Busca monografías, tesis y trabajos de investigación

Buscar en Internet 

       Revistas   Cursos   Biografías

rss feeds RSS / /

Determinar las estrategias de seguridad de red de Windows 2000

Resumen: En la actualidad, la mayor parte de las organizaciones desean que su infraestructura informática esté conectada a Internet ya que proporciona servicios valiosos a su personal y a sus clientes. Sin embargo, no siempre el uso de los servicios disponibles a través de una conexión a Internet es bienintencionado, lo que hace necesario el empleo de estrategias de seguridad de red. Microsoft® Windows® 2000 incluye una serie de tecnologías que puede utilizar al planear la estrategia de seguridad de una red.

Publicación enviada por Resnick García Ríos




 


INDICE
Introduccion
Diseñar la seguridad de red 
Desarrollar estrategias para proteger las conexiones de red 
Distribuir tecnologías de seguridad de red 
Elaborar una lista de tareas para determinar estrategias de seguridad de red 
Objetivos del capítulo


Este capítulo servirá para ayudarle a desarrollar los siguientes documentos de diseño: 
Plan de la seguridad de red 
Plan de distribución de tecnologías de seguridad de red 
Información relacionada en el Kit de recursos 

Para obtener más información acerca de cómo implementar y usar tecnologías relevantes de seguridad de red para Windows 2000, consulte la Guía de recursos de Internet del Kit de recursos de Microsoft® Windows® 2000 Server. 

Para obtener más información acerca de IPSec, consulte la Guía de TCP/IP del Kit de recursos de Microsoft® Windows® 2000 Server. 

INTRODUCCION
En la actualidad, la mayor parte de las organizaciones desean que su infraestructura informática esté conectada a Internet ya que proporciona servicios valiosos a su personal y a sus clientes. Sin embargo, no siempre el uso de los servicios disponibles a través de una conexión a Internet es bienintencionado, lo que hace necesario el empleo de estrategias de seguridad de red. Microsoft® Windows® 2000 incluye una serie de tecnologías que puede utilizar al planear la estrategia de seguridad de una red. Estas tecnologías también pueden ser de utilidad si los problemas de seguridad de la red son internos a la organización o si las conexiones de red externas se establecen con redes distintas de Internet. Para obtener más información acerca de la seguridad interna, consulte "Planear la seguridad distribuida" en este libro. 

Este capítulo trata del uso estratégico de tecnologías de seguridad para proteger las conexiones de red de una organización con Internet o con otras redes públicas. No proporciona detalles acerca de cómo instalar y utilizar tecnologías de seguridad de red. Este capítulo está destinado a los arquitectos de redes implicados en el diseño de la seguridad de red y los administradores del sistema encargados de su administración. Como requisito para llevar a cabo las tareas señaladas en este capítulo, tendrá que familiarizarse con las tecnologías de redes y de Internet, como el enrutamiento, los protocolos de red y los servidores Web. 

Diseñar la seguridad de la red 
Una conexión a Internet permite al personal de una organización utilizar el correo electrónico para comunicarse con gente de todo el mundo y obtener información y archivos de un extenso número de orígenes. También posibilita que los clientes obtengan información y servicios de la organización en todo momento. Además, el personal puede utilizar recursos de la organización desde su domicilio, hoteles o desde cualquier lugar donde se encuentren, y los socios pueden usar herramientas especiales que les permiten trabajar de forma más efectiva con la organización. 

Al diseñar una red, puede ser aconsejable implementar las tecnologías de seguridad adecuadas para la organización. Solucionar en un primer momento estos asuntos en el diseño de la distribución de Windows 2000 garantiza que no se pueda infringir la seguridad y que se está preparado para proporcionar herramientas de red seguras siempre que sea necesario. Incluso aunque ya cuente, probablemente, con un entorno de red seguro en la empresa, es importante que revise las estrategias de seguridad teniendo en mente las posibilidades que le ofrece Windows 2000. La consideración de las implicaciones de las nuevas tecnologías de seguridad de red en Windows 2000 podría llevarle a reconsiderar su plan de seguridad. Para empezar, se recomienda completar las siguientes tareas a medida que desarrolla su plan de seguridad de red: 

Evaluar los riesgos de la seguridad de red
Por desgracia, la posibilidad de compartir y obtener información conlleva algunos riesgos significativos. Los competidores podrían intentar hacerse con la información del producto antes de que salga al mercado o alguien podría modificar las páginas Web con malas intenciones o sobrecargar los equipos y dejarlos inservibles. También existe la posibilidad de que los empleados pudieran obtener acceso a información que no les concierne. Su deseo es evitar éstos y otros tipos de riesgos de seguridad para garantizar que el trabajo en la empresa se desarrolla como se pretende. Para asegurarse de que sólo las personas adecuadas tienen acceso a recursos y datos, es una buena idea estudiar cuidadosamente las tecnologías de seguridad de red y planear las estrategias correctamente. Esto también permite conocer la responsabilidad de acciones al realizar un seguimiento de la forma en que se utilizan los recursos. 

Para obtener información general acerca de cómo identificar los riesgos de seguridad y seleccionar las estrategias idóneas, consulte "Planear la seguridad distribuida" en este libro. 

Nota Algunas organizaciones no permiten la conexión a Internet o a cualquier otra red pública para reducir los riesgos de la seguridad en la red. Obviamente, esto limita el número de personas que puede hacer un mal uso de las herramientas de red. Sin embargo, los riesgos de la seguridad en la red pueden seguir existiendo dentro de la organización e, incluso, la limitación de las conexiones de la red puede suponer algunos peligros. Por lo tanto, las estrategias y tecnologías de seguridad de red siguen siendo necesarias en estas situaciones. 

La figura 17.1 ilustra los pasos fundamentales para determinar las estrategias de seguridad en la red. 

Figura 17.1 Procedimiento para determinar estrategias de seguridad de red 

Determinar el tamaño y emplazamiento de los servidores 
A la hora de establecer una conexión entre una red interna e Internet u otra red pública, considere cuidadosamente el lugar donde establecerá la conexión. Por lo general, se suele realizar en la parte central de la red de la organización, de modo que haya una distancia efectiva mínima entre los servidores e Internet. Habitualmente se hará también en una ubicación donde los especialistas en redes puedan tener acceso fácilmente para su mantenimiento. 

Idealmente, se desea tener una sola conexión a Internet para toda la empresa. De esta forma se simplifica la administración de las conexiones y se reduce la vulnerabilidad potencial de la seguridad debido la aplicación anómala de políticas y procedimientos. 

Una vez que haya decidido dónde colocar la conexión a Internet, deberá determinar qué hardware de servidor necesita para respaldar las tecnologías de seguridad de red. Las características de estos servidores dependerán de las tecnologías que piense implementar y de la carga de trabajo prevista pero, como mínimo, necesitarán poder ejecutar Windows 2000 Server. Aunque es posible ejecutar otro software para aplicaciones distintas de las de seguridad de red en los mismos servidores que las aplicaciones de seguridad de red, no es recomendable. Si se hace, la capacidad de los servidores para responder a las necesidades de la seguridad de red quedará mermada y los servidores podrían fallar. Asimismo, si la seguridad de las aplicaciones es débil, la seguridad en la red podría verse comprometida. 

Formar al personal 
Es necesario que las tecnologías de seguridad sean distribuidas y administradas por personas muy capaces y de confianza. Ellas deben integrar la red y la infraestructura de seguridad de red de modo que puedan eliminar o reducir al mínimo sus debilidades. Como a menudo el entorno y los requisitos están sujetos a cambios, deben mantener continuamente la integridad de la infraestructura de seguridad de red. 

Un factor decisivo a la hora de garantizar el éxito del personal de seguridad de red es asegurarse de que ha recibido una buena formación y de que están al día en lo que se refiere a cambios tecnológicos. El personal necesita tiempo para aprender Windows 2000 y, en particular, sus tecnologías de seguridad de red. También deben tener la oportunidad de reforzar sus conocimientos con trabajo experimental y su aplicación práctica. 

Además, el personal de seguridad de red debe familiarizarse con los asuntos de seguridad de red en general. Hay muchos libros acerca de este tema e Internet tiene numerosos sitios que tratan de la seguridad de red. 

Desarrollar políticas y procedimientos de seguridad 
Las políticas y procedimientos son siempre importantes pero además, en el caso de la seguridad, resultan decisivos. Será necesario crear y publicar las políticas para conseguir consenso acerca de cómo tratar los problemas de seguridad específicos y asegurarse de que todo el mundo las comprenda claramente. Los procedimientos formalizados aseguran que el mantenimiento del sistema y los cambios se realicen siempre de forma bien planeada. 

Un factor que se debe considerar es cómo controlar las infracciones o intentos de quebrar la seguridad. Es posible reducir el efecto de estas acciones si el personal adecuado tiene conocimiento de ellas lo más pronto posible. Esto sólo puede hacerse si hay procedimientos de control implantados en la organización. La definición de políticas adecuadas le ayudará a establecer procedimientos que le permitan enfrentarse a estos problemas de seguridad. 

La confiabilidad es otro factor de seguridad importante que es necesario considerar. Disponga de planes para cuando falle un componente de la infraestructura de seguridad. Decida de antemano la acción apropiada para cualquier posible infracción de la seguridad y tenga recursos disponibles para reparar el problema tan pronto como sea posible. 

Crear un plan para distribuir las tecnologías de seguridad 
Cree un plan detallado para distribuir las tecnologías de seguridad de red como parte del plan de distribución general de Windows 2000 mediante el uso de una metodología formal de proyecto. Esto asegurará que las tecnologías se distribuyan de forma sistemática, minuciosa, con una mínima oportunidad de que se produzcan errores. Entre los pasos más importantes del proyecto se incluye comunicar las políticas de seguridad de red a todas las partes interesadas y las políticas y procedimientos a los usuarios de la red. 

El aspecto más importante del proyecto de distribución es la realización de una prueba piloto. Las tecnologías de seguridad de red propuestas deben ser sometidas a pruebas realistas y significativas en un entorno seguro. Esto ayudará a asegurar que la arquitectura funciona como se pretendía, que los objetivos de seguridad se han conseguido y que el personal está preparado para distribuir y mantener las tecnologías. 

Identificar las categorías de usuario y sus necesidades y riesgos de seguridad 
La infraestructura de red ya está implantada para servir a las personas en beneficio de la organización. Para discutir las estrategias de seguridad de red en este capítulo, estas personas se han dividido en cuatro categorías de usuarios de red: 

Todos 
· Esta categoría incluye todas las personas que tienen acceso a la red desde cualquier organización o lugar. Aquí podrían incluirse el personal, los usuarios y los socios. Por lo general, estas personas no se pueden identificar de forma confiable y se deben considerar, por lo tanto, anónimamente. 

Personal
· Esta categoría incluye todas las personas que trabajan para la organización. Se pueden identificar fácilmente por medio de procedimientos internos normalizados. Normalmente, utilizan el correo electrónico y la red interna de la organización. 
Usuarios

· Aquí se incluye el personal que utiliza aplicaciones para efectuar funciones comerciales. 

Socios
· Esta categoría incluye personas de cualquier organización o lugar que tienen una relación especial con la organización. Están preparados para seguir procedimientos normalizados, por lo que es posible identificarlos. Podrían hacer uso de utilidades de forma similar al personal y los usuarios. Con frecuencia, se consideran como parte de una extranet. 

Las estrategias de seguridad de red presentadas en este capítulo solucionan las necesidades y riesgos de cada categoría de usuario de red y detallan los enfoques que puede utilizar para satisfacer sus necesidades al tiempo que se reducen los riesgos. Además, encontrará una estrategia general para la infraestructura de seguridad de red global. 

Desarrollar estrategias para proteger las conexiones de red 
La seguridad de red se vuelve más importante cuando los equipos se conectan a una red en la que no se confía enteramente. Los problemas de seguridad de red son comunes dentro de una organización, excepto en aquellos casos en que tenga mucho campo de acción para investigar la responsabilidad y aplicar una disciplina, y cuente con una gama de tecnologías de seguridad de red básicas y distribuidas para solucionarlos. Más allá de su organización, las opciones para la investigación de responsabilidades y la aplicación de disciplina con frecuencia quedan en un segundo plano y, por lo tanto, es necesario confiar más en las estrategias de seguridad propiamente dichas. 

Crear fronteras seguras 
La seguridad de red entre una organización y el mundo exterior depende de uno o varios servidores en los que se implementan tecnologías de seguridad de red. Estos servidores se sitúan lógicamente en la frontera entre la organización y el mundo exterior. Con frecuencia, los servidores de aplicaciones que proporcionan servicios al mundo exterior se encuentran en la misma ubicación física. 

Una forma de aumentar al máximo la seguridad de estos servidores es colocarlos lógicamente en una sola ubicación en la infraestructura de red. El área donde se colocan es conocida normalmente como zona desmilitarizada. El servidor de seguridad, que se trata en la sección siguiente, tiene un adaptador de red adicional que dirige el tráfico a esta zona en función de un grupo de direcciones asignadas a esa área. La figura 17.2 muestra esta relación. 

Dentro de la zona desmilitarizada, puede asegurar que los servidores no tienen acceso a recursos de la empresa. De esta forma, si se infringe la seguridad en estos servidores, los infractores no pueden pasar a otros equipos dentro de la intranet



Figura 17.2 Una zona desmilitarizada

La zona desmilitarizada, igual que ocurre con los componentes de red internos, tiene que estar protegida físicamente contra el acceso del público. De este modo se asegura que nadie, ni siquiera alguno de los empleados, pueda reorganizar el cableado o utilizar inicios de sesión en las cuentas para debilitar la seguridad.

No es necesario que independice físicamente la zona desmilitarizada de otros equipos y equipamiento de red. Sin embargo, resulta conveniente aplicarle políticas y procedimientos especiales, ya que su función es decisiva en la seguridad de red. Los más pequeños cambios efectuados de forma inadecuada pueden ser suficientes para crear una brecha en la seguridad de la que pueden beneficiarse los intrusos. Por lo tanto, es necesario que sea imposible para el personal no cualificado cambiar la zona desmilitarizada. La aplicación de seguridad física adicional a la zona garantiza que esto se cumpla. 

Precaución Proteja cuidadosamente las cuentas y los equipos cliente para asegurar que sólo los usuarios autorizados pueden utilizarlos para obtener acceso a la red. Si no puede proteger físicamente un equipo cliente, asegúrese entonces de que las cuentas utilizadas en él tengan pocos privilegios y de que usa cifrado de archivos, protectores de pantalla seguros y otras estrategias de seguridad local. 

Proteger contra el grupo Todos
Para proteger la red de la organización del acceso a y desde Internet, es necesario colocar un servidor entre las dos. El servidor proporciona al personal de la empresa conectividad a Internet al tiempo que reduce el riesgo que ésta supone. Al mismo tiempo, impide el acceso a los equipos de la red desde Internet, a excepción de aquellos equipos autorizados a obtener tal acceso. 

Este servidor ejecuta software de servidor de seguridad o de servidor proxy. También dispone de dos interfaces de red: una para la red corporativa y otra para Internet. El software del servidor de seguridad o del servidor proxy examina todos los paquetes de red de cada interfaz para determinar su dirección de destino. Cuando es conveniente, los paquetes se pasan a la otra interfaz para ser distribuidos al resto de la red respectiva si cumplen los criterios del software. 

En algunos casos, el contenido de los paquetes se pasa como si proviniera del servidor proxy y los resultados se entregan al equipo solicitante cuando se devuelven al servidor proxy. Esto asegura que las personas conectadas a Internet no puedan obtener las direcciones de equipos dentro de la empresa distintos del servidor proxy.

Usar Microsoft Proxy Server
Microsoft® Proxy Server 2.0 ofrece tanto funciones de servidor proxy como de servidor de seguridad. Proxy Server 2.0 se ejecuta en Windows 2000 y será necesario configurar ambos adecuadamente para que la seguridad en la red sea completa. Si tiene una versión de Proxy Server anterior a 2.0 con Service Pack 1, necesitará actualizarla para que sea compatible con Windows 2000 al mismo tiempo que actualiza el servidor a Windows 2000. 

En muchos casos, el volumen de tráfico entre una red de la organización e Internet es superior al que puede tratar un servidor proxy. En estas situaciones, puede utilizar múltiples servidores proxy: el tráfico se coordina entre ellos automáticamente. Para los usuarios tanto de Internet como de la intranet, sólo parece que hay un servidor proxy. 

Para utilizar las características avanzadas de Microsoft Proxy Server, es necesario que los equipos tengan el cliente de Microsoft Proxy Server instalado y configurado para usar el servidor proxy. Los equipos sin el cliente (como los de Internet) reciben servicio básico del servidor proxy como usuarios anónimos. 

Es importante probar el servidor proxy antes de conectarlo a Internet. Cree una simulación a pequeña escala de Internet y de la intranet, y haga que los equipos cliente intenten tener acceso a varios servicios en ambas direcciones. Asimismo, intente establecer conexiones no autorizadas para comprobar que la red las rechaza. Asegúrese de probar una amplia variedad de métodos de acceso a la red para comprobar que todos los tipos de accesos son seguros. Pruebe técnicas diferentes que se pueden utilizar para sacar provecho de las brechas en la seguridad y asegurar que tales brechas no están presentes en el entorno. Los libros acerca de la seguridad de red incluyen sugerencias para problemas específicos que puede probar. Los productos de terceros también pueden ayudar a la hora de realizar tales pruebas, así como los consultores con experiencia en esta área. 

Con el producto se incluyen procedimientos para usar Microsoft Proxy Server. Para obtener más información acerca de Microsoft Proxy Server y detalles de las tecnologías de seguridad de Microsoft, consulte el vínculo Microsoft Security Advisor (Asesor de seguridad de Microsoft) en la página de recursos Web en http://windows.microsoft.com/windows2000/reskit/webresources. 

Supervisar la seguridad de la red
Las tecnologías de seguridad de red que implemente pueden alcanzar sus objetivos sólo si las planea y configura cuidadosamente. Con una concienzuda preparación, este trabajo se puede efectuar con gran éxito. Sin embargo, puede resultar muy difícil anticipar todos los riesgos posibles: nuevos riesgos que surgen, sistemas que se averían y el entorno cambiante en el que se colocan los sistemas. Las revisiones continuas de las estrategias de seguridad de red pueden reducir estos riesgos. Sin embargo, también es necesario observar la actividad real de la seguridad en la red, para descubrir los puntos débiles antes de que sea tarde y para detener los intentos de quebrantar la seguridad antes de que se hagan efectivos. 

Para supervisar la actividad de seguridad de red, necesita herramientas para capturar los detalles de las actividades y para analizar los datos. Microsoft Proxy Server incluye un registro en dos niveles: normal y ampliado. Windows 2000 tiene también un registro de sucesos, que se puede mejorar si se habilita la auditoria de seguridad. El servidor de autenticación de Internet, que se tratará más adelante en este capítulo, tiene opciones completas para la elaboración de informes de actividad. También hay productos de terceros que pueden ayudar a supervisar servidores y aplicaciones, incluidos servidores y aplicaciones de seguridad. Asegúrese de revisar la documentación cualquiera que sea el sistema que utilice y seleccione las opciones de registro que mejor se ajusten a sus necesidades. 

Conectar con redes externas
Si tiene un servidor proxy instalado, además de utilidades de supervisión y un personal preparado adecuadamente, puede conectar la red a una red externa. Lleve a cabo una serie de pruebas finales para asegurarse de que la implementación se ajusta perfectamente a sus planes. Necesita estar seguro de que sólo estén disponibles los servicios autorizados y que el riesgo un mal uso sea casi inexistente. Este entorno requiere un control y mantenimiento esmerados, pero también debe estar preparado para considerar el suministro de otros servicios de red seguros. 

Nota Este capítulo no trata el modo de instalar una conexión de red. Hay muchos libros que cubren este tema y su proveedor de servicios de red puede establecer la conexión o ponerle en contacto con consultores que pueden llevar a cabo esta tarea. 

Distribuir tecnologías de seguridad de red 
Una vez que tenga preparada la estrategia de seguridad de red global, puede decidir cómo desea utilizar las tecnologías de seguridad de red mejoradas con cada grupo de usuarios definido en este capítulo: todos, personal, usuarios y socios. Entonces puede distribuir estrategias de seguridad de red para cada uno de sus grupos de usuarios de red. Puede ser aconsejable considerar primero las necesidades de la categoría Todos, como un grupo, y luego tener en cuenta las necesidades de las categorías Personal de la organización, Usuarios de las aplicaciones y Socios como dictan las prioridades empresariales. 

Antes de identificar políticas de seguridad específicas para la organización, es necesario que considere las posibilidades de Windows 2000 para mejorar la seguridad de la red. 

Preparar las tecnologías de seguridad de red de Windows 2000
En ciertos casos, las tecnologías de seguridad de red de Windows 2000 dependen de otras tecnologías de seguridad de Windows 2000. Por ejemplo, el Protocolo de túnel de nivel 2 (L2TP) de red privada virtual (VPN) utiliza IPSec para proporcionar seguridad desde el cliente remoto al servidor de red privada virtual. La negociación de seguridad IPSec requiere certificados que autoricen la conexión. Por consiguiente, se requiere un servidor de certificados con la configuración adecuada. Normalmente, un servidor de certificados de Windows 2000 está unido a un dominio. El dominio especifica la Política de grupo con la configuración de la infraestructura de claves públicas (PKI) para que los equipos se inscriban automáticamente en esta entidad emisora de certificados y así obtener un certificado del equipo para IPSec. L2TP crea la política IPSec necesaria para garantizar que el tráfico de L2TP sea seguro. No obstante, puede que los administradores deseen proteger también otro tráfico entre todos los servidores y clientes. Esto requiere configurar IPSec en cada cliente y servidor. Debido a que IPSec se configura mediante una política, una vez creada ésta en Active Directory™, puede aplicarla a todos los equipos de un grupo o dominio. Puede distribuir certificados y políticas IPSec a todos los equipos del dominio mediante la administración centralizada utilizando Política de grupo en Active Directory. 

Para obtener más información acerca de cómo planear la distribución de certificados de Windows 2000, consulte "Planear la infraestructura de claves públicas" en este libro. Para obtener más información acerca de cómo diseñar Active Directory, consulte "Diseñar la estructura de Active Directory" en este libro. 

Distribuir estrategias para la categoría Todos 
Cuando la conexión a Internet está implementada, cualquiera que pueda encontrarla representa un riesgo potencial para la seguridad de red. Por lo tanto, el primer grupo de usuarios que deberá tener en cuenta a la hora de distribuir una estrategia de seguridad de red global es el que entra en la categoría definida anteriormente como Todos. En parte, esto ya se ha hecho al implantar un servidor proxy así como políticas, procedimientos y tecnologías de control de la seguridad. 

Puede que también desee considerar las aplicaciones de red de las que la categoría Todos puede beneficiarse y los requisitos de seguridad que tienen estas aplicaciones. Por ejemplo, quizás desee instalar Servicios de Internet Information Server (ISS) de Microsoft con un sitio Web interno. IIS dispone de muchas opciones de seguridad que es necesario considerar cuidadosamente y configurar según corresponda. (IIS incluye una extensa documentación acerca de este tema.) Considere también el uso de servidores de Protocolo de transferencia de archivos (FTP) y de otros servicios de los que Todos puede beneficiarse. 

Distribuir estrategias para la categoría Personal 
Las personas que entran dentro de la categoría Personal podrían desear tener acceso a la red corporativa desde cualquier lugar y de este modo consultar sitios Web internos, copiar archivos, imprimir documentos y efectuar otras funciones sencillas. El objetivo de seguridad principal en estos casos es comprobar que el usuario es un empleado autorizado antes de que obtenga libre acceso a la red. Por consiguiente, la conexión inicial en la red debe ser segura, pero no se requiere ninguna otra validación. Otra cuestión adicional es que es necesario impedir que las personas sin autorización intercepten y lean el tráfico de la red. 

Los empleados pueden utilizar proveedores de servicios Internet (ISP) para obtener acceso a la red de la organización; sin embargo, no todo el personal disfrutará de dicho acceso. Puede que desee que todos los servicios de la intranet estén disponibles a través de Internet o podría requerir que se garantizara la capacidad de la red de un vínculo de red dedicado. Con el servicio Enrutamiento y acceso remoto de Windows 2000, puede definir que las políticas de acceso remoto sean muy específicas, por ejemplo, en el modo en que los usuarios pueden tener acceso a la red interna cuando se conectan a través de Internet. 

Enrutamiento y acceso remoto
Generalmente, las organizaciones ofrecen al personal opciones de conexión remota en sus propios sitios. El personal de informática (IT) instala con este propósito líneas de teléfono dedicadas y conecta módems (o hardware similar) a un servidor que se conecta directamente a la intranet. El servidor ejecuta software especializado para tratar los detalles de la conexión y además autentica al usuario de acceso telefónico como miembro del personal autorizado. 

Windows 2000 incluye Enrutamiento y acceso remoto, que permite suministrar utilidades de acceso telefónico a los usuarios. Si desea centralizar los servicios de autenticación de usuarios, autorización y cuentas en Windows 2000, puede instalar un servidor de Servicio de autenticación de Internet (IAS) para usar Acceso remoto o VPN. 

La figura 17.3 ilustra una de las posibles configuraciones de estos servidores. 




Figura 17.3 Ejemplo de configuración de Enrutamiento y acceso remoto 

La Guía de recursos de Internet del Kit de recursos de Microsoft® Windows® 2000 Server contiene información acerca de cómo funciona Enrutamiento y acceso remoto y de las posibilidades que ofrece. En la Ayuda de Windows 2000 Server se describe el modo de instalar y utilizar Enrutamiento y acceso remoto. 

Si está planeando la distribución de Enrutamiento y acceso remoto, tenga en cuenta las siguientes cuestiones de seguridad: 

· ¿A quién se va a dar los números de teléfono? 

· ¿A quién se le concederá permiso para utilizar Enrutamiento y acceso remoto? 

· ¿Qué clase de métodos de autenticación se utilizará? 

· ¿Cómo se utilizará el cifrado de datos (desde el cliente de Enrutamiento y acceso remoto al servidor de Enrutamiento y acceso remoto)? 

Si necesita un cifrado completo (desde el cliente de acceso remoto al servidor de aplicaciones de la red interna), utilice la Seguridad del Protocolo Internet (IPSec), que se trata más adelante en este capítulo. 

· ¿Qué políticas de acceso remoto se utilizarán para controlar el acceso de los usuarios? 
Para obtener más información acerca de las cuestiones generales de la distribución de Enrutamiento y acceso remoto, consulte "Determinar las estrategias de conectividad de red" en este libro. 

Seguridad en Enrutamiento y acceso remoto
El hecho de restringir la distribución de números de teléfono de Enrutamiento y acceso remoto ayuda a reducir el número de personas que podrían intentar tener acceso telefónico en una red. Sin embargo, cualquier solución de conexión de acceso telefónico sigue planteando un riesgo ya que cualquiera puede obtener el número de teléfono. Es posible configurar un proceso automático que marque los números de teléfono en secuencia hasta que se encuentre un módem que responda. Por lo tanto, Enrutamiento y acceso remoto debe estar protegido para asegurar sólo el acceso autorizado. Como mínimo, requiere que el usuario proporcione una cuenta y una contraseña de equipo válidas. Sin embargo, este nivel de seguridad está abierto a todos los ataques habituales de inicio de sesión, como la adivinación de contraseñas. 

Se recomienda el uso de opciones de seguridad de Enrutamiento y acceso remoto adicionales. Puede restringir la utilización de Enrutamiento y acceso remoto sólo a aquellas personas que requieran acceso telefónico y cuando este requisito haya sido confirmado por la empresa. También puede requerir que Enrutamiento y acceso remoto interrumpa la conexión la primera vez que se establece y luego vuelva a conectar al usuario. De esta forma, el usuario sólo puede tener acceso a esta utilidad desde un número de teléfono predeterminado o bien se puede grabar el número de teléfono. Cuando las utilidades lo permitan, puede utilizar el identificador de la persona que llama para registrar el número de teléfono que ha originado la conexión. 

Suponga que alguien puede interceptar un nombre de usuario y una contraseña mientras un usuario intenta iniciar la sesión en el servidor de Enrutamiento y acceso remoto utilizando técnicas similares a las escuchas telefónicas. Para impedirlo, Enrutamiento y acceso remoto puede utilizar un método seguro de autenticación de usuarios, como el Protocolo de autenticación extensible (EAP), el Protocolo de autenticación por desafío mutuo de Microsoft (MS-CHAP), versiones 1 o 2, el Protocolo de autenticación por desafío mutuo (CHAP) o el Protocolo de autenticación por desafío mutuo de Shiva (SPAP). 

Un riesgo relacionado se produce cuando un usuario cree que está marcando a la red de la empresa, pero realmente está marcando a otra ubicación que ahora está obteniendo la información de su identificación. Para evitarlo, puede utilizar la autenticación mutua para asegurarse de que el servidor de Enrutamiento y acceso remoto está autorizado de forma muy similar a como lo está el usuario. Esto es posible con los protocolos de autenticación EAP-Seguridad de nivel de transporte (EAP-TLS) o la versión 2 de MS-CHAP. 

Existen problemas similares con los datos que se transfieren a través de la conexión de Enrutamiento y acceso remoto. Los protocolos de autenticación EAP-TLS o la versión 2 de MS-CHAP permiten cifrar los datos al mismo tiempo que se están transmitiendo, utilizando el Cifrado punto a punto de Microsoft (MPPE). 

Las políticas de acceso remoto, si se implementan como políticas locales o como parte de la Política de grupo, pueden imponer el uso de las técnicas de autenticación y cifrado que elija usar. 

Para obtener más información acerca de interconexión de redes, técnicas de autenticación de Enrutamiento y acceso remoto, y métodos de cifrado de datos, consulte la Ayuda de Windows 2000 Server. 

Redes privadas virtuales
Las redes privadas virtuales (VPN) ofrecen servicios de red seguros a través de una red pública, igual que lo hace una red privada, pero con un costo reducido. Las redes de este tipo permiten que el personal de la organización y otros usuarios autorizados se conecten a la red corporativa desde cualquier ubicación remota con la misma seguridad que si lo hicieran desde un sitio de la organización. Por lo tanto, todos los servicios de redes corporativas se pueden ofrecer de forma segura a través de redes privadas virtuales. Las redes VPN son más difíciles de entender, instalar y mantener que las conexiones públicas no protegidas, pero proporcionan conexiones completamente seguras utilizando conexiones de Internet de bajo costo o similares. 

Se pueden utilizar en combinación con Enrutamiento y acceso remoto, si bien no es obligatorio. Puede instalar redes de este tipo entre sitios utilizando cualquier tipo de vínculo y además puede usarlas dentro de un sitio para mejorar la seguridad. 

Por lo general, las redes privadas virtuales funcionan del modo siguiente: 

· El usuario marca a cualquier proveedor de servicios Internet (ISP). 

· El software de cliente de VPN se pone en contacto con un servidor VPN designado propiedad de la organización a través de Internet e inicia el proceso de autenticación. 

· El usuario es autenticado y se proporcionan los datos de seguridad. 

· El servidor VPN proporciona una nueva dirección de Protocolo de control de transmisión/Protocolo Internet (TCP/IP) al equipo cliente, al que se ordena enviar todo el tráfico de red adicional con esa dirección a través del servidor VPN. 

· Todos los paquetes de red se cifran entonces completamente mientras se intercambian, de forma que sólo el cliente y el servidor VPN puedan descifrar. 

La figura 17.4 ilustra la relación entre estos equipos. 



Figura 17.4 Ejemplo de configuración de red privada virtual 

También es posible utilizar redes privadas virtuales para conectar múltiples equipos de un sitio a la red corporativa o para restringir la comunicación con una subred sólo al personal autorizado. 

Windows 2000 Server incluye el software de VPN de Windows 2000 como parte de Enrutamiento y acceso remoto, que es un componente opcional de Windows 2000. El manual de interconexión de redes contiene información extensa acerca de cómo funcionan las redes privadas virtuales de Windows 2000 y las funciones que proporcionan. En la Ayuda de Windows 2000 Server se describe la forma de instalarlas. 

Distribuir redes privadas virtuales 
Si tiene pensado distribuir redes privadas virtuales, hay varias cuestiones que es necesario considerar, como: 

Qué protocolo de seguridad utilizar, el Protocolo de túnel punto a punto (PPTP) o el Protocolo de túnel de nivel 2 (L2TP).

· Si se va a utilizar IPSec (si se selecciona L2TP). 

· Qué certificados utilizar al conectar con L2TP/IPSec. 

· Dónde ubicar el servidor VPN: delante, detrás o al lado del servidor de seguridad. 

· Cómo usar Connection Manager para ofrecer opciones predefinidas a los usuarios. 

· Cómo utilizar redes privadas virtuales como parte de la política de acceso remoto. 

PPTP frente a L2TP
El Protocolo de túnel punto a punto (PPTP) es un protocolo de red TCP/IP que encapsula protocolos IP, IPX o protocolos de Interfaz de usuario mejorada de NetBIOS (NetBEUI). PPTP permite actividad de red que no es TCP/IP o de múltiples protocolos a través de Internet (o redes similares). Las redes privadas virtuales basadas en PPTP también proporcionan autenticación de usuario, control de acceso y la oportunidad de aplicar perfiles de acceso telefónico para restringir cuidadosamente el uso de ciertos tipos de acceso remoto por parte de usuarios específicos. PPTP proporciona al cliente remoto una configuración de dirección interna, de modo que pueden participar en la red interna como si estuvieran conectados directamente. PPTP ofrece compresión y opciones de cifrado RC4 estándar y seguro (una clave de secuencia simétrica) para el tráfico que es llevado al interior del túnel. 

L2TP es muy parecido a PPTP pero emplea UDP y, por lo tanto, se puede utilizar sobre las redes de modo de transferencia asincrónico (ATM), Frame Relay y las redes X.25. Cuando se utiliza L2TP sobre redes IP, utiliza un formato de paquete 1701 de puerto UDP tanto para el canal de control como para el canal de datos. L2TP también se puede usar con IPSec para proporcionar un vínculo de red completamente seguro. IPSec realiza primero una negociación de la seguridad, utilizando certificados para la autenticación, entre el cliente y el servidor de red privada virtual para el tráfico de L2TP. L2TP proporciona entonces la autenticación utilizando una cuenta y contraseña de usuario o por medio de un certificado de usuario. 

Seguridad del Protocolo Internet
Seguridad del Protocolo Internet (IPSec) es un protocolo para proteger el tráfico en la red de Protocolo Internet (IP). IPSec ofrece una seguridad completa entre dos equipos, de modo que ninguna sesión de la conexión es insegura. La configuración de IPSec se realiza mediante políticas IPSec. Estas políticas pueden contener una serie de normas de seguridad asociadas con una acción de filtro y un método de autenticación, y cada una ellas especifica un tipo de tráfico determinado con filtros. Las políticas IPSec se pueden crear y asignar localmente en un equipo o en Active Directory dentro de Política de grupo. 

Nota IPSec proporciona seguridad IP de un extremo a otro, pero no cifra todos los protocolos que se ejecutan sobre IP. IPSec tiene exenciones integradas para determinado tráfico, como la negociación de Intercambio de claves de Internet, la autenticación Kerberos, la difusión IP y el tráfico de multidifusión IP. Si es necesario, es posible crear normas de IPSec con un filtro para especificar el tipo de tráfico y una acción del filtro permitida, con el fin de excluir protocolos adicionales. 

Para obtener más información acerca de IPSec, consulte la Ayuda de Windows 2000 Server y la Guía de TCP/IP. Para obtener más información acerca de cómo planear la distribución de una entidad emisora de certificados en una infraestructura de claves públicas, consulte "Planear la infraestructura de claves públicas" en este libro. 

Ubicación del servidor de red privada virtual
Las redes privadas virtuales se pueden utilizar en combinación con servidores de seguridad. Aunque este tipo de redes pueden actuar de forma similar a los servidores de seguridad, cada uno ofrece ventajas adicionales de las que el otro carece y, por lo tanto, ambos podrían ser necesarios. En una situación como ésta, considere la ubicación del servidor VPN en relación al servidor de seguridad. 

Físicamente, es posible instalar los dos en el mismo servidor. De esta forma se crea un solo punto de error si el servidor deja de estar disponible o si la seguridad del servidor se ve comprometida. Sin embargo, el hecho de tener pocos servidores reduce la probabilidad de que alguno de ellos deje de estar disponible, al mismo tiempo que se reducen los costos de su mantenimiento. También pueden haber implicaciones en la capacidad. Considere el modo en que cada uno de estos factores afecta a su situación y determine el diseño específico que necesita. 

Un cuestión más significativa es la relación lógica del servidor de red privada virtual con el servidor de seguridad. Las opciones, como se muestra en la figura 17.5, son colocar el servidor VPN lógicamente delante del servidor de seguridad, detrás suya o al lado. Windows 2000 puede proporcionar servicios de servidor de seguridad, bien con Proxy Server o con el enrutamiento de los filtros de paquetes. Para obtener más información acerca de estas soluciones, consulte "Enrutamiento y acceso remoto" en la Guía de recursos de Internet. 

Si el servidor VPN se coloca delante del servidor de seguridad, éste sólo proporciona sus servicios externos a usuarios autorizados de redes privadas virtuales. Por lo tanto, no se proporciona acceso general a Internet o similares. Una excepción a esto se produce si el acceso a Internet se proporciona en el otro extremo de las conexiones VPN. 



Figura 17.5 Ejemplo de colocación lógica del servidor VPN en relación a un servidor de seguridad 

Si el servidor VPN está detrás del servidor de seguridad, éste proporciona todos sus servicios tradicionales, pero es necesario configurarlo para que abra los puertos que el servidor VPN necesita. Aquí se incluyen los puertos necesarios para IPSec si está utilizando una red privada virtual L2TP con IPSec. 

Si el servidor VPN se sitúa al lado del servidor de seguridad, cada uno proporciona sus servicios independientemente del otro. Sin embargo, esta configuración ofrece dos rutas de acceso a la red corporativa, lo que aumenta el peligro de que se produzca una infracción en la seguridad. Normalmente, tampoco proporciona una ruta alrededor de la otra, pero con dos rutas, el riesgo se duplica. 

La elección de la mejor relación para su situación depende de los aspectos de seguridad que le resulten más adecuados. Con los servidores uno al lado del otro, dispone de dos rutas en la Intranet y por lo tanto de dos grupos de riesgo en la seguridad. Con el servidor VPN detrás del servidor de seguridad, tiene que abrir más puertos en el servidor de seguridad. Con el servidor VPN delante del servidor de seguridad, el servidor VPN no se beneficia de la seguridad que proporciona el servidor de seguridad, pero sí lo hace todo el tráfico que éste procesa. 

Connection Manager
Proporcionar utilidades de VPN a los usuarios requiere cierta configuración en cada equipo cliente. La configuración no es del todo fácil de establecer, sin embargo, Windows 2000 incluye una utilidad que facilita al usuario el proceso de configuración, Connection Manager. 

Connetion Manager funciona en equipos que ejecutan Microsoft® Windows® 95, Microsoft® Windows® 98, Microsoft® Windows NT® o Windows 2000. Los servidores de Windows 2000 también disponen de un kit administrativo llamado Kit de administración de Connection Manager, que permite crear un administrador de conexiones personalizado para los usuarios. 

Para obtener más información acerca de las conexiones, Connection Manager y el Kit de administración de Connection Manager, consulte la Ayuda de Windows 2000. Después de seguir las instrucciones de la Ayuda de Windows 2000 Server y de ejecutar el Kit de administración de Connection Manager, dispondrá de un programa y de documentación que puede distribuir a los usuarios. 

Políticas de acceso remoto
Las políticas de acceso remoto permiten especificar las personas que pueden utilizar Enrutamiento y acceso remoto, y las diversas condiciones que se aplicarán cuando se conecten. Puede especificar políticas en función del grupo de Windows 2000 en el que se halla el usuario, el número de teléfono que utilizan, la hora del día y otra información relevante. Las políticas pueden especificar que la conexión se acepte o se rechace, y que se aplique un perfil a la conexión. El perfil puede determinar la duración de la sesión, el tiempo que puede estar inactiva, qué clases de medios de acceso telefónico y qué direcciones se permiten, qué métodos de autenticación son necesarios y si se requiere cifrado o una red privada virtual. 

Puede establecer políticas de acceso remoto para Enrutamiento y acceso remoto, o para Servicio de autenticación de Internet (IAS), que se trata más adelante en esta sección. Para obtener más información acerca de las políticas de acceso remoto, incluida la forma de configurarlas y las opciones que proporcionan, consulte la Ayuda de Windows 2000 Server. 

Considere cuidadosamente la posibilidad de aplicar políticas distintas a diferentes grupos o condiciones. Es posible que las políticas se superpongan y, por lo tanto, que rechacen a las personas que deseaba permitir que se conectaran o que surja otro tipo de problema. Una combinación compleja de políticas puede crear tales problemas con mayor probabilidad. Por lo tanto, lo mejor es reducir el número de políticas siempre que sea posible. La Ayuda de Windows 2000 Server incluye un procedimiento recomendado para solucionar los problemas de las políticas de acceso remoto en caso de que éstos se produzcan. 

Capacidad del servidor de red privada virtual
Igual que ocurre con todos los servidores, los servidores VPN pueden estar sobrecargados de trabajo si la carga que se les envía es excesiva. Se necesitan muchos vínculos de redes privadas virtuales para que esto ocurra pero para una gran organización puede ser un problema. En la prueba piloto, puede probar la cantidad de carga que es probable que coloquen los usuarios en los servidores VPN disponibles. También se puede probar la capacidad que los servidores VPN pueden tratar mediante la estimación del número de usuarios simultáneos que es probable que tenga y la cantidad de datos que es probable que envíen. Puede enviar una cantidad de datos comparable a través del servidor VPN utilizando un pequeño número de equipos cliente pero a través de la red de área local (LAN) y con actividades de gran volumen, como la copia de un gran número de archivos. Mediante la supervisión del servidor VPN y su capacidad de respuesta, puede determinar si los servidores VPN cumplen bien su función. Si lo considera necesario, puede aumentar el tamaño de los servidores o agregar más servidores VPN y utilizar el servicio de Equilibrio de la carga en la red o DNS con operación por rondas para equilibrar la carga. 

Servicio de autenticación de Internet
Windows 2000 Server incluye el Servicio de autenticación de Internet (IAS) como un componente opcional. Este servicio implementa un protocolo de seguridad de autenticación de red estándar del sector, el Servicio de usuario de acceso telefónico de autenticación remota (RADIUS), que permite la centralización de la autorización de cuentas. RADIUS también permite especificar el tiempo que la sesión puede durar y la dirección IP que se puede utilizar. Asimismo, el servicio IAS puede registrar detalles de la sesión y proporcionar opciones de responsabilidad y generación de informes. 

También puede utilizar IAS si desea sacar fuera sus utilidades de acceso remoto y seguir controlando la autenticación de las personas que intenten utilizarlas. En este caso, el proveedor externo puede dirigir las solicitudes de autorización desde sus servidores de Enrutamiento y acceso remoto a sus servidores IAS. IAS autentica las cuentas con los dominios nativos de Windows 2000 y los dominios de Windows NT 4.0. 

Tendrá que colocar el servidor IAS detrás del servidor de seguridad con puertos abiertos en el servidor para la autenticación RADIUS y los paquetes adecuados del Protocolo de datagramas de usuario (UDP). 

Para obtener más información acerca de cómo instalar y utilizar IAS, junto con sugerencias de funcionamiento, consulte la Ayuda de Windows 2000 Server. Esta Ayuda también incluye recomendaciones para obtener seguridad complementaria e información acerca de cómo escalar IAS en entornos grandes y utilizar el registro de IAS de forma efectiva. 

Distribuir estrategias para la categoría Usuarios
Algunos usuarios podrían desear tener acceso a las aplicaciones de la empresa protegidas cuando se encuentran fuera de sus oficinas. Algunas de estas aplicaciones son relativamente sencillas, como programas de administración del tiempo, de registro de los beneficios de la empresa o similares. Otros son complejos, como los sistemas de contabilidad y las aplicaciones empresariales. Asegúrese de proteger estas aplicaciones para que sólo los usuarios autorizados puedan tener acceso a los datos y que los cambios que realicen sean sólo los permitidos. Esto también permite conocer la responsabilidad, porque se puede hacer un seguimiento del uso de las aplicaciones por parte de usuarios específicos. 

Windows 2000 incorpora una gran variedad de tecnologías de seguridad que proporcionan a los programadores de aplicaciones opciones para incluir seguridad de red. La elección de las tecnologías depende de: 

· Los requisitos de seguridad de las aplicaciones 

· Los problemas de integración 

· El grado de conocimiento de la tecnología que tiene el programador 

· El efecto en el rendimiento de la aplicación y de la red 

· La complejidad de la administración 

· Entre las tecnologías de seguridad de red orientadas a aplicaciones se incluyen: 
Interfaz del proveedor de asistencia de seguridad (SSPI, Security Support Provider Interface), una API de seguridad de propósito general que proporciona acceso a multitud de servicios de seguridad desde una interfaz de programación normalizada. 

La seguridad NTML de Windows, también conocida como seguridad de nivel de dominio de Windows NT. 

Protocolo de autenticación Kerberos v5. Para obtener más información acerca de este protocolo, consulte "Planear la seguridad distribuida" en este libro. 

Nivel de sockets seguros (SSL). SSL ha sido mejorado y normalizado por el Grupo de Ingeniería de Internet (IETF, Internet Engineering Task Force) como Seguridad de nivel de transporte (TLS). 

Los certificados, como se ha tratado anteriormente en este capítulo. 

Estas tecnologías de seguridad de red y las tecnologías de red que tienen acceso a ellas se relacionan entre sí como se indica en la figura 17.6. Observe que SSP en la figura significa Proveedor de seguridad SSPI, que representa la interfaz entre la utilidad de seguridad y SSPI. Llamada a procedimiento remoto (RPC), Modelo distribuido de objetos componentes (DCOM) de Microsoft® y Windows Sockets (Winsock) son métodos de comunicación entre procesos. WinInet (API de Internet para Windows) es una interfaz de programación utilizada para iniciar y administrar interfaces Web. 

Las tecnologías de seguridad de red se encuentran en la mitad inferior del diagrama, empezando por el SSPI. Las tecnologías de red están en la mitad superior y se encuentran debajo del cuadro de aplicaciones que las utiliza. 



Figura 17.6 Ejemplo de relaciones de las tecnologías de seguridad de aplicaciones de red 

Trabaje con los programadores y proveedores de aplicaciones corporativos para determinar las tecnologías de seguridad de red orientadas a la aplicación que necesita distribuir. Estas tecnologías no requieren ningún diseño de infraestructura adicional; sin embargo, tendrá que determinar cómo pueden beneficiarse los programadores de la seguridad de red más eficaz que ofrece Windows 2000. Por ejemplo, podría ser aconsejable considerar el uso de tarjetas inteligentes para garantizar la seguridad de la autenticación del usuario cuando se han instalado los vínculos de Enrutamiento y acceso remoto o VPN. 

Distribuir estrategias para la categoría Socios
La mayor parte de las organizaciones se mueven en un mundo complejo de relaciones entre clientes, proveedores, empresas aliadas, suministradores, consultores, reguladores y otras personas que trabajan con la organización. Muchos de estos socios, como a menudo se les llama, se benefician en gran medida del acceso directo a datos y aplicaciones de la organización. Sin embargo, la provisión de tal acceso puede suponer un riesgo considerable al exponer información ventajosa o delicada a las personas equivocadas, o puede crear el peligro de que ciertas personas controlen con malas intenciones la infraestructura informática corporativa. Por lo tanto, las estrategias de seguridad de red se deben emplear de forma efectiva para dar a los socios sólo el acceso más adecuado en cada caso. 

El conjunto de tecnologías de red y seguridad que permite a los socios tener acceso a la red corporativa se denomina con frecuencia extranet. Las extranets habitualmente emplean las mismas tecnologías mencionadas anteriormente para proporcionar acceso al personal y los usuarios, como las redes privadas virtuales y Enrutamiento y acceso remoto. Una característica distintiva de los socios, sin embargo, es que siempre deberían poder comunicarse con la organización desde cualquier lugar y a través de un vínculo predefinido. Por consiguiente, puede configurar el servidor proxy para permitir el vínculo a la extranet sólo desde esa dirección de red. 

A la hora de considerar qué asociados utilizarán la extranet, asegúrese de determinar las unidades de la empresa con las que se van a comunicar. Por lo general, los socios caen dentro de categorías distintivas que se comunican principalmente con partes diferentes de la empresa. Algunos podrían trabajar en tareas de envío y recepción, otros en ingeniería y otros exclusivamente en ventas. 

La distribución de estrategias de seguridad para los socios varía de la distribución para los usuarios o el personal, principalmente porque las extranets se pueden llegar a convertir con rapidez en un elemento muy importante para ellos. Habitualmente, los empleados corporativos tienen la opción de llegar a la oficina para tener acceso a los recursos corporativos. Los socios sólo pueden utilizar la extranet (o volver a los medios tradicionales). También es probable que los empleados trabajen con cantidades de datos relativamente pequeñas en un momento dado, mientras que los socios generan con frecuencia una cantidad de datos considerable que tiene que ser procesada por los equipos y transmitida a través de la red. 

Los socios y las unidades empresariales son también muy sensibles a la oportunidad del servicio de la extranet. Las funciones comerciales dependen con frecuencia de los datos que se intercambian y los retrasos pueden resultar muy costosos. Es necesario que la extranet sea confiable y, cuando surge algún contratiempo, los socios y las unidades empresariales necesitan poder ponerse en contacto con alguien que pueda resolver el problema rápidamente. 

Las unidades empresariales que suministran servicios a través de la extranet tienen en mente problemas y limitaciones laborales particulares. También disponen de sistemas y personal con un historial exclusivo en comparación con otras partes de la empresa. Por lo tanto, no es inusual que algunas unidades empresariales tengan requisitos de extranet diferentes a otras. 

Por estos motivos, una estrategia para la distribución de seguridad de red a los socios debe hacer hincapié en la confiabilidad, escalabilidad, flexibilidad y capacidad de asistencia. El personal es particularmente esencial, pero además son también importantes las pruebas piloto minuciosas, el desarrollo de políticas y procedimientos, y la comunicación. Las tecnologías de seguridad de red que se incluyen en Windows 2000 proporcionan la base para una extranet segura, pero las diferencias principales entre la estrategia de seguridad de extranet y las estrategias de seguridad de redes internas se encontrarán en las políticas y los procedimientos. 

AUTOR
Resnick García Ríos
Administrador de Red NODO RIMED
ISP "Cap: Silverio Blanco Núnez" Sancti spiritus, 
Cuba



Valora este artículo 5   4   3   2   1

Comparte  Enviar a facebook Facebook   Enviar a menéame Menéame   Digg   Añadir a del.icio.us Delicious   Enviar a Technorati Technorati   Enviar a Twitter Twitter
Artículos Destacados