Vigilancia de seguridadAcceso seguro desde cualquier lugar

John Morello

Una de las tendencias innegables en la tecnología actual es el incremento de la conectividad y la movilidad de los trabajadores. Muchas organizaciones tienen personal que realiza sus funciones desde oficinas distantes, trabaja de forma remota o viaja con frecuencia para visitar a los clientes. Si estos usuarios disponen de acceso sencillo a las aplicaciones y los datos, independientemente de su ubicación, serán más

productivos. Sin embargo, hasta hace poco, la disponibilidad de acceso remoto seguro a menudo implicaba la instalación de software de cliente, el uso de comandos largos y misteriosos, y tiempos de conexión prolongados.

Durante los últimos años, han surgido varios enfoques que han convertido el acceso remoto en una tecnología más sencilla y accesible. Por ejemplo, Outlook® Web Access (OWA) ofrece una manera simple basada en explorador de que los usuarios puedan obtener acceso a su correo electrónico, el calendario y los contactos sin las complejidades de una red privada virtual (VPN) de nivel 3. Aunque las tecnologías como OWA pueden constituir una pieza importante de una solución de "acceso desde cualquier lugar", la mayoría de las organizaciones tienen muchas aplicaciones clave que no permiten la misma clase de experiencia integrada de explorador. En estos casos, las soluciones como Terminal Services ofrecen un método eficaz para otorgar a los usuarios acceso a sus aplicaciones allí donde se encuentren.

En Windows Server® 2008, Microsoft mejoró considerablemente el paquete de funciones integradas de Terminal Services. Ahora, Terminal Services incluye una característica de publicación por aplicación en ventanas de conexión directa llamada RemoteApp, una función de controlador de impresión universal en EasyPrint y un portal basado en explorador llamado Acceso web de TS. Además, y este es un aspecto clave en el escenario de acceso desde cualquier lugar, Windows Server 2008 incluye también el componente Puerta de enlace de TS, que ofrece encapsulación SSL para el Protocolo de escritorio remoto (RDP), con lo que puede atravesar dispositivos de traducción de direcciones de red (NAT) y firewalls de un modo fácil y seguro. La función Puerta de enlace de TS se integra también con la Protección de acceso a redes (NAP), otra tecnología nueva en Windows Server 2008 que se encarga de inspeccionar el estado de los clientes de extremo. Cuando se combinan todos estos componentes, las organizaciones tienen la capacidad de crear soluciones que permiten a los usuarios obtener acceso sencillo y seguro a sus aplicaciones y datos desde cualquier parte.

Esta columna se centra en los aspectos de diseño de seguridad y red de una solución de acceso desde cualquier lugar, y no tanto así en los detalles de administración de los componentes de Servicios de Terminal Server. Describiré los métodos y las prácticas recomendadas para la creación de esta solución con base en la tecnología incluida en Windows Server 2008.

¿Cuál es el problema asociado a las redes privadas virtuales de nivel 3?

Al considerar la adopción de cualquier tecnología nueva, es importante que comprenda sus ventajas con respecto a otros enfoques actuales de modo que pueda evaluar exactamente el valor del modelo nuevo. En el caso de una VPN clásica de nivel 3, suelen darse dos problemas principales que es necesario solucionar: seguridad y facilidad de uso.

Puede parecer ilógico mencionar la seguridad como un problema inherente a muchas de las VPN actuales basadas en nivel 3. ¿No es el objetivo absoluto de una VPN proporcionar un túnel seguro por Internet? Para entender este concepto, parémonos un momento a pensar qué cosas solemos tomar como amenazas de VPN. No digo que los datos transmitidos por estas VPN estén en peligro de interceptación o modificación; la mayoría de las VPN de nivel 3 ofrecen cifrado excelente de la secuencia de datos. En lugar de esto, piense en las amenazas que representan los equipos remotos con acceso completo a todos los puertos y todos los protocolos en la red de su organización. El problema no está en las secuencias de datos que las VPN de nivel 3 cifran y transmiten por la red, sino en los clientes remotos que se conectan a través de estos túneles y que suponen un incremento del riesgo para la red interna. Recuerde que la mayoría de las organizaciones afectadas por malware como Slammer o Blaster no recibieron la infección de equipos en la red interna ni de piratas informáticos capaces de burlar el firewall. La infección provino de trabajadores remotos que conectaron a sus redes mediante VPN desde equipos infectados. Cuando estas VPN crean conexiones basadas en nivel 3 completamente enrutadas, el equipo remoto a menudo goza de tanto acceso (bueno y malo) a los recursos internos como cualquier equipo ubicado en el centro de datos.

Lo que es más, las VPN de nivel 3 suelen ser caras de operar, ya que requieren la instalación y la configuración de software en equipos que no están administrados por un grupo de TI de la organización. Por ejemplo, la instalación de un cliente de VPN en el equipo doméstico de un usuario puede conllevar la creación de paquetes de instalación personalizados, indicaciones de instalación detalladas que el usuario debe seguir y conflictos de solución de problemas con aplicaciones en el equipo del usuario. Además, los costos de administración pueden ser altos si resulta necesario implementar nuevas versiones del cliente o los datos de configuración cambian (por ejemplo, si se agrega un extremo nuevo de VPN). Para el usuario, el trabajo a través de esta VPN es, a menudo, una experiencia muy poco intuitiva. Como sólo proporciona la conexión de nivel 3, los datos y las aplicaciones empresariales del usuario no se muestran fácilmente accesibles ni visibles.

Solución de problemas con Terminal Services

Terminal Services, y otras tecnologías VPN del nivel de aplicación o nivel 7, resuelven estos dos problemas al ofrecer un control mucho más preciso sobre los recursos y los protocolos a los que los usuarios pueden obtener acceso y al convertir el trabajo del usuario final en una experiencia mucho más sencilla e intuitiva que antes.

Desde el punto de vista de la seguridad, la característica más importante que diferencia el enfoque de VPN de nivel 3 del uso de Terminal Services y Puerta de enlace de TS es que la conexión a la red interna no es una canalización completamente abierta. En concreto, mientras que un enfoque de nivel 3 creará una interfaz virtual en el equipo local con capacidad de enrutamiento completa hacia la red interna, el enfoque de la puerta de enlace de TS sólo permite paquetes basados en RDP para alcanzar la red interna. Así, la superficie de ataque total queda reducida considerablemente y se pueden aplicar controles más granulares en RDP. Por ejemplo, aunque RDP proporciona compatibilidad nativa con la redirección de unidad, las organizaciones podrían configurar sus puertas de enlace de TS para la integración con NAP y no permitir esta capacidad a menos que el equipo remoto demuestre que su software antivirus está actualizado.

Para los usuarios finales, la diferencia más obvia entre los enfoques basados en VPN de nivel 3 y en Terminal Services es un proceso de configuración mucho más simple (a menudo, no hace falta configuración alguna), así como un acceso más sencillo e intuitivo a las aplicaciones y los datos. Como el cliente de Conexión a Escritorio remoto está integrado en Windows (y se mantiene actualizado a través de tecnologías de servicios normales como Windows® Update), no suele ser necesario instalar software de cliente. Además, mediante Acceso web de TS, los usuarios sólo tienen que visitar una única dirección URL para encontrar todas sus aplicaciones y datos. Basta con hacer clic en la aplicación apropiada para que la puerta de enlace de TS aplique la tunelización segura de la conexión por Internet y la aplicación se proporciona al escritorio del usuario mediante conexión directa. Es decir, la aplicación presentará el aspecto y el comportamiento típicos de una instalación local, incluso podrá copiar y pegar, y minimizar la barra de tareas. Al dotar a las aplicaciones y los datos de una capacidad superior de detección y ofrecer una configuración instantánea, el enfoque basado en Servicios de Terminal Server para conseguir acceso remoto aumenta la satisfacción del usuario y reduce los gastos de soporte técnico.

Opciones de arquitectura de red

Hay dos enfoques básicos de diseño de red que se pueden usar para conseguir la disponibilidad de un servidor Puerta de enlace de TS en Internet. El primero coloca la puerta de enlace de TS en la red perimetral entre dos firewalls de nivel 3/4. El segundo mantiene la puerta de enlace de TS en la red interna y usa un firewall de nivel de aplicación (como Microsoft® ISA Server, Microsoft Intelligent Application Gateway o alguna otra solución de terceros) para permanecer en la red perimetral e inspeccionar los marcos HTTPS entrantes. Los paquetes sólo se reenviarán al servidor interno Puerta de enlace de TS tras el análisis de estas sesiones entrantes.

Si una organización sólo tiene firewalls de nivel 3/4 con inspección básica de paquetes con estado, el dispositivo Puerta de enlace de TS se puede colocar directamente en la red perimetral, como se muestra en la figura 1. En este diseño, el firewall de cara a Internet restringe la conectividad a la puerta de enlace de TS para permitir sólo tráfico HTTPS de Internet. Sin embargo, el firewall no realiza inspecciones en el nivel de aplicación de este tráfico; simplemente reenvía el tráfico a la puerta de enlace de TS. A continuación, el servidor Puerta de enlace de TS extrae los marcos RDP de los paquetes HTTPS y los reenvía al servidor back-end apropiado. Estos servidores back-end suelen estar separados de la red perimetral por un segundo firewall configurado para permitir que los marcos RDP de la puerta de enlace de TS lleguen a los servidores internos adecuados.

Figura 1** Con un firewall de nivel 3/4, la puerta de enlace de TS se coloca en la red perimetral. **(Hacer clic en la imagen para ampliarla)

Aunque este escenario es completamente posible y puede resultar útil en muchas organizaciones, tiene dos desventajas clave. En primer lugar, como la puerta de enlace de TS recibe tráfico directamente de Internet, está expuesta a un nivel relativamente más alto de riesgo en lo que respecta a partes externas malintencionadas. Estas partes podrían intentar el ataque de la puerta de enlace a través de la sesión SSL y, como el firewall front-end sólo comprueba los encabezados y no las cargas, estas sesiones alcanzarían la puerta de enlace. Esto no quiere decir que la puerta de enlace de TS sea un componente vulnerable; ha pasado por los mismos rigurosos procesos de pruebas y diseño de seguridad que el resto del producto Windows Server 2008. Sin embargo, su riesgo relativo es más alto en esta situación simplemente porque se ocupa de tráfico sin filtrar que procede directamente de Internet. La segunda desventaja es la cantidad superior de tráfico que se debe permitir entre la puerta de enlace y el firewall back-end. Para autenticar usuarios, la puerta de enlace de TS necesita comunicarse con Active Directory®. Para posibilitar esta comunicación, el firewall back-end debe tener excepciones para una gama mucho más amplia de puertos y protocolos que simplemente HTTPS. Este nivel superior de comunicación permitida representa, una vez más, un aumento del riesgo relativo del diseño.

Un enfoque más satisfactorio para exponer una puerta de enlace de TS a Internet es usar un firewall de nivel de aplicación (nivel 7) para ocuparse de sesiones HTTPS entrantes antes de que alcancen la puerta de enlace (consulte la figura 2). En este diseño, aún podría haber una red perimetral formada por firewalls tradicionales de nivel 3/4. Pero, en lugar de tener la puerta de enlace de TS en el perímetro, se coloca allí el firewall de nivel 7. Al tiempo que el tráfico alcanza el firewall de cara al exterior, el firewall filtra todo menos los marcos HTTPS y, seguidamente, reenvía estos marcos al firewall de nivel 7. El firewall de nivel 7 terminará la sesión SSL, inspeccionará el contenido sin cifrar de la secuencia, bloqueará el tráfico malintencionado y enviará los marcos RDP a través del firewall back-end y hacia la puerta de enlace de TS. Fíjese que, si lo desea, el firewall de nivel 7 también podría volver a cifrar los marcos antes de enviarlos a la puerta de enlace de TS. Es posible que este enfoque no sea necesario en la red privada de una organización, pero puede ser muy útil en centros de datos hospedados o en redes compartidas.

Figura 2** Uso de un firewall de nivel de aplicación con un dispositivo Puerta de enlace de TS **(Hacer clic en la imagen para ampliarla)

Este diseño evita las dos desventajas de la solución anterior. Como el servidor Puerta de enlace de TS sólo recibe tráfico inspeccionado por el firewall de nivel 7, hay menos riesgo de que se den ataques procedentes de Internet. El firewall de nivel 7 debería filtrar estos ataques y enviar sólo tráfico inspeccionado y limpio a la puerta de enlace.

La segunda ventaja principal de esta solución hace referencia a la colocación de la puerta de enlace relativa a la red interna. El tráfico proveniente de Internet queda inspeccionado por el firewall de nivel 7 antes de alcanzar la puerta de enlace, por lo que puede permanecer en la red interna y tener acceso directo a controladores de dominio para la autenticación y a hosts RDP para sesiones de usuario. Además, el firewall back-end puede tener una directiva mucho más restrictiva. En lugar de permitir tanto tráfico RDP como tráfico de autenticación de directorios, simplemente necesita permitir sesiones RDP desde el firewall de nivel 7 a la puerta de enlace de TS. El uso de un firewall de nivel 7 como front-end para la implementación de la puerta de enlace de TS constituye una solución más segura y fácil de administrar sin requerir un diseño nuevo para la red perimetral existente.

Integración de NAP

Recursos de Terminal Services

• Terminal Services en Windows Server 2008
• Foro de TechNet sobre Terminal Services en Windows Server 2008
• Blog del equipo de Terminal Services
• Microsoft Intelligent Application Gateway 2007
• Protección de acceso a redes (NAP) para Windows Server 2008
• Blog de Protección de acceso a redes (NAP)
• Guías paso a paso sobre Windows Server 2008 Beta 3

Un buen diseño del perímetro es un elemento clave de la solución de acceso desde cualquier lugar, pero es igualmente importante garantizar el cumplimiento y la seguridad de los dispositivos de extremo. RDP es un protocolo rico que permite muchos tipos de redirección de dispositivos, como impresoras y sesiones RDP, por lo que es vital que los clientes que conectan a su solución cumplan las directivas de seguridad de su organización. Por ejemplo, incluso con una topología de red segura basada en prácticas recomendadas como las descritas anteriormente, un usuario final que conecta a un servidor Terminal Server desde un equipo no seguro puede acabar por perder datos confidenciales o colocar archivos malintencionados en el servidor. Aunque la amplitud de la conectividad y los daños potenciales sean mucho menores que si el usuario realizase la conexión a través de una VPN de nivel 3, es importante administrar el riesgo de la pérdida de datos y garantizar el cumplimiento de sus directivas de TI.

La Protección de acceso a redes (NAP) es una tecnología nueva en Windows Server 2008 que permite controlar no sólo quién puede conectar a la red, sino también las clases de sistemas que pueden iniciar la conexión. Por ejemplo, puede usar NAP para asegurarse de que sólo equipos con un firewall en ejecución y software antivirus actualizado puedan conectar a la red. NAP es una solución extensible que cubre no sólo la red interna de la organización, sino también a los usuarios remotos, tanto los que conectan a través de VPN de nivel 3 como los que conectan por medio de la puerta de enlace de TS. Mediante la integración de NAP con el diseño de la puerta de enlace de TS, puede asegurarse de que sólo los sistemas que cumplen sus directivas de seguridad llegan a realizar una conexión satisfactoria. Para más detalles sobre NAP, consulte mi columna Vigilancia de seguridad en el ejemplar de TechNet Magazine de mayo de 2007, disponible en línea en technetmagazine.com/issues/2007/05/SecurityWatch.

La integración de NAP en una implementación de Puerta de enlace de TS es un proceso sencillo que implica un solo servicio adicional en el diseño. Este servicio, el Servidor de directivas de redes (NPS), se puede instalar en el mismo servidor Puerta de enlace de TS o en una instancia de sistema operativo independiente. A continuación, se usa la MMC de la puerta de enlace de TS para crear Directivas de autorización de conexiones (CAP), que definen las capacidades de RDP permitidas para un estado concreto. El servidor Puerta de enlace de TS se configura para consultar a NPS cada vez que se intenta una conexión nueva y para reenviar un informe de mantenimiento (SoH) de la conexión a NPS. El Servidor de directivas de redes compara el SoH con las directivas y comunica a la puerta de enlace de TS si se debe permitir la conexión, según el estado del cliente.

Como ilustra la figura 3, si un sistema que no cumple las directivas no está configurado para usar Windows Update, pero la directiva de seguridad de la organización requiere que las actualizaciones automáticas estén habilitadas, cuando un usuario intenta conectar a la puerta de enlace de TS, su equipo generará y reenviará un SoH. Este SoH informará de que el firewall está activado y el software antivirus está actualizado, pero las actualizaciones automáticas están deshabilitadas. La puerta de enlace de TS simplemente reenviará este SoH al NPS (la puerta de enlace de TS no dispone de lógica para descodificar el SoH por sí misma), y el NPS comparará el SoH con las directivas definidas por su administrador. Como las actualizaciones automáticas no están habilitadas, NPS determinará que la conexión no se presenta en cumplimiento de las directivas, y comunicará a la puerta de enlace de TS que no se debe permitir la conexión. La puerta de enlace de TS descartará la conexión y notificará al usuario que el equipo no cumple las directivas de seguridad de la organización. Así, el usuario puede llevar a cabo la acción correctiva necesaria (en este caso, bastará con habilitar las actualizaciones automáticas) y volver a intentar la conexión. Como resultado, se generará un SoH nuevo, NPS determinará el cumplimiento y la puerta de enlace de TS permitirá la conexión.

Figura 3** Sólo los sistemas que demuestran un estado de cumplimiento pueden conectar. **(Hacer clic en la imagen para ampliarla)

Conclusión

Windows Server 2008 incluye los bloques de creación clave para una solución segura de acceso desde cualquier lugar. La puerta de enlace de TS proporciona un método seguro para la tunelización de sesiones de escritorio remoto por Internet y ofrece a las organizaciones variedad de opciones en cuanto a su integración en las redes existentes. Las opciones incluyen la colocación de la puerta de enlace de TS directamente en la red perimetral o el uso frontal de un firewall de nivel 7, como ISA Server o Intelligent Application Gateway. NAP se puede combinar con Puerta de enlace de TS para agregar funciones de inspección de estado de clientes de extremo en la solución. Las comprobaciones de clientes de extremo ofrecen a las organizaciones la tranquilidad de que las conexiones remotas proceden de usuarios válidos, pero también de que se originan en equipos que cumplen las directivas de seguridad de TI. Cuando se combinan, estas tecnologías proporcionan a las organizaciones capacidades de acceso remoto que son más seguras, más eficientes en el modo de operación y más satisfactorias como experiencia para los usuarios finales. Encontrará más información al respecto en los sitios incluidos en la barra lateral sobre recursos de Terminal Services.

John Morelloha trabajado con Microsoft desde el año 2000. Bajo el cargo de consultor jefe, ha diseñado soluciones de seguridad para empresas del Fortune 100 y para clientes de la administración pública y de defensa. En la actualidad, es administrador jefe de programas en el grupo de Windows Server, que trabaja en tecnologías de acceso remoto en cualquier parte. Puede leer al blog de su equipo en la dirección blogs.technet.com/WinCAT.

© 2008 Microsoft Corporation and CMP Media, LLC. Reservados todos los derechos; queda prohibida la reproducción parcial o total sin previa autorización.