Академический Документы
Профессиональный Документы
Культура Документы
Los tipos de dispositivos que se encuentran en el permetro incluyen clientes VPN y servidores VPN, servidores de acceso remoto (RAS) y clientes RAS, enrutadores de borde, servidores de seguridad, sistemas de deteccin de intrusos de red (NIDS) y servidores proxy. Debe asegurarse de proteger todos los puntos de entrada a una red interna y que no haya otros no autorizados, como los mdems que se conectan a los equipos cliente o servidores, o los puntos de acceso inalmbricos con fines sospechosos. La nica forma de
Aunque los servidores de la red de permetro tienen direcciones IP que suponen una presencia en Internet, el equipo servidor de
seguridad no permite el acceso directo a los recursos que se encuentran en la red interna. El servidor de seguridad filtrar y enrutar los paquetes a la subred protegida, tal como se determine en la configuracin de las reglas de protocolo y de puertos del servidor de seguridad. Una ventaja de un servidor de seguridad de triple interfaz es que ofrece un nico punto de administracin para configurar el acceso tanto a la red de permetro como a la red interna. Sin embargo, la administracin de la creacin de reglas podra ser ms compleja para la subred protegida y la red interna. Cuando entra en juego la complejidad de administracin, la posibilidad de llevar a cabo una configuracin incorrecta tambin aumenta.
Deteccin bsica de intrusos, que se ampla gracias al trabajo de los asociados: ISA Server ayuda a lograr los siguientes objetivos de seguridad en una red:
Defensa del permetro Deteccin de intrusos
SA Server tiene capacidades bsicas de deteccin de intrusos que se amplan gracias al trabajo de los asociados.
Acceso remoto seguro
ISA Server bloquea todo el trfico de red a menos que usted lo permita ISA Server permite establecer conexiones VPN seguras
ISA Server se combina con el Servicio de enrutamiento y acceso remoto de Windows (RRAS,
Routing and Remote Access Service) como ayuda para proteger el acceso remoto a la red. ISA Server simplifica la configuracin de RRAS y ayuda a proteger el servidor VPN frente a ataques que se realicen desde Internet.
ISA Server funciona como servidor proxy. Esto significa que ISA Server procesa todas las
solicitudes de cliente y nunca permite ningn trfico de red directo entre un cliente y un servidor,
que estn en lados diferentes del servidor de seguridad. Aunque es posible mejorar las funciones de ISA Server, si se configura el software de cliente puede proporcionar proteccin para todos los equipos que utilizan TCP/IP, sin tener que emplear software especial en los equipos cliente. Las reglas, extremadamente configurables, permiten controlar de forma granular el trfico entrante y saliente.
seguridad, inspeccione el trfico HTTP y compruebe que su formato es apropiado y cumple los estndares Inspeccin del trfico SSL
Descifra e inspecciona las solicitudes Web entrantes cifradas para comprobar que su formato es
servidores Web pblicos. ISA Server puede inspeccionar las solicitudes entrantes y filtrarlas.
Por ejemplo, se pueden crear reglas de publicacin en Web para redirigir las solicitudes a los servidores
Web internos que alojan sitios Web diferentes. ISA Server inspecciona el trfico de acuerdo con las reglas
de destino configuradas en el servidor y reenva las solicitudes al servidor Web interno. ISA Server tambin registrar los paquetes que no cumplan las reglas definidas por el administrador y, si se desea, los paquetes que s las cumplan.
ISA Server puede inspeccionar el trfico de Secure Sockets Layer (SSL) y terminar el tnel SSL cifrado
desde el cliente. Si las reglas permiten este trfico, ISA Server puede reenviar las solicitudes al servidor Web publicado, ya sea de forma cifrada o sin cifrar. La ventaja principal es que ningn trfico puede pasar a la red interna sin que ISA Server realice una inspeccin completa del mismo para asegurarse de que cumple las reglas y los estndares.
URLScan
El paquete de caractersticas 1 de ISA Server incluye
URLScan 2.5 se incluye con el paquete de caractersticas 1 de ISA Server. Tambin se puede descargar para proteger los servidores IIS que ejecutan la versin 4.0 y posteriores. URLScan es una herramienta de seguridad que se instala como un filtro de la Interfaz de
Para proteger los servidores de correo donde se ejecuta Microsoft Exchange, ISA Server protege los servidores de correo interno que estn disponibles para los clientes externos. El Asistente para publicacin de correo permite hacer esto fcilmente y de forma segura. SMTP Message Screener puede bloquear los mensajes de correo electrnico que contienen tipos especficos de archivos adjuntos o palabras clave. Tambin es posible configurar los remitentes o los dominios cuyo correo desea rechazar. Message Screener procesa todo el trfico SMTP entrante antes de que llegue al servidor de correo interno. Message Screener es un componente opcional que no se instala automticamente si realiza una instalacin tpica de ISA Server. Debe instalar el programa SMTP Message Screener en un equipo donde se ejecute Servicios de Internet Information Server (IIS) 5.0 o un servicio SMTP posterior. SMTP Message Screener utiliza el Modelo de objetos componentes distribuido (DCOM, Distributed Component Object Model) para comunicar con el filtro SMTP de ISA Server. Puede instalar el filtro SMTP en el mismo equipo donde se ejecuta ISA Server o en otro diferente
Inspeccin de SSL
Los tneles SSL atraviesan los servidores de seguridad tradicionales porque este tipo de trfico est cifrado, lo que permite a los virus y gusanos pasar sin ser detectados e infectar los servidores internos ISA Server puede descifrar e inspeccionar el trfico SSL. El trfico inspeccionado se puede enviar al servidor interno sin cifrar o cifrado de nuevo
SSL cifra el trfico de red para proteger la confidencialidad entre el cliente y el servidor.
Aunque esta confidencialidad es necesaria para el trfico de red que atraviesa las
redes que no son seguras, como Internet, tambin impide que los servidores de seguridad inspeccionen este trfico cifrado. Los servidores de seguridad tradicionales pasan el trfico SSL a los servidores Web internos sin inspeccionarlo, con lo que permiten que los virus, gusanos u otros ataques los atraviesen sin ser detectados.
Puede configurar ISA Server como extremo del tnel SSL. Para ello, debe instalar un
certificado de servidor Web en el equipo que ejecuta ISA Server, de modo que ste pueda demostrar su identidad ante los equipos cliente. Una vez que ISA Server inspecciona el trfico del tnel SSL, lo reenva al servidor interno. Es posible configurar
ISA Server para enviar este trfico sin cifrar o cifrado de nuevo.
ISA Server suele conectarse directamente a Internet y, por lo tanto, est expuesto a posibles ataques provenientes del exterior. Si el servidor de seguridad se bloquea o se ve comprometido desde la red interna, es posible que puedan entrar intrusos en la red. Si se refuerza ms el servidor ISA Server, es posible aumentar la seguridad del servidor de seguridad. Debe configurar la pila de red de Windows Server 2000 o Windows Server 2003 para impedir ataques de denegacin de servicio. Los artculos 315669 y 324270 de Knowledge Base (Base de conocimiento) de Microsoft contienen informacin detallada sobre cmo hacer esto. Tambin debe deshabilitar los protocolos de red innecesarios. Normalmente, esto incluye deshabilitar el Cliente para redes Microsoft y la funcin Compartir impresoras y archivos para redes Microsoft en la interfaz externa de ISA Server. Adems, debe deshabilitar NetBIOS sobre TCP/IP en la interfaz externa.
Adicionalmente utilice el Wizard Secure Your ISA Server Computer. Este asistente realiza cambios importantes para el Hardening del ISA Server y contiene tres perfiles diferentes:
Las conexiones VPN habilitan a los usuarios a trabajar remotamente conectados a la red
corporativa o a la red perimetral, utilizando como transporte una red pblica como Internet. De la
perspectiva del usuario, la infraestructura de la red pblica es inaplicable porque los datos parecieran se envan sobre un enlace privado dedicado. Para permitir que las computadoras cliente establezcan una conexin VPN, usted debe configurar el ISA Server para aceptar conexiones VPN de clientes, utilizando como protocolos de VPN PPTP o L2TP.
Recomendaciones
Utilice reglas de acceso que nicamente permitan las solicitudes que se admitan de forma especfica Utilice las capacidades de autenticacin de ISA Server para restringir y registrar el acceso a Internet Configure reglas de publicacin en Web para conjuntos de destinos especficos
Utilice la inspeccin de SSL para inspeccionar los datos cifrados que entren en la red
Puede conceder acceso a Internet si crea reglas de sitios y de contenido. Las reglas de sitios y de
contenido determinan si los usuarios o conjuntos de direcciones de cliente pueden tener acceso al contenido de conjuntos de destinos especficos y cundo. Si un cliente solicita un objeto, ISA Server comprueba las reglas de sitios y de contenido. La solicitud slo se admitir si una regla de sitios y de contenido permite especficamente el acceso de cliente al contenido y si se permite al cliente comunicarse con el protocolo especfico.
Puede establecer la configuracin de las solicitudes Web entrantes y salientes de forma que los usuarios
se deban autenticar antes de procesar las reglas. De este modo se garantiza que las solicitudes slo se permiten si el usuario que las efecta se ha autenticado.
Las reglas de publicacin en Web determinan cmo debe interceptar ISA Server las solicitudes entrantes
de objetos HTTP en un servidor Web interno y cmo debe responder en nombre del servidor Web. Las solicitudes se reenvan a un servidor Web interno, que se encuentra detrs del equipo que ejecuta ISA Server. Configure las reglas slo para conjuntos de destinos especficos, que incluyen una o varias direcciones URL.
Especficamente se tratar:
Objetivos de seguridad en una red Informacin general sobre Firewall de Windows
capacidad de registrar el trfico de red. Este registro sigue el Formato de archivo extendido W3C (http://www.w3.org/TR/WD-logfile.html [en ingls]). El archivo de registro es un archivo de texto ASCII que se puede importar para analizar los datos.
De forma predeterminada, Firewall de
de disco disponible en los equipos. No obstante, asegrese de registrar informacin suficiente para realizar un seguimiento de los posibles ataques.
Recomendaciones
Utilice Firewall de Windows en las oficinas domsticas y en las pequeas compaas con el fin de proporcionar proteccin a los equipos que estn conectados directamente a Internet No active Firewall de Windows en una conexin VPN (aunque debe habilitarlo en la conexin LAN o de acceso telefnico subyacente) Configure las definiciones de servicio para cada conexin de Firewall de Windows a travs de la que desee que funcione el servicio Establezca el tamao del registro de seguridad en 16 megabytes para impedir el desbordamiento que podran ocasionar los ataques de denegacin de servicio
Firewall de Windows *siempre* se debe utilizar en todos los equipos que estn conectados a Internet y que no
otras funciones VPN. Sin embargo, en el resto de las conexiones se DEBE utilizar Firewall de Windows mientras se tenga acceso a la VPN para impedir que el trfico no solicitado se enrute a la red corporativa interna.
Firewall de Windows puede habilitarse en una LAN, incluso en una LAN inalmbrica, y en conexiones de Servicio
de acceso remoto como PPP sobre Ethernet, acceso telefnico y VPN. Se puede habilitar en varias conexiones en un sistema, cada una con sus propias opciones y configuracin. Cada conexin debe analizarse para determinar a qu trfico no solicitado se le debe permitir entrar en esa interfaz.
El registro de seguridad se debe configurar para grabar una cantidad apropiada de datos que no puedan
sobrescribirse fcilmente. Un archivo con un tamao de 16 megabytes es suficiente en la mayor parte de las
instalaciones de equipos.
Posibles soluciones
Comparacin de la seguridad de las redes de rea local inalmbricas (WLAN) 802.1X 802.1X en 802.11
802.1x y Wireless Protected Access (WPA) son caractersticas de seguridad para redes inalmbricas. Ayudan a lograr los siguientes objetivos de seguridad en una red:
Control de las personas que pueden tener acceso a la red Confidencialidad del trfico de red
No hay un mtodo estndar para proporcionar claves WEP estticas a los clientes
Escalabilidad: el compromiso de una clave WEP esttica expone a todos los usuarios
(WEP). El uso de claves WEP estticas no es suficientemente seguro para impedir el acceso no autorizado a la red y mantener la confidencialidad de las comunicaciones. sta es una limitacin de los servicios de seguridad de IEEE 802.11, especialmente en un modo de red de infraestructura inalmbrica con un gran nmero de emisoras. Recientemente, WEP ha demostrado ser un protocolo dbil desde el punto de vista criptogrfico.
En muchas redes inalmbricas pequeas, la supervisin de direcciones de Control de acceso a medios
(MAC, Media Access Control) constituye la mejor eleccin. El punto de acceso inalmbrico suele tener la capacidad de almacenar una lista de direcciones MAC con permiso para tener acceso a la red. Si la direccin MAC no se ha agregado al punto de acceso, se rechaza y el usuario no puede conectarse a la red. Esta tcnica tiene la ventaja aadida de impedir que los intrusos suplanten las direcciones IP. Sin embargo, si no se puede entrar en la red, no es posible suplantar una direccin. Desgraciadamente, hay herramientas que permiten que un intruso suplante una direccin MAC.
Posibles soluciones
PEAP/MSCHAP v2 de IEEE 802.1x Autenticacin de nivel 2 basada en certificados
EAP-TLS de IEEE 802.1x
Conexiones VPN L2TP/IPsec (la solucin preferida) o PPTP No permite usuarios mviles
inalmbrico.
Observe que, cuanto mayor es la seguridad, ms difcil se vuelve la implementacin. No obstante, puede ahorrar tiempo en la implementacin de soluciones muy seguras si la centraliza y utiliza herramientas de administracin centralizada, por ejemplo, directivas de grupo.
802.1x
Define un mecanismo de control de acceso basado en puertos
Funciona en cualquier tipo de red, tanto inalmbrica como con cables No hay ningn requisito especial en cuanto a claves de cifrado
IEEE 802.1x es un estndar para el control de acceso de red basado en puertos (ya sea con cables o inalmbrico) que proporciona acceso de red autenticado a redes inalmbricas 802.11 y a redes Ethernet con cable.
IEEE 802.1x utiliza protocolos de seguridad estndar, como el Servicio de autenticacin de Internet (IAS,
Internet Authentication Service) de Servicio de usuario de acceso telefnico de autenticacin remota (RADIUS, Remote Authentication Dial-In User Service), para permitir la identificacin centralizada de los usuarios, la autenticacin, la administracin dinmica de claves y servicios de cuentas.
El uso de IEEE 802.1x ofrece una estructura efectiva para autenticar y controlar el trfico de usuarios a
una red protegida, adems de las claves de cifrado que varan de forma dinmica.
802.1x en 802.11
Al utilizar IEEE 802.1x y EAP-TLS como mtodo de autenticacin, se emplean certificados de clave pblica (no contraseas) para realizar la autenticacin y obtener claves de cifrado. Los clientes y los puntos de acceso realizan la autenticacin mutua. EAP protegido (PEAP) es un protocolo de autenticacin que utiliza la Seguridad del nivel de transporte (TLS, Transport Layer Security) para mejorar la seguridad de otros mtodos de autenticacin EAP. PEAP para el Cliente de autenticacin 802.1x de Microsoft tambin proporciona compatibilidad con PEAP-EAP-MSCHAPv2, que utiliza certificados para la autenticacin del servidor y credenciales basadas en contraseas para la autenticacin del cliente. El uso de PEAP-EAP-MSCHAPV2 no implica una implementacin de PKI extensa. Para habilitar 802.1x, debe implementar un servidor RADIUS (un equipo donde se ejecute IAS), un controlador de dominio con Windows Server 2003 o Windows Server 2000 con Service Pack 4, y un punto de acceso inalmbrico compatible con 802.1x. Tambin puede necesitar una entidad emisora de certificados que emita los certificados.
enormemente el nivel de proteccin de los datos y el control de acceso para los sistemas actuales
y futuros de LAN inalmbrica WPA requiere la autenticacin de 802.1x para el acceso de red Objetivos
Cifrado mejorado de los datos Permitir la autenticacin de los usuarios Compatible con versiones futuras de 802.11i Proporcionar una solucin que no sea RADIUS para las oficinas domsticas o de pequeo tamao
Para lograr el primer objetivo, WPA utiliza el Protocolo de integridad temporal de claves (TKIP,
Temporal Key Integrity Protocol). TKIP proporciona mejoras en el cifrado, entre las que se incluyen funciones de mezcla de claves en cada paquete, un mtodo de comprobacin de la integridad de mensajes (MIC, Message Integrity Check), tambin conocido como Michael, y un vector de inicializacin extendido (IV, Initialization Vector) con reglas de secuenciacin.
Recomendaciones
Utilice la autenticacin de 802.1x Organice en grupos a los usuarios y equipos inalmbricos
estndar de IEEE que mejora la seguridad y la implementacin al permitir la identificacin centralizada de los
usuarios, la autenticacin, la administracin dinmica de claves y el uso de cuentas. Organice en grupos a los usuarios y equipos inalmbricos para facilitar la administracin. A continuacin, puede centralizar la administracin de directivas si aplica una directiva a estos grupos. Esto facilita la comprobacin de qu directiva se aplica y a qu usuarios o equipos. Planee su directiva inalmbrica minuciosamente. El Asistente para conjunto resultante de directivas (RSOP, Resultant Set of Policy) se puede utilizar para saber exactamente qu directiva se aplica a cualquier objeto del directorio.
EAP-TLS es un mtodo de autenticacin mutua, lo que significa que tanto el cliente como el servidor prueban sus identidades entre s. Durante el intercambio de EAP-TLS, el cliente enva su certificado de usuario y el servidor enva su certificado de equipo. Para EAP-TLS se requiere una infraestructura de clave pblica. PEAP-MSCHAPv2 se puede utilizar en organizaciones que no implementen una PKI. Realizar la autenticacin del equipo permite al dominio autenticar el dispositivo, lo que es
Introduccin a IPSec
Qu es Seguridad de IP (IPSec)?
Un mtodo para proteger el trfico IP Una estructura de estndares abiertos desarrollada por el Grupo de trabajo de ingeniera de Internet
Para proporcionar seguridad en el transporte independiente de las aplicaciones o de los protocolos del
nivel de aplicacin PSec es la solucin a largo plazo para la creacin de redes seguras. Proporciona una lnea de defensa fundamental contra los ataques de las redes privadas y desde Internet, al mismo tiempo que equilibra la seguridad con la facilidad de uso. IPSec tiene dos objetivos:
Proteger la confidencialidad y la integridad del contenido de los paquetes IP y autenticar al emisor de los
paquetes.
Proporcionar una lnea de defensa frente a los ataques de red realizados a travs del filtrado de paquetes
Escenarios de IPSec
Filtrado bsico para permitir o bloquear paquetes Comunicaciones seguras en la LAN interna Replicacin en los dominios a travs de servidores de seguridad
intruso tenga acceso a ste o que el servidor se utilice con el fin de atacar a otros equipos, pero no se impide completamente la posibilidad de un ataque. Puede reforzar la seguridad mediante el filtrado IPSec para controlar exactamente el tipo de comunicacin permitida entre los sistemas.
Tambin puede utilizar IPSec con el componente Traduccin de direcciones de red (NAT,
Network Address Translation) o Servidor de seguridad bsico de RRAS o con el filtro de paquetes IP para mejorar el filtrado de IPSec del trfico entrante o saliente. Sin embargo, no debera depender de este filtrado de paquetes para reemplazar la funcin de servidor
de seguridad.
Utilice IPSec para garantizar que slo los equipos autorizados, por ejemplo los integrantes de un dominio, se comuniquen con los equipos de una red. Puede utilizar Kerberos para implementar IPSec siempre y cuando los equipos sean integrantes de uno de los dominios corporativos. El uso de un certificado permite incluir los equipos que no sean integrantes de un dominio en la implementacin de IPSec. Una clave previamente compartida no
proporciona suficiente seguridad para resultar til en un entorno que no sea de prueba.
Para garantizar la integridad de los paquetes nicamente, utilice Encabezado de autenticacin (AH). El Encabezado de autenticacin permite la autenticacin y comprobacin de la integridad de los paquetes pero no permite el cifrado. Planee siempre minuciosamente qu trfico se debe proteger y cmo.
Protocolo IP 50 (ESP)
Si los controladores de dominio estn separados mediante servidores de seguridad, el trfico normal de replicacin requiere que abra un gran nmero de puertos. Puede utilizar IPSec con el fin de reducir el nmero de puertos que se abren. Para ello:
En cada controlador de dominio, cree una directiva IPSec para proteger todo el trfico a la direccin IP del
VPN de cliente
VPN de sucursal
Entre Windows 2000 o Windows Server, con RRAS: utilice tnel L2TP/IPSec (fcil de configurar, aparece
tipos de VPN: VPN de cliente. Los clientes siempre utilizan L2TP junto con IPSec cuando establecen una conexin VPN basada en IPSec con un servidor VPN donde se ejecute Windows 2000 o Windows Server 2003. L2TP encapsula las comunicaciones de cliente e IPSec permite cifrar el trfico. (Las conexiones VPN del cliente Windows tambin pueden utilizar PPTP.) VPN de sucursal. Las conexiones VPN de sucursal se establecen entre dos puertas de enlace VPN y permiten las comunicaciones entre todos los clientes conectados a ellas. No es necesario configurar ningn cliente, slo las puertas de enlace VPN. El protocolo que se utiliza depende de las capacidades del servidor remoto con el que se est estableciendo una conexin.
Recomendaciones
Planee minuciosamente la implementacin de IPSec Elija entre AH y ESP Utilice directivas de grupo para implementar directivas IPSec
requiere ESP.
Al implementar IPSec, utilice directivas de grupo siempre que sea posible. La utilizacin de
de IPSec crea un problema de rendimiento. Con frecuencia, slo unos pocos equipos requieren esta clase de NIC.
IPSec, pero slo en un entorno de laboratorio y para solucionar problemas. Las claves previamente compartidas no proporcionan un grado suficiente de seguridad en un entorno de produccin.
Utilice siempre la autenticacin basada en Kerberos o en certificados. El tipo que elija
depender de sus requisitos. La autenticacin basada en Kerberos es ms fcil de configurar pero requiere que todos los equipos sean integrantes del dominio. Los certificados permiten que todos los equipos que puedan emplear IPSec se comuniquen
controladores de dominio y otros servidores de infraestructuras, por ejemplo, con servidores DNS y DHCP, a fin de poder establecer una asociacin de seguridad, compruebe que sus directivas IPSec para estos servidores no impiden las
comunicaciones.