Beruflich Dokumente
Kultur Dokumente
Contenido Introduccin Leccin: Introduccin al acceso a la red Leccin: Seleccin de los mtodos de conexin de acceso a la red 1 2 14
Presentacin multimedia: Planeamiento de soluciones para clientes VPN y de acceso telefnico 21 Leccin: Seleccin de una estrategia de directiva de acceso remoto Leccin: Seleccin de un mtodo de autenticacin de acceso a la red Leccin: Planeamiento de una estrategia de acceso a la red Prctica A: Planeamiento del acceso a la red 29 42 50 56
La informacin contenida en este documento, incluidas las direcciones URL y otras referencias a sitios Web en Internet, est sujeta a modificaciones sin previo aviso. A menos que se indique lo contrario, los nombres de las compaas, productos, dominios, direcciones de correo electrnico, logotipos, personas, personajes, lugares y eventos mencionados son ficticios. No se pretende indicar, ni debe deducirse ninguna asociacin con compaas, organizaciones, productos, dominios, direcciones de correo electrnico, logotipos, personas, lugares o eventos reales. Es responsabilidad del usuario el cumplimiento de todas las leyes de derechos de autor aplicables. Ninguna parte de este documento puede ser reproducida, almacenada o introducida en un sistema de recuperacin, o transmitida de ninguna forma, ni por ningn medio (ya sea electrnico, mecnico, por fotocopia, grabacin o de otra manera) con ningn propsito, sin la previa autorizacin por escrito de Microsoft Corporation. Microsoft puede ser titular de patentes, solicitudes de patentes, marcas, derechos de autor, y otros derechos de propiedad intelectual sobre los contenidos de este documento. El suministro de este documento no le otorga a usted ninguna licencia sobre estas patentes, marcas, derechos de autor, u otros derechos de propiedad intelectual, a menos que ello se prevea en un contrato escrito de licencia de Microsoft. 2003 Microsoft Corporation. Reservados todos los derechos. Microsoft, MS-DOS, Windows, Windows NT, Active Directory, MSDN, PowerPoint, SharePoint, Visual Basic y Windows Media son marcas registradas o marcas comerciales de Microsoft Corporation en los Estados Unidos y/o en otros pases. Los nombres de compaas reales y productos aqu mencionados pueden ser marcas registradas de sus respectivos propietarios.
iii
Explicar los protocolos de autenticacin y los requisitos para una estrategia de acceso a la red. Aplicar las directrices para elegir una estrategia de conexin de acceso a la red. Aplicar las directrices para elegir una estrategia de directiva de acceso remoto. Elegir un mtodo de autenticacin de acceso a la red. Planear una estrategia de acceso a la red.
! ! ! !
Material necesario
El archivo 2191A_09.ppt de Microsoft PowerPoint. El archivo multimedia es Planeamiento de soluciones para clientes VPN y de acceso telefnico.
Importante Se recomienda utilizar PowerPoint 2002 o una versin posterior para mostrar las diapositivas de este curso. Si utiliza PowerPoint Viewer o una versin anterior de PowerPoint, puede que no se muestren correctamente todas las caractersticas de las diapositivas. Tareas de preparacin Para preparar este mdulo, debe:
! ! ! !
Leer todo el material relacionado con el mdulo. Completar los ejercicios prcticos y la prctica, y revisar las respuestas de esta. Repasar las presentaciones multimedia. Repasar los requisitos previos en lo que respecta a cursos y mdulos.
iv
Ejercicios prcticos
Prcticas
Explique que la seguridad de las conexiones es un componente fundamental para cualquier estrategia de acceso a la red. A medida que identifique los diversos componentes, es posible que los alumnos no acaben de asimilarlos, ya que pueden parecer inconexos, pero a medida que empiecen a profundizar ms en el tema, empezarn a formarse una idea clara.
Directrices para elegir mtodos de conexin de acceso a la red Ejercicio prctico: Seleccin de los mtodos de conexin de los acceso a la red
vi
vii
viii
Informacin de personalizacin
En esta seccin se identifican los requisitos de instalacin de las prcticas para un mdulo y los cambios de configuracin que se producen en los equipos de los alumnos durante estas prcticas. Esta informacin pretende ayudarle a replicar o personalizar el material del curso MOC (Microsoft Official Curriculum). La prctica de este mdulo tambin depende de la configuracin del aula especificada en la seccin Informacin de personalizacin, al final de la Gua de configuracin automatizada del aula del curso 2191A, Planeamiento y mantenimiento de infraestructuras de redes en Microsoft Windows Server 2003.
Introduccin
******EL USO POR QUIENES NO SEAN INSTRUCTORES NO EST AUTORIZADO Y RESULTA ILEGAL****** Introduccin En este mdulo se plantean las consideraciones sobre el planeamiento de una estrategia de acceso a la red con Microsoft Windows Server 2003. Estas consideraciones estn relacionadas con la estrategia de conexin, las directivas de acceso remoto y el uso de IAS (Servicio de autenticacin de Internet) para proporcionar autenticacin centralizada. Se le presentar el concepto de acceso a la red. En este mdulo, el acceso a la red sirve para definir cualquier mtodo que se utilice para conectarse a la red. Aprender a planear mtodos de conexin, como por ejemplo redes de rea local (LAN), LAN inalmbricas, conexiones de acceso telefnico o tneles de red privada virtual (VPN). Objetivos Despus de finalizar este mdulo, el alumno podr:
!
Explicar los protocolos de autenticacin y los requisitos para una estrategia de acceso a la red. Aplicar las directrices para elegir una estrategia de conexin de acceso a la red. Aplicar las directrices para elegir una estrategia de directiva de acceso remoto. Elegir un mtodo de autenticacin de acceso a la red. Planear una estrategia de acceso a la red.
! ! ! !
******EL USO POR QUIENES NO SEAN INSTRUCTORES NO EST AUTORIZADO Y RESULTA ILEGAL****** Introduccin La estrategia de acceso a la red es un componente fundamental de cualquier plan de infraestructura de redes. Debe asegurarse de que los usuarios remotos puedan tener acceso seguro a los recursos de la red corporativa y de que los clientes puedan adquirir los productos o servicios. Una parte importante de una estrategia de acceso a la red ser definir cmo se conectarn los usuarios, cmo se autenticarn y si los requisitos empresariales necesitarn una mayor seguridad. Objetivos de la leccin Despus de finalizar esta leccin, el alumno podr:
! ! ! !
Identificar los requisitos para el acceso a la red. Explicar cmo pueden conectarse los usuarios remotos a la red corporativa. Identificar los mtodos de autenticacin de acceso a la red. Aplicar las prcticas recomendadas de seguridad de las conexiones de acceso a la red. Explicar las diferencias entre los requisitos del host de seguridad.
******EL USO POR QUIENES NO SEAN INSTRUCTORES NO EST AUTORIZADO Y RESULTA ILEGAL****** Introduccin Su empresa puede tener miles de usuarios remotos que necesitan tener acceso a la red para utilizar recursos y servicios corporativos. Los asociados y los clientes necesitan tener acceso a la informacin sobre productos y realizar pedidos las veinticuatro horas del da, los siete das de la semana. Para satisfacer las necesidades de todos los tipos de usuarios, debe planear una solucin de acceso a la red integral. Definicin Acceso a la red define el modo en que los dispositivos (clientes, servidores, etc.) pueden conectarse y utilizar los recursos de la red. Su solucin de acceso a la red debe incluir lo siguiente:
!
Las tecnologas que se utilizan para establecer conexin en las capas fsicas y de vnculo de datos. Los protocolos y medidas de seguridad que se utilizan para proteger los datos y definir a quin se permite el acceso. Los procesos administrativos necesarios para garantizar que se aplican las medidas de seguridad adecuadas a los usuarios adecuados para los recursos apropiados.
Su plan de acceso a la red debe identificar los dispositivos de conectividad, la compatibilidad de los protocolos y los mtodos de autenticacin y cifrado apropiados para los usuarios remotos. En la siguiente tabla se muestra cada funcionalidad y requisito de acceso a la red.
Requisito Conectividad Descripcin Un dispositivo debe poder conectarse fsicamente con la red, a travs de cables, seales de radio u otros mtodos. Deben existir los protocolos adecuados para que se puedan establecer las conexiones en la capa de vnculo de datos. A continuacin se negocian los protocolos de nivel superior hasta llegar a la capa de aplicacin. La autenticacin puede negociarse para el usuario o dispositivo en cada capa. Los protocolos de cifrado se pueden negociar y las condiciones de conexin, las restricciones, los filtros y los perfiles se pueden aplicar en un dispositivo o usuario concreto.
Compatibilidad de protocolo
Autenticacin Cifrado
El Servicio de Enrutamiento y acceso remoto de Windows Server 2003 se integra fcilmente con el entorno de servicio de directorio Active Directory o en un entorno que no sea Active Directory. Utiliza las directivas de autenticacin y acceso remoto de Windows y RADIUS (Servicio de usuario de acceso telefnico de autenticacin remota) para definir las condiciones de conexin, las restricciones y los filtros para las solicitudes de conexin.
******EL USO POR QUIENES NO SEAN INSTRUCTORES NO EST AUTORIZADO Y RESULTA ILEGAL****** Introduccin Conexiones de acceso a la red El plan de infraestructura de redes determina cmo se conectarn los usuarios a la red corporativa tanto de forma local como remota. Hay diversas formas de obtener acceso a la red. Al margen de las LAN cableadas tradicionales, puede ser necesario incluir una solucin de acceso alternativo, como por ejemplo VPN, acceso remoto mediante acceso telefnico o una red inalmbrica. En la tabla siguiente se muestra una lista de las conexiones de acceso a la red que aprender y sus descripciones.
Conexin de red LAN Descripcin Una conexin LAN normalmente se trata de una conexin cableada que utiliza tecnologas tales como Ethernet o Token Ring en las capas fsicas y de vnculo de datos. Las velocidades de transmisin normalmente son muy rpidas (de 10 megabits por segundo [Mbps)] a 1.000 Mbps), y en algunos casos pueden ser en modo dplex completo. VPN Las VPN se forman cuando un protocolo de tnel, como por ejemplo PPTP (Protocolo de tnel punto a punto) o L2TP (Protocolo de tnel de capa 2) se utiliza para enviar los datos a travs de un tnel en una red existente, como por ejemplo Internet o una intranet. Ambos dispositivos pueden tratarse de un cliente que establece comunicacin con un servidor o bien dos enrutadores que utilizan un tnel para conectarse a redes diferentes con el fin de formar una WAN (Red de rea extensa). Las velocidades de conexin dependen de la conexin subyacente que utiliza el tnel. Esta conexin puede ser de LAN, DSL (Lnea de subscriptor digital), ISDN (RDSI, Red digital de servicios integrados), cable o un acceso telefnico a 56 kilobytes por segundo (Kbps).
Mdulo 9: Planeamiento del acceso a la red (continuacin) Conexin de red Conexin de acceso telefnico Descripcin Las conexiones de acceso telefnico normalmente utilizan un mdem o un dispositivo ISDN (RDSI) para establecer conexin entre dos dispositivos a travs de PSTN (Red telefnica pblica conmutada). Estas conexiones pueden ser de cliente a servidor o de enrutador a enrutador. Se pueden conectar segn sea necesario: como en una conexin normal de cliente a servidor o bien pueden permanecer conectados si se utilizan con mucha frecuencia, como por ejemplo en el caso de una conexin normal de enrutador a enrutador. Por norma general, las velocidades oscilan entre 128 Kbps para ISDN (RDSI) y 56 Kbps para un mdem tpico de conexin telefnica. LAN inalmbrica Tambin puede obtener acceso a una red mediante una LAN que no utilice cableado para conectar dispositivos a la red, y que en su lugar utilice seales de radio u otros mtodos de transmisin de seales. Las velocidades de transmisin normalmente oscilan entre 11 Mbps y 54 Mbps, pero las velocidades reales variarn en funcin de la intensidad de la seal.
******EL USO POR QUIENES NO SEAN INSTRUCTORES NO EST AUTORIZADO Y RESULTA ILEGAL****** Introduccin Al planear la estrategia de acceso a la red, deber establecer el mejor mtodo de autenticacin que se pueda utilizar. Puede efectuar la autenticacin utilizando diferentes mtodos y protocolos. Este tema ofrece una introduccin a varios de estos mtodos y protocolos de autenticacin. EAP (Protocolo de autenticacin extensible) es un mecanismo de autenticacin basado en PPP (Protocolo punto a punto) que se ha adaptado para su uso en segmentos de LAN punto a punto. Los mensajes de EAP normalmente se envan como la carga de las tramas PPP. El protocolo EAP proporciona la mayor flexibilidad posible, lo cual permite conseguir mtodos de autenticacin ms seguros. Puede utilizar EAP para admitir esquemas de autenticacin, como Tarjeta token genrica, Contrasea de nico uso (OTP), Protocolo de Desafo MD5-Challenge y Seguridad de la capa de transporte (TLS) para tarjetas inteligentes y compatibilidad de certificado, adems de cualquier tecnologa de autenticacin futura. EAP es un componente tecnolgico fundamental para las conexiones seguras. Aunque EAP ofrece flexibilidad en la autenticacin mediante el uso de diferentes tipos de protocolos, se puede enviar toda la conversacin de EAP como texto no cifrado. PEAP (Protocolo de autenticacin extensible protegida) es un tipo de EAP que soluciona los problemas de seguridad en EAP: en primer lugar se crea un canal seguro que est cifrado y protegido con TLS, y, a continuacin, se produce una nueva negociacin de EAP con otro tipo de EAP y se autentica el intento de acceso a la red del cliente. PEAP est disponible como mtodo de autenticacin para clientes inalmbricos 802.11, pero no es compatible con los clientes VPN u otros clientes de acceso remoto. De este modo, slo puede configurar PEAP como el mtodo de autenticacin para una directiva de acceso remoto cuando utilice IAS.
EAP
PEAP
IEEE 802.1x
Los estndares 802.1x del IEEE (Instituto de ingenieros elctricos y electrnicos) definen el control de acceso a la red mediante puerto que se utiliza para proporcionar acceso autenticado a la red para las redes Ethernet. IEEE 802.1x utiliza las caractersticas fsicas de una infraestructura LAN conmutada para autenticar los dispositivos conectados a un puerto LAN. Se puede denegar el acceso al puerto si se produce un error en el proceso de autenticacin. IEEE 802.1x utiliza EAP como su protocolo de autenticacin. EAP se ha diseado para que sea extensible para casi cualquier tipo de mtodo de autenticacin. El protocolo Kerberos versin 5 (Kerberos V5) comprueba la identidad de los servicios de red y el usuario. Esta comprobacin doble tambin se conoce como autenticacin mutua. La autenticacin Kerberos proporciona un inicio de sesin nico para los recursos de un dominio y los recursos ubicados en dominios de confianza. NTLM o NTLM versin 2 (NTLM v2) se utiliza como el protocolo de autenticacin para las transacciones entre dos equipos, en que uno de los dos o ambos ejecutan Microsoft Windows NT 4.0. Las redes con esta configuracin se conocen como redes de modo mixto. Adems, NTLM v2 es el protocolo de autenticacin para los equipos que no participan en el dominio, como por ejemplo los grupos de trabajo y los servidores independientes. Un certificado de clave pblica es un tipo de autenticacin que ofrece una comprobacin de identidad confiable. Estos certificados se utilizan para comprobar las identidades de los equipos con sistema operativos que no pertenecen a Microsoft, equipos independientes, clientes que no sean miembros de un dominio de confianza o equipos que no ejecutan el protocolo de autenticacin Kerberos V5 ni el servicio Enrutamiento y acceso remoto. Los certificados usan tcnicas de cifrado para solucionar el problema de la falta de contacto fsico entre las partes comunicantes. Con estas tcnicas, puede limitar la posibilidad de que alguien con fines poco ticos pueda interceptar, alterar o falsificar mensajes. Estas tcnicas de cifrado dificultan la modificacin de los certificados. Por consiguiente, resulta complicado que alguien pueda hacerse pasar por otra persona. Un certificado se puede almacenar de forma local en un almacn de certificados del dispositivo o en una tarjeta inteligente. Una tarjeta inteligente es un dispositivo del tamao de una tarjeta de crdito que se utiliza con un cdigo de acceso para habilitar la autenticacin mediante certificados y el inicio de sesin nico en la empresa.
Kerberos
NTLM
El mtodo de clave previamente compartida requiere que las partes que se conectan se pongan de acuerdo en una clave secreta compartida, que se utilizar para la autenticacin. Este mtodo tambin se conoce como secreto compartido. A diferencia de los certificados, no se puede determinar el origen ni el historial de una clave previamente compartida, de modo que el uso de estas claves para autenticar conexiones se considera un mtodo de autenticacin relativamente dbil. Si desea tener un mtodo de autenticacin slido y duradero, debe tener en consideracin el uso de una infraestructura de claves pblicas (PKI). Durante la negociacin de seguridad, la informacin se cifra antes de la transmisin con una clave de sesin. Esta se crea a partir de un clculo de Diffie-Hellman y mediante la clave de secreto compartido. La informacin se descifra en el lado del destinatario usando la misma clave. Para autenticar el paquete del interlocutor, un homlogo descifra y comprueba el algoritmo hash que hay dentro del paquete, que es un algoritmo hash de la clave previamente compartida.
Autenticacin biomtrica
El mtodo de autenticacin biomtrica comprueba la identidad de una persona comparando sus caractersticas fsicas con los datos almacenados, como por ejemplo una huella digital o el iris. Los dispositivos de autenticacin biomtrica incluyen escneres de huellas digitales, de iris y sistemas de comprobacin de voz. La biomtrica puede sustituir contraseas y PIN (nmeros de identificacin personal) de tarjeta inteligente, ya que los datos biomtricos no se pueden olvidar, perder, robar o compartir con otros. Puede utilizar la autenticacin biomtrica escribiendo una extensin en EAP.
10
******EL USO POR QUIENES NO SEAN INSTRUCTORES NO EST AUTORIZADO Y RESULTA ILEGAL****** Introduccin La seguridad de acceso a la red es un componente fundamental de cualquier plan de infraestructura de redes. Aunque los componentes descritos en este tema pueden resultar incompatibles al principio, todos ellos son elementos bsicos del planeamiento y la implementacin de la seguridad y son necesarios para obtener acceso a la red. En Windows Server 2003, puede configurar los adaptadores de red Ethernet para autenticar un equipo o usuario con un modificador Ethernet. Los adaptadores de red Ethernet se pueden configurar para utilizar la autenticacin 802.1x. Puede elegir uno de los siguientes tipos de EAP:
!
Tarjeta inteligente u otro certificado Este tipo de EAP permite utilizar una tarjeta inteligente o el almacn local de certificados para ofrecer informacin de los certificados para la autenticacin de los modificadores.
PEAP Este tipo de EAP proporciona seguridad a la conexin EAP protegida. Con PEAP, puede elegir entre los mtodos de autenticacin mediante contrasea segura (EAP-MSCHAP v2), Tarjeta inteligente u otro certificado.
MD5-Challenge Este tipo de EAP es un mtodo de autenticacin mediante contrasea que utiliza el mismo tipo de protocolo de autenticacin por desafo mutuo que CHAP (Protocolo de autenticacin por desafo mutuo) basado en PPP, pero enva los desafos y las respuestas como mensajes EAP.
11
Puede utilizar Windows Server 2003 para que sea compatible con un inicio de sesin interactivo mediante clave pblica, si utiliza un certificado X.509 versin 3 almacenado en una tarjeta inteligente con la clave pblica. En lugar de una contrasea, el usuario escribe un PIN en GINA (Autenticacin e identificacin grfica) y el PIN autentica el usuario para la tarjeta. El certificado de clave pblica del usuario se recupera de la tarjeta mediante un proceso seguro y se comprueba que sea vlida y de un emisor de confianza. Durante el proceso de autenticacin, se emite a la tarjeta un desafo basado en la clave pblica del certificado. Este desafo comprueba que la tarjeta del usuario sea vlida y que pueda utilizar la clave privada correspondiente con xito. Despus de comprobar con xito el par de clave pblica y privada, la identidad del usuario que hay en el certificado se utiliza para hacer referencia al objeto de usuario almacenado en Active Directory para crear un testigo y devolver un vale de sesin al cliente. El inicio de sesin mediante clave pblica se ha integrado con la implementacin de Microsoft de Kerberos V5 que es compatible con la extensin de clave pblica especificada en el borrador RFC-1510, The Kerberos Network Verification Service (V5) del IETF (Grupo de trabajo de ingeniera de Internet).
Utilizacin de IPSec
Puede utilizar IPSec (Protocolo de seguridad de Internet) para proporcionar seguridad en las capas de red y transporte. La seguridad en estas capas es transparente para todas las capas que hay por encima de ellas, lo que significa que no es necesario que las aplicaciones y dispositivos intermedios estn configurados de una forma especial para que puedan funcionar con IPSec. IPSec tambin proporciona autenticacin mutua. Esta autenticacin se produce cuando los dos interlocutores se deben autenticar entre s. Por ejemplo, cuando dos servidores independientes que ejecutan Enrutamiento y acceso remoto se conectan para el enrutamiento, estos se autentican entre s, en vez de utilizar una base de datos Active Directory o un servidor RADIUS. Esto es el mismo proceso que se utiliza cuando dos equipos configurados para IPSec utilizan una conexin de clave pblica previamente compartida. Para autenticarse entre s, los equipos slo deben establecer comunicacin entre ellos. Puede utilizar una infraestructura RADIUS para agrupar todos los requisitos de autenticacin de la red. Tanto si dispone de modificadores, servidores de acceso remoto, puntos de acceso inalmbrico o cualquier otro elemento que deba autenticar un usuario o dispositivo informtico, puede utilizar un servidor RADIUS para autenticarlos en una ubicacin central mediante un conjunto de directivas de acceso remoto que se administran desde esta ubicacin. Un servidor RADIUS proporciona una autenticacin centralizada que puede reducir de forma significativa la actividad administrativa y con ello evitar focos separados de autenticacin. Esto facilita la especificacin de restricciones, condiciones y directivas de autenticacin coherentes.
12
******EL USO POR QUIENES NO SEAN INSTRUCTORES NO EST AUTORIZADO Y RESULTA ILEGAL****** Introduccin Un host de seguridad permite complementar la seguridad que las conexiones de red y la familia Windows Server 2003 ya han aplicado. Al planear la estrategia de acceso a la red, debe determinar si necesita esta seguridad adicional. Un host de seguridad es un dispositivo de autenticacin que comprueba si una conexin tiene permiso para conectarse con un servidor de acceso a la red. Antes de implementar los equipos host de seguridad, es necesario que conozca las diferencias entre los siguientes tipos de equipos host de seguridad:
!
Equipos host de seguridad que realizan comprobaciones de autenticacin durante una solicitud de conexin. Este tipo de host de seguridad se coloca entre el usuario y el servidor de acceso a la red, y realiza una comprobacin de autenticacin antes de la autenticacin del servidor de acceso a la red. Por norma general, proporciona una capa adicional de seguridad ya que necesita que una llave de hardware facilite la autenticacin. La comprobacin de que tiene la posesin fsica de la llave se produce antes de obtener acceso al servidor de acceso a la red. Con esta arquitectura abierta, el administrador de sistemas puede seleccionar entre una gama de equipos host de seguridad para aumentar la seguridad en Conexiones de red, pero puede limitar las comprobaciones de autenticacin a algunos tipos de conexin.
13
Equipos host de seguridad a los que se llama durante el proceso de autenticacin de la conexin. Este tipo de host de seguridad proporciona autenticacin personalizada durante el proceso de autenticacin de acceso a la red. Esta autenticacin puede aumentar o sustituir la comprobacin estndar de sus credenciales de red que ejecuta el servidor de acceso a la red. Los servidores RADIUS son ejemplos de este tipo de host de seguridad, puesto que realizan la autenticacin del usuario en nombre del servidor de acceso a la red. Mediante la introduccin de EAP, otros proveedores pueden crear interfaces entre la autenticacin de acceso a la red y sus propios servidores. Los servidores de este tipo se utilizan para comprobar las tarjetas inteligentes y otras formas de autenticacin ampliada.
Por ejemplo, un sistema de seguridad consta de dos dispositivos de hardware: el host de seguridad y la tarjeta de seguridad. El host de seguridad se ha instalado entre el servidor de acceso a la red y su conexin de red. La tarjeta de seguridad es una unidad pequea del tamao de una tarjeta de crdito que se asemeja a una calculadora de bolsillo sin teclas. La tarjeta de seguridad muestra un nmero de acceso diferente cada minuto. Este nmero se sincroniza con un nmero similar que calcula el host de seguridad cada minuto. Al establecer la conexin, el usuario enva al host un nmero PIN y el nmero de la tarjeta de seguridad. Si estos coinciden con el nmero que ha calculado el host, el host de seguridad le conecta con el servidor de acceso a la red. Otro host de seguridad del mismo tipo le solicita que escriba un nombre de usuario (que puede o no ser el mismo que el nombre de usuario de acceso remoto) y una contrasea (distinta a la contrasea de acceso remoto).
GINA, el componente de DLL que carga Winlogon, implementa los requisitos de autenticacin a partir del modelo de inicio de sesin interactivo. Realiza todas las interacciones de identificacin y autenticacin del usuario. Msgina.dll, el estndar GINA que proporciona Microsoft y carga Winlogon, puede sustituirse por otra GINA que haya creado y personalizado un tercero. Tambin puede escribir una nueva GINA que utilice los servicios del host de seguridad para los servicios de autenticacin.
14
******EL USO POR QUIENES NO SEAN INSTRUCTORES NO EST AUTORIZADO Y RESULTA ILEGAL****** Introduccin Al elegir un mtodo de conexin de acceso a la red, debe evaluar todos los mtodos de conexin disponibles, como LAN, VPN, acceso telefnico o inalmbrico y determinar cul de ellos es el ms adecuado para su solucin de acceso a la red. Para reducir la actividad administrativa, es recomendable utilizar el servidor ISA (Internet Security and Acceleration) de Microsoft para centralizar la autenticacin de los usuarios remotos en una ubicacin. Objetivos de la leccin Despus de finalizar esta leccin, el alumno podr:
!
Determinar si una solucin LAN es un mtodo de conexin adecuado para la estrategia de acceso a la red. Determinar si una solucin VPN es un mtodo de conexin adecuado para la estrategia de acceso a la red. Determinar si una solucin de acceso telefnico es un mtodo de conexin adecuado para la estrategia de acceso a la red. Explicar cmo hacer planes para clientes VPN y de acceso telefnico. Determinar si una solucin inalmbrica es un mtodo de conexin adecuado para la estrategia de acceso a la red. Explicar cmo se puede centralizar una autenticacin de cliente mediante la autenticacin de servidor IAS y RADIUS. Aplicar las directrices para elegir un mtodo de conexin de acceso a la red.
! !
15
******EL USO POR QUIENES NO SEAN INSTRUCTORES NO EST AUTORIZADO Y RESULTA ILEGAL****** Introduccin Puede llegar a la conclusin de que la estrategia de infraestructura de redes debe incluir una LAN. No obstante, antes de que pueda definir una LAN, debe comprender los requisitos empresariales. En la estrategia de LAN que se presenta en este tema se documenta la implementacin del plan de seguridad. Debe tener en cuenta que una solucin LAN puede incidir negativamente en el rendimiento de la red. Por ejemplo, una empresa que utiliza un medio compartido (por ejemplo, un concentrador) debe compartirlo con otros nodos del medio, con lo que se reduce el rendimiento potencial. Sin embargo, si utiliza un modificador en vez de un concentrador puede ayudarle a mitigar cualquier efecto negativo en el rendimiento de la red. Seleccin de una LAN Las empresas normalmente eligen una solucin LAN para los servidores y clientes estacionarios y que necesitan disponer de una conectividad permanente con un gran ancho de banda. Por ejemplo, en una empresa con un servidor (Web, archivos y base de datos) o clientes que necesitan conseguir un rendimiento alto pero no necesitan tener movilidad normalmente se implementara una solucin LAN. Los clientes con necesidades de alto rendimiento incluyen:
!
Cualquier servidor (Active Directory, DHCP, servidor DNS [Sistema de nombres de dominio], Web, etc.). Estaciones de trabajo grficas. Estaciones multimedia. Cualquier otro sistema que transfiera grandes cantidades de datos a travs de la red.
! ! !
16
Antes de decidir si una solucin LAN es adecuada para la estrategia de infraestructura de redes, es aconsejable que considere las ventajas y los inconvenientes de este tipo de acceso a la red, como se describe en la siguiente tabla.
Tipo de consideracin Ventajas Ejemplos Transmisin de alta velocidad (de 10 a 1.000 Mbps para Ethernet). Conexin sin interferencias en la seal. La red normalmente no est afectada por interrupciones en la conexin o prdidas de velocidad de transmisin debido a interferencias en la seal. Medios no compartidos. Las tecnologas de conmutacin que existen permiten las transmisiones punto a punto (en modo dplex completo o dplex medio). Estas tecnologas aumentan las posibilidades de rendimiento en el medio. Tecnologa conocida y probada que utiliza hardware econmico y ampliamente comercializado. Inconvenientes Los dispositivos deben estar conectados fsicamente, lo cual puede restringir la movilidad. El costo inicial de implementar una solucin LAN puede resultar prohibitivo. Debe instalarse la infraestructura de cableado, lo cual implica un costo elevado en trminos de tiempo y dinero.
Opciones de seguridad
En una solucin LAN, muchas de las caractersticas de seguridad estn ya incluidas y perfectamente integradas. Estas pueden incluir mecanismos de autenticacin integrados, como por ejemplo Kerberos V5 y NTLM. Adems de estos mtodos integrados, tambin puede utilizar:
! ! !
TLS con IPSec. Seguridad de SSL (Capa de sockets seguros). TLS con seguridad de certificado X.509 v3.
17
******EL USO POR QUIENES NO SEAN INSTRUCTORES NO EST AUTORIZADO Y RESULTA ILEGAL****** Introduccin Si la estrategia de red incluye una solucin VPN, debe proporcionar acceso seguro a los recursos de la red. Para evitar el costo que supone alquilar una lnea privada para conectarse a la red, puede crear un tnel seguro a travs de una red pblica como Internet para formar una VPN. La VPN se autentica y se cifra por motivos de seguridad. Debe tener en cuenta que una solucin VPN puede incidir en el rendimiento. Por ejemplo, si depende de una conexin de red subyacente que ofrece desde velocidades LAN hasta velocidades de mdem por acceso telefnico (a 28 Kbps), esto puede acarrear una sobrecarga adicional relacionada con el protocolo de tnel. Seleccin de una solucin VPN Las empresas cada vez ms optan por las VPN como soluciones de acceso a la red. Este tipo de solucin puede ayudar a una empresa a satisfacer las necesidades de los clientes remotos, adems de cumplir los requisitos de seguridad. Una solucin VPN puede resultar adecuada cuando:
! !
La empresa tiene empleados en ubicaciones remotas. La empresa necesita conectarse con dos dispositivos (tanto si la conexin es de cliente a servidor como de enrutador a enrutador).
18
Antes de decidir si una solucin VPN es adecuada para la estrategia de infraestructura de redes, es aconsejable que considere las ventajas y los inconvenientes de este tipo de acceso a la red, como se describe en la tabla siguiente.
Tipo de consideracin Ventajas Ejemplos Puede utilizar una infraestructura de redes existente (Internet o intranet) para transportar los datos enviados a travs de tnel. No acarrea el costo de una conexin privada entre dispositivos. Se adapta mejor a las ampliaciones que una solucin de acceso telefnico. Inconvenientes Los procesos de envo de datos a travs de tnel pueden conllevar una sobrecarga adicional. Ambos dispositivos deben ser compatibles con los mismos protocolos de tnel (PPTP o L2TP). Se incrementa el riesgo de que un atacante pueda ver y analizar los paquetes. A pesar de que estos se pueden cifrar, aplicarles algoritmos hash y autenticar, an seguirn transmitindose en una red pblica (en el caso de Internet). Se necesita asistencia adicional. Debe asegurarse de que la infraestructura de redes permite la transmisin de paquetes a travs de un tnel desde Internet hasta su red privada.
Opciones de seguridad
La seguridad es un requisito esencial para cualquier conexin remota. Una solucin VPN puede protegerse de las siguientes maneras:
!
Autenticacin Mtodos de autenticacin estndar PPP ([MS-CHAPv2], MS-CHAP, PAP, etc.) Mtodos de autenticacin EAP (certificados de clave pblica incluidos) IPSec Cifrado de datos MPPE (Cifrado punto a punto de Microsoft) de 40, 56 o 128 bits. IPSec Restricciones de conexin (hora del da, duracin de la conexin, etc.) Estas restricciones permiten limitar las conexiones.
19
******EL USO POR QUIENES NO SEAN INSTRUCTORES NO EST AUTORIZADO Y RESULTA ILEGAL****** Introduccin Antes de elegir una solucin de acceso telefnico, debe tener en cuenta que tal vez se trate de la solucin de acceso remoto ms costosa para una empresa. Sin embargo, probablemente resulte la menos cara para el usuario y utiliza una conexin telefnica directa entre dos dispositivos. Hay que tener en cuenta que una solucin de acceso telefnico puede afectar al rendimiento, sobre todo en todo aquello relacionado con el lmite de ancho de banda al utilizar PSTN o la integridad de la conexin de la lnea telefnica. Seleccin de una solucin de acceso telefnico Si necesita realizar una conexin punto a punto entre dos dispositivos, tanto si la conexin es de cliente a servidor como de enrutador a enrutador, puede utilizar la omnipresente red PSTN para conectar los dispositivos, lo que representa un costo mnimo para el usuario final. Sin embargo, para la empresa supondr un costo aadido, puesto que tendr que adquirir el hardware necesario.
20
Antes de decidir si una solucin de acceso telefnico es adecuada para la estrategia de infraestructura de redes, es aconsejable que considere las ventajas y los inconvenientes de este tipo de acceso a la red, como se describe en la siguiente tabla.
Tipo de consideracin Ventajas Ejemplos El costo de la lnea es asequible. Una solucin de acceso telefnico se puede adquirir fcilmente. Se trata de una tecnologa confiable y probada (en la mayora de los lugares). Es fcil de instalar. Inconvenientes Puede resultar lenta (la transmisin de datos oscila entre 28 Kbps y 128 Kbps). Resulta difcil ampliarla. Necesita un mdem para cada conexin, por lo que debe comprar e instalar ms hardware. En algunas partes del mundo puede resultar poco confiable. Puede estar sujeta a interferencias y ruidos de la lnea, puesto que se trata de una seal analgica.
Opciones de seguridad
Puede proteger una solucin de acceso telefnico de la misma forma que protegera una solucin VPN mediante las opciones siguientes:
!
Autenticacin Mtodos de autenticacin estndar PPP ([MS-CHAPv2], MS-CHAP, PAP, etc.) Mtodos de autenticacin EAP (certificados de clave pblica incluidos) Cifrado de datos MPPE de 40, 56 o 128 bits. Restricciones de conexin (hora del da, duracin de la conexin, etc.) Tambin puede utilizar estas restricciones para limitar las conexiones.
21
******EL USO POR QUIENES NO SEAN INSTRUCTORES NO EST AUTORIZADO Y RESULTA ILEGAL****** Ubicacin de los archivos Para iniciar la presentacin Planeamiento de soluciones para clientes VPN y de acceso telefnico, abra la pgina Web que se encuentra en el disco compacto Material del alumno. Haga clic en Multimedia y, a continuacin, en el ttulo de la presentacin. El objetivo de esta presentacin es describir las diferentes formas de planear clientes VPN y de acceso telefnico. Aprender a hacer lo siguiente:
!
Objetivos
Planear un servidor que ejecute el servicio Enrutamiento y acceso remoto para ofrecer servicios de acceso telefnico o VPN. Seleccionar una configuracin de Enrutamiento y acceso remoto para servicios de acceso telefnico o VPN. Elegir entre una solucin de acceso telefnico y de VPN.
Preguntas clave
Cuando visualice este medio, deber tener en cuenta las cuestiones siguientes.
! !
Cul es el primer paso para planear una solucin de acceso remoto? Qu debe suceder antes de que un usuario pueda conectarse a un servidor de acceso remoto? Qu protocolo de tnel ofrece la mejor seguridad?
22
******EL USO POR QUIENES NO SEAN INSTRUCTORES NO EST AUTORIZADO Y RESULTA ILEGAL****** Introduccin Una solucin inalmbrica permite a los usuarios mviles desplazarse de un lugar a otro y permanecer conectados a la red. Las tecnologas de redes inalmbricas amplan el concepto de no ms cables. En una red inalmbrica, todos los equipos transmiten su informacin a travs de un punto central de acceso inalmbrico mediante seales de radio. Al optar por una solucin de acceso a la red inalmbrica, debe tener en cuenta la seguridad de la conexin y los inconvenientes asociados con el uso de una red inalmbrica. Hay dos cuestiones importantes sobre el rendimiento relacionadas con las redes inalmbricas. La primera de ellas son los medios compartidos, que pueden reducir la cantidad de ancho de banda disponible. La segunda es que una seal de poca intensidad puede afectar no slo a la conexin, sino tambin a la velocidad de transmisin. La radiotransmisin (y otras formas de transmisin) slo abarca una cierta distancia, tras la cual empieza a degradarse. Seleccin de una solucin inalmbrica Si la empresa tiene clientes mviles, una conexin inalmbrica puede ser una solucin adecuada. Un cliente mvil no es necesariamente un equipo porttil bsico, sino que puede ser un dispositivo informtico muy eficaz que pueda realizar las mismas tareas informticas que un equipo de escritorio, por lo que requiere capacidades de rendimiento de red parecidas.
23
Antes de decidir si una solucin inalmbrica es adecuada para la estrategia de infraestructura de redes, es aconsejable que considere las ventajas y los inconvenientes de este tipo de acceso a la red, como se describe en la siguiente tabla.
Tipo de consideracin Ventajas Ejemplos Movilidad (incluida la itinerancia entre puntos de acceso inalmbrico) No se requiere una infraestructura costosa de cableado. Fcil integracin con las redes cableadas. Compatibilidad con los mismos protocolos y tecnologas que las redes cableadas (Ethernet, TCP/IP, etc.). Velocidad (velocidades mximas entre 11 y 54 Mbps). Inconvenientes Medios compartidos. Intervalo limitado. Est sujeta a interferencias u obstrucciones. Complejidad de planeamiento, configuracin y administracin, puesto que se trata de una tecnologa relativamente nueva. Integracin incompleta de la seguridad.
Opciones de autenticacin
Hay dos opciones de autenticacin disponibles para las redes inalmbricas. Cualquiera de estos dos mtodos puede utilizar privacidad equivalente al cable para el cifrado. Las opciones son las siguientes:
!
El estndar 802.11 define los tipos de autenticacin de sistemas abiertos y de clave compartida. Este estndar se considera la opcin menos segura para las redes inalmbricas. La autenticacin de sistema abierto proporciona informacin y no autenticacin, mientras que la autenticacin de clave compartida no se adapta bien a las ampliaciones. El estndar 802.1x define el control de acceso a la red basado en puertos que se utiliza para ofrecer acceso autenticado a la red para redes Ethernet. Aunque este estndar se dise para redes Ethernet cableadas, se ha adaptado para su uso en LAN 802.11 inalmbricas. Este estndar se considera la opcin ms segura para redes inalmbricas, e incluye mtodos de autenticacin EAP que utilizan tarjetas inteligentes u otros certificados y velocidad de transmisin PEAP o conexiones interrumpidas.
24
******EL USO POR QUIENES NO SEAN INSTRUCTORES NO EST AUTORIZADO Y RESULTA ILEGAL****** Introduccin A pesar de que puede crear y administrar varios mtodos de autenticacin para las conexiones de acceso a la red, esta estrategia puede acarrear una gran cantidad de actividad administrativa. Para solucionar este problema, puede utilizar el servidor IAS para proporcionar una infraestructura de autenticacin RADIUS para autenticar todos los clientes de acceso a la red (VPN, acceso telefnico e inalmbricos) en una sola ubicacin. Autenticacin del servidor IAS y RADIUS El servidor IAS proporciona una ubicacin central para todas las directivas de acceso remoto, lo que permite administrar con ms facilidad los perfiles, las configuraciones y las restricciones de conexin. Despus de instalar la infraestructura RADIUS, puede configurar los servidores de acceso a la red (que incluyen los servidores que ejecutan el servicio Enrutamiento y acceso remoto y los puntos de acceso inalmbrico) para que utilicen el servidor IAS para realizar todas las tareas de autenticacin de la red. Autenticacin de Active Directory La autenticacin que se proporciona en Active Directory incluye una infraestructura de autenticacin Kerberos V5 que funciona de forma continua en segundo plano y requiere una configuracin y una administracin mnimas. La autenticacin NTLM tambin ofrece los mismos beneficios. Ambos mtodos de autenticacin forman parte de la autenticacin integrada del sistema operativo.
25
La autenticacin no est tan claramente definida para las opciones de acceso remoto (VPN, de acceso telefnico e inalmbrico). Cada servidor de acceso a la red puede convertirse en su propio foco de autenticacin, lo que requiere una configuracin y administracin separadas que puedan dar lugar a diferentes directivas y valores de configuracin en cada servidor de acceso. Si tiene diferentes directivas y valores de configuracin en cada servidor puede dar pie a que los usuarios obtengan resultados diferentes, en funcin del servidor de acceso al que se conecte el usuario. En esta situacin, los requisitos de acceso remoto pueden suponer una carga adicional para el personal administrativo, lo que puede dar como resultado brechas en la seguridad del servidor de acceso a la red.
26
******EL USO POR QUIENES NO SEAN INSTRUCTORES NO EST AUTORIZADO Y RESULTA ILEGAL****** Introduccin Antes de elegir un mtodo de conexin de acceso a la red, debe tener en cuenta los requisitos de infraestructura y de cliente de su infraestructura de redes. Es necesario que tenga en cuenta los requisitos siguientes:
!
Los requisitos de usuario remoto pueden incluir un ancho de banda adecuado, conexiones seguras, movilidad y confiabilidad. Los requisitos de la infraestructura de redes pueden incluir servicios y recursos que cuenten con una alta disponibilidad, confiabilidad y seguridad.
Una vez que haya determinado los requisitos de acceso a la red, debe repasar la siguiente tabla y elegir una estrategia adecuada de acceso a la red. La tabla clasifica cada uno de los requisitos segn la siguiente valoracin: alta, media y baja. En esta tabla no se presentan todos los requisitos, puesto que pueden depender de varios factores que escapan de su control.
Ancho de banda Alto Medio (depende del mtodo de conexin) Bajo (medio para tecnologas digitales) De bajo a medio (medios compartidos)
Movilidad Baja (puntos fijos) Funciona con cualquier conexin Cualquier punto de acceso PSTN Alta en la celda Tamao de celda y disponibilidad limitadas
Confiabilidad Alta Est sujeta a la disponibilidad de la red pblica Est sujeta a la disponibilidad de la PSTN Propensin al ruido y a la contencin
Acceso telefnico
Inalmbrica
27
******EL USO POR QUIENES NO SEAN INSTRUCTORES NO EST AUTORIZADO Y RESULTA ILEGAL****** Introduccin Objetivo Instrucciones En esta prctica leer el escenario y, a continuacin, elegir el mtodo de conexin de acceso a la red ms adecuado. El objetivo de esta prctica es elegir un mtodo de conexin de acceso a la red adecuado. 1. Lea el escenario. 2. Preprese para tratar los retos que implica esta tarea en un debate posterior al ejercicio prctico. Escenario Fabrikam Inc. es una compaa de rpido crecimiento con cada vez ms requisitos de acceso a datos. El personal del departamento de ventas de Fabrikam Inc. ha solicitado la posibilidad de obtener acceso a los archivos de la base de datos de ventas y clientes cuando estn de viaje. La conectividad actual de la compaa fuera de su intranet es una lnea T1 con su ISP (Proveedor de servicios Internet), que en la actualidad no se utiliza en exceso. Adems, el departamento de ingeniera de la compaa se ha quejado acerca de la falta de conectividad de red en las salas de reunin, que el contratista del edificio, por error, no cable con cable de categora 5. Sin embargo, la totalidad del personal de ingeniera dispone de equipos porttiles que podran utilizar durante las reuniones para obtener acceso a los datos de ingeniera, si tuvieran alguna forma de conectarse a la red desde las salas de reuniones.
28
Ejercicio prctico
Qu opciones de conectividad propondra para los departamentos de ventas e ingeniera? Razone la respuesta. Para el departamento de ventas, proponga una solucin VPN que aproveche la conexin actual de la compaa a Internet. La instalacin de un servidor de acceso a la red VPN resultara una solucin bastante cmoda y no hara falta instalar toda una infraestructura de acceso telefnico. La compaa podra utilizar su infraestructura de redes existente para que el departamento de ventas pudiera obtener acceso a su intranet. A continuacin, la empresa necesitara crear un plan para ofrecer a sus usuarios remotos una forma fcil y eficaz de obtener acceso a Internet mientras estuvieran de viaje, como por ejemplo mediante un acuerdo con un ISP nacional para autenticar a los usuarios de acceso telefnico de Fabrikam Inc. con su propia base de datos de usuarios. Una red inalmbrica podra adaptarse mejor a las necesidades del departamento de ingeniera. Una red inalmbrica eliminara el costo y las molestias de cablear las salas de reuniones para la conectividad LAN, pero podra ofrecer un ancho de banda comparable que se adaptase a las necesidades del empleado. A pesar de que una infraestructura inalmbrica se debe planear, probar, implementar y administrar, adems de que precisa mantenimiento, puede resultar la mejor solucin a largo plazo debido a que se trata de una tecnologa ms flexible y que ofrece a los usuarios ms libertad para obtener acceso a la informacin desde cualquier ubicacin. ________________________________________________________________ ________________________________________________________________ ________________________________________________________________ ________________________________________________________________
29
******EL USO POR QUIENES NO SEAN INSTRUCTORES NO EST AUTORIZADO Y RESULTA ILEGAL****** Introduccin Al elegir una estrategia para la directiva de acceso remoto, deben aplicarse las directivas adecuadas que definan cmo se conectarn los usuarios remotos a la red corporativa. Las propiedades y condiciones de las directivas de acceso remoto determinan los permisos y la autenticacin de los usuarios remotos, y ambos forman parte de su perfil de usuario. Despus de finalizar esta leccin, el alumno podr:
! ! ! ! !
Objetivos de la leccin
Explicar cmo se aplican las directivas de acceso remoto. Identificar los atributos de condicin de directiva de acceso remoto. Explicar cmo se deben establecer los permisos de acceso remoto. Explicar cmo se deben crear las opciones de perfil de usuario. Aplicar las directrices para elegir una directiva de acceso remoto.
30
******EL USO POR QUIENES NO SEAN INSTRUCTORES NO EST AUTORIZADO Y RESULTA ILEGAL****** Introduccin La autorizacin de acceso a la red se concede en funcin de las propiedades de conexin de las cuentas de usuario y las directivas de acceso remoto. Las directivas de acceso remoto constituyen un conjunto de reglas ordenado que define de qu modo se autorizan o rechazan las conexiones. Cada regla incluye una o ms condiciones, un conjunto de valores de perfil y un valor de permiso de acceso remoto. Para utilizar las directivas de acceso remoto, debe entender cmo se aplican. Las directivas de acceso remoto pueden ofrecer:
! ! !
Acceso personalizado a los diferentes usuarios y grupos de la organizacin. Flexibilidad en la concesin de permisos y en el uso del acceso remoto. Asignacin de valores a la conexin, en funcin del usuario que se est conectando y de las propiedades de la conexin.
Windows Server 2003 almacena las directivas de acceso remoto en el servidor de acceso remoto (no en Active Directory), de modo que estas directivas pueden variar en funcin de las capacidades del servidor de acceso remoto. Nota Puede centralizar las directivas de acceso remoto mediante IAS. Para obtener ms informacin acerca de IAS, consulte el mdulo 9, Extending Remote Access Capabilities by Using IAS en el curso 2153, Implementing a Microsoft Windows 2000 Network Infrastructure.
Las condiciones, los permisos y el perfil son los tres componentes de una directiva de acceso remoto que cooperan con Active Directory para proporcionar un acceso seguro a los servidores de acceso remoto.
31
******EL USO POR QUIENES NO SEAN INSTRUCTORES NO EST AUTORIZADO Y RESULTA ILEGAL****** Introduccin Las condiciones de una directiva de acceso remoto son una lista de parmetros, como por ejemplo la hora del da, los grupos de usuarios, los identificadores (Id.) del autor de la llamada o las direcciones IP (Protocolo Internet), que se comparan con los parmetros del cliente que se conecta al servidor. El primer conjunto de condiciones de una directiva que se compara con los parmetros de la solicitud de conexin entrante se procesa para obtener el permiso de acceso y la configuracin. Estos son los dos atributos de condicin que se utilizan con ms frecuencia:
!
El atributo de condicin NAS-Port-Type, que puede utilizar para especificar el tipo de conexin de red mediante NAS-Port-Type, permite especificar una conexin Ethernet, inalmbrica, mdem, VPN, etc. Puede utilizar el atributo de condicin Windows-Groups para especificar el grupo de usuarios en el que desea aplicar una directiva. Por ejemplo, puede combinar las condiciones NAS-Port-Type y Windows-Groups para aplicar una directiva a todos los miembros del departamento de ventas que se conectan a travs del tnel de VPN.
32
Para la estrategia de acceso a la red tal vez sea necesario que especifique otras muchas condiciones. Puede utilizar la siguiente tabla de atributos para comparar las solicitudes con las condiciones.
Atributo Authentication type Called-Station-Id Descripcin Especifica el esquema de autenticacin que se utiliza para comprobar el usuario. Especifica el nmero de telfono de la conexin de acceso telefnico que utiliza el usuario. Especifica el nmero de telfono del autor de la llamada; por ejemplo, 555-****. Especifica un nombre descriptivo para el cliente RADIUS: por ejemplo, RASCL**. Especifica la direccin IP del cliente RADIUS*. Especifica el fabricante del sistema de autenticacin de red, como por ejemplo Microsoft, Cisco o Shiva. Especifica las restricciones de la hora del da o las restricciones de los das y las semanas de RAS. El valor predeterminado es denegarlo todo. Especifica el protocolo que se debe utilizar, como por ejemplo PPP, SLIP, X25 o AppleTalk. Especifica la direccin IP de NAS. Especifica una cadena para identificar el NAS que origina la solicitud, como por ejemplo Servidor_RADIUS. Especifica el puerto fsico que utiliza el NAS que origina la solicitud, como por ejemplo Async (Mdem), Sync (Lnea T1), ISDN Sync o Virtual (VPN). Especifica el tipo de servicio que el usuario ha solicitado, como por ejemplo Administrative-User, Callback-Login y Shell-User. Especifica el protocolo de tnel utilizado. Especifica los grupos de Windows a los que pertenece el usuario, como por ejemplo Administradores.
Day-And-Time-Restrictions
Framed-Protocol
NAS-IP-Address NAS-Identifier
NAS-Port-Type
Service-Type
Tunnel-Type Windows-Groups
33
******EL USO POR QUIENES NO SEAN INSTRUCTORES NO EST AUTORIZADO Y RESULTA ILEGAL****** Introduccin El servicio Enrutamiento y acceso remoto e IAS de la familia Windows Server 2003 y de Windows 2000, proporcionan la autorizacin de acceso a la red que se concede en funcin de las propiedades de marcado de las cuentas de usuario y las directivas de acceso remoto. La concesin de acceso mediante el valor de permiso de cuenta de usuario o el valor de permiso de directiva constituye slo el primer paso en la aceptacin de una conexin. En la familia Windows Server 2003, puede configurar un atributo RADIUS para omitir las propiedades de marcado de las cuentas de usuario y de equipo en las propiedades de perfil de una directiva de acceso remoto. Para admitir varios tipos de conexiones a los que IAS proporciona autorizacin y autenticacin, quiz sea necesario que deshabilite el procesamiento de las propiedades de marcado de las cuentas de usuario.
34
El intento de conexin depende de la configuracin de las propiedades de marcado de la cuenta de usuario y las propiedades del perfil de directiva. Si el intento de conexin no coincide con la configuracin de la cuenta de usuario o las propiedades de perfil de directiva, se rechaza dicho intento. Puede establecer permisos de acceso remoto de las dos maneras siguientes:
!
Establecer permisos de acceso remoto para una cuenta de usuario. Los permisos de acceso remoto se pueden conceder o denegar para cada cuenta de usuario. El permiso de acceso remoto reemplaza el permiso de acceso remoto de la directiva. Cuando un permiso de acceso remoto de una cuenta de usuario se establece en la opcin Controlar acceso a travs de la directiva de acceso remoto, el permiso de acceso remoto de la directiva determina si se concede acceso al usuario.
Establecer permisos de acceso remoto para una directiva. Si se cumplen todas las condiciones de una directiva de acceso remoto, el permiso de acceso remoto se concede o se deniega. Puede utilizar la opcin Conceder permiso de acceso remoto o Denegar permiso de acceso remoto para establecer el permiso de acceso remoto para una directiva.
Nota La configuracin del perfil especifica un conjunto de restricciones de conexin. Cuando corresponda, las restricciones de conexin de una cuenta de usuario reemplazarn las restricciones de conexin del perfil de una directiva de acceso remoto. Otras propiedades de marcado de una cuenta de usuario En la familia Windows Server 2003, la cuenta de un usuario para un servidor independiente o un servidor que ejecute Active Directory contiene un conjunto de propiedades de marcado que se utiliza cuando se permite o deniega un intento de conexin de un usuario. En un servidor independiente puede establecer propiedades de marcado en la ficha Marcado en Usuarios locales y grupos para la cuenta de usuario. En un servidor que ejecute Active Directory, puede establecer las propiedades de marcado en la ficha Marcado en Usuarios y equipos de Active Directory para la cuenta de usuario. Otras propiedades de marcado de una cuenta de usuario:
!
Comprobar el Id. de quien llama Si se habilita esta propiedad, el servidor comprueba el nmero de telfono del autor de la llamada. Si el nmero no coincide con el nmero de telfono configurado, se deniega el intento de conexin.
Opciones de devolucin de llamada Si esta propiedad se habilita, el servidor devuelve la llamada a su autor durante el proceso de conexin. El nmero de telfono que el servidor emplea lo establece el autor de la llamada o el administrador de red.
Asignar una direccin IP esttica Puede emplear esta propiedad para asignar una direccin IP especfica a un usuario cuando se efecta una conexin.
35
Aplicar rutas estticas Puede utilizar esta propiedad para definir una serie de rutas IP estticas que se agregan a la tabla de enrutamiento del servidor que ejecuta el Servicio de enrutamiento y acceso remoto cuando se efecta una conexin. Este valor se ha diseado para cuentas de usuario que un enrutador que ejecuta la familia Windows Server 2003 utiliza para enrutamientos de marcado a peticin.
Atributo Ignore-UserDialin-Properties
Puede utilizar IAS para habilitar el procesamiento de las propiedades de marcado para cuentas de usuario y de equipo en algunos escenarios (como por ejemplo el marcado) y para deshabilitar el procesamiento de las propiedades de marcado de las cuentas de usuario y de equipo en otros escenarios (por ejemplo, en conexiones inalmbricas o mediante un modificador de autenticacin). El atributo Ignore-User-Dialin-Properties se establece como sigue:
!
Para habilitar el procesamiento de propiedades de marcado de una cuenta de usuario, debe eliminar el atributo Ignore-User-Dialin-Properties o establecerlo en False. Por ejemplo, para una directiva de acceso remoto que se haya diseado para conexiones de marcado, no se requiere una configuracin adicional. Para deshabilitar el procesamiento de propiedades de marcado para una cuenta de usuario, establezca el atributo Ignore-User-Dialin-Properties en el valor True. Por ejemplo, establezca esta configuracin para la directiva de acceso remoto que se utiliza para conexiones inalmbricas o mediante un conmutador de autenticacin. Cuando se omiten las propiedades de marcado de la cuenta de usuario, el valor de la directiva de acceso remoto determina el permiso de acceso remoto.
36
******EL USO POR QUIENES NO SEAN INSTRUCTORES NO EST AUTORIZADO Y RESULTA ILEGAL****** Introduccin Puede utilizar la directiva de acceso remoto para crear un perfil de marcado remoto para especificar el acceso en funcin de la pertenencia a grupos de Windows 2000, la hora del da, el da de la semana y el tipo de conexin. Tambin puede configurar los valores para opciones tales como la duracin mxima de sesin, los requisitos de autenticacin y las directivas BAP (Protocolo de asignacin de ancho de banda). Cada directiva incluye un perfil de opciones, como protocolos de autenticacin y de cifrado, que se aplican a la conexin. Las opciones del perfil se aplican a la conexin inmediatamente y podran ocasionar que sta se deniegue. El perfil tambin contiene el nivel de cifrado, el mtodo de autenticacin, las conexiones de multivnculo permitidas, la asignacin IP y otras restricciones de marcado. Por razones de seguridad, debe prestar especial atencin al mtodo de autenticacin y al valor de cifrado, y elegir las opciones ms seguras que puede admitir la organizacin. Por ejemplo, si las opciones del perfil de una conexin especifican que el usuario solamente puede conectarse durante 30 minutos cada vez, transcurrido ese tiempo, se desconectar al usuario del servidor de acceso remoto.
Configuracin de perfiles
37
Opciones de marcado
Cifrado
Restricciones de marcado
IP
Multivnculo
Opciones avanzadas
38
******EL USO POR QUIENES NO SEAN INSTRUCTORES NO EST AUTORIZADO Y RESULTA ILEGAL****** Introduccin Antes de elegir una directiva de acceso remoto, debe determinar los valores del perfil, las condiciones y los permisos que se utilizarn para habilitar la conexin, la autenticacin y la seguridad de las conexiones. Al determinar la configuracin y las condiciones de acceso remoto, debe tener en cuenta lo siguiente:
!
Utilice las condiciones para uno o ms atributos que se comparen con los valores del intento de acceso. Si hay varias conexiones, todas estas condiciones deben coincidir con los valores del intento de conexin para que este coincida con la directiva. Por lo tanto, debe efectuar la seleccin en la lista de atributos y establecer las condiciones que desea comparar para que se aplique el valor de directiva. Establezca los permisos para una cuenta de usuario; para una directiva especifique si se denegar o conceder el acceso remoto a los usuarios que coincidan con las condiciones asociadas con la directiva. Si se establece la cuenta de usuario para que se conceda acceso y las condiciones coinciden, se aplican los valores del perfil a la conexin.
39
Es aconsejable que tenga en cuenta las prcticas recomendadas que aparecen a continuacin al determinar las opciones que implementar para la directiva de perfil de acceso remoto:
!
Utilice los mtodos de autenticacin ms seguros que tenga a su disposicin para sus necesidades de acceso remoto. Considere la posibilidad de no permitir las conexiones que utilicen protocolos de autenticacin antiguos, como por ejemplo PAP, Shiva SPAP (Protocolo de autenticacin de contrasea de Shiva) y CHAP, as como limitar el acceso a las conexiones que utilicen MS-CHAP v2 o EAP.
Utilice EAP con un tipo de EAP de tarjeta inteligente o cualquier otro certificado. El uso de una tarjeta inteligente para almacenar el certificado es el mtodo de autenticacin ms seguro disponible para clientes remotos. No obstante, con este mtodo es necesario disponer de un procedimiento de certificado, para que los usuarios y los equipos puedan obtener sus certificados de clave pblica, y tambin se requiere hardware adicional para los lectores de tarjetas inteligentes.
Utilice PEAP con certificados o con MS-CHAP v2 para clientes inalmbricos. Si no se puede establecer un procedimiento de certificado para los certificados de cliente (los certificados an son necesarios para los servidores de autenticacin), PEAP/MS-CHAP v2 ser compatible con los clientes de Microsoft Windows XP Service Pack 1 u otros clientes que tengan instalado el cliente de autenticacin de Microsoft 802.1x (descarga gratuita).
Utilice el nivel ms alto posible de cifrado de datos para sus necesidades de acceso remoto. El nivel posible de cifrado se puede determinar mediante los sistemas operativos que los usuarios tienen instalados en sus equipos.
Utilice directivas de acceso remoto que restrinjan el acceso remoto a los usuarios o grupos que lo requieran y que satisfagan los estndares de seguridad de la red. Si es posible, aplique directivas de acceso remoto a grupos en lugar de a usuarios especficos para que estas sean ms fciles de administrar.
40
******EL USO POR QUIENES NO SEAN INSTRUCTORES NO EST AUTORIZADO Y RESULTA ILEGAL****** Introduccin En este ejercicio prctico, deber planear una estrategia de directiva de acceso remoto a partir del escenario que se proporciona con vistas a definir las opciones de acceso remoto necesarias. El objetivo de esta prctica es concretar una estrategia de directiva de acceso remoto. 1. Lea el escenario. 2. Preprese para tratar los retos que implica esta tarea en un debate posterior al ejercicio prctico. Escenario Trey Research tiene a unos cien contratistas independientes trabajando en un proyecto de tres aos adjudicado a la compaa. La compaa ha anunciado que los contratistas deben trabajar fuera de sus oficinas externas y deben poder cargar los datos de ingeniera al servidor FTP en la intranet de la compaa. A continuacin, los datos se propagarn a la base de datos para que los repase el supervisor de los contratistas. En el pasado, a los contratistas se les facilitaban sus propias cuentas de usuario y permiso para obtener acceso remoto a la red de la compaa a travs de una VPN. No obstante, surgan problemas cuando los contratistas permanecan durante mucho tiempo conectados y obtenan acceso a otros servicios, como por ejemplo los servidores proxy Web de la compaa. Para este proyecto, la compaa desea que los contratistas se limiten a cargar o descargar datos del servidor FTP de la intranet de la compaa, y limiten sus tiempos de conexin a 30 minutos. Esta restriccin debe llevarse a cabo sin afectar a las capacidades de conectividad remota de otros empleados que trabajen a tiempo completo. La compaa dispone de una infraestructura de Active Directory y utiliza el servicio Enrutamiento y acceso remoto de Windows Server 2003 como servidor de acceso a la red VPN.
Objetivo Instrucciones
41
Ejercicio prctico
Cmo piensa resolver el problema de que los contratistas utilicen una directiva de acceso remoto? Planee un grupo nuevo para los contratistas y asgnele un nombre, como por ejemplo Contratistas remotos. Quite los contratistas del grupo que actualmente se utiliza para dar acceso a los empleados y agregue al grupo nuevo las cuentas de usuario de los contratistas que obtendrn acceso al servidor FTP. Planee una nueva directiva de acceso remoto que conceda permiso de acceso remoto, con la condicin de que Windows-Groups coincida con el grupo Contratistas remotos y de que NAS-Port-Type coincida con Virtual(VPN). Planee un cambio de perfil en el que el tiempo de espera de la sesin se establezca en 30 minutos. Para cambiar los filtros de entrada y salida IP, permita slo el intercambio de paquetes FTP con el servidor FTP. _______________________________________________________________ _______________________________________________________________ _______________________________________________________________ _______________________________________________________________
42
******EL USO POR QUIENES NO SEAN INSTRUCTORES NO EST AUTORIZADO Y RESULTA ILEGAL****** Introduccin Puede integrar IAS en la estrategia de acceso a la red para admitir varios tipos de conexiones y proporcionar la autenticacin y la autorizacin de un servidor proxy RADIUS para los usuarios remotos. Despus de finalizar esta leccin, el alumno podr:
! ! !
Objetivos de la leccin
Identificar los modelos y mtodos de autenticacin de servidor. Explicar cmo se debe utilizar IAS como un servidor de autenticacin. Aplicar las directrices para elegir IAS como servidor de autenticacin.
43
******EL USO POR QUIENES NO SEAN INSTRUCTORES NO EST AUTORIZADO Y RESULTA ILEGAL****** Introduccin Si para la estrategia de acceso a la red se necesita autenticacin centralizada, debe elegir un modelo de autenticacin que proporcione la menor sobrecarga posible. Puede elegir entre varios modelos de autenticacin. Aunque la autenticacin Windows resulte fcil de instalar y utilizar, se ha integrado en la familia Windows Server 2003, lo que puede dar lugar a ubicaciones aisladas de autenticacin de acceso a la red, cada una de las cuales necesitar una configuracin de administracin y de directiva diferentes. Un servidor Windows Server 2003 que ejecute el servicio Enrutamiento y acceso remoto puede utilizar una base de datos local o una base de datos de cuentas de dominio para autenticar el acceso remoto o las credenciales de marcado a peticin. Una base de datos de cuentas de dominio puede ser una base de datos Active Directory o una base de datos de cuentas de dominio Windows NT 4.0. El servidor registra la informacin de autenticacin de la conexin en archivos de registro que se han configurado en las propiedades de la carpeta Registro de acceso remoto. Autenticacin del servidor RADIUS En varios entornos, se utiliza RADIUS para la autenticacin. El servidor RADIUS comprueba las credenciales de autenticacin de acceso remoto de las cuentas de usuario y registra los sucesos de cuentas de acceso remoto. Utilizar RADIUS es una excelente manera de centralizar la solucin de autenticacin. No slo podr centralizar la autenticacin y las directivas para todos los servidores de acceso a la red tradicional (como los servidores que ejecutan Enrutamiento y acceso remoto), sino que tambin podr facilitar autenticacin y directivas para otros tipos de dispositivos y servidores de acceso a la red (servidores VPN, puntos de acceso inalmbrico, modificadores, etc.). Los puntos de acceso inalmbrico pueden utilizar varios mecanismos de autenticacin diferentes. Pueden utilizar la autenticacin definida en la especificacin 802.11 (no se recomienda) o pueden utilizar 802.1x junto con un servidor RADIUS.
Autenticacin Windows
44
En la tabla siguiente se muestran y describen los mtodos de autenticacin disponibles en la especificacin 802.11.
Mtodo de autenticacin Autenticacin 802.11 Descripcin La autenticacin de sistema abierto no proporciona autenticacin; slo ofrece identificacin mediante la direccin MAC (Control de acceso a medios) del adaptador inalmbrico. Utilice la autenticacin de sistema abierto cuando no se requiera ninguna autenticacin. La autenticacin de sistema abierto es el algoritmo predeterminado de autenticacin de la autenticacin 802.11. La autenticacin de clave compartida comprueba que una estacin de inicio de autenticacin conozca una clave secreta compartida. Este tipo de autenticacin es similar a la autenticacin de clave previamente compartida para IPSec. El estndar 802.11 ahora asume que la clave secreta compartida se entrega a los clientes inalmbricos participantes mediante un canal seguro que es independiente de IEEE 802.11. En el ejercicio prctico, esta clave secreta se escribe manualmente en el punto de acceso inalmbrico y en el cliente inalmbrico. 802.1x 802.1x utiliza EAP para comunicar informacin de autenticacin entre el cliente inalmbrico y el punto de acceso inalmbrico. A continuacin, se configura el punto de acceso inalmbrico para establecer comunicacin con un servidor RADIUS y se reenvan los mensajes EAP entre el cliente inalmbrico y el servidor RADIUS. Esta forma de autenticacin para clientes inalmbricos es la ms segura porque utiliza un EAP flexible y se adapta mejor a las ampliaciones que las soluciones 802.11.
45
******EL USO POR QUIENES NO SEAN INSTRUCTORES NO EST AUTORIZADO Y RESULTA ILEGAL****** Introduccin Si la estrategia de acceso a la red necesita ser compatible con varios tipos de conexiones, o si dispone de servidores de acceso diferentes (acceso telefnico, VPN, inalmbricos) que pueden aprovecharse de una administracin centralizada, se recomienda que considere el uso de IAS como servidor de autenticacin Para admitir varios tipos de conexiones, tal vez deba deshabilitar el procesamiento de las propiedades de marcado de las cuentas de usuario. En la familia Windows Server 2003, puede configurar un atributo RADIUS para omitir las propiedades de marcado de las cuentas de usuario y de equipo en las propiedades de perfil de una directiva de acceso remoto. Uso de IAS como servidor proxy Tambin puede utilizar IAS como un servidor RADIUS proxy con el fin de proporcionar enrutamiento de mensajes RADIUS entre clientes RADIUS (servidores de acceso) y servidores RADIUS encargados de la administracin de las cuentas, la autorizacin y la autenticacin de los usuarios para el intento de conexin. El servidor proxy se ha configurado para poder distinguir el servidor RADIUS al que se debe enviar una solicitud de autenticacin especfica. Cuando se utiliza un proxy RADIUS, IAS se convierte en un punto de enrutamiento o conmutacin central a travs del cual fluyen los mensajes de administracin de cuentas y acceso RADIUS. IAS registra informacin en un archivo de registro de administracin de cuentas sobre los mensajes que se han reenviado.
46
Proporcionar autenticacin y autorizacin para las cuentas de usuario que no son miembros del dominio al que pertenece el servidor IAS, o bien otro dominio que tiene una relacin de confianza bidireccional con el dominio al que pertenece el servidor IAS. Realizar autenticacin y autorizacin mediante una base de datos que no sea de cuentas de Windows. Procesar una gran cantidad de solicitudes de conexin. Proporcionar una autenticacin y autorizacin RADIUS para proveedores de servicios subcontratados y minimizar la configuracin de un servidor de seguridad en la intranet.
! !
Primero debe decidir a qu dominio pertenece el equipo del servidor IAS. Para varios entornos de dominio, un servidor IAS puede autenticar credenciales para las cuentas de usuario del dominio al que pertenece, y todos los dominios que confan en este dominio. No obstante, para leer las propiedades de marcado de las cuentas de usuario, primero debe agregar la cuenta del equipo del servidor IAS al grupo de acceso remoto y de servidores IAS para cada dominio. Tenga en cuenta las prcticas recomendadas siguientes para instalar servidores IAS y RADIUS:
!
Debe instalar el servidor IAS en el dominio con ms cuentas de usuario y de equipo que necesiten autenticacin. Debe instalar un servidor RADIUS dentro de una subred protegida de forma que las directivas y las cuentas de usuario no estn expuestas fuera de la red privada. Siempre debe utilizar al menos dos servidores IAS para proporcionar tolerancia a errores para la autenticacin y la administracin de cuentas basadas en RADIUS: uno para utilizarlo como servidor RADIUS principal y otro de reserva. Los servidores de acceso se configuran para ambos servidores IAS, y pasan a utilizar el servidor IAS de reserva cuando el principal no est disponible.
47
******EL USO POR QUIENES NO SEAN INSTRUCTORES NO EST AUTORIZADO Y RESULTA ILEGAL****** Introduccin Antes de elegir IAS como proveedor de autenticacin, debe tener en cuenta las directrices siguientes. Los requisitos de administracin e infraestructura de acceso a la red pueden determinar la eleccin de IAS como servidor RADIUS o proxy. Utilice las directrices siguientes para elegir IAS como proveedor de autenticacin:
!
Determine si tiene varios servidores de acceso que puedan beneficiarse de un mtodo centralizado. Determine si tiene o planea tener otros proveedores de acceso a Internet que puedan autenticar a los usuarios en la infraestructura de RADIUS. Determine si dispone de varios servidores de acceso a la red que puedan beneficiarse de una directiva y una administracin centralizadas. Determine si dispone de un entorno heterogneo con requisitos de autorizacin y de directiva; RADIUS puede ser la nica opcin que solucione todos los requisitos. Determine si necesita realizar la autenticacin mediante una base de datos de cuentas de usuario de un dominio que no sea de confianza o una base de datos que no sea Windows.
48
Ejercicio prctico: Seleccin de autenticacin centralizada para obtener acceso a la red mediante IAS
******EL USO POR QUIENES NO SEAN INSTRUCTORES NO EST AUTORIZADO Y RESULTA ILEGAL****** Introduccin Objetivo Instrucciones En este ejercicio prctico, determinar si IAS es la solucin adecuada para un escenario determinado. El objetivo de esta prctica es elegir una autenticacin centralizada para obtener acceso a la red mediante IAS. 1. Lea el escenario. 2. Preprese para tratar los retos que implica esta tarea en un debate posterior al ejercicio prctico. Escenario La empresa The Phone Company dispone de varios servidores de acceso a la red instalados para atender sus necesidades de acceso remoto. Algunos de estos servidores son equipos Windows Server 2003, que ejecutan Enrutamiento y acceso remoto, y otros son servidores ms antiguos de otros fabricantes. Actualmente todos los servidores se administran por separado. La compaa planea instalar una red inalmbrica y su personal de tecnologa de la informacin est considerando las opciones de autenticacin posibles. Los datos iniciales indican que habr varios clientes de redes inalmbricas; inicialmente se calcula una posible tasa de crecimiento de varios miles por ao.
49
Ejercicio prctico
Cul puede ser la mejor forma de planear una estrategia de autenticacin a largo plazo para la empresa The Phone Company? Una solucin RADIUS probablemente sera la mejor estrategia de autenticacin a largo plazo. _______________________________________________________________ _______________________________________________________________ Cules son algunos de los beneficios de adoptar esta estrategia? Todas las tareas de autenticacin y de directiva se pueden llevar a cabo en una ubicacin central, lo que facilita bastante la administracin. Esta solucin se adapta mejor a las ampliaciones en el caso del acceso inalmbrico ya que la estrategia de autenticacin de clave compartida inalmbrica requiere distribuir la clave compartida en cada dispositivo inalmbrico. Adems permite que los clientes inalmbricos se autentiquen con varios mtodos de EAP, lo que proporciona al personal de TI una flexibilidad considerable en los protocolos de autenticacin. _______________________________________________________________ _______________________________________________________________ Qu inconvenientes presenta esta estrategia? Algunos de los servidores de acceso a la red no pueden utilizar la autenticacin RADIUS. En este caso, se deben actualizar o reemplazar. El personal de TI debe tener o adquirir los conocimientos para planear, probar, implementar y mantener la infraestructura RADIUS. Esto puede llevar algn tiempo y un entrenamiento adicional. Si la empresa dispone de clientes inalmbricos cuyos sistemas operativos no admiten 802.1x, quiz no puedan participar en la estrategia de autenticacin. _______________________________________________________________ _______________________________________________________________
50
******EL USO POR QUIENES NO SEAN INSTRUCTORES NO EST AUTORIZADO Y RESULTA ILEGAL****** Introduccin En esta leccin se combina informacin que ya se ha tratado en las lecciones anteriores. Aprender cmo debe integrar la eleccin de una estrategia de acceso a la red, un mtodo de autenticacin y una estrategia de acceso remoto. Despus de finalizar esta leccin, el alumno podr:
! ! ! !
Objetivos de la leccin
Determinar una estrategia de conexin de acceso a la red. Determinar una estrategia de autenticacin adecuada. Definir las condiciones y directivas de acceso remoto. Aplicar las directrices para planear una estrategia de acceso a la red.
51
******EL USO POR QUIENES NO SEAN INSTRUCTORES NO EST AUTORIZADO Y RESULTA ILEGAL****** Introduccin Para elegir una estrategia de acceso a la red es necesario que determine no slo los requisitos de cliente y de infraestructura, sino tambin el mtodo de conexin. Tenga en cuenta las prcticas recomendadas siguientes al elegir la estrategia. Debe evaluar los requisitos de empresa para planear de forma adecuada la estrategia de acceso a la red. Debe tener en cuenta lo siguiente:
!
Ancho de banda de la red Para requisitos de red con un ancho de banda elevado y una alta disponibilidad (como servidores o estaciones de trabajo de gama alta), debe utilizar una conexin LAN y planear suficiente ancho de banda de cara a un futuro crecimiento. (Por ejemplo, 10 Mbps pueden ser suficientes para las necesidades actuales de la empresa actual, pero no para las necesidades futuras.)
Necesidades de conectividad Se recomienda que utilice VPN para los clientes en lugar de acceso telefnico. En la actualidad, la mayora de las organizaciones constatan que una solucin VPN es ms fcil de administrar y se adapta mejor a las ampliaciones a travs de su conectividad de Internet.
Necesidades de seguridad Es importante tener en cuenta el grado de seguridad que desea que tenga la conexin. Tambin debe determinar el mtodo de conexin que ser ms adecuado para sus necesidades empresariales.
Una vez que haya definido los requisitos de ancho de banda de la empresa, de conectividad y de seguridad, debe elegir una estrategia de acceso a la red que satisfaga dichas necesidades. Determinar si necesita una estrategia de autenticacin integrada puede formar parte de la estrategia.
52
******EL USO POR QUIENES NO SEAN INSTRUCTORES NO EST AUTORIZADO Y RESULTA ILEGAL****** Introduccin Un mtodo de autenticacin centralizada puede ser una manera fcil de administrar el acceso a la red. IAS permite planear una estrategia exhaustiva de autenticacin y de cifrado fcil de administrar. Puede utilizar varias prcticas recomendadas al elegir un mtodo de autenticacin basado en seguridad. Es fundamental proteger el acceso a la red frente al acceso no autorizado. Puede tener servidores de acceso a la red diferentes (como por ejemplo, acceso telefnico, VPN, puntos de acceso inalmbrico, modificadores de autenticacin, etc.). Si dispone de varios servidores de acceso a la red, puede centralizar la autenticacin y las directivas mediante RADIUS. El servicio IAS se integra con MMC (Microsoft Management Console) y Active Directory para proporcionar un directorio nico que valide y administre todas las solicitudes de acceso para servicios o datos de aplicacin. Esta integracin permite consolidar el control de acceso y la directiva de autorizacin en un repositorio administrado centralmente, replicado y seguro.
53
La infraestructura de autenticacin y de cifrado que proporciona Microsoft Windows Server 2003 permite una conectividad segura. Teniendo en cuenta que Microsoft admite los estndares VPN, como la autenticacin de tarjeta inteligente y L2TP/IPSec, las organizaciones tienen acceso al cifrado, la autenticacin y la interoperabilidad que mejor se adaptan a sus necesidades de seguridad de VPN. Adems, como Microsoft presenta una compatibilidad total basada en estndares con las extensiones de seguridad IPSec, las organizaciones pueden proporcionar un cifrado seguro de todo el trfico sin que sean necesarios cambios complejos en el hardware de red, los servidores o las aplicaciones que se hayan implementado. Adems de proporcionar un cifrado seguro, Windows Server 2003 puede satisfacer los requisitos de autenticacin gracias a su compatibilidad con el protocolo de autenticacin IEEE 802.1x. Esta compatibilidad adicional permite a los clientes y servidores de red autenticarse entre s de forma segura mediante certificados digitales. El protocolo 802.1x proporciona un control de los puertos que impide a los intrusos conectarse a la red y evitar as cualquier tipo de actividad malintencionada. Si la empresa desea crear un sistema de autenticacin que autentique a los usuarios de forma segura en un solo directorio, al margen del dispositivo o mtodo de acceso que utilicen, puede beneficiarse del Servicio IAS de Windows Server 2003. Este servicio integrado RADIUS, que cumple con los estndares del sector, interopera con los dispositivos de acceso a la red de muchos proveedores. Puede beneficiarse de las tecnologas y productos Microsoft para permitir la conexin segura con Internet de las maneras siguientes:
! ! !
Mensajera segura Autenticacin segura del usuario Acceso VPN y LAN inalmbrico a redes corporativas
Puede controlar todas estas soluciones a partir de una interfaz de administracin comn y administrarlas mediante directivas de Active Directory. Esta estrategia garantiza una aplicacin coherente y total de las directivas para todas las solicitudes de acceso, independientemente del lugar en que se originen. Puede incluso plantearse una solucin biomtrica en lugar de un nmero PIN para obtener acceso a la informacin de la tarjeta inteligente.
54
******EL USO POR QUIENES NO SEAN INSTRUCTORES NO EST AUTORIZADO Y RESULTA ILEGAL****** Introduccin Para elegir una estrategia de acceso remoto es necesario determinar los requisitos de todos los mtodos de conexin, grupos de usuarios u otras condiciones de directiva y reflejar esos requisitos en las directivas de acceso remoto. Las directivas de acceso remoto se pueden definir en un servidor que ejecute el servicio Enrutamiento y acceso remoto o en un servidor IAS (RADIUS), en funcin de la estrategia del proveedor de autenticacin. Puede tener varios requisitos para cada mtodo de acceso a la red. Por ejemplo, puede tener una directiva diferente para los clientes LAN, que se autentican con un modificador, y otra directiva para clientes inalmbricos, que se autentican a travs de un punto de acceso inalmbrico. Tambin puede tener otra directiva para los clientes VPN, los cuales se autentican mediante un servidor que ejecuta el servicio Enrutamiento y acceso remoto. Adems, puede tener otros requisitos que impliquen otras condiciones de directiva, como por ejemplo requisitos para determinados grupos de usuarios, segn la hora del da, el da de la semana, etc. Para cada directiva que defina, debe tener diferentes valores y perfiles para que reflejen los requisitos nicos de una solicitud de conexin concreta que coincida con una condicin de directiva. Defina directivas diferentes para reflejar los requisitos Si concluye que hay diferentes requisitos de directiva, es necesario que defina directivas de acceso remoto diferentes para cada requisito nico. Esta conclusin garantizar que las directivas lleven a cabo los requisitos definidos para cada condicin de solicitud de conexin nica.
55
******EL USO POR QUIENES NO SEAN INSTRUCTORES NO EST AUTORIZADO Y RESULTA ILEGAL****** Introduccin Las directrices siguientes ofrecen los puntos de decisin que necesita tener en cuenta al planear la estrategia de acceso a la red.
!
Identifique los usuarios que podrn obtener acceso a los recursos de red. En primer lugar, debe identificar los recursos a los que se podr tener acceso y los usuarios que podrn hacerlo. A continuacin, debe reunir a los usuarios en un grupo y aplicar la directiva de acceso a la red a este grupo para facilitar la administracin. Indique cmo los usuarios autorizados obtendrn acceso a la red a partir de la evaluacin de los requisitos del cliente y del hardware.
Sincronizacin y administracin
Si una parte de la solucin implica que debe realizar la sincronizacin y administracin en varios puntos de acceso a la red, como por ejemplo Internet, extranets, lneas alquiladas, LAN inalmbricas, VPN y acceso telefnico, debe:
!
Identificar quines obtendrn acceso a la red y cmo lo harn. Debe aplicar los mtodos de seguridad adecuados para esas conexiones. Se recomienda un slo mtodo de autenticacin para facilitar la administracin (acceso telefnico, inalmbrico, VPN, etc.). Integre la estrategia de autenticacin en todos los mtodos de acceso remoto (acceso telefnico, VPN e inalmbrico). La ampliacin de la conectividad de la red implica retos tecnolgicos y de administracin de procesos que dificultan a los administradores la aplicacin de un mtodo centralizado y coherente de acceso a la red.
56
******EL USO POR QUIENES NO SEAN INSTRUCTORES NO EST AUTORIZADO Y RESULTA ILEGAL****** Objetivos Despus de realizar esta prctica, el alumno podr:
! !
Planear el acceso a la red para una red LAN/WAN/inalmbrica. Planear la autenticacin para una red.
Escenario
Supongamos que es ingeniero de sistemas para Northwind Traders y se le ha solicitado que planee la infraestructura de redes para una nueva ubicacin. La compaa tiene su sede central en Londres, en el Reino Unido, y desea trasladar sus departamentos de Contabilidad y Distribucin, adems de un pequeo grupo de investigacin a una nueva ubicacin. La decisin de trasladar los departamentos de Contabilidad y Distribucin a la misma ubicacin se produjo a causa de un incidente de seguridad en la oficina de la empresa. Se divulg informacin sobre ventas de los clientes, y se cree que el incidente se produjo cuando un empleado interno recopil datos de la red interna. La nueva ubicacin debe planearse para proteger los datos tanto como sea posible, al tiempo que se minimice la cantidad de dinero invertido en la seguridad fsica. Se prev que slo los recursos del servidor local necesitarn seguridad fsica adicional, que se proporciona desde una pequea sala de equipos protegida. El departamento de Distribucin actualmente est ubicado en la sede central y tiene graves limitaciones de espacio y operativas. Los productos que deben distribuirse se recogen de las estanteras de almacenamiento, y la entrada de datos y la lectura del cdigo de barras de estos se ha realizado previamente en PC fijos instalados en el almacn de distribucin. En la nueva ubicacin, el personal de distribucin estar equipado con dispositivos inalmbricos y lectores de cdigos de barras. Estos dispositivos son PC pequeos que utilizan tarjetas inalmbricas PCMCIA basadas en estndares y que ejecutan las mismas aplicaciones y el mismo sistema operativo que utilizan los equipos de escritorio fijos.
57
El departamento de Investigacin tiene un proyecto nuevo confidencial y desea aislar a los programadores del proyecto en una sala protegida con una red y servicios propios. Este proyecto requerir anchos de banda muy grandes ya que se trata de un proyecto multimedia. El departamento de TI tendr en cuenta los planes que presente y se implementarn en caso de ser aprobados. La nueva ubicacin ser un almacn abierto de casi 7.000 metros cuadrados que albergar el departamento de Distribucin y el sistema de almacenamiento en estanteras. Un altillo situado al final del almacn se destinar a oficinas y cubculos para el personal del departamento de Distribucin y de Contabilidad. Se habilitar un rea pequea del almacn principal prxima al altillo para albergar el departamento de Investigacin. Requisitos de red Los requisitos de red para los departamentos son los siguientes:
!
Contabilidad El personal del departamento de Contabilidad incluye 27 empleados que utilizarn principalmente los PC de escritorio para obtener acceso a los servidores locales. Cinco superiores y responsables de grupo utilizarn tanto equipos de escritorio como porttiles. Como los equipos porttiles se utilizarn principalmente para el correo electrnico y para conseguir movilidad en las reuniones, necesitarn acceso inalmbrico. En los recursos del servidor local se incluirn dos controladores de dominio, un servidor de impresin, un servidor de servicios que ejecute servicios DHCP y WINS (Servicios de nombres Internet de Windows), cinco impresoras de red, un servidor de archivos y un clster de Microsoft SQL Server.
Distribucin El personal del departamento de Distribucin lo conforman 18 miembros: 7 que utilizan los PC de escritorio en el rea de oficinas y 11 empleados de almacn que utilizan los PC inalmbricos para retirar los productos para su distribucin. En el rea de distribucin se colocan otros 6 PC para la entrada de datos. Los recursos locales del grupo de distribucin incluirn tres impresoras de red y un servidor de acceso remoto para el acceso inalmbrico. Los recursos se conectan a la red de Contabilidad para obtener servicios de controlador de dominio, de impresin, de base de datos, DHCP y WINS.
Investigacin El personal del departamento de Investigacin lo integran 6 miembros, cada uno de los cuales dispone de dos equipos de escritorio. Tres de estos equipos se utilizan para la edicin de vdeo y necesitan conexiones de un gran ancho de banda con un nico servidor multimedia. Los recursos locales incluyen el servidor multimedia, un controlador de dominio y un servidor de servicios e impresin. No se permite el acceso inalmbrico.
El departamento de TI de The Northwind Traders le ha facilitado una lista con los requisitos que creen que necesitar para finalizar el plan. La instalacin de hardware se completar una vez que haya facilitado los detalles de planeamiento.
58
Requisitos
Estos son los requisitos de red y el hardware disponible para la nueva ubicacin:
!
La sala de equipos protegida del altillo albergar todo el equipo de redes y servidores para los departamentos de Contabilidad y Distribucin. Un vnculo WAN T1 conectar el enrutador de esta sala con la sede central de Londres. No es necesaria ninguna sala de equipos protegida para el departamento de Investigacin, ya que el rea de investigacin est perfectamente protegida. Se necesita una sola conexin para conectar el enrutador del rea de investigacin con el enrutador de la sala de equipos del altillo para establecer conexin con la sede central de Londres. El rea de distribucin necesitar varios puntos de acceso inalmbrico instalados en el tejado para ofrecer cobertura inalmbrica. Los proveedores han evaluado la nueva ubicacin y, aunque los puntos de acceso inalmbrico generalmente tienen una cobertura radial de 91,5 metros, los proveedores creen que slo pueden garantizar 30,5 metros de cobertura radial desde los puntos instalados en el tejado. Han recomendado que seis unidades funcionen en modo de puente, de forma que slo sea necesario un punto de conexin de red. Los requisitos de ancho de banda para el departamento de Contabilidad de la sede central de Londres muestra actualmente velocidades mximas de 2,3 Mbps para clientes individuales y un rendimiento mximo de 18 Mbps (en las interfaces de entrada y de salida) en el servidor de impresin. El rendimiento mximo de un clster SQL Server es de 14 Mbps. Los equipos porttiles presentan un rendimiento mximo de 1,2 Mbps. El ancho de banda para el departamento de Distribucin muestra un rendimiento mximo de 500 Kbps en los PC fijos y de escritorio, y se prev que los PC inalmbricos necesitarn el mismo ancho de banda. Actualmente se desconoce el ancho de banda del departamento de Investigacin, pero teniendo en cuenta que los tres PC se utilizarn para edicin de vdeo de grandes archivos multimedia, el proveedor de software calcula que para los requisitos generales se necesitara entre 60 y 85 Mbps. Se proporcionarn cuatro equipos para otros servicios, si cree que son necesarios. Estos se pueden configurar como servidores VPN que ejecuten Enrutamiento y acceso remoto, servidores de acceso remoto o servidores IAS. La red se basar en modificadores de capa 3 con interfaces para redes de 10/100 Mbps. Se han adquirido tres unidades de 48 puertos de costo medio pero, si es necesario, se pueden cambiar dos unidades por unidades ms caras de cuatro hojas. Las unidades de bajo costo pueden aceptar una tarjeta adicional que proporciona 3 interfaces de 1.000 Mbps. Las unidades de alto costo utilizan hojas conectables con 16 puertos de 10/100 Mbps o 5 puertos de 1.000 Mbps por hoja. Mejorar las interfaces hasta 1.000 Mbps aumentara el costo de forma considerable, de modo que se deberan justificar los requisitos. Los dos tipos de modificador de capa 3 admiten autenticacin de puerto si se utiliza un servidor RADIUS, y son compatibles con IPSec mediante certificados o secretos compartidos. Todo el cableado de red ser del tipo CAT5 con 1.000 Mbps de capacidad, pero para reducir los costos, la compaa desea obtener una justificacin por el uso de interfaces con un gran ancho de banda.
59
El departamento de Contabilidad necesita tener una seguridad mxima; debe asegurarse de que ningn PC no autorizado pueda entrometerse en la red. El departamento de Investigacin de la nueva ubicacin requerir una conexin segura entre esta ubicacin y el departamento de Investigacin en la sede central de Londres; para ello se utilizar la conexin WAN entre la sala de equipos del departamento de Contabilidad y la sede central de Londres. Debe hacer recomendaciones sobre cmo se puede proteger la conexin y cmo se producir la autenticacin.
60
Escenario
La configuracin nueva es para la red LAN/inalmbrica de la nueva ubicacin, y debe especificar la estrategia de acceso a la red para satisfacer los requisitos.
Tareas
1.
Informacin adicional Sugerencia: intente contener el trfico para separar las VLAN.
Para el plan de red LAN/inalmbrica de la nueva ubicacin, documentar el nmero de puntos de acceso necesarios y la velocidad LAN para las conexiones. Documentar los requisitos de seguridad y autenticacin para los usuarios que se conecten a la red LAN cableada.
2.
Incluya las conexiones donde se requiera efectuar la autenticacin del equipo antes que la autenticacin del usuario.
61
Tareas
1.
Instrucciones especiales
Documentar la forma en que debe implementarse la proteccin de la conexin WAN para el departamento de Investigacin. Documentar los requisitos de autenticacin para la conexin WAN.
2.