infraestructura de red de windows server 2003. lo que cubriremos: nat (conversión de direcciones de...

Infraestructura de red de Windows Server™ 2003

Lo que cubriremos:

• NAT (Conversión de direcciones de red), ICS (Compartir conexión a Internet)

• Firewall de Windows y el firewall básico RRAS• IPSec (Seguridad del protocolo de Internet) basada en

certificados• Cuarentena de acceso remoto• L2TP (Protocolo de túnel de nivel 2)• IAS (Servicio de autenticación de Internet)

Conocimiento previo

Nivel 200

• TCP/IP• Active Directory• Administración de Windows Server

Agenda

• Acceso a Internet de sucursal• Asegurar comunicaciones de servidor• Asegurar acceso remoto• VPN de oficina a oficina • Configuración de IAS

Acceso a Internet de sucursalProblema de negocios

• Tiene una nueva sucursal con las siguientes necesidades:• Acceso a Internet• Seguridad de fuentes externas

Acceso a Internet de sucursalSolución = NAT + Firewall

• NAT (Conversión de direcciones de red) o ICS (Compartir conexión a Internet)• Proporciona acceso a Internet desde un rango de

direcciones privadas protegidas• Firewall básico o Firewall de Windows

• Proporciona capacidades de firewall con filtración de paquetes

Acceso a Internet de sucursalSolución = NAT o ICS

• NAT (Conversión de direcciones de red)• Traduce direcciones IP y números de puerto para tráfico

entrante y saliente• Oculta el rango de direcciones IP privadas del Internet• Se puede utilizar con DHCP o se puede configurar como un

asignador DHCP• Se puede configurar para permitir conexiones entrantes a

reservaciones específicas

• ICS (Compartir conexión a Internet)• ICS es básicamente NAT con una configuración más fácil

(también está disponible en Windows® XP)

Acceso a Internet de sucursalNAT vs. ICS

• NAT requiere una configuración manual de DHCP, DNS y RRAS

• ICS se auto-configura y es la mejor opción para un ambiente pequeño

• No utilice ICS en una red que:• Utilice direcciones IP estáticas• Utilice otros servidores DNS, puertas de enlace o servidores

DHCP

NAT/ICSPCs clientePCs clientePCs clientePCs cliente

IP = 192.168.1.3IP = 192.168.1.3

IP = 192.168.1.4IP = 192.168.1.4

IP = 192.168.1.5IP = 192.168.1.5

PC que ejecuta NATPC que ejecuta NATIP interna = 192.168.1.1IP interna = 192.168.1.1IP externa = IP públicaIP externa = IP pública

1.1. El cliente envía un paquete para el PC que ejecuta NAT.El cliente envía un paquete para el PC que ejecuta NAT.1.1. El cliente envía un paquete para el PC que ejecuta NAT.El cliente envía un paquete para el PC que ejecuta NAT.

InternetInternet

Web ServerWeb ServerIP = IP públicaIP = IP pública


IP = 192.168.1.3IP = 192.168.1.3

IP = 192.168.1.4IP = 192.168.1.4

IP = 192.168.1.5IP = 192.168.1.5



2.2. El PC que ejecuta NAT cambia el encabezado del paquete El PC que ejecuta NAT cambia el encabezado del paquete y envía el paquete sobre el Internet al servidor Web.y envía el paquete sobre el Internet al servidor Web.

InternetInternet



IP = 192.168.1.3IP = 192.168.1.3

IP = 192.168.1.4IP = 192.168.1.4

IP = 192.168.1.5IP = 192.168.1.5




3.3. El servidor Web envía una respuesta al PC que ejecuta NAT.El servidor Web envía una respuesta al PC que ejecuta NAT.

InternetInternet



IP = 192.168.1.3IP = 192.168.1.3

IP = 192.168.1.4IP = 192.168.1.4

IP = 192.168.1.5IP = 192.168.1.5



4.4. El PC que ejecuta NAT determina el destino, cambia el El PC que ejecuta NAT determina el destino, cambia el encabezado del paquete y envía el paquete al cliente.encabezado del paquete y envía el paquete al cliente.


3.3. El servidor Web envía una respuesta al PC que ejecuta NATEl servidor Web envía una respuesta al PC que ejecuta NAT

InternetInternet


Acceso a Internet de sucursalFirewall básico/Firewall de Windows

• Firewall básico• Configurado a través de RRAS• Permite configurar excepciones para protocolos de IP y

tráfico ICMP para tráfico entrante y saliente• Firewall basado en el servidor

• Firewall de Windows • Función agregada en Windows Server 2003 SP1• Le permite configurar únicamente excepciones TCP y UDP

basadas en puertos para tráfico entrante• Firewall basado en el cliente

Configuración de NAT y Firewall básico Configurar NAT y un firewall básico RRAS

Demo

Agenda


Asegurar comunicaciones de servidorProblema de negocios

• Necesita asegurar que las comunicaciones entre su servidor Web público y Microsoft® SQL Server™ sean seguras• El servidor Web se localiza en una subred filtrada y se

conecta a SQL Server a través del firewall.• El servidor Web no es miembro de un bosque interno de

Active Directory.• Los filtros de paquete ya están configurados en el firewall,

pero se requiere más seguridad.

Asegurar comunicaciones de servidorIPSec basada en certificados

• Servicios de certificado de Windows Server 2003• Configure la encriptación de IPSec para utilizar la

autenticación de certificados (CA)• Personalice la política de IPSec para encriptar

únicamente el tráfico SQL (opcional, pero recomendado)

Asegurar comunicaciones de servidor PKI de Windows Server 2003

Los certificados son credenciales electrónicas que autentican a un usuario en Internet o en las intranetsLos certificados son credenciales electrónicas que autentican a un usuario en Internet o en las intranets

Certificados:Certificados:Vinculan con seguridad una clave pública con una entidad que ostenta la clave privada correspondiente

Están firmados digitalmente por la autoridad de certificación (CA) emisora

Verifican la identidad de un usuario,un PC, o un servicio que presenta elcertificado

Contienen detalles acerca del emisor ydel sujeto

Vinculan con seguridad una clave pública con una entidad que ostenta la clave privada correspondiente

Están firmados digitalmente por la autoridad de certificación (CA) emisora

Verifican la identidad de un usuario,un PC, o un servicio que presenta elcertificado

Contienen detalles acerca del emisor ydel sujeto

Asegurar comunicaciones de servidorMétodos de autenticación IPSec

• Kerberos (predeterminado)– Funciona para PCs que son miembros de un dominio

confiable de Active Directory

• Basada en certificados– Funciona para PCs que tienen certificados de una autoridad

de certificación seleccionada

• Clave Precompartida– No se recomienda debido a que es el menos seguro de los

tres métodos

Asegurar comunicaciones de servidorPolíticas para personalizar IPSec

• Las políticas predeterminadas incluyen:– Cliente (sólo responder)– Servidor (seguridad de solicitud)– Servidor seguro (se requiere seguridad)

• Ejemplo de una política personalizada– Edite los filtros de la política de Asegurar servidor para

requerir seguridad únicamente en las comunicaciones entre IIS Server y SQL Server.

Configuración de IPSec Instalar los certificados de PC de IPSec Crear una política IPSec personalizada

Demo

Agenda


Asegurar acceso remotoProblema de negocios

• Necesita configurar una solución de acceso remoto segura que permita:– Un control personalizable sobre el acceso de los usuarios– Evitar que se conecten configuraciones inválidas

Asegurar acceso remotoPolíticas y cuarentena de acceso remoto

• Políticas de acceso remoto– Permitir un control robusto del acceso remoto

• Control de cuarentena de acceso a la red– Demora una conexión de acceso totalmente remota hasta

que el cliente de acceso remoto haya sido examinado de acuerdo con las secuencias de comandos proporcionadas por el administrador

Asegurar acceso remotoEvaluación de la política de acceso remoto

Controlador de dominioControlador de dominioWindows 2000Windows 2000

Servidor RASServidor RASCliente RASCliente RAS

Permisos de cuentaPermisos de cuenta PermitirPermitir NegarNegar

Condiciones de acceso remotoCondiciones de acceso remoto Día y horaDía y hora GrupoGrupo EtcéteraEtcétera

Perfil de acceso remotoPerfil de acceso remoto Restricciones de medios Restricciones de medios

de marcaciónde marcación Configuraciones de Configuraciones de

múltiples enlacesmúltiples enlaces EtcéteraEtcétera

Política de acceso remotoPolítica de acceso remoto






Perfil de acceso remotoPerfil de acceso remoto Restricciones de medios de Restricciones de medios de

marcaciónmarcación Configuraciones de Configuraciones de



Asegurar acceso remoto

Evaluación de la política de acceso remoto












Permisos de cuentaPermisos de cuenta PermitirPermitir NegarNegar Control con RAPControl con RAP






Permisos de acceso remotoPermisos de acceso remoto PermitirPermitir NegarNegar (Únicamente modo nativo)(Únicamente modo nativo)

Asegurar acceso remotoComportamiento de la política

• Política predeterminada de acceso remoto– Permite acceso a cualquier cuenta de usuario a la que se

le haya otorgado acceso mediante las propiedades de cuenta de usuario en Active Directory

• Políticas múltiples– Las políticas se verifican en orden de prioridad hasta que

el usuario corresponda a las condiciones de una de ellas– Si el usuario corresponde a las condiciones de varias

políticas, se utiliza la primera con la que coincida

Asegurar acceso remotoCuarentena de acceso a la red

• Permite la validación de las siguientes conexiones entrantes de acceso remoto:– Versión de paquete de servicio– Software antivirus y firmas– Configuración de firewall local– Se deshabilita el enrutamiento local– Protector de pantalla protegido con contraseña


IntranetCliente en

cuarentena con perfil CM

RAS de Windows Server 2003

Política de cuarentena

DC de Windows Server 2003

Recursos en cuarentena

Internet


IntranetCliente en






Cliente ejecuta el programa de cuarentena

Internet


IntranetCliente en







X

Internet


IntranetCliente en







OK

Internet

Asegurar acceso remotoConfiguración de la cuarentena

• Para implementar el Control de cuarentena de acceso a la red, los pasos básicos (en orden) son los siguientes:1. Crear los recursos de cuarentena.

2. Crear una secuencia de comandos o programa que valide la configuración del cliente.

3. Instalar Rqs.exe en los servidores de acceso remoto.

NOTA: Esto estará disponible a través de Agregar/Quitar programas con Service Pack 1.

4. Crear un nuevo perfil CM de cuarentena con Windows Server 2003 CMAK.

5. Distribuir el perfil CM para instalación en los PCs cliente de acceso remoto.

6. Configurar la política de acceso remoto de cuarentena.

Configurar la cuarentena de VPN Configurar el servidor de acceso remoto Crear el perfil CMAK Probar la conexión

Demo

Agenda


VPN de oficina a oficina Problema de negocios• Desea conectar la sucursal a través de una VPN de

sitio a sitio y necesita asegurar alta seguridad.

VPN de oficina a oficina Solución: L2TP VPN• VPN de enrutador a enrutador

• Una solución rentable cuando se compara con las líneas arrendadas

• L2TP (Protocolo de túnel de nivel 2)• Utiliza la encriptación IPSec (DES o 3DES) y los certificados

de PC para autenticación basada en PC

VPN de oficina a oficina Windows Server 2003 L2TP

• Windows Server 2003 soporta IPSec NAT-T, lo que significa que puede tener sus servidores VPN detrás del firewall que proporciona NAT

VPN de VPN de Windows Server Windows Server

20032003

VPN de VPN de Windows Server Windows Server

20032003

InternetInternetFirewall

Firewall

• Windows Server 2003 también soporta el uso de claves precompartidas para autenticación (no se recomienda para uso de producción)

VPN de oficina a oficina Proceso de conexión L2TP

1. Negociación IKE y negociación IPSec SA

VPN de Windows VPN de Windows Server 2003Server 2003


InternetInternet



2. Se establece el túnel L2TP



InternetInternet



2. Se establece el túnel L2TP

3. La autenticación PPP pasa a través del túnel



InternetInternet

VPN de oficina a oficina Configuración L2TP VPN

• Instale los certificados de PC en cada servidor VPN.• Configure las interfaces de marcación a solicitud.• Configure la cuenta de marcación a utilizar.• Configure los filtros de paquete en el servidor VPN o

en el firewall, dependiendo de su ambiente.

VPN de oficina a oficina utilizando L2TP Configurar el enrutador corporativo Configurar el enrutador de la sucursal Probar la conexión

Demo

Agenda


Configuración de IASProblema de negocios• Desea configurar un servidor de acceso remoto en la

nueva sucursal que se localiza en la DMZ y que no es miembro del dominio. La autenticación debe ser desde Active Directory.

Configuración de IASSolución = IAS

• Un servidor IAS (Servicio de autenticación de Internet) es la implementación de RADIUS (Servicio de usuario de acceso telefónico de autenticación remota) de Microsoft

• Permite que las organizaciones centralicen su autenticación, auditoría, autorización y contabilidad de acceso remoto

Configuración de IAS¿Qué es IAS?

• IAS, un componente de Windows Server 2003, es un servidor RADIUS que cumple con el estándar de la industria. IAS lleva a cabo autenticación, autorización, auditoría y contabilidad centralizada para las conexiones de VPN, acceso telefónico y conexiones inalámbricas.

Puede configurar IAS para que soporte:Puede configurar IAS para que soporte:

Acceso corporativo de marcación

Acceso a extranet para los socios de negocios

Acceso a Internet

Acceso corporativo externo mediante proveedores de servicios

Acceso corporativo de marcación

Acceso a extranet para los socios de negocios

Acceso a Internet

Acceso corporativo externo mediante proveedores de servicios

Servidor RADIUSServidor RADIUS

Configuración de IASCómo funciona IAS


Cliente RADIUS Cliente RADIUS

ClienteCliente

Marca al cliente RADIUS local para obtener conectividad a la redMarca al cliente RADIUS local para obtener conectividad a la red

11

Controlador de dominioControlador de dominio

Servidor de acceso remoto




ClienteCliente


11

Envía las solicitudes a un servidor RADIUSEnvía las solicitudes a un servidor RADIUS

22






ClienteCliente


11


22

Autentica las solicitudes y almacena la información de contabilidad

Autentica las solicitudes y almacena la información de contabilidad

33






Cliente

Cliente


11


22

Autentica las solicitudes y almacenan la información de contabilidad

Autentica las solicitudes y almacenan la información de contabilidad

33


Se comunica con el cliente RADIUS para otorgar o negar el acceso

Se comunica con el cliente RADIUS para otorgar o negar el acceso

44

Servidor de acceso remotoAccess Server

Configurar IAS

Instalar y configurar IAS Configurar un cliente RADIUS Probar y verificar la configuración

Demo

Resumen de la sesión

• Windows Server 2003 RRAS es una solución capaz para muchos problemas de red.• La cuarentena de acceso a la red es un excelente herramienta para ayudar a proteger su red contra amenazas no deseadas.• Los certificados se pueden utilizar como políticas IPSec personalizadas, al igual que las conexiones L2TP de VPN, para

mejorar en gran medida la seguridad.

Para mayores informes

www.microsoft.com/technet/tnt1-158

Visite TechNet en www.microsoft.com/technet.Visite el siguiente sitio Web para obtener información adicional, incluyendo:

– Libros y cursos– Recursos de la comunidad – Versiones de medios agilizados y descargables para esta sesión

Microsoft PressInformación interna para profesionales de informática

Para encontrar los títulos más recientes, visite

www.microsoft.com/learning/books/itpro/

Estos libros se pueden encontrar y adquirir en todas las librerías de prestigio y con los proveedores en línea .

Publicaciones de terceros Complementarias para profesionales de informática

Microsoft LearningRecursos de capacitación para profesionales de informática

Curso Título Disponible

MS-2277 Implementar, administrar y mantener Infraestructura de red Microsoft Windows Server 2003: Servicios de red

¡Ahora!

MS-2278 Planear y mantener una Infraestructura de red Microsoft Windows Server 2003

¡Ahora!

Para ver el programa detallado o para encontrar un proveedor de capacitación, visite:

www.microsoft.com/learning

Evaluar su PreparaciónEvaluación de habilidades de Microsoft

¿Qué es la evaluación de habilidades de Microsoft?• Una herramienta de aprendizaje de auto estudio para evaluar la

preparación respecto a las soluciones de productos y tecnología, en lugar de roles de trabajo (certificación)

• Windows Server 2003, Exchange Server 2003, Windows Storage Server 2003, Visual Studio® .NET, Office 2003

• Sin costo, en línea, sin supervisión y disponibles para cualquiera• Responde a la pregunta: “¿Estoy listo?”• Determina las diferencias en habilidades y proporciona planes de

estudio con cursos de Microsoft Official Curriculum • Coloque su Calificación más alta para ver cómo se compara con los

demás

Visite www.microsoft.com/assessment

Conviértase en un Microsoft Certified Systems Administrator (MCSA)

• ¿Qué es la certificación MCSA?– Para los Profesionales de informática que manejan y mantienen redes y

sistemas basados en Microsoft Windows Server

• ¿Cómo me convierto en un MCSA de Microsoft Windows Server 2003?

– Apruebe 3 exámenes básicos– Apruebe un examen opcional o dos certificaciones CompTIA

• ¿Dónde obtengo mayores informes?

www.microsoft.com/mcsa

Conviértase en un Microsoft Certified Systems Engineer (MCSE)• ¿Qué es la certificación MCSE?

– Certificación Premier para los Profesionales de informática que analizan los requisitos, diseñan, planean e implementan la infraestructura para las soluciones empresariales con base en Microsoft Windows Server System

• ¿Cómo me convierto en un MCSE en Microsoft Windows 2003?– Apruebe 6 exámenes básicos– Apruebe 1 examen opcional de una amplia lista

• ¿Dónde obtengo mayores informes?

www.microsoft.com/mcse

www.microsoft.com/technet/subscriptions

Suscripciones a TechNet¿Ya se enteró de lo más reciente?¡Software sin límites de tiempo! El software para evaluación de la versión completa proporciona una mayor flexibilidad a los suscriptores a TechNet Plus.

Soporte técnico complementario. Los dos incidentes gratuitos de soporte técnico que se incluyen con todas las suscripciones a TechNet Plus le ahorran tiempo al resolver problemas de misión crítica.

Tenga a la mano los recursos más actuales para evaluar, implementar y brindar soporte a las soluciones de Microsoft, que se ofrecen mensualmente en CD o en DVD, sin depender de una conectividad a Internet ni de los firewalls.

¿En dónde puedo obtener ayuda?• Chats y difusiones por el Web gratuitos

www.microsoft.com/technet/community/chatswww.microsoft.com/technet/community/webcasts

• Lista de grupos de noticiaswww.microsoft.com/technet/community/newsgroups

• Sitios de la comunidad de Microsoftwww.microsoft.com/technet/community

• Eventos de la comunidad www.microsoft.com/technet/community/events

• Columna de la comunidadwww.microsoft.com/technet/community/columns

infraestructura de red de windows server 2003. lo que cubriremos: nat (conversión de direcciones de...

Documents