Recomendaciones
Utilice la autenticación de 802.1x
Organice en grupos a los usuarios y equipos inalámbricos
Aplique directivas de acceso inalámbrico con directivas de grupo
Utilice EAP-TLS para la autenticación basada en certificados y PEAP para la autenticación basada en contraseñas
Configure una directiva de acceso remoto para permitir la autenticación de los usuarios y de los equipos
Desarrolle un método que se ocupe de los puntos de acceso sospechosos, como la autenticación de 802.1x basada en LAN, las encuestas a sitios, la supervisión de la red y el entrenamiento de los usuarios
¿Qué es Seguridad de IP (IPSec)?
Un método para proteger el tráfico IP
Una estructura de estándares abiertos desarrollada por el Grupo de trabajo de ingeniería de Internet (IETF, Internet Engineering Task Force)
¿Por qué se debe utilizar IPSec?
Para garantizar que las comunicaciones se cifran y se autentican en el nivel IP
Para proporcionar seguridad en el transporte independiente de las aplicaciones o de los protocolos del nivel de aplicación
Introducción a IPSec
Filtrado básico para permitir o bloquear paquetes
Comunicaciones seguras en la LAN interna
Replicación en los dominios a través de servidores de seguridad
Acceso a VPN a través de medios que no son de confianza
Escenarios de IPSec
Filtros para tráfico permitido y bloqueado
No se produce ninguna negociación real de las asociaciones de seguridad de IPSec
Los filtros se solapan: la coincidencia más específica determina la acción
No proporciona filtrado de estado
Se debe establecer "NoDefaultExempt = 1" para que sea seguro
Implementación del filtrado de paquetes de IPSec
Los paquetes IP suplantados contienen consultas o contenido peligroso que puede seguir llegando a los puertos abiertos a través de los servidores de seguridad
IPSec no permite la inspección de estado
Muchas herramientas que utilizan los piratas informáticos emplean los puertos de origen 80, 88, 135 y otros para conectar a cualquier puerto de destino
El filtrado de paquetes no es suficiente para proteger un servidor
Direcciones de difusión IP
No puede proteger a varios receptores
Direcciones de multidifusión
De 224.0.0.0 a 239.255.255.255
Kerberos: puerto UDP 88 de origen o destino
Kerberos es un protocolo seguro, que el servicio de negociación IKE puede utilizar para la autenticación de otros equipos en un dominio
IKE: puerto UDP 500 de destino
Obligatorio para permitir que IKE negocie los parámetros de seguridad de IPSec
Windows Server 2003 configura únicamente la exención predeterminada de IKE
Tráfico que IPSec no filtra
Comunicaciones internas seguras
Utilice IPSec para permitir la autenticación mutua de dispositivos
Utilice certificados o Kerberos
La utilización de claves compartidas sólo es conveniente para pruebas
Utilice Encabezado de autenticación (AH) para garantizar la integridad de los paquetes
El Encabezado de autenticación proporciona integridad en los paquetes
El Encabezado de autenticación no cifra, con lo que se basa en los sistemas de detección de intrusos de red
Utilice Carga de seguridad encapsuladora (ESP) para cifrar el tráfico sensible
ESP proporciona integridad en los paquetes y confidencialidad
El cifrado impide la inspección de los paquetes
Planee minuciosamente qué tráfico debe protegerse
IPSec para la replicación de dominios
Utilice IPSec para la replicación a través de servidores de seguridad
En cada controlador de dominio, cree una directiva IPSec para proteger todo el tráfico a la dirección IP del otro controlador de dominio
Utilice ESP 3DES para el cifrado
Permita el tráfico a través del servidor de seguridad:
Puerto UDP 500 (IKE)
Protocolo IP 50 (ESP)
Acceso de VPN a través de medios que no son de confianza
VPN de cliente
Utilice L2TP/IPSec
VPN de sucursal
Entre Windows 2000 o Windows Server, con RRAS: utilice túnel L2TP/IPSec (fácil de configurar, aparece como una interfaz enrutable)
A una puerta de enlace de terceros: utilice L2TP/IPSec o el modo de túnel puro de IPSec
A la puerta de enlace RRAS de Microsoft Windows NT® 4: utilice PPTP (IPSec no está disponible)
Rendimiento de IPSec
El procesamiento de IPSec tiene algunas consecuencias en el rendimiento
Tiempo de negociación de IKE, inicialmente entre 2 y 5 segundos
5 recorridos de ida y vuelta
Autenticación: Kerberos o certificados
Generación de claves criptográficas y mensajes cifrados
Se realiza una vez cada ocho horas de forma predeterminada y se puede configurar
El cambio de claves de la sesión es rápido:< entre uno y dos segundos, dos recorridos de ida y vuelta, una vez cada hora y se puede configurar
Cifrado de paquetes
¿Cómo se puede mejorar?
Al descargar el proceso criptográfico en NIC, IPSec casi alcanza la velocidad de los dispositivos con cable
Mediante CPU más rápidas
Recomendaciones
Planee minuciosamente la implementación de IPSec
Elija entre AH y ESP
Utilice directivas de grupo para implementar directivas IPSec
Considere el uso de NIC de IPSec
No utilice nunca la autenticación con claves compartidas fuera de un entorno de prueba
Elija entre la autenticación basada en Kerberos o en certificados
Tenga cuidado al requerir el uso de IPSec para las comunicaciones con controladores de dominio y otros servidores de infraestructuras
Página anterior | Volver al principio del trabajo | Página siguiente |