hol vis05 microsoft windows vista servicios de red n.
Download
Skip this Video
Loading SlideShow in 5 Seconds..
HOL-VIS05: Microsoft Windows Vista Servicios de Red PowerPoint Presentation
Download Presentation
HOL-VIS05: Microsoft Windows Vista Servicios de Red

Loading in 2 Seconds...

play fullscreen
1 / 58

HOL-VIS05: Microsoft Windows Vista Servicios de Red - PowerPoint PPT Presentation


  • 115 Views
  • Uploaded on

HOL-VIS05: Microsoft Windows Vista Servicios de Red. Julián Blázquez García jblazquez@informatica64.com. Agenda. Introducción Redes Inalámbricas Pila TCP/IP IPv6 Políticas Quality of Service (QoS) Soluciones de Seguridad de Red Reuniones Compartidas Network Access Protection.

loader
I am the owner, or an agent authorized to act on behalf of the owner, of the copyrighted work described.
capcha
Download Presentation

PowerPoint Slideshow about 'HOL-VIS05: Microsoft Windows Vista Servicios de Red' - lynton


An Image/Link below is provided (as is) to download presentation

Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author.While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server.


- - - - - - - - - - - - - - - - - - - - - - - - - - E N D - - - - - - - - - - - - - - - - - - - - - - - - - -
Presentation Transcript
hol vis05 microsoft windows vista servicios de red

HOL-VIS05:Microsoft Windows VistaServicios de Red

Julián Blázquez García

jblazquez@informatica64.com

agenda
Agenda
  • Introducción
  • Redes Inalámbricas
  • Pila TCP/IP
  • IPv6
  • Políticas Quality of Service (QoS)
  • Soluciones de Seguridad de Red
  • Reuniones Compartidas
  • Network Access Protection
introducci n
Introducción
  • Las redes Wireless cada vez empiezan a ser imprescindibles en las empresas. ¿Confiamos en ellas?
  • ¿Por qué no usamos cifrado en la comunicación de la red privada?
  • ¿Podemos garantizar que la comunicación la realizamos siempre contra el servidor o equipo deseado?
  • ¿Tenemos garantizada la seguridad de la red privada?
  • ¿Todos los clientes están asegurados?
  • ¿Realizamos mantenimiento sobre ellos?
agenda1
Agenda
  • Introducción
  • Redes Inalámbricas
  • Pila TCP/IP
  • IPv6
  • Políticas Quality of Service (QoS)
  • Soluciones de Seguridad de Red
  • Reuniones Compartidas
  • Network Access Protection
wireless introducci n
Wireless - Introducción
  • Actualmente, existe un crecimiento exponencial de conexiones a redes inalámbricas.
  • Existen herramientas para explotar sus vulnerabilidades poniendo en riesgo la información confidencial.
  • Necesidad de nuevas herramientas para configuración y administración de los clientes Wireless.
  • Vista asegura y hace más amigable el uso de Wireless, minimizando la intervención de especialistas IT.
  • Se incorpora una herramienta (más efectiva que antes) para la resolución de problemas.
mejoras del n cleo
Mejoras del Núcleo
  • Windows Vista ha sido diseñado desde los cimientos pensando en el soporte para comunicaciones Wireless.
  • Esta integración aporta mejoras de estabilidad y fiabilidad.
  • Incorpora una herramienta de conexión y uso fácil de utilizar por cualquier tipo de usuario.
  • Totalmente compatible con los aplicativos de terceros.
  • Los desarrolladores pueden utilizar las nuevas APIs para administrar conexiones, adaptadores y perfiles.
mejoras de seguridad
Mejoras de Seguridad
  • Windows Vista pretende mejorar la seguridad de las redes inalámbricas con las siguientes mejoras:
    • Contramedidas Activas y Pasivas
    • Seguridad Redes Ad Hoc
    • Autentificación en dominio
    • Tipos de Redes
    • Protocolos de Seguridad
contramedidas activas y pasivas
Contramedidas Activas y Pasivas
  • Los clientes Wireless difunden información para descubrir redes (incluso las ocultas)
  • Los atacantes utilizan esas difusiones para engañar al cliente y conectarlo con un punto de acceso malévolo.
  • Registrar sus comunicaciones encriptadas.
  • Desencriptarlas y atacar al punto de acceso válido.
  • Windows Vista reduce el broadcast en las redes Wireless y genera claves de sesión aleatorias para las conexiones.
seguridad redes ad hoc
Seguridad Redes Ad-Hoc
  • Windows Vista procura crear redes ad-hoc tan seguras como sea posible por defecto.
  • Windows Vista proporciona acceso protegido Wi-Fi 2 (WPA2).
  • Con una red ad hoc de WPA2-Personal creada en Windows Vista, se protege mejor contra ataques comunes y vulnerabilidades.
  • Windows Vista suprimirá automáticamente la red después de que todos los usuarios se desconecten.
autentificaci n en dominio
Autentificación en Dominio
  • Windows Vista permite autentificar a los clientes en un dominio a través de la red Wireless (en un solo paso)
  • A través de Políticas de grupo (GPO) o con los comandos Netsh para la red inalámbrica
  • Este nuevo método de autenticación se denomina Single Sign On (SSO)
  • SSO es soportado independientemente del método de autenticación utilizado en el inicio de sesión, incluso con EAP y PEAP-MS-CHAP v2
tipos de redes
Tipos de Redes
  • Diferentes tipos de red requieren diferentes niveles de seguridad (Trabajo, casa, Aeropuerto,…)
  • Windows Vista proporciona tres tipos de red diferentes según su localización. Cada con su propia configuración de protección (firewall)
    • Publica: todas las redes no identificadas.
    • Privada: redes domésticas o de trabajo que no cuentan con DC. Para compartir recursos con los usuarios en la red local.
    • Dominio: cuando Windows Vista se autentifique contra un DC.
  • Esta configuración es válida en redes Cableadas
protocolos de seguridad
Protocolos de Seguridad
  • Las infraestructuras actuales Wireless son una mezcla de diferentes estándares y extensiones de terceros.
  • Windows Vista incorpora todo lo necesario para cualquier infraestructura Wireless
  • Los protocolos que incorpora Windows Vista para la redes Wireless son:
    • WEP
    • WPA o WPA2
    • PEAP
    • PEAP-MS-CHAPv2
    • EAP-TLS
extensibilidad eaphost
Extensibilidad EAPHost
  • EAPHost es la nueva arquitectura EAP que incluye Windows Vista
  • Proporciona un framework para la creación de esquema de autenticación que no se incorporan en Vista.
  • Permite múltiples implementaciones para el mismos métodos EAP (PEAP de Windows y otro de terceros)
  • EAPHost está integrado con Network Access Protection
agenda2
Agenda
  • Introducción
  • Redes Inalámbricas
  • Pila TCP/IP
  • IPv6
  • Políticas Quality of Service (QoS)
  • Soluciones de Seguridad de Red
  • Reuniones Compartidas
  • Network Access Protection
nueva pila tcp ip
Nueva Pila TCP/IP
  • Microsoft ha diseñado una nueva pila TCP/IP para adaptarse a los nuevo avances tecnológicos
  • Es una doble pila que proporciona compatibilidad con IPv4 e IPv6.
  • Compartimientos de enrutamiento
    • Evita el reenvío no deseado de tráfico entre interfaces
    • Es la combinación de interfaces con una sesión de inicio que tiene sus propias tablas de enrutamiento.
nueva pila tcp ip1
Nueva Pila TCP/IP
  • Compatibilidad para un modelo de host seguro
    • Cuando un paquete de unidifusión llega a un host, la IP debe determinar si el paquete tiene un destino local
    • Sólo acepta paquetes si la dirección de destino coincide con una dirección asignada a la interfaz en la que se recibió el paquete
  • Nueva seguridad y API para el filtrado de paquetes
    • Windows Filtering Platform (WFP) ofrece capacidades de filtrado en todas las capas de la pila del protocolo TCP/IP.
    • WFP es más seguro, está integrado en la pila
    • Más fácil para los proveedores independientes crear controladores, servicios y aplicaciones que deban filtrar, analizar o modificar tráfico TCP/IP.
nueva pila tcp ip2
Nueva Pila TCP/IP
  • Escalar en equipos multiprocesador
    • La arquitectura anterior de NDIS limita recibir el procesamiento de protocolos a un único procesador.
    • La nueva versión permite escalar el procesamiento a varios procesadores
  • Nueva extensibilidad
    • Permite insertar y quitar de forma dinámica más componentes modulares
agenda3
Agenda
  • Introducción
  • Redes Inalámbricas
  • Pila TCP/IP
  • IPv6
  • Políticas Quality of Service (QoS)
  • Soluciones de Seguridad de Red
  • Reuniones Compartidas
  • Network Access Protection
introducci n1
Introducción
  • Problemática actual del protocolo comunicación IPv4 es la siguiente:
    • Crecimiento exponencial de direcciones IP en internet.
    • Crecimiento routers Backbone de Internet para mantener la enormes tablas de enrutamiento.
    • Necesidad de simplificar la implementación.
    • Requisitos de seguridad a nivel IP
    • Mejorar el soporte de Quality of Services (QoS)
slide20
IPv6
  • IPv6 es el nuevo protocolo de comunicación.
  • Ya se ha empezada a incluir en muchas redes locales.
  • Pronto se producirá una implementación total en Internet.
  • ¿Qué ganamos con IPv6?
    • Más direcciones públicas  Se reduce la necesidad de NAT
    • Mayor seguridad en nuestras comunicaciones, sin configuraciones previas
    • Menor tiempo en la implementación
    • Aprovechamiento de la velocidad de nuestra red
caracter sticas
Características
  • Nuevo formato de cabecera
    • Esta nueva cabecera solo incluye los campos imprescindibles en las comunicaciones. Se eliminan los campos secundarios.
    • Favorece y agiliza el trabajo de los routers intermedios.
    • Cabecera el doble de grande que la de IPv4
    • No son compatibles. Routers compatibles con ambos.
  • Espacio de direcciones mayor
    • Direcciones de 128 bits, generando 3.4 x 1038 posibles direcciones
    • La implementación de NAT deja de ser necesaria
caracter sticas1
Características
  • Infraestructura de enrutamiento y direccionamiento eficiente y jerárquico (Semejante a DNS)
  • Simplificación de la configuración
    • Configuración mediante DHCPv6,
    • Configuración manual,
    • Y Configuración automática (dirección del mismo rango que el enrutador)
  • Seguridad integrada
    • Soporte de IPSec en la nueva pila de protocolos
caracter sticas2
Características
  • Soporte mejorado para QoS
    • Identificación más sencilla del tráfico por los enrutadores
    • Se incluye un campo (Flow Label) en la cabecera
    • Funcionalidad junto con IPSec
  • Nuevo protocolo para interactuar con nodos cercanos
    • Una serie de mensajes de control para nodos del mismo link
    • Neighbor Discovery sustituye a Address Resolution Protocol (ARP), ICMPv4 Router Discovery y ICMPv4 Redirect messages
  • Extensibilidad
    • Incluye una extensión de cabecera
    • Puede ser tan grande como el paquete. No tiene límite máximo
direccionamiento ip
Direccionamiento IP
  • El tamaño de las direcciones IPv6 son de 128 bits
  • La representación de cada dirección consisten en 8 bloques de 4 caracteres hexadecimales.

21DA:00D3:0000:2F3B:02AA:00FF:FE28:9C5A

  • En este nuevo protocolo aparece el termino prefijo
  • Prefijo ≈ Mascara  Indica el nuevo de bits que identifican la subred.

21DA:00D3:0000:2F3B::/64

isatap
ISATAP
  • Consiste en la asignación de una dirección IP y la creación de un túnel entre host-host, host-router o router-host.
  • Proporciona conectividad entre dispositivos IPv6 a través de una intranet.
  • Se crea y configura automáticamente.
  • Un ejemplo de una dirección ISATAP es FE80::5EFE:131.107.4.92.
  • Tiene asociado el índice de interfaz número 14 (%14)
slide28
6to4
  • Consiste en la asignación de una dirección IP y la creación de un túnel entre router-router.
  • Proporciona conectividad entre extremos IPv6 a través de internet (IPv4)
  • Un ejemplo de una dirección 6to4 es 2002:WWXX:YYZZ::/48
  • WWXX:YYZZ es la representación hexadecimal de la dirección pública asignada al sitio
  • La dirección completa quedaría del siguiente modo 2002:WWXX:YYZZ:Subnet_ID:Interface_ID
teredo
Teredo
  • Permite la comunicación entre nodos IPv6/IPv4 que están separados por uno o más NATs
  • Las direcciones Teredo tienen la siguiente formato:
  • Ejemplo: 2001:0:4136:e38a:1c48:33b6:3f57:fede
agenda4
Agenda
  • Introducción
  • Redes Inalámbricas
  • Pila TCP/IP
  • IPv6
  • Políticas Quality of Service (QoS)
  • Soluciones de Seguridad de Red
  • Reuniones Compartidas
  • Network Access Protection
quality of service qos
Quality of Service (QoS)
  • QoS permite controlar los costos de ancho de banda o negociar una mayor calidad de los niveles de servicio
  • El ancho de banda de red se puede administrar de forma central, independientemente de la aplicación.
  • No es necesario modificar las aplicaciones para que puedan aprovecharse de QoS
  • La administración del tráfico tiene lugar por debajo de la capa de aplicación.
  • La administración del tráfico QoS se basa en directivas.
mbito de qos
Ámbito de QoS
  • QoS permite establecer prioridades o administrar la velocidad de envío según:
    • Aplicación de envío
    • Direcciones o prefijos de dirección de protocolo de Internet versión 4 (IPv4) o 6 (IPv6) de origen o destino
    • Protocolo (Protocolo de control de transmisión [TCP], Protocolo de datagramas de usuarios [UDP] o ambos)
    • Puertos de origen o destino (TCP o UDP)
  • Las directivas de QoS se aplican a la sesión de inicio de un usuario o a un equipo
tipos de configuraci n qos
Tipos de Configuración QoS
  • Definir la prioridad del tráfico
    • Marcar el tráfico de red saliente con un valor de punto de código de servicios diferenciados (DSCP) específico
    • El valor DSCP se almacena en el campo de tipo de servicio (TOS) del encabezado de IPv4 o en el campo de clase de tráfico del encabezado de IPv6.
    • Los enrutadores empresariales más modernos admiten la diferenciación de tráfico DSCP.
    • Esta característica está deshabilitada de forma predeterminada en los enrutadores.
tipos de configuraci n qos1
Tipos de Configuración QoS
  • Administrar el uso del ancho de banda
    • Se puede configurar una directiva de QoS con una tasa de limitación para el tráfico saliente.
    • La limitación permite que los componentes de QoS limiten el tráfico de red saliente agregado que coincida con la configuración de directiva de QoS a una velocidad especificada.
  • Tanto el marcado DSCP como la limitación se pueden utilizar de forma conjunta.
agenda5
Agenda
  • Introducción
  • Redes Inalámbricas
  • Pila TCP/IP
  • IPv6
  • Políticas Quality of Service (QoS)
  • Soluciones de Seguridad de Red
  • Reuniones Compartidas
  • Network Access Protection
caracter sticas de authip
Características de AuthIP
  • AuthIP proporciona las siguientes características:
    • Autenticación de usuarios
    • Autenticación con múltiples credenciales
    • Mejorada la autentificación del método de negociación
    • Autenticación asimétrica
autenticaci n de usuarios
Autenticación de Usuarios
  • La autenticación para IKE en versiones anteriores está limitada a credenciales de máquina.
  • La autenticación de los usuarios corría por parte de las aplicaciones.
  • AuthIP permite autenticación a nivel de usuario basada:
    • Credenciales Kerberos del usuario
    • Credenciales NTLM v2 del inicio de sesión
    • Certificado del usuario
    • Certificado de salud del equipo
m ltiples credenciales
Múltiples Credenciales
  • La autentificación del usuario puede constar o no de una autentificación inicial de la computadora.
  • Esto se asegura que solo los usuarios y los equipos específicos puedan iniciar la comunicación.
  • El soporte de credenciales múltiples para los certificados de salud de los equipos es parte de la aplicación de IPSec con NAP.
  • Permite verificar que una máquina pertenece a un dominio y cumple los requisitos de seguridad de la red.
autenticaci n m todo negociaci n
Autenticación Método Negociación
  • Los extremos IPSec pueden utilizar varios métodos de autenticación.
  • Con IKE, solo se puede intentar la autenticación con un único método.
  • Si dicho método de autenticación falla, entonces falla el proceso de negociación (no autentifica otro método aunque no falle)
  • Con AuthIP, todos los métodos de la autentificación del usuario se realizan.
  • Cuando todos los métodos de autentificación del usuario fallan, entonces la autentificación IKE falla.
autenticaci n asim trica
Autenticación Asimétrica
  • Los requisitos de autenticación de los extremos IPSec pueden ser diferentes, Autenticación Asimétrica.
  • Con AuthIP, la autenticación asimétrica se consigue:
    • Configurando la política de IPsec para requerir la autentificación del Kerberos para la comunicación desde los equipos locales.
    • y requerir autentificación del certificado de la Intranet para las comunicación desde los equipos del perímetro.
active directory e ipsec
Active Directory e IPSec
  • En Windows Server 2003 y Windows XP, Microsoft no recomienda el uso de IPSec para proteger el tráfico entre cliente y DC
  • Windows Vista y Windows Server "Longhorn" soporta tráfico IPSec entre clientes y DCs:
    • Configurar IPSec para la comunicación entre controladores de dominio (Especificar tipo de tráfico a proteger)
    • Configurar uso de IPSec en el dominio, pero sin exigirlo (para unirse al dominio)
    • Configurar la política de IPSec para obligar el uso de IPSec en la comunicación en el dominio.
firewall de red
Firewall de Red
  • El firewall de Windows Vista no tiene nada que ver con los de sistemas operativos anteriores.
  • Por supuesto proporciona un nivel de protección contra programas y usuarios maliciosos.
  • La seguridad avanzada del Firewall de Windows incluye:
    • Soporte para el tráfico entrante y saliente.
    • Consola MMC para una configuración más sencilla.
    • Filtros integrados y protección con IPSec.
    • Nuevas reglas y configuración de excepciones.
firewall excepciones
Firewall - Excepciones
  • Windows Vista permite crear una amplia variedad de excepciones para controlar el tráfico al mínimo detalle:
    • Excepciones por número de protocolo IP
    • Excepciones por host origen y destino
    • Excepciones para todos los puertos o varios
    • Excepciones por tipo de interfaz de red
    • Excepciones por servicios
    • Excepciones para el tráfico ICMP y ICMPv6
firewall consola mmc
Firewall - Consola MMC
  • En la versión Windows Vista se puede utilizar una MMC para configurar el firewall.
  • Esta consola permitirá configurar el firewall de la máquina local y de cualquier otra máquina remota.
agenda6
Agenda
  • Introducción
  • Redes Inalámbricas
  • Pila TCP/IP
  • IPv6
  • Políticas Quality of Service (QoS)
  • Soluciones de Seguridad de Red
  • Reuniones Compartidas
  • Network Access Protection
rea de encuentro
Área de Encuentro
  • Permite compartir el escritorio o cualquier programa con otros participantes en la reunión.
  • Cualquier participante de la reunión puede distribuir documentos y colaborar en su edición.
  • Permite pasar notas a otros participantes.
  • Conectarse a un proyector de red para realizar una presentación.
equipos a mi alrededor
Equipos a mi Alrededor
  • El servicio Equipos a mi alrededor identifica personas próximas que están usando equipos.
  • Permite que estas personas le envíen invitaciones a programas tales como Área de encuentro de Windows.
  • Sólo pueden invitarte a participar en programas que estén instalados en tu equipo.
  • Para usar Equipos a mi alrededor, debe iniciar sesión en el servicio.
agenda7
Agenda
  • Introducción
  • Redes Inalámbricas
  • Pila TCP/IP
  • IPv6
  • Políticas Quality of Service (QoS)
  • Soluciones de Seguridad de Red
  • Reuniones Compartidas
  • Network Access Protection
network access protection
Network Access Protection

Sistema de prevención de conexiones de clientes que no cumplen con las directivas de la organización:

Actualizaciones necesarias

Antivirus instalado

Configuración determinada, etc

Ayuda a mejorar la seguridad global de la red, forzando la aplicación de políticas de acceso

network access protection1
Network Access Protection

NAP se puede aplicar en conexiones procedentes de estas tecnologías:

IPSec

IEEE 802.1x Authenticated Network Connections

DHCP

VPN

network access protection2
Network Access Protection

Componentes de Cliente de NAP:

NAP Agent

Coordina información entre varios System Health Agents (SHAs) y clientes NAP (NAP enforcement clients (NAP ECs))

System Health Agent.

Se integra con el Agente NAP para verificar las políticas e indicar el estado del sistema. Utiliza una definición de estado (Statement of Health (SoH)) para definir la salud del sistema

network access protection3
Network Access Protection

Componentes de Servidor de NAP:

NAP Administration Server.

Coordina las datos de salida de los Agentes de Validación (System Health Validators (SHVs) ) y determina si los componentes del servidor deberían limitar el acceso a los clientes

System Health Validator.

Valida si el SoH enviado por SHA cumple con el estado requerido. Emite una respuesta denominada Statement of Health Response (SoHR)

Health Policy.

Especifica las condiciones requeridas para el acceso ilimitado

network access protection4
Network Access Protection

Accounts Database.

Almacena las cuentas de usuario y equipo y sus propiedades de acceso. Directorio Activo actúa como Base de datos de Cuentas

Health Certificate Server.

Combinación de la Autoridad de Registro de Salud (Health Registration Authority (HRA)) y la Autoridad de Certificación (CA). Este servidor obtiene certificados para los equipos que cumplen con los requisitos de conexión

Remediation Server.

Servidores o servicios a los que acceden en una red restringida, los equipos que no cumplen con las condiciones, para configurarse o actualizarse.

Policy Server.

Los SHVs se comunican con los Policy Servers para validar el SoH de un SHA determinado

contactos
Contactos
  • Informática 64
    • http://www.informatica64.com
    • i64@informatica64.com
    • +34 91 146 20 00
  • Profesor
    • jblazquez@informatica64.com