Implementing Network Security Es

Bienvenidos al Webcast sobre
Como Implementar Seguridad

Perimetral y de Red en Sistemas
Microsoft
25--febrero
25 febrero--2004
Olvido Nicolás
Responsable de Comunidades Técnicas
Microsoft España
onicolas@microsoft.com
jcceder al audio
Sonido de su PC (VoIP)
Hagan clic en el enlace
|
de su
pantalla
judio por teléfono

ëTelf.gratuito para España: 800 099 463 ±
PjSSCODE 479513
ëTelf. en Estado Unidos: +1 718 354 1114
ëTelf. en Gran Bretaña: +44 (0)207 784 1022
(Puede ver este número de teléfono en cualquier momento presionando (Ctrl + i)
o menú de la barra de herramientas
Comunicarse con los ponentes
El panel V| les permite ofrecer
feedback a los Ponentes. Hagan clic en el menú
desplegable para cambiar el color de su asiento
en cualquier momento.
Si necesita ayuda
cambie su asiento
a color ROJO.
jlgunos consejos
Pantalla Completa Ctrl+H
Presione Ctrl+H en su teclado para ver la pantalla
completa durante la demostración. Presionando de
nuevo Ctrl+H volverán a aparecer los menús.
Resolución Recomendada
1024 x 768 pixels
Impresión de la presentación en formato PDF al

final del evento
En el Menú å (parte superior de su pantalla)
seleccione la opción å, o la combinación
de teclas Ctrl+P de su teclado. å estará
disponible cuando nuestro Ponente lo mencione de
nuevo en la conclusión del evento.
Hacer preguntas
Si tiene cualquier pregunta durante la presentación
haga click en el botón ³jsk a Question´
Introduzca su pregunta en el
recuadro que aparecerá en
pantalla y haga click en el botón
³jsk´
Las preguntas se responderán al finalizar el webcast. Si

envían una segunda pregunta, la primera será eliminada
de la cola
Soporte técnico
Entrar de nuevo en la Reunión
Si su conexión a Internet se interrumpe o su explorador se
detiene, vuelva a la ventana inicial de su explorador,
(probablemente esté minimizada en su barra de tareas), y haga
clic en el botón ³Entrar de nuevo en la Reunión´ para
actualizar la sesión de conferencia.
Soporte Técnico
Si experimenta alguna dificultad técnica durante el evento de
hoy, por favor, cambie a Rojo el color de su asiento o pulse
asterisco y cero en su teléfono de llamada por tonos para
pedir ayuda al operador.
También puede envíar su pregunta de soporte técnico a través
del panel *
como si estuviese enviando
una pregunta.
Cuando esté listo para comenzar

indíquelo en el recuadro ³Seating
Chart´
Cuestionario de evaluación online
Su opinión es muy importante para nosotros
Por favor, le agradeceríamos que nos enviase su feedback completando

el cuestionario de evaluación en esta dirección
www.microsoft.com/spain/TechNet/EvaluacionWebcast
Recibirá un recordatorio por email en un par de días.

ËË Comencemos a grabar!!
Implementando la
Seguridad Perimetral y
de Red
jndrés Martín
Technical Consultant
Microsoft Consulting Services
Conocimientos imprescindibles
Descripción de los fundamentos
de seguridad de una red
Experiencia práctica con
Windows® Server 2000 o
Windows Server 2003
Experiencia con las herramientas de
administración de Windows
Nivel 300
Orden del día
Introducción
Uso de defensas en el perímetro
Uso de Microsoft® Internet Security
and jcceleration (ISj) Server para
proteger los perímetros
Uso del cortafuegos de Windows para
proteger a los clientes
Protección de redes inalámbricas
Protección de comunicaciones
mediante IPSec
Defensa en profundidad
El uso de una solución en niveles:
ë jumenta la posibilidad de que se detecten los
intrusos
ë Disminuye la posibilidad de que los intrusos
logren su propósito
Datos ACL, cifrado

Refuerzo de las aplicaciones,
Aplicación antivirus
Refuerzo del sistema operativo,
Host administración de actualizaciones,
autenticación, HIDS
Red interna Segmentos de red, IPSec, NIDS
Perimetral Servidores de seguridad,

sistemas de cuarentena en VPN
Seguridad física Guardias de seguridad, bloqueos,
dispositivos de seguimiento
Directivas, procedimientos
Programas de aprendizaje
y concienciación para los usuarios
Propósito y limitaciones de las
defensas de perímetro
Los servidores de seguridad y enrutadores de
borde configurados correctamente constituyen
la piedra angular de la seguridad del perímetro
Internet y la movilidad aumentan los riesgos de
seguridad
Las redes VPN han debilitado el perímetro y,
junto con las redes inalámbricas, han
ocasionado, esencialmente, la desaparición del
concepto tradicional de perímetro de red
Los servidores de seguridad tradicionales con
filtrado de paquetes sólo bloquean los puertos
de red y las direcciones de los equipos
En la actualidad, la mayor parte de los ataques
se producen en el nivel de aplicación
Propósito y limitaciones de las
defensas de los clientes
Las defensas de los clientes bloquean los
ataques que omiten las defensas del perímetro
o que se originan en la red interna
Las defensas de los clientes incluyen, entre
otras:
Refuerzo de la seguridad del sistema
operativo
Programas antivirus
Servidores de seguridad personales
Las defensas de los clientes requieren que se
configuren muchos equipos
Objetivos de seguridad en una red
Defensa Defensa de Detección Control Confidencialidad jcceso
del los clientes de intrusos de acceso remoto
perímetro a la red seguro
Servidor
ISj
Firewall
de
Windows
802.1x /
WPj
IPSec
Orden del día
Introducción
Uso de ISj Server para proteger los
perímetros
mediante IPSec
Información general sobre las
conexiones de perímetro

p

p

p
Diseño del servidor de seguridad:
de triple interfaz
Internet Subred protegida
Servidor de seguridad
LAN
Diseño del servidor de seguridad:
de tipo opuesto con opuesto o
sándwich
Internet Subred protegida
Externa
Interna LAN
Contra qué NO protegen los
servidores de seguridad
Tráfico peligroso que atraviesa los puertos
abiertos y no es inspeccionado en el nivel de
aplicación por el servidor de seguridad
Tráfico que atraviesa un túnel o sesión cifrados
jtaques que se producen una vez que se ha
entrado en una red
Tráfico que parece legítimo
Usuarios y administradores que intencionada o
accidentalmente instalan virus
jdministradores que utilizan contraseñas poco
seguras
Servidores de seguridad de
software y de hardware
Factores de
Descripción
decisión
La actualización de las vulnerabilidades y revisiones más recientes
Flexibilidad suele ser más fácil con servidores de seguridad basados en
software.
Muchos servidores de seguridad de hardware sólo permiten una
Extensibilidad
capacidad de personalización limitada.
Los servidores de seguridad de software permiten elegir entre
Elección de
hardware para una amplia variedad de necesidades y no se
proveedores
depende de un único proveedor para obtener hardware adicional.
El precio de compra inicial para los servidores de seguridad de
hardware podría ser inferior. Los servidores de seguridad de
Costo software se benefician del menor costo de las CPU. El hardware se
puede actualizar fácilmente y el hardware antiguo se puede
reutilizar.
Los servidores de seguridad de hardware suelen ser menos
Complejidad
complejos.
El factor de decisión más importante es si un servidor de seguridad
Disponibilidad
puede realizar las tareas necesarias. Con frecuencia, la diferencia
global
entre los servidores de hardware y de software no resulta clara.
Tipos de funciones de los
Filtrado de paquetes
Inspección de estado
Inspección del nivel de aplicación
Internet
Inspección multinivel
(Incluido el filtrado del nivel de aplicación)
Orden del día
Introducción
perímetros
Protección de comunicaciones mediante
IPSec
Defensa Defensa de Detección Control Confidencialidad jcceso
del los de intrusos de acceso remoto
perímetro clientes a la red seguro
Servidor
ISj
Firewall
de
Windows
802.1x /
WPj
IPSec
Detección básica de intrusos, que se amplía gracias al trabajo de los asociados

Protección de los perímetros
ISj Server tiene completas capacidades
de filtrado:
ë Filtrado de paquetes
ë Inspección de estado
ë Inspección del nivel de aplicación
ISj Server bloquea todo el tráfico de red a
menos que usted lo permita
ISj Server permite establecer conexiones
VPN seguras
ISj Server tiene las certificaciones ICSj y
Common Criteria
Protección de los clientes
Método Descripción
Funciones de Procesa todas las solicitudes para los clientes y nunca
proxy permite las conexiones directas.
Se admiten todos los clientes sin software especial. La
Clientes
instalación del software de servidor de seguridad ISA en
admitidos
clientes Windows permite utilizar más funciones.
Las reglas de protocolo, reglas de sitio y contenido, y
Reglas
reglas de publicación determinan si se permite el acceso.
El precio de compra inicial para los servidores de
seguridad de hardware podría ser inferior. Los servidores
Complementos de seguridad de software se benefician del menor costo
de las CPU. El hardware se puede actualizar fácilmente
y el hardware antiguo se puede reutilizar.
Protección de los servidores Web
Reglas de publicación en Web
ë Para proteger de ataques externos a los
servidores Web que se encuentran detrás de los
servidores de seguridad, inspeccione el tráfico
HTTP y compruebe que su formato es apropiado y
cumple los estándares
Inspección del tráfico SSL
ë Descifra e inspecciona las solicitudes Web
entrantes cifradas para comprobar que su formato
es apropiado y que cumple los estándares
ë Si se desea, volverá a cifrar el tráfico antes de
enviarlo al servidor Web
URLScan
El paquete de características 1 de ISj Server
incluye URLScan 2.5 para ISj Server
Permite que el filtro ISjPI de URLScan se
aplique al perímetro de la red
ë Se produce un bloqueo general en todos los
servidores Web que se encuentran detrás del
servidor de seguridad
ë Se bloquean en el perímetro los ataques
conocidos y los descubiertos recientemente
Servidor
Web 1
Servidor
Web 2
ISj
Server Servidor
Web 3
Protección de Exchange Server
Método Descripción
jsistente para Configura reglas de ISA Server con el fin de publicar
publicación de servicios de correo interno para usuarios externos de
correo forma segura
Message Filtra los mensajes de correo electrónico SMTP que
Screener entran en la red interna
Protege el acceso del protocolo nativo de los clientes

Publicación RPC
Microsoft Outlook®
Proporciona protección del servidor de solicitudes de
cliente OWA para los usuarios remotos de Outlook que
Publicación OWj
tienen acceso a Microsoft Exchange Server sin una
VPN a través de redes que no son de confianza
Demostración 1
Inspección del nivel de aplicación
en ISj Server
Publicación de Web
URLScan
Inspección SSL
Tráfico que omite la inspección de
los servidores de seguridad
Los túneles SSL atraviesan los servidores de
seguridad tradicionales porque este tipo de
tráfico está cifrado, lo que permite a los virus
y gusanos pasar sin ser detectados e infectar
los servidores internos
El tráfico VPN se cifra y no se puede
inspeccionar
El tráfico de Instant Messenger (IM) no se
suele inspeccionar y podría utilizarse para
transferir archivos
Inspección de todo el tráfico
Utilice sistemas de detección de intrusos y

otros mecanismos para inspeccionar el tráfico
VPN una vez descifrado
ë Recuerde: defensa en profundidad
Utilice un servidor de seguridad que pueda
inspeccionar el tráfico SSL
Expanda las capacidades de inspección del
servidor de seguridad
ë Utilice complementos para el servidor de seguridad
que permitan inspeccionar el tráfico de IM
Inspección de SSL
Los túneles SSL atraviesan los servidores de

seguridad tradicionales porque este tipo de
tráfico está cifrado, lo que permite a los virus y
gusanos pasar sin ser detectados e infectar los
servidores internos
ISj Server puede descifrar e inspeccionar el
tráfico SSL. El tráfico inspeccionado se puede
enviar al servidor interno sin cifrar o cifrado de
nuevo
Refuerzo de la seguridad de ISj
Server
Refuerzo de la pila de red
Deshabilite los protocolos de red
innecesarios en la interfaz de red externa:
ë Cliente para redes Microsoft
ë Compartir impresoras y archivos para redes
Microsoft
ë NetBIOS sobre TCP/IP
Recomendaciones
Utilice reglas de acceso que únicamente
permitan las solicitudes que se admitan
de forma específica
Utilice las capacidades de autenticación
de ISj Server para restringir y registrar
el acceso a Internet
Configure reglas de publicación en Web
para conjuntos de destinos específicos
Utilice la inspección de SSL para
inspeccionar los datos cifrados que
entren en la red
Orden del día
Introducción
perímetros
Uso del cortafuegos de Windows
para proteger a los clientes
mediante IPSec
Defensa Defensa Detección Control de Confidencialidad jcceso
del de los de acceso a la remoto
perímetro clientes intrusos red seguro
Servidor
ISj
Firewall
de
Windows
802.1x /
WPj
IPSec
Información general sobre el
cortafuegos de Windows
Cortafuegos de Windows en Microsoft
Qué es Windows XP y Microsoft Windows
Server 2003
jyuda a detener los ataques basados

Qué hace en la red, como Blaster, al bloquear
todo el tráfico entrante no solicitado
Los puertos se pueden abrir para los

servicios que se ejecutan en el equipo
La administración corporativa se realiza
Características a través de directivas de grupo
principales
Habilitar el cortafuegos de Windows
Se puede habilitar:
ë jl activar una
casilla de
verificación
ë Con el jsistente
para configuración
de red
ë Con el jsistente
para conexión
nueva
Se habilita de forma
independiente en
cada conexión de red
Configuración avanzada del
Servicios de red
jplicaciones basadas
en Web
Registro de seguridad del
Opciones de
registro
Opciones del
archivo de registro
Cortafuegos de Windows en la
compañía
Configure el cortafuegos de Windows
mediante directivas de grupo
Combine el cortafuegos de Windows con
Control de cuarentena de acceso a la red
Recomendaciones
Utilice el cortafuegos de Windows en las
oficinas domésticas y en las pequeñas
compañías con el fin de proporcionar
protección a los equipos que estén conectados
directamente a Internet
No active el cortafuegos de Windows en una
conexión VPN (aunque debe habilitarlo en la
conexión LjN o de acceso telefónico
subyacente)
Configure las definiciones de servicio para cada
conexión de cortafuegos de Windows a través
de la que desee que funcione el servicio
Establezca el tamaño del registro de seguridad
en 16 megabytes para impedir el
desbordamiento que podrían ocasionar los
ataques de denegación de servicio
Demostración 2
Cortafuegos de Windows
Configuración manual
Prueba
Revisión de los archivos de registro
Orden del día
Introducción
perímetros
Uso de Firewall de Windows para proteger
a los clientes
IPSec

del de los de acceso a remoto
perímetro clientes intrusos la red seguro
Servidor
ISj
Firewall
de
Windows
802.1x /
WPj
IPSec
jspectos de seguridad en
dispositivos inalámbricos
Limitaciones de Wired Equivalent Privacy
(WEP)
ë Las claves WEP estáticas no se cambian de
forma dinámica y, por lo tanto, son
vulnerables a los ataques
ë No hay un método estándar para proporcionar
claves WEP estáticas a los clientes
ë Escalabilidad: el compromiso de una clave
WEP estática expone a todos los usuarios
Limitaciones del filtrado de direcciones
MjC
ë Un intruso podría suplantar una dirección
MjC permitida
Posibles soluciones
jutenticación de nivel 2 basada en
contraseñas
ë PEjP/MSCHjP v2 de IEEE 802.1x
jutenticación de nivel 2 basada en
certificados
ë EjP--TLS de IEEE 802.1x
EjP
Otras opciones
ë Conexiones VPN
ë L2TP/IPsec (la solución preferida) o PPTP
ë No permite usuarios móviles
ë Resulta útil cuando se utilizan zonas interactivas
inalámbricas públicas
ë No se produce la autenticación de los equipos ni se
procesa la configuración establecida en directivas de
grupo
ë IPSec
ë Problemas de interoperabilidad
Comparaciones de la seguridad de
WLjN
Tipo de Facilidad
Nivel de Facilidad de
seguridad de uso e
seguridad implementación
de WLjN integración
WEP estático Bajo jlta jltos
PEjP de IEEE
jlto Media jltos
802.1X
TLS de IEEE
jlto Baja jltos
802.1x
jlto
VPN Media Bajos
(L2TP/IPSec)
IPSec jlto Baja Bajos
802.1x
Define un mecanismo de control de acceso
basado en puertos
ë Funciona en cualquier tipo de red, tanto
inalámbrica como con cables
ë No hay ningún requisito especial en cuanto a
claves de cifrado
Permite elegir los métodos de autenticación
con EjP
ë Es la opción elegida por los elementos del mismo
nivel en el momento de la autenticación
ë El punto de acceso no tiene que preocuparse de
los métodos de EjP
jdministra las claves de forma automática
ë No es necesario programar previamente las
claves de cifrado para la red inalámbrica
802.1x en 802.11
Inalámbrico
Punto de acceso
Servidor RjDIUS
Equipo portátil Ethernet
jsociación
jcceso bloqueado
jsociado 802.11 802.11
RjDIUS
Inicio de EjPOL
Identidad de solicitud de EjP
Identidad de respuesta de EjP Solicitud de acceso de RjDIUS
Desafío de acceso de RjDIUS

Solicitud de EjP
Respuesta de EjP (credenciales) Solicitud de acceso de RjDIUS
Éxito de EjP jceptación de acceso de RjDIUS
jcceso permitido
Clave de EjPOL (clave)
Requisitos del sistema para 802.1x
Cliente: Windows XP
Servidor: IjS de Windows Server 2003
ë Servicio de autenticación Internet: nuestro
servidor RjDIUS
ë Certificado en el equipo IjS
802.1x en Windows 2000
ë El cliente e IjS deben tener SP3
ë Vea el artículo 313664 de KB
ë No se admite la configuración rápida
en el cliente
ë Sólo se admiten EjP-
EjP-TLS y MS
MS--CHjPv2
ë Es posible que los futuros métodos de EjP en
Windows XP y Windows Server 2003 no se
puedan utilizar
Configuración de 802.1x
1. Configurar Windows Server 2003 con IjS
2. Unir un dominio
3. Inscribir un certificado de equipo
4. Registrar IjS en jctive Directory
5. Configurar el registro RjDIUS
6. jgregar el punto de acceso como cliente
RjDIUS
7. Configurar el punto de acceso para RjDIUS y
802.1x
8. Crear una directiva de acceso para clientes
inalámbricos
9. Configurar los clientes
ë No olvide importar el certificado raíz
Directiva de acceso
Condición de
directiva
ë

ë
!"
ë Opcional; proporciona
control administrativo
ë Debe contener cuentas
de usuario y de equipo
Perfil de directivas de acceso
Perfil
ë Tiempo de espera:
60 min. (802.11b) o
10 min. (802.11a/g)
ë No elija métodos de
autenticación regulares
ë Tipo de EjP: EjP
protegido; utilice
certificados de equipo
ë Cifrado: sólo el más
seguro
(MPPE de 128 bits)
ë jtributos:
##$
$ ##
! #
#% &
Perfil
60 min. (802.11b) o
10 min. (802.11a/g)
ë Tipo de EjP: EjP
protegido; utilice
seguro
(MPPE de 128 bits)
ë jtributos:
##$
$ ##
! #
#% &
Perfil
60 min. (802.11b) o
10 min. (802.11a/g)
ë Tipo de EjP: EjP
protegido; utilice
seguro
(MPPE de 128 bits)
ë jtributos:
##$
$ ##
! #
#% &
Perfil
60 min. (802.11b) o
10 min. (802.11a/g)
ë Tipo de EjP: EjP
protegido; utilice
seguro
(MPPE de 128 bits)
ë jtributos:
##$
$ ##
! #
#% &
Perfil
60 min. (802.11b) o
10 min. (802.11a/g)
ë Tipo de EjP: EjP
protegido; utilice
seguro
(MPPE de 128 bits)
ë jtributos:
##$
$ ##
! #
#% &
Perfil
60 min. (802.11b) o
10 min. (802.11a/g)
ë Tipo de EjP: EjP
protegido; utilice
seguro
(MPPE de 128 bits)
ë jtributos:
##$
$ ##
! #
#% &
Wireless Protected jccess (WPj)
Especificación de mejoras en la seguridad interoperables y
basadas en estándares que aumenta enormemente el nivel de
protección de los datos y el control de acceso para los
sistemas actuales y futuros de LjN inalámbrica
WPj requiere la autenticación de 802.1x para el acceso de red
Objetivos
ë Cifrado mejorado de los datos
ë Permitir la autenticación de los usuarios
ë Compatible con versiones futuras de 802.11i
ë Proporcionar una solución que no sea RjDIUS para las oficinas
domésticas o de pequeño tamaño
Wi-Fi jlliance comenzó las pruebas de certificación de la

interoperabilidad de los productos de WPj en febrero de 2003
Recomendaciones
Utilice la autenticación de 802.1x
Organice en grupos a los usuarios y equipos
inalámbricos
jplique directivas de acceso inalámbrico con
directivas de grupo
Utilice EjP-
EjP-TLS para la autenticación basada en
certificados y PEjP para la autenticación basada
en contraseñas
Configure una directiva de acceso remoto para
permitir la autenticación de los usuarios y de los
equipos
Desarrolle un método que se ocupe de los puntos
de acceso sospechosos, como la autenticación
de 802.1x basada en LjN, las encuestas a sitios,
la supervisión de la red y el entrenamiento de los
usuarios
Orden del día
Introducción a la defensa en profundidad
perímetros
IPSec

del de los de acceso a la remoto
perímetro clientes intrusos red seguro
Servidor
ISj
Firewall
de
Windows
802.1x /
WPj
IPSec
Introducción a IPSec
UQué es Seguridad de IP (IPSec)?

ë Un método para proteger el tráfico IP
ë Una estructura de estándares abiertos
desarrollada por el Grupo de trabajo de ingeniería
de Internet (IETF, å
å ))
UPor qué se debe utilizar IPSec?
ë Para garantizar que las comunicaciones se cifran
y se autentican en el nivel IP
ë Para proporcionar seguridad en el transporte
independiente de las aplicaciones o de los
protocolos del nivel de aplicación
Escenarios de IPSec
Filtrado básico para
permitir o bloquear
paquetes
Comunicaciones
seguras en la LjN
interna
Replicación en los
dominios a través
de servidores de
seguridad
jcceso a VPN a
través de medios
que no son de
confianza
Implementación del filtrado de
paquetes de IPSec
Filtros para tráfico permitido y bloqueado
No se produce ninguna negociación real de
las asociaciones de seguridad de IPSec
Los filtros se solapan: la coincidencia más
específica determina la acción
No proporciona filtrado de estado
Se debe establecer "NoDefaultExempt = 1"
para que sea seguro
Puerto
Puerto de
Desde IP j IP Protocolo de jcción
origen
destino
Mi IP de
Cualquiera Cualquiera N/D N/D Bloquear
Internet
Mi IP de
Cualquiera TCP Cualquiera 80 Permitir
Internet
El filtrado de paquetes no es suficiente
para proteger un servidor
Los paquetes IP suplantados contienen

consultas o contenido peligroso que
puede seguir llegando a los puertos
abiertos a través de los servidores de
seguridad
IPSec no permite la inspección de estado
Muchas herramientas que utilizan los
piratas informáticos emplean los puertos
de origen 80, 88, 135 y otros para conectar
a cualquier puerto de destino
Tráfico que IPSec no filtra
Direcciones de difusión IP
ë No puede proteger a varios receptores
Direcciones de multidifusión
ë De 224.0.0.0 a 239.255.255.255
Kerberos: puerto UDP 88 de origen o destino
ë Kerberos es un protocolo seguro, que el servicio
de negociación IKE puede utilizar para la
autenticación de otros equipos en un dominio
IKE: puerto UDP 500 de destino
ë Obligatorio para permitir que IKE negocie los
parámetros de seguridad de IPSec
Windows Server 2003 configura únicamente
la exención predeterminada de IKE
Comunicaciones internas seguras
Utilice IPSec para permitir la autenticación mutua de
dispositivos
ë Utilice certificados o Kerberos
ë La utilización de claves compartidas sólo es conveniente para
pruebas
Utilice Encabezado de autenticación (jH) para
garantizar la integridad de los paquetes
ë El Encabezado de autenticación proporciona integridad en los
paquetes
ë El Encabezado de autenticación no cifra, con lo que se basa en
los sistemas de detección de intrusos de red
Utilice Carga de seguridad encapsuladora (ESP) para
cifrar el tráfico sensible
ë ESP proporciona integridad en los paquetes y confidencialidad
ë El cifrado impide la inspección de los paquetes
Planee minuciosamente qué tráfico debe protegerse
IPSec para la replicación de
dominios
Utilice IPSec para la replicación a través de
ë En cada controlador de dominio, cree una
directiva IPSec para proteger todo el tráfico a la
dirección IP del otro controlador de dominio
Utilice ESP 3DES para el cifrado
Permita el tráfico a través del servidor de
seguridad:
ë Puerto UDP 500 (IKE)
ë Protocolo IP 50 (ESP)
jcceso de VPN a través de medios
que no son de confianza
VPN de cliente
ë Utilice L2TP/IPSec
VPN de sucursal
ë Entre Windows 2000 o Windows Server, con
RRjS: utilice túnel L2TP/IPSec (fácil de
configurar, aparece como una interfaz
enrutable)
ë j una puerta de enlace de terceros: utilice
L2TP/IPSec o el modo de túnel puro de IPSec
ë j la puerta de enlace RRjS de Microsoft
Windows NT® 4: utilice PPTP (IPSec no está
disponible)
Rendimiento de IPSec
El procesamiento de IPSec tiene algunas
consecuencias en el rendimiento
ë Tiempo de negociación de IKE, inicialmente entre 2 y 5
segundos
ë 5 recorridos de ida y vuelta
ë jutenticación: Kerberos o certificados
ë Generación de claves criptográficas y mensajes cifrados
ë Se realiza una vez cada ocho horas de forma
predeterminada y se puede configurar
ë El cambio de claves de la sesión es rápido:< entre uno
y dos segundos, dos recorridos de ida y vuelta, una vez
cada hora y se puede configurar
ë Cifrado de paquetes
UCómo se puede mejorar?
ë jl descargar el proceso criptográfico en NIC, IPSec casi
alcanza la velocidad de los dispositivos con cable
ë Mediante CPU más rápidas
Recomendaciones
Planee minuciosamente la implementación de
IPSec
Elija entre jH y ESP
Utilice directivas de grupo para implementar
directivas IPSec
Considere el uso de NIC de IPSec
No utilice nunca la autenticación con claves
compartidas fuera de un entorno de prueba
Elija entre la autenticación basada en Kerberos
o en certificados
Tenga cuidado al requerir el uso de IPSec para
las comunicaciones con controladores de
dominio y otros servidores de infraestructuras
Resumen de la sesión
Introducción a la defensa en profundidad
perímetros
Uso del Cortafuegos de Windows para
Protección de redes mediante IPSec
Pasos siguientes
1. Mantenerse informado sobre
seguridad
Suscribirse a boletines de seguridad:
http://www.microsoft.com/spain/technet/seguridad/boletines
Obtener las directrices de seguridad de Microsoft
más recientes:
http://www.microsoft.com/spain/technet/seguridad/areas/desarroll
adores/guias.asp
CD Technet Security Guidance (se pide en web de seg. TechNet)
2. Obtener aprendizaje adicional
de seguridad
Buscar seminarios de aprendizaje online-
online- presenciales
http://www.microsoft.com/spain/technet/seminarios
Buscar un CTEC local que ofrezca cursos prácticos:
http://www.microsoft.com/spain/technet/formacion/ctec/
Para obtener más información
Sitio de seguridad de Microsoft
(todos los usuarios)
ë http://www.microsoft.com/spain/seguridad
Sitio de seguridad de TechNet
(profesionales de IT)
ë http://www.microsoft.com/spain/technet/
seguridad
Sitio de seguridad de MSDN
(desarrolladores)
ë http://msdn.microsoft.com/security
(este sitio está en inglés)
Preguntas y respuestas
UPreguntas?
Si tiene alguna pregunta, por favor haga click en
el botón ³jsk a Question´
Introduzca su pregunta en
el recuadro que aparecerá
en pantalla y haga click en
el botón ³jsk´
Preguntas y respuestas
Próximo Webcast
Como Implementar Seguridad en

Entornos Cliente
Windows XP y Windows 2000
24 marzo ± 17:00 h
Registro en:
www.microsoft.com/spain/TechNet
Cuestionario de evaluación online
Su opinión es muy importante para

nosotros
www.microsoft.com/spain/TechNet/EvaluacionWebcast
Recibirá un recordatorio por email en un par de días.

Implementing Network Security Es

Uploaded by

Document Information

Original Title

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Implementing Network Security Es

Uploaded by

Copyright:

Available Formats

Bienvenidos al Webcast sobre

Como Implementar Seguridad

judio por teléfono

Impresión de la presentación en formato PDF al

Las preguntas se responderán al finalizar el webcast. Si

Cuando esté listo para comenzar

Su opinión es muy importante para nosotros

Por favor, le agradeceríamos que nos enviase su feedback completando

Recibirá un recordatorio por email en un par de días.

Datos ACL, cifrado

Perimetral Servidores de seguridad,

Detección básica de intrusos, que se amplía gracias al trabajo de los asociados

Protege el acceso del protocolo nativo de los clientes

Utilice sistemas de detección de intrusos y

Los túneles SSL atraviesan los servidores de

jyuda a detener los ataques basados

Los puertos se pueden abrir para los

Defensa Defensa Detección Control de Confidencialidad jcceso

Desafío de acceso de RjDIUS

Respuesta de EjP (credenciales) Solicitud de acceso de RjDIUS

Éxito de EjP jceptación de acceso de RjDIUS

WPj requiere la autenticación de 802.1x para el acceso de red

Wi-Fi jlliance comenzó las pruebas de certificación de la

Defensa Defensa Detección Control de Confidencialidad jcceso

UQué es Seguridad de IP (IPSec)?

Los paquetes IP suplantados contienen

Como Implementar Seguridad en

Su opinión es muy importante para

Recibirá un recordatorio por email en un par de días.

You might also like