Acceso a red basado en directivas con Windows Server 2008

Ian Hameroff and Amith Krishnan Enfoque del acceso a redes basado en directivas Nuevas tecnologas de seguridad en Windows Server 2008

Se ha escrito mucho acerca de la desaparicin de permetros de red tradicionales ocasionada por una plantilla cada vez ms mvil y la diversidad creciente de usuarios y dispositivos que requieren
acceso a los recursos de TI de la organizacin. Para aumentar la productividad, los usuarios y los propietarios de lnea de negocio semejantes impulsan la demanda de una experiencia de conexin que es al mismo tiempo fluida y libre de procedimientos tediosos. Como complemento a esta situacin ya compleja, tenemos la carga cada vez ms pesada de cumplimiento de normativas, el cambiante paisaje de amenazas y los riesgos asociados a la descentralizacin de los datos.

Esto tiende a dejar a los administradores de Windows justo en medio de un desafiante acto de equilibrio de seguridad: cmo permitir el acceso sencillo a los recursos sin descuidar el cumplimiento de requisitos crecientes de seguridad de la informacin y la red. Aunque puede que no haya una nica solucin a todos estos desafos, los administradores de Windows tienen varias herramientas a su disposicin que pueden ayudar a aumentar los controles de seguridad, como firewalls avanzados, que ya tienen establecidos. Una gran manera de conseguir el equilibrio apropiado entre el acceso y la seguridad es pasar de modelos tradicionales de conectividad a uno que procura definir el acceso a redes de una forma ms lgica y centrada en directivas.

Enfoque del acceso a redes basado en directivas

Recursos de funciones de red

IPsec Firewall de Windows con Seguridad avanzada Aislamiento de servidor y dominio Proteccin de acceso a redes (NAP) para Windows Server 2008 El acceso a redes basado en directivas tiene como objeto eliminar las limitaciones que se encuentran al tratar de basar la confianza principalmente en el permetro de la topologa de la red. Por ejemplo, puede determinar realmente que un dispositivo cuenta con la confianza y la autorizacin necesarias para conectar a los servidores que ejecutan su aplicacin de administracin de las relaciones con el cliente (CRM) simplemente porque est conectado a uno de sus puertos de conmutador Ethernet detrs del firewall corporativo? En su lugar, el nuevo modelo fundamenta las decisiones de acceso en la autenticacin de la postura de seguridad del dispositivo y la identidad del usuario que solicita el acceso, independientemente de cul sea el origen de la conexin. Una vez que se ha realizado la autenticacin, este mismo marco se puede usar para autorizar la informacin y los recursos a los que se puede obtener acceso. El paso de una postura defensiva a otra ms centrada en el acceso implica varios ingredientes clave, entre ellos, el establecimiento de mecanismos que pueden validar la identidad y el cumplimiento de directivas de los host que se conectan, emitir una identidad de usuario de confianza y controlar

dinmicamente el acceso a redes con base a estos atributos. Para simplificar la administracin de estas piezas mviles, un almacn centralizado de directivas tambin es un componente importante. La adopcin de un enfoque basado en directivas puede ayudar a unir varios controles dispares de seguridad de host y acceso a redes en una solucin ms completa. Esto, a su vez, permite establecer reglas bsicas de acceso a redes en un nivel lgico por encima del tejido de conectividad, lo que lleva a la generacin de procedimientos recomendados tradicionales de defensa en profundidad. Por ejemplo, cuando un usuario conecta un equipo porttil a la red inalmbrica de la organizacin, se puede comprobar su cumplimiento de los requisitos de configuracin de seguridad ms recientes. Una vez que se ha determinado que el equipo porttil tiene todas las actualizaciones antivirus actuales y las revisiones de seguridad crticas, y que tiene todos los controles de seguridad de extremos habilitados, como un firewall de host, se puede conceder el acceso a la red corporativa. Entonces, cuando el usuario intenta obtener acceso a una aplicacin de negocio, la combinacin del estado de mantenimiento del equipo porttil y la identidad de red del usuario se puede usar con el fin de determinar si el usuario est autorizado para conectar a los recursos que hospedan la aplicacin. Al operar a este nivel lgico por encima de la infraestructura de red fsica, las directivas se pueden aplicar continuamente, incluso si el usuario pasa de una conexin inalmbrica a una conectada o incluso a una conexin de acceso remoto. Con la implementacin, el acceso a redes basado en directivas puede proporcionar una experiencia de conexin sin complicaciones a los usuarios, sin sacrificar la seguridad en el proceso. Para los administradores, el aumento del nivel de los controles de acceso a redes a partir de configuraciones de puerta de enlace de acceso remoto o de puertos de conmutador puede ofrecer una experiencia de administracin ms sencilla. En ambos casos, el resultado final es un incremento de la productividad y una mejora general del estado de la red de la organizacin, incluso cuando las redes sirven de host a partes con derechos de acceso diferentes, como huspedes (invitados o de cualquier otro modo), proveedores, partners y empleados. Como es el caso con cualquier proyecto de seguridad, el primer paso a la hora de implementar el acceso a redes basado en directivas implica el desarrollo de un conjunto de directivas operativas holsticas. Esto incluye normalmente instrucciones para: el cumplimiento de seguridad de dispositivos; qu significa para un dispositivo estar en buen estado? la divisin en zonas de la red lgica; cmo separar los dispositivos en mal estado de los dispositivos autorizados? la administracin de riesgos de informacin; cmo se clasifican y protegen los datos confidenciales?
Afortunadamente, hay disponible una variedad de recursos de desarrollo de directivas en el Centro de seguridad de TechNet de Microsoft (microsoft.com/technet/security).

Una vez que ha desarrollado las directivas de acceso, necesitar seleccionar las tecnologas que pueden distribuirlas fcilmente y aplicarlas con eficacia. Para esto, lo que necesita es Windows Server 2008. Windows Server 2008 no es slo la versin de Windows Server ms segura hasta la fecha sino que, adems, ofrece a los administradores una plataforma de seguridad reforzada que puede convertirse en el centro de una solucin de acceso a redes basado en directivas. Entre su larga lista de caractersticas nuevas y mejoradas, Windows Server 2008 proporciona muchos de los ingredientes necesarios para implementar el acceso seguro y basado en directivas a su red, lo que ayuda a garantizar la proteccin de la informacin confidencial ante amenazas.

Funciones de red de siguiente generacin

En el centro de los avances de seguridad de red incluidos en Windows Server 2008, se encuentra la pila TCP/IP de siguiente generacin, una actualizacin importante de la funcionalidad de red de la plataforma y los servicios relacionados. Adems de proporcionar rendimiento de red mejorado y escalabilidad superior, Windows Server 2008 incrementa la seguridad a travs de una serie de caractersticas de red integradas que ofrecen una base slida sobre la que se puede crear una solucin de acceso a redes basado en directivas.

El protocolo de seguridad de Internet (IPsec) es una de las caractersticas que se han mejorado apreciablemente en Windows Server 2008, y podra desempear una funcin clave en un enfoque de acceso a redes basado en directivas. Pero esto no trata del uso de IPsec como protocolo de tunelizacin y cifrado, sino de aprovechar sus capacidades de autenticacin de red de host a host. Adems, como IPsec funciona en el nivel 3, se puede utilizar para aplicar las directivas de acceso a redes en variedad de tipos de red. Con el fin de facilitar la implementacin de los controles de acceso a redes basados en IPsec, Windows Server 2008 introduce una larga lista de mejoras y caractersticas nuevas para simplificar la creacin, el cumplimiento y el mantenimiento de directivas. Por ejemplo, el nmero y los tipos de mtodos de autenticacin de IPsec disponibles han aumentado. Esto se consigui a travs de la introduccin de IP autenticado (AuthIP), una extensin del protocolo de Intercambio de claves por red (IKE). AuthIP permite crear reglas de seguridad de conexin (otro nombre para directivas de IPsec en Windows Server 2008) que requieren la autenticacin satisfactoria entre sistemas en comunicacin al mismo nivel, no slo con credenciales de equipo sino, opcionalmente, tambin con credenciales de usuario o de estado. Esta flexibilidad aadida posibilita el diseo de redes lgicas muy sofisticadas sin necesidad de mejorar la infraestructura de conmutacin y enrutamiento.

Firewall de Windows con Seguridad avanzada

El nuevo Firewall de Windows con seguridad avanzada se basa en las caractersticas de IPsec descritas anteriormente. Al combinar reglas de seguridad de conexin de IPsec con filtros de firewall en una sola directiva, el nuevo Firewall de Windows agrega otra dimensin de acceso a redes basado en directivas: acciones de firewall de autenticacin ms inteligentes. Como muestra la Figura 1, ahora tiene tres opciones para elegir al definir la accin especfica que un filtro de firewall de entrada o de salida debera realizar: permitir, bloquear o permitir slo si es seguro. Cuando "Permitir la conexin si es segura" se selecciona como accin, el Firewall de Windows aprovecha las capacidades de autenticacin de red de host a host de IPsec para determinar si el host o el usuario que solicitan la conexin deben recibir aprobacin con base a la directiva definida. La regla del firewall permite estipular qu usuarios, equipos y grupos tienen derecho de hacer la conexin. Merece la pena tener en cuenta que esto agrega un nivel adicional de proteccin, lo que sirve de suplemento a los controles de acceso de los niveles de aplicacin y de sistema operativo existentes.

Figura 1 Definicin de reglas de firewall de autenticacin (Hacer clic en la imagen para ampliarla)

Llegados a este punto, debera ser capaz de ver cmo es posible unir estos controles diferentes de seguridad de red a travs de una directiva centralizada para obtener un modo ms efectivo y escalable de administrar el acceso a redes. Volvamos al ejemplo de CRM: el administrador podra crear una regla entrante para los servidores que ejecutan la aplicacin CRM de la compaa (a travs de los puertos de servicio o del archivo ejecutable del programa) con la opcin "Permitir la conexin si es segura" activada. Dentro de la misma directiva de firewall, el administrador puede especificar que slo miembros del grupo "Usuarios de la aplicacin CRM" pueden conectar a esta aplicacin de red, como muestra la Figura 2. Si toma este mismo concepto y lo ampla para abarcar todas las comunicaciones de red entre todos los equipos administrados en su red, habr agregado un nivel de Aislamiento de servidor y dominio a su estrategia de acceso a redes basado en directivas.

Figura 2 Los administradores pueden especificar quin se puede conectar segn esta directiva. (Hacer clic en la imagen para ampliarla)

Aislamiento de servidor y dominio

La mayora de las organizaciones experimentan la conexin en sus redes de un nmero creciente de invitados y otros dispositivos no administrados, por lo que contar con la capacidad de separar y proteger sus host de confianza se ha convertido en algo crtico. La buena noticia es que hay muchas maneras de aislar los equipos de confianza y administrados de los otros en la red. Sin embargo, deber tener en cuenta que muchas de estas opciones son costosas (por ejemplo, se requieren sistemas separados de cableado fsico) y difcil de mantener (por ejemplo, VLAN basadas en conmutacin) al tiempo que crecen las redes. El Aislamiento de servidor y dominio puede ofrecer un mtodo ms rentable y fcil de administrar para dividir su entorno en redes seguras y lgicamente aisladas. Como muestra la Figura 3, usa esencialmente las mismas reglas de seguridad de la conexin (es decir, las directivas de IPsec) mencionadas anteriormente, pero deber asignarlas a todos los equipos administrados mediante la Directiva de grupo de Active Directory. Esto tiene como resultado una directiva de acceso a redes que requiere la autenticacin correcta entre todos los sistemas al mismo nivel antes de que empiece cualquier comunicacin. Como este aislamiento se da en el nivel 3, la aplicacin de estos controles de acceso abarca concentradores, conmutadores y enrutadores en lmites fsicos y geogrficos.

Figura 3 Definicin de requisitos de autenticacin para cubrir las necesidades de acceso a red (Hacer clic en la imagen para ampliarla) Para crear una red aislada, los equipos en la red deben estar separados segn el tipo de acceso deseado. Se pueden definir directivas de forma que los equipos en una red aislada puedan iniciar comunicaciones con todos los equipos en la red, incluidos los que no se encuentran en la red aislada. A la inversa, los equipos que no estn en la red aislada no pueden iniciar comunicaciones con equipos que estn en la red aislada. De hecho, los equipos en la red aislada omitirn todas las solicitudes de comunicacin de equipos fuera de la red aislada. La pertenencia a dominios y un dominio de Active Directory se usan para aplicar la directiva de la red. Los equipos miembros del dominio slo aceptan comunicaciones autenticadas y seguras de otros equipos miembros del dominio. Opcionalmente, tambin se puede exigir el cifrado de toda comunicacin dentro del dominio aislado. El Aislamiento de servidor y dominio ofrece ventajas econmicas considerables, ya que no se requieren cambios importantes en la infraestructura existente de la red ni en las aplicaciones. Esta solucin crea un velo de proteccin habilitado por directivas que no slo proporciona proteccin contra ataques costosos de red y acceso no autorizado a recursos de red de confianza, sino que tampoco requiere el mantenimiento continuado basado en cambios en la topologa de la red.

Proteccin de acceso a redes

Como hemos descrito anteriormente, la solucin de Aislamiento de servidor y dominio garantiza la separacin lgica de los equipos y los servidores en la red. Aunque esta solucin ayuda a evitar el acceso no autorizado a la red, no hay garanta de que un equipo autorizado no ser la causa de una amenaza de seguridad. La Proteccin de acceso a redes (NAP) es una plataforma integrada en Windows Server 2008 que ayuda a garantizar que los equipos que conectan a una red o que se comunican en una red cumplen los requisitos de estado del sistema (es decir, cumplimiento de seguridad y directivas) tal y como lo ha definido. Incluso los usuarios autorizados son a menudo responsables de propagar virus y spyware en la red. Por ejemplo, cuando un usuario se va de vacaciones, su equipo podra dejar de cumplir los requisitos de seguridad establecidos por el administrador. Esto podra tener repercusiones potencialmente graves si las revisiones o las firmas emitidas durante la ausencia del usuario no se aplican al equipo. No es posible para un administrador realizar el seguimiento de cada usuario que se conecta a la red. Lo que se necesita es una herramienta automatizada que compruebe el cumplimiento del estado de cada equipo que se conecta a la red y que resuelva la situacin al detectar equipos que no cumplen los requisitos, todo ello con base a una directiva central. NAP hace exactamente eso, y agrega otro nivel a su solucin de acceso a redes basado en directivas.

El agente NAP, integrado en el sistema operativo del equipo cliente (como en Windows Vista) o de instalacin por separado (para versiones anteriores de Windows y sistemas operativos ajenos a Windows), informa de cualquier problema de cumplimiento al Servidor de directivas de redes (NPS), que es el motor de directivas integrado en Windows Server 2008. Es en el NPS donde se definen las directivas de cumplimiento que cada dispositivo debe observar. Aunque es necesario restringir dispositivos que no superan comprobaciones de cumplimiento, es importante garantizar que tienen la opcin de entrar en cuarentena y actualizarse. NAP ofrece la opcin de actualizar automticamente el dispositivo en los casos en que el firewall o la solucin antivirus estn activados o actualizarlo manualmente al colocarlo en cuarentena. Aqu, el dispositivo tiene acceso a un servidor de actualizacin con las ltimas revisiones, actualizaciones y firmas. Una vez que el usuario actualiza manualmente el dispositivo, se le concede acceso a la red, siempre que supere antes la comprobacin del cumplimiento. Con este grado de ubicuidad, el acceso a redes es ahora mucho ms sencillo. Sin embargo, esto ha creado la carga aadida de comprobar que los dispositivos estn en buen estado y se presentan en conformidad sin tomar en consideracin el mecanismo de acceso. Los equipos pueden obtener acceso a la red a travs de un punto de acceso inalmbrico o un conmutador compatible con 802.1X, o pueden realizar la conexin de forma remota desde casa con una conexin de acceso remoto basada en VPN o en Terminal Services. NAP no slo garantiza el cumplimiento en equipos que conectan a travs de estos mecanismos diferentes, sino que tambin ofrece la aplicacin de requisitos en el servidor DHCP, el conmutador 802.1X, la puerta de enlace VPN, la puerta de enlace de Terminal Services o el punto de acceso inalmbrico compatible con 802.1X. En la Figura 4, se ha aislado la red mediante la solucin de Aislamiento de servidor y dominio. El uso de NAP con esta red aislada ofrece ventajas adicionales para garantizar el cumplimiento de los requisitos de estado de los equipos que se conectan a la red. El cliente, al inicio, enva su informe de mantenimiento (SoH) a la Autoridad de registro de mantenimiento (HRA), que es un servidor de certificados. La HRA pasa el informe de mantenimiento al Servidor de directivas de redes para la validacin de directivas. Si el informe de mantenimiento es vlido, la HRA emite un certificado de mantenimiento para el cliente de NAP y, ahora, el cliente puede iniciar la comunicacin segura basada en IPsec con recursos seguros. Si el informe de mantenimiento no es vlido, la HRA indica al cliente de NAP cmo corregir su estado y no emite un certificado de mantenimiento. El cliente de NAP no podr iniciar la comunicacin con otros equipos que requieren un certificado de mantenimiento para la autenticacin de IPsec. Sin embargo, el cliente de NAP podr comunicarse con el servidor de actualizaciones para lograr el cumplimiento.

Figura 4 Proteccin de acceso a redes que usa IPsec para la aplicacin de requisitos (Hacer clic en la imagen para ampliarla)

En resumen
Aunque slo hemos tratado las caractersticas y las funciones nuevas de Windows Server 2008 en superficie, es importante comprender el modo en que cada componente ha avanzado con respecto a la versin anterior. Lo que distingue esta estrategia del enfoque tradicional de defensa en profundidad es el marco subyacente de directivas que Windows Server 2008 ofrece a travs de, por ejemplo, la Directiva de grupo de Active Directory. Gracias a esta experiencia integrada, tendr una base de trabajo slida para definir e implementar una solucin de acceso a redes basado en directivas sin tener que eliminar inversiones existentes. Al elevar la decisin de acceso a un nivel ms lgico y centrado en directivas, tiene la oportunidad de inclinar a su favor el acto de equilibrio entre "acceso fcil" y "seguridad incrementada". Microsoft ha publicado gran cantidad de material donde se describen en detalle las reas de tecnologa mencionadas en este artculo. Recomendamos que revise primero estos artculos y guas paso a paso para obtener experiencia operativa con las diferentes caractersticas. Los vnculos en la barra lateral "Recursos de funciones de red" le ayudarn a empezar. Despus, considere implantar cada fase de manera que ofrezca una base slida para la fase siguiente. Por ejemplo, cree un conjunto de reglas de firewall de autenticacin para las aplicaciones crticas, como se plantea en la seccin Firewall de Windows con seguridad avanzada. Una vez que est satisfecho con esto, puede ampliar las reglas de seguridad de conexin para aislar su dominio de red y, luego, colocar NAP por encima en el nivel siguiente. Las ventajas de implementar una estrategia de acceso a redes basado en directivas pueden ser considerables, por ejemplo, le ayudarn a mantenerse al da con el mundo tan cambiante que son nuestras redes corporativas.