1 / 58

HOL-VIS05: Microsoft Windows Vista Servicios de Red

HOL-VIS05: Microsoft Windows Vista Servicios de Red. Julián Blázquez García jblazquez@informatica64.com. Agenda. Introducción Redes Inalámbricas Pila TCP/IP IPv6 Políticas Quality of Service (QoS) Soluciones de Seguridad de Red Reuniones Compartidas Network Access Protection.

lynton
Download Presentation

HOL-VIS05: Microsoft Windows Vista Servicios de Red

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. HOL-VIS05:Microsoft Windows VistaServicios de Red Julián Blázquez García jblazquez@informatica64.com

  2. Agenda • Introducción • Redes Inalámbricas • Pila TCP/IP • IPv6 • Políticas Quality of Service (QoS) • Soluciones de Seguridad de Red • Reuniones Compartidas • Network Access Protection

  3. Introducción • Las redes Wireless cada vez empiezan a ser imprescindibles en las empresas. ¿Confiamos en ellas? • ¿Por qué no usamos cifrado en la comunicación de la red privada? • ¿Podemos garantizar que la comunicación la realizamos siempre contra el servidor o equipo deseado? • ¿Tenemos garantizada la seguridad de la red privada? • ¿Todos los clientes están asegurados? • ¿Realizamos mantenimiento sobre ellos?

  4. Agenda • Introducción • Redes Inalámbricas • Pila TCP/IP • IPv6 • Políticas Quality of Service (QoS) • Soluciones de Seguridad de Red • Reuniones Compartidas • Network Access Protection

  5. Wireless - Introducción • Actualmente, existe un crecimiento exponencial de conexiones a redes inalámbricas. • Existen herramientas para explotar sus vulnerabilidades poniendo en riesgo la información confidencial. • Necesidad de nuevas herramientas para configuración y administración de los clientes Wireless. • Vista asegura y hace más amigable el uso de Wireless, minimizando la intervención de especialistas IT. • Se incorpora una herramienta (más efectiva que antes) para la resolución de problemas.

  6. Mejoras del Núcleo • Windows Vista ha sido diseñado desde los cimientos pensando en el soporte para comunicaciones Wireless. • Esta integración aporta mejoras de estabilidad y fiabilidad. • Incorpora una herramienta de conexión y uso fácil de utilizar por cualquier tipo de usuario. • Totalmente compatible con los aplicativos de terceros. • Los desarrolladores pueden utilizar las nuevas APIs para administrar conexiones, adaptadores y perfiles.

  7. Mejoras de Seguridad • Windows Vista pretende mejorar la seguridad de las redes inalámbricas con las siguientes mejoras: • Contramedidas Activas y Pasivas • Seguridad Redes Ad Hoc • Autentificación en dominio • Tipos de Redes • Protocolos de Seguridad

  8. Contramedidas Activas y Pasivas • Los clientes Wireless difunden información para descubrir redes (incluso las ocultas) • Los atacantes utilizan esas difusiones para engañar al cliente y conectarlo con un punto de acceso malévolo. • Registrar sus comunicaciones encriptadas. • Desencriptarlas y atacar al punto de acceso válido. • Windows Vista reduce el broadcast en las redes Wireless y genera claves de sesión aleatorias para las conexiones.

  9. Seguridad Redes Ad-Hoc • Windows Vista procura crear redes ad-hoc tan seguras como sea posible por defecto. • Windows Vista proporciona acceso protegido Wi-Fi 2 (WPA2). • Con una red ad hoc de WPA2-Personal creada en Windows Vista, se protege mejor contra ataques comunes y vulnerabilidades. • Windows Vista suprimirá automáticamente la red después de que todos los usuarios se desconecten.

  10. Autentificación en Dominio • Windows Vista permite autentificar a los clientes en un dominio a través de la red Wireless (en un solo paso) • A través de Políticas de grupo (GPO) o con los comandos Netsh para la red inalámbrica • Este nuevo método de autenticación se denomina Single Sign On (SSO) • SSO es soportado independientemente del método de autenticación utilizado en el inicio de sesión, incluso con EAP y PEAP-MS-CHAP v2

  11. Tipos de Redes • Diferentes tipos de red requieren diferentes niveles de seguridad (Trabajo, casa, Aeropuerto,…) • Windows Vista proporciona tres tipos de red diferentes según su localización. Cada con su propia configuración de protección (firewall) • Publica: todas las redes no identificadas. • Privada: redes domésticas o de trabajo que no cuentan con DC. Para compartir recursos con los usuarios en la red local. • Dominio: cuando Windows Vista se autentifique contra un DC. • Esta configuración es válida en redes Cableadas

  12. Protocolos de Seguridad • Las infraestructuras actuales Wireless son una mezcla de diferentes estándares y extensiones de terceros. • Windows Vista incorpora todo lo necesario para cualquier infraestructura Wireless • Los protocolos que incorpora Windows Vista para la redes Wireless son: • WEP • WPA o WPA2 • PEAP • PEAP-MS-CHAPv2 • EAP-TLS

  13. Extensibilidad EAPHost • EAPHost es la nueva arquitectura EAP que incluye Windows Vista • Proporciona un framework para la creación de esquema de autenticación que no se incorporan en Vista. • Permite múltiples implementaciones para el mismos métodos EAP (PEAP de Windows y otro de terceros) • EAPHost está integrado con Network Access Protection

  14. Agenda • Introducción • Redes Inalámbricas • Pila TCP/IP • IPv6 • Políticas Quality of Service (QoS) • Soluciones de Seguridad de Red • Reuniones Compartidas • Network Access Protection

  15. Nueva Pila TCP/IP • Microsoft ha diseñado una nueva pila TCP/IP para adaptarse a los nuevo avances tecnológicos • Es una doble pila que proporciona compatibilidad con IPv4 e IPv6. • Compartimientos de enrutamiento • Evita el reenvío no deseado de tráfico entre interfaces • Es la combinación de interfaces con una sesión de inicio que tiene sus propias tablas de enrutamiento.

  16. Nueva Pila TCP/IP • Compatibilidad para un modelo de host seguro • Cuando un paquete de unidifusión llega a un host, la IP debe determinar si el paquete tiene un destino local • Sólo acepta paquetes si la dirección de destino coincide con una dirección asignada a la interfaz en la que se recibió el paquete • Nueva seguridad y API para el filtrado de paquetes • Windows Filtering Platform (WFP) ofrece capacidades de filtrado en todas las capas de la pila del protocolo TCP/IP. • WFP es más seguro, está integrado en la pila • Más fácil para los proveedores independientes crear controladores, servicios y aplicaciones que deban filtrar, analizar o modificar tráfico TCP/IP.

  17. Nueva Pila TCP/IP • Escalar en equipos multiprocesador • La arquitectura anterior de NDIS limita recibir el procesamiento de protocolos a un único procesador. • La nueva versión permite escalar el procesamiento a varios procesadores • Nueva extensibilidad • Permite insertar y quitar de forma dinámica más componentes modulares

  18. Agenda • Introducción • Redes Inalámbricas • Pila TCP/IP • IPv6 • Políticas Quality of Service (QoS) • Soluciones de Seguridad de Red • Reuniones Compartidas • Network Access Protection

  19. Introducción • Problemática actual del protocolo comunicación IPv4 es la siguiente: • Crecimiento exponencial de direcciones IP en internet. • Crecimiento routers Backbone de Internet para mantener la enormes tablas de enrutamiento. • Necesidad de simplificar la implementación. • Requisitos de seguridad a nivel IP • Mejorar el soporte de Quality of Services (QoS)

  20. IPv6 • IPv6 es el nuevo protocolo de comunicación. • Ya se ha empezada a incluir en muchas redes locales. • Pronto se producirá una implementación total en Internet. • ¿Qué ganamos con IPv6? • Más direcciones públicas  Se reduce la necesidad de NAT • Mayor seguridad en nuestras comunicaciones, sin configuraciones previas • Menor tiempo en la implementación • Aprovechamiento de la velocidad de nuestra red

  21. Características • Nuevo formato de cabecera • Esta nueva cabecera solo incluye los campos imprescindibles en las comunicaciones. Se eliminan los campos secundarios. • Favorece y agiliza el trabajo de los routers intermedios. • Cabecera el doble de grande que la de IPv4 • No son compatibles. Routers compatibles con ambos. • Espacio de direcciones mayor • Direcciones de 128 bits, generando 3.4 x 1038 posibles direcciones • La implementación de NAT deja de ser necesaria

  22. Características • Infraestructura de enrutamiento y direccionamiento eficiente y jerárquico (Semejante a DNS) • Simplificación de la configuración • Configuración mediante DHCPv6, • Configuración manual, • Y Configuración automática (dirección del mismo rango que el enrutador) • Seguridad integrada • Soporte de IPSec en la nueva pila de protocolos

  23. Características • Soporte mejorado para QoS • Identificación más sencilla del tráfico por los enrutadores • Se incluye un campo (Flow Label) en la cabecera • Funcionalidad junto con IPSec • Nuevo protocolo para interactuar con nodos cercanos • Una serie de mensajes de control para nodos del mismo link • Neighbor Discovery sustituye a Address Resolution Protocol (ARP), ICMPv4 Router Discovery y ICMPv4 Redirect messages • Extensibilidad • Incluye una extensión de cabecera • Puede ser tan grande como el paquete. No tiene límite máximo

  24. Direccionamiento IP • El tamaño de las direcciones IPv6 son de 128 bits • La representación de cada dirección consisten en 8 bloques de 4 caracteres hexadecimales. 21DA:00D3:0000:2F3B:02AA:00FF:FE28:9C5A • En este nuevo protocolo aparece el termino prefijo • Prefijo ≈ Mascara  Indica el nuevo de bits que identifican la subred. 21DA:00D3:0000:2F3B::/64

  25. IPv4 vs IPv6

  26. ISATAP • Consiste en la asignación de una dirección IP y la creación de un túnel entre host-host, host-router o router-host. • Proporciona conectividad entre dispositivos IPv6 a través de una intranet. • Se crea y configura automáticamente. • Un ejemplo de una dirección ISATAP es FE80::5EFE:131.107.4.92. • Tiene asociado el índice de interfaz número 14 (%14)

  27. Estructura ISATAP

  28. 6to4 • Consiste en la asignación de una dirección IP y la creación de un túnel entre router-router. • Proporciona conectividad entre extremos IPv6 a través de internet (IPv4) • Un ejemplo de una dirección 6to4 es 2002:WWXX:YYZZ::/48 • WWXX:YYZZ es la representación hexadecimal de la dirección pública asignada al sitio • La dirección completa quedaría del siguiente modo 2002:WWXX:YYZZ:Subnet_ID:Interface_ID

  29. 6to4

  30. Teredo • Permite la comunicación entre nodos IPv6/IPv4 que están separados por uno o más NATs • Las direcciones Teredo tienen la siguiente formato: • Ejemplo: 2001:0:4136:e38a:1c48:33b6:3f57:fede

  31. Teredo

  32. Agenda • Introducción • Redes Inalámbricas • Pila TCP/IP • IPv6 • Políticas Quality of Service (QoS) • Soluciones de Seguridad de Red • Reuniones Compartidas • Network Access Protection

  33. Quality of Service (QoS) • QoS permite controlar los costos de ancho de banda o negociar una mayor calidad de los niveles de servicio • El ancho de banda de red se puede administrar de forma central, independientemente de la aplicación. • No es necesario modificar las aplicaciones para que puedan aprovecharse de QoS • La administración del tráfico tiene lugar por debajo de la capa de aplicación. • La administración del tráfico QoS se basa en directivas.

  34. Ámbito de QoS • QoS permite establecer prioridades o administrar la velocidad de envío según: • Aplicación de envío • Direcciones o prefijos de dirección de protocolo de Internet versión 4 (IPv4) o 6 (IPv6) de origen o destino • Protocolo (Protocolo de control de transmisión [TCP], Protocolo de datagramas de usuarios [UDP] o ambos) • Puertos de origen o destino (TCP o UDP) • Las directivas de QoS se aplican a la sesión de inicio de un usuario o a un equipo

  35. Tipos de Configuración QoS • Definir la prioridad del tráfico • Marcar el tráfico de red saliente con un valor de punto de código de servicios diferenciados (DSCP) específico • El valor DSCP se almacena en el campo de tipo de servicio (TOS) del encabezado de IPv4 o en el campo de clase de tráfico del encabezado de IPv6. • Los enrutadores empresariales más modernos admiten la diferenciación de tráfico DSCP. • Esta característica está deshabilitada de forma predeterminada en los enrutadores.

  36. Tipos de Configuración QoS • Administrar el uso del ancho de banda • Se puede configurar una directiva de QoS con una tasa de limitación para el tráfico saliente. • La limitación permite que los componentes de QoS limiten el tráfico de red saliente agregado que coincida con la configuración de directiva de QoS a una velocidad especificada. • Tanto el marcado DSCP como la limitación se pueden utilizar de forma conjunta.

  37. Agenda • Introducción • Redes Inalámbricas • Pila TCP/IP • IPv6 • Políticas Quality of Service (QoS) • Soluciones de Seguridad de Red • Reuniones Compartidas • Network Access Protection

  38. Características de AuthIP • AuthIP proporciona las siguientes características: • Autenticación de usuarios • Autenticación con múltiples credenciales • Mejorada la autentificación del método de negociación • Autenticación asimétrica

  39. Autenticación de Usuarios • La autenticación para IKE en versiones anteriores está limitada a credenciales de máquina. • La autenticación de los usuarios corría por parte de las aplicaciones. • AuthIP permite autenticación a nivel de usuario basada: • Credenciales Kerberos del usuario • Credenciales NTLM v2 del inicio de sesión • Certificado del usuario • Certificado de salud del equipo

  40. Múltiples Credenciales • La autentificación del usuario puede constar o no de una autentificación inicial de la computadora. • Esto se asegura que solo los usuarios y los equipos específicos puedan iniciar la comunicación. • El soporte de credenciales múltiples para los certificados de salud de los equipos es parte de la aplicación de IPSec con NAP. • Permite verificar que una máquina pertenece a un dominio y cumple los requisitos de seguridad de la red.

  41. Autenticación Método Negociación • Los extremos IPSec pueden utilizar varios métodos de autenticación. • Con IKE, solo se puede intentar la autenticación con un único método. • Si dicho método de autenticación falla, entonces falla el proceso de negociación (no autentifica otro método aunque no falle) • Con AuthIP, todos los métodos de la autentificación del usuario se realizan. • Cuando todos los métodos de autentificación del usuario fallan, entonces la autentificación IKE falla.

  42. Autenticación Asimétrica • Los requisitos de autenticación de los extremos IPSec pueden ser diferentes, Autenticación Asimétrica. • Con AuthIP, la autenticación asimétrica se consigue: • Configurando la política de IPsec para requerir la autentificación del Kerberos para la comunicación desde los equipos locales. • y requerir autentificación del certificado de la Intranet para las comunicación desde los equipos del perímetro.

  43. Active Directory e IPSec • En Windows Server 2003 y Windows XP, Microsoft no recomienda el uso de IPSec para proteger el tráfico entre cliente y DC • Windows Vista y Windows Server "Longhorn" soporta tráfico IPSec entre clientes y DCs: • Configurar IPSec para la comunicación entre controladores de dominio (Especificar tipo de tráfico a proteger) • Configurar uso de IPSec en el dominio, pero sin exigirlo (para unirse al dominio) • Configurar la política de IPSec para obligar el uso de IPSec en la comunicación en el dominio.

  44. Firewall de Red • El firewall de Windows Vista no tiene nada que ver con los de sistemas operativos anteriores. • Por supuesto proporciona un nivel de protección contra programas y usuarios maliciosos. • La seguridad avanzada del Firewall de Windows incluye: • Soporte para el tráfico entrante y saliente. • Consola MMC para una configuración más sencilla. • Filtros integrados y protección con IPSec. • Nuevas reglas y configuración de excepciones.

  45. Firewall - Excepciones • Windows Vista permite crear una amplia variedad de excepciones para controlar el tráfico al mínimo detalle: • Excepciones por número de protocolo IP • Excepciones por host origen y destino • Excepciones para todos los puertos o varios • Excepciones por tipo de interfaz de red • Excepciones por servicios • Excepciones para el tráfico ICMP y ICMPv6

  46. Firewall - Consola MMC • En la versión Windows Vista se puede utilizar una MMC para configurar el firewall. • Esta consola permitirá configurar el firewall de la máquina local y de cualquier otra máquina remota.

  47. Agenda • Introducción • Redes Inalámbricas • Pila TCP/IP • IPv6 • Políticas Quality of Service (QoS) • Soluciones de Seguridad de Red • Reuniones Compartidas • Network Access Protection

  48. Área de Encuentro • Permite compartir el escritorio o cualquier programa con otros participantes en la reunión. • Cualquier participante de la reunión puede distribuir documentos y colaborar en su edición. • Permite pasar notas a otros participantes. • Conectarse a un proyector de red para realizar una presentación.

  49. Área de Encuentro

  50. Equipos a mi Alrededor • El servicio Equipos a mi alrededor identifica personas próximas que están usando equipos. • Permite que estas personas le envíen invitaciones a programas tales como Área de encuentro de Windows. • Sólo pueden invitarte a participar en programas que estén instalados en tu equipo. • Para usar Equipos a mi alrededor, debe iniciar sesión en el servicio.

More Related