INSTALAR LA SEGURIDAD IP DE WINDOWS
Microsoft 2000 Server se ha diseñado para proporcionar muy altos niveles de seguridad de datos, aunados a la facilidad de implementación y administración. El resultado es la seguridad de la información en la empresa con bajos costos totales de propiedad. Windows 2000 Server proporciona gran flexibilidad con políticas de seguridad, de usuario y de dominio. El administrador de red puede aplicar políticas a toda la empresa o para un solo usuario o estación de trabajo. Las políticas de seguridad se pueden implementar transparentemente, sin necesidad de intervención posterior del administrador de red y sin capacitar otra vez a los usuarios.
A fin de establecer seguridad, un administrador de red debe llevar a cabo un proceso de cuatro pasos:
. • Evaluar la información enviada a través de la red e Internet.
. • Crear escenarios de comunicación.
. • Determinar los modelos de seguridad requeridos por cada escenario.
. • Desarrollar políticas de seguridad utilizando el Administrador de seguridad Windows.
Evaluar la información
Toda la información enviada a través de redes o Internet está sujeta a interceptación, examen o modificación. Un administrador de sistemas puede determinar qué clase de información es más valiosa y cuáles escenarios de comunicación son los más vulnerables.
Crear escenarios
Las organizaciones tienen ciertos patrones para sus flujos de información. Un administrador de sistemas puede determinar estos patrones predecibles. Por ejemplo, las oficinas remotas de ventas pueden enviar datos de ventas proyectados, órdenes de compra y otra información financiera a su oficina matriz. Cada uno de estos escenarios de comunicación puede tener diferentes políticas de Seguridad IP. Asimismo, un administrador de sistemas puede decidir, por ejemplo, que todas las comunicaciones con el departamento de recursos humanos deban ser seguras.
Determinar los niveles de seguridad requeridos
Los niveles de seguridad requeridos cambian, dependiendo de la sensibilidad de la información y de la relativa vulnerabilidad del de transmisión. El Administrador de seguridad Windows 2000 permite a un administrador de red establecer rápida y fácilmente los niveles de seguridad apropiados.
Desarrollar políticas de seguridad con el Administrador de seguridad
El Administrador de seguridad de Windows 2000 Server permite al administrador de red establecer algoritmos de seguridad y asignarlos a grupos de computadoras o a computadoras únicas. Las políticas se desarrollan y asignan utilizando operaciones rápidas de señalar y hacer clic.
Políticas flexibles de seguridad
Cada configuración de los atributos de la Seguridad IP de Windows se denomina una política de seguridad. Las políticas de seguridad se desarrollan a partir de políticas de negociación asociadas y filtros IP. Una política de Seguridad IP puede asignarse a la política de dominio predeterminada, a la política local predeterminada o a una política personalizada que usted elabore. Las computadoras en el dominio toman automáticamente las propiedades de las políticas de dominio predeterminadas y locales predeterminadas, incluyendo la política de Seguridad IP asignada a dicha política de dominio.
Políticas flexibles de negociación
Las políticas de negociación determinan los servicios de seguridad que usted desea incluir para cada tipo de escenario de comunicación que labora para la empresa. Un administrador de red puede elegir entre los servicios que incluyen confidencialidad o aquellos que no lo hacen. El administrador puede establecer métodos múltiples de seguridad para cada política de negociación. Si el primer método no es aceptable para la negociación de seguridad, el servicio ISAKMP/Oakley continua consultando la lista en orden descendente hasta que encuentra uno que puede ser utilizado para establecer la asociación.
Filtros
La filtración permite a Windows 2000 Server aplicar diferentes políticas de seguridad a distintas computadoras. Los filtros IP determinan las acciones a tomar, basados en el destino y el protocolo de los paquetes IP individuales.
Crear una política de seguridad
Un ejemplo de creación de una política de seguridad se puede encontrar en una organización que tiene un departamento legal centralizado. Los administradores de red pueden decidir que las comunicaciones dentro del departamento deben ser seguras pero no confidenciales. Sin embargo, el administrador puede decidir que las comunicaciones entre el departamento legal y otros departamentos dentro de la organización deben ser tanto seguras como confidenciales. La Seguridad IP de Windows permite establecer filtros para aplicar las políticas de seguridad apropiadas a las comunicaciones iniciadas dentro del departamento legal. Si el destino de la comunicación es externo al departamento, la Seguridad IP de Windows aplica una política de seguridad que proporciona seguridad y confidencialidad. Si el paquete simplemente se traslada a otro destino dentro del departamento legal, se aplica la seguridad sin confidencialidad.
A fin de implementar el plan de seguridad para el departamento legal, el administrador debe emprender los siguientes pasos:
1. Crear una política de seguridad llamada Legal y asignarla a la política de dominio predeterminada. A medida que cada computadora en la compañía se registra dentro del dominio, el agente de políticas de la computadora puede seleccionar en el servicio de directorio la política de seguridad del departamento legal. La política de seguridad del departamento legal debe tener las siguientes políticas de negociación y filtros IP asociadas con ella:
2. Crear dos políticas de negociación y asociarlas con la política de seguridad
del departamento legal: La primera política de negociación, Legal NP 1, se establece para un servicio que proporciona confidencialidad cuando los usuarios en el departamento legal se comunican con usuarios de otros departamentos (“los datos transferidos son confidenciales, auténticos y no modificables”: protocolo de seguridad ESP).
La segunda política de negociación, Legal NP 2, se establece para un servicio que proporciona únicamente autenticación y protección contra modificación cuando los usuarios del departamento legal se comunican entre sí (“Los datos transferidos son auténticos y no modificables”: protocolo de seguridad AH).
3. Crear dos filtros IP y asociar cada uno de ellos con una política de negociación: Los usuarios en el departamento legal están en la red 157.55.0.0 con una máscara de subred 255.255.0.0. Los usuarios de otros departamentos están en la red 147.20.0.0 con una máscara de subred de 255.255.0.0. El primer filtro IP, Legal 1, es para usuarios en el departamento legal que se comunican con usuarios de otros departamentos. Este está asociado con la política de negociación Legal NP1. El administrador establece las propiedades del filtro con los siguientes valores:
La dirección IP especificada para la fuente (emisor de datos) es 157.55.0.0. Esta dirección coincide con cualquier dirección IP dentro de la red del departamento legal, ya que en realidad es una dirección de subred IP.
La dirección IP especificada para el destino (receptor de datos) es 147.20.0.0.
Ya que el plan de seguridad de la compañía estipuló proteger todos los datos enviados a través del protocolo IP, el tipo de protocolo es Cualquiera.
Los usuarios del departamento legal que se comuniquen con otros dentro del mismo departamento utilizan el segundo filtro IP, Filtro 2 Legal IP. Este se asocia con la política de negociación Legal NP 2, y las propiedades del filtro se establecen con los siguientes valores:
• La dirección IP especificada para la fuente (emisor de datos) es 157.55.0.0.
• La dirección IP especificada para el destino (receptor de datos) es
157.55.0.0.
• El tipo de protocolo se establece en Cualquiera.
Cuando un usuario dentro del departamento legal envía información a cualquier otro usuario, las direcciones fuente y destino de los paquetes IP se revisan con base en los filtros IP de la política de seguridad legal. Si las direcciones coinciden con uno de los filtros, la política de negociación asociada determina el nivel de Seguridad IP para la comunicación.
Por ejemplo, si un usuario en el departamento legal con una dirección IP 157.55.2.1 envía datos a un usuario en 147.20.4.5, coincidiría con el filtro IP Legal 2. Esto significaría que la comunicación se envía en el nivel de seguridad especificado por la política de negociación Legal NP1, que proporciona autenticación y protección contra modificaciones (no modificable) y confidencialidad durante la comunicación.
