Para mantener una comunicacin eficaz y conectar ubicaciones remotas, las organizaciones necesitan instalar y administrar una infraestructura de acceso a la red que sea segura.
Componentes de una infraestructura de acceso a la red
Para proporcionar una infraestructura de acceso a la red segura, un administrador debe conocer los siguientes componentes basicos que la conforman: Servidor de acceso a la red Clientes de acceso a la red Servicio de autenticacin Servicio de directorio Active Directory
Servidor de acceso a la red El Servicio de enrutamiento y acceso remoto de Nicrosoft permite un acceso no tradicional a una red. Si configura dicho servicio para que actue como servidor de acceso remoto, puede conectar trabajadores remotos a las redes de una organizacin. El servidor de acceso remoto para estos clientes no tradicionales autentica las sesiones de los usuarios y los servicios hasta que el usuario o el administrador de la red los termina. Los usuarios remotos pueden trabajar como si sus equipos estuvieran conectados a la red fisicamente.
Clientes de acceso a la red Un servidor de acceso a la red proporciona conectividad de acceso a la red para clientes vPN y de acceso telefnico. Estos clientes de acceso a la red pueden emplear herramientas estandar para poder usar los recursos. Por ejemplo, en un servidor configurado con el Servicio de enrutamiento y acceso remoto, los clientes remotos pueden utilizar el Explorador de Windows para efectuar conexiones a las unidades y conectarse a las impresoras. Las conexiones son persistentes, de manera que los clientes no necesitan volverse a conectar a los recursos de red durante las sesiones remotas.
Servicio de autenticacin Al permitir un mayor acceso a la red, es necesario aumentar el nivel de seguridad de la misma para protegerla frente a un acceso no autorizado e impedir el uso de los activos internos. Puede ayudar a proteger la red incorporando una autenticacin segura para validar la identidad, ademas de configurar un cifrado de alta seguridad para proteger los datos. Por lo general, los mtodos de autenticacin emplean un protocolo de autenticacin que se negocia durante el proceso de establecimiento de una conexin. El servidor de acceso remoto (un servidor configurado con el Servicio de enrutamiento y acceso remoto) controla la autenticacin entre el cliente de acceso remoto y el controlador de dominio. Si posee multiples servidores de acceso a la red, puede centralizar la autenticacin con el Servicio de usuario de acceso telefnico de autenticacin remota (RAD!US) para autenticar y autorizar a los clientes de acceso a la red. El uso de RAD!US evita que cada servidor de acceso a la red de su red tenga que realizar los procesos de autenticacin y autorizacin.
Sistemas Operativos II 2 Profesor: Carlos Garca Active Directory Los dominios de Active Directory contienen las cuentas de usuario, contrasenas y propiedades de acceso telefnico necesarias para autenticar las credenciales del usuario y evaluar las restricciones tanto de autorizacin como de conexin. Cuando un cliente se conecta a la red, el administrador puede controlar su acceso a los recursos mediante diversos controles administrativos tanto en el equipo cliente como en los servidores de acceso a la red. Entre estos controles administrativos se incluyen Compartir impresoras y archivos, Directiva de grupo local y Directiva de grupo a travs del servicio Active Directory.
Requisitos de configuracin para un servidor de acceso a la red
Definicin: Un servidor de acceso a la red es aquel que actua como puerta de enlace a una red para un cliente. En este mdulo, el servidor de acceso a la red es un servidor configurado con el Servicio de enrutamiento y acceso remoto y tambin se puede hacer referencia a l como servidor de acceso remoto (en las conexiones de acceso telefnico) o como servidor vPN, dependiendo del tipo de conexin que est configurado para negociar.
Requisitos de configuracin: Cuando el Servicio de enrutamiento y acceso remoto se habilita inicialmente en un servidor, aparece el Asistente para enrutamiento y acceso remoto, que proporciona instrucciones en pantalla para ayudarle a configurar correctamente el servidor de acceso a la red. La informacin que necesita para configurar el servidor de acceso a la red incluye lo siguiente: Si el servidor va a actuar como enrutador, como servidor de acceso remoto o ambos. Los mtodos de autenticacin y proveedores que se emplearan. Si un cliente remoto puede tener acceso solamente a ese servidor o a toda la red. Cmo se asignaran las direcciones de Protocolo !nternet (!P) a los clientes que se conectan. Opciones de configuracin del Protocolo punto a punto (PPP). Preferencias de registro de sucesos.
Ou es un cliente de acceso a la red La administracin de una red informatica requiere que los administradores pongan los recursos de red a disposicin de los usuarios que no estan conectados directamente a la LAN. Estos usuarios pueden ser empleados, contratistas, socios, proveedores o clientes, y pueden necesitar un acceso a la red a travs de marcado, !nternet o conexiones inalambricas. Como administrador de sistemas, su responsabilidad es configurar un acceso seguro para los usuarios que tengan permiso para conectarse a la red y denegar el acceso a aquellos usuarios que no cuenten con dicho permiso. Por lo tanto, debe saber cmo configurar y proteger el servidor de acceso a la red para los siguientes mtodos de acceso: Red privada virtual Acceso remoto mediante acceso telefnico Acceso inalambrico
Cliente VPN
Un cliente vPN se conecta a una red a travs de una red compartida o publica,como !nternet, de manera que simula un vinculo punto a punto en una red privada.
Cliente de acceso telefnico Un cliente de acceso telefnico se conecta a una red mediante una red de comunicaciones, como la Red telefnica publica conmutada (PSTN, Public Switched Telephone Network), para crear una conexin fisica a un puerto en un servidor de acceso remoto en una red privada. Esta conexin puede efectuarse con diferentes tecnologias, como puede ser un mdem, un adaptador de Red digital de servicios integrados (RDS!, !ntegrated Services Digital Network) o un adaptador de Linea de suscriptor digital (DSL, Digital Subscriber Line) para marcar al servidor de acceso remoto.
Cliente inalmbrico Un cliente inalambrico se conecta a una red con tecnologias de infrarrojos o de radiofrecuencia optimizadas para conexiones de corto alcance. Entre los dispositivos que suelen utilizarse para el acceso inalambrico a red se incluyen los equipos portatiles, los equipos de bolsillo, los asistentes personales digitales (PDA, Personal Digital Assistant), los telfonos mviles, los equipos basados en lapiz y los localizadores, o .buscas..
Sistemas Operativos II 3 Profesor: Carlos Garca Ou son la autenticacin y la autorizacin de acceso a la red
La autenticacin de acceso a la red protege dicho acceso Al permitir un mayor acceso a la red, las organizaciones necesitan garantizar un nivel de seguridad suficiente para protegerse de los accesos no autorizados y del uso de los activos internos. En las conexiones vPN, de acceso telefnico e inalambricas, Nicrosoft Windows Server. 2003 implementa la autenticacin en dos procesos: inicio de sesin interactivo y autorizacin de la red. Ambos deben completarse correctamente para que un usuario pueda tener acceso a los recursos de la red.
Diferencia entre autenticacin y autorizacin La distincin entre autenticacin y autorizacin es importante para comprender de qu modo se aceptan o rechazan los intentos de conexin. La autenticacin es la validacin de las credenciales durante un intento de conexin. Este proceso de inicio de sesin consiste en enviar las credenciales desde el cliente de acceso a la red (por ejemplo, un nombre y contrasena) al servidor de acceso a la red ya sea en texto sin formato o de forma cifrada con un protocolo de autenticacin. La identificacin del usuario se reenvia posteriormente a una cuenta de dominio para confirmarse. La autorizacin consiste en la comprobacin de que el intento de conexin se ha permitido. Una vez autenticado el cliente remoto, se permite o rechaza el acceso de acuerdo con las credenciales de la cuenta y las directivas de acceso remoto. La autorizacin solamente puede producirse tras un intento de inicio de sesin correcto. Si el inicio de sesin falla, se rechaza el acceso del usuario.
Aceptacin o rechazo de un intento de conexin Para que un intento de conexin se acepte, debe autenticarse y autorizarse. Es posible que el intento de conexin se autentique con credenciales validas, pero que no se autorice. Cuando la autenticacin se supera pero la autorizacin falla, el intento de conexin se rechaza. Si el servidor de acceso a la red se configura como el proveedor de autenticacin de Windows, Windows Server 2003 realiza la autenticacin de las credenciales del usuario. Las propiedades de acceso telefnico de la cuenta de usuario y las directivas de acceso remoto almacenadas localmente permiten la autorizacin del intento de conexin. Un intento de conexin se acepta si se autentica y se autoriza.
Mtodos de autenticacin disponibles La autenticacin de clientes de acceso remoto es un aspecto de seguridad importante. Generalmente, los mtodos de autenticacin emplean un protocolo de autenticacin que se negocia durante el proceso de establecimiento de la conexin. La familia de Windows Server 2003 admite los siguiente mtodos de autenticacin.
Sistemas Operativos II 4 Profesor: Carlos Garca
Sistemas Operativos II 5 Profesor: Carlos Garca
Autenticacin EAP El Protocolo de autenticacin extensible (EAP) ofrece un marco que permite la autenticacin personalizada a los servidores de acceso remoto. El mtodo de autenticacin especifico se negocia entre el cliente y el servidor de acceso remoto. Tanto el cliente de acceso remoto como el autenticador deben tener instalado el mismo mdulo de autenticacin EAP. Los proveedores independientes pueden emplear las interfaces de programacin de aplicaciones (AP!) de EAP para crear nuevos tipos de EAP que podrian incluir tecnologias como tarjetas testigo o biomtrica.
Mtodo de autenticacin recomendado El uso de certificados y tarjetas inteligentes para la autenticacin de usuarios es la forma mas segura de autenticacin remota en la familia de Windows Server 2003. Las tarjetas inteligentes son un mtodo versatil y a prueba de alteraciones para proporcionar soluciones de seguridad para tareas, como el inicio de sesin en un dominio de la familia de Nicrosoft Windows Server 2003, la conexin a un servidor de acceso remoto y la proteccin del correo electrnico. El uso de certificados de tarjeta inteligente para la autenticacin de usuarios requiere una infraestructura de clave publica (PK!). Para utilizar tarjetas inteligentes en la autenticacin del acceso remoto, debera hacer lo siguiente: Configurar el acceso remoto en el servidor de acceso remoto. !nstalar un certificado de equipo en el equipo servidor para el acceso remoto. Configurar la tarjeta inteligente u otro tipo de EAP de certificado (TLS) en las directivas de acceso remoto. Habilitar la autenticacin mediante tarjeta inteligente en la conexin vPN o de acceso telefnico en el cliente de acceso remoto.
Cmo funciona una conexin VPN
El Servicio de enrutamiento y acceso remoto proporciona servicios vPN para que los usuarios puedan tener acceso a las redes corporativas de una manera segura al cifrar los datos transmitidos a travs de una red de transporte no segura, como !nternet.
Sistemas Operativos II 6 Profesor: Carlos Garca Ou es una VPN Una conexin vPN amplia las capacidades de una red privada para abarcar vinculos a travs de redes compartidas o publicas, como !nternet. Con una vPN puede enviar datos cifrados entre dos equipos a travs de una red compartida o publica simulando un vinculo punto a punto en una red privada. Para simular un vinculo punto a punto, los datos se encapsulan, o empaquetan, con un encabezado que ofrece informacin de enrutamiento y que les permite atravesar la red compartida o publica para alcanzar su punto final. Para simular un vinculo privado, los datos se cifran con el fin de garantizar la confidencialidad. Los paquetes que se interceptan en la red compartida o publica no pueden leerse sin las claves de cifrado. El vinculo donde se encapsulan y se cifran los datos privados es una conexin vPN. La conexin vPN tambin se conoce como tunel vPN.
Proceso de conexin VPN El proceso de una conexin vPN se describe en los siguientes pasos: 1. Un cliente vPN realiza una conexin vPN a un servidor de acceso remoto o servidor vPN que esta conectado a !nternet. (El servidor vPN actua como puerta de enlace y normalmente se configura de modo que proporcione acceso a la red completa a la que esta conectado el servidor vPN.) 2. El servidor vPN responde a la llamada virtual. 3. El servidor vPN autentica al autor de la llamada y comprueba su autorizacin para conectar. 4. El servidor vPN transfiere datos entre el cliente vPN y la red corporativa.
Ventajas de una VPN Las vPN permiten a los usuarios o corporaciones conectarse a servidores remotos, sucursales o a otras organizaciones a travs de una red publica, a la vez que mantiene comunicaciones seguras. En todos estos casos, la conexin segura se muestra al usuario como una comunicacin de red privada, a pesar de que la comunicacin se efectua a travs de una red publica. Otras ventajas son: Beneficios en los costos. vPN no emplea una linea telefnica y requiere menos hardware (el proveedor de servicios !nternet (!SP) se encarga de mantener el hardware de comunicaciones). Seguridad mejorada. Los datos confidenciales se ocultan a los usuarios no autorizados, pero resultan accesibles a los autorizados a travs de la conexin. El servidor vPN obliga a la autenticacin y el cifrado. Compatibilidad de protocolos de red. Puede ejecutar remotamente cualquier aplicacin que dependa de los protocolos de red mas comunes, como Protocolo de control de transporte/Protocolo !nternet (TCP/!P, Transmisin Control Protocol/!nternet Protocol). Seguridad de las direcciones !P. Dado que la informacin enviada a travs de una vPN se cifra, las direcciones que usted especifica se protegen y el trafico transmitido a travs de !nternet solamente tendra la direccin !P externa visible. No se incurre en costos administrativos por tener que cambiar las direcciones !P para el acceso remoto a travs de !nternet.
Componentes de una conexin VPN
Componentes de una conexin VPN Una conexin vPN incluye los siguientes componentes: Servidor vPN. Equipo que acepta conexiones vPN de clientes vPN, como un servidor configurado con el Servicio de enrutamiento y acceso remoto. Cliente VPN. Equipo que inicia una conexin vPN a un servidor vPN. Red de trnsito. La red compartida o publica por la que pasan los datos encapsulados. Conexin o tnel VPN. La parte de la conexin donde los datos se cifran y se encapsulan. Protocolos de tnel. Los protocolos que se utilizan para administrar tuneles y encapsular datos privados, por ejemplo, Protocolo de tunel punto a punto (PPTP, Point-to-Point Tunneling Protocol). Datos de tnel. Los datos que suelen enviarse a travs de un vinculo punto a punto privado. Sistemas Operativos II 7 Profesor: Carlos Garca Autenticacin. La identidad del cliente y del servidor en una conexin vPN se autentican. Para garantizar que los datos recibidos se originan en el otro extremo de la conexin y que no se han interceptado ni modificado, una vPN tambin autentica los datos que se han enviado. Asignacin de servidores de direcciones y nombres. El servidor vPN es el responsable de la asignacin de direcciones !P y lo hace con el protocolo predeterminado, Protocolo de configuracin dinamica de host (DHCP, Dynamic Host Configuration Protocol), o a partir de un conjunto estatico que crea el administrador. El servidor vPN tambin asigna a los clientes direcciones del servidor de Sistema de nombres de dominio (DNS) y Servicio de nombres !nternet de Windows (W!NS). Los servidores de nombres asignados son aquellos que proporcionan servicios a la intranet con la que se interconecta el servidor vPN.
Protocolos de cifrado para una conexin VPN
Protocolos de tnel Para proteger la comunicacin, la familia de Windows Server 2003 emplea dos tipos de protocolos de tunel (de cifrado): Protocolo de tnel punto a punto (PPTP}. Emplea los mtodos de autenticacin PPP de usuario y Cifrado punto a punto de Nicrosoft (NPPE, Nicrosoft Point-to-Point Encryption) para el cifrado de datos. Protocolo de tnel de capa dos con seguridad del protocolo Internet (L2TP]IPSec}. Emplea mtodos de autenticacin PPP de nivel de usuario a travs de una conexin que se cifra con !PSec. !PSec requiere una autenticacin de host mediante el uso del protocolo Kerberos, el secreto compartido o los certificados de equipo.
Mtodo de autenticacin recomendado Se recomienda emplear L2TP/!PSec con certificados para proteger la autenticacin vPN. Si se utiliza la autenticacin y el cifrado de la Seguridad del protocolo !nternet (!PSec), la transferencia de datos a travs de una vPN habilitada para usar L2TP es tan segura como dentro de una LAN unica en una red corporativa. El cliente vPN y el servidor vPN deben admitir tanto L2TP como !PSec. La compatibilidad del cliente con L2TP se integra en el cliente de acceso remoto de Windows XP mientras que la del servidor vPN se integra en la familia de Windows Server 2003. La compatibilidad del servidor L2TP se instala a la vez que el Servicio de enrutamiento y acceso remoto. Dependiendo de sus elecciones cuando ejecuta el Asistente para la instalacin del servidor de enrutamiento y acceso remoto, L2TP se configura para 5 128 puertos L2TP.
Ejemplos de un servidor de acceso remoto con L2TP]IPSec Dos escenarios habituales en los que se utiliza L2TP/!PSec son: Proteccin de comunicaciones entre clientes de acceso remoto y la red corporativa a travs de !nternet. Proteccin de comunicaciones entre sucursales.
Controlar el acceso de los usuarios a una red
Permisos de marcado de cuentas de usuario Cmo puede controlar los permisos de acceso remoto y el uso En Windows Server 2003, puede definir y crear directivas de acceso remoto para controlar el nivel de acceso remoto que un usuario o grupo de usuarios tiene en la red. Las directivas de acceso remoto son un conjunto de condiciones y opciones de conexin que ofrecen a los administradores de red una mayor flexibilidad a la hora de conceder permisos de acceso remoto y de uso. El Servicio de enrutamiento y acceso remoto e !AS, ambos de Windows Server 2003, emplean directivas de acceso remoto para determinar si se aceptan o rechazan los intentos de conexin. Windows Server 2003 evalua un intento de conexin basandose en las condiciones de las directivas, permisos de cuentas de usuario y de acceso remoto, y opciones de perfil de directiva.
Permisos de marcado de cuentas de usuario
Puede definir los permisos de marcado en el cuadro de dialogo Propiedades para un usuario en Active Directory o en la consola Usuarios y grupos locales. Las propiedades de marcado que puede configurar para una cuenta de usuario son las siguientes: Sistemas Operativos II S Profesor: Carlos Garca Permiso de acceso remoto (marcado o red privada virtual}. Puede emplear esta propiedad para definir que el permiso de acceso remoto se permita, deniegue o determine explicitamente a travs de directivas de acceso remoto. En todos los casos, las directivas de acceso remoto se emplean para autorizar el intento de conexin. Comprobar el Id. de quien llama. Al configurar esta opcin, esta requiriendo que el servidor compruebe el numero de telfono del autor de la llamada. Si no coincide con el numero de telfono que ha configurado, el intento de conexin se deniega. Opciones de devolucin de llamada. Si esta propiedad se habilita, el servidor devuelve la llamada a su autor durante el proceso de conexin. El numero de telfono que el servidor emplea lo define el autor de la llamada o el administrador de red. Asignar una direccin IP esttica. Puede emplear esta propiedad para asignar una direccin !P especifica a un usuario cuando se efectua una conexin. Aplicar rutas estticas. Esta opcin esta disenada para enrutamientos de marcado a peticin. Puede utilizar esta propiedad para definir una serie de rutas !P estaticas que se agregan a la tabla de enrutamiento del servidor que ejecuta el Servicio de enrutamiento y acceso remoto cuando se efectua una conexin.
Ou es una directiva de acceso remoto
Las directivas de acceso remoto constituyen un conjunto de reglas ordenado que define de qu modo se autorizan o rechazan las conexiones. Para cada regla, hay una o varias condiciones, una opcin de permiso de acceso remoto y un conjunto de opciones de perfil.
Componentes de una directiva de acceso remoto Las directivas de acceso remoto se configuran para especificar, de acuerdo con usuarios individuales o pertenecientes a un grupo, los diferentes tipos de restricciones en la conexin. Una directiva de acceso remoto consta de los siguientes tres componentes que operan conjuntamente con Active Directory para ofrecer un acceso seguro a los servidores de acceso remoto: Condiciones. Las condiciones de las directivas de acceso remoto son una lista de parametros, como la hora del dia, grupos de usuarios, identificador del autor de la llamada o direcciones !P, que se comparan con los parametros del cliente que se conecta al servidor. El primer conjunto de condiciones de directiva que se compara con los parametros de la solicitud de conexin entrante se procesa para obtener el permiso de acceso y la configuracin. Si ninguno de los conjuntos de condiciones coincide, el intento de acceso fallara. Permiso de acceso remoto. Las conexiones de acceso remoto se permiten de acuerdo con una combinacin de las propiedades de marcado de una cuenta de usuario y directivas de acceso remoto. La configuracin del permiso en la directiva de acceso remoto funciona con los permisos de marcado del usuario en Active Directory. Perfil. Cada directiva incluye un perfil de opciones, como protocolos de autenticacin y de cifrado, que se aplican a la conexin. Las opciones del perfil se aplican a la conexin inmediatamente y podrian ocasionar que sta se deniegue. Por ejemplo, si las opciones del perfil de una conexin especifican que el usuario solamente puede conectarse durante 30 minutos cada vez, transcurrido ese tiempo, se desconectara al usuario del servidor de acceso remoto. Ejemplo Por ejemplo, una directiva puede conceder acceso a todos los usuarios del Grupo A de las 8:00 a.m. a las 1/:00 p.m. No obstante, los permisos para el Usuario X del Grupo A pueden definirse de manera que se le deniegue el acceso en Active Directory, mientras que los permisos para el Usuario Y del Grupo A pueden definirse para permitirle el acceso en Active Directory en cualquier momento. Como resultado, la mayor parte de los usuarios del Grupo A estan controlados mediante la configuracin de la directiva y solamente pueden obtener acceso desde las 8:00 a.m. a las 1/:00 p.m. No obstante, al Usuario X se le deniega el acceso totalmente y al Usuario se le concede acceso las 2+ horas.
Sistemas Operativos II 9 Profesor: Carlos Garca Ou es un perfil de directiva de acceso remoto
Un perfil de directiva de acceso remoto es un conjunto de propiedades que se aplican a una conexin cuando se autoriza, ya sea a travs de una cuenta de usuario o de opciones de configuracin de permisos de directiva. Una vez autorizada la conexin, el perfil para la directiva de acceso remoto especifica un conjunto de restricciones de conexin. Las propiedades de marcado de la cuenta de usuario tambin ofrecen un conjunto de restricciones. Cuando corresponda, las restricciones de conexin de una cuenta de usuario reemplazan a las aplicables al perfil de directiva de acceso remoto
Elementos de un perfil para una directiva de acceso remoto El perfil de directiva de acceso remoto especifica qu tipo de acceso se le concede al usuario si las condiciones coinciden. Solamente se concede acceso si el intento de conexin no entra en conflicto con las opciones de la cuenta de usuario o el perfil. Puede configurar un perfil en el cuadro de dialogo Modificar el perfil de marcado si hace clic en Editar perfil en el cuadro de dialogo Propiedades para una directiva. En el cuadro de dialogo puede configurar las opciones siguientes: Restricciones de marcado. Puede usar estas opciones para determinar el intervalo de tiempo de inactividad antes de la desconexin, la duracin maxima de la sesin y los dias, horas, numeros de telfono y tipos de medio (RDS!, vPN, etctera) permitidos. Propiedades IP. Puede configurar la asignacin de direcciones !P de un cliente y el filtro de paquetes del Protocolo de control de transporte/Protocolo !nternet (TCP/!P) en esta ficha. Puede definir filtros independientes para paquetes entrantes y salientes. Multivnculo. Con Nultivinculo varios vinculos fisicos aparecen como un unico vinculo lgico a travs del que se envian y reciben datos. Puede definir propiedades de Nultivinculo que habiliten Nultivinculo y determinen el numero maximo de puertos que una conexin Nultivinculo puede utilizar. Ademas, puede definir directivas BAP que determinen el uso de BAP y que especifiquen cuando se descartan las lineas BAP adicionales. Autenticacin. Puede definir las propiedades de autenticacin para habilitar los tipos de autenticacin permitidos en una conexin y especificar el tipo de EAP que debe utilizarse. Tambin puede configurar el tipo de EAP. De manera predeterminada, NS-CHAP y NS-CHAP v2 estan habilitados. Cifrado. Puede utilizar esta ficha para especificar los tipos de cifrado que estan prohibidos, permitidos o que son obligatorios. Opciones avanzadas. Puede definir propiedades avanzadas para especificar la serie de atributos RAD!US que el servidor !AS envia de vuelta para que el cliente RAD!US los evalue. Los atributos RAD!US sirven para realizar la autenticacin de RAD!US y los servidores que ejecutan el Servicio de enrutamiento y acceso remoto y que estan configurados para la autenticacin de Windows los pasan por alto.
Sistemas Operativos II 10 Profesor: Carlos Garca Cmo se procesan las directivas de acceso remoto
Proceso para emplear acceso remoto Windows Server 2003 evalua un intento de conexin en funcin de las condiciones de directivas, permisos de usuario y de acceso remoto, asi como opciones de perfil. El flujo del proceso consta de tres fases basicas que incluyen comprobar las condiciones en primer lugar, luego los permisos y, por ultimo, el perfil. La primera directiva que reune todas las condiciones es la que se emplea para la conexin. Las directivas de acceso remoto se procesan del modo siguiente: 1. Enrutamiento y acceso remoto compara las condiciones de la directiva de acceso remoto y las condiciones de la conexin intentada: - Si no hay definida ninguna directiva, el acceso se rechaza. - Si no hay ninguna directiva que coincida, el acceso se rechaza. - Si se detecta una coincidencia, la directiva se emplea para determinar el acceso. 2. Enrutamiento y acceso remoto comprueba los permisos de marcado de la cuenta de usuario: - Si el permiso de la cuenta de usuario esta definido como Denegar acceso, se rechaza el acceso del usuario. - Si el permiso de la cuenta de usuario esta definido como Permitir acceso, se concede acceso al usuario y se aplica el perfil de la directiva. - Si el permiso esta definido como Controlar acceso a travs de la directiva de acceso remoto, la configuracin de permisos de la directiva determina el acceso del usuario. 3. Enrutamiento y acceso remoto aplica las opciones del perfil de la directiva a la conexin entrante. - La conexin puede que no se permita si una opcin crucial del perfil no coincide con la del servidor de acceso remoto. Por ejemplo, el perfil para una conexin entrante puede especificar que un grupo solamente puede conectarse por la noche. Si un usuario de ese grupo intenta conectarse durante el dia, el intento de conexin se rechazara. - La conexin puede desconectarse posteriormente debido a una opcin del perfil, como una restriccin del tiempo de conexin.
Centralizar la autenticacin de acceso a la red y la administracin de directivas mediante IAS
Motivos para centralizar la administracin de directivas y la autenticacin de acceso a la red Actualmente, la seguridad en el acceso a la red debe ser exhaustiva para garantizar al maximo un acceso apropiado a socios empresariales, asesores y empleados. De este modo, las organizaciones necesitan conceder diferentes niveles de acceso a la red segun el tipo de usuario, las credenciales que utiliza, el modo en que se conecta, el nivel de cifrado utilizado en la conexin, la hora del dia, etctera. Para ello se requiere un sistema de administracin centralizada de directivas y autenticacin de acceso a la red capaz de satisfacer las exigencias de las grandes redes. El Servicio de usuario de acceso telefnico de autenticacin remota (RAD!US, Remote Authentication Dial-!n User Service) se ha convertido en un estandar para efectuar la autenticacin y administracin de directivas de acceso a la red.
Sistemas Operativos II 11 Profesor: Carlos Garca Ou es RADIUS RAD!US es un protocolo ampliamente utilizado que se basa en el modelo cliente-servidor y que permite realizar la autenticacin, la autorizacin y la administracin de cuentas de forma centralizada para el acceso a la red.
Finalidad de RADIUS Desarrollado en un principio para las soluciones de marcado, el protocolo RAD!US ha evolucionado hasta convertirse en el estandar de administracin de acceso a la red para vPN, acceso telefnico y redes inalambricas. Nediante una integracin minuciosa de este servicio de administracin para directivas de acceso a la red con los servicios de identidad del sistema operativo, asi como la incorporacin de numerosas y completas funciones para el procesamiento de reglas RAD!US, podra administrar el acceso a la red de manera centralizada y en numerosos tipos de acceso a la red.
Ou es un servidor RADIUS Un servidor RAD!US recibe y procesa solicitudes de conexin o mensajes de administracin de cuentas que los clientes RAD!US o los servidores Proxy RAD!US envian. En el caso de solicitudes de conexin, el servidor RAD!US procesa la lista de atributos RAD!US en la solicitud de conexin. De acuerdo con un conjunto de reglas y la informacin de la base de datos de cuentas de usuario, el servidor RAD!US autentica y autoriza la conexin y devuelve un mensaje de Aceptacin de acceso o de Rechazo de acceso.
Ou es un cliente RADIUS Un cliente RAD!US puede ser un proxy RAD!US o un servidor de acceso, como un servidor de acceso telefnico, un servidor vPN o un punto de acceso inalambrico. El cliente RAD!US recibe solicitudes de autorizacin del cliente de acceso remoto para el acceso a la red y las remite al servidor RAD!US para que las compruebe.
Ou es un Proxy RADIUS Un proxy RAD!US puede configurarse en una infraestructura que tenga varios servidores RAD!US disponibles para autorizar solicitudes de acceso. Un Proxy RAD!US recibe una solicitud de autorizacin de un cliente RAD!US, determina el servidor RAD!US apropiado y le reenvia la solicitud de autorizacin. Por ejemplo, diversas organizaciones pueden subcontratar su conexin de acceso telefnico a un !SP. Cuando un cliente marca al !SP, se conecta a un cliente RAD!US que transmite la solicitud de autorizacin al proxy RAD!US. El proxy RAD!US determina a qu organizacin pertenece el usuario y, a continuacin, remite la solicitud a esa organizacin para proceder a la autenticacin de la conexin de acceso telefnico del usuario.
Ou es IAS
Definicin El componente Servicio de autenticacin de !nternet (!AS) de Windows Server 2003 es un servidor RAD!US que cumple los estandares del sector. !AS realiza la autenticacin, autorizacin, auditoria y administracin de cuentas de conexiones de forma centralizada en conexiones vPN, de acceso telefnico e inalambrico.
Motivos para utilizar IAS Nediante el uso de !AS puede administrar y controlar de manera centralizada el acceso remoto e inalambrico a una red, ademas de efectuar un seguimiento de las estadisticas de uso. Tambin puede administrar permisos de acceso remoto y propiedades de conexin de manera centralizada. Si tiene mas de un servidor de acceso remoto o inalambrico, en lugar de administrar las directivas de acceso de todos los servidores de acceso por separado, puede configurar un servidor unico con !AS como servidor RAD!US y configurar los servidores de acceso remoto como clientes RAD!US. Cuando un servidor !AS es miembro de un dominio de Active Directory, !AS emplea el servicio de directorio como su base de datos de cuentas de usuario y forma parte de una solucin que permite el inicio de sesin unico. El mismo conjunto de credenciales se utiliza para el control de acceso a la red (autenticacin y autorizacin del acceso a una red) y para el inicio de sesin en un dominio de Active Directory. !AS interopera con dispositivos de acceso a la red de numerosos proveedores. Las organizaciones que deseen crear un sistema de autenticacin integrado que autentique de manera segura a los usuarios en un directorio unico, independientemente del mtodo de acceso o del dispositivo que estn utilizando, pueden obtener ventajas con el uso de !AS.
Sistemas Operativos II 12 Profesor: Carlos Garca Ejemplos Puede configurar !AS para que admita diversos escenarios corporativos, como los siguientes: Acceso telefnico corporativo. Puede configurar !AS para que admita a empleados remotos con conexiones de acceso telefnico autenticadas de manera que el servidor !AS pueda proporcionar acceso a los empleados en funcin del grupo al que pertenezcan. Acceso a extranet para socios empresariales. Puede configurar !AS para que permita a los socios corporativos un acceso limitado a recursos especificos de la red y a la vez proteger otros recursos frente a un acceso no autorizado. Acceso a Internet. Puede configurar !AS para que admita conexiones de acceso telefnico autenticadas por el cliente a un !SP, de manera que el servidor !AS conceda acceso a los clientes de acuerdo con el plan de servicio que tengan subscrito. Acceso corporativo subcontratado a travs de proveedores de servicio. Puede utilizar !AS para una organizacin que emplea un !SP que proporciona la infraestructura de acceso remoto, pero donde la organizacin mantiene el control sobre la autenticacin, autorizacin y administracin de cuentas. Cuando un empleado se conecta al servidor de acceso remoto en el !SP, los registros de autenticacin y de uso se remiten al servidor !AS de la organizacin. El servidor !AS permite que la organizacin controle la autenticacin de usuarios, efectue un seguimiento del uso y supervise a qu empleados se les permite el acceso a la red.
Cmo funciona la autenticacin centralizada
El proceso de autenticacin y autorizacin centralizadas En los siguientes pasos se describe el proceso basico que emplean los servidores de acceso a la red, un servidor RAD!US y los clientes RAD!US para efectuar la autenticacin y autorizacin: 1. Un usuario se conecta a un servidor de acceso a la red (un equipo basado en Windows que esta configurado con el Servicio de enrutamiento y acceso remoto) mediante una conexin vPN, de acceso telefnico o inalambrica. 2. El servidor de acceso a la red reenvia las solicitudes de autenticacin a un servidor RAD!US (!AS). (El servidor de acceso a la red actua como cliente RAD!US.) Si la comprobacin de la firma digital es correcta, el servidor !AS consulta al controlador de dominio. 3. El servidor RAD!US (!AS) tiene acceso a la informacin de cuentas de usuario en un controlador de dominio y comprueba las credenciales de autenticacin de acceso remoto. (El servidor !AS realiza las funciones de un servidor RAD!US.) +. Si las credenciales del usuario se autentican, el servidor !AS evalua el intento de conexin comparandolo con las directivas de acceso remoto configuradas y las propiedades de marcado de la cuenta del usuario para decidir si autoriza la solicitud. Si el intento de conexin cumple las condiciones de al menos una directiva y las propiedades de marcado de cuenta, !AS devuelve un mensaje RAD!US de Aceptacin de acceso al servidor de acceso a la red que envi la solicitud de autenticacin. Si el intento de conexin no se autentica o no se autoriza, !AS devuelve un mensaje RAD!US de Rechazo de acceso al servidor de acceso a la red y el intento de conexin se rechaza.
Sistemas Operativos II 13 Profesor: Carlos Garca
Infraestructura de autenticacin RADIUS
A pesar de que puede crear y administrar varios mtodos de autenticacin para las conexiones de acceso a la red, esta estrategia puede acarrear una gran cantidad de actividad administrativa. Para solucionar este problema, puede utilizar el servidor !AS para proporcionar una infraestructura de autenticacin RAD!US para autenticar todos los clientes de acceso a la red (vPN, acceso telefnico e inalambricos) en una sola ubicacin.
Autenticacin del servidor IAS y RADIUS El servidor !AS proporciona una ubicacin central para todas las directivas de acceso remoto, lo que permite administrar con mas facilidad los perfiles, las configuraciones y las restricciones de conexin. Despus de instalar la infraestructura RAD!US, puede configurar los servidores de acceso a la red (que incluyen los servidores que ejecutan el servicio Enrutamiento y acceso remoto y los puntos de acceso inalambrico) para que utilicen el servidor !AS para realizar todas las tareas de autenticacin de la red.
Autenticacin de Active Directory La autenticacin que se proporciona en Active Directory incluye una infraestructura de autenticacin Kerberos v5 que funciona de forma continua en segundo plano y requiere una configuracin y una administracin minimas. La autenticacin NTLN tambin ofrece los mismos beneficios. Ambos mtodos de autenticacin forman parte de la autenticacin integrada del sistema operativo.
Autenticacin de acceso a la red La autenticacin no esta tan claramente definida para las opciones de acceso remoto (vPN, de acceso telefnico e inalambrico). Cada servidor de acceso a la red puede convertirse en su propio foco de autenticacin, lo que requiere una configuracin y administracin separadas que puedan dar lugar a diferentes directivas y valores de configuracin en cada servidor de acceso. Si tiene diferentes directivas y valores de configuracin en cada servidor puede dar pie a que los usuarios obtengan resultados diferentes, en funcin del servidor de acceso al que se conecte el usuario. En esta situacin, los requisitos de acceso remoto pueden suponer una carga adicional para el personal administrativo, lo que puede dar como resultado brechas en la seguridad del servidor de acceso a la red.
Directrices para elegir mtodos de conexin de acceso a la red
Antes de elegir un mtodo de conexin de acceso a la red, debe tener en cuenta los requisitos de infraestructura y de cliente de su infraestructura de redes. Es necesario que tenga en cuenta los requisitos siguientes: Los requisitos de usuario remoto pueden incluir un ancho de banda adecuado, conexiones seguras, movilidad y confiabilidad. Los requisitos de la infraestructura de redes pueden incluir servicios y recursos que cuenten con una alta disponibilidad, confiabilidad y seguridad.
Seleccin de una estrategia de acceso a la red Una vez que haya determinado los requisitos de acceso a la red, debe repasar la siguiente tabla y elegir una estrategia adecuada de acceso a la red. La tabla clasifica cada uno de los requisitos segun la siguiente valoracin: alta, media y baja. En esta tabla no se presentan todos los requisitos, puesto que pueden depender de varios factores que escapan de su control.
Sistemas Operativos II 14 Profesor: Carlos Garca Condiciones de una directiva de acceso remoto
Las condiciones de una directiva de acceso remoto son una lista de parametros, como por ejemplo la hora del dia, los grupos de usuarios, los identificadores (!d.) del autor de la llamada o las direcciones !P (Protocolo !nternet), que se comparan con los parametros del cliente que se conecta al servidor. El primer conjunto de condiciones de una directiva que se compara con los parametros de la solicitud de conexin entrante se procesa para obtener el permiso de acceso y la configuracin.
Atributos de condicin de una directiva de acceso remoto Estos son los dos atributos de condicin que se utilizan con mas frecuencia: El atributo de condicin NAS-Port-Type, que puede utilizar para especificar el tipo de conexin de red mediante NAS Port-Type, permite especificar una conexin Ethernet, inalambrica, mdem, vPN, etc. Puede utilizar el atributo de condicin Windows-Groups para especificar el grupo de usuarios en el que desea aplicar una directiva. Por ejemplo, puede combinar las condiciones NAS-Port-Type y Windows- Groups para aplicar una directiva a todos los miembros del departamento de ventas que se conectan a travs del tunel de vPN.
Sistemas Operativos II 15 Profesor: Carlos Garca Otros atributos de condicin Para la estrategia de acceso a la red tal vez sea necesario que especifique otras muchas condiciones. Puede utilizar la siguiente tabla de atributos para comparar las solicitudes con las condiciones.
Sistemas Operativos II 16 Profesor: Carlos Garca Seleccin de un mtodo de autenticacin de acceso a la red Modelos y mtodos de autenticacin de servidor
Si para la estrategia de acceso a la red se necesita autenticacin centralizada, debe elegir un modelo de autenticacin que proporcione la menor sobrecarga posible. Puede elegir entre varios modelos de autenticacin. Autenticacin Windows Aunque la autenticacin Windows resulte facil de instalar y utilizar, se ha integrado en la familia Windows Server 2003, lo que puede dar lugar a ubicaciones aisladas de autenticacin de acceso a la red, cada una de las cuales necesitara una configuracin de administracin y de directiva diferentes. Un servidor Windows Server 2003 que ejecute el servicio Enrutamiento y acceso remoto puede utilizar una base de datos local o una base de datos de cuentas de dominio para autenticar el acceso remoto o las credenciales de marcado a peticin. Una base de datos de cuentas de dominio puede ser una base de datos Active Directory o una base de datos de cuentas de dominio Windows NT +.0. El servidor registra la informacin de autenticacin de la conexin en archivos de registro que se han configurado en las propiedades de la carpeta Registro de acceso remoto.
Autenticacin del servidor RADIUS En varios entornos, se utiliza RAD!US para la autenticacin. El servidor RAD!US comprueba las credenciales de autenticacin de acceso remoto de las cuentas de usuario y registra los sucesos de cuentas de acceso remoto. Utilizar RAD!US es una excelente manera de centralizar la solucin de autenticacin. No slo podra centralizar la autenticacin y las directivas para todos los servidores de acceso a la red tradicional (como los servidores que ejecutan Enrutamiento y acceso remoto), sino que tambin podra facilitar autenticacin y directivas para otros tipos de dispositivos y servidores de acceso a la red (servidores vPN, puntos de acceso inalambrico, modificadores, etc.). Los puntos de acceso inalambrico pueden utilizar varios mecanismos de autenticacin diferentes. Pueden utilizar la autenticacin definida en la especificacin 802.11 (no se recomienda) o pueden utilizar 802.1x junto con un servidor RAD!US. Mtodos de autenticacin 802.11 En la tabla siguiente se muestran y describen los mtodos de autenticacin disponibles en la especificacin 802.11. Autenticacin S02.11 La autenticacin de sistema abierto no proporciona autenticacin; slo ofrece identificacin mediante la direccin NAC (Control de acceso a medios) del adaptador inalambrico. Utilice la autenticacin de sistema abierto cuando no se requiera ninguna autenticacin. La autenticacin de sistema abierto es el algoritmo predeterminado de autenticacin de la autenticacin 802.11. La autenticacin de clave compartida comprueba que una estacin de inicio de autenticacin conozca una clave secreta compartida. Este tipo de autenticacin es similar a la autenticacin de clave previamente compartida para !PSec. El estandar 802.11 ahora asume que la clave secreta compartida se entrega a los clientes inalambricos participantes mediante un canal seguro que es independiente de !EEE 802.11. En el ejercicio practico, esta clave secreta se escribe manualmente en el punto de acceso inalambrico y en el cliente inalambrico. S02.1x 802.1x utiliza EAP para comunicar informacin de autenticacin entre el cliente inalambrico y el punto de acceso inalambrico. A continuacin, se configura el punto de acceso inalambrico para establecer comunicacin con un servidor RAD!US y se reenvian los mensajes EAP entre el cliente inalambrico y el servidor RAD!US. Esta forma de autenticacin para clientes inalambricos es la mas segura porque utiliza un EAP flexible y se adapta mejor a las ampliaciones que las soluciones 802.11.