Imparten: Gustavo Garca Manzano

Francisco Bermejo Daz

Acceso a red basado en directivas con Windows Server 2008

Enfoque del acceso a redes basado en directivas
Nuevas tecnologas de seguridad en Windows Server 2008

Se ha escrito mucho acerca de la desaparicin de permetros de red tradicionales ocasionada por
una plantilla cada vez ms mvil y la diversidad creciente de usuarios y dispositivos que requieren
acceso a los recursos de TI de la organizacin. Para aumentar la productividad, los usuarios y los
propietarios de lnea de negocio semejantes impulsan la demanda de una experiencia de conexin
que es al mismo tiempo fluida y libre de procedimientos tediosos. Como complemento a esta
situacin ya compleja, tenemos la carga cada vez ms pesada de cumplimiento de normativas, el
cambiante paisaje de amenazas y los riesgos asociados a la descentralizacin de los datos.
Esto tiende a dejar a los administradores de Windows justo en medio de un desafiante acto de
equilibrio de seguridad: cmo permitir el acceso sencillo a los recursos sin descuidar el
cumplimiento de requisitos crecientes de seguridad de la informacin y la red.
Aunque puede que no haya una nica solucin a todos estos desafos, los administradores de
Windows tienen varias herramientas a su disposicin que pueden ayudar a aumentar los controles
de seguridad, como firewalls avanzados, que ya tienen establecidos. Una gran manera de
conseguir el equilibrio apropiado entre el acceso y la seguridad es pasar de modelos tradicionales
de conectividad a uno que procura definir el acceso a redes de una forma ms lgica y centrada
en directivas.

Enfoque del acceso a redes basado en directivas
Recursos de funciones de red
IPsec
Firewall de Windows con Seguridad avanzada
Aislamiento de servidor y dominio
Proteccin de acceso a redes (NAP) para Windows Server 2008
El acceso a redes basado en directivas tiene como objeto eliminar las limitaciones que se
encuentran al tratar de basar la confianza principalmente en el permetro de la topologa de la red.
Por ejemplo, puede determinar realmente que un dispositivo cuenta con la confianza y la
autorizacin necesarias para conectar a los servidores que ejecutan su aplicacin de
administracin de las relaciones con el cliente (CRM) simplemente porque est conectado a uno
de sus puertos de conmutador Ethernet detrs del firewall corporativo?
En su lugar, el nuevo modelo fundamenta las decisiones de acceso en la autenticacin de la
postura de seguridad del dispositivo y la identidad del usuario que solicita el acceso,


Imparten: Gustavo Garca Manzano
Francisco Bermejo Daz
independientemente de cul sea el origen de la conexin. Una vez que se ha realizado la
autenticacin, este mismo marco se puede usar para autorizar la informacin y los recursos a los
que se puede obtener acceso.
El paso de una postura defensiva a otra ms centrada en el acceso implica varios ingredientes
clave, entre ellos, el establecimiento de mecanismos que pueden validar la identidad y el
cumplimiento de directivas de los host que se conectan, emitir una identidad de usuario de
confianza y controlar dinmicamente el acceso a redes con base a estos atributos. Para simplificar
la administracin de estas piezas mviles, un almacn centralizado de directivas tambin es un
componente importante.
La adopcin de un enfoque basado en directivas puede ayudar a unir varios controles dispares de
seguridad de host y acceso a redes en una solucin ms completa. Esto, a su vez, permite
establecer reglas bsicas de acceso a redes en un nivel lgico por encima del tejido de
conectividad, lo que lleva a la generacin de procedimientos recomendados tradicionales de
defensa en profundidad.
Por ejemplo, cuando un usuario conecta un equipo porttil a la red inalmbrica de la organizacin,
se puede comprobar su cumplimiento de los requisitos de configuracin de seguridad ms
recientes. Una vez que se ha determinado que el equipo porttil tiene todas las actualizaciones
antivirus actuales y las revisiones de seguridad crticas, y que tiene todos los controles de
seguridad de extremos habilitados, como un firewall de host, se puede conceder el acceso a la red
corporativa. Entonces, cuando el usuario intenta obtener acceso a una aplicacin de negocio, la
combinacin del estado de mantenimiento del equipo porttil y la identidad de red del usuario se
puede usar con el fin de determinar si el usuario est autorizado para conectar a los recursos que
hospedan la aplicacin. Al operar a este nivel lgico por encima de la infraestructura de red fsica,
las directivas se pueden aplicar continuamente, incluso si el usuario pasa de una conexin
inalmbrica a una conectada o incluso a una conexin de acceso remoto.
Con la implementacin, el acceso a redes basado en directivas puede proporcionar una
experiencia de conexin sin complicaciones a los usuarios, sin sacrificar la seguridad en el
proceso. Para los administradores, el aumento del nivel de los controles de acceso a redes a partir
de configuraciones de puerta de enlace de acceso remoto o de puertos de conmutador puede
ofrecer una experiencia de administracin ms sencilla. En ambos casos, el resultado final es un
incremento de la productividad y una mejora general del estado de la red de la organizacin,
incluso cuando las redes sirven de host a partes con derechos de acceso diferentes, como
huspedes (invitados o de cualquier otro modo), proveedores, partners y empleados.
Como es el caso con cualquier proyecto de seguridad, el primer paso a la hora de implementar el
acceso a redes basado en directivas implica el desarrollo de un conjunto de directivas operativas
holsticas. Esto incluye normalmente instrucciones para:



Imparten: Gustavo Garca Manzano
Francisco Bermejo Daz
el cumplimiento de seguridad de dispositivos; qu significa para un dispositivo estar en buen
estado?
la divisin en zonas de la red lgica; cmo separar los dispositivos en mal estado de los
dispositivos autorizados?
la administracin de riesgos de informacin; cmo se clasifican y protegen los datos
confidenciales?

Afortunadamente, hay disponible una variedad de recursos de desarrollo de directivas en el
Centro de seguridad de TechNet de Microsoft (microsoft.com/technet/security).
Una vez que ha desarrollado las directivas de acceso, necesitar seleccionar las tecnologas que
pueden distribuirlas fcilmente y aplicarlas con eficacia. Para esto, lo que necesita es Windows
Server 2008. Windows Server 2008 no es slo la versin de Windows Server ms segura hasta
la fecha sino que, adems, ofrece a los administradores una plataforma de seguridad reforzada
que puede convertirse en el centro de una solucin de acceso a redes basado en directivas. Entre
su larga lista de caractersticas nuevas y mejoradas, Windows Server 2008 proporciona muchos
de los ingredientes necesarios para implementar el acceso seguro y basado en directivas a su red,
lo que ayuda a garantizar la proteccin de la informacin confidencial ante amenazas.

Funciones de red de siguiente generacin
En el centro de los avances de seguridad de red incluidos en Windows Server 2008, se encuentra
la pila TCP/IP de siguiente generacin, una actualizacin importante de la funcionalidad de red de
la plataforma y los servicios relacionados. Adems de proporcionar rendimiento de red mejorado y
escalabilidad superior, Windows Server 2008 incrementa la seguridad a travs de una serie de
caractersticas de red integradas que ofrecen una base slida sobre la que se puede crear una
solucin de acceso a redes basado en directivas.
El protocolo de seguridad de Internet (IPsec) es una de las caractersticas que se han mejorado
apreciablemente en Windows Server 2008, y podra desempear una funcin clave en un enfoque
de acceso a redes basado en directivas. Pero esto no trata del uso de IPsec como protocolo de
tunelizacin y cifrado, sino de aprovechar sus capacidades de autenticacin de red de host a host.
Adems, como IPsec funciona en el nivel 3, se puede utilizar para aplicar las directivas de acceso
a redes en variedad de tipos de red.
Con el fin de facilitar la implementacin de los controles de acceso a redes basados en IPsec,
Windows Server 2008 introduce una larga lista de mejoras y caractersticas nuevas para
simplificar la creacin, el cumplimiento y el mantenimiento de directivas. Por ejemplo, el nmero y
los tipos de mtodos de autenticacin de IPsec disponibles han aumentado. Esto se consigui a
travs de la introduccin de IP autenticado (AuthIP), una extensin del protocolo de Intercambio
de claves por red (IKE). AuthIP permite crear reglas de seguridad de conexin (otro nombre para


Imparten: Gustavo Garca Manzano
Francisco Bermejo Daz
directivas de IPsec en Windows Server 2008) que requieren la autenticacin satisfactoria entre
sistemas en comunicacin al mismo nivel, no slo con credenciales de equipo sino,
opcionalmente, tambin con credenciales de usuario o de estado. Esta flexibilidad aadida
posibilita el diseo de redes lgicas muy sofisticadas sin necesidad de mejorar la infraestructura
de conmutacin y enrutamiento.

Firewall de Windows con Seguridad avanzada
El nuevo Firewall de Windows con seguridad avanzada se basa en las caractersticas de IPsec
descritas anteriormente. Al combinar reglas de seguridad de conexin de IPsec con filtros de
firewall en una sola directiva, el nuevo Firewall de Windows agrega otra dimensin de acceso a
redes basado en directivas: acciones de firewall de autenticacin ms inteligentes.
Como muestra la Figura 1, ahora tiene tres opciones para elegir al definir la accin especfica que
un filtro de firewall de entrada o de salida debera realizar: permitir, bloquear o permitir slo si es
seguro. Cuando "Permitir la conexin si es segura" se selecciona como accin, el Firewall de
Windows aprovecha las capacidades de autenticacin de red de host a host de IPsec para
determinar si el host o el usuario que solicitan la conexin deben recibir aprobacin con base a la
directiva definida. La regla del firewall permite estipular qu usuarios, equipos y grupos tienen
derecho de hacer la conexin. Merece la pena tener en cuenta que esto agrega un nivel adicional
de proteccin, lo que sirve de suplemento a los controles de acceso de los niveles de aplicacin y
de sistema operativo existentes.

Figura 1 Definicin de reglas de firewall de autenticacin (Hacer clic en la imagen para
ampliarla)


Imparten: Gustavo Garca Manzano
Francisco Bermejo Daz
Llegados a este punto, debera ser capaz de ver cmo es posible unir estos controles diferentes
de seguridad de red a travs de una directiva centralizada para obtener un modo ms efectivo y
escalable de administrar el acceso a redes.
Volvamos al ejemplo de CRM: el administrador podra crear una regla entrante para los servidores
que ejecutan la aplicacin CRM de la compaa (a travs de los puertos de servicio o del archivo
ejecutable del programa) con la opcin "Permitir la conexin si es segura" activada. Dentro de la
misma directiva de firewall, el administrador puede especificar que slo miembros del grupo
"Usuarios de la aplicacin CRM" pueden conectar a esta aplicacin de red, como muestra la
Figura 2. Si toma este mismo concepto y lo ampla para abarcar todas las comunicaciones de red
entre todos los equipos administrados en su red, habr agregado un nivel de Aislamiento de
servidor y dominio a su estrategia de acceso a redes basado en directivas.

Figura 2 Los administradores pueden especificar quin se puede conectar segn esta
directiva. (Hacer clic en la imagen para ampliarla)

Aislamiento de servidor y dominio
La mayora de las organizaciones experimentan la conexin en sus redes de un nmero creciente
de invitados y otros dispositivos no administrados, por lo que contar con la capacidad de separar y
proteger sus host de confianza se ha convertido en algo crtico. La buena noticia es que hay
muchas maneras de aislar los equipos de confianza y administrados de los otros en la red. Sin
embargo, deber tener en cuenta que muchas de estas opciones son costosas (por ejemplo, se
requieren sistemas separados de cableado fsico) y difcil de mantener (por ejemplo, VLAN
basadas en conmutacin) al tiempo que crecen las redes.
El Aislamiento de servidor y dominio puede ofrecer un mtodo ms rentable y fcil de administrar
para dividir su entorno en redes seguras y lgicamente aisladas. Como muestra la Figura 3, usa


Imparten: Gustavo Garca Manzano
Francisco Bermejo Daz
esencialmente las mismas reglas de seguridad de la conexin (es decir, las directivas de IPsec)
mencionadas anteriormente, pero deber asignarlas a todos los equipos administrados mediante
la Directiva de grupo de Active Directory. Esto tiene como resultado una directiva de acceso a
redes que requiere la autenticacin correcta entre todos los sistemas al mismo nivel antes de que
empiece cualquier comunicacin. Como este aislamiento se da en el nivel 3, la aplicacin de estos
controles de acceso abarca concentradores, conmutadores y enrutadores en lmites fsicos y
geogrficos.

Figura 3 Definicin de requisitos de autenticacin para cubrir las necesidades de acceso a
red (Hacer clic en la imagen para ampliarla)
Para crear una red aislada, los equipos en la red deben estar separados segn el tipo de acceso
deseado. Se pueden definir directivas de forma que los equipos en una red aislada puedan iniciar
comunicaciones con todos los equipos en la red, incluidos los que no se encuentran en la red
aislada. A la inversa, los equipos que no estn en la red aislada no pueden iniciar comunicaciones
con equipos que estn en la red aislada. De hecho, los equipos en la red aislada omitirn todas
las solicitudes de comunicacin de equipos fuera de la red aislada.
La pertenencia a dominios y un dominio de Active Directory se usan para aplicar la directiva de la
red. Los equipos miembros del dominio slo aceptan comunicaciones autenticadas y seguras de
otros equipos miembros del dominio. Opcionalmente, tambin se puede exigir el cifrado de toda
comunicacin dentro del dominio aislado.
El Aislamiento de servidor y dominio ofrece ventajas econmicas considerables, ya que no se
requieren cambios importantes en la infraestructura existente de la red ni en las aplicaciones. Esta
solucin crea un velo de proteccin habilitado por directivas que no slo proporciona proteccin
contra ataques costosos de red y acceso no autorizado a recursos de red de confianza, sino que
tampoco requiere el mantenimiento continuado basado en cambios en la topologa de la red.

Proteccin de acceso a redes


Imparten: Gustavo Garca Manzano
Francisco Bermejo Daz
Como hemos descrito anteriormente, la solucin de Aislamiento de servidor y dominio garantiza la
separacin lgica de los equipos y los servidores en la red. Aunque esta solucin ayuda a evitar el
acceso no autorizado a la red, no hay garanta de que un equipo autorizado no ser la causa de
una amenaza de seguridad.
La Proteccin de acceso a redes (NAP) es una plataforma integrada en Windows Server 2008 que
ayuda a garantizar que los equipos que conectan a una red o que se comunican en una red
cumplen los requisitos de estado del sistema (es decir, cumplimiento de seguridad y directivas) tal
y como lo ha definido.
Incluso los usuarios autorizados son a menudo responsables de propagar virus y spyware en la
red. Por ejemplo, cuando un usuario se va de vacaciones, su equipo podra dejar de cumplir los
requisitos de seguridad establecidos por el administrador. Esto podra tener repercusiones
potencialmente graves si las revisiones o las firmas emitidas durante la ausencia del usuario no se
aplican al equipo.
No es posible para un administrador realizar el seguimiento de cada usuario que se conecta a la
red. Lo que se necesita es una herramienta automatizada que compruebe el cumplimiento del
estado de cada equipo que se conecta a la red y que resuelva la situacin al detectar equipos que
no cumplen los requisitos, todo ello con base a una directiva central. NAP hace exactamente eso,
y agrega otro nivel a su solucin de acceso a redes basado en directivas.
El agente NAP, integrado en el sistema operativo del equipo cliente (como en Windows Vista) o
de instalacin por separado (para versiones anteriores de Windows y sistemas operativos ajenos
a Windows), informa de cualquier problema de cumplimiento al Servidor de directivas de redes
(NPS), que es el motor de directivas integrado en Windows Server 2008. Es en el NPS donde se
definen las directivas de cumplimiento que cada dispositivo debe observar.
Aunque es necesario restringir dispositivos que no superan comprobaciones de cumplimiento, es
importante garantizar que tienen la opcin de entrar en cuarentena y actualizarse. NAP ofrece la
opcin de actualizar automticamente el dispositivo en los casos en que el firewall o la solucin
antivirus estn activados o actualizarlo manualmente al colocarlo en cuarentena. Aqu, el
dispositivo tiene acceso a un servidor de actualizacin con las ltimas revisiones, actualizaciones
y firmas. Una vez que el usuario actualiza manualmente el dispositivo, se le concede acceso a la
red, siempre que supere antes la comprobacin del cumplimiento.
Con este grado de ubicuidad, el acceso a redes es ahora mucho ms sencillo. Sin embargo, esto
ha creado la carga aadida de comprobar que los dispositivos estn en buen estado y se
presentan en conformidad sin tomar en consideracin el mecanismo de acceso. Los equipos
pueden obtener acceso a la red a travs de un punto de acceso inalmbrico o un conmutador
compatible con 802.1X, o pueden realizar la conexin de forma remota desde casa con una
conexin de acceso remoto basada en VPN o en Terminal Services. NAP no slo garantiza el
cumplimiento en equipos que conectan a travs de estos mecanismos diferentes, sino que


Imparten: Gustavo Garca Manzano
Francisco Bermejo Daz
tambin ofrece la aplicacin de requisitos en el servidor DHCP, el conmutador 802.1X, la puerta
de enlace VPN, la puerta de enlace de Terminal Services o el punto de acceso inalmbrico
compatible con 802.1X.
En la Figura 4, se ha aislado la red mediante la solucin de Aislamiento de servidor y dominio. El
uso de NAP con esta red aislada ofrece ventajas adicionales para garantizar el cumplimiento de
los requisitos de estado de los equipos que se conectan a la red. El cliente, al inicio, enva su
informe de mantenimiento (SoH) a la Autoridad de registro de mantenimiento (HRA), que es un
servidor de certificados. La HRA pasa el informe de mantenimiento al Servidor de directivas de
redes para la validacin de directivas. Si el informe de mantenimiento es vlido, la HRA emite un
certificado de mantenimiento para el cliente de NAP y, ahora, el cliente puede iniciar la
comunicacin segura basada en IPsec con recursos seguros. Si el informe de mantenimiento no
es vlido, la HRA indica al cliente de NAP cmo corregir su estado y no emite un certificado de
mantenimiento. El cliente de NAP no podr iniciar la comunicacin con otros equipos que
requieren un certificado de mantenimiento para la autenticacin de IPsec. Sin embargo, el cliente
de NAP podr comunicarse con el servidor de actualizaciones para lograr el cumplimiento.

Figura 4 Proteccin de acceso a redes que usa IPsec para la aplicacin de requisitos (Hacer
clic en la imagen para ampliarla)

En resumen
Aunque slo hemos tratado las caractersticas y las funciones nuevas de Windows Server 2008 en
superficie, es importante comprender el modo en que cada componente ha avanzado con
respecto a la versin anterior. Lo que distingue esta estrategia del enfoque tradicional de defensa
en profundidad es el marco subyacente de directivas que Windows Server 2008 ofrece a travs
de, por ejemplo, la Directiva de grupo de Active Directory.


Imparten: Gustavo Garca Manzano
Francisco Bermejo Daz
Gracias a esta experiencia integrada, tendr una base de trabajo slida para definir e implementar
una solucin de acceso a redes basado en directivas sin tener que eliminar inversiones existentes.
Al elevar la decisin de acceso a un nivel ms lgico y centrado en directivas, tiene la oportunidad
de inclinar a su favor el acto de equilibrio entre "acceso fcil" y "seguridad incrementada".
Microsoft ha publicado gran cantidad de material donde se describen en detalle las reas de
tecnologa mencionadas en este artculo. Recomendamos que revise primero estos artculos y
guas paso a paso para obtener experiencia operativa con las diferentes caractersticas. Los
vnculos en la barra lateral "Recursos de funciones de red" le ayudarn a empezar. Despus,
considere implantar cada fase de manera que ofrezca una base slida para la fase siguiente.
Por ejemplo, cree un conjunto de reglas de firewall de autenticacin para las aplicaciones crticas,
como se plantea en la seccin Firewall de Windows con seguridad avanzada. Una vez que est
satisfecho con esto, puede ampliar las reglas de seguridad de conexin para aislar su dominio de
red y, luego, colocar NAP por encima en el nivel siguiente. Las ventajas de implementar una
estrategia de acceso a redes basado en directivas pueden ser considerables, por ejemplo, le
ayudarn a mantenerse al da con el mundo tan cambiante que son nuestras redes corporativas.