Upload
bermejo2211960
View
8
Download
0
Embed Size (px)
Citation preview
Acce so a red basado en directivas con Windows Server 2008
Enfoque del acceso a redes basado en directivas
Nuevas tecnologías de seguridad en Windows Server 2008
Se ha escrito mucho acerca de la desaparición de perímetros de red tradicionales ocasionada por
una plantilla cada vez más móvil y la diversidad creciente de usuarios y dispositivos que requieren
acceso a los recursos de TI de la organización. Para aumentar la productividad, los usuarios y los
propietarios de línea de negocio semejantes impulsan la demanda de una experiencia de conexión
que es al mismo tiempo fluida y libre de procedimientos tediosos. Como complemento a esta
situación ya compleja, tenemos la carga cada vez más pesada de cumplimiento de normativas, el
cambiante paisaje de amenazas y los riesgos asociados a la descentralización de los datos.
Esto tiende a dejar a los administradores de Windows® justo en medio de un desafiante acto de
equilibrio de seguridad: cómo permitir el acceso sencillo a los recursos sin descuidar el
cumplimiento de requisitos crecientes de seguridad de la información y la red.
Aunque puede que no haya una única solución a todos estos desafíos, los administradores de
Windows tienen varias herramientas a su disposición que pueden ayudar a aumentar los controles
de seguridad, como firewalls avanzados, que ya tienen establecidos. Una gran manera de
conseguir el equilibrio apropiado entre el acceso y la seguridad es pasar de modelos tradicionales
de conectividad a uno que procura definir el acceso a redes de una forma más lógica y centrada
en directivas.
Enfoque del acceso a redes basado en directivas
Recursos de funciones de red
IPsec
Firewall de Windows con Seguridad avanzada
Aislamiento de servidor y dominio
Protección de acceso a redes (NAP) para Windows Server 2008
El acceso a redes basado en directivas tiene como objeto eliminar las limitaciones que se
encuentran al tratar de basar la confianza principalmente en el perímetro de la topología de la red.
Por ejemplo, ¿puede determinar realmente que un dispositivo cuenta con la confianza y la
autorización necesarias para conectar a los servidores que ejecutan su aplicación de
administración de las relaciones con el cliente (CRM) simplemente porque está conectado a uno
de sus puertos de conmutador Ethernet detrás del firewall corporativo?
En su lugar, el nuevo modelo fundamenta las decisiones de acceso en la autenticación de la
postura de seguridad del dispositivo y la identidad del usuario que solicita el acceso,
independientemente de cuál sea el origen de la conexión. Una vez que se ha realizado la Imparten: Gustavo García Manzano Francisco Bermejo Díaz
autenticación, este mismo marco se puede usar para autorizar la información y los recursos a los
que se puede obtener acceso.
El paso de una postura defensiva a otra más centrada en el acceso implica varios ingredientes
clave, entre ellos, el establecimiento de mecanismos que pueden validar la identidad y el
cumplimiento de directivas de los host que se conectan, emitir una identidad de usuario de
confianza y controlar dinámicamente el acceso a redes con base a estos atributos. Para simplificar
la administración de estas piezas móviles, un almacén centralizado de directivas también es un
componente importante.
La adopción de un enfoque basado en directivas puede ayudar a unir varios controles dispares de
seguridad de host y acceso a redes en una solución más completa. Esto, a su vez, permite
establecer reglas básicas de acceso a redes en un nivel lógico por encima del tejido de
conectividad, lo que lleva a la generación de procedimientos recomendados tradicionales de
defensa en profundidad.
Por ejemplo, cuando un usuario conecta un equipo portátil a la red inalámbrica de la organización,
se puede comprobar su cumplimiento de los requisitos de configuración de seguridad más
recientes. Una vez que se ha determinado que el equipo portátil tiene todas las actualizaciones
antivirus actuales y las revisiones de seguridad críticas, y que tiene todos los controles de
seguridad de extremos habilitados, como un firewall de host, se puede conceder el acceso a la red
corporativa. Entonces, cuando el usuario intenta obtener acceso a una aplicación de negocio, la
combinación del estado de mantenimiento del equipo portátil y la identidad de red del usuario se
puede usar con el fin de determinar si el usuario está autorizado para conectar a los recursos que
hospedan la aplicación. Al operar a este nivel lógico por encima de la infraestructura de red física,
las directivas se pueden aplicar continuamente, incluso si el usuario pasa de una conexión
inalámbrica a una conectada o incluso a una conexión de acceso remoto.
Con la implementación, el acceso a redes basado en directivas puede proporcionar una
experiencia de conexión sin complicaciones a los usuarios, sin sacrificar la seguridad en el
proceso. Para los administradores, el aumento del nivel de los controles de acceso a redes a partir
de configuraciones de puerta de enlace de acceso remoto o de puertos de conmutador puede
ofrecer una experiencia de administración más sencilla. En ambos casos, el resultado final es un
incremento de la productividad y una mejora general del estado de la red de la organización,
incluso cuando las redes sirven de host a partes con derechos de acceso diferentes, como
huéspedes (invitados o de cualquier otro modo), proveedores, partners y empleados.
Como es el caso con cualquier proyecto de seguridad, el primer paso a la hora de implementar el
acceso a redes basado en directivas implica el desarrollo de un conjunto de directivas operativas
holísticas. Esto incluye normalmente instrucciones para:
Imparten: Gustavo García Manzano Francisco Bermejo Díaz
el cumplimiento de seguridad de dispositivos; ¿qué significa para un dispositivo estar en buen
estado?
la división en zonas de la red lógica; ¿cómo separará los dispositivos en mal estado de los
dispositivos autorizados?
la administración de riesgos de información; ¿cómo se clasifican y protegen los datos
confidenciales?
Afortunadamente, hay disponible una variedad de recursos de desarrollo de directivas en el
Centro de seguridad de TechNet de Microsoft® (microsoft.com/technet/security).
Una vez que ha desarrollado las directivas de acceso, necesitará seleccionar las tecnologías que
pueden distribuirlas fácilmente y aplicarlas con eficacia. Para esto, lo que necesita es Windows
Server® 2008. Windows Server 2008 no es sólo la versión de Windows Server más segura hasta
la fecha sino que, además, ofrece a los administradores una plataforma de seguridad reforzada
que puede convertirse en el centro de una solución de acceso a redes basado en directivas. Entre
su larga lista de características nuevas y mejoradas, Windows Server 2008 proporciona muchos
de los ingredientes necesarios para implementar el acceso seguro y basado en directivas a su red,
lo que ayuda a garantizar la protección de la información confidencial ante amenazas.
Funciones de red de siguiente generación
En el centro de los avances de seguridad de red incluidos en Windows Server 2008, se encuentra
la pila TCP/IP de siguiente generación, una actualización importante de la funcionalidad de red de
la plataforma y los servicios relacionados. Además de proporcionar rendimiento de red mejorado y
escalabilidad superior, Windows Server 2008 incrementa la seguridad a través de una serie de
características de red integradas que ofrecen una base sólida sobre la que se puede crear una
solución de acceso a redes basado en directivas.
El protocolo de seguridad de Internet (IPsec) es una de las características que se han mejorado
apreciablemente en Windows Server 2008, y podría desempeñar una función clave en un enfoque
de acceso a redes basado en directivas. Pero esto no trata del uso de IPsec como protocolo de
tunelización y cifrado, sino de aprovechar sus capacidades de autenticación de red de host a host.
Además, como IPsec funciona en el nivel 3, se puede utilizar para aplicar las directivas de acceso
a redes en variedad de tipos de red.
Con el fin de facilitar la implementación de los controles de acceso a redes basados en IPsec,
Windows Server 2008 introduce una larga lista de mejoras y características nuevas para
simplificar la creación, el cumplimiento y el mantenimiento de directivas. Por ejemplo, el número y
los tipos de métodos de autenticación de IPsec disponibles han aumentado. Esto se consiguió a
través de la introducción de IP autenticado (AuthIP), una extensión del protocolo de Intercambio
de claves por red (IKE). AuthIP permite crear reglas de seguridad de conexión (otro nombre para
Imparten: Gustavo García Manzano Francisco Bermejo Díaz
directivas de IPsec en Windows Server 2008) que requieren la autenticación satisfactoria entre
sistemas en comunicación al mismo nivel, no sólo con credenciales de equipo sino,
opcionalmente, también con credenciales de usuario o de estado. Esta flexibilidad añadida
posibilita el diseño de redes lógicas muy sofisticadas sin necesidad de mejorar la infraestructura
de conmutación y enrutamiento.
Firewall de Windows con Seguridad avanzada
El nuevo Firewall de Windows con seguridad avanzada se basa en las características de IPsec
descritas anteriormente. Al combinar reglas de seguridad de conexión de IPsec con filtros de
firewall en una sola directiva, el nuevo Firewall de Windows agrega otra dimensión de acceso a
redes basado en directivas: acciones de firewall de autenticación más inteligentes.
Como muestra la Figura 1, ahora tiene tres opciones para elegir al definir la acción específica que
un filtro de firewall de entrada o de salida debería realizar: permitir, bloquear o permitir sólo si es
seguro. Cuando "Permitir la conexión si es segura" se selecciona como acción, el Firewall de
Windows aprovecha las capacidades de autenticación de red de host a host de IPsec para
determinar si el host o el usuario que solicitan la conexión deben recibir aprobación con base a la
directiva definida. La regla del firewall permite estipular qué usuarios, equipos y grupos tienen
derecho de hacer la conexión. Merece la pena tener en cuenta que esto agrega un nivel adicional
de protección, lo que sirve de suplemento a los controles de acceso de los niveles de aplicación y
de sistema operativo existentes.
Figura 1 Definición de reglas de firewall de autenticación (Hacer clic en la imagen para
ampliarla)
Imparten: Gustavo García Manzano Francisco Bermejo Díaz
Llegados a este punto, debería ser capaz de ver cómo es posible unir estos controles diferentes
de seguridad de red a través de una directiva centralizada para obtener un modo más efectivo y
escalable de administrar el acceso a redes.
Volvamos al ejemplo de CRM: el administrador podría crear una regla entrante para los servidores
que ejecutan la aplicación CRM de la compañía (a través de los puertos de servicio o del archivo
ejecutable del programa) con la opción "Permitir la conexión si es segura" activada. Dentro de la
misma directiva de firewall, el administrador puede especificar que sólo miembros del grupo
"Usuarios de la aplicación CRM" pueden conectar a esta aplicación de red, como muestra la
Figura 2. Si toma este mismo concepto y lo amplía para abarcar todas las comunicaciones de red
entre todos los equipos administrados en su red, habrá agregado un nivel de Aislamiento de
servidor y dominio a su estrategia de acceso a redes basado en directivas.
Figura 2 Los administradores pueden especificar quién se puede conectar según esta
directiva. (Hacer clic en la imagen para ampliarla)
Aislamiento de servidor y dominio
La mayoría de las organizaciones experimentan la conexión en sus redes de un número creciente
de invitados y otros dispositivos no administrados, por lo que contar con la capacidad de separar y
proteger sus host de confianza se ha convertido en algo crítico. La buena noticia es que hay
muchas maneras de aislar los equipos de confianza y administrados de los otros en la red. Sin
embargo, deberá tener en cuenta que muchas de estas opciones son costosas (por ejemplo, se
requieren sistemas separados de cableado físico) y difícil de mantener (por ejemplo, VLAN
basadas en conmutación) al tiempo que crecen las redes.
El Aislamiento de servidor y dominio puede ofrecer un método más rentable y fácil de administrar
para dividir su entorno en redes seguras y lógicamente aisladas. Como muestra la Figura 3, usa
Imparten: Gustavo García Manzano Francisco Bermejo Díaz
esencialmente las mismas reglas de seguridad de la conexión (es decir, las directivas de IPsec)
mencionadas anteriormente, pero deberá asignarlas a todos los equipos administrados mediante
la Directiva de grupo de Active Directory®. Esto tiene como resultado una directiva de acceso a
redes que requiere la autenticación correcta entre todos los sistemas al mismo nivel antes de que
empiece cualquier comunicación. Como este aislamiento se da en el nivel 3, la aplicación de estos
controles de acceso abarca concentradores, conmutadores y enrutadores en límites físicos y
geográficos.
Figura 3 Definición de requisitos de autenticación para cubrir las necesidades de acceso a
red (Hacer clic en la imagen para ampliarla)
Para crear una red aislada, los equipos en la red deben estar separados según el tipo de acceso
deseado. Se pueden definir directivas de forma que los equipos en una red aislada puedan iniciar
comunicaciones con todos los equipos en la red, incluidos los que no se encuentran en la red
aislada. A la inversa, los equipos que no están en la red aislada no pueden iniciar comunicaciones
con equipos que están en la red aislada. De hecho, los equipos en la red aislada omitirán todas
las solicitudes de comunicación de equipos fuera de la red aislada.
La pertenencia a dominios y un dominio de Active Directory se usan para aplicar la directiva de la
red. Los equipos miembros del dominio sólo aceptan comunicaciones autenticadas y seguras de
otros equipos miembros del dominio. Opcionalmente, también se puede exigir el cifrado de toda
comunicación dentro del dominio aislado.
El Aislamiento de servidor y dominio ofrece ventajas económicas considerables, ya que no se
requieren cambios importantes en la infraestructura existente de la red ni en las aplicaciones. Esta
solución crea un velo de protección habilitado por directivas que no sólo proporciona protección
contra ataques costosos de red y acceso no autorizado a recursos de red de confianza, sino que
tampoco requiere el mantenimiento continuado basado en cambios en la topología de la red.
Protección de acceso a redes
Imparten: Gustavo García Manzano Francisco Bermejo Díaz
Como hemos descrito anteriormente, la solución de Aislamiento de servidor y dominio garantiza la
separación lógica de los equipos y los servidores en la red. Aunque esta solución ayuda a evitar el
acceso no autorizado a la red, no hay garantía de que un equipo autorizado no será la causa de
una amenaza de seguridad.
La Protección de acceso a redes (NAP) es una plataforma integrada en Windows Server 2008 que
ayuda a garantizar que los equipos que conectan a una red o que se comunican en una red
cumplen los requisitos de estado del sistema (es decir, cumplimiento de seguridad y directivas) tal
y como lo ha definido.
Incluso los usuarios autorizados son a menudo responsables de propagar virus y spyware en la
red. Por ejemplo, cuando un usuario se va de vacaciones, su equipo podría dejar de cumplir los
requisitos de seguridad establecidos por el administrador. Esto podría tener repercusiones
potencialmente graves si las revisiones o las firmas emitidas durante la ausencia del usuario no se
aplican al equipo.
No es posible para un administrador realizar el seguimiento de cada usuario que se conecta a la
red. Lo que se necesita es una herramienta automatizada que compruebe el cumplimiento del
estado de cada equipo que se conecta a la red y que resuelva la situación al detectar equipos que
no cumplen los requisitos, todo ello con base a una directiva central. NAP hace exactamente eso,
y agrega otro nivel a su solución de acceso a redes basado en directivas.
El agente NAP, integrado en el sistema operativo del equipo cliente (como en Windows Vista®) o
de instalación por separado (para versiones anteriores de Windows y sistemas operativos ajenos
a Windows), informa de cualquier problema de cumplimiento al Servidor de directivas de redes
(NPS), que es el motor de directivas integrado en Windows Server 2008. Es en el NPS donde se
definen las directivas de cumplimiento que cada dispositivo debe observar.
Aunque es necesario restringir dispositivos que no superan comprobaciones de cumplimiento, es
importante garantizar que tienen la opción de entrar en cuarentena y actualizarse. NAP ofrece la
opción de actualizar automáticamente el dispositivo en los casos en que el firewall o la solución
antivirus están activados o actualizarlo manualmente al colocarlo en cuarentena. Aquí, el
dispositivo tiene acceso a un servidor de actualización con las últimas revisiones, actualizaciones
y firmas. Una vez que el usuario actualiza manualmente el dispositivo, se le concede acceso a la
red, siempre que supere antes la comprobación del cumplimiento.
Con este grado de ubicuidad, el acceso a redes es ahora mucho más sencillo. Sin embargo, esto
ha creado la carga añadida de comprobar que los dispositivos están en buen estado y se
presentan en conformidad sin tomar en consideración el mecanismo de acceso. Los equipos
pueden obtener acceso a la red a través de un punto de acceso inalámbrico o un conmutador
compatible con 802.1X, o pueden realizar la conexión de forma remota desde casa con una
conexión de acceso remoto basada en VPN o en Terminal Services. NAP no sólo garantiza el
cumplimiento en equipos que conectan a través de estos mecanismos diferentes, sino que
Imparten: Gustavo García Manzano Francisco Bermejo Díaz
también ofrece la aplicación de requisitos en el servidor DHCP, el conmutador 802.1X, la puerta
de enlace VPN, la puerta de enlace de Terminal Services o el punto de acceso inalámbrico
compatible con 802.1X.
En la Figura 4, se ha aislado la red mediante la solución de Aislamiento de servidor y dominio. El
uso de NAP con esta red aislada ofrece ventajas adicionales para garantizar el cumplimiento de
los requisitos de estado de los equipos que se conectan a la red. El cliente, al inicio, envía su
informe de mantenimiento (SoH) a la Autoridad de registro de mantenimiento (HRA), que es un
servidor de certificados. La HRA pasa el informe de mantenimiento al Servidor de directivas de
redes para la validación de directivas. Si el informe de mantenimiento es válido, la HRA emite un
certificado de mantenimiento para el cliente de NAP y, ahora, el cliente puede iniciar la
comunicación segura basada en IPsec con recursos seguros. Si el informe de mantenimiento no
es válido, la HRA indica al cliente de NAP cómo corregir su estado y no emite un certificado de
mantenimiento. El cliente de NAP no podrá iniciar la comunicación con otros equipos que
requieren un certificado de mantenimiento para la autenticación de IPsec. Sin embargo, el cliente
de NAP podrá comunicarse con el servidor de actualizaciones para lograr el cumplimiento.
Figura 4 Protección de acceso a redes que usa IPsec para la aplicación de requisitos (Hacer
clic en la imagen para ampliarla)
En resumen
Aunque sólo hemos tratado las características y las funciones nuevas de Windows Server 2008 en
superficie, es importante comprender el modo en que cada componente ha avanzado con
respecto a la versión anterior. Lo que distingue esta estrategia del enfoque tradicional de defensa
en profundidad es el marco subyacente de directivas que Windows Server 2008 ofrece a través
de, por ejemplo, la Directiva de grupo de Active Directory.
Imparten: Gustavo García Manzano Francisco Bermejo Díaz
Gracias a esta experiencia integrada, tendrá una base de trabajo sólida para definir e implementar
una solución de acceso a redes basado en directivas sin tener que eliminar inversiones existentes.
Al elevar la decisión de acceso a un nivel más lógico y centrado en directivas, tiene la oportunidad
de inclinar a su favor el acto de equilibrio entre "acceso fácil" y "seguridad incrementada".
Microsoft ha publicado gran cantidad de material donde se describen en detalle las áreas de
tecnología mencionadas en este artículo. Recomendamos que revise primero estos artículos y
guías paso a paso para obtener experiencia operativa con las diferentes características. Los
vínculos en la barra lateral "Recursos de funciones de red" le ayudarán a empezar. Después,
considere implantar cada fase de manera que ofrezca una base sólida para la fase siguiente.
Por ejemplo, cree un conjunto de reglas de firewall de autenticación para las aplicaciones críticas,
como se plantea en la sección Firewall de Windows con seguridad avanzada. Una vez que esté
satisfecho con esto, puede ampliar las reglas de seguridad de conexión para aislar su dominio de
red y, luego, colocar NAP por encima en el nivel siguiente. Las ventajas de implementar una
estrategia de acceso a redes basado en directivas pueden ser considerables, por ejemplo, le
ayudarán a mantenerse al día con el mundo tan cambiante que son nuestras redes corporativas.
Imparten: Gustavo García Manzano Francisco Bermejo Díaz