X10-0251909.pdf
-
Upload
akinramirez -
Category
Documents
-
view
217 -
download
0
Transcript of X10-0251909.pdf
-
7/27/2019 X10-0251909.pdf
1/70
Contenido
Introduccin 1
Leccin: Introduccin al acceso a la red 2
Leccin: Seleccin de los mtodos de
conexin de acceso a la red 14
Presentacin multimedia: Planeamiento de
soluciones para clientes VPN y de acceso
telefnico 21
Leccin: Seleccin de una estrategia dedirectiva de acceso remoto 29
Leccin: Seleccin de un mtodo de
autenticacin de acceso a la red 42
Leccin: Planeamiento de una estrategia
de acceso a la red 50
Prctica A: Planeamiento del acceso
a la red 56
Mdulo 9: Planeamiento
del acceso a la red
-
7/27/2019 X10-0251909.pdf
2/70
La informacin contenida en este documento, incluidas las direcciones URL y otras referencias
a sitios Web en Internet, est sujeta a modificaciones sin previo aviso. A menos que se indique lo
contrario, los nombres de las compaas, productos, dominios, direcciones de correo electrnico,
logotipos, personas, personajes, lugares y eventos mencionados son ficticios. No se pretende
indicar, ni debe deducirse ninguna asociacin con compaas, organizaciones, productos,
dominios, direcciones de correo electrnico, logotipos, personas, lugares o eventos reales.
Es responsabilidad del usuario el cumplimiento de todas las leyes de derechos de autor aplicables.
Ninguna parte de este documento puede ser reproducida, almacenada o introducida en un sistema
de recuperacin, o transmitida de ninguna forma, ni por ningn medio (ya sea electrnico,mecnico, por fotocopia, grabacin o de otra manera) con ningn propsito, sin la previa
autorizacin por escrito de Microsoft Corporation.
Microsoft puede ser titular de patentes, solicitudes de patentes, marcas, derechos de autor, y otros
derechos de propiedad intelectual sobre los contenidos de este documento. El suministro de este
documento no le otorga a usted ninguna licencia sobre estas patentes, marcas, derechos de autor,
u otros derechos de propiedad intelectual, a menos que ello se prevea en un contrato escrito de
licencia de Microsoft.
2003 Microsoft Corporation. Reservados todos los derechos.
Microsoft, MS-DOS, Windows, Windows NT, Active Directory, MSDN, PowerPoint, SharePoint,
Visual Basic y Windows Media son marcas registradas o marcas comerciales de Microsoft
Corporation en los Estados Unidos y/o en otros pases.
Los nombres de compaas reales y productos aqu mencionados pueden ser marcas registradas de
sus respectivos propietarios.
-
7/27/2019 X10-0251909.pdf
3/70
Mdulo 9: Planeamiento del acceso a la red iii
Notas para el instructorEn este mdulo se ofrece a los alumnos una introduccin al planeamientoy la documentacin de la infraestructura de redes en Microsoft
Windows Server 2003.
Despus de completar este mdulo, los alumnos podrn:
! Explicar los protocolos de autenticacin y los requisitos para una estrategia
de acceso a la red.
! Aplicar las directrices para elegir una estrategia de conexin de acceso a la red.
! Aplicar las directrices para elegir una estrategia de directiva de acceso remoto.
! Elegir un mtodo de autenticacin de acceso a la red.
! Planear una estrategia de acceso a la red.
Para impartir este mdulo, necesitar el material siguiente:
!
El archivo 2191A_09.ppt de Microsoft PowerPoint.! El archivo multimedia es Planeamiento de soluciones para clientes VPN
y de acceso telefnico.
Se recomienda utilizar PowerPoint 2002 o una versin posterior
para mostrar las diapositivas de este curso. Si utiliza PowerPoint Viewer o unaversin anterior de PowerPoint, puede que no se muestren correctamente todas
las caractersticas de las diapositivas.
Para preparar este mdulo, debe:
! Leer todo el material relacionado con el mdulo.
! Completar los ejercicios prcticos y la prctica, y revisar las respuestas de esta.
! Repasar las presentaciones multimedia.
! Repasar los requisitos previos en lo que respecta a cursos y mdulos.
Presentacin:60 minutos
Prctica:
30 minutos
Material necesario
Importante
Tareas de preparacin
-
7/27/2019 X10-0251909.pdf
4/70
iv Mdulo 9: Planeamiento del acceso a la red
Recomendaciones para impartir este mduloEn esta seccin se incluye informacin para ayudarle a impartir este mdulo.
En este mdulo se explica el concepto de acceso a la red y de qu manera se
relaciona con el planeamiento de una infraestructura de redes de
Windows Server 2003. En lugar de presentar el acceso remoto como unconcepto independiente, el mdulo combina las explicaciones sobre las redes derea local (LAN), las redes virtuales privadas (VPN), el acceso inalmbricoy telefnico en el contexto general del acceso a la red. El mdulo se centra en
cmo va a planear toda su estrategia de acceso a la red.
Directrices, ejercicios prcticos y prcticasLas pginas de directrices proporcionan decisiones clave sobre el tema tratado
en la leccin. Estas directrices constituyen un refuerzo del contenido y losobjetivos de la leccin.
Una vez cubierto el contenido del tema y demostrados los procedimientos
correspondientes a la leccin, explique que los ejercicios prcticosproporcionan a los alumnos la oportunidad de obtener experiencia en todas las
tareas tratadas.
Al final de cada mdulo, gracias a la prctica los alumnos pueden ejercitarse en
las tareas que se explican y se aplican en todo el mdulo.
Mediante situaciones que tienen que ver con la funcin de trabajo, la prctica
proporciona a los alumnos un conjunto de instrucciones en una tabla de doscolumnas. En la columna de la izquierda se indica la tarea que deben realizar(por ejemplo, crear un grupo). La columna de la derecha contiene instrucciones
especficas necesarias para que los alumnos puedan realizar la tarea (porejemplo, en Usuarios y equipos de Active Directory, haga doble clic en el
nodo del dominio).
En el disco compacto Material del alumno se encuentran las respuestas de losejercicios de cada prctica, por si los alumnos necesitan instrucciones paso
a paso para completarla. Tambin pueden remitirse a los ejercicios prcticosy a las pginas de instrucciones del mdulo.
Leccin: Introduccin al acceso a la redEn esta seccin se describen los mtodos para impartir esta leccin.
Explique el concepto de acceso a la red y asegrese de que los alumnos
entiendan sus componentes. Proporcione una introduccin detallada sobre los
requisitos de acceso a la red. Si los alumnos quieren hacer preguntas, comenteque cada uno de estos requisitos se abordarn con mayor detalle ms adelanteen la leccin.
Identifique y describa cada tipo de conexin a red. Como muchos alumnos ya
conocern esta informacin, slo debe repasar el tema.
Identifique cada uno de los protocolos y pida a los alumnos que los definanantes de repasarlos. Con ello tendr la oportunidad de apreciar quconocimientos tienen sobre los protocolos de autenticacin.
Informacin general
Pginas de directrices
Ejercicios prcticos
Prcticas
Requisitos de accesoa la red
Conexiones de accesoa la red
Protocolos deautenticacin de accesoa la red
-
7/27/2019 X10-0251909.pdf
5/70
Mdulo 9: Planeamiento del acceso a la red v
Explique que la seguridad de las conexiones es un componente fundamental
para cualquier estrategia de acceso a la red. A medida que identifique losdiversos componentes, es posible que los alumnos no acaben de asimilarlos, ya
que pueden parecer inconexos, pero a medida que empiecen a profundizar msen el tema, empezarn a formarse una idea clara.
Leccin: Seleccin de los mtodos de conexin de acceso a la redEn esta seccin se describen los mtodos para impartir esta leccin.
En esta leccin, los alumnos aprendern los diferentes mtodos de conexin a lared que se abordan en el curso. Necesitan aprender cmo pueden elegir el
mtodo que les permita obtener la mejor solucin para su red.
Explique el valor de una solucin LAN y en qu casos los alumnos debenelegirla. Repase las ventajas y los inconvenientes de una solucin de este tipo.
Explique el valor de una solucin VPN y en qu casos los alumnos deben
elegirla. Repase las ventajas y los inconvenientes de una solucin de este tipo.
Explique el valor de una solucin de acceso telefnico y en qu casos losalumnos deben elegirla. Repase las ventajas y los inconvenientes de una
solucin de este tipo.
Repase la presentacin varias veces para asegurarse de que comprende los
conceptos clave que presenta. Repase las preguntas clave y busque lasrespuestas en la presentacin. Asegrese de que puede responder a cualquier
pregunta que puedan formular los alumnos sobre el planeamiento de solucionespara clientes VPN y de acceso telefnico. Se recomienda que detenga la
presentacin en cualquier momento, si piensa que los alumnos no acaban deasimilar los conceptos, y responda a las preguntas que deseen formular.
Explique el valor de una solucin inalmbrica y en qu casos los alumnos
deben elegirla. Repase las ventajas y los inconvenientes de una solucin de estetipo.
Explique la importancia de evitar soluciones que generen un aumento de la
actividad administrativa y comente las diferentes opciones que tienen losalumnos de utilizar una solucin RADIUS (Servicio de usuario de acceso
telefnico de autenticacin remota) para centralizar la administracin.
Repase las directrices y ayude a los alumnos a entender el motivo por el cual
deben elegir un mtodo de conexin a la red antes que otro. Asegrese de quecomprenden cules pueden ser las consecuencias de no seguir estas directrices.
En este ejercicio prctico se ofrece a los alumnos la oportunidad de demostrar
sus conocimientos sobre cmo elegir un mtodo de conexin de acceso a la red.
Prcticas recomendadaspara la seguridad de lasconexiones
Consideraciones sobreuna solucin LAN
Consideraciones sobreuna solucin VPN
Consideraciones sobreuna solucin de accesotelefnico
Presentacinmultimedia:Planeamiento desoluciones para clientesVPN y de accesotelefnico
Consideraciones sobre
una solucininalmbrica
Infraestructura deautenticacin RADIUS
Directrices para elegirmtodos de conexin deacceso a la red
Ejercicio prctico:Seleccin de los
mtodos de conexin delos acceso a la red
-
7/27/2019 X10-0251909.pdf
6/70
vi Mdulo 9: Planeamiento del acceso a la red
Leccin: Seleccin de una estrategia de directiva de acceso remoto
En esta seccin se describen los mtodos para impartir esta leccin.
En esta leccin, los alumnos aprendern a elegir la directiva de acceso remoto
ms adecuada para su solucin de red. Si piensa que resulta apropiado para el
nivel de sus alumnos, puede mostrarles la presentacin multimediaIntroduccin al acceso remoto, que se encuentra en el disco compacto delalumno. En esta presentacin se ofrece una introduccin sobre los conceptos deacceso remoto, que los alumnos pueden o no conocer. Debe repasar la
presentacin antes de tomar esta decisin.
Explique que este tema se centra en un repaso de las directivas de accesoremoto y de qu manera se integran con los servicios de directorio Active
Directory.
Repase las propiedades de marcado de las cuentas de usuario y las dos formas
en que los alumnos pueden establecer permisos de acceso remoto.
Repase las directrices y ayude a los alumnos a entender el motivo por el cualdeben tener en cuenta cada una de ellas. Asegrese de que comprenden cules
pueden ser las consecuencias de no seguir estas directrices.
En este ejercicio prctico se ofrece a los alumnos la oportunidad de demostrar
sus conocimientos acerca de cmo determinar una estrategia de directiva deacceso remoto.
Directivas de accesoremoto
Propiedades demarcado de las cuentasde usuario
Directrices paraseleccionar unaestrategia de directivade acceso remoto
Ejercicio prctico:Determinacin de unaestrategia de directivade acceso remoto
-
7/27/2019 X10-0251909.pdf
7/70
Mdulo 9: Planeamiento del acceso a la red vii
Notas para el instructor de prcticas
En esta seccin se describen los mtodos para impartir esta prctica.
Para sus alumnos esta prctica puede suponer todo un reto debido a que no se
les ofrecen ilustraciones de la nueva ubicacin. Una de las principales tareas
que debern afrontar al llevarla a cabo (tanto si la realizan por si solos como engrupo) es dibujar al menos un diagrama global de la red nueva y de la red derea extensa (WAN) para la sede central de Londres.
Sugiera a los alumnos que lean primero todo el escenario y resalten la
informacin que consideren ms importante en los procesos de toma dedecisiones. Despus pueden agrupar dicha informacin en listas que tenganrelacin con la misma tarea. Por ejemplo, en todo el escenario se puede
encontrar informacin sobre los requisitos de ancho de banda. Si los alumnosrecopilan y agrupan la informacin para cada unas de las reas de redes lgicas,
pueden conseguir informacin importante sobre las LAN virtuales (VLAN) y elancho de banda necesario para la solucin.
Deje bien claro que deben separar las tareas de planeamiento de redes fsicas de
las decisiones sobre la seguridad lgica que debern tomar en el sistemaoperativo. En el ejercicio 1, no es necesario que los alumnos planeen la
seguridad fsica, por lo que no debe dejar que pierdan tiempo analizando lainfraestructura fsica.
Los alumnos pueden invertir demasiado tiempo en intentar ofrecer solucionespara impedir que los usuarios no autorizados registren el trfico LAN o WAN.
Si se genera un debate entorno a este tema, debe instarlos a reflexionar sobre laseguridad que proporciona una infraestructura conmutada (los datos no se
reflejan en todos los puertos a menos que se hayan configurado con este fin).Los alumnos tambin pueden ver algunos de los problemas de seguridad
relacionados con los modificadores de capa 3, como por ejemplo laadministracin basada en Web o en SNMP (Protocolo simple de administracin
de red) de los dispositivos. La autenticacin de puertos puede ofrecer la mejorsolucin para proteger todos los puertos.
Cuando se traten las soluciones en clase, invite a los alumnos a identificarelementos de las soluciones propuestas por otros grupos y que puedan
beneficiar a sus planes.
Anmelos a que expliquen cmo han dividido las tareas y la informacin
derivadas del escenario. Por ejemplo, si no han conseguido equilibrar el tiempodisponible entre las diferentes tareas, puede ser una indicacin de la falta deaptitudes para la administracin de proyectos. Debe intentar estimularlos para
que evalen de forma continua en qu situaciones deben tenerse en cuenta lasrestricciones de tiempo.
Prctica A:Planeamiento delacceso a la red
-
7/27/2019 X10-0251909.pdf
8/70
viii Mdulo 9: Planeamiento del acceso a la red
Informacin de personalizacin
En esta seccin se identifican los requisitos de instalacin de las prcticas paraun mdulo y los cambios de configuracin que se producen en los equipos delos alumnos durante estas prcticas. Esta informacin pretende ayudarle
a replicar o personalizar el material del curso MOC (Microsoft Official
Curriculum).
La prctica de este mdulo tambin depende de la configuracin del aulaespecificada en la seccin Informacin de personalizacin, al final de la Gua
de configuracin automatizada del aula del curso 2191A,Planeamientoy mantenimiento de infraestructuras de redes en Microsoft Windows Server 2003.
Configuracin de las prcticasNo existen requisitos de instalacin de la prctica que afecten a la replicacin
o la personalizacin.
Resultados de las prcticas
No hay ningn cambio de configuracin de los equipos de los alumnos queafecte a la replicacin o la personalizacin.
-
7/27/2019 X10-0251909.pdf
9/70
Mdulo 9: Planeamiento del acceso a la red 1
Introduccin
******EL USO POR QUIENES NO SEAN INSTRUCTORES NO EST AUTORIZADO Y RESULTA ILEGAL******
En este mdulo se plantean las consideraciones sobre el planeamiento de unaestrategia de acceso a la red con Microsoft Windows Server 2003. Estas
consideraciones estn relacionadas con la estrategia de conexin, las directivasde acceso remoto y el uso de IAS (Servicio de autenticacin de Internet) paraproporcionar autenticacin centralizada.
Se le presentar el concepto de acceso a la red. En este mdulo,el acceso a lared sirve para definir cualquier mtodo que se utilice para conectarse a la red.
Aprender a planear mtodos de conexin, como por ejemplo redes de rea
local (LAN), LAN inalmbricas, conexiones de acceso telefnico o tneles dered privada virtual (VPN).
Despus de finalizar este mdulo, el alumno podr:
! Explicar los protocolos de autenticacin y los requisitos para una estrategia
de acceso a la red.
! Aplicar las directrices para elegir una estrategia de conexin de acceso a la red.
! Aplicar las directrices para elegir una estrategia de directiva de acceso remoto.
! Elegir un mtodo de autenticacin de acceso a la red.
! Planear una estrategia de acceso a la red.
Introduccin
Objetivos
-
7/27/2019 X10-0251909.pdf
10/70
2 Mdulo 9: Planeamiento del acceso a la red
Leccin: Introduccin al acceso a la red
******EL USO POR QUIENES NO SEAN INSTRUCTORES NO EST AUTORIZADO Y RESULTA ILEGAL******
La estrategia de acceso a la red es un componente fundamental de cualquierplan de infraestructura de redes. Debe asegurarse de que los usuarios remotos
puedan tener acceso seguro a los recursos de la red corporativa y de que losclientes puedan adquirir los productos o servicios.
Una parte importante de una estrategia de acceso a la red ser definir cmo se
conectarn los usuarios, cmo se autenticarn y si los requisitos empresarialesnecesitarn una mayor seguridad.
Despus de finalizar esta leccin, el alumno podr:
! Identificar los requisitos para el acceso a la red.
! Explicar cmo pueden conectarse los usuarios remotos a la red corporativa.
! Identificar los mtodos de autenticacin de acceso a la red.
! Aplicar las prcticas recomendadas de seguridad de las conexiones de
acceso a la red.
! Explicar las diferencias entre los requisitos del host de seguridad.
Introduccin
Objetivos de la leccin
-
7/27/2019 X10-0251909.pdf
11/70
Mdulo 9: Planeamiento del acceso a la red 3
Requisitos de acceso a la red
******EL USO POR QUIENES NO SEAN INSTRUCTORES NO EST AUTORIZADO Y RESULTA ILEGAL******
Su empresa puede tener miles de usuarios remotos que necesitan tener accesoa la red para utilizar recursos y servicios corporativos. Los asociados y los
clientes necesitan tener acceso a la informacin sobre productos y realizarpedidos las veinticuatro horas del da, los siete das de la semana.
Para satisfacer las necesidades de todos los tipos de usuarios, debe planear una
solucin de acceso a la red integral.
Acceso a la reddefine el modo en que los dispositivos (clientes, servidores,
etc.) pueden conectarse y utilizar los recursos de la red.
Su solucin de acceso a la red debe incluir lo siguiente:
! Las tecnologas que se utilizan para establecer conexin en las capas fsicas
y de vnculo de datos.
! Los protocolos y medidas de seguridad que se utilizan para proteger los
datos y definir a quin se permite el acceso.
! Los procesos administrativos necesarios para garantizar que se aplican las
medidas de seguridad adecuadas a los usuarios adecuados para los recursos
apropiados.
Introduccin
Definicin
-
7/27/2019 X10-0251909.pdf
12/70
4 Mdulo 9: Planeamiento del acceso a la red
Su plan de acceso a la red debe identificar los dispositivos de conectividad, la
compatibilidad de los protocolos y los mtodos de autenticacin y cifradoapropiados para los usuarios remotos. En la siguiente tabla se muestra cada
funcionalidad y requisito de acceso a la red.
Requisito Descripcin
Conectividad Un dispositivo debe poder conectarse
fsicamente con la red, a travs de cables,
seales de radio u otros mtodos.
Compatibilidad de protocolo Deben existir los protocolos adecuados
para que se puedan establecer las
conexiones en la capa de vnculo de datos.
A continuacin se negocian los protocolos
de nivel superior hasta llegar a la capa de
aplicacin.
Autenticacin La autenticacin puede negociarse para el
usuario o dispositivo en cada capa.
Cifrado Los protocolos de cifrado se pueden
negociar y las condiciones de conexin,
las restricciones, los filtros y los perfiles
se pueden aplicar en un dispositivo
o usuario concreto.
El Servicio de Enrutamiento y acceso remoto de Windows Server 2003 seintegra fcilmente con el entorno de servicio de directorio Active Directoryo en un entorno que no sea Active Directory. Utiliza las directivas de
autenticacin y acceso remoto de Windows y RADIUS (Servicio de usuario deacceso telefnico de autenticacin remota) para definir las condiciones de
conexin, las restricciones y los filtros para las solicitudes de conexin.
Requisitos de acceso ala red
Integracin del servicioEnrutamiento y accesoremoto
-
7/27/2019 X10-0251909.pdf
13/70
Mdulo 9: Planeamiento del acceso a la red 5
Conexiones de acceso a la red
******EL USO POR QUIENES NO SEAN INSTRUCTORES NO EST AUTORIZADO Y RESULTA ILEGAL******
El plan de infraestructura de redes determina cmo se conectarn los usuariosa la red corporativa tanto de forma local como remota.
Hay diversas formas de obtener acceso a la red. Al margen de las LANcableadas tradicionales, puede ser necesario incluir una solucin de accesoalternativo, como por ejemplo VPN, acceso remoto mediante acceso telefnico
o una red inalmbrica. En la tabla siguiente se muestra una lista de lasconexiones de acceso a la red que aprender y sus descripciones.
Conexin de red Descripcin
LAN Una conexin LAN normalmente se trata de una conexin
cableada que utiliza tecnologas tales como Ethernet o Token
Ring en las capas fsicas y de vnculo de datos.
Las velocidades de transmisin normalmente son muy rpidas
(de 10 megabits por segundo [Mbps)] a 1.000 Mbps), y en
algunos casos pueden ser en modo dplex completo.
VPN Las VPN se forman cuando un protocolo de tnel, como por
ejemplo PPTP (Protocolo de tnel punto a punto) o L2TP
(Protocolo de tnel de capa 2) se utiliza para enviar los datos
a travs de un tnel en una red existente, como por ejemplo
Internet o una intranet. Ambos dispositivos pueden tratarse de
un cliente que establece comunicacin con un servidor o biendos enrutadores que utilizan un tnel para conectarse a redes
diferentes con el fin de formar una WAN (Red de rea
extensa).
Las velocidades de conexin dependen de la conexin
subyacente que utiliza el tnel. Esta conexin puede ser de
LAN, DSL (Lnea de subscriptor digital), ISDN (RDSI, Red
digital de servicios integrados), cable o un acceso telefnico a
56 kilobytes por segundo (Kbps).
Introduccin
Conexiones de acceso ala red
-
7/27/2019 X10-0251909.pdf
14/70
6 Mdulo 9: Planeamiento del acceso a la red
(continuacin)
Conexin de red Descripcin
Conexin de acceso
telefnico
Las conexiones de acceso telefnico normalmente utilizan un
mdem o un dispositivo ISDN (RDSI) para establecer
conexin entre dos dispositivos a travs de PSTN (Red
telefnica pblica conmutada). Estas conexiones pueden ser
de cliente a servidor o de enrutador a enrutador. Se pueden
conectar segn sea necesario: como en una conexin normal
de cliente a servidor o bien pueden permanecer conectados si
se utilizan con mucha frecuencia, como por ejemplo en el
caso de una conexin normal de enrutador a enrutador.
Por norma general, las velocidades oscilan entre 128 Kbps
para ISDN (RDSI) y 56 Kbps para un mdem tpico de
conexin telefnica.
LAN inalmbrica Tambin puede obtener acceso a una red mediante una LAN
que no utilice cableado para conectar dispositivos a la red,
y que en su lugar utilice seales de radio u otros mtodos de
transmisin de seales.
Las velocidades de transmisin normalmente oscilan entre
11 Mbps y 54 Mbps, pero las velocidades reales variarn en
funcin de la intensidad de la seal.
-
7/27/2019 X10-0251909.pdf
15/70
Mdulo 9: Planeamiento del acceso a la red 7
Protocolos de autenticacin de acceso a la red
******EL USO POR QUIENES NO SEAN INSTRUCTORES NO EST AUTORIZADO Y RESULTA ILEGAL******
Al planear la estrategia de acceso a la red, deber establecer el mejor mtodo deautenticacin que se pueda utilizar. Puede efectuar la autenticacin utilizando
diferentes mtodos y protocolos. Este tema ofrece una introduccin a varios deestos mtodos y protocolos de autenticacin.
EAP (Protocolo de autenticacin extensible) es un mecanismo de autenticacin
basado en PPP (Protocolo punto a punto) que se ha adaptado para su uso ensegmentos de LAN punto a punto. Los mensajes de EAP normalmente se
envan como la carga de las tramas PPP. El protocolo EAP proporciona lamayor flexibilidad posible, lo cual permite conseguir mtodos de autenticacin
ms seguros. Puede utilizar EAP para admitir esquemas de autenticacin, comoTarjeta token genrica, Contrasea de nico uso (OTP), Protocolo de DesafoMD5-Challenge y Seguridad de la capa de transporte (TLS) para tarjetas
inteligentes y compatibilidad de certificado, adems de cualquier tecnologa deautenticacin futura. EAP es un componente tecnolgico fundamental para las
conexiones seguras.
Aunque EAP ofrece flexibilidad en la autenticacin mediante el uso dediferentes tipos de protocolos, se puede enviar toda la conversacin de EAP
como texto no cifrado. PEAP (Protocolo de autenticacin extensible protegida)es un tipo de EAP que soluciona los problemas de seguridad en EAP: en primer
lugar se crea un canal seguro que est cifrado y protegido con TLS, y, acontinuacin, se produce una nueva negociacin de EAP con otro tipo de EAP
y se autentica el intento de acceso a la red del cliente.
PEAP est disponible como mtodo de autenticacin para clientes inalmbricos
802.11, pero no es compatible con los clientes VPN u otros clientes de accesoremoto. De este modo, slo puede configurar PEAP como el mtodo de
autenticacin para una directiva de acceso remoto cuando utilice IAS.
Introduccin
EAP
PEAP
-
7/27/2019 X10-0251909.pdf
16/70
8 Mdulo 9: Planeamiento del acceso a la red
Los estndares 802.1x del IEEE (Instituto de ingenieros elctricos y electrnicos)
definen el control de acceso a la red mediante puerto que se utiliza paraproporcionar acceso autenticado a la red para las redes Ethernet. IEEE 802.1x
utiliza las caractersticas fsicas de una infraestructura LAN conmutada paraautenticar los dispositivos conectados a un puerto LAN. Se puede denegar el
acceso al puerto si se produce un error en el proceso de autenticacin. IEEE
802.1x utiliza EAP como su protocolo de autenticacin. EAP se ha diseado paraque sea extensible para casi cualquier tipo de mtodo de autenticacin.
El protocolo Kerberos versin 5 (Kerberos V5) comprueba la identidad de losservicios de red y el usuario. Esta comprobacin doble tambin se conoce como
autenticacin mutua. La autenticacin Kerberos proporciona un inicio de sesinnico para los recursos de un dominio y los recursos ubicados en dominios de
confianza.
NTLM o NTLM versin 2 (NTLM v2) se utiliza como el protocolo deautenticacin para las transacciones entre dos equipos, en que uno de los dos
o ambos ejecutan Microsoft Windows NT 4.0. Las redes con estaconfiguracin se conocen como redes de modo mixto. Adems, NTLM v2 es elprotocolo de autenticacin para los equipos que no participan en el dominio,
como por ejemplo los grupos de trabajo y los servidores independientes.
Un certificado de clave pblica es un tipo de autenticacin que ofrece unacomprobacin de identidad confiable. Estos certificados se utilizan paracomprobar las identidades de los equipos con sistema operativos que no
pertenecen a Microsoft, equipos independientes, clientes que no sean miembrosde un dominio de confianza o equipos que no ejecutan el protocolo de
autenticacin Kerberos V5 ni el servicio Enrutamiento y acceso remoto.
Los certificados usan tcnicas de cifrado para solucionar el problema de la faltade contacto fsico entre las partes comunicantes. Con estas tcnicas, puede
limitar la posibilidad de que alguien con fines poco ticos pueda interceptar,alterar o falsificar mensajes. Estas tcnicas de cifrado dificultan la modificacin
de los certificados. Por consiguiente, resulta complicado que alguien puedahacerse pasar por otra persona. Un certificado se puede almacenar de forma
local en un almacn de certificados del dispositivo o en una tarjeta inteligente.Una tarjeta inteligente es un dispositivo del tamao de una tarjeta de crditoque se utiliza con un cdigo de acceso para habilitar la autenticacin mediante
certificados y el inicio de sesin nico en la empresa.
El mtodo de clave previamente compartida requiere que las partes que se
conectan se pongan de acuerdo en una clave secreta compartida, que se utilizarpara la autenticacin. Este mtodo tambin se conoce comosecreto compartido.A diferencia de los certificados, no se puede determinar el origen ni el historial
de una clave previamente compartida, de modo que el uso de estas claves paraautenticar conexiones se considera un mtodo de autenticacin relativamente
dbil. Si desea tener un mtodo de autenticacin slido y duradero, debe teneren consideracin el uso de una infraestructura de claves pblicas (PKI).
Durante la negociacin de seguridad, la informacin se cifra antes de latransmisin con una clave de sesin. Esta se crea a partir de un clculo de
Diffie-Hellman y mediante la clave de secreto compartido. La informacin sedescifra en el lado del destinatario usando la misma clave. Para autenticar el
paquete del interlocutor, un homlogo descifra y comprueba el algoritmo hashque hay dentro del paquete, que es un algoritmo hash de la clave previamentecompartida.
IEEE 802.1x
Kerberos
NTLM
Certificados de clavepblica
Clave previamentecompartida
-
7/27/2019 X10-0251909.pdf
17/70
Mdulo 9: Planeamiento del acceso a la red 9
El mtodo de autenticacin biomtrica comprueba la identidad de una persona
comparando sus caractersticas fsicas con los datos almacenados, como porejemplo una huella digital o el iris. Los dispositivos de autenticacin biomtrica
incluyen escneres de huellas digitales, de iris y sistemas de comprobacin devoz. La biomtrica puede sustituir contraseas y PIN (nmeros de
identificacin personal) de tarjeta inteligente, ya que los datos biomtricos no se
pueden olvidar, perder, robar o compartir con otros. Puede utilizar laautenticacin biomtrica escribiendo una extensin en EAP.
Autenticacinbiomtrica
-
7/27/2019 X10-0251909.pdf
18/70
10 Mdulo 9: Planeamiento del acceso a la red
Prcticas recomendadas para la seguridad de las conexiones
******EL USO POR QUIENES NO SEAN INSTRUCTORES NO EST AUTORIZADO Y RESULTA ILEGAL******
La seguridad de acceso a la red es un componente fundamental de cualquierplan de infraestructura de redes. Aunque los componentes descritos en este
tema pueden resultar incompatibles al principio, todos ellos son elementosbsicos del planeamiento y la implementacin de la seguridad y son necesarios
para obtener acceso a la red.
En Windows Server 2003, puede configurar los adaptadores de red Ethernetpara autenticar un equipo o usuario con un modificador Ethernet. Los
adaptadores de red Ethernet se pueden configurar para utilizar la autenticacin802.1x. Puede elegir uno de los siguientes tipos de EAP:
! Tarjeta inteligente u otro certificado
Este tipo de EAP permite utilizar una tarjeta inteligente o el almacn local
de certificados para ofrecer informacin de los certificados para laautenticacin de los modificadores.
! PEAP
Este tipo de EAP proporciona seguridad a la conexin EAP protegida. Con
PEAP, puede elegir entre los mtodos de autenticacin mediantecontrasea segura (EAP-MSCHAP v2), Tarjeta inteligente u otrocertificado.
! MD5-Challenge
Este tipo de EAP es un mtodo de autenticacin mediante contrasea queutiliza el mismo tipo de protocolo de autenticacin por desafo mutuo que
CHAP (Protocolo de autenticacin por desafo mutuo) basado en PPP, peroenva los desafos y las respuestas como mensajes EAP.
Introduccin
Configuracin de losadaptadores de redEthernet
-
7/27/2019 X10-0251909.pdf
19/70
Mdulo 9: Planeamiento del acceso a la red 11
Puede utilizar Windows Server 2003 para que sea compatible con un inicio de
sesin interactivo mediante clave pblica, si utiliza un certificado X.509versin 3 almacenado en una tarjeta inteligente con la clave pblica. En lugar
de una contrasea, el usuario escribe un PIN en GINA (Autenticacin eidentificacin grfica) y el PIN autentica el usuario para la tarjeta.
El certificado de clave pblica del usuario se recupera de la tarjeta mediante un
proceso seguro y se comprueba que sea vlida y de un emisor de confianza.Durante el proceso de autenticacin, se emite a la tarjeta un desafo basado en la
clave pblica del certificado. Este desafo comprueba que la tarjeta del usuariosea vlida y que pueda utilizar la clave privada correspondiente con xito.
Despus de comprobar con xito el par de clave pblica y privada, la identidad
del usuario que hay en el certificado se utiliza para hacer referencia al objeto deusuario almacenado en Active Directory para crear un testigo y devolver un
vale de sesin al cliente. El inicio de sesin mediante clave pblica se haintegrado con la implementacin de Microsoft de Kerberos V5 que es
compatible con la extensin de clave pblica especificada en el borradorRFC-1510, The Kerberos Network Verification Service (V5) del IETF(Grupo de trabajo de ingeniera de Internet).
Puede utilizar IPSec (Protocolo de seguridad de Internet) para proporcionar
seguridad en las capas de red y transporte. La seguridad en estas capas estransparente para todas las capas que hay por encima de ellas, lo que significaque no es necesario que las aplicaciones y dispositivos intermedios estn
configurados de una forma especial para que puedan funcionar con IPSec.IPSec tambin proporciona autenticacin mutua.
Esta autenticacin se produce cuando los dos interlocutores se deben autenticarentre s. Por ejemplo, cuando dos servidores independientes que ejecutanEnrutamiento y acceso remoto se conectan para el enrutamiento, estos se
autentican entre s, en vez de utilizar una base de datos Active Directory o unservidor RADIUS. Esto es el mismo proceso que se utiliza cuando dos equipos
configurados para IPSec utilizan una conexin de clave pblica previamentecompartida. Para autenticarse entre s, los equipos slo deben establecer
comunicacin entre ellos.
Puede utilizar una infraestructura RADIUS para agrupar todos los requisitos deautenticacin de la red. Tanto si dispone de modificadores, servidores de acceso
remoto, puntos de acceso inalmbrico o cualquier otro elemento que debaautenticar un usuario o dispositivo informtico, puede utilizar un servidor
RADIUS para autenticarlos en una ubicacin central mediante un conjunto dedirectivas de acceso remoto que se administran desde esta ubicacin.
Un servidor RADIUS proporciona una autenticacin centralizada que puedereducir de forma significativa la actividad administrativa y con ello evitar focos
separados de autenticacin. Esto facilita la especificacin de restricciones,condiciones y directivas de autenticacin coherentes.
Compatibilidad con elinicio de sesininteractivo medianteclave pblica
Utilizacin de IPSec
Autenticacin de igual aigual
Utilizacin de unainfraestructura RADIUS
-
7/27/2019 X10-0251909.pdf
20/70
12 Mdulo 9: Planeamiento del acceso a la red
Equipos host de seguridad
******EL USO POR QUIENES NO SEAN INSTRUCTORES NO EST AUTORIZADO Y RESULTA ILEGAL******
Un host de seguridad permite complementar la seguridad que las conexiones dered y la familia Windows Server 2003 ya han aplicado. Al planear la estrategia
de acceso a la red, debe determinar si necesita esta seguridad adicional.
Un host de seguridades un dispositivo de autenticacin que comprueba si unaconexin tiene permiso para conectarse con un servidor de acceso a la red.
Antes de implementar los equipos host de seguridad, es necesario que conozcalas diferencias entre los siguientes tipos de equipos host de seguridad:
! Equipos host de seguridad que realizan comprobaciones de autenticacin
durante una solicitud de conexin.
Este tipo de host de seguridad se coloca entre el usuario y el servidor de
acceso a la red, y realiza una comprobacin de autenticacin antes de laautenticacin del servidor de acceso a la red. Por norma general,
proporciona una capa adicional de seguridad ya que necesita que una llavede hardware facilite la autenticacin. La comprobacin de que tiene laposesin fsica de la llave se produce antes de obtener acceso al servidor de
acceso a la red. Con esta arquitectura abierta, el administrador de sistemaspuede seleccionar entre una gama de equipos host de seguridad para
aumentar la seguridad en Conexiones de red, pero puede limitar lascomprobaciones de autenticacin a algunos tipos de conexin.
Introduccin
Definicin
Compare los equiposhost de seguridad
-
7/27/2019 X10-0251909.pdf
21/70
Mdulo 9: Planeamiento del acceso a la red 13
! Equipos host de seguridad a los que se llama durante el proceso de
autenticacin de la conexin.
Este tipo de host de seguridad proporciona autenticacin personalizadadurante el proceso de autenticacin de acceso a la red. Esta autenticacin
puede aumentar o sustituir la comprobacin estndar de sus credenciales dered que ejecuta el servidor de acceso a la red. Los servidores RADIUS son
ejemplos de este tipo de host de seguridad, puesto que realizan laautenticacin del usuario en nombre del servidor de acceso a la red.
Mediante la introduccin de EAP, otros proveedores pueden crear interfacesentre la autenticacin de acceso a la red y sus propios servidores. Losservidores de este tipo se utilizan para comprobar las tarjetas inteligentes
y otras formas de autenticacin ampliada.
Por ejemplo, un sistema de seguridad consta de dos dispositivos de hardware: el
host de seguridad y la tarjeta de seguridad. El host de seguridad se ha instaladoentre el servidor de acceso a la red y su conexin de red. La tarjeta de seguridad
es una unidad pequea del tamao de una tarjeta de crdito que se asemejaa una calculadora de bolsillo sin teclas. La tarjeta de seguridad muestra un
nmero de acceso diferente cada minuto. Este nmero se sincroniza con un
nmero similar que calcula el host de seguridad cada minuto. Al establecer laconexin, el usuario enva al host un nmero PIN y el nmero de la tarjeta de
seguridad. Si estos coinciden con el nmero que ha calculado el host, el host deseguridad le conecta con el servidor de acceso a la red.
Otro host de seguridad del mismo tipo le solicita que escriba un nombre deusuario (que puede o no ser el mismo que el nombre de usuario de accesoremoto) y una contrasea (distinta a la contrasea de acceso remoto).
GINA, el componente de DLL que carga Winlogon, implementa los requisitosde autenticacin a partir del modelo de inicio de sesin interactivo. Realiza
todas las interacciones de identificacin y autenticacin del usuario. Msgina.dll,el estndar GINA que proporciona Microsoft y carga Winlogon, puedesustituirse por otra GINA que haya creado y personalizado un tercero.
Tambin puede escribir una nueva GINA que utilice los servicios del host de
seguridad para los servicios de autenticacin.
Ejemplo de un sistemade seguridad
Utilice un modelo deinicio de sesininteractivo
-
7/27/2019 X10-0251909.pdf
22/70
14 Mdulo 9: Planeamiento del acceso a la red
Leccin:Seleccin de los mtodos de conexin deacceso a la red
******EL USO POR QUIENES NO SEAN INSTRUCTORES NO EST AUTORIZADO Y RESULTA ILEGAL******
Al elegir un mtodo de conexin de acceso a la red, debe evaluar todos losmtodos de conexin disponibles, como LAN, VPN, acceso telefnico
o inalmbrico y determinar cul de ellos es el ms adecuado para su solucin deacceso a la red.
Para reducir la actividad administrativa, es recomendable utilizar el servidorISA (Internet Security and Acceleration) de Microsoft para centralizar la
autenticacin de los usuarios remotos en una ubicacin.
Despus de finalizar esta leccin, el alumno podr:
! Determinar si una solucin LAN es un mtodo de conexin adecuado para
la estrategia de acceso a la red.
! Determinar si una solucin VPN es un mtodo de conexin adecuado para
la estrategia de acceso a la red.
! Determinar si una solucin de acceso telefnico es un mtodo de conexin
adecuado para la estrategia de acceso a la red.
! Explicar cmo hacer planes para clientes VPN y de acceso telefnico.
! Determinar si una solucin inalmbrica es un mtodo de conexin adecuado
para la estrategia de acceso a la red.
! Explicar cmo se puede centralizar una autenticacin de cliente mediante la
autenticacin de servidor IAS y RADIUS.
! Aplicar las directrices para elegir un mtodo de conexin de acceso a la red.
Introduccin
Objetivos de la leccin
-
7/27/2019 X10-0251909.pdf
23/70
Mdulo 9: Planeamiento del acceso a la red 15
Consideraciones sobre una solucin LAN
******EL USO POR QUIENES NO SEAN INSTRUCTORES NO EST AUTORIZADO Y RESULTA ILEGAL******
Puede llegar a la conclusin de que la estrategia de infraestructura de redes debeincluir una LAN. No obstante, antes de que pueda definir una LAN, debe
comprender los requisitos empresariales. En la estrategia de LAN que sepresenta en este tema se documenta la implementacin del plan de seguridad.
Debe tener en cuenta que una solucin LAN puede incidir negativamente en el
rendimiento de la red. Por ejemplo, una empresa que utiliza un mediocompartido (por ejemplo, un concentrador) debe compartirlo con otros nodos
del medio, con lo que se reduce el rendimiento potencial. Sin embargo, si utilizaun modificador en vez de un concentrador puede ayudarle a mitigar cualquier
efecto negativo en el rendimiento de la red.
Las empresas normalmente eligen una solucin LAN para los servidoresy clientes estacionarios y que necesitan disponer de una conectividad
permanente con un gran ancho de banda. Por ejemplo, en una empresa con unservidor (Web, archivos y base de datos) o clientes que necesitan conseguir un
rendimiento alto pero no necesitan tener movilidad normalmente seimplementara una solucin LAN. Los clientes con necesidades de altorendimiento incluyen:
! Cualquier servidor (Active Directory, DHCP, servidor DNS [Sistema de
nombres de dominio], Web, etc.).
! Estaciones de trabajo grficas.
! Estaciones multimedia.
! Cualquier otro sistema que transfiera grandes cantidades de datos a travs de
la red.
Introduccin
Seleccin de una LAN
-
7/27/2019 X10-0251909.pdf
24/70
16 Mdulo 9: Planeamiento del acceso a la red
Antes de decidir si una solucin LAN es adecuada para la estrategia de
infraestructura de redes, es aconsejable que considere las ventajas y losinconvenientes de este tipo de acceso a la red, como se describe en la siguiente
tabla.
Tipo de consideracin Ejemplos
Ventajas Transmisin de alta velocidad (de 10a 1.000 Mbps para Ethernet).
Conexin sin interferencias en la seal.
La red normalmente no est afectada
por interrupciones en la conexin
o prdidas de velocidad de transmisin
debido a interferencias en la seal.
Medios no compartidos.
Las tecnologas de conmutacin que
existen permiten las transmisiones
punto a punto (en modo dplex
completo o dplex medio). Estas
tecnologas aumentan las posibilidades
de rendimiento en el medio.
Tecnologa conocida y probada que
utiliza hardware econmico
y ampliamente comercializado.
Inconvenientes Los dispositivos deben estar
conectados fsicamente, lo cual puede
restringir la movilidad.
El costo inicial de implementar una
solucin LAN puede resultar
prohibitivo. Debe instalarse la
infraestructura de cableado, lo cualimplica un costo elevado en trminos
de tiempo y dinero.
En una solucin LAN, muchas de las caractersticas de seguridad estn ya
incluidas y perfectamente integradas. Estas pueden incluir mecanismos deautenticacin integrados, como por ejemplo Kerberos V5 y NTLM. Adems de
estos mtodos integrados, tambin puede utilizar:
! TLS con IPSec.
! Seguridad de SSL (Capa de sockets seguros).
! TLS con seguridad de certificado X.509 v3.
Seleccin de unasolucin LAN
Opciones de seguridad
-
7/27/2019 X10-0251909.pdf
25/70
Mdulo 9: Planeamiento del acceso a la red 17
Consideraciones sobre una solucin VPN
******EL USO POR QUIENES NO SEAN INSTRUCTORES NO EST AUTORIZADO Y RESULTA ILEGAL******
Si la estrategia de red incluye una solucin VPN, debe proporcionar accesoseguro a los recursos de la red. Para evitar el costo que supone alquilar una
lnea privada para conectarse a la red, puede crear un tnel seguro a travs deuna red pblica como Internet para formar una VPN. La VPN se autentica y se
cifra por motivos de seguridad.
Debe tener en cuenta que una solucin VPN puede incidir en el rendimiento.Por ejemplo, si depende de una conexin de red subyacente que ofrece desde
velocidades LAN hasta velocidades de mdem por acceso telefnico(a 28 Kbps), esto puede acarrear una sobrecarga adicional relacionada con el
protocolo de tnel.
Las empresas cada vez ms optan por las VPN como soluciones de acceso a lared. Este tipo de solucin puede ayudar a una empresa a satisfacer las
necesidades de los clientes remotos, adems de cumplir los requisitos deseguridad. Una solucin VPN puede resultar adecuada cuando:
! La empresa tiene empleados en ubicaciones remotas.
! La empresa necesita conectarse con dos dispositivos (tanto si la conexin es
de cliente a servidor como de enrutador a enrutador).
Introduccin
Seleccin de unasolucin VPN
-
7/27/2019 X10-0251909.pdf
26/70
18 Mdulo 9: Planeamiento del acceso a la red
Antes de decidir si una solucin VPN es adecuada para la estrategia de
infraestructura de redes, es aconsejable que considere las ventajas y losinconvenientes de este tipo de acceso a la red, como se describe en la tabla
siguiente.
Tipo de consideracin Ejemplos
Ventajas Puede utilizar una infraestructura deredes existente (Internet o intranet)
para transportar los datos enviados
a travs de tnel.
No acarrea el costo de una conexin
privada entre dispositivos.
Se adapta mejor a las ampliaciones que
una solucin de acceso telefnico.
Inconvenientes Los procesos de envo de datos a travs
de tnel pueden conllevar una
sobrecarga adicional.
Ambos dispositivos deben ser
compatibles con los mismos protocolos
de tnel (PPTP o L2TP).
Se incrementa el riesgo de que un
atacante pueda ver y analizar los
paquetes. A pesar de que estos se
pueden cifrar, aplicarles algoritmos
hash y autenticar, an seguirn
transmitindose en una red pblica (en
el caso de Internet).
Se necesita asistencia adicional. Debe
asegurarse de que la infraestructura de
redes permite la transmisin de
paquetes a travs de un tnel desde
Internet hasta su red privada.
La seguridad es un requisito esencial para cualquier conexin remota.Una solucin VPN puede protegerse de las siguientes maneras:
! Autenticacin
Mtodos de autenticacin estndar PPP ([MS-CHAPv2], MS-CHAP,
PAP, etc.)
Mtodos de autenticacin EAP (certificados de clave pblica incluidos)
IPSec
! Cifrado de datos
MPPE (Cifrado punto a punto de Microsoft) de 40, 56 o 128 bits.
IPSec
! Restricciones de conexin (hora del da, duracin de la conexin, etc.)
Estas restricciones permiten limitar las conexiones.
Eleccin de unasolucin VPN
Opciones de seguridad
-
7/27/2019 X10-0251909.pdf
27/70
Mdulo 9: Planeamiento del acceso a la red 19
Consideraciones sobre una solucin de acceso telefnico
******EL USO POR QUIENES NO SEAN INSTRUCTORES NO EST AUTORIZADO Y RESULTA ILEGAL******
Antes de elegir una solucin de acceso telefnico, debe tener en cuenta que talvez se trate de la solucin de acceso remoto ms costosa para una empresa. Sin
embargo, probablemente resulte la menos cara para el usuario y utiliza unaconexin telefnica directa entre dos dispositivos.
Hay que tener en cuenta que una solucin de acceso telefnico puede afectar al
rendimiento, sobre todo en todo aquello relacionado con el lmite de ancho debanda al utilizar PSTN o la integridad de la conexin de la lnea telefnica.
Si necesita realizar una conexin punto a punto entre dos dispositivos, tanto si
la conexin es de cliente a servidor como de enrutador a enrutador, puedeutilizar la omnipresente red PSTN para conectar los dispositivos, lo que
representa un costo mnimo para el usuario final. Sin embargo, para la empresasupondr un costo aadido, puesto que tendr que adquirir el hardware
necesario.
Introduccin
Seleccin de unasolucin de accesotelefnico
-
7/27/2019 X10-0251909.pdf
28/70
20 Mdulo 9: Planeamiento del acceso a la red
Antes de decidir si una solucin de acceso telefnico es adecuada para la
estrategia de infraestructura de redes, es aconsejable que considere las ventajasy los inconvenientes de este tipo de acceso a la red, como se describe en la
siguiente tabla.
Tipo de consideracin Ejemplos
Ventajas El costo de la lnea es asequible.
Una solucin de acceso telefnico se
puede adquirir fcilmente.
Se trata de una tecnologa confiable y
probada (en la mayora de los lugares).
Es fcil de instalar.
Inconvenientes Puede resultar lenta (la transmisin de
datos oscila entre 28 Kbps
y 128 Kbps).
Resulta difcil ampliarla.
Necesita un mdem para cada
conexin, por lo que debe comprar
e instalar ms hardware.
En algunas partes del mundo puede
resultar poco confiable.
Puede estar sujeta a interferencias
y ruidos de la lnea, puesto que se trata
de una seal analgica.
Puede proteger una solucin de acceso telefnico de la misma forma que
protegera una solucin VPN mediante las opciones siguientes:
! Autenticacin
Mtodos de autenticacin estndar PPP ([MS-CHAPv2], MS-CHAP,
PAP, etc.)
Mtodos de autenticacin EAP (certificados de clave pblica incluidos)
! Cifrado de datos
MPPE de 40, 56 o 128 bits.
! Restricciones de conexin (hora del da, duracin de la conexin, etc.)
Tambin puede utilizar estas restricciones para limitar las conexiones.
Seleccin de unasolucin de accesotelefnico
Opciones de seguridad
-
7/27/2019 X10-0251909.pdf
29/70
Mdulo 9: Planeamiento del acceso a la red 21
Presentacin multimedia: Planeamiento de solucionespara clientes VPN y de acceso telefnico
******EL USO POR QUIENES NO SEAN INSTRUCTORES NO EST AUTORIZADO Y RESULTA ILEGAL******
Para iniciar la presentacinPlaneamiento de soluciones para clientes VPN y deacceso telefnico, abra la pgina Web que se encuentra en el disco compacto
Material del alumno. Haga clic en Multimedia y, a continuacin, en el ttulo dela presentacin.
El objetivo de esta presentacin es describir las diferentes formas de planearclientes VPN y de acceso telefnico.
Aprender a hacer lo siguiente:
! Planear un servidor que ejecute el servicio Enrutamiento y acceso remoto
para ofrecer servicios de acceso telefnico o VPN.
! Seleccionar una configuracin de Enrutamiento y acceso remoto para
servicios de acceso telefnico o VPN.
! Elegir entre una solucin de acceso telefnico y de VPN.
Cuando visualice este medio, deber tener en cuenta las cuestiones siguientes.
! Cul es el primer paso para planear una solucin de acceso remoto?
! Qu debe suceder antes de que un usuario pueda conectarse a un servidor
de acceso remoto?
! Qu protocolo de tnel ofrece la mejor seguridad?
Ubicacin de losarchivos
Objetivos
Preguntas clave
-
7/27/2019 X10-0251909.pdf
30/70
22 Mdulo 9: Planeamiento del acceso a la red
Consideraciones sobre una solucin inalmbrica
******EL USO POR QUIENES NO SEAN INSTRUCTORES NO EST AUTORIZADO Y RESULTA ILEGAL******
Una solucin inalmbrica permite a los usuarios mviles desplazarse de unlugar a otro y permanecer conectados a la red. Las tecnologas de redes
inalmbricas amplan el concepto de no ms cables. En una red inalmbrica,todos los equipos transmiten su informacin a travs de un punto central de
acceso inalmbrico mediante seales de radio. Al optar por una solucin deacceso a la red inalmbrica, debe tener en cuenta la seguridad de la conexiny los inconvenientes asociados con el uso de una red inalmbrica.
Hay dos cuestiones importantes sobre el rendimiento relacionadas con las redesinalmbricas. La primera de ellas son los medios compartidos, que pueden
reducir la cantidad de ancho de banda disponible. La segunda es que una sealde poca intensidad puede afectar no slo a la conexin, sino tambin a lavelocidad de transmisin. La radiotransmisin (y otras formas de transmisin)
slo abarca una cierta distancia, tras la cual empieza a degradarse.
Si la empresa tiene clientes mviles, una conexin inalmbrica puede ser una
solucin adecuada. Un cliente mvil no es necesariamente un equipo porttilbsico, sino que puede ser un dispositivo informtico muy eficaz que puedarealizar las mismas tareas informticas que un equipo de escritorio, por lo que
requiere capacidades de rendimiento de red parecidas.
Introduccin
Seleccin de unasolucin inalmbrica
-
7/27/2019 X10-0251909.pdf
31/70
Mdulo 9: Planeamiento del acceso a la red 23
Antes de decidir si una solucin inalmbrica es adecuada para la estrategia de
infraestructura de redes, es aconsejable que considere las ventajas y losinconvenientes de este tipo de acceso a la red, como se describe en la siguiente
tabla.
Tipo de consideracin Ejemplos
Ventajas Movilidad (incluida la itinerancia entrepuntos de acceso inalmbrico)
No se requiere una infraestructura
costosa de cableado.
Fcil integracin con las redes
cableadas.
Compatibilidad con los mismos
protocolos y tecnologas que las redes
cableadas (Ethernet, TCP/IP, etc.).
Velocidad (velocidades mximas entre
11 y 54 Mbps).
Inconvenientes Medios compartidos.
Intervalo limitado.
Est sujeta a interferencias
u obstrucciones.
Complejidad de planeamiento,
configuracin y administracin, puesto
que se trata de una tecnologa
relativamente nueva.
Integracin incompleta de la seguridad.
Hay dos opciones de autenticacin disponibles para las redes inalmbricas.
Cualquiera de estos dos mtodos puede utilizar privacidad equivalente al cablepara el cifrado. Las opciones son las siguientes:
! El estndar 802.11 define los tipos de autenticacin de sistemas abiertosy de clave compartida. Este estndar se considera la opcin menos segura
para las redes inalmbricas. La autenticacin de sistema abierto proporciona
informacin y no autenticacin, mientras que la autenticacin de clavecompartida no se adapta bien a las ampliaciones.
! El estndar 802.1x define el control de acceso a la red basado en puertos quese utiliza para ofrecer acceso autenticado a la red para redes Ethernet.
Aunque este estndar se dise para redes Ethernet cableadas, se ha
adaptado para su uso en LAN 802.11 inalmbricas. Este estndar se
considera la opcin ms segura para redes inalmbricas, e incluye mtodos
de autenticacin EAP que utilizan tarjetas inteligentes u otros certificados
y velocidad de transmisin PEAP o conexiones interrumpidas.
Seleccin de unasolucin inalmbrica
Opciones de
autenticacin
-
7/27/2019 X10-0251909.pdf
32/70
24 Mdulo 9: Planeamiento del acceso a la red
Infraestructura de autenticacin RADIUS
******EL USO POR QUIENES NO SEAN INSTRUCTORES NO EST AUTORIZADO Y RESULTA ILEGAL******
A pesar de que puede crear y administrar varios mtodos de autenticacin paralas conexiones de acceso a la red, esta estrategia puede acarrear una gran
cantidad de actividad administrativa.
Para solucionar este problema, puede utilizar el servidor IAS para proporcionaruna infraestructura de autenticacin RADIUS para autenticar todos los clientes
de acceso a la red (VPN, acceso telefnico e inalmbricos) en una solaubicacin.
El servidor IAS proporciona una ubicacin central para todas las directivas de
acceso remoto, lo que permite administrar con ms facilidad los perfiles, lasconfiguraciones y las restricciones de conexin.
Despus de instalar la infraestructura RADIUS, puede configurar los servidores
de acceso a la red (que incluyen los servidores que ejecutan el servicioEnrutamiento y acceso remoto y los puntos de acceso inalmbrico) para queutilicen el servidor IAS para realizar todas las tareas de autenticacin de la red.
La autenticacin que se proporciona en Active Directory incluye unainfraestructura de autenticacin Kerberos V5 que funciona de forma continua
en segundo plano y requiere una configuracin y una administracin mnimas.La autenticacin NTLM tambin ofrece los mismos beneficios. Ambos mtodosde autenticacin forman parte de la autenticacin integrada del sistema
operativo.
Introduccin
Autenticacin delservidor IAS y RADIUS
Autenticacin de ActiveDirectory
-
7/27/2019 X10-0251909.pdf
33/70
Mdulo 9: Planeamiento del acceso a la red 25
La autenticacin no est tan claramente definida para las opciones de acceso
remoto (VPN, de acceso telefnico e inalmbrico). Cada servidor de acceso a lared puede convertirse en su propio foco de autenticacin, lo que requiere una
configuracin y administracin separadas que puedan dar lugar a diferentesdirectivas y valores de configuracin en cada servidor de acceso.
Si tiene diferentes directivas y valores de configuracin en cada servidor puede
dar pie a que los usuarios obtengan resultados diferentes, en funcin delservidor de acceso al que se conecte el usuario. En esta situacin, los requisitos
de acceso remoto pueden suponer una carga adicional para el personaladministrativo, lo que puede dar como resultado brechas en la seguridad del
servidor de acceso a la red.
Autenticacin de accesoa la red
-
7/27/2019 X10-0251909.pdf
34/70
26 Mdulo 9: Planeamiento del acceso a la red
Directrices para elegir mtodos de conexin de acceso a la red
******EL USO POR QUIENES NO SEAN INSTRUCTORES NO EST AUTORIZADO Y RESULTA ILEGAL******
Antes de elegir un mtodo de conexin de acceso a la red, debe tener en cuentalos requisitos de infraestructura y de cliente de su infraestructura de redes. Es
necesario que tenga en cuenta los requisitos siguientes:
! Los requisitos de usuario remoto pueden incluir un ancho de banda
adecuado, conexiones seguras, movilidad y confiabilidad.
! Los requisitos de la infraestructura de redes pueden incluir servicios
y recursos que cuenten con una alta disponibilidad, confiabilidad y
seguridad.
Una vez que haya determinado los requisitos de acceso a la red, debe repasar la
siguiente tabla y elegir una estrategia adecuada de acceso a la red. La tablaclasifica cada uno de los requisitos segn la siguiente valoracin: alta, media
y baja. En esta tabla no se presentan todos los requisitos, puesto que puedendepender de varios factores que escapan de su control.
Estrategia deconexin Ancho de banda Seguridad Movilidad Confiabilidad
LAN Alto Alta Baja
(puntos fijos)
Alta
VPN Medio
(depende del mtodode conexin)
Alta
(se requiereseguridad)
Funciona con
cualquier conexin
Est sujeta a la
disponibilidad de lared pblica
Acceso telefnico Bajo
(medio para
tecnologas digitales)
Baja Cualquier punto de
acceso PSTN
Est sujeta a la
disponibilidad de la
PSTN
Inalmbrica De bajo a medio
(medios
compartidos)
Alta
(se requiere
seguridad)
Alta en la celda
Tamao de celda y
disponibilidad
limitadas
Propensin al ruido
y a la contencin
Introduccin
Seleccin de unaestrategia de acceso a lared
-
7/27/2019 X10-0251909.pdf
35/70
Mdulo 9: Planeamiento del acceso a la red 27
Ejercicio prctico: Seleccin de los mtodos de conexin de
acceso a la red
******EL USO POR QUIENES NO SEAN INSTRUCTORES NO EST AUTORIZADO Y RESULTA ILEGAL******
En esta prctica leer el escenario y, a continuacin, elegir el mtodo deconexin de acceso a la red ms adecuado.
El objetivo de esta prctica es elegir un mtodo de conexin de acceso a la redadecuado.
1. Lea el escenario.
2. Preprese para tratar los retos que implica esta tarea en un debate posterior
al ejercicio prctico.
Fabrikam Inc. es una compaa de rpido crecimiento con cada vez ms
requisitos de acceso a datos. El personal del departamento de ventas deFabrikam Inc. ha solicitado la posibilidad de obtener acceso a los archivos de la
base de datos de ventas y clientes cuando estn de viaje. La conectividad actualde la compaa fuera de su intranet es una lnea T1 con su ISP (Proveedor deservicios Internet), que en la actualidad no se utiliza en exceso.
Adems, el departamento de ingeniera de la compaa se ha quejado acerca dela falta de conectividad de red en las salas de reunin, que el contratista deledificio, por error, no cable con cable de categora 5. Sin embargo, la totalidad
del personal de ingeniera dispone de equipos porttiles que podran utilizar
durante las reuniones para obtener acceso a los datos de ingeniera, si tuvieranalguna forma de conectarse a la red desde las salas de reuniones.
Introduccin
Objetivo
Instrucciones
Escenario
-
7/27/2019 X10-0251909.pdf
36/70
28 Mdulo 9: Planeamiento del acceso a la red
Qu opciones de conectividad propondra para los departamentos de ventas
e ingeniera? Razone la respuesta.
Para el departamento de ventas, proponga una solucin VPN queaproveche la conexin actual de la compaa a Internet. La instalacin deun servidor de acceso a la red VPN resultara una solucin bastantecmoda y no hara falta instalar toda una infraestructura de acceso
telefnico. La compaa podra utilizar su infraestructura de redesexistente para que el departamento de ventas pudiera obtener acceso a suintranet. A continuacin, la empresa necesitara crear un plan para ofrecera sus usuarios remotos una forma fcil y eficaz de obtener accesoa Internet mientras estuvieran de viaje, como por ejemplo mediante unacuerdo con un ISP nacional para autenticar a los usuarios de accesotelefnico de Fabrikam Inc. con su propia base de datos de usuarios.
Una red inalmbrica podra adaptarse mejor a las necesidades deldepartamento de ingeniera. Una red inalmbrica eliminara el costo y lasmolestias de cablear las salas de reuniones para la conectividad LAN, peropodra ofrecer un ancho de banda comparable que se adaptase a lasnecesidades del empleado. A pesar de que una infraestructura inalmbrica
se debe planear, probar, implementar y administrar, adems de queprecisa mantenimiento, puede resultar la mejor solucin a largo plazodebido a que se trata de una tecnologa ms flexible y que ofrece a losusuarios ms libertad para obtener acceso a la informacin desdecualquier ubicacin.
________________________________________________________________
________________________________________________________________
________________________________________________________________
________________________________________________________________
Ejercicio prctico
-
7/27/2019 X10-0251909.pdf
37/70
Mdulo 9: Planeamiento del acceso a la red 29
Leccin: Seleccin de una estrategia de directiva deacceso remoto
******EL USO POR QUIENES NO SEAN INSTRUCTORES NO EST AUTORIZADO Y RESULTA ILEGAL******
Al elegir una estrategia para la directiva de acceso remoto, deben aplicarse lasdirectivas adecuadas que definan cmo se conectarn los usuarios remotos a la
red corporativa. Las propiedades y condiciones de las directivas de accesoremoto determinan los permisos y la autenticacin de los usuarios remotos,y ambos forman parte de su perfil de usuario.
Despus de finalizar esta leccin, el alumno podr:
! Explicar cmo se aplican las directivas de acceso remoto.
! Identificar los atributos de condicin de directiva de acceso remoto.
! Explicar cmo se deben establecer los permisos de acceso remoto.
! Explicar cmo se deben crear las opciones de perfil de usuario.
! Aplicar las directrices para elegir una directiva de acceso remoto.
Introduccin
Objetivos de la leccin
-
7/27/2019 X10-0251909.pdf
38/70
30 Mdulo 9: Planeamiento del acceso a la red
Directivas de acceso remoto
******EL USO POR QUIENES NO SEAN INSTRUCTORES NO EST AUTORIZADO Y RESULTA ILEGAL******
La autorizacin de acceso a la red se concede en funcin de las propiedades deconexin de las cuentas de usuario y las directivas de acceso remoto. Las
directivas de acceso remoto constituyen un conjunto de reglas ordenado quedefine de qu modo se autorizan o rechazan las conexiones. Cada regla incluye
una o ms condiciones, un conjunto de valores de perfil y un valor de permisode acceso remoto.
Para utilizar las directivas de acceso remoto, debe entender cmo se aplican.
Las directivas de acceso remoto pueden ofrecer:
!
Acceso personalizado a los diferentes usuarios y grupos de la organizacin.! Flexibilidad en la concesin de permisos y en el uso del acceso remoto.
! Asignacin de valores a la conexin, en funcin del usuario que se est
conectando y de las propiedades de la conexin.
Windows Server 2003 almacena las directivas de acceso remoto en el servidorde acceso remoto (no en Active Directory), de modo que estas directivas
pueden variar en funcin de las capacidades del servidor de acceso remoto.
Puede centralizar las directivas de acceso remoto mediante IAS. Paraobtener ms informacin acerca de IAS, consulte el mdulo 9, Extending
Remote Access Capabilities by Using IAS en el curso 2153,Implementing a
Microsoft Windows 2000 Network Infrastructure.
Las condiciones, los permisos y el perfil son los tres componentes de unadirectiva de acceso remoto que cooperan con Active Directory para
proporcionar un acceso seguro a los servidores de acceso remoto.
Introduccin
Ubicacin de lasdirectivas de accesoremoto
Nota
Cooperacin con ActiveDirectory
-
7/27/2019 X10-0251909.pdf
39/70
Mdulo 9: Planeamiento del acceso a la red 31
Condiciones de una directiva de acceso remoto
******EL USO POR QUIENES NO SEAN INSTRUCTORES NO EST AUTORIZADO Y RESULTA ILEGAL******
Las condiciones de una directiva de acceso remoto son una lista de parmetros,como por ejemplo la hora del da, los grupos de usuarios, los identificadores
(Id.) del autor de la llamada o las direcciones IP (Protocolo Internet), que secomparan con los parmetros del cliente que se conecta al servidor. El primer
conjunto de condiciones de una directiva que se compara con los parmetros dela solicitud de conexin entrante se procesa para obtener el permiso de accesoy la configuracin.
Estos son los dos atributos de condicin que se utilizan con ms frecuencia:
!
El atributo de condicin NAS-Port-Type, que puede utilizar paraespecificar el tipo de conexin de red mediante NAS-Port-Type, permiteespecificar una conexin Ethernet, inalmbrica, mdem, VPN, etc.
! Puede utilizar el atributo de condicin Windows-Groups para especificar elgrupo de usuarios en el que desea aplicar una directiva. Por ejemplo, puede
combinar las condiciones NAS-Port-Type y Windows-Groups para aplicaruna directiva a todos los miembros del departamento de ventas que se
conectan a travs del tnel de VPN.
Introduccin
Atributos de condicinde una directiva de
acceso remoto
-
7/27/2019 X10-0251909.pdf
40/70
32 Mdulo 9: Planeamiento del acceso a la red
Para la estrategia de acceso a la red tal vez sea necesario que especifique otras
muchas condiciones. Puede utilizar la siguiente tabla de atributos para compararlas solicitudes con las condiciones.
Atributo Descripcin
Authentication type Especifica el esquema de autenticacin quese utiliza para comprobar el usuario.
Called-Station-Id Especifica el nmero de telfono de laconexin de acceso telefnico que utiliza el
usuario.
Calling-Station-Id Especifica el nmero de telfono del autor dela llamada; por ejemplo, 555-****.
Client-Friendly-Name Especifica un nombre descriptivo para elcliente RADIUS: por ejemplo, RASCL**.
Client-IP-Address Especifica la direccin IP del clienteRADIUS*.
Client-Vendor Especifica el fabricante del sistema deautenticacin de red, como por ejemplo
Microsoft, Cisco o Shiva.
Day-And-Time-Restrictions Especifica las restricciones de la hora del dao las restricciones de los das y las semanas
de RAS. El valor predeterminado es
denegarlo todo.
Framed-Protocol Especifica el protocolo que se debe utilizar,como por ejemplo PPP, SLIP, X25
o AppleTalk.
NAS-IP-Address Especifica la direccin IP de NAS.
NAS-Identifier Especifica una cadena para identificar el
NAS que origina la solicitud, como porejemplo Servidor_RADIUS.
NAS-Port-Type Especifica el puerto fsico que utiliza el NASque origina la solicitud, como por ejemplo
Async (Mdem), Sync (Lnea T1), ISDN
Sync o Virtual (VPN).
Service-Type Especifica el tipo de servicio que el usuarioha solicitado, como por ejemplo
Administrative-User, Callback-Login
y Shell-User.
Tunnel-Type Especifica el protocolo de tnel utilizado.
Windows-Groups Especifica los grupos de Windows a los quepertenece el usuario, como por ejemploAdministradores.
Otros atributos decondicin
-
7/27/2019 X10-0251909.pdf
41/70
Mdulo 9: Planeamiento del acceso a la red 33
Propiedades de marcado de las cuentas de usuario
******EL USO POR QUIENES NO SEAN INSTRUCTORES NO EST AUTORIZADO Y RESULTA ILEGAL******
El servicio Enrutamiento y acceso remoto e IAS de la familia
Windows Server 2003 y de Windows 2000, proporcionan la autorizacin de
acceso a la red que se concede en funcin de las propiedades de marcado de las
cuentas de usuario y las directivas de acceso remoto.
La concesin de acceso mediante el valor de permiso de cuenta de usuario o el
valor de permiso de directiva constituye slo el primer paso en la aceptacin deuna conexin.
En la familia Windows Server 2003, puede configurar un atributo RADIUS
para omitir las propiedades de marcado de las cuentas de usuario y de equipo enlas propiedades de perfil de una directiva de acceso remoto. Para admitir variostipos de conexiones a los que IAS proporciona autorizacin y autenticacin,
quiz sea necesario que deshabilite el procesamiento de las propiedades demarcado de las cuentas de usuario.
Introduccin
-
7/27/2019 X10-0251909.pdf
42/70
34 Mdulo 9: Planeamiento del acceso a la red
El intento de conexin depende de la configuracin de las propiedades de
marcado de la cuenta de usuario y las propiedades del perfil de directiva. Si elintento de conexin no coincide con la configuracin de la cuenta de usuario
o las propiedades de perfil de directiva, se rechaza dicho intento. Puedeestablecer permisos de acceso remoto de las dos maneras siguientes:
! Establecer permisos de acceso remoto para una cuenta de usuario.
Los permisos de acceso remoto se pueden conceder o denegar para cada
cuenta de usuario. El permiso de acceso remoto reemplaza el permiso deacceso remoto de la directiva. Cuando un permiso de acceso remoto de una
cuenta de usuario se establece en la opcin Controlar acceso a travs de ladirectiva de acceso remoto, el permiso de acceso remoto de la directivadetermina si se concede acceso al usuario.
! Establecer permisos de acceso remoto para una directiva.
Si se cumplen todas las condiciones de una directiva de acceso remoto, el
permiso de acceso remoto se concede o se deniega. Puede utilizar la opcinConceder permiso de acceso remoto o Denegar permiso de accesoremoto para establecer el permiso de acceso remoto para una directiva.
La configuracin del perfil especifica un conjunto de restricciones deconexin. Cuando corresponda, las restricciones de conexin de una cuenta de
usuario reemplazarn las restricciones de conexin del perfil de una directiva deacceso remoto.
En la familia Windows Server 2003, la cuenta de un usuario para un servidor
independiente o un servidor que ejecute Active Directory contiene un conjuntode propiedades de marcado que se utiliza cuando se permite o deniega unintento de conexin de un usuario. En un servidor independiente puede
establecer propiedades de marcado en la ficha Marcado en Usuarios localesy grupos para la cuenta de usuario. En un servidor que ejecute Active Directory,
puede establecer las propiedades de marcado en la ficha Marcado en Usuariosy equipos de Active Directory para la cuenta de usuario.
Otras propiedades de marcado de una cuenta de usuario:
! Comprobar el Id. de quien llama
Si se habilita esta propiedad, el servidor comprueba el nmero de telfono
del autor de la llamada. Si el nmero no coincide con el nmero de telfonoconfigurado, se deniega el intento de conexin.
! Opciones de devolucin de llamada
Si esta propiedad se habilita, el servidor devuelve la llamada a su autor
durante el proceso de conexin. El nmero de telfono que el servidor
emplea lo establece el autor de la llamada o el administrador de red.
! Asignar una direccin IP esttica
Puede emplear esta propiedad para asignar una direccin IP especfica a unusuario cuando se efecta una conexin.
Configuracin deacceso remoto
Nota
Otras propiedades demarcado de una cuentade usuario
-
7/27/2019 X10-0251909.pdf
43/70
Mdulo 9: Planeamiento del acceso a la red 35
! Aplicar rutas estticas
Puede utilizar esta propiedad para definir una serie de rutas IP estticas quese agregan a la tabla de enrutamiento del servidor que ejecuta el Servicio de
enrutamiento y acceso remoto cuando se efecta una conexin. Este valor seha diseado para cuentas de usuario que un enrutador que ejecuta la familia
Windows Server 2003 utiliza para enrutamientos de marcado a peticin.
Puede utilizar IAS para habilitar el procesamiento de las propiedades de
marcado para cuentas de usuario y de equipo en algunos escenarios (como porejemplo el marcado) y para deshabilitar el procesamiento de las propiedades de
marcado de las cuentas de usuario y de equipo en otros escenarios (por ejemplo,en conexiones inalmbricas o mediante un modificador de autenticacin).
El atributo Ignore-User-Dialin-Properties se establece como sigue:
! Para habilitar el procesamiento de propiedades de marcado de una cuenta de
usuario, debe eliminar el atributo Ignore-User-Dialin-Propertieso establecerlo en False. Por ejemplo, para una directiva de acceso remotoque se haya diseado para conexiones de marcado, no se requiere unaconfiguracin adicional.
! Para deshabilitar el procesamiento de propiedades de marcado para una
cuenta de usuario, establezca el atributo Ignore-User-Dialin-Properties enel valorTrue. Por ejemplo, establezca esta configuracin para la directivade acceso remoto que se utiliza para conexiones inalmbricas o mediante un
conmutador de autenticacin. Cuando se omiten las propiedades de marcado
de la cuenta de usuario, el valor de la directiva de acceso remoto determina
el permiso de acceso remoto.
Atributo Ignore-User-Dialin-Properties
-
7/27/2019 X10-0251909.pdf
44/70
36 Mdulo 9: Planeamiento del acceso a la red
Opciones de perfil de usuario
******EL USO POR QUIENES NO SEAN INSTRUCTORES NO EST AUTORIZADO Y RESULTA ILEGAL******
Puede utilizar la directiva de acceso remoto para crear un perfil de marcadoremoto para especificar el acceso en funcin de la pertenencia a grupos de
Windows 2000, la hora del da, el da de la semana y el tipo de conexin.Tambin puede configurar los valores para opciones tales como la duracin
mxima de sesin, los requisitos de autenticacin y las directivas BAP(Protocolo de asignacin de ancho de banda).
Cada directiva incluye un perfil de opciones, como protocolos de autenticacin
y de cifrado, que se aplican a la conexin. Las opciones del perfil se aplican a laconexin inmediatamente y podran ocasionar que sta se deniegue.
El perfil tambin contiene el nivel de cifrado, el mtodo de autenticacin, las
conexiones de multivnculo permitidas, la asignacin IP y otras restricciones demarcado. Por razones de seguridad, debe prestar especial atencin al mtodo de
autenticacin y al valor de cifrado, y elegir las opciones ms seguras que puedeadmitir la organizacin.
Por ejemplo, si las opciones del perfil de una conexin especifican que elusuario solamente puede conectarse durante 30 minutos cada vez, transcurrido
ese tiempo, se desconectar al usuario del servidor de acceso remoto.
Introduccin
Configuracin deperfiles
-
7/27/2019 X10-0251909.pdf
45/70
Mdulo 9: Planeamiento del acceso a la red 37
En la tabla siguiente se muestran las opciones de un perfil de marcado.
Componente Aspectos que define
Autenticacin Los protocolos de autenticacin que se utilizan. Puede elegir
entre los diferentes protocolos de autenticacin basados en PPP
(como MSCHAP v2, PEAP, etc.), o bien elegir EAP y entre losdiferentes tipos de EAP.
Cifrado El nivel de cifrado MPPE que se aceptar. Puede elegir un nivel
que puede variar desde sin cifrado o hasta un cifrado de 128 bits.
En esta ficha se muestran los niveles de cifrado que admite el
servicio Enrutamiento y acceso remoto. Si utiliza un servidor de
acceso a la red de un fabricante diferente, compruebe que sea
compatible con los niveles seleccionados en esta ficha.
Restricciones de
marcado
Las restricciones que desea aplicar en la directiva, como por
ejemplo las restricciones de da y hora, el tiempo que una
conexin puede permanecer inactiva antes de desconectarse, el
tiempo que una conexin puede estar conectada antes de
desconectarse, etc.
IP La direccin IP que se asigna al cliente y los tipos de filtros IP
que se aplican a la conexin. Si el servidor de acceso a la red
ejecuta el servicio Enrutamiento y acceso remoto, puede
especificar los filtros de entrada y de salida que se deben aplicar
a la conexin. Por ejemplo, puede utilizar el filtro para permitir
slo el trfico FTP (Protocolo de transferencia de archivos) en
esta conexin.
Multivnculo Se permiten las conexiones multivnculo cuando se puedan
combinar varios puertos para una conexin. El multivnculo
tambin define si se utilizan los valores de BAP para controlar el
uso de valores de multivnculo para la conexin.
Opciones avanzadas Atributos de conexin adicionales (RADIUS o de un proveedorespecfico) que se pueden enviar al servidor de acceso a la red al
que se ha conectado el cliente.
Opciones de marcado
-
7/27/2019 X10-0251909.pdf
46/70
38 Mdulo 9: Planeamiento del acceso a la red
Directrices para seleccionar una estrategia de directiva de acceso
remoto
******EL USO POR QUIENES NO SEAN INSTRUCTORES NO EST AUTORIZADO Y RESULTA ILEGAL******
Antes de elegir una directiva de acceso remoto, debe determinar los valores delperfil, las condiciones y los permisos que se utilizarn para habilitar la
conexin, la autenticacin y la seguridad de las conexiones.
Al determinar la configuracin y las condiciones de acceso remoto, debe tener
en cuenta lo siguiente:
! Utilice las condiciones para uno o ms atributos que se comparen con los
valores del intento de acceso. Si hay varias conexiones, todas estas
condiciones deben coincidir con los valores del intento de conexin para
que este coincida con la directiva. Por lo tanto, debe efectuar la seleccin en
la lista de atributos y establecer las condiciones que desea comparar para
que se aplique el valor de directiva.
! Establezca los permisos para una cuenta de usuario; para una directiva
especifique si se denegar o conceder el acceso remoto a los usuarios quecoincidan con las condiciones asociadas con la directiva. Si se establece la
cuenta de usuario para que se conceda acceso y las condiciones coinciden,
se aplican los valores del perfil a la conexin.
Introduccin
Determinacin delos valores y lascondiciones de accesoremoto
-
7/27/2019 X10-0251909.pdf
47/70
Mdulo 9: Planeamiento del acceso a la red 39
Es aconsejable que tenga en cuenta las prcticas recomendadas que aparecen
a continuacin al determinar las opciones que implementar para la directiva de
perfil de acceso remoto:
! Utilice los mtodos de autenticacin ms seguros que tenga a su disposicin
para sus necesidades de acceso remoto.
Considere la posibilidad de no permitir las conexiones que utilicenprotocolos de autenticacin antiguos, como por ejemplo PAP, Shiva SPAP
(Protocolo de autenticacin de contrasea de Shiva) y CHAP, as comolimitar el acceso a las conexiones que utilicen MS-CHAP v2 o EAP.
! Utilice EAP con un tipo de EAP de tarjeta inteligente o cualquier otro
certificado.
El uso de una tarjeta inteligente para almacenar el certificado es el mtodo
de autenticacin ms seguro disponible para clientes remotos. No obstante,con este mtodo es necesario disponer de un procedimiento de certificado,
para que los usuarios y los equipos puedan obtener sus certificados de clavepblica, y tambin se requiere hardware adicional para los lectores de
tarjetas inteligentes.
! Utilice PEAP con certificados o con MS-CHAP v2 para clientesinalmbricos.
Si no se puede establecer un procedimiento de certificado para loscertificados de cliente (los certificados an son necesarios para losservidores de autenticacin), PEAP/MS-CHAP v2 ser compatible con los
clientes de Microsoft Windows XP Service Pack 1 u otros clientes quetengan instalado el cliente de autenticacin de Microsoft 802.1x (descarga
gratuita).
! Utilice el nivel ms alto posible de cifrado de datos para sus necesidades de
acceso remoto.
El nivel posible de cifrado se puede determinar mediante los sistemas
operativos que los usuarios tienen instalados en sus equipos.! Utilice directivas de acceso remoto que restrinjan el acceso remoto a los
usuarios o grupos que lo requieran y que satisfagan los estndares de
seguridad de la red.
Si es posible, aplique directivas de acceso remoto a grupos en lugar de
a usuarios especficos para que estas sean ms fciles de administrar.
Determinacin de perfilde acceso remoto
-
7/27/2019 X10-0251909.pdf
48/70
40 Mdulo 9: Planeamiento del acceso a la red
Ejercicio prctico: Determinacin de una estrategia de directiva de
acceso remoto
******EL USO POR QUIENES NO SEAN INSTRUCTORES NO EST AUTORIZADO Y RESULTA ILEGAL******
En este ejercicio prctico, deber planear una estrategia de directiva de accesoremoto a partir del escenario que se proporciona con vistas a definir las
opciones de acceso remoto necesarias.
El objetivo de esta prctica es concretar una estrategia de directiva de acceso
remoto.
1. Lea el escenario.
2. Preprese para tratar los retos que implica esta tarea en un debate posterioral ejercicio prctico.
Trey Research tiene a unos cien contratistas independientes trabajando en unproyecto de tres aos adjudicado a la compaa. La compaa ha anunciado que
los contratistas deben trabajar fuera de sus oficinas externas y deben podercargar los datos de ingeniera al servidor FTP en la intranet de la compaa.A continuacin, los datos se propagarn a la base de datos para que los repase el
supervisor de los contratistas.
En el pasado, a los contratistas se les facilitaban sus propias cuentas de usuarioy permiso para obtener acceso remoto a la red de la compaa a travs de una
VPN. No obstante, surgan problemas cuando los contratistas permanecan
durante mucho tiempo conectados y obtenan acceso a otros servicios, como porejemplo los servidores proxy Web de la compaa.
Para este proyecto, la compaa desea que los contratistas se limiten a cargaro descargar datos del servidor FTP de la intranet de la compaa, y limiten sus
tiempos de conexin a 30 minutos. Esta restriccin debe llevarse a cabo sinafectar a las capacidades de conectividad remota de otros empleados que
trabajen a tiempo completo.
La compaa dispone de una infraestructura de Active Directory y utiliza el
servicio Enrutamiento y acceso remoto de Windows Server 2003 como servidorde acceso a la red VPN.
Introduccin
Objetivo
Instrucciones
Escenario
-
7/27/2019 X10-0251909.pdf
49/70
Mdulo 9: Planeamiento del acceso a la red 41
Cmo piensa resolver el problema de que los contratistas utilicen una directiva
de acceso remoto?
Planee un grupo nuevo para los contratistas y asgnele un nombre, comopor ejemplo Contratistas remotos. Quite los contratistas del grupo queactualmente se utiliza para dar acceso a los empleados y agregue al gruponuevo las cuentas de usuario de los contratistas que obtendrn acceso al
servidor FTP.Planee una nueva directiva de acceso remoto que conceda permiso deacceso remoto, con la condicin de que Windows-Groups coincida con elgrupo Contratistas remotos y de que NAS-Port-Type coincida conVirtual(VPN).
Planee un cambio de perfil en el que el tiempo de espera de la sesin seestablezca en 30 minutos. Para cambiar los filtros de entrada y salida IP,permita slo el intercambio de paquetes FTP con el servidor FTP.
_______________________________________________________________
_______________________________________________________________
________________________________