Professional Documents
Culture Documents
Olvido Nicolás
Responsable de Comunidades Técnicas
Microsoft España
onicolas@microsoft.com
jcceder al audio
Sonido de su PC (VoIP)
Hagan clic en el enlace
|
de su
pantalla
Si necesita ayuda
cambie su asiento
a color ROJO.
jlgunos consejos
Pantalla Completa Ctrl+H
Presione Ctrl+H en su teclado para ver la pantalla
completa durante la demostración. Presionando de
nuevo Ctrl+H volverán a aparecer los menús.
Resolución Recomendada
1024 x 768 pixels
Introduzca su pregunta en el
recuadro que aparecerá en
pantalla y haga click en el botón
³jsk´
www.microsoft.com/spain/TechNet/EvaluacionWebcast
jndrés Martín
Technical Consultant
Microsoft Consulting Services
Conocimientos imprescindibles
Descripción de los fundamentos
de seguridad de una red
Experiencia práctica con
Windows® Server 2000 o
Windows Server 2003
Experiencia con las herramientas de
administración de Windows
Nivel 300
Orden del día
Introducción
Uso de defensas en el perímetro
Uso de Microsoft® Internet Security
and jcceleration (ISj) Server para
proteger los perímetros
Uso del cortafuegos de Windows para
proteger a los clientes
Protección de redes inalámbricas
Protección de comunicaciones
mediante IPSec
Defensa en profundidad
El uso de una solución en niveles:
ë jumenta la posibilidad de que se detecten los
intrusos
ë Disminuye la posibilidad de que los intrusos
logren su propósito
Servidor
ISj
Firewall
de
Windows
802.1x /
WPj
IPSec
Orden del día
Introducción
Uso de defensas en el perímetro
Uso de ISj Server para proteger los
perímetros
Uso del cortafuegos de Windows para
proteger a los clientes
Protección de redes inalámbricas
Protección de comunicaciones
mediante IPSec
Información general sobre las
conexiones de perímetro
p
p
p
Diseño del servidor de seguridad:
de triple interfaz
Internet Subred protegida
Servidor de seguridad
LAN
Diseño del servidor de seguridad:
de tipo opuesto con opuesto o
sándwich
Internet Subred protegida
Externa
Servidor de seguridad
Interna LAN
Servidor de seguridad
Contra qué NO protegen los
servidores de seguridad
Tráfico peligroso que atraviesa los puertos
abiertos y no es inspeccionado en el nivel de
aplicación por el servidor de seguridad
Tráfico que atraviesa un túnel o sesión cifrados
jtaques que se producen una vez que se ha
entrado en una red
Tráfico que parece legítimo
Usuarios y administradores que intencionada o
accidentalmente instalan virus
jdministradores que utilizan contraseñas poco
seguras
Servidores de seguridad de
software y de hardware
Factores de
Descripción
decisión
La actualización de las vulnerabilidades y revisiones más recientes
Flexibilidad suele ser más fácil con servidores de seguridad basados en
software.
Muchos servidores de seguridad de hardware sólo permiten una
Extensibilidad
capacidad de personalización limitada.
Los servidores de seguridad de software permiten elegir entre
Elección de
hardware para una amplia variedad de necesidades y no se
proveedores
depende de un único proveedor para obtener hardware adicional.
El precio de compra inicial para los servidores de seguridad de
hardware podría ser inferior. Los servidores de seguridad de
Costo software se benefician del menor costo de las CPU. El hardware se
puede actualizar fácilmente y el hardware antiguo se puede
reutilizar.
Los servidores de seguridad de hardware suelen ser menos
Complejidad
complejos.
El factor de decisión más importante es si un servidor de seguridad
Disponibilidad
puede realizar las tareas necesarias. Con frecuencia, la diferencia
global
entre los servidores de hardware y de software no resulta clara.
Tipos de funciones de los
servidores de seguridad
Filtrado de paquetes
Inspección de estado
Inspección del nivel de aplicación
Internet
Inspección multinivel
(Incluido el filtrado del nivel de aplicación)
Orden del día
Introducción
Uso de defensas en el perímetro
Uso de ISj Server para proteger los
perímetros
Uso del cortafuegos de Windows para
proteger a los clientes
Protección de redes inalámbricas
Protección de comunicaciones mediante
IPSec
Objetivos de seguridad en una red
Defensa Defensa de Detección Control Confidencialidad jcceso
del los de intrusos de acceso remoto
perímetro clientes a la red seguro
Servidor
ISj
Firewall
de
Windows
802.1x /
WPj
IPSec
Método Descripción
Funciones de Procesa todas las solicitudes para los clientes y nunca
proxy permite las conexiones directas.
Se admiten todos los clientes sin software especial. La
Clientes
instalación del software de servidor de seguridad ISA en
admitidos
clientes Windows permite utilizar más funciones.
Las reglas de protocolo, reglas de sitio y contenido, y
Reglas
reglas de publicación determinan si se permite el acceso.
El precio de compra inicial para los servidores de
seguridad de hardware podría ser inferior. Los servidores
Complementos de seguridad de software se benefician del menor costo
de las CPU. El hardware se puede actualizar fácilmente
y el hardware antiguo se puede reutilizar.
Protección de los servidores Web
Reglas de publicación en Web
ë Para proteger de ataques externos a los
servidores Web que se encuentran detrás de los
servidores de seguridad, inspeccione el tráfico
HTTP y compruebe que su formato es apropiado y
cumple los estándares
Inspección del tráfico SSL
ë Descifra e inspecciona las solicitudes Web
entrantes cifradas para comprobar que su formato
es apropiado y que cumple los estándares
ë Si se desea, volverá a cifrar el tráfico antes de
enviarlo al servidor Web
URLScan
El paquete de características 1 de ISj Server
incluye URLScan 2.5 para ISj Server
Permite que el filtro ISjPI de URLScan se
aplique al perímetro de la red
ë Se produce un bloqueo general en todos los
servidores Web que se encuentran detrás del
servidor de seguridad
ë Se bloquean en el perímetro los ataques
conocidos y los descubiertos recientemente
Servidor
Web 1
Servidor
Web 2
ISj
Server Servidor
Web 3
Protección de Exchange Server
Método Descripción
jsistente para Configura reglas de ISA Server con el fin de publicar
publicación de servicios de correo interno para usuarios externos de
correo forma segura
Message Filtra los mensajes de correo electrónico SMTP que
Screener entran en la red interna
Servidor
ISj
Firewall
de
Windows
802.1x /
WPj
IPSec
Información general sobre el
cortafuegos de Windows
Cortafuegos de Windows en Microsoft
Qué es Windows XP y Microsoft Windows
Server 2003
Servidor
ISj
Firewall
de
Windows
802.1x /
WPj
IPSec
jspectos de seguridad en
dispositivos inalámbricos
Limitaciones de Wired Equivalent Privacy
(WEP)
ë Las claves WEP estáticas no se cambian de
forma dinámica y, por lo tanto, son
vulnerables a los ataques
ë No hay un método estándar para proporcionar
claves WEP estáticas a los clientes
ë Escalabilidad: el compromiso de una clave
WEP estática expone a todos los usuarios
Limitaciones del filtrado de direcciones
MjC
ë Un intruso podría suplantar una dirección
MjC permitida
Posibles soluciones
jutenticación de nivel 2 basada en
contraseñas
ë PEjP/MSCHjP v2 de IEEE 802.1x
jutenticación de nivel 2 basada en
certificados
ë EjP--TLS de IEEE 802.1x
EjP
Otras opciones
ë Conexiones VPN
ë L2TP/IPsec (la solución preferida) o PPTP
ë No permite usuarios móviles
ë Resulta útil cuando se utilizan zonas interactivas
inalámbricas públicas
ë No se produce la autenticación de los equipos ni se
procesa la configuración establecida en directivas de
grupo
ë IPSec
ë Problemas de interoperabilidad
Comparaciones de la seguridad de
WLjN
Tipo de Facilidad
Nivel de Facilidad de
seguridad de uso e
seguridad implementación
de WLjN integración
WEP estático Bajo jlta jltos
PEjP de IEEE
jlto Media jltos
802.1X
TLS de IEEE
jlto Baja jltos
802.1x
jlto
VPN Media Bajos
(L2TP/IPSec)
IPSec jlto Baja Bajos
802.1x
Define un mecanismo de control de acceso
basado en puertos
ë Funciona en cualquier tipo de red, tanto
inalámbrica como con cables
ë No hay ningún requisito especial en cuanto a
claves de cifrado
Permite elegir los métodos de autenticación
con EjP
ë Es la opción elegida por los elementos del mismo
nivel en el momento de la autenticación
ë El punto de acceso no tiene que preocuparse de
los métodos de EjP
jdministra las claves de forma automática
ë No es necesario programar previamente las
claves de cifrado para la red inalámbrica
802.1x en 802.11
Inalámbrico
Punto de acceso
Servidor RjDIUS
Equipo portátil Ethernet
jsociación
jcceso bloqueado
jsociado 802.11 802.11
RjDIUS
Inicio de EjPOL
Identidad de solicitud de EjP
Identidad de respuesta de EjP Solicitud de acceso de RjDIUS
jcceso permitido
Clave de EjPOL (clave)
Requisitos del sistema para 802.1x
Cliente: Windows XP
Servidor: IjS de Windows Server 2003
ë Servicio de autenticación Internet: nuestro
servidor RjDIUS
ë Certificado en el equipo IjS
802.1x en Windows 2000
ë El cliente e IjS deben tener SP3
ë Vea el artículo 313664 de KB
ë No se admite la configuración rápida
en el cliente
ë Sólo se admiten EjP-
EjP-TLS y MS
MS--CHjPv2
ë Es posible que los futuros métodos de EjP en
Windows XP y Windows Server 2003 no se
puedan utilizar
Configuración de 802.1x
1. Configurar Windows Server 2003 con IjS
2. Unir un dominio
3. Inscribir un certificado de equipo
4. Registrar IjS en jctive Directory
5. Configurar el registro RjDIUS
6. jgregar el punto de acceso como cliente
RjDIUS
7. Configurar el punto de acceso para RjDIUS y
802.1x
8. Crear una directiva de acceso para clientes
inalámbricos
9. Configurar los clientes
ë No olvide importar el certificado raíz
Directiva de acceso
Condición de
directiva
ë
ë
!"
ë Opcional; proporciona
control administrativo
ë Debe contener cuentas
de usuario y de equipo
Perfil de directivas de acceso
Perfil
ë Tiempo de espera:
60 min. (802.11b) o
10 min. (802.11a/g)
ë No elija métodos de
autenticación regulares
ë Tipo de EjP: EjP
protegido; utilice
certificados de equipo
ë Cifrado: sólo el más
seguro
(MPPE de 128 bits)
ë jtributos:
##$
$ ##
! #
#% &
Perfil de directivas de acceso
Perfil
ë Tiempo de espera:
60 min. (802.11b) o
10 min. (802.11a/g)
ë No elija métodos de
autenticación regulares
ë Tipo de EjP: EjP
protegido; utilice
certificados de equipo
ë Cifrado: sólo el más
seguro
(MPPE de 128 bits)
ë jtributos:
##$
$ ##
! #
#% &
Perfil de directivas de acceso
Perfil
ë Tiempo de espera:
60 min. (802.11b) o
10 min. (802.11a/g)
ë No elija métodos de
autenticación regulares
ë Tipo de EjP: EjP
protegido; utilice
certificados de equipo
ë Cifrado: sólo el más
seguro
(MPPE de 128 bits)
ë jtributos:
##$
$ ##
! #
#% &
Perfil de directivas de acceso
Perfil
ë Tiempo de espera:
60 min. (802.11b) o
10 min. (802.11a/g)
ë No elija métodos de
autenticación regulares
ë Tipo de EjP: EjP
protegido; utilice
certificados de equipo
ë Cifrado: sólo el más
seguro
(MPPE de 128 bits)
ë jtributos:
##$
$ ##
! #
#% &
Perfil de directivas de acceso
Perfil
ë Tiempo de espera:
60 min. (802.11b) o
10 min. (802.11a/g)
ë No elija métodos de
autenticación regulares
ë Tipo de EjP: EjP
protegido; utilice
certificados de equipo
ë Cifrado: sólo el más
seguro
(MPPE de 128 bits)
ë jtributos:
##$
$ ##
! #
#% &
Perfil de directivas de acceso
Perfil
ë Tiempo de espera:
60 min. (802.11b) o
10 min. (802.11a/g)
ë No elija métodos de
autenticación regulares
ë Tipo de EjP: EjP
protegido; utilice
certificados de equipo
ë Cifrado: sólo el más
seguro
(MPPE de 128 bits)
ë jtributos:
##$
$ ##
! #
#% &
Wireless Protected jccess (WPj)
Especificación de mejoras en la seguridad interoperables y
basadas en estándares que aumenta enormemente el nivel de
protección de los datos y el control de acceso para los
sistemas actuales y futuros de LjN inalámbrica
Objetivos
ë Cifrado mejorado de los datos
ë Permitir la autenticación de los usuarios
ë Compatible con versiones futuras de 802.11i
ë Proporcionar una solución que no sea RjDIUS para las oficinas
domésticas o de pequeño tamaño
Servidor
ISj
Firewall
de
Windows
802.1x /
WPj
IPSec
Introducción a IPSec
Introduzca su pregunta en
el recuadro que aparecerá
en pantalla y haga click en
el botón ³jsk´
Preguntas y respuestas
Próximo Webcast
Registro en:
www.microsoft.com/spain/TechNet
Cuestionario de evaluación online
www.microsoft.com/spain/TechNet/EvaluacionWebcast