Guía de planeamiento de la implementación de servicios de cuarentena con red privada virtual (VPN) de Microsoft

Capítulo 3: Problemas y requisitos

Actualizado: mayo 24, 2005
En esta página
IntroducciónIntroducción
El caso de la entidad financiera Woodgrove National BankEl caso de la entidad financiera Woodgrove National Bank
Implementación del acceso a la VPN para trabajadores remotosImplementación del acceso a la VPN para trabajadores remotos
Uso de Microsoft Operations Framework (MOF)Uso de Microsoft Operations Framework (MOF)

Introducción

Para utilizar los servicios de cuarentena de red privada virtual (VPN) para ayudar a proteger el acceso remoto es preciso que la organización implemente varias tecnologías que deben integrarse sin fisuras y funcionar de manera confiable como una sola unidad. Para lograr el éxito, la organización debe comprender con claridad las cuestiones y los requisitos subyacentes de cada tecnología, así como la manera en que todas ellas interactúan entre sí.

En este capítulo se analiza el caso de la solución para la entidad financiera Woodgrove National Bank, y los problemas relacionados con ella. En el capítulo 4, "Diseño de la solución" se incorpora todo ello a una solución aceptable para esos requisitos.

El caso de la entidad financiera Woodgrove National Bank

Woodgrove National Bank es un banco ficticio de inversiones de ámbito global, líder en su sector, que en su papel como intermediario financiero tiene clientes institucionales, corporativos, gubernamentales y particulares. Sus actividades incluyen: emisión de seguros, venta, comercio, servicios de asesoramiento financiero, investigación relacionada con la inversión, capital de riesgo y servicios de correduría para instituciones financieras.

Woodgrove National Bank es una filial propiedad al 100% de WG Holding Company. WG Holding Company es una empresa líder mundial en servicios financieros con sede en Londres, Inglaterra. WG posee cinco empresas: Woodgrove National Bank, NorthWind Trading, Contoso, Ltd., Litware Financials y Humongous Insurance. Todas ellas son grandes empresas, cada a de las cuales cuenta con más de 5.000 usuarios.

Perfil geográfico

Woodgrove National Bank tiene más de 15.000 empleados en más de 60 oficinas distribuidas por todo el mundo. Tiene sedes corporativas (centros de concentración) con un gran número de empleados en Nueva York (5.000 empleados), Londres (5.200 empleados) y Tokio (500 empleados). Cada centro de concentración da soporte a varias oficinas.

Para cada región a la que presta servicio la sede corporativa, existen varios sitios secundarios (por ejemplo, Boston y Atlanta en Norteamérica). Además de los centros de concentración, existen otras dos sedes corporativas principales, Sydney y Johannesburgo, ambas con sus propios servidores dedicados de archivos, impresión y aplicaciones.

Perfil de la organización de TI

Aunque Woodgrove National Bank tiene un entorno de servidor mixto que utiliza Microsoft® Windows® y UNIX, su infraestructura se ejecuta sobre una red troncal basada en Windows Server. La mayoría de servidores se encuentran ubicados en las tres sedes corporativas en Nueva York, Londres y Tokio. En la siguiente ilustración se muestra el diseño de las sedes corporativas y los vínculos existentes entre ellas.

PGFG0301.gif

Figura 3.1 Entorno de red de Woodgrove National Bank.
Ver imagen a tamaño completo

Woodgrove National Bank utiliza en la actualidad varios productos y tecnologías de Microsoft para servicios de intranet y extranet. Woodgrove National Bank usa una infraestructura de servicios de directorio basada en Windows 2000 Active Directory® y está actualizando todos los controladores de dominio a Microsoft Windows Server™ 2003. Woodgrove no tiene equipos cliente heredados; todos los equipos de sobremesa y portátiles ejecutan los sistemas operativos Windows 2000 Professional con Service Pack 4 (SP4) o posterior, o bien Windows XP Professional con SP2 o posterior. El departamento de TI de Woodgrove National Bank tiene mucha experiencia con Windows Server 2003.

Integración de los requisitos normativos

Woodgrove National Bank debe ajustarse a los requisitos de la normativa financiera vigente en cada país o región en que opera. También debe cumplir con las leyes de protección de datos y demostrar eficacia en la seguridad de las operaciones.

Prestación de un acceso seguro a los trabajadores remotos

Woodgrove National Bank proporciona acceso remoto a su red corporativa al personal de ventas, ejecutivo y de soporte técnico de TI. Para la solución actual de acceso remoto se emplea acceso telefónico a través de circuitos privados a servidores de acceso remoto dedicados que están equipados con modems o adaptadores RDSI. Estas conexiones son lentas y caras en comparación con las de banda ancha, sobre todo para los usuarios remotos que viajan a otros países.

La mayor disponibilidad de acceso de banda ancha a Internet permite a las organizaciones utilizar redes privadas virtuales para los casos en que se precisa acceso remoto. Aunque este sistema permite ahorrar, al eliminar el acceso telefónico, y proporciona una experiencia mejor al usuario, aumenta la vulnerabilidad ante ataques malintencionados cuando los datos propiedad de la empresa se transmiten por Internet.

Cumplimiento de los requisitos normativos

Como toda institución financiera, Woodgrove National Bank debe cumplir con estrictos requisitos legales en los distintos países y regiones en los que opera. Además, el banco debe mantener la confianza de los clientes protegiendo los activos corporativos y de los clientes. Woodgrove National Bank ha implementado una iniciativa de protección de los equipos y establecido directivas de seguridad estrictas para todos los equipos con acceso a la red de la empresa, ya sea a través de la red de área local (LAN) o mediante conexiones remotas.

Comprobación de las actualizaciones de software

Con la solución existente de acceso remoto, resulta difícil garantizar que los equipos remotos dispongan de las últimas actualizaciones de seguridad, de sus aplicaciones y de sus sistemas operativos. Hasta ahora, el departamento de TI de Woodgrove National Bank no ha podido prevenir el acceso por parte de equipos no autorizados que utilizan programas antivirus obsoletos o con virus activos que puedan infectar la red. Esta debilidad puede suponer un riesgo para la red corporativa y ha obligado a Woodgrove National Bank a limitar la conectividad a un número de usuarios reducido.

El departamento de TI de Woodgrove tiene que superar estos desafíos y proporcionar un servicio confiable y seguro que puedan utilizar los trabajadores remotos, pero sin poner en riesgo la red corporativa. En el resto de este documento se recogen los factores de planeamiento y las decisiones que tuvo que adoptar Woodgrove National Bank para abordar los problemas de la implementación de los servicios de cuarentena de VPN.

Implementación del acceso a la VPN para trabajadores remotos

Al igual que muchas organizaciones, Woodgrove National Bank ha descubierto que numerosos ejecutivos y directores de cuentas son más productivos si pueden trabajar desde su casa al menos un día a la semana. Por ejemplo, los directores de cuentas pueden escribir propuestas, planear reuniones y modificar la información de contacto de sus clientes sin estar en la oficina. Woodgrove National Bank desea ampliar la opción de trabajar desde casa a otras divisiones y departamentos, pero le preocupan los riesgos que pueda conllevar permitir que equipos no conformes con las directivas establecidas por el departamento de TI de Woodgrove se conecten a la red corporativa. Por consiguiente, el departamento de TI de Woodgrove únicamente permite conectarse desde ubicaciones remotas a los empleados que disponen de equipos pertenecientes a los dominios autorizados.

Problemas empresariales

El equipo que planea la implementación del acceso a VPN para los trabajadores remotos ha identificado los problemas siguientes:

Coherencia. Para desarrollar e implementar un servicio de acceso remoto seguro y confiable en toda la empresa, todas las organizaciones y las filiales de Woodgrove National Bank deben cumplir un marco de seguridad uniforme definido con claridad.

Funciones y responsabilidades bien definidas. Diversos grupos del equipo de TI de Woodgrove National Bank se han enfrentado a la falta de claridad con respecto a las funciones y las responsabilidades para poder prestar un servicio seguro. Cuando se planteó la estrategia de seguridad, se hizo patente que la organización tenía que decidir quién sería responsable de la red de acceso remoto. Las discusiones del proceso condujeron a la evaluación de las responsabilidades de los equipos administrativos de TI.

Problemas técnicos

El planeamiento y las fases piloto iniciales permitieron identificar los siguientes problemas técnicos:

Almacenamiento de actualizaciones de seguridad y revisiones. El departamento de TI de Woodgrove decidió utilizar Windows Update para garantizar que los equipos de acceso remoto dispusieran de las actualizaciones de seguridad más recientes. Debido a que Software Update Services (SUS) utiliza el servicio de transferencia inteligente en segundo plano (BITS), Woodgrove consideró que los servidores SUS conectados a Internet resultaban demasiado lentos para actualizar los equipos de acceso remoto. El departamento de TI de Woodgrove descubrió que iniciar Internet Explorer y llevar al usuario a Windows Update permitía actualizar los equipos con rapidez y sin el gasto adicional que suponía tener que administrar servidores adicionales.

Falta de alertas, supervisiones y medidas detalladas. Para que Woodgrove National Bank administrase con eficacia los aspectos de seguridad, calidad, costo y experiencia del usuario de la solución, los equipos de soporte de TI de Woodgrove necesitaban medir con precisión la calidad de servicio de la solución de acceso remoto. Woodgrove National Bank puede supervisar los principales aspectos del rendimiento del servidor de acceso remoto y el estado global del sistema de acceso remoto, pero no el estado ni la calidad de las conexiones de VPN.

Retraso de aplicaciones en el modo de cuarentena. Cuando se ejecuta una secuencia de comandos de cuarentena se crea un retraso entre la conexión inicial y el momento en que se levanta la cuarentena del equipo cliente. Este retraso depende del tiempo que se tarde en ejecutar la secuencia de comandos de cuarentena, enviar la notificación y en que el servidor de acceso remoto levante las restricciones de la cuarentena. Sin embargo, algunas aplicaciones intentan realizar conexiones inmediatamente después de que el equipo cliente establece la conexión inicial a la red. Si los filtros de los servicios de cuarentena de VPN no permiten el tráfico de aplicaciones, el servicio de acceso remoto anula el tráfico inicial de la aplicación, y ésta no funcionará correctamente. Los usuarios de acceso remoto deben recibir formación para que no inicien las aplicaciones hasta que la conexión se haya completado.

Problemas de seguridad

Los siguientes problemas afectan a la estrategia de seguridad para la implementación de los servicios de cuarentena de VPN en Woodgrove National Bank:

Imposibilidad de administrar clientes remotos. En la actualidad, Woodgrove National Bank no tiene establecido ni aplica ningún tipo de estándar para los equipos cliente, ni cuenta con ningún modo de obligar a que los clientes remotos cumplan los requisitos de configuración de software, como la habilitación de Windows Firewall, como parte del proceso de inicio de sesión.

Validación de actualizaciones de software. Woodgrove National Bank no tiene ninguna manera de validar el estado de las actualizaciones de software antivirus y de otros programas relacionados con la seguridad en el equipo cliente antes de permitir su conexión a la red corporativa. Esta situación puede provocar que equipos cliente remotos infectados ataquen los activos de la empresa, con los costos de corrección y tiempo de inactividad consiguientes.

Requisitos de la solución

La solución que Woodgrove National Bank implemente para los servicios de cuarentena de VPN debe cumplir los requisitos siguientes:

Garantizar que se cumplan todos los requisitos de seguridad de acceso remoto en un marco de tiempo predeterminado antes de permitir las conexiones de acceso remoto sin restricciones a la red corporativa.

Garantizar que, cuando los dispositivos se conecten a la red corporativa, no estén accesibles desde otros equipos de la red.

Exigir que todos los equipos que se conecten a la red corporativa cumplan las directivas de seguridad de red estandarizadas. Estas directivas incluyen un programa antivirus específico y cumplimiento pleno de las normas de actualización de firmas del antivirus y de instalación de las actualizaciones de seguridad aprobadas.

Proporcionar una experiencia al usuario no intrusiva, rápida y fácil de usar.

Permitir una implementación sencilla y rentable del software de cliente.

Supervisar y registrar toda la actividad de acceso remoto.

Proporcionar un servicio confiable y con un alto nivel de disponibilidad.

Una vez marcados estos objetivos, Woodgrove National Bank realizó una investigación y un estudio exhaustivos de las opciones de diseño posibles. En el capítulo 4, "Diseño de la solución", se presentan los resultados de esta investigación.

Uso de Microsoft Operations Framework (MOF)

Woodgrove National Bank utiliza los principios de Microsoft Operations Framework (MOF) para administrar e implementar los cambios en la red empresarial. MOF proporciona una serie de procedimientos recomendados, principios y modelos que ofrecen orientación para lograr el máximo nivel de disponibilidad, confiabilidad y seguridad. Las dos áreas principales a las que afecta el MOF son la administración de cambios y las operaciones.

Para obtener más información sobre MOF, consulte el sitio Web Microsoft Operations Framework de TechNet, en www.microsoft.com/technet/itsolutions/cits/mo/mof/default.mspx (en inglés).

Implementación de la administración de cambios

Los diseñadores de sistemas de Woodgrove National Bank saben que cualquier proyecto de esta envergadura requiere un planeamiento y una administración eficaces. Un comité directivo administrativo debe supervisar el presupuesto, la programación y el desarrollo de los componentes de la solución, y dar su aprobación definitiva en cada fase del proyecto.

El departamento de TI de Woodgrove National Bank entiende la necesidad de probar la solución y realizar implementaciones piloto antes de implementarla en el entorno de producción. Woodgrove opera en un entorno mundial, y conoce la necesidad de cumplir procesos específicos para programar los cambios y proporcionar una comunicación clara al personal directivo, los usuarios y los operadores del servicio de asistencia.

Para garantizar una ejecución sin problemas de los servicios de cuarentena de VPN, Woodgrove National Bank ha planeado establecer equipos virtuales en todo el mundo. Estos equipos deben colaborar estrechamente en el diseño, el desarrollo y las pruebas del diseño y las tecnologías en distintas situaciones. A continuación, los mismos equipos trabajarán en la programación, comunicación y administración de los cambios en el entorno de acceso remoto durante la implementación.

Además, el departamento de TI de Woodgrove debe trabajar con los equipos de soporte de operaciones para programar los cambios, normalmente teniendo en cuenta la hora local que menos afecta a los usuarios o las unidades de negocio. En la mayoría de los casos de acceso remoto, la mejor hora para realizar cambios importantes es el horario laboral entre las 9 a.m. y las 5 p.m. de lunes a viernes, ya que la mayor parte de las conexiones remotas se realizan fuera de este horario. Sin embargo, con el uso cada vez mayor en Woodgrove National Bank del acceso remoto para respaldar la estrategia empresarial durante las horas de trabajo más importantes, esto no siempre es así. Por consiguiente, se necesita un análisis eficaz en cada ubicación individual para garantizar el mínimo efecto de los cambios en el desarrollo de las operaciones.

Supervisión de operaciones

Woodgrove National Bank dispone de un marco de supervisión y alertas en toda su red empresarial que utiliza Microsoft Operations Manager (MOM) 2005. El departamento de TI de Woodgrove debe ampliar este marco de modo que abarque la implementación de las soluciones de acceso remoto. Antes de supervisar los servicios de cuarentena de VPN, es preciso instalar Routing and Remote Access Service Management Pack for MOM (en inglés), disponible en www.microsoft.com/downloads/details.aspx?FamilyId=D1005486-2EEB-44A5-8196-5D4EB24F6EA0&displaylang=en.

Para detectar las áreas problemáticas durante la implementación, Woodgrove National Bank utiliza métodos de recopilación y análisis de los datos. El departamento de TI de Woodgrove National Bank utiliza un elemento clave en el proceso de gran utilidad para ayudar a administrar el estado del servicio. Este elemento consiste en un mural de acceso remoto (una serie de indicadores visuales) que supervisa los datos en tiempo real. Este mural permite capturar, mostrar y resaltar incidencias de usuarios individuales que indican problemas de conectividad.

La recopilación y el análisis de los datos son críticos para la administración de los servicios durante cualquier cambio importante y para las funciones de administración del servicio. Al combinar los datos e informes recopilados con los datos del servicio de asistencia, el departamento de TI de Woodgrove National Bank puede determinar cuál es el estado general de un servicio en un momento dado con un alto grado de confiabilidad. Los equipos de operaciones pueden usar estos datos para revisar los eventos que afectan al servicio, contrastar sus efectos en el servicio y generar planes de respuesta activa y predicciones futuras para el servicio.

El registro de estos datos es muy valioso, tanto para medir el uso cotidiano como para identificar las tendencias a largo plazo. Los equipos de soporte de operaciones del departamento de TI de Woodgrove utilizan Microsoft SQL Server™ 2000 y OLAP para generar informes a fin de realizar el seguimiento, medir y analizar con rapidez:

El estado general del servicio, con la capacidad de centrarse en aspectos específicos.

Los datos de la infraestructura que reflejan el estado y el rendimiento del servidor.

Los datos de clientes que reflejan experiencias concretas de los usuarios, como el tiempo que se tarda en conectar, el éxito a la primera, acciones concretas que provocan errores, ubicación de los usuarios y número de acceso de ISP.

Los problemas que afectan al servicio y a la productividad de los usuarios.

Detalles sobre los costos de funcionamiento más elevados con fines presupuestarios y de planeamiento.

Resolución de problemas por parte del servicio de asistencia con respecto a los acuerdos de nivel de servicio (SLA) internos, para detectar las necesidades de mejora de los procesos o la documentación.

Este marco de supervisión y operaciones proporciona a Woodgrove National Bank un entorno apropiado para implementar la solución de cuarentena de VPN. En el último capítulo de esta guía se describe cómo se planeó en Woodgrove National Bank la implementación de los servicios de cuarentena de VPN y las decisiones que se tomaron antes del proceso de ejecución.


**
**
**
Descargar
DescargarGuía de planeamiento de la implementación de servicios de cuarentena con red privada virtual (VPN) de Microsoft
**