Windows Server 2003Certificate Services. PKI.

Javier Pereña Peñaranda

Ingeniero de Sistemas

jperena@informatica64.com

Código: HOL-WIN09

Agenda• Introducción PKI.

– Conceptos básicos de seguridad.• Sistemas de control de acceso.

– Sistemas Preventivos– Qué es un Mecanismo

de Control de Acceso– ¿Qué entendemos por acceso?– Objetivos de los

Mecanismos de Control de Acceso– ¿Cómo se preservan

estos principios?– Características esenciales de un Sistema de Control de

Acceso (SCA)– Etapas del Proceso de Control de Acceso– Identificación

Agenda

• Autentificación– Autentificación Tipo1

» Tipos de contraseñas.» Passwords managers

– Autentificación Tipo 2– Autentificación Tipo 3: Biometría

» Dispositivos Biométricos.» Tipos de Biometrías.» Aceptabilidad de Biometrías.

• Certificate Services. Implementación de PKI en Windows Server 2003– Componentes de PKI– Inicio de sesión con Smart Card

• Implantación de Smart Cards• DEMOS !!!!

Agenda

• SSL en IIS 6.0 con OWA.– Solicitud de certificados.– Instalación de certificados.– Mantenimiento de certificados.

• Certificados y firma digital en Outlook 2003.– Firma digital.– Encriptación.

• IPSec.– Introducción.– Escenarios.– Implementación.

• DEMOS !!!!

Agenda

• DEMO. Autenticación biométrica mediante OneTouch by Intuate biometrics

Agenda

• FUTURO Protocolo SET. Aplicación práctica de “smartcards” al e-commerce.– Características.– Entorno.– Certificación.– Jerarquía de certificación.– Autoridades de Registro.– Procedimiento.– Pago electrónico.– Ventajas sobre SSL.– SET frente a SSL y TLS

Introducción a la Seguridad

Gestión de la SeguridadGestión de la Seguridad

PersonasPersonas

Tecnología

TecnologíaProc

esos

Proc

esos

Bug

• Un error de software o computer bug, que significa bicho de computadora, es el resultado de una falla de programación introducida en el proceso de creación de programas de computadora. El término bug fue acreditado erróneamente a Grace Murray Hopper, una pionera en la historia de la computación, pero Thomas Edison ya lo empleaba en sus trabajos para describir defectos en sistemas mecánicos por el año 1870.

Fuente: Wikipedia en Español

Bug

Exploit• Exploit (viene de to exploit - aprovechar) - código escrito

con el fin de aprovechar un error de programación para obtener diversos privilegios. software.

• Un buen número de exploits tienen su origen en un conjunto de fallos similares. Algunos de los grupos de vulnerabilidades más conocidos son:

– Vulnerabilidades de desbordamiento de pila o buffer overflow. – Vulnerabilidades de condición de carrera (Race condition). – Vulnerabilidades de error de formato de cadena (format string bugs). – Vulnerabilidades de Cross Site Scripting (XSS). – Vulnerabilidades de inyección SQL (SQL injection). – Vulnerabilidades de inyeccion de caraceres (CRLF).

Fuente: Wikipedia en Español

Proceso explotación Vulnerabilidad

1.- Se descubre una vulnerabilidad

a) Por el fabricante

b) Por un tercero

2.- Se aprende a explotarlo

a) Ingeniería inversa de Código

b) Ingeniería inversa de Patch

3.- Se usa un Payload para automatizar

Comunidades Hacker

infohacking.com

Servidor de Día-0

• Zero Day Server es aquel que tiene todo el software que corre en su sistema actualizado y no tiene ningún bug conocido.

• Es el máximo nivel de seguridad que se puede alcanzar con el software que corre en un sistema.

• Existen Zero Day Exploits.

Auditoría de Seguridad

• El objetivo es dejar un Servidor en Día-0.

• No es la única auditoría de seguridad que debe realizarse.

• Se debe realizar de forma automática y de forma manual [“artesana”].

• Se debe realizar con la visión de un atacante y con la visión del administrador.

Auditoría Caja Negra• Se realiza desde fuera

• Ofrece la visión de un hacker

• No puede ser ejecutada desde dentro:– Falsos positivos

• No garantiza “Servidor Seguro”

• No todos los escáner ofrecen los mismos resultados.

• SSS, Nessus, GFI Languard, Retina, ISS Real Secure, etc …

Scanners de Vulnerabilidades• Satan, Saint, Sara

• Shadow Security Scanner– http://www.safety-lab.com

• GFI Languard Network Security Scanner– http:///www.gfihispana.com

• Retina– http://www.eeye.com

• Nessus– http://www.nessus.org

• NetBrute, R3X

Auditoría Caja Blanca

• Se realiza internamente

• Con privilegios y visualización completa del sistema

• Se utilizan herramientas proporcionadas por el fabricante o propias– MBSA– EXBPA– MOM 2005– ….

Sistemas de Control de Acceso

Sistemas Preventivos

• Dentro de las estrategias de Administración de la Seguridad existen tres funciones que son esenciales en cuanto a las acciones a aplicar para mitigar los riesgos asociados a los sistemas computacionales.– Prevención: Esta función guarda relación con planificar y

realizar todas aquellas actividades necesarias para evitar que se produzcan eventos de seguridad que puedan provocar algún daño sobre cualquier medio informático.

– Detección: Es la capacidad de poder detectar y reaccionar oportunamente frente a algún incidente de seguridad que se produzca para minimizar su daño.

– Recuperación: En caso de haberse producido daño, poder recuperar rápidamente la operación y los servicios esenciales del negocio DISASTER RECOVERY PLAN

Sistemas Preventivos

• Dentro de la función de Prevención, se pueden distinguir diferentes ámbitos de acción posible, los cuales es necesario tomar en consideración, para poder conseguir un adecuado nivel de seguridad en la LAN interna de las empresas, a saber:– Mecanismos de Control de Acceso.– Control de Acceso Perimetral. – Seguridad de las Operaciones.– Seguridad Física.

• NOTA: Solo los 2 primeros aspectos se verán con detalle en este HOL.

Qué es un Mecanismo de Control de Acceso

• Un mecanismo de control de acceso corresponde a ciertas herramientas que sirven para administrar de forma efectiva el debido acceso de cada uno de los usuarios y sujetos a cada uno de los respectivos recursos de un sistema informático.

• Los mecanismos de Control de Acceso tienen como misión proteger a los sistemas y activos informáticos de accesos no debidamente autorizados que puedan ocasionar algún daño a la información que éstos contienen.

• Estas herramientas y técnicas constituyen la primera línea de defensa contra los eventuales riesgos asociados con accesos externos.

¿Qué entendemos por acceso?Es el flujo de información entre un Sujeto y un Objeto•Sujeto: Entidad activa (persona o proceso que solicita información de un objeto para realizar un tarea, lo cual puede generar cambios en el estado de un sistema)•Objeto: Entidad pasiva que contiene información

Programas

Procesos

ProgramasOBJETO

SUJETO

Objetivos de los Mecanismos de Control de Acceso

• Los mecanismos de control de acceso (MCA) también buscan preservar el cumplimiento de los 3 principios fundamentales que gobiernan la seguridad de los sistemas informáticos.

integridad

Confidencialidad

Disponibilidad

¿Cómo se preservan estos principios?

• Confidencialidad: Con el fin de preservar un nivel de privacidad adecuado de la información que se alberga en los sistemas computacionales, los SCA, generan una definición de las necesidades reales de información de los usuarios.

• Integridad: Este principio vela por la total consistencia tanto externa como interna de la información y que ésta solo sea manipulada por entes debidamente autorizados.

• Disponibilidad: En este caso lo que se persigue es tener un acceso a los datos confiable y seguro para los usuarios autorizados.

Características esenciales de un Sistema de Control de Acceso (SCA)

• Todo SCA, debiera contener al menos las siguientes funcionalidades:– Proteger claves de acceso. – Desplegar e indicar los privilegios y restricciones que cada

usuario autorizado tiene.– Ser capaz de registrar y notificar todas las violaciones de

acceso cometidas en los sistemas IDS– Poseer la habilidad de restringir y bloquear los accesos de

forma dinámica y flexible.– Proteger las tablas de control de seguridad, diarios y

grupos de datos de almacenamiento.– Tener facilidad de mantenimiento y actualización para

agregar cambios en las plataformas que supervisa.

Etapas del Proceso de Control de Acceso

• El proceso de control de acceso, pasa por las siguientes fases o etapas: – El sujeto presenta ciertas credenciales de identificación y

ciertos niveles de privilegio. (Etapa de Identificación)– Hay que verificar si él es quien dice ser, y si las

credenciales que presenta corresponden a su asignación de responsabilidad. (Etapa de Autentificación)

– De ser exitosas las dos etapas anteriores, este usuario obtiene acceso a los recursos que ha solicitado (Etapa de Autorización).

– Se debe llevar un registro de todas y cada una de las acciones que éste realizó en el sistema (Auditabilidad)

Etapas de un control de Acceso

Identificación

autentificación

Autorización

Auditabilidad

Identificación

• El proceso de identificación de un individuo consiste en la presentación de credenciales que debieran acreditar su identidad. Éstas, en general son conocidas, y pueden ser: – Nombre de usuario (username)– Número de usuario (number ID)– Numero de cuenta (counter ID)– Dirección IP de la máquina que se conecta– Identificación del área funcional– Dirección MAC de la máquina que se conecta

• La más difundida de estas identificaciones es el nombre de usuario o la dirección de correo electrónico.

Autentificación

• El proceso de autentificación tiene que ver con la validación de la identidad de un individuo. Es decir, éste debe probar quien dice ser. Para ello debe presentar credenciales que permitan acreditar su identidad. Existen tres tipos de credenciales, más conocidas como factores de autentificación, que son:– Tipo1: Algo que la persona sabe (contraseña, PIN, frase,

etc.) – Tipo2: Algo que la persona posee (Carnet de identidad,

smartcard, etc.)– Tipo3: Algo que la persona es (su huella digital, etc.)

• Cuando un esquema de autentificación usa dos o más factores, se habla de autentificación robusta.

Autentificación Tipo1

• Contraseñas: Corresponde a un conjunto de caracteres que se le asigna a un determinado sujeto y que solo él debe conocer, para validar su identidad. A este respecto deben tenerse las siguientes consideraciones como parte de una política de administración de éstas:

– Estas claves no deben ser fácilmente deducibles (password triviales)– Debieran chequearse en todos los sistemas la existencia de contraseñas débiles y

eliminarlas. MBSA 2.0, SSS, GFILanguard, Retina……………– Los usuarios deberían cambiarlas cada cierto tiempo y, si fuera posible, no reutilizar

contraseñas viejas.– Debiera contarse con un mecanismo generador de claves robustas, para cada usuario

que requiera cambios. DE NIVEL C2– Debieran bloquearse las cuentas después de un cierto numero de intentos fallidos

(máximo 5)• Contraseñas dinámicas por SW: Corresponde a un programa que

genera números a partir de una base real (numero de tarjeta de crédito) mediante lo que se conoce como Función de Hashing

Tipos de contraseñas

• Contraseñas estáticas: Son las claves que se asignan una vez y no cambian en el tiempo.

• Contraseñas cognitivas: Son mecanismos de acceso que se basan en la formulación de una serie de preguntas personales para validar la identidad de una persona. Son utilizados en ciertos procesos que tienen poca frecuencia de uso (mecanismos de recuperación de contraseñas perdidas)

• Contraseñas Dinámicas: Corresponde a aquel tipo de contraseñas cuya vigencia es relativamente de corta duración (de unos días a unos cuantos minutos).

Password managers

• Con objeto de conseguir una protección real de estos sistemas, las claves de acceso ya creadas deberían ser almacenadas en un sistema que permita una verdadera protección y privacidad de ellas.

• Estos programas que realizan estas funciones de administración de claves de acceso, se conocen como administradores de contraseñas (password managers). Ej

– Ej: PasswordLock –   http://www.internetpeace.com/pwlman/password_wallet.htm – Password Manager XP –   http://www.cp-lab.com/ – Password Wallet from InfoCard –    http://www.winsite.com/bin/Info?4000000037217 – Password Wallet from TigerSoft –    http://www.inet.hr/tigersoft/pwallet.htm , etc.

• También existe una solución basada en dispositivos de hardware:– Trusted Computing Group– http://www.trustedcomputinggroup.org/

Autentificación Tipo2

• Token: Es un dispositivo portátil que despliega una secuencia de números que deben ser introducidos en la máquina, la cual está corriendo un mecanismo de autentificación interno para validar la identidad de quién desea ingresar en él. La validación se produce mediante la sincronización entre la información aportada por el Token y el mecanismo de autentificación del Computador Protegido (ver figura).

Server

Autentificación Tipo2

• MemoryCard: Es una tarjeta portátil, que tiene almacenada la información de autentificación del usuario. Ejemplo:– Tarjeta de entrada a un edificio o una empresa Tarjeta RedBanc

• SmartCard: Es un dispositivo similar al anterior, pero incorpora capacidad de procesamiento propia, lo cual permite un autentificación de 2 factores (pide escribir un Pin para desbloquear la tarjeta y una vez hecho esto, se incorpora la información proporcionada en la máquina debidamente protegida (ver figura).

• Frase Clave (PassPhrase): Es una serie de palabras que sirven para enmascarar una clave virtual, que permiten validar el acceso a ciertos servicios empresariales.

Server

Device

Autentificación Tipo3: Biometría

• Las medidas Biométricas son características especiales que identifican a los individuos en forma unívoca por sus rasgos biológicos más distintivos.

• Estas medidas se pueden obtener mediante dispositivos altamente sensibles, los que permiten medir la geometría de la mano, y ciertos patrones de la forma del ojo, para asegurar la identidad de los individuos.

• Sin embargo estos dispositivos no han tenido mucha difusión por los siguientes factores:– Se hace necesario un proceso de “enrolamiento” previo para

registrar la información de los personas.– La gente no está acostumbrada a “intervenirse” ciertos órganos

esenciales del cuerpo humano (ojos, manos).

Dispositivos Biométricos

• Debido a su alta sensibilidad estos dispositivos son susceptibles a ciertos errores denominados falsos positivos y falsos negativos.

Sensibilidad

Tasa Falso Positivo: Rechaza usuario valido (error tipo 1)

Tasa Falso Negativo= AceptaUsuario no valido(error tipo 2)

Tasa de ErrorCruzada(CER)

Tipos de Biometrías

• Escaneo de la palma de la mano.• Geometría de la Mano.• Escaneo del Iris.• Análisis de Patrón de Retina.• Huella Digital. • Reconocimiento de Voz.• Reconocimiento Facial.• Cadencia de la firma.• Cadencia de la forma de teclear.

Aceptabilidad de Biometrías

• Escaneo del Iris.• Cadencia de la forma de teclear.• Cadencia de la firma.• Reconocimiento de Voz.• Reconocimiento Facial.• Huella Digital. • Escaneo de la palma de la mano.• Geometría de la Mano.• Análisis de Patrón de Retina.

SmartCard

Agenda

• Visión general de Smart Cards– ¿Qué es una Smart Card?– Tarjeta y Lector

• Implementación de PKI en Windows Server 2003– Componentes de PKI– Inicio de sesión con Smart Card

• Implantación de Smart Cards

• DEMOS !!!!

Instalación de los Instalación de los Servicios de CertificadosServicios de Certificados

Smart Cards

Visión general de Smart Cards¿Qué es una Smart Card?

Tarjeta y Lector

¿Qué es una Smart Card?• Tarjeta de aspecto similar a las tarjetas de pago

actuales– ISO 7810 -> tamaño– ISO 7816 -> características físicas del soporte plástico (flexibilidad,

temperatura), posición de contactos eléctricos, forma de comunicación del chip con el exterior

– ISO 14443 -> SC de proximidad (contactless)– Otros estándares según función

• Telefonía celular digital• Tarjetas de crédito (Europay, Mastercard, Visa)• Monedero electrónico (Visacash, Mondex, Proton)

• Proporcionan portabilidad, seguridad y fácil utilización de los datos que almacenan.

• Contiene un chip de memoria únicamente o bien un chip de memoria y un microprocesador

Modelos más comunes

• Smart Cards de contacto– Se insertan en un lector.

– Contacto físico con el lector.

– ISO y USB-Token

Smart Card Services

CSP/SCSP/Otros SP

Smart Card

Fabricante de la SmartCard

Driver

Lector

Fabricante del lector

Win2K/XP/2K3

Componentes de la SmartCard

Smart Cards

Implementación de PKI en Windows Server 2003

Componentes de PKI

Inicio de sesión con Smart Card

Public Key Infrastructure

• La infraestructura de PKI alude al conjunto de componentes (basados en certificados y CAs) que permiten una comunicación segura entre ambos extremos de la comunicación.

• Objetivos:– Integridad de los datos– Autenticación de los extremos– Confidencialidad de los datos– Valor legal (Non-repudiation)– Imposibilidad de reutilización (Anti-replay)

Componentes de PKI Key and Certificate Management Tools

Certificate Publication Point

Certification Authority

Digital Certificate Public Key–Enabled

Applications and Services

Certificate Revocation List

PKI Tools

Category Tools

MMC snap-ins• Certification Authority• Certificates • Certificate Templates

Command line• Certutil.exe• Certreq.exe

Resource kit• PKI Health (PKIview.msc)• Key Recovery Tool

(KRT.EXE)

Autoridades Certificadoras• Enterprise Root CA• Enterprise Subordinate / Issuing CA• Stand-alone Root CA• Stand-alone Subordinate / Issuing CA

Es prioritario tener en cuenta que:

– Enterprise mode Integrado en AD• Los certificados y las plantillas serán publicados en el AD

y se emplearán recursos del dominio.

– Stand-alone mode Independiente• Se utiliza cuando no existe AD o bien cuando delegamos

en una tercera empresa la distribución de los certificados

Standalone CA Vs. Enterprise CA

Attributes Standalone CA Enterprise CAAD integration Non-AD integrated AD integrated

Enrollment method Web forms-basedMMC-based or Web forms-based

Certificate templates NoneSupports certificate templates

Subject information Entered manually Derived from AD

Certificate issuanceManual certificate approval

Based on certificate template DACL

Host serverWorkgroup or domain member

Domain member

Publication of CRL and certificate

Manual publication to AD

Automatic publication to AD

SoftwareCode Signing

SoftwareCode Signing

EncryptingFile SystemEncryptingFile System

Smart CardLogon

Smart CardLogon

WirelessSecurityWirelessSecurity

IP SecurityIP Security

DigitalSignatures

DigitalSignatures

InternetAuthentication

InternetAuthentication

SecureE-mailSecureE-mail

Aplicaciones que hacen uso de PKI

Windows .NETCertificate Services

Windows .NETCertificate Services

SoftwareRestriction Policy

SoftwareRestriction Policy

Verificación de la autenticidad del certificado (certificate chaining)

Step Process

Certificate discovery

1. Collect CA certificates from Cache, Group Policy, Enterprise Policy, applications, and AIA URLs.

Path validation

2. Process public key certificates and issuer certificates for validity. Path validation terminates at a root certificate.

Revocation checking

3. Ensure no certificates are revoked– Windows 2000: Revocation checked after

chain is built– Windows XP/W2K3: Revocation checked as

chain is built

Inicio de SesiónTarjetas Inteligentes

1 Card insertion causes Winlogon to display GINA

2 User inputs PIN

5 Kerberos sends certificate in a PKINIT login request to the KDC

7 KDC returns TGT, encrypted with a session key which is in turn encrypted using user’s public key

8 Smart card decrypts the TGT using private key allowing LSA to log user on

6 KDC verifies certificate then looks up principal in DS

ReaderReaderReaderReader

3 GINA passes PIN to LSA

SC

4 LSA accesses smart card and retrieves cert from card

LSALSA

Kerb

eros

Kerb

eros

Kerb

eros

Kerb

eros

KDCKDC

Implantación de política Implantación de política de inicio de sesión con de inicio de sesión con Smart CardSmart Card

Requisitos para iniciar sesión con Smart Cards

How to enroll an Smart Card using an Enrollment Agent

How to configure Smart Card removal behavior

SmartCards

Implantación de Smart Cards

Smart Cards en PKI

Entornos de uso de Smart Cards

• Almacenamiento seguro

de credenciales PKI• Incremento de seguridad:

‘two-factor authentication’• Aumento de la seguridad:

– de inicio de sesión de usuario interactivo– De autenticación de cliente para acceso selectivo a

datos, recursos y sitios Web– Inicio de sesión remoto (Dial-Up, VPN)– Autenticación Wireless

Recomendaciones para Usuarios y Políticas

• Usuarios– Definir política de uso de smart card para logon

interactivo– Definir qué ocurrirrá si el usuario extrae la tarjeta

del lector• Power Users y Administradores

– Definir política de uso de smart card para estas cuentas

• Uso de políticas de contraseña largas• RAS configurado para exigir autenticación vía Smart

Card

Configuración vía GPO

Configuración vía GPO

•Protocolos de autenticación en Windows Server System.•Estándar.

•PAP.•SPAP.•CHAP.•MS-CHAP.•MS-CHAPv2.

•Extensibles.•EAP y PEAP SMARTCARDS y CERTIFICADOS DIGITALES

Windows Server System

PROTOCOLOS SEGURIDAD SE USA CUANDO

PAP BAJAEl cliente y el servidor no puedan establecer negociaciones mediante un método seguro de validación.

SPAP MEDIASe conecte a Shiva LanRover o cuando un cliente Shiva se conecte a un servidor de acceso remoto de Windows.

CHAP ALTATenga clientes en los que no se ejecuten sistemas operativos de Microsoft.

MS-CHAP ALTATenga clientes en los que se ejecute Windows 2000 o una versión posterior, Windows NT 4.0 ó Microsoft Windows 95 ó una versión posterior.

MS-CHAPv2 ALTA

Tenga clientes de acceso telefónico en los que se ejecute Windows 2000 o una versión posterior, o clientes VPN en los que se ejecute Windows NT 4.0 ó Windows 98 ó una versión posterior. MS-CHAPv2 es el método más seguro de autenticación.

Nuevas funcionalidades de Smart Cards bajo W2K3

SSL en IIS 6.0 con OWA• Se recomienda utilizar solo conexiones SSL cuando se habilita la

autenticación básica. • Para habilitar SSL en el directorio virtual de RPC se debe obtener un

certificado y publicarlo en el sitio Web

1. Click Start, point to Administrative Tools, and then click Internet Information Services (IIS) Manager.

2. Expand Web Sites, expand Default Web Site, right-click Rpc, and then click Properties.

3. Click the Directory Security tab, and then click Edit under Secure communications.

4. Click to select the Require secure channel (SSL) check box and the Require 128-bit encryption check box.

Note We recommend that you click to select the Require 128-bit encryption check box. However, RPC over HTTP functions correctly even if you do not require 128-bit encryption.

5. Click OK, click Apply, and then click OK.

Certificados y firma digital en Outlook 2003.

• Firma digital Asociar una huella digital a mi e-mail– Huella digital.– Yo “firmo” los datos del correo electrónico.

• Cifrado Usar un certificado digital para firmar mi correo electrónico.– Encripta la información cuando se envía a través de Internet.– Garantiza la confidencialidad, integridad, y que la persona

que envía el correo es quién dice ser.– Evita ataques “man-in-the-middle” SNIFFING +

SPOOFING ARP = HIJACKING (SECUESTRO) Y ENVENAMIENTO DE SESIONES

IPSec - Introducción

• Gran cantidad de los datos que circulan por la red circulan en claro y pueden ser capturados e interpretados por un analizador de red.

• Estos datos además de ser interpretados pueden ser modificados y retransmitidos posteriormente a la red.

• Los sistemas no comprueban la autenticidad del origen de los datos.

IPSec - Escenarios

• El sistema IPSEC puede trabajar en dos modos:– Modo de transporte: donde la encriptación se realiza

de extremo a extremo.

– Modo túnel donde la encriptación se realiza únicamente entre los extremos del tunel.

Modos IPSEC

Cifrado

Modo de túnelProporciona cifrado y autenticación sólo entre los puntos finales del túnel

Cifrado

Modo de transporte

Proporciona cifrado y autenticación de extremo a extremo

IPSec en Windows 2000 - 2003

• Se configura mediante políticas.

– Almacenadas en el Directorio Activo o en en Registro Local del Servidor.

– Controlan la entrada y salida de paquetes permitidos.

IPSec - Políticas

• Podrán utilizarse políticas por defecto o las creadas manualmente.

• El sistema proporciona 3 políticas por defecto que van a determinar diferentes comportamientos de la máquina con respecto a IPSEC.– Cliente.– Servidor.– Servidor seguro.

Implementación IPSEC en un Implementación IPSEC en un HospitalHospital

Servidor B. de D.

Resto del Personal

Médico

Servidor SeguroServidor

No IPSEC

3ecto elgtasp3ecto elgtasp Texto claroTexto claroTexto Texto cifradocifrado

ConexiónConexión

IPSec - Despliegue

GPO

Domain

OU

Site

GPOGPO

• Despliegue centralizado desde el directorio activo.

• Configuración posible mediante plantillas.

Políticas de Grupo

Reglas IPSEC

• Las reglas IPSEC determinan el comportamiento del sistema en la transmisión de la información.

• Las reglas están compuestas por los siguientes objetos:– Filtros.– Acción de filtros.– Método de autentificación.

Configuración de Reglas IPSEC

• En la configuración de las reglas hay que especificar las siguientes acciones:– Determinar la posibilidad o no de establecer un túnel de

comunicación.

– Qué redes se van a ver afectadas por la regla.

– El método de autentificación inicial para la transmisión.

– Métodos de seguridad.

– Los filtros y las acciones de filtrado.

IPSec - Filtros

• En la configuración de los filtros hay que especificar los siguientes parámetros:– Determinar la posibilidad o no de establecer un túnel de

comunicación.

– Qué redes o equipos se van a ver afectados.

– El método de autentificación para la transmisión.

– Métodos de seguridad.

– Las acciones de filtrado.

Métodos de autentificación

• Determinan el proceso inicial de la comunicación IPSEC.

• Existen 3 metodologías de autentificación:– Clave Compartida.

– Kerberos.

– Certificado.

IPSec - Autenticación

• Kerberos– Requiere tiempo de sincronización.– Solo dentro del bosque.

• Certificados – Requiere la implementación de PKI.– CRL está deshabilitado por defecto.

• Secretos Compartidos.– Tan seguro como sea el secreto.– En entornos grandes es dificil de mantener.

Métodos de seguridad

• Determina la seguridad de la transmisión de la información.

• Se pueden definir:– Integridad AH (Algoritmos SHA1, MD5).

– Integridad ESP (Algoritmos SHA1, MD5).

– Confidencialidad ESP (Algoritmos DES, 3DES).

Acceso seguro: Acceso seguro: IPSec + EFS + CertificadosIPSec + EFS + Certificados

Autenticación Biométrica

Próximas Acciones

Servidores:

http://www.microsoft.com/spain/HOLsistemas

Desarrollo:

http://www.microsoft.com/spain/HOLdesarrollo

Boletín quincenal TechNews

Boletín quincenal TechNews

¿ Preguntas ?

Contacto

• Javier Pereña Peñaranda– jperena@informatica64.com

• Technet – http://www.microsoft.com/spain/technet

• Informatica64– http://www.informatica64.com – informatica64@informatica64.com – +34 91 665 99 98

• Material Seminarios– http://www.informatica64.com/handsonlab/handsonlab.asp