Windows Server 2008 Parte III. Artículo Windows TI Magazine

Estándar

Bueno chic@s , seguimos con la tercera parte del artículo sobre Windows Server 2008. Esta parte está dedicada a Bitlocker y NAP (NetWork Access Protection)

Bitloker. Cifrado de datos

Windows Server LongHorn incorpora una nueva funcionalidad en el campo de cifrado de datos. BitLocker. Este nuevo sistema garantiza la seguridad y la confidencialidad de los datos almacenados en el disco mediante cifrado.

BitLocker va a ser el encargado de realizar los procesos de cifrado y descifrado de una forma totalmente transparente. Adicionalmente y a diferencia de Windows Vista, podemos extender el cifrado de datos a otros volúmenes que utilicemos para tal fin.

Este mismo mecanismo interviene también cuando el equipo entra en el modo de hibernación o para garantizar también la seguridad del fichero de paginación, los ficheros temporales y todos aquellos elementos que puedan contener información sensible.

Los mecanismos de seguridad implementados por BitLocker se complementan mediante unas nuevas especificaciones de seguridad hardware llamada Trusted Platform Module (TPM). Este nuevo chip TPM proporciona una plataforma segura para el almacenamiento de claves, password o certificados, haciendo más difícil el ataque contra las mismas. Una vez que el mecanismo de cifrado ha sido puesto en marcha, la clave de cifrado es eliminada del disco y posteriormente almacenada en el Chip TPM.

Con objeto de defendernos de un posible ataque al sistema hardware que intente explotar posibles vulnerabilidades, se proporcionan mecanismos de autentificación mediante sistemas adicionales tales como el uso de Token (llave USB) o una password (PIN) para evitar esta posibilidad.

Cabe decir en este punto que aunque nuestros equipos no dispusieran de este mecanismo de seguridad, las especificaciones de BitLocker admiten su funcionalidad sin el chip TPM.

El uso combinado de mecanismos hardware y software aumenta sensiblemente el porcentaje de posibilidades de éxito  a la hora de protegernos de aquellos ataques que tengan como objetivo la modificación o alteración de datos. Estos aunque cifrados podrían ser manipulados mediante la explotación de vulnerabilidades para poder posteriormente acceder a ellos.

La implementación de BitLocker requiere de la existencia de condiciones determinadas  para poderla llevar a efecto. Un factor a considerar es que el sistema debe disponer al menos de dos particiones NTFS. Una de ellas, la partición activa, albergará el sistema de arranque y no se encontrará cifrada. Es por ello que BitLocker también proporciona mecanismos para garantizar que no se han producido modificaciones en el sistema de arranque del sistema, tales como los que pueden provenir de ataques tipo malware que pudieran producir un ataque colateral o el control del acceso al sistema.

Los mecanismos de implementación pueden variar en función del escenario que necesitemos implantar. Dependiendo del mismo son diversas las posibilidades. De este modo podremos utilizar BitLocker sólo con TPM, con algún dispositivo de validación (USB), TPM más PIN, o TPM con dispositivo de validación (USB).

La implementación de esta tecnología dependerá fundamentalmente si nuestro hardware presenta o no el chip TPM. Si no lo llevase, la única opción posible sería el almacenamiento de clave bajo dispositivo USB.

Para todos aquellos que necesiten utilizar el cifrado y no posean el Chip TPM, Windows Server LongHorn presenta una directiva de seguridad bajo la cuál podemos condicionar el uso de BitLocker sin el citado Chip. Por defecto el sistema sólo admite la configuración de BitLocker si el equipo cuenta con el Chip.

imagen-10.png

NAP (NetWork Access Protection)
Sin lugar a dudas podemos afirmar que en la actualidad las redes corporativas y las no corporativas son cada día más complicadas de administrar y securizar. Los escenarios presentan cada vez circunstancias de mayor dificultad: comerciales que conectan sus PDAs a los portátiles o equipos de sobremesa, conexión permanente por parte de los usuarios de dispositivos de almacenamiento externo, usuarios que presentan necesidades operativas en distintas redes de forma habitual son, junto a otros, claros ejemplos de ello.
Desgraciadamente estas circunstancias incrementan considerablemente las múltiples amenazas de seguridad posibles como pueden ser malware, exploits, spyware, DOS, Script-Kiddies y otros. Estas aplicaciones pueden tomar el control de nuestro sistema, realizando acciones malévolas de forma totalmente transparente. Lo peor de todo, aún así, es que además pueden utilizar el sistema comprometido como puerta de entrada de otras amenazas.
La característica NAP (NetWork Access Protection) es otra de las novedades que nos ofrece Windows Server Longhorn en cuanto a la securización del sistema. Podemos utilizar NAP para paliar el impacto de situaciones como las antes indicadas, y optimizar el nivel de protección de la red corporativa y la información contenida en la misma.
Esta tecnología se pensó en un principio para que estuviese presente en Microsoft Windows Server 2003 R2, pero finalmente en su lugar apareció NAQS (Network Access Quarantine Control) integrándose con IAS (Internet Authentication Service) como solución de control de acceso para clientes de acceso remoto. Esta implementación a través de una validación del modelo de seguridad vía vbscripting,  fue algo que más tarde apareció integrado en la solución de Microsoft ISA Server 2004 a través de una característica conocida como VPN Quarantine. En el siguiente enlace podemos encontrar más información al respecto: http://go.microsoft.com/fwlink/?LinkId=56447.
La implementación de NAP en Windows Server Longhorn nos permite especificar cuál es la política de salud de nuestra red. De este modo se establecen una serie de  condiciones  que ayudarán a los administradores a determinar que equipos de los que se conecten a nuestra red desde cualquier medio (VPN, Internet, Wireless junto a otros) cumplen con una política de salud aceptable y acorde a las directrices de la seguridad corporativa.
Si para nosotros una buena política de salud pasa por defendernos de las enfermedades, hacer ejercicio de forma constante, una buena alimentación, etc.,  para un equipo una buena política de salud pasaría por disponer de un antivirus a pleno funcionamiento y con las firmas actualizadas, tener instaladas todas las actualizaciones de seguridad, junto a otras medidas de securización que puedan considerarse como imprescindibles. Para los equipos que no cumpliese con la política de seguridad establecida, podrían ser dos las circunstancias: en primer lugar que no fuese posible la conexión a nuestra red corporativa o como alternativa que esta fuese limitada. En este segundo caso la conexión se realizaría pero en una red aislada de toda la corporación, con acceso sólo a algunos recursos, y a la espera de poder cumplir con los mínimos requisitos de salud.
Con NAP podremos:
• Asegurar una política de salud en nuestros equipos que se configuren para DHCP, equipos que se conecten a través de mecanismos de autenticación 802.1X, VPN, y equipos que tengan una política de seguridad NAP IPSEC aplicadas a sus comunicaciones.
• Reforzar la política de seguridad y de salud en equipos portátiles, cuando éstos vuelvan a conectarse a nuestra red
• Restringir el acceso a nuestra red a todo equipo que no cumpla con la política de salud de la compañía
NAP también incluye una API (Aplication Programming Interface) para desarrolladores. A través de ella será posible la generación de componentes de seguridad realizados a medida de las necesidades del sistema corporativo
Una infraestructura NAP requiere de un servidor Windows Server LongHorn para su despliegue, y los clientes soportados son Windows Server LongHorn, Windows Vista y Windows XP SP2. Para éste último, necesitamos instalar el cliente NAP para Windows XP, y que actualmente se puede descargar desde la Web http://connect.microsoft.com/.
Estas tecnologías puede ser utilizadas en  de forma independiente o junto a otras en función del modelo de seguridad y la infraestructura a utilizar.  La implementación de políticas de salud se realiza a través de un NPS (Network Policy Server) disponible en Microsoft Windows Server LongHorn.y que reemplaza a IAS (Internet Authentication Service) presente en Microsoft Windows Server 2000/2003.
NAP se va a responsabilizar de llevar a efecto una serie de acciones:
• Validación de la política
• Aplicación de NAP
• Restricción (cuando ésta es necesaria)
• Establecer las pautas para adecuar el nivel de salud de un cliente
• Supervisión
NPS (Network Policy Server) utiliza SHVs (System Health Validators)  para analizar el estado de salud del equipo. SHVs viene incorporado dentro de las políticas de red, y determina la acción a tomar basándose en el estado de salud del equipo que se conecta. Como indicábamos las acciones que se pueden desencadenar son varias: conceder el acceso a toda la red en aquellas situaciones en que se cumplen las demandas de seguridad establecidas o por el contrario denegar el acceso o limitar el mismo a una red de cuarentena en caso contrario.
El estado de salud de un equipo es monitorizado por una parte del cliente NAP, denominada SHAs (System Health Agent). La protección de acceso a la red utiliza en definitiva SHAs y SHVs para monitorizar, reforzar y remediar la configuración de seguridad-salud de un equipo.
Windows Security Health Validation y Windows Security Health Agent se encuentran incluidos en Windows Server LongHorn y Windows Vista. Ellos refuerzan las siguientes configuraciones en un entorno NAP protegido:
• El PC cliente tiene el Firewall instalado y en funcionamiento
• El PC cliente tiene el antivirus instalado y en funcionamiento
• El PC cliente tiene las últimas bases de virus instaladas
• El PC cliente tiene el software anti-spyware instalado y en funcionamiento
• El PC cliente tiene las últimas bases anti-spyware instaladas
• El PC cliente tiene habilitado Microsoft Update Services
Si a todo esto añadimos un servidor WSUS, el cliente NAP puede verificar que las últimas actualizaciones de seguridad están instaladas en el equipo, basándose en uno de los cuatro niveles de seguridad establecidos por la plataforma Microsoft Security Response Center (MSRT).
Como mencionábamos con anterioridad NAP puede ser configurado para denegar totalmente el acceso a la red, o permitir acceso sólo a una red de cuarentena. En una red de cuarentena podremos encontrar servicios NAP, tales como servidores  de certificados de salud (HRA), necesarios para la obtención de certificados provenientes de una entidad certificadora (CA) o remediation servers (RS). Estos últimos disponen los recursos necesarios para que aquellos clientes que no tengan un nivel de salud óptimo, puedan realizar ciertas tareas. Como opción podemos disponer también en la red de cuarentena de recursos que permitan actualizar los equipos con las últimas actualizaciones de seguridad, bases de virus, bases anti-spyware, y otros.
Una breve descripción del proceso sería la siguiente. El agente de salud del sistema (SHAs) contiene la información de salud de los equipos. Éste pasa la información a un servidor NPS. El validador de salud (SHVs) del servidor de políticas de red (NPS) realiza el proceso de validación de la política de salud del equipo cliente, y determina si cumple los requisitos para poder conectarse a la red. Si no los cumple, manda a este equipo a una red de cuarentena, en donde dispondrá de los recursos necesarios para que se pueda actualizar acorde a la política de salud de la red corporativa.
Con NAP también nos es posible configurar los servicios de remediación, para que éstos automáticamente actualicen los equipos en función de la política de salud de la empresa. Analicemos un ejemplo de posible intervención de estos servicios. En una política de seguridad donde los equipos deban disponer del Firewall Windows activado, si habilitamos la opción en automático (servicios de remediación), aquel cliente que no tenga disponga del firewall de Windows activado, sería enviado a un segmento de red de cuarentena, y los componentes NAP del cliente habilitarían  el firewall de Windows sin intervención del usuario.
La operativa de NAP es posible en diversos escenarios.  Algunas posibilidades podrían ser los siguientes: tráfico protegido con IPSEC, 802.1X, VPN con acceso remoto, DHCP IPV4 (tanto para renovación como concesión de direcciones). Describamos con algo más de detalle estos escenarios.
• NAP para entornos IPSEC. Para la implementación de NAP en entornos con IPSEC es necesario implantar una entidad certificadora de salud (HRA Server), un NPS Server y un cliente IPSEC. El HRA publica los certificados de salud X.509 para los clientes NAP. Estos certificados son utilizados para autenticar los clientes NAP cuando éstos inician una comunicación basada en IPSEC con otros clientes NAP de la intranet. Este es el método más seguro de aplicar NAP.

• NAP para entornos 802.1X. Para implementar esta solución, necesitamos desplegar un servidor NPS y un componente (EAP). El servidor NPS envía la autenticación basada en 802.1X a un punto de acceso de la red interna. Si el equipo cliente no cumpliese con alguna regla establecida, el servidor NPS limitaría el acceso al cliente mandando al punto de acceso un filtro basado en dirección IP o identificador virtual.

• NAP para entornos VPN (Virtual Private Network). En esta ocasión necesitamos de un servidor y un cliente VPN. Usando NAP para entornos VPN, los servidores VPN pueden forzar el cumplimiento de la política de salud de la empresa cuando los clientes externos se conecten a nuestra intranet. Esta solución proporciona los mecanismos necesarios para establecer una comunicación segura entre un cliente externo y la red interna.

• NAP para entornos de configuración dinámica de direcciones (DHCP). Para implementar esta solución, necesitamos el componente NAP de un servidor DHCP y un servidor NAP. Usando DHCP, podemos cumplir con la política de salud de la empresa a través de NPS y DHCP. cuando un equipo intente renovar o solicitar una dirección IP (IPV4). El servidor limitaría el acceso a los equipos que no cumpliesen con la política de salud de la empresa asignando direcciones IP reservadas para tal fin.
Cada uno de estos métodos de implementación NAP tiene sus ventajas e inconvenientes, por lo que implantar una plataforma de este tipo en una corporación dependerá en gran medida de las necesidades de servicio y condiciones operativas de ésta. NAP adicionalmente proporciona una API para desarrolladores que necesiten integrar su software a las necesidades de la empresa. Con ello las posibilidades de personalización de las soluciones es aún mucho mayor. 

Saludos a tod@s!

Un comentario en “Windows Server 2008 Parte III. Artículo Windows TI Magazine

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s