Sistemas Operativos II 1 Profesor: Carlos Garca

CONFIGURAR EL ACCESO A LA RED

Para mantener una comunicacin eficaz y conectar ubicaciones remotas, las organizaciones necesitan instalar y
administrar una infraestructura de acceso a la red que sea segura.

Componentes de una infraestructura de acceso a la red


Para proporcionar una infraestructura de acceso a la red segura, un administrador debe conocer los siguientes
componentes basicos que la conforman:
Servidor de acceso a la red
Clientes de acceso a la red
Servicio de autenticacin
Servicio de directorio Active Directory

Servidor de acceso a la red
El Servicio de enrutamiento y acceso remoto de Nicrosoft permite un acceso no tradicional a una red. Si configura dicho
servicio para que actue como servidor de acceso remoto, puede conectar trabajadores remotos a las redes de una
organizacin. El servidor de acceso remoto para estos clientes no tradicionales autentica las sesiones de los usuarios y
los servicios hasta que el usuario o el administrador de la red los termina. Los usuarios remotos pueden trabajar como
si sus equipos estuvieran conectados a la red fisicamente.

Clientes de acceso a la red
Un servidor de acceso a la red proporciona conectividad de acceso a la red para clientes vPN y de acceso telefnico.
Estos clientes de acceso a la red pueden emplear herramientas estandar para poder usar los recursos. Por ejemplo, en
un servidor configurado con el Servicio de enrutamiento y acceso remoto, los clientes remotos pueden utilizar el
Explorador de Windows para efectuar conexiones a las unidades y conectarse a las impresoras. Las conexiones son
persistentes, de manera que los clientes no necesitan volverse a conectar a los recursos de red durante las sesiones
remotas.

Servicio de autenticacin
Al permitir un mayor acceso a la red, es necesario aumentar el nivel de seguridad de la misma para protegerla frente a
un acceso no autorizado e impedir el uso de los activos internos. Puede ayudar a proteger la red incorporando una
autenticacin segura para validar la identidad, ademas de configurar un cifrado de alta seguridad para proteger los
datos. Por lo general, los mtodos de autenticacin emplean un protocolo de autenticacin que se negocia durante el
proceso de establecimiento de una conexin. El servidor de acceso remoto (un servidor configurado con el Servicio de
enrutamiento y acceso remoto) controla la autenticacin entre el cliente de acceso remoto y el controlador de dominio.
Si posee multiples servidores de acceso a la red, puede centralizar la autenticacin con el Servicio de usuario de acceso
telefnico de autenticacin remota (RAD!US) para autenticar y autorizar a los clientes de acceso a la red.
El uso de RAD!US evita que cada servidor de acceso a la red de su red tenga que realizar los procesos de autenticacin
y autorizacin.

Sistemas Operativos II 2 Profesor: Carlos Garca
Active Directory
Los dominios de Active Directory contienen las cuentas de usuario, contrasenas y propiedades de acceso telefnico
necesarias para autenticar las credenciales del usuario y evaluar las restricciones tanto de autorizacin como de
conexin.
Cuando un cliente se conecta a la red, el administrador puede controlar su acceso a los recursos mediante diversos
controles administrativos tanto en el equipo cliente como en los servidores de acceso a la red. Entre estos controles
administrativos se incluyen Compartir impresoras y archivos, Directiva de grupo local y Directiva de grupo a travs del
servicio Active Directory.

Requisitos de configuracin para un servidor de acceso a la red

Definicin: Un servidor de acceso a la red es aquel que actua como puerta de enlace a una red para
un cliente. En este mdulo, el servidor de acceso a la red es un servidor configurado con el Servicio
de enrutamiento y acceso remoto y tambin se puede hacer referencia a l como servidor de acceso
remoto (en las conexiones de acceso telefnico) o como servidor vPN, dependiendo del tipo de
conexin que est configurado para negociar.



Requisitos de configuracin:
Cuando el Servicio de enrutamiento y acceso remoto se habilita inicialmente en un servidor, aparece el Asistente para
enrutamiento y acceso remoto, que proporciona instrucciones en pantalla para ayudarle a configurar correctamente el
servidor de acceso a la red. La informacin que necesita para configurar el servidor de acceso a la red incluye lo
siguiente:
Si el servidor va a actuar como enrutador, como servidor de acceso remoto o ambos.
Los mtodos de autenticacin y proveedores que se emplearan.
Si un cliente remoto puede tener acceso solamente a ese servidor o a toda la red.
Cmo se asignaran las direcciones de Protocolo !nternet (!P) a los clientes que se conectan.
Opciones de configuracin del Protocolo punto a punto (PPP).
Preferencias de registro de sucesos.

Ou es un cliente de acceso a la red
La administracin de una red informatica requiere que los administradores pongan los recursos de red a disposicin de
los usuarios que no estan conectados directamente a la LAN. Estos usuarios pueden ser empleados, contratistas, socios,
proveedores o clientes, y pueden necesitar un acceso a la red a travs de marcado, !nternet o conexiones inalambricas.
Como administrador de sistemas, su responsabilidad es configurar un acceso seguro para los usuarios que tengan
permiso para conectarse a la red y denegar el acceso a aquellos usuarios que no cuenten con dicho permiso. Por lo
tanto, debe saber cmo configurar y proteger el servidor de acceso a la red para los siguientes mtodos de acceso:
Red privada virtual
Acceso remoto mediante acceso telefnico
Acceso inalambrico

Cliente VPN

Un cliente vPN se conecta a una red a travs de una red compartida o publica,como
!nternet, de manera que simula un vinculo punto a punto en una red privada.




Cliente de acceso telefnico
Un cliente de acceso telefnico se conecta a una red mediante una red de
comunicaciones, como la Red telefnica publica conmutada (PSTN, Public Switched
Telephone Network), para crear una conexin fisica a un puerto en un servidor de
acceso remoto en una red privada. Esta conexin puede efectuarse con diferentes
tecnologias, como puede ser un mdem, un adaptador de Red digital de servicios
integrados (RDS!, !ntegrated Services Digital Network) o un adaptador de Linea de
suscriptor digital (DSL, Digital Subscriber Line) para marcar al servidor de acceso
remoto.

Cliente inalmbrico
Un cliente inalambrico se conecta a una red con tecnologias de infrarrojos o de
radiofrecuencia optimizadas para conexiones de corto alcance. Entre los dispositivos
que suelen utilizarse para el acceso inalambrico a red se incluyen los equipos
portatiles, los equipos de bolsillo, los asistentes personales digitales (PDA, Personal
Digital Assistant), los telfonos mviles, los equipos basados en lapiz y los
localizadores, o .buscas..


Sistemas Operativos II 3 Profesor: Carlos Garca
Ou son la autenticacin y la autorizacin de acceso a la red



La autenticacin de acceso a la red protege dicho acceso
Al permitir un mayor acceso a la red, las organizaciones necesitan garantizar un nivel de seguridad suficiente para
protegerse de los accesos no autorizados y del uso de los activos internos.
En las conexiones vPN, de acceso telefnico e inalambricas, Nicrosoft Windows Server. 2003 implementa la
autenticacin en dos procesos: inicio de sesin interactivo y autorizacin de la red. Ambos deben completarse
correctamente para que un usuario pueda tener acceso a los recursos de la red.

Diferencia entre autenticacin y autorizacin
La distincin entre autenticacin y autorizacin es importante para comprender de qu modo se aceptan o rechazan los
intentos de conexin.
La autenticacin es la validacin de las credenciales durante un intento de conexin. Este proceso de inicio de
sesin consiste en enviar las credenciales desde el cliente de acceso a la red (por ejemplo, un nombre y
contrasena) al servidor de acceso a la red ya sea en texto sin formato o de forma cifrada con un protocolo de
autenticacin. La identificacin del usuario se reenvia posteriormente a una cuenta de dominio para confirmarse.
La autorizacin consiste en la comprobacin de que el intento de conexin se ha permitido. Una vez autenticado el
cliente remoto, se permite o rechaza el acceso de acuerdo con las credenciales de la cuenta y las directivas de
acceso remoto. La autorizacin solamente puede producirse tras un intento de inicio de sesin correcto. Si el inicio
de sesin falla, se rechaza el acceso del usuario.

Aceptacin o rechazo de un intento de conexin
Para que un intento de conexin se acepte, debe autenticarse y autorizarse. Es posible que el intento de conexin se
autentique con credenciales validas, pero que no se autorice. Cuando la autenticacin se supera pero la autorizacin
falla, el intento de conexin se rechaza.
Si el servidor de acceso a la red se configura como el proveedor de autenticacin de Windows, Windows Server 2003
realiza la autenticacin de las credenciales del usuario. Las propiedades de acceso telefnico de la cuenta de usuario y
las directivas de acceso remoto almacenadas localmente permiten la autorizacin del intento de conexin. Un intento de
conexin se acepta si se autentica y se autoriza.

Mtodos de autenticacin disponibles
La autenticacin de clientes de acceso remoto es un aspecto de seguridad importante. Generalmente, los mtodos de
autenticacin emplean un protocolo de autenticacin que se negocia durante el proceso de establecimiento de la
conexin. La familia de Windows Server 2003 admite los siguiente mtodos de autenticacin.

Sistemas Operativos II 4 Profesor: Carlos Garca



Sistemas Operativos II 5 Profesor: Carlos Garca

Autenticacin EAP
El Protocolo de autenticacin extensible (EAP) ofrece un marco que permite la autenticacin personalizada a los
servidores de acceso remoto. El mtodo de autenticacin especifico se negocia entre el cliente y el servidor de acceso
remoto. Tanto el cliente de acceso remoto como el autenticador deben tener instalado el mismo mdulo de
autenticacin EAP.
Los proveedores independientes pueden emplear las interfaces de programacin de aplicaciones (AP!) de EAP para
crear nuevos tipos de EAP que podrian incluir tecnologias como tarjetas testigo o biomtrica.

Mtodo de autenticacin recomendado
El uso de certificados y tarjetas inteligentes para la autenticacin de usuarios es la forma mas segura de autenticacin
remota en la familia de Windows Server 2003.
Las tarjetas inteligentes son un mtodo versatil y a prueba de alteraciones para proporcionar soluciones de seguridad
para tareas, como el inicio de sesin en un dominio de la familia de Nicrosoft Windows Server 2003, la conexin a un
servidor de acceso remoto y la proteccin del correo electrnico. El uso de certificados de tarjeta inteligente para la
autenticacin de usuarios requiere una infraestructura de clave publica (PK!).
Para utilizar tarjetas inteligentes en la autenticacin del acceso remoto, debera hacer lo siguiente:
Configurar el acceso remoto en el servidor de acceso remoto.
!nstalar un certificado de equipo en el equipo servidor para el acceso remoto.
Configurar la tarjeta inteligente u otro tipo de EAP de certificado (TLS) en las directivas de acceso remoto.
Habilitar la autenticacin mediante tarjeta inteligente en la conexin vPN o de acceso telefnico en el cliente de
acceso remoto.

Cmo funciona una conexin VPN


El Servicio de enrutamiento y acceso remoto proporciona servicios vPN para que los usuarios puedan tener acceso a las
redes corporativas de una manera segura al cifrar los datos transmitidos a travs de una red de transporte no segura,
como !nternet.



Sistemas Operativos II 6 Profesor: Carlos Garca
Ou es una VPN
Una conexin vPN amplia las capacidades de una red privada para abarcar vinculos a travs de redes compartidas o
publicas, como !nternet. Con una vPN puede enviar datos cifrados entre dos equipos a travs de una red compartida o
publica simulando un vinculo punto a punto en una red privada.
Para simular un vinculo punto a punto, los datos se encapsulan, o empaquetan, con un encabezado que ofrece
informacin de enrutamiento y que les permite atravesar la red compartida o publica para alcanzar su punto final. Para
simular un vinculo privado, los datos se cifran con el fin de garantizar la confidencialidad. Los paquetes que se
interceptan en la red compartida o publica no pueden leerse sin las claves de cifrado. El vinculo donde se encapsulan y
se cifran los datos privados es una conexin vPN. La conexin vPN tambin se conoce como tunel vPN.

Proceso de conexin VPN
El proceso de una conexin vPN se describe en los siguientes pasos:
1. Un cliente vPN realiza una conexin vPN a un servidor de acceso remoto o servidor vPN que esta conectado a
!nternet. (El servidor vPN actua como puerta de enlace y normalmente se configura de modo que proporcione
acceso a la red completa a la que esta conectado el servidor vPN.)
2. El servidor vPN responde a la llamada virtual.
3. El servidor vPN autentica al autor de la llamada y comprueba su autorizacin para conectar.
4. El servidor vPN transfiere datos entre el cliente vPN y la red corporativa.

Ventajas de una VPN
Las vPN permiten a los usuarios o corporaciones conectarse a servidores remotos, sucursales o a otras organizaciones a
travs de una red publica, a la vez que mantiene comunicaciones seguras. En todos estos casos, la conexin segura se
muestra al usuario como una comunicacin de red privada, a pesar de que la comunicacin se efectua a travs de una
red publica. Otras ventajas son:
Beneficios en los costos. vPN no emplea una linea telefnica y requiere menos hardware (el proveedor de servicios
!nternet (!SP) se encarga de mantener el hardware de comunicaciones).
Seguridad mejorada. Los datos confidenciales se ocultan a los usuarios no autorizados, pero resultan accesibles a
los autorizados a travs de la conexin. El servidor vPN obliga a la autenticacin y el cifrado.
Compatibilidad de protocolos de red. Puede ejecutar remotamente cualquier aplicacin que dependa de los
protocolos de red mas comunes, como Protocolo de control de transporte/Protocolo !nternet (TCP/!P, Transmisin
Control Protocol/!nternet Protocol).
Seguridad de las direcciones !P. Dado que la informacin enviada a travs de una vPN se cifra, las direcciones que
usted especifica se protegen y el trafico transmitido a travs de !nternet solamente tendra la direccin !P externa
visible. No se incurre en costos administrativos por tener que cambiar las direcciones !P para el acceso remoto a
travs de !nternet.

Componentes de una conexin VPN


Componentes de una conexin VPN
Una conexin vPN incluye los siguientes componentes:
Servidor vPN. Equipo que acepta conexiones vPN de clientes vPN, como un servidor configurado con el Servicio de
enrutamiento y acceso remoto.
Cliente VPN. Equipo que inicia una conexin vPN a un servidor vPN.
Red de trnsito. La red compartida o publica por la que pasan los datos encapsulados.
Conexin o tnel VPN. La parte de la conexin donde los datos se cifran y se encapsulan.
Protocolos de tnel. Los protocolos que se utilizan para administrar tuneles y encapsular datos privados, por
ejemplo, Protocolo de tunel punto a punto (PPTP, Point-to-Point Tunneling Protocol).
Datos de tnel. Los datos que suelen enviarse a travs de un vinculo punto a punto privado.
Sistemas Operativos II 7 Profesor: Carlos Garca
Autenticacin. La identidad del cliente y del servidor en una conexin vPN se autentican. Para garantizar que los
datos recibidos se originan en el otro extremo de la conexin y que no se han interceptado ni modificado, una vPN
tambin autentica los datos que se han enviado.
Asignacin de servidores de direcciones y nombres. El servidor vPN es el responsable de la asignacin de
direcciones !P y lo hace con el protocolo predeterminado, Protocolo de configuracin dinamica de host (DHCP,
Dynamic Host Configuration Protocol), o a partir de un conjunto estatico que crea el administrador. El servidor vPN
tambin asigna a los clientes direcciones del servidor de Sistema de nombres de dominio (DNS) y Servicio de
nombres !nternet de Windows (W!NS). Los servidores de nombres asignados son aquellos que proporcionan
servicios a la intranet con la que se interconecta el servidor vPN.

Protocolos de cifrado para una conexin VPN



Protocolos de tnel
Para proteger la comunicacin, la familia de Windows Server 2003 emplea dos tipos de protocolos de tunel (de cifrado):
Protocolo de tnel punto a punto (PPTP}. Emplea los mtodos de autenticacin PPP de usuario y Cifrado
punto a punto de Nicrosoft (NPPE, Nicrosoft Point-to-Point Encryption) para el cifrado de datos.
Protocolo de tnel de capa dos con seguridad del protocolo Internet (L2TP]IPSec}. Emplea mtodos de
autenticacin PPP de nivel de usuario a travs de una conexin que se cifra con !PSec. !PSec requiere una
autenticacin de host mediante el uso del protocolo Kerberos, el secreto compartido o los certificados de equipo.

Mtodo de autenticacin recomendado
Se recomienda emplear L2TP/!PSec con certificados para proteger la autenticacin vPN.
Si se utiliza la autenticacin y el cifrado de la Seguridad del protocolo !nternet (!PSec), la transferencia de datos a
travs de una vPN habilitada para usar L2TP es tan segura como dentro de una LAN unica en una red corporativa.
El cliente vPN y el servidor vPN deben admitir tanto L2TP como !PSec. La compatibilidad del cliente con L2TP se integra
en el cliente de acceso remoto de Windows XP mientras que la del servidor vPN se integra en la familia de Windows
Server 2003.
La compatibilidad del servidor L2TP se instala a la vez que el Servicio de enrutamiento y acceso remoto. Dependiendo
de sus elecciones cuando ejecuta el Asistente para la instalacin del servidor de enrutamiento y acceso remoto, L2TP se
configura para 5 128 puertos L2TP.

Ejemplos de un servidor de acceso remoto con L2TP]IPSec
Dos escenarios habituales en los que se utiliza L2TP/!PSec son:
Proteccin de comunicaciones entre clientes de acceso remoto y la red corporativa a travs de !nternet.
Proteccin de comunicaciones entre sucursales.


Controlar el acceso de los usuarios a una red

Permisos de marcado de cuentas de usuario
Cmo puede controlar los permisos de acceso remoto y el uso
En Windows Server 2003, puede definir y crear directivas de acceso remoto para controlar el nivel de acceso remoto
que un usuario o grupo de usuarios tiene en la red. Las directivas de acceso remoto son un conjunto de condiciones y
opciones de conexin que ofrecen a los administradores de red una mayor flexibilidad a la hora de conceder permisos
de acceso remoto y de uso.
El Servicio de enrutamiento y acceso remoto e !AS, ambos de Windows Server 2003, emplean directivas de acceso
remoto para determinar si se aceptan o rechazan los intentos de conexin.
Windows Server 2003 evalua un intento de conexin basandose en las condiciones de las directivas, permisos de
cuentas de usuario y de acceso remoto, y opciones de perfil de directiva.

Permisos de marcado de cuentas de usuario

Puede definir los permisos de marcado en el cuadro de dialogo Propiedades para un usuario en Active
Directory o en la consola Usuarios y grupos locales. Las propiedades de marcado que puede configurar para
una cuenta de usuario son las siguientes:
Sistemas Operativos II S Profesor: Carlos Garca
Permiso de acceso remoto (marcado o red privada virtual}. Puede emplear esta propiedad para definir que
el permiso de acceso remoto se permita, deniegue o determine explicitamente a travs de directivas de acceso
remoto. En todos los casos, las directivas de acceso remoto se emplean para autorizar el intento de conexin.
Comprobar el Id. de quien llama. Al configurar esta opcin, esta requiriendo que el servidor compruebe el
numero de telfono del autor de la llamada. Si no coincide con el numero de telfono que ha configurado, el
intento de conexin se deniega.
Opciones de devolucin de llamada. Si esta propiedad se habilita, el servidor devuelve la llamada a su autor
durante el proceso de conexin. El numero de telfono que el servidor emplea lo define el autor de la llamada o el
administrador de red.
Asignar una direccin IP esttica. Puede emplear esta propiedad para asignar una direccin !P especifica a un
usuario cuando se efectua una conexin.
Aplicar rutas estticas. Esta opcin esta disenada para enrutamientos de marcado a peticin. Puede utilizar
esta propiedad para definir una serie de rutas !P estaticas que se agregan a la tabla de enrutamiento del servidor
que ejecuta el Servicio de enrutamiento y acceso remoto cuando se efectua una conexin.

Ou es una directiva de acceso remoto

Las directivas de acceso remoto constituyen un conjunto de reglas ordenado que define de qu modo se autorizan o
rechazan las conexiones. Para cada regla, hay una o varias condiciones, una opcin de permiso de acceso remoto y un
conjunto de opciones de perfil.

Componentes de una directiva de acceso remoto
Las directivas de acceso remoto se configuran para especificar, de acuerdo con usuarios individuales o pertenecientes a
un grupo, los diferentes tipos de restricciones en la conexin. Una directiva de acceso remoto consta de los siguientes
tres componentes que operan conjuntamente con Active Directory para ofrecer un acceso seguro a los servidores de
acceso remoto:
Condiciones. Las condiciones de las directivas de acceso remoto son una lista de parametros, como la hora del
dia, grupos de usuarios, identificador del autor de la llamada o direcciones !P, que se comparan con los
parametros del cliente que se conecta al servidor. El primer conjunto de condiciones de directiva que se compara
con los parametros de la solicitud de conexin entrante se procesa para obtener el permiso de acceso y la
configuracin. Si ninguno de los conjuntos de condiciones coincide, el intento de acceso fallara.
Permiso de acceso remoto. Las conexiones de acceso remoto se permiten de acuerdo con una combinacin de
las propiedades de marcado de una cuenta de usuario y directivas de acceso remoto. La configuracin del permiso
en la directiva de acceso remoto funciona con los permisos de marcado del usuario en Active Directory.
Perfil. Cada directiva incluye un perfil de opciones, como protocolos de autenticacin y de cifrado, que se aplican
a la conexin. Las opciones del perfil se aplican a la conexin inmediatamente y podrian ocasionar que sta se
deniegue. Por ejemplo, si las opciones del perfil de una conexin especifican que el usuario solamente puede
conectarse durante 30 minutos cada vez, transcurrido ese tiempo, se desconectara al usuario del servidor de
acceso remoto.
Ejemplo
Por ejemplo, una directiva puede conceder acceso a todos los usuarios del Grupo A de las 8:00 a.m. a las 1/:00 p.m.
No obstante, los permisos para el Usuario X del Grupo A pueden definirse de manera que se le deniegue el acceso en
Active Directory, mientras que los permisos para el Usuario Y del Grupo A pueden definirse para permitirle el acceso en
Active Directory en cualquier momento. Como resultado, la mayor parte de los usuarios del Grupo A estan controlados
mediante la configuracin de la directiva y solamente pueden obtener acceso desde las 8:00 a.m. a las 1/:00 p.m. No
obstante, al Usuario X se le deniega el acceso totalmente y al Usuario se le concede acceso las 2+ horas.




Sistemas Operativos II 9 Profesor: Carlos Garca
Ou es un perfil de directiva de acceso remoto



Un perfil de directiva de acceso remoto es un conjunto de propiedades que se aplican a una conexin cuando se
autoriza, ya sea a travs de una cuenta de usuario o de opciones de configuracin de permisos de directiva. Una vez
autorizada la conexin, el perfil para la directiva de acceso remoto especifica un conjunto de restricciones de conexin.
Las propiedades de marcado de la cuenta de usuario tambin ofrecen un conjunto de restricciones.
Cuando corresponda, las restricciones de conexin de una cuenta de usuario reemplazan a las aplicables al perfil de
directiva de acceso remoto

Elementos de un perfil para una directiva de acceso remoto
El perfil de directiva de acceso remoto especifica qu tipo de acceso se le concede al usuario si las condiciones
coinciden. Solamente se concede acceso si el intento de conexin no entra en conflicto con las opciones de la cuenta de
usuario o el perfil. Puede configurar un perfil en el cuadro de dialogo Modificar el perfil de marcado si hace clic en
Editar perfil en el cuadro de dialogo Propiedades para una directiva. En el cuadro de dialogo puede configurar las
opciones siguientes:
Restricciones de marcado. Puede usar estas opciones para determinar el intervalo de tiempo de inactividad
antes de la desconexin, la duracin maxima de la sesin y los dias, horas, numeros de telfono y tipos de medio
(RDS!, vPN, etctera) permitidos.
Propiedades IP. Puede configurar la asignacin de direcciones !P de un cliente y el filtro de paquetes del
Protocolo de control de transporte/Protocolo !nternet (TCP/!P) en esta ficha. Puede definir filtros independientes
para paquetes entrantes y salientes.
Multivnculo. Con Nultivinculo varios vinculos fisicos aparecen como un unico vinculo lgico a travs del que se
envian y reciben datos. Puede definir propiedades de Nultivinculo que habiliten Nultivinculo y determinen el
numero maximo de puertos que una conexin Nultivinculo puede utilizar. Ademas, puede definir directivas BAP
que determinen el uso de BAP y que especifiquen cuando se descartan las lineas BAP adicionales.
Autenticacin. Puede definir las propiedades de autenticacin para habilitar los tipos de autenticacin permitidos
en una conexin y especificar el tipo de EAP que debe utilizarse. Tambin puede configurar el tipo de EAP. De
manera predeterminada, NS-CHAP y NS-CHAP v2 estan habilitados.
Cifrado. Puede utilizar esta ficha para especificar los tipos de cifrado que estan prohibidos, permitidos o que son
obligatorios.
Opciones avanzadas. Puede definir propiedades avanzadas para especificar la serie de atributos RAD!US que el
servidor !AS envia de vuelta para que el cliente RAD!US los evalue. Los atributos RAD!US sirven para realizar la
autenticacin de RAD!US y los servidores que ejecutan el Servicio de enrutamiento y acceso remoto y que estan
configurados para la autenticacin de Windows los pasan por alto.







Sistemas Operativos II 10 Profesor: Carlos Garca
Cmo se procesan las directivas de acceso remoto


Proceso para emplear acceso remoto
Windows Server 2003 evalua un intento de conexin en funcin de las condiciones de directivas, permisos de usuario y
de acceso remoto, asi como opciones de perfil. El flujo del proceso consta de tres fases basicas que incluyen comprobar
las condiciones en primer lugar, luego los permisos y, por ultimo, el perfil. La primera directiva que reune todas las
condiciones es la que se emplea para la conexin.
Las directivas de acceso remoto se procesan del modo siguiente:
1. Enrutamiento y acceso remoto compara las condiciones de la directiva de acceso remoto y las condiciones de la
conexin intentada:
- Si no hay definida ninguna directiva, el acceso se rechaza.
- Si no hay ninguna directiva que coincida, el acceso se rechaza.
- Si se detecta una coincidencia, la directiva se emplea para determinar
el acceso.
2. Enrutamiento y acceso remoto comprueba los permisos de marcado de la cuenta de usuario:
- Si el permiso de la cuenta de usuario esta definido como Denegar acceso, se rechaza el acceso del usuario.
- Si el permiso de la cuenta de usuario esta definido como Permitir acceso, se concede acceso al usuario
y se aplica el perfil de la directiva.
- Si el permiso esta definido como Controlar acceso a travs de la directiva de acceso remoto,
la configuracin de permisos de la directiva determina el acceso del usuario.
3. Enrutamiento y acceso remoto aplica las opciones del perfil de la directiva a la conexin entrante.
- La conexin puede que no se permita si una opcin crucial del perfil no coincide con la del servidor de
acceso remoto. Por ejemplo, el perfil para una conexin entrante puede especificar que un grupo solamente
puede conectarse por la noche. Si un usuario de ese grupo intenta conectarse durante el dia, el intento
de conexin se rechazara.
- La conexin puede desconectarse posteriormente debido a una opcin del perfil, como una restriccin del
tiempo de conexin.

Centralizar la autenticacin de acceso a la red y la administracin de
directivas mediante IAS

Motivos para centralizar la administracin de directivas y la autenticacin de acceso a la red
Actualmente, la seguridad en el acceso a la red debe ser exhaustiva para garantizar al maximo un acceso apropiado a
socios empresariales, asesores y empleados. De este modo, las organizaciones necesitan conceder diferentes niveles de
acceso a la red segun el tipo de usuario, las credenciales que utiliza, el modo en que se conecta, el nivel de cifrado
utilizado en la conexin, la hora del dia, etctera. Para ello se requiere un sistema de administracin centralizada de
directivas y autenticacin de acceso a la red capaz de satisfacer las exigencias de las grandes redes.
El Servicio de usuario de acceso telefnico de autenticacin remota (RAD!US, Remote Authentication Dial-!n User
Service) se ha convertido en un estandar para efectuar la autenticacin y administracin de directivas de acceso a la
red.



Sistemas Operativos II 11 Profesor: Carlos Garca
Ou es RADIUS
RAD!US es un protocolo ampliamente utilizado que se basa en el modelo cliente-servidor y que permite realizar la
autenticacin, la autorizacin y la administracin de cuentas de forma centralizada para el acceso a la red.

Finalidad de RADIUS
Desarrollado en un principio para las soluciones de marcado, el protocolo RAD!US ha evolucionado hasta convertirse en
el estandar de administracin de acceso a la red para vPN, acceso telefnico y redes inalambricas. Nediante una
integracin minuciosa de este servicio de administracin para directivas de acceso a la red con los servicios de identidad
del sistema operativo, asi como la incorporacin de numerosas y completas funciones para el procesamiento de reglas
RAD!US, podra administrar el acceso a la red de manera centralizada y en numerosos tipos de acceso a la red.

Ou es un servidor RADIUS
Un servidor RAD!US recibe y procesa solicitudes de conexin o mensajes de administracin de cuentas que los clientes
RAD!US o los servidores Proxy RAD!US envian. En el caso de solicitudes de conexin, el servidor RAD!US procesa la
lista de atributos RAD!US en la solicitud de conexin. De acuerdo con un conjunto de reglas y la informacin de la base
de datos de cuentas de usuario, el servidor RAD!US autentica y autoriza la conexin y devuelve un mensaje de
Aceptacin de acceso o de Rechazo de acceso.

Ou es un cliente RADIUS
Un cliente RAD!US puede ser un proxy RAD!US o un servidor de acceso, como un servidor de acceso telefnico, un
servidor vPN o un punto de acceso inalambrico. El cliente RAD!US recibe solicitudes de autorizacin del cliente de
acceso remoto para el acceso a la red y las remite al servidor RAD!US para que las compruebe.

Ou es un Proxy RADIUS
Un proxy RAD!US puede configurarse en una infraestructura que tenga varios servidores RAD!US disponibles para
autorizar solicitudes de acceso. Un Proxy RAD!US recibe una solicitud de autorizacin de un cliente RAD!US, determina
el servidor RAD!US apropiado y le reenvia la solicitud de autorizacin. Por ejemplo, diversas organizaciones pueden
subcontratar su conexin de acceso telefnico a un !SP. Cuando un cliente marca al !SP, se conecta a un cliente
RAD!US que transmite la solicitud de autorizacin al proxy RAD!US.
El proxy RAD!US determina a qu organizacin pertenece el usuario y, a continuacin, remite la solicitud a esa
organizacin para proceder a la autenticacin de la conexin de acceso telefnico del usuario.

Ou es IAS

Definicin
El componente Servicio de autenticacin de !nternet (!AS) de Windows Server 2003 es un servidor RAD!US que cumple
los estandares del sector. !AS realiza la autenticacin, autorizacin, auditoria y administracin de cuentas de conexiones
de forma centralizada en conexiones vPN, de acceso telefnico e inalambrico.

Motivos para utilizar IAS
Nediante el uso de !AS puede administrar y controlar de manera centralizada el acceso remoto e inalambrico a una red,
ademas de efectuar un seguimiento de las estadisticas de uso. Tambin puede administrar permisos de acceso remoto
y propiedades de conexin de manera centralizada.
Si tiene mas de un servidor de acceso remoto o inalambrico, en lugar de administrar las directivas de acceso de todos
los servidores de acceso por separado, puede configurar un servidor unico con !AS como servidor RAD!US y configurar
los servidores de acceso remoto como clientes RAD!US.
Cuando un servidor !AS es miembro de un dominio de Active Directory, !AS emplea el servicio de directorio como su
base de datos de cuentas de usuario y forma parte de una solucin que permite el inicio de sesin unico.
El mismo conjunto de credenciales se utiliza para el control de acceso a la red (autenticacin y autorizacin del acceso a
una red) y para el inicio de sesin en un dominio de Active Directory.
!AS interopera con dispositivos de acceso a la red de numerosos proveedores. Las organizaciones que deseen crear un
sistema de autenticacin integrado que autentique de manera segura a los usuarios en un directorio unico,
independientemente del mtodo de acceso o del dispositivo que estn utilizando, pueden obtener ventajas con el uso
de !AS.



Sistemas Operativos II 12 Profesor: Carlos Garca
Ejemplos
Puede configurar !AS para que admita diversos escenarios corporativos, como los siguientes:
Acceso telefnico corporativo. Puede configurar !AS para que admita a empleados remotos con conexiones de
acceso telefnico autenticadas de manera que el servidor !AS pueda proporcionar acceso a los empleados en
funcin del grupo al que pertenezcan.
Acceso a extranet para socios empresariales. Puede configurar !AS para que permita a los socios
corporativos un acceso limitado a recursos especificos de la red y a la vez proteger otros recursos frente a un
acceso no autorizado.
Acceso a Internet. Puede configurar !AS para que admita conexiones de acceso telefnico autenticadas por el
cliente a un !SP, de manera que el servidor !AS conceda acceso a los clientes de acuerdo con el plan de servicio
que tengan subscrito.
Acceso corporativo subcontratado a travs de proveedores de servicio. Puede utilizar !AS para una
organizacin que emplea un !SP que proporciona la infraestructura de acceso remoto, pero donde la organizacin
mantiene el control sobre la autenticacin, autorizacin y administracin de cuentas. Cuando un empleado se
conecta al servidor de acceso remoto en el !SP, los registros de autenticacin y de uso se remiten al servidor !AS
de la organizacin. El servidor !AS permite que la organizacin controle la autenticacin de usuarios, efectue un
seguimiento del uso y supervise a qu empleados se les permite el acceso a la red.

Cmo funciona la autenticacin centralizada



El proceso de autenticacin y autorizacin centralizadas
En los siguientes pasos se describe el proceso basico que emplean los servidores de acceso a la red, un servidor
RAD!US y los clientes RAD!US para efectuar la autenticacin y autorizacin:
1. Un usuario se conecta a un servidor de acceso a la red (un equipo basado en Windows que esta configurado con
el Servicio de enrutamiento y acceso remoto) mediante una conexin vPN, de acceso telefnico o inalambrica.
2. El servidor de acceso a la red reenvia las solicitudes de autenticacin a un servidor RAD!US (!AS). (El servidor de
acceso a la red actua como cliente RAD!US.) Si la comprobacin de la firma digital es correcta, el servidor !AS
consulta al controlador de dominio.
3. El servidor RAD!US (!AS) tiene acceso a la informacin de cuentas de usuario en un controlador de dominio y
comprueba las credenciales de autenticacin de acceso remoto. (El servidor !AS realiza las funciones de un
servidor RAD!US.)
+. Si las credenciales del usuario se autentican, el servidor !AS evalua el intento de conexin comparandolo con las
directivas de acceso remoto configuradas y las propiedades de marcado de la cuenta del usuario para decidir si
autoriza la solicitud. Si el intento de conexin cumple las condiciones de al menos una directiva y las propiedades
de marcado de cuenta, !AS devuelve un mensaje RAD!US de Aceptacin de acceso al servidor de acceso a la
red que envi la solicitud de autenticacin. Si el intento de conexin no se autentica o no se autoriza, !AS devuelve
un mensaje RAD!US de Rechazo de acceso al servidor de acceso a la red y el intento de conexin se rechaza.




Sistemas Operativos II 13 Profesor: Carlos Garca

Infraestructura de autenticacin RADIUS

A pesar de que puede crear y administrar varios mtodos de autenticacin para las conexiones de acceso a la red, esta
estrategia puede acarrear una gran cantidad de actividad administrativa.
Para solucionar este problema, puede utilizar el servidor !AS para proporcionar una infraestructura de autenticacin
RAD!US para autenticar todos los clientes de acceso a la red (vPN, acceso telefnico e inalambricos) en una sola
ubicacin.

Autenticacin del servidor IAS y RADIUS
El servidor !AS proporciona una ubicacin central para todas las directivas de acceso remoto, lo que permite administrar
con mas facilidad los perfiles, las configuraciones y las restricciones de conexin.
Despus de instalar la infraestructura RAD!US, puede configurar los servidores de acceso a la red (que incluyen los
servidores que ejecutan el servicio Enrutamiento y acceso remoto y los puntos de acceso inalambrico) para que utilicen
el servidor !AS para realizar todas las tareas de autenticacin de la red.

Autenticacin de Active Directory
La autenticacin que se proporciona en Active Directory incluye una infraestructura de autenticacin Kerberos v5 que
funciona de forma continua en segundo plano y requiere una configuracin y una administracin minimas.
La autenticacin NTLN tambin ofrece los mismos beneficios. Ambos mtodos de autenticacin forman parte de la
autenticacin integrada del sistema operativo.

Autenticacin de acceso a la red
La autenticacin no esta tan claramente definida para las opciones de acceso remoto (vPN, de acceso telefnico e
inalambrico). Cada servidor de acceso a la red puede convertirse en su propio foco de autenticacin, lo que requiere
una configuracin y administracin separadas que puedan dar lugar a diferentes directivas y valores de configuracin
en cada servidor de acceso.
Si tiene diferentes directivas y valores de configuracin en cada servidor puede dar pie a que los usuarios obtengan
resultados diferentes, en funcin del servidor de acceso al que se conecte el usuario. En esta situacin, los requisitos de
acceso remoto pueden suponer una carga adicional para el personal administrativo, lo que puede dar como resultado
brechas en la seguridad del servidor de acceso a la red.

Directrices para elegir mtodos de conexin de acceso a la red

Antes de elegir un mtodo de conexin de acceso a la red, debe tener en cuenta los requisitos de infraestructura y de
cliente de su infraestructura de redes. Es necesario que tenga en cuenta los requisitos siguientes:
Los requisitos de usuario remoto pueden incluir un ancho de banda adecuado, conexiones seguras, movilidad y
confiabilidad.
Los requisitos de la infraestructura de redes pueden incluir servicios y recursos que cuenten con una alta
disponibilidad, confiabilidad y seguridad.

Seleccin de una estrategia de acceso a la red
Una vez que haya determinado los requisitos de acceso a la red, debe repasar la siguiente tabla y elegir una estrategia
adecuada de acceso a la red. La tabla clasifica cada uno de los requisitos segun la siguiente valoracin: alta, media y
baja. En esta tabla no se presentan todos los requisitos, puesto que pueden depender de varios factores que escapan
de su control.







Sistemas Operativos II 14 Profesor: Carlos Garca
Condiciones de una directiva de acceso remoto

Las condiciones de una directiva de acceso remoto son una lista de parametros, como por ejemplo la hora del dia, los
grupos de usuarios, los identificadores (!d.) del autor de la llamada o las direcciones !P (Protocolo !nternet), que se
comparan con los parametros del cliente que se conecta al servidor. El primer conjunto de condiciones de una directiva
que se compara con los parametros de la solicitud de conexin entrante se procesa para obtener el permiso de acceso y
la configuracin.

Atributos de condicin de una directiva de acceso remoto
Estos son los dos atributos de condicin que se utilizan con mas frecuencia:
El atributo de condicin NAS-Port-Type, que puede utilizar para especificar el tipo de conexin de red
mediante NAS
Port-Type, permite especificar una conexin Ethernet, inalambrica, mdem, vPN, etc.
Puede utilizar el atributo de condicin Windows-Groups para especificar el grupo de usuarios en el que
desea aplicar una directiva. Por ejemplo, puede combinar las condiciones NAS-Port-Type y Windows-
Groups para aplicar una directiva a todos los miembros del departamento de ventas que se conectan a
travs del tunel de vPN.




































Sistemas Operativos II 15 Profesor: Carlos Garca
Otros atributos de condicin
Para la estrategia de acceso a la red tal vez sea necesario que especifique otras muchas condiciones. Puede utilizar la
siguiente tabla de atributos para comparar las solicitudes con las condiciones.



Sistemas Operativos II 16 Profesor: Carlos Garca
Seleccin de un mtodo de autenticacin de acceso a la red
Modelos y mtodos de autenticacin de servidor



Si para la estrategia de acceso a la red se necesita autenticacin centralizada, debe elegir un modelo de autenticacin
que proporcione la menor sobrecarga posible. Puede elegir entre varios modelos de autenticacin.
Autenticacin Windows
Aunque la autenticacin Windows resulte facil de instalar y utilizar, se ha integrado en la familia Windows Server 2003,
lo que puede dar lugar a ubicaciones aisladas de autenticacin de acceso a la red, cada una de las cuales necesitara
una configuracin de administracin y de directiva diferentes.
Un servidor Windows Server 2003 que ejecute el servicio Enrutamiento y acceso remoto puede utilizar una base de
datos local o una base de datos de cuentas de dominio para autenticar el acceso remoto o las credenciales de marcado
a peticin. Una base de datos de cuentas de dominio puede ser una base de datos Active Directory o una base de datos
de cuentas de dominio Windows NT +.0. El servidor registra la informacin de autenticacin de la conexin en archivos
de registro que se han configurado en las propiedades de la carpeta Registro de acceso remoto.

Autenticacin del servidor RADIUS
En varios entornos, se utiliza RAD!US para la autenticacin. El servidor RAD!US comprueba las credenciales de
autenticacin de acceso remoto de las cuentas de usuario y registra los sucesos de cuentas de acceso remoto.
Utilizar RAD!US es una excelente manera de centralizar la solucin de autenticacin. No slo podra centralizar la
autenticacin y las directivas para todos los servidores de acceso a la red tradicional (como los servidores que ejecutan
Enrutamiento y acceso remoto), sino que tambin podra facilitar autenticacin y directivas para otros tipos de
dispositivos y servidores de acceso a la red (servidores vPN, puntos de acceso inalambrico, modificadores, etc.).
Los puntos de acceso inalambrico pueden utilizar varios mecanismos de autenticacin diferentes. Pueden utilizar la
autenticacin definida en la especificacin 802.11 (no se recomienda) o pueden utilizar 802.1x junto con un servidor
RAD!US.
Mtodos de autenticacin 802.11
En la tabla siguiente se muestran y describen los mtodos de autenticacin disponibles en la especificacin 802.11.
Autenticacin S02.11
La autenticacin de sistema abierto no proporciona autenticacin; slo ofrece identificacin mediante la direccin NAC
(Control de acceso a medios) del adaptador inalambrico. Utilice la autenticacin de sistema abierto cuando no se
requiera ninguna autenticacin. La autenticacin de sistema abierto es el algoritmo predeterminado de autenticacin de
la autenticacin 802.11.
La autenticacin de clave compartida comprueba que una estacin de inicio de autenticacin conozca una clave secreta
compartida. Este tipo de autenticacin es similar a la autenticacin de clave previamente compartida para !PSec. El
estandar 802.11 ahora asume que la clave secreta compartida se entrega a los clientes inalambricos participantes
mediante un canal seguro que es independiente de !EEE 802.11. En el ejercicio practico, esta clave secreta se escribe
manualmente en el punto de acceso inalambrico y en el cliente inalambrico.
S02.1x
802.1x utiliza EAP para comunicar informacin de autenticacin entre el cliente inalambrico y el punto de acceso
inalambrico. A continuacin, se configura el punto de acceso inalambrico para establecer comunicacin con un servidor
RAD!US y se reenvian los mensajes EAP entre el cliente inalambrico y el servidor RAD!US.
Esta forma de autenticacin para clientes inalambricos es la mas segura porque utiliza un EAP flexible y se adapta
mejor a las ampliaciones que las soluciones 802.11.