• Artículo

Cobertura especial: Windows Server 2008

Acceso a red basado en directivas con Windows Server 2008

Ian Hameroff and Amith Krishnan

 

Resumen:

  • Equilibrio de la seguridad y el acceso a redes
  • Enfoque del acceso a redes basado en directivas
  • Nuevas tecnologías de seguridad en Windows Server 2008

Se ha escrito mucho acerca de la desaparición de perímetros de red tradicionales ocasionada por una plantilla cada vez más móvil y la diversidad creciente de usuarios y dispositivos que requieren

acceso a los recursos de TI de la organización. Para aumentar la productividad, los usuarios y los propietarios de línea de negocio semejantes impulsan la demanda de una experiencia de conexión que es al mismo tiempo fluida y libre de procedimientos tediosos. Como complemento a esta situación ya compleja, tenemos la carga cada vez más pesada de cumplimiento de normativas, el cambiante paisaje de amenazas y los riesgos asociados a la descentralización de los datos.

Esto tiende a dejar a los administradores de Windows® justo en medio de un desafiante acto de equilibrio de seguridad: cómo permitir el acceso sencillo a los recursos sin descuidar el cumplimiento de requisitos crecientes de seguridad de la información y la red.

Aunque puede que no haya una única solución a todos estos desafíos, los administradores de Windows tienen varias herramientas a su disposición que pueden ayudar a aumentar los controles de seguridad, como firewalls avanzados, que ya tienen establecidos. Una gran manera de conseguir el equilibrio apropiado entre el acceso y la seguridad es pasar de modelos tradicionales de conectividad a uno que procura definir el acceso a redes de una forma más lógica y centrada en directivas.

Enfoque del acceso a redes basado en directivas

Recursos de funciones de red

El acceso a redes basado en directivas tiene como objeto eliminar las limitaciones que se encuentran al tratar de basar la confianza principalmente en el perímetro de la topología de la red. Por ejemplo, ¿puede determinar realmente que un dispositivo cuenta con la confianza y la autorización necesarias para conectar a los servidores que ejecutan su aplicación de administración de las relaciones con el cliente (CRM) simplemente porque está conectado a uno de sus puertos de conmutador Ethernet detrás del firewall corporativo?

En su lugar, el nuevo modelo fundamenta las decisiones de acceso en la autenticación de la postura de seguridad del dispositivo y la identidad del usuario que solicita el acceso, independientemente de cuál sea el origen de la conexión. Una vez que se ha realizado la autenticación, este mismo marco se puede usar para autorizar la información y los recursos a los que se puede obtener acceso.

El paso de una postura defensiva a otra más centrada en el acceso implica varios ingredientes clave, entre ellos, el establecimiento de mecanismos que pueden validar la identidad y el cumplimiento de directivas de los host que se conectan, emitir una identidad de usuario de confianza y controlar dinámicamente el acceso a redes con base a estos atributos. Para simplificar la administración de estas piezas móviles, un almacén centralizado de directivas también es un componente importante.

La adopción de un enfoque basado en directivas puede ayudar a unir varios controles dispares de seguridad de host y acceso a redes en una solución más completa. Esto, a su vez, permite establecer reglas básicas de acceso a redes en un nivel lógico por encima del tejido de conectividad, lo que lleva a la generación de procedimientos recomendados tradicionales de defensa en profundidad.

Por ejemplo, cuando un usuario conecta un equipo portátil a la red inalámbrica de la organización, se puede comprobar su cumplimiento de los requisitos de configuración de seguridad más recientes. Una vez que se ha determinado que el equipo portátil tiene todas las actualizaciones antivirus actuales y las revisiones de seguridad críticas, y que tiene todos los controles de seguridad de extremos habilitados, como un firewall de host, se puede conceder el acceso a la red corporativa. Entonces, cuando el usuario intenta obtener acceso a una aplicación de negocio, la combinación del estado de mantenimiento del equipo portátil y la identidad de red del usuario se puede usar con el fin de determinar si el usuario está autorizado para conectar a los recursos que hospedan la aplicación. Al operar a este nivel lógico por encima de la infraestructura de red física, las directivas se pueden aplicar continuamente, incluso si el usuario pasa de una conexión inalámbrica a una conectada o incluso a una conexión de acceso remoto.

Con la implementación, el acceso a redes basado en directivas puede proporcionar una experiencia de conexión sin complicaciones a los usuarios, sin sacrificar la seguridad en el proceso. Para los administradores, el aumento del nivel de los controles de acceso a redes a partir de configuraciones de puerta de enlace de acceso remoto o de puertos de conmutador puede ofrecer una experiencia de administración más sencilla. En ambos casos, el resultado final es un incremento de la productividad y una mejora general del estado de la red de la organización, incluso cuando las redes sirven de host a partes con derechos de acceso diferentes, como huéspedes (invitados o de cualquier otro modo), proveedores, partners y empleados.

Como es el caso con cualquier proyecto de seguridad, el primer paso a la hora de implementar el acceso a redes basado en directivas implica el desarrollo de un conjunto de directivas operativas holísticas. Esto incluye normalmente instrucciones para:

  • el cumplimiento de seguridad de dispositivos; ¿qué significa para un dispositivo estar en buen estado?
  • la división en zonas de la red lógica; ¿cómo separará los dispositivos en mal estado de los dispositivos autorizados?
  • la administración de riesgos de información; ¿cómo se clasifican y protegen los datos confidenciales?

Afortunadamente, hay disponible una variedad de recursos de desarrollo de directivas en el Centro de seguridad de TechNet de Microsoft® (microsoft.com/technet/security).

Una vez que ha desarrollado las directivas de acceso, necesitará seleccionar las tecnologías que pueden distribuirlas fácilmente y aplicarlas con eficacia. Para esto, lo que necesita es Windows Server® 2008. Windows Server 2008 no es sólo la versión de Windows Server más segura hasta la fecha sino que, además, ofrece a los administradores una plataforma de seguridad reforzada que puede convertirse en el centro de una solución de acceso a redes basado en directivas. Entre su larga lista de características nuevas y mejoradas, Windows Server 2008 proporciona muchos de los ingredientes necesarios para implementar el acceso seguro y basado en directivas a su red, lo que ayuda a garantizar la protección de la información confidencial ante amenazas.

Funciones de red de siguiente generación

En el centro de los avances de seguridad de red incluidos en Windows Server 2008, se encuentra la pila TCP/IP de siguiente generación, una actualización importante de la funcionalidad de red de la plataforma y los servicios relacionados. Además de proporcionar rendimiento de red mejorado y escalabilidad superior, Windows Server 2008 incrementa la seguridad a través de una serie de características de red integradas que ofrecen una base sólida sobre la que se puede crear una solución de acceso a redes basado en directivas.

El protocolo de seguridad de Internet (IPsec) es una de las características que se han mejorado apreciablemente en Windows Server 2008, y podría desempeñar una función clave en un enfoque de acceso a redes basado en directivas. Pero esto no trata del uso de IPsec como protocolo de tunelización y cifrado, sino de aprovechar sus capacidades de autenticación de red de host a host. Además, como IPsec funciona en el nivel 3, se puede utilizar para aplicar las directivas de acceso a redes en variedad de tipos de red.

Con el fin de facilitar la implementación de los controles de acceso a redes basados en IPsec, Windows Server 2008 introduce una larga lista de mejoras y características nuevas para simplificar la creación, el cumplimiento y el mantenimiento de directivas. Por ejemplo, el número y los tipos de métodos de autenticación de IPsec disponibles han aumentado. Esto se consiguió a través de la introducción de IP autenticado (AuthIP), una extensión del protocolo de Intercambio de claves por red (IKE). AuthIP permite crear reglas de seguridad de conexión (otro nombre para directivas de IPsec en Windows Server 2008) que requieren la autenticación satisfactoria entre sistemas en comunicación al mismo nivel, no sólo con credenciales de equipo sino, opcionalmente, también con credenciales de usuario o de estado. Esta flexibilidad añadida posibilita el diseño de redes lógicas muy sofisticadas sin necesidad de mejorar la infraestructura de conmutación y enrutamiento.

Firewall de Windows con Seguridad avanzada

El nuevo Firewall de Windows con seguridad avanzada se basa en las características de IPsec descritas anteriormente. Al combinar reglas de seguridad de conexión de IPsec con filtros de firewall en una sola directiva, el nuevo Firewall de Windows agrega otra dimensión de acceso a redes basado en directivas: acciones de firewall de autenticación más inteligentes.

Como muestra la Figura 1, ahora tiene tres opciones para elegir al definir la acción específica que un filtro de firewall de entrada o de salida debería realizar: permitir, bloquear o permitir sólo si es seguro. Cuando "Permitir la conexión si es segura" se selecciona como acción, el Firewall de Windows aprovecha las capacidades de autenticación de red de host a host de IPsec para determinar si el host o el usuario que solicitan la conexión deben recibir aprobación con base a la directiva definida. La regla del firewall permite estipular qué usuarios, equipos y grupos tienen derecho de hacer la conexión. Merece la pena tener en cuenta que esto agrega un nivel adicional de protección, lo que sirve de suplemento a los controles de acceso de los niveles de aplicación y de sistema operativo existentes.

Figura 1 Definición de reglas de firewall de autenticación

Figura 1** Definición de reglas de firewall de autenticación **(Hacer clic en la imagen para ampliarla)

Llegados a este punto, debería ser capaz de ver cómo es posible unir estos controles diferentes de seguridad de red a través de una directiva centralizada para obtener un modo más efectivo y escalable de administrar el acceso a redes.

Volvamos al ejemplo de CRM: el administrador podría crear una regla entrante para los servidores que ejecutan la aplicación CRM de la compañía (a través de los puertos de servicio o del archivo ejecutable del programa) con la opción "Permitir la conexión si es segura" activada. Dentro de la misma directiva de firewall, el administrador puede especificar que sólo miembros del grupo "Usuarios de la aplicación CRM" pueden conectar a esta aplicación de red, como muestra la Figura 2. Si toma este mismo concepto y lo amplía para abarcar todas las comunicaciones de red entre todos los equipos administrados en su red, habrá agregado un nivel de Aislamiento de servidor y dominio a su estrategia de acceso a redes basado en directivas.

Figura 2 Los administradores pueden especificar quién se puede conectar según esta directiva.

Figura 2** Los administradores pueden especificar quién se puede conectar según esta directiva. **(Hacer clic en la imagen para ampliarla)

Aislamiento de servidor y dominio

La mayoría de las organizaciones experimentan la conexión en sus redes de un número creciente de invitados y otros dispositivos no administrados, por lo que contar con la capacidad de separar y proteger sus host de confianza se ha convertido en algo crítico. La buena noticia es que hay muchas maneras de aislar los equipos de confianza y administrados de los otros en la red. Sin embargo, deberá tener en cuenta que muchas de estas opciones son costosas (por ejemplo, se requieren sistemas separados de cableado físico) y difícil de mantener (por ejemplo, VLAN basadas en conmutación) al tiempo que crecen las redes.

El Aislamiento de servidor y dominio puede ofrecer un método más rentable y fácil de administrar para dividir su entorno en redes seguras y lógicamente aisladas. Como muestra la Figura 3, usa esencialmente las mismas reglas de seguridad de la conexión (es decir, las directivas de IPsec) mencionadas anteriormente, pero deberá asignarlas a todos los equipos administrados mediante la Directiva de grupo de Active Directory®. Esto tiene como resultado una directiva de acceso a redes que requiere la autenticación correcta entre todos los sistemas al mismo nivel antes de que empiece cualquier comunicación. Como este aislamiento se da en el nivel 3, la aplicación de estos controles de acceso abarca concentradores, conmutadores y enrutadores en límites físicos y geográficos.

Figura 3 Definición de requisitos de autenticación para cubrir las necesidades de acceso a red

Figura 3** Definición de requisitos de autenticación para cubrir las necesidades de acceso a red **(Hacer clic en la imagen para ampliarla)

Para crear una red aislada, los equipos en la red deben estar separados según el tipo de acceso deseado. Se pueden definir directivas de forma que los equipos en una red aislada puedan iniciar comunicaciones con todos los equipos en la red, incluidos los que no se encuentran en la red aislada. A la inversa, los equipos que no están en la red aislada no pueden iniciar comunicaciones con equipos que están en la red aislada. De hecho, los equipos en la red aislada omitirán todas las solicitudes de comunicación de equipos fuera de la red aislada.

La pertenencia a dominios y un dominio de Active Directory se usan para aplicar la directiva de la red. Los equipos miembros del dominio sólo aceptan comunicaciones autenticadas y seguras de otros equipos miembros del dominio. Opcionalmente, también se puede exigir el cifrado de toda comunicación dentro del dominio aislado.

El Aislamiento de servidor y dominio ofrece ventajas económicas considerables, ya que no se requieren cambios importantes en la infraestructura existente de la red ni en las aplicaciones. Esta solución crea un velo de protección habilitado por directivas que no sólo proporciona protección contra ataques costosos de red y acceso no autorizado a recursos de red de confianza, sino que tampoco requiere el mantenimiento continuado basado en cambios en la topología de la red.

Protección de acceso a redes

Como hemos descrito anteriormente, la solución de Aislamiento de servidor y dominio garantiza la separación lógica de los equipos y los servidores en la red. Aunque esta solución ayuda a evitar el acceso no autorizado a la red, no hay garantía de que un equipo autorizado no será la causa de una amenaza de seguridad.

La Protección de acceso a redes (NAP) es una plataforma integrada en Windows Server 2008 que ayuda a garantizar que los equipos que conectan a una red o que se comunican en una red cumplen los requisitos de estado del sistema (es decir, cumplimiento de seguridad y directivas) tal y como lo ha definido.

Incluso los usuarios autorizados son a menudo responsables de propagar virus y spyware en la red. Por ejemplo, cuando un usuario se va de vacaciones, su equipo podría dejar de cumplir los requisitos de seguridad establecidos por el administrador. Esto podría tener repercusiones potencialmente graves si las revisiones o las firmas emitidas durante la ausencia del usuario no se aplican al equipo.

No es posible para un administrador realizar el seguimiento de cada usuario que se conecta a la red. Lo que se necesita es una herramienta automatizada que compruebe el cumplimiento del estado de cada equipo que se conecta a la red y que resuelva la situación al detectar equipos que no cumplen los requisitos, todo ello con base a una directiva central. NAP hace exactamente eso, y agrega otro nivel a su solución de acceso a redes basado en directivas.

El agente NAP, integrado en el sistema operativo del equipo cliente (como en Windows Vista®) o de instalación por separado (para versiones anteriores de Windows y sistemas operativos ajenos a Windows), informa de cualquier problema de cumplimiento al Servidor de directivas de redes (NPS), que es el motor de directivas integrado en Windows Server 2008. Es en el NPS donde se definen las directivas de cumplimiento que cada dispositivo debe observar.

Aunque es necesario restringir dispositivos que no superan comprobaciones de cumplimiento, es importante garantizar que tienen la opción de entrar en cuarentena y actualizarse. NAP ofrece la opción de actualizar automáticamente el dispositivo en los casos en que el firewall o la solución antivirus están activados o actualizarlo manualmente al colocarlo en cuarentena. Aquí, el dispositivo tiene acceso a un servidor de actualización con las últimas revisiones, actualizaciones y firmas. Una vez que el usuario actualiza manualmente el dispositivo, se le concede acceso a la red, siempre que supere antes la comprobación del cumplimiento.

Con este grado de ubicuidad, el acceso a redes es ahora mucho más sencillo. Sin embargo, esto ha creado la carga añadida de comprobar que los dispositivos están en buen estado y se presentan en conformidad sin tomar en consideración el mecanismo de acceso. Los equipos pueden obtener acceso a la red a través de un punto de acceso inalámbrico o un conmutador compatible con 802.1X, o pueden realizar la conexión de forma remota desde casa con una conexión de acceso remoto basada en VPN o en Terminal Services. NAP no sólo garantiza el cumplimiento en equipos que conectan a través de estos mecanismos diferentes, sino que también ofrece la aplicación de requisitos en el servidor DHCP, el conmutador 802.1X, la puerta de enlace VPN, la puerta de enlace de Terminal Services o el punto de acceso inalámbrico compatible con 802.1X.

En la Figura 4, se ha aislado la red mediante la solución de Aislamiento de servidor y dominio. El uso de NAP con esta red aislada ofrece ventajas adicionales para garantizar el cumplimiento de los requisitos de estado de los equipos que se conectan a la red. El cliente, al inicio, envía su informe de mantenimiento (SoH) a la Autoridad de registro de mantenimiento (HRA), que es un servidor de certificados. La HRA pasa el informe de mantenimiento al Servidor de directivas de redes para la validación de directivas. Si el informe de mantenimiento es válido, la HRA emite un certificado de mantenimiento para el cliente de NAP y, ahora, el cliente puede iniciar la comunicación segura basada en IPsec con recursos seguros. Si el informe de mantenimiento no es válido, la HRA indica al cliente de NAP cómo corregir su estado y no emite un certificado de mantenimiento. El cliente de NAP no podrá iniciar la comunicación con otros equipos que requieren un certificado de mantenimiento para la autenticación de IPsec. Sin embargo, el cliente de NAP podrá comunicarse con el servidor de actualizaciones para lograr el cumplimiento.

Figura 4 Protección de acceso a redes que usa IPsec para la aplicación de requisitos

Figura 4** Protección de acceso a redes que usa IPsec para la aplicación de requisitos **(Hacer clic en la imagen para ampliarla)

En resumen

Aunque sólo hemos tratado las características y las funciones nuevas de Windows Server 2008 en superficie, es importante comprender el modo en que cada componente ha avanzado con respecto a la versión anterior. Lo que distingue esta estrategia del enfoque tradicional de defensa en profundidad es el marco subyacente de directivas que Windows Server 2008 ofrece a través de, por ejemplo, la Directiva de grupo de Active Directory.

Gracias a esta experiencia integrada, tendrá una base de trabajo sólida para definir e implementar una solución de acceso a redes basado en directivas sin tener que eliminar inversiones existentes. Al elevar la decisión de acceso a un nivel más lógico y centrado en directivas, tiene la oportunidad de inclinar a su favor el acto de equilibrio entre "acceso fácil" y "seguridad incrementada".

Microsoft ha publicado gran cantidad de material donde se describen en detalle las áreas de tecnología mencionadas en este artículo. Recomendamos que revise primero estos artículos y guías paso a paso para obtener experiencia operativa con las diferentes características. Los vínculos en la barra lateral "Recursos de funciones de red" le ayudarán a empezar. Después, considere implantar cada fase de manera que ofrezca una base sólida para la fase siguiente.

Por ejemplo, cree un conjunto de reglas de firewall de autenticación para las aplicaciones críticas, como se plantea en la sección Firewall de Windows con seguridad avanzada. Una vez que esté satisfecho con esto, puede ampliar las reglas de seguridad de conexión para aislar su dominio de red y, luego, colocar NAP por encima en el nivel siguiente. Las ventajas de implementar una estrategia de acceso a redes basado en directivas pueden ser considerables, por ejemplo, le ayudarán a mantenerse al día con el mundo tan cambiante que son nuestras redes corporativas.

Ian Hameroff es director de productos en el grupo Marketing de productos de acceso y seguridad en Microsoft. Es responsable de la administración y el marketing de productos de las tecnologías de red para la plataforma Windows Server. Ian se encarga de la estrategia de comercialización para las tecnologías de red de Windows Server y las soluciones centradas en iniciativas de red y seguridad clave, como el aislamiento de servidor y dominio, funciones de red escalables y la adopción de IPv6.

Amith Krishnan es director de productos en el grupo Marketing de productos de acceso y seguridad en Microsoft y participa en el marketing y la administración de productos para iniciativas de red y seguridad de Windows Server, como la protección de acceso a redes y conexiones inalámbricas seguras. Se encarga también de desarrollar la estrategia de comercialización y de propagar el conocimiento de estas soluciones.

© 2008 Microsoft Corporation and CMP Media, LLC. Reservados todos los derechos; queda prohibida la reproducción parcial o total sin previa autorización.