Upload
gaspar-lona
View
13
Download
5
Embed Size (px)
Citation preview
Windows Server 2003Certificate Services. PKI.
Javier Pereña Peñaranda
Ingeniero de Sistemas
Código: HOL-WIN09
Agenda• Introducción PKI.
– Conceptos básicos de seguridad.• Sistemas de control de acceso.
– Sistemas Preventivos– Qué es un Mecanismo
de Control de Acceso– ¿Qué entendemos por acceso?– Objetivos de los
Mecanismos de Control de Acceso– ¿Cómo se preservan
estos principios?– Características esenciales de un Sistema de Control de
Acceso (SCA)– Etapas del Proceso de Control de Acceso– Identificación
Agenda
• Autentificación– Autentificación Tipo1
» Tipos de contraseñas.» Passwords managers
– Autentificación Tipo 2– Autentificación Tipo 3: Biometría
» Dispositivos Biométricos.» Tipos de Biometrías.» Aceptabilidad de Biometrías.
• Certificate Services. Implementación de PKI en Windows Server 2003– Componentes de PKI– Inicio de sesión con Smart Card
• Implantación de Smart Cards• DEMOS !!!!
Agenda
• SSL en IIS 6.0 con OWA.– Solicitud de certificados.– Instalación de certificados.– Mantenimiento de certificados.
• Certificados y firma digital en Outlook 2003.– Firma digital.– Encriptación.
• IPSec.– Introducción.– Escenarios.– Implementación.
• DEMOS !!!!
Agenda
• DEMO. Autenticación biométrica mediante OneTouch by Intuate biometrics
Agenda
• FUTURO Protocolo SET. Aplicación práctica de “smartcards” al e-commerce.– Características.– Entorno.– Certificación.– Jerarquía de certificación.– Autoridades de Registro.– Procedimiento.– Pago electrónico.– Ventajas sobre SSL.– SET frente a SSL y TLS
Introducción a la Seguridad
Gestión de la SeguridadGestión de la Seguridad
PersonasPersonas
Tecnología
TecnologíaProc
esos
Proc
esos
Bug
• Un error de software o computer bug, que significa bicho de computadora, es el resultado de una falla de programación introducida en el proceso de creación de programas de computadora. El término bug fue acreditado erróneamente a Grace Murray Hopper, una pionera en la historia de la computación, pero Thomas Edison ya lo empleaba en sus trabajos para describir defectos en sistemas mecánicos por el año 1870.
Fuente: Wikipedia en Español
Bug
Exploit• Exploit (viene de to exploit - aprovechar) - código escrito
con el fin de aprovechar un error de programación para obtener diversos privilegios. software.
• Un buen número de exploits tienen su origen en un conjunto de fallos similares. Algunos de los grupos de vulnerabilidades más conocidos son:
– Vulnerabilidades de desbordamiento de pila o buffer overflow. – Vulnerabilidades de condición de carrera (Race condition). – Vulnerabilidades de error de formato de cadena (format string bugs). – Vulnerabilidades de Cross Site Scripting (XSS). – Vulnerabilidades de inyección SQL (SQL injection). – Vulnerabilidades de inyeccion de caraceres (CRLF).
Fuente: Wikipedia en Español
Proceso explotación Vulnerabilidad
1.- Se descubre una vulnerabilidad
a) Por el fabricante
b) Por un tercero
2.- Se aprende a explotarlo
a) Ingeniería inversa de Código
b) Ingeniería inversa de Patch
3.- Se usa un Payload para automatizar
Comunidades Hacker
infohacking.com
Servidor de Día-0
• Zero Day Server es aquel que tiene todo el software que corre en su sistema actualizado y no tiene ningún bug conocido.
• Es el máximo nivel de seguridad que se puede alcanzar con el software que corre en un sistema.
• Existen Zero Day Exploits.
Auditoría de Seguridad
• El objetivo es dejar un Servidor en Día-0.
• No es la única auditoría de seguridad que debe realizarse.
• Se debe realizar de forma automática y de forma manual [“artesana”].
• Se debe realizar con la visión de un atacante y con la visión del administrador.
Auditoría Caja Negra• Se realiza desde fuera
• Ofrece la visión de un hacker
• No puede ser ejecutada desde dentro:– Falsos positivos
• No garantiza “Servidor Seguro”
• No todos los escáner ofrecen los mismos resultados.
• SSS, Nessus, GFI Languard, Retina, ISS Real Secure, etc …
Scanners de Vulnerabilidades• Satan, Saint, Sara
• Shadow Security Scanner– http://www.safety-lab.com
• GFI Languard Network Security Scanner– http:///www.gfihispana.com
• Retina– http://www.eeye.com
• Nessus– http://www.nessus.org
• NetBrute, R3X
Auditoría Caja Blanca
• Se realiza internamente
• Con privilegios y visualización completa del sistema
• Se utilizan herramientas proporcionadas por el fabricante o propias– MBSA– EXBPA– MOM 2005– ….
Sistemas de Control de Acceso
Sistemas Preventivos
• Dentro de las estrategias de Administración de la Seguridad existen tres funciones que son esenciales en cuanto a las acciones a aplicar para mitigar los riesgos asociados a los sistemas computacionales.– Prevención: Esta función guarda relación con planificar y
realizar todas aquellas actividades necesarias para evitar que se produzcan eventos de seguridad que puedan provocar algún daño sobre cualquier medio informático.
– Detección: Es la capacidad de poder detectar y reaccionar oportunamente frente a algún incidente de seguridad que se produzca para minimizar su daño.
– Recuperación: En caso de haberse producido daño, poder recuperar rápidamente la operación y los servicios esenciales del negocio DISASTER RECOVERY PLAN
Sistemas Preventivos
• Dentro de la función de Prevención, se pueden distinguir diferentes ámbitos de acción posible, los cuales es necesario tomar en consideración, para poder conseguir un adecuado nivel de seguridad en la LAN interna de las empresas, a saber:– Mecanismos de Control de Acceso.– Control de Acceso Perimetral. – Seguridad de las Operaciones.– Seguridad Física.
• NOTA: Solo los 2 primeros aspectos se verán con detalle en este HOL.
Qué es un Mecanismo de Control de Acceso
• Un mecanismo de control de acceso corresponde a ciertas herramientas que sirven para administrar de forma efectiva el debido acceso de cada uno de los usuarios y sujetos a cada uno de los respectivos recursos de un sistema informático.
• Los mecanismos de Control de Acceso tienen como misión proteger a los sistemas y activos informáticos de accesos no debidamente autorizados que puedan ocasionar algún daño a la información que éstos contienen.
• Estas herramientas y técnicas constituyen la primera línea de defensa contra los eventuales riesgos asociados con accesos externos.
¿Qué entendemos por acceso?Es el flujo de información entre un Sujeto y un Objeto•Sujeto: Entidad activa (persona o proceso que solicita información de un objeto para realizar un tarea, lo cual puede generar cambios en el estado de un sistema)•Objeto: Entidad pasiva que contiene información
Programas
Procesos
ProgramasOBJETO
SUJETO
Objetivos de los Mecanismos de Control de Acceso
• Los mecanismos de control de acceso (MCA) también buscan preservar el cumplimiento de los 3 principios fundamentales que gobiernan la seguridad de los sistemas informáticos.
integridad
Confidencialidad
Disponibilidad
¿Cómo se preservan estos principios?
• Confidencialidad: Con el fin de preservar un nivel de privacidad adecuado de la información que se alberga en los sistemas computacionales, los SCA, generan una definición de las necesidades reales de información de los usuarios.
• Integridad: Este principio vela por la total consistencia tanto externa como interna de la información y que ésta solo sea manipulada por entes debidamente autorizados.
• Disponibilidad: En este caso lo que se persigue es tener un acceso a los datos confiable y seguro para los usuarios autorizados.
Características esenciales de un Sistema de Control de Acceso (SCA)
• Todo SCA, debiera contener al menos las siguientes funcionalidades:– Proteger claves de acceso. – Desplegar e indicar los privilegios y restricciones que cada
usuario autorizado tiene.– Ser capaz de registrar y notificar todas las violaciones de
acceso cometidas en los sistemas IDS– Poseer la habilidad de restringir y bloquear los accesos de
forma dinámica y flexible.– Proteger las tablas de control de seguridad, diarios y
grupos de datos de almacenamiento.– Tener facilidad de mantenimiento y actualización para
agregar cambios en las plataformas que supervisa.
Etapas del Proceso de Control de Acceso
• El proceso de control de acceso, pasa por las siguientes fases o etapas: – El sujeto presenta ciertas credenciales de identificación y
ciertos niveles de privilegio. (Etapa de Identificación)– Hay que verificar si él es quien dice ser, y si las
credenciales que presenta corresponden a su asignación de responsabilidad. (Etapa de Autentificación)
– De ser exitosas las dos etapas anteriores, este usuario obtiene acceso a los recursos que ha solicitado (Etapa de Autorización).
– Se debe llevar un registro de todas y cada una de las acciones que éste realizó en el sistema (Auditabilidad)
Etapas de un control de Acceso
Identificación
autentificación
Autorización
Auditabilidad
Identificación
• El proceso de identificación de un individuo consiste en la presentación de credenciales que debieran acreditar su identidad. Éstas, en general son conocidas, y pueden ser: – Nombre de usuario (username)– Número de usuario (number ID)– Numero de cuenta (counter ID)– Dirección IP de la máquina que se conecta– Identificación del área funcional– Dirección MAC de la máquina que se conecta
• La más difundida de estas identificaciones es el nombre de usuario o la dirección de correo electrónico.
Autentificación
• El proceso de autentificación tiene que ver con la validación de la identidad de un individuo. Es decir, éste debe probar quien dice ser. Para ello debe presentar credenciales que permitan acreditar su identidad. Existen tres tipos de credenciales, más conocidas como factores de autentificación, que son:– Tipo1: Algo que la persona sabe (contraseña, PIN, frase,
etc.) – Tipo2: Algo que la persona posee (Carnet de identidad,
smartcard, etc.)– Tipo3: Algo que la persona es (su huella digital, etc.)
• Cuando un esquema de autentificación usa dos o más factores, se habla de autentificación robusta.
Autentificación Tipo1
• Contraseñas: Corresponde a un conjunto de caracteres que se le asigna a un determinado sujeto y que solo él debe conocer, para validar su identidad. A este respecto deben tenerse las siguientes consideraciones como parte de una política de administración de éstas:
– Estas claves no deben ser fácilmente deducibles (password triviales)– Debieran chequearse en todos los sistemas la existencia de contraseñas débiles y
eliminarlas. MBSA 2.0, SSS, GFILanguard, Retina……………– Los usuarios deberían cambiarlas cada cierto tiempo y, si fuera posible, no reutilizar
contraseñas viejas.– Debiera contarse con un mecanismo generador de claves robustas, para cada usuario
que requiera cambios. DE NIVEL C2– Debieran bloquearse las cuentas después de un cierto numero de intentos fallidos
(máximo 5)• Contraseñas dinámicas por SW: Corresponde a un programa que
genera números a partir de una base real (numero de tarjeta de crédito) mediante lo que se conoce como Función de Hashing
Tipos de contraseñas
• Contraseñas estáticas: Son las claves que se asignan una vez y no cambian en el tiempo.
• Contraseñas cognitivas: Son mecanismos de acceso que se basan en la formulación de una serie de preguntas personales para validar la identidad de una persona. Son utilizados en ciertos procesos que tienen poca frecuencia de uso (mecanismos de recuperación de contraseñas perdidas)
• Contraseñas Dinámicas: Corresponde a aquel tipo de contraseñas cuya vigencia es relativamente de corta duración (de unos días a unos cuantos minutos).
Password managers
• Con objeto de conseguir una protección real de estos sistemas, las claves de acceso ya creadas deberían ser almacenadas en un sistema que permita una verdadera protección y privacidad de ellas.
• Estos programas que realizan estas funciones de administración de claves de acceso, se conocen como administradores de contraseñas (password managers). Ej
– Ej: PasswordLock – http://www.internetpeace.com/pwlman/password_wallet.htm – Password Manager XP – http://www.cp-lab.com/ – Password Wallet from InfoCard – http://www.winsite.com/bin/Info?4000000037217 – Password Wallet from TigerSoft – http://www.inet.hr/tigersoft/pwallet.htm , etc.
• También existe una solución basada en dispositivos de hardware:– Trusted Computing Group– http://www.trustedcomputinggroup.org/
Autentificación Tipo2
• Token: Es un dispositivo portátil que despliega una secuencia de números que deben ser introducidos en la máquina, la cual está corriendo un mecanismo de autentificación interno para validar la identidad de quién desea ingresar en él. La validación se produce mediante la sincronización entre la información aportada por el Token y el mecanismo de autentificación del Computador Protegido (ver figura).
Server
Autentificación Tipo2
• MemoryCard: Es una tarjeta portátil, que tiene almacenada la información de autentificación del usuario. Ejemplo:– Tarjeta de entrada a un edificio o una empresa Tarjeta RedBanc
• SmartCard: Es un dispositivo similar al anterior, pero incorpora capacidad de procesamiento propia, lo cual permite un autentificación de 2 factores (pide escribir un Pin para desbloquear la tarjeta y una vez hecho esto, se incorpora la información proporcionada en la máquina debidamente protegida (ver figura).
• Frase Clave (PassPhrase): Es una serie de palabras que sirven para enmascarar una clave virtual, que permiten validar el acceso a ciertos servicios empresariales.
Server
Device
Autentificación Tipo3: Biometría
• Las medidas Biométricas son características especiales que identifican a los individuos en forma unívoca por sus rasgos biológicos más distintivos.
• Estas medidas se pueden obtener mediante dispositivos altamente sensibles, los que permiten medir la geometría de la mano, y ciertos patrones de la forma del ojo, para asegurar la identidad de los individuos.
• Sin embargo estos dispositivos no han tenido mucha difusión por los siguientes factores:– Se hace necesario un proceso de “enrolamiento” previo para
registrar la información de los personas.– La gente no está acostumbrada a “intervenirse” ciertos órganos
esenciales del cuerpo humano (ojos, manos).
Dispositivos Biométricos
• Debido a su alta sensibilidad estos dispositivos son susceptibles a ciertos errores denominados falsos positivos y falsos negativos.
Sensibilidad
Tasa Falso Positivo: Rechaza usuario valido (error tipo 1)
Tasa Falso Negativo= AceptaUsuario no valido(error tipo 2)
Tasa de ErrorCruzada(CER)
Tipos de Biometrías
• Escaneo de la palma de la mano.• Geometría de la Mano.• Escaneo del Iris.• Análisis de Patrón de Retina.• Huella Digital. • Reconocimiento de Voz.• Reconocimiento Facial.• Cadencia de la firma.• Cadencia de la forma de teclear.
Aceptabilidad de Biometrías
• Escaneo del Iris.• Cadencia de la forma de teclear.• Cadencia de la firma.• Reconocimiento de Voz.• Reconocimiento Facial.• Huella Digital. • Escaneo de la palma de la mano.• Geometría de la Mano.• Análisis de Patrón de Retina.
SmartCard
Agenda
• Visión general de Smart Cards– ¿Qué es una Smart Card?– Tarjeta y Lector
• Implementación de PKI en Windows Server 2003– Componentes de PKI– Inicio de sesión con Smart Card
• Implantación de Smart Cards
• DEMOS !!!!
Instalación de los Instalación de los Servicios de CertificadosServicios de Certificados
Smart Cards
Visión general de Smart Cards¿Qué es una Smart Card?
Tarjeta y Lector
¿Qué es una Smart Card?• Tarjeta de aspecto similar a las tarjetas de pago
actuales– ISO 7810 -> tamaño– ISO 7816 -> características físicas del soporte plástico (flexibilidad,
temperatura), posición de contactos eléctricos, forma de comunicación del chip con el exterior
– ISO 14443 -> SC de proximidad (contactless)– Otros estándares según función
• Telefonía celular digital• Tarjetas de crédito (Europay, Mastercard, Visa)• Monedero electrónico (Visacash, Mondex, Proton)
• Proporcionan portabilidad, seguridad y fácil utilización de los datos que almacenan.
• Contiene un chip de memoria únicamente o bien un chip de memoria y un microprocesador
Modelos más comunes
• Smart Cards de contacto– Se insertan en un lector.
– Contacto físico con el lector.
– ISO y USB-Token
Smart Card Services
CSP/SCSP/Otros SP
Smart Card
Fabricante de la SmartCard
Driver
Lector
Fabricante del lector
Win2K/XP/2K3
Componentes de la SmartCard
Smart Cards
Implementación de PKI en Windows Server 2003
Componentes de PKI
Inicio de sesión con Smart Card
Public Key Infrastructure
• La infraestructura de PKI alude al conjunto de componentes (basados en certificados y CAs) que permiten una comunicación segura entre ambos extremos de la comunicación.
• Objetivos:– Integridad de los datos– Autenticación de los extremos– Confidencialidad de los datos– Valor legal (Non-repudiation)– Imposibilidad de reutilización (Anti-replay)
Componentes de PKI Key and Certificate Management Tools
Certificate Publication Point
Certification Authority
Digital Certificate Public Key–Enabled
Applications and Services
Certificate Revocation List
PKI Tools
Category Tools
MMC snap-ins• Certification Authority• Certificates • Certificate Templates
Command line• Certutil.exe• Certreq.exe
Resource kit• PKI Health (PKIview.msc)• Key Recovery Tool
(KRT.EXE)
Autoridades Certificadoras• Enterprise Root CA• Enterprise Subordinate / Issuing CA• Stand-alone Root CA• Stand-alone Subordinate / Issuing CA
Es prioritario tener en cuenta que:
– Enterprise mode Integrado en AD• Los certificados y las plantillas serán publicados en el AD
y se emplearán recursos del dominio.
– Stand-alone mode Independiente• Se utiliza cuando no existe AD o bien cuando delegamos
en una tercera empresa la distribución de los certificados
Standalone CA Vs. Enterprise CA
Attributes Standalone CA Enterprise CAAD integration Non-AD integrated AD integrated
Enrollment method Web forms-basedMMC-based or Web forms-based
Certificate templates NoneSupports certificate templates
Subject information Entered manually Derived from AD
Certificate issuanceManual certificate approval
Based on certificate template DACL
Host serverWorkgroup or domain member
Domain member
Publication of CRL and certificate
Manual publication to AD
Automatic publication to AD
SoftwareCode Signing
SoftwareCode Signing
EncryptingFile SystemEncryptingFile System
Smart CardLogon
Smart CardLogon
WirelessSecurityWirelessSecurity
IP SecurityIP Security
DigitalSignatures
DigitalSignatures
InternetAuthentication
InternetAuthentication
SecureE-mailSecureE-mail
Aplicaciones que hacen uso de PKI
Windows .NETCertificate Services
Windows .NETCertificate Services
SoftwareRestriction Policy
SoftwareRestriction Policy
Verificación de la autenticidad del certificado (certificate chaining)
Step Process
Certificate discovery
1. Collect CA certificates from Cache, Group Policy, Enterprise Policy, applications, and AIA URLs.
Path validation
2. Process public key certificates and issuer certificates for validity. Path validation terminates at a root certificate.
Revocation checking
3. Ensure no certificates are revoked– Windows 2000: Revocation checked after
chain is built– Windows XP/W2K3: Revocation checked as
chain is built
Inicio de SesiónTarjetas Inteligentes
1 Card insertion causes Winlogon to display GINA
2 User inputs PIN
5 Kerberos sends certificate in a PKINIT login request to the KDC
7 KDC returns TGT, encrypted with a session key which is in turn encrypted using user’s public key
8 Smart card decrypts the TGT using private key allowing LSA to log user on
6 KDC verifies certificate then looks up principal in DS
ReaderReaderReaderReader
3 GINA passes PIN to LSA
SC
4 LSA accesses smart card and retrieves cert from card
LSALSA
Kerb
eros
Kerb
eros
Kerb
eros
Kerb
eros
KDCKDC
Implantación de política Implantación de política de inicio de sesión con de inicio de sesión con Smart CardSmart Card
Requisitos para iniciar sesión con Smart Cards
How to enroll an Smart Card using an Enrollment Agent
How to configure Smart Card removal behavior
SmartCards
Implantación de Smart Cards
Smart Cards en PKI
Entornos de uso de Smart Cards
• Almacenamiento seguro
de credenciales PKI• Incremento de seguridad:
‘two-factor authentication’• Aumento de la seguridad:
– de inicio de sesión de usuario interactivo– De autenticación de cliente para acceso selectivo a
datos, recursos y sitios Web– Inicio de sesión remoto (Dial-Up, VPN)– Autenticación Wireless
Recomendaciones para Usuarios y Políticas
• Usuarios– Definir política de uso de smart card para logon
interactivo– Definir qué ocurrirrá si el usuario extrae la tarjeta
del lector• Power Users y Administradores
– Definir política de uso de smart card para estas cuentas
• Uso de políticas de contraseña largas• RAS configurado para exigir autenticación vía Smart
Card
Configuración vía GPO
Configuración vía GPO
•Protocolos de autenticación en Windows Server System.•Estándar.
•PAP.•SPAP.•CHAP.•MS-CHAP.•MS-CHAPv2.
•Extensibles.•EAP y PEAP SMARTCARDS y CERTIFICADOS DIGITALES
Windows Server System
PROTOCOLOS SEGURIDAD SE USA CUANDO
PAP BAJAEl cliente y el servidor no puedan establecer negociaciones mediante un método seguro de validación.
SPAP MEDIASe conecte a Shiva LanRover o cuando un cliente Shiva se conecte a un servidor de acceso remoto de Windows.
CHAP ALTATenga clientes en los que no se ejecuten sistemas operativos de Microsoft.
MS-CHAP ALTATenga clientes en los que se ejecute Windows 2000 o una versión posterior, Windows NT 4.0 ó Microsoft Windows 95 ó una versión posterior.
MS-CHAPv2 ALTA
Tenga clientes de acceso telefónico en los que se ejecute Windows 2000 o una versión posterior, o clientes VPN en los que se ejecute Windows NT 4.0 ó Windows 98 ó una versión posterior. MS-CHAPv2 es el método más seguro de autenticación.
Nuevas funcionalidades de Smart Cards bajo W2K3
SSL en IIS 6.0 con OWA• Se recomienda utilizar solo conexiones SSL cuando se habilita la
autenticación básica. • Para habilitar SSL en el directorio virtual de RPC se debe obtener un
certificado y publicarlo en el sitio Web
1. Click Start, point to Administrative Tools, and then click Internet Information Services (IIS) Manager.
2. Expand Web Sites, expand Default Web Site, right-click Rpc, and then click Properties.
3. Click the Directory Security tab, and then click Edit under Secure communications.
4. Click to select the Require secure channel (SSL) check box and the Require 128-bit encryption check box.
Note We recommend that you click to select the Require 128-bit encryption check box. However, RPC over HTTP functions correctly even if you do not require 128-bit encryption.
5. Click OK, click Apply, and then click OK.
Certificados y firma digital en Outlook 2003.
• Firma digital Asociar una huella digital a mi e-mail– Huella digital.– Yo “firmo” los datos del correo electrónico.
• Cifrado Usar un certificado digital para firmar mi correo electrónico.– Encripta la información cuando se envía a través de Internet.– Garantiza la confidencialidad, integridad, y que la persona
que envía el correo es quién dice ser.– Evita ataques “man-in-the-middle” SNIFFING +
SPOOFING ARP = HIJACKING (SECUESTRO) Y ENVENAMIENTO DE SESIONES
IPSec - Introducción
• Gran cantidad de los datos que circulan por la red circulan en claro y pueden ser capturados e interpretados por un analizador de red.
• Estos datos además de ser interpretados pueden ser modificados y retransmitidos posteriormente a la red.
• Los sistemas no comprueban la autenticidad del origen de los datos.
IPSec - Escenarios
• El sistema IPSEC puede trabajar en dos modos:– Modo de transporte: donde la encriptación se realiza
de extremo a extremo.
– Modo túnel donde la encriptación se realiza únicamente entre los extremos del tunel.
Modos IPSEC
Cifrado
Modo de túnelProporciona cifrado y autenticación sólo entre los puntos finales del túnel
Cifrado
Modo de transporte
Proporciona cifrado y autenticación de extremo a extremo
IPSec en Windows 2000 - 2003
• Se configura mediante políticas.
– Almacenadas en el Directorio Activo o en en Registro Local del Servidor.
– Controlan la entrada y salida de paquetes permitidos.
IPSec - Políticas
• Podrán utilizarse políticas por defecto o las creadas manualmente.
• El sistema proporciona 3 políticas por defecto que van a determinar diferentes comportamientos de la máquina con respecto a IPSEC.– Cliente.– Servidor.– Servidor seguro.
Implementación IPSEC en un Implementación IPSEC en un HospitalHospital
Servidor B. de D.
Resto del Personal
Médico
Servidor SeguroServidor
No IPSEC
3ecto elgtasp3ecto elgtasp Texto claroTexto claroTexto Texto cifradocifrado
ConexiónConexión
IPSec - Despliegue
GPO
Domain
OU
Site
GPOGPO
• Despliegue centralizado desde el directorio activo.
• Configuración posible mediante plantillas.
Políticas de Grupo
Reglas IPSEC
• Las reglas IPSEC determinan el comportamiento del sistema en la transmisión de la información.
• Las reglas están compuestas por los siguientes objetos:– Filtros.– Acción de filtros.– Método de autentificación.
Configuración de Reglas IPSEC
• En la configuración de las reglas hay que especificar las siguientes acciones:– Determinar la posibilidad o no de establecer un túnel de
comunicación.
– Qué redes se van a ver afectadas por la regla.
– El método de autentificación inicial para la transmisión.
– Métodos de seguridad.
– Los filtros y las acciones de filtrado.
IPSec - Filtros
• En la configuración de los filtros hay que especificar los siguientes parámetros:– Determinar la posibilidad o no de establecer un túnel de
comunicación.
– Qué redes o equipos se van a ver afectados.
– El método de autentificación para la transmisión.
– Métodos de seguridad.
– Las acciones de filtrado.
Métodos de autentificación
• Determinan el proceso inicial de la comunicación IPSEC.
• Existen 3 metodologías de autentificación:– Clave Compartida.
– Kerberos.
– Certificado.
IPSec - Autenticación
• Kerberos– Requiere tiempo de sincronización.– Solo dentro del bosque.
• Certificados – Requiere la implementación de PKI.– CRL está deshabilitado por defecto.
• Secretos Compartidos.– Tan seguro como sea el secreto.– En entornos grandes es dificil de mantener.
Métodos de seguridad
• Determina la seguridad de la transmisión de la información.
• Se pueden definir:– Integridad AH (Algoritmos SHA1, MD5).
– Integridad ESP (Algoritmos SHA1, MD5).
– Confidencialidad ESP (Algoritmos DES, 3DES).
Acceso seguro: Acceso seguro: IPSec + EFS + CertificadosIPSec + EFS + Certificados
Autenticación Biométrica
Próximas Acciones
Servidores:
http://www.microsoft.com/spain/HOLsistemas
Desarrollo:
http://www.microsoft.com/spain/HOLdesarrollo
Boletín quincenal TechNews
Boletín quincenal TechNews
¿ Preguntas ?
Contacto
• Javier Pereña Peñaranda– [email protected]
• Technet – http://www.microsoft.com/spain/technet
• Informatica64– http://www.informatica64.com – [email protected] – +34 91 665 99 98
• Material Seminarios– http://www.informatica64.com/handsonlab/handsonlab.asp