Aislamiento de servidor y dominio mediante IPsec y Directiva de grupo

Capítulo 2: Comprensión del aislamiento de servidor y dominio

Actualizado: febrero 16, 2005

Desde que las redes de área local (LAN) se han convertido en algo corriente, los profesionales de la tecnología de información (TI) luchan por lograr unos servicios resistentes de alta disponibilidad y por mantener, a la vez, una seguridad adecuada. Se han introducido muchas tecnologías diferentes para que funcionen con TCP/IP con el fin de solucionar el problema de implementar la seguridad en las capas de red y de transporte. Estas tecnologías incluyen IPv6, 802.1X, conmutadores de red, segmentación de red de área local virtual (VLAN), seguridad del protocolo de Internet (IPsec) y muchas más.

Un resultado no intencionado de la introducción de estas tecnologías es la aproximación por varias capas a la seguridad de la red. Dichas capas se pueden utilizar para separar, segmentar o aislar uno o varios hosts o redes de otros hosts o redes. La finalidad de este capítulo es la de organizar la capa de seguridad que proporciona IPsec respecto a las otras capas y explicar cómo se utiliza con Directiva de grupo en una solución que conseguirá el aislamiento de una manera fácil de administrar y escalable en un entorno de clase empresarial.

En esta página
Requisitos previosRequisitos previos
Destinatarios del capítuloDestinatarios del capítulo
Objetivos empresarialesObjetivos empresariales
Identificación de los equipos de confianzaIdentificación de los equipos de confianza
¿Cómo encaja el aislamiento de servidor y dominio en mi estrategia global de seguridad de red?¿Cómo encaja el aislamiento de servidor y dominio en mi estrategia global de seguridad de red?
Actualización de terminologíaActualización de terminología
¿Cómo lograr el aislamiento de servidor y dominio?¿Cómo lograr el aislamiento de servidor y dominio?
¿De qué nos protege el aislamiento de servidor y dominio?¿De qué nos protege el aislamiento de servidor y dominio?
¿Cómo implementar el aislamiento de servidor y dominio?¿Cómo implementar el aislamiento de servidor y dominio?
ResumenResumen

Requisitos previos

Antes de utilizar la información que se proporciona en este capítulo, debe estar familiarizado con los siguientes conceptos y tecnologías. Aunque puede aprovechar esta orientación sin cumplir los requisitos previos, es mucho más probable que la implementación sea correcta si los cumple todos.

Requisitos previos de conocimientos

Se necesita estar familiarizado con Microsoft® Windows Server™ 2003 en las siguientes áreas:

Conceptos de servicio de directorio de Active Directory® (incluidas la estructura y las herramientas de Active Directory, la manipulación de usuarios, grupos y otros objetos de Active Directory, y el uso de Directiva de grupo).

Conceptos de autenticación, incluido el uso del protocolo de la versión 5 de Kerberos y la infraestructura de claves públicas (PKI).

Seguridad del sistema Microsoft Windows®; conceptos de seguridad como usuarios, grupos, auditoría y listas de control de acceso (ACL); el uso de plantillas de seguridad; conceptos de autenticación mutua; métodos y conceptos de resolución de nombres estándar como el Sistema de nombres de dominio (DNS) y el Servicio de nombres Internet de Windows (WINS); herramientas de diagnóstico de Windows estándar y conceptos de solución de problemas; y el uso de Directiva de grupo o herramientas de línea de comandos para aplicar plantillas de seguridad.

Conocimiento de conceptos de TCP/IP, incluido el diseño de subredes, la máscara de red y el enrutamiento. Asimismo, el conocimiento de funciones, protocolos y términos de bajo nivel, como el protocolo de mensajes de control de Internet (ICMP), el protocolo de resolución de direcciones (ARP) y la unidad de transmisión máxima (MTU).

Conocimiento de los principios de administración de riesgos de seguridad.

Nota: en el capítulo 6, "Deploying IPsec," del Windows Server 2003 Deployment Kit se exponen ciertos escenarios para el modo de transporte IPsec que en su día no se recomendaban. No obstante, el trabajo llevado a cabo por Microsoft para su propia implementación interna de IPsec, junto con otras orientaciones disponibles, significa que ahora la recomendación puede cambiarse.
Mientras que el tráfico de multidifusión y de difusión continúa sin poder utilizar IPsec, todos los tipos de tráfico IP de unidifusión deberían poder protegerse con IPsec. Cada cliente debe evaluar las ventajas de implementar IPsec en escenarios de aislamiento de dominios o servidores frente a los costes, el impacto y otros inconvenientes. No obstante, ahora Microsoft recomienda y admite un uso más amplio de IPsec en redes de cliente de acuerdo con esta orientación.

Requisitos previos organizativos

Es poco probable que la planificación de la seguridad de una organización sea responsabilidad de un solo individuo. La información necesaria para determinar los requisitos exactos de una organización procederá con frecuencia de una serie de fuentes dentro de la organización. Debe consultar a otras personas de su organización que podrían necesitar implicarse en la planificación del aislamiento, incluidas aquéllas que cumplen las siguientes funciones:

Patrocinadores empresariales

Representantes del grupo de usuarios

Personal de seguridad y auditoría

Grupo de administración de riesgos

Personal de ingeniería, administración y operación de Active Directory

Personal de ingeniería, administración y operaciones de DNS, servidor Web y red

Nota: según la estructura de la organización de TI, estas funciones las pueden desempeñar varias personas distintas, o unas pocas personas pueden abarcar varias funciones.

El ámbito de un proyecto de aislamiento de servidores y dominios necesita un equipo completo que comprenda los requisitos empresariales, los problemas técnicos, el impacto en los usuarios y el proceso global del proyecto. A menudo, resulta ventajoso disponer de una persona destacada como principal punto de contacto del proyecto cuando se necesitan aportaciones más amplias, como las del personal de soporte o las de los usuarios que se verán afectados durante la implementación. La mala planificación y las comunicaciones deficientes son dos de las principales causas de error en los proyectos complejos. El equipo del proyecto debe comprender estos riesgos potenciales y asegurar que se emprenden las acciones pertinentes para reducir su incidencia.

Destinatarios del capítulo

Este capítulo está pensado para los responsables de la toma de decisiones y los diseñadores técnicos de sistemas que se harán cargo del diseño de la solución personalizada de aislamiento de servidores y dominios de una organización. Se requiere la comprensión técnica de las tecnologías implicadas y de la infraestructura actual de la organización para sacar el máximo partido de este capítulo.

Objetivos empresariales

Es importante comprender que son los requisitos empresariales de la organización los que deben impulsar la solución. El aislamiento se define como una separación física o lógica de uno o varios equipos de la comunicación de red con los demás equipos. Las restricciones de seguridad siempre tendrán un impacto en las operaciones diarias de los empleados de una organización. Los cambios introducidos como parte de la solución modificarán la manera en que los equipos del dominio se comunican entre sí y con los equipos que no son de confianza. Esta solución precisará que el equipo del proyecto tenga tiempo para planificar e investigar la viabilidad; también requerirá la formación del personal de soporte de TI y la disponibilidad de al menos un programa de toma de conciencia mínimo para los empleados. Los servicios de seguridad adicionales que se proporcionan para el tráfico de red también pueden necesitar, en algunos casos, memoria adicional de servidor o tarjetas de red de aceleración de hardware. Por otro lado, también puede haber disponibles otras soluciones con el fin de alcanzar los mismos o similares objetivos de aislamiento. Por ello, es importante evaluar el valor monetario que se pretende aportar al negocio con la solución.

Asegurar el cumplimiento normativo

A medida que crece la información personal almacenada en los equipos, también aumenta el énfasis otorgado a la privacidad de los datos. El control de acceso a la información de clientes y empleados va más allá de las meras buenas prácticas de negocio. Una organización que falla a la hora de proteger la información confidencial, según la legislación local de los países en los que opera, puede verse expuesta a responsabilidades financieras y legales importantes. Por ejemplo, las organizaciones que operan en los Estados Unidos, pueden tener que cumplir los requisitos de una o varias de las siguientes normas:

Ley Federal de Administración de la Seguridad de la Información (Federal Information Security Management Act, FISMA)

Ley Sarbanes-Oxley (Sarbanes-Oxley Public Company Accounting Reform and Investor Protection Act, Ley de protección de los inversores y reforma del informe financiero de las organizaciones públicas)

Ley Gramm-Leach-Bliley (Gramm-Leach-Bliley Financial Services Modernization Act, Ley de modernización de servicios financieros Gramm-Leach-Bliley, GLBA)

Ley HIPAA (Health Insurance Portability and Accountability Act, Ley de transferencia y responsabilidad de seguros de salud)

La ley HIPAA tiene una regla de seguridad que especifica instrucciones estrictas acerca de cómo las entidades de asistencia sanitaria deben gestionar la información médica personal electrónica (ePHI, por sus siglas en inglés). Aunque la ley HIPAA no obliga a una tecnología determinada ni la recomienda, sí especifica las funciones que se necesitan para su cumplimiento y cómo mitigar los riesgos de la ePHI. Se debe evaluar el uso del aislamiento de dominio o servidor con protección IPsec como medida preventiva técnica que ayude a cumplir los requisitos de las siguientes secciones de la ley HIPAA:

Control de acceso 164.312(a)(1) mediante la protección del acceso entrante a la red de los equipos de confianza utilizando autorizaciones de Directiva de grupo y para utilizar el cifrado con el fin de proteger la EPHI de la divulgación en el tráfico de red.

Controles de auditoría 164.312(b) auditando los equipos que se comunican entre sí.

Integridad 164.312(c)(1) mediante la restricción del acceso entrante a la red a los equipos que tienen ePHI únicamente a un determinado grupo de equipos y usuarios autorizados y de confianza. También mediante la prevención de modificaciones de la ePHI durante la transmisión por la red, al proporcionar ésta integridad y autenticidad para todos los paquetes de red en las conexiones de las aplicaciones.

Autenticación de personas o entidades 164.312(d) mediante el requerimiento de autenticación y autorización de los equipos de confianza para el acceso entrante a la red a otros equipos de confianza.

Seguridad de transmisión 164.312(e)(1) proporcionando autenticidad, integridad y cifrado.

Con frecuencia, puede encontrar estos requisitos al utilizar los protocolos Capa de sockets seguros (SSL) y Seguridad de la capa de transporte (TLS). Por ejemplo, las aplicaciones pueden utilizar la tecnología Microsoft .NET con SSL/TLS como contribución al cumplimiento de las normas de seguridad de la ley HIPAA. Consulte las notas del producto "Healthcare Without Boundaries: Integration
Technology for the New Healthcare Economy" en www.microsoft.com/Resources/Healthcare/
HealthcareEconomy.aspx para obtener más información.

No obstante, las comunicaciones entre aplicaciones deben integrar adecuadamente el uso de SSL/TLS y los controles de algoritmos. Las principales ventajas de una solución de aislamiento IPsec consisten en que se protegen todas las aplicaciones, así como el sistema operativo del equipo host, y que se puede proporcionar seguridad de tráfico de red para las aplicaciones existentes sin cambiarlas. Para obtener más detalles, consulte la sección "Comparación entre SSL/TLS e IPsec" más adelante en este capítulo.

Cumplimiento de esta solución con la normativa del Gobierno de EE.UU.

El 16 de diciembre de 2003, la Oficina de Administración y Presupuesto de EE.UU. (U.S. Office of Management and Budget (OMB) publicó un memorándum titulado "E-Authentication Guidance for Federal Agencies", que está disponible en la dirección http://www.whitehouse.gov/omb/memoranda/fy04/
m04-04.pdf. Este memorándum especifica que el nivel de riesgo de una amenaza de autenticación se corresponde con el nivel a partir del cual se precisa la autenticación electrónica.

La publicación especial 800-63 de NIST, "Electronic Authentication Guideline: Recommendations of the National Institute of Standards and Technology," identifica los requisitos técnicos de los niveles de autenticación 1-4. En muchos casos, los niveles seguros (3 y 4) de la autenticación de usuarios necesitan que las aplicaciones se rescriban o reemplacen. Si los riesgos de seguridad globales se pueden reducir, puede utilizar un nivel de autenticación de usuario de menor coste para acceder a la información muy confidencial. En la plataforma Windows, las soluciones de aislamiento de servidor y dominio añaden una capa inicial de autenticación de los equipos de confianza, controles de acceso, autenticación de tráfico de red y cifrado antes de la autenticación de usuario en la capa de aplicación. Por lo tanto, el uso de una solución de aislamiento de servidor y dominio puede reducir o retrasar la necesidad de cambiar las aplicaciones y ayudar a cumplir las obligaciones de la administración de riesgos.

Para habilitar el cumplimiento con la normativa del gobierno, Microsoft se compromete a someterse a varios procesos de certificación. Windows 2000 ha sido certificado por cumplir los criterios comunes de evaluación de la seguridad de TI (norma ISO 15408), nivel 4 de la garantía de evaluación (EAL4), ampliado con la certificación ALC_FLR.3 Systematic Flaw Remediation (corrección sistemática de errores). Esta certificación se aplica tanto al sistema operativo como a las categorías de protección de datos confidenciales.

Nota: cuando se redactó este documento, las plataformas Windows XP y Windows Server 2003 estaban en proceso de certificación.

Asimismo, los componentes de cifrado de IPsec para Windows 2000, Windows XP y Windows Server 2003 se han certificado para cumplir los requisitos de cifrado FIPS 140-1. Por lo tanto, las soluciones de aislamiento de servidor y dominio se pueden utilizar en entornos de TI militares, gubernamentales y similares. Para obtener más información, consulte los siguientes vínculos:

Hoja de información nº 11 de la NSTISSP: National
Information Assurance Acquisition Policy, at http://niap.nist.gov/cc-scheme/
nstissp_11_revised_factsheet.pdf

Lista de productos validados (por tipo de tecnología), en http://niap.nist.gov/cc-scheme/vpl/vpl_type.html

Overview: Windows 2000 Common Criteria Certification, en www.microsoft.com/technet/security/prodtech/Windows2000/
w2kccwp.mspx

Evaluación FIPS 140, en www.microsoft.com/technet/archive/security/topics/
issues/fipseval.mspx

La información que proporciona esta sección es específica del funcionamiento de las organizaciones en EE.UU. No obstante, en todo el mundo están surgiendo nuevas normas tal y como lo demuestran leyes como la Directiva de Protección de Datos de la Unión Europea de 1998 o la Ley de Protección de Información Personal y Documentos Electrónicos (PIPEDA) canadiense. Ambas imponen unas directrices estrictas respecto a la administración de identidades y la privacidad de los datos.

Evaluaciones de riesgos de negocios de la infraestructura de TI

Las evaluaciones de los riesgos de negocios deben identificar el modo en que el negocio depende de la infraestructura de TI. Una evaluación de riesgos de seguridad de TI debe identificar y establecer prioridades de los riesgos respecto a la integridad de la información y la estabilidad de los servicios. La evaluación de riesgos de seguridad debe aportar una justificación clara de la razón por la que esos riesgos deben abordarse y estimar los costes asociados a la no afrontación de dichos riesgos. Las estimaciones de costes son extraordinariamente importantes para evaluar las distintas soluciones técnicas de cada problema. Debido a que no hay una única solución que aborde el riesgo al cien por cien, hay que comparar cada solución con las demás y sus costes asociados.

Los responsables de la toma de decisiones pueden querer evaluar el coste de una solución de aislamiento en términos de reducción del riesgo de degradación o pérdida del servicio debido a la propagación en la red de infecciones de virus y gusanos. Para algunas organizaciones pueden ser más importantes la repercusión en la organización y el coste de un ataque con éxito de los piratas informáticos contra sus datos más valiosos.

Nota: en algunos países y estados, las leyes exigen que cualquier ataque contra la seguridad se notifique a los clientes que puedan verse afectados. Consulte a los organismos públicos locales o a sus asesores jurídicos acerca de los aspectos legales específicos que puedan afectar a su organización.

Considere las siguientes categorías como guía para estimar el coste total de un incidente de seguridad:

Costes en los que se incurre por pérdida de servicio. Para determinar el coste total en el que se incurre por la pérdida de servicio en un servidor de red, sume los costes de cada uno de los siguientes conceptos:

Tiempo de respuesta a incidencias que necesita el personal de soporte técnico

Pérdida de ingresos debida a la interrupción del servicio de aplicaciones

Pérdida de productividad interna

Costes en los que se incurre por robo de información. Para determinar el coste total en el que se incurre por el robo de información de un servidor de red interno, sume los costes de cada uno de los siguientes conceptos:

Pérdida de la propiedad intelectual necesaria para desarrollar la información

Pérdida de ingresos futuros en todos los productos debida a la desconfianza de los clientes si el robo se hace público

Pérdida del valor de mercado debida a la desconfianza de los inversores si el robo se hace público

Tiempo de respuesta interno que necesitan los departamentos de marketing y desarrollo

Pérdida de oportunidades de ingresos debida al esfuerzo de respuesta interno

Tiempo necesario para mitigar el uso malintencionado de la información contra el negocio, los empleados o clientes por parte de los intrusos

Costes en los que se incurre por la amenaza a las credenciales administrativas del servidor. Para determinar el coste total en el que se incurre por la amenaza a las credenciales administrativas de un servidor de red interno, sume los costes de cada uno de los siguientes conceptos:

Esfuerzo interno necesario para responder al ataque y reemplazar el servidor

Mitigación interna de los ataques en otros equipos que fueron posibles debido a la amenaza de las credenciales administrativas del servidor

Costes en los que se incurre por las posteriores acciones legales o normativas. Para determinar el coste total en el que se incurre por la necesidad de las posteriores acciones legales, sume los costes de cada uno de los siguientes conceptos:

Coste de las acciones legales si los atacantes pueden ser identificados pero la resolución judicial no es favorable para la organización

Coste de las acciones legales si los atacantes pueden ser identificados y la resolución judicial es favorable para la organización pero el demandado no puede pagar la indemnización por daños a la que le condena el tribunal

Coste de las penalizaciones, auditorías, restricciones y otros esfuerzos de buena fe para restablecer el entorno empresarial actual

Invertir en instrucciones a largo plazo para la seguridad de la información

La iniciativa de Microsoft de protección de acceso a red (NAP, Network Access Protection) establece las instrucciones a largo plazo para controlar rigurosamente el cumplimiento de las directivas de los dispositivos conectados a una red y entre sí. La cuarentena de acceso remoto y el aislamiento de servidor y dominio son dos partes de estas instrucciones que pueden implementarse ahora con las plataformas actuales de Windows 2000 y posteriores. Al combinar tanto las capacidades de aislamiento perimetral como interno, la organización dispone de unas defensas importantes contra las infecciones y otros ataques procedentes de equipos que no son de confianza y de credenciales de usuario amenazadas.

Para obtener más información acerca de la iniciativa NAP, consulte el sitio Web de protección de acceso a redes (Network Access Protection) en www.microsoft.com/nap.

Para obtener más información acerca de las conexiones de red privada virtual (VPN) y los controles de acceso de cuarentena, consulte el sitio Web de Virtual Private Networks for Windows Server 2003 en www.microsoft.com/vpn.

En las próximas versiones de Windows, Microsoft planea proporcionar una protección de acceso a red más fácil de administrar y completa. Para obtener más información, consulte las notas del producto "Introduction to Network Access Protection" en www.microsoft.com/windowsserver2003/techinfo/
overview/napoverview.mspx.

Identificación de los equipos de confianza

El análisis de la confianza y de cuál es su relación con los equipos es una parte importante del tema del aislamiento de servidor y dominio. La función principal del aislamiento es la capacidad de cualquier host de confianza de decidir quién puede tener acceso a él en la red. Por lo tanto, independientemente del modo en que los equipos remotos estén conectados en el extremo remoto de la conexión (por ejemplo, modo inalámbrico, LAN, Internet), el equipo remoto debe utilizar IPsec para negociar la confianza y proteger el tráfico TCP/IP de extremo a extremo con el equipo de destino. Este modelo de seguridad de extremo a extremo proporciona un grado de protección de las comunicaciones de red que no pueden ofrecer otras tecnologías de seguridad y control de acceso a la red basadas en vínculos (por ejemplo, VPN, 802.1x, 802.11 WEP). Es muy importante confiar primero en el equipo remoto para protegerse contra el robo, la amenaza o el uso malintencionado de las credenciales de usuario.

En el contexto de esta solución, la confianza es la capacidad de una organización de tener la seguridad razonable de que un equipo determinado se encuentra en un estado conocido y que cumple los requisitos de seguridad mínimos acordados por la organización. Estos requisitos pueden ser técnicos por naturaleza, centrados en la seguridad, relacionados con el negocio o cualquier combinación de ellos. Estos requisitos también determinan el estado en que debe encontrarse un equipo antes de establecer comunicaciones con otros equipos. Microsoft recomienda que la especificación de los equipos de confianza incluya una lista de actualizaciones de seguridad y Service Packs necesarios que se actualiza regularmente. Lo ideal sería administrar y reforzar estas actualizaciones mediante un sistema de administración de revisiones como el servicio Windows Update o Microsoft Systems Management Server (SMS). La frecuencia con la que se aplican estas actualizaciones depende del tiempo que necesite la organización para probar e implementar cada actualización. No obstante, para lograr una seguridad óptima se deben aplicar las actualizaciones tan pronto como sea posible en el entorno.

Los equipos que no son de confianza son equipos de los que no se puede asegurar que cumplan los requisitos de seguridad. Por lo general, se considera que un equipo no es de confianza si no está administrado o no está protegido.

El objetivo de la solución de aislamiento de servidor y dominio es reducir el riesgo planteado a los recursos de confianza mediante la implementación de herramientas, tecnologías y procesos que protejan los activos de una organización. La solución garantiza que:

Sólo los equipos considerados de confianza (los que cumplen los requisitos de seguridad específicos) pueden acceder a los recursos de confianza.

A los equipos que no son de confianza se les deniega el acceso a los recursos de confianza, a no ser que exista un motivo comercial específico que justifique el riesgo.

De forma predeterminada, los recursos de confianza sólo deben poder tener acceso a la red desde otros recursos de confianza. Además, debe controlar el acceso en la capa de red mediante permisos de autorización o denegación y ACL para determinados usuarios y equipos en el entorno de confianza.

Al crear este entorno de confianza y restringir las comunicaciones permitidas dentro y fuera de dicho entorno, la organización puede reducir el riesgo general de sus activos de datos. Las ventajas empresariales adicionales pueden ser:

Un alto nivel de comprensión del flujo de datos en áreas específicas de la red.

Adopción mejorada de los programas de seguridad que se utilizan para obtener un estado "de confianza".

Creación de un host actualizado y de un inventario de los dispositivos de red.

Por ejemplo, en el escenario del Woodgrove Bank, los equipos de confianza incluyen todos los equipos con Windows 2000 Service Pack (SP) 4, Windows XP SP2 o posterior, o Windows Server 2003 o posterior en cualquiera de los dominios que posee y administra Woodgrove. Además, el personal de TI examina periódicamente los activos de confianza, incluidos todos los equipos con Windows 2000 o posterior que utilizan Directiva de grupo para proporcionar una configuración de seguridad, para garantizar que continúan cumpliendo los requisitos mínimos. El departamento de TI examina también los activos de confianza para asegurarse de que la instalación y configuración del software de seguridad especializado (como el software antivirus) está controlado de manera centralizada según los requisitos de seguridad propios de Woodgrove. Para obtener mas información acerca de los equipos que se consideran de confianza en el marco de la solución, consulte la sección "Determinación de confianza" del capítulo 3, "Cómo determinar el estado actual de su infraestructura de TI" de esta guía.

Equipos no administrados

Un equipo no administrado es uno cuya configuración de seguridad no la controla centralmente el departamento de TI. Por otro lado, un equipo que no aporta las capacidades de administración de seguridad necesarias también se considera no administrado. Se considera que los equipos no administrados no son de confianza porque la organización no puede estar segura de que cumplan los requisitos de seguridad de los equipos de confianza a los que pretenden acceder.

Equipos no protegidos

Los equipos que no son de confianza también incluyen aquellos equipos que utilizan un sistema operativo que no tiene o no puede configurarse con el nivel de seguridad necesario. Los equipos no protegidos se inscriben en uno de los siguientes cuatro grupos:

Clasificación de seguridad del sistema operativo baja. Esta agrupación se aplica a los equipos que se ejecutan en un sistema operativo que carece de la clasificación necesaria de la infraestructura de seguridad. Windows 9x, Microsoft Windows NT® y Windows CE forman parte de estos sistemas operativos. Por regla general, las funciones necesarias para la infraestructura de seguridad se encuentran en los sistemas operativos más modernos, como Windows XP y Windows Server 2003. Estas funciones incluyen controles de acceso (por ejemplo, permisos de archivo), las funciones de seguridad de red del cifrado de paquetes y de la autenticación y autorización seguras, distintos niveles de privilegios (de usuario y administrativos), compatibilidad con la administración central de la configuración de seguridad, compatibilidad para garantizar la confidencialidad e integridad de los datos y compatibilidad con otras tecnologías de seguridad (como el protocolo de autenticación Kerberos y los servicios de certificación).

Configuración incorrecta. Hasta los sistemas operativos más seguros pueden estar configurados de manera que quedan expuestos a un ataque. Estos equipos deben considerarse como dispositivos no protegidos.

Falta de los niveles de actualización necesarios. Debido a que la seguridad de la TI es un área en constante evolución, la mayoría de los proveedores de software publican actualizaciones de software para garantizar que las vulnerabilidades más recientes se traten adecuadamente. Una organización puede determinar el nivel mínimo de actualización que debe tener un host para que se le considere de confianza. En ese caso, los equipos que carezcan de actualización se considerarán dispositivos no protegidos.

Equipos de confianza que pueden haber estado en peligro. Se puede dar el caso de que un equipo de confianza haya estado en peligro, normalmente por la acción de un atacante de confianza. Una vez que un equipo de confianza ha estado en peligro, ya no se considera de confianza hasta que no se haya llevado a cabo algún esfuerzo de solución en dicho equipo para devolverlo a un estado de confianza. Es importante comprender que si no se puede confiar en el uso de un equipo, tampoco se puede confiar en ese equipo.

Los dispositivos que se incluyen en uno de estos cuatro grupos se clasifican como no de confianza porque la organización no puede estar segura de que no han estado expuestos de algún modo a un peligro. Por ello, constituyen un riesgo significativo para los equipos de confianza a los que intentan acceder.

Objetivos que se alcanzan directamente al utilizar el aislamiento de servidor y dominio

En líneas generales, el objetivo del aislamiento de servidor y dominio es reducir la amenaza que supone el acceso no autorizado a un equipo de confianza por otro equipo que no es de confianza. Con las plataformas actuales, la capacidad de aislar un equipo remoto restringiendo el acceso entrante a la red se basa en la capacidad de autenticarlo correctamente como equipo miembro del dominio mediante el protocolo de negociación de seguridad del intercambio de claves de Internet (IKE) de IPsec. La autenticación del usuario sólo se emplea una vez lograda correctamente la autenticación del equipo, y las asociaciones de seguridad IPsec protegen todas las conexiones de protocolo de capa superior y de aplicación entre ambos equipos. Por lo tanto, el uso del aislamiento de servidor y dominio permite alcanzar los siguientes objetivos:

Aislar los equipos miembros del dominio de confianza de los dispositivos que no son de confianza en el nivel de red.

Asegurar que el acceso entrante a la red de un miembro de confianza del dominio en la red interna requiere el uso de otro miembro de confianza del dominio.

Permitir a los miembros de confianza del dominio que restrinjan el acceso entrante a la red a un grupo específico de equipos miembros del dominio.

Centrar los riesgos de ataque a la red en un número reducido de hosts, lo que proporciona un límite del dominio de confianza en el cual se pueden aplicar las estrategias de mitigación máxima de riesgos (como el registro, la supervisión y la detección de intrusiones) con mayor efectividad.

Dar prioridad y centrarse en la supervisión proactiva y los esfuerzos de cumplimiento antes de un ataque.

Acelerar y centrarse en los esfuerzos de solución y recuperación antes, durante y después de un ataque.

Mejorar la seguridad agregando autenticación mutua segura por paquete, integridad, antieco y cifrado sin necesidad de cambiar las aplicaciones ni los protocolos de capa superior (como el bloque de mensajes de servidor [SMB] o NetBT).

El aislamiento de servidor y dominio pretende proteger todos los servicios de red en el host de confianza del acceso a la red que no es de confianza y de los ataques. El aislamiento de servidor y dominio consigue que los hosts sean menos vulnerables a los puntos débiles y errores en los demás tipos de seguridad basada en red, así como a los puntos débiles en la protección de las credenciales de usuario. Por último, las soluciones de aislamiento de servidor y dominio resuelven amenazas similares pero proporcionan niveles distintos de control de acceso a la red y protección de tráfico que los otros tipos de tecnología de seguridad basada en red. Por ejemplo, una solución de aislamiento de servidor y dominio puede autorizar el acceso entrante para determinados equipos host de confianza sobre la base de la identidad del host y del dominio de usuario, garantizando así una protección integral para esa comunicación autorizada. No obstante, la mayoría de las tecnologías de seguridad basadas en red sólo admiten la identidad del usuario.

Riesgos que se abordan al utilizar el aislamiento de servidor y dominio

El riesgo principal que aborda el aislamiento de servidor y dominio es el que supone el acceso no autorizado a un equipo de confianza por parte de un equipo que no es de confianza. Únicamente con la solución por sí sola no se pueden reducir por completo ciertos riesgos de seguridad. Si no se abordan esos riesgos de seguridad con procesos y tecnología de protección adicionales, a la larga se invalidarían las ventajas de seguridad de la solución de aislamiento. Algunos ejemplos de graves riesgos de seguridad que no se reducen directamente con esta solución son:

El riesgo de que usuarios de confianza roben o revelen datos confidenciales. A pesar de que la solución de aislamiento puede controlar dónde se comunicarán los equipos en la red interna, los usuarios con derechos administrativos pueden modificar estos controles. Esta solución no puede eliminar el riesgo de que usuarios de confianza copien o divulguen inapropiadamente los datos confidenciales.

El riesgo de amenaza de las credenciales de usuarios de confianza. Aunque un administrador puede decidir que cifrará la mayor parte del tráfico con IPsec con el fin de proteger la información de inicio de sesión de la red, no se admite la protección con IPsec del tráfico de inicio de sesión de los usuarios hacia los controladores de dominio. El aislamiento de servidor y dominio puede obligar a un atacante a utilizar un host de confianza para atacar a otros hosts de confianza. Un atacante también puede atacar a los hosts de confianza utilizando las credenciales amenazadas procedentes de hosts exentos del uso de IPsec con hosts de confianza (por ejemplo, controladores de dominio y servidores DNS), así como hosts que aceptan conexiones entrantes procedentes de equipos que no son de confianza. Aunque un administrador puede controlar si los hosts de confianza tendrán comunicaciones salientes hacia hosts que no son de confianza, esta solución no puede reducir el riesgo que representan los usuarios de confianza que revelan sus credenciales a un atacante que les engaña y obtiene sus contraseñas.

Usuarios malintencionados. La legitimación de usuarios que abusan de su acceso también entra en esta categoría. Por ejemplo, esta solución no puede reducir el riesgo de que los empleados descontentos decidan robar información utilizando hosts de confianza a los que tienen acceso debido a su función laboral. El acceso físico a un equipo host de confianza puede habilitar a un atacante para que tenga acceso administrativo no autorizado al equipo. Debido a que los administradores pueden deshabilitar la protección de aislamiento de servidor y dominio, es decisivo limitar el alcance predeterminado del acceso y el número de administradores (incluidos los administradores de empresa, administradores de dominio y administradores locales en las estaciones de trabajo y los servidores miembros).

El riesgo de que equipos que no son de confianza accedan a otros equipos que no son de confianza. Esta solución no puede reducir el riesgo de que un atacante utilice equipos que no son de confianza para atacar a otros equipos que no son de confianza.

El riesgo de que equipos que no son de confianza ataquen a ciertos equipos de confianza. Las soluciones de aislamiento de servidor y dominio están concebidas para proteger a los hosts de confianza. No obstante, como cuestión práctica de implementación, esta solución identifica los miembros de confianza del dominio que, por diferentes motivos, no utilizan IPsec para negociar el acceso de confianza a otros hosts de confianza. Estos equipos de confianza, pero no habilitados para IPsec, son miembros de una lista de exenciones (por ejemplo, controladores de dominio). Por otro lado, la solución identifica ciertos hosts de confianza para que los equipos que no son de confianza puedan acceder a ellos con el fin de proporcionar servicios de límite para el dominio de aislamiento. Un atacante que logra controlar un host excluido o un host de límite puede atacar a continuación a todos los demás hosts de confianza dentro del dominio de aislamiento.

Asegurar el cumplimiento de seguridad de los hosts de confianza. Esta solución sugiere cómo se pueden definir los hosts de confianza y, en particular, requiere que sean miembros de un dominio de Windows 2000 o Windows Server 2003. La solución sólo depende de una autenticación IPsec IKE correcta basada en dominio (Kerberos) para establecer la confianza y, por tanto, de una conectividad protegida por IPsec. Con el tiempo, puede que los hosts de confianza no cumplan todos los criterios para ser hosts de confianza por varios motivos, aunque continúen siendo capaces de autenticarse correctamente como miembros del dominio. Los sistemas y procesos de administración de TI de la organización son los responsables de garantizar que los miembros del dominio cumplan la definición de los hosts de confianza.

Para abordar estos problemas, se han aplicado las configuraciones de consolidación y plantillas de seguridad recomendadas a todos los sistemas del entorno de laboratorio de Woodgrove. Para obtener más información acerca de las tecnologías de seguridad y procedimientos de administración de la plataforma Windows, consulte el sitio Web del centro de recursos de seguridad de TechNet en www.microsoft.com/technet/security/.

¿Cómo encaja el aislamiento de servidor y dominio en mi estrategia global de seguridad de red?

El aislamiento de servidor y dominio se utiliza de manera complementaria a otros mecanismos proactivos y reactivos de defensa de la red y los dispositivos conectados a ella, incluidos los equipos. Debido a que la seguridad es un problema de diversas facetas que necesita varias capas, resulta de ayuda revisar con detenimiento el concepto de defensa y las ideas de alto nivel que hay detrás. Una estrategia de seguridad de red completa aplica las tecnologías apropiadas para reducir los riesgos de mayor prioridad sin depender significativamente de cada uno de los puntos de error. Por ejemplo, si se produce un error en la seguridad perimetral debido a una mala configuración o a un empleado malintencionado, ¿qué otras capas defensivas detendrán los ataques e infecciones de la red en los hosts de confianza internos? ¿Qué detiene los ataques a todos los hosts de confianza en Europa o Asia cuando el atacante se conecta al puerto Ethernet desde la sala de conferencias de una oficina en los EE.UU.?

Defensa integral

La defensa integral suele describirse como un enfoque por capas para proteger un equipo, en lugar de depender de un único mecanismo para esa misma protección. Para estratificar correctamente las defensas, primero es necesario comprender cuáles son los orígenes de infección y los adversarios que están listos para atacar a la organización, así como tener idea de cuáles pueden ser sus objetivos. Un adversario podría ser, por ejemplo, un competidor que contrata a una organización de espionaje comercial para robar información acerca de un producto o servicio nuevo que se encuentra en desarrollo. Una vez que se tiene cierta noción de los atacantes y sus posibles objetivos, será necesario aplicar procedimientos de respuesta a incidencias para los equipos que pudieran estar amenazados. Estos métodos incluyen autenticación, autorización, confidencialidad y no rechazo. Una organización que sigue la práctica recomendada del sector de "proteger-detectar-reaccionar", se da cuenta de que los ataques se producirán y comprende que es primordial detectarlos rápidamente, así como reducir al mínimo las interrupciones del servicio o la pérdida de datos. Poner en práctica el lema "proteger-detectar-reaccionar" permite reconocer que, debido a la alta probabilidad de un ataque, se debe invertir un esfuerzo mayor en la protección de los datos y activos en lugar de hacerlo en evitar que ocurra un ataque. Dicho de otro modo, resulta más rentable defenderse contra los ataques que poner remedio una vez éstos se han producido.

Todos los mecanismos de seguridad de la información se centran en las personas, procesos y tecnologías. El aislamiento implica a las tres áreas: se consigue mediante una comprensión sólida de los riesgos, requisitos y activos que precisan protección, una comprensión que abarca a las personas y los elementos del proceso. Además, el aislamiento requiere conocer el estado actual de la red y sus dispositivos, los requisitos de comunicación que definen el modo en que los equipos deben interactuar unos con otros y los de seguridad, que pueden limitar a los primeros para lograr el equilibrio adecuado entre la seguridad y la comunicación.

Encontrará un análisis más detallado acerca de este tema en las notas del producto de la National Security Agency titulado "Defense in Depth" en http://www.nsa.gov/snac/support/defenseindepth.pdf.

Para obtener información y ejemplos prácticos de diseño de este proceso, consulte el capítulo Enterprise Design de la guía Windows Server System Reference Architecture de TechNet, en la dirección www.microsoft.com/technet/itsolutions/wssra/
raguide/Security_Architecture_1.mspx.

La siguiente figura muestra cómo se adapta una solución lógica de aislamiento al enfoque de defensa intensa que se utiliza en Windows Server System Reference Architecture:

Figura 2.1 Defensa intensa con aislamiento lógico

Figura 2.1 Defensa intensa con aislamiento lógico
Ver imagen a tamaño completo

Un aspecto importante de esta figura que debe comprenderse es que la capa de seguridad del aislamiento lógico tiene como objetivo proteger directamente el equipo host mediante el control de las comunicaciones de red. La función es muy parecida a la de un servidor de seguridad basado en host. No obstante, en lugar de ser el servidor de seguridad del host el que proporciona los servicios de permiso y bloqueo para los puertos, es IPsec quien los proporciona y negocia los servicios de confianza de acceso a la red. Después de haberse concedido el acceso, IPsec puede proteger todos los paquetes entre ambos equipos. Tal como se define en el contexto de esta solución, una solución de "aislamiento lógico" como el aislamiento de servidor y dominio:

No protege los dispositivos de red, como por ejemplo, los enrutadores.

No proporciona control de acceso físico a la red, como el de especificar qué equipo tendrá permiso para establecer una conexión de red privada virtual (VPN) de acceso remoto, o el de proporcionar protecciones suministradas por servidores de seguridad basados en red.

No protege los vínculos de red, como el 802.1x para el control de acceso y el cifrado WEP 802.11para vínculos inalámbricos. Pero IPsec sí que proporciona protección de extremo a extremo para todos los vínculos de red en la ruta entre las direcciones del protocolo de Internet (IP) de origen y de destino.

No proporciona seguridad a todos los hosts de la red, sólo a los que participan en la solución de aislamiento.

No protege las rutas del nivel de aplicación, como la ruta de extremo a extremo a través de la que fluye la mensajería de correo electrónico y .NET, así como las solicitudes del protocolo de transferencia de hipertexto (HTTP), que pueden fluir varias veces a través de servidor proxy entre el cliente y el destino del servidor Web.

Debe considerar la seguridad en cada capa como parte del análisis de reducción de los riesgos de seguridad de TI. Por ejemplo, si un determinado equipo no tiene permiso para acceder a un servidor en la capa de aislamiento lógico, no importa el usuario que inicie sesión en dicho equipo Se denegará el acceso al servidor a cualquier usuario, incluso a los administradores.

Comparación entre SSL/TLS e IPsec

IPsec no pretende ser la sustitución de la seguridad del nivel de aplicación, como SSL/TLS. Una de las ventajas de utilizar IPsec es que puede proporcionar seguridad de tráfico de red a las aplicaciones existentes sin necesidad de cambiarlas. El uso de IPsec en entornos en los que las aplicaciones utilizan SSL/TLS puede aportar las siguientes ventajas:

Ayudar a proteger todas las aplicaciones y el sistema operativo contra los ataques de red procedentes de equipos y otros dispositivos que no son de confianza.

Establecer un método de defensa intensa contra el potencial uso indebido o que no cumple las normas de SSL/TLS (por ejemplo, si los datos eHPI no están cifrados ni autenticados).

Ayudar a impedir que las credenciales de usuario se introduzcan en equipos que no son de confianza, porque no se pide a los usuarios que inicien sesión en un sitio Web SSL/TLS interno hasta que IPsec no haya establecido la confianza mutua entre cliente y servidor.

Proporcionar seguridad cuando no se puede utilizar la configuración del registro de Windows para seleccionar los algoritmos SSL/TLS que cumplan la normativa. Windows 2000, Windows XP y Windows Server 2003 proporcionan controles de la clave de registro para los algoritmos SSL/TLS. Ello se describe en el artículo 245030 de Microsoft Knowledge Base titulado "How to Restrict the Use of Certain Cryptographic Algorithms and Protocols in Schannel.dll", que encontrará en http://support.microsoft.com/?kbid=245030.

Proporcionar seguridad cuando no se dispone de certificados.

IPsec protege el tráfico entre las direcciones IP de origen y de destino. SSL/TLS puede proteger el tráfico en toda la ruta de la aplicación (por ejemplo, de un explorador Web, pasando por un proxy Web, a un servidor Web).

El instituto NIST (National Institute for Standards and Technology) está desarrollando instrucciones acerca del uso de TLS. La publicación especial 800-52, "Guidelines on the Selection and Use of Transport Layer Security," es una directriz para implementar TLS en el gobierno federal (EE.UU.). Para obtener más información acerca de estas orientaciones, consulte el sitio Web de la División de Seguridad Informática (Computer Security Division) del NIST en la dirección http://csrc.nist.gov/publications/index.html. No existen directrices similares para el uso de IPsec. No obstante, la NSA (National Security Agency) de Estados Unidos ha publicado guías para el uso de IPsec en Windows 2000. Estas guías están disponibles en el sitio Web de la NSA en http://nsa2.www.conxion.com/win2k/download.htm. Las organizaciones que precisen cumplir las directrices de la NSA deben evaluar el diseño de esta solución además de considerar las guías de la NSA.

IPsec con autenticación de certificados proporciona una protección similar a la de SSL/TLS, aunque hay alguna diferencia. Windows IPsec admite un pequeño subconjunto de los algoritmos de cifrado admitidos por TLS y recomendados por la publicación 800-52 del NIST (por ejemplo, 3DES, SHA-1 y Diffie-Hellman efímero de 1024 bits). La solución que se presenta en esta guía utiliza firmas de protocolo Kerberos para la autenticación IKE entre miembros del dominio, en lugar de firmas basadas en certificados. La negociación IKE de Windows IPsec establece la confianza mutua entre equipos mediante el protocolo Kerberos y la autenticación basada den certificados. Debido a que IKE no está integrado con las aplicaciones, no puede comprobar que el nombre del equipo de destino es con el que espera conectar la aplicación, por lo que permite un ataque sofisticado de intermediario (man-in-the-middle) procedente de otro host de confianza. Pero debido a que la aplicación se integra con SSL/TLS, el nombre de destino no sólo es autenticado (como de confianza), sino que el nombre también puede comprobarse comparándolo con el que se esperaba.

Actualización de terminología

Antes de continuar con este capítulo, es conveniente repasar una serie de términos que se utilizan con frecuencia en el contexto de esta solución. Si éstos ya le resultan familiares, puede omitir la lectura de esta sección. No obstante, si no comprende correctamente estos términos, puede que algunas explicaciones de esta guía le parezcan confusas.

Términos de aislamiento

Los siguientes términos son propios del concepto de aislamiento lógico. Asegúrese de que los comprende antes de continuar con este capítulo:

Aislamiento. Separación lógica de uno o varios equipos de los demás equipos.

Aislamiento de dominio. Término que define el tipo de aislamiento que separa los equipos de confianza de los equipos que no son de confianza. Los equipos sólo necesitan presentar credenciales válidas y autenticarse correctamente con IKE para poder aislarlos. El dominio es cualquier dominio en la ruta de confianza que es accesible mediante la confianza bidireccional entre los dos hosts que intentan proteger sus comunicaciones.

Aislamiento de servidor. Término que define el modo en que los servidores pueden restringir el acceso entrante mediante IPsec y el derecho "Tener acceso a este equipo desde la red" a un grupo específico de equipos de confianza.

Aislamiento lógico. Término amplio de tecnologías de aislamiento que puede incluir el aislamiento de dominio, aislamiento de servidor y protección del acceso de red (NAP) para aislar los equipos en la capa de red.

Grupo de aislamiento. Agrupación lógica de equipos host de confianza que comparten la misma directiva de seguridad de comunicaciones, básicamente, los mismos requisitos de tráfico de red entrante y saliente. Se puede implementar los controles de acceso entrante y saliente de un grupo de aislamiento mediante la directiva IPsec por sí sola, utilizando acciones de permiso y bloqueo, o mediante la seguridad de negociación combinada con los derechos de inicio de sesión de red de Directiva de grupo (y potencialmente con otras opciones de configuración o conexión). Cada aplicación, servicio de red y protocolo debe disponer de una determinada configuración para cumplir los requisitos de tráfico de sus respectivas capas. Por ejemplo, un grupo de servidores de Exchange necesita que uno de los equipos cliente o servidor sea un miembro de confianza del dominio para poder llevar a cabo una conexión TCP/IP saliente. Este grupo, que no tiene permiso para realizar conexiones TCP/IP salientes con miembros que no sean del dominio (con ciertas excepciones) se denominaría grupo de aislamiento de servidor de Exchange.

Dominio de aislamiento. Grupo de aislamiento en el que la pertenencia al grupo es la misma que la pertenencia al dominio de Windows. Si el dominio tiene dominios de confianza bidireccionales, los miembros de dichos dominios formarán parte del dominio de aislamiento. Como grupo de aislamiento, los requisitos de entrada y salida son sencillos: las conexiones entrantes sólo pueden proceder de otros miembros de dominio del host de confianza. Un servidor situado en un grupo de aislamiento de servidor puede tener clientes que formen parte del dominio de aislamiento.

Grupo de acceso de red. Término que se refiere al grupo de seguridad del dominio de Windows utilizado para controlar el acceso de red a un equipo mediante la configuración de seguridad de Directiva de grupo para los derechos de inicio de sesión de red. Se crean especialmente para imponer los requisitos de acceso entrante para los grupos de aislamiento. Para cada grupo de aislamiento puede haber un grupo que permite el acceso de red (ANAG) y un grupo que deniega el acceso de red (DNAG).

Confianza. Término utilizado para definir el hecho de que un equipo está dispuesto a aceptar la identidad validada mediante el proceso de autenticación. La confianza de dominio implica que todos los miembros de dominio confían en el controlador de dominio para que establezca la identidad y proporcione adecuadamente la información de pertenencia al grupo para esa identidad. La confianza es necesaria para comunicar con un equipo remoto mediante IPsec. La confianza también significa que un usuario o equipo se considera un riesgo aceptable y presumiblemente bajo con el cual comunicar.

Host digno de confianza. Término que se utiliza para identificar a un equipo capaz de configurarse para cumplir los requisitos mínimos de seguridad de la organización pero que actualmente puede o no ser un host de confianza. Conocer los equipos dignos de confianza es importante al planificar la pertenencia a cualquier grupo de aislamiento de confianza.

Host de confianza. Término que se refiere a un equipo de la plataforma con Windows 2000, Windows XP o Windows Server 2003 que es por lo menos miembro de un dominio de seguridad de Windows 2000 y es capaz de imponer una directiva IPsec. Normalmente, los hosts de confianza se definen para cumplir determinados requisitos de administración y seguridad adicionales. La configuración del host está controlada de modo que los riesgos de seguridad del host se consideran bajos y administrados. Es más improbable que los hosts de confianza sean el origen de una infección o acción malintencionada. Consulte el capítulo 3, "Cómo determinar el estado actual de su infraestructura de TI", de esta guía en el que encontrará un análisis más detallado de este tema.

Host que no es de confianza. Un equipo host que no es un host de confianza. El equipo tiene una configuración desconocida o no administrada. Hay poca o ninguna seguridad de que el host (o el usuario del host) no sea el origen de una infección o acción malintencionada si se conecta a la red.

Host de límite. Host de confianza expuesto al tráfico de red tanto de hosts de confianza como de hosts que no son de confianza, por lo que debe supervisarse más de cerca y disponer de unas defensas más seguras contra los ataques que los demás hosts de confianza. Debe haber el menor número de hosts de límite posibles porque representan un riesgo más alto para el resto de los hosts de confianza.

Exención. Equipo, incorporado o no al dominio, que no utiliza IPsec. Hay dos tipos de exención. Hay equipos que utilizan una dirección IP estática, cuyas direcciones se incluyen en la "lista de exenciones" de la directiva IPsec, de modo que los hosts de confianza no utilizan IPsec con estos equipos. Y también hay equipos que están exentos de utilizar la directiva IPsec para negociar las conexiones protegidas. Estos últimos pueden o no constar en la lista de exenciones. Una exención puede cumplir los requisitos de un host de confianza pero no utiliza la comunicación protegida mediante IPsec con otros hosts de confianza en el dominio de aislamiento.

Términos de seguridad

Asegúrese de que comprende perfectamente los siguientes términos relacionados con la seguridad:

Autorización. Proceso de conceder a una persona, equipo, proceso o dispositivo acceso a determinada información, servicios o funcionalidad. La autorización depende de la identidad de la persona, equipo, proceso o dispositivo que solicita el acceso, que se comprueba mediante autenticación.

Autenticación. Proceso de validar las credenciales de una persona, proceso de equipo o dispositivo. En la autenticación se requiere que la persona, el proceso o el dispositivo que efectúa la solicitud proporcione una representación de credenciales que demuestre que es quien dice ser. Formas comunes de credenciales son claves privadas para certificados digitales, una clave secreta configurada administrativamente en dos dispositivos (clave previamente compartida), una contraseña secreta para el inicio de sesión de dominio para usuarios o equipos o un objeto biológico, como las huellas digitales o el análisis de retina de una persona.

Imitación. En esta guía, imitación se refiere al acto de suplantar una dirección IP legítima por parte de un atacante en un intento de interrumpir la comunicación o interceptar los datos.

No rechazo. Técnica empleada para garantizar que quien realiza una acción en un equipo no pueda negar falsamente que ha realizado dicha acción. El no rechazo proporciona una prueba innegable suficiente de que un usuario o dispositivo ha realizado una acción específica, como transferir dinero, autorizar una compra o enviar un mensaje.

Texto cifrado. Datos que se han cifrado. El texto cifrado es el resultado del proceso de cifrado y puede volver a transformarse en un texto simple sin formato legible utilizando para ello la clave de descifrado adecuada.

Texto sin formato (a veces se denomina texto no cifrado). Las comunicaciones y datos en forma no cifrada.

Valor hash. Resultado de tamaño fijo que se obtiene al aplicar una función matemática unidireccional (a veces se denomina algoritmo hash) a una cantidad arbitraria de datos de entrada. Si se produce un cambio en los datos de entrada, cambia el algoritmo. Las funciones hash se eligen de modo que haya una probabilidad sumamente baja de que dos entradas tengan el mismo valor hash como resultado. El valor hash se puede utilizar en muchas operaciones, incluidas la autenticación y la firma digital. También se denomina compendio de mensajes.

Términos de red

Los siguientes términos se refieren a los elementos de red de esta solución:

Iniciador. Equipo que inicia una comunicación de red con otro equipo.

Contestador. Equipo que responde a una solicitud para comunicarse a través de la red.

Ruta de comunicaciones. La ruta de conexión que se establece para el tráfico de red que pasa entre el iniciador y el contestador.

Términos de Directiva de grupo

Los siguientes términos están relacionados con Directiva de grupo de Windows:

GPO. La configuración de Directiva de grupo que se crea se incluye en un objeto de directiva de grupo (GPO). Al asociar un GPO con contenedores de sistema de Active Directory seleccionados — sitios, dominios y unidades organizativas (UO), puede aplicar la configuración de directiva del GPO a los usuarios y equipos en esos contenedores de Active Directory. Utilice el Editor de objetos de directiva de grupo para crear un GPO y la Consola de administración de directivas de grupo para administrar los GPO en toda la organización.

Directiva de dominio. Directiva almacenada centralmente en Active Directory.

Directiva local. Directiva almacenada en un solo equipo.

Términos básicos de IPsec

Asegúrese de que comprende perfectamente los siguientes términos de IPsec:

Directiva IPsec. Grupo de reglas de seguridad para procesar el tráfico de red en la capa IP. Las reglas de seguridad contienen filtros de paquete que se asocian a acciones de permiso, bloqueo o negociación. Cuando se precisa negociación, la directiva IPsec contiene métodos de autenticación y seguridad para negociar con el equipo principal.

Directiva IPsec persistente. Tipo de directiva IPsec introducida en Windows XP y Windows Server 2003 que permite aplicar de manera persistente la configuración de la directiva IPsec. La directiva persistente se aplica en primer lugar durante el inicio del servicio IPsec, de modo que anula la configuración en la directiva IPsec local o de dominio.

Negociación IKE. Proceso que se produce al iniciar una conexión de red para determinar si un equipo que utiliza IPsec permitirá que la conexión tenga lugar.

Asociaciones de seguridad (SA). Acuerdos que establecen dos hosts acerca de cómo comunicarse mediante IPsec y los distintos parámetros que definen esta negociación.

SA en modo principal. Estas SA son las primeras que se establecen durante la negociación IKE entre los equipos iniciadores y los contestadores.

SA en modo rápido. Estas SA se negocian después de que se haya establecido la SA en modo principal para cada sesión de comunicación entre los hosts.

Retroceso para borrar. Opción que permite a un iniciador IKE permitir un tráfico TCP/IP normal (no IKE ni IPsec) si no hay respuesta IKE del contestador. Se trata de la opción Aceptar comunicación no segura con equipos ajenos a IPsec en la página de propiedades de acción de filtrado de la herramienta Administración de directivas IPsec.

Paso de sucesos entrante. Opción que permite a un equipo habilitado para IPsec aceptar un paquete entrante TCP/IP normal (no IKE ni IPsec) procedente de un equipo remoto. La respuesta normal del protocolo de capa superior será un paquete saliente que, a continuación, desencadena una iniciación IKE de vuelta hacia el equipo remoto. Se trata de la opción Aceptar comunicación no segura pero responder siempre usando IPSec en la página de propiedades de acción de filtrado de la herramienta Administración de directivas IPsec.

Nota. Si en un contestador ha habilitado Paso de sucesos entrante pero no Retroceso para borrar, el contestador no se comunicará correctamente con un iniciador ajeno a IPsec.

Es importante comprender algunos términos adicionales que se refieren específicamente a elementos de IPsec. El apéndice A, "Descripción general de los conceptos de la directiva IPsec", de esta guía proporciona una descripción general de estos términos de IPsec y explica el proceso global de IPsec que utilizarán los equipos de los grupos de aislamiento creados en esta solución.

¿Cómo lograr el aislamiento de servidor y dominio?

El concepto de aislar los equipos frente al riesgo no es nuevo. Técnicas como el uso de servidores de seguridad para proporcionar segmentación, la aplicación de control de acceso y filtrado a los enrutadores y la segmentación física del tráfico de red proporcionan todas ellas un nivel de aislamiento.

La solución que se presenta en esta guía se ha concebido para trabajar con los dispositivos y técnicas existentes en su infraestructura de red. El punto clave es que el aislamiento se implementa realizando cambios en el software de host existente en las plataformas Windows 2000 y posteriores. Las tecnologías y procedimientos, como la segmentación de red, VLAN, controles perimetrales de acceso de red, cuarentena de red y detección de intrusiones basada en red se logran implementando o cambiando la configuración de los dispositivos de red. El aislamiento de servidor y dominio complementa todas estas técnicas existentes y proporciona un nivel de protección nuevo para los miembros del dominio Windows administrados. Los administradores de TI de Windows pueden implementar el aislamiento de servidor y dominio con pocos o ningún cambio en las rutas de red y métodos de conexión existentes, con pocos o ningún cambio de las aplicaciones y con una infraestructura de dominios Windows 2000 o Windows Server 2003 existente.

Componentes del aislamiento de servidor y dominio

La solución de aislamiento de servidor y dominio consta de una serie de componentes importantes que colectivamente habilitan la solución. En las siguientes subsecciones se describen estos componentes.

Hosts de confianza

Los hosts de confianza son equipos que puede administrar la organización de TI para cumplir los requisitos mínimos de seguridad. Muy a menudo, este estado de confianza sólo se puede alcanzar si el equipo ejecuta un sistema operativo seguro y administrado, software antivirus y actualizaciones actuales de las aplicaciones y el sistema operativo. Una vez se ha determinado que el equipo es de confianza, el siguiente componente de la solución es para confirmar el estado del equipo mediante la autenticación. Para obtener más información acerca de la determinación del estado, consulte el capítulo 3, "Cómo determinar el estado actual de su infraestructura de TI".

Nota: por sí mismo, IPsec no puede hacer determinación alguna del cumplimiento de un equipo respecto a determinados criterios del host. Se precisará tecnología de supervisión para determinar la configuración de línea base del equipo y notificar cualquier cambio en esa configuración.

Autenticación de host

El mecanismo de autenticación de host determina si el equipo que intenta iniciar una sesión tiene una credencial de autenticación válida, como el vale Kerberos, un certificado o quizá una clave previamente compartida. Existen actualmente dos tecnologías que pueden proporcionar este tipo de mecanismo de autenticación en equipos basados en Windows. En las siguientes secciones se explican ambas tecnologías.

El protocolo 802.1X

802.1X es un protocolo basado en normas para autenticar usuarios y dispositivos, de modo que se les conceda autorización para obtener conectividad a través de un puerto de capa de vínculo, como el vínculo inalámbrico 802.11 o un puerto Ethernet 802.3. Ello permite controlar la experiencia del usuario (para fines como el de la facturación), la autorización y otras funciones adicionales. Este protocolo requiere uno o varios servidores dedicados (por ejemplo, el servicio de usuario de acceso telefónico de autenticación remota [RADIUS]) y una infraestructura de red que admita el protocolo. 802.1X se ha diseñado para proporcionar controles del acceso a la red y claves de cifrado para el cifrado de privacidad equivalente por cable (WEP) 802.11 del tráfico inalámbrico entre el cliente y el punto de acceso inalámbrico. Una vez se ha concedido al dispositivo acceso a la red, éste tiene normalmente una conectividad abierta hacia el resto de la red interna. Después de que se hayan descifrado los datos en el punto de acceso inalámbrico, se envían como TCP/IP de texto sin formato normal a su destino final, quizá protegidos mediante varios mecanismos de la capa de aplicaciones.

La seguridad de Woodgrove requiere que se protejan todos los hosts de confianza frente a los equipos que no son de confianza de la red interna. Aunque el protocolo 802.1X puede imponer que sólo se conceda acceso a los equipos de confianza a través de los vínculos inalámbricos y de algunos vínculos por cable, los conmutadores utilizados para la mayoría de los puertos Ethernet 802.3 no son capaces de llevar a cabo la autenticación 802.1X. Se precisaría una adquisición de hardware y un coste de instalación muy importantes para actualizar cada puerto de acceso físico a la LAN y cada uno de los edificios en todo el mundo. Por ello, Woodgrove decidió utilizar el protocolo 802.1X para la seguridad inalámbrica, pero no para los puertos Ethernet cableados.

Otro requisito de seguridad de Woodgrove era el de cifrar íntegramente el tráfico entre los clientes de confianza y los servidores de cifrado. 802.1X no está concebido para proporcionar cifrado en conexiones cableadas, sólo en inalámbricas. Aunque las conexiones inalámbricas estén cifradas, los datos no están protegidos una vez que los paquetes se han reenviado a la LAN interna, después del descifrado en el punto de acceso inalámbrico. Por lo tanto, el protocolo 802.1X no es capaz de cumplir el requisito de cifrado de extremo a extremo.

A pesar de que el protocolo 802.1X no cumple todos los requisitos de seguridad de Woodgrove, se continúa utilizando para la seguridad inalámbrica. Microsoft recomienda el 802.1X para proteger las redes inalámbricas y proporcionar control de acceso para las redes cableadas donde sea posible. Para obtener más información acerca del uso del protocolo 802.1X, consulte la página dedicada a Wi-Fi del sitio Web de Microsoft Web en http://www.microsoft.com/wifi.

IPsec

IPsec es el protocolo de seguridad estándar del grupo IETF para el protocolo de Internet. Aporta un mecanismo de seguridad general de capa IP basado en directivas que resulta ideal para proporcionar una autenticación host por host. Las directivas IPsec están concebidas para disponer de reglas de seguridad y configuraciones que controlan el flujo de tráfico IP entrante y saliente de un host. Las directivas se pueden administrar de forma centralizada en Active Directory utilizando objetos de directiva de grupo para asignar las directivas a los miembros del dominio. IPsec proporciona la capacidad de establecer comunicaciones seguras entre hosts. IPsec utiliza el protocolo de negociación de intercambio de claves de Internet (IKE) a fin de negociar las opciones entre dos hosts para comunicarse de forma segura mediante IPsec. Los acuerdos que establecen dos hosts acerca de cómo comunicarse mediante IPsec y los distintos parámetros que definen esta negociación se denominan asociaciones de seguridad o SA. La negociación IKE establece una SA en modo principal (también denominada asociación de seguridad ISAKMP) y un par de SA en modo rápido (denominadas asociaciones de seguridad IPsec), una para el tráfico entrante y otra para el saliente. IKE necesita una autenticación mutua para establecer la SA en modo principal. La negociación IKE de Windows puede utilizar uno de los tres siguientes métodos:

El protocolo de autenticación Kerberos, versión 5

El certificado digital X.509 con el par de claves públicas y privadas Rivest, Shamir y Adleman (RSA) correspondientes

Una clave previamente compartida (no exactamente una contraseña, sino una clave segura)

El motivo más habitual para no implementar IPsec es la idea errónea de que requiere unos certificados de infraestructura de claves públicas (PKI) que, a menudo, son difíciles de implementar. Para evitar la necesidad de un PKI, Microsoft ha integrado la autenticación de dominio (Kerberos) de Windows 2000 en el protocolo de negociación IKE.

La negociación IKE de Windows se puede configurar de modo que permita la comunicación con un equipo que no responde a la solicitud de negociación IKE. Esta capacidad se denomina Retroceso para borrar y constituye una necesidad práctica durante la ejecución de IPsec. Resulta útil en el funcionamiento normal para permitir a los hosts de confianza que se comuniquen con los equipos y dispositivos que no son de confianza únicamente cuando es el host quien inicia la solicitud de conexión. IPsec utiliza el término asociación de seguridad por software para describir una comunicación que no se puede proteger mediante IPsec, ni con el formato Encabezado de autenticación (AH) ni con el de Carga de seguridad de encapsulación (ESP). IPsec registra esta comunicación con una auditoría de aciertos del registro de seguridad que contiene la dirección IP de destino y supervisa la actividad del flujo de tráfico. Cuando cesa el flujo de tráfico después de un tiempo de inactividad (5 minutos de forma predeterminada), se necesita un nuevo intento para negociar la seguridad al realizar conexiones salientes nuevas.

IPsec no admite el filtrado con estado para el tráfico saliente, ya sea para el tráfico dentro de una asociación de seguridad AH o ESP o para el tráfico de texto sin formato relacionado con una SA por software. Por lo tanto, cuando se utilizan los diseños de directivas IPsec presentados aquí para el aislamiento de servidor y dominio, el host de confianza es capaz de recibir conexiones entrantes procedentes del equipo que no es de confianza hacia cualquier puerto abierto a través de la SA por software. Esto representa una ventana potencial de vulnerabilidad frente a los ataques. Pero también se trata de un diseño que admite ciertos protocolos que negocian puertos abiertos para recibir conexiones entrantes. Además de la protección IPsec, se puede agregar el filtrado con estado para conexiones salientes utilizando un producto de servidor de seguridad basado en host, como Windows Firewall. El tráfico de red protegido mediante el encabezado de autenticación (AH) IPsec o la carga de seguridad de encapsulación (ESP) sin cifrado no se considera como texto sin formato porque dispone de autenticación y protección contra la imitación y modificación.

Puesto que IPsec encapsula los paquetes IP normales en un formato seguro, al recorrer la red esos paquetes ya no aparecen como paquetes de protocolo de control de transmisión (TCP) y de protocolo de datagrama de usuario (UDP). El intento de implantar IPsec en Woodgrove Bank identificó que la mayoría de las herramientas de administración de redes suponen que las aplicaciones se pueden reconocer fácilmente por sus números de puerto TCP o UDP (por ejemplo, el puerto 25 para el tráfico de correo electrónico y el puerto 80 para el tráfico Web). Al utilizar IPsec, el tráfico se vuelve opaco y ni los enrutadores ni el sistema de detección de intrusiones de red pueden distinguir qué aplicación se utiliza ni tampoco inspeccionar los datos del paquete. Este factor genera un problema de administración de la red porque reduce el valor de las herramientas que se utilizan actualmente para supervisar el tráfico, para el filtrado de seguridad, para la cola ponderada y para la clasificación de calidad de servicio.

Lamentablemente, la suposición acerca de la visibilidad del tráfico no es del todo exacta y rápidamente se está quedando obsoleta, incluso en ausencia de IPsec. La relación entre los números de puerto y las aplicaciones se debilita progresivamente. Se puede, por ejemplo, ejecutar un servidor Web en un número de puerto arbitrario y documentar el número de puerto en la URL del sitio. También se puede pasar por alto los esfuerzos de filtrado del correo electrónico de algunos proveedores de servicios de Internet (ISP) ejecutando un servicio de correo en un número de puerto alternativo. Muchas aplicaciones de igual a igual (P2P) tienen capacidad de cambiar de puerto; es decir, utilizan números de puerto seleccionados aleatoriamente en un intento de evitar la detección. Las aplicaciones basadas en servicios de llamada a procedimiento remoto (RPC) también tienen capacidad de cambiar de puerto porque los servicios RPC seleccionan puertos aleatoriamente en el intervalo efímero (por encima de 1024) para varios servicios.

El uso creciente de los servicios Web probablemente aumentará los problemas de identificación de tráfico, ya que el tráfico para estos servicios se ejecuta en HTTP o HTTPS, utilizando el puerto 80 o el puerto 443. Los clientes y servidores utilizan entonces la dirección URL HTTP para identificar el tráfico. Todas las aplicaciones que se deriven a una arquitectura de servicio Web se mostrarán en los enrutadores como una única secuencia de datos indiferenciada, debido a que el tráfico para estos servicios Web se ejecutará en un único puerto o en unos pocos puertos en vez de que cada aplicación o servicio se ejecute en su propio número de puerto discreto. El uso de SSL y TLS para las conexiones HTTPS y el cifrado RPC reduce el valor de la inspección basada en red como defensa frente a los ataques. Debido a que las aplicaciones de administración de redes continuaban pudiendo analizar las direcciones de los paquetes y tenían visibilidad sobre todo el resto del tráfico no protegido por IPsec, Woodgrove decidió que la pérdida de algunas funciones de administración de redes no era suficientemente significativa como para afectar a los planes del proyecto. Además, algunos proveedores de herramientas de administración de redes estuvieron de acuerdo en modificar sus herramientas para poder inspeccionar el interior de los formularios no cifrados de los paquetes IPsec.

La mayoría de las aplicaciones basadas en host no necesitan modificarse para que funcionen correctamente con IPsec y protejan todo el tráfico entre las direcciones IP. Esta solución no intenta utilizar IPsec únicamente para aplicaciones o protocolos específicos debido al riesgo de sufrir ataques a la red en otros servicios de red. Si las aplicaciones no funcionan correctamente con IPsec, el administrador puede optar por permitir ese tráfico en el exterior de la protección IPsec basándose en las direcciones IP utilizadas para los servidores. No se recomienda permitir aplicaciones en un puerto bien conocido debido a que, al hacerlo, se abre un agujero de entrada estático que permitiría a los atacantes realizar conexiones entrantes hacia cualquier puerto abierto, algo que iría totalmente en contra de lo que se pretende lograr con el aislamiento. Fuera de la protección IPsec, no se pueden permitir aplicaciones que utilicen puertos asignados dinámicamente. Las aplicaciones que utilizan el direccionamiento IP de difusión y multidifusión pueden encontrar problemas de funcionamiento con el diseño IPsec para el aislamiento de servidor y dominio. Windows IPsec admite la capacidad de permitir todo el tráfico de difusión y multidifusión, pero no sólo ciertos tipos. Si aparecen problemas de compatibilidad con aplicaciones, consulte al proveedor para determinar si y cuándo se dispondrá de una revisión o actualización que resuelva el problema. Si la aplicación no se puede actualizar o sustituir por otra compatible, los equipos que deban utilizar dicha aplicación no podrán participar en el dominio o grupo de aislamiento.

Además de sus capacidades de autenticación, IPsec puede proporcionar dos servicios útiles adicionales para la comunicación del host: la garantía de integridad de las direcciones y el cifrado del tráfico de la red.

Garantía de integridad de direcciones. IPsec puede utilizar encabezados de autenticación (AH) para proporcionar integridad de datos y direcciones para cada paquete. El AH de Windows utiliza un mecanismo de hash con clave en el controlador Windows IPsec. El uso de encabezados de autenticación impide que se produzcan ataques de reproducción y proporciona una integridad segura al confirmar que cada paquete recibido no se ha modificado desde que se envió hasta que se recibió correctamente. El AH no funcionará correctamente al pasar a través de un dispositivo que lleva a cabo la traducción de direcciones de red (NAT), ya que NAT reemplaza la dirección de origen en el encabezado IP, con lo que se infringe la seguridad proporcionada por IPsec AH.

Cifrado de tráfico de red. IPsec garantiza la integridad de los datos y la confidencialidad mediante el cifrado y utiliza para ello la opción Carga de seguridad de encapsulación (ESP) para el protocolo IP. Aunque ESP no proporciona integridad de direcciones (a no ser que se utilice con AH), se puede llevar a cabo para recorrer correctamente un dispositivo NAT mediante la encapsulación UDP. Si las redes internas están segmentadas con dispositivos que utilizan NAT, ESP es la elección lógica, ya que esta opción no impone el cifrado de los paquetes. Windows IPsec admite RFC 2410, que define el uso de ESP con cifrado nulo (ESP/null). ESP/null permite autenticidad, integridad y antieco de los datos sin requerir el cifrado. El Monitor de red de Windows Server 2003 es capaz de analizar ESP no cifrado para exponer los protocolos de capa superior normales de TCP/IP. Si se utiliza el cifrado ESP, la supervisión de paquetes sólo será posible cuando el equipo utilice una tarjeta de red de aceleración de hardware IPsec capaz de descifrar primero los paquetes entrantes.

Nota: ESP con cifrado o que utiliza el cifrado nulo aporta unas relaciones IPsec de igual a igual seguras con autenticación, igual que el AH. También aporta protección contra reproducción y recorrerá correctamente un dispositivo NAT. Por estos motivos, Woodgrove decidió no implementar AH y en su lugar sólo utiliza ESP/nulo y ESP con cifrado en su red corporativa.

IPsec puede funcionar en dos modos: el modo de túnel o el modo de transporte:

Modo de transporte IPsec. El modo de transporte IPsec es la manera recomendada para proteger el tráfico entre hosts de extremo a extremo. El controlador IPsec simplemente inserta un encabezado IPsec después del encabezado IP original. El encabezado IP se conserva y el resto del paquete se protege mediante un proceso de cifrado AH o ESP. Los filtros IPsec controlan el tráfico que IPsec bloquea, permite o encapsula. Los filtros IPsec especifican la dirección IP (o subredes) de origen y de destino, el protocolo (como ICMP o TCP) y el puerto de origen y de destino. Por lo tanto, los filtros se pueden aplicar muy específicamente a un equipo o a todas las posibles direcciones y protocolos de destino. El modo de transporte se diseñó para adaptar las direcciones IP dinámicas mediante la actualización automática de filtros configurados con "Mi dirección IP". Tiene menos gastos indirectos y es en general mucho más fácil de utilizar que el modo de túnel IPsec. Por tanto, el modo de transporte de negociación IKE es una manera eficaz de autorizar las conexiones entrantes protegidas por IPsec. Los problemas relacionados con el modo de transporte IPsec incluyen:

Una demora inicial. Se requiere una demora inicial de 1 a 2 segundos para que IKE se inicie y concluya toda la negociación correctamente. Durante la comunicación continua, IKE intenta actualizar automáticamente las claves de cifrado que protegen el tráfico.

Orden de prioridad predefinido para los filtros. Los filtros de directiva IPsec pueden coincidir por lo que tienen un orden predefinido, primero el más específico. Ello requiere que ambas partes de la comunicación dispongan de un conjunto compatible de filtros de modo de transporte IPsec para la negociación IKE. Por ejemplo, esta solución utiliza un filtro más genérico para "todo el tráfico" que negocia la seguridad IPsec combinado con un filtro más específico que permite sólo el tráfico ICMP en lugar de proteger ese tráfico con IPsec.

Gasto de procesamiento. El cifrado del modo de transporte IPsec ESP puede resultar caro en cuanto a procesamiento. El uso de la CPU puede ascender al 80-100 por ciento mientras se copia el archivo cifrado. Windows 2000, Windows XP y Windows Server 2003 disponen de interfaces para tarjetas de red para poder acelerar por hardware las operaciones de cifrado de IPsec.

Modo de túnel IPsec. El modo de túnel IPsec se utiliza típicamente para túneles VPN de puerta de enlace a puerta de enlace entre direcciones IP estáticas o puertas de enlace VPN. Así, el modo de túnel crea un encabezado IP nuevo con un encabezado IPsec. El paquete original con el encabezado IP original se encapsula totalmente para formar un paquete de túnel. En escenarios de aislamiento de servidor y dominio, el modo de túnel podría utilizarse para proteger el tráfico procedente de un servidor de IP estática hacia un enrutador compatible con IPsec. Esto puede ser necesario si el host de destino no admite IPsec. Woodgrove no tenía ningún escenario en el que se precisara el modo de túnel.

Para obtener más información acerca de los detalles técnicos del modo de transporte y del modo de túnel en IPsec, consulte la sección "Determining Your IPSec Needs" del capítulo "Deploying IPsec" en el apartado dedicado a la implementación de servicios de red de Windows Server 2003 Deployment Kit, en la dirección www.microsoft.com/resources/documentation/
WindowsServ/2003/all/deployguide/
en-us/dnsbj_ips_wclw.asp.

Autorización de host

Después de que un host ha determinado que la comunicación que recibe procede de un origen comprobado, dicho host necesita determinar si puede permitir el acceso al equipo y usuario de origen. Este paso es importante porque el hecho de que un dispositivo pueda autenticarse no garantiza que también tenga permiso para acceder a un determinado host.

El método recomendado por Microsoft es utilizar los grupos de Windows estándar para limitar en el diseño la capacidad de los usuarios y equipos de acceder a los recursos de otros equipos. Este método crea una capa nueva de autorizaciones para las cuentas de equipo y de usuario en el nivel de red y de aplicación, utilizando permisos en las asignaciones de derechos de usuario de la directiva local del host al que se accede. Utilizando ambas asignaciones de derechos de usuario tanto "Tener acceso a este equipo desde la red" (ALLOW) como "Denegar el acceso desde la red a este equipo" (DENY), se puede restringir la capacidad de un equipo y de un usuario para acceder a un recurso, aunque compartan unos parámetros comunes de directiva IPsec y el usuario que ha iniciado sesión tenga derecho de acceder al recurso. Este nivel adicional de control es fundamental para el método de aislamiento que se describe en esta solución.

Las capacidades de grupo de Active Directory organizan los equipos y usuarios de modo que se permita asignar los niveles de autorización necesarios de una manera fácil de administrar y escalar. Como ayuda para diferenciar los grupos que se crearon específicamente para lograr los permisos de acceso del host de aquellos que tienen permisos de acceso compartido estándar, en esta guía se utiliza el término grupos de acceso de red.

En la siguiente figura se ilustran los pasos principales del proceso general de autorización de hosts y usuarios de la solución.

Figura 2.2 Proceso de autorización de hosts y usuarios

Figura 2.2 Proceso de autorización de hosts y usuarios
Ver imagen a tamaño completo

En la figura 2.2 se muestra un proceso en cinco pasos, tal como se detalla en la siguiente lista, que se sigue para todas las comunicaciones de red una vez que la solución de aislamiento está funcionando.

1.

Un usuario intenta acceder a un recurso compartido en un servidor de departamento. Un usuario que ha iniciado sesión en el equipo cliente intenta acceder a un recurso compartido de un host de confianza en la solución de aislamiento lógico. Esta acción provoca que el equipo cliente intente conectar con el host de confianza utilizando el protocolo de uso compartido de archivos (normalmente, el protocolo de bloque de mensajes de servidor que utiliza el puerto de destino TCP 445). El cliente tiene asignada la directiva IPsec como parte de la solución. La solicitud de conexión TCP saliente desencadena una negociación IKE hacia el servidor. El IKE de cliente obtiene un vale Kerberos para autenticarse en el servidor.

2.

Negociación IKE de modo principal. Después de que el servidor haya recibido la solicitud de comunicación IKE inicial del equipo cliente, el servidor autentica el vale Kerberos. Durante el proceso de autenticación, IKE comprueba que el equipo cliente tenga los derechos de acceso al host requeridos tal como están asignados en los derechos de usuario ALLOW o DENY de Directiva de grupo. Si el equipo cliente tiene las asignaciones de derechos de usuario requeridas, la negociación IKE concluirá y se establecerá una SA en modo principal IPsec.

3.

Negociación IPsec de método de seguridad. Una vez concluida la negociación de SA en modo principal IKE, se comprueban los métodos de seguridad de la directiva IPsec para negociar una conexión mediante métodos de seguridad para las SA IPsec aceptables por parte de ambos hosts.

El siguiente gráfico de flujo ilustra el proceso completo a partir de los pasos 2 y 3:

Figura 2.3 Proceso de comprobación de permisos de acceso al host del equipo

Figura 2.3 Proceso de comprobación de permisos de acceso al host del equipo
Ver imagen a tamaño completo

4.

Permisos de acceso del usuario al host comprobados para el usuario. Después de haberse establecido la comunicación protegida por IPsec, el protocolo SMB procede a la autenticación mediante la cuenta de usuario del cliente. En el servidor, se comprueba la cuenta de usuario para ver si tiene los permisos de acceso al host requeridos tal como están asignados en los derechos de usuario ALLOW o DENY de Directiva de grupo para el host de confianza. El siguiente gráfico de flujo ilustra este proceso:

Figura 2.4 Proceso de comprobación de permisos de acceso al host del usuario

Figura 2.4 Proceso de comprobación de permisos de acceso al host del usuario
Ver imagen a tamaño completo

Si la cuenta de usuario tiene la asignación de derechos de usuario requerida, el proceso concluye y se crea el token de inicio de sesión del usuario. Después de haber concluido este proceso, la solución de aislamiento lógico ha terminado de efectuar sus comprobaciones de seguridad.

5.

Permisos de acceso a archivos y recursos compartidos comprobados. Por último, el servidor comprueba los permisos de acceso a archivos y recursos compartidos estándar de Windows para asegurarse de que el usuario es miembro de un grupo que dispone de los permisos necesarios para acceder a los datos solicitados por él.

El uso de grupos de acceso de red permite lograr un nivel sumamente alto de control en la solución.

El siguiente escenario aporta un ejemplo práctico de cómo funcionan los pasos de la solución de aislamiento lógico:

Durante una reunión, una contratista enchufa su equipo portátil a un punto de conexión de la red de la sala de conferencias para copiar datos en un recurso compartido del servidor de RRHH de un empleado. Donna, miembro del departamento de RRHH, indica a la contratista la ruta del recurso compartido en el servidor de RRHH. Debido a que el equipo de la contratista no es un host conocido o de confianza, el departamento de TI no lo administra y se desconoce el nivel de las medidas de seguridad instaladas en el equipo portátil. Así, potencialmente, los archivos pueden contener software malintencionado capaz de infectar los equipos internos. Cuando el equipo de la contratista intenta conectar con el servidor de RRHH, los equipos presentan errores en el paso 2 del proceso. Los equipos no pueden negociar una SA en modo principal IKE porque el equipo portátil no es capaz de proporcionar el vale Kerberos necesario para permitir que se comprueben las credenciales del equipo; no forma parte de un dominio de confianza. Los requisitos de la directiva IPsec del grupo de aislamiento del cual es miembro el servidor de RRHH no permiten al servidor comunicar con un host que no utilice IPsec, de modo que se bloquean todos los intentos de comunicación procedentes de este equipo que no es de confianza. A modo de resumen, la solución de aislamiento lógico ayuda a proteger la infraestructura de TI de la amenaza que suponen los equipos que no son de confianza y no están administrados, aunque esos equipos tengan acceso físico a la red interna.

Este ejemplo explica cómo lograr el aislamiento host por host. Otro requisito importante de la solución es proporcionar aislamiento a un coste administrativo reducido. Del mismo modo en que se agrupa a los usuarios, se pueden agrupar los equipos para después asignar a esos grupos los derechos de usuario ALLOW o DENY en la directiva local de cada equipo. No obstante, este método será difícil de administrar y no se escalará bien sin utilizar la capacidad de centralización de Directiva de grupo y Active Directory ni tampoco sin comprender completamente las rutas de comunicación necesarias. Además, el método por sí solo no aporta una autenticación segura ni la capacidad de cifrar datos. Cuando estos permisos de acceso al host se combinan con IPsec y los hosts están organizados en grupos de aislamiento, resulta más fácil comprender las relaciones entre las agrupaciones y más sencillo definir las rutas de comunicación (una vez que los requisitos se han documentado con claridad). Para obtener más información acerca del diseño y del marco de los grupos de aislamiento, consulte el capítulo 4, "Diseño y planificación de grupos de aislamiento".

¿De qué nos protege el aislamiento de servidor y dominio?

El aislamiento de servidor y dominio está a punto de establecer los límites acerca de cómo se comunican los equipos unos con otros y con los dispositivos que intentan iniciar la comunicación. Estos límites o fronteras se utilizan para restringir las comunicaciones representando el nivel en el cual un dispositivo se considera de confianza. Establecer los límites, como la autenticación, autorización y la ubicación de red alrededor de un host utilizando la directiva IPsec es un modo eficaz de reducir cualquier amenaza. Aunque IPsec no es una estrategia de seguridad completa, sí que proporciona una capa adicional de defensa en el marco de una estrategia de seguridad global.

En la siguiente sección se describen algunas amenazas típicas y se analiza brevemente el modelado de amenazas. Para obtener más información acerca de dispositivos de confianza en el escenario de Woodgrove Bank y del proceso de diseño utilizado por Woodgrove para identificar y clasificar los equipos como dignos de confianza, consulte la sección "Determinación de confianza" del capítulo 3, "Cómo determinar el estado actual de su infraestructura de TI".

Modelado y categorización de amenazas

Durante los últimos años, la frecuencia y la complejidad de los ataques a las aplicaciones basadas en red y servidores han ido aumentando significativamente. Curiosamente, tanto los tipos como los estilos de ataque y los métodos básicos utilizados para responder a ellos han permanecido relativamente estáticos. No obstante, algunas funciones y métodos para implementar estas defensas son diferentes. Antes de poder comprender la planificación que requiere una solución de aislamiento de servidor y dominio, la organización debe llevar a cabo un análisis pormenorizado de los riesgos que suponen las amenazas existentes y del modo en que se puede responder a ellas mediante varias tecnologías y procesos.

Durante años se han ido documentando los procesos que pueden identificar, categorizar y enumerar las amenazas a las organizaciones. Esta documentación presenta a menudo una metodología que se puede utilizar para modelar las amenazas comerciales, ambientales y técnicas comunes para una organización. Microsoft utiliza el método STRIDE para el modelado de amenazas. STRIDE son las siglas de las categorías de amenaza de las que protegerse. Estas categorías son:

S    imitación

T    alteración

R    rechazo

I    revelación de información

D    denegación de servicio

E    elevación de privilegios

Es esencial dedicar el tiempo y los recursos adecuados para definir lo más detalladamente posible el modelo de amenaza con tal de asegurar la protección de todos los activos que necesiten protegerse. Para ver una explicación de determinadas amenazas y ataques que pueden mitigarse con la ayuda del aislamiento de servidor y dominio, consulte el apéndice D, "Categorías de amenaza de TI" de esta guía. Para ver un análisis pormenorizado de los modelos de amenaza, consulte el capítulo 2, "Defining the Security Landscape" de la solución Microsoft Solution for Securing Windows 2000 Server, que se puede descargar en la dirección www.microsoft.com/technet/security/prodtech/
win2000/secwin2k/02defsls.mspx.

¿Cómo implementar el aislamiento de servidor y dominio?

Una vez haya comprendido cuáles son las amenazas existentes para su organización y sea consciente de cómo la solución puede reducirlas, el siguiente paso es examinar la manera de implementar una solución de este tipo. En esta sección se describe cómo puede desarrollarse este proceso de implementación.

Recopilación de información

El primer paso, incluso anterior a comenzar con el diseño del proceso, es asegurarse de que dispone de una imagen actualizada y precisa del estado actual de la red de la organización, incluidas las configuraciones de las estaciones de trabajo y servidores, así como todas las rutas de comunicación. No es posible desarrollar una solución de aislamiento lógico eficaz sin saber exactamente qué es lo que debe proteger la solución.

El capítulo 3, "Cómo determinar el estado actual de su infraestructura de TI" proporciona una explicación detallada y la razón principal de obtener información acerca del estado actual de la red y los dispositivos que hay en ella. Este proceso proporcionará toda la información imprescindible para los posteriores capítulos de esta solución, además de aportar valor a otros proyectos emprendidos en la organización. Y lo más importante, habilitará a la organización para que analice y examine rigurosamente las rutas de comunicación necesarias para sus sistemas de información y para que elija de manera informada los compromisos que puedan existir entre el riesgo los requisitos de comunicación y los requisitos empresariales.

Descripción general del proceso de implementación de IPsec

Después de haber decidido el diseño y haberlo creado, la siguiente prioridad es establecer un proceso para implementar el diseño en la organización, de modo que sea fácil de administrar y tenga un impacto mínimo en los usuarios. El capítulo 4, "Diseño y planificación de grupos de aislamiento", analiza pormenorizadamente una serie de métodos distintos que puede utilizar para lograrlo. No obstante, el proceso básico se puede resumir del siguiente modo:

1.

Probar el diseño y las directivas IPsec en un laboratorio modelo. Debe probar las directivas IPsec propuestas en un entorno aislado, que no sea de producción para asegurarse de que el diseño funciona como se esperaba y para probar cualquier problema que pueda surgir en la configuración de directivas o en los mecanismos de implementación.

2.

Realizar una prueba piloto del diseño probado y aprobado. Cuando el equipo confíe en que el diseño funcionará como se esperaba en el entorno de laboratorio, el paso siguiente del proceso es identificar un número limitado de equipos que se incluirán en una implementación piloto de la solución en un entorno de producción. Los equipos y usuarios determinados deben recibir un soporte proactivo para garantizar que cualquier problema que surja durante las pruebas tendrá un mínimo efecto en las capacidades de los usuarios de llevar a cabo sus funciones laborales.

3.

Implementar una ejecución por fases de la solución. El paso final del proceso es disponer de un plan que se pueda utilizar para implementar el diseño en el resto de la organización. No se trata de un proceso insignificante. Debe poner muchísimo cuidado en la planificación de este paso. Se podría fraguar un diseño que deshabilitara muchas de las capacidades de los equipos (con un único cambio de configuración en una directiva IPsec) a la hora de acceder a los recursos de la red. Debe probar y organizar el plan de implementación para permitir que los cambios que introduce la solución se implementen de manera que la posibilidad de volver a un estado válido conocido sea rápida si se diera el caso de que una configuración o error de diseño no se haya detectado durante la fase de pruebas.

El capítulo 4, "Diseño y planificación de grupos de aislamiento", proporciona información detallada acerca del proceso de diseño del dominio de aislamiento y presenta opciones para un método de ejecución por fases de la solución.  

Resumen

En este capítulo se han analizado los objetivos y procesos que hay detrás de la solución presentada en esta guía. Aunque los profesionales de TI hace años que han comprendido perfectamente las ventajas de IPsec, la naturaleza compleja de la tecnología ha provocado que muchos eviten su implementación. Con la implementación de IPsec, existe un potencial de consecuencias graves si la solución no presenta un diseño sólido, una implementación bien planificada y una metodología de prueba fiable.

La orientación de este capítulo pretende transmitir que el aislamiento lógico es una capa adicional de seguridad que utiliza técnicas de aislamiento de servidor y dominio con las capacidades de la plataforma Windows, de IPsec, Directiva de grupo y Active Directory para proporcionar una solución empresarial fácil de administrar y escalable, que pueda reducir al mínimo el riesgo al que están expuestos los activos de datos.

La información presentada en los capítulos restantes se centra en las etapas necesarias para planificar e implementar esta solución. El capítulo 6, "Administración de un entorno de aislamiento de servidor y dominio", aporta los procedimientos que puede implementar para la ejecución diaria de un entorno operativo que utilice el aislamiento de servidor y dominio. El capítulo 7, "Solución de problemas de IPsec", proporciona información acerca de la compatibilidad y la solución de problemas.


**
**

Descargar la solución completa

Aislamiento de servidor y dominio mediante IPsec y Directiva de grupo