none
¿Es buena practica requerir autentificación y cifrado IPSec en un entorno de producción? RRS feed

  • Pregunta

  • Hola.

    Tengo algunas dudas en cuanto a las buenas practicas sobre cómo implementar IPSec en un entorno de producción. ¿Podrían indicarme algunas pautas?

    Saludos.


    MCTS: Active Directory Configuration

    martes, 9 de octubre de 2012 10:15

Respuestas

  • No hay nada oficial porque depende de muchos factores. Todo lo que sea firmado y cifrado, en primera consecuencia es aumentar el tráfico de red. Y el cifrado/descifrado es una operación que consume muchos recursos de procesamiento
    Anque hay algunas placas de red que se pueden ocupar de eso dejando un poco más libre al procesador del equipo.

    Cuánto baja la performance, depende mucho de la carga y del hardware utilizado. En algún momento, cuando nació IPSec con W2000 se hablaba de que se podía perder hasta un 25%. No tengo datos actuales

    De todas formas, si te sirve para evaluar mejor el tema, hace un tiempo un cononcido me dijo que trató de implementarlo y tuvo que sacarlo. No sé si realmente estaba bien implementado

    Y como opinión personal, le veo utilidad si en tu red se conectan máquinas que no son del dominio, por eso es "domain isolation".
    Nunca debería ser así, pero para evitar eso ahora hay mucho hardware barato que te permite hacer una red aparte para los externos, y poner un cortafuegos de por medio para controlar tráfico

     


    Guillermo Delprato - Buenos Aires, Argentina
    Visite Notas Windows Server
    MVP - MCT - MCSE - MCSA
    MCSA Windows Server 2008 MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory / Network Configuration / Applications Configuration / Server Virtualization / Windows 7 Configuration / Windows 7 & Office 2010 Deployment / Vista Configuration
    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    martes, 9 de octubre de 2012 20:57
    Moderador

Todas las respuestas

  • Cualquier mejora de seguridad *cuesta* :-)

    Cuesta: soporte, performance, capacitación, hardware, software, facilidad de uso, etc. Resumiendo cuesta "$"

    También a tener en cuenta que cada tipo de dato debe estar protegido con "toda la seguridad necesaria", no con "toda la seguridad posible"

    No es lo mismo tener que proteger datos privados de una empresa, que datos críticos que afectarían el desarrollo del negocio. Un ejemplo sencillo, no es lo mismo las cifras de ventas, que el proceso único de producción de un producto

    Además tener en cuenta que no todo el tráfico se puede usar con IPSec: Kerberos, multicast, broadcast, tiempo real

     


    Guillermo Delprato - Buenos Aires, Argentina
    Visite Notas Windows Server
    MVP - MCT - MCSE - MCSA
    MCSA Windows Server 2008 MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory / Network Configuration / Applications Configuration / Server Virtualization / Windows 7 Configuration / Windows 7 & Office 2010 Deployment / Vista Configuration
    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    martes, 9 de octubre de 2012 10:33
    Moderador
  • Entiendo lo que dices...

    La duda me surgía al probar la opción de "Aislamiento del dominio" en las reglas de seguridad de conexión. Por lo que veo, de ésta forma todo el tráfico del dominio va a autentificado (y cifrado si se quiere) sin necesidad de mucho mantenimiento. ¿De qué modo afecta en el rendimiento, por ejemplo, a un servidor de archivos? No se que alcance tiene en el rendimiento requerir el cifrado de todas las conexiones posibles en un entorno de producción. (Ahí quería llegar jeje)

    Saludos.


    MCTS: Active Directory Configuration

    martes, 9 de octubre de 2012 10:38
  • No hay nada oficial porque depende de muchos factores. Todo lo que sea firmado y cifrado, en primera consecuencia es aumentar el tráfico de red. Y el cifrado/descifrado es una operación que consume muchos recursos de procesamiento
    Anque hay algunas placas de red que se pueden ocupar de eso dejando un poco más libre al procesador del equipo.

    Cuánto baja la performance, depende mucho de la carga y del hardware utilizado. En algún momento, cuando nació IPSec con W2000 se hablaba de que se podía perder hasta un 25%. No tengo datos actuales

    De todas formas, si te sirve para evaluar mejor el tema, hace un tiempo un cononcido me dijo que trató de implementarlo y tuvo que sacarlo. No sé si realmente estaba bien implementado

    Y como opinión personal, le veo utilidad si en tu red se conectan máquinas que no son del dominio, por eso es "domain isolation".
    Nunca debería ser así, pero para evitar eso ahora hay mucho hardware barato que te permite hacer una red aparte para los externos, y poner un cortafuegos de por medio para controlar tráfico

     


    Guillermo Delprato - Buenos Aires, Argentina
    Visite Notas Windows Server
    MVP - MCT - MCSE - MCSA
    MCSA Windows Server 2008 MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory / Network Configuration / Applications Configuration / Server Virtualization / Windows 7 Configuration / Windows 7 & Office 2010 Deployment / Vista Configuration
    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    martes, 9 de octubre de 2012 20:57
    Moderador
  • Perdón por mi tardanza en responder.

    Gracias por la respuesta Guillermo. Aún sigo teniendo algunas dudas, como si en el supuesto de querer usar ipsec en mi red; si sería mejor usar las "directivas IPsec", "las reglas de seguridad de conexión del firewall" o una combinación de ambas...

    En fin.. seguire investigando a ver si encuentro algún ejemplo de una implementación en un entorno de pruebas o de producción.

    Saludos.


    MCTS: Active Directory Configuration

    miércoles, 24 de octubre de 2012 8:24
  • Las reglas de seguridad del firewall son la opción más nueva, pero no sé si realmente son más fáciles. Las directivas de IPSec, las he aplicado en algún caso y funcionan bien, obviamente bien configuradas :-)

     


    Guillermo Delprato - Buenos Aires, Argentina
    Visite Windows Server - Todos los Paso a Paso
    MVP - MCT - MCSE - MCSA
    MCSA Windows Server 2008 MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory / Network Configuration / Applications Configuration / Server Virtualization / Windows 7 Configuration / Windows 7 & Office 2010 Deployment / Vista Configuration
    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    miércoles, 24 de octubre de 2012 11:03
    Moderador