SEGURIDAD DE PLATAFORMAS OPERATIVAS II

SEGURIDAD DE SISTEMAS OPERATIVOS

VII. IMPLEMENTACIN DE SEGURIDAD EN LA RED Y EL PERMETRO

Ing. Nicanor Sachahuaman Martinez CISM, MSCE, ITIL, COBIT, CBCP

Facultad de Ingeniera de Seguridad y Auditoria Informtica

VII. Implementacin de seguridad en la red y el permetro

I. Uso de defensas en el permetro

En este tema, se explicar el uso de las defensas del permetro. Especficamente se tratar: Informacin general sobre las conexiones de permetro Diseo del servidor de seguridad: de triple interfaz Diseo del servidor de seguridad: de tipo opuesto con opuesto o sndwich

Contra qu NO protegen los servidores de seguridad

Servidores de seguridad de software y de hardware Tipos de funciones de los servidores de seguridad

Informacin general sobre las conexiones de permetro

Los tipos de dispositivos que se encuentran en el permetro incluyen clientes VPN y servidores VPN, servidores de acceso remoto (RAS) y clientes RAS, enrutadores de borde, servidores de seguridad, sistemas de deteccin de intrusos de red (NIDS) y servidores proxy. Debe asegurarse de proteger todos los puntos de entrada a una red interna y que no haya otros no autorizados, como los mdems que se conectan a los equipos cliente o servidores, o los puntos de acceso inalmbricos con fines sospechosos. La nica forma de

asegurar esto es con el uso de polticas GPO en Active Directory.

Las conexiones del permetro no slo estn en la oficina principal, sino en cada ubicacin de la organizacin con presencia en Internet. Una organizacin debe ser diligente a la hora de garantizar que todos los puntos de entrada son seguros y que los nuevos no permiten introducirse accidentalmente en la organizacin. Por ejemplo, un empleado de una sucursal podra configurar un punto de acceso inalmbrico para utilizar la red en una sala que no tuviera conexiones de red.

Diseo del servidor de seguridad: de triple interfaz

En una configuracin de red de permetro con un servidor de seguridad de triple interfaz, ste se configura con tres adaptadores de red. Cada uno de los adaptadores se conecta a una de las redes siguientes:
Internet Servidores de la red interna que se

encuentran en la subred protegida

Clientes de la red interna

Aunque los servidores de la red de permetro tienen direcciones IP que suponen una presencia en Internet, el equipo servidor de
seguridad no permite el acceso directo a los recursos que se encuentran en la red interna. El servidor de seguridad filtrar y enrutar los paquetes a la subred protegida, tal como se determine en la configuracin de las reglas de protocolo y de puertos del servidor de seguridad. Una ventaja de un servidor de seguridad de triple interfaz es que ofrece un nico punto de administracin para configurar el acceso tanto a la red de permetro como a la red interna. Sin embargo, la administracin de la creacin de reglas podra ser ms compleja para la subred protegida y la red interna. Cuando entra en juego la complejidad de administracin, la posibilidad de llevar a cabo una configuracin incorrecta tambin aumenta.

Diseo del servidor de seguridad: de tipo opuesto con opuesto o sndwich

En una red de permetro con servidores de seguridad de tipo sndwich, en cada lado de la subred protegida, se ubican dos servidores de seguridad. Ambos se conectan a la subred protegida: uno de ellos se conecta tambin a Internet y el otro a la red interna. En esta configuracin, no hay un nico punto de acceso. Para llegar a la red interna, un usuario tendra que conseguir pasar ambos servidores de seguridad. Es habitual trabajar con dos proveedores de servidores de

seguridad diferentes para conseguir la mxima seguridad. Esta configuracin en la que

intervienen dos proveedores impide que un punto dbil de uno de los servidores de seguridad pueda aprovecharse fcilmente en ambos.

Contra qu NO protegen los servidores de seguridad

Trfico peligroso que atraviesa los puertos abiertos y no es inspeccionado en el nivel de aplicacin por el servidor de seguridad

Trfico que atraviesa un tnel o sesin cifrados

Ataques que se producen una vez que se ha entrado en una red Trfico que parece legtimo Usuarios y administradores que, intencionados o accidentalmente, instalan virus

Administradores que utilizan contraseas poco seguras

Tenga en cuenta que un servidor de seguridad no protege frente a todos los tipos de ataques. Aunque las defensas del permetro se encuentran entre los elementos ms importantes que puede implementar en una red, nunca debe confiar en un slo servidor de seguridad para

proteger toda la red.

Servidores de seguridad de software y de hardware

Tipos de funciones de los servidores de seguridad

1. Filtrado de paquetes
2. Inspeccin de estado 3. Inspeccin del nivel de aplicacin

Los servidores de seguridad

tradicionales proporcionan la forma

ms bsica de proteccin: filtran paquetes especficos. El filtrado de paquetes IP intercepta y evala los paquetes antes de pasar por un servidor de seguridad. El problema de este enfoque es que slo se pueden filtrar los aspectos de nivel inferior de un paquete de red, no el contenido del trfico. Un servidor de seguridad con inspeccin de estado inspeccionar un paquete IP cuando llegue a l desde Internet. El servidor de seguridad debe decidir si el paquete se debe reenviar a la red interna. Para ello, "echa un vistazo" a fin de comprobar qu conexiones han sido abiertas desde la red hacia Internet (lo que tambin se conoce como trfico solicitado). Si hay una conexin abierta que se aplique al paquete que ha llegado desde Internet, se le permitir el paso. De lo contrario, el paquete se rechazar.

II. Uso de ISA Server para proteger los permetros

En este tema, se explicar el uso de ISA Server para proteger los permetros. Especficamente se tratar:

Objetivos de seguridad en una red

Proteccin de los permetros Proteccin de los clientes Proteccin de los servidores Web URLScan Proteccin de Exchange Server Trfico que omite la inspeccin de los servidores de seguridad Inspeccin de todo el trfico Inspeccin de SSL

Refuerzo de la seguridad de ISA Server

Recomendaciones

Objetivos de seguridad en una red

Deteccin bsica de intrusos, que se ampla gracias al trabajo de los asociados: ISA Server ayuda a lograr los siguientes objetivos de seguridad en una red:
Defensa del permetro Deteccin de intrusos

SA Server tiene capacidades bsicas de deteccin de intrusos que se amplan gracias al trabajo de los asociados.
Acceso remoto seguro

Proteccin de los permetros

ISA Server tiene completas capacidades de filtrado:
Filtrado de paquetes Inspeccin de estado Inspeccin del nivel de aplicacin

ISA Server bloquea todo el trfico de red a menos que usted lo permita ISA Server permite establecer conexiones VPN seguras

La solucin de servidor de seguridad de Microsoft, ISA Server, proporciona seguridad empresarial

gracias al filtrado en varios niveles: en los paquetes, en los circuitos y en las aplicaciones. ISA Server analiza y controla el trfico especfico de una aplicacin con filtros especficos de la aplicacin que inspeccionan los datos reales. Es posible habilitar el filtrado inteligente de HTTP, FTP, correo electrnico SMTP, conferencia H.323, medios de transmisin, RPC y otros. Sin necesidad de modificaciones, ISA Server bloquea todo el trfico de red y slo admite los tipos de trfico que usted permita pasar especficamente a travs del servidor de seguridad. Esto representa el control ms pesimista del trfico que pasa a travs de las redes, tanto si son de confianza como no.

ISA Server se combina con el Servicio de enrutamiento y acceso remoto de Windows (RRAS,
Routing and Remote Access Service) como ayuda para proteger el acceso remoto a la red. ISA Server simplifica la configuracin de RRAS y ayuda a proteger el servidor VPN frente a ataques que se realicen desde Internet.

Proteccin de los clientes

ISA Server funciona como servidor proxy. Esto significa que ISA Server procesa todas las

solicitudes de cliente y nunca permite ningn trfico de red directo entre un cliente y un servidor,
que estn en lados diferentes del servidor de seguridad. Aunque es posible mejorar las funciones de ISA Server, si se configura el software de cliente puede proporcionar proteccin para todos los equipos que utilizan TCP/IP, sin tener que emplear software especial en los equipos cliente. Las reglas, extremadamente configurables, permiten controlar de forma granular el trfico entrante y saliente.

Proteccin de los servidores Web

Reglas de publicacin en Web
Para proteger de ataques externos a los servidores Web que se encuentran detrs de los servidores de

seguridad, inspeccione el trfico HTTP y compruebe que su formato es apropiado y cumple los estndares Inspeccin del trfico SSL
Descifra e inspecciona las solicitudes Web entrantes cifradas para comprobar que su formato es

apropiado y que cumple los estndares

Si se desea, volver a cifrar el trfico antes de enviarlo al servidor Web Las reglas de publicacin permiten que las solicitudes seleccionadas de los clientes externos lleguen a los

servidores Web pblicos. ISA Server puede inspeccionar las solicitudes entrantes y filtrarlas.
Por ejemplo, se pueden crear reglas de publicacin en Web para redirigir las solicitudes a los servidores

Web internos que alojan sitios Web diferentes. ISA Server inspecciona el trfico de acuerdo con las reglas
de destino configuradas en el servidor y reenva las solicitudes al servidor Web interno. ISA Server tambin registrar los paquetes que no cumplan las reglas definidas por el administrador y, si se desea, los paquetes que s las cumplan.
ISA Server puede inspeccionar el trfico de Secure Sockets Layer (SSL) y terminar el tnel SSL cifrado

desde el cliente. Si las reglas permiten este trfico, ISA Server puede reenviar las solicitudes al servidor Web publicado, ya sea de forma cifrada o sin cifrar. La ventaja principal es que ningn trfico puede pasar a la red interna sin que ISA Server realice una inspeccin completa del mismo para asegurarse de que cumple las reglas y los estndares.

URLScan
El paquete de caractersticas 1 de ISA Server incluye

URLScan 2.5 para ISA Server

Permite que el filtro ISAPI de URLScan se aplique al permetro de la red
Se produce un bloqueo general en todos los

servidores Web que se encuentran detrs del servidor de seguridad

Se bloquean en el permetro los ataques conocidos y los descubiertos recientemente.

URLScan 2.5 se incluye con el paquete de caractersticas 1 de ISA Server. Tambin se puede descargar para proteger los servidores IIS que ejecutan la versin 4.0 y posteriores. URLScan es una herramienta de seguridad que se instala como un filtro de la Interfaz de

programacin de aplicaciones de seguridad en Internet (ISAPI) y que examina todas las

solicitudes entrantes al servidor y filtra las que se basen en reglas establecidas por el administrador. El filtrado de las solicitudes ayuda a proteger el servidor al garantizar que slo se procesan las solicitudes vlidas. La herramienta de seguridad URLScan comprende dos archivos, UrlScan.dll y UrlScan.ini, que funcionan juntos para que un administrador pueda configurar la seguridad.

Proteccin de Exchange Server

Para proteger los servidores de correo donde se ejecuta Microsoft Exchange, ISA Server protege los servidores de correo interno que estn disponibles para los clientes externos. El Asistente para publicacin de correo permite hacer esto fcilmente y de forma segura. SMTP Message Screener puede bloquear los mensajes de correo electrnico que contienen tipos especficos de archivos adjuntos o palabras clave. Tambin es posible configurar los remitentes o los dominios cuyo correo desea rechazar. Message Screener procesa todo el trfico SMTP entrante antes de que llegue al servidor de correo interno. Message Screener es un componente opcional que no se instala automticamente si realiza una instalacin tpica de ISA Server. Debe instalar el programa SMTP Message Screener en un equipo donde se ejecute Servicios de Internet Information Server (IIS) 5.0 o un servicio SMTP posterior. SMTP Message Screener utiliza el Modelo de objetos componentes distribuido (DCOM, Distributed Component Object Model) para comunicar con el filtro SMTP de ISA Server. Puede instalar el filtro SMTP en el mismo equipo donde se ejecuta ISA Server o en otro diferente

Inspeccin de SSL
Los tneles SSL atraviesan los servidores de seguridad tradicionales porque este tipo de trfico est cifrado, lo que permite a los virus y gusanos pasar sin ser detectados e infectar los servidores internos ISA Server puede descifrar e inspeccionar el trfico SSL. El trfico inspeccionado se puede enviar al servidor interno sin cifrar o cifrado de nuevo
SSL cifra el trfico de red para proteger la confidencialidad entre el cliente y el servidor.

Aunque esta confidencialidad es necesaria para el trfico de red que atraviesa las
redes que no son seguras, como Internet, tambin impide que los servidores de seguridad inspeccionen este trfico cifrado. Los servidores de seguridad tradicionales pasan el trfico SSL a los servidores Web internos sin inspeccionarlo, con lo que permiten que los virus, gusanos u otros ataques los atraviesen sin ser detectados.
Puede configurar ISA Server como extremo del tnel SSL. Para ello, debe instalar un

certificado de servidor Web en el equipo que ejecuta ISA Server, de modo que ste pueda demostrar su identidad ante los equipos cliente. Una vez que ISA Server inspecciona el trfico del tnel SSL, lo reenva al servidor interno. Es posible configurar

ISA Server para enviar este trfico sin cifrar o cifrado de nuevo.

Refuerzo de la seguridad de ISA Server

Refuerzo de la pila de red Deshabilite los protocolos de red innecesarios en la interfaz de red externa:
Cliente para redes Microsoft Compartir impresoras y archivos para redes Microsoft NetBIOS sobre TCP/IP

ISA Server suele conectarse directamente a Internet y, por lo tanto, est expuesto a posibles ataques provenientes del exterior. Si el servidor de seguridad se bloquea o se ve comprometido desde la red interna, es posible que puedan entrar intrusos en la red. Si se refuerza ms el servidor ISA Server, es posible aumentar la seguridad del servidor de seguridad. Debe configurar la pila de red de Windows Server 2000 o Windows Server 2003 para impedir ataques de denegacin de servicio. Los artculos 315669 y 324270 de Knowledge Base (Base de conocimiento) de Microsoft contienen informacin detallada sobre cmo hacer esto. Tambin debe deshabilitar los protocolos de red innecesarios. Normalmente, esto incluye deshabilitar el Cliente para redes Microsoft y la funcin Compartir impresoras y archivos para redes Microsoft en la interfaz externa de ISA Server. Adems, debe deshabilitar NetBIOS sobre TCP/IP en la interfaz externa.

 Adicionalmente utilice el Wizard Secure Your ISA Server Computer. Este asistente realiza cambios importantes para el Hardening del ISA Server y contiene tres perfiles diferentes:

Dedicated se utiliza si el hardware solamente funciona como servidor de seguridad, Limited

Seviches se utiliza en equipos que funcionan como servidor de seguridad y alguna funcin de infraestructura o controlador de dominio, y Secure se utiliza para equipos que funcionan como servidor de seguridad y de aplicaciones o bases de datos. Como recomendacin no utilice este asistente si no est seguro del futuro del equipo, puesto que realiza cambios irreversibles y puede que luego no funcione correctamente

Conectando Usuarios Remotos a la Red Corporativa

Las conexiones VPN habilitan a los usuarios a trabajar remotamente conectados a la red

corporativa o a la red perimetral, utilizando como transporte una red pblica como Internet. De la
perspectiva del usuario, la infraestructura de la red pblica es inaplicable porque los datos parecieran se envan sobre un enlace privado dedicado. Para permitir que las computadoras cliente establezcan una conexin VPN, usted debe configurar el ISA Server para aceptar conexiones VPN de clientes, utilizando como protocolos de VPN PPTP o L2TP.

Recomendaciones
Utilice reglas de acceso que nicamente permitan las solicitudes que se admitan de forma especfica Utilice las capacidades de autenticacin de ISA Server para restringir y registrar el acceso a Internet Configure reglas de publicacin en Web para conjuntos de destinos especficos

Utilice la inspeccin de SSL para inspeccionar los datos cifrados que entren en la red
Puede conceder acceso a Internet si crea reglas de sitios y de contenido. Las reglas de sitios y de

contenido determinan si los usuarios o conjuntos de direcciones de cliente pueden tener acceso al contenido de conjuntos de destinos especficos y cundo. Si un cliente solicita un objeto, ISA Server comprueba las reglas de sitios y de contenido. La solicitud slo se admitir si una regla de sitios y de contenido permite especficamente el acceso de cliente al contenido y si se permite al cliente comunicarse con el protocolo especfico.
Puede establecer la configuracin de las solicitudes Web entrantes y salientes de forma que los usuarios

se deban autenticar antes de procesar las reglas. De este modo se garantiza que las solicitudes slo se permiten si el usuario que las efecta se ha autenticado.
Las reglas de publicacin en Web determinan cmo debe interceptar ISA Server las solicitudes entrantes

de objetos HTTP en un servidor Web interno y cmo debe responder en nombre del servidor Web. Las solicitudes se reenvan a un servidor Web interno, que se encuentra detrs del equipo que ejecuta ISA Server. Configure las reglas slo para conjuntos de destinos especficos, que incluyen una o varias direcciones URL.

III. Uso de Firewall de Windows para proteger a los clientes

En este tema, se explicar el uso de Firewall de Windows para proteger a los clientes.

Especficamente se tratar:
Objetivos de seguridad en una red Informacin general sobre Firewall de Windows

Habilitar Firewall de Windows

Configuracin avanzada de Firewall de Windows Registro de seguridad de Firewall de Windows Firewall de Windows en la compaa Recomendaciones

Objetivos de seguridad en una red

Firewall de Windows ayuda a lograr el siguiente objetivo de seguridad en la red:

Defensa de los clientes

Informacin general sobre Firewall de Windows

Habilitar Firewall de Windows

Se puede habilitar:

Al activar una casilla de verificacin

Con el Asistente para configuracin de red Con el Asistente para conexin nueva Se habilita de forma independiente en

cada conexin de red

Configuracin avanzada de Firewall de Windows

Servicios de red
Aplicaciones basadas en Web Si en un equipo ejecuta servicios de red o aplicaciones basadas en Web, puede abrir puertos especficos si selecciona los protocolos para los que desee permitir las conexiones entrantes. Recuerde que habilitar Firewall de

Windows en una conexin a travs de

la que reciba correo electrnico podra afectar a las notificaciones de correo nuevo.

Registro de seguridad de Firewall de Windows

Opciones de registro Opciones del archivo de registro
Firewall de Windows tiene la

capacidad de registrar el trfico de red. Este registro sigue el Formato de archivo extendido W3C (http://www.w3.org/TR/WD-logfile.html [en ingls]). El archivo de registro es un archivo de texto ASCII que se puede importar para analizar los datos.
De forma predeterminada, Firewall de

Windows no registra los paquetes

descartados ni las conexiones correctas. Debe habilitar el registro para solucionar problemas o para recopilar registros y realizar anlisis centralizados. La informacin que se recopila en los registros de Firewall de Windows puede resultar de un inters inestimable en el anlisis de ataques que se han llevado a cabo.
Si configura el registro, no olvide limitar el tamao del archivo de registro para no utilizar todo el espacio

de disco disponible en los equipos. No obstante, asegrese de registrar informacin suficiente para realizar un seguimiento de los posibles ataques.

Recomendaciones
Utilice Firewall de Windows en las oficinas domsticas y en las pequeas compaas con el fin de proporcionar proteccin a los equipos que estn conectados directamente a Internet No active Firewall de Windows en una conexin VPN (aunque debe habilitarlo en la conexin LAN o de acceso telefnico subyacente) Configure las definiciones de servicio para cada conexin de Firewall de Windows a travs de la que desee que funcione el servicio Establezca el tamao del registro de seguridad en 16 megabytes para impedir el desbordamiento que podran ocasionar los ataques de denegacin de servicio
Firewall de Windows *siempre* se debe utilizar en todos los equipos que estn conectados a Internet y que no

ofrezcan el grado de proteccin que proporciona un servidor de seguridad tradicional.

No active Firewall de Windows en una conexin VPN porque interfiere con el uso compartido de archivos y con

otras funciones VPN. Sin embargo, en el resto de las conexiones se DEBE utilizar Firewall de Windows mientras se tenga acceso a la VPN para impedir que el trfico no solicitado se enrute a la red corporativa interna.
Firewall de Windows puede habilitarse en una LAN, incluso en una LAN inalmbrica, y en conexiones de Servicio

de acceso remoto como PPP sobre Ethernet, acceso telefnico y VPN. Se puede habilitar en varias conexiones en un sistema, cada una con sus propias opciones y configuracin. Cada conexin debe analizarse para determinar a qu trfico no solicitado se le debe permitir entrar en esa interfaz.
El registro de seguridad se debe configurar para grabar una cantidad apropiada de datos que no puedan

sobrescribirse fcilmente. Un archivo con un tamao de 16 megabytes es suficiente en la mayor parte de las

instalaciones de equipos.

IV. Proteccin de redes inalmbricas

En este tema, se tratar cmo proteger las redes inalmbricas. Especficamente se tratar: Objetivos de seguridad en una red Aspectos de seguridad en dispositivos inalmbricos

Posibles soluciones
Comparacin de la seguridad de las redes de rea local inalmbricas (WLAN) 802.1X 802.1X en 802.11

Requisitos del sistema para 802.1x

Configuracin de 802.1x Directiva de acceso Perfil de directivas de acceso Wi-Fi Protected Access (WPA) Recomendaciones

Objetivos de seguridad en una red

802.1x y Wireless Protected Access (WPA) son caractersticas de seguridad para redes inalmbricas. Ayudan a lograr los siguientes objetivos de seguridad en una red:
Control de las personas que pueden tener acceso a la red Confidencialidad del trfico de red

Aspectos de seguridad en dispositivos inalmbricos

Limitaciones de Wired Equivalent Privacy (WEP)
Las claves WEP estticas no se cambian de forma dinmica y, por lo tanto, son vulnerables a los ataques

No hay un mtodo estndar para proporcionar claves WEP estticas a los clientes
Escalabilidad: el compromiso de una clave WEP esttica expone a todos los usuarios

Limitaciones del filtrado de direcciones MAC

Un intruso podra suplantar una direccin MAC permitida La especificacin 802.11 no define un protocolo de administracin de claves Wired Equivalent Privacy

(WEP). El uso de claves WEP estticas no es suficientemente seguro para impedir el acceso no autorizado a la red y mantener la confidencialidad de las comunicaciones. sta es una limitacin de los servicios de seguridad de IEEE 802.11, especialmente en un modo de red de infraestructura inalmbrica con un gran nmero de emisoras. Recientemente, WEP ha demostrado ser un protocolo dbil desde el punto de vista criptogrfico.
En muchas redes inalmbricas pequeas, la supervisin de direcciones de Control de acceso a medios

(MAC, Media Access Control) constituye la mejor eleccin. El punto de acceso inalmbrico suele tener la capacidad de almacenar una lista de direcciones MAC con permiso para tener acceso a la red. Si la direccin MAC no se ha agregado al punto de acceso, se rechaza y el usuario no puede conectarse a la red. Esta tcnica tiene la ventaja aadida de impedir que los intrusos suplanten las direcciones IP. Sin embargo, si no se puede entrar en la red, no es posible suplantar una direccin. Desgraciadamente, hay herramientas que permiten que un intruso suplante una direccin MAC.

Posibles soluciones
PEAP/MSCHAP v2 de IEEE 802.1x Autenticacin de nivel 2 basada en certificados
EAP-TLS de IEEE 802.1x

Conexiones VPN L2TP/IPsec (la solucin preferida) o PPTP No permite usuarios mviles

Resulta til cuando se utilizan zonas interactivas inalmbricas pblicas

No se produce la autenticacin de los equipos ni se procesa la configuracin establecida en directivas de grupo IPSec: Problemas de interoperabilidad Hay varios protocolos y soluciones de terceros que permiten mejorar la seguridad de las redes WLAN. La solucin recomendada es utilizar la Autenticacin de nivel 2. La Autenticacin de nivel 2 basada en contraseas es relativamente fcil de implementar porque no requiere una Infraestructura de clave pblica (PKI, Public Key Infrastructure). Si su organizacin puede implementar una PKI, una solucin ms segura es utilizar la Seguridad del nivel de transporte del protocolo de autenticacin extensible (EAP-TLS, Extensible Authentication Protocol Transport Layer Security) para el acceso de red 802.1x. En ciertas circunstancias, es posible utilizar otras opciones:
Conexiones VPN IPSec: puede configurar directivas IPSec mediante directivas de grupo, IPSec no es una solucin viable para proteger el trfico

inalmbrico.

Comparaciones de la seguridad de WLAN

A continuacin se comparan las diferentes soluciones.

Observe que, cuanto mayor es la seguridad, ms difcil se vuelve la implementacin. No obstante, puede ahorrar tiempo en la implementacin de soluciones muy seguras si la centraliza y utiliza herramientas de administracin centralizada, por ejemplo, directivas de grupo.

802.1x
Define un mecanismo de control de acceso basado en puertos
Funciona en cualquier tipo de red, tanto inalmbrica como con cables No hay ningn requisito especial en cuanto a claves de cifrado

Permite elegir los mtodos de autenticacin con EAP

Es la opcin elegida por los elementos del mismo nivel en el momento de la autenticacin El punto de acceso no tiene que preocuparse de los mtodos de EAP

Administra las claves de forma automtica

No es necesario programar previamente las claves de cifrado para la red inalmbrica El estndar 802.1x soluciona las limitaciones ms importantes del estndar 802.11:

IEEE 802.1x es un estndar para el control de acceso de red basado en puertos (ya sea con cables o inalmbrico) que proporciona acceso de red autenticado a redes inalmbricas 802.11 y a redes Ethernet con cable.
IEEE 802.1x utiliza protocolos de seguridad estndar, como el Servicio de autenticacin de Internet (IAS,

Internet Authentication Service) de Servicio de usuario de acceso telefnico de autenticacin remota (RADIUS, Remote Authentication Dial-In User Service), para permitir la identificacin centralizada de los usuarios, la autenticacin, la administracin dinmica de claves y servicios de cuentas.
El uso de IEEE 802.1x ofrece una estructura efectiva para autenticar y controlar el trfico de usuarios a

una red protegida, adems de las claves de cifrado que varan de forma dinmica.

802.1x en 802.11

Al utilizar IEEE 802.1x y EAP-TLS como mtodo de autenticacin, se emplean certificados de clave pblica (no contraseas) para realizar la autenticacin y obtener claves de cifrado. Los clientes y los puntos de acceso realizan la autenticacin mutua. EAP protegido (PEAP) es un protocolo de autenticacin que utiliza la Seguridad del nivel de transporte (TLS, Transport Layer Security) para mejorar la seguridad de otros mtodos de autenticacin EAP. PEAP para el Cliente de autenticacin 802.1x de Microsoft tambin proporciona compatibilidad con PEAP-EAP-MSCHAPv2, que utiliza certificados para la autenticacin del servidor y credenciales basadas en contraseas para la autenticacin del cliente. El uso de PEAP-EAP-MSCHAPV2 no implica una implementacin de PKI extensa. Para habilitar 802.1x, debe implementar un servidor RADIUS (un equipo donde se ejecute IAS), un controlador de dominio con Windows Server 2003 o Windows Server 2000 con Service Pack 4, y un punto de acceso inalmbrico compatible con 802.1x. Tambin puede necesitar una entidad emisora de certificados que emita los certificados.

Wireless Protected Access (WPA)

Especificacin de mejoras en la seguridad interoperables y basadas en estndares que aumenta

enormemente el nivel de proteccin de los datos y el control de acceso para los sistemas actuales
y futuros de LAN inalmbrica WPA requiere la autenticacin de 802.1x para el acceso de red Objetivos
Cifrado mejorado de los datos Permitir la autenticacin de los usuarios Compatible con versiones futuras de 802.11i Proporcionar una solucin que no sea RADIUS para las oficinas domsticas o de pequeo tamao

Wi-Fi Alliance comenz las pruebas de certificacin de la interoperabilidad de los productos de

WPA en febrero de 2003

Cuando se cre, WPA tena dos objetivos de diseo principales en relacin a la seguridad. El primero era proporcionar un cifrado de datos mejorado, que era poco seguro con WEP. El segundo objetivo era permitir la autenticacin de usuarios, que no era posible en WEP.

Para lograr el primer objetivo, WPA utiliza el Protocolo de integridad temporal de claves (TKIP,
Temporal Key Integrity Protocol). TKIP proporciona mejoras en el cifrado, entre las que se incluyen funciones de mezcla de claves en cada paquete, un mtodo de comprobacin de la integridad de mensajes (MIC, Message Integrity Check), tambin conocido como Michael, y un vector de inicializacin extendido (IV, Initialization Vector) con reglas de secuenciacin.

Recomendaciones
Utilice la autenticacin de 802.1x Organice en grupos a los usuarios y equipos inalmbricos

Aplique directivas de acceso inalmbrico con directivas de grupo

Utilice EAP-TLS para la autenticacin basada en certificados y PEAP para la autenticacin basada en contraseas Configure una directiva de acceso remoto para permitir la autenticacin de los usuarios y de los equipos Desarrolle un mtodo que se ocupe de los puntos de acceso sospechosos, como la autenticacin de 802.1x basada en LAN, las encuestas a sitios, la supervisin de la red y el entrenamiento de los usuarios. Se recomienda seguir las prcticas siguientes al utilizar Active Directory en una red donde se utiliza acceso inalmbrico: Utilice la autenticacin de 802.1x siempre que se conecte a una red inalmbrica 802.11. 802.1x es un

estndar de IEEE que mejora la seguridad y la implementacin al permitir la identificacin centralizada de los
usuarios, la autenticacin, la administracin dinmica de claves y el uso de cuentas. Organice en grupos a los usuarios y equipos inalmbricos para facilitar la administracin. A continuacin, puede centralizar la administracin de directivas si aplica una directiva a estos grupos. Esto facilita la comprobacin de qu directiva se aplica y a qu usuarios o equipos. Planee su directiva inalmbrica minuciosamente. El Asistente para conjunto resultante de directivas (RSOP, Resultant Set of Policy) se puede utilizar para saber exactamente qu directiva se aplica a cualquier objeto del directorio.

 EAP-TLS es un mtodo de autenticacin mutua, lo que significa que tanto el cliente como el servidor prueban sus identidades entre s. Durante el intercambio de EAP-TLS, el cliente enva su certificado de usuario y el servidor enva su certificado de equipo. Para EAP-TLS se requiere una infraestructura de clave pblica. PEAP-MSCHAPv2 se puede utilizar en organizaciones que no implementen una PKI. Realizar la autenticacin del equipo permite al dominio autenticar el dispositivo, lo que es

necesario para la ejecucin de las directivas del grupo de equipos y la configuracin de la

instalacin de software. Cualquier empleado puede comprometer la seguridad de los datos corporativos si conecta un punto de acceso inalmbrico (WAP) a una clavija disponible de la red. En el peor de los casos, un WAP malintencionado que se introduzca en un entorno corporativo podra incluso no tener

habilitado WEP, lo que permitira la asociacin y, en ltima instancia, el acceso a la red a

cualquier posible intruso. Debe desarrollar mtodos para ocuparse de la posibilidad de que existan puntos de acceso sospechosos. Esto incluye requerir la autenticacin basada en 802.1x en los conmutadores para garantizar el control de acceso desde la red con cables, realizar encuestas a los sitios y supervisar la red para detectar los puntos de acceso sospechosos, y entrenar a los usuarios.

V. Proteccin de comunicaciones mediante IPSec

En este tema, se explicar cmo proteger las comunicaciones de red entre equipos mediante
IPSec. Especficamente se tratar: Objetivos de seguridad en una red Introduccin a IPSec Escenarios de IPSec Implementacin del filtrado de paquetes de IPSec El filtrado de paquetes no es suficiente para proteger los servidores Trfico que IPSec no filtra Comunicaciones internas seguras

IPSec para la replicacin de dominios

Acceso a VPN a travs de medios que no son de confianza Rendimiento de IPSec Recomendaciones

Objetivos de seguridad en una red

IPSec ayuda a lograr los siguientes objetivos de seguridad en una red:

Defensa de los clientes

Confidencialidad del trfico de red

Acceso remoto seguro

Introduccin a IPSec
Qu es Seguridad de IP (IPSec)?
Un mtodo para proteger el trfico IP Una estructura de estndares abiertos desarrollada por el Grupo de trabajo de ingeniera de Internet

(IETF, Internet Engineering Task Force) Por qu se debe utilizar IPSec?

Para garantizar que las comunicaciones se cifran y se autentican en el nivel IP

Para proporcionar seguridad en el transporte independiente de las aplicaciones o de los protocolos del

nivel de aplicacin PSec es la solucin a largo plazo para la creacin de redes seguras. Proporciona una lnea de defensa fundamental contra los ataques de las redes privadas y desde Internet, al mismo tiempo que equilibra la seguridad con la facilidad de uso. IPSec tiene dos objetivos:
Proteger la confidencialidad y la integridad del contenido de los paquetes IP y autenticar al emisor de los

paquetes.
Proporcionar una lnea de defensa frente a los ataques de red realizados a travs del filtrado de paquetes

y exigir comunicaciones de confianza.

Escenarios de IPSec
Filtrado bsico para permitir o bloquear paquetes Comunicaciones seguras en la LAN interna Replicacin en los dominios a travs de servidores de seguridad

Acceso a VPN a travs de medios que no son de confianza

Implementacin del filtrado de paquetes de IPSec

Filtros para trfico permitido y bloqueado No se produce ninguna negociacin real de las asociaciones de seguridad de IPSec Los filtros se solapan: la coincidencia ms especfica determina la accin

No proporciona filtrado de estado

Se debe establecer "NoDefaultExempt = 1" para que sea seguro

Aunque IPSec no proporciona funciones completas de servidor de seguridad, se puede utilizar

para permitir o bloquear estticamente el trfico en funcin de combinaciones de direcciones de

origen o destino, segn el protocolo IP y los puertos TCP y UDP. Algunas de las funciones de los servidores de seguridad estndar que IPSec no ofrece son la inspeccin de estado, el conocimiento del protocolo de aplicacin, la inspeccin de intrusos y el registro de paquetes.

El filtrado de paquetes no es suficiente para proteger un servidor

Los paquetes IP suplantados contienen consultas o contenido peligroso que puede seguir
llegando a los puertos abiertos a travs de los servidores de seguridad IPSec no permite la inspeccin de estado Muchas herramientas que utilizan los piratas informticos emplean los puertos de origen 80, 88, 135 y otros para conectar a cualquier puerto de destino
Si se bloquea la comunicacin a puertos especficos de un servidor, es ms difcil que un

intruso tenga acceso a ste o que el servidor se utilice con el fin de atacar a otros equipos, pero no se impide completamente la posibilidad de un ataque. Puede reforzar la seguridad mediante el filtrado IPSec para controlar exactamente el tipo de comunicacin permitida entre los sistemas.
Tambin puede utilizar IPSec con el componente Traduccin de direcciones de red (NAT,

Network Address Translation) o Servidor de seguridad bsico de RRAS o con el filtro de paquetes IP para mejorar el filtrado de IPSec del trfico entrante o saliente. Sin embargo, no debera depender de este filtrado de paquetes para reemplazar la funcin de servidor

de seguridad.

Comunicaciones internas seguras

Utilice IPSec para permitir la autenticacin mutua de dispositivos
Utilice certificados o Kerberos La utilizacin de claves compartidas slo es conveniente para pruebas

Utilice Encabezado de autenticacin (AH) para garantizar la integridad de los paquetes

El Encabezado de autenticacin proporciona integridad en los paquetes El Encabezado de autenticacin no cifra, con lo que se basa en los sistemas de deteccin de intrusos de red

Utilice Carga de seguridad encapsuladora (ESP) para cifrar el trfico sensible

ESP proporciona integridad en los paquetes y confidencialidad El cifrado impide la inspeccin de los paquetes

Planee minuciosamente qu trfico debe protegerse

Puede utilizar IPSec para proteger las comunicaciones dentro de la red corporativa. Hay tres estrategias generales:

Utilice IPSec para garantizar que slo los equipos autorizados, por ejemplo los integrantes de un dominio, se comuniquen con los equipos de una red. Puede utilizar Kerberos para implementar IPSec siempre y cuando los equipos sean integrantes de uno de los dominios corporativos. El uso de un certificado permite incluir los equipos que no sean integrantes de un dominio en la implementacin de IPSec. Una clave previamente compartida no

proporciona suficiente seguridad para resultar til en un entorno que no sea de prueba.
Para garantizar la integridad de los paquetes nicamente, utilice Encabezado de autenticacin (AH). El Encabezado de autenticacin permite la autenticacin y comprobacin de la integridad de los paquetes pero no permite el cifrado. Planee siempre minuciosamente qu trfico se debe proteger y cmo.

IPSec para la replicacin de dominios

Utilice IPSec para la replicacin a travs de servidores de seguridad En cada controlador de dominio, cree una directiva IPSec para proteger todo el trfico a la direccin IP del otro controlador de dominio Utilice ESP 3DES para el cifrado Permita el trfico a travs del servidor de seguridad:
Puerto UDP 500 (IKE)

Protocolo IP 50 (ESP)

Si los controladores de dominio estn separados mediante servidores de seguridad, el trfico normal de replicacin requiere que abra un gran nmero de puertos. Puede utilizar IPSec con el fin de reducir el nmero de puertos que se abren. Para ello:
En cada controlador de dominio, cree una directiva IPSec para proteger todo el trfico a la direccin IP del

otro controlador de dominio.

Utilice ESP para cifrar el trfico y elija el algoritmo de cifrado ms seguro disponible para IPSec basado en Windows, que es 3DES.

 VPN de cliente

Acceso de VPN a travs de medios que no son de confianza

Utilice L2TP/IPSec

VPN de sucursal
Entre Windows 2000 o Windows Server, con RRAS: utilice tnel L2TP/IPSec (fcil de configurar, aparece

como una interfaz enrutable)

A una puerta de enlace de terceros: utilice L2TP/IPSec o el modo de tnel puro de IPSec A la puerta de enlace RRAS de Microsoft Windows NT 4: utilice PPTP (IPSec no est disponible) IPSec puede utilizarse para establecer una VPN a travs de un medio que no es de confianza. Hay dos

tipos de VPN: VPN de cliente. Los clientes siempre utilizan L2TP junto con IPSec cuando establecen una conexin VPN basada en IPSec con un servidor VPN donde se ejecute Windows 2000 o Windows Server 2003. L2TP encapsula las comunicaciones de cliente e IPSec permite cifrar el trfico. (Las conexiones VPN del cliente Windows tambin pueden utilizar PPTP.) VPN de sucursal. Las conexiones VPN de sucursal se establecen entre dos puertas de enlace VPN y permiten las comunicaciones entre todos los clientes conectados a ellas. No es necesario configurar ningn cliente, slo las puertas de enlace VPN. El protocolo que se utiliza depende de las capacidades del servidor remoto con el que se est estableciendo una conexin.

Recomendaciones
Planee minuciosamente la implementacin de IPSec Elija entre AH y ESP Utilice directivas de grupo para implementar directivas IPSec

Considere el uso de NIC de IPSec

No utilice nunca la autenticacin con claves compartidas fuera de un entorno de prueba Elija entre la autenticacin basada en Kerberos o en certificados Tenga cuidado al requerir el uso de IPSec para las comunicaciones con controladores de dominio

y otros servidores de infraestructuras

Antes de implementar cualquier solucin IPSec, debe asegurarse de que ha planeado

cuidadosamente lo que desea llevar a cabo y cmo implementarlo.

Antes de utilizar IPSec, decida si slo requiere autenticacin, lo que puede conseguir

mediante Encabezado de autenticacin, o si tambin necesita confidencialidad, que

requiere ESP.
Al implementar IPSec, utilice directivas de grupo siempre que sea posible. La utilizacin de

directivas de grupo garantiza la coherencia y que se exijan los requisitos corporativos.

Considere la posibilidad de descargar el proceso criptogrfico en NIC si observa que el uso

de IPSec crea un problema de rendimiento. Con frecuencia, slo unos pocos equipos requieren esta clase de NIC.

 El uso de claves previamente compartidas es un mtodo que puede utilizarse con

IPSec, pero slo en un entorno de laboratorio y para solucionar problemas. Las claves previamente compartidas no proporcionan un grado suficiente de seguridad en un entorno de produccin.
Utilice siempre la autenticacin basada en Kerberos o en certificados. El tipo que elija

depender de sus requisitos. La autenticacin basada en Kerberos es ms fcil de configurar pero requiere que todos los equipos sean integrantes del dominio. Los certificados permiten que todos los equipos que puedan emplear IPSec se comuniquen

entre s, pero debe implementar una PKI para utilizarlos.

Como los clientes pueden requerir comunicaciones que no sean seguras con los

controladores de dominio y otros servidores de infraestructuras, por ejemplo, con servidores DNS y DHCP, a fin de poder establecer una asociacin de seguridad, compruebe que sus directivas IPSec para estos servidores no impiden las

comunicaciones.