X10-0251909.pdf

7/27/2019 X10-0251909.pdf

1/70

Contenido

Introduccin 1

Leccin: Introduccin al acceso a la red 2

Leccin: Seleccin de los mtodos de

conexin de acceso a la red 14

Presentacin multimedia: Planeamiento de

soluciones para clientes VPN y de acceso

telefnico 21

Leccin: Seleccin de una estrategia dedirectiva de acceso remoto 29

Leccin: Seleccin de un mtodo de

autenticacin de acceso a la red 42

Leccin: Planeamiento de una estrategia

de acceso a la red 50

Prctica A: Planeamiento del acceso

a la red 56

Mdulo 9: Planeamiento

del acceso a la red

7/27/2019 X10-0251909.pdf

2/70

La informacin contenida en este documento, incluidas las direcciones URL y otras referencias

a sitios Web en Internet, est sujeta a modificaciones sin previo aviso. A menos que se indique lo

contrario, los nombres de las compaas, productos, dominios, direcciones de correo electrnico,

logotipos, personas, personajes, lugares y eventos mencionados son ficticios. No se pretende

indicar, ni debe deducirse ninguna asociacin con compaas, organizaciones, productos,

dominios, direcciones de correo electrnico, logotipos, personas, lugares o eventos reales.

Es responsabilidad del usuario el cumplimiento de todas las leyes de derechos de autor aplicables.

Ninguna parte de este documento puede ser reproducida, almacenada o introducida en un sistema

de recuperacin, o transmitida de ninguna forma, ni por ningn medio (ya sea electrnico,mecnico, por fotocopia, grabacin o de otra manera) con ningn propsito, sin la previa

autorizacin por escrito de Microsoft Corporation.

Microsoft puede ser titular de patentes, solicitudes de patentes, marcas, derechos de autor, y otros

derechos de propiedad intelectual sobre los contenidos de este documento. El suministro de este

documento no le otorga a usted ninguna licencia sobre estas patentes, marcas, derechos de autor,

u otros derechos de propiedad intelectual, a menos que ello se prevea en un contrato escrito de

licencia de Microsoft.

2003 Microsoft Corporation. Reservados todos los derechos.

Microsoft, MS-DOS, Windows, Windows NT, Active Directory, MSDN, PowerPoint, SharePoint,

Visual Basic y Windows Media son marcas registradas o marcas comerciales de Microsoft

Corporation en los Estados Unidos y/o en otros pases.

Los nombres de compaas reales y productos aqu mencionados pueden ser marcas registradas de

sus respectivos propietarios.

7/27/2019 X10-0251909.pdf

3/70

Mdulo 9: Planeamiento del acceso a la red iii

Notas para el instructorEn este mdulo se ofrece a los alumnos una introduccin al planeamientoy la documentacin de la infraestructura de redes en Microsoft

Windows Server 2003.

Despus de completar este mdulo, los alumnos podrn:

! Explicar los protocolos de autenticacin y los requisitos para una estrategia

de acceso a la red.

! Aplicar las directrices para elegir una estrategia de conexin de acceso a la red.

! Aplicar las directrices para elegir una estrategia de directiva de acceso remoto.

! Elegir un mtodo de autenticacin de acceso a la red.

! Planear una estrategia de acceso a la red.

Para impartir este mdulo, necesitar el material siguiente:

!

El archivo 2191A_09.ppt de Microsoft PowerPoint.! El archivo multimedia es Planeamiento de soluciones para clientes VPN

y de acceso telefnico.

Se recomienda utilizar PowerPoint 2002 o una versin posterior

para mostrar las diapositivas de este curso. Si utiliza PowerPoint Viewer o unaversin anterior de PowerPoint, puede que no se muestren correctamente todas

las caractersticas de las diapositivas.

Para preparar este mdulo, debe:

! Leer todo el material relacionado con el mdulo.

! Completar los ejercicios prcticos y la prctica, y revisar las respuestas de esta.

! Repasar las presentaciones multimedia.

! Repasar los requisitos previos en lo que respecta a cursos y mdulos.

Presentacin:60 minutos

Prctica:

30 minutos

Material necesario

Importante

Tareas de preparacin

7/27/2019 X10-0251909.pdf

4/70

iv Mdulo 9: Planeamiento del acceso a la red

Recomendaciones para impartir este mduloEn esta seccin se incluye informacin para ayudarle a impartir este mdulo.

En este mdulo se explica el concepto de acceso a la red y de qu manera se

relaciona con el planeamiento de una infraestructura de redes de

Windows Server 2003. En lugar de presentar el acceso remoto como unconcepto independiente, el mdulo combina las explicaciones sobre las redes derea local (LAN), las redes virtuales privadas (VPN), el acceso inalmbricoy telefnico en el contexto general del acceso a la red. El mdulo se centra en

cmo va a planear toda su estrategia de acceso a la red.

Directrices, ejercicios prcticos y prcticasLas pginas de directrices proporcionan decisiones clave sobre el tema tratado

en la leccin. Estas directrices constituyen un refuerzo del contenido y losobjetivos de la leccin.

Una vez cubierto el contenido del tema y demostrados los procedimientos

correspondientes a la leccin, explique que los ejercicios prcticosproporcionan a los alumnos la oportunidad de obtener experiencia en todas las

tareas tratadas.

Al final de cada mdulo, gracias a la prctica los alumnos pueden ejercitarse en

las tareas que se explican y se aplican en todo el mdulo.

Mediante situaciones que tienen que ver con la funcin de trabajo, la prctica

proporciona a los alumnos un conjunto de instrucciones en una tabla de doscolumnas. En la columna de la izquierda se indica la tarea que deben realizar(por ejemplo, crear un grupo). La columna de la derecha contiene instrucciones

especficas necesarias para que los alumnos puedan realizar la tarea (porejemplo, en Usuarios y equipos de Active Directory, haga doble clic en el

nodo del dominio).

En el disco compacto Material del alumno se encuentran las respuestas de losejercicios de cada prctica, por si los alumnos necesitan instrucciones paso

a paso para completarla. Tambin pueden remitirse a los ejercicios prcticosy a las pginas de instrucciones del mdulo.

Leccin: Introduccin al acceso a la redEn esta seccin se describen los mtodos para impartir esta leccin.

Explique el concepto de acceso a la red y asegrese de que los alumnos

entiendan sus componentes. Proporcione una introduccin detallada sobre los

requisitos de acceso a la red. Si los alumnos quieren hacer preguntas, comenteque cada uno de estos requisitos se abordarn con mayor detalle ms adelanteen la leccin.

Identifique y describa cada tipo de conexin a red. Como muchos alumnos ya

conocern esta informacin, slo debe repasar el tema.

Identifique cada uno de los protocolos y pida a los alumnos que los definanantes de repasarlos. Con ello tendr la oportunidad de apreciar quconocimientos tienen sobre los protocolos de autenticacin.

Informacin general

Pginas de directrices

Ejercicios prcticos

Prcticas

Requisitos de accesoa la red

Conexiones de accesoa la red

Protocolos deautenticacin de accesoa la red

7/27/2019 X10-0251909.pdf

5/70

Mdulo 9: Planeamiento del acceso a la red v

Explique que la seguridad de las conexiones es un componente fundamental

para cualquier estrategia de acceso a la red. A medida que identifique losdiversos componentes, es posible que los alumnos no acaben de asimilarlos, ya

que pueden parecer inconexos, pero a medida que empiecen a profundizar msen el tema, empezarn a formarse una idea clara.

Leccin: Seleccin de los mtodos de conexin de acceso a la redEn esta seccin se describen los mtodos para impartir esta leccin.

En esta leccin, los alumnos aprendern los diferentes mtodos de conexin a lared que se abordan en el curso. Necesitan aprender cmo pueden elegir el

mtodo que les permita obtener la mejor solucin para su red.

Explique el valor de una solucin LAN y en qu casos los alumnos debenelegirla. Repase las ventajas y los inconvenientes de una solucin de este tipo.

Explique el valor de una solucin VPN y en qu casos los alumnos deben

elegirla. Repase las ventajas y los inconvenientes de una solucin de este tipo.

Explique el valor de una solucin de acceso telefnico y en qu casos losalumnos deben elegirla. Repase las ventajas y los inconvenientes de una

solucin de este tipo.

Repase la presentacin varias veces para asegurarse de que comprende los

conceptos clave que presenta. Repase las preguntas clave y busque lasrespuestas en la presentacin. Asegrese de que puede responder a cualquier

pregunta que puedan formular los alumnos sobre el planeamiento de solucionespara clientes VPN y de acceso telefnico. Se recomienda que detenga la

presentacin en cualquier momento, si piensa que los alumnos no acaban deasimilar los conceptos, y responda a las preguntas que deseen formular.

Explique el valor de una solucin inalmbrica y en qu casos los alumnos

deben elegirla. Repase las ventajas y los inconvenientes de una solucin de estetipo.

Explique la importancia de evitar soluciones que generen un aumento de la

actividad administrativa y comente las diferentes opciones que tienen losalumnos de utilizar una solucin RADIUS (Servicio de usuario de acceso

telefnico de autenticacin remota) para centralizar la administracin.

Repase las directrices y ayude a los alumnos a entender el motivo por el cual

deben elegir un mtodo de conexin a la red antes que otro. Asegrese de quecomprenden cules pueden ser las consecuencias de no seguir estas directrices.

En este ejercicio prctico se ofrece a los alumnos la oportunidad de demostrar

sus conocimientos sobre cmo elegir un mtodo de conexin de acceso a la red.

Prcticas recomendadaspara la seguridad de lasconexiones

Consideraciones sobreuna solucin LAN

Consideraciones sobreuna solucin VPN

Consideraciones sobreuna solucin de accesotelefnico

Presentacinmultimedia:Planeamiento desoluciones para clientesVPN y de accesotelefnico

Consideraciones sobre

una solucininalmbrica

Infraestructura deautenticacin RADIUS

Directrices para elegirmtodos de conexin deacceso a la red

Ejercicio prctico:Seleccin de los

mtodos de conexin delos acceso a la red

7/27/2019 X10-0251909.pdf

6/70

vi Mdulo 9: Planeamiento del acceso a la red

Leccin: Seleccin de una estrategia de directiva de acceso remoto

En esta seccin se describen los mtodos para impartir esta leccin.

En esta leccin, los alumnos aprendern a elegir la directiva de acceso remoto

ms adecuada para su solucin de red. Si piensa que resulta apropiado para el

nivel de sus alumnos, puede mostrarles la presentacin multimediaIntroduccin al acceso remoto, que se encuentra en el disco compacto delalumno. En esta presentacin se ofrece una introduccin sobre los conceptos deacceso remoto, que los alumnos pueden o no conocer. Debe repasar la

presentacin antes de tomar esta decisin.

Explique que este tema se centra en un repaso de las directivas de accesoremoto y de qu manera se integran con los servicios de directorio Active

Directory.

Repase las propiedades de marcado de las cuentas de usuario y las dos formas

en que los alumnos pueden establecer permisos de acceso remoto.

Repase las directrices y ayude a los alumnos a entender el motivo por el cualdeben tener en cuenta cada una de ellas. Asegrese de que comprenden cules

pueden ser las consecuencias de no seguir estas directrices.

En este ejercicio prctico se ofrece a los alumnos la oportunidad de demostrar

sus conocimientos acerca de cmo determinar una estrategia de directiva deacceso remoto.

Directivas de accesoremoto

Propiedades demarcado de las cuentasde usuario

Directrices paraseleccionar unaestrategia de directivade acceso remoto

Ejercicio prctico:Determinacin de unaestrategia de directivade acceso remoto

7/27/2019 X10-0251909.pdf

7/70

Mdulo 9: Planeamiento del acceso a la red vii

Notas para el instructor de prcticas

En esta seccin se describen los mtodos para impartir esta prctica.

Para sus alumnos esta prctica puede suponer todo un reto debido a que no se

les ofrecen ilustraciones de la nueva ubicacin. Una de las principales tareas

que debern afrontar al llevarla a cabo (tanto si la realizan por si solos como engrupo) es dibujar al menos un diagrama global de la red nueva y de la red derea extensa (WAN) para la sede central de Londres.

Sugiera a los alumnos que lean primero todo el escenario y resalten la

informacin que consideren ms importante en los procesos de toma dedecisiones. Despus pueden agrupar dicha informacin en listas que tenganrelacin con la misma tarea. Por ejemplo, en todo el escenario se puede

encontrar informacin sobre los requisitos de ancho de banda. Si los alumnosrecopilan y agrupan la informacin para cada unas de las reas de redes lgicas,

pueden conseguir informacin importante sobre las LAN virtuales (VLAN) y elancho de banda necesario para la solucin.

Deje bien claro que deben separar las tareas de planeamiento de redes fsicas de

las decisiones sobre la seguridad lgica que debern tomar en el sistemaoperativo. En el ejercicio 1, no es necesario que los alumnos planeen la

seguridad fsica, por lo que no debe dejar que pierdan tiempo analizando lainfraestructura fsica.

Los alumnos pueden invertir demasiado tiempo en intentar ofrecer solucionespara impedir que los usuarios no autorizados registren el trfico LAN o WAN.

Si se genera un debate entorno a este tema, debe instarlos a reflexionar sobre laseguridad que proporciona una infraestructura conmutada (los datos no se

reflejan en todos los puertos a menos que se hayan configurado con este fin).Los alumnos tambin pueden ver algunos de los problemas de seguridad

relacionados con los modificadores de capa 3, como por ejemplo laadministracin basada en Web o en SNMP (Protocolo simple de administracin

de red) de los dispositivos. La autenticacin de puertos puede ofrecer la mejorsolucin para proteger todos los puertos.

Cuando se traten las soluciones en clase, invite a los alumnos a identificarelementos de las soluciones propuestas por otros grupos y que puedan

beneficiar a sus planes.

Anmelos a que expliquen cmo han dividido las tareas y la informacin

derivadas del escenario. Por ejemplo, si no han conseguido equilibrar el tiempodisponible entre las diferentes tareas, puede ser una indicacin de la falta deaptitudes para la administracin de proyectos. Debe intentar estimularlos para

que evalen de forma continua en qu situaciones deben tenerse en cuenta lasrestricciones de tiempo.

Prctica A:Planeamiento delacceso a la red

7/27/2019 X10-0251909.pdf

8/70

viii Mdulo 9: Planeamiento del acceso a la red

Informacin de personalizacin

En esta seccin se identifican los requisitos de instalacin de las prcticas paraun mdulo y los cambios de configuracin que se producen en los equipos delos alumnos durante estas prcticas. Esta informacin pretende ayudarle

a replicar o personalizar el material del curso MOC (Microsoft Official

Curriculum).

La prctica de este mdulo tambin depende de la configuracin del aulaespecificada en la seccin Informacin de personalizacin, al final de la Gua

de configuracin automatizada del aula del curso 2191A,Planeamientoy mantenimiento de infraestructuras de redes en Microsoft Windows Server 2003.

Configuracin de las prcticasNo existen requisitos de instalacin de la prctica que afecten a la replicacin

o la personalizacin.

Resultados de las prcticas

No hay ningn cambio de configuracin de los equipos de los alumnos queafecte a la replicacin o la personalizacin.

7/27/2019 X10-0251909.pdf

9/70

Mdulo 9: Planeamiento del acceso a la red 1

Introduccin

******EL USO POR QUIENES NO SEAN INSTRUCTORES NO EST AUTORIZADO Y RESULTA ILEGAL******

En este mdulo se plantean las consideraciones sobre el planeamiento de unaestrategia de acceso a la red con Microsoft Windows Server 2003. Estas

consideraciones estn relacionadas con la estrategia de conexin, las directivasde acceso remoto y el uso de IAS (Servicio de autenticacin de Internet) paraproporcionar autenticacin centralizada.

Se le presentar el concepto de acceso a la red. En este mdulo,el acceso a lared sirve para definir cualquier mtodo que se utilice para conectarse a la red.

Aprender a planear mtodos de conexin, como por ejemplo redes de rea

local (LAN), LAN inalmbricas, conexiones de acceso telefnico o tneles dered privada virtual (VPN).

Despus de finalizar este mdulo, el alumno podr:

! Explicar los protocolos de autenticacin y los requisitos para una estrategia

de acceso a la red.

! Aplicar las directrices para elegir una estrategia de conexin de acceso a la red.

! Aplicar las directrices para elegir una estrategia de directiva de acceso remoto.

! Elegir un mtodo de autenticacin de acceso a la red.

! Planear una estrategia de acceso a la red.

Introduccin

Objetivos

7/27/2019 X10-0251909.pdf

10/70

2 Mdulo 9: Planeamiento del acceso a la red

Leccin: Introduccin al acceso a la red


La estrategia de acceso a la red es un componente fundamental de cualquierplan de infraestructura de redes. Debe asegurarse de que los usuarios remotos

puedan tener acceso seguro a los recursos de la red corporativa y de que losclientes puedan adquirir los productos o servicios.

Una parte importante de una estrategia de acceso a la red ser definir cmo se

conectarn los usuarios, cmo se autenticarn y si los requisitos empresarialesnecesitarn una mayor seguridad.

Despus de finalizar esta leccin, el alumno podr:

! Identificar los requisitos para el acceso a la red.

! Explicar cmo pueden conectarse los usuarios remotos a la red corporativa.

! Identificar los mtodos de autenticacin de acceso a la red.

! Aplicar las prcticas recomendadas de seguridad de las conexiones de

acceso a la red.

! Explicar las diferencias entre los requisitos del host de seguridad.

Introduccin

Objetivos de la leccin

7/27/2019 X10-0251909.pdf

11/70


Requisitos de acceso a la red


Su empresa puede tener miles de usuarios remotos que necesitan tener accesoa la red para utilizar recursos y servicios corporativos. Los asociados y los

clientes necesitan tener acceso a la informacin sobre productos y realizarpedidos las veinticuatro horas del da, los siete das de la semana.

Para satisfacer las necesidades de todos los tipos de usuarios, debe planear una

solucin de acceso a la red integral.

Acceso a la reddefine el modo en que los dispositivos (clientes, servidores,

etc.) pueden conectarse y utilizar los recursos de la red.

Su solucin de acceso a la red debe incluir lo siguiente:

! Las tecnologas que se utilizan para establecer conexin en las capas fsicas

y de vnculo de datos.

! Los protocolos y medidas de seguridad que se utilizan para proteger los

datos y definir a quin se permite el acceso.

! Los procesos administrativos necesarios para garantizar que se aplican las

medidas de seguridad adecuadas a los usuarios adecuados para los recursos

apropiados.

Introduccin

Definicin

7/27/2019 X10-0251909.pdf

12/70


Su plan de acceso a la red debe identificar los dispositivos de conectividad, la

compatibilidad de los protocolos y los mtodos de autenticacin y cifradoapropiados para los usuarios remotos. En la siguiente tabla se muestra cada

funcionalidad y requisito de acceso a la red.

Requisito Descripcin

Conectividad Un dispositivo debe poder conectarse

fsicamente con la red, a travs de cables,

seales de radio u otros mtodos.

Compatibilidad de protocolo Deben existir los protocolos adecuados

para que se puedan establecer las

conexiones en la capa de vnculo de datos.

A continuacin se negocian los protocolos

de nivel superior hasta llegar a la capa de

aplicacin.

Autenticacin La autenticacin puede negociarse para el

usuario o dispositivo en cada capa.

Cifrado Los protocolos de cifrado se pueden

negociar y las condiciones de conexin,

las restricciones, los filtros y los perfiles

se pueden aplicar en un dispositivo

o usuario concreto.

El Servicio de Enrutamiento y acceso remoto de Windows Server 2003 seintegra fcilmente con el entorno de servicio de directorio Active Directoryo en un entorno que no sea Active Directory. Utiliza las directivas de

autenticacin y acceso remoto de Windows y RADIUS (Servicio de usuario deacceso telefnico de autenticacin remota) para definir las condiciones de

conexin, las restricciones y los filtros para las solicitudes de conexin.

Requisitos de acceso ala red

Integracin del servicioEnrutamiento y accesoremoto

7/27/2019 X10-0251909.pdf

13/70


Conexiones de acceso a la red


El plan de infraestructura de redes determina cmo se conectarn los usuariosa la red corporativa tanto de forma local como remota.

Hay diversas formas de obtener acceso a la red. Al margen de las LANcableadas tradicionales, puede ser necesario incluir una solucin de accesoalternativo, como por ejemplo VPN, acceso remoto mediante acceso telefnico

o una red inalmbrica. En la tabla siguiente se muestra una lista de lasconexiones de acceso a la red que aprender y sus descripciones.

Conexin de red Descripcin

LAN Una conexin LAN normalmente se trata de una conexin

cableada que utiliza tecnologas tales como Ethernet o Token

Ring en las capas fsicas y de vnculo de datos.

Las velocidades de transmisin normalmente son muy rpidas

(de 10 megabits por segundo [Mbps)] a 1.000 Mbps), y en

algunos casos pueden ser en modo dplex completo.

VPN Las VPN se forman cuando un protocolo de tnel, como por

ejemplo PPTP (Protocolo de tnel punto a punto) o L2TP

(Protocolo de tnel de capa 2) se utiliza para enviar los datos

a travs de un tnel en una red existente, como por ejemplo

Internet o una intranet. Ambos dispositivos pueden tratarse de

un cliente que establece comunicacin con un servidor o biendos enrutadores que utilizan un tnel para conectarse a redes

diferentes con el fin de formar una WAN (Red de rea

extensa).

Las velocidades de conexin dependen de la conexin

subyacente que utiliza el tnel. Esta conexin puede ser de

LAN, DSL (Lnea de subscriptor digital), ISDN (RDSI, Red

digital de servicios integrados), cable o un acceso telefnico a

56 kilobytes por segundo (Kbps).

Introduccin

Conexiones de acceso ala red

7/27/2019 X10-0251909.pdf

14/70


(continuacin)

Conexin de red Descripcin

Conexin de acceso

telefnico

Las conexiones de acceso telefnico normalmente utilizan un

mdem o un dispositivo ISDN (RDSI) para establecer

conexin entre dos dispositivos a travs de PSTN (Red

telefnica pblica conmutada). Estas conexiones pueden ser

de cliente a servidor o de enrutador a enrutador. Se pueden

conectar segn sea necesario: como en una conexin normal

de cliente a servidor o bien pueden permanecer conectados si

se utilizan con mucha frecuencia, como por ejemplo en el

caso de una conexin normal de enrutador a enrutador.

Por norma general, las velocidades oscilan entre 128 Kbps

para ISDN (RDSI) y 56 Kbps para un mdem tpico de

conexin telefnica.

LAN inalmbrica Tambin puede obtener acceso a una red mediante una LAN

que no utilice cableado para conectar dispositivos a la red,

y que en su lugar utilice seales de radio u otros mtodos de

transmisin de seales.

Las velocidades de transmisin normalmente oscilan entre

11 Mbps y 54 Mbps, pero las velocidades reales variarn en

funcin de la intensidad de la seal.

7/27/2019 X10-0251909.pdf

15/70


Protocolos de autenticacin de acceso a la red


Al planear la estrategia de acceso a la red, deber establecer el mejor mtodo deautenticacin que se pueda utilizar. Puede efectuar la autenticacin utilizando

diferentes mtodos y protocolos. Este tema ofrece una introduccin a varios deestos mtodos y protocolos de autenticacin.

EAP (Protocolo de autenticacin extensible) es un mecanismo de autenticacin

basado en PPP (Protocolo punto a punto) que se ha adaptado para su uso ensegmentos de LAN punto a punto. Los mensajes de EAP normalmente se

envan como la carga de las tramas PPP. El protocolo EAP proporciona lamayor flexibilidad posible, lo cual permite conseguir mtodos de autenticacin

ms seguros. Puede utilizar EAP para admitir esquemas de autenticacin, comoTarjeta token genrica, Contrasea de nico uso (OTP), Protocolo de DesafoMD5-Challenge y Seguridad de la capa de transporte (TLS) para tarjetas

inteligentes y compatibilidad de certificado, adems de cualquier tecnologa deautenticacin futura. EAP es un componente tecnolgico fundamental para las

conexiones seguras.

Aunque EAP ofrece flexibilidad en la autenticacin mediante el uso dediferentes tipos de protocolos, se puede enviar toda la conversacin de EAP

como texto no cifrado. PEAP (Protocolo de autenticacin extensible protegida)es un tipo de EAP que soluciona los problemas de seguridad en EAP: en primer

lugar se crea un canal seguro que est cifrado y protegido con TLS, y, acontinuacin, se produce una nueva negociacin de EAP con otro tipo de EAP

y se autentica el intento de acceso a la red del cliente.

PEAP est disponible como mtodo de autenticacin para clientes inalmbricos

802.11, pero no es compatible con los clientes VPN u otros clientes de accesoremoto. De este modo, slo puede configurar PEAP como el mtodo de

autenticacin para una directiva de acceso remoto cuando utilice IAS.

Introduccin

EAP

PEAP

7/27/2019 X10-0251909.pdf

16/70


Los estndares 802.1x del IEEE (Instituto de ingenieros elctricos y electrnicos)

definen el control de acceso a la red mediante puerto que se utiliza paraproporcionar acceso autenticado a la red para las redes Ethernet. IEEE 802.1x

utiliza las caractersticas fsicas de una infraestructura LAN conmutada paraautenticar los dispositivos conectados a un puerto LAN. Se puede denegar el

acceso al puerto si se produce un error en el proceso de autenticacin. IEEE

802.1x utiliza EAP como su protocolo de autenticacin. EAP se ha diseado paraque sea extensible para casi cualquier tipo de mtodo de autenticacin.

El protocolo Kerberos versin 5 (Kerberos V5) comprueba la identidad de losservicios de red y el usuario. Esta comprobacin doble tambin se conoce como

autenticacin mutua. La autenticacin Kerberos proporciona un inicio de sesinnico para los recursos de un dominio y los recursos ubicados en dominios de

confianza.

NTLM o NTLM versin 2 (NTLM v2) se utiliza como el protocolo deautenticacin para las transacciones entre dos equipos, en que uno de los dos

o ambos ejecutan Microsoft Windows NT 4.0. Las redes con estaconfiguracin se conocen como redes de modo mixto. Adems, NTLM v2 es elprotocolo de autenticacin para los equipos que no participan en el dominio,

como por ejemplo los grupos de trabajo y los servidores independientes.

Un certificado de clave pblica es un tipo de autenticacin que ofrece unacomprobacin de identidad confiable. Estos certificados se utilizan paracomprobar las identidades de los equipos con sistema operativos que no

pertenecen a Microsoft, equipos independientes, clientes que no sean miembrosde un dominio de confianza o equipos que no ejecutan el protocolo de

autenticacin Kerberos V5 ni el servicio Enrutamiento y acceso remoto.

Los certificados usan tcnicas de cifrado para solucionar el problema de la faltade contacto fsico entre las partes comunicantes. Con estas tcnicas, puede

limitar la posibilidad de que alguien con fines poco ticos pueda interceptar,alterar o falsificar mensajes. Estas tcnicas de cifrado dificultan la modificacin

de los certificados. Por consiguiente, resulta complicado que alguien puedahacerse pasar por otra persona. Un certificado se puede almacenar de forma

local en un almacn de certificados del dispositivo o en una tarjeta inteligente.Una tarjeta inteligente es un dispositivo del tamao de una tarjeta de crditoque se utiliza con un cdigo de acceso para habilitar la autenticacin mediante

certificados y el inicio de sesin nico en la empresa.

El mtodo de clave previamente compartida requiere que las partes que se

conectan se pongan de acuerdo en una clave secreta compartida, que se utilizarpara la autenticacin. Este mtodo tambin se conoce comosecreto compartido.A diferencia de los certificados, no se puede determinar el origen ni el historial

de una clave previamente compartida, de modo que el uso de estas claves paraautenticar conexiones se considera un mtodo de autenticacin relativamente

dbil. Si desea tener un mtodo de autenticacin slido y duradero, debe teneren consideracin el uso de una infraestructura de claves pblicas (PKI).

Durante la negociacin de seguridad, la informacin se cifra antes de latransmisin con una clave de sesin. Esta se crea a partir de un clculo de

Diffie-Hellman y mediante la clave de secreto compartido. La informacin sedescifra en el lado del destinatario usando la misma clave. Para autenticar el

paquete del interlocutor, un homlogo descifra y comprueba el algoritmo hashque hay dentro del paquete, que es un algoritmo hash de la clave previamentecompartida.

IEEE 802.1x

Kerberos

NTLM

Certificados de clavepblica

Clave previamentecompartida

7/27/2019 X10-0251909.pdf

17/70


El mtodo de autenticacin biomtrica comprueba la identidad de una persona

comparando sus caractersticas fsicas con los datos almacenados, como porejemplo una huella digital o el iris. Los dispositivos de autenticacin biomtrica

incluyen escneres de huellas digitales, de iris y sistemas de comprobacin devoz. La biomtrica puede sustituir contraseas y PIN (nmeros de

identificacin personal) de tarjeta inteligente, ya que los datos biomtricos no se

pueden olvidar, perder, robar o compartir con otros. Puede utilizar laautenticacin biomtrica escribiendo una extensin en EAP.

Autenticacinbiomtrica

7/27/2019 X10-0251909.pdf

18/70


Prcticas recomendadas para la seguridad de las conexiones


La seguridad de acceso a la red es un componente fundamental de cualquierplan de infraestructura de redes. Aunque los componentes descritos en este

tema pueden resultar incompatibles al principio, todos ellos son elementosbsicos del planeamiento y la implementacin de la seguridad y son necesarios

para obtener acceso a la red.

En Windows Server 2003, puede configurar los adaptadores de red Ethernetpara autenticar un equipo o usuario con un modificador Ethernet. Los

adaptadores de red Ethernet se pueden configurar para utilizar la autenticacin802.1x. Puede elegir uno de los siguientes tipos de EAP:

! Tarjeta inteligente u otro certificado

Este tipo de EAP permite utilizar una tarjeta inteligente o el almacn local

de certificados para ofrecer informacin de los certificados para laautenticacin de los modificadores.

! PEAP

Este tipo de EAP proporciona seguridad a la conexin EAP protegida. Con

PEAP, puede elegir entre los mtodos de autenticacin mediantecontrasea segura (EAP-MSCHAP v2), Tarjeta inteligente u otrocertificado.

! MD5-Challenge

Este tipo de EAP es un mtodo de autenticacin mediante contrasea queutiliza el mismo tipo de protocolo de autenticacin por desafo mutuo que

CHAP (Protocolo de autenticacin por desafo mutuo) basado en PPP, peroenva los desafos y las respuestas como mensajes EAP.

Introduccin

Configuracin de losadaptadores de redEthernet

7/27/2019 X10-0251909.pdf

19/70


Puede utilizar Windows Server 2003 para que sea compatible con un inicio de

sesin interactivo mediante clave pblica, si utiliza un certificado X.509versin 3 almacenado en una tarjeta inteligente con la clave pblica. En lugar

de una contrasea, el usuario escribe un PIN en GINA (Autenticacin eidentificacin grfica) y el PIN autentica el usuario para la tarjeta.

El certificado de clave pblica del usuario se recupera de la tarjeta mediante un

proceso seguro y se comprueba que sea vlida y de un emisor de confianza.Durante el proceso de autenticacin, se emite a la tarjeta un desafo basado en la

clave pblica del certificado. Este desafo comprueba que la tarjeta del usuariosea vlida y que pueda utilizar la clave privada correspondiente con xito.

Despus de comprobar con xito el par de clave pblica y privada, la identidad

del usuario que hay en el certificado se utiliza para hacer referencia al objeto deusuario almacenado en Active Directory para crear un testigo y devolver un

vale de sesin al cliente. El inicio de sesin mediante clave pblica se haintegrado con la implementacin de Microsoft de Kerberos V5 que es

compatible con la extensin de clave pblica especificada en el borradorRFC-1510, The Kerberos Network Verification Service (V5) del IETF(Grupo de trabajo de ingeniera de Internet).

Puede utilizar IPSec (Protocolo de seguridad de Internet) para proporcionar

seguridad en las capas de red y transporte. La seguridad en estas capas estransparente para todas las capas que hay por encima de ellas, lo que significaque no es necesario que las aplicaciones y dispositivos intermedios estn

configurados de una forma especial para que puedan funcionar con IPSec.IPSec tambin proporciona autenticacin mutua.

Esta autenticacin se produce cuando los dos interlocutores se deben autenticarentre s. Por ejemplo, cuando dos servidores independientes que ejecutanEnrutamiento y acceso remoto se conectan para el enrutamiento, estos se

autentican entre s, en vez de utilizar una base de datos Active Directory o unservidor RADIUS. Esto es el mismo proceso que se utiliza cuando dos equipos

configurados para IPSec utilizan una conexin de clave pblica previamentecompartida. Para autenticarse entre s, los equipos slo deben establecer

comunicacin entre ellos.

Puede utilizar una infraestructura RADIUS para agrupar todos los requisitos deautenticacin de la red. Tanto si dispone de modificadores, servidores de acceso

remoto, puntos de acceso inalmbrico o cualquier otro elemento que debaautenticar un usuario o dispositivo informtico, puede utilizar un servidor

RADIUS para autenticarlos en una ubicacin central mediante un conjunto dedirectivas de acceso remoto que se administran desde esta ubicacin.

Un servidor RADIUS proporciona una autenticacin centralizada que puedereducir de forma significativa la actividad administrativa y con ello evitar focos

separados de autenticacin. Esto facilita la especificacin de restricciones,condiciones y directivas de autenticacin coherentes.

Compatibilidad con elinicio de sesininteractivo medianteclave pblica

Utilizacin de IPSec

Autenticacin de igual aigual

Utilizacin de unainfraestructura RADIUS

7/27/2019 X10-0251909.pdf

20/70


Equipos host de seguridad


Un host de seguridad permite complementar la seguridad que las conexiones dered y la familia Windows Server 2003 ya han aplicado. Al planear la estrategia

de acceso a la red, debe determinar si necesita esta seguridad adicional.

Un host de seguridades un dispositivo de autenticacin que comprueba si unaconexin tiene permiso para conectarse con un servidor de acceso a la red.

Antes de implementar los equipos host de seguridad, es necesario que conozcalas diferencias entre los siguientes tipos de equipos host de seguridad:

! Equipos host de seguridad que realizan comprobaciones de autenticacin

durante una solicitud de conexin.

Este tipo de host de seguridad se coloca entre el usuario y el servidor de

acceso a la red, y realiza una comprobacin de autenticacin antes de laautenticacin del servidor de acceso a la red. Por norma general,

proporciona una capa adicional de seguridad ya que necesita que una llavede hardware facilite la autenticacin. La comprobacin de que tiene laposesin fsica de la llave se produce antes de obtener acceso al servidor de

acceso a la red. Con esta arquitectura abierta, el administrador de sistemaspuede seleccionar entre una gama de equipos host de seguridad para

aumentar la seguridad en Conexiones de red, pero puede limitar lascomprobaciones de autenticacin a algunos tipos de conexin.

Introduccin

Definicin

Compare los equiposhost de seguridad

7/27/2019 X10-0251909.pdf

21/70


! Equipos host de seguridad a los que se llama durante el proceso de

autenticacin de la conexin.

Este tipo de host de seguridad proporciona autenticacin personalizadadurante el proceso de autenticacin de acceso a la red. Esta autenticacin

puede aumentar o sustituir la comprobacin estndar de sus credenciales dered que ejecuta el servidor de acceso a la red. Los servidores RADIUS son

ejemplos de este tipo de host de seguridad, puesto que realizan laautenticacin del usuario en nombre del servidor de acceso a la red.

Mediante la introduccin de EAP, otros proveedores pueden crear interfacesentre la autenticacin de acceso a la red y sus propios servidores. Losservidores de este tipo se utilizan para comprobar las tarjetas inteligentes

y otras formas de autenticacin ampliada.

Por ejemplo, un sistema de seguridad consta de dos dispositivos de hardware: el

host de seguridad y la tarjeta de seguridad. El host de seguridad se ha instaladoentre el servidor de acceso a la red y su conexin de red. La tarjeta de seguridad

es una unidad pequea del tamao de una tarjeta de crdito que se asemejaa una calculadora de bolsillo sin teclas. La tarjeta de seguridad muestra un

nmero de acceso diferente cada minuto. Este nmero se sincroniza con un

nmero similar que calcula el host de seguridad cada minuto. Al establecer laconexin, el usuario enva al host un nmero PIN y el nmero de la tarjeta de

seguridad. Si estos coinciden con el nmero que ha calculado el host, el host deseguridad le conecta con el servidor de acceso a la red.

Otro host de seguridad del mismo tipo le solicita que escriba un nombre deusuario (que puede o no ser el mismo que el nombre de usuario de accesoremoto) y una contrasea (distinta a la contrasea de acceso remoto).

GINA, el componente de DLL que carga Winlogon, implementa los requisitosde autenticacin a partir del modelo de inicio de sesin interactivo. Realiza

todas las interacciones de identificacin y autenticacin del usuario. Msgina.dll,el estndar GINA que proporciona Microsoft y carga Winlogon, puedesustituirse por otra GINA que haya creado y personalizado un tercero.

Tambin puede escribir una nueva GINA que utilice los servicios del host de

seguridad para los servicios de autenticacin.

Ejemplo de un sistemade seguridad

Utilice un modelo deinicio de sesininteractivo

7/27/2019 X10-0251909.pdf

22/70


Leccin:Seleccin de los mtodos de conexin deacceso a la red


Al elegir un mtodo de conexin de acceso a la red, debe evaluar todos losmtodos de conexin disponibles, como LAN, VPN, acceso telefnico

o inalmbrico y determinar cul de ellos es el ms adecuado para su solucin deacceso a la red.

Para reducir la actividad administrativa, es recomendable utilizar el servidorISA (Internet Security and Acceleration) de Microsoft para centralizar la

autenticacin de los usuarios remotos en una ubicacin.


! Determinar si una solucin LAN es un mtodo de conexin adecuado para

la estrategia de acceso a la red.

! Determinar si una solucin VPN es un mtodo de conexin adecuado para

la estrategia de acceso a la red.

! Determinar si una solucin de acceso telefnico es un mtodo de conexin

adecuado para la estrategia de acceso a la red.

! Explicar cmo hacer planes para clientes VPN y de acceso telefnico.

! Determinar si una solucin inalmbrica es un mtodo de conexin adecuado

para la estrategia de acceso a la red.

! Explicar cmo se puede centralizar una autenticacin de cliente mediante la

autenticacin de servidor IAS y RADIUS.

! Aplicar las directrices para elegir un mtodo de conexin de acceso a la red.

Introduccin


7/27/2019 X10-0251909.pdf

23/70


Consideraciones sobre una solucin LAN


Puede llegar a la conclusin de que la estrategia de infraestructura de redes debeincluir una LAN. No obstante, antes de que pueda definir una LAN, debe

comprender los requisitos empresariales. En la estrategia de LAN que sepresenta en este tema se documenta la implementacin del plan de seguridad.

Debe tener en cuenta que una solucin LAN puede incidir negativamente en el

rendimiento de la red. Por ejemplo, una empresa que utiliza un mediocompartido (por ejemplo, un concentrador) debe compartirlo con otros nodos

del medio, con lo que se reduce el rendimiento potencial. Sin embargo, si utilizaun modificador en vez de un concentrador puede ayudarle a mitigar cualquier

efecto negativo en el rendimiento de la red.

Las empresas normalmente eligen una solucin LAN para los servidoresy clientes estacionarios y que necesitan disponer de una conectividad

permanente con un gran ancho de banda. Por ejemplo, en una empresa con unservidor (Web, archivos y base de datos) o clientes que necesitan conseguir un

rendimiento alto pero no necesitan tener movilidad normalmente seimplementara una solucin LAN. Los clientes con necesidades de altorendimiento incluyen:

! Cualquier servidor (Active Directory, DHCP, servidor DNS [Sistema de

nombres de dominio], Web, etc.).

! Estaciones de trabajo grficas.

! Estaciones multimedia.

! Cualquier otro sistema que transfiera grandes cantidades de datos a travs de

la red.

Introduccin

Seleccin de una LAN

7/27/2019 X10-0251909.pdf

24/70


Antes de decidir si una solucin LAN es adecuada para la estrategia de

infraestructura de redes, es aconsejable que considere las ventajas y losinconvenientes de este tipo de acceso a la red, como se describe en la siguiente

tabla.

Tipo de consideracin Ejemplos

Ventajas Transmisin de alta velocidad (de 10a 1.000 Mbps para Ethernet).

Conexin sin interferencias en la seal.

La red normalmente no est afectada

por interrupciones en la conexin

o prdidas de velocidad de transmisin

debido a interferencias en la seal.

Medios no compartidos.

Las tecnologas de conmutacin que

existen permiten las transmisiones

punto a punto (en modo dplex

completo o dplex medio). Estas

tecnologas aumentan las posibilidades

de rendimiento en el medio.

Tecnologa conocida y probada que

utiliza hardware econmico

y ampliamente comercializado.

Inconvenientes Los dispositivos deben estar

conectados fsicamente, lo cual puede

restringir la movilidad.

El costo inicial de implementar una

solucin LAN puede resultar

prohibitivo. Debe instalarse la

infraestructura de cableado, lo cualimplica un costo elevado en trminos

de tiempo y dinero.

En una solucin LAN, muchas de las caractersticas de seguridad estn ya

incluidas y perfectamente integradas. Estas pueden incluir mecanismos deautenticacin integrados, como por ejemplo Kerberos V5 y NTLM. Adems de

estos mtodos integrados, tambin puede utilizar:

! TLS con IPSec.

! Seguridad de SSL (Capa de sockets seguros).

! TLS con seguridad de certificado X.509 v3.

Seleccin de unasolucin LAN

Opciones de seguridad

7/27/2019 X10-0251909.pdf

25/70


Consideraciones sobre una solucin VPN


Si la estrategia de red incluye una solucin VPN, debe proporcionar accesoseguro a los recursos de la red. Para evitar el costo que supone alquilar una

lnea privada para conectarse a la red, puede crear un tnel seguro a travs deuna red pblica como Internet para formar una VPN. La VPN se autentica y se

cifra por motivos de seguridad.

Debe tener en cuenta que una solucin VPN puede incidir en el rendimiento.Por ejemplo, si depende de una conexin de red subyacente que ofrece desde

velocidades LAN hasta velocidades de mdem por acceso telefnico(a 28 Kbps), esto puede acarrear una sobrecarga adicional relacionada con el

protocolo de tnel.

Las empresas cada vez ms optan por las VPN como soluciones de acceso a lared. Este tipo de solucin puede ayudar a una empresa a satisfacer las

necesidades de los clientes remotos, adems de cumplir los requisitos deseguridad. Una solucin VPN puede resultar adecuada cuando:

! La empresa tiene empleados en ubicaciones remotas.

! La empresa necesita conectarse con dos dispositivos (tanto si la conexin es

de cliente a servidor como de enrutador a enrutador).

Introduccin

Seleccin de unasolucin VPN

7/27/2019 X10-0251909.pdf

26/70


Antes de decidir si una solucin VPN es adecuada para la estrategia de

infraestructura de redes, es aconsejable que considere las ventajas y losinconvenientes de este tipo de acceso a la red, como se describe en la tabla

siguiente.


Ventajas Puede utilizar una infraestructura deredes existente (Internet o intranet)

para transportar los datos enviados

a travs de tnel.

No acarrea el costo de una conexin

privada entre dispositivos.

Se adapta mejor a las ampliaciones que

una solucin de acceso telefnico.

Inconvenientes Los procesos de envo de datos a travs

de tnel pueden conllevar una

sobrecarga adicional.

Ambos dispositivos deben ser

compatibles con los mismos protocolos

de tnel (PPTP o L2TP).

Se incrementa el riesgo de que un

atacante pueda ver y analizar los

paquetes. A pesar de que estos se

pueden cifrar, aplicarles algoritmos

hash y autenticar, an seguirn

transmitindose en una red pblica (en

el caso de Internet).

Se necesita asistencia adicional. Debe

asegurarse de que la infraestructura de

redes permite la transmisin de

paquetes a travs de un tnel desde

Internet hasta su red privada.

La seguridad es un requisito esencial para cualquier conexin remota.Una solucin VPN puede protegerse de las siguientes maneras:

! Autenticacin

Mtodos de autenticacin estndar PPP ([MS-CHAPv2], MS-CHAP,

PAP, etc.)

Mtodos de autenticacin EAP (certificados de clave pblica incluidos)

IPSec

! Cifrado de datos

MPPE (Cifrado punto a punto de Microsoft) de 40, 56 o 128 bits.

IPSec

! Restricciones de conexin (hora del da, duracin de la conexin, etc.)

Estas restricciones permiten limitar las conexiones.

Eleccin de unasolucin VPN


7/27/2019 X10-0251909.pdf

27/70


Consideraciones sobre una solucin de acceso telefnico


Antes de elegir una solucin de acceso telefnico, debe tener en cuenta que talvez se trate de la solucin de acceso remoto ms costosa para una empresa. Sin

embargo, probablemente resulte la menos cara para el usuario y utiliza unaconexin telefnica directa entre dos dispositivos.

Hay que tener en cuenta que una solucin de acceso telefnico puede afectar al

rendimiento, sobre todo en todo aquello relacionado con el lmite de ancho debanda al utilizar PSTN o la integridad de la conexin de la lnea telefnica.

Si necesita realizar una conexin punto a punto entre dos dispositivos, tanto si

la conexin es de cliente a servidor como de enrutador a enrutador, puedeutilizar la omnipresente red PSTN para conectar los dispositivos, lo que

representa un costo mnimo para el usuario final. Sin embargo, para la empresasupondr un costo aadido, puesto que tendr que adquirir el hardware

necesario.

Introduccin

Seleccin de unasolucin de accesotelefnico

7/27/2019 X10-0251909.pdf

28/70


Antes de decidir si una solucin de acceso telefnico es adecuada para la

estrategia de infraestructura de redes, es aconsejable que considere las ventajasy los inconvenientes de este tipo de acceso a la red, como se describe en la

siguiente tabla.


Ventajas El costo de la lnea es asequible.

Una solucin de acceso telefnico se

puede adquirir fcilmente.

Se trata de una tecnologa confiable y

probada (en la mayora de los lugares).

Es fcil de instalar.

Inconvenientes Puede resultar lenta (la transmisin de

datos oscila entre 28 Kbps

y 128 Kbps).

Resulta difcil ampliarla.

Necesita un mdem para cada

conexin, por lo que debe comprar

e instalar ms hardware.

En algunas partes del mundo puede

resultar poco confiable.

Puede estar sujeta a interferencias

y ruidos de la lnea, puesto que se trata

de una seal analgica.

Puede proteger una solucin de acceso telefnico de la misma forma que

protegera una solucin VPN mediante las opciones siguientes:

! Autenticacin

Mtodos de autenticacin estndar PPP ([MS-CHAPv2], MS-CHAP,

PAP, etc.)

Mtodos de autenticacin EAP (certificados de clave pblica incluidos)

! Cifrado de datos

MPPE de 40, 56 o 128 bits.

! Restricciones de conexin (hora del da, duracin de la conexin, etc.)

Tambin puede utilizar estas restricciones para limitar las conexiones.

Seleccin de unasolucin de accesotelefnico


7/27/2019 X10-0251909.pdf

29/70


Presentacin multimedia: Planeamiento de solucionespara clientes VPN y de acceso telefnico


Para iniciar la presentacinPlaneamiento de soluciones para clientes VPN y deacceso telefnico, abra la pgina Web que se encuentra en el disco compacto

Material del alumno. Haga clic en Multimedia y, a continuacin, en el ttulo dela presentacin.

El objetivo de esta presentacin es describir las diferentes formas de planearclientes VPN y de acceso telefnico.

Aprender a hacer lo siguiente:

! Planear un servidor que ejecute el servicio Enrutamiento y acceso remoto

para ofrecer servicios de acceso telefnico o VPN.

! Seleccionar una configuracin de Enrutamiento y acceso remoto para

servicios de acceso telefnico o VPN.

! Elegir entre una solucin de acceso telefnico y de VPN.

Cuando visualice este medio, deber tener en cuenta las cuestiones siguientes.

! Cul es el primer paso para planear una solucin de acceso remoto?

! Qu debe suceder antes de que un usuario pueda conectarse a un servidor

de acceso remoto?

! Qu protocolo de tnel ofrece la mejor seguridad?

Ubicacin de losarchivos

Objetivos

Preguntas clave

7/27/2019 X10-0251909.pdf

30/70


Consideraciones sobre una solucin inalmbrica


Una solucin inalmbrica permite a los usuarios mviles desplazarse de unlugar a otro y permanecer conectados a la red. Las tecnologas de redes

inalmbricas amplan el concepto de no ms cables. En una red inalmbrica,todos los equipos transmiten su informacin a travs de un punto central de

acceso inalmbrico mediante seales de radio. Al optar por una solucin deacceso a la red inalmbrica, debe tener en cuenta la seguridad de la conexiny los inconvenientes asociados con el uso de una red inalmbrica.

Hay dos cuestiones importantes sobre el rendimiento relacionadas con las redesinalmbricas. La primera de ellas son los medios compartidos, que pueden

reducir la cantidad de ancho de banda disponible. La segunda es que una sealde poca intensidad puede afectar no slo a la conexin, sino tambin a lavelocidad de transmisin. La radiotransmisin (y otras formas de transmisin)

slo abarca una cierta distancia, tras la cual empieza a degradarse.

Si la empresa tiene clientes mviles, una conexin inalmbrica puede ser una

solucin adecuada. Un cliente mvil no es necesariamente un equipo porttilbsico, sino que puede ser un dispositivo informtico muy eficaz que puedarealizar las mismas tareas informticas que un equipo de escritorio, por lo que

requiere capacidades de rendimiento de red parecidas.

Introduccin

Seleccin de unasolucin inalmbrica

7/27/2019 X10-0251909.pdf

31/70


Antes de decidir si una solucin inalmbrica es adecuada para la estrategia de

infraestructura de redes, es aconsejable que considere las ventajas y losinconvenientes de este tipo de acceso a la red, como se describe en la siguiente

tabla.


Ventajas Movilidad (incluida la itinerancia entrepuntos de acceso inalmbrico)

No se requiere una infraestructura

costosa de cableado.

Fcil integracin con las redes

cableadas.

Compatibilidad con los mismos

protocolos y tecnologas que las redes

cableadas (Ethernet, TCP/IP, etc.).

Velocidad (velocidades mximas entre

11 y 54 Mbps).

Inconvenientes Medios compartidos.

Intervalo limitado.

Est sujeta a interferencias

u obstrucciones.

Complejidad de planeamiento,

configuracin y administracin, puesto

que se trata de una tecnologa

relativamente nueva.

Integracin incompleta de la seguridad.

Hay dos opciones de autenticacin disponibles para las redes inalmbricas.

Cualquiera de estos dos mtodos puede utilizar privacidad equivalente al cablepara el cifrado. Las opciones son las siguientes:

! El estndar 802.11 define los tipos de autenticacin de sistemas abiertosy de clave compartida. Este estndar se considera la opcin menos segura

para las redes inalmbricas. La autenticacin de sistema abierto proporciona

informacin y no autenticacin, mientras que la autenticacin de clavecompartida no se adapta bien a las ampliaciones.

! El estndar 802.1x define el control de acceso a la red basado en puertos quese utiliza para ofrecer acceso autenticado a la red para redes Ethernet.

Aunque este estndar se dise para redes Ethernet cableadas, se ha

adaptado para su uso en LAN 802.11 inalmbricas. Este estndar se

considera la opcin ms segura para redes inalmbricas, e incluye mtodos

de autenticacin EAP que utilizan tarjetas inteligentes u otros certificados

y velocidad de transmisin PEAP o conexiones interrumpidas.

Seleccin de unasolucin inalmbrica

Opciones de

autenticacin

7/27/2019 X10-0251909.pdf

32/70


Infraestructura de autenticacin RADIUS


A pesar de que puede crear y administrar varios mtodos de autenticacin paralas conexiones de acceso a la red, esta estrategia puede acarrear una gran

cantidad de actividad administrativa.

Para solucionar este problema, puede utilizar el servidor IAS para proporcionaruna infraestructura de autenticacin RADIUS para autenticar todos los clientes

de acceso a la red (VPN, acceso telefnico e inalmbricos) en una solaubicacin.

El servidor IAS proporciona una ubicacin central para todas las directivas de

acceso remoto, lo que permite administrar con ms facilidad los perfiles, lasconfiguraciones y las restricciones de conexin.

Despus de instalar la infraestructura RADIUS, puede configurar los servidores

de acceso a la red (que incluyen los servidores que ejecutan el servicioEnrutamiento y acceso remoto y los puntos de acceso inalmbrico) para queutilicen el servidor IAS para realizar todas las tareas de autenticacin de la red.

La autenticacin que se proporciona en Active Directory incluye unainfraestructura de autenticacin Kerberos V5 que funciona de forma continua

en segundo plano y requiere una configuracin y una administracin mnimas.La autenticacin NTLM tambin ofrece los mismos beneficios. Ambos mtodosde autenticacin forman parte de la autenticacin integrada del sistema

operativo.

Introduccin

Autenticacin delservidor IAS y RADIUS

Autenticacin de ActiveDirectory

7/27/2019 X10-0251909.pdf

33/70


La autenticacin no est tan claramente definida para las opciones de acceso

remoto (VPN, de acceso telefnico e inalmbrico). Cada servidor de acceso a lared puede convertirse en su propio foco de autenticacin, lo que requiere una

configuracin y administracin separadas que puedan dar lugar a diferentesdirectivas y valores de configuracin en cada servidor de acceso.

Si tiene diferentes directivas y valores de configuracin en cada servidor puede

dar pie a que los usuarios obtengan resultados diferentes, en funcin delservidor de acceso al que se conecte el usuario. En esta situacin, los requisitos

de acceso remoto pueden suponer una carga adicional para el personaladministrativo, lo que puede dar como resultado brechas en la seguridad del

servidor de acceso a la red.

Autenticacin de accesoa la red

7/27/2019 X10-0251909.pdf

34/70


Directrices para elegir mtodos de conexin de acceso a la red


Antes de elegir un mtodo de conexin de acceso a la red, debe tener en cuentalos requisitos de infraestructura y de cliente de su infraestructura de redes. Es

necesario que tenga en cuenta los requisitos siguientes:

! Los requisitos de usuario remoto pueden incluir un ancho de banda

adecuado, conexiones seguras, movilidad y confiabilidad.

! Los requisitos de la infraestructura de redes pueden incluir servicios

y recursos que cuenten con una alta disponibilidad, confiabilidad y

seguridad.

Una vez que haya determinado los requisitos de acceso a la red, debe repasar la

siguiente tabla y elegir una estrategia adecuada de acceso a la red. La tablaclasifica cada uno de los requisitos segn la siguiente valoracin: alta, media

y baja. En esta tabla no se presentan todos los requisitos, puesto que puedendepender de varios factores que escapan de su control.

Estrategia deconexin Ancho de banda Seguridad Movilidad Confiabilidad

LAN Alto Alta Baja

(puntos fijos)

Alta

VPN Medio

(depende del mtodode conexin)

Alta

(se requiereseguridad)

Funciona con

cualquier conexin

Est sujeta a la

disponibilidad de lared pblica

Acceso telefnico Bajo

(medio para

tecnologas digitales)

Baja Cualquier punto de

acceso PSTN

Est sujeta a la

disponibilidad de la

PSTN

Inalmbrica De bajo a medio

(medios

compartidos)

Alta

(se requiere

seguridad)

Alta en la celda

Tamao de celda y

disponibilidad

limitadas

Propensin al ruido

y a la contencin

Introduccin

Seleccin de unaestrategia de acceso a lared

7/27/2019 X10-0251909.pdf

35/70


Ejercicio prctico: Seleccin de los mtodos de conexin de

acceso a la red


En esta prctica leer el escenario y, a continuacin, elegir el mtodo deconexin de acceso a la red ms adecuado.

El objetivo de esta prctica es elegir un mtodo de conexin de acceso a la redadecuado.

1. Lea el escenario.

2. Preprese para tratar los retos que implica esta tarea en un debate posterior

al ejercicio prctico.

Fabrikam Inc. es una compaa de rpido crecimiento con cada vez ms

requisitos de acceso a datos. El personal del departamento de ventas deFabrikam Inc. ha solicitado la posibilidad de obtener acceso a los archivos de la

base de datos de ventas y clientes cuando estn de viaje. La conectividad actualde la compaa fuera de su intranet es una lnea T1 con su ISP (Proveedor deservicios Internet), que en la actualidad no se utiliza en exceso.

Adems, el departamento de ingeniera de la compaa se ha quejado acerca dela falta de conectividad de red en las salas de reunin, que el contratista deledificio, por error, no cable con cable de categora 5. Sin embargo, la totalidad

del personal de ingeniera dispone de equipos porttiles que podran utilizar

durante las reuniones para obtener acceso a los datos de ingeniera, si tuvieranalguna forma de conectarse a la red desde las salas de reuniones.

Introduccin

Objetivo

Instrucciones

Escenario

7/27/2019 X10-0251909.pdf

36/70


Qu opciones de conectividad propondra para los departamentos de ventas

e ingeniera? Razone la respuesta.

Para el departamento de ventas, proponga una solucin VPN queaproveche la conexin actual de la compaa a Internet. La instalacin deun servidor de acceso a la red VPN resultara una solucin bastantecmoda y no hara falta instalar toda una infraestructura de acceso

telefnico. La compaa podra utilizar su infraestructura de redesexistente para que el departamento de ventas pudiera obtener acceso a suintranet. A continuacin, la empresa necesitara crear un plan para ofrecera sus usuarios remotos una forma fcil y eficaz de obtener accesoa Internet mientras estuvieran de viaje, como por ejemplo mediante unacuerdo con un ISP nacional para autenticar a los usuarios de accesotelefnico de Fabrikam Inc. con su propia base de datos de usuarios.

Una red inalmbrica podra adaptarse mejor a las necesidades deldepartamento de ingeniera. Una red inalmbrica eliminara el costo y lasmolestias de cablear las salas de reuniones para la conectividad LAN, peropodra ofrecer un ancho de banda comparable que se adaptase a lasnecesidades del empleado. A pesar de que una infraestructura inalmbrica

se debe planear, probar, implementar y administrar, adems de queprecisa mantenimiento, puede resultar la mejor solucin a largo plazodebido a que se trata de una tecnologa ms flexible y que ofrece a losusuarios ms libertad para obtener acceso a la informacin desdecualquier ubicacin.

________________________________________________________________

________________________________________________________________

________________________________________________________________

________________________________________________________________

Ejercicio prctico

7/27/2019 X10-0251909.pdf

37/70


Leccin: Seleccin de una estrategia de directiva deacceso remoto


Al elegir una estrategia para la directiva de acceso remoto, deben aplicarse lasdirectivas adecuadas que definan cmo se conectarn los usuarios remotos a la

red corporativa. Las propiedades y condiciones de las directivas de accesoremoto determinan los permisos y la autenticacin de los usuarios remotos,y ambos forman parte de su perfil de usuario.


! Explicar cmo se aplican las directivas de acceso remoto.

! Identificar los atributos de condicin de directiva de acceso remoto.

! Explicar cmo se deben establecer los permisos de acceso remoto.

! Explicar cmo se deben crear las opciones de perfil de usuario.

! Aplicar las directrices para elegir una directiva de acceso remoto.

Introduccin


7/27/2019 X10-0251909.pdf

38/70


Directivas de acceso remoto


La autorizacin de acceso a la red se concede en funcin de las propiedades deconexin de las cuentas de usuario y las directivas de acceso remoto. Las

directivas de acceso remoto constituyen un conjunto de reglas ordenado quedefine de qu modo se autorizan o rechazan las conexiones. Cada regla incluye

una o ms condiciones, un conjunto de valores de perfil y un valor de permisode acceso remoto.

Para utilizar las directivas de acceso remoto, debe entender cmo se aplican.

Las directivas de acceso remoto pueden ofrecer:

!

Acceso personalizado a los diferentes usuarios y grupos de la organizacin.! Flexibilidad en la concesin de permisos y en el uso del acceso remoto.

! Asignacin de valores a la conexin, en funcin del usuario que se est

conectando y de las propiedades de la conexin.

Windows Server 2003 almacena las directivas de acceso remoto en el servidorde acceso remoto (no en Active Directory), de modo que estas directivas

pueden variar en funcin de las capacidades del servidor de acceso remoto.

Puede centralizar las directivas de acceso remoto mediante IAS. Paraobtener ms informacin acerca de IAS, consulte el mdulo 9, Extending

Remote Access Capabilities by Using IAS en el curso 2153,Implementing a

Microsoft Windows 2000 Network Infrastructure.

Las condiciones, los permisos y el perfil son los tres componentes de unadirectiva de acceso remoto que cooperan con Active Directory para

proporcionar un acceso seguro a los servidores de acceso remoto.

Introduccin

Ubicacin de lasdirectivas de accesoremoto

Nota

Cooperacin con ActiveDirectory

7/27/2019 X10-0251909.pdf

39/70


Condiciones de una directiva de acceso remoto


Las condiciones de una directiva de acceso remoto son una lista de parmetros,como por ejemplo la hora del da, los grupos de usuarios, los identificadores

(Id.) del autor de la llamada o las direcciones IP (Protocolo Internet), que secomparan con los parmetros del cliente que se conecta al servidor. El primer

conjunto de condiciones de una directiva que se compara con los parmetros dela solicitud de conexin entrante se procesa para obtener el permiso de accesoy la configuracin.

Estos son los dos atributos de condicin que se utilizan con ms frecuencia:

!

El atributo de condicin NAS-Port-Type, que puede utilizar paraespecificar el tipo de conexin de red mediante NAS-Port-Type, permiteespecificar una conexin Ethernet, inalmbrica, mdem, VPN, etc.

! Puede utilizar el atributo de condicin Windows-Groups para especificar elgrupo de usuarios en el que desea aplicar una directiva. Por ejemplo, puede

combinar las condiciones NAS-Port-Type y Windows-Groups para aplicaruna directiva a todos los miembros del departamento de ventas que se

conectan a travs del tnel de VPN.

Introduccin

Atributos de condicinde una directiva de

acceso remoto

7/27/2019 X10-0251909.pdf

40/70


Para la estrategia de acceso a la red tal vez sea necesario que especifique otras

muchas condiciones. Puede utilizar la siguiente tabla de atributos para compararlas solicitudes con las condiciones.

Atributo Descripcin

Authentication type Especifica el esquema de autenticacin quese utiliza para comprobar el usuario.

Called-Station-Id Especifica el nmero de telfono de laconexin de acceso telefnico que utiliza el

usuario.

Calling-Station-Id Especifica el nmero de telfono del autor dela llamada; por ejemplo, 555-****.

Client-Friendly-Name Especifica un nombre descriptivo para elcliente RADIUS: por ejemplo, RASCL**.

Client-IP-Address Especifica la direccin IP del clienteRADIUS*.

Client-Vendor Especifica el fabricante del sistema deautenticacin de red, como por ejemplo

Microsoft, Cisco o Shiva.

Day-And-Time-Restrictions Especifica las restricciones de la hora del dao las restricciones de los das y las semanas

de RAS. El valor predeterminado es

denegarlo todo.

Framed-Protocol Especifica el protocolo que se debe utilizar,como por ejemplo PPP, SLIP, X25

o AppleTalk.

NAS-IP-Address Especifica la direccin IP de NAS.

NAS-Identifier Especifica una cadena para identificar el

NAS que origina la solicitud, como porejemplo Servidor_RADIUS.

NAS-Port-Type Especifica el puerto fsico que utiliza el NASque origina la solicitud, como por ejemplo

Async (Mdem), Sync (Lnea T1), ISDN

Sync o Virtual (VPN).

Service-Type Especifica el tipo de servicio que el usuarioha solicitado, como por ejemplo

Administrative-User, Callback-Login

y Shell-User.

Tunnel-Type Especifica el protocolo de tnel utilizado.

Windows-Groups Especifica los grupos de Windows a los quepertenece el usuario, como por ejemploAdministradores.

Otros atributos decondicin

7/27/2019 X10-0251909.pdf

41/70


Propiedades de marcado de las cuentas de usuario


El servicio Enrutamiento y acceso remoto e IAS de la familia

Windows Server 2003 y de Windows 2000, proporcionan la autorizacin de

acceso a la red que se concede en funcin de las propiedades de marcado de las

cuentas de usuario y las directivas de acceso remoto.

La concesin de acceso mediante el valor de permiso de cuenta de usuario o el

valor de permiso de directiva constituye slo el primer paso en la aceptacin deuna conexin.

En la familia Windows Server 2003, puede configurar un atributo RADIUS

para omitir las propiedades de marcado de las cuentas de usuario y de equipo enlas propiedades de perfil de una directiva de acceso remoto. Para admitir variostipos de conexiones a los que IAS proporciona autorizacin y autenticacin,

quiz sea necesario que deshabilite el procesamiento de las propiedades demarcado de las cuentas de usuario.

Introduccin

7/27/2019 X10-0251909.pdf

42/70


El intento de conexin depende de la configuracin de las propiedades de

marcado de la cuenta de usuario y las propiedades del perfil de directiva. Si elintento de conexin no coincide con la configuracin de la cuenta de usuario

o las propiedades de perfil de directiva, se rechaza dicho intento. Puedeestablecer permisos de acceso remoto de las dos maneras siguientes:

! Establecer permisos de acceso remoto para una cuenta de usuario.

Los permisos de acceso remoto se pueden conceder o denegar para cada

cuenta de usuario. El permiso de acceso remoto reemplaza el permiso deacceso remoto de la directiva. Cuando un permiso de acceso remoto de una

cuenta de usuario se establece en la opcin Controlar acceso a travs de ladirectiva de acceso remoto, el permiso de acceso remoto de la directivadetermina si se concede acceso al usuario.

! Establecer permisos de acceso remoto para una directiva.

Si se cumplen todas las condiciones de una directiva de acceso remoto, el

permiso de acceso remoto se concede o se deniega. Puede utilizar la opcinConceder permiso de acceso remoto o Denegar permiso de accesoremoto para establecer el permiso de acceso remoto para una directiva.

La configuracin del perfil especifica un conjunto de restricciones deconexin. Cuando corresponda, las restricciones de conexin de una cuenta de

usuario reemplazarn las restricciones de conexin del perfil de una directiva deacceso remoto.

En la familia Windows Server 2003, la cuenta de un usuario para un servidor

independiente o un servidor que ejecute Active Directory contiene un conjuntode propiedades de marcado que se utiliza cuando se permite o deniega unintento de conexin de un usuario. En un servidor independiente puede

establecer propiedades de marcado en la ficha Marcado en Usuarios localesy grupos para la cuenta de usuario. En un servidor que ejecute Active Directory,

puede establecer las propiedades de marcado en la ficha Marcado en Usuariosy equipos de Active Directory para la cuenta de usuario.

Otras propiedades de marcado de una cuenta de usuario:

! Comprobar el Id. de quien llama

Si se habilita esta propiedad, el servidor comprueba el nmero de telfono

del autor de la llamada. Si el nmero no coincide con el nmero de telfonoconfigurado, se deniega el intento de conexin.

! Opciones de devolucin de llamada

Si esta propiedad se habilita, el servidor devuelve la llamada a su autor

durante el proceso de conexin. El nmero de telfono que el servidor

emplea lo establece el autor de la llamada o el administrador de red.

! Asignar una direccin IP esttica

Puede emplear esta propiedad para asignar una direccin IP especfica a unusuario cuando se efecta una conexin.

Configuracin deacceso remoto

Nota

Otras propiedades demarcado de una cuentade usuario

7/27/2019 X10-0251909.pdf

43/70


! Aplicar rutas estticas

Puede utilizar esta propiedad para definir una serie de rutas IP estticas quese agregan a la tabla de enrutamiento del servidor que ejecuta el Servicio de

enrutamiento y acceso remoto cuando se efecta una conexin. Este valor seha diseado para cuentas de usuario que un enrutador que ejecuta la familia

Windows Server 2003 utiliza para enrutamientos de marcado a peticin.

Puede utilizar IAS para habilitar el procesamiento de las propiedades de

marcado para cuentas de usuario y de equipo en algunos escenarios (como porejemplo el marcado) y para deshabilitar el procesamiento de las propiedades de

marcado de las cuentas de usuario y de equipo en otros escenarios (por ejemplo,en conexiones inalmbricas o mediante un modificador de autenticacin).

El atributo Ignore-User-Dialin-Properties se establece como sigue:

! Para habilitar el procesamiento de propiedades de marcado de una cuenta de

usuario, debe eliminar el atributo Ignore-User-Dialin-Propertieso establecerlo en False. Por ejemplo, para una directiva de acceso remotoque se haya diseado para conexiones de marcado, no se requiere unaconfiguracin adicional.

! Para deshabilitar el procesamiento de propiedades de marcado para una

cuenta de usuario, establezca el atributo Ignore-User-Dialin-Properties enel valorTrue. Por ejemplo, establezca esta configuracin para la directivade acceso remoto que se utiliza para conexiones inalmbricas o mediante un

conmutador de autenticacin. Cuando se omiten las propiedades de marcado

de la cuenta de usuario, el valor de la directiva de acceso remoto determina

el permiso de acceso remoto.

Atributo Ignore-User-Dialin-Properties

7/27/2019 X10-0251909.pdf

44/70


Opciones de perfil de usuario


Puede utilizar la directiva de acceso remoto para crear un perfil de marcadoremoto para especificar el acceso en funcin de la pertenencia a grupos de

Windows 2000, la hora del da, el da de la semana y el tipo de conexin.Tambin puede configurar los valores para opciones tales como la duracin

mxima de sesin, los requisitos de autenticacin y las directivas BAP(Protocolo de asignacin de ancho de banda).

Cada directiva incluye un perfil de opciones, como protocolos de autenticacin

y de cifrado, que se aplican a la conexin. Las opciones del perfil se aplican a laconexin inmediatamente y podran ocasionar que sta se deniegue.

El perfil tambin contiene el nivel de cifrado, el mtodo de autenticacin, las

conexiones de multivnculo permitidas, la asignacin IP y otras restricciones demarcado. Por razones de seguridad, debe prestar especial atencin al mtodo de

autenticacin y al valor de cifrado, y elegir las opciones ms seguras que puedeadmitir la organizacin.

Por ejemplo, si las opciones del perfil de una conexin especifican que elusuario solamente puede conectarse durante 30 minutos cada vez, transcurrido

ese tiempo, se desconectar al usuario del servidor de acceso remoto.

Introduccin

Configuracin deperfiles

7/27/2019 X10-0251909.pdf

45/70


En la tabla siguiente se muestran las opciones de un perfil de marcado.

Componente Aspectos que define

Autenticacin Los protocolos de autenticacin que se utilizan. Puede elegir

entre los diferentes protocolos de autenticacin basados en PPP

(como MSCHAP v2, PEAP, etc.), o bien elegir EAP y entre losdiferentes tipos de EAP.

Cifrado El nivel de cifrado MPPE que se aceptar. Puede elegir un nivel

que puede variar desde sin cifrado o hasta un cifrado de 128 bits.

En esta ficha se muestran los niveles de cifrado que admite el

servicio Enrutamiento y acceso remoto. Si utiliza un servidor de

acceso a la red de un fabricante diferente, compruebe que sea

compatible con los niveles seleccionados en esta ficha.

Restricciones de

marcado

Las restricciones que desea aplicar en la directiva, como por

ejemplo las restricciones de da y hora, el tiempo que una

conexin puede permanecer inactiva antes de desconectarse, el

tiempo que una conexin puede estar conectada antes de

desconectarse, etc.

IP La direccin IP que se asigna al cliente y los tipos de filtros IP

que se aplican a la conexin. Si el servidor de acceso a la red

ejecuta el servicio Enrutamiento y acceso remoto, puede

especificar los filtros de entrada y de salida que se deben aplicar

a la conexin. Por ejemplo, puede utilizar el filtro para permitir

slo el trfico FTP (Protocolo de transferencia de archivos) en

esta conexin.

Multivnculo Se permiten las conexiones multivnculo cuando se puedan

combinar varios puertos para una conexin. El multivnculo

tambin define si se utilizan los valores de BAP para controlar el

uso de valores de multivnculo para la conexin.

Opciones avanzadas Atributos de conexin adicionales (RADIUS o de un proveedorespecfico) que se pueden enviar al servidor de acceso a la red al

que se ha conectado el cliente.

Opciones de marcado

7/27/2019 X10-0251909.pdf

46/70


Directrices para seleccionar una estrategia de directiva de acceso

remoto


Antes de elegir una directiva de acceso remoto, debe determinar los valores delperfil, las condiciones y los permisos que se utilizarn para habilitar la

conexin, la autenticacin y la seguridad de las conexiones.

Al determinar la configuracin y las condiciones de acceso remoto, debe tener

en cuenta lo siguiente:

! Utilice las condiciones para uno o ms atributos que se comparen con los

valores del intento de acceso. Si hay varias conexiones, todas estas

condiciones deben coincidir con los valores del intento de conexin para

que este coincida con la directiva. Por lo tanto, debe efectuar la seleccin en

la lista de atributos y establecer las condiciones que desea comparar para

que se aplique el valor de directiva.

! Establezca los permisos para una cuenta de usuario; para una directiva

especifique si se denegar o conceder el acceso remoto a los usuarios quecoincidan con las condiciones asociadas con la directiva. Si se establece la

cuenta de usuario para que se conceda acceso y las condiciones coinciden,

se aplican los valores del perfil a la conexin.

Introduccin

Determinacin delos valores y lascondiciones de accesoremoto

7/27/2019 X10-0251909.pdf

47/70


Es aconsejable que tenga en cuenta las prcticas recomendadas que aparecen

a continuacin al determinar las opciones que implementar para la directiva de

perfil de acceso remoto:

! Utilice los mtodos de autenticacin ms seguros que tenga a su disposicin

para sus necesidades de acceso remoto.

Considere la posibilidad de no permitir las conexiones que utilicenprotocolos de autenticacin antiguos, como por ejemplo PAP, Shiva SPAP

(Protocolo de autenticacin de contrasea de Shiva) y CHAP, as comolimitar el acceso a las conexiones que utilicen MS-CHAP v2 o EAP.

! Utilice EAP con un tipo de EAP de tarjeta inteligente o cualquier otro

certificado.

El uso de una tarjeta inteligente para almacenar el certificado es el mtodo

de autenticacin ms seguro disponible para clientes remotos. No obstante,con este mtodo es necesario disponer de un procedimiento de certificado,

para que los usuarios y los equipos puedan obtener sus certificados de clavepblica, y tambin se requiere hardware adicional para los lectores de

tarjetas inteligentes.

! Utilice PEAP con certificados o con MS-CHAP v2 para clientesinalmbricos.

Si no se puede establecer un procedimiento de certificado para loscertificados de cliente (los certificados an son necesarios para losservidores de autenticacin), PEAP/MS-CHAP v2 ser compatible con los

clientes de Microsoft Windows XP Service Pack 1 u otros clientes quetengan instalado el cliente de autenticacin de Microsoft 802.1x (descarga

gratuita).

! Utilice el nivel ms alto posible de cifrado de datos para sus necesidades de

acceso remoto.

El nivel posible de cifrado se puede determinar mediante los sistemas

operativos que los usuarios tienen instalados en sus equipos.! Utilice directivas de acceso remoto que restrinjan el acceso remoto a los

usuarios o grupos que lo requieran y que satisfagan los estndares de

seguridad de la red.

Si es posible, aplique directivas de acceso remoto a grupos en lugar de

a usuarios especficos para que estas sean ms fciles de administrar.

Determinacin de perfilde acceso remoto

7/27/2019 X10-0251909.pdf

48/70


Ejercicio prctico: Determinacin de una estrategia de directiva de

acceso remoto


En este ejercicio prctico, deber planear una estrategia de directiva de accesoremoto a partir del escenario que se proporciona con vistas a definir las

opciones de acceso remoto necesarias.

El objetivo de esta prctica es concretar una estrategia de directiva de acceso

remoto.

1. Lea el escenario.

2. Preprese para tratar los retos que implica esta tarea en un debate posterioral ejercicio prctico.

Trey Research tiene a unos cien contratistas independientes trabajando en unproyecto de tres aos adjudicado a la compaa. La compaa ha anunciado que

los contratistas deben trabajar fuera de sus oficinas externas y deben podercargar los datos de ingeniera al servidor FTP en la intranet de la compaa.A continuacin, los datos se propagarn a la base de datos para que los repase el

supervisor de los contratistas.

En el pasado, a los contratistas se les facilitaban sus propias cuentas de usuarioy permiso para obtener acceso remoto a la red de la compaa a travs de una

VPN. No obstante, surgan problemas cuando los contratistas permanecan

durante mucho tiempo conectados y obtenan acceso a otros servicios, como porejemplo los servidores proxy Web de la compaa.

Para este proyecto, la compaa desea que los contratistas se limiten a cargaro descargar datos del servidor FTP de la intranet de la compaa, y limiten sus

tiempos de conexin a 30 minutos. Esta restriccin debe llevarse a cabo sinafectar a las capacidades de conectividad remota de otros empleados que

trabajen a tiempo completo.

La compaa dispone de una infraestructura de Active Directory y utiliza el

servicio Enrutamiento y acceso remoto de Windows Server 2003 como servidorde acceso a la red VPN.

Introduccin

Objetivo

Instrucciones

Escenario

7/27/2019 X10-0251909.pdf

49/70


Cmo piensa resolver el problema de que los contratistas utilicen una directiva

de acceso remoto?

Planee un grupo nuevo para los contratistas y asgnele un nombre, comopor ejemplo Contratistas remotos. Quite los contratistas del grupo queactualmente se utiliza para dar acceso a los empleados y agregue al gruponuevo las cuentas de usuario de los contratistas que obtendrn acceso al

servidor FTP.Planee una nueva directiva de acceso remoto que conceda permiso deacceso remoto, con la condicin de que Windows-Groups coincida con elgrupo Contratistas remotos y de que NAS-Port-Type coincida conVirtual(VPN).

Planee un cambio de perfil en el que el tiempo de espera de la sesin seestablezca en 30 minutos. Para cambiar los filtros de entrada y salida IP,permita slo el intercambio de paquetes FTP con el servidor FTP.

_______________________________________________________________

_______________________________________________________________

________________________________

X10-0251909.pdf

Documents

Transcript of X10-0251909.pdf