Uso de tarjetas inteligentes para la protección de las cuentas de acceso remoto

Capítulo 4: Uso de tarjetas inteligentes para la protección de las cuentas de acceso remoto

La mayoría de las organizaciones deben proporcionar acceso remoto a sus recursos de red a través de conexiones de acceso telefónico o de red privada virtual (VPN). Esta tendencia se acentúa con la evolución actual de las prácticas empresariales, que se orienta a un mayor soporte a los usuarios remotos y a los representantes comerciales que se desplazan. Aunque el acceso remoto ofrece numerosas ventajas, por el hecho de ser externo expone la red de la organización a posibles amenazas para la seguridad. La autenticación de dos factores es un requisito cada vez más extendido en el caso de las redes que permiten el acceso remoto. En esta página Protección del acceso remoto con tarjetas inteligentes Problemas y requisitos Diseño de la solución Resumen Protección del acceso remoto con tarjetas inteligentes El acceso remoto debe posibilitar el acceso de todos los empleados autorizados a los recursos de la intranet de una organización. Para facilitar el acceso remoto a través de VPN, es necesario abrir puertos en los servidores de seguridad externos. Esa ampliación de las posibilidades de acceso abre una vía que los atacantes podrían aprovechar para introducirse en la red. En el Capítulo 1, "Introducción", se destaca que la autenticación de cuentas basada en nombres de usuario y contraseñas concentra toda la seguridad del control de los accesos en la contraseña. Las contraseñas son vulnerables, y las credenciales de una cuenta expuesta que tenga acceso remoto a la red corporativa pueden constituir un objetivo preferente para los delincuentes. Aunque existe la posibilidad de configurar una directiva de bloqueo de contraseñas de dominio para las cuentas de usuario, este tipo de directiva puede propiciar ataques de denegación de servicio a través de un bloqueo constante de la cuenta del usuario remoto. Aunque este tipo de ataques no pone en peligro la información de la red, supone una evidente molestia para el usuario cuya cuenta queda bloqueada. La autenticación de usuarios sólida, en la que se utilizan certificados digitales incrustados en una tarjeta inteligente, proporciona un método eficaz y flexible para proteger las conexiones de acceso remoto. Requisitos del cliente El uso de tarjetas inteligentes para controlar el acceso remoto depende de los componentes que se ejecutan en el cliente remoto. Debe conocer bien esos componentes y, en particular, Connection Manager y el Kit de administración de Connection Manager (CMAK). Connection Manager centraliza y automatiza el establecimiento y la administración de conexiones de red. Connection Manager es compatible con los siguientes elementos clave de la configuración de acceso con tarjetas inteligentes: • Protocolo de autenticación extensible - Seguridad de la capa de transporte (EAP-TLS) para conexiones VPN y de acceso remoto. • Comprobaciones de seguridad en el nivel de las aplicaciones para administrar automáticamente las configuraciones de equipos cliente. • Comprobaciones y validaciones de la seguridad de los equipos que intervienen en el proceso de inicio de sesión. Para obtener más información acerca de Connection Manager y CMAK, consulte el artículo sobre el kit de administración de Connection Manager, en la dirección www.microsoft.com/technet/prodtechnol/windowsserver2003/library/ServerHelp/be5c1c37-109e-49bc-943e-6595832d5761.mspx. Connection Manager para el cliente Para implantar una solución de acceso remoto administrable, debe crearse una configuración de Connection Manager para varios clientes y realizar la implantación correspondiente. Para implantar Connection Manager en varios clientes se crean perfiles de Connection Manager. Los perfiles de Connection Manager son paquetes de marcador de cliente de Connection Manager personalizados que se crean con CMAK y se implantan en equipos cliente en un archivo ejecutable autoextraíble. Es posible utilizar cualquier mecanismo de distribución de software para asignar los perfiles, ya sea Directiva de grupo, Microsoft® Systems Management Server 2003, CD, o llaves USB. Cuando se inicia el archivo ejecutable, éste instala el perfil en el equipo local, junto con los números de teléfono o las direcciones de host para la conexión a los servidores de acceso remoto. Cuando un usuario inicia una conexión a través de su perfil de Connection Manager, Connection Manager comprueba automáticamente si hay una tarjeta inteligente y pide al usuario que especifique el NIP. Si el usuario suministra el NIP correcto, Connection Manager establece las conexiones de acceso telefónico y VPN apropiadas y autentica las credenciales del usuario. Connection Manager también simplifica el proceso de conexión para el usuario. Limita el número de opciones de configuración que puede cambiar el usuario y contribuye a garantizar que éste pueda conectarse siempre sin problemas. Una organización puede personalizar Connection Manager para definir lo siguiente: • Números de teléfono disponibles. Una lista de números de teléfono disponibles para el usuario en función de su ubicación física. • Contenido personalizado. El marcador puede incluir contenido personalizado, como gráficos, iconos, mensajes e información de ayuda. • Conexiones antes del túnel. Conexión de acceso telefónico a Internet que se produce automáticamente antes del intento de conexión VPN. • Acciones previas y posteriores a la conexión. Por ejemplo, la posibilidad de restablecer el perfil del marcador o la configuración del servidor de seguridad (Firewall) de Windows para que omita las excepciones a las reglas de filtrado de paquetes. Requisitos del sistema operativo La solución basada en tarjetas inteligentes para el acceso remoto sólo funciona con Microsoft Windows® XP Professional. Microsoft recomienda Windows XP Professional con SP2 o posterior. Los equipos cliente deben tener instaladas todas las actualizaciones de seguridad. Requisitos de los servidores Los requisitos de un servidor para el acceso con tarjetas inteligentes son relativamente sencillos. En los servidores de acceso remoto debe ejecutarse Windows 2000 Server o posterior y debe asegurarse la compatibilidad con EAP-TLS. Nota: A diferencia de las tarjetas inteligentes para los administradores, las destinadas al acceso remoto no precisan Microsoft Windows Server™ 2003, aunque es recomendable actualizar la infraestructura de claves públicas a la de Windows Server 2003 con Service Pack 1 (SP1) o posterior. Consideraciones sobre el acceso telefónico y VPN La solución en la que se utilizan tarjetas inteligentes para proteger el acceso remoto admite el acceso telefónico a través de conexiones RDSI (Red digital de servicios integrados) o PSTN (Red telefónica pública conmutada), pero el inicio de sesión puede resultar más lento. Las conexiones remotas a través de VPN imponen una carga adicional al procesador del servidor de acceso remoto. La protección mediante tarjetas inteligentes no contribuye sensiblemente a esa carga, pero puede ralentizar los inicios de sesión. Los servidores de acceso remoto VPN que atienden muchas conexiones entrantes requieren procesadores rápidos, preferentemente en configuraciones de multiprocesador. Las organizaciones que utilizan redes VPN protegidas con IPsec pueden implantar tarjetas de red que descarguen el proceso de cifrado IPsec en un procesador independiente. Compatibilidad con el protocolo de autenticación extensible EAP-TLS es un mecanismo de autenticación mutua desarrollado para métodos de autenticación combinados con dispositivos de seguridad, como tarjetas inteligentes y testigos de hardware. EAP-TLS es compatible con el Protocolo punto a punto (PPP) y con las conexiones VPN, y posibilita el intercambio de claves secretas compartidas para el Cifrado punto a punto de Microsoft (MPPE). Las principales ventajas de EAP-TLS son su resistencia a los ataques basados en la "fuerza bruta" de procesamiento y el hecho de que admite autenticación mutua. La autenticación mutua implica que el cliente debe demostrar su identidad al servidor y viceversa. Si el cliente o el servidor no envían un certificado para validar su identidad, se interrumpe la conexión. Windows Server 2003 es compatible con EAP-TLS para las conexiones de acceso telefónico y VPN, lo que permite el uso de tarjetas inteligentes para usuarios remotos. Para obtener más información acerca de EAP-TLS, consulte el tema Protocolo de autenticación extensible, en la dirección www.microsoft.com/resources/documentation/windows/xp/all/proddocs/en-us/auth_eap.mspx Para obtener más información acerca de los requisitos de los certificados con EAP, consulte el tema sobre requisitos de certificados cuando se utilizan EAP-TLS y PEAP con EAP-TLS, en la dirección http://support.microsoft.com/default.aspx?scid=kb;en-us;814394 Identificación de requisitos para los servidores de autenticación Para iniciar sesión, los usuarios remotos deben presentar sus credenciales a un servicio de autenticación. Windows proporciona dos servicios de autenticación para usuarios remotos: • Servidores IAS (Servicios de autenticación de Internet) • El servicio de directorio Active Directory® Si su organización decide utilizar el proveedor de autenticación RADIUS (Servicio de usuario de acceso telefónico de autenticación remota), deberá incluir servidores IAS en la configuración. IAS es la implantación de RADIUS que realiza Microsoft y funciona como servicio en Windows 2000 Server o posterior. Las organizaciones pueden obtener ventajas con la implantación de IAS para la autenticación RADIUS con tarjetas inteligentes, entre las que se incluyen las siguientes: • Autorización y autenticación centralizada de usuarios • Mecanismos de administración y contabilidad independientes • Amplia gama de opciones de autorización y autenticación El servidor IAS administra el proceso de autenticación. IAS entrega la solicitud de autenticación del usuario y la información del certificado de inicio de sesión a Active Directory, que compara el certificado de inicio de sesión con la información almacenada sobre el certificado correspondiente a ese usuario remoto. Si la información del certificado coincide, Active Directory autentica al usuario. Para obtener más información acerca de una solución de diseño en la que se utilice IAS, consulte el apartado "Diseño de la solución", más adelante en este capítulo. Distribución e inscripción de tarjetas inteligentes para el acceso remoto La distribución e inscripción de tarjetas inteligentes para el acceso remoto sigue un proceso similar al que se utiliza en la solución para cuentas de administrador, descrita en el Capítulo 3, "Uso de tarjetas inteligentes para la protección de las cuentas de los administradores". Las principales diferencias estriban en que el número de usuarios es mayor y que el proceso podría llevarse a cabo en varios países o regiones. La comprobación de la identidad del usuario remoto sigue siendo una parte importante del proceso. Pero como no obstante los usuarios remotos no tienen los mismos derechos que los administradores, la presentación de documentos de identidad con fotografía como un pasaporte o permiso de conducir debe bastar para la identificación. Un responsable de la empresa debe presentar los justificantes para que el administrador otorgue acceso al usuario remoto. Las estaciones de inscripción deben encontrarse en ubicaciones adecuadas, como el departamento de personal o de seguridad, adonde podrán dirigirse los usuarios para retirar las tarjetas inteligentes que les sean asignadas. Si un usuario no puede desplazarse hasta una estación de inscripción, existe la posibilidad de utilizar herramientas para desbloquear la tarjeta inteligente, inscribir al usuario y activar la tarjeta de forma remota. Para el procedimiento de inscripción es necesario que un agente de inscripción genere la solicitud de certificado en nombre del usuario y que instale el certificado resultante en la tarjeta inteligente. El agente de inscripción envía al usuario la tarjeta inteligente a través de un método seguro de entrega. Después, el usuario se pone en contacto con el departamento de asistencia, establece su identidad y desbloquea la tarjeta inteligente, como se describe en la sección relativa al servidor Web de activación en el Capítulo 2, "Tecnologías de tarjeta inteligente". Otras consideraciones La introducción de un acceso remoto seguro en una organización contribuye a menudo a que aumente el número de usuarios que desean utilizar el servicio. Las organizaciones deben analizar su infraestructura de red y, cuando sea necesario, procurar recursos adicionales. Entre los elementos y aspectos que deben tenerse en cuenta podemos citar los siguientes: • Listas de revocaciones de certificados • Alto grado de disponibilidad y ancho de banda • Distribución de actualizaciones de software Listas de revocaciones de certificados La implantación de certificados para usuarios remotos implica cambios en la manera en que los clientes pueden localizar una lista de revocaciones de certificados (CRL) para comprobar la vigencia de un certificado. El localizador de recursos universal (URL) predeterminado de las CRL para Windows Server 2003 apunta a una ubicación de intranet; por ejemplo URL=http://Certification_Root_Server_DNS_Name/CertEnroll/ Certification_Authority_Name.crl. Para los usuarios remotos, esta dirección URL debe apuntar a una ubicación a la que se pueda tener acceso desde Internet. Este requisito afecta a todos los certificados emitidos e incluye tanto las direcciones URL de extranet como la intranet para la CRL. Para obtener más información acerca de la personalización de CRL, consulte el tema Especificar puntos de distribución de la lista de revocaciones de certificados en certificados emitidos, en la dirección www.microsoft.com/resources/documentation/WindowsServ/2003/standard/proddocs/en-us/sag_CSprocs_CDP.asp. Nota: Los equipos remotos pueden sufrir problemas de tiempo de espera si descargan la CRL a través de una conexión lenta. Distribución de actualizaciones de software La implantación de un mecanismo para la distribución de actualizaciones de software constituye un paso importante en el suministro de tarjetas inteligentes para el acceso de los usuarios. Las actualizaciones de software incluyen perfiles actualizados de Connection Manager y nuevas versiones de las herramientas relacionadas con las tarjetas inteligentes. Puede distribuir actualizaciones de software mediante: • Servidores Web con las actualizaciones a los que se pueda obtener acceso externamente. • CD o llaves USB. • Soluciones de administración de software tales como Systems Management Server (SMS) 2003. • Mensajes de correo electrónico que contengan actualizaciones firmadas con código. Si implanta la función de cuarentena de VPN, puede distribuir actualizaciones de perfiles de Connection Manager con el mismo método que utilice para suministrar actualizaciones y software antivirus. Para obtener más información acerca de la cuarentena de VPN, consulte el artículo sobre la guía de planeamiento para la implementación de servicios de cuarentena con una red privada virtual de Microsoft, en la dirección http://go.microsoft.com/fwlink/?LinkId=41307. La disponibilidad de Connection Manager y de actualizaciones de tarjetas inteligentes a través de servidores Web a los que se pueda tener acceso externo permite a los usuarios descargar las actualizaciones antes de la conexión a la red de una organización. El inconveniente de esta solución es que quizá no sea posible utilizar la tarjeta inteligente para la autenticación en el servidor Web externo. En este caso, los usuarios tienen que depender de las combinaciones de nombre de usuario y contraseña para iniciar sesión y descargar actualizaciones. Aunque esto parece contradecir el propósito de la autenticación de dos factores (ya que este servidor Web sólo proporciona recursos de actualización), quizá el riesgo le parezca aceptable. El uso de CD para distribuir actualizaciones constituye un método útil para implantaciones a gran escala en una fase inicial debido a que el costo unitario de los CD disminuye cuando se producen en grandes cantidades. Las llaves USB resultan más adecuadas para la distribución individualizada de actualizaciones. Para utilizar sistemas de administración de software como Systems Management Server 2003 con objeto de distribuir actualizaciones de software es necesario que los equipos se conecten a la red. Este mecanismo puede resultar adecuado para usuarios móviles y remotos que se conectan a la LAN de forma habitual y que utilizan equipos que pertenecen al dominio de la organización. Sin embargo, los mecanismos de actualización de software como Systems Management Server no son apropiados para usuarios remotos que utilizan sus propios equipos domésticos. En determinadas situaciones se pueden enviar actualizaciones por correo electrónico. Para implantar este método de distribución de software debe facilitar actualizaciones firmadas con código e instruir a los usuarios para que comprueben la veracidad del certificado de firma con código. En esta sección se ha descrito los componentes que pueden proporcionar autenticación con tarjetas inteligentes para cuentas de acceso remoto. En la siguiente sección, Problemas y requisitos, se examinan las dificultades que debe afrontar la entidad Woodgrove National Bank durante la implantación de un sistema basado en tarjetas inteligentes. Principio de la página Problemas y requisitos Durante la fase de planeamiento y diseño de la solución de acceso remoto con tarjetas inteligentes, el departamento de TI de Woodgrove se encontró con diversos problemas de tipo empresarial, técnico y de seguridad. En el siguiente apartado se identifican todos esos problemas. Información general de situación de Woodgrove National Bank Woodgrove National Bank proporciona acceso remoto a su red corporativa al personal de ventas, ejecutivo y de soporte técnico de TI. Para la solución actual de acceso remoto se emplea acceso telefónico a través de circuitos privados a servidores de acceso remoto dedicados que están equipados con modems o adaptadores RDSI. Estas conexiones son lentas y caras en comparación con las de banda ancha, sobre todo para los usuarios remotos que viajan por más de un país. La mayor disponibilidad de acceso de banda ancha a Internet permite a las organizaciones utilizar redes privadas virtuales para el acceso remoto. Con este sistema se reducen costos al eliminar el acceso telefónico y el usuario disfruta de prestaciones superiores. No obstante, también aumenta la vulnerabilidad del banco ante posibles ataques malintencionados. Cumplimiento de requisitos legales Como toda institución financiera, Woodgrove National Bank debe cumplir con estrictos requisitos legales en los distintos países y regiones en los que opera. El banco debe mantener la confianza de los clientes mediante la protección de los activos corporativos y de los clientes. Woodgrove National Bank implantó una iniciativa de protección de los equipos y estableció directivas de seguridad estrictas para todos los equipos con acceso a la red de la compañía, ya sea a través de la red de área local (LAN) o de forma remota. Comprobación de los usuarios La solución actual de acceso remoto de Woodgrove National Bank no es capaz de responder adecuadamente ante posibles ataques de suplantación (en los que el atacante intenta adivinar combinaciones de nombre de usuario y contraseña). Los ataques de suplantación provocan el bloqueo de las cuentas de acceso remoto, con lo que se impide al usuario legítimo la posibilidad de conectarse a la red. Esta vulnerabilidad aumenta el riesgo para la red corporativa y ha obligado a Woodgrove National Bank a limitar las opciones de conexión que ofrece a sus empleados. Problemas empresariales Muchos ejecutivos utilizan el acceso remoto. Aunque la seguridad es esencial durante la implantación de una solución basada en tarjeta inteligentes, el mantenimiento de la productividad de los trabajadores remotos también es importante. En la solución implantada se debe alcanzar un equilibrio entre estas necesidades. Mantener la productividad A menudo, los empleados pierden la confianza en las soluciones de seguridad que afectan a la productividad. Para los usuarios constituye un motivo de frustración no poder tener acceso a los recursos de la red durante la implantación de una solución y justo después. El equipo de TI de Woodgrove debe proporcionar otros métodos de acceso para intentar superar esos inconvenientes. Las herramientas de la siguiente lista proporcionan otros métodos de acceso a redes: • Outlook Web Access. Proporciona al usuario un acceso seguro al correo electrónico a través de un explorador Web. • Servicios de Terminal Server y Escritorio remoto. Los empleados pueden utilizar los servicios de Terminal Server y Escritorio remoto para obtener acceso a aplicaciones de línea de negocio y a archivos de escritorio. Soporte al personal de asistencia La aceptación por parte de los usuarios y la integridad de una solución de acceso remoto dependen a menudo del nivel de soporte disponible. Para los ejecutivos resulta frustrante perder tiempo en colas para obtener soporte. Las organizaciones deben prever recursos de formación tanto para el usuario final como para el personal de soporte. Problemas técnicos Woodgrove National Bank ha identificado diversos aspectos técnicos clave que reclaman atención antes de la implantación de un sistema de tarjetas inteligentes para el acceso remoto. Entre estos aspectos podemos citar la distribución de tarjetas inteligentes y lectores, la integración de la solución en la red actual de manera que la repercusión sea mínima, y la integración en la infraestructura de administración de TI actual. • Lectores de tarjetas inteligentes compatibles. Lo usuarios remotos podrían trabajar desde sus casas con distintos equipos y sistemas operativos. El departamento de TI de Woodgrove decidió que la única configuración admitida sería Windows XP Professional con SP2 o posterior. Los usuarios remotos que utilizaban Windows 2000 Professional no tenían garantías de que los lectores de tarjetas inteligentes funcionaran con sus equipos. • Latencia de la red. El tiempo que tardan los paquetes en ir y volver entre el cliente y el servidor de acceso remoto pueden provocar errores en las conexiones VPN protegidas. Esto resulta especialmente problemático en las conexiones de banda ancha por satélite. Woodgrove National Bank decidió no admitir conexiones remotas con tiempos de latencia superiores a 300 milisegundos. • Distribución de tarjetas inteligentes. Como Woodgrove National Bank opera en distintos países y regiones, la distribución de tarjetas inteligentes plantea problemas tanto técnicos como de seguridad. Los agentes de inscripción deben tener la posibilidad de ponerse en contacto con el servidor Web de activación independientemente del país o región en que se encuentren. Como alternativa, los usuarios tendrían que desbloquear tarjetas inteligentes a través de un sistema de desafío y respuesta. El sistema de desafío/respuesta puede requerir programación con el kit de desarrollo de software (SDK) del fabricante. Cuestiones de seguridad Los siguientes aspectos afectan a la estrategia de seguridad de la implantación en la entidad Woodgrove National Bank de un sistema de acceso seguro con tarjetas inteligentes: • Identificación de usuarios de acceso remoto. El departamento de TI de Woodgrove National Bank debe validar la identidad de los usuarios de acceso remoto durante el proceso de distribución y activación de tarjetas inteligentes. • Excepciones en las conexiones para la solución de Woodgrove. Como las tarjetas inteligentes se pueden perder, robar o, simplemente, olvidar, el equipo de TI de Woodgrove IT debe asegurarse de que su solución de implantación incluya un método ágil para distribuir con seguridad las tarjetas inteligentes de reemplazo, así como un sistema para administrar las excepciones durante el tránsito de las tarjetas de reemplazo. Requisitos de la solución Para proteger las cuentas de acceso remoto con tarjetas inteligentes, la solución debe incluir los siguientes componentes: • Servicio de autenticación de Internet (IAS). Los servidores IAS actuales requieren actualizaciones a Windows Server 2003 con Service Pack 1 o posterior para facilitar los filtros de IP mejorados y la aceptación de atributos específicos del fabricante. Además, el departamento de TI de Woodgrove debe posibilitar la compatibilidad con EAP-TLS en los servidores de acceso remoto. • Plantillas para usuarios de tarjetas inteligentes. Woodgrove National Bank debe llevar a cabo la personalización de las plantillas de certificados y establecer los permisos adecuados para las plantillas. El agente de inscripción de certificados y las plantillas de inicio de sesión con tarjetas inteligentes requieren los permisos correspondientes. Nota: Es posible restringir el acceso remoto a los certificados de las tarjetas inteligentes si se establece una directiva de acceso remoto en virtud de la cual sólo se acepte un certificado con un identificador de objeto determinado. Para obtener más información acerca de las plantillas de certificados y los identificadores de objetos, consulte el documento sobre implementación y administración de plantillas de certificados en Windows Server 2003, en la dirección www.microsoft.com/technet/prodtechnol/windowsserver2003/technologies/security/ws03crtm.mspx. • Herramientas de administración de NIP. Los usuarios necesitan una utilidad de software para administrar sus propios NIP. La mayoría de los fabricantes de tarjetas inteligentes proporcionan herramientas básicas para la administración de NIP. El departamento de TI de Woodgrove optó por ampliar la personalización para integrar la herramienta de administración de NIP con una utilidad de desbloqueo remoto de NIP. • Objetos de directiva de grupo (GPO). El departamento de TI de Woodgrove debe crear el GPO adecuado a la estructura de sus unidades organizativas. Estos GPO deben incluir opciones de configuración para las excepciones, como los casos de los usuarios que pierden u olvidan su tarjeta inteligente o su NIP. • Perfiles de Connection Manager. El departamento de TI de Woodgrove debe crear perfiles de Connection Manager configurados especialmente que contengan la configuración de conexión de servidor de acceso telefónico o VPN para los servidores de acceso remoto de Woodgrove. El equipo de TI de Woodgrove también tiene que personalizar el texto de la interfaz de usuario del perfil de Connection Manager para ayudar a los usuarios a comprender el proceso de conexión y a indicarles qué deben hacer si surgen problemas. El departamento de TI de Woodgrove creó distintos perfiles de Connection Manager para diferentes tipos de usuarios, como ejecutivos, usuarios regulares y personal administrativo. Cada perfil tenía distintas prioridades durante la configuración de la conexión. Los administradores pueden conectarse de forma remota, independientemente del tráfico que haya en la red. • Windows XP Professional con Service Pack 2. Woodgrove National Bank debe actualizar todos los equipos de acceso remoto a Windows XP Professional con SP2 o posterior. Windows XP Professional con SP2 ofrece características de seguridad mejoradas, como el servidor de seguridad de Windows (Firewall) y avances en las prestaciones de actualización automática, con lo que aumenta la integridad de la solución de acceso remoto. Windows XP Home con SP2 proporciona estas ventajas desde el punto de vista de la seguridad, pero no puede unirse a un dominio y utilizar la Directiva de grupo. Windows 2000 Professional con SP4 no ofrece las mejoras de seguridad que incluye Windows XP Professional con SP2. • Proceso de adquisición de tarjetas inteligentes y lectores. Aunque Woodgrove National Bank cuenta con una infraestructura de claves públicas consolidada, el banco obtendría un escaso beneficio con la instalación del sistema Windows para tarjetas inteligentes si éstas estuvieran vacías. La mayoría de los fabricantes ofrecen tarjetas inteligentes con el sistema operativo ya instalado. La elección de tarjetas inteligentes y lectores de un mismo fabricante ofrece la ventaja de contar con un punto de contacto único para el soporte técnico. • Lectores de tarjetas inteligentes USB o PC Card. El establecimiento de estándares para la implantación minimiza el costo de instalación de una solución basada en tarjetas inteligentes. Woodgrove National Bank implantó una directiva corporativa en virtud de la cual todos los nuevos equipos portátiles integrarían lectores de tarjetas inteligentes. Woodgrove National Bank también ha establecido un estándar común para el suministro de lectores de tarjetas inteligentes USB. El banco suministra lectores de tarjetas inteligentes USB a los empleados que utilizan sus propios equipos para trabajar desde sus casas. Woodgrove se ha asegurado la continuidad a través de un contrato con el proveedor de lectores de tarjetas inteligentes que le permitirá contar con el mismo modelo de lectores durante dos años. • Relaciones de confianza. Para la implantación de tarjetas inteligentes en Woodgrove National Bank se utilizaron las relaciones de confianza actuales entre bosques independientes y cualquier confianza unidireccional, como las que existen entre bosques de los equipos de desarrollo más pequeños y el bosque corporativo principal. Para esta disposición no fue preciso realizar cambios en las plantillas de certificados. • Infraestructura de claves públicas (PKI) de Windows Server 2003. Los servicios de Certificate Server de Windows Server 2003 proporcionan la posibilidad de asignar permisos a elementos de una plantilla predeterminada de certificados de tarjetas inteligentes, así como de personalizar las plantillas. La mayor flexibilidad de los permisos con respecto a las plantillas es fundamental, ya que permite que el departamento de TI de Woodgrove delegue de un modo seguro el modelo de emisión de certificados definido. El departamento de TI de Woodgrove utiliza las características mejoradas de la infraestructura de claves públicas de Windows Server 2003 para establecer reglas de renovación automática de certificados. El equipo de TI utiliza las características de los permisos asociados a las plantillas de certificados para requerir que sean los responsables de seguridad de Woodgrove National Bank quienes creen todas las inscripciones de certificados de las nuevas tarjetas inteligentes. No obstante, el usuario puede renovar automáticamente todos los certificados de tarjeta inteligente actuales. Woodgrove National Bank ya contaba con una infraestructura de claves pública de Windows 2000 Server cuando la organización decidió implantar tarjetas inteligentes. Para la fase piloto inicial, el departamento de TI de Woodgrove National Bank optó por utilizar su infraestructura de seguridad actual basada en Windows 2000 para la creación y administración de certificados destinados a tarjetas inteligentes, en lugar de recurrir a servicios de terceros. Sin embargo, la solución de seguridad con tarjetas inteligentes de Woodgrove requiere que los certificados caduquen en un plazo de un año. Este requisito supondría un considerable costo en soporte, ya que iba a ser necesario renovar decenas de miles de certificados de usuario cada año. Ante el consiguiente incremento de la carga de trabajo administrativa, el equipo de TI de Woodgrove National Bank decidió actualizar su infraestructura de claves públicas a la de Windows Server 2003. Si Woodgrove National Bank hubiera utilizado la infraestructura de claves públicas de Windows 2000 Server para la renovación automática de certificados, las opciones relacionadas habrían quedado limitadas a dos: establecer todas las renovaciones de certificados como automáticas o renovar manualmente todos los certificados. La renovación automática de todos los certificados eliminaría la flexibilidad en cuanto a opciones de renovación. Principio de la página Diseño de la solución En esta sección se señalan las opciones de diseño que aplicó el departamento de TI de Woodgrove National Bank para utilizar las tarjetas inteligentes como método de protección de las conexiones de acceso remoto. En esta sección se incluye el concepto de la solución y los requisitos previos. Además, se describe la arquitectura de la solución. Concepto de la solución En la solución se utiliza una combinación de configuración de Directiva de grupo, directivas de acceso remoto, perfiles de Connection Manager, certificados de usuario X.509 v3 instalados en las tarjetas inteligentes y lectores de tarjetas inteligentes. Básicamente, la idea consiste en que un usuario de acceso remoto inicie un perfil de Connection Manager personalizado, con el que se pide al usuario que inserte una tarjeta inteligente en el lector conectado. Después, el sistema operativo le indica al usuario que escriba el NIP. Si el NIP es correcto, el lector extrae un certificado de tarjeta inteligente y la información de la cuenta. A continuación, Connection Manager establece una conexión con el servidor de acceso remoto y presenta las credenciales de la tarjeta inteligente. Active Directory autentica estas credenciales y el servidor de acceso remoto otorga al usuario acceso a la red corporativa. Requisitos previos de la solución Los requisitos previos para utilizar tarjetas inteligentes con el fin de proteger las cuentas de acceso remoto son similares a los de la solución basada en tarjetas inteligentes para proteger las cuentas de administrador. Deberá: • Consultar a los usuarios y grupos. • Seleccionar el personal para el proyecto. • Establecer las expectativas de los usuarios. • Actualizar el hardware y el software. • Distribuir y activar las tarjetas inteligentes de un modo seguro. Consulta a usuarios y grupos Dentro del ciclo planeado, debe evaluar las soluciones de acceso remoto actuales y consultar a quienes las utilizan. Woodgrove National Bank opera en varios países y regiones, y en todos ellos hay usuarios que se conectan mediante acceso remoto. El equipo inicial sondeó las opiniones de los usuarios de acceso remoto y de los equipos de soporte actuales para identificar e implicar en la fase piloto a posibles usuarios, grupos y personal de soporte. Selección del personal para el proyecto. Debe asegurarse de contar con el personal y los recursos adecuados para implantar un proyecto de estas características. Es probable que el equipo del proyecto solicite opiniones de los siguientes cargos representativos: • Director del programa • Diseñador de sistemas de información • Analista o integrador de sistemas • Ingenieros de sistemas • Responsable de lanzamiento de productos • Responsable de pruebas de productos • Responsable de soporte o asistencia técnica • Especialistas de soporte a usuarios • Responsables de seguridad Para obtener más información acerca de los oficios representativos y las asociaciones de funciones en Microsoft Operations Framework (MOF), consulte el documento (en inglés) The Microsoft Solutions Framework Supplemental Whitepapers – IT Occupation Taxonomy, en la dirección www.microsoft.com/downloads/details.aspx?FamilyID=839058c3-d998-4700-b958-3bedfee2c053 Si no dispone de los recursos internos necesarios, deberá contratar más personal. Como este proyecto no suele precisar la intervención simultánea del personal participante en todas las etapas, deberá determinar la disponibilidad individual a lo largo del proyecto. Establecimiento de las expectativas de los usuarios El principal problema que plantean las tarjetas inteligentes y el acceso remoto desde el punto de vista de los usuarios es que se tarda más tiempo en iniciar sesión. Los usuarios deben prever que se incrementarán los tiempos de inicio de sesión en varios segundos con la autenticación mediante tarjetas inteligentes. Actualización de hardware y software En la solución basada en tarjetas inteligentes para el acceso remoto se necesitan los sistemas operativos y Service Pack de Microsoft más recientes. Este requisito permite aprovechar con la solución de acceso remoto los últimos avances y servicios de seguridad que ofrecen Windows XP Professional con SP2 y Windows Server 2003 con SP1, como el Firewall de Windows, Prevención de ejecución de datos (DEP), Asistente de configuración de seguridad y Cuarentena de VPN. Las actualizaciones de software quizá precisen que se actualice el hardware de cliente o de servidor. Mediante un programa piloto se puede establecer si en los equipos antiguos se pueden ejecutar sistemas operativos más recientes. Para comprobar si los equipos están certificados para Windows XP o Windows Server 2003, consulte el tema sobre productos diseñados para Microsoft Windows: Catálogo de Windows y lista de compatibilidad de hardware, en la dirección www.microsoft.com/whdc/hcl/default.mspx?gssnb=1. Distribución y activación de las tarjetas inteligentes de un modo seguro En la implantación de tarjetas inteligentes para el acceso remoto se necesita un método seguro para la distribución y activación de las tarjetas. Normalmente, para este proceso de distribución sería preciso que los usuarios remotos informasen a su oficina administrativa local para que el agente de inscripción pueda comprobar su identidad, emitir la tarjeta inteligente y llevar a cabo el procedimiento de activación. En la sección relativa al modelo de emisión delegada, que encontrará más adelante en este capítulo, se describe el sistema utilizado por Woodgrove National Bank para la distribución y activación de las tarjetas inteligentes destinadas a los usuarios remotos. Arquitectura de la solución La implantación de la solución basada en tarjetas inteligentes adoptada por Woodgrove National Bank para el acceso remoto precisa los siguientes componentes: • Active Directory. • IAS instalado en un servidor con Windows Server 2003. • Windows Server 2003 con SP1, con enrutamiento y acceso remoto. • Directiva de grupo. • Equipos cliente en los que se ejecute Windows XP Professional con SP2 o posterior. • Lectores de tarjetas inteligentes. • Tarjetas inteligentes con 32 KB de memoria, como mínimo. • Perfiles de Connection Manager creados con CMAK. • Secuencias de comandos de cliente para el perfil de Connection Manager. El departamento de TI de Woodgrove consideró en principio la posibilidad de admitir todas las versiones de Windows implantadas. Sin embargo, conscientes de la amenaza a la que se exponen los equipos conectados a Internet, optaron por normalizarse con Windows XP Professional con SP2. Las cuentas de usuarios y las pertenencias a grupos almacenadas en Active Directory regulan la conexión y el acceso a los recursos corporativos de la entidad Woodgrove National Bank. El departamento de TI de Woodgrove también utiliza GPO para la configuración de equipos cliente a fin de cumplir las directivas de seguridad de las redes corporativas. Cómo funciona la solución En esta sección se proporcionan detalles técnicos de la solución adoptada por Woodgrove National Bank. Se explica cómo autentica Active Directory al usuario y cómo realiza el seguimiento de la ruta de autenticación para las credenciales de la tarjeta inteligente. El siguiente procedimiento posibilita el acceso remoto con tarjetas inteligentes: 1. Un usuario remoto inicia sesión en un equipo con acceso a Internet que tiene conectado un lector de tarjetas inteligentes. El usuario inicia el perfil personalizado de Connection Manager; para esto hace doble clic en la conexión Connection Manager de TI de Woodgrove para tarjetas inteligentes. 2. El perfil de Connection Manager comprueba si hay una tarjeta inteligente en el lector. Aparece un cuadro de diálogo en el que se pide al usuario que escriba el NIP. Connection Manager utiliza el NIP para realizar operaciones importantes con la tarjeta como servicio del sistema, ya que no puede presentar mensajes ni mostrar la interfaz de usuario en el escritorio. Si el usuario escribe el NIP adecuado, la tarjeta se desbloquea y permite que continúe el proceso de inicio de sesión para el acceso remoto. 3. La Autoridad de seguridad local (LSA) es el componente de confianza del sistema operativo que realiza todas las autenticaciones. SChannel, que es el código que implanta SSL, se ejecuta parcialmente en la LSA e inicia la secuencia de asignación. 4. El perfil de Connection Manager inicia un vínculo con los servidores IAS de Woodgrove National Bank mediante una conexión de acceso telefónico o VPN. El servidor IAS realiza una comprobación de revocación con el certificado del cliente. Con la asignación del certificado al nombre principal del usuario (UPN), la entidad emisora de certificados debe encontrarse en el almacén NTAUTH. También se puede establecer una asignación explícita en la cuenta de usuario de Active Directory. 5. La LSA presenta la información del usuario al servidor IAS. El código SChannel que se ejecuta en el servidor IAS envía un mensaje al código SChannel del controlador de dominio y le transfiere la información de UPN del certificado. 6. El código SChannel que se ejecuta en el servidor IAS valida el certificado y después realiza una búsqueda del usuario con Active Directory en el controlador de dominio. El controlador de dominio genera un certificado de acceso a privilegios (Privilege Access Certificate, PAC) que contiene el identificador de 128 bits del usuario y su pertenencia al grupo. A partir de ese punto, en las comunicaciones posteriores se utiliza el protocolo Kerberos v5. 7. El controlador de dominio transmite una clave de sesión generada aleatoriamente que incluye el tíquet de obtención de tíquet (TGT) de Kerberos para el equipo cliente. Con la recepción de esta clave se autentica el servidor de acceso remoto para el cliente. Ahora, los dos equipos se han autenticado mutuamente. 8. El equipo cliente descifra la clave de inicio de sesión y presenta el TGT de Kerberos v5 al servicio de concesión de vales. Una vez concluido este proceso, en todas las restantes comunicaciones con el protocolo Kerberos v5 se utiliza el cifrado simétrico. 9. Si el usuario estableció una conexión de acceso telefónico, se le piden el nombre de usuario y la contraseña. El usuario escribe las credenciales y, a partir de ese momento, puede obtener acceso a todos los recursos de la red de Woodgrove Bank. Los usuarios que se conectan a través de VPN no tienen que realizar esta operación.    En la ilustración siguiente se muestran los pasos que deben seguirse para utilizar una tarjeta inteligente con fines de autenticación de acceso remoto. Ilustración 4.1 Inicio de sesión de acceso remoto y proceso de autenticación con una tarjeta inteligente Ver la imagen en tamaño completo Los ciclos de procesador adicionales que se necesitan para procesar la información de la tarjeta inteligente equivalen a prolongar entre 20 y 25 segundos el proceso de autenticación inicial. Una vez finalizada la autenticación, el rendimiento no se ve afectado. Consideraciones de diseño adicionales En la siguiente sección se detallan consideraciones adicionales para la implantación de tarjetas inteligentes y se incluye el mecanismo de distribución de tarjetas inteligentes utilizado por la entidad Woodgrove National Bank. Modelo de emisión delegada El departamento de TI de Woodgrove National Bank desarrolló un modelo de emisión delegada de las tarjetas inteligentes. Este modelo ofrece una respuesta más ágil que contribuye a asegurar el máximo nivel de seguridad para la distribución en todo el mundo de tarjetas inteligentes para los empleados. El equipo de TI de Woodgrove National Bank utilizó un modelo de emisión delegada para implantar la solución de tarjetas inteligentes fuera de la sede central de TI en Londres. El departamento de TI de Woodgrove National Bank envió técnicos a las oficinas de todo el mundo para formar a los responsables delegados de emisión (DIO, Delegated Issuance Officers). Los técnicos formaron a los DIO en la distribución de tarjetas inteligentes y en el uso de las herramientas relacionadas con las tarjetas. Tras la visita inicial, los DIO participaban en conferencias semanales con el equipo de TI de la sede central de Woodgrove National Bank para tratar las cuestiones que iban surgiendo. En la siguiente ilustración se muestran los pasos del modelo de emisión delegada para la aprobación de solicitudes de certificados. Ilustración 4.2 Proceso de delegación utilizado para emitir tarjetas inteligentes destinadas al acceso remoto en tamaño completo Los pasos que se siguen de acuerdo con este diagrama de flujo son los siguientes: 1. El usuario solicita una tarjeta inteligente al DIO. 2. El DIO valida la identidad del usuario a partir de un documento de identificación válido, como un pasaporte o un permiso de conducir, y comprueba la identidad del usuario con el jefe del departamento. Después de confirmar la identidad del usuario, el DIO envía una solicitud a uno de los responsables de seguridad que se encuentran en Londres. 3. Para validar la solicitud, el responsable de seguridad comprueba si se había emitido anteriormente algún otro certificado para ese usuario. El responsable de seguridad determina también si el usuario ha solicitado alguna otra tarjeta inteligente. Si no hay objeciones para la emisión de la tarjeta inteligente, el responsable de seguridad da su aprobación. Si el responsable de seguridad detecta algún problema, el proceso debe someterse a una auditoría, tal como se describe en el quinto paso. 4. El DIO recibe la aprobación y utiliza la cuenta del agente de inscripción para emitir el certificado. Este certificado se adjunta a una nueva tarjeta inteligente, que el DIO expide al usuario en persona. Así se completa el proceso de emisión delegada. 5. Si existen dudas acerca de la validez de la solicitud, el responsable de seguridad inicia una auditoría de la solicitud para determinar si debe otorgarse la aprobación a ese usuario. Una vez concluida la auditoría, el usuario debe presentar una nueva solicitud. 6. Se completa el proceso de emisión delegada. Woodgrove National Bank sólo podía implantar el modelo de emisión delegada después de que el departamento de TI realizara la migración de las entidades emisoras de certificados de la empresa a Windows Server 2003. La infraestructura de claves públicas de Windows Server 2003 permite aplicar permisos detallados a secciones de las plantillas de certificados, lo que posibilita la función de los DIO en el modelo de emisión delegada. Dentro del modelo de emisión, Woodgrove desarrolló procedimientos para volver a emitir de forma segura tarjetas inteligentes perdidas o robadas.   Configuración de cuentas RADIUS Aunque no sea imprescindible, Microsoft recomienda el mantenimiento de registros para la implantación de una solución de acceso remoto basada en tarjetas inteligentes. Si utiliza IAS, una de las ventajas es la compatibilidad integrada con el proveedor de cuentas RADIUS, que registra las solicitudes de conexión y las sesiones de cliente. Woodgrove National Bank desea supervisar qué usuarios inician sesión, en qué momento y durante cuánto tiempo están conectados a la red corporativa. RADIUS brinda a Woodgrove la posibilidad de analizar tendencias por lo que respecta a las conexiones, con objeto de revisar y mejorar el servicio. Cada servidor IAS recopila datos de las sesiones de los usuarios, que almacena en Microsoft SQL Server™ Desktop Engine (Windows) (WMSDE) en el caso de Windows Server 2003, o en SQL Server 2000 Desktop Engine (MSDE 2000) con Windows 2000 Server y anteriores. IAS transfiere la información de cuentas desde WMSDE o MSDE a una base de datos central SQL Server 2000 casi en tiempo real. Esta disposición garantiza un uso rentable de las licencias de SQL Server y no altera el rendimiento del servidor. Woodgrove National Bank implantó a escala regional servidores de recopilación de datos basados en SQL Server para recabar información de las sesiones de acceso remoto con IAS. Implantación en fases piloto El departamento de TI de Woodgrove National Bank prueba todas las soluciones en un entorno de laboratorio y realiza más de una prueba piloto antes de la implantación en la red de producción. El equipo de TI de Woodgrove desarrolló dos pruebas piloto para la implantación de tarjetas inteligentes destinadas al acceso remoto: en una participó un grupo reducido de usuarios experimentados y la otra incluía un grupo más heterogéneo de usuarios de distintos países y regiones, con distintos grados de experiencia en cuanto al acceso remoto. Las pruebas piloto con los usuarios más experimentados permitieron a Woodgrove National Bank identificar los principales problemas de la implantación de tarjetas inteligentes. Los usuarios con más experiencia sortearon sin dificultad los problemas menores y los cuadros de diálogo inesperados. Cuando el departamento de TI de Woodgrove terminó la primera fase piloto, sabían que la solución basada en tarjetas inteligentes funcionaría, pero eran necesarios algunos ajustes. La segunda fase piloto, en la que intervinieron usuarios de características muy diversas, permitió al departamento de TI de Woodgrove conocer en la práctica el tipo de llamadas al soporte técnico que cabe esperar con la implantación completa. Gracias a estas pruebas piloto, el departamento de asistencia pudo resolver problemas técnicos y fue posible detectar la necesidad de ciertas mejoras antes de la implantación de un sistema de tarjetas inteligentes para todos los usuarios remotos. Garantía de alta disponibilidad El escenario de la solución debe ofrecer una gran confiabilidad debido a que el mantenimiento de la productividad es un requisito fundamental de la solución de acceso remoto. Woodgrove National Bank debe considerar las disposiciones necesarias para mantener un alto grado de disponibilidad. Éstas incluyen: • Servidores de acceso remoto con carga equilibrada. • Servidores IAS con carga equilibrada. • Rutas de acceso a red redundantes. Nota: Woodgrove Bank cuenta con puntos de entrada de Enrutamiento de acceso remoto/IAS ubicados geográficamente debido al diseño físico de la red. Garantía de un ancho de banda de red adecuado Los diseñadores de sistemas deben tener en cuenta las actuales rutas de acceso a la red, los tiempos de conexión previstos y el tipo y volumen de tráfico de acceso remoto previsto. No debe subestimarse el ancho de banda adicional que los usuarios de acceso remoto pueden precisar. Las implantaciones piloto deben servir de ayuda en el análisis de los patrones de tráfico de acceso remoto y de las repercusiones que puede tener ese tráfico en la infraestructura de red actual. Es importante que en las pruebas participen usuarios no técnicos y que se incluyan patrones de uso típicos, que es más probable que se reproduzcan en la implantación completa. Los conmutadores de hardware que incorporan control de ancho de banda y las redes de área local virtuales (VLAN) pueden reducir la incidencia del tráfico de acceso remoto en otros usuarios. Woodgrove National Bank utiliza varios proveedores de servicios Internet para conseguir una buena conectividad. Una gran parte del ancho de banda actual proporciona acceso a Internet para la investigación en Web y el correo electrónico. El departamento de TI de Woodgrove debe revisar las disposiciones actuales para acomodar el tráfico adicional asociado a las conexiones de acceso remoto. Excepciones Los diseñadores de sistemas de Woodgrove National Bank son conscientes de que, cualquiera que sea la solución, tiene que prever situaciones en las que las necesidades de la empresa dicten exenciones temporales de los requisitos de seguridad normales para uno o varios dispositivos. Por ejemplo, el acceso remoto para los ejecutivos durante una reunión de especial importancia puede quedar exento de autenticación mediante tarjetas inteligentes. Si la solución basada en tarjetas inteligentes no puede permitir excepciones individualizadas para dispositivos determinados, el departamento de TI se verá obligado a deshabilitar todos los requisitos para el acceso remoto a causa de una sola excepción. Así pues, la solución basada en tarjetas inteligentes debe admitir excepciones. Nota: El grupo de seguridad de TI de Woodgrove debe ser la única autoridad que determine cuándo procede una excepción por necesidades empresariales y si se justifica el consiguiente riesgo para la seguridad. El equipo de TI de Woodgrove creó un nuevo grupo de seguridad, con el nombre RemoteSmartCardUsersTempException, para las excepciones temporales al requisito de uso de tarjeta inteligente en el acceso remoto. A continuación configuraron las directivas de acceso remoto para el servidor de acceso remoto entrante según se indica en la tabla que se muestra a continuación. Tabla 4.1: Condiciones de la directiva de acceso remoto de Woodgrove National Bank Requisito Condiciones de la directiva Tipo de autenticación Requerir la autenticación con tarjetas inteligentes para los miembros del grupo de usuarios de acceso remoto Los grupos de Windows coinciden con "WOODGROVE\RemoteSmartCardUsers" EAP - tarjeta inteligente u otro certificado únicamente. No requerir la autenticación con tarjetas inteligentes para los miembros del grupo de exclusiones temporales Los grupos de Windows coinciden con "WOODGROVE\RemoteSmartCardUsersTempException" MSCHAP v2 Esta disposición exige el requisito de la tarjeta inteligente para los miembros del grupo RemoteSmartCardUsers, pero no para los del grupo RemoteSmartCardUsersTempException. Para obtener más información acerca de cómo requerir la autenticación con tarjeta inteligente para los usuarios remotos, consulte el tema Configurar el acceso remoto con tarjetas inteligentes, en la dirección www.microsoft.com/technet/prodtechnol/windowsserver2003/library/ServerHelp/863638a6-f9e0-48d7-9db5-0b54af3cf135.mspx. Aplicación de los procedimientos recomendados El departamento de TI de Woodgrove National Bank estableció la siguiente lista de recomendaciones para los procedimientos: • Implicar al personal de asistencia. Un departamento de asistencia bien preparado debe ser uno de los componentes esenciales de cualquier proyecto relacionado con tarjetas inteligentes. Después de la implantación, el papel del personal de asistencia pasa a ser de mantenimiento. Es esencial que el personal de asistencia esté puntualmente informado de cualquier cambio del sistema interno y de las novedades técnicas que afecten al uso. • Proporcionar administración de NIP. Como el principal objetivo del uso de las tarjetas inteligentes es mejorar la seguridad de la red, es esencial mantener seguros los datos almacenados en las tarjetas. El olvido de un NIP constituye un reto, tanto durante la implantación del sistema de tarjetas inteligentes como posteriormente. Debe consultar al fabricante de las tarjetas inteligentes acerca del suministro de herramientas de administración de NIP e implementar procesos de restablecimiento de NIP para usuarios que no puedan hacerlo en una ubicación de la empresa (por ejemplo, cuando se desplazan). • Implementar medidas contra alteraciones. Las tarjetas inteligentes necesitan protección contra las alteraciones, de modo que se bloqueen si un usuario escribe mal el NIP cinco veces consecutivas. • Mantener un equipo para la fase posterior a la implantación. El equipo dedicado a administrar la fase posterior a la implantación puede ser mucho más reducido que el equipo inicial, pero es necesario para supervisar periódicamente la integridad del sistema, así como para probar y coordinar las posibles actualizaciones de la infraestructura de claves públicas. Supervisión y administración Una solución en la que se utilicen tarjetas inteligentes para proteger el acceso remoto debe incluir la posibilidad de supervisar el estado de funcionamiento de la propia solución. Este proceso tiene que posibilitar la supervisión de toda la red, de un activo en particular o de una lista de activos en tiempo real. A través de las herramientas de supervisión debe mostrarse toda la información que necesita una organización para apoyar las operaciones. Si no se cumple ese requisito, el personal de seguridad no podrá determinar si la solución mantiene con eficacia conexiones de acceso remoto seguras. Identificación de consideraciones sobre las operaciones El departamento de TI de Woodgrove identificó las siguientes consideraciones sobre el funcionamiento durante la implantación de la solución: • Comprobar la autenticación de acceso a las aplicaciones internas. Una tarjeta inteligente sólo debe afectar al primer inicio de sesión. En el programa piloto se debe poner a prueba la autenticación para el acceso a las aplicaciones internas. • Solucionar problemas relacionados con clientes remotos. Para solucionar estos problemas de cliente, se precisa una estrecha colaboración de varios equipos que trabajen en distintas zonas horarias. La realización de pruebas rigurosas y una adecuada implantación piloto contribuyen a reducir el número de llamadas al departamento de soporte técnico • Comprender el contexto del acceso remoto y las posibles amenazas para la organización. Debe comprender los escenarios de acceso remoto en la organización, las amenazas para la seguridad y cómo alcanzar un punto de equilibrio. Es necesario dar prioridad a los activos que necesitan una mayor protección y determinar equilibrio adecuado entre costo y riesgo; estas decisiones estratégicas corresponden a la directiva de la empresa. • Anticiparse a los desafíos técnicos. Debe anticiparse a los desafíos técnicos, como las rutinas de instalación y la distribución de herramientas de administración de tarjetas inteligentes. Quizá tenga que integrar la solución basada en tarjetas inteligentes en las herramientas de administración existentes en la empresa. • Supervisión y administración de problemas de rendimiento. Debe supervisar el rendimiento y administrar los problemas que puedan surgir en ese ámbito, así como establecer las expectativas de los usuarios antes de proceder a la implantación. Por ejemplo, los usuarios remotos que inicien sesión por primera vez pueden experimentar una considerable demora en el inicio de sesión si seleccionan la opción Iniciar sesión usando una conexión de acceso telefónico, del cuadro de diálogo Iniciar sesión en Windows. Debe asegurarse de que los usuarios remotos están informados de esta demora. • Actualizar. Si ha planeado una actualización con la tecnología más reciente, hágalo en una fase temprana del proceso de implantación. Esta estrategia proporciona una plataforma de referencia de cliente y servidor y evita muchas de las variables que podrían surgir durante la implantación. La estabilidad del servicio también aumentará y contribuirá a reducir el costo de soporte a los usuarios. • Implantar el proyecto en varias fases. La implantación del proyecto debe realizarse en varias fases, con un margen de tiempo suficiente entre éstas para que los usuarios vayan adaptándose progresivamente y se estabilicen los procesos. El solapamiento de fases puede tener repercusiones negativas en el servicio e impedir la identificación de problemas. • Tener en cuenta los activos personales. Recuerde que los equipos domésticos de los empleados no son propiedad de la empresa y que no los administra el departamento de TI. Si un empleado no desea o no puede instalar el hardware o el software necesarios para el uso de tarjetas inteligentes para el acceso remoto seguro, hay otras opciones disponibles. Por ejemplo, Microsoft Outlook® Web Access proporciona a los empleados un acceso seguro a su buzón de correo en Microsoft Exchange Server. • Administrar los cambios realizados en la solución. Debe administrar los cambios y mejoras que se lleven a cabo en la solución a través de procesos similares a los que se precisaron para la implantación inicial. • Optimizar la solución. Todos los aspectos de la solución basada en tarjetas inteligentes requieren una revisión periódica y las optimizaciones necesarias. De forma regular, el departamento de TI de Woodgrove debe revisar los procesos de inscripción y la necesidad de excepciones en las cuentas, con objeto de mejorar la seguridad y la integridad. Cómo ampliar la solución Las tarjetas inteligentes ofrecen un potencial considerable para la implantación de aplicaciones. Por ejemplo, los programadores pueden adaptar la plataforma abierta extensible para las tarjetas inteligentes y proteger la memoria para usos tales como un sistema de pago para la cafetería en el que no intervenga el dinero en metálico. Aunque el uso de tarjetas inteligentes para proteger el acceso remoto reduce la posibilidad de ataques por parte de usuarios no autorizados, la solución no garantiza que los equipos desde los que se obtiene acceso remoto cumplan con las directivas de seguridad de la red. El Control de cuarentena para el acceso a redes, que es una característica de Windows Server 2003 con SP1, puede confirmar que en los equipos remotos se ejecutan las últimas actualizaciones de software antivirus y de seguridad. La función de control de cuarentena permite realizar otras comprobaciones; por ejemplo, que está habilitado el Firewall de Windows en Windows XP con SP2. Para obtener más información acerca del control de cuarentena, consulte el artículo sobre la guía de planeamiento para la implementación de servicios de cuarentena con una red privada virtual de Microsoft, en la dirección http://go.microsoft.com/fwlink/?LinkId=41307.