Ver Mensaje Individual
  #8 (permalink)  
Antiguo 05/05/2011, 04:50
moeb
 
Fecha de Ingreso: febrero-2011
Mensajes: 581
Antigüedad: 13 años, 9 meses
Puntos: 81
Respuesta: IPSec en dominio con Kerberos (Request)

Encriptar una red siempre es algo bastante paranoico... Y depende enormemente de la confidencialidad de los datos a tratar en esa red y lo departamentada que esté la información.

Obviamente lo que evitas es que la información viaje en claro entre dos puntos y no pueda ser "sniffada" (y aunque lo sea, sea difícil saber de que se trata).

Actualmente hay formas de evitar que las claves viajen en claro (SSL, TLS, SSH, Kerberos, etc)... Antes (y ahora en muchos casos tambien), era trivial pillar en una red las claves de correo de todo dios, por ejemplo.

Puedes tener la autenticación windows encriptada a nivel alto con Kerberos (y eso si es muy habitual) aunque no tengas encriptado todo el tráfico (que es menos habitual)... Eso no evitará que si alguien te hace un MiM pueda pillar correo, cookies u otro tipo de info no encriptada que estes transmitiendo, claro. La protección de contraseñas es eso, protección de contraseñas y no protege de nada más...

El tema con la seguridad siempre es el mismo: Llegar a un equilibrio entre seguridad y operatividad, en función de la confidencialidad de la información a tratar... No se puede hacer, por ejemplo, que por culpa de la seguridad un tio pierda una hora de trabajo al dia entre pitos y flautas... Salvo que la información que maneje sea mucho más cara y secreta que su sueldo y esté justificado.

Ese tema es algo que cada administrador debe valorar en función de la empresa, no hay una regla genérica, sorry.

Además, por mucho que encriptes la red, si tus usuarios no están muy concienciados con el tema, tu punto débil será el mismo que el de todos: Esos mismos usuarios. Un correo que no deberían haber abierto, un pdf que le mandó un colega con una coña y que está infectado, una página web troyanizada... Y los PCs acaban en manos de terceros... Por mucho que encriptes tu red.

Pues eso. Encriptar una red no es más que otra de las cosas que se pueden hacer en un intento de que tus sistemas sean algo más seguros y robustos... Siempre que tengas claro que la Seguridad, con mayúsculas, no existe.

Cita:
¿Crees que IPSec es una gran medida de seguridad en una LAN?
Creo que es bastante mejor que nada, sin duda. Obviamente debes evaluar el coste en rendimiento, como te dije antes... Pero muchos de los ataques vía sniffing te los podrás evitar.

Y... sí. He visto redes (o más bien subredes, no toda la red en realidad) encriptadas con IPSeC y/o tunelizadas con SSH para aumentar la seguridad de una porción de la red... En empresas grandes con administradores de sistemas concienciados, es algo bastante habitual.