Recomendaciones Utilice la autenticación de 802.1x Organice en grupos a los usuarios y equipos inalámbricos Aplique directivas de acceso inalámbrico con directivas de grupo Utilice EAP-TLS para la autenticación basada en certificados y PEAP para la autenticación basada en contraseñas Configure una directiva de acceso remoto para permitir la autenticación de los usuarios y de los equipos Desarrolle un método que se ocupe de los puntos de acceso sospechosos, como la autenticación de 802.1x basada en LAN, las encuestas a sitios, la supervisión de la red y el entrenamiento de los usuarios
¿Qué es Seguridad de IP (IPSec)? Un método para proteger el tráfico IP Una estructura de estándares abiertos desarrollada por el Grupo de trabajo de ingeniería de Internet (IETF, Internet Engineering Task Force) ¿Por qué se debe utilizar IPSec? Para garantizar que las comunicaciones se cifran y se autentican en el nivel IP Para proporcionar seguridad en el transporte independiente de las aplicaciones o de los protocolos del nivel de aplicación
Introducción a IPSec
Filtrado básico para permitir o bloquear paquetes Comunicaciones seguras en la LAN interna Replicación en los dominios a través de servidores de seguridad Acceso a VPN a través de medios que no son de confianza
Escenarios de IPSec
Filtros para tráfico permitido y bloqueado No se produce ninguna negociación real de las asociaciones de seguridad de IPSec Los filtros se solapan: la coincidencia más específica determina la acción No proporciona filtrado de estado Se debe establecer "NoDefaultExempt = 1" para que sea seguro
Implementación del filtrado de paquetes de IPSec
Los paquetes IP suplantados contienen consultas o contenido peligroso que puede seguir llegando a los puertos abiertos a través de los servidores de seguridad IPSec no permite la inspección de estado Muchas herramientas que utilizan los piratas informáticos emplean los puertos de origen 80, 88, 135 y otros para conectar a cualquier puerto de destino
El filtrado de paquetes no es suficiente para proteger un servidor
Direcciones de difusión IP No puede proteger a varios receptores Direcciones de multidifusión De 224.0.0.0 a 239.255.255.255 Kerberos: puerto UDP 88 de origen o destino Kerberos es un protocolo seguro, que el servicio de negociación IKE puede utilizar para la autenticación de otros equipos en un dominio IKE: puerto UDP 500 de destino Obligatorio para permitir que IKE negocie los parámetros de seguridad de IPSec Windows Server 2003 configura únicamente la exención predeterminada de IKE
Tráfico que IPSec no filtra
Comunicaciones internas seguras Utilice IPSec para permitir la autenticación mutua de dispositivos Utilice certificados o Kerberos La utilización de claves compartidas sólo es conveniente para pruebas Utilice Encabezado de autenticación (AH) para garantizar la integridad de los paquetes El Encabezado de autenticación proporciona integridad en los paquetes El Encabezado de autenticación no cifra, con lo que se basa en los sistemas de detección de intrusos de red Utilice Carga de seguridad encapsuladora (ESP) para cifrar el tráfico sensible ESP proporciona integridad en los paquetes y confidencialidad El cifrado impide la inspección de los paquetes Planee minuciosamente qué tráfico debe protegerse
IPSec para la replicación de dominios Utilice IPSec para la replicación a través de servidores de seguridad En cada controlador de dominio, cree una directiva IPSec para proteger todo el tráfico a la dirección IP del otro controlador de dominio Utilice ESP 3DES para el cifrado Permita el tráfico a través del servidor de seguridad: Puerto UDP 500 (IKE) Protocolo IP 50 (ESP)
Acceso de VPN a través de medios que no son de confianza VPN de cliente Utilice L2TP/IPSec VPN de sucursal Entre Windows 2000 o Windows Server, con RRAS: utilice túnel L2TP/IPSec (fácil de configurar, aparece como una interfaz enrutable) A una puerta de enlace de terceros: utilice L2TP/IPSec o el modo de túnel puro de IPSec A la puerta de enlace RRAS de Microsoft Windows NT® 4: utilice PPTP (IPSec no está disponible)
Rendimiento de IPSec El procesamiento de IPSec tiene algunas consecuencias en el rendimiento Tiempo de negociación de IKE, inicialmente entre 2 y 5 segundos 5 recorridos de ida y vuelta Autenticación: Kerberos o certificados Generación de claves criptográficas y mensajes cifrados Se realiza una vez cada ocho horas de forma predeterminada y se puede configurar El cambio de claves de la sesión es rápido:< entre uno y dos segundos, dos recorridos de ida y vuelta, una vez cada hora y se puede configurar Cifrado de paquetes ¿Cómo se puede mejorar? Al descargar el proceso criptográfico en NIC, IPSec casi alcanza la velocidad de los dispositivos con cable Mediante CPU más rápidas
Recomendaciones Planee minuciosamente la implementación de IPSec Elija entre AH y ESP Utilice directivas de grupo para implementar directivas IPSec Considere el uso de NIC de IPSec No utilice nunca la autenticación con claves compartidas fuera de un entorno de prueba Elija entre la autenticación basada en Kerberos o en certificados Tenga cuidado al requerir el uso de IPSec para las comunicaciones con controladores de dominio y otros servidores de infraestructuras
| Página siguiente |