SEGURIDAD EN SISTEMAS
MICROSOFT
®
Windows 9x
Windows NT
Windows 2000
®
®
®
Fco. Javier Rubiales y Miguel Herreros
Contenidos
•
Seguridad Básica.
– Objetivos.
•
Windows 9x
®
– Presentación, Arquitectura Kernel y Seguridad
•
Windows NT
–
–
–
–
–
•
®
Presentación y Arquitectura Kernel
Sistemas Básicos
Sistemas de Archivos (FAT y NTFS)
Seguridad en NT
Comparativa Seguridad NT - NetWare - UNIX
Windows 2000
®
– Evolución de NT
– Servicios de Seguridad
•
Bibliografía
Seguridad Básica
•
Control de Acceso
– Determina quien puede acceder a
un sitio y quien no.
•
Intervención
– Saber en todo momento quien
hace cualquier cosa.
•
Autenticación
– Asegurarse de que es uno mismo
el que accede a sus datos, etc.
•
Privacidad e Integridad de datos
– Evitar que se puedan leer mis
datos o documentos, y que
lleguen bien al destino.
Seguridad Básica
OBJETIVOS
•
Confidencialidad de los Datos
– La información no esta disponible a personas no autorizadas.
•
Integridad de los Datos
– La información no debe ser modificada en sitios insospechados.
•
Disponibilidad
– Tanto en información como en maquinas de red.
Windows 9x
®
PRESENTACION DEL SISTEMA
•
Windows 95 ® y 98 ® son dos sistemas operativos (el 98 evolución del
95) de 32 bits totalmente integrados, multitarea preemptiva para 32
bits y gran rendimiento en aplicaciones de 16 bits, soporte multihilo y
ofrece procesos en segundo plano.
•
Soporta los sistemas de archivo FAT, VFAT, FAT32 (a partir de Windows
95 ® OSR 2)y CDFS, (además de red).
•
Proporciona manejo de memoria virtual, soporte de Drivers 32 bits.
•
Esto proporciona un entorno para ejecutar aplicaciones 32 bits de
manera concurrente, y proporcionando cierta seguridad, aunque no
demasiada, puesto que se deja acceso al Hardware.
Windows 9x
®
ARQUITECTURA DEL KERNEL
Windows 9x
®
SEGURIDAD
S e rv ic io
A u th en tico d e
W in d o w s 9 5
®
W in d o w s 9 8
P arch e (IE 4 )
SI
P P T P clien t
P arch e
SI
P P T P server
NO
SI
S m art card s
P arch e
SI
C ryp to A P I
P arch e (IE 4 )
SI
M icro so ft W allet
P arch e (IE 4 )
SI
S eg u rid a d a n iv el
d e g ru p o s
P arcial
P arcial
S eg u rid a d a n iv el
d e fich ero s
NO
NO
D erech o s y
p rivileg io s
NO
NO
®
Windows NT
®
PRESENTACION DEL SISTEMA
•
Windows NT ® es un Sistema Operativo de 32 bits real, con multitarea
preemptiva con preferencias.
– Primer paso de la seguridad, a cada tarea le proporciona un espacio
independiente de memoria. Si una tarea se cuelga, no afecta a las otras.
•
•
Soporta hilos de ejecución (multithreading).
Es un sistema multiprocesador (NT Server 32 procesadores y NT
Workstation soporta 2 procesadores).
– Multiproceso simétrico (Todos los procesadores iguales).
•
•
•
La versión 4 posee gran parte de los elementos de Windows 95 ®.
Está diseñado para funcionar en red ya sea local, WAN o Internet.
NT protege al sistema operativo con dos espacios de direcciones
diferentes: kernel y usuario. Las aplicaciones no pueden acceder
directamente al espacio del kernel, por lo que no podrán corromper
código.
Windows NT
®
ARQUITECTURA DEL KERNEL
•
•
•
•
La capa HAL (Hardware Abstraction Layer):
– Virtualiza un entorno Hardware.
– Hardware transparentes al resto del S.O.
– Esto proporciona portabilidad.
La capa Kernel es el núcleo de la estructura de
NT.
– Pequeño y eficiente.
– Responsable de hilos y procesos.
La capa Executive:
– colección de módulos-kernel
– Cada modulo, una función en particular.
– El Security Reference Monitor, trabaja
junto con los subsistemas protegidos para
proporcionar un modelo de seguridad al
sistema.
Los subsistemas de entorno
– Servidores protegidos
– Proporcionan soporte nativo a otros S.O.
Windows NT
®
SISTEMAS BASICOS DE SEGURIDAD
•
Manejo de Errores y subsistemas protegidos.
– NT tolera fallos y estos no afectan a otros componentes.
•
Sistema de ficheros recuperable.
– La E/S de disco se ve como una sola transacción. Ante fallos vuelve atrás.
•
Reinicio automático.
– El sistema ante fallos puede configurarse para reinicio automático.
•
Soporte para cintas de Backup.
– Guardar Backup garantiza mínima perdida de datos.
•
Soporte para S.A.I. (Sistemas de Alimentación Ininterrumpida)
– Se avisa a los usuarios de un fallo de energía.
•
Espejado de disco.
– Copia idéntica de un disco seleccionado.
•
Duplicidad de disco.
– Espejado en otra unidad de disco.
•
Conjunto de Bandas con paridad (DISK STRIPING).
– División en bloques de datos, y puestos en un array con paridad.
Windows NT
®
SISTEMAS DE ARCHIVOS
PARTICIONES
•
El hacer particiones en un disco duro puede representar interesantes
ventajas:
– Flexibilidad: Si tenemos uno o varios discos con unas cuantas particiones
podremos crear nuevos volúmenes, ampliar el espacio en las unidades
existentes, crear discos espejo, etc.
– Organización: es adecuado tener separados los grandes bloques de datos
en distintas particiones de manera que nuestro árbol de directorios sea
menos complicado y más intuitivo.
– Seguridad: para implementar niveles de seguridad RAID tendremos que
disponer de diversas particiones y discos en nuestro sistema
– Rendimiento: en discos duros de gran tamaño formateados con FAT
ganaremos espacio si hacemos un adecuado número de particiones.
Windows NT
®
SISTEMAS DE ARCHIVOS
FAT
•
•
•
•
•
•
Windows NT ® proporciona FAT para guardar la compatibilidad hacia
atrás con antiguos sistemas MS-DOS.
Es el mismo que proporcionaba Windows 95 ® en sus primeras
versiones (VFAT).
Es un sistema pequeño, sencillo y de poco consumo aunque tiene
grandes fallos en lo referente a fragmentación.
Necesita muchos recursos de entrada/salida.
Garantía contra la pérdida de datos en caso de un fallo en el sistema
en medio de una actualización de ficheros.
NO POSEE NINGUN SISTEMA DE SEGURIDAD por lo que no es
recomendable en sistemas NT.
S e cto r d e
a rra n q u e
F A T co p ia 1
F A T co p ia 2
D ire cto rio
ra iz
A re a d e d a to s
Windows NT
®
SISTEMAS DE ARCHIVOS
NTFS
•
•
•
•
•
•
•
•
Fue diseñado exclusivamente para Windows NT ®.
Seguridad integrada, que permite definir a qué usuarios se les
conceden los permisos de lectura, modificación, etc.
Modelo transaccional para operaciones con ficheros: mantiene un
registro de las actividades, lo que permite restaurar el disco en caso de
corte de suministro eléctrico u otro problema.
Caché dinámico: soporta ficheros mayores de 264 bytes (17 millones de
teras)
Arquitectura de árbol
No son necesarias herramientas de desfragmentación.
Permite a los programas de MSDOS el acceso a disco cuando son
requeridos.
Permite la compresión de ficheros y directorios.
Windows NT
®
SISTEMAS DE ARCHIVOS
NTFS
•
•
•
•
•
•
•
Mantiene un nombre corto por cada fichero para su lectura MSDOS.
Diferencia mayúsculas y minúsculas cuando se maneja desde
programas UNIX, y no las diferencia cuando se maneja desde DOS y
Windows.
Soporta varios modelos de seguridad multiusuario.
Mantiene un fichero de actualización a los volúmenes de modo que en
caso de fallo del sistema la recuperación del estado anterior sea rápida.
Diseñado especialmente para soportar volúmenes muy grandes.
Los tamaños de clúster van desde los 512 bytes a los 2K. Una partición
de 500M utiliza clústers de 512 bytes.
Admite compresor de datos tanto a nivel de fichero como de directorio.
Windows NT
®
SISTEMAS DE ARCHIVOS
NTFS
•
CARACTERISTICAS DE SEGURIDAD:
•
Usuarios y claves: En NT cada persona que quiera entrar al sistema,
debe disponer de un usuario autorizado (dado de alta) para poder
entrar, además de introducir una clave para autentificarse como ese
usuario en particular. En cada sistema habrá uno o varios
Administradores de recursos que tendrán mas derechos y privilegios
que los demás.
•
Atributos y Derechos/Permisos: Cada usuario es propietario de una
serie de archivos y directorios, estos pueden ser compartidos con otros
usuarios por medio de los derechos. El propietario (o alguien con los
derechos apropiados) puede modificar los atributos de un archivo para
dar derechos de lectura, escritura, etc. a otro/os usuario/os.
Windows NT
®
SISTEMAS DE ARCHIVOS
NTFS
•
Los permisos disponibles son:
–
–
–
–
–
–
Lectura
Escritura
Ejecución
Borrado
Cambio de permisos
Tomar posesión
Windows NT
®
SISTEMAS DE ARCHIVOS
NTFS
•
Permisos estándar para directorios
– Sin acceso: el grupo de usuarios seleccionado no tiene acceso.
– Listar: (RX) permite listar los archivos y subdirectorios del directorio y
acceder a estos subdirectorios pero no permite leer los nuevos ficheros que
se creen en este directorio.
– Lectura: (RX tanto en directorios como en archivos) Permite la lectura y
ejecución de los archivos situados en el árbol de directorios.
– Agregar: (WX) No se le permite la lectura, se utiliza para crear directorios
denominados “agujeros negros”, directorios donde se pueden depositar
archivos pero nunca verlos.
– Agregar y leer: (RWX) permite además de lo anterior la lectura. Pero no se
pueden eliminar.
– Cambio: (RWXD) permite todo tipo de operaciones sobre archivos salvo el
cambio de permisos y la toma de posesión.
– Control total: (RWXDPO) Permite todo, ya que posee todos los permisos.
Debe usarse con precaución.
Windows NT
®
SISTEMAS DE ARCHIVOS
NTFS
•
Permisos estándar para ficheros
– Sin acceso: Impide el acceso al archivo.
– Lectura: (RX) puede abrirse o ejecutarse (si es ejecutable) y permite ver los
atributos del mismo.
– Cambio: (RWXD) permite cualquier operación sobre el fichero salvo toma de
posesión y cambio de permisos.
– Control total: (RWXDPO) permite todo.
– Acceso especial: Permite aplicar personalmente cualquiera de los seis
permisos individuales al fichero.
Windows NT
®
SISTEMAS DE ARCHIVOS
VOLUMENES
•
•
•
•
•
Son porciones de uno o varios discos duros que el sistema operativo
trata como si fueran una sola unidad física, como si dijéramos un disco
duro virtual.
Podemos escribir y leer datos en ellas, formatearlas, buscar errores,
etc.
Para crear un conjunto de volúmenes se necesitan zonas de espacio
disponible que no tienen por qué ser de igual tamaño, distribuidos
hasta en 32 discos físicos diferentes, y pudiendo utilizar distintas
tecnologías (IDE, ESDI, SCSI, etc.).
Estas particiones no se leerán desde MSDOS, y no será posible utilizar
estas particiones independientemente.
Si queremos sacar una de las particiones del conjunto de volúmenes,
perderemos el volumen entero, pero sí podemos añadir una nueva
partición.
Windows NT
®
SISTEMAS DE ARCHIVOS
VOLUMENES
•
Un volumen puede abarcar:
– Una partición primaria completa, la partición primaria sólo puede albergar
un volumen, de hecho el administrador de discos de NT identifica este tipo
de volumen como "partición primaria".
– Un fragmento de una partición extendida, en una partición extendida
podemos incluir tantos volúmenes cómo queramos, este tipo de volumen
recibe el nombre de "unidad lógica" en el administrador de disco de NT.
– Distintos fragmentos de particiones primarias o extendidas en discos duros
diferentes, el administrador de disco marcará este tipo de volumen como
"conjunto de volúmenes".
•
El administrador de discos de NT nos permite jugar con todas estas
variables a nuestro antojo.
Windows NT
®
SEGURIDAD EN NT
ESTRUCTURA DE SEGURIDAD
•
•
•
•
Objetivo de un sistema multiusuario es la compartición de recursos.
Tanto local como en Red.
NT gestiona sus propios recursos y sobre los que tiene derechos.
El esquema de seguridad de NT Server se basa en dominio y en
relaciones de confianza entre ellos.
Un controlador de dominio es un caso especial de servidor de red.
Actúa simultáneamente como servidor y como cliente. Por tanto es
capaz de gestionar tanto recursos del dominio propio y otros en los que
posea confianzas
Windows NT
®
SEGURIDAD EN NT
DOMINIOS
•
Dominios:
Un dominio es una estructura perfectamente organizada de equipos, recursos y
usuarios, mantenida de forma centralizada por un único servidor (en su forma
más sencilla).
El dominio de NT Server es la unidad administrativa de los servidores de
directorio. Dentro de un dominio el administrador crea una cuenta para cada
usuario que contiene información sobre éste, su pertenencia a grupos e
información del plan de seguridad.
A través de la estructura de dominios los servidores de NT Server ofrecen
algunas ventajas:
–
Un único inicio de sesión de usuario: los usuarios de red pueden conectarse a servidor
con un único inicio de sesión.
–
Administración de red centralizada: de toda la red desde cualquier estación permite
realizar un seguimiento y administrar la información sobre usuarios, grupos y recursos.
–
Acceso universal a los recursos: una cuenta de usuario de un dominio y una
contraseña es todo lo que precisa un usuario para utilizar los recursos disponibles de
toda la red. Aunque los servicios de directorio resultan transparentes, responderán
cuando se utilicen comandos de NT Server para administrar las cuentas de usuarios y
grupos.
Windows NT
®
SEGURIDAD EN NT
DOMINIOS
•
•
•
•
En realidad, un dominio no tiene por qué tener un solo servidor. La
jerarquía de servidores en un sistema con varios de ellos será:
PDC: Uno solo por dominio.
BDC: Posiblemente varios.
Los datos sobre los usuarios se guardan en una base de datos llamada SAM
(disponible en cualquier servidor).
No obstante, cuando un usuario se da de alta en un servidor, lo hace en el PDC.
Éste se encargará de actualizar esta SAM de forma periódica en el resto de servidores del dominio (replicación).
Gracias a esto, un usuario podrá acceder a todos los servidores del dominio con
el mismo password y nombre.
Windows NT
®
SEGURIDAD EN NT
DOMINIOS (Relaciones de confianza)
•
•
Se dice que un dominio A confía en otro B (o hay una relación de confianza de A
a B) cuando cualquier usuario autorizado en B puede entrar sin más en el
dominio A.
Aquí aparece el importante concepto de grupos:
Grupo local: Grupo de usuarios de manera que cualquier usuario del grupo
puede entrar y acceder a los recursos del dominio al que pertenece el grupo.
Un grupo local se define como perteneciente a un dominio.
Grupo global: Igual que el anterior, pero puede ser visto también por todos los
dominios que confían en el dominio al que pertenece el grupo.
Windows NT
®
SEGURIDAD EN NT
DOMINIOS
•
Modelos de dominios
– Modelo de dominio simple: Es el típico esquema en el que solo existe un
dominio, y en el que existe un único controlador principal de dominio.
Puede existir además un controlador de dominio de reserva. Al no ser
necesario establecer relación de confianza, la relación de los grupos resulta
más sencilla., y lo convierte en el modelo más fácil de gestionar. Al tener un
dominio único, todos los administradores de la red pueden controlar todos
los recursos, usuarios, etc. de la red. Por este motivo podemos encontrar
otra causa para una división de la red en distintos dominio, permitiendo
tener administradores que controlen elementos parciales de la red.
Windows NT
®
SEGURIDAD EN NT
DOMINIOS
– Dominio maestro: Todos los dominios confían en un único dominio,
soportando éste la gestión de todos los usuarios y grupos del conjunto.
Si definimos grupos globales y establecemos relaciones de confianza de
esos dominios con el maestro, podremos incluir los grupos globales del
maestro en locales de los otros dominios, con los permisos que se deseen.
Este tipo de organización tiene las siguientes ventajas:
 Administración centralizada
 Administración única de los recursos por el dominio maestro.
 Organización en una estructura lógica de los recursos, que puede seguir además
la de los departamentos de la empresa.
 Capacidad de definición de derechos para todos los usuarios de la red, y los
dominios que lo deseen pueden permitir que otros usuarios administren los
recursos locales.
– Modelo de dominio maestro múltiple: Existe más de un dominio
maestro. Todos los dominios maestros confían en todos (pero solo los
maestros). Cada usuario hace entrada en el dominio en el que fue creado.
Las características de este dominio son las mismas que las del único y
además, permite formar redes de cualquier número de usuarios.
Windows NT
®
SEGURIDAD EN WINDOWS NT
COMPONENTES DE SEGURIDAD NT
•
•
•
•
En un sistema como Windows NT, todos los recursos han de ser gestionados
únicamente por el sistema operativo.
Se cumple la premisa de seguridad "hacia delante"
Los tres puntos que definen esta idea son los siguientes:
– Solamente NT tiene plenos derechos de acceso al hardware.
– Cada usuario que accede a un equipo debe ser autentificado por el sistema.
A esta característica se le llama inicio obligatorio (mandatory logon)
– Cada recurso del sistema está asociado con una lista de control de acceso
(ACL: Access Control List) en la que se incluyen los usuarios que pueden
acceder a él.
El subsistema de seguridad se compone de las siguientes partes:
– Autoridad de seguridad local (LSA: Local Security Authority). Autentificar
usuarios durante el proceso de entrada.
– Gestor de la seguridad de cuentas (SAM: Security Account Manager)
mantiene la base de datos de seguridad de las cuentas.
– Monitor de referencia de seguridad (SRM) que se encarga de reforzar la
validación y directivas de seguridad establecidas por el LSA.
Windows NT
®
ARQUITECTURA DE RED PARA CLIENTES
•
•
•
Los usuarios son identificados y autenticados antes de garantizarles
acceso a cualquier recurso del sistema. Los subsiguientes accesos a los
recursos son controlados por Listas de Control de Acceso.
Windows NT Workstation permite ejecutar aplicaciones no fiables sin
riesgo de corromper el sistema operativo o otras aplicaciones.
Windows NT Workstations también tienen la necesidad de comunicarse
de forma segura con los servidores. Una funcionalidad segura del canal
es proveída por Secure Distributed Component Object Model (Modelo
de Componentes de Objetos Distribuido Seguro) y Secure Sockets
Layer (Capa Segura de sockets).
Windows NT
®
ARQUITECTURA DE RED PARA CLIENTES
•
AUTENTICACION
– Windows NT Workstation requiere una autenticación consistente en
usuario/password antes de que un usuario pueda acceder a cualquier
recurso del sistema.
– Las contraseñas son almacenadas en la forma encriptada de Windows NT.
– NT nos permite un amplio conjunto de herramientas para no perder de vista
las cuentas en nuestro sistema aquí tienes algunas de las opciones más
interesantes que se pueden configurar desde el administrador de usuarios:
• Duración de contraseña.
• Longitud de contraseña.
• Bloqueo de cuentas.
– Otras opciones para evitar el uso indebido de cuentas son limitar horas de
uso, poner fecha de caducidad a las cuentas, limitar el acceso sólo desde
ciertas máquinas...
Windows NT
®
ARQUITECTURA DE RED PARA CLIENTES
•
CONTROL DE ACCESO
– El sistema de control de acceso de Windows NT permite a los usuarios
determinar, basándosedo en el nombre de usuario, qué otros pueden
acceder a los archivos, directorios, dispositivos y cualquier otro objeto
poseídos (controlados) por este usuario. El control de acceso no sólo se
limita a archivos y dispositivos, cubre todos los objetos del sistema
(incluyendo procesos, memoria, el escritorio, timers, servicios y muchos
más objetos).
– Las aplicaciones que se lanzan en Windows NT pueden sólo establecer los
controles de acceso a los objetos que ellas creen.
Windows NT
®
ARQUITECTURA DE RED PARA CLIENTES
•
AUDITORIA
– El sistema de auditorías de Windows NT es capaz de auditar el uso de
cualquier objeto del sistema.
– La auditoría puede ser activada o desactivada en cualquier momento por el
administrador y ofrece un significativo grado de flexibilidad (como la
posibilidad de auditar basándonos sólo en uno o más objetos, o uno o más
usuarios). El registro de la auditoría es consistente y guardado en el mismo
formato tanto en el servidor como en el cliente.
– Los administradores pueden decidir con antelación qué hacer cuando el
registro de la auditoría esté lleno. Soluciones posibles son desconectar el
sistema o sobreescribir el registro y continuar.
– La bitácora de auditoría puede ser vista usando el Windows NT Event
Viewer (Visor de sucesos).
Windows NT
®
ARQUITECTURA DE RED PARA CLIENTES
– El registro de sucesos es accesible desde el menú inicio->Programas>Herramientas administrativas. En el Panel de Control se encuentra el
registro en "Servicios" con el nombre EventLog.
– El visor se encarga de registrar los sucesos relacionados con las siguientes
áreas:
• Sistema.
• Seguridad.
• Aplicación.
– Las bitácoras de auditoría son protegidas de accesos no autorizados con
Listas de Control de Acceso, las cuales permiten a los administradores
especificar qué usuarios individuales tendrán acceso a las bitácoras y de
qué tipo será ese acceso.
Windows NT
®
ARQUITECTURA DE RED PARA CLIENTES
•
PARTICIONAMIENTO DE SEGURIDAD:
– El núcleo de seguridad de Windows NT está protegido de las aplicaciones
usando el concepto de dominios de ejecución. Las aplicaciones se ejecutan
en el dominio de ususario, mientras que el núcleo de seguridad se ejecuta
en el dominio del kernel. Los límites de dominio son impuestos por el
hardware de administración de memoria. El kernel puede tener acceso a
todas las direcciones en ambos dominios, pero el hardware previene el
acceso de aplicaciones del dominio de usuario en el espacio del kernel.
Como resultado, aplicaciones erróneas no pueden hacer caer el sistema
operativo, corromperlo o confundirlo. Además, cada aplicación tiene su
propio espacio de direcciones que es aislada del espacio de todas las demás
aplicaciones, protegiéndola de ellas y a ellas de ésta.
Windows NT
®
ARQUITECTURA DE RED PARA CLIENTES
•
CLIENTES AUTENTICADOS SEGUROS:
– Las workstation clientes deberían ser capaces de formar una red de forma
segura. Esto previene el que un usuario malicioso introduzca una “máquina
mala”. Windows NT Workstation tienen que ser autorizadas y compartir un
secreto con el controlador de dominio con el fin de constituir parte de un
dominio. Esto asegura que sólo clientes autenticados de Windows NT
pueden usar y participar en el dominio de Windows NT.
•
COMUNICACIONES SEGURAS:
– Las workstation necesitan ser capaces de comunicarse de forma segura con
los servidores o entre ellas mismas. Esto puede ayudar a defraudar a
cualquier hacker que intente esnifarse el tráfico que circula por el cable.
Windows NT proporciona tecnología criptográfica built-in para
comunicaciones seguras.
Windows NT
®
ARQUITECTURA DE RED PARA CLIENTES
•
ADMINISTRACION DE SEGURIDAD:
– El último requerimiento de un cliente seguro es la posibilidad de manejar la
seguridad fácil y efectivamente con herramientas consistentes.
– Windows NT provee de un número de herramientas de administración de
seguridad (Editor de la Política del Sistema –System Policy Editor-, Editor de
Configuración de Seguridad –Security Configuration Editor-, Consola de
Administración de Microsoft –Microsoft Management Console-, entre otros).
Todas estas herramientas presentan un interfaz consistente, familiar y fácil
de usar. No hay necesidad de formar a los administradores en otras
herramientas de administración quizás menos conocidas. Todas estas
herramientas usan el interfaz gráfico de Windows, tan familiar a todos.
Windows NT
®
SERVIDOR DE ARCHIVOS
•
Un servidor de archivos permite a las aplicaciones de los workstation
clientes compartir archivos y recursos de impresión controlados por él
mismo. Como tal, necesita ser capaz de proteger dichos recursos con
un sistema completo de control de acceso. También se necesita
facilidad a la hora de detectar intentos de acceso no permitidos
mediante la auditoría.
Windows NT
®
SERVIDOR DE ARCHIVOS
•
AUTENTICACIÓN:
– Las contraseñas están protegidas usando técnicas de encriptado que
salvaguardan las mismas tanto almacenadas, como en tránsito. Windows
NT siempre requiere autenticación del usuario. Windows NT puede ser
configurado para restringir conexiones a la red. También puede ser
configurado para restringir el acceso para específicas cuentas y a ciertas
horas. De todas maneras, hay información más completa sobre esto en el
apartado de cliente.
– Windows NT tiene el concepto de Secuencia de Atención Segura –Secure
Attention Sequence- (un camino confiable para la acción de conectarse) que
asegura que la penetración de un hacker en forma de caballo de Troya es
imposible. Los sistemas basados en Windows NT pueden ser bloqueados.
Así pues, el usuario no puede apagar la máquina desde la consola, y la
secuencia de arranque puede ser configurada para arrancar siempre desde
el disco duro, con el fin de impedir arrancar otro sistema operativo.
Windows NT
®
SERVIDOR DE ARCHIVOS
•
CONTROL DE ACCESO:
– Windows NT proporciona control de acceso sobre los objetos que el
servidor controla. Los usua-rios pueden especificar qué otros usuarios (o
grupos de usuarios) pueden leer, escribir o modifi-car los objetos del
sistema.
– En Windows NT, cada objeto protegido está representado por el mismo tipo
de estructura y la determinación de acceso a un objeto usa el mismo
mecanismo de control de acceso (monitor de referencia de seguridad).
– En resumen, es muy confiable, y la implementación de un solo mecanismo
de control de acceso para todos los objetos protegidos es propio de
productos de seguridad con una alta calidad.
Windows NT
®
SERVIDOR DE ARCHIVOS
•
AUDITORÍA:
– El registro de auditoría de Windows NT es consistente entre el cliente y el
servidor, y puede ser visto de forma local en cada cliente o servidor, usando
el GUI-based Event Viewer. El acceso al registro de auditoría está
controlado por el DAC (lista de control de Acceso).
– Información más completa al respecto en la parte del cliente.
•
PARTICIONAMIENTO DE SEGURIDAD:
– Windows NT usa el dominio de ejecución del modo kernel para contener el
SO y las aplicaciones de usuario se ejecutan en el modo usuario. El modo
usuario no puede tener acceso al modo kernel excepto mediante intefaces
bien controlados. También explicado en el apartado de cliente.
Windows NT
®
SERVIDOR DE APLICACIONES
•
La arquitectura de seguridad de un servidor de aplicaciones necesita
contemplar los rasgos discutidos en las secciones anteriores y algunos
más. Entre ellos se encuentran:
– La habilidad de proteger el S.O. y las aplicaciones implementando y
imponiendo particiones de seguridad.
– La habilidad de minimizar riesgos asignando privilegios de sistema operativo
a las aplicaciones con un alto grado de granularidad y control; resultando
ser las menos privilegiadas las aplicaciones de usuario.
– La habilidad de extender el perímetro seguro proveyendo a los diseñadores
de aplicaciones de facilidades para incorporar la probada funcionalidad del
sistema operativo en sus aplicaciones.
Windows NT
®
SERVIDOR DE APLICACIONES
•
PARTICIONES DE SEGURIDAD:
– Muchas de las invasiones por hacker más efectivas se han consumado
introduciendo código ejecutable en el sistema objetivo (ya sea en forma de
caballo de Troya, virus, o gusano. Por consiguiente, el SO del servidor debe
tener la habilidad de autoprotegerse tanto como sea posible de programas
erróneos o de estos programas introducidos por indeseables. Para ello se
usan las particiones de seguridad.
– La arquitectura de Windows NT parte el sistema en dos espacios de
direcciones distintos (kernel y usuario).
– Las aplicaciones se ejecutan en el espacio de usuario y no pueden acceder
directamente al código o datos del espacio del kernel. Si una aplicación falla
por causa de un error, el sistema operativo no se ve afectado.
– Las contraseñas y otros datos importantes son mantenidos sólo en el
espacio protegido del kernel.
– Además, desplegar aplicaciones no confiables (no evaluadas) en Windows
NT Server no viola las exigencias del certificado C2 de seguridad (el cual
ostenta NT y será visto más adelante).
Windows NT
®
SERVIDOR DE APLICACIONES
•
CONTROL DE PRIVILEGIO:
– La restricción de privilegios en Windows NT está implementada mediante
muchos mecanismos:
• Dominios separados para el núcleo y los usuarios. Las aplicaciones ejecutándose
en el dominio de usuario tienen un espacio de direcciones limitado.
• Los privilegios de un grupo o de un usuario pueden ser restringidos por el
administrador (el usuario hereda los derechos del grupo al que pertenece).
• El modelo de seguridad permite a la aplicación suplantar al cliente cuando accede
a recursos en el servidor. Este rasgo asegura que las aplicaciones tienen sólo los
privilegios y derechos del cliente particular.
– Estos rasgos del sistema operativo proveen de un nivel de granularidad fino
sobre los privilegios del sistema que cualquier aplicación posee. El resultado
es que una aplicación gana sólo los privilegios necesarios para llevar a cabo
su función, limitándose el daño que puede resultar de una aplicación de mal
comportamiento.
Windows NT
®
SERVIDOR DE APLICACIONES
•
EXTENSIBILIDAD:
– Cuando se desarrollan y se despliegan aplicaciones en una intranet o en
Internet, es importante que el S.O. oferte tanta funcionalidad para
seguridad como pueda ser necesitada por las aplicaciones (si es posible).
Así, el S.O. puede proporcionar un conjunto consistente de funciones de
seguridad, que han sido evaluadas, testeadas y probadas para trabajar
correctamente.
– Los servicios exportados por Windows NT están diseñados para ofrecer
extensibilidad, portabilidad y consistencia. Los diseñadores de aplicaciones
pueden usar Interfaces de Programador de Aplicaciones (APIs) para
implementar autenticación del usuario, chequeos de control de acceso a los
objetos, y comunicaciones autenticadas seguras con otros servidores. La
posibilidad de integrar esto en las aplicaciones, permite una solución de
seguridad más robusta y extendida.El programador no tiene que crearse sus
propios mecanismos.
Windows NT
®
SERVIDOR DE APLICACIONES
EXTENSIBILIDAD
•
Algunos de los mecanismos de seguridad de Windows NT hacen
posible a los programadores de aplicaciones incluir:
– Security Support Provider Interface (SSPI) / Interfaz de
Proveedor de Soporte de Seguridad:
• El SSPI proporciona una interfaz común entre las aplicaciones de la capa de
transporte y los proveedores de seguridad.
• El SSPI es un API común bien definido para obtener servicios integrados de
seguridad en autenticación, integridad y privacidad de mensajes, y seguridad de
servicio para cualquier protocolo de aplicación distribuida.
• Los diseñadores de protocolos pueden aprovechar este interfaz para obtener
diferentes servicios de seguridad sin necesidad de modificar el protocolo.
• Los diseñadores de aplicaciones pueden usar este servicio para acceder a las
credenciales de seguridad y para estar seguros de que sólo los usuarios
autenticados tienen acceso a la aplicación.
Windows NT
®
SERVIDOR DE APLICACIONES
EXTENSIBILIDAD
– Graphical Identification and Autentication (GINA) / Identificación
y Autenticación Gráficas:
• Además de la autenticación usuario/password, Windows NT tiene un interfaz
llamado GINA que permite integrar métodos de autenticación adicionales en
Windows NT. Existe una amplia gama de métodos de autenticación alternativos,
como certificados digitales, tarjetas de identificación o biométricos. Estos
métodos serán fácilmente disponibles si se usa el interfaz estándar GINA.
– Impersonation / Suplantación:
• La suplantación permite al programa ejecutarse en el contexto de seguridad del
usuario. El contexto de seguridad define qué acceso tiene el usuario a los objetos
y servicios del sistema.
• Permitiendo a un programa la suplantación, el sistema se asegura de que el
usuario asociado con el proceso cliente tiene los derechos para ejecutar la acción
pedida del servidor.
Windows NT
®
SERVIDOR DE APLICACIONES
EXTENSIBILIDAD
– Autenticated RPC / RPC Autenticado:
• La llamada a procedimiento remoto (RPC) en NT es autenticada, así proporciona
soporte para procesamiento distribuido usando la autenticación del cliente y el
servidor. Cuando el cliente desea llamar a un procedimiento ubicado en una
máquina diferente, el sistema de RPC efectúa la conexión a la máquina remota
mediante un protocolo de autenticación, verificando la identidad del cliente al
servidor.
– Control Access / Control de Acceso:
• Para un objeto con la seguridad activada existirá un ACL (Access Control List)
compuesta por entradas de control de acceso (ACE, Access Control Entries) que
identifican a un usuario o grupo que tiene permisos asignados sobre él.
• Las primeras que se leen son las ACEs que deniegan el acceso, y después vienen
las que lo permiten. Los diseñadores de aplicaciones pueden definir sus propios
objetos, y el subsistema de seguridad de Windows NT ejecutará chequeos de
acceso en cualquier momento que un cliente pida acceso al objeto. Como
resultado, objetos definidos por programadores de aplicaciones, tienen el mismo
nivel de seguridad que los objetos de Windows NT.
Windows NT
®
SERVIDOR DE APLICACIONES
EXTENSIBILIDAD
– Criptography Services / Servicios de Criptografía:
• Windows NT incorpora un conjunto de APIs (CryptoAPI) para criptografía basada
en Public Key incluyendo funcionalidad de encriptado, hashing, firmas digitales y
certificación digital. Los algoritmos industriales estándar RSA Public Key son
proporcionados en los sistemas y éstos pueden ser extendidos mediante módulos
de criptografía ofertados por otros vendedores.
Windows NT
®
CERTIFICADO C2
•
•
•
El estándar más ampliamente reconocido para la seguridad comercial y
de gobierno es el el Departamento de Defensa de los EE.UU. Llamado
Criterio Fiable de Evaluación de Sistemas de Computadores (a menudo
conocido como el Libro Naranja).
Una de las clases de seguridad definidas en él es la C2 (aceptada como
estándar comercial).
Un sistema de la clase C2 posee las siguientes características de
seguridad:
–
–
–
–
–
•
Control de Acceso.
Auditoría.
Reutilización de objetos.
Identificación y Autenticación.
Arquitectura del sistema.
El organismo que evalúa los sistemas es el NCSC.
Windows NT
®
CERTIFICADO C2
SISTEMA DE RED CONFIABLE




Protección frente a modificaciones: Las aplicaciones no pueden
modificarlo (el TCB) o hacerlo funcionar indebidamente, ya sea de
forma directa o indirecta.
No derivable: No deben existir vías para rodear la seguridad impuesta
por el TCB. Esto es, no hay caminos alrededor del sistema, salvo por
mecanismos no publicados o puertas de atrás.
Debe ser lo bastante simple como para ser examinado
fácilmente: La complejidad del TCB es crítica, porque todo el código
contenido en él debe ser analizado y testeado detalladamente. Cuanto
más complejo sea el sistema, más difícil es estar seguro de que trabaja
como pretendemos y que no hay agujeros.
Windows NT 3.5 completó y superó la evaluzación C2 para SS.OO. Si bien, no se
evaluó para trabajar con redes. Desde entonces, Windows NT 4.0 comenzó una
evaluación C2 como SO de red. La evaluación actual cubre todos los
componentes de red. El sistema está siendo evaluado como una red de
servidores y workstations de Windows Nt y PDC y PBC.
Windows NT
®
COMPARATIVA NT - NETWARE
SERVIDOR DE APLICACIONES
C ar acte ristic as de
S egurid ad
P artic io nes de
S eguridad


R estricc io nes y
P rivileg io s
C ertific ac io n
S ubsistem a de
segurida d
protegido de
a plica ciones
m a lic iosa s y
erronea s.
A p lica ciones
protegida s de otra s
a plica ciones.
L im ita r privilegios de
la a plica cion.
E va lua cion C 2
W indow s N T 4.0
Intr anetW are 4.11
SI
NO
SI
NO
SI
NO
C om o sistem a
op era tivo
indep endiente. S istem a
de red en progr es o.
C om o c om p onente de
una red
A ud it ing
A lw a ys rec ord us er ID
in a udit rec ords.
SI
NO
A utent ica c io n
S iem pr e se requ ier e
L ogin/P a ssw ord
SI
NO
E jecu cion de
a plica ciones no
privilegia da s
SI
V iola el C 2.
E xtensib ilidad
Windows NT
®
COMPARATIVA NT - NETWARE
CLIENTE DE RED
C ar acte ristic a d e S egurid ad
A u tent ica c io n
C o ntro l d e A ce sso
A u d ito ria
P artic io n d e seg u r id ad
M a nejo de S egurida d
C o m u n ica c io nes S eg u ras
C lie ntes au tentificad o s y
seg u ro s
W indow s N T
4.0
N etW are







P rivilegios individua les por usuario
U sua rio/pa ssw ord
P a ssw ord encripta do
F uerte refu erz o pa ssw ord
R estricc iones de m a qu ina s esp ec ifica s
R estricc iones de usa r un tiem p o esp ecific o
P osib ilida d de usa r autentifica c ion de
terc eros
SI
SI
SI
SI
SI
SI
SI
SI
SI
SI
SI
SI
SI
NO


A C L en a rchivos y dispos itivos
A C L en objetos de m em or ia
SI
SI
SI
NO




A u ditoria de eventos de a utentica ción
A u ditoría de a cc es o a recursos y fic heros
A u ditoria de eventos del S .O .
H erra m ienta s de a uditoria basa da s en G U I
SI
SI
SI
SI
SI
SI
NO
NO


P rotecc ión de S .O .
P rotecc ión de a plica c iones
SI
NO
SI
NO


H erra m ienta s de a dm ón. D a sa da s en G U I
M is m a s herra m ienta s para clientes y
servidor es
SI
SI
NO
NO

Integra cion pa ra una com u nica ción s egura
SI
SI

E ntra da segura a dom inios
SI
NO
Windows NT
®
COMPARATIVA NT - UNIX
A utenticacion
C ontrol de A ceso
R esponsabilidad
W indow s N T
U N IX
R e q u e rid o a n tes d e e n tra r al siste m a
C a m in o fia b le (T ru ste d pa th )
L o g in /p a ssw o rd p or d e fe cto
P u e d e e n crip tar e l arch ivo d e cla ves
G IN A d isp o n ib le pa ra a ñ a d ir m e can ism o s
A u te n tica ció n d e a plicacio ne s d istrib u id as
C o n tro l d e a cce so d iscreccio na l
Im p le m e n ta d o e n M o to r de R e fe ren cia d e
S e g u rid a d
L ista s d e co n tro l de a cce so
2 7 d e re ch os d e u sua rio a sig n a b le s
ID d e S e g u rida d
M a n te n id o a tra ves d e clien te -se rvid o r
R e q u e rid o a n tes d e e n tra r al siste m a
C a m in o n o fiab le
L o g in /p a ssw o rd p or d e fe cto
P u e d e o cu lta r e l a rch ivo d e clave s
M e ca n ism o s d e te rce ro s d e form a esp e cifica
P a rch e K e rb ero s
C o n tro l d e a cce so d iscreccio na l
Im p le m e n ta d o e n siste m a d e fich ero s y p arte s d e l
ke rn el
B its d e U su a rio /G ru po /O tro
M e ca n ism o de sup e rusu ario y S E T U ID
ID d ce u sua rio
M a n te n id o a tra ves d e clien te -se rvid o r e n cie rta s
a p licacio ne s
M u ltip le s re g istro s d e e ven to s e spe cifico s
C o n ju n to de e ve n to s lim itad o s
P a rch e s pa ra la exte nsió n d e a ud itoría de
se g u rid a d
D o m in io s d e se g urid ad sep a rad o s
D ire ccion e s se p ara d as d e u sua rio y ke rn e l
D ire ccion e s in d ivid u a le s po r pro ceso
Im p le m e n ta ció n distrib u ida
O b je cts cle a re d prio r to re u se
L o s b its d e m o d o p ro teg e n e l S .O .
S in m e ca n ism o s d e ve rifica ció n d e cod ig o
G S S -A P I p a ra a p licacio n es
P a rch e s pa ra u tilid a d es d e d ispo n ib ilid a d d e l
siste m a d e fich e ro s
G S S -A P I p a rch es p ara a plica cio ne s
R P C S e g u ra s
H e rra m ie n tas S S L
P a rch e IP S E C
B a ja se g urid a d p o r d e fecto
C o n ju n to de h erra m ie nta s d e m u ltip le s e m p resa s,
sin con siste ncia co n otra s h e rra m ie n ta s de
a d m in istración
S e re q u ie re u na a lta d estreza
A uditoria
R e g istro de E ve n to s
A rch ivo d e reg istro sim ple
C o n ju n to exte nso d e e ve n tos
P articiones de
seguridad
D o m in io s d e se g urid ad sep a rad o s
D ire ccion e s se p ara d as d e u sua rio y ke rn e l
D ire ccion e s in d ivid u a le s po r pro ceso
Im p le m e n ta ció n en u n so lo m o d u lo
O b je cts cle a re d prio r to re u se
A C L s p ro te g en e l S .O .
A u th e n ticod e pa ra ve rifica r co dig o
C A P I p a ra a p lica cio n es
U tilid a d e s d e d isp o nib ilid a d d e l siste m a d e
fich e ro s inte gra d as
C A P I p a ra a p lica cio n es
R P C S e g u ra s
PPTP y SSL
P a rch e IP S E C
B a ja se g urid a d p o r d e fecto
C o n ju n to de h erra m ie nta s sim p le s,G U I
co n siste n te con o tra s h e rra m ie n ta s d e
a d m in istración
S e re q u ie re p oca d estre za
Integridad
C onfidencialidad
M anejabilidad
Windows 2000
®
¿QUE SON LOS SERVICIOS DE SEGURIDAD?
•
Tres principios de diseño fundamentales:
– Administración central: La seguridad requiere simplicidad. Los
administradores pueden manejar las cuentas de usuarios y sus controles de
acceso desde una ubicación central, y delegar tareas de administración de
seguridad.
– Despliegue flexible: La seguridad requiere flexibilidad. Como las
compañías han extendido sus negocios a Internet, a menudo no pueden
hacer suposiciones sobre la identidad, integridad y plataforma de acceso
de sus usuarios. Por esta razón, Windows 2000 da a luz mecanismos de
autenticación interoperativos y flexibles que verifican la identidad de los
usuarios externos y controlan de forma segura su acceso a los sistemas
internos de la compañía.
– Imposiciones consistentes: La seguridad requiere consistencia. Una vez
que la identidad del usuario ha sido verificada, es importante que el acceso
a los recursos sea configurado e impuesto de una sola manera, para
simplificar el manejo e incrementar la seguridad. Windows 2000 emplea
solo un modelo de control de acceso consistente, que está integrado con el
protocolo estándar de Internet Kerberos para autenticación en redes.
Windows 2000
®
COMO TRABAJAN LOS SERVICIOS DE SEGURIDAD
•
•
Manager de Configuración de Seguridad: Es una herramienta de
configuración y análisis de seguridad, permitiendo a los
administradores de la red instalar opciones del registro de seguridad,
controles de acceso a archivos o registro de claves, así como definir
configuraciones de seguridad para los servicios del sistema. Permite a
lso administradores crear plantillas de configuración de seguridad y
aplicarlas a las computadoras seleccionadas en una operación.
Active Directory: Ofrece un punto de control de usuarios, dispositivos
y aplicaciones único y consistente.
– Organiza la información como una jerarquía para simplificar el proceso de
búsqueda, utilización y gestión de la seguridad de los recursos de la red.
– Las cuentas para los usuarios, grupos y máquinas pueden ser organizadas
en contenedores directorios llamados OUs. Un dominio puede tener
cualquier nº de OUs, organizadas en una estructura de árbol.
– El Active Directory soporta mucha más cantidad de objetos usuario con
mejor rendimiento que el Registro usado en el NT antiguo.
Windows 2000
®
COMO TRABAJAN LOS SERVICIOS DE SEGURIDAD
– Almacenando la información de seguridad en el Service Directory significa
que los usuarios y grupos son representados como objetos en el directorio.
Los derechos de lectura/escritura a los objetos pueden garantizarse en
conjunto, o a propiedades individuales del objeto. El concepto de los grupos
está también simplificado, porque grupos locales y globales son ambos
representados como objetos grupo en el directorio.
– El Active Directory, tiene la posibilidad de proporcionar información a
múltiples Controladores de Dominio, de replicación (las modificaciones
pueden hacerse en cualquier controlador de dominio, no es preciso que sea
el primario –PDC- Las réplicas del Active Directory en otros Controladores se
actualizarán automáticamente) y está disponible para administración
remota.
Windows 2000
®
COMO TRABAJAN LOS SERVICIOS DE SEGURIDAD
•
Mecanismos Flexibles de Autenticación:Windows 2000 soporta
múltiples mecanismos de autenticación para probar la identidad de los
usuarios cuando entran en la red. Por ejemplo, puedes autenticar tus
clientes desde Internet con los certificados estándar x.509 y autenticar
a los usuarios internos con el familiar user/password. Para factores
extras de autenticación puedes usar además smart cards o credenciales
biométricas.
•
Método de Autorización Consistente: Windows 2000 usa ACLs,
que están colocadas con el dispositivo y determinan qué usuarios y
grupos tienen acceso. Por ejemplo, los archivos llevan ACLs con ellos
hasta si son movidos por el sistema de archivos. De forma similar, los
objetos en el directorio (como usuarios), tienen ACLs almacenadas con
ellos en el directorio. Un usuario pide un archivo, el SO compara el
“ticket” del usuario con el ACL del archivo y garantiza el acceso
apropiado.
Windows 2000
®
COMO TRABAJAN LOS SERVICIOS DE SEGURIDAD
– Cada recurso tiene una barrera de seguridad individual. Los hackers
gastarán muchas energías colándose en cada recurso, tanta como para
tener carta blanca de acceso suplantando a un superusuario del sistema.
– Este método de autorización está integrado con el protoclo de autenticación
Kerberos para dar un servicio de seguridad más eficiente, de mejor nivel
para el tráfico de la red.
– Kerberos está basado en “tickets” y reduce enormemente la autenticación
repetida en cada recurso de la red. Kerberos autentica los dos, el cliente y
la red, protegiendo contra la posibilidad de hackers suplantando un servidor
para entrar a la red.
• Ejemplo:
–
–
–
–
–
–
El usuario quiere un recurso (archivo p. Ejemplo)
Envía un ticket Kerberos al servidor con la información de credenciales del usuario incluida en él.
El servidor recibe el ticket y mira las credenciales.
El sistema opertivo comprueba las credenciales con el ACL en el archivo (en este caso).
Si el usuario tiene acceso, se le devuelve el archivo.
Este método es usado para acceder a todos los objetos de Windows 2000. Lo cual proporciona una forma
uniforme, simple y segura de acceso a los mismos.
Windows 2000
®
COMO TRABAJAN LOS SERVICIOS DE SEGURIDAD
•
Encripting File System (EFS): EFS es el corazón de la tecnología
•
Protocolo de autenticación Kerberos: La versión 5 del protocolo de
autenticación Kerberos es un protocolo de autenticación distribuido.
Reemplaza al NTLM, usado en Windows NT Server 4.0 como el
protocolo primario de seguridad para acceso a los recursos dentro de o
a través de los dominios de Servidor de Windows 2000.
para almacenar los archivos y directorios Windows NT (NTFS) de
manera encriptada en el disco. Basado en la tecnología public key, EFS
se ejecuta como un servicio integrado en el sistema, de fácil manejo,
difícil de atacar y transparente al usuario.
– No obstante, la transición de NTLM a Kerberos no es demasiado brusca,
porque Windows 2000 todavía soporta conexiones usando ese protocolo.
Windows 2000
®
COMO TRABAJAN LOS SERVICIOS DE SEGURIDAD
•
Soporte para Transport Layer Security (TLS): TLS, como
Kerberos, es un protocolo de seguridad distribuido basado en el
estándar de seguridad de Internet.TLS puede usar diferentes cifrados,
dependiendo del cliente conectado. El texto cifrado es incomprensible
hasta que no se ha desencriptado con una clave. Pro defecto, todos los
cifrados son permitidos, sin emvbargo, el administrador puede limitar el
nº de los mismos que se podrán usar.
•
Sigue estando disponible el SSPI: (ver NT).
Windows 2000
®
BENEFICIO DE LOS SERVICIOS DE SEGURIDAD
•
El Active Directory de Windows 2000 permite a las compañías
disminuir notablemente los costes de administración al haber un solo
camino para administrar la seguridad de los usuarios, grupos y
recursos de la red, así como certificados y configuraciones de
seguridad. La administración integrada de seguridad oferta las
siguientes ventajas:
–
–
–
–
Delegación de administración.
Administración basada en Políticas de Grupos.
Control de acceso.
Política de control de autenticación.
Windows 2000
®
COMUNICACIONES SEGURAS ENTRE COMPAÑIAS
•
PPTP/L2TP: Permite a las empresas usar Internet como redes
privadas virtuales para comunicaciones seguras y autenticadas.
PPTP/L2TP permite a los usuarios remotos conectarse a sus
corporaciones usando internet, en lugar de caras líneas arrendadas.
Ipsec oferta la plataforma ideal para salvaguardar las comunicaciones
intranet e Internet. Windows 2000 Server integra herméticamente
Ipsec con las políticas del sistema para reforzar el encriptado entre los
sistemas. Los usuarios pueden tener comunicaciones con política de
grupos protegidas con el encriptado de las mismas. Al estar Ipsec
integrado en el sistema operativo, es más fácil de configurar y manejar
que posibles soluciones añadidas.
Bibliografía
•
www.microsoft.com
Descargar

SEGURIDAD EN SISTEMAS MICROSOFT