoft Consulting ServicesMicrosoft Consulting Services

ConocimientosConocimientos imprescindiblesimprescindibles

DescripciónDescripción dede loslos fundamentosfundamentos dede seguridadseguridad dede unauna redred

Experiencia práctica con Experiencia práctica con Windows® Server 2000 o Windows® Server 2000 o Windows Server™ 2003Windows Server™ 2003

Experiencia con las herramientas de Experiencia con las herramientas de administración de Windowsadministración de Windows

NivelNivel 300300

OrdenOrden deldel díadía

IntroducciónIntroducción Uso de defensas en el perímetroUso de defensas en el perímetro Uso de Microsoft® Internet Security Uso de Microsoft® Internet Security

and Acceleration (ISA) Server para and Acceleration (ISA) Server para proteger los perímetrosproteger los perímetros

Uso del cortafuegos de Windows para Uso del cortafuegos de Windows para proteger a los clientesproteger a los clientes

Protección de redes inalámbricasProtección de redes inalámbricas Protección de comunicaciones Protección de comunicaciones

mediante IPSecmediante IPSec

DefensaDefensa enen profundidadprofundidad ElEl usouso dede unauna soluciónsolución enen niveles:niveles:

Aumenta la posibilidad de que se detecten los Aumenta la posibilidad de que se detecten los intrusosintrusos

Disminuye la posibilidad de que los intrusos Disminuye la posibilidad de que los intrusos logren su propósitologren su propósito

Directivas, procedimientos y concienciación

Directivas, procedimientos y concienciación

RefuerzoRefuerzo deldel sistemasistema operativo,operativo, administraciónadministración dede actualizaciones,actualizaciones, autenticación,autenticación, HIDSHIDS

ServidoresServidores dede seguridad,seguridad, sistemassistemas dede cuarentenacuarentena enen VPNVPNGuardiasGuardias dede seguridad,seguridad, bloqueos,bloqueos, dispositivosdispositivos dede seguimientoseguimiento

SegmentosSegmentos dede red,red, IPSec,IPSec, NIDSNIDS

RefuerzoRefuerzo dede laslas aplicaciones,aplicaciones, antivirusantivirus

ACL,ACL, cifradocifrado

ProgramasProgramas dede aprendizajeaprendizaje parapara loslos usuariosusuarios

Seguridad físicaSeguridad física

PerimetralPerimetral

Red internaRed interna

HostHost

AplicaciónAplicación

DatosDatos

PropósitoPropósito yy limitacioneslimitaciones dede laslas defensasdefensas dede perímetroperímetro LosLos servidoresservidores dede seguridadseguridad yy enrutadoresenrutadores dede

bordeborde configuradosconfigurados correctamentecorrectamente constituyenconstituyen lala piedrapiedra angularangular dede lala seguridadseguridad deldel perímetroperímetro

Internet y la movilidad aumentan los riesgos de Internet y la movilidad aumentan los riesgos de seguridadseguridad

Las redes VPN han debilitado el perímetro y, Las redes VPN han debilitado el perímetro y, junto con las redes inalámbricas, han junto con las redes inalámbricas, han ocasionado, esencialmente, la desaparición del ocasionado, esencialmente, la desaparición del concepto tradicional de perímetro de redconcepto tradicional de perímetro de red

Los servidores de seguridad tradicionales con Los servidores de seguridad tradicionales con filtrado de paquetes sólo bloquean los puertos filtrado de paquetes sólo bloquean los puertos de red y las direcciones de los equiposde red y las direcciones de los equipos

En la actualidad, la mayor parte de los ataques En la actualidad, la mayor parte de los ataques se producen en el nivel de aplicaciónse producen en el nivel de aplicación

PropósitoPropósito yy limitacioneslimitaciones dede laslas defensasdefensas dede loslos clientesclientes LasLas defensasdefensas dede loslos clientesclientes bloqueanbloquean loslos

ataquesataques queque omitenomiten laslas defensasdefensas deldel perímetroperímetro oo queque sese originanoriginan enen lala redred internainterna

Las defensas de los clientes incluyen, entre Las defensas de los clientes incluyen, entre otras:otras: Refuerzo de la seguridad del sistema Refuerzo de la seguridad del sistema

operativooperativo Programas antivirusProgramas antivirus Servidores de seguridad personalesServidores de seguridad personales

Las defensas de los clientes requieren que se Las defensas de los clientes requieren que se configuren muchos equiposconfiguren muchos equipos

ObjetivosObjetivos dede seguridadseguridad enen unauna redred

DefensaDefensa deldel perímetroperímetro

DefensaDefensa dede loslos clientesclientes

DetecciónDetección dede intrusosintrusos

ControlControl dede accesoacceso aa lala redred

ConfidencialidadConfidencialidad AccesoAccesoremotoremoto seguroseguro

ServidorServidor ISAISA

FirewallFirewall dede WindowsWindows

802.1x802.1x // WPAWPA

IPSecIPSec


IntroducciónIntroducción Uso de defensas en el perímetroUso de defensas en el perímetro Uso de ISA Server para proteger los Uso de ISA Server para proteger los

perímetrosperímetros Uso del cortafuegos de Windows para Uso del cortafuegos de Windows para

proteger a los clientesproteger a los clientes Protección de redes inalámbricasProtección de redes inalámbricas Protección de comunicaciones Protección de comunicaciones


InformaciónInformación generalgeneral sobresobre laslas conexionesconexiones dede perímetroperímetro

Internet Sucursales Socios comerciales Usuarios remotos Redes inalámbricas Aplicaciones de Internet

Los perímetros de red incluyen conexiones a:

Socio comercial

LAN

Oficina principal

LAN

Sucursal

LAN

Red inalámbrica

Usuario remoto

Internet

DiseñoDiseño deldel servidorservidor dede seguridad:seguridad: dede tripletriple interfazinterfaz

Subred protegidaInternet

LAN

Servidor de seguridad

DiseñoDiseño deldel servidorservidor dede seguridad:seguridad: dede tipotipo opuestoopuesto concon opuestoopuesto oo sándwichsándwich

Internet

ExternaServidor de seguridad

LANInternaServidor de seguridad

Subred protegida

Tráfico peligroso que atraviesa los puertos abiertos y no es inspeccionado en el nivel de aplicación por el servidor de seguridad

Tráfico que atraviesa un túnel o sesión cifradosTráfico que atraviesa un túnel o sesión cifrados Ataques que se producen una vez que se ha

entrado en una red Tráfico que parece legítimo Usuarios y administradores que intencionada o

accidentalmente instalan virus Administradores que utilizan contraseñas poco

seguras

ContraContra quéqué NONO protegenprotegen loslos servidoresservidores dede seguridadseguridad

ServidoresServidores dede seguridadseguridad dede softwaresoftware yy dede hardwarehardware

Factores de decisión Descripción

FlexibilidadLa actualización de las vulnerabilidades y revisiones más recientes suele ser más fácil con servidores de seguridad basados en software.

Extensibilidad Muchos servidores de seguridad de hardware sólo permiten una capacidad de personalización limitada.

Elección de proveedores

Los servidores de seguridad de software permiten elegir entre hardware para una amplia variedad de necesidades y no se depende de un único proveedor para obtener hardware adicional.

Costo

El precio de compra inicial para los servidores de seguridad de hardware podría ser inferior. Los servidores de seguridad de software se benefician del menor costo de las CPU. El hardware se puede actualizar fácilmente y el hardware antiguo se puede reutilizar.

Complejidad Los servidores de seguridad de hardware suelen ser menos complejos.

Disponibilidad global

El factor de decisión más importante es si un servidor de seguridad puede realizar las tareas necesarias. Con frecuencia, la diferencia entre los servidores de hardware y de software no resulta clara.

TiposTipos dede funcionesfunciones dede loslos servidoresservidores dede seguridadseguridad FiltradoFiltrado dede paquetespaquetes Inspección de estadoInspección de estado Inspección del nivel de aplicaciónInspección del nivel de aplicación

InspecciónInspección multinivelmultinivel(Incluido el filtrado del nivel de aplicación)(Incluido el filtrado del nivel de aplicación)

InternetInternet




proteger a los clientesproteger a los clientes Protección de redes inalámbricasProtección de redes inalámbricas Protección de comunicaciones mediante Protección de comunicaciones mediante

IPSecIPSec








**


802.1x802.1x // WPAWPA

IPSecIPSec

** DetecciónDetección básicabásica dede intrusos,intrusos, queque sese amplíaamplía graciasgracias alal trabajotrabajo dede loslos asociadosasociados

ProtecciónProtección dede loslos perímetrosperímetros ISAISA ServerServer tienetiene completascompletas capacidadescapacidades

dede filtrado:filtrado: Filtrado de paquetesFiltrado de paquetes Inspección de estadoInspección de estado Inspección del nivel de aplicaciónInspección del nivel de aplicación

ISA Server bloquea todo el tráfico de red a ISA Server bloquea todo el tráfico de red a menos que usted lo permitamenos que usted lo permita

ISA Server permite establecer conexiones ISA Server permite establecer conexiones VPN segurasVPN seguras

ISA Server tiene las certificaciones ICSA y ISA Server tiene las certificaciones ICSA y Common CriteriaCommon Criteria

ProtecciónProtección dede loslos clientesclientes

Método Descripción

Funciones de proxy

Procesa todas las solicitudes para los clientes y nunca permite las conexiones directas.

Clientes admitidos

Se admiten todos los clientes sin software especial. La instalación del software de servidor de seguridad ISA en clientes Windows permite utilizar más funciones.

Reglas Las reglas de protocolo, reglas de sitio y contenido, y reglas de publicación determinan si se permite el acceso.

Complementos

El precio de compra inicial para los servidores de seguridad de hardware podría ser inferior. Los servidores de seguridad de software se benefician del menor costo de las CPU. El hardware se puede actualizar fácilmente y el hardware antiguo se puede reutilizar.

ProtecciónProtección dede loslos servidoresservidores WebWeb

ReglasReglas dede publicaciónpublicación enen WebWeb Para proteger de ataques externos a los Para proteger de ataques externos a los

servidores Web que se encuentran detrás de los servidores Web que se encuentran detrás de los servidores de seguridad, inspeccione el tráfico servidores de seguridad, inspeccione el tráfico HTTP y compruebe que su formato es apropiado y HTTP y compruebe que su formato es apropiado y cumple los estándarescumple los estándares

Inspección del tráfico SSLInspección del tráfico SSL Descifra e inspecciona las solicitudes Web Descifra e inspecciona las solicitudes Web

entrantes cifradas para comprobar que su formato entrantes cifradas para comprobar que su formato es apropiado y que cumple los estándareses apropiado y que cumple los estándares

Si se desea, volverá a cifrar el tráfico antes de Si se desea, volverá a cifrar el tráfico antes de enviarlo al servidor Webenviarlo al servidor Web

URLScanURLScan ElEl paquetepaquete dede característicascaracterísticas 11 dede ISAISA ServerServer

incluyeincluye URLScanURLScan 2.52.5 parapara ISAISA ServerServer Permite que el filtro ISAPI de URLScan se Permite que el filtro ISAPI de URLScan se

aplique al perímetro de la redaplique al perímetro de la red Se produce un bloqueo general en todos los Se produce un bloqueo general en todos los

servidores Web que se encuentran detrás del servidores Web que se encuentran detrás del servidor de seguridadservidor de seguridad

Se bloquean en el perímetro los ataques Se bloquean en el perímetro los ataques conocidos y los descubiertos recientementeconocidos y los descubiertos recientemente

Servidor Web 1

ISA Server

Servidor Web 2

Servidor Web 3

ProtecciónProtección dede ExchangeExchange ServerServer

Método Descripción

Asistente para publicación de correo

Configura reglas de ISA Server con el fin de publicar servicios de correo interno para usuarios externos de forma segura

Message Screener

Filtra los mensajes de correo electrónico SMTP que entran en la red interna

Publicación RPC Protege el acceso del protocolo nativo de los clientes Microsoft Outlook®

Publicación OWA

Proporciona protección del servidor de solicitudes de cliente OWA para los usuarios remotos de Outlook que tienen acceso a Microsoft Exchange Server sin una VPN a través de redes que no son de confianza

DemostraciónDemostración 11InspecciónInspección deldel nivelnivel dede aplicaciónaplicación

enen ISAISA ServerServer

PublicaciónPublicación de de WebWebURLScanURLScan

Inspección SSLInspección SSL

TráficoTráfico queque omiteomite lala inspeccióninspección dede loslos servidoresservidores dede seguridadseguridad

LosLos túnelestúneles SSLSSL atraviesanatraviesan loslos servidoresservidores dede seguridadseguridad tradicionalestradicionales porqueporque esteeste tipotipo dede tráficotráfico estáestá cifrado,cifrado, lolo queque permitepermite aa loslos virusvirus yy gusanosgusanos pasarpasar sinsin serser detectadosdetectados ee infectarinfectar loslos servidoresservidores internosinternos

El tráfico VPN se cifra y no se puede El tráfico VPN se cifra y no se puede inspeccionarinspeccionar

El tráfico de Instant Messenger (IM) no se El tráfico de Instant Messenger (IM) no se suele inspeccionar y podría utilizarse para suele inspeccionar y podría utilizarse para transferir archivostransferir archivos

InspecciónInspección dede todotodo elel tráficotráfico

UtiliceUtilice sistemassistemas dede deteccióndetección dede intrusosintrusos yy otrosotros mecanismosmecanismos parapara inspeccionarinspeccionar elel tráficotráfico VPNVPN unauna vezvez descifradodescifrado Recuerde: defensa en profundidadRecuerde: defensa en profundidad

Utilice un servidor de seguridad que pueda Utilice un servidor de seguridad que pueda inspeccionar el tráfico SSLinspeccionar el tráfico SSL

Expanda las capacidades de inspección del Expanda las capacidades de inspección del servidor de seguridadservidor de seguridad Utilice complementos para el servidor de seguridad Utilice complementos para el servidor de seguridad

que permitan inspeccionar el tráfico de IMque permitan inspeccionar el tráfico de IM

InspecciónInspección dede SSLSSL

LosLos túnelestúneles SSLSSL atraviesanatraviesan loslos servidoresservidores dede seguridadseguridad tradicionalestradicionales porqueporque esteeste tipotipo dede tráficotráfico estáestá cifrado,cifrado, lolo queque permitepermite aa loslos virusvirus yy gusanosgusanos pasarpasar sinsin serser detectadosdetectados ee infectarinfectar loslos servidoresservidores internosinternos

ISA Server puede descifrar e inspeccionar el ISA Server puede descifrar e inspeccionar el tráfico SSL. El tráfico inspeccionado se puede tráfico SSL. El tráfico inspeccionado se puede enviar al servidor interno sin cifrar o cifrado de enviar al servidor interno sin cifrar o cifrado de nuevonuevo

RefuerzoRefuerzo dede lala seguridadseguridad dede ISAISA ServerServer

RefuerzoRefuerzo dede lala pilapila dede redred Deshabilite los protocolos de red Deshabilite los protocolos de red

innecesarios en la interfaz de red externa:innecesarios en la interfaz de red externa: Cliente para redes MicrosoftCliente para redes Microsoft Compartir impresoras y archivos para redes Compartir impresoras y archivos para redes

MicrosoftMicrosoft NetBIOS sobre TCP/IPNetBIOS sobre TCP/IP

RecomendacionesRecomendaciones UtiliceUtilice reglasreglas dede accesoacceso queque únicamenteúnicamente

permitanpermitan laslas solicitudessolicitudes queque sese admitanadmitan dede formaforma específicaespecífica

Utilice las capacidades de autenticación Utilice las capacidades de autenticación de ISA Server para restringir y registrar de ISA Server para restringir y registrar el acceso a Internetel acceso a Internet

Configure reglas de publicación en Web Configure reglas de publicación en Web para conjuntos de destinos específicospara conjuntos de destinos específicos

Utilice la inspección de SSL para Utilice la inspección de SSL para inspeccionar los datos cifrados que inspeccionar los datos cifrados que entren en la redentren en la red



perímetrosperímetros Uso del cortafuegos de Windows Uso del cortafuegos de Windows

para proteger a los clientespara proteger a los clientes Protección de redes inalámbricasProtección de redes inalámbricas Protección de comunicaciones Protección de comunicaciones










802.1x802.1x // WPAWPA

IPSecIPSec

InformaciónInformación generalgeneral sobresobre el el cortafuegos decortafuegos de WindowsWindows

CortafuegosCortafuegos dede WindowsWindows enen MicrosoftMicrosoft WindowsWindows XPXP yy MicrosoftMicrosoft WindowsWindows ServerServer 20032003

AyudaAyuda aa detenerdetener loslos ataquesataques basadosbasados enen lala red,red, comocomo Blaster,Blaster, alal bloquearbloquear todotodo elel tráficotráfico entranteentrante nono solicitadosolicitado

LosLos puertospuertos sese puedenpueden abrirabrir parapara loslos serviciosservicios queque sese ejecutanejecutan enen elel equipoequipo

La administración corporativa se realiza La administración corporativa se realiza a través de directivas de grupoa través de directivas de grupo

QuéQué eses

QuéQué hacehace

CaracterísticasCaracterísticas principalesprincipales

SeSe puedepuede habilitar:habilitar: Al activar una Al activar una

casilla de casilla de verificaciónverificación

Con el Asistente Con el Asistente para configuración para configuración de redde red

Con el Asistente Con el Asistente para conexión para conexión nuevanueva

Se habilita de forma Se habilita de forma independiente en independiente en cada conexión de redcada conexión de red

HabilitarHabilitar el cortafuegosel cortafuegos dede WindowsWindows

ServiciosServicios dede redred Aplicaciones basadas Aplicaciones basadas

en Weben Web

ConfiguraciónConfiguración avanzadaavanzada deldel cortafuegoscortafuegos dede WindowsWindows

OpcionesOpciones dede registroregistro

Opciones del Opciones del archivo de registroarchivo de registro

RegistroRegistro dede seguridadseguridad del del cortafuegos de Windowscortafuegos de Windows

CortafuegosCortafuegos dede WindowsWindows enen lala compañíacompañía ConfigureConfigure el cortafuegosel cortafuegos dede WindowsWindows

mediantemediante directivasdirectivas dede grupogrupo Combine el cortafuegos de Windows con Combine el cortafuegos de Windows con

Control de cuarentena de acceso a la redControl de cuarentena de acceso a la red

UtiliceUtilice el cortafuegosel cortafuegos dede WindowsWindows enen laslas oficinasoficinas domésticasdomésticas yy enen laslas pequeñaspequeñas compañíascompañías concon elel finfin dede proporcionarproporcionar protecciónprotección aa loslos equiposequipos queque esténestén conectadosconectados directamentedirectamente aa InternetInternet

No active el cortafuegos de Windows en una No active el cortafuegos de Windows en una conexión VPN (aunque debe habilitarlo en la conexión VPN (aunque debe habilitarlo en la conexión LAN o de acceso telefónico conexión LAN o de acceso telefónico subyacente)subyacente)

Configure las definiciones de servicio para cada Configure las definiciones de servicio para cada conexión de cortafuegos de Windows a través conexión de cortafuegos de Windows a través de la que desee que funcione el serviciode la que desee que funcione el servicio

Establezca el tamaño del registro de seguridad Establezca el tamaño del registro de seguridad en 16 megabytes para impedir el en 16 megabytes para impedir el desbordamiento que podrían ocasionar los desbordamiento que podrían ocasionar los ataques de denegación de servicioataques de denegación de servicio

RecomendacionesRecomendaciones

DemostraciónDemostración 22Cortafuegos deCortafuegos de WindowsWindows

ConfiguraciónConfiguración manualmanual PruebaPrueba

RevisiónRevisión dede loslos archivosarchivos dede registroregistro



perímetrosperímetros Uso de Firewall de Windows para proteger Uso de Firewall de Windows para proteger

a los clientesa los clientes Protección de redes inalámbricasProtección de redes inalámbricas Protección de comunicaciones mediante Protección de comunicaciones mediante

IPSecIPSec









802.1x802.1x // WPAWPA

IPSecIPSec

LimitacionesLimitaciones dede WiredWired EquivalentEquivalent PrivacyPrivacy (WEP)(WEP) Las claves WEP estáticas no se cambian de Las claves WEP estáticas no se cambian de

forma dinámica y, por lo tanto, son forma dinámica y, por lo tanto, son vulnerables a los ataquesvulnerables a los ataques

No hay un método estándar para proporcionar No hay un método estándar para proporcionar claves WEP estáticas a los clientesclaves WEP estáticas a los clientes

Escalabilidad: el compromiso de una clave Escalabilidad: el compromiso de una clave WEP estática expone a todos los usuariosWEP estática expone a todos los usuarios

Limitaciones del filtrado de direcciones Limitaciones del filtrado de direcciones MACMAC Un intruso podría suplantar una dirección Un intruso podría suplantar una dirección

MAC permitidaMAC permitida

AspectosAspectos dede seguridadseguridad enen dispositivosdispositivos inalámbricosinalámbricos

AutenticaciónAutenticación dede nivelnivel 22 basadabasada enen contraseñascontraseñas PEAP/MSCHAP v2 de IEEE 802.1xPEAP/MSCHAP v2 de IEEE 802.1x

Autenticación de nivel 2 basada en certificadosAutenticación de nivel 2 basada en certificados EAP-TLS de IEEE 802.1xEAP-TLS de IEEE 802.1x

Otras opcionesOtras opciones Conexiones VPNConexiones VPN

L2TP/IPsec (la solución preferida) o PPTPL2TP/IPsec (la solución preferida) o PPTP No permite usuarios móvilesNo permite usuarios móviles Resulta útil cuando se utilizan zonas interactivas Resulta útil cuando se utilizan zonas interactivas

inalámbricas públicasinalámbricas públicas No se produce la autenticación de los equipos ni se No se produce la autenticación de los equipos ni se

procesa la configuración establecida en directivas de procesa la configuración establecida en directivas de grupogrupo

IPSecIPSec Problemas de interoperabilidadProblemas de interoperabilidad

PosiblesPosibles solucionessoluciones

Tipo de seguridad de WLAN

Nivel de seguridad

Facilidad de implementación

Facilidad de uso e

integración

WEPWEP estáticoestático BajoBajo AltaAlta AltosAltos

PEAPPEAP dede IEEEIEEE 802.1X802.1X AltoAlto MediaMedia AltosAltos

TLSTLS dede IEEEIEEE 802.1x802.1x AltoAlto BajaBaja AltosAltos

VPNVPN AltoAlto (L2TP/IPSec)(L2TP/IPSec) MediaMedia BajosBajos

IPSecIPSec AltoAlto BajaBaja BajosBajos

ComparacionesComparaciones dede lala seguridadseguridad dede WLANWLAN

DefineDefine unun mecanismomecanismo dede controlcontrol dede accesoacceso basadobasado enen puertospuertos Funciona en cualquier tipo de red, tanto Funciona en cualquier tipo de red, tanto

inalámbrica como con cablesinalámbrica como con cables No hay ningún requisito especial en cuanto a No hay ningún requisito especial en cuanto a

claves de cifradoclaves de cifrado

Permite elegir los métodos de autenticación Permite elegir los métodos de autenticación con EAPcon EAP Es la opción elegida por los elementos del mismo Es la opción elegida por los elementos del mismo

nivel en el momento de la autenticaciónnivel en el momento de la autenticación El punto de acceso no tiene que preocuparse de El punto de acceso no tiene que preocuparse de

los métodos de EAPlos métodos de EAP

Administra las claves de forma automáticaAdministra las claves de forma automática No es necesario programar previamente las No es necesario programar previamente las

claves de cifrado para la red inalámbricaclaves de cifrado para la red inalámbrica

802.1x802.1x

EthernetEthernet

PuntoPunto dede accesoacceso

ServidorServidor RADIUSRADIUS

InicioInicio dede EAPOLEAPOL

IdentidadIdentidad dede respuestarespuesta dede EAPEAP

DesafíoDesafío dede accesoacceso dede RADIUSRADIUS

RespuestaRespuesta dede EAP EAP (credenciales)(credenciales)

AccesoAcceso bloqueadobloqueado

AsociaciónAsociación

AceptaciónAceptación dede accesoacceso dede RADIUSRADIUS

IdentidadIdentidad dede solicitudsolicitud dede EAPEAP

SolicitudSolicitud dede EAPEAP

SolicitudSolicitud dede accesoacceso dede RADIUSRADIUS

SolicitudSolicitud dede accesoacceso dede RADIUSRADIUS

RADIUSRADIUS

EquipoEquipo portátilportátil

InalámbricoInalámbrico

802.11802.11AsociadoAsociado 802.11802.11

ÉxitoÉxito dede EAPEAP

AccesoAcceso permitidopermitidoClaveClave dede EAPOLEAPOL (clave)(clave)

802.1x802.1x enen 802.11802.11

RequisitosRequisitos deldel sistemasistema parapara 802.1x802.1x Cliente:Cliente: WindowsWindows XPXP Servidor: IAS de Windows Server 2003Servidor: IAS de Windows Server 2003

Servicio de autenticación Internet: nuestro Servicio de autenticación Internet: nuestro servidor RADIUSservidor RADIUS

Certificado en el equipo IASCertificado en el equipo IAS 802.1x en Windows 2000802.1x en Windows 2000

El cliente e IAS deben tener SP3El cliente e IAS deben tener SP3 Vea el artículo 313664 de KBVea el artículo 313664 de KB No se admite la configuración rápida No se admite la configuración rápida

en el clienteen el cliente Sólo se admiten EAP-TLS y MS-CHAPv2Sólo se admiten EAP-TLS y MS-CHAPv2

Es posible que los futuros métodos de EAP en Es posible que los futuros métodos de EAP en Windows XP y Windows Server 2003 no se Windows XP y Windows Server 2003 no se puedan utilizarpuedan utilizar

ConfiguraciónConfiguración dede 802.1x802.1x1.1. ConfigurarConfigurar WindowsWindows ServerServer 20032003 concon IASIAS

2.2. Unir un dominioUnir un dominio

3.3. Inscribir un certificado de equipoInscribir un certificado de equipo

4.4. Registrar IAS en Active DirectoryRegistrar IAS en Active Directory

5.5. Configurar el registro RADIUSConfigurar el registro RADIUS

6.6. Agregar el punto de acceso como cliente Agregar el punto de acceso como cliente RADIUSRADIUS

7.7. Configurar el punto de acceso para RADIUS y Configurar el punto de acceso para RADIUS y 802.1x802.1x

8.8. Crear una directiva de acceso para clientes Crear una directiva de acceso para clientes inalámbricosinalámbricos

9.9. Configurar los clientesConfigurar los clientes1.1. No olvide importar el certificado raízNo olvide importar el certificado raíz

DirectivaDirectiva dede accesoacceso

CondiciónCondición dede directivadirectiva El tipo de puerto NAS El tipo de puerto NAS

coincide con Wireless coincide con Wireless IEEE 802.11 o con IEEE 802.11 o con otro tipo de red otro tipo de red inalámbricainalámbrica

Grupo de Windows = Grupo de Windows = <algún grupo de AD><algún grupo de AD> Opcional; proporciona Opcional; proporciona

control administrativocontrol administrativo Debe contener cuentas Debe contener cuentas

de usuario y de equipode usuario y de equipo

PerfilPerfil dede directivasdirectivas dede accesoacceso

PerfilPerfil Tiempo de espera: Tiempo de espera:

60 min. (802.11b) o 60 min. (802.11b) o 10 min. (802.11a/g)10 min. (802.11a/g)

No elija métodos de No elija métodos de autenticación regularesautenticación regulares

Tipo de EAP: EAP Tipo de EAP: EAP protegido; utilice protegido; utilice certificados de equipocertificados de equipo

Cifrado: sólo el más Cifrado: sólo el más seguro seguro (MPPE de 128 bits)(MPPE de 128 bits)

Atributos: Atributos: Ignore-User-Ignore-User-Dialin-Properties = TrueDialin-Properties = True

Especificación de mejoras en la seguridad interoperables y basadas en estándares que aumenta enormemente el nivel de protección de los datos y el control de acceso para los sistemas actuales y futuros de LAN inalámbrica

WPA requiere la autenticación de 802.1x para el acceso de red

ObjetivosObjetivos Cifrado mejorado de los datosCifrado mejorado de los datos Permitir la autenticación de los usuariosPermitir la autenticación de los usuarios Compatible con versiones futuras de 802.11iCompatible con versiones futuras de 802.11i Proporcionar una solución que no sea RADIUS para las oficinas Proporcionar una solución que no sea RADIUS para las oficinas

domésticas o de pequeño tamañodomésticas o de pequeño tamaño

Wi-Fi Alliance comenzó las pruebas de certificación de la interoperabilidad de los productos de WPA en febrero de 2003

WirelessWireless ProtectedProtected AccessAccess (WPA)(WPA)

RecomendacionesRecomendaciones UtiliceUtilice lala autenticaciónautenticación dede 802.1x802.1x Organice en grupos a los usuarios y equipos Organice en grupos a los usuarios y equipos

inalámbricosinalámbricos Aplique directivas de acceso inalámbrico con Aplique directivas de acceso inalámbrico con

directivas de grupodirectivas de grupo Utilice EAP-TLS para la autenticación basada en Utilice EAP-TLS para la autenticación basada en

certificados y PEAP para la autenticación basada certificados y PEAP para la autenticación basada en contraseñasen contraseñas

Configure una directiva de acceso remoto para Configure una directiva de acceso remoto para permitir la autenticación de los usuarios y de los permitir la autenticación de los usuarios y de los equiposequipos

Desarrolle un método que se ocupe de los Desarrolle un método que se ocupe de los puntos de acceso sospechosos, como la puntos de acceso sospechosos, como la autenticación de 802.1x basada en LAN, las autenticación de 802.1x basada en LAN, las encuestas a sitios, la supervisión de la red y el encuestas a sitios, la supervisión de la red y el entrenamiento de los usuariosentrenamiento de los usuarios


IntroducciónIntroducción aa lala defensadefensa enen profundidadprofundidad Uso de defensas en el perímetroUso de defensas en el perímetro Uso de ISA Server para proteger los Uso de ISA Server para proteger los


proteger a los clientesproteger a los clientes Protección de redes inalámbricasProtección de redes inalámbricas Protección de comunicaciones mediante Protección de comunicaciones mediante

IPSecIPSec









802.1x802.1x // WPAWPA

IPSecIPSec

¿Qué¿Qué eses SeguridadSeguridad dede IPIP (IPSec)?(IPSec)? Un método para proteger el tráfico IPUn método para proteger el tráfico IP Una estructura de estándares abiertos Una estructura de estándares abiertos

desarrollada por el Grupo de trabajo de ingeniería desarrollada por el Grupo de trabajo de ingeniería de Internet (IETF, de Internet (IETF, Internet Engineering Task ForceInternet Engineering Task Force))

¿Por qué se debe utilizar IPSec?¿Por qué se debe utilizar IPSec? Para garantizar que las comunicaciones se cifran Para garantizar que las comunicaciones se cifran

y se autentican en el nivel IPy se autentican en el nivel IP Para proporcionar seguridad en el transporte Para proporcionar seguridad en el transporte

independiente de las aplicaciones o de los independiente de las aplicaciones o de los protocolos del nivel de aplicaciónprotocolos del nivel de aplicación

IntroducciónIntroducción aa IPSecIPSec

FiltradoFiltrado básicobásico parapara permitirpermitir oo bloquearbloquear paquetespaquetes

Comunicaciones Comunicaciones seguras en la LAN seguras en la LAN internainterna

Replicación en los Replicación en los dominios a través dominios a través de servidores de de servidores de seguridadseguridad

Acceso a VPN a Acceso a VPN a través de medios través de medios que no son de que no son de confianzaconfianza

EscenariosEscenarios dede IPSecIPSec

FiltrosFiltros parapara tráficotráfico permitidopermitido yy bloqueadobloqueado No se produce ninguna negociación real de No se produce ninguna negociación real de

las asociaciones de seguridad de IPSeclas asociaciones de seguridad de IPSec Los filtros se solapan: la coincidencia más Los filtros se solapan: la coincidencia más

específica determina la acciónespecífica determina la acción No proporciona filtrado de estadoNo proporciona filtrado de estado Se debe establecer "NoDefaultExempt = 1" Se debe establecer "NoDefaultExempt = 1"

para que sea seguropara que sea seguro

Desde IP A IP Protocolo Puerto de origen

Puerto de

destinoAcción

Cualquiera Mi IP de Internet Cualquiera N/D N/D Bloquear

Cualquiera Mi IP de Internet TCP Cualquiera 80 Permitir

ImplementaciónImplementación deldel filtradofiltrado dede paquetespaquetes dede IPSecIPSec

LosLos paquetespaquetes IPIP suplantadossuplantados contienencontienen consultasconsultas oo contenidocontenido peligrosopeligroso queque puedepuede seguirseguir llegandollegando aa loslos puertospuertos abiertosabiertos aa travéstravés dede loslos servidoresservidores dede seguridadseguridad

IPSec no permite la inspección de estadoIPSec no permite la inspección de estado Muchas herramientas que utilizan los Muchas herramientas que utilizan los

piratas informáticos emplean los puertos piratas informáticos emplean los puertos de origen 80, 88, 135 y otros para de origen 80, 88, 135 y otros para conectar a cualquier puerto de destinoconectar a cualquier puerto de destino

ElEl filtradofiltrado dede paquetespaquetes nono eses suficientesuficiente parapara protegerproteger unun servidorservidor

DireccionesDirecciones dede difusióndifusión IPIP No puede proteger a varios receptoresNo puede proteger a varios receptores

Direcciones de multidifusiónDirecciones de multidifusión De 224.0.0.0 a 239.255.255.255De 224.0.0.0 a 239.255.255.255

Kerberos: puerto UDP 88 de origen o destinoKerberos: puerto UDP 88 de origen o destino Kerberos es un protocolo seguro, que el servicio Kerberos es un protocolo seguro, que el servicio

de negociaciónde negociación IKE puede utilizar para la IKE puede utilizar para la autenticación de otros equipos en un dominioautenticación de otros equipos en un dominio

IKE: puerto UDP 500 de destinoIKE: puerto UDP 500 de destino Obligatorio para permitir que IKE negocie los Obligatorio para permitir que IKE negocie los

parámetros de seguridad de IPSecparámetros de seguridad de IPSec Windows Server 2003 configura únicamente Windows Server 2003 configura únicamente

la exención predeterminada de IKEla exención predeterminada de IKE

TráficoTráfico queque IPSecIPSec nono filtrafiltra

ComunicacionesComunicaciones internasinternas segurasseguras UtiliceUtilice IPSecIPSec parapara permitirpermitir lala autenticaciónautenticación mutuamutua dede

dispositivosdispositivos Utilice certificados o KerberosUtilice certificados o Kerberos La utilización de claves compartidas sólo es conveniente para La utilización de claves compartidas sólo es conveniente para

pruebaspruebas Utilice Encabezado de autenticación (AH) para Utilice Encabezado de autenticación (AH) para

garantizar la integridad de los paquetesgarantizar la integridad de los paquetes El Encabezado de autenticación proporciona integridad en los El Encabezado de autenticación proporciona integridad en los

paquetespaquetes El Encabezado de autenticación no cifra, con lo que se basa en El Encabezado de autenticación no cifra, con lo que se basa en

los sistemas de detección de intrusos de redlos sistemas de detección de intrusos de red Utilice Carga de seguridad encapsuladora (ESP) para Utilice Carga de seguridad encapsuladora (ESP) para

cifrar el tráfico sensiblecifrar el tráfico sensible ESP proporciona integridad en los paquetes y confidencialidadESP proporciona integridad en los paquetes y confidencialidad El cifrado impide la inspección de los paquetesEl cifrado impide la inspección de los paquetes

Planee minuciosamente qué tráfico debe protegersePlanee minuciosamente qué tráfico debe protegerse

IPSecIPSec parapara lala replicaciónreplicación dede dominiosdominios UtiliceUtilice IPSecIPSec parapara lala replicaciónreplicación aa travéstravés dede

servidoresservidores dede seguridadseguridad En cada controlador de dominio, cree una En cada controlador de dominio, cree una

directiva IPSec para proteger todo el tráfico a la directiva IPSec para proteger todo el tráfico a la dirección IP del otro controlador de dominiodirección IP del otro controlador de dominio

Utilice ESP 3DES para el cifradoUtilice ESP 3DES para el cifrado Permita el tráfico a través del servidor de Permita el tráfico a través del servidor de

seguridad:seguridad: Puerto UDP 500 (IKE)Puerto UDP 500 (IKE) Protocolo IP 50 (ESP)Protocolo IP 50 (ESP)

AccesoAcceso dede VPNVPN aa travéstravés dede mediosmedios queque nono sonson dede confianzaconfianza VPNVPN dede clientecliente

Utilice L2TP/IPSecUtilice L2TP/IPSec

VPN de sucursalVPN de sucursal Entre Windows 2000 o Windows Server, con Entre Windows 2000 o Windows Server, con

RRAS: utilice túnel L2TP/IPSec (fácil de RRAS: utilice túnel L2TP/IPSec (fácil de configurar, aparece como una interfaz configurar, aparece como una interfaz enrutable)enrutable)

A una puerta de enlace de terceros: utilice A una puerta de enlace de terceros: utilice L2TP/IPSec o el modo de túnel puro de IPSecL2TP/IPSec o el modo de túnel puro de IPSec

A la puerta de enlace RRAS de Microsoft A la puerta de enlace RRAS de Microsoft Windows NT® 4: utilice PPTP (IPSec no está Windows NT® 4: utilice PPTP (IPSec no está disponible)disponible)

RendimientoRendimiento dede IPSecIPSec ElEl procesamientoprocesamiento dede IPSecIPSec tienetiene algunasalgunas

consecuenciasconsecuencias enen elel rendimientorendimiento Tiempo de negociación de IKE, inicialmente entre 2 y 5 Tiempo de negociación de IKE, inicialmente entre 2 y 5

segundossegundos 5 recorridos de ida y vuelta5 recorridos de ida y vuelta Autenticación: Kerberos o certificadosAutenticación: Kerberos o certificados Generación de claves criptográficas y mensajes cifradosGeneración de claves criptográficas y mensajes cifrados Se realiza una vez cada ocho horas de forma Se realiza una vez cada ocho horas de forma

predeterminada y se puede configurarpredeterminada y se puede configurar El cambio de claves de la sesión es rápido:< entre uno y El cambio de claves de la sesión es rápido:< entre uno y

dos segundos, dos recorridos de ida y vuelta, una vez dos segundos, dos recorridos de ida y vuelta, una vez cada hora y se puede configurarcada hora y se puede configurar

Cifrado de paquetesCifrado de paquetes ¿Cómo se puede mejorar?¿Cómo se puede mejorar?

Al descargar el proceso criptográfico en NIC, IPSec casi Al descargar el proceso criptográfico en NIC, IPSec casi alcanza la velocidad de los dispositivos con cablealcanza la velocidad de los dispositivos con cable

Mediante CPU más rápidasMediante CPU más rápidas

RecomendacionesRecomendaciones PlaneePlanee minuciosamenteminuciosamente lala implementaciónimplementación dede

IPSecIPSec Elija entre AH y ESPElija entre AH y ESP Utilice directivas de grupo para implementar Utilice directivas de grupo para implementar

directivas IPSecdirectivas IPSec Considere el uso de NIC de IPSecConsidere el uso de NIC de IPSec No utilice nunca la autenticación con claves No utilice nunca la autenticación con claves

compartidas fuera de un entorno de pruebacompartidas fuera de un entorno de prueba Elija entre la autenticación basada en Kerberos Elija entre la autenticación basada en Kerberos

o en certificadoso en certificados Tenga cuidado al requerir el uso de IPSec para Tenga cuidado al requerir el uso de IPSec para

las comunicaciones con controladores de las comunicaciones con controladores de dominio y otros servidores de infraestructurasdominio y otros servidores de infraestructuras

ResumenResumen dede lala sesiónsesión

IntroducciónIntroducción aa lala defensadefensa enen profundidadprofundidad Uso de defensas en el perímetroUso de defensas en el perímetro Uso de ISA Server para proteger los Uso de ISA Server para proteger los

perímetrosperímetros Uso del Cortafuegos de Windows para Uso del Cortafuegos de Windows para

proteger a los clientesproteger a los clientes Protección de redes inalámbricasProtección de redes inalámbricas Protección de redes mediante IPSecProtección de redes mediante IPSec

PasosPasos siguientessiguientes1.1. MantenerseMantenerse informadoinformado sobresobre

seguridadseguridad Suscribirse a boletines de seguridad:Suscribirse a boletines de seguridad:

http://www.microsoft.com/spain/technet/seguridad/boletineshttp://www.microsoft.com/spain/technet/seguridad/boletines Obtener las directrices de seguridad de Microsoft Obtener las directrices de seguridad de Microsoft

más recientes:más recientes:http://www.microsoft.com/spain/technet/seguridad/areas/http://www.microsoft.com/spain/technet/seguridad/areas/desarrolladores/guias.aspdesarrolladores/guias.aspCD Technet Security Guidance (se pide en web de seg. TechNet)CD Technet Security Guidance (se pide en web de seg. TechNet)

2.2. Obtener aprendizaje adicional Obtener aprendizaje adicional de seguridadde seguridad1.1. Buscar seminarios de aprendizaje online- presencialesBuscar seminarios de aprendizaje online- presenciales

http://www.microsoft.com/spain/technet/seminarioshttp://www.microsoft.com/spain/technet/seminarios

1.1. Buscar un CTEC local que ofrezca cursos prácticos:Buscar un CTEC local que ofrezca cursos prácticos:http://www.microsoft.com/spain/technet/formacion/ctec/http://www.microsoft.com/spain/technet/formacion/ctec/

ParaPara obtenerobtener másmás informacióninformación

SitioSitio dede seguridadseguridad dede MicrosoftMicrosoft (todos(todos loslos usuarios)usuarios) http://www.microsoft.com/spain/seguridadhttp://www.microsoft.com/spain/seguridad

Sitio de seguridad de TechNet Sitio de seguridad de TechNet (profesionales de IT)(profesionales de IT) http://www.microsoft.com/spain/technet/http://www.microsoft.com/spain/technet/

seguridadseguridad

Sitio de seguridad de MSDN Sitio de seguridad de MSDN (desarrolladores)(desarrolladores) http://msdn.microsoft.com/security http://msdn.microsoft.com/security

(este sitio está en inglés)(este sitio está en inglés)

PreguntasPreguntas yy respuestasrespuestas

¿Preguntas?¿Preguntas?

Si tiene alguna pregunta, por favor haga click en el Si tiene alguna pregunta, por favor haga click en el botón “Ask a Question”botón “Ask a Question”

Introduzca su pregunta en Introduzca su pregunta en el recuadro que aparecerá el recuadro que aparecerá en pantalla y haga click en en pantalla y haga click en

el botón “Ask”el botón “Ask”

PreguntasPreguntas yy respuestasrespuestas

Próximo WebcastPróximo Webcast

Como Implementar Seguridad en Como Implementar Seguridad en Entornos Cliente Entornos Cliente

Windows XP y Windows 2000Windows XP y Windows 2000

24 marzo – 17:00 h24 marzo – 17:00 h

Registro en:Registro en: www.microsoft.com/spain/TechNetwww.microsoft.com/spain/TechNet

Cuestionario de evaluación onlineCuestionario de evaluación online

Su opinión es muy importante para Su opinión es muy importante para nosotrosnosotros

www.microsoft.com/spain/TechNet/EvaluacionWebcastwww.microsoft.com/spain/TechNet/EvaluacionWebcast

Recibirá un recordatorio por email en un par de días. Recibirá un recordatorio por email en un par de días.

Bienvenidos al Webcast sobre Como Implementar Seguridad Perimetral y de Red en Sistemas Microsoft...

Documents

Transcript of Bienvenidos al Webcast sobre Como Implementar Seguridad Perimetral y de Red en Sistemas Microsoft...