Aislamiento de servidor y dominio mediante IPsec y Directiva de grupo

Hace años que es habitual aislar físicamente los equipos y las redes para evitar que la información o las comunicaciones estén en peligro. El problema del aislamiento físico es que no es fácil proteger las infraestructuras de la tecnología de la información (TI) de muchas organizaciones empresariales detrás de estrictos límites físicos. Debido al predominio de clientes móviles y a la naturaleza de los entornos de red distribuidos, la implementación y utilización de estos límites físicos resultan demasiado inflexibles.

El aislamiento de servidor y dominio permiten crear un nivel de seguridad para conseguir el aislamiento lógico del tráfico de red existente entre equipos o redes. Si un atacante consigue obtener acceso físico a la red interna de una organización e intenta acceder a un servidor que contiene activos de datos de elevado valor para la organización, el aislamiento de servidor y dominio permiten bloquear el acceso simplemente porque el equipo que utiliza el atacante no es un dispositivo de confianza de la empresa, independientemente de si el atacante utiliza una cuenta de usuario y una contraseña válidas.

La estrategia del aislamiento lógico con técnicas de aislamiento de servidor y dominio permite desarrollar una solución flexible, escalable y fácil de administrar que proporciona la seguridad del aislamiento sin el coste o la inflexibilidad de las fronteras físicas.

En esta página

	Resumen ejecutivo
	Destinatarios de la guía
	El desafío empresarial
	Creación de un equipo de proyecto
	Información general acerca de la guía
	Resumen del escenario
	Resumen

Resumen ejecutivo

Microsoft sabe que las organizaciones grandes se enfrentan a retos cada vez mayores para proteger el perímetro de sus redes. A medida que crecen las organizaciones y cambian las relaciones comerciales, el control del acceso físico a una red puede convertirse en una tarea imposible. Cada día, los clientes, proveedores y consultores tienen motivos profesionales válidos que les llevan a conectar dispositivos móviles a la red. La llegada de las redes inalámbricas y las tecnologías de conexión inalámbrica, como el GPRS (General Packet Radio Service) han facilitado aún más el acceso a las redes. Esta mayor conectividad conlleva que los miembros de dominio de la red interna estén cada vez más expuestos a riesgos importantes procedentes de otros equipos de la red interna e infracciones de la seguridad perimetral. Aunque los servidores de seguridad personales o basados en host ayudan a proteger a los clientes mientras están conectados a Internet, todavía no están preparados para proteger a los clientes y a los servidores internos.

El aislamiento de servidor y dominio proporciona diversas ventajas empresariales. La principal ventaja es que proporciona un nivel de seguridad de red que permite reducir de una forma importante la amenaza que plantea el acceso a los miembros de dominio de confianza de la red interna de una organización por parte de hosts que no son de confianza . El aislamiento de servidor y dominio puede ser una estrategia importante en la defensa contra la propagación de virus, intrusos internos, el uso inadecuado de los activos tecnológicos por parte de los empleados y el robo de información. Además, puede utilizarse para exigir la pertenencia a dominios a todos los clientes que deseen acceder a recursos de confianza, ya sean clientes o servidores, facilitando su administración por parte de la plantilla profesional de TI. El aislamiento de servidor y dominio también puede utilizarse como una estrategia primaria o una estrategia adicional para satisfacer los requisitos de privacidad de la información u otros requisitos de protección de datos en el tráfico de red, sin modificar las aplicaciones existentes de Microsoft® Windows® o implementar en la red hardware de túnel de redes privadas virtuales (VPN).

La principal función del aislamiento de servidores y dominios es permitir a los administradores de TI restringir las comunicaciones TCP/IP de los miembros de dominio con equipos de confianza. Estos equipos de confianza pueden configurarse de forma que permitan sólo conexiones entrantes de otros equipos de confianza o de un grupo específico de equipos de confianza. Los controles de acceso se administran centralmente mediante la Directiva de grupo Active Directory® para controlar los derechos de inicio de sesión en la red. Prácticamente todas las conexiones de red TCP/IP pueden protegerse sin cambiar las aplicaciones, pues la seguridad de protocolo de Internet (IPsec) funciona en la capa de red, por debajo de la capa de aplicaciones, para facilitar seguridad por paquete y autenticación, de un extremo a otro entre sistemas. El tráfico de la red puede autenticarse, o autenticarse y cifrarse en diversos esquemas personalizables. Las configuraciones de la Directiva de grupo e IPsec se administran centralmente en Active Directory.

El concepto de aislamiento lógico que se expone en esta guía manifiesta dos soluciones: en primer lugar el aislamiento del dominio para aislar a los miembros de dominio de conexiones que no son de confianza y, en segundo lugar, el aislamiento del servidor para asegurarse de que un servidor acepta conexiones de red procedentes sólo de miembros de dominio de confianza o un grupo específico de miembros de dominio. Estas soluciones pueden utilizarse por separado o juntas como parte de una solución global de aislamiento lógico.

La solución probada que se plantea en esta guía requiere la siguiente configuración de plataforma mínima:

Estos requisitos de configuración garantizan que los componentes de IPsec poseen el nivel de revisión necesario. La comunicación con plataformas que no sean de Windows o con sistemas que no sean de confianza estará controlada por la configuración de IPsec, que tendrá un listado de exenciones y/o se le permitirá regresar a la comunicación mediante texto sin cifrar (no IPsec). Los traductores de la dirección de red han dejado de ser un obstáculo para el uso de IPsec en la red de área local (LAN) gracias a las nuevas capacidades transversales de traducción de la dirección de red (NAT).

Esta guía utiliza el escenario del Woodgrove National Bank para ejemplificar la implementación del aislamiento de servidor y dominio en un entorno de laboratorio representativo. También presenta la experiencia obtenida por Microsoft en la implementación de estas dos soluciones tanto internamente como en entornos de cliente. Esta guía ha sido elaborada por un equipo de Microsoft de expertos en el tema y ha sido revisada por profesionales de TI de Microsoft y por diversos clientes que han colaborado a través de un programa Beta.

Puesto que en la propia red interna global de Microsoft existen escenarios de aislamiento de servidor y de aislamiento de dominio, la organización Microsoft depende de la seguridad de estas soluciones. Además, recomendando estas soluciones a sus clientes, Microsoft secunda la trayectoria a largo plazo hacia una infraestructura altamente segura y fácil de gestionar para una informática digna de confianza.

Principio de la página

Destinatarios de la guía

Esta guía ha sido diseñada como herramienta de soporte de una solución de aislamiento de servidor y dominio a lo largo de todos los estadios del ciclo de vida de TI, desde la evaluación inicial y la fase de aprobación, hasta la implementación y su evaluación y administración. Por ello, los diversos capítulos de los que consta esta guía se han escrito para satisfacer las necesidades de lectores diversos.

Este capítulo ha sido diseñado principalmente para el encargado de tomar decisiones que intenta averiguar si una organización saldrá ganando con un proyecto de aislamiento de servidor y dominio. Para la comprensión del contenido de este capítulo no son necesarios conocimientos técnicos específicos más allá de la comprensión de las necesidades comerciales y de seguridad de la organización.

Los capítulos de planificación de esta guía (capítulos 2, 3 y 4) pretenden ser especialmente de utilidad para los arquitectos técnicos y los profesionales de TI que se encargarán del diseño de una solución personalizada para una organización. Para sacar el máximo provecho de estos capítulos, es necesario un buen nivel de comprensión técnica tanto de las tecnologías implicadas, como de la infraestructura actual de la organización.

El capítulo 5 y los apéndices están pensados para el personal de soporte responsable de crear los planes de implementación para la solución de la empresa. En esta guía se incluyen diversas recomendaciones sobre el proceso de completar una implementación satisfactoria de la solución, así como pasos prácticos de implementación para crear el entorno de laboratorio de prueba.

El capítulo 6 de esta guía pretende ser una referencia para el personal responsable de las operaciones cotidianas de la solución tras haber sido implementada, es decir cuando sea totalmente operativa. Diversos procedimientos y procesos operativos destacados en este capítulo deberían incorporarse al entorno de operaciones de la organización.

El capítulo 7 proporciona información para la solución de problemas relacionados con la implementación de IPsec. Puesto que IPsec afecta fundamentalmente a las comunicaciones de red, la información y las técnicas para la solución de problemas pueden ayudar mucho a las organizaciones que decidan implementar IPsec.

Principio de la página

El desafío empresarial

La naturaleza de las actuales organizaciones altamente conectadas y los dispositivos de red móviles puede introducir muchos riesgos en la infraestructura de TI de su organización. Estos riesgos pueden provenir de diversas fuentes: empleados móviles, proveedores, los equipos de los clientes, los equipos remotos de pequeñas sucursales o incluso los equipos domésticos de sus propios empleados. En muchos casos, estos riesgos proceden de software malintencionado (también conocido como malware), como virus y gusanos, que se ha descargado o instalado sin advertirlo en el equipo de una persona inocente.

Aunque el aislamiento lógico no puede considerarse una defensa antivirus por sí solo, puede ser parte de una solución antivirus más amplia, pues proporciona un nivel adicional de seguridad que permite reducir la posibilidad de un ataque y minimizar su alcance si fuera el caso. Por ejemplo, un cliente visitante que conecta un equipo portátil a su red para facilitarle una hoja de cálculo constituye un riesgo para la infraestructura de TI de su organización. Conectándose directamente a su red física, el cliente ha superado cualquier defensa perimetral existente para protegerse contra ataques basados en la red.

Sin embargo, si la red interna a la que el cliente se conecta no permitiera el acceso directo a los servidores de su organización, este riesgo sería menor. La pregunta es cómo limitar el acceso a los recursos de la organización sólo a aquellos equipos que lo necesitan. La respuesta se encuentra en el aislamiento de servidor y dominio, una técnica que identifica y autentica al propio equipo para determinar a qué recursos se le está permitido acceder. La autenticación se produce antes de que el usuario inicie la sesión y sigue operativa mientras el equipo está conectado. Este enfoque permite reducir el riesgo potencial que supone para la información empresarial importante la conexión a la red de equipos no identificados y no administrados.

Nota: si desea obtener más información acerca del software malintencionado y saber cómo puede defenderse su organización, consulte la Guía de defensa en profundidad antivirus en TechNet que encontrará en http://go.microsoft.com/fwlink/?LinkId=28732.

Las ventajas empresariales

Las ventajas de introducir una capa de defensa de aislamiento lógico son las siguientes:

El desafío tecnológico

No resulta fácil proteger una infraestructura de TI moderna ante posibles atacantes y al mismo tiempo permitir a los empleados trabajar de la forma más ágil y productiva posible. Resulta incluso difícil comprender el amplio abanico de tecnologías que puede ayudarnos a proteger un entorno. Quizás resulte útil ver exactamente dónde encaja la solución en una infraestructura de TI típica y considerar cómo se ha diseñado para complementar las defensas de la red existentes.

La figura siguiente, que muestra una infraestructura de red típica consistente en diversos niveles de defensa de la red, ilustra dónde encaja el aislamiento lógico en un entorno típico.

Figura 1.1 Áreas de la infraestructura y niveles de defensa de la red
Ver imagen a tamaño completo

La figura 1.1 ha sido diseñada para facilitar una ilustración sencilla de las diversas tecnologías que puede utilizar para proporcionar un diseño de seguridad de defensa en profundidad para una infraestructura de red típica. Dicha infraestructura suele estar formada por los elementos siguientes:

La figura 1.1 ilustra que el aislamiento lógico está centrado directamente en las comunicaciones de hosts de redes internas. Las VPN se administran mediante servicios de acceso remoto (RAS) que permiten la conexión segura del tráfico de las redes o los trabajadores remotos desde ubicaciones remotas. Los servidores de seguridad de extremo de la red protegen las comunicaciones entre Internet y las redes internas. RAS en combinación con NAP proporciona la funcionalidad de administrar las conexiones de trabajadores remotos mediante una red de cuarentena.

Actualmente, estos distintos mecanismos de defensa de la red suelen instalarse y administrarse como componentes separados de un diseño de red de defensa en profundidad. Sin embargo, en los próximos años estos componentes probablemente convergirán en una solución común para la defensa de la red que podrá implementarse y administrarse como una única solución integral.

En los diseños de redes actuales falta la capacidad de proteger a cada uno de los equipos de la red interna del resto de equipos. Las redes internas voluminosas en ocasiones dan soporte a diversas organizaciones y, a veces, varios departamentos de TI administran los equipos y los puntos de acceso físico. Por lo tanto, no debemos considerar la red interna simplemente como una red en la que todos los equipos conectados físicamente son de confianza y deben tener acceso de red completo al resto de equipos.

El objetivo del aislamiento lógico es permitir la segmentación y aislamiento de la red interna de forma que permita un nivel mayor de seguridad sin necesidad de estrictos límites físicos. El verdadero reto tecnológico del aislamiento lógico es implementarlo de forma que sea fácil de administrar y escalable para su organización. La implantación de un diseño tan complejo y restrictivo que impida que los usuarios puedan llevar a cabo tareas necesarias para la organización podría resultar más perjudicial que no tener ninguna solución de aislamiento en absoluto. Es esencial efectuar una planificación y evaluación apropiadas antes y durante la implementación de la solución. Esta guía permite diseñar una solución escalable y fácil de administrar que pueda implementarse de forma controlada y permita la evaluación en varios momentos de la fase de implementación.

Tras conseguir el aislamiento lógico, el nivel adicional de seguridad ayudará a reducir el riesgo al que están sometidos los diversos activos de información de la red sin restringir la funcionalidad de los clientes autorizados.

Principio de la página

Creación de un equipo de proyecto

Esta solución afectará potencialmente a todas las áreas de las comunicaciones de la red interna de la organización, que por su parte afectará a todos los departamentos y usuarios basados en estas comunicaciones. Por este motivo, es importante comunicar todas las necesidades y expectativas de la organización, documentarlas, entenderlas y tenerlas en cuenta en todos los estadios de este proyecto.

Puesto que no es realista esperar que una sola persona sea capaz de llevar a cabo todas las tareas necesarias de un proyecto de este alcance en una organización típica, se recomienda crear un equipo de proyecto. Este equipo de proyecto debe consistir en representantes de todos los departamentos de la organización, además de las áreas técnicas clave de la actual infraestructura de TI. Puesto que queda fuera del alcance de esta guía explicar el modo en que un equipo de proyecto debería trabajar en su organización, asumimos que existirá un equipo de proyecto apropiado durante el ciclo de vida de este proyecto y que los requisitos y objetivos de la solución se comunicarán de la forma apropiada a los participantes del proyecto y a los usuarios de la solución en los diferentes estadios del proyecto. Para obtener más información acerca del modo de organizar un proyecto de este tipo, consulte el sitio Web de Microsoft Solutions Framework (MSF) en www.microsoft.com/msf.

Principio de la página

Información general acerca de la guía

En esta sección encontrará un breve resumen del contenido de los diversos capítulos de la guía de Aislamiento de servidor y dominio mediante IPSec y Directiva de grupo.

Capítulo 1: Introducción al aislamiento de servidor y dominio

El primer capítulo (este capítulo) proporciona un resumen ejecutivo y una breve introducción al contenido de cada capítulo de la guía. Presenta el concepto de aislamiento lógico y los enfoques de aislamiento de servidor y dominio para una organización, trata el tema de la justificación empresarial y muestra cómo encajan en una infraestructura de TI típica. Este capítulo también proporciona información acerca del escenario del Woodgrove National Bank, que se ha adoptado como modelo para fines de diseño y evaluación.

Capítulo 2: Comprensión del aislamiento de servidor y dominio

El capítulo 2 define el concepto de hosts de confianza y explica cómo puede utilizarse la confianza para crear soluciones de aislamiento de dominio o servidor. Explora la relación entre el concepto de aislamiento de servidor y dominio, IPsec y Directiva de grupo. El contenido técnico de esta guía facilita una explicación técnica detallada de qué cabe esperar de la solución en cuanto a las amenazas de seguridad que ayudará a combatir y a los problemas técnicos que pueden surgir si se utiliza IPsec para crear una solución de aislamiento de dominio o servidor.

Capítulo 3: Cómo determinar el estado actual de su infraestructura de TI

Antes de asumir un proyecto, es imprescindible que los diseñadores de la solución tengan información actualizada y precisa acerca de la infraestructura actual de TI. Esta información incluye el estado actual de todos los dispositivos de red, las configuraciones de servidores u estaciones de trabajo y la confianza de los dominios. También engloba el impacto potencial de otras tecnologías de trabajo en red, como NAT, clientes VPN de acceso remoto basados en IPsec, servidores de seguridad y proxies internos y filtrado basado en puertos internos. Este capítulo indica qué información se necesita para la planificación e indica los pasos a seguir para obtener la información.

Capítulo 4: Diseño y planificación de grupos de aislamiento

Este capítulo indica cómo enlazar los objetivos empresariales de la organización con el diseño del aislamiento de servidor y dominio que ayudará a alcanzar los objetivos. Incluye un enfoque detallado que le ayudará a crear un diseño de grupo de aislamiento que le permita alcanzar los objetivos de seguridad de su organización en cuanto a aislamiento. Este capítulo también describe diversos enfoques de implementación que pueden utilizarse para ayudar a minimizar el impacto sobre la organización durante la implementación y para ayudar a maximizar las posibilidades de una implementación satisfactoria. Todos los pasos y procesos de este capítulo se ilustran con ejemplos del escenario Woodgrove Bank.

Capítulo 5: Creación de directivas IPsec para grupos de aislamiento

Las directivas IPsec constituyen el mecanismo que se utiliza para exigir el cumplimiento de las reglas utilizadas en la comunicación entre servidores. Estas reglas se asignan y entregan a los miembros del dominio de confianza mediante objetos de Directivas de grupo. Este capítulo proporciona la información necesaria para entender cómo crear estas directivas IPsec y cómo distribuirlas a los equipos de destino.

Capítulo 6: Administración de un entorno de aislamiento de servidor y dominio

Cuando la solución ya está en funcionamiento, hay diversos procesos que es necesario entender y documentar para asegurarse de que la solución se administra correctamente y que se le da soporte a diario. Este capítulo presenta un modelo de compatibilidad y varios procesos y procedimientos de administración que deberán utilizarse como parte de un marco de operaciones más amplio, como Microsoft Operations Framework (MOF). Si desea obtener más información acerca de MOF, visite el sitio Web de Microsoft Operations Framework en http://www.microsoft.com/mof.

Capítulo 7: Solución de problemas de IPsec

A medida que se implementa y utiliza la solución, es casi inevitable que surjan problemas. Este capítulo detalla diversos procedimientos, tareas, herramientas y sugerencias para la solución de problemas de IPsec que puede utilizar para averiguar si IPsec es la causa de dichos problemas y, en caso afirmativo, cómo puede solucionarlos.

Apéndices

Además de los capítulos principales, esta guía incluye diversos materiales de referencia, ayudas de trabajo y secuencias de comandos que se utilizaron en la planificación, evaluación e implementación del entorno del laboratorio de pruebas en Microsoft durante el desarrollo de esta guía. Puede utilizar la información de estos apéndices como ayuda en la implementación de sus propias soluciones de aislamiento de servidor y dominio. Los materiales que se facilitan han sido diseñados para ser útiles en todas las fases del proyecto, desde la proyección inicial hasta las operaciones diarias de una solución completamente implementada.

Principio de la página

Resumen del escenario

Las soluciones de aislamiento de servidor y dominio han sido implementadas internamente en la red interna de Microsoft. Sin embargo, se probó una implementación de laboratorio físico representativa basada en el escenario de cliente del Woodgrove Bank para obtener un modelo concreto y público para esta solución. Para desarrollar esta solución se emplearon los requisitos empresariales y técnicos de esta organización ficticia, además de los de Microsoft. Esta guía incorpora muchas de las técnicas de soporte y administración que normalmente utilizan los administradores internos de TI de Microsoft. Sin embargo, indica explícitamente los puntos en los que los requisitos y el personal de Woodgrove Bank pueden diferir de las consideraciones exclusivas de Microsoft.

¿Qué es Woodgrove Bank?

Woodgrove National Bank es una organización ficticia modelo que Microsoft utiliza para proporcionar ejemplos de cliente tangibles que le permiten ejemplificar la implementación pública. Los requisitos de Woodgrove Bank provienen de las múltiples experiencias que Microsoft ha recogido de clientes empresariales. Como entidad bancaria, la organización Woodgrove se basa en gran medida en la seguridad para garantizar la seguridad de sus activos monetarios y de los datos privados de sus clientes. Woodgrove Bank también debe satisfacer diversos requisitos normativos gubernamentales y de grupos sectoriales. Aquí no se discute ningún requisito específico de tipo legislativo o administrativo para evitar describir una solución específica para un país o región.

Woodgrove Bank es un banco de inversiones global, líder en su sector, que tiene clientes institucionales, corporativos, gubernamentales y particulares en su papel como intermediario financiero. Sus actividades incluyen: emisión de seguros, compraventa, servicios de asesoramiento financiero, investigación relacionada con la inversión, capital de riesgo y servicios de correduría para instituciones financieras.

Woodgrove Bank es una filial propiedad de WG Holding Company, una organización líder de servicios financieros globales con sede en Londres, Inglaterra. WG posee cinco empresas: Woodgrove National Bank, Northwind Trading, Contoso, Ltd., Litware Financials y Humongous Insurance. Todas las empresas que posee WG son organizaciones grandes, con más de 5.000 empleados cada una.

Perfil geográfico

Woodgrove Bank tiene más de 15.000 empleados en más de 60 oficinas distribuidas por todo el mundo. Tiene sedes corporativas (ubicación de los concentradores) con gran cantidad de empleados en Nueva York (5.000 empleados), Londres (5.200 empleados) y Tokio (500 empleados). Cada ubicación de concentrador admite un número de pequeños sitios secundarios. (Por ejemplo, Nueva York da soporte a las sedes de Boston y Atlanta). Además de las ubicaciones de los concentradores, existen otros dos emplazamientos corporativos primarios, Sydney y Johannesburgo, que poseen sus propios servidores específicos de archivos, impresión y aplicaciones.

Conectividad entre sitios

Tokio y Londres están conectados a la sede de la organización en Nueva York mediante conexiones privadas de Internet, con un ancho de banda asignado de 6 megabits por segundo (Mbps) y conectividad de 10 Mbps, respectivamente. Todas las ubicaciones de concentradores regionales están conectadas a sedes empresariales con conectividad de 2 MB a 10 MB. Los emplazamientos de sucursal autónoma presentan una conectividad de 2 MB. Las sucursales pequeñas normalmente tienen una conectividad de WAN de 1 MB. Los detalles de esta conectividad se ilustran en la Figura 3.1 del capítulo 3, "Cómo determinar el estado actual de su infraestructura de TI" de esta guía.

Los retos de TI para la organización

Woodgrove Bank se enfrenta a los mismos retos que la mayoría de organizaciones; desea incrementar los ingresos y reducir los costes al mismo tiempo que reduce el coste de los activos fijos. Estos retos tienen un efecto constante sobre TI. Woodgrove Bank presenta un número de iniciativas corporativas adicionales que también afectan a la tecnología de la información, entre otras:

Todas estas iniciativas afectan a la tecnología de la información, pero además existen otros retos específicos adicionales a los que se enfrentan los responsables de tomar decisiones de TI, entre otros:

Perfil de la organización de TI

Aunque Woodgrove Bank tiene un entorno de servidor mixto que utiliza Windows y UNIX, su infraestructura se ejecuta sobre una red troncal basada en Windows Server. Tiene un total de 1.712 servidores basados en Windows y el sistema operativo mayoritario es Windows 2000 o posterior:

La mayoría de servidores se encuentran en las ubicaciones de tres sedes corporativas (Nueva York, Londres y Tokio).

Entorno de PC

La mayoría de empleados de Woodgrove Bank tienen como mínimo un sistema de PC. La mayoría de empleados tienen equipos de escritorio y los representantes de ventas tienen equipos móviles. En total, Woodgrove Bank tiene más de 17.000 equipos de usuario final. Aproximadamente el 85 por ciento de dichos equipos son equipos de escritorio y el 15 por ciento son equipos móviles. Más del 95 por ciento de los equipos de usuario final son equipos basados en Intel con alguna versión de Windows. Algunos departamentos específicos utilizan estaciones de trabajo Mac y también existen unas pocas estaciones de trabajo UNIX que se utilizan para aplicaciones de la línea de negocios (LOB).

Resumen de la arquitectura de sistemas y administrativa

La red de Woodgrove Bank consiste en varias zonas de TI: un centro de datos corporativo, dos ubicaciones de concentradores, dos oficinas satélite y una red perimetral que da soporte a los usuarios remotos. Tal como se ilustra en el diagrama siguiente, Woodgrove Bank implementa un modelo administrativo centralizado para administrar los servidores y escritorios centralmente desde Nueva York.

Figura 1.2 El modelo de administración centralizada de TI de Woodgrove Bank
Ver imagen a tamaño completo

Servicio de directorios

Woodgrove Bank decidió adoptar un modelo de bosque de proveedores de servicios para su diseño de Active Directory. El motivo es que este modelo ofrece la flexibilidad de tener un bosque para el perímetro y un bosque compartido separado para recursos internos. Esta posibilidad satisface las necesidades de aislamiento de los servidores en la red perimetral. Woodgrove no adoptó el modelo de bosque único porque no permite aislar a los servidores perimetrales de la información corporativa crítica. La figura siguiente ilustra la estructura lógica de Active Directory que utiliza Woodgrove Bank:

Figura 1.3 Diseño de servicio de directorios de Woodgrove Bank
Ver imagen a tamaño completo

El bosque perimetral utiliza el modelo de dominio de bosque único, que basta para la administración de servidores perimetrales. Los requisitos de replicación son mínimos en el perímetro, por lo tanto no hay ninguna necesidad de proporcionar límites de replicación o utilizar el modelo de dominio regional múltiple para segmentar el bosque. Es crucial tener en cuenta que Woodgrove adoptó este diseño únicamente para la administración de los servidores perimetrales. Si se hubieran introducido cuentas de usuario en el perímetro y el perímetro se encontrara en ubicaciones múltiples, hubiera sido necesario adoptar un diseño de dominio distinto.

El bosque interno está basado en un modelo de dominio regional múltiple. Woodgrove creó tres dominios regionales: América, Europa y Asia. Además, Woodgrove implementó una raíz de bosque dedicada para administrar la funcionalidad del nivel de bosque. Este modelo proporciona una forma de administrar la topología de replicación y delegar la administración de la autonomía del nivel de dominio a cada región.

La topología de sitio para Woodgrove Bank está dividida en tres áreas regionales: América, Europa y Asia (Pacífico asiático). Nueva York, Londres y Tokio son los concentradores centrales de toda la topología.

Los diseñadores de Woodgrove Bank decidieron implementar un diseño de unidad organizativa (OU) principalmente basado en objetos. La estructura de OU se encuentra completamente replicada en cada uno de los dominios regionales y en la raíz de bosque se ha creado un subconjunto de la estructura de OU. La Figura 3.2 del capítulo 3 de esta guía proporciona un diagrama detallado de la estructura de OU que utiliza Woodgrove Bank.

Ejecución de la estrategia de Woodgrove para aislamiento de servidor y dominio

Para ayudar a la organización a entender el diseño que más se ajusta a sus necesidades, Woodgrove Bank ha creado un proyecto de laboratorio modelo. Este proyecto utiliza una implementación de pequeño laboratorio en la que evaluar el diseño propuesto para Woodgrove, que se muestra en la figura siguiente.

Figura 1.4 Diseño piloto para Woodgrove Bank
Ver imagen a tamaño completo

Este diagrama muestra el subconjunto de equipos que se utilizaron en el escenario de Woodgrove Bank para evaluar los escenarios que presenta esta guía. El objetivo del proyecto modelo consistía en proporcionar suficiente diversidad en el diseño de laboratorio para garantizar que la solución funcionara del modo esperado y, al mismo tiempo, evitar que afectara negativamente a los servidores de producción y a los usuarios de la organización.

Los ejemplos que se facilitan a lo largo de esta guía están basados en los resultados de la infraestructura del diseño piloto que se ilustran en la Figura 1.4.

Nota: puesto que el aislamiento cambia muchos aspectos de la red informática, Microsoft recomienda probar antes todos los escenarios de aislamiento en un entorno de laboratorio para evitar impactos negativos sobre los entornos de producción. Los administradores de TI deberán consultar los capítulos 6 y 7 para cuestiones de compatibilidad, procedimientos operativos y consejos para la solución de problemas.

Tras un proyecto de implementación en laboratorio satisfactorio, se identificaron un grupo de servidores para implementar un escenario de aislamiento de servidor básico. Se trata de servidores que tienen un bajo impacto empresarial cuando la conectividad se ve afectada. Los administradores de TI y el personal de soporte técnico recibieron formación sobre técnicas para la solución de problemas. Estos servidores se supervisaron cuidadosamente para averiguar el rendimiento y el impacto de las llamadas al departamento de soporte técnico. Se evaluaron las funciones de administración organizativa, los procesos y los métodos de soporte técnico. A continuación se seleccionó uno de los dominios más pequeños de Woodgrove para experimentar el aislamiento de dominio. El impacto de este proyecto de aislamiento de dominio se minimizó utilizando IPsec sólo para las subredes de la red en las que se ubicaban la mayoría de miembros de dominio. El impacto se redujo aún más permitiendo la comunicación no IPsec cuando estos miembros de dominio se comunicaban con otros equipos no implicados en la prueba piloto. Tras completar estas pruebas piloto, el equipo del proyecto tenía toda la información necesaria para crear e implementar un diseño completo para toda la organización.

Principio de la página

Resumen

Este capítulo pretender ser una introducción al aislamiento lógico y explica el modo en que puede utilizarse el aislamiento de servidor y dominio para crear una solución de nivel empresarial utilizando IPsec y la Directiva de grupo. Además, este capítulo proporciona un resumen ejecutivo y una breve descripción de todos los capítulos de esta guía. Esta información le permitirá entender qué ofrece esta solución a su organización, cómo encaja en una infraestructura de TI típica y qué aptitudes se necesitan para que la solución sea satisfactoria.

Principio de la página

2 de 13