Capacidad de OI: Seguridad y redes: del nivel racionalizado al dinámico
En esta página
.gif){kind=icon}
Introducción
Requisito: Integración de la administración y reducción de amenazas a través de los clientes y del perímetro del servidor
Requisito: Habilitación de modelos de supervisión del nivel de servicio de equipos de escritorio, aplicaciones e infraestructura de servidor.
Requisito: Solución de cuarentena para equipos no revisados o infectados
Introducción
La seguridad y las redes constituyen la tercera capacidad de optimización de infraestructura de red. La siguiente tabla enumera los retos de alto nivel, las soluciones aplicables y las ventajas de cambiar al nivel dinámico en seguridad y redes.
Retos |
Soluciones |
Ventajas |
|---|---|---|
Desafíos para la empresa No se dispone de directivas de seguridad del firewall de la empresa para equipos de escritorio o servidores No se dispone de directivas de seguridad de la extranet de la empresa Retos de TI La administración de eventos del servidor es reactiva y le falta una visión global de la empresa No hay supervisión de eventos de seguridad en tiempo real para equipos de escritorio o servidores |
Proyectos Implementar la integración de la administración y reducción de amenazas a través de los clientes y del perímetro del servidor Implementar la habilitación de modelos de supervisión del nivel de servicio de escritorios, aplicaciones e infraestructura de servidor Implementar la solución de cuarentena para equipos no revisados o infectados. |
Ventajas empresariales Consecución de seguridad proactiva con directivas explícitas y control desde los equipos de escritorio hasta el firewall y la extranet Aplicación íntegra del cumplimiento de la normativa Aumento de la productividad de los usuarios con un entorno seguro y estable Respuesta rápida y proactiva a problemas de seguridad Reflejo de la representación empresarial mediante directiva de seguridad Beneficios de TI Supervisión completa y generación de informes de la infraestructura de servidores, con capacidades similares para equipos de escritorio El control rentable y la visibilidad de cada PC ayudan a resolver problemas de TI de forma proactiva antes de que afecten a los usuarios |
El nivel dinámico del modelo de optimización de infraestructuras trata las áreas clave de redes y componentes de seguridad, entre las que se incluye:
Integración de la administración y reducción de amenazas a través de los clientes y del perímetro del servidor
Habilitación del modelo de supervisión del nivel de servicio de escritorios, aplicaciones e infraestructura de servidor
Solución de cuarentena para equipos no revisados o infectados
Requisito: Integración de la administración y reducción de amenazas a través de los clientes y del perímetro del servidor
Destinatarios
Lea esta sección si no ha integrado la administración y reducción de amenazas en todos los clientes y el perímetro del servidor.
Introducción
Las organizaciones se enfrentan a una avalancha de ataques altamente desarrollados y cada vez más dirigidos en sus redes. La protección de los recursos de red y la puesta a disposición de un acceso sin problemas para las actividades legítimas requiere una solución de puerta de enlace de perímetro multifuncional y altamente desarrollada. Para coincidir con el requisito del modelo de optimización de la infraestructura principal para el acceso remoto seguro, la protección de los entornos de TI contra las amenazas procedentes de Internet se convierte en una necesidad.
Fase 1: Evaluación
La fase de evaluación debe determinar las necesidades de seguridad de perímetro de servidor y cliente apropiadas para la organización e identificar los procesos de los que se dispone actualmente. Los requisitos de seguridad pueden variar mucho de una compañía a otra o de una institución a otra según, por ejemplo, el tamaño, el sector o campo y las leyes o normas regionales. La recopilación de una lista formal de riesgos y requisitos de la organización permitirá evaluar las tecnologías de seguridad y cómo su uso puede repercutir con mayor eficacia en la organización.
Fase 2: Identificación
Durante la fase de identificación, examinará las tecnologías y los procedimientos de acceso remoto de que dispone actualmente en la organización y determinará cuáles son los requisitos de seguridad para la organización. Durante esta fase, recopilará las directivas de seguridad que actualmente están implícitas o aplicadas, además de los componentes de tecnología que ya están en uso o a su disposición. Asimismo, recopilará cualquier requisito externo basado en leyes o normas de su región o sector. Se recomienda que la organización considere simultáneamente modelos de amenazas de perímetro de servidor y de cliente y las correspondientes tecnologías al planear los requisitos del nivel dinámico para una solución de cuarentena para equipos no revisados o infectados.
Fase 3: Evaluación y planeación
El objetivo de la organización durante la fase de evaluación y planeación debe ser determinar una estrategia para la seguridad perimetral y evaluar las tecnologías disponibles para reducir las amenazas procedentes de Internet. Al evaluar las tecnologías debe considerar la optimización de la seguridad para el acceso a los recursos de archivos de la organización y a las sucursales, así como la manera de obtener acceso a sus aplicaciones web y aplicaciones de línea de negocio (LOB). La organización puede usar herramientas que ofrecen seguridad de red privada virtual (VPN) y firewalls para aplicaciones web y recursos de red, así como un control de acceso más riguroso y autorizaciones mejoradas para recursos de red y aplicaciones LOB.
Internet Security and Acceleration (ISA) Server 2006
Microsoft Internet Security and Acceleration (ISA) Server 2006 es una puerta de enlace de seguridad que ayuda a proteger las aplicaciones y los recursos de las amenazas procedentes de Internet. ISA Server puede ayudar a la organización a proteger el acceso a aplicaciones y datos. También ayuda a proteger la infraestructura de aplicaciones protegiendo las aplicaciones LOB, los servicios y datos en todos los niveles de red con inspección activa de paquetes, filtrado del nivel de aplicación y herramientas de publicación completas. Mediante ISA Server, puede racionalizar la red conduciéndola a través de un firewall unificado y una arquitectura de red privada virtual (VPN). ISA Server ayuda a proteger el entorno de TI y a reducir los riesgos y costos de seguridad al tiempo que elimina los efectos del software malintencionado y los atacantes en la organización.
Intelligent Application Gateway (IAG) 2007
Microsoft Intelligent Application Gateway (IAG) 2007, con optimizadores de aplicación, ofrece una red privada virtual (VPN) de capa de sockets seguros (SSL), un firewall de aplicaciones web y administración de seguridad de extremos que permiten control de acceso, autorización e inspección de contenido para una gran variedad de aplicaciones LOB. En conjunto, estas tecnologías proporcionan a los trabajadores móviles y remotos un acceso fácil, flexible y seguro desde una amplia gama de dispositivos y ubicaciones, incluidos los quioscos multimedia, los equipos de escritorio y los dispositivos móviles. IAG también permite que los administradores de TI exijan el cumplimiento de las directrices de uso de la información y de las aplicaciones a través de una directiva de acceso remoto personalizado basada en dispositivos, usuarios, aplicaciones u otros criterios empresariales. Entre los beneficios principales, se incluyen los siguientes:
Una combinación única de acceso basado en SSL VPN, protección integrada de las aplicaciones y administración de la seguridad de extremos;
Un firewall de aplicaciones web eficiente que ayuda a mantener fuera el tráfico malintencionado y la información confidencial, dentro.
Una menor complejidad a la hora de administrar el acceso seguro y proteger los activos de la empresa con una plataforma completa y fácil de usar;
Interoperabilidad con la infraestructura principal de las aplicaciones de Microsoft, con los sistemas empresariales de terceros y con herramientas internas personalizadas.
Fase 4: Implementación
En la fase de implementación se implementan las soluciones de seguridad perimetral evaluadas y aprobadas. Es importante realizar pruebas de funcionalidad y simulacros de incendio para cualquier mecanismo adicional que se introduzca en el entorno.
Más información
Para obtener más información acerca de los productos de ISA Server y su implementación, vaya al TechCenter de ISA Server en Microsoft TechNet, en la dirección https://www.microsoft.com/technet/isa/default.mspx.
Punto de control del tema
|
Requisitos |
|---|---|
Evaluación de amenazas de seguridad del perímetro de servidor y evaluación de soluciones de reducción de amenazas. |
|
|
Implementación de soluciones de tecnología para protegerse frente a amenazas de Internet a través del cliente y del perímetro de servidor. |
.gif)
Requisito: Habilitación del modelo de supervisión del nivel de servicio de escritorios, aplicaciones e infraestructura de servidor
Destinatarios
Lea esta sección si no dispone de habilitación de modelos de supervisión del nivel de servicio de equipos de escritorio, aplicaciones e infraestructura de servidor.
Introducción
En la Guía de recursos de implementador para la optimización de la infraestructura principal: del nivel estandarizado al nivel racionalizado, analizamos la introducción de la administración del nivel de servicio teniendo en cuenta los procedimientos recomendados para varios de los requisitos del nivel racionalizado. Los procesos presentados para la administración del nivel de servicio describían cómo se definen y miden los servicios por medio de los contratos de nivel de servicio (SLA). La supervisión del nivel de servicio con habilitación de modelos pasa estos conceptos al nivel dinámico al requerir un medio para expresar modelos de servicio en el nivel del sistema y notificar los niveles de servicio actuales (en todos los componentes) comparándolos con los SLA definidos. Los recientes avances en lo referente a estándares tecnológicos e industriales, como el lenguaje de definición de modelos de servicio (SML), permite a las organizaciones implementar una supervisión y administración de servicio verdadera con habilitación de modelos.
Fase 1: Evaluación
Como parte de los requisitos del nivel racionalizado para la administración de procesos basada en ITIL/COBIT, la organización implementó procesos de administración de nivel de servicio y, al hacerlo, definió un catálogo de servicios. El catálogo de servicios enumera todos los servicios que se suministran actualmente, resume las características de los servicios, describe a los usuarios del servicio y detalla a los responsables del mantenimiento continuo. La fase de evaluación garantizará que el catálogo de servicios sea completo y esté actualizado.
Fase 2: Identificación
La fase de identificación designará los servicios del catálogo que están modelados y asignará prioridades a cada servicio. La lista de servicios designados se usará en la fase de evaluación y planeación al considerar las opciones tecnológicas y planear la implementación. Este requisito se centra en un subconjunto de servicios de TI, incluidos los servicios de equipos de escritorio o cliente, los servicios de aplicaciones y la infraestructura de servidor.
Fase 3: Evaluación y planeación
El objetivo de la fase de evaluación y planeación es identificar las tecnologías necesarias para permitir la habilitación de modelos de supervisión del nivel de servicio de equipos de escritorio, aplicaciones e infraestructura de servidor. Ello supone que la tecnología seleccionada ofrece la capacidad de definir servicios sistemáticamente a partir del catálogo de servicios de la organización y la de supervisar la disponibilidad y los eventos de los servicios definidos.
System Center Operations Manager 2007
Operations Manager 2007 presenta un método de supervisión orientada a los servicios, que permite realizar supervisiones de los servicios de tecnología de la información en su totalidad, supervisiones a escala en grandes entornos y organizaciones e incluso usar los conocimientos de las aplicaciones y el sistema operativo de Microsoft para resolver problemas de funcionamiento. Operations Manager 2007 es la solución recomendada para este requisito en el modelo de optimización de la infraestructura principal y proporciona la funcionalidad para crear y supervisar modelos de servicio en su totalidad.
Supervisión de servicio de equipos de escritorio
La supervisión de servicio de equipos de escritorio de Operations Manager 2007 usa dos mecanismos para supervisar la experiencia de uso del equipo de escritorio: la supervisión de errores de aplicaciones y la recopilación de datos del Programa para la mejora de la experiencia del usuario.
Supervisión de errores de aplicaciones (AEM)
AEM permite supervisar los bloqueos de los sistemas operativos y los errores de las aplicaciones. Los clientes de notificación de errores se configuran con la directiva de grupo para redirigir los informes de errores a un servidor de administración de Operations Manager 2007 en lugar de notificar directamente a Microsoft. Al almacenar los informes de errores provisionalmente en un servidor de administración, Operations Manager 2007 es capaz de proporcionar vistas detalladas e informes que acumulan los datos de error de toda la organización. Estos informes y vistas ofrecen información acerca de los errores y soluciones (si las hay) para resolver los problemas.
Puede determinar la frecuencia de los errores que se producen en un sistema operativo o una aplicación, así como el número de equipos y usuarios afectados. Este dato le permitirá dirigir su estrategia en función de los máximos beneficios que ésta reporte a la organización.
Cuando los informes de errores están sincronizados de forma anónima con Microsoft, de conformidad con la declaración de privacidad del servicio de informes de errores de Microsoft, se proporcionan las soluciones disponibles para cada uno de los errores. También puede usar AEM para proporcionar soluciones a los problemas que se presenten en las aplicaciones desarrolladas dentro de la empresa.
Programa para la mejora de la experiencia del usuario (CEIP)
Si decide participar en el CEIP, deberá configurar los clientes de modo que la directiva de grupo redirija los informes de CEIP a un servidor de administración de Operations Manager 2007, en lugar de informar directamente a Microsoft. Los servidores de administración están configurados para reenviar dichos informes a Microsoft.
Los informes del CEIP reenviados desde su organización a Microsoft se combinan con informes del CEIP de otras organizaciones y clientes particulares para ayudar a Microsoft a solucionar problemas y mejorar los productos y las características de Microsoft más usadas por los clientes. Para obtener más información acerca del CEIP, consulte https://go.microsoft.com/fwlink/?linkid=75040.
Módulos de administración para sistemas operativos y aplicaciones de estaciones de trabajo basados en Windows
A continuación se enumeran los sistemas operativos y aplicaciones de estaciones de trabajo basados en Windows que se incluyen con Operations Manager 2007:
Windows Vista®
Windows XP
Windows 2000
Microsoft Information Worker
Supervisión del servicio de aplicaciones distribuidas
Un servicio de aplicación distribuida de Operations Manager 2007 supervisa el estado de una aplicación distribuida que se defina. Crea los monitores, las reglas, las vistas y los informes necesarios para supervisar la aplicación distribuida y los componentes individuales que contiene. Al crear una aplicación distribuida en Operations Manager 2007, en primer lugar se crea el servicio que define el objeto de supervisión de la aplicación distribuida de nivel superior. A continuación, se definen los componentes individuales que forman parte de la aplicación distribuida que se desea supervisar.
Supervisión de infraestructura
Operations Manager 2007 continúa ofreciendo una supervisión completa del estado de la infraestructura de servidor y agrega nuevas características en comparación con Operations Manager 2005 para supervisar dispositivos habilitados para SNMP como enrutadores, servidores de impresión o equipos que no ejecutan Windows, incluso si el dispositivo o el sistema operativo no tiene ningún módulo de administración. Para supervisar estos dispositivos u otros sistemas operativos, se pueden crear monitores y reglas que usen SNMP. Los monitores y reglas basados en SNMP pueden recopilar datos de eventos o capturas SNMP, así como generar alertas o cambiar el estado del objeto supervisado.
Fase 4: Implementación
De nuevo, la fase de implementación implementa los planes derivados del esfuerzo de las tres fases previas. Si su organización ha seleccionado System Center Operations Manager 2007 como tecnología para definir y supervisar los servicios de TI, encontrará orientación detallada acerca de la implementación en la biblioteca de documentos en línea de System Center Operations Manager 2007 en Microsoft TechNet.
Más información
Para obtener más información acerca de la supervisión de servicios, vaya a Microsoft TechNet y busque "supervisión de servicios" y "Operations Manager".
Punto de control del tema
|
Requisitos |
|---|---|
|
|
|
|
|
Implementación de una solución automatizada para definir y supervisar niveles de servicio. |
Si ha llevado a cabo los pasos enumerados anteriormente, su organización cumple el requisito mínimo para la habilitación de modelos de supervisión del nivel de servicio de escritorios, aplicaciones e infraestructura de servidor.
Ir a la siguiente pregunta de autoevaluación.
Requisito: Solución de cuarentena para equipos no revisados o infectados
Destinatarios
Lea esta sección si no dispone de una solución de cuarentena para equipos no revisados o infectados.
Introducción
En el contexto actual de preocupación por la seguridad, un enfoque en profundidad de la protección de la red y los datos confidenciales es un asunto muy complejo. Ya no basta con confiar en defensas perimetrales y antivirus exclusivamente para proteger los activos de la red y la información confidencial. Las organizaciones y los profesionales de seguridad ya saben que los riesgos de las redes internas, ya sean intencionados o accidentales, pueden ser incluso más peligrosos que las amenazas externas. Para pasar al nivel dinámico, es necesario disponer de un mecanismo para aislar los equipos no administrados del resto de la red de la empresa.
La amplia disponibilidad de Internet ha desembocado en cambios significativos en cuanto al modo en que trabajan las organizaciones. Para conservar su ventaja competitiva, las organizaciones solicitan cada vez más a sus empleados que se conecten a las redes corporativas desde ubicaciones remotas, como sus hogares, las oficinas de una sucursal, hoteles, cibercafés o instalaciones de un cliente.
Fase 1: Evaluación
La fase de evaluación empieza el proyecto de la solución de cuarentena haciendo otro inventario de las configuraciones de seguridad de cliente registradas en los procesos de administración de la configuración En el nivel dinámico, podemos asumir que disponemos de los requisitos del nivel estandarizado para la administración de revisiones y los controles antivirus según los procedimientos recomendados, así como de la administración de la configuración como parte del conjunto de requisitos del nivel racionalizado. La fase de evaluación examina los elementos de configuración de cliente y garantiza que estén actualizados.
Fase 2: Identificación
En la fase de identificación, determinaremos qué configuraciones deben controlarse y agregarse a los requisitos mínimos para valorar si un equipo cliente representa una amenaza cuando se conecta a los recursos de la red. Normalmente, los requisitos mínimos incluirían que todas las actualizaciones de software y los programas antivirus estén instalados y que las firmas estén actualizadas. Durante la fase de identificación, también debe considerar prácticas de administración de revisiones, examen de configuraciones y actualización del antivirus, así como la manera más fácil de incluirlas en los requisitos de la solución de cuarentena que va a implementar.
Fase 3: Evaluación y planeación
En la fase de evaluación y planeación, se determinan las tecnologías disponibles para habilitar la funcionalidad deseada y realizar la detección de incumplimientos de la configuración, así como las rutinas de bloqueo definidas en la fase de identificación. El nivel dinámico requiere que se controle mediante una solución de cuarentena al menos las conexiones remotas a los recursos de red. Estas conexiones remotas suelen implementarse con tecnologías de red virtual privada (VPN). Esta sección hace principalmente referencia a la Guía de planeación de la implementación de servicios de cuarentena con una red privada virtual de Microsoft en Microsoft TechNet. También presentaremos la protección de acceso a redes incluida en Windows Vista y Windows Server 2008 para servicios de cuarentena in situ.
Redes privadas virtuales (VPN)
Las conexiones VPN permiten a empleados y asociados conectarse a una red de área local (LAN) de la empresa a través de una red pública de forma segura. El acceso remoto mediante tecnologías VPN es un factor clave facilitador de muchas nuevas oportunidades de negocio, como la administración remota y las aplicaciones de alta seguridad.
Aunque una VPN ofrece acceso seguro mediante el cifrado de datos a través del túnel VPN, no impide intrusiones de software malintencionado, como los virus o gusanos que se inician desde el equipo de acceso remoto. Los ataques de virus o gusanos pueden proceder de equipos infectados que se conectan a la LAN. El servicio de cuarentena de VPN con las funciones de Control de cuarentena de acceso a red en Windows Server 2003 ofrece un mecanismo para tratar estos problemas. El servicio de cuarentena de VPN garantiza que los equipos que se conectan a la red mediante protocolos VPN se sometan a comprobaciones previas y posteriores a la conexión y se aíslen hasta que el equipo cumpla la directiva de seguridad correspondiente.
La solución de cuarentena de VPN coloca todos los equipos que se conectan y cumplen la directiva de acceso remoto especificada en una red de cuarentena y comprueba que esos equipos cumplan la directiva de seguridad de la organización. El servidor VPN de acceso remoto levanta las restricciones de cuarentena y permite el acceso a los recursos de red de la empresa únicamente si el equipo de acceso remoto pasa todas las comprobaciones de conexión.
El servicio de cuarentena de VPN actúa retrasando la plena conectividad a una red privada mientras se examina y valida la configuración del equipo de acceso remoto según los estándares de la organización. Si el equipo que se conecta no cumple la directiva de la organización, el proceso de cuarentena puede instalar Service Packs, actualizaciones de seguridad y definiciones de virus antes de permitir que el equipo se conecte a otros recursos de la red.
Requisitos del servicio de cuarentena de VPN
La implementación del servicio de cuarentena de VPN requiere los siguientes componentes:
Clientes de acceso remoto compatibles con el servicio de cuarentena
Servidor de acceso remoto compatible con el servicio de cuarentena.
Servidor de servicio de usuario de acceso telefónico de autenticación remota (RADIUS) compatible con el servicio de cuarentena (opcional)
Recursos del servicio de cuarentena
Base de datos de cuentas
Directiva de acceso remoto del servicio de cuarentena
Proceso de conexión mediante un servicio de cuarentena de red privada virtual
En la figura siguiente se resume un enfoque del servicio de cuarentena de VPN que usa los servidores de recursos situados en una subred de cuarentena.
.gif)
Figura 9. Ruta del proceso del servicio de cuarentena de VPN
El servicio de cuarentena de VPN implementa un proceso modificado cuando el usuario intenta conectarse a la red remota. El proceso incluye los pasos siguientes:
El equipo realiza una comprobación de validación de directiva antes de la conexión para asegurarse de que el equipo cumpla determinados requisitos de estado. Entre ellos pueden incluirse revisiones, actualizaciones de seguridad o firmas de virus. El script anterior a la conexión almacena localmente los resultados de esta comprobación. Una organización también puede ejecutar comprobaciones de seguridad posteriores a la conexión si se desea.
Una vez superadas las comprobaciones anteriores a la conexión, el equipo se conecta al servidor de acceso remoto mediante la VPN.
El servidor de acceso remoto autentica las credenciales del usuario con el servidor RADIUS con respecto al nombre de usuario y la contraseña almacenados en el servicio de directorio Active Directory®. RADIUS es un componente opcional en este proceso.
Si Active Directory autentica al usuario, el servidor de acceso remoto pone al cliente en cuarentena aplicando la directiva de acceso remoto del servicio de cuarentena de VPN. El acceso del equipo cliente de acceso remoto está limitado a los recursos del servicio de cuarentena especificados por la directiva de acceso remoto. El servicio de cuarentena se puede aplicar de dos maneras en el equipo cliente de acceso remoto: mediante un período de espera específico, para que el equipo cliente no quede en cuarentena indefinidamente, o mediante un filtro IP que limite el tráfico IP exclusivamente a los recursos de red especificados.
El script posterior a la conexión notifica al servidor de acceso remoto que el cliente cumple los requisitos especificados. Si la conexión no cumple los requisitos en el período de espera especificado, el script se lo notifica al usuario y anula la conexión
El servidor de acceso remoto quita el equipo cliente del modo de cuarentena quitando el filtro IP y concede el acceso apropiado a los recursos de la red especificados por la directiva de acceso remoto.
Protección de acceso a la red
Protección de acceso a redes (NAP) es una plataforma de aplicación de directivas integrada en los sistemas operativos Windows Vista y Windows Server 2008 que permite una mejor protección de los activos de red aplicando el cumplimiento de los requisitos de estado del sistema.
Requisitos de estado del sistema
Se plantea al reto de garantizar que los equipos que se conectan a la red y se comunican en ella cumplan los requisitos de estado del sistema. Por ejemplo, los equipos que los cumplen tienen instalado el software de seguridad correcto (como la protección antivirus), las actualizaciones del sistema operativo actuales y la configuración correcta (como los firewalls basados en host habilitados). Este reto puede ser desalentador por el carácter portátil de los equipos portátiles, que pueden trasladarse a varios puntos de conexión a Internet y otras redes privadas y por el uso de conexiones de acceso remoto establecidas desde equipos domésticos. Si el equipo que se conecta no cumple las directivas, puede exponer la red a ataques de software malintencionado, como los virus y gusanos de nivel de red. Para ofrecer protección contra equipos que no cumplen las directivas, es necesario que haga lo siguiente:
Configurar de manera centralizada un conjunto de directivas que especifican requisitos para el estado del sistema.
Comprobar el estado del sistema antes de permitir el acceso ilimitado a la red privada o a los recursos de la red privada.
Limitar el acceso de red de los equipos en estado de incumplimiento a una red restringida que contiene recursos cambiar el equipo a un estado de cumplimiento.
NAP ofrece componentes y una infraestructura que ayuda a validar y aplicar el cumplimiento de las directivas de estado del sistema para el acceso a la red y la comunicación.
Validación de directivas de estado
Cuando un usuario intenta conectarse a la red, la protección de acceso a redes valida el estado del equipo según las directivas de seguridad definidas. A continuación puede elegir lo que hará si el equipo no cumple las directivas En un entorno únicamente de supervisión, se concede acceso a la red a todos los equipos autorizados incluso si alguno no cumple las directivas de estado, pero se registra el estado de cumplimiento de cada uno de los equipos. En un entorno de acceso restringido, los equipos que cumplen las directivas de seguridad reciben permiso de acceso ilimitado a la red, pero los equipos que no las cumplen o que no son compatibles con la protección de acceso a redes ven su acceso limitado a una red restringida. En ambos entornos, los equipos compatibles con la protección de acceso a redes pueden pasar automáticamente al estado de cumplimiento y se pueden definir excepciones para el proceso de validación. La protección de acceso a redes incluye también herramientas de migración para facilitar la definición de excepciones que mejor se adapte a sus necesidades de red.
Cumplimiento de directivas de estado
Puede ayudar a garantizar el cumplimiento de las directivas de estado optando por actualizar automáticamente los equipos que no las cumplen con los requisitos que les faltan mediante un software de administración, como Microsoft Systems Management Server. En un entorno únicamente de supervisión, los equipos tendrán acceso a la red incluso antes de actualizarlos con el software o los cambios de configuración necesarios. En un entorno de acceso restringido, los equipos que no cumplen las directivas de estado tienen acceso limitado hasta que las actualizaciones de software y de la configuración no hayan concluido. En ambos entornos, los equipos compatibles con la protección de acceso a redes pueden pasar automáticamente al estado de cumplimiento y se pueden definir excepciones a la directiva.
Acceso limitado a la red
Puede proteger los activos de la red limitando el acceso de los equipos que no cumplan los requisitos de la directiva de estado. Puede definir el nivel de acceso que tendrán los equipos que no los cumplen. Los límites de acceso a la red pueden basarse en una cantidad de tiempo específica, en el acceso a una red restringida, a un único recurso o a ningún recurso interno. Si no se configuran recursos de actualización de estado, el acceso limitado durará el tiempo que dure la conexión. Si se configuran recursos de actualización de estado, el acceso limitado durará únicamente hasta que el equipo pase al estado de cumplimiento. Puede usar tanto la supervisión como el cumplimiento de directivas de estado en las redes y configurar excepciones para ambos.
Fase 4: Implementación
El nivel dinámico sólo requiere que se implemente una solución de cuarentena de VPN para los usuarios de acceso remoto. Se recomiendan soluciones de protección de acceso a redes si la organización usa la infraestructura de Windows Server 2008. La guía Control de cuarentena de acceso a la red en Windows Server 2003 ofrece una orientación adicional para la planeación e implementación de soluciones de cuarentena.
Para implementar el control de cuarentena de acceso a la red, los pasos básicos (en este orden) son los siguientes:
Crear recursos de cuarentena.
Crear un script o programa que valide la configuración de cliente.
Instalar Rqs.exe en servidores de acceso remoto
Crear un perfil nuevo de Connection Manager (CM) de cuarentena con el Kit de administración de Connection Manager de Windows Server 2003 (CMAK).
Distribuir el perfil de CM para su instalación en equipos cliente de acceso remoto.
Configurar una directiva de acceso remoto del servicio de cuarentena.
Creación de recursos del servicio de cuarentena
Para permitir que los clientes de acceso remoto tengan acceso a recursos de servidor de nombres, servidor web o servidor de archivos mientras se encuentran en modo de cuarentena, debe designar los servidores y sus recursos que estarán disponibles para los clientes de acceso remoto.
Creación de un script o programa que valide la configuración de cliente
El script o programa del servicio de cuarentena que cree puede ser un archivo ejecutable (*.exe) o tan sencillo como un archivo de comandos (*.cmd o *.bat). En el script, incluya el conjunto de pruebas para asegurarse de que el cliente de acceso remoto cumpla la directiva de la red.
Instalación de Rqs.exe en servidores de acceso remoto
Los componentes del servicio de agente de cuarentena de acceso remoto (Rqs.exe) escuchan los mensajes de los clientes de acceso remoto compatibles con el servicio de cuarentena, lo cual indica que sus scripts se han ejecutado correctamente.
Creación de un perfil nuevo de cuarentena de CM con Windows Server 2003 CMAK
Un perfil de CM de cuarentena es simplemente un perfil de CM de acceso remoto para acceso telefónico o mediante con las siguientes adiciones:
Debe agregar una acción posterior a la conexión para ejecutar el script o programa que ha creado para comprobar el cumplimiento de la directiva de red e incluir el script o programa en el perfil. Esto se realiza mediante la página Acciones personalizadas del asistente CMAK.
Debe agregar el componente de notificación al perfil. Esto se realiza mediante la página Archivos adicionales del asistente CMAK.
Para obtener más información acerca del uso de acciones personalizadas en CMAK, consulte el tema titulado "Incorporación de acciones personalizadas" de la Ayuda y soporte técnico de Windows Server 2003.
Distribución del perfil de CM para su instalación en equipos cliente de acceso remoto
Una vez creado el perfil CM de cuarentena, debe distribuirse e instalarse en todos los equipos cliente de acceso remoto. El perfil propiamente dicho es un archivo ejecutable que debe ejecutarse en el cliente de acceso remoto para instalar el perfil y configurar la conexión de red del servicio de cuarentena.
Configuración de una directiva de acceso remoto del servicio de cuarentena
Si el enrutamiento y acceso remoto se configura con el proveedor de autenticación de Windows, configure la directiva de acceso remoto del servicio de cuarentena en el servidor de acceso remoto mediante el complemento Enrutamiento y acceso remoto. Si el enrutamiento y acceso remoto se configura con el proveedor de autenticación de RADIUS, configure la directiva de acceso remoto del servicio de cuarentena en el servidor IAS mediante el complemento Servicio de autenticación de Internet.
Resumen
El servicio de cuarentena de VPN mediante Control de cuarentena de acceso a red ofrece un modo administrado de impedir el acceso completo a la intranet hasta que la configuración del equipo cliente de acceso remoto no se haya comprobado y cumpla las directivas de la red. Control de cuarentena de acceso a red usa un perfil de CM que contiene un script del servicio de cuarentena incrustado y un componente de notificación, un componente de escucha que se ejecuta en un servidor de acceso remoto con Windows Server 2003 y una directiva de acceso remoto del servicio de cuarentena. Para implementar el control de cuarentena de acceso a red, debe designar y configurar recursos del servicio de cuarentena, crear un script de cuarentena, instalar el componente de escucha en los servidores de acceso remoto, crear y distribuir el perfil de CM de cuarentena y configurar una directiva de acceso remoto del servicio de cuarentena.
Más información
Para obtener más información acerca de los servicios de cuarentena, vaya a Microsoft TechNet y busque "servicio de cuarentena de VPN".
Punto de control del tema
|
Requisitos |
|---|---|
|
Evaluación de tecnologías para habilitar la cuarentena de red para usuarios remotos e in situ. |
|
Implementación de una solución de cuarentena de VPN para usuarios remotos. |
Si ha llevado a cabo los pasos enumerados anteriormente, su organización cumple el requisito mínimo de las capacidades de la solución integrada de cuarentena para equipos no revisados o infectados del modelo de optimización de infraestructuras.
Ir a la siguiente pregunta de autoevaluación.