Implementacin de seguridad de la red y del permetro.

ndice
Uso de defensas en el permetro. Uso de Microsoft Internet Security and Acceleration (ISA) Server para proteger los permetros. Uso de Firewall de Windows para proteger a los clientes. Proteccin de redes inalmbricas. Proteccin de comunicaciones mediante IPSec.

Defensa en Profundidad: Proteccin de una organizacin por distintos niveles, en los que los la integridad y la confidencialidad de los datos no se ve comprometida por agentes externos o internos. Nivel de directivas, procedimientos y concienciacin: programas de aprendizaje de seguridad para los usuarios. Nivel de seguridad fsica: guardias de seguridad, bloqueos y dispositivos de seguimiento. Nivel perimetral: Firewalls de software o hardware, y VPNs con procedimientos de cuarentena. Nivel de red de Internet: segmentacin de red, Seguridad IP (IPSec) y sistemas de deteccin de intrusos de red. Nivel de host: prcticas destinadas a reforzar los servidores y clientes, herramientas de administracin de revisiones, mtodos seguros de autenticacin y sistemas de deteccin de intrusos basados en hosts. Nivel de aplicacin: prcticas destinadas a reforzar las aplicaciones y el software antivirus. Nivel de datos: listas de control de acceso (ACL) y cifrado. Propsito y limitaciones de las defensas de permetro. Firewalls y routers configurados correctamente representan la mejor defensa en una organizacin y ayudan a mantener la proteccin en un permetro. Los dispositivos mviles como Laptops, PDA y otros por el estilo comprometen la seguridad en un permetro, lo mismo que las VPNs; aunque los firewalls proporcionan proteccin respecto a la capa de red, no son capaces de examinar el contenido de capa de aplicacin por lo cual los ataques de DoS son los que ms se producen en organizaciones. El permetro abarca cada punto donde la red interna se conecta a redes y hosts que no son controlados por el grupo de tecnologa de la informacin de la organizacin. Esto incluye las conexiones a Internet, socios comerciales, redes VPN y conexiones de acceso telefnico. ste se ve comprometido en organizaciones por el hecho que los volmenes de datos estn aumentando constantemente y se estn utilizando nuevos aplicativos, complicando mas la administracin y haciendo inefectiva la configuracin anterior de el mismo. La tendencia en auge

para los prximos aos ser abrir el permetro al mismo tiempo que se fortalece la seguridad en la red interna con medidas complementarias como el uso de Firewall de Windows, el filtrado de puertos de IPSec, la autenticacin de LAN 802.1x, la utilizacin de servidores de seguridad delante enrutadores y conmutadores, el cifrado y la supervisin de los sistemas. Propsito y limitaciones de las defensas de los clientes. Las defensas de los clientes como software antivirus, servidores de seguridad, refuerzo del sistema operativo sirven como proteccin extra para los servidores de seguridad que se encuentran en el permetro. Pero el hecho de manejar este tipo de proteccin complica la administracin de la red porque se debe de implementar en cada equipo la seguridad. Existen tres tipos principales de clientes: Clientes Enterprise: Clientes pertenecientes de PDC de Windows 2000 y Windows 2003 controlados por objetos de directivas de grupo. Clientes de seguridad alta: Consiste en elevar las configuraciones de seguridad en los clientes; cuando se aplica estas configuraciones el trabajo de los usuario se limita a los servicios que se le han establecido. Entorno Stand Alone: Pertenecientes a dominio NT 4.0 que utilizan plantillas de seguridad a nivel local por lo cual la administracin es un poco complicada porque no se encuentra centralizada la seguridad. Propsito y limitaciones de la deteccin de intrusos. El sistema de deteccin de intrusos se usa para supervisar las solicitudes de conexin TCP a varios puertos diferentes en un equipo de destino, registrando el trfico sospechoso y avisando a los administradores por medio de correo electrnico. IDS no impedir un ataque, pero permitir la deteccin del mismo ya sea ejecutndose en un equipo destino o intermediario. Objetivos de Seguridad en una Red. Los objetivos comunes de seguridad en una red incluyen: Defensa frente a los ataques del permetro de red. ISA Server Defensa frente a los ataques en el cliente que se originan en la red. Firewall de Windows Deteccin de los intentos de entrar en el sistema. ACLs Control de las personas que pueden tener acceso a la red. ACLs Proteccin de las comunicaciones para lograr confidencialidad. WPA. Suministro de acceso remoto seguro. ISA Server e IPSec.

Uso de defensas en el permetro. Informacin general sobre las conexiones de permetro. Puntos de acceso, conexiones inalmbricas, firewalls, routers, servidores de acceso remoto clientes de acceso remoto, sistemas de deteccin de intrusos de red y servidores proxy son lmites que se encuentran en un permetro de red y la mejor forma de asegurar estos lmites de seguridad contra personal no autorizado y ataques es por medio Objetos de Directivas de Grupo de Active Directory. Diseo del servidor de seguridad: de triple interfaz. Se configura un servidor de seguridad con 3 adaptadores de red para proteger la subred de servidores, la red de clientes y los puntos de acceso a internet. Este servidor depende como este configurado proteger el acceso a la red interna y dirigir los paquetes la subred protegida de servidores. La administracin se vuelve centralizada pero compleja, un solo error en la configuracin del servidor puede comprometer la seguridad de la red interna y de los servidores de la subred protegida. Diseo del servidor de seguridad: de tipo opuesto con opuesto o sndwich. Se compone de 2 servidores de seguridad una para el acceso internet que dirija el trafico a la subred protegida y otro servidor que proteja la red interna. La administracin no se vuelve centralizada, pero se otorga ms proteccin a la red interna por el hecho que un usuario malintencionado tendra que pasar por los 2 servidores de seguridad; en caso de que un servidor de seguridad falle respecto al filtrador de paquetes, el otro funcionara de respaldo. Contra qu NO protegen los servidores de seguridad. Datos de la capa de aplicacin. Trafico que pasa por protocolos de Tnel y/o sesin de cifrados. Ataques que se producen una vez entrado a la red. Trafico que parece legtimo. Usuarios que accidentalmente instalan malware. Administradores que usan contraseas poco seguras. Servidores de seguridad de software y de hardware. Software: Su actualizacin es ms fcil, permiten elegir entre hardware para una amplia variedad de necesidades, ms complejos de administrar, pero menos costos en CPU. Hardware: Capacidad de personalizacin limitada, precio de compra inferior y su administracin no es compleja. Tipos de funciones de los servidores de seguridad. Filtrado de Paquetes: Es el nivel ms bsico de un servidor de seguridad, revisa paquetes con direccin IP de origen y destino, pero no analiza el contenido de las capas superiores.

 Inspeccin del estado: Se revisa si han sido autorizadas ciertas conexiones hacia internet, en caso de que estn permitidas se permite el paso del paquete, de lo contrario no. Inspeccin del nivel de aplicacin: Se analiza el puerto de comunicacin de la aplicacin y se revisa las tramas para ver si el contenido es legtimo. De una vez se cierran puertos que no se estn usando por ninguna aplicacin para mantener seguridad. Uso de ISA Server para proteger los permetros. Objetivos de seguridad en una red. Defensa del permetro. Deteccin de intrusos. Acceso remoto seguro. Proteccin de los permetros. ISA Server tiene completas capacidades de filtrado: Filtrado de paquetes. Inspeccin de estado. Inspeccin del nivel de aplicacin. ISA Server bloquea todo el trfico de red a menos que usted lo permita. ISA Server permite establecer conexiones VPN seguras. ISA Server tiene las certificaciones ICSA y Common Criteria. Proteccin de los clientes. Funciones de servidor proxy para no permitir las conexiones directas entre clientes e Internet. Admisin de cualquier tipo de clientes. Reglas de protocolo, reglas de sitio y contenido y reglas de publicacin determinan si se permite el acceso. Proteccin de los servidores Web. Reglas de inspeccin WEB: Inspeccin de trafico HTTP para verificar que el formato es apropiado y legitimo. Inspeccin de trfico SSL: Inspeccin de solicitudes WEB entrantes y cifradas para comprobar que el formato es apropiado y legitimo, y si se desea se cifra el trafico antes de ser enviado al servidor.

URLScan. ISA Server cuenta con el paquete de caractersticas URLScan 2.5; el filtro de la Interfaz de programacin de aplicaciones de seguridad en Internet ISAPI se aplica en el permetro de la red bloqueando los servidores que se encuentren detrs del servidor de seguridad, se bloquean en el permetro los ataques conocidos y los descubiertos recientemente que se tengan listadas como reglas por el administrador. URLScan cuenta con 2 archivos para poder configurar URLScan.dll y URLScan.ini. Proteccin de Exchange Server. Asistente de publicacin de correo: Configuracin de reglas en ISA Server con el fin de publicar servicios de correo interno para usuarios externos de forma segura. Message Screener: Filtro de los mensajes SMTP que entran en la red interna. Publicacin RPC: Proporciona acceso seguro a los usuario de Outlook en internet, inspeccionando el trafico RPC y abriendo los puertos necesarios para que un cliente se comunique con el servidor Exchange. Publicacin OWA: Proporciona seguridad al servidor de solicitudes de clientes OWA para los usuarios remotos de OUTLOOK que tienen acceso a Microsoft Exchange sin una VPN a travs de redes que no son de confianza. Trfico que omite la inspeccin de los servidores de seguridad. Trfico cifrado y VPN que pueda contener cualquier tipo de malware, que infecte servidores. Trafico Instant Messenger IM. Inspeccin de todo el trfico. Utilice sistemas de deteccin de intrusos y mecanismos para inspeccin el trafico VPN una vez descifrado. Defensa en profundidad para cuando el trfico se descifre despus de utilizar protocolos de tnel. Servidor de seguridad que inspeccin el trafico SSL. Expanda las capacidades de inspeccin del servidor. Inspeccin de SSL. Se instala un certificado de servidor WEB en el servidor ISA de modo que este pueda demostrar su identidad ante los equipos clientes. Una vez que se inspeccione el trafico SSL se enva a los servidores internos sea cifrado y descifrado. Refuerzo de la seguridad de ISA Server. Refuerzo de la pila de red para evitar ataques de DoS. Deshabilite protocolos de red que no se usen.

Adicionalmente utilice el Wizard Secure Your ISA Server Computer. Este asistente realiza cambios importantes para el Hardening del ISA Server y contiene tres perfiles diferentes: Dedicated se utiliza si el hardware solamente funciona como servidor de seguridad, Limited Seviches se utiliza en equipos que funcionan como servidor de seguridad y alguna funcin de infraestructura o controlador de dominio, y Secure se utiliza para equipos que funcionan como servidor de seguridad y de aplicaciones o bases de datos. Como recomendacin no utilice este asistente si no est seguro del futuro del equipo, puesto que realiza cambios irreversibles y puede que luego no funcione correctamente. Conectando Usuarios Remotos a la Red Corporativa. Por medio de protocolos de tnel para cifrar el trfico de datos y poder conectar remotamente a una organizacin a travs de una VPN, configurando ISA Server para aceptar conexiones remotas de clientes usando Protocolos como PPTP y L2TP. Recomendaciones. Utilice reglas de acceso que nicamente permitan las solicitudes que se admitan de forma especfica. Utilice las capacidades de autenticacin de ISA Server para restringir y registrar el acceso a Internet. Configure reglas de publicacin en Web para conjuntos de destinos especficos. Utilice la inspeccin de SSL para inspeccionar los datos cifrados que entren en la red. Uso de Firewall de Windows para proteger a los clientes. Informacin general sobre Firewall de Windows. Se usa para proteccin de redes y clientes, permitiendo el acceso solo a los puertos que el usuario configure del lado pblico al lado privado. Este mantiene una tabla de todas las comunicaciones que se han originado en el servidor de seguridad, como seguimientos de puertos abiertos. Maneje un tamao del registro adecuado y lo que quiere que se audite en ste. En una compaa puede manejar el ICF de forma centralizada por medio de Directivas de Grupo, sin la preocupacin que los usuarios la activen, y manejarlo en conjunto con el servidor de control de cuarentena de VPNs. Limitaciones de ICF. No filtra el trfico saliente. Problemas de soporte tcnico y software como MBSA y SMS. Opciones de configuracin limitadas. Recomendaciones. Utilice el firewall de Windows en entornos pequeos y domsticos. No active el firewall de Windows en una conexin VPN. Configure los servicios que desea que tengan acceso por medio del ICF. Configure el tamao del registro recomendado de 16MB.

Proteccin de redes inalmbricas. Objetivos de seguridad en una red. 802.1x y WPA son mtodos de proteccin de acceso a la red y confidencialidad de trfico de red. Aspectos de seguridad en dispositivos inalmbricos. Limitaciones de Wired Equivalent Privacy (WEP): Sus claves son estticas y no se mantienen cambiando lo cual implica vulnerabilidad de ataques. Limitaciones del filtrado de direcciones MAC: Suplantacin de direcciones MAC permitidas, comunicaciones comprometidas por proteccin dbil WEP ya que mantiene una contrasea esttica fcil de desencriptar. Administracin compleja porque se debe mantener un equilibrio entre seguridad y libertad de acceso a internet. Supervisacin de control de acceso al medio en el punto de acceso es la mejor forma de controlar a personas que quieran acceder a una red. Posibles soluciones. Autenticacin de nivel 2 basada en contraseas: PEAP/MSCHAP v2 de IEEE 802.1x. Autenticacin de nivel 2 basada en certificados: EAP-TLS de IEEE 802.1x. Conexiones VPN: L2TP/IPsec (la solucin preferida) o PPTP, No permite usuarios mviles, Resulta til cuando se utilizan zonas interactivas inalmbricas pblicas, No se produce la autenticacin de los equipos ni se procesa la configuracin establecida en directivas de grupo. IPSec: Problemas de interoperabilidad. Comparaciones de la seguridad de WLAN. WEP esttico: Nivel de seguridad bajo, fcil implementacin y fcil uso e integracin. PEAP de IEEE 802.1X: Nivel de seguridad alto, nivel de implementacin medio y fcil uso e integracin. TLS de IEEE 802.1x: Nivel de seguridad alto, nivel de implementacin bajo y fcil uso e integracin. VPN: Nivel de seguridad alto, nivel de implementacin medio y nivel de uso e integracin bajos. IPSec: Nivel de seguridad alto, nivel de implementacin bajo y nivel de uso e integracin bajos. 802.1x. Define un mecanismo de control de acceso basado en puertos. Permite elegir mtodos de autenticacin basado en EAP. Administra las claves de forma automtica. Soluciona las limitacin de 802.11

Admite varios mtodos de autenticacin.

Durante la interaccin del control de acceso en la red basado en puertos, un puerto LAN adopta las 2 funciones solicitante y autenticador. En el primero el puerto LAN solicita acceso a los servicios conectados al puerto que acta como autenticador, en el segundo el puerto LAN exige autenticacin antes de otorgar servicios. El acceso a la red basado en puertos LAN autenticador define 2 puntos lgicos de acceso a travs del puerto fsico. El puerto no controlado permite el intercambio de datos entre el autenticador y el resto de los equipos LAN independiente del estado de autorizacin. El puerto controlado permite el intercambio entre un usuario LAN autenticado y el autenticador. 802.1x en 802.11. Para habilitar 802.1x, debe implementar un servidor RADIUS (un equipo donde se ejecute IAS), un controlador de dominio con Windows Server 2003 o Windows Server 2000 con Service Pack 4, y un punto de acceso inalmbrico compatible con 802.1x. Tambin puede necesitar una entidad emisora de certificados que emita los certificados. Wireless Protected Access (WPA). WPA requiere la autenticacin de 802.1x para el acceso de red. Cifrado mejorado de los datos. Utiliza el protocolo integral de claves temporal TKIP para proporcionar mejoras en el cifrado. Permite la autenticacin de usuarios. Compatible con las versiones futuras de la IEEE. Proporciona una solucin que no sea RADIUS para las oficinas domesticas y de pequeo tamao, por mtodo de autenticacin PSK (clave previamente compartida). Algunos fabricantes de puntos de acceso permiten que los usuarios especifiquen contraseas no complejas, lo cual hace vulnerable la seguridad en el entorno. Recomendaciones. Utilice la autenticacin de 802.1x. Organice en grupos a los usuarios y equipos inalmbricos. Aplique directivas de acceso inalmbrico con directivas de grupo. Utilice EAP-TLS para la autenticacin basada en certificados y PEAP para la autenticacin basada en contraseas. Configure una directiva de acceso remoto para permitir la autenticacin de los usuarios y de los equipos. Desarrolle un mtodo que se ocupe de los puntos de acceso sospechosos, como la autenticacin de 802.1x basada en LAN, las encuestas a sitios, la supervisin de la red y el entrenamiento de los usuarios.

Proteccin de comunicaciones mediante IPSec. Objetivos de seguridad en una red. Defensa de los clientes. Confidencialidad e integridad del contenido de los paquetes IP. Acceso remoto seguro y filtrado de paquetes.

IPSec es un mtodo para proteger el trafico IP, garantizando el cifrado de las comunicaciones, la autenticacin a nivel IP, la seguridad en el transporte independiente de las aplicaciones o de los protocolos de nivel de aplicacin. Los nicos equipos que deben tener constancia del trfico que se protege son el emisor y el receptor. Cada equipo se ocupa de la seguridad en su extremo respectivo, bajo la suposicin de que el medio sobre el que la comunicacin tiene lugar no es seguro. IPSec pasa completamente desapercibido para las aplicaciones porque los servicios de cifrado, integracin y autenticacin se implementan en el nivel de transporte. Las aplicaciones siguen comunicndose normalmente entre s con los puertos TCP y UDP. IPSec no ofrece son la inspeccin de estado, el conocimiento del protocolo de aplicacin, la inspeccin de intrusos y el registro de paquetes. Escenarios de IPSec Evalue los escenarios que crea convenientes para proteger la comunicacin como acceso remoto, intranets, extranets y comunicacin entre sitios de enrutador a enrutador. Determine donde se almacena la informacin, como se enruta a travs de la red y desde que equipos se puede acceder a ella. Evalu su vulnerabilidad antes de distintos ataques en la red. Disee y documente un plan de seguridad en la red. Disee, cree y pruebe directivas IPSec para cada escenario. Implementacin del filtrado de paquetes de IPSec. Filtros de trfico permitido y bloqueado. Se debe establecer "NoDefaultExempt = 1" para que los administradores puedan restaurar el comportamiento de exencion predeterminado por compatibilidad de las versiones anteriores de diseos de directivas IPSec y con los programas. Establezca una consola de administracin de los filtros IPSec ya creados, para poder modificarlos en el futuro. El filtrado de paquetes no es suficiente para proteger un servidor. El bloqueo de puertos no seguros de forma predeterminada garantiza mayor seguridad en el servidor y en los hosts conectados a l. IPSec no permite inspeccin de estado.

Muchas herramientas que utilizan los piratas informticos emplean los puertos de origen 80, 88, 135 y otros para conectar a cualquier puerto de destino.
Trfico que IPSec no filtra.

Direcciones de difusin IP. No puede proteger a varios receptores. Direcciones de multidifusin. De 224.0.0.0 a 239.255.255.255. Kerberos: puerto UDP 88 de origen o destino. Kerberos es un protocolo seguro, que el servicio de negociacin IKE puede utilizar para la autenticacin de otros equipos en un dominio. IKE: puerto UDP 500 de destino. Obligatorio para permitir que IKE negocie los parmetros de seguridad de IPSec. Windows Server 2003 configura nicamente la exencin predeterminada de IKE. Comunicaciones internas seguras.

Utilice IPSec para permitir la autenticacin mutua de dispositivos. Utilice Encabezado de autenticacin (AH) para garantizar la integridad de los paquetes. El Encabezado de autenticacin proporciona integridad en los paquetes. El Encabezado de autenticacin no cifra, con lo que se basa en los sistemas de deteccin de intrusos de red. Utilice Carga de seguridad encapsuladora (ESP) para cifrar el trfico sensible. ESP proporciona integridad en los paquetes y confidencialidad. El cifrado impide la inspeccin de los paquetes. Planee minuciosamente qu trfico debe protegerse. IPSec para la replicacin de dominios.

Utilice IPSec para replicacin a travs de servidores de seguridad. Cree directivas IPSec en cada controlador de dominio para proteger todo el trafico IP. Permita el trfico a travs del servidor de seguridad. Puerto UDP 500 (IKE). Protocolo IP 50 (ESP). Acceso de VPN a travs de medios que no son de confianza. IPSec puede utilizarse para establecer una VPN a travs de un medio que no es de confianza. Hay dos tipos de VPN: VPN de cliente. Los clientes siempre utilizan L2TP junto con IPSec cuando establecen una conexin VPN basada en IPSec con un servidor VPN donde se ejecute Windows 2000 o

Windows Server 2003. L2TP encapsula las comunicaciones de cliente e IPSec permite cifrar el trfico. (Las conexiones VPN del cliente Windows tambin pueden utilizar PPTP.) VPN de sucursal. Las conexiones VPN de sucursal se establecen entre dos puertas de enlace VPN y permiten las comunicaciones entre todos los clientes conectados a ellas. No es necesario configurar ningn cliente, slo las puertas de enlace VPN. El protocolo que se utiliza depende de las capacidades del servidor remoto con el que se est estableciendo una conexin. Rendimiento de IPSec.

El procesamiento de IPSec tiene algunas consecuencias en el rendimiento.

Tiempo de negociacin de IKE, inicialmente entre 2 y 5 segundos 5 recorridos de ida y vuelta Autenticacin: Kerberos o certificados Generacin de claves criptogrficas y mensajes cifrados Se realiza una vez cada ocho horas de forma predeterminada y se puede configurar El cambio de claves de la sesin es rpido:< entre uno y dos segundos, dos recorridos de ida y vuelta, una vez cada hora y se puede configurar Cifrado de paquetes

Para mejorar el rendimiento de IPSec se deben de tener adaptadores de red que descarguen el proceso criptogrfico en el hardware de la tarjeta de interfaz de red o mediante CPUs ms rpidas.

Recomendaciones
Planee minuciosamente la implementacin de IPSec. Elija entre AH y ESP. Utilice directivas de grupo para implementar directivas IPSec Considere el uso de NIC de IPSec No utilice nunca la autenticacin con claves compartidas fuera de un entorno de prueba Elija entre la autenticacin basada en Kerberos o en certificados.

Tenga cuidado al requerir el uso de IPSec para las comunicaciones con controladores de dominio y otros servidores de infraestructuras.