Capacidad de OI: Seguridad y funciones de red: del nivel estandarizado al racionalizado
En esta página
.gif){kind=icon}
Introducción
Requisito: Firewalls administrados por directivas en servidores y equipos de escritorio
Requisito: Acceso remoto seguro a recursos internos y aplicaciones de línea de negocio
Requisito: Comprobación de comunicaciones seguras y garantizadas entre servidores
Requisito: Supervisión y creación de informes del contrato de nivel de servicio para servidores
Requisito: Mecanismo de comunicación segura para la presencia de usuario
Requisito: Active Directory y IAS/RADIUS para la autenticación y autorización de redes inalámbricas
Requisito: Servicios de Certificate Server administrados de manera central
Requisito: Administración proactiva del ancho de banda en las sucursales
Introducción
La seguridad y las redes constituyen la tercera capacidad de optimización de infraestructura principal. En la tabla siguiente se describen los desafíos de alto nivel, las soluciones aplicables y las ventajas de adoptar el nivel racionalizado de seguridad y funciones de red.
Desafíos |
Soluciones |
Ventajas |
|---|---|---|
Desafíos para la empresa Los modelos de seguridad de varias capas no se implementan en toda la red: desde el perímetro, pasando por el firewall, el servidor, el escritorio y los niveles de aplicación El firewall no es un componente estándar de los equipos de escritorio Los usuarios móviles carecen de acceso seguro a recursos a través de la infraestructura de enrutamiento proporcionada por una red pública Desafíos de TI Los servidores admiten el tráfico entrante de cualquier host, lo que aumenta la vulnerabilidad a los ataques Autenticación deficiente de los clientes inalámbricos Cifrado e integridad de los datos deficientes de una red LAN inalámbrica |
Proyectos Implementación de firewalls administrados por directivas en los servidores. Acceso remoto seguro a recursos internos y aplicaciones de línea de negocio Proporcionar una comprobación de las comunicaciones seguras y garantizadas entre los servidores Implementación de la supervisión y creación de informes de SLA para servidores Implementación del mecanismo de comunicación segura para la presencia de usuario Implementación de Active Directory y IAS/RADIUS para la autenticación y autorización de redes inalámbricas Implementación de servicios de Certificate Server administrados de manera central Comenzar a administrar de forma proactiva el ancho de banda de las sucursales |
Ventajas empresariales Los usuarios disponen de acceso seguro a los recursos independientemente de la ubicación Las directivas y procesos proactivos, la configuración y la administración aumentan la estabilidad Ventajas de TI Administración mejorada de activos de hardware y software para equipos de escritorio Directivas de grupo centralizadas para distribuir directivas IPsec y filtros que aumentan el nivel de seguridad de los equipos Las directivas IPsec aumentan la seguridad de los entornos de red al limitar el tráfico entrante a los host de confianza TI dedica menos tiempo a la administración de crisis y más a la entrega de servicios nuevos para el negocio |
El nivel racionalizado del modelo de optimización de infraestructura trata las áreas clave de los componentes de red y de seguridad, entre las que se incluyen: firewalls locales, seguridad IP, supervisión de disponibilidad, infraestructura inalámbrica de seguridad, administración de certificados y administración WAN.
Requisito: Firewalls administrados por directivas en servidores y equipos de escritorio
Destinatarios
Debe leer esta sección si no dispone de un firewall administrado por directivas en, al menos, el 80% de los servidores y equipos de escritorio.
Introducción
En la Guía de recursos de optimización de infraestructura principal para implementadores: del nivel básico al estandarizado, ** ** obtendrá información acerca de la protección de los equipos de la red mediante un firewall perimetral centralizado. Para pasar del nivel estandarizado al racionalizado, necesita complementar la protección del firewall de red estableciendo y reforzando directivas en los servidores y escritorios que usan firewalls basados en host de clase 1. Microsoft y otros proveedores de software ofrecen software de firewall que le permite configurar una protección basada en directivas o en un conjunto de normas. Este requisito está estrechamente relacionado con el requisito para la >Configuración y seguridad centralizada basada en directorios también del nivel racionalizado.
La mayoría de los firewalls de clase 1 se pueden configurar para diferentes niveles de protección, desde el nivel mínimo al más restrictivo. Al permitir a los usuarios ajustar el nivel de protección en sus propios equipos, no puede asegurar que seleccionen un nivel que proteja toda su red. Con firewalls administrados por directivas puede determinar el nivel de seguridad que satisfaga sus necesidades de red.
Fase 1: Evaluación
En la fase de evaluación volverá a valorar qué equipos de su entorno disponen de algún tipo de firewall basado en host con capacidades de administración de directivas. El nivel racionalizado estipula que el 80 por ciento o más de sus equipos de escritorio ejecutan Windows XP SP2 o Windows Vista (consulte Requisito: Dos últimas versiones de SO y service packs en equipos de escritorio). No hay ningún requisito en el nivel racionalizado que establezca que los servidores ejecuten los dos sistemas operativos más recientes. Esto es muy importante ya que, suponiendo que su organización ha implementado los dos sistemas operativos de escritorio más recientes, ya habrá cumplido el requisito de funciones de firewall basadas en host disponibles en equipos de escritorio. Así, sólo tendrá que incorporar los requisitos de cumplimiento de configuración mediante directivas de grupo para garantizar que Firewall de Windows se ejecuta con la configuración deseada. Los firewalls basados en host de los productos de Windows Server comenzaron con el lanzamiento de Windows Server 2003 SP1, por lo que si su organización no ejecuta al menos el 80% de la infraestructura del servidor con Windows Server 2003 SP1 o superior, necesitará realizar un inventario o identificar los sistemas que no disponen de un firewall basado en host. Para automatizar el sistema operativo y la información de las aplicaciones en la infraestructura de servidor, se recomienda usar el inventario de hardware de SMS 2003.
Fase 2: Identificación
Mediante el inventario de servidores generado en la etapa previa, la fase de identificación aísla la infraestructura de servidor que requiere firewalls basados en host. En la fase de evaluación y planeación, determinará la estrategia de mitigación adecuada para habilitar firewalls basados en host y determinar la configuración de firewall adecuada para aplicarla mediante la directiva de grupo.
Fase 3: Evaluación y planeación
En la fase de evaluación y planeación, examinará las tecnologías de firewall basado en host y determinará las medidas apropiadas para disponer de firewalls basados en host en el 80% de los servidores de su organización. Tras determinar la estrategia para aplicar firewalls basados en host a la mayoría de los escritorios y los servidores, debe determinar cómo puede usar la directiva de grupo para garantizar el uso y la configuración de los firewalls basados en host. Esta fase sólo es responsable de la evaluación y la planeación de la implementación de los firewalls basados en host en un entorno de prueba. Las secciones siguientes se centran en Firewall de Windows. También puede usar tecnologías similares como BlackICE de Internet Security Systems o Zone Alarm de Zone Labs.
Servidor de seguridad de Windows
Firewall de Windows es un firewall con estado basado en host integrado que se incluye en Windows XP con Service Pack 2, Windows Server 2003 con Service Pack 1, Windows Vista y Nombre código de Windows Server "Longhorn" (en la actualidad se evalúa la versión beta). Firewall de Windows es un firewall con estado basado en host que no se corresponde ni con el tráfico enviado en respuesta a una solicitud del equipo (tráfico solicitado) ni con el tráfico no solicitado especificado como permitido (tráfico excepcional).
Como firewall del host, Firewall de Windows se ejecuta en cada uno de los servidores y clientes. Ofrece protección frente a ataques de red que atraviesan el perímetro de red o se originan dentro de la organización, como los ataques de los troyanos, gusanos o cualquier otro tipo de programa malintencionado propagado a través del tráfico entrante no solicitado.
Para obtener más información acerca de los recursos de Firewall de Windows, consulte https://www.microsoft.com/technet/network/wf/default.mspx.
Se necesita Firewall de Windows o funcionalidad similar de un firewall basado en host en un 80% de los equipos de escritorio y servidores. Como se mencionó anteriormente, otros productos de firewall basado en host que puede que desee evaluar son BlackICE de Internet Security Systems y Zone Alarm de Zone Labs.
Obtener firewalls basados en host para equipos de escritorio y servidores
Cuando haya seleccionado su tecnología preferida de firewall para equipos de escritorio y servidores y haya seleccionado los host que necesitan las capacidades del firewall, su siguiente tarea será probar, configurar e implementar aplicaciones para probar la infraestructura de prueba. Estos pasos concuerdan con los procedimientos recomendados observados en esta guía para la administración de revisiones, pruebas de compatibilidad de aplicaciones y la implementación de aplicaciones, como se describe en Administración de revisiones para servidores, Pruebas de compatibilidad y certificación de la distribución de software y Seguimiento automatizado de hardware y software para equipos de escritorio. Si ha seleccionado Firewall de Windows como la única tecnología para servidores anteriores a Windows Server 2003 SP1, necesitará actualizar tales servidores a Windows Server 2003 SP1 o una versión más reciente.
Administración de directivas de firewalls
También se necesita la administración de directivas de los firewalls basados en host como parte del nivel racionalizado para la optimización de la infraestructura principal. Para los usuarios de Firewall de Windows, la clave es garantizar que el servicio de firewall está habilitado. Para llevar a cabo este sencillo proceso, siga los pasos siguientes usando la directiva de grupo:
Comprobar que la configuración de la directiva de grupo, Firewall de Windows: Prohibir el uso de Servidor de seguridad de conexión a Internet en su red de dominio, está deshabilitada o no configurada.
Si está habilitada, esta configuración previene que nadie, incluidos los administradores, habiliten o configuren Firewall de Windows. Para cambiar la configuración de esta directiva, use el Editor de objetos de directiva de grupo para editar los objetos de la directiva de grupo (GPO, Group Policy Objects) que se usan para administrar la configuración de Firewall de Windows en su organización.
Para modificar la configuración Prohibir el uso del Firewall de conexión a Internet en su red de dominio
Abra el Editor de objetos de directiva de grupo para editar el GPO usado para administrar la configuración de Firewall de Windows en su organización.
Haga clic en Configuración del equipo, en Plantillas administrativas, Red y, a continuación, haga clic en Conexiones de red.
En el panel de detalles, haga doble clic en Firewall de Windows: Prohibir el uso del firewall de conexión a Internet en la configuración de la directiva de su red de dominio.
Seleccione la casilla Deshabilitado o No configurado.
Si no usa Firewall de Windows, busque la opción de configuración equivalente para el firewall basado en host seleccionado y realice el procedimiento equivalente. Una vez completado en al menos el 80% de los clientes y los servidores administrados, finaliza este atributo del requisito de firewalls administrados por directivas en servidores y equipos de escritorio. Para obtener más información acerca de la directiva de grupo, consulte el requisito para la Configuración y seguridad centralizada basada en directorios de esta guía.
Para obtener información acerca de las opciones de configuración avanzadas de Firewall de Windows, consulte la sección de procedimientos recomendados para administrar Firewall de Windows.
Fase 4: Implementación
Como resultado de los tres pasos anteriores, debe estar preparado para implementar la tecnología de firewall basada en host seleccionada y habilitar la administración de directivas. De nuevo, el proceso de implementación incluye los procedimientos recomendados para la administración de revisiones, las pruebas de compatibilidad de aplicaciones y la implementación de aplicaciones, como se describe en Administración de revisiones para servidores, Pruebas de compatibilidad y certificación de la distribución de software y Seguimiento automatizado de hardware y software para equipos de escritorio. Consulte los requisitos para obtener información detallada acerca de los procesos de planeación e implementación.
Más información
Para obtener más información acerca de los firewalls, visite Microsoft TechNet y realice una búsqueda con “Firewall de Windows”.
Para ver la forma en la que Microsoft incorpora firewalls a la seguridad del perímetro de la red, visite https://www.microsoft.com/technet/itshowcase/content/secnetwkperim.mspx.
Punto de control: Firewalls administrados por directivas en servidores y equipos de escritorio
|
Requisitos |
|---|---|
|
Realización del inventario de los equipos servidor y de escritorio para identificar qué hardware dispone en la actualidad de tecnologías de firewall basadas en host. |
|
Implementación de una tecnología de firewall basada en host en el hardware que carece de capacidades de firewall o servidores actualizados en Windows Server 2003 SP1 o posterior. |
|
Cumplimiento de las directivas establecidas para garantizar que los firewalls basados en host siempre están habilitados y no se pueden deshabilitar. |
.gif)
Una vez completados los pasos anteriores, su organización habrá cumplido los requisitos mínimos del nivel racionalizado para las capacidades de firewalls administrados por directivas en servidores y equipos de escritorio del modelo de optimización de infraestructura. Le recomendamos que siga los recursos de procedimientos recomendados adicionales descritos en esta guía de firewalls basados en host administrados por directivas y en la sección Procedimientos recomendados para administrar Firewall de Windows.
Ir a la siguiente pregunta de autoevaluación.
Requisito: Acceso remoto seguro a recursos internos y aplicaciones de línea de negocio
Destinatarios
Debe leer esta sección si sus empleados no disponen de acceso remoto seguro a los recursos internos y a las aplicaciones de línea de negocios, y al correo electrónico, por ejemplo, una red privada virtual (VPN, Virtual Private Network) o Microsoft Terminal Server.
Introducción
En el entorno de negocios actual, las organizaciones se sienten presionadas para reducir costos, aumentar la eficacia y maximizar el rendimiento partiendo de la infraestructura existente. El crecimiento de Internet, junto con las nuevas oportunidades comerciales internacionales, hacen imprescindible que las organizaciones ofrezcan acceso seguro a la red los 7 días de la semana, 24 horas al día a sus empleados y ubicaciones de todo el mundo. Dos escenarios en los que normalmente se usa el acceso remoto son:
Acceso de clientes remotos. Los clientes remotos normalmente son equipos individuales, como equipos domésticos o portátiles de empleados que necesitan tener acceso a los recursos de la empresa mientras trabajan o viajan.
Acceso de sitio a sitio. El acceso de sitio a sitio se usa entre sucursales e instalaciones centrales de la organización para tener acceso a recursos y datos de diferentes ubicaciones lógicas y físicas.
Ambos requisitos de acceso remoto clave de una organización pueden conseguirse mediante una VPN. Ambas soluciones requieren la presencia subyacente de una conexión de acceso telefónico o una conexión a Internet de línea alquilada (compartida). Esta guía se centra en VPN y presenta Terminal Services para cumplir los requisitos. El material de orientación se basa en los Servicios de acceso remoto de la arquitectura de referencia de Windows Server System (WSSRA).
Para obtener más recursos técnicos de VPN en Windows Server 2003, visite el sitio web acerca de redes virtuales privadas en Microsoft TechNet.
Fase 1: Evaluación
Durante la fase de evaluación, debe identificar cómo trabaja su base de usuarios desde ubicaciones remotas. A menudo, las organizaciones sólo proporcionan acceso al correo electrónico a través de servicios como Microsoft Office Outlook® Web Access (OWA) o aplicaciones de línea de negocios habilitadas para Web. En estos casos, los usuarios finales disponen de un subconjunto de la funcionalidad comparado con aquellos que se encuentran in situ. En la fase de evaluación, debe determinar la lista de servicios disponibles para los usuarios in situ, como Intranet y servicios de colaboración, y aquellos disponibles para los usuarios que trabajan fuera o los de sucursales, como el correo electrónico basado en web y las aplicaciones de línea de negocios.
Fase 2: Identificación
Ahora que dispone de la lista de servicios para los usuarios in situ, los que trabajan fuera o los de sucursales, la fase de identificación sólo determina qué servicios ofrecidos in situ deberían aumentar la productividad y la eficacia del usuario si se proporcionan de forma segura mediante acceso remoto a los usuarios que trabajan fuera del lugar de trabajo. Normalmente, los requisitos clave de acceso remoto de una organización, concretamente, el acceso de cliente remoto y el acceso de sitio a sitio, pueden proporcionarse mediante una VPN. Ambas soluciones requieren una conexión a Internet o una conexión de línea alquilada.
Fase 3: Evaluación y planeación
La fase de evaluación y planeación examina cómo se entregan los servicios de acceso remoto seleccionados, junto con los controles usados para mantener la seguridad. Para la mayoría de las organizaciones, resultaría muy costoso abrir una oficina en cada ciudad o proporcionar circuitos privados al domicilio de cada empleado para garantizar conexiones seguras a la red de la empresa. Una VPN permite a los asociados y a los empleados asegurar el cifrado de las conexiones mediante Internet, normalmente a un costo más bajo.
Redes privadas virtuales
Una red privada virtual (VPN) es una conexión cifrada segura entre dos extremos que se establece sobre una conexión compartida como Internet y se usa como una extensión de la red de la empresa. Una VPN permite que la organización use la infraestructura de Internet global sencillamente conectando una oficina o un usuario a un proveedor de servicios de Internet (ISP). Una VPN también es una tecnología extensible. Por ejemplo, Voz sobre IP (VoIP) puede implementarse para permitir a los usuarios remotos usar su extensión telefónica de la oficina (con todas sus capacidades de mensajería) en cualquier momento desde donde estén trabajando.
Las conexiones VPN permiten a los usuarios que trabajan en casa o que viajan obtener acceso remoto al servidor de una organización, mediante la estructura proporcionada por una conexión entre redes pública como Internet. Desde la perspectiva del usuario, la VPN es una conexión punto a punto entre el equipo, el cliente VPN y el servidor de una organización (el servidor VPN). La infraestructura exacta de la red compartida o pública es irrelevante debido a que aparece como si los datos se enviaran a través de un vínculo privado dedicado.
Las conexiones VPN también permiten a las organizaciones enrutar conexiones con otras organizaciones a través de una conexión entre redes como Internet mientras mantienen comunicaciones seguras, por ejemplo, para oficinas que se encuentran separadas geográficamente. Una conexión VPN enrutada en Internet opera de forma lógica como un vínculo a la red de área extensa (WAN) dedicada.
El diagrama siguiente representa un diseño de la arquitectura de servicios de acceso remoto que usan VPN.
.gif)
Figura 7. Diseño de la arquitectura de servicios de acceso remoto que usan VPN
Consideraciones de diseño de VPN
Hay muchos aspectos que hay que considerar al diseñar una solución VPN, entre los que se incluyen la seguridad, los costos, la integración, los requisitos futuros y la administración. Antes de decidir la tecnología VPN adecuada, es importante determinar los objetivos del diseño de una solución VPN. Estos objetivos difieren en función de si la solución es para acceso de cliente remoto o para acceso de sitio a sitio, o ambas. Para obtener más información acerca de las opciones de diseño de VPN, consulte el borrador de servicios de acceso remoto de WSSRA.
Planeación de servicios de acceso remoto
El diseño de acceso remoto se basa en información recopilada durante el proceso de determinación de los requisitos empresariales y técnicos. Normalmente, los clientes de acceso remoto necesitan una solución de acceso remoto, al igual que los empleados que trabajan desde casa o viajan y las sucursales con varios usuarios en las que existen conexiones de sitio a sitio de clase empresarial.
Para obtener información detallada acerca de la planeación de servicios de acceso remoto para clientes remotos, consulte la guía de planeación de servicios de acceso remoto de WSSRA para el escenario de un centro de datos corporativo (CDC, Corporate Data Center).
Para obtener información detallada acerca de la planeación de servicios de acceso remoto a sucursales, consulte:
Servicios de Terminal Server
El componente Terminal Server de Microsoft Windows Server 2003 le permite entregar aplicaciones basadas en Windows, o el propio escritorio de Windows, a prácticamente cualquier dispositivo informático, incluidos los que no pueden ejecutar Windows.
Terminal Server de Windows Server 2003 ofrece tres ventajas importantes de acceso remoto seguro:
Implementación segura y rápida de las aplicaciones.
Acceso a los datos de bajo ancho de banda.
Windows en cualquier parte.
Para obtener más información acerca de Terminal Server, visite http://technet2,microsoft.com/windowsserver/en/technologies/featured/termserv/default.mspx.
Fase 4: Implementación
Después de evaluar sus opciones de servicios de acceso remoto y planear los requisitos para proporcionar el servicio adecuado a los clientes remotos, la implementación del diseño tiene lugar en la fase de implementación. La guía de creación de servicios de acceso remoto de WSSRA proporciona pasos para probar e implementar los Servicios VPN para clientes remotos en el escenario CDC y para sucursales en el escenario SBO.
Más información
Para ver cómo Microsoft implementa VPN y Terminal Server, visite los sitios web siguientes:
https://www.microsoft.com/technet/itshowcase/content/isa2004sp2.mspx
https://www.microsoft.com/technet/itshowcase/content/rasecwp.mspx
Punto de control: Acceso remoto seguro a recursos internos y aplicaciones de línea de negocio
|
Requisitos |
|---|---|
|
Evaluación de los requisitos de acceso remoto para clientes remotos y sucursales. |
|
Diseño e implementación de una red privada virtual segura o servicios similares en clientes remotos y sucursales. |
Una vez completados los pasos anteriores, su organización habrá cumplido los requisitos mínimos del nivel racionalizado para obtener acceso remoto seguro a los recursos internos y las aplicaciones de línea de negocios del modelo de optimización de infraestructura. Le recomendamos que atienda a la orientación de los recursos de procedimientos recomendados adicionales para VPN del sitio web Redes privadas virtuales de Microsoft TechNet.
Ir a la siguiente pregunta de autoevaluación.
Requisito: Comprobación de comunicaciones seguras y garantizadas entre servidores
Destinatarios
Debe leer esta sección si no dispone de un modo seguro y garantizado de comprobar la comunicación entre servidores críticos como los controladores de dominio y los servidores de correo electrónico.
Introducción
Las organizaciones se enfrentan a desafíos cada vez mayores para proteger el perímetro de sus redes. Como las organizaciones crecen, las relaciones comerciales cambian y los clientes, proveedores y consultores necesitan conectar dispositivos móviles a su red por motivos profesionales válidos, el control del acceso físico a una red puede convertirse en una tarea imposible. La llegada de las redes inalámbricas y las tecnologías de conexión inalámbrica han facilitado aún más el acceso a las redes. Esta mayor conectividad conlleva que los miembros de dominio de la red interna estén cada vez más expuestos a riesgos importantes procedentes de otros equipos de la red interna y a las infracciones de la seguridad perimetral.
El concepto de aislamiento lógico que presenta esta guía comporta dos soluciones: en primer lugar el aislamiento del servidor para asegurarse de que un servidor acepta conexiones de red procedentes sólo de miembros de dominios de confianza o de un grupo específico de miembros de dominio y, en segundo lugar, el aislamiento del dominio para excluir a los miembros de dominios de conexiones que no son de confianza. Estas soluciones pueden usarse por separado o juntas como parte de una solución global de aislamiento lógico.
La función principal del aislamiento de servidores y dominios es permitir a los administradores de TI restringir las comunicaciones TCP/IP de los miembros de dominio con equipos de confianza. Estos equipos de confianza pueden configurarse de forma que permitan sólo conexiones entrantes de otros equipos de confianza o de un grupo específico de equipos de confianza. La directiva de grupo administra de forma central los controles de acceso que controlan los derechos de inicio de sesión de red. Prácticamente todas las conexiones de red TCP/IP se pueden asegurar sin cambiar las aplicaciones, pues el protocolo de seguridad de Internet (IPsec) funciona en la capa de red, por debajo de la capa de aplicaciones, para facilitar seguridad por paquete y autenticación de un extremo a otro entre equipos. El tráfico de la red puede autenticarse, o autenticarse y cifrarse, en diversos escenarios personalizables. Esta guía sigue la orientación y las recomendaciones de la sección Aislamiento de servidor y dominio mediante IPsec y directiva de grupo de Microsoft TechNet.
Fase 1: Evaluación
En concordancia con los requisitos de esta guía, la primera fase consiste en evaluar el estado actual de su organización. El proceso de obtener y mantener un registro confiable de los equipos, el software y los dispositivos de red de una organización es uno de los desafíos clásicos del departamento de TI Para definir el estado actual se necesita información acerca de los elementos siguientes:
Detección de redes
La documentación de la segmentación de la red
Dispositivos de la infraestructura de red
Análisis del modelo de tráfico de red actual
Active Directory
Detección de host
Requisitos de datos de host
Para obtener información detallada acerca de cómo recopilar esta información, consulte el capítulo 3 de la guía Aislamiento de servidor y dominio mediante IPsec y directiva de grupo: Determinación del estado actual de su infraestructura de TI. Esta guía describe los requisitos de cada elemento y el modo de recopilar información mediante detección automática con SMS 2003 o productos similares, así como las opciones de detección manuales.
Fase 2: Identificación
La fase de identificación consiste en determinar las estrategias adecuadas para las necesidades de la organización. No resulta fácil proteger una infraestructura de TI moderna frente a posibles atacantes y al mismo tiempo permitir a los empleados trabajar de la forma más ágil y productiva posible. Resulta incluso difícil comprender el amplio abanico de tecnologías que pueden ayudarnos a proteger un entorno. Quizás resulte útil ver exactamente dónde encaja la solución en una infraestructura de TI típica y considerar cómo se ha diseñado para complementar las defensas de la red existentes.
La figura siguiente muestra una infraestructura de red típica consistente en diversas capas de defensa de la red e ilustra dónde encaja el aislamiento lógico en un entorno típico.
.gif)
Figura 8. Infraestructura de red típica
El resultado de la fase de identificación será determinar los requisitos de alto nivel para el diseño de aislamiento de servidor y dominio. En la fase de evaluación y planeación, estableceremos los requisitos detallados y un plan de ejecución. Para obtener más información, consulte el capítulo 4 de la guía Aislamiento de servidor y dominio mediante IPsec y directiva de grupo: Diseño y planeación de grupos de aislamiento.
Fase 3: Evaluación y planeación
El objetivo de la fase de evaluación y planeación es garantizar que se han tenido en cuenta todas las opciones para asegurar y garantizar las comunicaciones entre servidores. En este caso, nos centramos en IPsec como el mecanismo para realizarlo. Hay un requisito adicional relacionado para los Servicios de Certificate Server administrados de manera central del nivel racionalizado en el modelo de optimización de infraestructura principal.
Con el fin de generar un plan ejecutable para la fase de implementación, ofrecemos instrucciones para la implementación del diseño de aislamiento de servidor y dominio.
Evaluación del protocolo de seguridad de Internet
IPsec normalmente se usa para proteger el canal de comunicación entre dos servidores y restringir el número de equipos que se pueden comunicar entre sí. Por ejemplo, puede ayudar a proteger un servidor de base de datos estableciendo una directiva que admita solicitudes sólo desde equipos cliente de confianza, como un servidor de aplicaciones o un servidor web. También puede restringir la comunicación a puertos TCP/UDP y protocolos IP específicos.
Los requisitos de red y las recomendaciones para granjas de servidores hacen de IPsec una buena opción debido a que:
todos los servidores se almacenan en una LAN física (para mejorar el rendimiento de IPsec).
se asignan direcciones IP estáticas a los servidores.
IPsec también se puede usar entre dominios de confianza de Windows Server 2003 o Microsoft Windows 2000 Server. Por ejemplo, puede usar IPsec para asegurar la comunicación del servidor web o el servidor de aplicación en una red perimetral que conecte a un equipo que ejecuta Microsoft SQL Server en una red interna. Para obtener más información, consulte la sección Selección de métodos de autenticación de IPsec de la Guía de implementación de Windows Server 2003.
Para obtener más información acerca de entornos recomendados para IPsec, consulte la sección Determinación de sus necesidades de IPsec de la Guía de implementación de Windows Server 2003.
Planeación del aislamiento de servidor y dominio
Durante la fase de identificación, creamos requisitos de alto nivel. El siguiente paso es crear un plan de implementación con el capítulo 4 de la guía Aislamiento de servidor y dominio mediante IPsec y directiva de grupo: Diseño y planeación de grupos de aislamiento. Después de crear el plan y de definir los requisitos detallados, una combinación de los siguientes elementos implementará estos requisitos:
Requisitos de acceso de entrada y salida para los grupos de aislamiento y el dominio de aislamiento:
Directiva del protocolo de seguridad de Internet (IPsec) diseñada específicamente para el grupo de aislamiento que requiere la negociación del intercambio de claves de Internet (IKE, Internet Key Exchange) para las conexiones de entrada y salida.
Grupos de seguridad basados en dominios (grupos de acceso a red) para permitir o denegar el acceso a la red cuando se usa tráfico protegido por IPsec.
Requisitos de protección del tráfico de red para los grupos de aislamiento y el dominio de aislamiento:
Filtros de directiva IPsec diseñados para identificar correctamente el tráfico que se debe proteger.
Acciones de filtrado IPsec que negocien el nivel requerido de autenticación y cifrado para el tráfico que los filtros identifican.
Configuración de acción de filtrado para controlar si se autoriza la comunicación en texto sin formato cuando los hosts de confianza establecen conexiones de salida.
Capítulo 5 de la guía Aislamiento de servidor y dominio mediante IPSec y directiva de grupo: Creación de directivas IPsec para grupos de aislamiento explica cómo preparar la solución con la directiva de grupo y las directivas IPsec en Active Directory con Windows Server 2003 y la configuración de miembros de dominio con Windows Server 2003 y Microsoft Windows XP.
Fase 4: Implementación
El objetivo de la fase de implementación es implementar lo que se ha planeado como resultado de las tres fases anteriores. En esta fase creará directivas IPsec en Active Directory, entre las que se incluyen la creación de listas de filtros, acciones de filtrado y directivas IPsec para implementar grupos de aislamiento. La siguiente figura muestra los diversos componentes de una directiva IPsec y cómo están asociados entre sí.
.gif)
Figura 9. Componentes de la directiva IPsec
Para obtener orientación detallada acerca de la implementación de las directivas IPsec, consulte el capítulo 5 de la guía Aislamiento de servidor y dominio mediante IPsec y directiva de grupo: Creación de directivas IPsec para grupos de aislamiento.
Más información
Para obtener más información acerca de IPsec, visite Microsoft TechNet y busque “IPsec”.
Para ver cómo asegura Microsoft la comunicación entre servidores, visite https://www.microsoft.com/technet/itshowcase/content/ipsecdomisolwp.mspx.
Punto de control: Comprobación de comunicaciones seguras y garantizadas entre servidores
|
Requisitos |
|---|---|
|
Evaluación del estado actual de la infraestructura de red afectada por el protocolo de seguridad de Internet (IPsec). |
|
Identificación de requisitos organizativos para asegurar una comunicación segura y garantizada entre los servidores, incluidos los impactos normativos y de cumplimiento. |
|
Desarrollo e implementación de un plan en la organización usando IPsec para cumplir los requisitos definidos. |
Una vez completados los pasos anteriores, su organización habrá cumplido los requisitos mínimos del nivel racionalizado para la comprobación de comunicaciones seguras y garantizadas entre servidores del modelo de optimización de infraestructura. Le recomendamos que atienda a la orientación de los recursos de procedimientos recomendados adicionales para las comunicaciones entre servidores.
Ir a la siguiente pregunta de autoevaluación.
Requisito: Supervisión y creación de informes del contrato de nivel de servicio para servidores
Destinatarios
Debe leer esta sección si no dispone de un contrato de nivel de servicio (SLA, Service Level Agreement) para la supervisión y la creación de informes del nivel de servicio de un 80 por ciento o más de sus servidores.
Introducción
En la actualidad la administración de TI mediante un enfoque de administración de servicios se ha vuelto mucho más frecuente en el sector de TI. Como las organizaciones trabajan para mantener la competitividad y satisfacer las necesidades de sus clientes internos y externos, les resulta necesario ver sus infraestructuras de TI como algo más que un conjunto de servidores conectados mediante redes de área extensa (WAN, Wide Area Network) y ejecutar aplicaciones. Tanto usted como su organización necesitan ver esos recursos como servicios que generan ingresos y proporcionan capacidades a sus clientes. Al adoptar este enfoque, necesita comprender todos los componentes que forman los servicios y el impacto de cada componente en el nivel de disponibilidad proporcionado por el servicio. Además, debe evaluar con éxito la entrega de servicios a lo largo del tiempo para comprender de forma clara la calidad del servicio que proporcionan sus sistemas.
La Guía de recursos de optimización de infraestructura principal para implementadores: del nivel básico al estandarizado explicaba la necesidad de disponer de una forma automatizada de supervisar los servidores críticos de su organización en el nivel estandarizado. En el nivel racionalizado, sencillamente se amplía este requisito a todos los servidores de la organización y se unen los requisitos de administración del nivel de servicio como parte del requisito de supervisión. El nivel racionalizado no requiere un nivel mínimo de disponibilidad, sino que determina un nivel adecuado para cada servicio de TI de la organización.
Fase 1: Evaluación
Como con el nivel estandarizado, en la fase de evaluación su organización debería realizar un inventario de todos los servidores de la infraestructura. Puede identificar de forma manual los servidores y especificaciones o bien usar una herramienta para automatizar el proceso de inventario, como la función de recopilación de inventarios de Systems Management Server (SMS) 2003.
Resultados adicionales del cambio al nivel racionalizado:
Determinación de los servicios de TI principales de su organización (catálogo de servicios).
Asignación de los componentes de infraestructura necesarios para proporcionar tales servicios.
Recopilación de información para determinar el nivel de servicio de línea de base actual.
Establecer las líneas de base del nivel de servicio
Una línea de base es una línea que se traza en el tiempo y realiza una instantánea de la situación. En este caso, es una imagen de la administración del nivel de servicio de su organización. Una línea de base proporciona una imagen de los servicios proporcionados en un momento dado y provee un plan para conseguir objetivos futuros de la administración del nivel de servicio. Para optimizar el rendimiento de TI no sólo es necesaria una visión clara del objetivo sino también de la línea de base actual a partir de la que empezará el proceso.
Para obtener más orientación acerca de cómo evaluar las líneas de base actuales, consulte el material de orientación Administración del nivel de servicio de Microsoft Operations Framework (MOF).
Fase 2: Identificación
Después de realizar el inventario de todos los servidores, comienza la fase de identificación del nivel racionalizado. Se trata del proceso que tiene lugar cuando se definen los niveles de servicio adecuados frente a sus líneas de base. El objetivo principal de la administración del nivel de servicio es mejorar los servicios disponibles para el negocio a largo plazo y resolver los problemas de aprovisionamiento de servicios que existen actualmente.
Una de las numerosas ventajas para el departamento de TI, además de la mejora del servicio, es el mayor conocimiento de las expectativas empresariales y una administración de costos mejorada. La administración del nivel de servicio permite al departamento de TI satisfacer las expectativas empresariales y abrir un diálogo para confirmar dichas expectativas. Por ejemplo, un departamento de TI puede desear proveer un servicio con una disponibilidad del 100%, 99,999% o incluso del 70%, pero es posible que no pueda explicar como llegó a ese número. A menos que estas expectativas se hayan documentado y aceptado anteriormente en el proceso de administración del nivel de servicio, el departamento de TI puede centrarse en un servicio crítico no empresarial, por ejemplo, desarrollo de personal, inversiones en hardware, software u otros asuntos costosos, con pequeños beneficios para la empresa.
Objetivos del nivel de servicio
Al configurar los objetivos del nivel de servicio, averigüe qué busca la empresa. A menudo, esto puede incluir mediciones de procesos, por ejemplo, clasificar la satisfacción de los clientes, devolver llamadas telefónicas y responder a preguntas. Puede que existan formas de usar la tecnología de la organización para facilitar estas mediciones. Por ejemplo, la tecnología de centro de llamadas permite crear informes que se contrastan con las llamadas salientes realizadas por usuarios concretos registradas en el servicio de asistencia.
A menudo encontramos cadenas de componentes complejas que se traducen en la provisión de un servicio. Sin embargo, es posible aceptar un objetivo final para el servicio siempre que la entrega de servicios de este objetivo pueda medirse en toda la cadena de componentes.
Medidas comunes de los objetivos del nivel de servicio
Medida |
Ejemplo |
|---|---|
Disponibilidad |
Los días y las horas que el servicio está disponible o un porcentaje basado en esto. |
Capacidad de respuesta y rendimiento |
La velocidad y el volumen (medidas del rendimiento o de la carga de trabajo) de servicio, el tiempo para la adquisición de datos, la velocidad de la transferencia de datos y el tiempo de respuesta y la velocidad de respuesta técnica y humana. |
Seguridad |
La seguridad del servicio. |
Las medidas de los objetivos del nivel de servicio deben analizarse detenidamente usando los criterios siguientes:
¿Son compatibles con los objetivos empresariales?
¿Son específicas?
¿Se pueden medir?
¿Son alcanzables, incluso si esto significa un gran esfuerzo por parte de TI?
¿Son realistas en relación con las ventajas que aportarán al negocio?
Fase 3: Evaluación y planeación
Tras definir todos los servicios en un catálogo de servicios y los niveles de servicio deseados, en la fase de evaluación y planeación evaluaremos las tecnologías para automatizar la supervisión de los componentes presentes en el servicio de TI.
Software de supervisión
En esta sección se muestra cómo se puede usar software para supervisar la disponibilidad de los servidores críticos. En este ejemplo, Microsoft Operations Manager (MOM) se usa en la función de supervisión. Independientemente de si usa MOM o no, el software para supervisar la disponibilidad u otras medidas de nivel de servicio de los servidores deben disponer de la siguiente funcionalidad:
Capacidad para recopilar información de los atributos del servidor y para aplicar funciones específicas para su supervisión en función de sus atributos.
Capacidad para obtener datos de registros de eventos y otros proveedores de la manera definida por algunas reglas específicas.
Capacidad para recopilar datos de rendimiento basados en contadores de rendimiento.
Capacidad para generar alertas basadas en criterios especificados en reglas.
En función de las medidas definidas en los acuerdos de nivel de servicio de su organización, MOM se puede usar como la única tecnología para la recopilación de datos. En la mayoría de los casos, habrá que ampliar los datos de MOM con datos de otros servicios. Por ejemplo, si ha definido los niveles de servicio como parte de la administración de cambios y versiones, necesitará usar informes de estado de otros mecanismos como el creador de informes de Systems Management Server 2003.
En el momento de este publicación, System Center Operations Manager 2007 está en proceso de ser lanzado. Como siguiente versión de una solución de administración de operaciones de Microsoft, agrega funciones de supervisión de estado orientada a servicios, supervisión del cliente y supervisión de los servicios de dominio.
Pack de administración de disponibilidad de MOM
Con el módulo de administración de disponibilidad de MOM podrá recopilar y analizar datos de registros de eventos de sus servidores y, a continuación, generar informes configurables que pueda ver y personalizar para satisfacer las necesidades de su organización. Puede usar esos informes para identificar las causas de los periodos de tiempo de inactividad planeados y no planeados y tomar acciones preventivas para disminuir el tiempo de inactividad en el futuro.
Puede usar los informes de disponibilidad para:
Determinar si los servidores cumplen sus objetivos de disponibilidad y confiabilidad.
Filtrar informes para realizar un seguimiento de tendencias visualizando información recopilada durante una duración de tiempo determinada, como un periodo de tiempo de meses o años.
Identificar los mejores y los peores equipos de rendimiento de un área determinada.
Identificar áreas problemáticas como una aplicación determinada o una versión de sistema operativo que deja de responder.
Ver y analizar información recopilada mediante el Rastreador de sucesos de apagado.
El módulo de administración de disponibilidad de MOM puede ser una herramienta irremplazable que puede usar para facilitar medidas claves de supervisión en su administración de nivel de servicio y cambiar al nivel racionalizado. Para obtener más información acerca del módulo de administración de disponibilidad de MOM, visite https://www.microsoft.com/technet/prodtechnol/mom/mom2005/Library/3e1dfa65-84a5-4e3e-9403-3ef9b47c6b68.mspx?mfr=true.
Planeación de la implementación de Microsoft Operations Manager
Si ha seleccionado Microsoft Operations Manager como tecnología de supervisión para sus servidores y aún no se ha implementado en su entorno, consulte la guía de planeación e implementación de MOM 2005 como parte de Microsoft TechNet Operations Manager TechCenter.
System Center Operations Manager 2007
System Center Operations Manager 2007 ofrece un enfoque de supervisión orientado a servicios que le permite supervisar sus servicios de tecnologías de la información de principio a fin, ajustar la supervisión en entornos y organizaciones grandes y usar el conocimiento de las aplicaciones y sistemas operativos de Microsoft para resolver problemas operativos. A continuación se ofrecen algunas de las capacidades completas que proporciona Operations Manager 2007.
Supervisión orientada a servicios
Una consola de Operations consolidada muestra el estado de su entorno y le permite gestionar las alertas. Para obtener más información acerca de la consola de Operations, consulte Consola de Operations de Operations Manager 2007.
Los informes proporcionan numerosas opciones para ver el estado de su entorno. Para obtener más información acerca de la creación de informes, consulte creación de informes de Operations Manager 2007.
Módulos de administración integrados
Los módulos de administración proporcionan información de supervisión para muchas aplicaciones de Microsoft. Además, puede crear sus propios módulos de administración para supervisar sus aplicaciones personalizadas. Para obtener información adicional acerca de módulos de administración, consulte la sección módulos de administración de Operations Manager 2007.
La mayoría de los módulos de administración de Microsoft incluyen información acerca de cómo resolver problemas comunes con la aplicación.
Supervisión del cliente
La supervisión del cliente le permite reenviar informes de errores de sistemas operativos y aplicaciones a Microsoft y recibir soluciones para dichos errores, cuando estén disponibles. Para obtener información adicional, consulte la sección supervisión del cliente de Operations Manager 2007.
Servicios de dominio de Active Directory
La integración de los servicios de dominio de Active Directory usa las inversiones permitiéndole asignar equipos administrados por agente a grupos de administración. Para obtener información adicional acerca de los servicios de dominio de Active Directory, consulte la sección Integración de los servicios de dominio de Active Directory de Operations Manager 2007.
Entorno de supervisión seguro
Las funciones de seguridad le permiten supervisar el estado de los servicios y las aplicaciones de tecnología de la información incluso cuando hay partes del entorno fuera del área asegurada. Para obtener más información acerca de funciones de seguridad, consulte las secciones consideraciones de seguridad de Operations Manager 2007 y servidor de puerta de enlace de Operations Manager 2007.
La autorización basada en funciones le permite ajustar las acciones que sus operadores y administradores pueden realizar. Para obtener más información acerca de las funciones, consulte la sección Acerca de las funciones de usuario de Operations Manager 2007.
La recopilación de auditorías recopila de forma eficaz eventos de seguridad de equipos administrados y proporciona informes para realizar análisis. Para obtener más información acerca de la recopilación de auditorías, consulte Servicios de recopilación de auditorías (ACS).
Más información
Para obtener más información acerca de System Center Operations Manager 2007, visite http:/www.microsoft.com/technet/opsmgr/opsmgr2007_default.mspx.
Fase 4: Implementación
Después de definir los servicios de TI en un catálogo de servicios, de determinar la línea de base o los niveles de servicio actuales, de definir los niveles de servicio adecuados para su organización y de determinar un plan para realizar una supervisión del nivel de servicio automatizada, es el momento de implementar la solución de supervisión de disponibilidad.
Si su organización ha seleccionado Microsoft Operations Manager como la tecnología para realizar una supervisión de la disponibilidad de sus sistemas, puede encontrar orientación detallada acerca de la implementación en la Guía de implementación de MOM 2005 y la Guía de implementación de System Center Operations Manager 2007 en Microsoft TechNet.
Más información
Para obtener más información, visite Microsoft TechNet y busque “SLA”.
Para obtener más información acerca de la supervisión de la disponibilidad para servidores MOM 2005, visite https://www.microsoft.com/technet/prodtechnol/mom/mom2005/Library/faf19f47-facd-4467-9510-e7c84c671572.mspx?mfr=true.
Para obtener más información acerca de funcionalidad adicional para optimizar la supervisión de servidores mediante MOM 2005, consulte el contenido del Acelerador de solución.
Flujo de trabajo de notificaciones. El flujo de trabajo de notificaciones es una aplicación de notificación de servicios basada en Microsoft SQL Server que se puede usar para ampliar las funcionalidades de notificación de MOM 2005.
Autoticketing. Autoticketing proporciona orientación para la generación de registros de forma automatizada, permitiendo la publicación automática de una solicitud (o registros) en el sistema de registro de problemas (TT, Trouble Ticketing) usado para la administración de incidentes.
Alert Tuning Solution. Alert Tuning ayuda a reducir el volumen de alertas al implementar los módulos de administración de MOM 2005.
Continuidad del servicio. La continuidad del servicio ayuda a mantener la disponibilidad del servicio MOM 2005.
Multiple Management Group Rollup. Multiple Management Group Rollup permite a un negocio propagar los datos de varios grupos de administración en un almacén de datos para crear informes consolidados y agregados.
Para ver la forma en la que Microsoft supervisa Exchange Server 2003, visite https://www.microsoft.com/technet/itshowcase/content/monittsb.mspx.
Para ver cómo usa Microsoft los acuerdos de nivel de servicio, visite https://www.microsoft.com/technet/itshowcase/content/itscorecdnote.mspx.
Punto de control: Supervisión y creación de informes del contrato de nivel de servicio para servidores
|
Requisitos |
|---|---|
|
Definición de los servicios de TI de la organización en un catálogo de servicios. |
|
Determinación de una línea de base o de niveles de servicio actuales para servicios definidos. |
|
Definición de los niveles de servicio apropiados para la organización y determinación de un plan para automatizar la supervisión del nivel de servicio. |
|
Implementación de una solución de supervisión de disponibilidad automatizada. |
Una vez completados los pasos anteriores, su organización habrá cumplido los requisitos mínimos del nivel racionalizado las capacidades de supervisión y creación de informes SLA para servidores del modelo de optimización de infraestructura principal. Le recomendamos que atienda a la orientación de los recursos de procedimientos recomendados adicionales para establecer y supervisar los SLA para servidores de Microsoft Operations Framework.
Ir a la siguiente pregunta de autoevaluación.
Requisito: Mecanismo de comunicación segura para la presencia de usuario
Destinatarios
Debe leer esta sección si no proporciona un mecanismo de comunicación seguro, como el Protocolo de inicio de sesión (SIP, Session Initiation Protocol), para la presencia de usuario.
Introducción
La presencia es información en tiempo real que describe la ubicación de un usuario particular y la disponibilidad para comunicarse. Establecer presencia en toda la empresa puede proporcionar un aumento significativo de la productividad. La colaboración y la comunicación entre trabajadores es más eficaz cuando se reduce el tiempo de seguimiento.
La presencia en línea otorga a los individuos capacidad para identificar quién está conectado y disponible para comunicarse con ellos en un momento dado. Habilitar la presencia en línea (e instalar el software necesario) agrega un indicador de estado en línea junto al nombre del individuo independientemente de dónde aparezca el nombre en una colección de sitios. El indicador de estado en línea muestra si el individuo está conectado o desconectado y disponible para responder las consultas a través de un cliente de mensajería instantánea. Cuando un individuo está conectado, puede hacer clic en el indicador de estado en línea para enviar un mensaje instantáneo. Este acceso directo a fuentes expertas puede ayudar a los miembros del equipo a trabajar de forma más eficaz.
Puede adoptar medidas para proporcionar comunicaciones seguras para la información de presencia. Los sistemas de mensajería instantánea pueden proporcionar comunicaciones seguras entre objetos de usuario de su directorio. Al proporcionar tecnología como el Protocolo de inicio de sesión (SIP, Session Initiation Protocol) para comunicaciones de presencia, puede pasar del nivel estandarizado al racionalizado. El nivel racionalizado requiere que la comunicación a través de SIP también sea segura. Esto significa que la comunicación se archiva, que funciona a través de servicios de directorio y que se usan certificados.
Para obtener más información acerca del valor empresarial de la presencia, descargue el documento de Communications Server 2005: Valor empresarial de la presencia.
Fase 1: Evaluación
Durante la fase de evaluación analizaremos la forma en la que los usuarios de su organización identifican la presencia de otros usuarios. Muchas organizaciones usan las tecnologías de mensajería instantánea de los proveedores de servicios de Internet. Aunque habilitar la presencia en línea es beneficioso en muchos entornos en los que la colaboración es crítica, es importante mantener el equilibrio entre las ventajas de una mayor colaboración entre miembros de grupos con los requisitos de seguridad y cumplimiento, particularmente en lo que se refiere a la implementación de un cliente de mensajería instantánea. La planeación de la presencia debe incluir la garantía de que las comunicaciones internas y externas con y de un cliente de mensajería instantánea son coherentes con la directiva de la empresa para la seguridad y el cumplimiento de las instrucciones y las prácticas de la empresa obligatorias. En muchas organizaciones, las conversaciones de mensajería instantánea se deben conservar en cumplimiento con los requisitos de registro de la información para las comunicaciones electrónicas. Por ejemplo, las organizaciones sujetas a la normativa Sarbanes-Oxley deben archivar las conversaciones de mensajería instantánea como parte de sus requisitos de registro de la información.
La primera tarea de la fase de evaluación es realizar un inventario de las aplicaciones de software que se usan actualmente en su organización para habilitar la presencia y la mensajería instantánea. En los entornos muy bloqueados, las directivas restringirán a sus usuarios la instalación de aplicaciones. Aún se recomienda que realice un inventario de todos los sistemas. Puede realizar un inventario centralizado de su entorno con herramientas como Systems Management Server 2003 o el Kit de herramientas de compatibilidad de aplicaciones (ACT).
Fase 2: Identificación
Durante la fase de identificación, comenzará a recopilar requisitos de alto nivel para habilitar la presencia de acuerdo con las normativas o las directivas organizativas. Como se ha afirmado anteriormente, para muchas empresas es imprescindible archivar las conversaciones de mensajería instantánea que tienen lugar en la empresa. Además, deseará investigar hasta que punto se han integrado los indicadores de presencia en otras aplicaciones de productividad, como el correo electrónico y el software de colaboración. Las especificaciones de requisitos derivadas de la fase de identificación se usarán al evaluar y planear la presencia en las fases siguientes.
Para obtener información acerca de como se usa la presencia con Microsoft Office SharePoint® Server, consulte http://technet2,microsoft.com/Office/en-us/library/3f53f3d3-85b8-42e5-8213-afb5eec7e8651033.mspx.
Para obtener información acerca de la integración de la presencia en Microsoft Office Outlook, consulte http://technet2,microsoft.com/Office/en-us/library/53c024e4-db55-4858-9ef6-5cba97c1afbd1033.mspx.
Fase 3: Evaluación y planeación
Durante la fase de evaluación y planeación, examinará las tecnologías específicas para habilitar la presencia en su entorno. Las secciones siguientes describen el protocolo y enumeran algunas de las posibilidades tecnológicas de Microsoft para habilitar la presencia.
Protocolo de inicio de sesión (SIP)
El Protocolo de inicio de sesión (SIP), similar al Protocolo de transferencia de hipertexto (HTTP), es un protocolo de control de llamadas y señalización de nivel de aplicación basado en texto. SIP se usa para crear, modificar y finalizar sesiones SIP. Admite tanto comunicación de unidifusión como de multidifusión. Debido a que SIP está basado en texto, la implementación, el desarrollo y la depuración son más sencillos que con H.323. Con SIP, un usuario puede invitar a otro de forma explícita para que se una a una conversación o una sesión multimedia. Una sesión SIP comienza cuando el segundo usuario acepta la invitación. Con SIP también se puede invitar a otros usuarios que ya habían establecido sesión.
Para obtener más información acerca de los protocolos de las comunicaciones en tiempo real, visite https://www.microsoft.com/technet/prodtechnol/winxppro/plan/rtcprot.mspx.
Live Communications Server
Live Communications Server 2005 ofrece mensajería instantánea (IM, Instant Messaging) y presencia como parte de una solución empresarial escalable ofreciendo una seguridad mejorada, una integración completa con otros productos de Microsoft y una plataforma de desarrollo estándar del sector extensible. Microsoft Office Live Communications Server 2005 puede proporcionar las siguientes herramientas y funciones de colaboración y comunicación seguras usando SIP para la presencia:
Mensajería instantánea
Comunicación de audio y vídeo
Colaboración de datos
Visite Microsoft Office Live Communications Server TechCenter para encontrar información acerca de la planeación, la implementación y las operaciones para Microsoft Office Live Communications Server.
Office Communicator 2005 y Office Communicator 2007
Office Communicator 2005 y Office Communicator 2007 son clientes de mensajería empresarial segura que integran mensajería instantánea con telefonía y vídeo para una mensajería instantánea unificada. Office Communicator 2007 proporciona capacidades de integración con programas en todo 2007 Microsoft Office system, incluidos Microsoft Word, Excel®, PowerPoint, OneNote, Groove y SharePoint Server.
Para obtener más información acerca de Office Communicator 2005, consulte el centro de recursos de Office Communicator 2005.
Para obtener más información acerca de Office Communicator 2007, consulte lainformación general del producto Microsoft Office Communicator 2007.
Office Outlook 2007
Si su organización usa Microsoft Office Outlook 2007, puede habilitar la presencia como parte de su información de contacto para los usuarios de su lista global de direcciones. Una vez configurada, la presencia se muestra también en los mensajes de correo electrónico recibidos. Office Outlook 2007 puede integrarse con Office Communicator 2005 u Office Communicator 2007.
Para obtener más información acerca de la configuración de Office Outlook 2007 para habilitar la presencia, consulte http://technet2,microsoft.com/Office/en-us/library/53c024e4-db55-4858-9ef6-5cba97c1afbd1033.mspx.
Office SharePoint Server 2007
Si su organización usa Microsoft Office SharePoint Server 2007, se puede habilitar la presencia en línea para los individuos que disponen de acceso al sitio de SharePoint para ver qué otros participantes están conectados y enviarles mensajes instantáneos. La presencia en línea puede ser un herramienta de colaboración eficaz que ayude a los miembros del sitio a descubrir de forma rápida quién está disponible para responder preguntas.
Para obtener más información acerca de la planeación de la integración de la presencia en Office SharePoint Server 2007, consulte la guía de Planeación y arquitectura para Office SharePoint Server 2007,
Planeación de la presencia y la infraestructura de la mensajería instantánea administrada
Cuando haya evaluado las tecnologías para habilitar la presencia en su organización, la siguiente tarea será planear y elaborar la infraestructura seleccionada. Para habilitar la presencia integrada en su organización, normalmente necesitará lo siguiente:
Servicio de directorios
Catálogo global
DNS implementado y configurado de forma adecuada
Infraestructuras de clave públicas (PKI) y Entidad emisora de certificados (CA)
Base de datos back-end
Al alcanzar el nivel racionalizado, estos requisitos de los componentes ya estarán instalados en su organización. El siguiente diagrama proporciona arquitectura de ejemplo para la infraestructura de Live Communications Server 2005 Enterprise Edition.
.gif)
Figura 10. Infraestructura de Live Communications Server Enterprise Edition
La última tarea de la fase de evaluación y planeación es el diseño de un plan de implementación y de la arquitectura para la infraestructura de presencia seleccionada. Para obtener más información acerca de la planeación para la presencia mediante la tecnología de Microsoft, consulte la guía de planeación de Microsoft Office Live Communications Server 2005 con Service Pack 1.
Fase 4: Implementación
Por ahora, las fases anteriores han derivado en un inventario de las prácticas actuales usadas para habilitar la mensajería instantánea y la presencia, una especificación de requisitos de alto nivel para implementar la presencia y la mensajería instantánea administrada, la evaluación de la presencia y la tecnología de mensajería instantánea y un plan de implementación para la solución seleccionada. En la fase de implementación, implementaremos la solución de presencia seleccionada. Además de la implementación de la nueva tecnología, también deseará examinar las directivas usadas para administrar la mensajería instantánea existente o no administrada. Esto puede incluir la implementación de restricciones de directivas para enviar o recibir archivos, bloquear la instalación de aplicaciones nuevas o desinstalar las aplicaciones no administradas que no cumplan las directrices de las directivas adecuadas para su organización.
Si ha seleccionado Live Communications Server 2005, puede encontrar información detallada acerca de la planeación y la ejecución de la implementación en la guía de planeación de Microsoft Office Live Communications Server 2005 con Service Pack 1 en Microsoft TechNet.
Más información
Para obtener más información, visite Microsoft TechNet y realice una búsqueda con “presencia”.
Para ver la forma en la que Microsoft usa Office Live Communications Server 2005, visite https://www.microsoft.com/technet/itshowcase/content/lcs2005twp.mspx.
Punto de control: Mecanismo de comunicación segura para la presencia de usuario
|
Requisitos |
|---|---|
|
Evaluación de cualquier método actual no administrado usado para la presencia de usuario y la comunicación instantánea. |
|
Creación de una especificación de requisitos para la presencia de usuario y la mensajería instantánea, según las normas y directivas locales o del sector. |
|
Evaluación de presencia y tecnología de mensajería instantánea, y creación de un plan para implementar la solución seleccionada. |
|
Implementación de la presencia de usuario en un valor mínimo a través de mensajería instantánea administrada y, de manera opcional, a través de la colaboración y de una infraestructura de correo electrónico. |
Una vez completados los pasos anteriores, su organización habrá cumplido los requisitos mínimos del nivel racionalizado para las capacidades del Mecanismo de comunicación segura para la presencia de usuario del modelo de optimización de la infraestructura.
Ir a la siguiente pregunta de autoevaluación.
Requisito: Active Directory y IAS/RADIUS para la autenticación y autorización de redes inalámbricas
Destinatarios
Debe leer esta sección si no ha implementado una red inalámbrica segura mediante Active Directory y IAS/RADIUS para tareas de autenticación y autorización.
Introducción
La tecnología inalámbrica nos libera de los cables de cobre. Un usuario puede disponer de un equipo portátil, una PDA, un Pocket PC, un Tablet PC o sólo un teléfono móvil y estar conectado desde cualquier sitio en el que la señal inalámbrica esté disponible. La teoría básica de la tecnología inalámbrica es que las señales se desplazan a través de ondas electromagnéticas que se transmiten a un receptor de la señal. Sin embargo, para conseguir que los dispositivos inalámbricos se entiendan, necesitamos protocolos de comunicación. El Servicio de autenticación remota telefónica de usuario (RADIUS) es un protocolo cliente/servidor en el que los clientes RADIUS envían solicitudes de autenticación y cuentas a un servidor RADIUS. El servidor RADIUS comprueba las credenciales de autenticación de acceso remoto en los eventos de cuentas de acceso remoto de los registros y cuentas del usuario.
El servicio de autenticación de Internet (IAS, Internet Authentication Service) de Windows Server 2003 o el Servidor de directivas de redes (NPS, Network Policy Server) en el futuro con nombre código de Windows Server “Longhorn” son implementaciones de Microsoft de un servidor y un proxy RADIUS. Como un servidor RADIUS, IAS lleva a cabo tareas de información, autorización y autenticación con conexión centralizada de muchos tipos de acceso de red, incluidas las conexiones inalámbricas, autentica la conmutación, el acceso remoto telefónico y las conexiones de red privada virtual (VPN). Como proxy RADIUS, IAS reenvía mensajes de autenticación e información a otros servidores RADIUS. RADIUS es un estándar del Grupo de trabajo de ingeniería de Internet (IETF).
Fase 1: Evaluación
En secciones anteriores de esta guía y en la sección: Guía de recursos de optimización de infraestructura principal para implementadores: del nivel básico al estandarizado leyó acerca de la importancia de la autenticación de usuarios para que obtengan acceso a su entorno de TI. Para cambiar al nivel racionalizado, necesita avanzar un paso más ampliando la autenticación y autorización de usuarios independientemente del método de acceso a su red.
En la fase de evaluación se volverá a realizar un inventario de la infraestructura inalámbrica existente en su organización. Muchas organizaciones ya disponen de capacidades de red inalámbricas y hay tres tipos comunes de tecnologías de red inalámbricas:
Redes de área local inalámbricas (WLAN)
Redes de área personal inalámbricas (WPAN)
Redes de área extensa inalámbricas (WWAN)
Las secciones siguientes explican cada uno de esos tipos de red y las tecnologías inalámbricas disponibles. El modelo de optimización de infraestructura principal se centra en WLAN como el único tipo de red inalámbrica con la que su organización puede controlar de forma activa la autenticación de usuarios y objetos.
Redes de área local inalámbricas (WLAN)
Las tecnologías WLAN habilitan las conexiones de red inalámbricas en una red privada, como la oficina o el edificio de la compañía, o en un área pública, como una tienda o un aeropuerto. Las redes WLAN normalmente se usan para complementar un entorno LAN cableado, proporcionando un nivel de flexibilidad extra para los usuarios de WLAN, normalmente al costo de la velocidad de red y la confiabilidad de la conexión.
Redes de área personal inalámbricas (WPAN)
Las tecnologías WPAN están diseñadas para permitir a los usuarios establecer como necesarias comunicaciones inalámbricas entre dispositivos personales como los PDA, los teléfonos móviles o los portátiles. Normalmente, estos dispositivos están diseñados para comunicarse en un área de pocos metros, un área referida como un espacio operativo personal (POS, Personal Operating Space).
Redes de área extensa inalámbricas (WWAN)
Las tecnologías WWAN están diseñadas para habilitar conexiones inalámbricas a través de redes públicas o privadas que se distribuyen a través de áreas geográficas grandes como ciudades o países.
El resultado de la fase de evaluación será la documentación de las topologías WLAN existentes en su organización. Esta topología se usará en la fase de evaluación y planeación mientras se planean formas de optimización de la autenticación segura de usuario.
Fase 2: Identificación
La fase de identificación se concentra principalmente en identificar un medio seguro de autenticación de dispositivos conectados a WLAN con vistas a reflejar el nivel de seguridad usado en su infraestructura LAN cableada. Esta sección introduce las siguientes tecnologías y protocolos usados para proporcionar una infraestructura de red inalámbrica segura:
Autenticación inalámbrica con IEEE 802.11
Servicio de autenticación remota telefónica de usuario (RADIUS)
Protocolo de autenticación extensible (EAP).
Servicio de autenticación de Internet (IAS)
Certificados
Para obtener orientación técnica detallada acerca de los protocolos inalámbricos y la autenticación, consulte la sección Descripción general de componentes y tecnologías de distribución inalámbrica.
Autenticación inalámbrica con IEEE 802.11
El Institute of Electrical and Electronics Engineers, Inc. (IEEE) 802,11 es un estándar del sector para obtener acceso compartido WLAN que define la capa física y la subcapa de control del acceso a los medios (MAC) para comunicaciones inalámbricas. El estándar IEEE 802,11 original definió los siguientes tipos de autenticación, que se describen en las siguientes secciones.
Autenticación de sistema abierto
La autenticación de sistema abierto no proporciona autenticación, sólo identificación mediante la dirección MAC del adaptador inalámbrico. La autenticación de sistema abierto se usa cuando no se necesita autenticación. La autenticación de sistema abierto es el algoritmo de autenticación predeterminado que usa el siguiente proceso:
El cliente inalámbrico que inicia la autenticación envía un marco de administración de autenticación IEEE 802.11 que contiene su identidad.
El nodo inalámbrico receptor comprueba la identidad de la estación que inicia la autenticación y devuelve un marco de comprobación de la autenticación.
Con algunos puntos de acceso inalámbrico, puede configurar las direcciones MAC de los clientes inalámbricos permitidos mediante la función conocida como filtrado de MAC. Sin embargo, el filtrado de MAC no proporciona seguridad debido a que la dirección MAC de un cliente inalámbrico puede ser determinada y falsificada fácilmente.
Autenticación de clave compartida
La autenticación de clave compartida comprueba que una estación que inicia la autenticación conoce un secreto compartido. De acuerdo con el estándar 802.11 original, el secreto compartido se entrega a los clientes inalámbricos participantes por medio de un canal seguro independiente de IEEE 802.11. En la práctica, el secreto compartido se configura de forma manual en el PA inalámbrico y el cliente inalámbrico.
La autenticación de clave compartida usa el siguiente proceso:
El cliente inalámbrico que inicia la autenticación envía un marco que consta de una afirmación de identidad y una solicitud de autenticación.
El nodo inalámbrico de autenticación responde al nodo inalámbrico que inicia la autenticación con el texto de desafío.
El nodo inalámbrico que inicia la autenticación responde al nodo inalámbrico que autentica con el texto de desafío que se ha cifrado mediante WEP y una clave de cifrado derivada del secreto de autenticación de clave compartida.
El resultado de autenticación es positivo si el nodo inalámbrico de autenticación determina que el texto de desafío descifrado coincide con el texto de desafío original enviado en el segundo marco. El nodo inalámbrico de autenticación envía el resultado de autenticación.
Debido a que el secreto de autenticación de clave compartida se debe distribuir y escribir de forma manual, este método de autenticación no se escala de forma apropiada en un modo de red de infraestructuras grandes (por ejemplo, campus corporativos y lugares públicos).
Servicio de autenticación remota telefónica de usuario (RADIUS)
RADIUS es un protocolo de implementación generalizada que habilita la autenticación, autorización y contabilidad centralizadas para el acceso a redes. En un principio se desarrolló para acceso telefónico remoto, sin embargo RADIUS ahora es admitido por puntos de acceso inalámbricos, conmutadores Ethernet de autenticación, servidores de redes privadas virtuales, servidores de acceso por línea de suscriptor digital (DSL) y otros servidores de acceso a redes.
Protocolo de autenticación extensible (EAP).
El protocolo de autenticación extensible (EAP) se creó en un principio como una extensión para el protocolo punto a punto (PPP) que permite el desarrollo de métodos arbitrarios de autenticación de acceso a redes. Con los protocolos de autenticación PPP como el Protocolo de autenticación por desafío mutuo (CHAP), se elige un mecanismo de autenticación específico durante la fase de establecimiento del vínculo. Durante la fase de autenticación de la conexión, el protocolo de autenticación negociado se usa para validar la conexión. El protocolo de autenticación es una serie fija de mensajes enviados en un orden específico. Con EAP, el mecanismo de autenticación específico no se elige durante la fase de establecimiento del vínculo de la conexión PPP. En su lugar, cada homólogo PPP negocia realizar EAP durante la fase de autenticación de la conexión. Cuando se llega a la fase de autenticación de la conexión, el homólogo negocia el uso de un esquema de autenticación EAP específico conocido como tipo EAP.
Servicio de autenticación de Internet (IAS)
IAS en Windows Server 2003 y Windows 2000 Server es la implementación de Microsoft de un servidor RADIUS para Windows Server 2003, La implementación de Microsoft de un proxy RADIUS. IAS efectúa de manera centralizada los procesos de autenticación, autorización y contabilidad de las conexiones realizadas por diversos accesos a la red, incluidos los inalámbricos, autentica conmutadores, marcado telefónico y el acceso remoto por red privada virtual (VPN), además de las conexiones entre enrutadores. IAS habilita el empleo de un heterogéneo conjunto de equipos inalámbricos, de conmutación, de acceso remoto o de VPN, además de ser compatible para su uso con Windows Server 2003 o el Servicio de acceso remoto y enrutamiento de Windows 2000.
Cuando un servidor IAS pertenece a un dominio basado en Active Directory, éste sirve a IAS como base de datos para las cuentas de usuario, y aquel forma parte de una solución de inicio de sesión único. Se necesitan las mismas credenciales para el control sobre el acceso a la red (es decir, la autenticación y la autorización del acceso a ésta) que para iniciar la sesión en un dominio basado en Active Directory.
Certificados
Los certificados se usan para autenticar un cliente inalámbrico con un punto de acceso inalámbrico. Los clientes inalámbricos que ejecutan Windows Vista, Windows XP, Windows Server 2003, Windows Server “Longhorn” y Windows 2000 Server pueden usar certificados para autenticar el equipo.
Resumen de la fase de identificación
La fase de identificación de este requisito difiere de las otras en que contiene muchos de los aspectos usados para evaluar opciones de tecnología para redes inalámbricas. Se trata, en parte, de este caso ya que los protocolos y estándares usados son coherentes para casi todas las tecnologías de red inalámbricas. La comprensión de los estándares y protocolos es necesaria para identificar el resultado deseado o una especificación de requisitos, para una autenticación inalámbrica segura. Para obtener más información, consulte las guías Descripción general de componentes y tecnologías de distribución inalámbrica y Seguridad de red inalámbrica en Microsoft TechNet.
Fase 3: Evaluación y planeación
Ahora que ya ha identificado las tecnologías y los protocolos necesarios para la seguridad de red inalámbrica y ha desarrollado una especificación de requisitos de alto nivel, la fase de evaluación y planeación evaluará las tecnologías que se pueden usar para planear e implementar su proyecto de implementación de red inalámbrica.
Suponiendo que ha cumplido otros requisitos del nivel racionalizado, muchos de los componentes necesarios para implementar una infraestructura inalámbrica segura están probablemente en su lugar, incluidos Windows XP SP2 o equipos cliente más recientes y Windows 2000 Server o servidores más recientes.
IAS de Windows Server
IAS de Windows Server proporciona las siguientes soluciones para organizaciones que requieren acceso de red seguro:
Compatibilidad con servidores y clientes RADIUS de cualquier proveedor que cumpla las especificaciones IEEE descritas en los RFC 2865, 2866 y 2869.
Integración con el directorio de servicios de Active Directory. IAS le permite beneficiarse de Active Directory para la autenticación de usuario, la autorización y la configuración de cliente, lo que reduce los costos de administración.
Uso de métodos de autenticación basados en estándares de acceso a la red.
Administración del acceso de red subcontratado a un ISP. IAS le permite crear un acuerdo entre su organización y el ISP en el que el ISP pueda cargar un departamento de usuarios móviles para el uso de red de esos empleados. De esta forma, cada empleado no necesita enviar una declaración de gastos o crear una cuenta móvil para conectarse a la red de la compañía de forma remota.
Administración de claves dinámicas para puntos de acceso inalámbrico como medio para aumentar la seguridad de red.
Los servidores que ejecutan el componente Servicio de autenticación de Internet (IAS) de los sistemas operativos Windows 2000 Server y Windows Server 2003 realizan la autenticación, la autorización, la auditoría y la administración de las cuentas centralizadas para diversos tipos de accesos a la red, incluidos el acceso telefónico, de red privada virtual (VPN), inalámbrico y el acceso del conmutador de autenticación 802.1x. IAS es la implementación de Microsoft del protocolo Servicio de autenticación remota telefónica de usuario (RADIUS).
Para obtener más información, consulte la guía de seguridad de Windows Server 2003.
Active Directory
Al implementar el servidor IAS como un miembro de un dominio de Active Directory, IAS usa el servicio de directorios de Active Directory como su base de datos de cuentas de usuario y forma parte de una solución de inicio de sesión único. Con el inicio de sesión único, los usuarios suministran las credenciales de cuentas de usuario (nombre de usuario y contraseña o certificado) sólo una vez durante el proceso de autenticación y autorización. A continuación, se usan estas credenciales para iniciar sesión en un dominio de Active Directory y para el control de acceso a la red (es decir, la autenticación y la autorización del acceso a ésta).
Planeación de una red inalámbrica segura
Existen dos arquitecturas de seguridad principales que usan tecnologías de Microsoft. El primer método usa una VPN IPsec, mientras que el segundo usa el protocolo de autenticación extensible 802,1x (EAP). El objetivo de ambas es garantizar la autenticación y autorización de usuarios y proteger la confidencialidad y la integridad de los datos.
Autenticación de VPN IPsec
La estructura básica de VPN IPsec es que los clientes inalámbricos se conectan al punto de acceso inalámbrico abierto (AP) y, a continuación, se autentican con el VNP IPsec para obtener acceso a la intranet protegida de la organización.
Autenticación 802.1x mediante EAP
802.1x con EAP-TLS y los certificados de equipo se pueden usar para autenticar tanto los clientes como los servidores inalámbricos. También administra la clave WEP enviando una nueva clave de forma periódica y automática, evitando de este modo algunas de las vulnerabilidades de la clave WEP conocidas. La confidencialidad de los datos se protegerá mediante estas claves WEP dinámicas.
Al crear un plan de implementación, puede usar ambos métodos. Para obtener más información, consulte las guías acerca de Seguridad de red inalámbrica en Microsoft TechNet.
Consulte también las guías Seguridad en LAN inalámbricas con PEAP y contraseñas y Seguridad en LAN inalámbricas con Servicios de Certificate Server en Microsoft TechNet.
Fase 4: Implementación
El último paso de este proceso es implementar el acceso inalámbrico protegido en su organización. Si ha seleccionado el método de autenticación 802.1x usando tecnologías de Windows, puede encontrar orientación detallada paso a paso acerca de la implementación en la guía Implementación de redes 802.11 protegidas mediante Microsoft Windows.
Más información
Para obtener más información acerca de Active Directory e IAS/RADIUS, visite los siguientes sitios web:
También puede visitar Microsoft TechNet y buscar “IAS” o “RADIUS.”
Para ver cómo usa Microsoft IAS, visite https://www.microsoft.com/technet/itshowcase/content/secnetwkperim.mspx.
Punto de control: Active Directory y IAS/RADIUS para la autenticación y autorización de redes inalámbricas
|
Requisitos |
|---|---|
|
Identificación del acceso inalámbrico actual y de topologías relacionadas. |
|
Evaluación de tecnologías inalámbricas, protocolos y estándares. |
|
Desarrollo e implementación de planes para una infraestructura de autenticación inalámbrica segura. |
Si ha realizado los pasos enumerados anteriormente, su organización ha alcanzado el requisito mínimo del nivel racionalizado para las capacidades de autenticación y autorización de redes inalámbricas de Active Directory y IAS/RADIUS del modelo de optimización de infraestructura principal. Le recomendamos que atienda a la orientación de los recursos de procedimientos recomendados adicionales de los Recursos inalámbricos para Windows XP en Microsoft TechNet.
Ir a la siguiente pregunta de autoevaluación.
Requisito: Servicios de Certificate Server administrados de manera central
Destinatarios
Debe leer esta sección si no dispone de una infraestructura de servicios de Certificate Server o una infraestructura de claves públicas (PKI) administrada de forma central.
Introducción
Las redes de equipos ya no son sistemas cerrados en los que la mera presencia de un usuario puede servir como una prueba suficiente de identidad. En esta era de interconexión de la información, la red de una organización puede constar de intranets, sitios de Internet y extranets, todo aquello susceptible de intrusiones de individuos con una intención claramente malintencionada que buscan tipo de archivos de datos, desde mensajes de correo electrónico a transacciones de comercio electrónico. Para reducir los riesgos derivados de esta susceptibilidad, se necesitan mecanismos para establecer y mantener la identidad del usuario. Una identidad electrónica para usuarios administrada de forma central puede aportar las siguientes ventajas:
Accesibilidad de la información. Los activos de información tienen que ser accesibles para los usuarios autorizados y tienen que estar protegidos de accesos no autorizados o modificaciones. Las contraseñas pueden ayudar, pero los usuarios que disponen de varias contraseñas para tener acceso a diferentes sistemas de seguridad pueden elegir contraseñas fáciles de recordar y, por lo tanto, de descifrar.
No-rechazo de identidad. Es necesario enviar la información de un usuario a otro con la confianza de que el remitente de la información es válido. También es necesario proporcionar la seguridad de que la información no ha sido modificada por el camino.
Privacidad de la información. Los usuarios deben poder enviar información a otros usuarios u obtener acceso a un sistema informático con la seguridad de que la información no está disponible para otras personas y nadie puede obtener acceso a ella. El usuario o el sistema pueden definir quién obtiene acceso a la información. La privacidad no es lo más importante cuando se transmite información en la Internet pública.
Estos requisitos afectan a activos de información electrónica y tienen un impacto directo en la mayoría de las organizaciones. Cualquier mecanismo implementado para tratar estos requisitos debe ser tanto manejable como seguro. Una infraestructura de claves públicas (PKI, Public Key Infrastructure) es una tecnología adecuada para cumplir con esos requisitos mediante el uso de certificados digitales. Una PKI permite el intercambio de certificados digitales entre entidades autenticadas y recursos de confianza. Los certificados de una PKI se usan para asegurar datos y administrar credenciales de identificación dentro y fuera de la organización. Una PKI necesita ser de confianza, por lo que se administra mediante una organización cualificada o parte de ella. Dicha organización puede llamarse entidad emisora de certificados (CA) pero, normalmente, sólo el equipo que ejecuta el software del certificado se denomina entidad emisora de certificados. Independientemente de si la entidad emisora de certificados se refiere a una organización o al software compatible con la certificación, ésta es responsable de establecer y garantizar la identidad de los titulares del certificado. También revoca los certificados si ya no se consideran válidos y publica listas de renovación de certificados (CRL) para que los comprobadores de los certificados determinen la validez de un certificado.
Esta guía usa los procedimientos recomendados según lo documentado en las guías de servicios de certificados de la arquitectura de referencia del sistema Windows Server.
Fase 1: Evaluación
La fase de evaluación analiza el estado actual del entorno de red. Esta fase de evaluación es idéntica a la fase de evaluación del requisito para la Comprobación de comunicaciones seguras y garantizadas entre servidores del nivel racionalizado. El proceso de obtener y mantener un registro confiable de los equipos, el software y los dispositivos de red de una organización es uno de los desafíos clásicos del departamento de TI Para definir el estado actual se necesita información acerca de los elementos siguientes:
Detección de redes
La documentación de la segmentación de la red
Dispositivos de la infraestructura de red
Análisis del modelo de tráfico de red actual
Active Directory
Detección de host
Requisitos de datos de host
Para obtener información detallada acerca de cómo recopilar esta información, consulte el capítulo 3 de la guía Aislamiento de servidor y dominio mediante IPsec y directiva de grupo: Determinación del estado actual de su infraestructura de TI. Esta guía describe los requisitos de cada elemento y el modo de recopilar información mediante detección automática con SMS 2003 o productos similares, así como las opciones de detección manuales.
Fase 2: Identificación
La fase de identificación define la necesidad del establecimiento de una infraestructura de claves públicas centralizada. Cuando una organización decide implementar una PKI, se debe identificar el problema del negocio antes de que comience la fase de diseño. La fase de diseño comienza al identificar las consideraciones para personas, procesos y tecnología. Las preguntas del requisito del servicio PKI incluyen:
Preguntas relacionadas con personas:
¿Cómo tratan los certificados?
¿Cómo se van a administrar los certificados?
¿Cómo afecta una PKI a la experiencia laboral de los usuarios?
¿Qué tamaño tiene la organización?
Preguntas relacionadas con procesos:
¿PKI debería formar parte de la infraestructura de TI o los certificados deberían adquirirse a través de una fuente externa?
¿Los certificados se usan también para transacciones externas?
¿Qué proceso de aplica para registrar los certificados?
¿Cómo se establece y se comprueba la confianza entre la organización y las entidades relacionadas?
¿Con qué frecuencia debe comprobarse la confianza?
¿Qué restricciones afectan a la validez de los certificados?
¿Cuándo se produce la revocación de certificados asociados una vez cancelada la confianza?
Preguntas relacionadas con la tecnología:
¿Qué tipo de entidades requieren certificados y con qué fines?
¿Con qué fines es beneficioso un servicio de directorios?
¿Qué información es necesario incluir en los certificados?
¿Qué aplicaciones están habilitadas para PKI?
¿Qué grado de complejidad debe tener una clave pública/privada? ¿Las aplicaciones habilitadas para PKI admiten tal complejidad?
Antes de que se instale el primer servidor de entidad emisora de certificados en una organización, se necesita un estudio del diseño del servicio PKI completo que cubra personas, procesos y tecnología. A largo plazo, extender una PKI implementada de forma incorrecta es más costoso y difícil de mantener que dedicar el tiempo necesario para planear una PKI extensible. Para obtener más información acerca de la identificación de los requisitos de alto nivel de la PKI, consulte el borrador de WSSRA para el diseño empresarial de servicios de Certificate Server.
Fase 3: Evaluación y planeación
En la fase de evaluación y planeación, examinaremos PKI y planearemos los pasos necesarios para implementar la infraestructura.
¿Qué es una PKI?
Muchas de las tecnologías necesarias para implementar una red de seguridad requieren PKI, que permite el intercambio de certificados digitales entre entidades autenticadas y recursos de confianza. Los certificados de una PKI se usan para asegurar datos y administrar credenciales de identificación dentro y fuera de la organización. Cuando una PKI está en su sitio, cualquier sujeto permitido puede solicitar certificados de un servicio de inscripción de certificados administrados por la entidad emisora de certificados. La entidad emisora de certificados determina la validez del solicitante del certificado y envía un certificado válido como respuesta a la solicitud. El titular del certificado puede usar el certificado hasta que expire o hasta que sea revocado, el grado de confianza depende de la calidad de la confianza entre el solicitante de un certificado y la entidad emisora. Dos certificados de usuario emitidos por diferentes CA no dispondrán, de forma predeterminada, de un estado de confianza entre ambos. Se necesita confianza entre las CA emisoras para garantizar que los certificados disponen de confianza mutua.
Los clientes compatibles con PKI usan certificados para determinar el nivel de confianza de un recurso dado. Para asegurar esto, una PKI necesita un mecanismo de comprobación para comprobar la validez del certificado. La PKI de Windows Server 2003 ofrece CRL como mecanismo de comprobación, y los clientes son técnicamente capaces de recuperar una CRL mediante un número de protocolos. Se prefiere el uso de un protocolo en detrimento de otros en función de las capacidades del cliente y la infraestructura de red. Los ejemplos de tales protocolos incluyen:
HTTP y HTTP seguro (HTTPS). HTTP y HTTPS se usan cuando se publican las CRL con un servidor web. Estos protocolos se usan normalmente para que las CRL sean accesibles para las entidades externas a la red de la organización.
LDAP. Obtener acceso a una CRL mediante LDAP desde un directorio de servicios requiere más ancho de banda que recuperar la misma CRL mediante HTTP porque LDAP, de forma predeterminada, requiere autenticación. Incluso si se usara un acceso anónimo para recuperar la CRL, LDAP enviaría un encabezado de autenticación anónimo. Si una CRL debe estar disponible de forma externa e interna, será difícil proporcionar acceso al directorio para todos los clientes mediante LDAP.
Arquitectura de PKI
La arquitectura de una PKI implica la implementación de varias tecnologías y procesos independientes para poder emitir, validar, renovar y revocar certificados. Estas tecnologías incluyen:
Uno o más servidores que ejecutan servicios de certificados que proporcionan la inscripción, revocación y otros servicios de administración de certificados.
Servicio de directorio de Active Directory u otro servicio de directorio que proporciona administración de cuentas, distribución de directivas y servicios de publicación de certificados.
Controladores de dominio que pueden autenticar equipos y usuarios finales cuando solicitan certificados.
Equipos cliente de dominio y usuarios que solicitan, reciben y usan certificados con fines específicos. Aunque los certificados también pueden ser usados por servicios y no clientes, en la mayoría de entornos PKI de Windows, los usuarios y equipos de dominio son los destinatarios y usuarios principales de los certificados. En algunos casos, el cliente de dominio puede ser una CA subordinada que solicite y reciba un certificado que lo autorice a emitir certificados.
La siguiente figura ilustra la arquitectura de las tecnologías PKI.
.gif)
Figura 11. Arquitectura de las tecnologías PKI
Este tipo de implementación PKI le proporciona control centralizado sobre sus servicios de certificados.
Planeación de la infraestructura de CA e implementación de PKI
Las opciones de una infraestructura de CA dependen de los requisitos de seguridad y de los certificados de una organización, el objetivo de PKI y los requisitos de las aplicaciones, los usuarios y los equipos.
Como se describió anteriormente, los requisitos de los certificados tienen un impacto directo en el diseño de PKI. El diseño lógico de la PKI puede realizarse una vez que se haya definido el servicio PKI. Consulte el borrador de WSSRA para el diseño empresarial de servicios de Certificate Server para obtener orientación técnica detallada para la planeación de la infraestructura de claves públicas de su organización.
Fase 4: Implementación
Después de validar su diseño de clave pública y de redefinirla mediante pruebas de laboratorio y programas piloto, puede implementar la PKI en su entorno de producción. Un enfoque bien disciplinado para implementar una PKI es imprescindible para establecer la seguridad de las aplicaciones que está habilitando. La figura siguiente muestra los procesos de implementación de la infraestructura de CA de alto nivel y de PKI.
.gif)
Figura 12. Procesos de implementación de la infraestructura CA y PKI
Para conseguir información técnica detallada acerca de la implementación de la infraestructura CA y PKI, consulte:
Biblioteca técnica de Windows Server 2003: Diseño de la infraestructura de claves públicas
Biblioteca técnica de Windows Server 2003: Implementación de la PKI
Más información
Para obtener más información, visite Microsoft TechNet y busque “PKI”.
Para ver cómo implementa Microsoft PKI, visite https://www.microsoft.com/technet/itshowcase/content/deppkiin.mspx.
Punto de control: Servicios de Certificate Server administrados de manera central
|
Requisitos |
|---|---|
|
Realización de una detección de red para llevar a cabo el inventario de todos los componentes. |
|
Identificación de consideraciones de diseño de personas, procesos y tecnología para la entidad emisora de certificados y la infraestructura de claves públicas. |
|
Creación de un plan de implementación detallado para habilitar la PKI. |
|
Implementación de un plan de implementación de PKI. |
Si ha realizado los pasos enumerados anteriormente, su organización ha alcanzado el requisito mínimo del nivel racionalizado para las capacidades de los Servicios de Certificate Server administrados de manera central del modelo de optimización de infraestructura principal. Le recomendamos que atienda a la orientación de los recursos de procedimientos recomendados adicionales para los servicios de Certificate Server.
Ir a la siguiente pregunta de autoevaluación.
Requisito: Administración proactiva del ancho de banda en las sucursales
Destinatarios
Debe leer esta sección si no administra de forma proactiva el ancho de banda de sucursales.
Introducción
Cuando debe proporcionar comunicaciones seguras y eficaces entre las oficinas centrales y las sucursales de su organización, se enfrenta al problema de un ancho de banda limitado para su red de área extensa (WAN). Puede tomar varias medidas para mejorar el uso de su ancho de banda. El diseño de una infraestructura de red física tiene una gran repercusión en otros servicios y componentes de sus infraestructuras de sucursales y oficinas. El rendimiento y la disponibilidad de la red determinan si un servicio admite los requisitos del usuario para obtener acceso a servicios a través de una WAN.
Esta guía se basa en orientación publicada en Soluciones de infraestructura de sucursales para Microsoft Windows Server 2003 Release 2 (BOIS R2).
Fase 1: Evaluación
Las siguientes secciones tratan las actividades que debería realizar durante la fase de evaluación.
Documentación del diseño de red
El primer paso para determinar como optimizar el ancho de banda de la conexión WAN de su organización es documentar el diseño de red actual para las sucursales de su organización. Existen dos diseños de red principales para sucursales: concentrador único o concentradores múltiples.
Red con un concentrador
En una red con un solo concentrador, el sitio del concentrador conecta directamente con varios sitios remotos. Se trata de una estructura WAN común para organizaciones que disponen de múltiples sucursales, pero éstas tienen casi las mismas funciones empresariales y operan dentro de las fronteras de un único país o una región más pequeña. La siguiente figura muestra un ejemplo de una estructura de red con un sólo concentrador.
.gif)
Figure 13. Red con un sólo concentrador
Red con múltiples concentradores
La red con múltiples concentradores proporciona al menos tres niveles de conexiones de red. Se trata de una estructura común para empresas internacionales grandes que tienen muchas sucursales con diferentes funciones empresariales. Normalmente esta estructura WAN dispone de un sitio del concentrador central para las oficinas centrales de la empresa y un sitio del concentrador por región geográfica. La figura siguiente muestra un ejemplo de estructura de red con un sitio del concentrador central y dos regionales.
.gif)
Figure 14. Red con múltiples concentradores
La red de múltiples concentradores puede extenderse más si las sucursales están conectadas a otras sucursales. En este caso, es importante determinar los servicios que deben estar disponibles en los sitios de nivel secundario. Las opciones de los sitios de nivel secundario incluyen las siguientes:
Disponer de la misma serie de servicios disponible localmente como la sucursal de primer nivel.
Disponer de un mayor número de servicios disponibles localmente (debido a una disponibilidad, capacidad o rendimiento de red insuficientes).
Disponer de menos servicios disponibles localmente y confiar en los servicios proporcionados por el sitio del concentrador.
El primer paso de la fase de evaluación es documentar el diseño de red de su organización para la infraestructura de sucursales y concentradores.
Documentación de los vínculos WAN
El siguiente paso de la fase de evaluación es documentar los vínculos WAN entre todos sus sitios. El vínculo de red que conecta la sucursal con el sitio del concentrador es un componente crítico de cualquier WAN. El vínculo WAN puede afectar considerablemente a la disponibilidad de cualquier servicio que requiera acceso a través de WAN. Como parte del proceso de detección, debe determinar la siguiente información:
Tipo de vínculo. Es el factor determinante de la velocidad de red, la compatibilidad con cargas de red y la disponibilidad de red. El tipo de vínculo incluye si la conexión es persistente (como una línea alquilada) o a petición (como la de acceso telefónico o ISDN), así como los protocolos que usa (como el de red privada virtual o VPN, Frame Relay o satélite).
Ancho de banda del vínculo. Se trata de la velocidad teórica máxima del vínculo, aunque la velocidad real está limitada por la latencia de la red.
Latencia del vínculo. Es el momento en el que coge un paquete de red de un lugar y lo pone en otro, lo que restringe el tiempo mínimo (cantidad de retraso) requerido para una transacción (viaje de ida y vuelta).
Capacidad del vínculo. Cantidad teórica de datos agregados que se puede distribuir a través de un vínculo de red. Está muy vinculado a la velocidad del vínculo.
Uso del vínculo. Se expresa como el porcentaje de la capacidad total del vínculo. El uso incluye todo el tráfico de red, incluidas las transferencias en segundo plano necesarias para supervisar y administrar la red y los servicios, otros servicios y aplicaciones individuales que usan la red y funciones específicas que dependen de la red (como cámaras o sistemas y VoIP).
Segmentación de la red en la sucursal
La última fase es valorar la segmentación de la red para la sucursal y lo necesario para admitir los servicios de la nueva solución.
La red interna de la sucursal normalmente ha sido una red con un sólo segmento, también conocida como red plana. Este tipo de red proporciona una infraestructura sencilla y económica con un sencillo plan IP. Si las sucursales de su organización incorporan redes de un sólo segmento o varios segmentos, esto debe documentarse como parte de la evaluación.
Otras consideraciones del diseño de red
Además del vínculo de red, cada sucursal también requiere una infraestructura de red que admite a todos los usuarios de la sucursal y sus requisitos de conectividad interna. Consideraciones de diseño adicionales relacionadas con la infraestructura de sucursales y otros componentes de red incluyen las siguientes:
Ubicación de servicios centralizados
Acceso local a Internet
Impactos para la seguridad
Limitaciones de enrutamiento
Traducción de direcciones de red (NAT)
Resumen de evaluación
El resultado de este paso debería producir una hoja de cálculo detallada o un diagrama de la topología que enumerara la forma en la que todos estos elementos se correlacionan con el diseño de red documentado en el primer paso. Para obtener más información y otras consideraciones de la evaluación, consulte la guía Diseño físico en BOIS R2.
Fase 2: Identificación
El objetivo de la fase de identificación es determinar el nivel de rendimiento adecuado para las necesidades de su organización. En la mayoría de los casos aumentar el rendimiento implica aumentar los costos. En esta fase es importante sopesar los costos y las ventajas de cada nivel de rendimiento.
Los diversos tipos y características de las conexiones WAN imposibilitan dar recomendaciones específicas acerca de las conexiones WAN más adecuadas para su organización. Sin embargo, basándonos en los datos de cliente recopilados por varios grupos, es posible generalizar tres escenarios de vínculos de red: rendimiento alto, medio y bajo. La siguiente lista describe las características de cada uno de esos escenarios de rendimiento y las aplicaciones potenciales para cada uno:
Rendimiento alto. Las sucursales satélite normalmente requieren vínculos de alto rendimiento, (al menos 1.544 o 2 megabits por segundo o Mbps, en función de la localización), latencia baja y disponibilidad alta. Normalmente se encuentran en Norteamérica y dentro de las fronteras de muchos países de Europa occidental y otras regiones. Este tipo de vínculo de red puede permitir a las organizaciones centralizar más servicios en el sitio del concentrador que otros escenarios sencillamente porque la reducción de los costos de administración mediante el desplazamiento centralizado de servicios puede tener un costo superior a proporcionar disponibilidad suficiente. También, la capacidad y la latencia pueden ser bastante buenas ya que no deben afectar negativamente a la productividad del usuario final. En algunos casos, la productividad puede mejorar debido a la aplicación. Por ejemplo, las aplicaciones que obtienen acceso a un almacén de servidor (como una base de datos o un equipo de grandes sistemas) en un sitio del concentrador se pueden aprovechar cambiando a conjuntos de aplicaciones de un sitio central y mediante servicios de Terminal Server para obtener acceso a ellas. El motivo es que las transacciones más intensivas no tienen que suceder a través de WAN, y la WAN de gran capacidad admite el nivel de rendimiento que requieren los usuarios para obtener acceso a la aplicación.
Rendimiento medio. Las sucursales normalmente pueden usar vínculos de rendimiento medio (128–512 kilobits por segundo o Kbps), latencia media y buena disponibilidad. Estos escenarios normalmente se encuentran en ubicaciones geográficas que no disponen de infraestructuras de comunicaciones avanzadas o en situaciones que requieren cruzar considerables límites geográficos. El vínculo debe admitir la centralización de servicios con bajos requisitos de banda ancha (como DNS y Active Directory), si no disponen de configuraciones u otras restricciones que eviten la centralización. Sin embargo, la disponibilidad del vínculo de red puede no ser suficiente para asegurar que los servicios de la sucursal (como los servicios de archivos y de impresión) puedan obtener acceso a cualquier servicio centralizado de los que pueden depender para la resolución de nombres, la autenticación y la autorización. También, la latencia de este vínculo podría no proporcionar una experiencia de usuario aceptable al usar servicios de Terminal Server para obtener acceso a las aplicaciones centralizadas.
Rendimiento bajo. Las sucursales independientes normalmente pueden funcionar con vínculos de rendimiento bajo (como aquellos inferiores a 128 Kbps) y latencia alta y más tolerancia con la poca fiabilidad del vínculo. Este escenario se encuentra normalmente en áreas del mundo en las que el sector de las telecomunicaciones no está muy desarrollado o el costo de obtener un rendimiento mayor y un vínculo de red con más disponibilidad es muy elevado (como al conectar una sucursal única en una ubicación muy remota). El uso de este tipo de vínculos no fomenta la centralización de servicios. Pero simplifica el diseño de la sucursal ya que todos los servicios que admiten las funciones críticas para la empresa de la sucursal y los servicios de los que dependen deben ser ubicados de forma local en la sucursal.
El resultado de la fase de identificación debería ser un análisis detallado y la recomendación de los resultados de rendimiento deseados para cada conexión, determinando la clasificación de cada sucursal: satélite, acelerada o autónoma.
Fase 3: Evaluación y planeación
Hasta ahora, se ha documentado acerca de la topología de su red y las necesidades de rendimiento deseadas para la infraestructura de su sucursal. En la fase de evaluación y planeación, evaluará los impactos de la centralización frente a la ubicación de servicios y creará un plan para la administración de sus vínculos WAN para satisfacer sus requisitos de rendimiento.
Evaluación del diseño del servidor físico
El diseño de la infraestructura de sucursales normalmente se centra en la centralización del mayor número de servicios posible. Aunque un objetivo a largo plazo sería centralizar todos los servicios, rara vez es posible para una solución a corto plazo. Esto se debe a que puede resultar muy costoso proporcionar conectividad entre el equipo cliente y la sucursal y el servicio en el sitio del concentrador que disponga de la disponibilidad, la capacidad y la latencia adecuada. Si el estado de las tecnologías actuales no admite la centralización de servicios específicos, el objetivo de racionalizar el diseño de sucursal normalmente es consolidar todos los servicios restantes de la sucursal en un único servidor. Esto puede suponer un desafío pero es alcanzable en ciertos casos.
Los tipos de consideraciones de diseño que no son específicos para un único servicio y esto debería aplicarse a todos los servicios incluyen:
Opciones de diseño disponibles para racionalizar las infraestructuras de sucursales.
Consideraciones sobre el emplazamiento del servicio de arquitectura, entre las que se incluyen las implicaciones generales de la ubicación del servicio en personas, procesos y empresas.
Otras consideraciones de diseño, sobre todo las relacionadas con los usuarios y la funcionalidad empresarial, que son específicos para la ubicación del servicio.
Opciones de diseño para infraestructuras de sucursales
Definir las infraestructuras de las sucursales requiere analizar las opciones y las implicaciones de la implementación de servicios de forma central y local. Dos decisiones básicas que debe tomar para cada sucursal requieren la evaluación de muchas opciones de diseño.
Opciones de la centralización de servicios
Las principales opciones disponibles para la centralización de servicios incluyen ejecutar el servicio:
Sólo en la sucursal (sin conmutación).
En la sucursal con conmutación al sitio del concentrador si dispone de capacidades de réplica.
Sólo en el sitio del concentrador.
Opciones de diseño de la sucursal
Aún puede racionalizar servicios que no se pueden centralizar mediante la consolidación de servicios en uno o más servidores de sucursales. El diseño de servidor de sucursal debería centrarse en cómo optimizar el uso del hardware, software y el soporte técnico (incluido el uso de los recursos personales) en cada sucursal.
El Acelerador de solución para la consolidación y migración de aplicaciones de línea de negocio y la guía de consolidación de carga de trabajo mixta proporcionan orientación detallada para determinar qué aplicaciones se pueden consolidar. El Acelerador de solución para la consolidación y migración de aplicaciones de línea de negocio también proporciona orientación para identificar soluciones adecuadas para aplicaciones que no son buenas candidatas para la consolidación.
La siguiente lista resume las opciones principales para ejecutar aplicaciones en sucursales:
Consolidación de servidor único
Consolidación de servicio
Consolidación virtualizada
Servidor dedicado
La opción que elija para cada servicio determina el número de sucursales necesarias.
Consideraciones de ubicación de sucursales
Cada organización tiene prioridades que determinan qué requisitos son más importantes y cuáles tienen mayor repercusión en el diseño de la solución de infraestructuras de sucursales. Como parte de sus esfuerzos de análisis realizados durante la fase de visión, debería haber identificado limitaciones y requisitos técnicos, empresariales y de otros tipos, que afectan a la ubicación de los servicios.
Necesitará esta información para evaluar de forma eficaz las opciones para cada servicio de sucursal, tanto las consideraciones de diseño generales como las consideraciones de diseño específicas del servicio que describe la siguiente lista:
Organización de TI
Consideraciones políticas
Consideraciones normativas y legales
Seguridad
Disponibilidad y confiabilidad, incluidos:
Servicios de centralización
Servicios de consolidación y co-hospedaje en un servidor de sucursales
Servidores no redundantes en la sucursal
Redundancia del servicio de sucursal
Servidor único para servicios locales, con redundancia local y clústeres de Windows para servicios
Servicio de copia de seguridad y recuperación
Rendimiento y capacidad
Escalabilidad
Costo
Planeación de servicios de sucursales
BOIS R2 introdujo una nueva técnica de diseño que puede usar para proporcionar un enfoque común y repetible para el diseño de servicios de infraestructuras en una organización, tanto para sucursales como para servicios. Esta técnica usa los diagramas de referencia del diseño de servicios (SDR, Service Design Reference) y tres elementos de diseño fundamentales para ilustrar el proceso de diseño de cada servicio. Estos elementos son:
Fases de diseño
Consideraciones de diseño
Opciones de diseño
La siguiente figura muestra una versión general de una referencia de diseño de servicios que se usa para ilustrar los elementos del enfoque del diseño.
.gif)
Figura 15. Versión genérica de una referencia de diseño de servicios
En cada fase de diseño, debería usar consideraciones y opciones para determinar si el diseño de entrada satisfará los requisitos del nuevo diseño y si el modelo se puede modificar para ajustarlo a los nuevos requisitos a medida que lo necesite.
Se requiere planeación detallada para los servicios de sucursal para asegurar que se optimiza el uso del ancho de banda WAN. Estos servicios se denominan servicios principales porque proporcionan la infraestructura básica para un entorno de sucursales que se puede mejorar o ampliar para aumentar la funcionalidad de una solución. Estos servicios principales son:
Servicio de directorios
Servicios de direcciones de red y resolución de nombres
Servicios de archivos
Servicios de impresión
Servicios de cliente principales
Servicios de administración principales
Consulte Diseño de servicios de sucursal en BOIS R2 para obtener información detallada acerca del diseño para servicios de sucursales.
Sistema de archivos distribuido
Las tecnologías del sistema de archivos distribuido (DFS, Distributed File System) de Windows Server 2003 R2 ofrecen una replicación sencilla de WAN así como acceso simplificado tolerante a errores a archivos dispersados geográficamente. Las dos nuevas tecnologías de DFS son las siguientes:
Replicación DFS. Es un nuevo motor de replicación con varios maestros y basado en estados, optimizado para entornos WAN. La replicación DFS admite la programación de replicaciones, la limitación del ancho de banda, así como un nuevo algoritmo de compresión a nivel de byte conocido como compresión diferencial remota (RDC, Remote Differential Compression).
Espacios de nombres DFS. Es una tecnología que ayuda a los administradores a agrupar las carpetas compartidas que se encuentran en diferentes servidores, y las presenta a los usuarios como un árbol virtual de carpetas, conocido como un espacio de nombres. Los espacios de nombres DFS antes se conocían como Sistema de archivos distribuido en Windows 2000 Server y Windows Server 2003.
Resumen de evaluación y planeación
No hay un paso único o una recomendación general para optimizar el ancho de banda WAN válidos para todas las organizaciones. Cada organización dispone de circunstancias únicas que tiene que tener en cuenta al administrar su red WAN. Como resultado de la fase de evaluación y planeación, el objetivo consiste en identificar las oportunidades que existen para consolidar los servicios y obtener un mayor conocimiento de la infraestructura de red actual para que el ancho de banda WAN se administre de manera proactiva.
Fase 4: Implementación
Una vez que haya identificado las arquitecturas adecuadas y el equilibrio de los servicios centralizados y los localizados para que sus diferentes sucursales optimicen las restricciones de los vínculos WAN, la fase de implementación implementará las recomendaciones que se produzcan como resultado de la planeación y la arquitectura de su sucursal. Según las recomendaciones que se hayan realizado, la fase de implementación puede, por ejemplo, aportar una mayor centralización de los servicios y, gracias a esos cambios, los vínculos WAN se ajustarán de manera correcta. Como parte del proceso de implementación, se puede crear como una directiva estándar para volver a examinar los requisitos de los vínculos WAN y la infraestructura de las diferentes sucursales en unos intervalos apropiados o que se correspondan con datos predefinidos o con umbrales de rendimiento, o de recursos de personal.
Más información
Para obtener más información, visite Microsoft TechNet y busque “administración de ancho de banda”.
Para ver cómo administra Microsoft el ancho de banda de redes WAN, vaya a https://www.microsoft.com/technet/itshowcase/content/optbwcs.mspx.
Punto de control: Administración proactiva del ancho de banda en las sucursales
|
Requisitos |
|---|---|
|
Identificación y documentación de una topología de sucursal. |
|
Creación de una especificación de requisitos basada en las necesidades de todos los tipos de sucursales. |
|
Creación de un plan y una arquitectura para la consolidación de servicios de sucursal e identificación de los umbrales de rendimiento para volver a examinar los requisitos de WAN. |
|
Implementación de un plan para optimizar los servicios de sucursal frente a las limitaciones de vínculo de WAN. |
Si ha realizado los pasos enumerados anteriormente, su organización ha alcanzado el requisito mínimo del nivel racionalizado para las capacidades de comprobación de comunicaciones seguras y garantizadas entre servidores del modelo de optimización de la infraestructura. Le recomendamos que atienda a la orientación de los recursos de procedimientos recomendados adicionales para administrar el ancho de banda.
Ir a la siguiente pregunta de autoevaluación.