8-Estrategias de Seguridad Aplicada

Estrategias de seguridad aplicada

Requisitos previos para el capítulo

Comprender los desafíos de seguridad a los que se enfrenta la compañía Saber cómo proteger los equipos mediante la Directiva de grupo Conocer los conceptos básicos del acceso remoto Saber cómo aplicar revisiones de seguridad

Índice

Introducción Estrategias reales de administración de revisiones Estrategias reales de acceso remoto Solución de problemas de configuraciones de seguridad

1

1. Introducción

• En este capítulo, desarrollará los conocimientos que ya posee sobre la seguridad en servidores, clientes y redes, y aprenderá estrategias prácticas para implementar las recomendaciones de seguridad en todo el entorno.

• La protección del entorno de los equipos requiere una estrategia de defensa en profundidad, que consiste en aplicar la seguridad en niveles y proteger todos los equipos del entorno. En este capítulo sólo se explicarán tres de las estrategias que deben implementarse para crear un entorno de equipos más seguro. Aprenderá estrategias reales para la administración de revisiones y la seguridad de acceso remoto y aprenderá a solucionar problemas de las configuraciones de seguridad existentes.

• Este tema es una introducción a las estrategias de seguridad aplicada. Incluye:• Defensa en profundidad.• Problemas comunes de seguridad.

1.1.Defensa en profundidad

El uso de una solución en niveles: Aumenta la posibilidad de que se detecten los intrusos Disminuye la posibilidad de que los intrusos logren su propósito

Cap8-01.jpg

• Una estrategia de seguridad para una organización es más efectiva cuando los datos están protegidos por más de un nivel de seguridad. La estrategia de seguridad de defensa en profundidad utiliza varios niveles de protección. Si un nivel se ve comprometido, ello no conlleva necesariamente que también lo esté toda la organización. Una estrategia

2

de defensa en profundidad aumenta el riesgo de detectar al intruso y disminuye la oportunidad de que tenga éxito.

• Para reducir al máximo la posibilidad de que un ataque contra los equipos cliente de su organización alcance su objetivo, tiene que implementar el grado apropiado de defensa en cada nivel. Hay muchas formas de proteger cada nivel individual mediante herramientas, tecnologías, directivas y la aplicación de las recomendaciones. Por ejemplo:• Nivel de directivas, procedimientos y concientización: programas

de aprendizaje de seguridad para los usuarios• Nivel de seguridad física: guardias de seguridad, bloqueos y

dispositivos de seguimiento• Nivel perimetral: servidores de seguridad de hardware, software o

ambos, y redes privadas virtuales con procedimientos de cuarentena

• Nivel de red de Internet: segmentación de red, Seguridad IP (IPSec) y sistemas de detección de intrusos de red

• Nivel de host: prácticas destinadas a reforzar los servidores y clientes, herramientas de administración de revisiones, métodos seguros de autenticación y sistemas de detección de intrusos basados en hosts

• Nivel de aplicación: prácticas destinadas a reforzar las aplicaciones y el software antivirus

• Nivel de datos: listas de control de acceso (ACL) y cifrado

Información adicional:

Si desea obtener más información sobre el concepto de defensa en profundidad para el diseño de un modelo de seguridad de tecnología de la información (IT), consulte el sitio Web “Authoritative Security Guidance for the Enterprise” en:

http://www.microsoft.com/technet/security/bestprac/ (Este sitio está en inglés).

1.2.Desafíos comunes de seguridad

Administración de revisiones: en profundidad Seguridad de acceso remoto Solución de problemas de directivas de seguridad

• La mayoría de las organizaciones de tecnología de la información saben que la mayor parte de los ataques contra los equipos se aprovechan de las configuraciones poco seguras y de los problemas de seguridad conocidos del software. Para los sistemas empresariales, ese nivel de seguridad no es suficiente. Para mantener protegidos los equipos en un entorno grande se necesitan distintos métodos.

• Windows Update, por ejemplo, es un método sencillo para mantener actualizado un único equipo, pero sólo es apropiado para equipos domésticos o compañías muy pequeñas. Servicios de actualización de

3

http://www.microsoft.com/technet/security/bestprac/

software (SUS, Software Update Services) y Actualizaciones automáticas de Windows son más adecuados para entornos grandes. En este capitulo, aprenderá las estrategias y herramientas que complementan estas utilidades.

• Muchas organizaciones configuran servidores de acceso remoto y utilizan un servidor de seguridad para proporcionar acceso remoto. Pero éste sólo es el primer paso. En este capitulo, aprenderá las estrategias para proporcionar acceso seguro a los clientes de acceso remoto que no se administran de forma centralizada.

• La característica de plantillas de seguridad y directiva de grupo de Microsoft® Windows® permite configurar opciones de seguridad importantes de forma centralizada. Una vez implementadas estas soluciones, tal vez obtenga resultados imprevistos. Por ejemplo, es posible que las aplicaciones dejen de funcionar o que se interrumpa el acceso a la red. En este capitulo, aprenderá a solucionar problemas de directivas de seguridad para obtener los resultados que necesita.

4

2. Estrategias reales de administración de revisiones

En este tema, aprenderá acerca de las estrategias reales de administración de revisiones. Este tema incluye:

• Importancia de la administración de revisiones proactiva• Proceso de administración de revisiones• Supervisión del estado de las revisiones• Cuándo aplicar revisiones • Herramientas de Microsoft para la administración de revisiones• Ventajas de Microsoft Baseline Security Analyzer (MBSA)• Funcionamiento de MBSA• Automatización de la detección con MBSA• Ejemplos de línea de comandos de MBSA• Automatización de la distribución y supervisión de revisiones con

SUS• Escenarios de implementación de SUS• Administración de un entorno SUS complejo• Recomendaciones de implementación de Servicios de

actualización de software• Uso de software de administración para distribuir y aplicar

revisiones• Funcionamiento de SMS• Soluciones de terceros• Aplicación de revisiones de Microsoft Office• Recomendaciones para la administración correcta de revisiones

2.1. Importancia de la administración de revisiones proactiva

Nombre del ataque

Fecha en que se hizo público

Gravedad según MSRC

Boletín de MSRC

Fecha del boletín de MSRC

Días disponibles antes del ataque

Trojan.Kaht 5-may-03 Crítico MS03-007 17-mar-03 49

SQL Slammer 24-ene-03 Crítico MS02-039 24-jul-02 184

Klez-E 17-ene-02 N/D MS01-020 29-mar-01 294

Nimda 18-sep-01 N/D MS01-078 17-oct-00 336

Code Red 16-jul-01 N/D MS01-033 18-jun-01 28

• El tiempo transcurrido entre que se notifica un ataque y se dispone de una revisión puede variar. Dado que este período de tiempo no se puede

5

predecir, los administradores deben tomar medidas proactivas en la administración de revisiones. En la mayoría de las ocasiones, la administración de revisiones proactiva puede proteger los puntos vulnerables antes de que se produzca un ataque contra ellos.

• Nota: algunos boletines se publicaron antes de que se implementaran las clasificaciones de gravedad de Microsoft Security Response Center.

2.2.Proceso de administración de revisiones

Cap8-02.jpg

• El primer paso en el proceso de administración de revisiones consiste en evaluar el entorno y crear una línea de base del entorno de IT que se actualice periódicamente.

• El segundo paso consiste en identificar las revisiones que deben implementarse y los activos a los que se aplican. Esto ocurre cuando se dispone de una nueva revisión o cuando se detecta que los sistemas del entorno no tienen las revisiones adecuadas.

• El tercer paso consiste en evaluar la revisión. Debe comprobarse que funciona eficazmente en el entorno, planear el proceso de publicación de revisiones, obtener los permisos para implementar la revisión y comunicar, cuando sea necesario, la fecha y las repercusiones de la implementación de la revisión.

6

• El último paso consiste en distribuir e instalar la revisión en los sistemas de destino, revisar el progreso de la implementación, solucionar todos los problemas relacionados con la implementación y comprobar la instalación en los sistemas de destino.

• Como se indicó anteriormente, éste es un proceso continuado que se inicia a intervalos periódicos, cuando se publica una nueva revisión o cuando nueva información indica que faltan revisiones necesarias.

Una vulnerabilidad tiene el ciclo de vida siguiente:

1. Se informa de la vulnerabilidad. Los puntos públicos vulnerables se catalogan con la etiqueta “en investigación” y sólo los conocen Microsoft y quien informa de ellos.• Microsoft no suele confirmar la vulnerabilidad.• Muchos gusanos se basan en “código de demostración” que se ha

publicado.2. Se desarrolla una revisión. A medida que se desarrolla y se prueba una

revisión, sólo Microsoft y quien ha informado de la vulnerabilidad saben que existe.• La revelación pública de los puntos vulnerables pone en riesgo a

todo el mundo.• Si la vulnerabilidad se hiciera pública en este momento, los

intrusos tendrían la misma ventaja que Microsoft. Quienes investigan de forma responsable sobre la seguridad siempre han sido conscientes de esto.

3. Se publica un boletín de seguridad y una revisión. La vulnerabilidad es ahora de dominio público pero el mecanismo que se utiliza para aprovecharla no lo es. Los posibles intrusos conocen ahora la vulnerabilidad y la revisión se debe distribuir e instalar antes de que se pueda utilizar para emprender un ataque.

4. La revisión es inversa al código. Una vez publicada la revisión, sólo es cuestión de tiempo para que se aplique ingeniería inversa al código y se descubra el mecanismo para aprovecharla.

5. Se crea el gusano o el código del virus. En este momento, existe un mecanismo de ataque pero aún no se ha lanzado.

6. El código del gusano o del virus se difunde. Una vez que se ha desatado el virus o el gusano, los sistemas sin proteger o que no hayan aplicado la revisión, pronto se verán infectados.

• En ocasiones, los investigadores revelan información de la vulnerabilidad antes de que Microsoft haya tenido oportunidad de desarrollar y probar una revisión. Esto cambia la secuencia temporal para utilizar la vulnerabilidad. En ese caso, otras medidas preventivas de defensa ayudan a proteger el sistema. Por ejemplo, Microsoft publica consejos para mitigar el riesgo lo antes posible cuando se hace pública una forma de aprovechar una vulnerabilidad antes de que la revisión correspondiente esté preparada.

• Para mejorar los estándares de tratamiento de puntos vulnerables, Microsoft y otros proveedores de software han formado la organización

7

para la seguridad en Internet (Organization for Internet Safety), cuyo sitio Web es http://www.oisafety.org (este sitio está en inglés).• Su objetivo principal es ofrecer a sus clientes el mayor tiempo

posible para responder a nuevas vulnerabilidades.• En su consecución se unen los proveedores y los investigadores

de las vulnerabilidades.• Esta organización está desarrollando estándares para el

tratamiento de las vulnerabilidades.

Además de trabajar con la organización para la seguridad en Internet, Microsoft también publica trazas de red para los proveedores de sistemas de detección de intrusos y antivirus (IDS, Anti-Virus/Intrusion Detection System).

El grupo de trabajo de Microsoft Security Response Center asigna una categoría de gravedad a cada revisión publicada en un boletín de seguridad. Las definiciones de las categorías son:

• Crítica: su aprovechamiento podría permitir la propagación de un gusano de Internet como Code Red o Nimda, sin intervención del usuario.

• Importante: su aprovechamiento podría provocar el compromiso de los datos del usuario (confidencialidad, integridad o disponibilidad) y la integridad o disponibilidad de los recursos de procesamiento.

• Moderada: su aprovechamiento es grave pero factores como la configuración predeterminada, la auditoría, la necesidad de acción del usuario o lo difícil que resulta aplicarlo han mitigado la amenaza en un grado significativo.

• Baja: su aprovechamiento es extremadamente difícil o sus efectos son mínimos.

Microsoft ha publicado las siguientes directrices en relación a los calendarios para la aplicación de revisiones:

• Las revisiones de seguridad críticas deben implementarse en 24 horas.• Las revisiones de seguridad importantes deben implementarse en un

mes.• Las revisiones de seguridad moderadas deben implementarse en cuatro

meses o con la siguiente actualización de continuidad de revisiones o Service Pack, que antes se publique.

• Las revisiones de seguridad que supongan una amenaza baja deben implementarse con la siguiente actualización de continuidad de revisiones o Service Pack, o antes de un año.

Algunos factores que pueden afectar a estos calendarios son:

• Si tiene activos de gran valor o que están expuestos a un gran riesgo, debe disminuir los calendarios recomendados.

• Si la seguridad de su sistema es considerable o si sus activos están expuestos a un riesgo poco importante, debe aumentar los calendarios recomendados.

8

Nota: en muchas organizaciones pequeñas, se suele recomendar instalar cada revisión sugerida por Windows Update y Microsoft Office Update. En las organizaciones mayores, utilice la disciplina de administración de riesgos de seguridad (SRDM, Security Risk Management Discipline) para determinar qué revisiones son las más apropiadas. De este modo, puede ahorrar tiempo y recortar los costos.

• La única forma de realizar la administración de revisiones correctamente es disponer de las personas adecuadas para ejecutar los procesos correspondientes con las tecnologías apropiadas.

• Aunque el resto de este capitulo se concentra en los productos, herramientas y tecnologías que se utilizan en la administración de revisiones, es esencial que no pase por alto el aspecto humano del problema que ésta supone. No es sólo cuestión de saber lo que hay que hacer sino también de asegurarse de que usted y su personal tienen los conocimientos adecuados y de que se les asignan las responsabilidades necesarias para garantizar el éxito operativo.

• No es suficiente con que su organización tenga montones de normas y reglamentos en relación a la seguridad: su personal también debe seguirlos e implementarlos.

• Las áreas clave que hay que considerar para que la implementación de una infraestructura de administración de revisiones tenga éxito son las siguientes: • ¿Cómo va a enterarse de que hay nuevas revisiones y

correcciones disponibles?• ¿Es realmente necesario aplicar una revisión particular en su

entorno?• ¿Cuál será la repercusión en todo el sistema de la instalación de

una revisión de seguridad en su entorno?• ¿Qué cambiará la revisión en realidad? • ¿Se puede desinstalar la revisión una vez instalada?• ¿Cuáles son las dependencias entre los componentes de su

entorno de producción y cómo afectará la aplicación de una revisión a uno de esos componentes?

• ¿Cómo evaluará el éxito de la instalación de una revisión?• ¿Qué escenarios tiene para restaurar un entorno en el que se ha

aplicado una revisión si debe llevar a cabo una operación de recuperación ante un desastre?

2.3.Terminología

Security Patch - Un arreglo lanzado para una vulnerabilidad de seguridad-relacionada con un producto especifico. Las vulnerabilidades de seguridad clasificadas se basan en su severidad que se indica en el boletín de la seguridad como "crítica", "importante," "moderada" o "baja".

9

Critical Update - Un arreglo lanzado para un problema específico que trata un bug no relacionado con la seguridad y crítico.

Update – Es un update no critico.

Hotfix - Un solo paquete acumulativo integrado por uno o más archivos para corregir un problema en un producto.

Update Rollup - Un sistema probado, acumulativo de hotfixes, security patches, critical updates y updates empaquetado juntos para una fácil instalación.

Service Pack - Un sistema probado, acumulativo de todos los hotfixes, security patches, critical updates y updates, así como los arreglos adicionales para los problemas encontrados internamente en los productos luego de su lanzamiento.

Feature Pack - Funcionalidad nueva del producto que primero se distribuye fuera del contexto de un lanzamiento de producto, incluido generalmente en el lanzamiento de producto completo siguiente.

Conseguir seguridad Se llama la primera fase Get Secure. Para ayudar a su organización para alcanzar un nivel apropiado de la seguridad, seguir las recomendaciones Get Secure proporcionadas por Microsoft.

Estar seguro Se conoce la segunda fase como Stay Secure. Es para crear un ambiente que sea inicialmente seguro. Sin embargo, una vez que su ambiente está en servicio, es completamente diferente mantener la seguridad del ambiente en un cierto plazo. Tome acción preventiva contra amenazas y responda a ellas con eficacia cuando ocurren. Para ayudar a su organización a mantener un nivel apropiado de seguridad en un cierto plazo, es aconsejable seguir las recomendaciones Stay Secure del Microsoft Security Tool Kit, el cual puede ser accedido online.

2.4.Supervisión del estado de las revisiones

Suscribirse a servicios de notificación Servicio de notificación de Microsoft Security Listas de distribución de correo de terceros

Visitar sitios Web www.microsoft.com/technet/security Páginas específicas de productos Sitios de otros fabricantes

Implementar una programación de revisiones e implementaciones Programación de publicación de revisiones de Microsoft: segundo

martes de cada mes Excepción: los clientes corren un riesgo inmediato Configurar herramientas automatizadas que comprueben

diariamente si existen nuevas actualizaciones

10

• El paso más importante para mantenerse informado es suscribirse a servicios de notificación, como:• Servicio de notificación de Microsoft Security, que informa de los

nuevos puntos vulnerables y de las revisiones.• Lista de distribución de correo de terceros, como BugTraq y

NTBugTraq.• Visite también con regularidad los sitios Web que contienen boletines y

alertas relacionados con la seguridad, como el sitio Web de Microsoft TechNet Security. También encontrará información en páginas Web de productos específicos, como el sitio Web de Office Update.

• Desarrolle un programa de revisiones e implementaciones periódicas. Microsoft publica nuevos boletines de seguridad el segundo martes de cada mes. Microsoft ha adoptado recientemente este calendario de publicaciones mensuales en respuesta a las peticiones de los clientes. Otra ventaja del ciclo mensual es que ofrece más tiempo entre la publicación de revisiones de seguridad para evaluar, probar e instalar las revisiones en los equipos del entorno cuando corresponda. La implementación de revisiones se puede planear por adelantado.

Nota: una excepción a este calendario se produce cuando Microsoft determina que existe un riesgo inmediato de que los clientes sean amenazados por virus, gusanos, ataques u otras actividades dañinas. En estas situaciones, Microsoft publicará revisiones de seguridad lo antes posible.

Cuando utilice herramientas automatizadas, como SUS, configúrelas para que comprueben diariamente si existen nuevas actualizaciones.


• Para suscribirse al servicio de notificación de Microsoft Security, visite http://www.microsoft.com/security/security_bulletins/alerts2.asp(Este sitio está en inglés).

• Consulte Security Bulletin Search enhttp://www.microsoft.com/technet/security/current.asp(Este sitio está en inglés).

• Para obtener información sobre las recomendaciones para aplicar Service Packs, hotfix y revisiones de seguridad, visitehttp://www.microsoft.com/technet/security/bestprac/bpsp.asp(Este sitio está en inglés).

• Para obtener más información sobre la administración de revisiones, consulte “Microsoft Prescriptive Guidance” enhttp://www.microsoft.com/technet/security/topics/patch/(Este sitio está en inglés).

11

http://www.microsoft.com/technet/security/topics/patch/

http://www.microsoft.com/technet/security/bestprac/bpsp.asp

http://www.microsoft.com/technet/security/current.asp

http://www.microsoft.com/security/security_bulletins/alerts2.asp

2.5.Cuándo aplicar revisiones

Aplíquelas lo antes posible Aplíquelas sólo después de probarlas Implemente medidas atenuantes Aplíquelas de acuerdo con la clasificación de gravedad

Clasificación de la gravedad

DefiniciónCalendarios recomendados para la aplicación de revisiones

CríticoSu aprovechamiento podría permitir la propagación de un gusano de Internet como Code Red o Nimda sin intervención del usuario

En 24 horas

Importante

Su aprovechamiento podría comprometer la confidencialidad, integridad o disponibilidad de los datos de los usuarios o la integridad o disponibilidad de los recursos de procesamiento

En un mes

Moderada

Su aprovechamiento es grave pero se ve mitigado en un grado significativo por factores como la configuración predeterminada, la auditoría, la necesidad de intervención del usuario o su dificultad de aplicación

Espere al siguiente Service Pack o continuidad de revisiones que incluya la revisión o impleméntela antes de cuatro meses

BajaSu aprovechamiento es extremadamente difícil o sus efectos son mínimos

Espere al siguiente Service Pack o continuidad de revisiones que incluya la revisión o impleméntela antes de un 1 año

• No existe una única respuesta correcta a la pregunta de cuándo aplicar las revisiones. Una directriz que se puede seguir es aplicarlas lo antes posible, pero sólo después de haberlas probado concienzudamente. En la mayoría de las organizaciones, esto significa que tendrán que encontrar un equilibrio entre la urgencia de aplicar un hotfix y los requisitos que garanticen la continuidad del negocio mediante la comprobación rigurosa de las revisiones.

• Muchos boletines de seguridad contienen información sobre medidas atenuantes. Por ejemplo, es posible que se puedan contrarrestar algunas amenazas bloqueando determinados puertos del servidor de seguridad. Revise todas estas medidas atenuantes y determine si se pueden utilizar para proteger la red hasta que se apliquen las revisiones.

• El momento de aplicar una revisión dependerá de la gravedad. Cuanto mayor sea la gravedad, más urgente será la revisión. Los calendarios de la tabla anterior son muy estrictos. Aunque deben intentar cumplirse, tal vez no sea posible si la red es grande. No obstante, una clasificación de gravedad de Crítico indica que la implementación de las recomendaciones del boletín de seguridad es sumamente urgente.

12

2.6.Herramientas de Microsoft para la administración de revisiones

Herramientas de análisis Microsoft Baseline Security Analyzer (MBSA) Herramienta Inventario de Office

Servicios de actualización en línea

Windows Update Office Update

Repositorios de contenido Catálogo de Windows Update Catálogo de descargas de Office Centro de descarga de Microsoft

Herramientas de administración

Característica Actualizaciones automáticas (AU) de Windows

Servicios de actualización de software (SUS) Systems Management Server (SMS)

Directricesperceptivas

Administración de revisiones mediante SUS Guía de Microsoft para la administración de

revisiones de seguridad Administración de revisiones mediante SMS

• En esta tabla se clasifican varias herramientas y otros componentes que puede utilizar para la administración de revisiones: • Las herramientas de análisis permiten detectar las revisiones de

seguridad que faltan.• MBSA y la herramienta Inventario de Office se pueden

utilizar para examinar un único equipo o un intervalo de equipos de la red.

• Los servicios de actualización en línea permiten la detección e instalación automatizadas de las revisiones que faltan.• Windows Update y Office Update son herramientas

adecuadas para actualizar un único equipo.• Los repositorios de contenido permiten descargar manual o

selectivamente las actualizaciones pertinentes.• Todos los repositorios de contenido permiten que los

administradores descarguen revisiones que pueden implementar después en su organización. Esta implementación se puede realizar manualmente en los equipos seleccionados o mediante métodos de actualización automatizados. Las herramientas de terceros también pueden descargar revisiones de estas ubicaciones.

• Las herramientas de administración permiten la administración de revisiones en la organización.• Estas herramientas se utilizan para descargar e instalar

revisiones automáticamente.• Las directrices preceptivas proporcionan recomendaciones sobre

los procesos y la puesta en práctica de la administración de revisiones.

13

• Se puede descargar información detallada, archivos de comandos de ejemplo y recomendaciones.


Para obtener más información sobre la administración de revisiones, visite el sitio Web de Microsoft Patch Management, Security Updates y Downloads (Administración de revisiones, actualizaciones de seguridad y descargas) en

http://www.microsoft.com/technet/security/topics/patch/default.asp(Este sitio está en inglés).

2.7.Ventajas de MBSA

Automatiza la identificación de las revisiones de seguridad que faltan y de los problemas de la configuración de seguridad

Permite a los administradores examinar a la vez muchos sistemas de forma centralizada

Trabaja con una amplia variedad de software de Microsoft (no sólo con Windows y Office)

• MBSA permite a los administradores evaluar los sistemas comparándolos con una línea de base de seguridad común a fin de identificar las revisiones de seguridad que faltan y algunos problemas de la configuración de seguridad.

• Los administradores pueden utilizar MBSA para examinar un gran número de sistemas simultáneamente y crear un informe basado en Web para realizar un análisis más exhaustivo.

• MBSA también funciona en una amplia variedad de software y sistemas de Microsoft.• Revisiones y actualizaciones de seguridad:

• Microsoft Windows NT® 4.0, Windows 2000, Windows Server™ 2003, Windows XP

• Servicios de Internet Information Server (IIS) 4.0, IIS 5.0, IIS 6.0

• Microsoft SQL Server 7.0, SQL 2000 (incluye Microsoft Data Engine)

• Internet Explorer (IE) 5.01 y versiones posteriores• Microsoft Exchange Server 5.5, Exchange 2000• Reproductor de Windows Media® 6.4 y versiones

posteriores• Configuraciones del sistema:

• Windows NT 4.0, Windows 2000, Windows Server 2003, Windows XP

• IIS 4.0, IIS 5.0, IIS 6.0• SQL 7.0, SQL 2000• Internet Explorer 5.01 y versiones posteriores• Office 2000, Office XP

14

http://www.microsoft.com/technet/security/topics/patch/default.asp

2.8.MBSA: funcionamiento

Cap8-03.jpg

• En esta diapositiva se muestra cómo funciona MBSA. La diapositiva describe las capacidades de detección de revisiones de seguridad, pero no trata los problemas de detección de la configuración de seguridad.

1. Ejecute la herramienta MBSA y especifique los equipos de destino que hay que examinar.

2. MBSA descarga el archivo CAB, que contiene MSSecure.xml, y comprueba su firma digital.• MBSA intentará ponerse en contacto con el Centro de

descarga de Microsoft para obtener este archivo; o bien, el archivo se puede copiar en los equipos locales.

• El archivo MSSecure.xml contiene:• Nombres de los boletines de seguridad.• Actualizaciones específicas de productos.• Información de versiones y suma de comprobación.• Claves del Registro que han cambiado.• Números de artículos de Microsoft Knowledge Base

(Base de conocimiento). 3. MBSA examina los sistemas de destino para detectar los sistemas

operativos, sus componentes y las aplicaciones. 4. MBSA analiza el archivo MSSecure.xml para comprobar si hay

actualizaciones disponibles. 5. MBSA comprueba el sistema para ver si faltan las actualizaciones

necesarias.

15

6. MBSA genera un informe con una marca de tiempo en el que se enumeran las actualizaciones que faltan en el sistema.

2.9.MBSA: opciones de detección predeterminadas

o Interfaz gráfica de usuario de MBSA (aplicación de Windows) Utiliza -baseline, -v, -nosum -baseline se coloca junto a las actualizaciones de seguridad esenciales

de Windows Update Las notas y advertencias se siguen mostrando de forma predeterminada Las comprobaciones de la suma de comprobación no se realizan (para

coincidir con Windows Update)o Interfaz de la línea de comandos de MBSA (mbsacli.exe)

Utiliza -sum Se realizan las comprobaciones de la suma de comprobación Las notas y advertencias se siguen mostrando de forma predeterminada

o Detección de HFNetChk (mbsacli.exe /hf) Utiliza -sum Se realizan las comprobaciones de la suma de comprobación Las notas y advertencias se siguen mostrando de forma predeterminada

• MBSA tiene dos opciones de modo: • La primera opción es el modo de interfaz gráfica de usuario. Este

modo puede proporcionar un informe basado en Web.• La segunda opción es el modo de línea de comandos. Este modo

proporciona alternativas para enumerar las revisiones específicas que faltan y los artículos de Knowledge Base (Base de conocimiento) relacionados. Para ver la lista completa de opciones disponibles, escriba mbsacli /? en el símbolo del sistema

2.10. Automatización de la detección con MBSA

o Detección de MBSA (interfaz gráfica de usuario) Funciona bien en redes pequeñas y medianas

o Detección de MBSA (mbsacli.exe) Realiza detecciones automatizadas mediante parámetros de la

línea de comandos Por ejemplo: mbsacli /d miDominio /f informe.txt

o Detección de MBSA en modo HFNetChk (mbsacli.exe /hf) Realiza detecciones automatizadas mediante parámetros de la

línea de comandos Sólo comprueba las revisiones que faltan Por ejemplo: mbssacli -hf -o tab –f informe.txt

o MBSA y Windows Update pueden mostrar resultados diferentes

• Aunque la versión de MBSA basada en la interfaz gráfica de usuario es útil para las redes pequeñas y medianas, no satisface los requisitos de

16

muchos administradores. Si necesita informes que puedan importarse a bases de datos u hojas de cálculo en donde puedan ordenarse los resultados y analizarse los requisitos, considere la posibilidad de utilizar la versión de línea de comandos de la herramienta de detección MBSA. Esta versión le permite crear un informe de equipos vulnerables delimitado por tabuladores, que puede importar a los programas que utilice para analizar puntos débiles.

• La ejecución de MBSA en modo HfNetChk (Comprobación de correcciones en la red) crea un informe detallado sobre los hotfix que faltan en cada equipo. Los resultados de la ejecución de MBSA en este modo también pueden guardarse en un formato delimitado por tabuladores.

• MBSA y Windows Update (WU) podrían mostrar resultados diferentes, ya que analizan los sistemas de forma distinta. Por ejemplo, Windows Update sólo comprueba actualizaciones críticas del sistema operativo Windows, mientras que MBSA (a través de HFNetChk) informa de las actualizaciones de seguridad que faltan para el sistema operativo Windows y para otros productos de Microsoft, como SQL Server. También puede ocurrir que se publiquen nuevas versiones de las actualizaciones de seguridad. MBSA garantizará siempre que la última versión de la actualización está instalada en el sistema. Si dispone de la versión original de la actualización MS02-008 o MS02-009, MBSA indicará que la actualización no está instalada porque existe una versión más reciente. Sin embargo, es posible que Windows Update no indique que existe una nueva versión, ya que probablemente buscará elementos diferentes en el sistema para determinar si existe esta actualización.


Para obtener más información sobre cómo automatizar la detección con MBSA, visite http://www.microsoft.com/technet/security/tools/mbsahome.aspyhttp://www.microsoft.com/technet/security/tools/mbsawp.asp(Estos sitios están en inglés).

2.11. Ejemplos de línea de comandos de MBSA

o Para analizar todos los equipos de una oficina remota: Mbsacli /r “192.168.1.2-192.168.1.254” /sus “http://” /n “SQL” /f “\\

server\share\SUSScan.txt”o Para analizar un grupo de servidores para comprobar si se ha aplicado algún

hotfix: Mbsacli -hf –fh d:\ListaDeServidores.txt –o tab –v –f D:\HFScan.txt

A continuación se incluyen dos opciones de línea de comandos de la herramienta de detección MBSA:

17

http://www.microsoft.com/technet/security/tools/mbsawp.asp

http://www.microsoft.com/technet/security/tools/mbsahome.asp

• Mbsacli /r “192.168.1.2-192.168.1.254” /sus “http://” /n “SQL” /f “\\server\share\SUSScan.txt”: este comando analiza todos los equipos que se encuentren en el intervalo de direcciones IP 192.168.1.2 a 192.168.1.254 mediante la lista de actualizaciones aprobadas del servidor SUS denominado SUSserver. No realiza la detección de SQL. Almacena los resultados de la detección en un archivo en la carpeta compartida del servidor. El archivo de texto de resultados sólo contiene una evaluación de una línea para cada equipo analizado. Los informes detallados se almacenan en la carpeta \SecurityScans en el perfil del usuario que ha ejecutado el proceso de detección.

• Mbsacli -hf –fh d:\ListaDeServidores.txt –o tab –v –f D:\HFScan.txt: este comando realiza un análisis de hotfix en todos los equipos enumerados en el archivo ListaDeServidores.txt. Este archivo contiene los nombres NetBIOS de cada servidor que se va a analizar, con un nombre de servidor en cada línea. El resultado de la detección se presenta en un formato delimitado por tabuladores. Se proporciona información detallada para cada equipo (-v) y los datos se guardan en el archivo HFScan.txt.


Para obtener más información sobre cómo utilizar MBSA en modo HFNetChk, consulte “Microsoft Network Security Hotfix Checker (Hfnetchk.exe)” (Programa de comprobación de hotfix de seguridad de red de Microsoft) enhttp://support.microsoft.com/default.aspx?scid=kb;en-us;303215(Este sitio está en inglés).

2.12. Automatización de la distribución y supervisión de revisiones con SUS

Realiza instalaciones de extracción de Service Packs, paquetes de continuidad de seguridad y actualizaciones críticas

Otorga control sobre las actualizaciones de software a los administradores

Impide las instalaciones no autorizadas cuando se utiliza con Actualizaciones automáticas

Permite realizar pruebas y ensayos Sólo funciona con Windows 2000 y versiones posteriores

• SUS es un producto de administración de revisiones situado detrás del servidor de seguridad que se puede utilizar para descargar automáticamente nuevas revisiones y actualizaciones. También permite ejecutar los pasos de evaluación y diseño del proceso antes de aprobar las revisiones y actualizaciones para su implementación en el entorno.

• SUS se basa en un mecanismo de extracción. El servidor SUS mantiene la lista de las actualizaciones aprobadas y el cliente SUS, que es la característica Actualizaciones automáticas en Windows, comprueba periódicamente el servidor SUS en busca de nuevas actualizaciones

18

http://support.microsoft.com/default.aspx?scid=kb;en-us;303215

aprobadas. A continuación, las descarga e instala en los distintos sistemas.

• Junto con el componente de cliente y las funciones de directiva de grupo de Windows, SUS se puede utilizar para permitir que los administradores controlen la aplicación de revisiones en el entorno. Para ello impide que los usuarios tengan acceso directo a Windows Update e instalen actualizaciones no aprobadas en sus sistemas. SUS dispone también de opciones básicas de registro, optimización de ancho de banda y control administrativo.

• Al igual que Windows Update, SUS proporciona funciones relacionadas con la distribución de revisiones y actualizaciones, la identificación de las revisiones que faltan y la implementación o instalación de revisiones. Junto con Actualizaciones automáticas, puede otorgar a los administradores control total sobre la instalación de revisiones en los equipos cliente.

• SUS 1.0 con el Service Pack 1 permite probar y ensayar las actualizaciones antes de instalarlas.

• SUS presenta dos limitaciones con respecto a Windows Update. No es compatible con Windows NT 4 y Windows 98, y no proporciona actualizaciones que no sean críticas ni controladores. SUS sólo es compatible con los clientes Windows 2000, Windows XP y Windows Server 2003.

• Está previsto que SUS 2.0 se publique a finales del segundo trimestre de 2004. Esta versión incluirá otros productos de Microsoft, mejorará considerablemente la optimización del ancho de banda a través del uso del Servicio de transferencia inteligente en segundo plano (BITS, Background Intelligent Transfer Service) y permitirá a las tecnologías de compresión de diferencias de código binario reducir drásticamente el tamaño de las descargas de actualizaciones. Con SUS 2.0, podrá disponer de información de conjunto y de resúmenes del estado de la implementación de actualizaciones y sucesos gracias a la utilización de informes estándar. También dispondrá de la capacidad de crear informes personalizados con consultas SQL.

• Las ventajas principales de los Servicios de actualización de software de Microsoft (SUS) son:• Proporciona a los administradores control sobre la administración

de revisiones en su organización.• Es fácil de usar.• Es una oferta gratuita de Microsoft. • SUS permite a los administradores controlar las revisiones (cuando

se utiliza junto con una directiva de grupo que restringe el acceso de los usuarios a Windows Update).

• Automatiza la descarga y la instalación de las revisiones, una vez que se ha aprobado.

• SUS también es fácil de implementar y constituye una solución efectiva para la administración de revisiones en casi todos los casos: siempre y cuando sus limitaciones en cuanto a los sistemas operativos que admite,

19

el contenido compatible, el grado de control y la ausencia de información integrada, impidan que no se tenga en consideración.

• Nota: la herramienta SUS no requiere la implementación de Microsoft Active Directory® ni de Directiva de grupo.

2.13. Escenarios de implementación de Servicios de actualización de software (SUS)

1. Utilice SUS para administrar la distribución de revisiones descargadas de Windows Update

2. Utilice SUS para administrar y distribuir revisiones3. Utilice SUS para administrar y distribuir revisiones en un entorno

empresarial

• SUS se puede utilizar en varios escenarios distintos:• Escenario uno: SUS se puede utilizar para detectar las

actualizaciones disponibles en el sitio Windows Update. El administrador de SUS puede después aprobar las actualizaciones en el servidor SUS. Los clientes SUS obtienen la lista de actualizaciones aprobadas del servidor SUS y, a continuación, se conectan al sitio Windows Update para descargar las revisiones.

• Escenario dos: SUS se puede utilizar para detectar las actualizaciones disponibles en el sitio Windows Update y descargar las revisiones del sitio. El administrador de SUS puede después aprobar las actualizaciones en el servidor SUS. Los clientes SUS obtienen la lista de actualizaciones aprobadas del servidor SUS y, a continuación, descargan las revisiones del servidor SUS.

• Escenario tres: Los entornos empresariales disponen casi siempre de varias oficinas situadas en ubicaciones distintas. En este escenario, se pueden utilizar varios servidores SUS para distribuir las revisiones de forma que apenas resulten afectados los vínculos WAN entre las distintas ubicaciones. Un servidor SUS puede detectar y descargar las revisiones del sitio Windows Update. Otros servidores SUS (ubicados en cada oficina) pueden descargar las revisiones del servidor SUS primario. Los equipos cliente de cada oficina se conectan al servidor SUS para obtener la lista de actualizaciones aprobadas y descargar las revisiones.

20

2.14. Servicios de actualización de software

Escenario 1 de implementación de SUS

Cap8-04.jpg

En esta diapositiva se muestra cómo funciona Servicios de actualización de software (SUS, Software Update Service) en una oficina pequeña de ejemplo.

1. El servidor SUS descarga los metadatos de las nuevas actualizaciones del sitio Windows Update.• Nota: SUS mantiene registros de aprobación y estadísticas

de descargas, sincronizaciones e instalaciones.

2. Los administradores revisan las nuevas actualizaciones y aprueban las correspondientes una vez finalizadas las pruebas necesarias.

• SUS mantiene registros de descargas y de aprobación en el servidor de estadísticas (IIS).

3. Actualizaciones automáticas establece contacto en el equipo cliente con el servidor SUS para determinar si hay alguna actualización que se haya aprobado recientemente. Si es así, obtiene la información de los metadatos correspondiente a la actualización y comprueba si ya se ha instalado.

4. Si las actualizaciones no se han instalado todavía, Actualizaciones automáticas descarga automáticamente las que faltan o notifica al usuario que faltan actualizaciones (según la configuración) y le pide permiso para descargarlas.

21

• En los sistemas de destino donde Actualizaciones automáticas esté configurado para extraer las actualizaciones de Windows Update, descarga las actualizaciones correspondientes desde allí. Actualizaciones automáticas comprueba las firmas digitales de las actualizaciones descargadas para asegurarse de su autenticidad e integridad.

• Dependiendo de la configuración de Actualizaciones automáticas, se instalan automáticamente las actualizaciones o se notifica al usuario que están disponibles y, a continuación, se permite al usuario revisar y seleccionar las que desea que se instalen y cuándo desea instalarlas.

• En el paso final, Actualizaciones automáticas registra en el historial el éxito o el fracaso de la instalación de las actualizaciones en los equipos de destino.



Utilice este escenario de implementación En una oficina pequeña con un servidor SUS y suficiente ancho de

banda de Internet En un entorno con varias oficinas y un servidor SUS, en el que

cada oficina dispone de una conexión directa a Internet No utilice este escenario de implementación

Si necesita conservar ancho de banda de Internet En un entorno con varias ubicaciones y una sola conexión a

Internet

La configuración de los clientes para que descarguen revisiones de seguridad del servidor Windows Update puede ser la mejor opción de implementación en las situaciones siguientes:

• En una oficina pequeña con un servidor SUS y suficiente ancho de banda de Internet. En esta situación, la configuración de los clientes para descargar las revisiones directamente de Windows Update no interfiere con el uso de Internet. Al mismo tiempo, el administrador tiene control sobre las revisiones que se instalan, ya que éstas no se instalan hasta que se aprueban en el servidor SUS. Si se hace un uso intenso del servidor SUS para otros servicios, esta opción puede mejorar el rendimiento de las descargas.

• En un entorno de red que incluya varias oficinas situadas en distintas ubicaciones conectadas mediante una red de área extensa (WAN) con un servidor SUS en una única oficina y en el que cada oficina tenga una

22

conexión directa a Internet. En este escenario, cada cliente SUS comprobará el servidor SUS para determinar si existen revisiones aprobadas. A continuación, el cliente utilizará la conexión directa a Internet para descargar las actualizaciones. Esta opción permite administrar centralmente las actualizaciones en el servidor SUS, pero no se utiliza el ancho de banda WAN entre oficinas para transferir las revisiones.

Esta opción de implementación no se recomienda en las siguientes situaciones:

• Si se necesita conservar ancho de banda de Internet. La configuración de cada cliente para que descargue todas las revisiones de Windows Update requerirá un uso considerable de ancho de banda de Internet. En la mayoría de los casos, la opción más conveniente es configurar una única descarga de la revisión en el servidor SUS.

• En un entorno con varias ubicaciones y una sola conexión a Internet. Muchas compañías con varias ubicaciones utilizan una red de área extensa dedicada para conectar todas las oficinas y disponer de un único punto de conexión a Internet. Si se configura cada cliente para que descargue la actualización de Windows Update, se hará un uso considerable del ancho de banda de la red de área extensa y de la conexión a Internet.



Cap8-05.jpg

23

• Este escenario de implementación es un ejemplo de cómo se puede utilizar SUS para detectar las actualizaciones disponibles en el sitio Windows Update y descargar las revisiones del sitio.

1. El servidor SUS descarga los metadatos de las nuevas actualizaciones, así como las propias actualizaciones, del sitio Windows Update.• SUS mantiene registros de aprobación y estadísticas de

descargas, sincronizaciones e instalaciones.

2. Los administradores revisan las nuevas actualizaciones y aprueban las correspondientes una vez finalizadas las pruebas necesarias. • SUS mantiene registros de descargas y de aprobación en el

servidor de estadísticas (IIS).

| 3. Actualizaciones automáticas establece contacto en el equipo cliente con el servidor SUS para determinar si hay alguna actualización que se haya aprobado recientemente. Si es así, obtiene la información de los metadatos correspondiente a la actualización y comprueba si ya se ha instalado.


• En los sistemas de destino donde Actualizaciones automáticas esté configurado para extraer las actualizaciones de un servidor SUS, descarga las aprobadas del servidor SUS especificado.





o Utilice esta opción de implementación: Para administrar revisiones en una única oficina con uno o varios

servidores SUS

24

En un entorno con varias ubicaciones y un único servidor SUS, y ancho de banda suficiente entre las distintas oficinas

o No utilice esta opción de implementación: En un entorno con varias ubicaciones y ancho de banda limitado

entre las distintas oficinas

La configuración de los clientes para que descarguen las revisiones de seguridad del servidor SUS puede ser la mejor opción de implementación en las situaciones siguientes:

• En una única oficina con uno o varios servidores SUS. En este escenario, al configurar los clientes para que descarguen las revisiones del servidor SUS se ahorra ancho de banda de Internet. Al mismo tiempo, el administrador tiene control sobre las revisiones que se instalan, ya que éstas no se instalan hasta que se aprueban. Ésta es la configuración recomendada para la mayoría de los entornos con una sola oficina.

• En un entorno de red que incluya varias oficinas situadas en ubicaciones distintas conectadas mediante una red de área extensa con uno o varios servidores SUS ubicados en una oficina y en el que haya suficiente ancho de banda de red. En este escenario, cada cliente SUS comprobará el servidor SUS para determinar si existen revisiones aprobadas y, a continuación, utilizará la conexión WAN para descargar las actualizaciones. Este escenario permite la administración centralizada de las actualizaciones en el servidor SUS. En las compañías que tienen una única conexión a Internet para todas las oficinas, ésta es la forma más sencilla de implementar SUS.

Este escenario no se recomienda en un entorno con varias ubicaciones y ancho de banda limitado entre las distintas oficinas. Si se configura cada cliente para que descargue la actualización de un único servidor SUS instalado en una oficina remota, se hará un uso intenso del ancho de banda de la red WAN. En este escenario, la opción más conveniente es implementar varios servidores SUS.

25



Cap8-06.jpg

El tercer escenario muestra un sistema empresarial en que se utilizan varios servidores SUS para distribuir las revisiones sin que apenas resulten afectados los vínculos WAN entre las distintas oficinas.

1. El servidor SUS primario descarga los metadatos de las nuevas actualizaciones, así como las propias actualizaciones, del sitio Windows Update.

• SUS mantiene registros de aprobación y estadísticas de descargas, sincronizaciones e instalaciones.

2. Los administradores revisan las nuevas actualizaciones y aprueban las correspondientes una vez finalizadas las pruebas necesarias.

• SUS mantiene registros de descargas y de aprobación en el servidor de estadísticas (IIS).

3. Se distribuye a todos los servidores SUS secundarios información de las actualizaciones aprobadas.

4. Actualizaciones automáticas establece contacto en el equipo cliente con el servidor SUS para determinar si hay alguna actualización que se haya aprobado recientemente. Si es así, obtiene la información de los metadatos correspondiente a la actualización y comprueba si ya se ha instalado.

26


• En los sistemas de destino donde Actualizaciones automáticas esté configurado para extraer las actualizaciones de un servidor SUS, descarga las aprobadas del servidor SUS especificado.

6. En los sistemas de destino donde Actualizaciones automáticas esté configurado para extraer las actualizaciones de Windows Update, descarga las actualizaciones correspondientes desde allí. Actualizaciones automáticas comprueba las firmas digitales de las actualizaciones descargadas para asegurarse de su autenticidad e integridad.





o Utilice este escenario de implementación: En un entorno con varias ubicaciones y ancho de banda limitado

entre las ubicaciones En un entorno con muchos clientes y una sola oficina

Utilice equilibrio de carga de red En un entorno con varias oficinas y una mezcla de conexiones

WAN e Interneto No utilice este escenario de implementación

En un entorno con pocos clientes y una sola oficina

Este escenario de implementación proporciona flexibilidad y escalabilidad a los entornos empresariales conectados en red:

• En compañías con varias oficinas y ancho de banda limitado entre ellas, la implementación de un servidor SUS secundario en una oficina remota reduce considerablemente el uso de la red entre las distintas oficinas. El servidor SUS secundario descargará sólo una vez las actualizaciones disponibles y aprobadas y, después, los clientes SUS comprobarán el servidor SUS secundario para obtener y descargar las actualizaciones.

27

• En compañías con muchos clientes y una sola oficina, la implementación de varios servidores SUS secundarios proporciona redundancia y equilibrio de carga. Debe implementar un único servidor SUS primario, pero debe distribuir las actualizaciones entre varios servidores secundarios. Para proporcionar equilibrio de carga adicional, implemente los servidores SUS secundarios en un clúster de equilibrio de carga de red o utilice una solución de equilibrio de carga por hardware.

• En compañías con varias oficinas y una mezcla de conexiones WAN e Internet, este escenario se puede utilizar prácticamente en cualquier entorno gracias a su flexibilidad. Implemente un servidor SUS primario centralizado y, después, implemente servidores SUS secundarios en la oficina remota. Todas las actualizaciones se aprueban en el servidor SUS principal y, una vez aprobadas, se sincronizan con los servidores SUS secundarios. En las oficinas que no tengan una conexión directa a Internet, el servidor SUS secundario descargará también las revisiones del servidor SUS primario. En oficinas con una conexión directa a Internet, los clientes se pueden configurar para que descarguen la lista de actualizaciones aprobadas del servidor SUS secundario y, después, descarguen las actualizaciones reales de Windows Update.

Este escenario agrega un nivel de complejidad innecesario en el caso de una única oficina con un pequeño número de clientes.

28

2.20. Administración de un entorno SUS complejo

Administre la descarga y aprobación de actualizaciones de forma centralizada

Use la estructura de unidades organizativas y los GPO para administrar la distribución de actualizaciones de SUS

Cap8-07.jpg

Use el archivo de plantilla WUAU.ADM para configurar las opciones de cliente de Actualizaciones automáticas

Asigne los GPO a las unidades organizativas

La administración de una infraestructura SUS de gran tamaño que incluya varios servidores SUS requiere un diseño minucioso.

• Administre la descarga y aprobación de actualizaciones de forma centralizada. Para garantizar una configuración de administración de

29

revisiones de seguridad coherente en toda la organización, utilice un servidor SUS para descargar todas las revisiones de seguridad. Si desea aplicar las mismas revisiones en todos los clientes al mismo tiempo, debe aprobar también todas las revisiones en el servidor. También puede aprobar actualizaciones en cada uno de los servidores SUS secundarios para administrar con mayor exactitud la implementación de las revisiones.

• Utilice la estructura de unidades organizativas y los objetos de directiva de grupo (GPO) a fin de configurar las opciones de los equipos cliente.• Para agregar las opciones de configuración del cliente de

Actualizaciones automáticas a la directiva de grupo, descargue la plantilla ADM de Actualizaciones automáticas (wuau.adm) y agréguela mediante el Editor de directiva de grupo.

• Configure las opciones del cliente de forma que indiquen qué utilizarán los equipos cliente para descargar las actualizaciones, configure la programación de actualizaciones y establezca el comportamiento de reinicio.

• Utilice la estructura de unidades organizativas para distribuir los objetos de directiva de grupo. En el ejemplo que se muestra en el gráfico, se asigna un objeto de directiva de grupo a la unidad organizativa Servidores integrantes, que administrará las actualizaciones SUS de los servidores integrantes. El objeto de directiva de grupo Oficina central (asignado a la unidad organizativa Estaciones de trabajo OC) puede utilizar el mismo servidor SUS que el objeto de directiva de grupo Servidores integrantes, pero con una programación diferente. Cada oficina remota puede disponer de su propio servidor SUS, por lo que se utiliza un objeto de directiva de grupo distinto para configurar las estaciones de trabajo de cada oficina. La unidad organizativa Prueba de SUS se utiliza para realizar la prueba inicial de la implementación de revisiones.


Recomendaciones de implementación (1)

Analice cada revisión de seguridad Descargue e instale la revisión Pruebe cada revisión de seguridad antes de implementarla

Prepare un laboratorio de pruebas Utilice un servidor SUS de prueba Considere la posibilidad de utilizar equipos virtuales en el

laboratorio de prueba Utilice un procedimiento de pruebas de aceptación estándar

Debe comprobarse la relevancia de cada actualización de software que se publica. Incluso cuando una notificación contenga información sobre varias actualizaciones de software, determine la relevancia de cada actualización de software para su organización. Con objeto de saber si la revisión es pertinente para la organización, consulte los boletines de

30

seguridad y los artículos de Knowledge Base (Base de conocimiento) que se publican con la revisión. Como parte del proceso de evaluación, tendrá que determinar la prioridad de la revisión. Decida si es una revisión crítica que debe instalarse inmediatamente, si puede retrasarse su implementación hasta que se publique una actualización en el calendario previsto o si realmente necesita la revisión.

Cuando determine que necesita instalar la descarga de la revisión, instálela en un único servidor o en una estación de trabajo. Esta prueba inicial sirve para comprobar los archivos de la revisión y permite un primer acercamiento a la actualización. Durante la instalación, determine si la revisión requiere que se reinicie el sistema operativo y si existe una opción de desinstalación.

El siguiente paso crucial consiste en probar concienzudamente la revisión de seguridad. La prueba inicial debe realizarse en un laboratorio de pruebas experimental. Este laboratorio de pruebas debe constar de:

Equipos representativos de la organización. Esta lista representativa debe incluir una muestra de las distintas estaciones de trabajo y servidores del entorno. Incluya diferentes configuraciones de hardware y de software.

Un servidor SUS de prueba. Este servidor SUS puede ser un servidor secundario que dependa del primario a fin de poder descargar las actualizaciones del servidor SUS primario. Sin embargo, asegúrese de aprobar únicamente las actualizaciones en el servidor SUS de prueba y compruebe que todos los equipos del laboratorio de pruebas utilizan el servidor SUS de prueba para las actualizaciones.

Considere la posibilidad de utilizar Virtual PC 2004 en el laboratorio de pruebas. Aunque un equipo virtual no puede representar totalmente los equipos que se ejecutan en una red, esta tecnología permite deshacer rápidamente todos los cambios efectuados en los equipos.

Como parte del proceso de prueba, establezca o utilice un procedimiento de pruebas de aceptación estándar. En muchas compañías, esta prueba de aceptación es realizada por un grupo de control de calidad y se utiliza para probar la revisión y los procedimientos de implementación


Recomendaciones de implementación (2)

Realice una implementación piloto Configure un servidor SUS secundario para aprobar

actualizaciones Configure un GPO de forma que sólo las estaciones de trabajo

especificadas descarguen la revisión del servidor SUS piloto Si la implementación piloto fracasa, anule la aprobación del

servidor SUS y desinstale manualmente la revisión31

Realice la implementación

Para realizar una implementación piloto mediante SUS:

1. Apruebe la actualización únicamente en el servidor SUS piloto. No la apruebe en ningún otro servidor SUS.2. Cree un nuevo objeto de directiva de grupo (conocido como GPO SUS piloto) y configure las opciones de directiva de forma que los equipos que apliquen este GPO utilicen el servidor SUS piloto para las actualizaciones.3. Aplique el filtrado de seguridad de modo que sólo los clientes SUS piloto tengan permisos de “lectura y aplicación de configuración de directivas” sobre este objeto de directiva de grupo. 4. Una vez implementada correctamente la actualización en el entorno de producción, los administradores deben borrar el objeto de directiva de grupo SUS piloto. Los clientes que utilicen este GPO piloto deben revertirse al servidor SUS de producción para las nuevas actualizaciones después de que actualicen la directiva de grupo.Si el GPO piloto resulta insatisfactorio, será necesario anular la aprobación en el servidor SUS piloto y desinstalarlo de los clientes que lo tengan instalado. Los administradores deberán realizar manualmente esta operación mediante Agregar o quitar programas del Panel de control siempre que sea posible. Para las actualizaciones que no se puedan desinstalar manualmente, emplee la utilidad Restaurar sistema de Windows XP, las herramientas de copia de seguridad y restauración de Windows 2000 y Windows Server 2003 u otras tecnologías de recuperación existentes para que el cliente recupere la última configuración válida conocida antes de actualizar la instalación.

Realice la implementación. Si la implementación piloto se realiza correctamente, efectúe la implementación en los demás clientes. El proceso de implementación debe incluir:

• Notificación de la programación de implementación a la organización.

• Ensayo de actualizaciones en servidores SUS. En un entorno complejo de gran tamaño, quizás necesite aprobar las actualizaciones en el nivel SUS secundario.

• Anuncio de la actualización de software a los equipos cliente.• Supervisión y notificación del progreso de la implementación.• Tratamiento de implementaciones incorrectas.• Revisión y evaluación final del proyecto de implementación.

2.23. Uso de software de administración para distribuir y aplicar revisiones

o Systems Management Server (SMS) 2003 Permite que los administradores controlen la administración de las

revisiones Automatiza el proceso de administración de revisiones

32

Actualiza un amplia variedad de productos de Microsoft Actualiza software de terceros Proporciona flexibilidad mediante el uso de archivos de comandos

o Soluciones de terceros Se integra con soluciones de terceros mediante archivos de

comandos

• En un entorno de red administrado de gran tamaño, se puede reducir el tiempo y el esfuerzo necesarios para distribuir y aplicar revisiones mediante software de administración de sistemas. Puede utilizar Microsoft System Management Server (SMS) o software de administración de sistemas de terceros.

• SMS proporciona las siguientes funciones, que son esenciales para una implementación correcta:

• Funciones de inventario que determinan el número de equipos en los que se ha realizado la implementación, su ubicación, su función y las aplicaciones de software y revisiones que tienen instaladas.

• Funciones de programación que permiten a una organización programar la implementación de revisiones y hotfix fuera del horario de trabajo o a una hora en que las operaciones de la compañía se vean menos afectadas.

• Creación de informes de estado que permiten a los administradores supervisar el progreso de la instalación.

• Funciones de destinatarios basadas en el inventario del sistema, en la ubicación de un equipo en el servicio de directorio Active Directory® o en grupos de equipos creados manualmente.

• Replicación de nivel empresarial para mover archivos fácil y eficazmente por la red.

• Compatibilidad con Microsoft Windows Server 2003.• Compatibilidad con sistemas operativos distintos de

Microsoft Windows 2000, Windows Server 2003 y Windows XP.

• Las actualizaciones de las revisiones se pueden integrar en soluciones de administración de sistemas de terceros, como Tivoli de IBM, Unicenter de Computer Associates, BMC Patrol y HP OpenView. Puede crear archivos de comandos para la detección y aplicación de las revisiones y utilizar esos archivos con software de administración de sistemas de terceros.


Para obtener más información sobre el software de administración de sistemas visite: http://www.microsoft.com/downloads/details.aspx?FamilyId=959EE7D6-7DDF-409A-9522-7D270BDCF12A&displaylang=en (este sitio está en inglés).

33

http://www.microsoft.com/downloads/details.aspx?FamilyId=959EE7D6-7DDF-409A-9522-7D270BDCF12A&displaylang=en

http://www.microsoft.com/downloads/details.aspx?FamilyId=959EE7D6-7DDF-409A-9522-7D270BDCF12A&displaylang=en

2.24. SMS: funcionamiento

Cap8-08.jpg

1. Como administrador de SMS, debe descargar las herramientas Inventario de actualizaciones de seguridad e Inventario de Office del sitio Web Centro de descarga. (Esta operación sólo hay que realizarla una vez.)• A continuación (y de nuevo, sólo una vez) ejecute el programa de

instalación de la herramienta de inventario en el servidor del sitio SMS, que crea los paquetes, las colecciones y los anuncios necesarios para distribuir las herramientas de detección de actualización de software en los clientes.

• Simultáneamente, el programa de instalación crea el programa para el componente de sincronización en el host de sincronización.

2. Los paquetes de los componentes de detección de actualizaciones de software se replican en los puntos de distribución de su sitio SMS. Desde allí, los paquetes se distribuyen a los equipos cliente de destino.

3. El componente de detección analiza las actualizaciones de software instaladas y las que se pueden aplicar en el equipo cliente. La información se convierte en datos para el inventario de hardware de SMS y se propaga en la jerarquía junto con el resto de datos del inventario. El tiempo que la información tarda en llegar al servidor del sitio depende de la configuración del componente de detección, de la configuración de la programación del agente de inventario de hardware y de la carga del servidor del sitio.

34

4. Debe ejecutar el Asistente para distribuir actualizaciones de software con el fin de ver, evaluar y autorizar las actualizaciones de software aplicables a partir de los datos del inventario de actualizaciones de software.

5. El asistente descarga los archivos de origen para la actualización de software especificada desde el sitio Web del Centro de descarga de Microsoft. A continuación, almacena el archivo de origen en la carpeta compartida de origen del paquete.• Los paquetes, programas y anuncios necesarios se crean ahora o

se actualizan para distribuir las actualizaciones de software a los clientes SMS.

• El Asistente para distribuir actualizaciones de software anexa un programa de SMS que contiene comandos para ejecutar el Agente de instalación de actualizaciones de software en cada paquete que crea o actualiza.

• Por último, los paquetes de actualización de software se replican en los puntos de distribución de su sitio y los programas se anuncian a sus clientes.

6. El Agente de instalación de actualizaciones de software se ejecuta en sus clientes e implementa las actualizaciones de software. Ejecuta el componente de detección para asegurarse de que sólo instala las actualizaciones de software que se requieren realmente.

7. El componente de sincronización busca en el sitio Web del Centro de descarga de Microsoft las actualizaciones para el componente de detección y el software actualiza el catálogo. Ésta es una actividad periódica: se realiza semanalmente de forma predeterminada.• El componente de sincronización descarga estas nuevas

actualizaciones y actualiza los paquetes, programas y anuncios asociados con el componente de detección.

• El paquete del componente de detección actualizado y el anuncio se distribuyen en los equipos cliente SMS de destino.

2.25. Soluciones de terceros

Nombre de la compañía Nombre del producto URL de la compañía

Altiris, Inc. Administración de revisiones de Altiris

http://www.altiris.com

BigFix, Inc. BigFix Patch Manager http://www.bigfix.com

Configuresoft, Inc. Security Update Manager http://www.configuresoft.com

Ecora, Inc. Ecora Patch Manager http://www.ecora.com

GFI Software, Ltd.GFI LANguard Network Security Scanner

http://www.gfi.com

Gravity Storm Software, LLC Service Pack Manager 2000 http://www.securitybastion.com

LANDesk Software, Ltd. LANDesk Patch Manager http://www.landesk.com

Novadigm, Inc. Radia Patch Manager http://www.novadigm.com

PatchLink Corp. PatchLink Update http://www.patchlink.com

Shavlik Technologies HFNetChk Pro http://www.shavlik.com

St. Bernard Software UpdateExpert http://www.stbernard.com

35

http://www.stbernard.com/

http://www.shavlik.com/

http://www.patchlink.com/

http://www.novadigm.com/

http://www.landesk.com/

http://www.securitybastion.com/

http://www.gfi.com/

http://www.ecora.com/

http://www.configuresoft.com/

http://www.bigfix.com/

http://www.altiris.com/

• La prioridad máxima de Microsoft es la seguridad y la disponibilidad del entorno de tecnología de la información. Por tanto, si considera que ninguno de los productos de Microsoft satisface sus necesidades, le animamos encarecidamente a que evalúe una solución de administración de revisiones de otro fabricante.

• Algunas de las soluciones descritas aquí proporcionan funciones avanzadas que pueden resultar útiles para su organización, como la especialización de actualizaciones, la integración con bases de datos de evaluación de puntos vulnerables de otros fabricantes y la creación de informes detallados.

• En esta dispositiva se indican algunas de las compañías que proporcionan productos de administración de revisiones, los nombres de sus productos y sus direcciones URL. No pretende ser una lista exhaustiva de fabricantes que proporcionan productos relevantes. Sólo proporciona una muestra de productos disponibles. Las funciones de administración de revisiones también se proporcionan en los productos de administración de sistemas empresariales de IBM, Computer Associates, HP, etc.

• Microsoft no respalda, recomienda ni ofrece soporte técnico a ninguno de estos productos, pero anima a los clientes a que evalúen opciones que no son de Microsoft para determinar si satisfacen mejor sus necesidades.

2.26. Aplicación de revisiones de Microsoft Office

Herramienta Inventario de Office Office Update Las revisiones de Office requieren los archivos

originales Office 2003 almacena en caché los archivos de

instalación Aplicación de revisiones en los puntos de

instalación

Cap8-09.jpg

• La herramienta Inventario de Office tiene en común con MBSA que es una herramienta independiente que identifica las actualizaciones que faltan. Sin embargo, sus funciones de detección se restringen a buscar actualizaciones de Office no instaladas. Consta de dos componentes. Uno detecta las actualizaciones que faltan en el sistema y genera un archivo de registro con esa información. El otro combina esta información con la información de metadatos de las actualizaciones que faltan. A continuación, proporciona un informe con los datos de las actualizaciones inexistentes, que los administradores o SMS pueden utilizar para descargar e instalar las actualizaciones adecuadas.

• Office Update es similar a Windows Update, pero se limita a analizar e instalar actualizaciones de Microsoft Office, entre las que se incluyen

36

actualizaciones de Word, Outlook®, PowerPoint®, Microsoft Access, FrontPage®, Publisher, InfoPath™, OneNote™, Visio® y Microsoft Project. Office Update se complementa con el catálogo de descargas de Office, que proporciona la capacidad de descargar manualmente distintas actualizaciones para los diversos componentes de Office.

• Las revisiones de Microsoft Office modifican los archivos de Microsoft Office existentes en lugar de sustituirlos. Por este motivo, el mecanismo de revisiones de Office requiere los medios originales de instalación de Office. Al aplicar actualizaciones de Office, compruebe siempre que dispone de los archivos originales de Office. Para ello, lo más sencillo es instalar Office desde una ubicación de red. Las actualizaciones de Office buscan primero los archivos necesarios en la ubicación de instalación original. Opcionalmente, es posible especificar una ubicación de red diferente cuando se solicite. Asegúrese de que la versión de los archivos de la instalación original están siempre disponibles. Office 2003 almacena en la caché del disco duro local algunos de los archivos de instalación necesarios. A menos que especifique durante la instalación que desea eliminar estos archivos para ahorrar espacio, podrá aplicar las actualizaciones sin necesidad disponer de los medios originales de instalación.

• Al igual que en Windows, las revisiones se puede aplicar en los puntos de instalación de Office. Los archivos Léame que se incluyen con los Service Packs de Microsoft Office incluyen instrucciones sobre cómo emplear los modificadores de la línea de comandos para cambiar los puntos de instalación de forma que todas las nuevas instalaciones en los clientes utilicen los archivos actualizados.

2.27. Recomendaciones para la administración correcta de revisiones

Utilice un proceso de control de cambios Lea toda la documentación relacionada Aplique las actualizaciones sólo cuando sea necesario Pruebe exhaustivamente las actualizaciones Garantice la coherencia entre los controladores de dominio Haga una copia de seguridad del sistema y programe los períodos de

inactividad en producción Disponga siempre de un plan para deshacer los cambios Mantenga informado al servicio de asistencia y a los grupos de usuarios

clave Trabaje primero con los servidores que no sean críticos Siga estas recomendaciones para realizar una administración correcta de

las revisiones:

• Utilice un procedimiento de control de cambios adecuado con un propietario identificado, una ruta de acceso para la información especificada por los usuarios, una pista de auditoría de los

37

cambios realizados, un período claro de aviso y revisión, procedimientos de prueba y un plan para deshacer los cambios que todo el mundo comprenda.

• Antes de aplicar un Service Pack, un hotfix o una revisión de seguridad, lea toda la documentación relevante y analícelo con sus compañeros. La revisión por parte de los compañeros es esencial, ya que reduce el riesgo de que una única persona pase por alto puntos críticos y relevantes al evaluar la actualización.

• Aplique únicamente las actualizaciones necesarias para el entorno. Un error muy común sobre las actualizaciones de Microsoft es considerarlas obligatorias, urgentes o ambas cosas. Independientemente del tipo de actualización (Service Pack, hotfix o revisión de seguridad), evalúelas individualmente y considérelas actualizaciones opcionales importantes.

• Los Service Packs y los hotfix deben probarse en un entorno experimental representativo antes de implementarlos en producción. De esta forma, podrá medir la repercusión de los cambios.

• Los niveles de Service Packs, hotfix y revisiones de seguridad deben ser coherentes en todos los controladores de dominio. Los niveles de actualización incoherentes en controladores de dominio pueden producir problemas de sincronización y replicación. Resulta extremadamente difícil detectar errores producidos por controladores de dominio no sincronizados, por lo que es esencial mantener la coherencia. Si es viable, los servidores integrantes deben actualizarse con los mismos Service Packs y hotfix que los controladores de dominio.

• Las interrupciones de servicio de los servidores deben programarse y debe disponerse de un conjunto completo de cintas de copia de seguridad y discos de reparación de emergencia en caso de que sea necesario realizar una restauración. Asegúrese de que dispone de una copia de seguridad del sistema que funciona. El único medio posible de restablecer el servidor a la instalación operativa anterior es a partir de una copia de seguridad.

• Un plan para deshacer cambios permitirá restablecer el sistema y la compañía al estado en que se encontraban antes de que se produjeran errores en la implementación. Es importante que estos procedimientos queden claros y que se incluyan en las pruebas de la administración de contingencias. Después, en el peor de los casos de una implementación incorrecta, pueden activarse las opciones de contingencia. Es posible que las compañías tengan que poner en práctica el plan para deshacer los cambios si la actualización no dispone de un proceso de desinstalación o si el proceso de instalación fracasa. Este plan puede ser tan simple como la restauración desde una cinta o puede implicar muchos procedimientos manuales laboriosos.

• Advierta al servicio de asistencia y a los grupos de usuarios clave de los cambios pendientes para que estén preparados en caso de que surjan problemas o se interrumpa el servicio.

38

• Si todas las pruebas del entorno experimental se realizan correctamente, inicie primero la implementación en servidores que no sean críticos si es posible. Una vez instalado el Service Pack en producción de 10 a 14 días, aplíquelo a los servidores primarios.


Para obtener más información sobre las recomendaciones, incluidos los métodos que se aplican específicamente a Service Packs y hotfix, consulte “Best Practices for Applying Service Packs, Hotfixes and Security Patches” (Recomendaciones para la aplicación de Services Packs, hotfix y revisiones de seguridad) en http://www.microsoft.com/technet/security/bestprac/bpsp.asp (este sitio está en inglés).

39

http://www.microsoft.com/technet/security/bestprac/bpsp.asp

3. Estrategias reales de acceso remoto

En este tema, aprenderá estrategias reales de acceso remoto. Este tema incluye:

• Redes privadas virtuales (VPN) y servidores de seguridad.• Servidor VPN detrás de un servidor de seguridad.• Uso de ISA Server como servidor VPN y servidor de

seguridad.• Desafíos del uso de IPSec y NAT.• Modelo de soluciones.• Funcionamiento de NAT-T.• Problemas de interoperabilidad.• Estado de NAT-T para Windows.• Exigir seguridad en los clientes de acceso remoto.• Qué es el control de cuarentena de acceso a la red• Requisitos de la cuarentena.• El proceso de cuarentena.• Limitaciones del control de cuarentena de acceso a la red.• Consejos y trucos sobre el control de cuarentena de acceso

a la red.

3.1.Redes privadas virtuales (VPN) y servidores de seguridad

Combinación de un servidor de seguridad con un servidor VPN

Cap8-10.jpg

• La combinación de servidores de seguridad y acceso remoto puede representar un desafío para los administradores de la red. Existen dos opciones para combinar un servidor de seguridad con un servidor VPN:

1. El servidor de acceso remoto se encuentra detrás del servidor de seguridad. • La ventaja de esta solución es que el servidor VPN está

protegido por el servidor de seguridad.

40

• El inconveniente es que deberá abrir los puertos del servidor de seguridad que permiten que el tráfico VPN llegue hasta el servidor VPN.

2. El servidor de seguridad y el servidor de acceso remoto son el mismo equipo. Ésta es la forma en que ISA Server 2000 proporciona acceso VPN a los clientes. En este caso, la red privada virtual termina en el servidor de seguridad.

• Las ventajas de combinar un servidor de seguridad con un servidor VPN son las siguientes: • Administración inicial más sencilla. Al combinar

RRAS e ISA Server se simplifica la configuración inicial de RRAS. Sin embargo, para cualquier tarea de administración posterior a la configuración será necesario utilizar la interfaz de RRAS.

• Un único punto de inspección. Contar con un único punto en el que se inspeccione todo el tráfico entrante y saliente aumenta la seguridad, ya que se reduce la probabilidad de cometer errores o pasar por alto intentos de intrusión. Tenga en cuenta que ISA Server 2000 no realiza ninguna inspección de nivel 7 en las conexiones VPN. Además, el uso de un único dispositivo suele resultar más rentable.

• Los inconvenientes de combinar un servidor de seguridad con un servidor VPN son los siguientes: • La combinación de ambas funciones en un único

dispositivo elimina un nivel de la defensa en profundidad. Es posible que un intruso consiga frustrar un único mecanismo de seguridad y obtenga acceso a la red. Sin embargo, este riesgo se puede mitigar al incluir el enrutador de borde en la estrategia de seguridad.

3.2.Servidor VPN detrás de un servidor de seguridad

Desafío: permitir que el servidor de seguridad deje pasar el tráfico al servidor VPN

Desafío: inspección del estado de las conexiones

Tráfico Puertos y protocolos

Establecimiento de sesión PPTP Puerto TCP 1723

Sesión PPTP Protocolo IP 47 (GRE)

IPSec IKE Puerto UDP 500

IPSec ESP Protocolo IP 50 (IPSec ESP)

• En esta tabla se indican los puertos y protocolos que el tráfico VPN puede utilizar a través del servidor de seguridad. Si coloca el servidor VPN

41

detrás de un servidor de seguridad, es posible que tenga que abrir estos puertos. Los protocolos mostrados son necesarios para PPTP y L2TP sobre IPSec. Si la solución VPN utiliza puertos diferentes, tendrá que abrir esos puertos en el servidor de seguridad.

• Puede resultar difícil comprobar que el servidor de seguridad realiza una inspección del estado de las conexiones. Por ejemplo, un servidor de seguridad debe permitir que los paquetes que utilizan el protocolo GRE lleguen a un servidor VPN únicamente cuando el cliente se haya puesto en contacto con el servidor a través del puerto TCP 1723 y la conexión inicial se haya establecido correctamente. Para ello, el servidor de seguridad debe ser capaz de inspeccionar la conexión en el nivel de aplicación. Si simplemente se abren los puertos del servidor de seguridad para el protocolo IP 47, podría permitirse el tráfico entrante que utiliza este protocolo aunque no se haya establecido antes una conexión a través del puerto TCP 1723.

3.3.Uso de ISA Server como servidor VPN y servidor de seguridad

Característica de ISA Server Descripción

Solución integrada

Proporciona un servidor de seguridad y un servidor proxy en el nivel de aplicación

Utiliza RRAS para proporcionar servicios VPN

Proporciona opciones seguras de autenticación

Permite elegir entre los protocolos PPTP y L2TP/IPSec

Filtrado de paquetes Protege el servidor VPN

Asistentes Simplifican la configuración con el fin de evitar errores

• Microsoft Internet Security and Acceleration (ISA) Server 2000 es una solución integrada que satisface los requisitos de la red privada virtual y el servidor de seguridad.• ISA Server es un servidor de seguridad empresarial extensible y un

servidor de caché Web que se integra con el sistema operativo Microsoft Windows 2000 para ofrecer seguridad basada en directivas y para acelerar y administrar las interconexiones de redes. El servidor de seguridad filtra los paquetes, los circuitos y las aplicaciones, inspecciona el estado de las conexiones para examinar los datos que atraviesan el servidor de seguridad y controla la directiva de acceso y el enrutamiento de tráfico. La caché aumenta el rendimiento de la red y mejora la experiencia del usuario final al almacenar el contenido Web solicitado con frecuencia. El servidor de seguridad y la caché pueden

42

implementarse de forma independiente en servidores dedicados o integrarse en el mismo equipo.

• ISA Server utiliza RRAS para proporcionar servicios VPN y, al mismo tiempo, ofrecer protección al servidor mediante el servidor de seguridad.

• El filtrado de paquetes de ISA Server protege el servidor VPN. Todo el tráfico entrante de red que no sea tráfico VPN se rechaza e ISA Server realiza un registro del tráfico.• ISA Server se puede configurar de forma que utilice RRAS para las

conexiones VPN entre el cliente y la red, para las conexiones VPN entre redes o para ambos tipos de conexiones.

• El asistente de VPN local se ejecuta en ISA Server en la red local. El equipo VPN local de ISA Server se conecta con su proveedor de servicios Internet (ISP). El asistente de VPN remoto se ejecuta en ISA Server en la red remota. El equipo VPN remoto de ISA Server se conecta a su ISP. Cuando un equipo de la red local se comunica con otro de la red remota, los datos se encapsulan y se envían a través del túnel VPN. El asistente VPN para clientes configura una red privada virtual entre los clientes y el servidor. Para administrar los túneles y encapsular los datos privados se utiliza un protocolo de túnel (PPTP o L2TP). Los datos canalizados también deben estar cifrados para la conexión VPN.

• Los asistentes de ISA Server simplifican la configuración con el fin de evitar errores que produzcan riesgos de seguridad. Esto es especialmente importante cuando se configura un servidor VPN en una oficina remota donde no se disponga de mucha experiencia en la configuración de servidores VPN. Los asistentes de ISA Server permiten que un administrador configure en una ubicación central todas las opciones y se las proporcione a otro administrador de una ubicación remota en un único archivo cifrado. Con los asistentes de ISA Server se pueden eliminar muchos errores comunes de configuración que pueden poner en peligro la seguridad.

Los asistentes para configurar RRAS incluyen:• Acceso remoto de clientes.• Acceso entre ubicaciones, en la oficina principal.• Acceso entre ubicaciones, en la sucursal.

Información adicional:Para obtener más información sobre ISA Server, visite http://www.microsoft.com/isaserver (este sitio está en inglés).

43

http://www.microsoft.com/isaserver

3.4.Desafíos del uso de IPSec y NAT

El encabezado del paquete se modifica y se invalidan los paquetes IKE utiliza fragmentos de IP Dispositivos NAT que asumen el modo de túnel

Cap8-11.jpg

• Muchas organizaciones preferirían utilizar L2TP/IPSec (L2TP a través de IPSec) en lugar de PPTP, pero no pueden debido a que estos dispositivos realizan la traducción de direcciones de red (NAT) entre el servidor VPN y el cliente VPN.

• Hay tres problemas relacionados con el uso de IPSec sobre NAT: • NAT cambia el encabezado del paquete y modifica la dirección IP y

la información de puerto. En esta dispositiva se muestra cómo el cliente encapsula un paquete IP dentro de un paquete IPSec. El nuevo paquete contiene un hash cifrado del encabezado del paquete original. En este ejemplo, un dispositivo NAT conecta el equipo cliente a Internet y cambia el encabezado del paquete. Un segundo dispositivo NAT que conecta el servidor a Internet vuelve a cambiar el encabezado del paquete. Cuando el servidor VPN recibe el paquete, el hash del encabezado ya no coincide con el hash cifrado en la carga. Como no coinciden, IPSec descarta el paquete al final de la recepción.

• El protocolo Intercambio de claves de Internet (IKE, Internet Key Exchange), que es un componente de IPSec, utiliza fragmentos de paquetes. Dado que muchos servidores de seguridad descartan fragmentos de IP, las comunicaciones IPSec podrían no ser factibles en estos servidores de seguridad.

• Muchos dispositivos NAT diseñados para el modo de túnel de IPSec procesan incorrectamente los paquetes IPSec en el modo

44

de transporte. Esto significa que sólo se puede tener una única sesión IPSec a través de la mayoría de estos dispositivos. En estos casos, todos los paquetes IPSec entrantes se enrutan a un único equipo situado detrás del dispositivo NAT.

3.5.Modelo de soluciones

El borrador de IETF sobre Recorridos NAT (NAT-T) recomienda que los dispositivos situados en ambos extremos:

Detecten la presencia de NAT Utilicen un puerto que no sea IPSec, de forma que los dispositivos

NAT no interfieran con el tráfico de red Encapsulen IPSec en UDP

Asimismo, la solución de Microsoft impide la fragmentación de los paquetes IP

• Cuando surjan problemas comunes de Internet que puedan solucionarse mediante la normalización de los productos, el Grupo de trabajo de ingeniería de Internet (IETF) preparará un estándar que los proveedores de productos puedan seguir.

• Dado que los problemas sobre el uso de IPSec sobre NAT son muy conocidos, existe actualmente un borrador del Grupo de trabajo de ingeniería de Internet para Recorridos NAT (NAT-T, NAT Traversal), que está a la espera de que se le asigne un número como Solicitud de comentario (RFC, Request for Comment). Cuando este borrador se convierta en un estándar, debería aumentar la interoperabilidad entre dispositivos de distintos fabricantes.

• El proceso general sugerido para el estándar trasversal NAT-T es que los dispositivos situados en ambos extremos:• Detecten que se están comunicando a través de uno o varios

dispositivos que utilizan NAT.• Utilicen un puerto que no sea IPSec para comunicarse. De esta

forma, los dispositivos NAT no interferirán con el tráfico de red.• Encapsulen el tráfico IPSec en paquetes de Protocolo de

datagramas de usuario (UDP, User Datagram Protocol) que utilicen el puerto que no es IPSec.

• Además de estos estándares, la solución de Microsoft impide la fragmentación de los paquetes IP. Con la solución de Microsoft, los paquetes pueden pasar por los servidores de seguridad que bloquean los paquetes fragmentados. Esto es importante, ya que el proceso de encapsulación crea paquetes de gran tamaño que podrían ser demasiado grandes para algunas redes y, por tanto, podrían ser fragmentados durante el recorrido. El hecho de evitar la fragmentación no se basa en ningún estándar, pero no causa problemas de interoperabilidad porque sólo se utiliza entre un cliente VPN basado en Windows y un servidor VPN basado también en Windows.

45

3.6.Funcionamiento de NAT-T

Cap8-12.jpg

NAT-T funciona del modo siguiente:

• El cliente VPN intenta establecer una conexión con el servidor IPSec.• Durante la configuración del modo principal de IPSec, la conexión no se

realiza, pero el servidor y el cliente detectan que hay un encabezado IP modificado por un dispositivo NAT. El servidor y el cliente interpretan este hecho como una indicación de que hay uno o varios dispositivos NAT conectados entre ellos.

• El cliente restablece la conexión, pero esta vez utiliza el puerto UDP 4500.• El cliente encapsula los paquetes IPSec en los paquetes NAT-T.

En ese momento, un paquete IP se encapsula en un paquete IPSec, que a su vez se encapsula en un paquete NAT-T. Los paquetes NAT-T son paquetes UDP estándar, por lo que pueden pasar a través de todos los dispositivos NAT.

• Cuando los paquetes llegan al servidor, los dispositivos NAT han cambiado sus encabezados. El servidor descarta el encabezado y recupera el paquete IPSec. Como el encabezado del paquete IPSec no ha cambiado, el paquete se considera válido. IPSec descifra el paquete y extrae el paquete IP original.

3.7.Problemas de interoperabilidad

Tanto el cliente VPN como el servidor VPN deben admitir NAT-T

46

Problemas con dispositivos de terceros Mejor interoperabilidad con el paso del tiempo

No es necesario realizar ningún cambio en los dispositivos NAT Compatibilidad con servidores de seguridad

Permite el tráfico UDP 4500 Permite el tráfico UDP 500

• Para garantizar que NAT-T funciona correctamente, tanto los clientes como los servidores VPN deben ser compatibles con NAT-T. • Mientras que muchos de los sistemas operativos de Microsoft son

compatibles actualmente con NAT-T, aún hay muchas marcas de dispositivos VPN que no lo son. Si utiliza un servidor o cliente VPN de terceros, póngase en contacto con el fabricante para obtener más información.

• Se prevé una mejora de la interoperabilidad a medida que más fabricantes adopten el nuevo estándar.

• No es necesario realizar ningún cambio en los propios dispositivos NAT. NAT-T utiliza las comunicaciones entre servidores y clientes. No afecta en modo alguno a los dispositivos situados entre ellos.

• Es posible que tenga que configurar el servidor de seguridad para que admita el tráfico NAT-T. • NAT-T utiliza el puerto UDP 4500 para los puertos de origen y

destino. Para poder utilizar NAT-T, tendrá que permitir este tráfico. • Asimismo, deberá abrir el puerto UDP 500 para permitir el

intercambio de claves de Internet (IKE). La configuración de IKE se realiza siempre fuera de NAT-T.

3.8.Estado de NAT-T para Windows

Implementado según el estándar propuesto por IETF Interoperabilidad probada con puertas de enlace para IPSec y L2TP de

terceros Diseñado para IPSec y L2TP en Windows XP y versiones anteriores Diseñado para todos los usos de IPSec en Windows Server 2003

Versión de SOCompatibilidad con IPSec y L2TP

Compatibilidad con el modo de transporte general de IPSec

Windows Server 2003 Sí Sí4

Windows XP Sí1 No recomendado5

Windows 2000 Sí2 No

Windows NT 4 Sí3 No

Windows 98 y Windows Millennium Edition

Sí3 No

Nota 1: Windows Update o hotfixNota 2: Con hotfixNota 3: Con descarga de Web

47

Nota 4: FTP activo no funcionaNota 5: Algunas reducciones de PTMU no funcionan

• En esta diapositiva se muestra el estado actual de NAT-T para los distintos sistemas operativos Windows:• La implementación de Windows es totalmente compatible con el

estándar propuesto por IETF y se ha probado su interoperabilidad con servidores VPN de otros fabricantes que admiten NAT-T para L2TP o IPSec.

• En Windows XP y sistemas operativos anteriores, NAT-T proporciona compatibilidad con L2TP/IPSec. En Windows Server 2003, se admiten todos los usos de IPSec.

• Al planear el uso de NAT-T con Windows, tenga en cuenta lo siguiente:• Las versiones de Windows anteriores a Windows Server

2003 requieren una actualización del sistema operativo. El método que emplee para agregar esta compatibilidad depende de la versión de Windows que utilice.

• El modo de transporte FTP activo a través de IPSec no funciona. FTP activo funciona a través de L2TP/IPSec.

• En algunas ocasiones, NAT-T en Windows XP no puede negociar la unidad de transferencia máxima de ruta de acceso (PTMU, Path Maximum Transfer Unit) cuando se utiliza el modo de transporte general de IPSec. Esto puede producir la fragmentación de paquetes entre el cliente y el servidor, lo que puede causar problemas con algunos servidores de seguridad intermedios.


• Para obtener más información sobre los estándares propuestos por IETF para Recorridos NAT, visite http://www.ietf.org/id/html (este sitio está en inglés).

• Para obtener más información sobre la descarga Web de NAT-T para Windows 98, Windows Millennium Edition y Windows NT 4, visite http://download.microsoft.com/download/win98/Install/1.0/W9XNT4Me/EN-US/msl2tp.exe(Este sitio está en inglés).

• Para obtener más información sobre NAT-T, visite http://www.microsoft.com/technet/columns/cableguy/cg0502.aspyhttp://www.microsoft.com/windows2000/server/evaluation/news/bulletins/l2tpclient.asp (estos sitios están en inglés).

Exigir seguridad en los clientes de acceso remoto

Problema:

48

http://www.microsoft.com/windows2000/server/evaluation/news/bulletins/l2tpclient.asp

http://www.microsoft.com/windows2000/server/evaluation/news/bulletins/l2tpclient.asp

http://www.microsoft.com/technet/columns/cableguy/cg0502.asp

http://download.microsoft.com/download/win98/Install/1.0/W9XNT4Me/EN-US/msl2tp.exe

http://download.microsoft.com/download/win98/Install/1.0/W9XNT4Me/EN-US/msl2tp.exe

Es posible que los clientes remotos no satisfagan los requisitos de seguridad corporativos

Los equipos no protegidos de la red corporativa ponen en peligro toda la red

Soluciones: Impedir el acceso remoto Confiar en que los usuarios protegen los clientes remotos Crear una red distinta para los clientes VPN Exigir la configuración de seguridad al conectar Desconectar los clientes que no son seguros: Control de cuarentena de acceso a la red

• En la sección anterior se examinó cómo habilitar el acceso remoto para las redes de forma que se cifre el tráfico de red a medida que pasa por Internet. Una vez que los clientes VPN han establecido esta conexión, tienen acceso total a la red de la organización. Puede utilizar filtros de paquetes y otras reglas para restringir los equipos de la red a los que tienen acceso estos clientes. Tenga en cuenta que restringir este acceso puede mermar la productividad.

• Cuando los equipos cliente que no cumplen las normas de seguridad de la organización se conecten a la red corporativa, se verá amenazada la seguridad. Estos equipos cliente pueden estar infectados por virus o ser vulnerables a ataques provenientes de Internet, lo que representa un riesgo para la red.

• A continuación, se incluyen varias soluciones a este problema junto con sus inconvenientes:• Impedir el acceso remoto. Esta solución podría mermar la

productividad de los empleados y no suele ser viable.• Confiar en que los usuarios protegen los clientes remotos. Ésta no

es una solución recomendable, ya que la mayoría de los usuarios no tienen los conocimientos necesarios.

• Crear una red independiente para los clientes VPN y colocar un servidor de seguridad entre esta red y el resto de la red corporativa. A continuación, puede utilizar el servidor de seguridad para permitir únicamente el tráfico seleccionado entre estas redes. Sin embargo, esta solución podría mermar la productividad y no elimina todos los peligros.

• Exigir la aplicación de toda la configuración de seguridad cuando los clientes se conecten a la red. Para ello, se puede utilizar un archivo de comandos que se ejecute cada vez que un cliente se conecte a la red. La creación de los archivos de comandos y procedimientos necesarios puede ser una tarea muy laboriosa y puede implicar la configuración de equipos que no pertenecen a la organización, como los equipos domésticos de los empleados.

• Comprobar la configuración de seguridad de los equipos cliente VPN y desconectar los equipos cliente que no están protegidos. En muchos casos, ésta es la mejor solución cuando se combina con un método que los usuarios puedan emplear para actualizar sus equipos de acuerdo con los requisitos de la organización. Éste es

49

el método utilizado por Control de cuarentena de acceso a la red, que es una nueva característica de Windows Server 2003.


• Para obtener más información sobre cómo exigir la seguridad de los clientes de acceso remoto, visite:• http://www.microsoft.com/windowsserver2003/techinfo/overview/

quarantine.mspx

• http://www.microsoft.com/technet/columns/cableguy/cg0203.asp

• http://www.microsoft.com/windowsserver2003/technologies/ networking/default.mspx (estos sitios están en inglés)

3.9.Qué es el control de cuarentena de acceso a la red

Cap8-13.jpg

• El Control de cuarentena de acceso remoto es una característica de Microsoft Windows Server 2003 que retrasa el acceso remoto normal a una red privada hasta que una secuencia de comandos proporcionada

50

http://www.microsoft.com/windowsserver2003/technologies/networking/default.mspx

http://www.microsoft.com/windowsserver2003/technologies/networking/default.mspx

http://www.microsoft.com/technet/columns/cableguy/cg0203.asp

http://www.microsoft.com/windowsserver2003/techinfo/overview/quarantine.mspx

http://www.microsoft.com/windowsserver2003/techinfo/overview/quarantine.mspx

por el administrador haya examinado y validado la configuración del equipo de acceso remoto.

• El proceso funciona de la siguiente manera:• El cliente de acceso remoto se autentica y se pone en cuarentena.• Si se agota el tiempo de espera de la cuarentena o el cliente RAS

no pasa la comprobación de directivas, se desconecta.• Si el cliente RAS satisface las directivas de cuarentena, se le

otorga acceso completo a la red.

3.10. Requisitos de la cuarentena

Cap8-14.jpg

• El Control de cuarentena de acceso a la red es una característica de Windows Server 2003 que evalúa la configuración de seguridad de un cliente VPN al conectar. Mientras se evalúa el equipo cliente, éste sólo tiene acceso a un número limitado de recursos, como un servidor DNS para la resolución de nombres o un servidor Web con información sobre los requisitos de seguridad corporativos. Una vez que el cliente ha pasado todas las comprobaciones de seguridad necesarias, se le permite el acceso a la red corporativa.

• Esta configuración consta de los siguientes componentes:• Clientes de acceso remoto

• Equipos con un sistema operativo Windows que creen una conexión de acceso telefónico a redes o de red privada virtual al servidor de acceso remoto. El cliente de acceso remoto debe utilizar un perfil de Connection Manager (CM).

• Servidor de acceso remoto

51

• Un equipo que ejecute un integrante de la familia Windows Server 2003 y el servicio Enrutamiento y acceso remoto configurado para utilizar un servidor de Servicio de autenticación Internet (IAS, Internet Authentication Service) para la autenticación.

• Servidor IAS• Un equipo que ejecute un integrante de la familia

Windows Server 2003 e IAS. El servidor IAS controla cuándo el cliente entra y sale de la cuarentena.

• Base de datos de cuentas• En las redes basadas en Windows 2000 o

Windows Server 2003, el servicio de directorio Active Directory se utiliza como base de datos de cuentas en la que se almacenan las cuentas de usuario y sus propiedades de acceso telefónico.

• Directiva de acceso remoto• En el servidor de acceso remoto que ejecuta Enrutamiento y

acceso remoto o el servidor IAS, se configura una directiva de acceso remoto que proporcione restricciones de autorización y conexión para las conexiones de acceso remoto.

• Asimismo, se requieren componentes que permitan la comunicación desde el cliente al servidor, independientemente de si se han pasado las comprobaciones de seguridad. Las herramientas RQC.exe y RQS.exe del Kit de recursos de Windows Server 2003 realizan esta función, pero las compañías pueden crear sus propios componentes para realizarla.

3.11. El proceso de cuarentena

52

Cap8-15.jpg

• El siguiente proceso describe cómo funciona el Control de cuarentena de acceso a la red cuando se utiliza un servidor RADIUS y los programas RQC.exe y RQS.exe:• El usuario del cliente de acceso remoto compatible con el control

de cuarentena utiliza el perfil de Connection Manager de cuarentena instalado para conectar con el servidor de acceso remoto compatible con el control de cuarentena.

• El cliente de acceso remoto pasa sus credenciales de autenticación al servidor de acceso remoto.

• El servicio Enrutamiento y acceso remoto envía un mensaje de solicitud de acceso RADIUS al servidor IAS.

• El servidor IAS valida las credenciales de autenticación del cliente de acceso remoto y, si las credenciales son válidas, comprueba sus directivas de acceso remoto. El intento de conexión cumple los requisitos de la directiva de cuarentena. Por ahora, no existen diferencias con una conexión VPN tradicional que utilice un servidor RADIUS.

• La conexión se acepta con las restricciones de cuarentena. El servidor IAS envía un mensaje de aceptación de acceso RADIUS que contiene los atributos MS-Quarantine-IPFilter y MS-Quarantine-Session-Timeout, entre otros. En este ejemplo se asume que ambos atributos están configurados en la directiva de acceso remoto correspondiente. Estos atributos especifican las direcciones IP de los equipos a los que los clientes en cuarenta tienen acceso y la duración del período de cuarentena.

53

• El cliente y el servidor de acceso remoto realizan la conexión de acceso remoto, que incluye la obtención de una dirección IP y otras opciones de configuración.

• El servicio Enrutamiento y acceso remoto configura las opciones MS-Quarantine-IPFilter y MS-Quarantine-Session-Timeout en la conexión. En este momento, el cliente de acceso remoto sólo es capaz de enviar correctamente el tráfico que coincide con los filtros de la cuarentena y dispone del número de segundos especificado en MS-Quarantine-Session-Timeout para notificar al servidor de acceso remoto que el archivo de comandos se ha ejecutado correctamente.

• Mientras el cliente permanece en modo de cuarentena, el perfil de Connection Manager ejecuta el archivo de comandos de cuarentena como acción posterior a la conexión. Este archivo de comandos comprueba que la configuración del equipo cliente de acceso remoto satisface los requisitos de la directiva de red. Si se pasan todas las pruebas de conformidad con la directiva de red, el archivo de comandos ejecuta RQC.exe con sus parámetros de la línea de comandos, uno de los cuales es una cadena de texto de la versión del archivo de comandos de cuarentena incluido en el perfil de Connection Manager.

• RQC.exe envía una notificación al servidor de acceso remoto, en la que indica que el archivo de comandos se ha ejecutado correctamente. El componente que está a la escucha (RQS.exe) recibe la notificación.

• Si el archivo de comandos se ha ejecutado correctamente y su versión coincide con la que se ha configurado en el Registro del servidor de acceso remoto, el componente que está a la escucha llama a la API MprAdminConnectionRemoveQuarantine(), que indica al servicio Enrutamiento y acceso remoto que quite la configuración de MS-Quarantine-IPFilter y MS-Quarantine-Session-Timeout de la conexión y configure las restricciones normales de conexión. En ese momento, el cliente de acceso remoto tiene acceso normal a la intranet.

3.12. Limitaciones del control de cuarentena de acceso a la red

Depende de que la configuración pueda comprobarse mediante archivos de comandos

Depende de los archivos de comandos del cliente Un usuario malintencionado podría eludir la cuarentena

Los usuarios deben disponer de un método para cumplir con los requisitos

Métodos para aplicar las actualizaciones Punto de instalación externa para el software antivirus

Limitado a las conexiones de acceso telefónico y VPN

54

• El Control de cuarentena de acceso a la red puede ser un método eficaz para prohibir el acceso de equipos cliente no protegidos a la red corporativa, pero esta técnica presenta también algunas limitaciones:• La eficacia de este método depende de que la configuración pueda

comprobarse mediante un archivo de comandos. Por ejemplo, es posible comprobar si los clientes ejecutan versiones compatibles de un sistema operativo u otro software. También es posible comprobar revisiones específicas, versiones de definición de virus y otras opciones. Sin embargo, no se puede realizar un análisis de seguridad exhaustivo del equipo cliente.

• El control de cuarentena depende del archivo de comandos del cliente. Esto significa que un usuario malintencionado podría utilizar un cliente para eludir las restricciones de la cuarentena. El Control de cuarentena de acceso a la red no está diseñado para prohibir el acceso de usuarios malintencionados a la red, sino para garantizar que los equipos de los usuarios autorizados están configurados de forma segura.

• Los usuarios deben disponer de un método para cumplir con los requisitos de seguridad de la organización. Los usuarios deben disponer de un método para aplicar actualizaciones y orientación sobre qué actualizaciones y opciones de configuración se necesitan. Esta información puede mantenerse en un servidor Web que forme parte de los recursos de cuarentena. También es posible proporcionar un punto de instalación externo para el software, como software antivirus. Para garantizar que sólo los usuarios autorizados tienen acceso a este servidor, puede utilizarse una carpeta Web con control de acceso en función del usuario. Para el software que requiere licencia, es posible que tenga que implementar el seguimiento de licencias para la instalación de software desde servidores a los que se tenga acceso externamente.

• La cuarentena de acceso a la red sólo puede utilizarse para las conexiones de acceso telefónico y red privada virtual. No puede utilizarse para otras conexiones de red, como las conexiones inalámbricas.

• La cuarentena de acceso a la red permite exigir la directiva de seguridad, pero no es un mecanismo de autenticación. El proceso de cuarentena se inicia una vez realizada la autenticación.

3.13. Consejos y trucos sobre el control de cuarentena de acceso a la red

Empiece con el Kit de recursos de Windows Server 2003 Utilice Connection Manager Cree perfiles alternativos para entornos distintos Diseñe un plan para los recursos de cuarentena Reduzca el retraso de las aplicaciones

55

• El Kit de recursos de Windows Server 2003 contiene los programas RQC y RQS que pueden ayudarle a implementar la cuarentena de acceso a la red. Contiene también archivos de comandos de ejemplo.

• Aunque Connection Manager no se necesita para una conexión VPN, se trata del método más sencillo para implementar archivos de comandos que se ejecutan después de que el usuario establezca una conexión. Connection Manager simplifica además la conexiones remotas de los usuarios. Los perfiles de Connection Manager se crean con el Kit de administración de Connection Manager(CMAK), que se incluye con Windows Server 2003.

• Si la red admite diversos clientes VPN, es posible que no todos los equipos cliente cumplan con los requisitos de control de acceso a la red. En ese caso, determine si va a crear perfiles RRAS o IAS distintos para los usuarios que no tengan que cumplir con la configuración de cuarentena.

• Diseñe un plan para los recursos de cuarentena. Estos recursos deben permitir la resolución de nombres y deben proporcionar todo lo necesario para proteger los equipos cliente.

• Como los equipos cliente no tienen acceso total a la red al conectarse, es posible que las aplicaciones cliente no se ejecuten correctamente al conectarse a la red. Puede evitar este problema de dos formas:

• Utilice únicamente la configuración de tiempo de espera, de forma que los equipos cliente tengan acceso a todos los recursos de la red durante el período de cuarentena sin que se produzcan retrasos en las aplicaciones. Los equipos cliente se desconectarán igualmente si no satisfacen los requisitos de conexión durante el tiempo de espera.

• Utilice la notificación inmediata, que permite que el cliente notifique inmediatamente al servidor RRAS para que quite las restricciones de cuarentena. Esto permite eliminar inmediatamente las restricciones de cuarentena. Es posible incluir en el archivo de comandos del cliente pasos que desconecten el equipo cliente cuando no se satisfagan las restricciones.

56

4. Solución de problemas de configuraciones de seguridad

En esta sección se explica cómo solucionar los problemas que puedan surgir en distintas situaciones relacionadas con la seguridad. Los temas que se tratan son:

• Resolución de conflictos entre plantillas de seguridad.• Solución de errores de aplicación.• Solución de problemas de servicios y procesos.• Solución de problemas de conexiones de red.• Recomendaciones para la solución de problemas.

4.1.Resolución de conflictos entre plantillas de seguridad

Uso de las herramientas Resultant Set of Policies (RSoP)

Herramientas de administración de Active Directory Resultados de directiva de grupo desde GPMC GPResult

Cap8-16.jpg

• En un entorno administrado, se pueden aplicar muchas opciones de seguridad mediante Directiva de grupo. Algunas veces, esto produce un conflicto entre las plantillas de seguridad. Puede utilizar la herramienta RSoP (Resultant Set of Policies o Conjunto resultante de directivas) para solucionar los problemas de aplicación de Directiva de grupo.

57

• RSoP ofrece a los administradores la capacidad de planear, supervisar y solucionar los problemas de Directiva de grupo. Con RSoP los administradores pueden planear el modo en que los cambios de Directiva de grupo afectan al usuario o equipo de destino. Asimismo, pueden comprobar de forma remota las directivas actualmente vigentes en un equipo determinado. Durante la solución de problemas, RSoP proporciona información detallada sobre toda la configuración de seguridad que se aplica al equipo o usuario y especifica el objeto de directiva de grupo que aplica la configuración.

• A RSoP se puede tener acceso de varias formas:• En un equipo con Windows XP o Windows Server 2003, puede

crear una Microsoft Management Console y agregar el complemento RSoP.

• En Usuarios y equipos de Active Directory en un equipo con Windows Server 2003 o Windows XP (con el paquete de herramientas administrativas instalado), puede ejecutar RSoP desde el elemento de menú Todas las tareas al hacer clic con el botón secundario del mouse (ratón) en un objeto de usuario, equipo, unidad organizativa o dominio.

• En Sitios y servicios de Active Directory en un equipo con Windows Server 2003 o Windows XP (con el paquete de herramientas administrativas instalado), puede ejecutar RSoP desde el elemento de menú Todas las tareas al hacer clic con el botón secundario del mouse en un objeto de sitio.

• En la herramienta Group Policy Management Console (Consola de administración de directiva de grupo).

• Uso de GPResult• GPResult es una versión de línea de comandos de RSOP basada

en clientes. Cuando se ejecuta GPResult en una estación de trabajo, todos los objetos de directiva de grupo que se aplican al usuario y a la estación de trabajo se muestran en una ventana de comandos.

4.2.Solución de errores de aplicación

La aplicación de revisiones o plantillas de seguridad puede impedir el funcionamiento de las aplicaciones

Herramientas para solucionar errores de las aplicaciones Network Monitor File Monitor Registry Monitor Dependency Walker Cipher

Ocasionalmente, puede ocurrir que la aplicación de una revisión o plantilla de seguridad impida el funcionamiento correcto de una aplicación. Utilice las siguientes herramientas para solucionar problemas de aplicaciones "averiadas”:

58

• Netmon (Network Monitor o Monitor de red) le ayudará a determinar los problemas de red con aplicaciones que utilizan directamente la red o emplean recursos de red (como recursos compartidos de archivos, servicios Web, RPC, LDAP o Kerberos). La mejor forma de utilizar esta herramienta consiste en trabajar con dos sistemas, uno que funcione y otro que no funcione, registrar el tráfico de red mientras se ejecuta la aplicación y comparar los registros de captura de NetMon línea por línea para ver si hay mensajes de error en los datos detallados del paquete o detectar si faltan paquetes o hay paquetes que han entrado en un bucle.

• FileMon (File Monitor de Sysinternals.com) le ayudará a determinar a qué archivos no tiene acceso la aplicación. Normalmente, la mejor forma de utilizar esta herramienta consiste en comparar los registros de un sistema que funcione y otro que no funcione para ver a qué archivo no se tiene acceso.

• RegMon (Registry Monitor de Sysinternals.com) le ayudará a determinar las claves y la configuración del Registro a las que ya no tiene acceso la aplicación. De nuevo, la comparación en paralelo de los registros de un sistema que funcione y otro que no funcione suele ser un método muy eficaz.

• Depends.exe (herramienta Dependency Walker de las herramientas de depuración, el Kit de recursos de Windows o las herramientas de soporte técnico) puede confrontar las dependencias DLL y proporcionar un informe cuando una aplicación no sea capaz de encontrar una DLL necesaria (por ejemplo, debido a una discrepancia de versiones o a un problema con los permisos). Esta herramienta puede resultar útil cuando una aplicación antigua requiera una determinada versión de una DLL que ha sido sustituida.

• Cipher.exe se puede utilizar para detectar y modificar la configuración de cifrado. Esta herramienta resulta útil cuando una aplicación (por ejemplo, un servicio o una aplicación que depende de un servicio instalado en el mismo sistema) no tenga acceso a un archivo necesario y se haya habilitado EFS en una o varias carpetas del sistema. A veces, los archivos se pueden cifrar accidentalmente de tal forma que se impida el acceso a la aplicación o servicio. Esto suele ocurrir cuando se cifra una carpeta utilizada para archivos temporales y después, durante la instalación de una aplicación, se copian los archivos de una ubicación temporal a la ubicación de destino.

4.3.Solución de problemas de servicios y procesos

Quizás tenga que solucionar problemas con los servicios:1. Cuando los servicios y los procesos no puedan iniciarse2. Para confirmar que todos los servicios y procesos son legítimos

Herramientas para solucionar problemas con los procesos:1. Tlist.exe o Process Explorer2. Dependency Walker3. Examinar las propiedades de los archivos DLL

59

• Hay dos situaciones en las que es posible que tenga que solucionar problemas con los servicios y los procesos. Puede ocurrir que un servicio no sea capaz de iniciarse debido a una revisión de seguridad. O bien, es posible que necesite comprobar que todos los procesos que se ejecutan en un servidor o estación de trabajo son legítimos y que ninguno de los procesos contiene código peligroso.

• Utilice las siguientes herramientas para solucionar problemas con los servicios y procesos: • Tlist.exe (de las herramientas de depuración o del Kit de recursos

de Windows) o Process Explorer (de Sysinternals.com). Cualquiera de estas aplicaciones puede informar de la ruta de acceso desde la que se ejecutan los procesos y de los parámetros de la línea de comandos que se han podido utilizar para ejecutar el proceso. Estas herramientas permiten además buscar el archivo EXE utilizado por el servicio o proceso.

• Para solucionar problemas con archivos DLL, realice en primer lugar un seguimiento de todos los archivos DLL en %systemroot%\system32 y averigüe qué aplicación los ha instalado. Utilice Process Explorer para detectar aplicaciones en modo de usuario en las que aparecen determinados archivos DLL cargados. Utilice Depends.exe (herramientas de soporte técnico de Windows XP, Kit de recursos de Windows 2000) para averiguar qué archivos DLL ha podido cargar el ejecutable. En aquellos archivos DLL que no haya sido capaz de identificar, cargue sus propiedades de una en una y examine la información de la ficha Versión, incluidos “compañía”, “nombre interno” y “nombre del producto”, para saber quién ha publicado el archivo DLL (aunque esta información algunas veces no es muy fidedigna).

4.4.Solución de problemas de conexiones de red

Compruebe que sólo los puertos necesarios están abiertos en los equipos Herramientas para determinar el uso de los puertos:

Netstat –o (en Windows XP o Windows Server 2003) Administrador de tareas Comprobar el uso de los puertos de las aplicaciones y servicios

Una de las tareas a las que puede tener que enfrentarse cuando vaya a proteger estaciones de trabajo y servidores es determinar qué puertos de red utilizan los equipos. Quizás necesite solucionar problemas de conectividad de red cuando un puerto esté bloqueado en un servidor de seguridad o tal vez tenga que validar si un determinado puerto es necesario. Existen muchas herramientas para identificar los procesos que se encuentran a la escucha en determinados puertos TCP o UDP:• En Windows XP y Windows Server 2003, puede ejecutar

simplemente netstat.exe con el parámetro -o para determinar el PID (Identificador de proceso) que ha ocasionado que el puerto adopte el estado En escucha. A continuación, ejecute el

60

Administrador de tareas para averiguar qué proceso utiliza ese PID. En Windows 2000 y versiones anteriores (o en lugar de netstat.exe), puede utilizar una herramienta de terceros como fport.exe (de foundstone.com) u openports.exe (de diamondcs.com.au). Estas herramientas también suelen omitir algunos pasos para simplificar su uso.

• A continuación, para determinar si son las aplicaciones que ha ejecutado, no los servicios que ya se encuentran en ejecución en el equipo, las que abren los puertos, cierre todas las aplicaciones de usuario (incluidos los iconos de bandejas del sistema y las aplicaciones de la barra de tareas) y vuelva a ejecutar la herramienta de asignación de puertos que prefiera. Los procesos que ya no están en el modo En escucha son los únicos responsables de los puertos que ya no aparecen en el informe de detección.

• Para determinar cuáles de los servicios que se ejecutan en el sistema se pueden cerrar para deshabilitar los puertos restantes, cierre los servicios uno por uno. A continuación, compare los resultados de la herramienta de detección antes y después de detener el servicio en cuestión. Tenga en cuenta que, puesto que el administrador no puede detener algunos servicios, los puertos que queden después de cerrar TODOS los servicios posibles deben considerarse obligatorios. Además, es posible que algunos servicios compartan un puerto. En tal caso, para que el equipo deje de estar a la escucha en algunos puertos, puede ser necesario cerrar ambos servicios.

• Una vez identificada la correspondencia exacta entre los servicios y los puertos necesarios, puede determinar si el servicio es necesario en el equipo. Si no es necesario, deshabilítelo para impedir que se vuelva a iniciar. Si el servicio es necesario, tome nota del puerto necesario para el servicio.

4.5.Recomendaciones para la solución de problemas

Utilice una estrategia formal de administración de cambios y configuración para todos los cambios de seguridad

Pruebe todos los cambios de configuración de seguridad Utilice herramientas RSOP en modo de diseño Documente la configuración normal Tenga preparada una estrategia para deshacer los cambios Solucione los problemas de forma segura

Siempre que vaya a solucionar problemas de configuración de seguridad, tenga en cuenta las siguientes recomendaciones:

• Utilice una estrategia formal de administración de cambios y configuración. Así podrá encontrar el origen de los problemas más fácilmente y simplificará la estrategia de reversión.

61

• Siempre que realice cambios en una configuración de seguridad, pruebe los cambios antes e inmediatamente después de su implementación. Asegúrese de que el cambio en la configuración se ha aplicado correctamente y de que no ha introducido ningún otro punto vulnerable de seguridad.

• Utilice RSOP en modo de diseño: las herramientas RSOP se pueden ejecutar en este modo para determinar cuál será el efecto de aplicar una plantilla de seguridad.

• Para solucionar problemas crípticos, tendrá que saber cuál es la configuración normal antes de aplicar una plantilla o revisión de seguridad.

• Asegúrese siempre de disponer de una estrategia para deshacer los cambios.

• Solucione siempre los problemas de forma segura. Esto significa que no debe poner en peligro la seguridad de la organización en las operaciones empleadas para solucionar los problemas. Por ejemplo, si un cambio en la configuración de seguridad no es correcto, no reduzca el nivel de seguridad de otras opciones cuando intente solucionar el problema. Si lo hace, podría poner en peligro el equipo cuyos problemas trata de resolver.

62

5. Pasos siguientes

1. Mantenerse informado sobre la seguridad Suscribirse a boletines de seguridad:

http://www.microsoft.com/security/security_bulletins/alerts2.asp(Este sitio está en inglés)

Obtener las directrices de seguridad de Microsoft más recientes:http://www.microsoft.com/security/guidance/ (este sitio está en inglés)

1. Obtener aprendizaje de seguridad adicional Buscar seminarios de aprendizaje en línea y presenciales:

http://www.microsoft.com/seminar/events/security.mspx(Este sitio está en inglés)

Buscar un CTEC local que ofrezca cursos prácticos:http://www.microsoft.com/learning/ (este sitio está en inglés)

En los pasos siguientes es necesario que vaya al sitio Web de Microsoft para: Obtener la información sobre seguridad más reciente. Obtener aprendizaje de seguridad adicional.

Para obtener más información

Sitio de seguridad de Microsoft (todos los usuarios) http://www.microsoft.com/security

Sitio de seguridad de TechNet (profesionales de IT) http://www.microsoft.com/technet/security

Sitio de seguridad de MSDN (desarrolladores) http://msdn.microsoft.com/security

Hay más información técnica para profesionales de tecnología de la información y desarrolladores en los sitios Web siguientes:• Sitio de seguridad de Microsoft (todos los usuarios)

• http://www.microsoft.com/security (este sitio está en inglés) • Sitio de seguridad de TechNet (profesionales de IT)

• http://www.microsoft.com/technet/security (este sitio está en inglés)• Sitio de seguridad de MSDN® (desarrolladores)

• http://msdn.microsoft.com/security (este sitio está en inglés)

63

http://msdn.microsoft.com/security

http://www.microsoft.com/technet/security

http://www.microsoft.com/security

http://msdn.microsoft.com/security

http://www.microsoft.com/technet/security

http://www.microsoft.com/security

http://www.microsoft.com/learning/

http://www.microsoft.com/seminar/events/security.mspx

http://www.microsoft.com/security/guidance/

http://www.microsoft.com/security/security_bulletins/alerts2.asp

6. Práctica A Utilizar MBSA

Uso de MBSA basado en la interfaz gráfica de usuario para realizar deteccionesGuía Pasos

EN DENVER

Microsoft Baseline Security Analyzer (MBSA) es una herramienta que permite a los usuarios analizar uno o varios equipos basados en Windows para detectar errores comunes de configuración de seguridad. MBSA versión 1.1.1 incluye una interfaz gráfica y una versión para la línea de comandos que pueden realizar detecciones locales o remotas en equipos basados en Windows para comprobar el sistema operativo y otros componentes instalados y detectar si faltan actualizaciones de seguridad y Service Packs para Windows, Internet Explorer, IIS, SQL, Exchange y Reproductor de Windows Media®. MBSA se ha descargado e instalado en el equipo Denver antes de esta práctica.Inicie la versión basada en la interfaz gráfica de usuario.

1. En Inicio, Todos los programas, seleccione Microsoft Baseline Security Analyzer. Se muestra la página Pick a computer to scan (Elija el equipo que desea examinar).

2. Maximice la ventana.

Observe que al hacer click en Pick a computer to scan, se muestra de forma predeterminada el equipo local.

3. En el panel de la derecha, haga click en Scan a Computer (Examinar un equipo).

64

Si hace click en Pick multiple computers to scan (Elija varios equipos para examinar), tendrá la oportunidad de analizar varios equipos. Con esta opción, puede analizar todo el dominio o especificar un intervalo de direcciones IP y analizar todos los equipos basados en Windows que se encuentran en ese intervalo. Tenga en cuenta que en un entorno con varios dominios, en el que un servidor de seguridad o un enrutador de filtrado separa las dos redes (dos dominios independientes de Active Directory), los puertos TCP 139 y 445 y los puertos UDP 137 y 138 deben estar abiertos para que MBSA se conecte y se autentique en la red remota que se va a analizar.

4. En el panel de la izquierda, haga click en Pick multiple computers to scan.

5. En el cuadro Domain name (Nombre de dominio), escriba nwtraders.

Hay un campo en el que se puede especificar el formato que se debe utilizar para crear el nombre del informe de seguridad. Como se puede ver, se utilizan variables de forma predeterminada.

6. Explique la parte correspondiente de la pantalla.

Hay varias casillas de verificación de configuración específicas que puede utilizar para incluir componentes y opciones específicas en el proceso de detección o excluirlos del proceso.La opción Check for Windows vulnerabilities (Comprobar puntos vulnerables de Windows) detecta problemas de seguridad en los sistemas operativos Windows (Windows NT® 4, Windows 2000, Windows Server 2003 y Windows XP), como el estado de las cuentas de invitado, el tipo de sistema de archivos, los recursos compartidos de archivos disponibles, los integrantes del grupo Administradores, etc. Las descripciones de cada sistema operativo analizado se mostrarán en los informes de seguridad con instrucciones sobre cómo solucionar los problemas detectados.

7. Haga click y arrastre para resaltar la opción Check for Windows vulnerabilities.

65

La opción Check for weak passwords (Comprobar contraseñas poco seguras) contiene información específica que debe conocer. Puede aumentar considerablemente el tiempo del proceso de detección, según la función que realiza el equipo y el número de cuentas de usuario de un equipo. Asimismo, los intentos de comprobación de las distintas cuentas en busca de contraseñas poco seguras pueden agregar seguridad a las entradas de registro (sucesos de inicio y cierre de sesión) si se ha habilitado la auditoría en el equipo. Observe también que la herramienta restablecerá todas las directivas de bloqueo de cuentas que se detecten en el equipo a fin de que no se bloqueen las cuentas de usuario durante la comprobación de contraseñas. Esta comprobación no se efectúa en los controladores de dominio. Si se desactiva esta opción antes de analizar un equipo, no se realizará la comprobación de las contraseñas de cuentas locales de Windows y SQL.

8. Haga click y arrastre para resaltar la opción Check for weak passwords.

La opción Check for IIS (Comprobar IIS) detecta los problemas de seguridad en las versiones 4.0 a 6.0 de IIS, como las aplicaciones de ejemplo y determinados directorios virtuales presentes en el equipo. Las descripciones de cada IIS analizado se muestran en los informes de seguridad con instrucciones sobre cómo solucionar los problemas detectados.

9. Haga clic y arrastre para resaltar la opción Check for IIS vulnerabilities (Comprobar puntos vulnerables de IIS).

66

La opción Check for SQL vulnerabilities (Comprobar puntos vulnerables de SQL) detecta los problemas de seguridad de SQL Server 7.0 y SQL Server 2000, como el modo de autenticación, el estado de las contraseñas de las cuentas de administrador del sistema y la pertenencia a cuentas del servicio SQL. Las descripciones de cada SQL Server analizado se muestran también en los informes de seguridad con instrucciones sobre cómo solucionar los problemas detectados. Tenga en cuenta que la herramienta comprueba los puntos vulnerables de cada instancia de SQL Server que se ejecute en el equipo. Todas las comprobaciones de SQL individuales se realizarán en cada instancia.

10. Haga clic y arrastre para resaltar la opción Check for SQL vulnerabilities (Comprobar puntos vulnerables de SQL).

67

De forma predeterminada, la comprobación de actualizaciones de seguridad analizará e incluirá en el informe todas las actualizaciones de seguridad fundamentales para la línea de base. Cuando se seleccione la opción SUS, MSBA analizará e incluirá en el informe todas las actualizaciones de seguridad marcadas como aprobadas por el administrador de SUS, incluidas las actualizaciones que se han reemplazado por otras.MBSA puede determinar las actualizaciones de seguridad fundamentales que se aplican a un sistema mediante la herramienta HFNetChk y la referencia a un archivo XML (Extensible Markup Language o Lenguaje de marcado extensible) que Microsoft actualiza continuamente. El archivo mssecure.xml contiene información sobre las actualizaciones de seguridad disponibles para determinados productos de Microsoft. Este archivo contiene los nombres y los títulos de los boletines de seguridad e información detallada sobre las actualizaciones de seguridad específicas de los productos, incluidos los archivos de cada paquete de actualización y sus versiones y sumas de comprobación, las claves del Registro que se han aplicado mediante el paquete de instalación de la actualización, información sobre qué actualización reemplaza a las demás, números de artículos de Microsoft Knowledge Base (Base de conocimiento) relacionados y mucha más información.

11. Haga click y arrastre para resaltar la opción Check for Security Updates (Comprobar actualizaciones de seguridad).

Cuando ejecute MBSA por primera vez, esta herramienta debe obtener una copia del archivo XML para poder encontrar las actualizaciones de seguridad disponibles para cada producto. Los archivos se pueden obtener también antes de ejecutar la herramienta si se colocan en el directorio de instalación de MBSA.Haga click en el botón Start scan (Iniciar detección) para iniciar el análisis.

12. Haga click en Start scan.

68

MBSA analiza el archivo XML e identifica las actualizaciones de seguridad disponibles para la combinación de software instalado. MBSA evalúa tres elementos para determinar si una actualización determinada está instalada en un equipo específico: la clave del Registro que instala la actualización, la versión o versiones del archivo y la suma de comprobación de cada archivo instalado por la actualización. Si no se pasa alguna de estas comprobaciones, la actualización se marcará como inexistente en el informe de análisis.Después de unos momentos se muestra el informe de seguridad. Puede desplazarse por el informe para ver los distintos niveles de estado de cada área analizada. Observe que los puntos vulnerables más graves se muestran al principio del informe.

13.Haga click en el informe de Vancouver y, a continuación, desplácese por el informe.

Para indicar el estado de la comprobación se utilizan íconos. Una cruz roja y una estrella azul indican un posible punto vulnerable grave, mientras que una cruz amarilla indica un punto vulnerable menos grave pero igualmente importante. En muchos de los problemas detectados, puede hacer clic en los vínculos para obtener información adicional relativa al objeto del análisis, datos detallados de los resultados e información sobre cómo corregir el punto vulnerable.

14.Señale las partes relevantes de la pantalla mientras las describe.

15.Cierre Baseline Security Analyzer.

69

8-Estrategias de Seguridad Aplicada

Documents

Transcript of 8-Estrategias de Seguridad Aplicada