Implementación de seguridad en la red y del perímetro Nombre del presentador PuestoCompañía

ImplementaciónImplementación dede seguridadseguridad enen lala redred yy deldel perímetroperímetro

NombreNombre deldel presentadorpresentador

PuestoPuesto

CompañíaCompañía

ConocimientosConocimientos imprescindiblesimprescindibles

DescripciónDescripción dede loslos fundamentosfundamentos dede seguridadseguridad en unaen una redred

Experiencia práctica con Experiencia práctica con Windows® Server 2000 o Windows® Server 2000 o Windows Server™ 2003Windows Server™ 2003

Experiencia con las herramientas de Experiencia con las herramientas de administración en Windowsadministración en Windows

NivelNivel 300300

OrdenOrden deldel díadía

IntroducciónIntroducción Uso de defensas en el perímetroUso de defensas en el perímetro Uso de Microsoft® Internet Security and Uso de Microsoft® Internet Security and

Acceleration (ISA) Server para proteger Acceleration (ISA) Server para proteger los perímetroslos perímetros

Uso de Firewall de Windows para proteger Uso de Firewall de Windows para proteger a los clientesa los clientes

Protección de redes inalámbricasProtección de redes inalámbricas Protección de comunicaciones mediante Protección de comunicaciones mediante

IPSecIPSec

DefensaDefensa enen profundidadprofundidad ElEl usouso dede unauna soluciónsolución enen niveles:niveles:

Aumenta la posibilidad de que se detecten los Aumenta la posibilidad de que se detecten los intrusosintrusos

Disminuye la posibilidad de que los intrusos Disminuye la posibilidad de que los intrusos logren su propósitologren su propósito

Directivas, procedimientos y concienciación

Directivas, procedimientos y concienciación

RefuerzoRefuerzo deldel sistemasistema operativo,operativo, administraciónadministración dede actualizaciones,actualizaciones, autenticación y HIDSautenticación y HIDS

ServidoresServidores dede seguridad,seguridad, sistemassistemas dede cuarentenacuarentena enen VPNVPNGuardiasGuardias dede seguridad,seguridad, bloqueos ybloqueos y dispositivosdispositivos dede seguimientoseguimiento

SegmentosSegmentos dede red,red, IPSec y NIDSIPSec y NIDS

RefuerzoRefuerzo dede laslas aplicaciones,aplicaciones, antivirusantivirus

ACL,ACL, cifradocifrado

ProgramasProgramas dede aprendizajeaprendizaje parapara loslos usuariosusuarios

Seguridad físicaSeguridad física

PerimetralPerimetral

Red internaRed interna

HostHost

AplicaciónAplicación

DatosDatos

PropósitoPropósito yy limitacioneslimitaciones dede laslas defensasdefensas dede perímetroperímetro LosLos servidoresservidores dede seguridadseguridad yy enrutadoresenrutadores dede

bordeborde configuradosconfigurados correctamentecorrectamente constituyenconstituyen lala piedrapiedra angularangular dede lala seguridadseguridad deldel perímetroperímetro

Internet y la movilidad aumentan los riesgos de Internet y la movilidad aumentan los riesgos de seguridadseguridad

Las redes VPN han debilitado el perímetro y, Las redes VPN han debilitado el perímetro y, junto con las redes inalámbricas, han junto con las redes inalámbricas, han ocasionado, esencialmente, la desaparición del ocasionado, esencialmente, la desaparición del concepto tradicional de perímetro de redconcepto tradicional de perímetro de red

Los servidores de seguridad tradicionales con Los servidores de seguridad tradicionales con filtrado de paquetes, sólo bloquean los puertos filtrado de paquetes, sólo bloquean los puertos de red y las direcciones de los equiposde red y las direcciones de los equipos

En la actualidad, la mayor parte de los ataques En la actualidad, la mayor parte de los ataques se producen en el nivel de aplicaciónse producen en el nivel de aplicación

PropósitoPropósito yy limitacioneslimitaciones dede laslas defensasdefensas dede loslos clientesclientes LasLas defensasdefensas dede loslos clientesclientes bloqueanbloquean loslos ataquesataques queque

omitenomiten laslas defensasdefensas deldel perímetroperímetro oo queque sese originanoriginan enen lala redred internainterna

Las defensas de los clientes incluyen, entre otras:Las defensas de los clientes incluyen, entre otras: Refuerzo de la seguridad del sistema operativoRefuerzo de la seguridad del sistema operativo Programas antivirusProgramas antivirus Servidores de seguridad personalesServidores de seguridad personales

Las defensas de los clientes requieren que se Las defensas de los clientes requieren que se configuren muchos equiposconfiguren muchos equipos

En entornos no administrados, los usuarios pueden En entornos no administrados, los usuarios pueden omitir las defensas de los clientesomitir las defensas de los clientes

PropósitoPropósito yy limitacioneslimitaciones dede lala deteccióndetección dede intrusosintrusos

DetectaDetecta elel modelomodelo dede ataquesataques comunes,comunes, registraregistra elel tráficotráfico sospechososospechoso enen registrosregistros dede sucesossucesos y/oy/o alertaalerta aa loslos administradoresadministradores

Las amenazas y puntos vulnerables Las amenazas y puntos vulnerables evolucionan constantemente, lo que deja a evolucionan constantemente, lo que deja a los sistemas en una situación vulnerable los sistemas en una situación vulnerable hasta que se conoce hasta que se conoce un nuevo ataque, un nuevo ataque, conllevando a crear y distribuir conllevando a crear y distribuir una nueva una nueva firmafirma

ObjetivosObjetivos dede seguridadseguridad enen unauna redred

DefensaDefensa deldel perímetroperímetro

DefensaDefensa dede loslos clientesclientes

DetecciónDetección dede intrusosintrusos

ControlControl dede accesoacceso aa lala redred

ConfidencialidadConfidencialidad AccesoAccesoremotoremoto seguroseguro

ServidorServidor ISAISA

FirewallFirewall dede WindowsWindows

802.1x802.1x // WPAWPA

IPSecIPSec


IntroducciónIntroducción Uso de defensas en el perímetroUso de defensas en el perímetro Uso de ISA Server para proteger los Uso de ISA Server para proteger los

perímetrosperímetros Uso de Firewall de Windows para Uso de Firewall de Windows para

proteger a los clientesproteger a los clientes Protección de redes inalámbricasProtección de redes inalámbricas Protección de comunicaciones Protección de comunicaciones

mediante IPSecmediante IPSec

InformaciónInformación generalgeneral sobresobre laslas conexionesconexiones dede perímetroperímetro

Internet Sucursales Socios comerciales Usuarios remotos Redes inalámbricas Aplicaciones de Internet

Los perímetros de red incluyen conexiones a:

Socio comercial

LAN

Oficina principal

LAN

Sucursal

LAN

Red inalámbrica

Usuario remoto

Internet

DiseñoDiseño deldel servidorservidor dede seguridad:seguridad: dede tripletriple interfazinterfaz

Subred protegidaInternet

LAN

Servidor de seguridad

DiseñoDiseño deldel servidorservidor dede seguridad:seguridad: dede tipotipo opuestoopuesto concon opuestoopuesto oo sándwichsándwich

Internet

ExternaServidor de seguridad

LANInternaServidor de seguridad

Subred protegida

Tráfico peligroso que atraviesa los puertos abiertos y no es inspeccionado en el nivel de aplicación por el servidor de seguridad

Tráfico que atraviesa un túnel o sesión cifradosTráfico que atraviesa un túnel o sesión cifrados Ataques que se producen una vez que se ha

entrado en una red Tráfico que parece legítimo Usuarios y administradores que intencionada o

accidentalmente instalan virus Administradores que utilizan contraseñas poco

seguras

ContraContra quéqué NONO protegenprotegen loslos servidoresservidores dede seguridadseguridad

ServidoresServidores dede seguridadseguridad dede softwaresoftware yy dede hardwarehardware

Factores de decisión Descripción

FlexibilidadLa actualización de las vulnerabilidades y revisiones más recientes suele ser más fácil con servidores de seguridad basados en software.

Extensibilidad Muchos servidores de seguridad de hardware sólo permiten una capacidad de personalización limitada.

Elección de proveedores

Los servidores de seguridad de software permiten elegir entre hardware para una amplia variedad de necesidades y no se depende de un único proveedor para obtener hardware adicional.

Costo

El precio de compra inicial para los servidores de seguridad de hardware podría ser inferior. Los servidores de seguridad de software se benefician del menor costo de las CPU. El hardware se puede actualizar fácilmente y el hardware antiguo se puede reutilizar.

Complejidad Los servidores de seguridad de hardware suelen ser menos complejos.

Disponibilidad global

El factor de decisión más importante es si un servidor de seguridad puede realizar las tareas necesarias. Con frecuencia, la diferencia entre los servidores de hardware y de software no resulta clara.

TiposTipos dede funcionesfunciones dede loslos servidoresservidores dede seguridadseguridad FiltradoFiltrado dede paquetespaquetes Inspección de estadoInspección de estado Inspección del nivel de aplicaciónInspección del nivel de aplicación

InspecciónInspección multinivelmultinivel(Incluido el filtrado del nivel de aplicación)(Incluido el filtrado del nivel de aplicación)

InternetInternet


IntroducciónIntroducción Uso de defensas en el perímetroUso de defensas en el perímetro Uso de ISA Server para proteger los perímetrosUso de ISA Server para proteger los perímetros Uso de Firewall de Windows para proteger a los clientesUso de Firewall de Windows para proteger a los clientes Protección de redes inalámbricasProtección de redes inalámbricas Protección de comunicaciones mediante IPSecProtección de comunicaciones mediante IPSec








**


802.1x802.1x // WPAWPA

IPSecIPSec

** DetecciónDetección básicabásica dede intrusos,intrusos, queque sese amplíaamplía graciasgracias alal trabajotrabajo dede loslos asociadosasociados

ProtecciónProtección dede loslos perímetrosperímetros ISAISA ServerServer tienetiene completascompletas capacidadescapacidades dede filtrado:filtrado:

Filtrado de paquetesFiltrado de paquetes Inspección de estadoInspección de estado Inspección del nivel de aplicaciónInspección del nivel de aplicación

ISA Server bloquea todo el tráfico de red salvo que usted lo permitaISA Server bloquea todo el tráfico de red salvo que usted lo permita ISA Server permite establecer conexiones VPN segurasISA Server permite establecer conexiones VPN seguras ISA Server tiene las certificaciones ICSA y Common CriteriaISA Server tiene las certificaciones ICSA y Common Criteria

ProtecciónProtección dede loslos clientesclientes

Método Descripción

Funciones de proxy

Procesa todas las solicitudes para los clientes y nunca permite las conexiones directas.

Clientes admitidos

Se admiten todos los clientes sin software especial. La instalación del software de servidor de seguridad ISA en clientes Windows permite utilizar más funciones.

Reglas Las reglas de protocolo, reglas de sitio y contenido, y reglas de publicación determinan si se permite el acceso.

Complementos

El precio de compra inicial para los servidores de seguridad de hardware podría ser inferior. Los servidores de seguridad de software se benefician del menor costo de las CPU. El hardware se puede actualizar fácilmente y el hardware antiguo se puede reutilizar.

ProtecciónProtección dede loslos servidoresservidores WebWeb

ReglasReglas dede publicaciónpublicación enen WebWeb Para proteger de ataques externos a los Para proteger de ataques externos a los

servidores Web que se encuentran detrás de los servidores Web que se encuentran detrás de los servidores de seguridad, inspeccione el tráfico servidores de seguridad, inspeccione el tráfico HTTP y compruebe que su formato es apropiado y HTTP y compruebe que su formato es apropiado y cumple los estándarescumple los estándares

Inspección del tráfico SSLInspección del tráfico SSL Descifra e inspecciona las solicitudes Web Descifra e inspecciona las solicitudes Web

entrantes cifradas para comprobar que su formato entrantes cifradas para comprobar que su formato es apropiado y que cumple los estándareses apropiado y que cumple los estándares

Si se desea, volverá a cifrar el tráfico antes de Si se desea, volverá a cifrar el tráfico antes de enviarlo al servidor Webenviarlo al servidor Web

URLScanURLScan ElEl paquetepaquete dede característicascaracterísticas 11 dede ISAISA ServerServer

incluyeincluye URLScanURLScan 2.52.5 parapara ISAISA ServerServer Permite que el filtro ISAPI de URLScan se aplique Permite que el filtro ISAPI de URLScan se aplique

al perímetro de la redal perímetro de la red Se produce un bloqueo general en todos los Se produce un bloqueo general en todos los

servidores Web que se encuentran detrás del servidor servidores Web que se encuentran detrás del servidor de seguridadde seguridad

Se bloquean en el perímetro los ataques conocidos y Se bloquean en el perímetro los ataques conocidos y los descubiertos recientementelos descubiertos recientemente

Servidor Web 1

ISA Server

Servidor Web 2

Servidor Web 3

ProtecciónProtección dede ExchangeExchange ServerServer

Método Descripción

Asistente para publicación de correo

Configura reglas de ISA Server con el fin de publicar servicios de correo interno para usuarios externos de forma segura

Message Screener

Filtra los mensajes de correo electrónico SMTP que entran en la red interna

Publicación RPC Protege el acceso del protocolo nativo de los clientes Microsoft Outlook®

Publicación OWA

Proporciona protección del servidor de solicitudes de cliente OWA para los usuarios remotos de Outlook que tienen acceso a Microsoft Exchange Server sin una VPN a través de redes que no son de confianza

DemostraciónDemostración 11InspecciónInspección deldel nivelnivel dede aplicaciónaplicación

enen ISAISA ServerServer

PublicaciónPublicación enen WebWebURLScanURLScan

MessageMessage ScreenerScreener

TráficoTráfico queque omiteomite lala inspeccióninspección dede loslos servidoresservidores dede seguridadseguridad

LosLos túnelestúneles SSLSSL atraviesanatraviesan loslos servidoresservidores dede seguridadseguridad tradicionalestradicionales debido a quedebido a que esteeste tipotipo dede tráficotráfico estáestá cifrado,cifrado, lolo queque permitepermite aa loslos virusvirus yy gusanosgusanos pasarpasar sinsin serser detectadosdetectados ee infectarinfectar loslos servidoresservidores internosinternos

El tráfico VPN se cifra y no se puede El tráfico VPN se cifra y no se puede inspeccionarinspeccionar

El tráfico de Instant Messenger (IM) no se El tráfico de Instant Messenger (IM) no se suele inspeccionar y podría utilizarse para suele inspeccionar y podría utilizarse para transferir archivostransferir archivos

InspecciónInspección dede todotodo elel tráficotráfico

UtiliceUtilice sistemassistemas dede deteccióndetección dede intrusosintrusos yy otrosotros mecanismosmecanismos parapara inspeccionarinspeccionar elel tráficotráfico VPNVPN unauna vezvez descifradodescifrado Recuerde: defensa en profundidadRecuerde: defensa en profundidad

Utilice un servidor de seguridad que pueda Utilice un servidor de seguridad que pueda inspeccionar el tráfico SSLinspeccionar el tráfico SSL

Expanda las capacidades de inspección del Expanda las capacidades de inspección del servidor de seguridadservidor de seguridad Utilice complementos para el servidor de seguridad Utilice complementos para el servidor de seguridad

que permitan inspeccionar el tráfico de IMque permitan inspeccionar el tráfico de IM

InspecciónInspección dede SSLSSL

LosLos túnelestúneles SSLSSL atraviesanatraviesan loslos servidoresservidores dede seguridadseguridad tradicionalestradicionales debido a quedebido a que esteeste tipotipo dede tráficotráfico estáestá cifrado,cifrado, lolo queque permitepermite aa loslos virusvirus yy gusanosgusanos pasarpasar sinsin serser detectadosdetectados ee infectarinfectar loslos servidoresservidores internosinternos

ISA Server puede descifrar e inspeccionar el ISA Server puede descifrar e inspeccionar el tráfico SSL. El tráfico inspeccionado se puede tráfico SSL. El tráfico inspeccionado se puede enviar al servidor interno sin cifrar o cifrado de enviar al servidor interno sin cifrar o cifrado de nuevonuevo

DemostraciónDemostración 22InspecciónInspección dede SSLSSL enen ISAISA ServerServer

RefuerzoRefuerzo dede lala seguridadseguridad dede ISAISA ServerServer

RefuerzoRefuerzo dede lala pilapila dede redred Deshabilite los protocolos de red Deshabilite los protocolos de red

innecesarios en la interfaz de red externa:innecesarios en la interfaz de red externa: Cliente para redes MicrosoftCliente para redes Microsoft Compartir impresoras y archivos para redes Compartir impresoras y archivos para redes

MicrosoftMicrosoft NetBIOS sobre TCP/IPNetBIOS sobre TCP/IP

RecomendacionesRecomendaciones UtiliceUtilice reglasreglas dede accesoacceso queque únicamenteúnicamente

permitanpermitan laslas solicitudessolicitudes queque sese admitanadmitan dede formaforma específicaespecífica

Utilice las capacidades de autenticación Utilice las capacidades de autenticación de ISA Server para restringir y registrar de ISA Server para restringir y registrar el acceso a Internetel acceso a Internet

Configure reglas de publicación en Web Configure reglas de publicación en Web para conjuntos de destinos específicospara conjuntos de destinos específicos

Utilice la inspección de SSL para Utilice la inspección de SSL para inspeccionar los datos cifrados que inspeccionar los datos cifrados que entren en la redentren en la red


IntroducciónIntroducción Uso de defensas en el perímetroUso de defensas en el perímetro Uso de ISA Server para proteger los Uso de ISA Server para proteger los


proteger a los clientesproteger a los clientes Protección de redes inalámbricasProtección de redes inalámbricas Protección de comunicaciones Protección de comunicaciones

mediante IPSecmediante IPSec









802.1x802.1x // WPAWPA

IPSecIPSec

InformaciónInformación generalgeneral sobresobre FirewallFirewall dede WindowsWindows

FirewallFirewall dede WindowsWindows enen MicrosoftMicrosoft WindowsWindows XPXP yy MicrosoftMicrosoft WindowsWindows ServerServer 20032003

AyudaAyuda aa detenerdetener loslos ataquesataques basadosbasados enen lala red,red, comocomo Blaster,Blaster, alal bloquearbloquear todotodo elel tráficotráfico entranteentrante nono solicitadosolicitado

LosLos puertospuertos sese puedenpueden abrirabrir parapara loslos serviciosservicios queque sese ejecutanejecutan enen elel equipoequipo

La administración corporativa se realiza La administración corporativa se realiza a través de directivas de grupoa través de directivas de grupo

QuéQué eses

QuéQué hacehace

CaracterísticasCaracterísticas principalesprincipales

SeSe puedepuede habilitar:habilitar: Al activar una Al activar una

casilla de verificacióncasilla de verificación Con el Asistente para configuración Con el Asistente para configuración

de redde red Con el Asistente para conexión Con el Asistente para conexión

nuevanueva Se habilita de forma independiente en Se habilita de forma independiente en

cada conexión de redcada conexión de red

HabilitarHabilitar FirewallFirewall dede WindowsWindows

ServiciosServicios dede redred Aplicaciones Aplicaciones

basadas en Webbasadas en Web

ConfiguraciónConfiguración avanzadaavanzada dede FirewallFirewall dede WindowsWindows

OpcionesOpciones dede registroregistro Opciones del archivo de registroOpciones del archivo de registro

RegistroRegistro dede seguridadseguridad dede FirewallFirewall dede WindowsWindows

FirewallFirewall dede WindowsWindows enen lala compañíacompañía ConfigureConfigure FirewallFirewall dede WindowsWindows mediantemediante

directivasdirectivas dede grupogrupo Combine Firewall de Windows con Combine Firewall de Windows con

Control de cuarentena de acceso a la redControl de cuarentena de acceso a la red

UtiliceUtilice FirewallFirewall dede WindowsWindows enen laslas oficinasoficinas domésticasdomésticas yy enen laslas pequeñaspequeñas compañíascompañías concon elel finfin dede proporcionarproporcionar protecciónprotección aa loslos equiposequipos queque esténestén conectadosconectados directamentedirectamente aa InternetInternet

No active Firewall de Windows en una conexión No active Firewall de Windows en una conexión VPN (aunque debe habilitarlo en la conexión LAN o VPN (aunque debe habilitarlo en la conexión LAN o de acceso telefónico subyacente)de acceso telefónico subyacente)

Configure las definiciones de servicio para cada Configure las definiciones de servicio para cada conexión de Firewall de Windows a través de la que conexión de Firewall de Windows a través de la que desee que funcione el serviciodesee que funcione el servicio

Establezca el tamaño del registro de seguridad en Establezca el tamaño del registro de seguridad en 16 megabytes para impedir el desbordamiento que 16 megabytes para impedir el desbordamiento que podrían ocasionar los ataques de denegación de podrían ocasionar los ataques de denegación de servicioservicio

RecomendacionesRecomendaciones

DemostraciónDemostración 33FirewallFirewall dede WindowsWindows

ConfiguraciónConfiguración manualmanual dede FirewallFirewall dede WindowsWindows

PruebaPrueba dede FirewallFirewall dede WindowsWindowsRevisiónRevisión dede loslos archivosarchivos dede registroregistro

dede FirewallFirewall dede WindowsWindowsConfiguraciónConfiguración dede directivasdirectivas dede grupogrupo


IntroducciónIntroducción Uso de defensas en el perímetroUso de defensas en el perímetro Uso de ISA Server para proteger los perímetrosUso de ISA Server para proteger los perímetros Uso de Firewall de Windows para proteger a los clientesUso de Firewall de Windows para proteger a los clientes Protección de redes inalámbricasProtección de redes inalámbricas Protección de comunicaciones mediante IPSecProtección de comunicaciones mediante IPSec









802.1x802.1x // WPAWPA

IPSecIPSec

LimitacionesLimitaciones dede WiredWired EquivalentEquivalent PrivacyPrivacy (WEP)(WEP) Las claves WEP estáticas no se cambian de Las claves WEP estáticas no se cambian de

forma dinámica y, por lo tanto, son forma dinámica y, por lo tanto, son vulnerables a los ataquesvulnerables a los ataques

No hay un método estándar para proporcionar No hay un método estándar para proporcionar claves WEP estáticas a los clientesclaves WEP estáticas a los clientes

Escalabilidad: el compromiso de una clave Escalabilidad: el compromiso de una clave WEP estática expone a todos los usuariosWEP estática expone a todos los usuarios

Limitaciones del filtrado de direcciones Limitaciones del filtrado de direcciones MACMAC Un intruso podría suplantar una dirección Un intruso podría suplantar una dirección

MAC permitidaMAC permitida

AspectosAspectos dede seguridadseguridad enen dispositivosdispositivos inalámbricosinalámbricos

AutenticaciónAutenticación dede nivelnivel 22 basadabasada enen contraseñascontraseñas PEAP/MSCHAP v2 de IEEE 802.1xPEAP/MSCHAP v2 de IEEE 802.1x

Autenticación de nivel 2 basada en certificadosAutenticación de nivel 2 basada en certificados EAP-TLS de IEEE 802.1xEAP-TLS de IEEE 802.1x

Otras opcionesOtras opciones Conexiones VPNConexiones VPN

L2TP/IPsec (la solución preferida) o PPTPL2TP/IPsec (la solución preferida) o PPTP No permite usuarios móvilesNo permite usuarios móviles Resulta útil cuando se utilizan zonas interactivas Resulta útil cuando se utilizan zonas interactivas

inalámbricas públicasinalámbricas públicas No se produce la autenticación de los equipos ni se procesa No se produce la autenticación de los equipos ni se procesa

la configuración establecida en directivas de grupola configuración establecida en directivas de grupo IPSecIPSec

Problemas de interoperabilidadProblemas de interoperabilidad

PosiblesPosibles solucionessoluciones

Tipo de seguridad de WLAN

Nivel de seguridad

Facilidad de implementación

Facilidad de uso e

integración

WEPWEP estáticoestático BajoBajo AltaAlta AltosAltos

PEAPPEAP dede IEEEIEEE 802.1X802.1X AltoAlto MediaMedia AltosAltos

TLSTLS dede IEEEIEEE 802.1x802.1x AltoAlto BajaBaja AltosAltos

VPNVPN AltoAlto (L2TP/IPSec)(L2TP/IPSec) MediaMedia BajosBajos

IPSecIPSec AltoAlto BajaBaja BajosBajos

ComparacionesComparaciones dede lala seguridadseguridad dede WLANWLAN

DefineDefine unun mecanismomecanismo dede controlcontrol dede accesoacceso basadobasado enen puertospuertos Funciona en cualquier tipo de red, tanto inalámbrica como Funciona en cualquier tipo de red, tanto inalámbrica como

con cablescon cables No hay ningún requisito especial en cuanto a claves de No hay ningún requisito especial en cuanto a claves de

cifradocifrado

Permite elegir los métodos de autenticación con EAPPermite elegir los métodos de autenticación con EAP Es la opción elegida por los elementos del mismo nivel en el Es la opción elegida por los elementos del mismo nivel en el

momento de la autenticaciónmomento de la autenticación El punto de acceso no tiene que preocuparse de los El punto de acceso no tiene que preocuparse de los

métodos de EAPmétodos de EAP

Administra las claves de forma automáticaAdministra las claves de forma automática No es necesario programar previamente las claves de No es necesario programar previamente las claves de

cifrado para la red inalámbricacifrado para la red inalámbrica

802.1x802.1x

EthernetEthernet

PuntoPunto dede accesoacceso

ServidorServidor RADIUSRADIUS

InicioInicio dede EAPOLEAPOL

IdentidadIdentidad dede respuestarespuesta dede EAPEAP

DesafíoDesafío dede accesoacceso dede RADIUSRADIUS

RespuestaRespuesta dede EAPEAP(credenciales)(credenciales)

AccesoAcceso bloqueadobloqueado

AsociaciónAsociación

AceptaciónAceptación dede accesoacceso dede RADIUSRADIUS

IdentidadIdentidad dede solicitudsolicitud dede EAPEAP

SolicitudSolicitud dede EAPEAP

SolicitudSolicitud dede accesoacceso dede RADIUSRADIUS

SolicitudSolicitud dede accesoacceso dede RADIUSRADIUS

RADIUSRADIUS

EquipoEquipo portátilportátil

InalámbricoInalámbrico

802.11802.11AsociadoAsociado 802.11802.11

ÉxitoÉxito dede EAPEAP

AccesoAcceso permitidopermitidoClaveClave dede EAPOLEAPOL (clave)(clave)

802.1x802.1x enen 802.11802.11

RequisitosRequisitos deldel sistemasistema parapara 802.1x802.1x Cliente:Cliente: WindowsWindows XPXP Servidor: IAS de Windows Server 2003Servidor: IAS de Windows Server 2003

Servicio de autenticación Internet: nuestro Servicio de autenticación Internet: nuestro servidor RADIUSservidor RADIUS

Certificado en el equipo IASCertificado en el equipo IAS 802.1x en Windows 2000802.1x en Windows 2000

El cliente e IAS deben tener SP3El cliente e IAS deben tener SP3 Vea el artículo 313664 de KBVea el artículo 313664 de KB No se admite la configuración rápida No se admite la configuración rápida

en el clienteen el cliente Sólo se admiten EAP-TLS y MS-CHAPv2Sólo se admiten EAP-TLS y MS-CHAPv2

Es posible que los futuros métodos de EAP en Es posible que los futuros métodos de EAP en Windows XP y Windows Server 2003 no se Windows XP y Windows Server 2003 no se puedan utilizarpuedan utilizar

ConfiguraciónConfiguración dede 802.1x802.1x1.1. ConfigurarConfigurar WindowsWindows ServerServer 20032003 concon IASIAS

2.2. Unir un dominioUnir un dominio

3.3. Inscribir un certificado de equipoInscribir un certificado de equipo

4.4. Registrar IAS en Active DirectoryRegistrar IAS en Active Directory

5.5. Configurar el registro RADIUSConfigurar el registro RADIUS

6.6. Agregar el punto de acceso como cliente RADIUSAgregar el punto de acceso como cliente RADIUS

7.7. Configurar el punto de acceso para RADIUS y Configurar el punto de acceso para RADIUS y 802.1x802.1x

8.8. Crear una directiva de acceso para clientes Crear una directiva de acceso para clientes inalámbricosinalámbricos

9.9. Configurar los clientesConfigurar los clientes1.1. No olvide importar el certificado raízNo olvide importar el certificado raíz

DirectivaDirectiva dede accesoacceso

CondiciónCondición dede directivadirectiva El tipo de puerto NAS El tipo de puerto NAS

coincide con Wireless coincide con Wireless IEEE 802.11 o con otro IEEE 802.11 o con otro tipo de red inalámbricatipo de red inalámbrica

Grupo de Windows = Grupo de Windows = <algún grupo de AD><algún grupo de AD> Opcional; proporciona Opcional; proporciona

control administrativocontrol administrativo Debe contener cuentas Debe contener cuentas

de usuario y de equipode usuario y de equipo

Perfil de directivas de accesoPerfil de directivas de acceso

PerfilPerfil Tiempo de espera: Tiempo de espera:

60 min. (802.11b) o 60 min. (802.11b) o 10 min. (802.11a/g)10 min. (802.11a/g)

No elija métodos de No elija métodos de autenticación regularesautenticación regulares

Tipo de EAP: EAP Tipo de EAP: EAP protegido; utilice protegido; utilice certificados de equipocertificados de equipo

Cifrado: sólo el Cifrado: sólo el más seguro más seguro (MPPE de 128 bits)(MPPE de 128 bits)

Atributos: Atributos: Ignore-User-Ignore-User-Dialin-Properties = TrueDialin-Properties = True

Especificación de mejoras en la seguridad interoperable y basada en estándares que aumenta enormemente el nivel de protección de los datos y el control de acceso para los sistemas actuales y futuros de una LAN inalámbrica

WPA requiere la autenticación de 802.1x para el acceso de red

ObjetivosObjetivos Cifrado mejorado de los datosCifrado mejorado de los datos Permitir la autenticación de los usuariosPermitir la autenticación de los usuarios Compatible con versiones futuras de 802.11iCompatible con versiones futuras de 802.11i Proporcionar una solución que no sea RADIUS para las oficinas Proporcionar una solución que no sea RADIUS para las oficinas

domésticas o de pequeño tamañodomésticas o de pequeño tamaño

Wi-Fi Alliance comenzó las pruebas de certificación de la interoperabilidad de los productos de WPA en febrero de 2003

WirelessWireless ProtectedProtected AccessAccess (WPA)(WPA)

RecomendacionesRecomendaciones UtiliceUtilice lala autenticaciónautenticación dede 802.1x802.1x Organice en grupos a los usuarios y equipos Organice en grupos a los usuarios y equipos

inalámbricosinalámbricos Aplique directivas de acceso inalámbrico con Aplique directivas de acceso inalámbrico con

directivas de grupodirectivas de grupo Utilice EAP-TLS para la autenticación basada en Utilice EAP-TLS para la autenticación basada en

certificados y PEAP para la autenticación basada en certificados y PEAP para la autenticación basada en contraseñascontraseñas

Configure una directiva de acceso remoto para permitir Configure una directiva de acceso remoto para permitir la autenticación de los usuarios y de los equiposla autenticación de los usuarios y de los equipos

Desarrolle un método que se ocupe de los puntos de Desarrolle un método que se ocupe de los puntos de acceso sospechosos, como la autenticación de 802.1x acceso sospechosos, como la autenticación de 802.1x basada en LAN, las encuestas a sitios, la supervisión basada en LAN, las encuestas a sitios, la supervisión de la red y el entrenamiento de los usuariosde la red y el entrenamiento de los usuarios


IntroducciónIntroducción aa lala defensadefensa enen profundidadprofundidad Uso de defensas en el perímetroUso de defensas en el perímetro Uso de ISA Server para proteger los perímetrosUso de ISA Server para proteger los perímetros Uso de Firewall de Windows para proteger a los clientesUso de Firewall de Windows para proteger a los clientes Protección de redes inalámbricasProtección de redes inalámbricas Protección de comunicaciones mediante IPSecProtección de comunicaciones mediante IPSec









802.1x802.1x // WPAWPA

IPSecIPSec

¿Qué¿Qué eses SeguridadSeguridad dede IPIP (IPSec)?(IPSec)? Un método para proteger el tráfico IPUn método para proteger el tráfico IP Una estructura de estándares abiertos Una estructura de estándares abiertos

desarrollada por el Grupo de trabajo de ingeniería desarrollada por el Grupo de trabajo de ingeniería de Internet (IETF, de Internet (IETF, Internet Engineering Task ForceInternet Engineering Task Force))

¿Por qué se debe utilizar IPSec?¿Por qué se debe utilizar IPSec? Para garantizar que las comunicaciones se cifran Para garantizar que las comunicaciones se cifran

y se autentican en el nivel IPy se autentican en el nivel IP Para proporcionar seguridad en el transporte Para proporcionar seguridad en el transporte

independiente de las aplicaciones o de los independiente de las aplicaciones o de los protocolos del nivel de aplicaciónprotocolos del nivel de aplicación

IntroducciónIntroducción aa IPSecIPSec

FiltradoFiltrado básicobásico parapara permitirpermitir oo bloquearbloquear paquetespaquetes

Comunicaciones Comunicaciones seguras en la LAN seguras en la LAN internainterna

Replicación en los Replicación en los dominios a través de dominios a través de servidores de servidores de seguridadseguridad

Acceso a VPN a Acceso a VPN a través de medios que través de medios que no son de confianzano son de confianza

EscenariosEscenarios dede IPSecIPSec

FiltrosFiltros parapara tráficotráfico permitidopermitido yy bloqueadobloqueado No se produce ninguna negociación real de No se produce ninguna negociación real de

las asociaciones de seguridad de IPSeclas asociaciones de seguridad de IPSec Los filtros se solapan: la coincidencia más Los filtros se solapan: la coincidencia más

específica determina la acciónespecífica determina la acción No proporciona filtrado de estadoNo proporciona filtrado de estado Se debe establecer "NoDefaultExempt = 1" Se debe establecer "NoDefaultExempt = 1"

para que sea seguropara que sea seguro

Desde IP A IP Protocolo Puerto de origen

Puerto de

destinoAcción

Cualquiera Mi IP de Internet Cualquiera N/D N/D Bloquear

Cualquiera Mi IP de Internet TCP Cualquiera 80 Permitir

ImplementaciónImplementación deldel filtradofiltrado dede paquetespaquetes dede IPSecIPSec

LosLos paquetespaquetes IPIP suplantadossuplantados contienencontienen consultasconsultas oo contenidocontenido peligrosopeligroso queque puedepuede seguirseguir llegandollegando aa loslos puertospuertos abiertosabiertos aa travéstravés dede loslos servidoresservidores dede seguridadseguridad

IPSec no permite la inspección de estadoIPSec no permite la inspección de estado Muchas herramientas que utilizan los Muchas herramientas que utilizan los

piratas informáticos emplean los puertos piratas informáticos emplean los puertos de origen 80, 88, 135 y otros para conectar de origen 80, 88, 135 y otros para conectar a cualquier puerto de destinoa cualquier puerto de destino

ElEl filtradofiltrado dede paquetespaquetes nono eses suficientesuficiente parapara protegerproteger unun servidorservidor

DireccionesDirecciones dede difusióndifusión IPIP No puede proteger a varios receptoresNo puede proteger a varios receptores

Direcciones de multidifusiónDirecciones de multidifusión De 224.0.0.0 a 239.255.255.255De 224.0.0.0 a 239.255.255.255

Kerberos: puerto UDP 88 de origen o destinoKerberos: puerto UDP 88 de origen o destino Kerberos es un protocolo seguro, que el servicio Kerberos es un protocolo seguro, que el servicio

de negociaciónde negociación IKE puede utilizar para la IKE puede utilizar para la autenticación de otros equipos en un dominioautenticación de otros equipos en un dominio

IKE: puerto UDP 500 de destinoIKE: puerto UDP 500 de destino Obligatorio para permitir que IKE negocie los Obligatorio para permitir que IKE negocie los

parámetros de seguridad de IPSecparámetros de seguridad de IPSec Windows Server 2003 configura únicamente Windows Server 2003 configura únicamente

la exención predeterminada de IKEla exención predeterminada de IKE

TráficoTráfico queque IPSecIPSec nono filtrafiltra

ComunicacionesComunicaciones internasinternas segurasseguras UtiliceUtilice IPSecIPSec parapara permitirpermitir lala autenticaciónautenticación mutuamutua dede

dispositivosdispositivos Utilice certificados o KerberosUtilice certificados o Kerberos La utilización de claves compartidas sólo es conveniente para La utilización de claves compartidas sólo es conveniente para

pruebaspruebas Utilice Encabezado de autenticación (AH) para garantizar la Utilice Encabezado de autenticación (AH) para garantizar la

integridad de los paquetesintegridad de los paquetes El Encabezado de autenticación proporciona integridad en los El Encabezado de autenticación proporciona integridad en los

paquetespaquetes El Encabezado de autenticación no cifra, con lo que se basa en los El Encabezado de autenticación no cifra, con lo que se basa en los

sistemas de detección de intrusos de redsistemas de detección de intrusos de red Utilice Carga de seguridad encapsuladora (ESP) para cifrar Utilice Carga de seguridad encapsuladora (ESP) para cifrar

el tráfico sensibleel tráfico sensible ESP proporciona integridad en los paquetes y confidencialidadESP proporciona integridad en los paquetes y confidencialidad El cifrado impide la inspección de los paquetesEl cifrado impide la inspección de los paquetes

Planee minuciosamente qué tráfico debe protegersePlanee minuciosamente qué tráfico debe protegerse

IPSecIPSec parapara lala replicaciónreplicación dede dominiosdominios UtiliceUtilice IPSecIPSec parapara lala replicaciónreplicación aa travéstravés dede

servidoresservidores dede seguridadseguridad En cada controlador de dominio, cree una directiva En cada controlador de dominio, cree una directiva

IPSec para proteger todo el tráfico a la dirección IP IPSec para proteger todo el tráfico a la dirección IP del otro controlador de dominiodel otro controlador de dominio

Utilice ESP 3DES para el cifradoUtilice ESP 3DES para el cifrado Permita el tráfico a través del servidor de Permita el tráfico a través del servidor de

seguridad:seguridad: Puerto UDP 500 (IKE)Puerto UDP 500 (IKE) Protocolo IP 50 (ESP)Protocolo IP 50 (ESP)

AccesoAcceso dede VPNVPN aa travéstravés dede mediosmedios queque nono sonson dede confianzaconfianza VPNVPN dede clientecliente

Utilice L2TP/IPSecUtilice L2TP/IPSec

VPN de sucursalVPN de sucursal Entre Windows 2000 o Windows Server, con Entre Windows 2000 o Windows Server, con

RRAS: utilice túnel L2TP/IPSec (fácil de RRAS: utilice túnel L2TP/IPSec (fácil de configurar, aparece como una interfaz enrutable)configurar, aparece como una interfaz enrutable)

A una puerta de enlace de terceros: utilice A una puerta de enlace de terceros: utilice L2TP/IPSec o el modo de túnel puro de IPSecL2TP/IPSec o el modo de túnel puro de IPSec

A la puerta de enlace RRAS de Microsoft A la puerta de enlace RRAS de Microsoft Windows NT® 4: utilice PPTP (IPSec no está Windows NT® 4: utilice PPTP (IPSec no está disponible)disponible)

RendimientoRendimiento dede IPSecIPSec ElEl procesamientoprocesamiento dede IPSecIPSec tienetiene algunasalgunas consecuenciasconsecuencias

enen elel rendimientorendimiento Tiempo de negociación de IKE, inicialmente entre 2 y 5 Tiempo de negociación de IKE, inicialmente entre 2 y 5

segundossegundos 5 recorridos de ida y vuelta5 recorridos de ida y vuelta Autenticación: Kerberos o certificadosAutenticación: Kerberos o certificados Generación de claves criptográficas y mensajes cifradosGeneración de claves criptográficas y mensajes cifrados Se realiza una vez cada ocho horas de forma predeterminada y se Se realiza una vez cada ocho horas de forma predeterminada y se

puede configurarpuede configurar El cambio de claves de la sesión es rápido:< entre uno y dos El cambio de claves de la sesión es rápido:< entre uno y dos

segundos, dos recorridos de ida y vuelta, una vez cada hora y segundos, dos recorridos de ida y vuelta, una vez cada hora y se puede configurarse puede configurar

Cifrado de paquetesCifrado de paquetes ¿Cómo se puede mejorar?¿Cómo se puede mejorar?

Al descargar el proceso criptográfico en NIC, IPSec casi alcanza Al descargar el proceso criptográfico en NIC, IPSec casi alcanza la velocidad de los dispositivos con cablela velocidad de los dispositivos con cable

Mediante CPU más rápidasMediante CPU más rápidas

RecomendacionesRecomendaciones PlaneePlanee minuciosamenteminuciosamente lala implementaciónimplementación dede IPSecIPSec Elija entre AH y ESPElija entre AH y ESP Utilice directivas de grupo para implementar Utilice directivas de grupo para implementar

directivas IPSecdirectivas IPSec Considere el uso de NIC de IPSecConsidere el uso de NIC de IPSec No utilice nunca la autenticación con claves No utilice nunca la autenticación con claves

compartidas fuera de un entorno de pruebacompartidas fuera de un entorno de prueba Elija entre la autenticación basada en Kerberos o en Elija entre la autenticación basada en Kerberos o en

certificadoscertificados Tenga cuidado al requerir el uso de IPSec para las Tenga cuidado al requerir el uso de IPSec para las

comunicaciones con controladores de dominio y comunicaciones con controladores de dominio y otros servidores de infraestructurasotros servidores de infraestructuras

DemostraciónDemostración 44IPSecIPSec

ConfiguraciónConfiguración yy pruebaspruebas dede unauna directivadirectiva IPSecIPSec sencillasencilla

ConfiguraciónConfiguración yy pruebaspruebas dede unun filtrofiltro dede paquetespaquetes IPSecIPSec

ResumenResumen dede lala sesiónsesión

IntroducciónIntroducción aa lala defensadefensa enen profundidadprofundidad Uso de defensas en el perímetroUso de defensas en el perímetro Uso de ISA Server para proteger los Uso de ISA Server para proteger los


proteger a los clientesproteger a los clientes Protección de redes inalámbricasProtección de redes inalámbricas Protección de redes mediante IPSecProtección de redes mediante IPSec

PasosPasos siguientessiguientes1.1. MantenerseMantenerse informadoinformado sobresobre

seguridadseguridad Suscribirse a boletines de seguridad:Suscribirse a boletines de seguridad:

http://www.microsoft.com/latam/technet/seguridad/http://www.microsoft.com/latam/technet/seguridad/boletines.asp boletines.asp

Obtener las directrices de seguridad de Microsoft Obtener las directrices de seguridad de Microsoft más recientes:más recientes:http://www.microsoft.com/latam/technet/seguridad/http://www.microsoft.com/latam/technet/seguridad/

2.2. Obtener aprendizaje adicional Obtener aprendizaje adicional de seguridadde seguridad1.1. Buscar seminarios de aprendizaje en línea y presenciales:Buscar seminarios de aprendizaje en línea y presenciales:

http://www.microsoft.com/latam/technet/evento/default.asphttp://www.microsoft.com/latam/technet/evento/default.asp

1.1. Buscar un CTEC local que ofrezca cursos prácticos:Buscar un CTEC local que ofrezca cursos prácticos:http://www.microsoft.com/mspress/latam/default.htmhttp://www.microsoft.com/mspress/latam/default.htm

ParaPara obtenerobtener másmás informacióninformación

SitioSitio dede seguridadseguridad dede MicrosoftMicrosoft (todos(todos loslos usuarios)usuarios) http://www.microsoft.com/latam/seguridadhttp://www.microsoft.com/latam/seguridad

Sitio de seguridad de TechNet (profesionales de IT)Sitio de seguridad de TechNet (profesionales de IT) http://www.microsoft.com/latam/technet/http://www.microsoft.com/latam/technet/

seguridad/default.aspseguridad/default.asp Sitio de seguridad de MSDN (desarrolladores)Sitio de seguridad de MSDN (desarrolladores)

http://msdn.microsoft.com/security http://msdn.microsoft.com/security (este sitio está en inglés)(este sitio está en inglés)

PreguntasPreguntas yy respuestasrespuestas

Documents

Implementación de seguridad en la red y del perímetro Nombre del presentador PuestoCompañía