Aislamiento de servidor y dominio mediante IPsec y Directiva de grupo

Información general

Publicado: 17/03/2005

Microsoft sabe que las organizaciones grandes se enfrentan a retos cada vez mayores para proteger el perímetro de sus redes. A medida que crecen las organizaciones y cambian las relaciones comerciales, el control del acceso físico a una red puede convertirse en una tarea imposible. Seguramente, los clientes, proveedores y consultores tienen motivos profesionales válidos que les llevan a conectar dispositivos móviles a la red. La llegada de las redes inalámbricas y las tecnologías de conexión inalámbrica han facilitado aún más el acceso a las redes. Esta mayor conectividad conlleva que los miembros de dominio de la red interna estén cada vez más expuestos a riesgos importantes procedentes de otros equipos de la red interna e infracciones de la seguridad perimetral.

El concepto de aislamiento lógico que se expone en esta guía manifiesta dos soluciones: en primer lugar el aislamiento del servidor para asegurarse de que un servidor acepta conexiones de red procedentes sólo de miembros de dominio de confianza o un grupo específico de miembros de dominio y, en segundo lugar, el aislamiento del dominio para aislar a los miembros de dominio de conexiones que no son de confianza. Estas soluciones pueden utilizarse por separado o juntas como parte de una solución global de aislamiento lógico.

La principal función del aislamiento de servidores y dominios es permitir a los administradores de TI restringir las comunicaciones TCP/IP de los miembros de dominio con equipos de confianza. Estos equipos de confianza pueden configurarse de forma que permitan sólo conexiones entrantes de otros equipos de confianza o de un grupo específico de equipos de confianza. Los controles de acceso se administran centralmente mediante la Directiva de grupo Microsoft® Active Directory® para controlar los derechos de inicio de sesión en la red. Prácticamente todas las conexiones de red TCP/IP pueden protegerse sin cambiar las aplicaciones, pues IPsec funciona en la capa de red, por debajo de la capa de aplicaciones, para facilitar seguridad por paquete y autenticación, de un extremo a otro entre ordenadores. El tráfico de la red puede autenticarse, o autenticarse y cifrarse en diversos esquemas personalizables.

En esta página

	Las ventajas empresariales
	Destinatarios de la guía

Las ventajas empresariales

Las ventajas de introducir una capa de defensa de aislamiento lógico son las siguientes:

•	Seguridad adicional. Una capa de defensa de aislamiento lógico proporciona seguridad adicional para todos los equipos administrados en la red.
•	Control más estricto de quién puede acceder a información específica. Con esta solución, los equipos no tendrán acceso automáticamente a todos los recursos de la red al conectarse a la red.
•	Coste menor. Esta solución suele ser mucho más económica que implementar una solución de aislamiento físico.
•	Mayor número de equipos administrados. Si la información de una organización sólo está disponible para los equipos administrados, todos los dispositivos tendrán que convertirse en sistemas administrados para proporcionar acceso a sus usuarios.
•	Niveles mejorados de protección contra ataques de software malintencionado. La solución de aislamiento restringirá significativamente la capacidad de un equipo que no sea de confianza de acceder a recursos de confianza. Por este motivo, un ataque de software malintencionado procedente de un equipo que no sea de confianza fracasaría, pues no se autorizaría la conexión aunque el atacante obtuviera un nombre de usuario y una contraseña válidos.
•	Un mecanismo para cifrar los datos de la red. El aislamiento lógico permite solicitar el cifrado de todo el tráfico de red entre equipos seleccionados.
•	Aislamiento de emergencia rápido. Esta solución proporciona un mecanismo para aislar de un modo rápido y eficaz recursos específicos de la red en caso de ataque.
•	Mejor auditoría. Esta solución proporciona una forma de registrar y auditar el acceso a la red por recursos administrados.

Principio de la página

Destinatarios de la guía

Esta guía ha sido diseñada como herramienta de soporte de una solución de aislamiento de servidor y dominio a lo largo de todos los estadios del ciclo de vida de TI, desde la evaluación inicial y la fase de aprobación, hasta la implementación y su evaluación y administración. Por ello, los diversos capítulos de los que consta esta guía se han escrito para satisfacer las necesidades de lectores diversos.

El capítulo 1 ha sido diseñado principalmente para el encargado de tomar decisiones que intenta averiguar si una organización saldrá ganando con un proyecto de aislamiento de servidor y dominio. Para la comprensión del contenido de este capítulo no son necesarios conocimientos técnicos específicos más allá de la comprensión de las necesidades comerciales y de seguridad de una organización.

Los capítulos de planificación de esta guía (capítulos 2, 3 y 4) pretenden ser especialmente de utilidad para los arquitectos técnicos y los profesionales de TI que se encargarán del diseño de una solución personalizada para una organización. Para sacar el máximo provecho de estos capítulos, es necesario un buen nivel de comprensión técnica tanto de las tecnologías implicadas, como de la infraestructura actual de la organización.

El capítulo 5 y los apéndices están pensados para el personal de soporte responsable de crear los planes de implementación para la solución de la empresa. En esta guía se incluyen diversas recomendaciones sobre el proceso de completar una implementación satisfactoria de la solución, así como pasos prácticos de implementación para crear el entorno de laboratorio de prueba.

El capítulo 6 de esta guía pretende ser una referencia para el personal responsable de las operaciones cotidianas de la solución tras haber sido implementada, es decir cuando sea totalmente operativa. Diversos procedimientos y procesos operativos destacados en este capítulo deberían incorporarse al entorno de operaciones de la organización.

El capítulo 7 proporciona información para la solución de problemas relacionados con la implementación de un aislamiento de servidor y dominio. Puesto que IPsec afecta fundamentalmente a las comunicaciones de red, la información y las técnicas para la solución de problemas pueden ayudar mucho a las organizaciones que implementen IPsec como parte de esta solución.

Comuníquenos su opinión

Microsoft valora su opinión acerca de este material. Apreciaríamos especialmente cualquier comentario relacionado con las preguntas siguientes:

•	¿En qué medida ha resultado útil la información proporcionada?
•	¿Los procedimientos paso a paso fueron precisos?
•	¿Los capítulos le resultaron fáciles de leer e interesantes?
•	¿Cómo calificaría esta solución en líneas generales?

Envíe sus comentarios a la siguiente dirección de correo electrónico: SecWish@Microsoft.com

Principio de la página

1 de 13

En este artículo

•	Información general
•	Capítulo 1: Introducción al aislamiento de servidor y dominio
•	Capítulo 2: Comprensión del aislamiento de servidor y dominio
•	Capítulo 3: Cómo determinar el estado actual de su infraestructura de TI
•	Capítulo 4: Diseño y planificación de grupos de aislamiento
•	Capítulo 5: Creación de directivas IPsec para grupos de aislamiento
•	Capítulo 6: Administración de un entorno de aislamiento de servidor y dominio
•	Capítulo 7: Solución de problemas de IPsec
•	Apéndice A: Descripción general de los conceptos de la directiva IPsec
•	Apéndice B: Resumen de la directiva IPsec
•	Apéndice C: Guía de generación de laboratorio
•	Apéndice D: Categorías de amenaza de TI
•	Agradecimientos

Descargar la solución completa

Aislamiento de servidor y dominio mediante IPsec y Directiva de grupo