You are on page 1of 84

Configurar el acceso a

la red

Contenido

Introducción 2
Lección: Introducción a las infraestructuras de acceso a la red 3
Lección: Configurar una conexión VPN 14
Lección: Configurar una conexión de acceso telefónico 30
Lección: Configurar una conexión inalámbrica 41
Lección: Controlar el acceso de los usuarios a una red 54
Lección: Centralizar la autenticación de acceso a la red y la administración de directivas mediante IAS 73
2 Configurar el acceso a la red

Introducción

*************************************************************************************
Introducción Este módulo le permite adquirir los conocimientos y técnicas básicos necesarios
para permitir la conexión de usuarios remotos a una red. Entre las principales
tareas para habilitar el acceso remoto a una red se incluye la configuración de
un servidor con el Servicio de enrutamiento y acceso remoto, la creación de
conexiones de acceso remoto adecuadas en un servidor de acceso a la red, así
como la configuración de los derechos de acceso de los usuarios.
Objetivos Después de finalizar este módulo, será capaz de:
• Describir una infraestructura de acceso a la red.
• Configurar una conexión de red privada virtual (VPN).
• Configurar una conexión de acceso telefónico.
• Configurar una conexión inalámbrica.
• Controlar el acceso de usuarios remotos a una red.
• Centralizar la autenticación y la administración de directivas para el acceso
a la red mediante el Servicio de autenticación de Internet (IAS, Internet
Authentication Service).
Configurar el acceso a la red 3

Lección: Introducción a las infraestructuras de acceso


a la red

*************************************************************************************
Introducción Para mantener una comunicación eficaz y conectar ubicaciones remotas, las
organizaciones necesitan instalar y administrar una infraestructura de acceso
a la red que sea segura. En esta lección se presenta la función de una
infraestructura de acceso a la red, sus componentes y cómo funcionan
conjuntamente para proporcionar un acceso seguro a la red.
Objetivos de la lección Después de finalizar esta lección, será capaz de:
• Describir de qué modo los servidores de acceso a la red funcionan
conjuntamente.
• Describir los componentes de una infraestructura de acceso a la red.
• Explicar los requisitos de configuración para un servidor de acceso a la red.
• Explicar qué tipo de clientes pueden tener a acceso a una red.
• Explicar en qué consisten la autenticación y la autorización de acceso a la red.
• Especificar qué tipos de métodos de autenticación se utilizan en una
infraestructura de acceso a la red.
4 Configurar el acceso a la red

Presentación multimedia: Introducción a la infraestructura


de acceso a la red

*************************************************************************************
Ubicación de los Para iniciar la presentación Introducción a la infraestructura de acceso a la
archivos red, abra el archivo media34.htm que se puede encontrar dentro del fichero
media34.zip.
Objetivos Al final de esta presentación, será capaz de:
• Explicar los componentes de una infraestructura de acceso a la red.
• Describir de qué modo los componentes de acceso a la red funcionan
conjuntamente para proporcionar una solución de acceso remoto.
• Detallar cómo funciona el proceso de acceso remoto.

Puntos clave • En una red corporativa hay usuarios que se conectan mediante topologías de
red de área local (LAN) y usuarios que utilizan otros métodos de acceso.
• Para admitir la presencia de los usuarios que no emplean topologías LAN,
debe proporcionar una infraestructura de acceso remoto de manera que los
usuarios remotos puedan conectarse a la red central.
• Hay numerosos componentes y procesos necesarios a la hora de
proporcionar una solución de acceso remoto.
• Como administrador de sistemas, su responsabilidad es garantizar que la
infraestructura de acceso a la red funcione y que los usuarios remotos
puedan tener acceso a la red.
Configurar el acceso a la red 5

Componentes de una infraestructura de acceso a la red

*************************************************************************************
Introducción Para proporcionar una infraestructura de acceso a la red segura, un administrador
debe conocer los siguientes componentes básicos que la conforman:
• Servidor de acceso a la red
• Clientes de acceso a la red
• Servicio de autenticación
• Servicio de directorio Active Directory®

Servidor de acceso El Servicio de enrutamiento y acceso remoto de Microsoft permite un acceso no


a la red tradicional a una red. Si configura dicho servicio para que actúe como servidor
de acceso remoto, puede conectar trabajadores remotos a las redes de una
organización. El servidor de acceso remoto para estos clientes no tradicionales
autentica las sesiones de los usuarios y los servicios hasta que el usuario o el
administrador de la red los termina. Los usuarios remotos pueden trabajar como
si sus equipos estuvieran conectados a la red físicamente.
Clientes de acceso Un servidor de acceso a la red proporciona conectividad de acceso a la red para
a la red clientes VPN y de acceso telefónico.
Estos clientes de acceso a la red pueden emplear herramientas estándar para
poder usar los recursos. Por ejemplo, en un servidor configurado con el Servicio
de enrutamiento y acceso remoto, los clientes remotos pueden utilizar el
Explorador de Windows para efectuar conexiones a las unidades y conectarse a
las impresoras. Las conexiones son persistentes, de manera que los clientes no
necesitan volverse a conectar a los recursos de red durante las sesiones remotas.
6 Configurar el acceso a la red

Servicio de Al permitir un mayor acceso a la red, es necesario aumentar el nivel de


autenticación seguridad de la misma para protegerla frente a un acceso no autorizado
e impedir el uso de los activos internos. Puede ayudar a proteger la red
incorporando una autenticación segura para validar la identidad, además
de configurar un cifrado de alta seguridad para proteger los datos.
Por lo general, los métodos de autenticación emplean un protocolo de
autenticación que se negocia durante el proceso de establecimiento de una
conexión. El servidor de acceso remoto (un servidor configurado con el
Servicio de enrutamiento y acceso remoto) controla la autenticación entre
el cliente de acceso remoto y el controlador de dominio.
Si posee múltiples servidores de acceso a la red, puede centralizar la
autenticación con el Servicio de usuario de acceso telefónico de autenticación
remota (RADIUS) para autenticar y autorizar a los clientes de acceso a la red.
El uso de RADIUS evita que cada servidor de acceso a la red de su red tenga
que realizar los procesos de autenticación y autorización.

Nota Para obtener más información acerca de cómo centralizar la autenticación


para el acceso a la red, consulte la lección Centralizar la autenticación de acceso a
la red y la administración de directivas mediante IAS, en este módulo.

Active Directory Los dominios de Active Directory contienen las cuentas de usuario, contraseñas
y propiedades de acceso telefónico necesarias para autenticar las credenciales
del usuario y evaluar las restricciones tanto de autorización como de conexión.
Cuando un cliente se conecta a la red, el administrador puede controlar su
acceso a los recursos mediante diversos controles administrativos tanto en el
equipo cliente como en los servidores de acceso a la red. Entre estos controles
administrativos se incluyen Compartir impresoras y archivos, Directiva de
grupo local y Directiva de grupo a través del servicio Active Directory.
Configurar el acceso a la red 7

Requisitos de configuración para un servidor de acceso a la red

*************************************************************************************
Definición Un servidor de acceso a la red es aquel que actúa como puerta de enlace a una
red para un cliente. En este módulo, el servidor de acceso a la red es un servidor
configurado con el Servicio de enrutamiento y acceso remoto y también se
puede hacer referencia a él como servidor de acceso remoto (en las conexiones
de acceso telefónico) o como servidor VPN, dependiendo del tipo de conexión
que esté configurado para negociar.

Importante Habilite solamente el Servicio de enrutamiento y acceso remoto en


un servidor que vaya a utilizarse activamente para proporcionar este servicio.
La ejecución de este servicio en servidores que no lo requieren o donde no se
vaya a usar ofrece otra vía de acceso posible para los intrusos.
8 Configurar el acceso a la red

Requisitos de Cuando el Servicio de enrutamiento y acceso remoto se habilita inicialmente


configuración en un servidor, aparece el Asistente para enrutamiento y acceso remoto, que
proporciona instrucciones en pantalla para ayudarle a configurar correctamente
el servidor de acceso a la red. La información que necesita para configurar el
servidor de acceso a la red incluye lo siguiente:
• Si el servidor va a actuar como enrutador, como servidor de acceso remoto
o ambos.
• Los métodos de autenticación y proveedores que se emplearán.

Nota La autenticación se describe con más detalle más adelante en esta lección.

• Si un cliente remoto puede tener acceso solamente a ese servidor o a toda


la red.
• Cómo se asignarán las direcciones de Protocolo Internet (IP) a los clientes
que se conectan.
• Opciones de configuración del Protocolo punto a punto (PPP).
• Preferencias de registro de sucesos.
1.
El asistente también solicita información acerca de la configuración de los
dispositivos específicos que están instalados en el servidor. Puede configurar
estos dispositivos de manera individual o como grupo.

Nota Una vez se haya completado el asistente, puede cambiar la configuración


de los dispositivos si abre el cuadro de diálogo Propiedades de puertos para el
servidor correspondiente.
Configurar el acceso a la red 9

Qué es un cliente de acceso a la red

*************************************************************************************
Introducción La administración de una red informática requiere que los administradores
pongan los recursos de red a disposición de los usuarios que no están
conectados directamente a la LAN. Estos usuarios pueden ser empleados,
contratistas, socios, proveedores o clientes, y pueden necesitar un acceso
a la red a través de marcado, Internet o conexiones inalámbricas. Como
administrador de sistemas, su responsabilidad es configurar un acceso seguro
para los usuarios que tengan permiso para conectarse a la red y denegar el
acceso a aquellos usuarios que no cuenten con dicho permiso. Por lo tanto,
debe saber cómo configurar y proteger el servidor de acceso a la red para los
siguientes métodos de acceso:
• Red privada virtual
• Acceso remoto mediante acceso telefónico
• Acceso inalámbrico
Cliente VPN Un cliente VPN se conecta a una red a través de una red compartida o pública,
como Internet, de manera que simula un vínculo punto a punto en una red privada.
Cliente de acceso Un cliente de acceso telefónico se conecta a una red mediante una red de
telefónico comunicaciones, como la Red telefónica pública conmutada (PSTN, Public
Switched Telephone Network), para crear una conexión física a un puerto en un
servidor de acceso remoto en una red privada. Esta conexión puede efectuarse
con diferentes tecnologías, como puede ser un módem, un adaptador de Red
digital de servicios integrados (RDSI, Integrated Services Digital Network)
o un adaptador de Línea de suscriptor digital (DSL, Digital Subscriber Line)
para marcar al servidor de acceso remoto.
Cliente inalámbrico Un cliente inalámbrico se conecta a una red con tecnologías de infrarrojos o
de radiofrecuencia optimizadas para conexiones de corto alcance. Entre los
dispositivos que suelen utilizarse para el acceso inalámbrico a red se incluyen
los equipos portátiles, los equipos de bolsillo, los asistentes personales digitales
(PDA, Personal Digital Assistant), los teléfonos móviles, los equipos basados
en lápiz y los localizadores, o “buscas”.
10 Configurar el acceso a la red

Qué son la autenticación y la autorización de acceso a la red

*************************************************************************************
La autenticación de Al permitir un mayor acceso a la red, las organizaciones necesitan garantizar un
acceso a la red protege nivel de seguridad suficiente para protegerse de los accesos no autorizados y del
dicho acceso uso de los activos internos.
En las conexiones VPN, de acceso telefónico e inalámbricas, Microsoft®
Windows Server™ 2003 implementa la autenticación en dos procesos: inicio
de sesión interactivo y autorización de la red. Ambos deben completarse
correctamente para que un usuario pueda tener acceso a los recursos de la red.
Diferencia entre La distinción entre autenticación y autorización es importante para comprender
autenticación y de qué modo se aceptan o rechazan los intentos de conexión.
autorización
• La autenticación es la validación de las credenciales durante un intento
de conexión. Este proceso de inicio de sesión consiste en enviar las
credenciales desde el cliente de acceso a la red (por ejemplo, un nombre y
contraseña) al servidor de acceso a la red ya sea en texto sin formato o de
forma cifrada con un protocolo de autenticación. La identificación del usuario
se reenvía posteriormente a una cuenta de dominio para confirmarse.
• La autorización consiste en la comprobación de que el intento de conexión se
ha permitido. Una vez autenticado el cliente remoto, se permite o rechaza el
acceso de acuerdo con las credenciales de la cuenta y las directivas de acceso
remoto. La autorización solamente puede producirse tras un intento de inicio
de sesión correcto. Si el inicio de sesión falla, se rechaza el acceso del usuario.
Configurar el acceso a la red 11

Aceptación o rechazo de Para que un intento de conexión se acepte, debe autenticarse y autorizarse. Es
un intento de conexión posible que el intento de conexión se autentique con credenciales válidas, pero
que no se autorice. Cuando la autenticación se supera pero la autorización falla,
el intento de conexión se rechaza.
Si el servidor de acceso a la red se configura como el proveedor de
autenticación de Windows, Windows Server 2003 realiza la autenticación de las
credenciales del usuario. Las propiedades de acceso telefónico de la cuenta de
usuario y las directivas de acceso remoto almacenadas localmente permiten la
autorización del intento de conexión. Un intento de conexión se acepta si se
autentica y se autoriza.
12 Configurar el acceso a la red

Métodos de autenticación disponibles

*************************************************************************************
Métodos de La autenticación de clientes de acceso remoto es un aspecto de seguridad
autenticación importante. Generalmente, los métodos de autenticación emplean un protocolo
de autenticación que se negocia durante el proceso de establecimiento de la
conexión. La familia de Windows Server 2003 admite los siguiente métodos de
autenticación.
Método de autenticación Descripción

Protocolo de autenticación por desafío 1. Diversos proveedores de servidores y


mutuo (CHAP, Challenge Handshake clientes de acceso a la red emplean
Authentication Protocol) CHAP
2. El Servicio de enrutamiento y acceso
remoto admite CHAP
Protocolo de autenticación de contraseña 3. Emplea contraseñas de texto sin
(PAP, Password Authentication Protocol) formato y es el protocolo de
autenticación menos sofisticado
Protocolo de autenticación de contraseña 4. Protocolo simple de autenticación de
Shiva (SPAP, Shiva Password contraseñas cifradas
Authentication Protocol) 5. Los servidores de acceso remoto
Shiva admiten SPAP
Protocolo de autenticación por desafío 6. Los clientes de Microsoft Windows 95
mutuo de Microsoft (MS-CHAP, emplean MS-CHAP
Microsoft Challenge Handshake 7. Admite solamente clientes de Microsoft
Authentication Protocol)
Protocolo de autenticación por desafío 8. Realiza una autenticación mutua
mutuo de Microsoft versión 2 9. Microsoft Windows 2000 y los
(MS-CHAP v2) sistemas operativos posteriores instalan
MS-CHAP v2 de manera
predeterminada como protocolo de
autenticación de acceso remoto
Configurar el acceso a la red 13

(continuación)
Método de autenticación Descripción

Protocolo de autenticación extensible- 10.Realiza una autenticación mutua


Seguridad de capa de transporte 11.Requiere una infraestructura de
(EAP-TLS, Extensible Authentication certificados de tarjeta inteligente
Protocol-Transport Layer Security)
12.Proporciona el nivel más elevado de
seguridad de autenticación
Protocolo de autenticación extensible 13.Utilizado con redes 802.1x para
protegida (PEAP, Protected Extensible proteger las redes cableadas y las
Authentication Protocol) inalámbricas
14.Se permite el acceso en función de la
identidad del usuario
15.Aumenta la seguridad del cifrado en
redes inalámbricas
Desafío MD-5 16.Permite la autorización EAP mediante
combinaciones de nombre y contraseña
estándar

Autenticación EAP El Protocolo de autenticación extensible (EAP) ofrece un marco que permite la
autenticación personalizada a los servidores de acceso remoto. El método de
autenticación específico se negocia entre el cliente y el servidor de acceso
remoto. Tanto el cliente de acceso remoto como el autenticador deben tener
instalado el mismo módulo de autenticación EAP.
Los proveedores independientes pueden emplear las interfaces de programación
de aplicaciones (API) de EAP para crear nuevos tipos de EAP que podrían
incluir tecnologías como tarjetas testigo o biométrica.
Método de autenticación El uso de certificados y tarjetas inteligentes para la autenticación de usuarios es la
recomendado forma más segura de autenticación remota en la familia de Windows Server 2003.
Las tarjetas inteligentes son un método versátil y a prueba de alteraciones para
proporcionar soluciones de seguridad para tareas, como el inicio de sesión en un
dominio de la familia de Microsoft Windows Server 2003, la conexión a un
servidor de acceso remoto y la protección del correo electrónico. El uso de
certificados de tarjeta inteligente para la autenticación de usuarios requiere una
infraestructura de clave pública (PKI).

Nota La compatibilidad con tarjetas inteligentes criptográficas es una


característica clave de la PKI que Microsoft ha integrado en
Microsoft Windows XP y la familia de Windows Server 2003. Para obtener
más información acerca de PKI, consulte el módulo 5, “Using a PKI to Secure
Information”, del curso 2810, Fundamentals of Network Security.

Para utilizar tarjetas inteligentes en la autenticación del acceso remoto, deberá


hacer lo siguiente:
• Configurar el acceso remoto en el servidor de acceso remoto.
• Instalar un certificado de equipo en el equipo servidor para el acceso remoto.
• Configurar la tarjeta inteligente u otro tipo de EAP de certificado (TLS) en
las directivas de acceso remoto.
• Habilitar la autenticación mediante tarjeta inteligente en la conexión VPN o
de acceso telefónico en el cliente de acceso remoto.
14 Configurar el acceso a la red

Lección: Configurar una conexión VPN

*************************************************************************************
Introducción Esta lección le permite adquirir las técnicas y conocimientos que necesita para
configurar correctamente una conexión VPN.
Objetivos de la lección Después de finalizar esta lección, será capaz de:
• Describir cómo funciona una conexión VPN.
• Describir los componentes de una conexión VPN.
• Explicar qué tipos de protocolos de cifrado se utilizan para las
conexiones VPN.
• Identificar los requisitos de configuración para un servidor VPN.
• Configurar un servidor de acceso remoto para usar una conexión VPN.
• Configurar un cliente de acceso remoto para usar una conexión VPN.
• Configurar la autenticación mediante tarjeta inteligente para el acceso
a la red.
• Configurar una conexión VPN.
Configurar el acceso a la red 15

Cómo funciona una conexión VPN

*************************************************************************************
Introducción El Servicio de enrutamiento y acceso remoto proporciona servicios VPN para
que los usuarios puedan tener acceso a las redes corporativas de una manera
segura al cifrar los datos transmitidos a través de una red de transporte no
segura, como Internet.
Qué es una VPN Una conexión VPN amplía las capacidades de una red privada para abarcar
vínculos a través de redes compartidas o públicas, como Internet. Con una VPN
puede enviar datos cifrados entre dos equipos a través de una red compartida o
pública simulando un vínculo punto a punto en una red privada.
Para simular un vínculo punto a punto, los datos se encapsulan, o empaquetan,
con un encabezado que ofrece información de enrutamiento y que les permite
atravesar la red compartida o pública para alcanzar su punto final. Para simular
un vínculo privado, los datos se cifran con el fin de garantizar la
confidencialidad. Los paquetes que se interceptan en la red compartida o
pública no pueden leerse sin las claves de cifrado. El vínculo donde se
encapsulan y se cifran los datos privados es una conexión VPN. La conexión
VPN también se conoce como túnel VPN.
Proceso de El proceso de una conexión VPN se describe en los siguientes pasos:
conexión VPN
1. Un cliente VPN realiza una conexión VPN a un servidor de acceso remoto o
servidor VPN que está conectado a Internet. (El servidor VPN actúa como
puerta de enlace y normalmente se configura de modo que proporcione
acceso a la red completa a la que está conectado el servidor VPN.)
2. El servidor VPN responde a la llamada virtual.
3. El servidor VPN autentica al autor de la llamada y comprueba su
autorización para conectar.
4. El servidor VPN transfiere datos entre el cliente VPN y la red corporativa.
16 Configurar el acceso a la red

Ventajas de una VPN Las VPN permiten a los usuarios o corporaciones conectarse a servidores
remotos, sucursales o a otras organizaciones a través de una red pública, a la
vez que mantiene comunicaciones seguras. En todos estos casos, la conexión
segura se muestra al usuario como una comunicación de red privada, a pesar de
que la comunicación se efectúa a través de una red pública. Otras ventajas son:
• Beneficios en los costos. VPN no emplea una línea telefónica y requiere
menos hardware (el proveedor de servicios Internet (ISP) se encarga de
mantener el hardware de comunicaciones).
• Seguridad mejorada. Los datos confidenciales se ocultan a los usuarios no
autorizados, pero resultan accesibles a los autorizados a través de la
conexión. El servidor VPN obliga a la autenticación y el cifrado.
• Compatibilidad de protocolos de red. Puede ejecutar remotamente cualquier
aplicación que dependa de los protocolos de red más comunes, como
Protocolo de control de transporte/Protocolo Internet (TCP/IP, Transmission
Control Protocol/Internet Protocol).
• Seguridad de las direcciones IP. Dado que la información enviada a través
de una VPN se cifra, las direcciones que usted especifica se protegen y el
tráfico transmitido a través de Internet solamente tendrá la dirección IP
externa visible. No se incurre en costos administrativos por tener que
cambiar las direcciones IP para el acceso remoto a través de Internet.
Configurar el acceso a la red 17

Componentes de una conexión VPN

*************************************************************************************
Componentes de una Una conexión VPN incluye los siguientes componentes:
conexión VPN
• Servidor VPN. Equipo que acepta conexiones VPN de clientes VPN, como
un servidor configurado con el Servicio de enrutamiento y acceso remoto.
• Cliente VPN. Equipo que inicia una conexión VPN a un servidor VPN.
• Red de tránsito. La red compartida o pública por la que pasan los datos
encapsulados.
• Conexión o túnel VPN. La parte de la conexión donde los datos se cifran y
se encapsulan.
• Protocolos de túnel. Los protocolos que se utilizan para administrar túneles
y encapsular datos privados, por ejemplo, Protocolo de túnel punto a punto
(PPTP, Point-to-Point Tunneling Protocol).
• Datos de túnel. Los datos que suelen enviarse a través de un vínculo punto a
punto privado.
• Autenticación. La identidad del cliente y del servidor en una conexión VPN
se autentican. Para garantizar que los datos recibidos se originan en el otro
extremo de la conexión y que no se han interceptado ni modificado, una
VPN también autentica los datos que se han enviado.
• Asignación de servidores de direcciones y nombres. El servidor VPN es el
responsable de la asignación de direcciones IP y lo hace con el protocolo
predeterminado, Protocolo de configuración dinámica de host (DHCP,
Dynamic Host Configuration Protocol), o a partir de un conjunto estático
que crea el administrador. El servidor VPN también asigna a los clientes
direcciones del servidor de Sistema de nombres de dominio (DNS) y
Servicio de nombres Internet de Windows (WINS). Los servidores de
nombres asignados son aquellos que proporcionan servicios a la intranet
con la que se interconecta el servidor VPN.
18 Configurar el acceso a la red

Protocolos de cifrado para una conexión VPN

*************************************************************************************
Protocolos de túnel Para proteger la comunicación, la familia de Windows Server 2003 emplea dos
tipos de protocolos de túnel (de cifrado):
• Protocolo de túnel punto a punto (PPTP). Emplea los métodos de
autenticación PPP de usuario y Cifrado punto a punto de Microsoft
(MPPE, Microsoft Point-to-Point Encryption) para el cifrado de datos.
• Protocolo de túnel de capa dos con seguridad del protocolo Internet
(L2TP/IPSec). Emplea métodos de autenticación PPP de nivel de usuario
a través de una conexión que se cifra con IPSec. IPSec requiere una
autenticación de host mediante el uso del protocolo Kerberos, el secreto
compartido o los certificados de equipo.

Método de autenticación Se recomienda emplear L2TP/IPSec con certificados para proteger la


recomendado autenticación VPN.
Si se utiliza la autenticación y el cifrado de la Seguridad del protocolo Internet
(IPSec), la transferencia de datos a través de una VPN habilitada para usar
L2TP es tan segura como dentro de una LAN única en una red corporativa.
El cliente VPN y el servidor VPN deben admitir tanto L2TP como IPSec. La
compatibilidad del cliente con L2TP se integra en el cliente de acceso remoto
de Windows XP mientras que la del servidor VPN se integra en la familia de
Windows Server 2003.
La compatibilidad del servidor L2TP se instala a la vez que el Servicio de
enrutamiento y acceso remoto. Dependiendo de sus elecciones cuando ejecuta
el Asistente para la instalación del servidor de enrutamiento y acceso remoto,
L2TP se configura para 5 ó 128 puertos L2TP.
Configurar el acceso a la red 19

Ejemplos de un servidor Dos escenarios habituales en los que se utiliza L2TP/IPSec son:
de acceso remoto con
L2TP/IPSec • Protección de comunicaciones entre clientes de acceso remoto y la red
corporativa a través de Internet.
• Protección de comunicaciones entre sucursales.
20 Configurar el acceso a la red

Requisitos de configuración para un servidor VPN

*************************************************************************************
Introducción Para poder configurar una conexión VPN, deberá habilitar el Servicio de
enrutamiento y acceso remoto. Al habilitarlo, se inicia el Asistente para la
instalación del servidor de enrutamiento y acceso remoto con el que podrá
configurar el servidor VPN. Si el Servicio de enrutamiento y acceso remoto
se habilitó anteriormente, puede configurar el acceso a la red VPN en las
propiedades del servidor de acceso remoto.
Requisitos de En la tabla siguiente se enumera la información que necesita conocer para
configuración configurar un servidor de acceso remoto o VPN.

Antes de agregar una función de servidor VPN Comentarios

Identifique la interfaz de red que se conecta a Internet Durante la configuración se le solicitará que elija el tipo
y la que se conecta a la red privada. de interfaz de red que se conecta a Internet. Si especifica
la interfaz incorrecta, el servidor de acceso remoto o
VPN no funcionará correctamente.
Indique si los clientes remotos recibirán direcciones IP Si cuenta con un servidor DHCP en la red privada,
de un servidor DHCP de la red privada o del servidor el servidor VPN puede conceder 10 direcciones
VPN que está configurando. simultáneamente desde el servidor DHCP y asignarlas
a clientes remotos. Si no dispone del servidor DHCP, el
servidor VPN puede generar y asignar automáticamente
direcciones IP a los clientes remotos. Si desea que el
servidor de acceso remoto o VPN asigne las direcciones
IP de un intervalo que usted determine, deberá indicar
dicho intervalo.
Indique si desea que las solicitudes de conexión de los Agregar un servidor RADIUS resulta útil si piensa
clientes VPN se autentiquen mediante un servidor instalar varios servidores VPN, puntos de acceso
RADIUS o mediante el servidor VPN que está inalámbricos u otros clientes RADIUS a la red privada.
configurando. La incorporación de un servidor RADIUS se describe con
mayor detalle en las siguientes lecciones de este módulo.
Configurar el acceso a la red 21

Cómo configurar un servidor de acceso remoto para usar una


conexión VPN

*************************************************************************************
Introducción Si desea configurar un servidor VPN, primero deberá agregar la función de
servidor de acceso remoto o servidor VPN. Debe ser miembro del grupo
Administradores en el equipo local para agregar una función de servidor.
Una vez haya agregado la función de servidor VPN, puede usar el Asistente
para configurar su servidor, que le ayudará a configurar el servidor para usar
una conexión VPN. En Administre su servidor, haga clic en Agregar o quitar
función y, a continuación, seleccione la función Servidor de acceso
remoto/VPN.

Nota Para realizar este procedimiento, debe ser miembro del grupo
Administradores en el equipo local. Cómo práctica de seguridad recomendada,
considere la opción de utilizar el comando Ejecutar como en lugar de iniciar
la sesión con credenciales administrativas. Si ha iniciado una sesión con
credenciales administrativas, también puede abrir Enrutamiento y acceso
remoto si hace clic en Inicio y Panel de control, hace doble clic en
Herramientas administrativas y, a continuación, hace doble clic en
Enrutamiento y acceso remoto.

Directrices para Un administrador de dominio debe agregar la cuenta de equipo del servidor
registrar el servidor de apropiado al grupo de seguridad Servidores RAS e IAS en el dominio del que
acceso remoto en Active ese servidor sea miembro. El administrador de dominio puede agregar la cuenta
Directory del equipo al grupo de seguridad Servidores RAS e IAS mediante Usuarios y
equipos de Active Directory o con el comando netsh ras add registeredserver.
Por ejemplo, para registrar el servidor de acceso remoto Vancouver en el
dominio nwtraders, en el símbolo del sistema escriba netsh ras add
registeredserver nwtraders Vancouver.
22 Configurar el acceso a la red

Procedimiento para Para registrar un servidor de acceso remoto en Active Directory:


registrar un servidor
de acceso remoto en 1. Inicie la sesión con una cuenta de usuario que tenga permisos para registrar
Active Directory un servidor de acceso remoto en Active Directory.
2. En el símbolo del sistema, escriba lo siguiente:
netsh ras add registeredserver NombreDeDominio NombreDeEquipo
(donde NombreDeDominio es el nombre del dominio donde está registrando
el servidor de acceso remoto y NombreDeEquipo corresponde al servidor de
acceso remoto).

Procedimiento de Para configurar un servidor de acceso remoto con el fin de usar una
configuración de un conexión VPN:
servidor de acceso
remoto para usar una 1. Inicie una sesión con una cuenta de usuario no administrativa.
conexión VPN
2. Haga clic en Inicio y, después, en Panel de control.
3. En Panel de control, abra Herramientas administrativas y, a continuación,
haga clic con el botón secundario del mouse (ratón) en Administre su
servidor y seleccione Ejecutar como.
4. En el cuadro de diálogo Ejecutar como, seleccione la opción El siguiente
usuario y, a continuación, escriba una cuenta de usuario y contraseña que
posea los permisos apropiados para completar la tarea, y haga clic en
Aceptar.
5. En la ventana Administre su servidor, haga clic en Agregar o quitar
función para tener acceso al Asistente para configurar su servidor.
6. En la página Pasos preliminares, haga clic en Siguiente.
7. En la página Función del servidor, haga clic en Servidor de acceso
remoto/VPN y, a continuación, haga clic en Siguiente.
8. En la página Resumen de las selecciones, haga clic en Siguiente.
9. En la página Éste es el Asistente para instalación del servidor de
enrutamiento y acceso remoto, haga clic en Siguiente.
10. En la página Configuración, seleccione Acceso remoto (acceso telefónico
o red privada virtual) y, a continuación, haga clic en Siguiente.
11. En la página Acceso remoto, compruebe que la opción VPN está
seleccionada y haga clic en Siguiente.
12. En la página Conexión VPN, haga clic en la interfaz de red que conecta
el equipo a Internet. La interfaz de red que elija podrá configurarse para
recibir conexiones de los clientes VPN. Las interfaces que no elija se
configurarán como una conexión a la red privada.
13. En la página Asignación de direcciones IP, seleccione la opción
Automáticamente o De un intervalo de direcciones especificado.
La opción seleccionada de manera predeterminada es Automáticamente.
Esta selección configura el servidor para generar y asignar direcciones
IP a clientes remotos. Haga clic en Siguiente.
14. En la página Administrar servidores de acceso remoto múltiples, la
opción No, usar Enrutamiento y acceso remoto para autenticar las
solicitudes de conexión se selecciona automáticamente. No cambie la
selección. Esta selección configura el servidor para autenticar las solicitudes
de conexión localmente mediante la autenticación de Windows, la
administración de cuentas de Windows y las directivas de acceso remoto
almacenadas localmente. Haga clic en Siguiente.
Configurar el acceso a la red 23

15. En la página Finalización del Asistente para instalación del servidor


de enrutamiento y acceso remoto, revise la información del resumen.
Compruebe lo siguiente:
• Los clientes VPN se conectan a la interfaz pública correcta.
• Se asignan direcciones IP a los clientes VPN para la interfaz de red
correcta.
• Las conexiones de clientes se aceptan y se autentican empleando
directivas de acceso remoto para este servidor VPN.
16. Si hay información de resumen incorrecta, haga clic en Atrás y cámbiela.
Si la información de resumen es correcta, haga clic en Finalizar.
17. Aparece un cuadro de mensaje de Enrutamiento y acceso remoto con el
texto “Windows no ha podido agregar este equipo a la lista de servidores de
acceso remoto válidos en Active Directory. Para que pueda usar este equipo
como servidor de acceso remoto, el administrador de dominio debe terminar
esta tarea.”. Haga clic en Aceptar.
18. Aparece un cuadro de mensaje de Enrutamiento y acceso remoto con el
texto “Para que el relevo de mensajes DHCP desde un cliente de acceso
remoto sea compatible, configure las propiedades del Agente de
retransmisión DHCP con las direcciones IP de su servidor DHCP”.
Haga clic en Aceptar.
19. El Servicio de enrutamiento y acceso remoto se iniciará automáticamente y
volverá a aparecer el Asistente para configurar su servidor. En la página
Este servidor es ahora un servidor VPN de acceso remoto, haga clic en
Finalizar.

Nota Debe comprobar que haya bastantes puertos configurados para permitir
suficientes conexiones simultáneas al servidor.

Procedimiento para Para configurar el número de puertos disponibles en el servidor:


configurar el número de
puertos disponibles en 1. Abra la consola de Enrutamiento y acceso remoto.
el servidor 2. En la consola de Enrutamiento y acceso remoto, expanda NombreDeEquipo,
haga clic en Puertos y, a continuación, en el menú Acción, haga clic en
Propiedades.
3. En el cuadro de diálogo Propiedades de Puertos, seleccione el puerto
apropiado y haga clic en Configurar.
4. En el cuadro de diálogo Configurar dispositivo – NombreDeDispositivo,
escriba el número máximo de puertos en el campo Número máximo de
puertos.
5. Haga clic en Aceptar para cerrar el cuadro de diálogo Configurar
dispositivo – NombreDeDispositivo y, a continuación, haga clic en
Aceptar para cerrar el cuadro de diálogo Propiedades de Puertos.
24 Configurar el acceso a la red

Cómo configurar un cliente de acceso remoto para usar una


conexión VPN

*************************************************************************************
Introducción Puede utilizar Conexiones de red al configurar un cliente para usar una
conexión VPN. Una vez haya creado una conexión nueva, puede copiarla a la
carpeta Conexiones de red, cambiar el nombre de la conexión y modificar la
configuración. Copiar la nueva conexión a la carpeta Conexiones de red es un
modo rápido de crear conexiones diferentes que se adapten a diversos módems,
ISP, perfiles de marcado, etcétera.

Nota Es recomendable que inicie sesión con una cuenta que no tenga
credenciales administrativas y que ejecute el comando Ejecutar como con una
cuenta de usuario que disponga de las credenciales administrativas apropiadas
para realizar esta tarea.
Configurar el acceso a la red 25

Procedimiento Para configurar un cliente de acceso remoto para usar una conexión VPN:
1. Haga clic en Inicio y, después, en Panel de control.
2. En el Panel de control, haga clic en Conexiones de red.
3. En Conexiones de red, haga doble clic en Asistente para conexión nueva.
4. En la página Éste es el Asistente para conexión nueva, haga clic
en Siguiente.
5. En la página Tipo de conexión de red, seleccione Conectarse a la red
de mi lugar de trabajo y, a continuación, haga clic en Siguiente.
6. En la página Conexión de red, seleccione Conexión de red privada
virtual y, a continuación, haga clic en Siguiente.
7. En la página Nombre de la conexión, escriba el nombre correspondiente a
la conexión (generalmente se utiliza el nombre de la organización) y haga
clic en Siguiente.
8. En la página Selección del servidor VPN, escriba el nombre de host (por
ejemplo, Microsoft.com) o la dirección IP del servidor VPN al que se va a
conectar y, a continuación, haga clic en Siguiente.
9. En la página Disponibilidad de la conexión, si tiene permisos
administrativos en el equipo local, puede seleccionar El uso de cualquier
persona o Sólo para mi uso. Si ha iniciado una sesión con una cuenta no
administrativa, entonces solamente puede seleccionar la opción Sólo para
mi uso. Haga clic en Siguiente.
10. En la página Finalización del Asistente para conexión nueva, haga clic
en Finalizar.
26 Configurar el acceso a la red

Cómo configurar la autenticación mediante tarjeta inteligente en un


servidor de acceso remoto

*************************************************************************************
Introducción El uso de tarjetas inteligentes para la autenticación de usuarios es la forma más
segura de autenticación en la familia de Windows Server 2003. Para las
conexiones de acceso remoto, debe utilizar EAP con tarjeta inteligente u otro
tipo de EAP de certificado (TLS), también conocido como EAP-TLS.
Procedimiento Para configurar la autenticación mediante tarjeta inteligente en un servidor
de acceso remoto:
1. Abra la consola de Enrutamiento y acceso remoto.
2. Haga clic con el botón secundario del mouse en el nombre del servidor
de acceso remoto y, a continuación, haga clic en Propiedades.
3. En la ficha Seguridad, haga clic en Métodos de autenticación.
4. En el cuadro de diálogo Métodos de autenticación, compruebe que la
casilla de verificación Protocolo de autenticación extensible (EAP)
está activada y, a continuación, haga clic en Aceptar dos veces.
5. Expanda el servidor de acceso remoto y, a continuación, haga clic en
Directivas de acceso remoto.
6. En el panel de detalles, haga clic con el botón secundario del mouse en la
directiva de acceso remoto que emplearán los clientes de acceso remoto con
tarjetas inteligentes, haga clic en Propiedades y, a continuación, haga clic
en Editar perfil.
Configurar el acceso a la red 27

7. En la ficha Autenticación, haga clic en Métodos EAP.


8. En el panel Seleccionar proveedores de EAP, si el tipo de EAP necesario
no aparece, haga clic en Agregar.
9. En el cuadro de diálogo Agregar EAP, haga clic en Tarjeta inteligente u
otro certificado o haga clic en EAP protegido (PEAP) y, después, en
Aceptar.
10. Si el método de EAP con tarjeta inteligente que ha agregado requiere un
certificado, seleccione el método, haga clic en Modificar, seleccione un
certificado y haga clic en Aceptar.
11. Haga clic en Aceptar para guardar la configuración del perfil y, a
continuación, haga clic en Aceptar de nuevo para guardar la configuración
de la directiva.
28 Configurar el acceso a la red

Ejercicio: Configurar una conexión VPN

*************************************************************************************
Objetivo En este ejercicio, va a configurar una conexión VPN.
Instrucciones Para completar este ejercicio, consulte el documento Valores del plan de
implementación, incluido en el apéndice al final del cuaderno de trabajo.
Es recomendable que inicie sesión con una cuenta que no tenga credenciales
administrativas y que ejecute el comando Ejecutar como con una cuenta de
usuario que disponga de las credenciales administrativas apropiadas para
realizar esta tarea.

Importante Como el servidor ya está configurado como enrutador de


Enrutamiento y acceso remoto, no necesitará utilizar el Asistente para
enrutamiento y acceso remoto para configurarlo como servidor VPN. Deberá
configurar el servidor de manera que admita las conexiones VPN mediante el
Servicio de enrutamiento y acceso remoto instalado anteriormente. Al configurar
el servidor como un enrutador LAN y un servidor de acceso remoto, puede
habilitar conexiones de clientes VPN además de enrutar dichos clientes a la red.

Situación de ejemplo Algunos ingenieros de pruebas del departamento de laboratorio desean trabajar
de manera remota desde su domicilio. Allí disponen de conexión a Internet. El
ingeniero de sistemas ha decidido admitir la solicitud de estos usuarios remotos
y le ha pedido a usted que configure un servidor de acceso remoto para poder
usar VPN. También tendrá que configurar un equipo cliente con conectividad
VPN de modo que pueda comprobar el acceso remoto a la red.
Configurar el acceso a la red 29

Ejercicio Configurar un servidor de acceso remoto para usar una conexión VPN
• Complete esta tarea desde los equipos de ambos alumnos.
• Nombre de usuario: nwtraders\NombreDeEquipoAdmin
• Contraseña: P@ssw0rd
• Función del servidor: Servidor de acceso remoto/VPN
• Configuración: Acceso remoto (acceso telefónico o red privada virtual)
• Acceso remoto: VPN
• Interfaz de conexión VPN: Conexión de red del asociado
• Asignación de dirección IP: De un intervalo de direcciones especificado
• Asignación de intervalo de direcciones: 10.x.0.10 (donde x es su número de
identificación de alumno)
• Número de direcciones: 5
• Administrar servidores de acceso remoto múltiples: No, usar Enrutamiento
y acceso remoto para autenticar las solicitudes de conexión

Registrar el servidor de acceso remoto en Active Directory


• Complete esta tarea desde los equipos de ambos alumnos.
• Nombre de usuario: nwtraders\Administrador
• Contraseña: P@ssw0rd
• Herramienta administrativa: netsh

Configurar un cliente de acceso remoto con conectividad VPN


• Complete esta tarea desde los equipos de ambos alumnos.
• Tipo de conexión de red: Conectarse a la red de mi lugar de trabajo
• Conexión de red: Conexión de red privada virtual
• Nombre de conexión: VPN NombreDeEquipo (donde NombreDeEquipo
es el nombre del equipo de su compañero)
• Selección del servidor VPN: La dirección IP de la interfaz Conexión de red
del asociado del equipo de su compañero
• Acceso directo en el escritorio: Sí
• En el cuadro de diálogo Conectarse a VPN NombreDeEquipo, haga clic
en Cancelar.

Nota Debe completar los ejercicios restantes para poderse conectar


al servidor VPN.
30 Configurar el acceso a la red

Lección: Configurar una conexión de acceso telefónico

*************************************************************************************
Introducción Esta lección le permite adquirir las técnicas y conocimientos que necesita para
configurar correctamente una conexión de acceso telefónico.
Objetivos de la lección Después de finalizar esta lección, será capaz de:
• Describir cómo funciona el acceso a la red de acceso telefónico.
• Describir los componentes de una conexión de acceso telefónico.
• Explicar qué tipos de métodos de autenticación se utilizan en una conexión
de acceso telefónico.
• Identificar los requisitos de configuración para un servidor de acceso remoto.
• Configurar un servidor de acceso remoto para usar una conexión de acceso
telefónico.
• Configurar un cliente de acceso remoto para usar una conexión de acceso
telefónico.
Configurar el acceso a la red 31

Cómo funciona el acceso a la red de acceso telefónico

*************************************************************************************
Introducción Puede utilizar un servidor que tenga configurado el Servicio de enrutamiento y
acceso remoto para proporcionar acceso telefónico a la intranet corporativa.
Qué es el acceso Se denomina acceso telefónico a redes al proceso por el que un cliente de
telefónico a redes acceso remoto que efectúa una conexión de acceso telefónico temporal a un
puerto físico en un servidor de acceso remoto mediante el servicio de un
proveedor de telecomunicaciones, como un teléfono analógico, Red digital de
servicios integrados (RDSI o ISDN) o X.25.
El acceso telefónico a redes a través de un teléfono analógico o RDSI es una
conexión física directa entre el cliente y el servidor de acceso telefónico a la
red. Puede cifrar los datos que se envían durante la conexión, aunque no es
necesario.
El proceso de El proceso de acceso telefónico a una red se describe en los siguientes pasos:
acceso telefónico
1. Un cliente marca al servidor de acceso remoto.
2. El equipo de acceso telefónico que está instalado en el servidor de acceso
remoto responde a las solicitudes de conexión entrantes de los clientes de
acceso telefónico a la red.
3. El servidor de acceso remoto autentica y autoriza al autor de la llamada.
4. El servidor de acceso remoto transfiere los datos entre el cliente de acceso
telefónico a redes y la intranet de la organización. (El servidor de acceso
remoto actúa como puerta de enlace y proporciona acceso a toda la red a la
que está conectado el servidor de acceso remoto.)
32 Configurar el acceso a la red

Hardware necesario Para el acceso telefónico a la red se precisa un equipo determinado. Por ejemplo,
para las conexiones de para permitir la conexión simultánea de varios clientes de acceso telefónico,
acceso telefónico puede instalar un banco de módems configurados con las conexiones apropiadas
al proveedor de telecomunicaciones local. También necesitará un adaptador
de varios puertos de módem que deberá instalar en el servidor que ejecute
Enrutamiento y acceso remoto y que permitirá la conexión al banco de módems.
El adaptador del banco de módems incorpora controladores que se instalan en
el servidor que ejecuta el Servicio de enrutamiento y acceso remoto, de manera
que el banco de módems se muestre como un dispositivo con varios puertos
de módem.
Diversos proveedores ofrecen también una tarjeta única con múltiples
módems. Debe comprobar si el hardware se encuentra en la Lista de
compatibilidad de hardware de Microsoft Windows en el sitio Web
de Microsoft (http://www.microsoft.com/).
Configurar el acceso a la red 33

Componentes de una conexión de acceso telefónico

*************************************************************************************
Componentes de una Una conexión de acceso telefónico incluye los siguientes componentes:
conexión de acceso
telefónico • Servidor de acceso remoto. Equipo que acepta conexiones de acceso
telefónico de clientes de acceso telefónico, como un servidor configurado
con el Servicio de enrutamiento y acceso remoto. Cliente de acceso
telefónico. Equipo que inicia una conexión de acceso telefónico a un
servidor de acceso telefónico.
• Protocolos de LAN y de acceso remoto. Los programas de aplicaciones
emplean protocolos de LAN para transportar la información. Los protocolos
de acceso remoto se utilizan para negociar conexiones y proporcionar un
marco para los datos del protocolo de LAN que se envían a través de
vínculos de red de área extensa (WAN, Wide Area Network).
• Opciones WAN. Los clientes pueden marcar a la red con líneas de teléfono
estándar y un módem o conjunto de módems. Existe la posibilidad de
establecer vínculos más rápidos mediante RDSI. También puede conectar
clientes de acceso remoto a servidores de acceso remoto con X.25 o con el
modo de transferencia asincrónico (ATM, Asynchronous Transfer Mode).
Las conexiones directas también se admiten a través de un cable de módem
de conexión directa RS-232C, una conexión de puerto paralelo o una
conexión por infrarrojos.
• Autenticación. La identidad del cliente y del servidor en una conexión de
acceso telefónico se autentican. El uso de tarjetas inteligentes para la
autenticación de usuarios es la forma más segura de autenticación en la
familia de Windows Server 2003.
• Asignación de servidores de direcciones y nombres. El servidor de acceso
remoto se encarga de asignar direcciones IP, para lo que usa el método
predeterminado, DHCP. El servidor de acceso remoto también asigna
direcciones de servidor DNS y WINS a los clientes. Los servidores de
nombres que asignan las direcciones para los clientes de acceso remoto son
los que atienden a la intranet a la que se conecta el servidor de acceso remoto.
34 Configurar el acceso a la red

Métodos de autenticación para una conexión de acceso telefónico

*************************************************************************************
Introducción La familia de Windows Server 2003 admite los siguiente métodos de
autenticación para el acceso telefónico a redes:
• CHAP
• PAP
• SPAP
• MS-CHAP
• MS-CHAP v2
• EAP-TLS
• EAP-Desafío MD5

Nota Para obtener información adicional acerca de estos protocolos de


autenticación, consulte el tema Autenticación de acceso a la red en la lección
Introducción a una infraestructura de acceso a la red, en este módulo.

Método de autenticación La forma más segura de autenticación para las versiones anteriores de Windows
recomendado es EAP-TLS, un método de autenticación mutuo mediante el que el cliente y el
servidor demuestran la validez de sus identidades uno a otro. Durante el
proceso de autenticación, el cliente de acceso remoto envía su certificado de
usuario y el servidor de acceso remoto envía su certificado de equipo. Si alguno
de los dos certificados no se envía o no es válido, la conexión se interrumpe.
Configurar el acceso a la red 35

Método de autenticación El uso de certificados y tarjetas inteligentes con EAP-TLS para la autenticación
más seguro para la de usuarios es la forma más segura de autenticación de la familia de Windows
familia de Windows Server 2003. Esta técnica requiere una PKI.
Server 2003
Nota La compatibilidad con tarjetas inteligentes criptográficas es una
característica clave de la PKI que Microsoft ha integrado en
Microsoft Windows XP y la familia de Windows Server 2003. Para obtener
más información acerca de PKI, consulte el módulo 5, “Using a PKI to
Secure Information”, del curso 2810, Fundamentals of Network Security.
36 Configurar el acceso a la red

Requisitos de configuración para un servidor de acceso remoto

*************************************************************************************
Requisitos de En la tabla siguiente se enumera la información que necesita conocer para
configuración configurar un servidor de acceso remoto para usar acceso telefónico.

Antes de agregar una función de


servidor de acceso remoto Comentarios

Indique si los clientes remotos recibirán Si cuenta con un servidor DHCP en la red
direcciones IP de un servidor DHCP de privada, el servidor VPN puede conceder
la red privada o del servidor de acceso 10 direcciones simultáneamente desde el
remoto que está configurando. servidor DHCP y asignarlas a clientes
remotos. Si no dispone del servidor
DHCP, el servidor de acceso telefónico
puede generar y asignar automáticamente
direcciones IP a los clientes remotos. Si
desea que el servidor de acceso remoto
asigne las direcciones IP de un intervalo
que usted determine, deberá indicar dicho
intervalo.
Indique si desea que las solicitudes de Agregar un servidor RADIUS resulta útil si
conexión de los clientes de acceso piensa instalar varios servidores de acceso
telefónico se autentiquen mediante un remoto, puntos de acceso inalámbricos u
servidor RADIUS o mediante el servidor otros clientes RADIUS a la red privada.
de acceso remoto que está configurando. La incorporación de un servidor RADIUS
se describe con mayor detalle en las
siguientes lecciones de este módulo.
Compruebe que todos los usuarios tienen Para que los usuarios puedan conectarse a
cuentas de usuario configuradas para el la red, deben tener cuentas de usuario en
acceso telefónico. el servidor de acceso remoto o en Active
Directory. Cada cuenta de usuario
contiene propiedades que determinan
si el usuario puede conectarse.
Configurar el acceso a la red 37

Cómo configurar un servidor de acceso remoto para usar una


conexión de acceso telefónico

*************************************************************************************
Introducción Si desea configurar un servidor de acceso remoto para usar acceso telefónico,
primero deberá agregar la función de servidor de acceso remoto o servidor VPN.
Cuando lo haya hecho, el Asistente para instalación del servidor de enrutamiento
y acceso remoto proporciona instrucciones en pantalla que le guiarán a través del
proceso de configuración de conexiones de acceso telefónico.

Nota Es recomendable que inicie sesión con una cuenta que no tenga
credenciales administrativas y que ejecute el comando Ejecutar como con una
cuenta de usuario que disponga de las credenciales administrativas apropiadas
para realizar esta tarea.
38 Configurar el acceso a la red

Procedimiento Para configurar el servidor de acceso remoto para usar una conexión de
acceso telefónico:
1. Abra Administre su servidor y, a continuación, haga clic en Agregar o
quitar función.
2. En la página Pasos preliminares, haga clic en Siguiente.
3. En la página Función del servidor, seleccione Servidor de acceso
remoto/VPN y, a continuación, haga clic en Siguiente.
4. En la página Resumen de las selecciones, haga clic en Siguiente.
5. En la página Éste es el Asistente para instalación del servidor de
enrutamiento y acceso remoto, haga clic en Siguiente.
6. En la página Configuración, seleccione Acceso remoto (acceso telefónico
o red privada virtual) y, a continuación, haga clic en Siguiente.
7. En la página Acceso remoto, haga clic en Acceso telefónico y, a
continuación, haga clic en Siguiente.
8. En la página Selección de red, seleccione la interfaz de red que está
conectada a Internet y, a continuación, haga clic en Siguiente.
9. En la página Asignación de dirección IP, haga clic en Siguiente.
10. En la página Administrar servidores de acceso remoto múltiples,
haga clic en Siguiente.
11. En la página Finalización del Asistente para instalación del servidor
de enrutamiento y acceso remoto, haga clic en Finalizar.
12. En el cuadro de diálogo Enrutamiento y acceso remoto, haga clic
en Aceptar.
13. En la página Este servidor es ahora un servidor de acceso remoto/VPN,
haga clic en Finalizar.
Configurar el acceso a la red 39

Cómo configurar un cliente de acceso remoto para usar una


conexión de acceso telefónico

*************************************************************************************
Introducción Puede utilizar Conexiones de red con el fin de configurar un cliente para usar
una conexión de acceso telefónico. Posteriormente puede cambiar esta conexión
modificando las opciones de configuración. Las opciones de acceso telefónico,
como el número de teléfono de la conexión, el número de intentos de marcado,
etcétera, se definen para cada conexión. Estas opciones relativas a la situación
anterior y posterior a la conexión no modifican ni afectan a las opciones de
configuración de otras conexiones.

Nota Es recomendable que inicie sesión con una cuenta que no tenga
credenciales administrativas y que ejecute el comando Ejecutar como con una
cuenta de usuario que disponga de las credenciales administrativas apropiadas
para realizar esta tarea.
40 Configurar el acceso a la red

Procedimiento de Para configurar un cliente de acceso remoto con una conexión de


configuración de un acceso telefónico:
cliente para usar una
conexión de acceso 1. Haga clic en Inicio y, después, haga clic en Panel de control.
telefónico
2. En Panel de control, haga clic en Conexiones de red.
3. En Conexiones de red, haga doble clic en Asistente para conexión nueva.
4. En la página Éste es el Asistente para conexión nueva, haga clic
en Siguiente.
5. En la página Tipo de conexión de red, seleccione Conectarse a la red de
mi lugar de trabajo y, a continuación, haga clic en Siguiente.
6. En la página Conexión de red, seleccione Conexión de acceso telefónico
y, a continuación, haga clic en Siguiente.
7. En la página Nombre de la conexión, escriba el nombre de la conexión
(generalmente se utiliza el nombre de la organización) y haga clic en
Siguiente.
8. En la página Número de teléfono que desea marcar, escriba el número de
la conexión y haga clic en Siguiente.
9. En la página Disponibilidad de conexión, seleccione El uso de cualquier
persona o Sólo para mi uso y, a continuación, haga clic en Siguiente.
10. En la página Finalización del Asistente para conexión nueva, haga clic
en Finalizar.

Procedimiento para Para modificar la configuración de una conexión de acceso telefónico:


modificar una conexión
de acceso telefónico 1. Abra Conexiones de red.
2. Haga clic con el botón secundario del mouse en la conexión de acceso
telefónico que desee modificar y, a continuación, haga clic en Propiedades.
3. Efectúe las modificaciones oportunas en cualquiera de las siguientes fichas:
• General. Cambie los dispositivos de marcado, números de teléfono,
dirección de host, códigos de país o región, o reglas de marcado.
• Opciones. Cambie las opciones de marcar y de volver a marcar,
la configuración multivínculo o los parámetros de X.25.
• Seguridad. Cambie la autenticación de la identidad, el cifrado de datos,
la ventana de terminal y las opciones de secuencia de comandos.
• Funciones de red. Cambie las configuraciones para el servidor de
acceso remoto y los protocolos que se utilizan para esta conexión.
Configurar el acceso a la red 41

Lección: Configurar una conexión inalámbrica

*************************************************************************************
Introducción Antes de implementar conexiones de LAN inalámbricas en una organización,
resulta de utilidad conocer los componentes de una LAN inalámbrica segura y
de qué modo funcionan conjuntamente para proporcionar un acceso
inalámbrico a la red.
Objetivos de la lección Después de finalizar esta lección, será capaz de:
• Explicar en qué consiste el acceso a la red inalámbrica.
• Describir los componentes que se utilizan para el acceso a la red inalámbrica.
• Explicar cuáles son los estándares inalámbricos.
• Explicar qué tipos de métodos de autenticación se utilizan para una
conexión inalámbrica.
• Definir los requisitos necesarios para configurar un cliente Windows XP
Professional para que tenga acceso a una red inalámbrica.
• Configurar un cliente de acceso a la red para usar una conexión inalámbrica.
42 Configurar el acceso a la red

Descripción general del acceso a una red inalámbrica

*************************************************************************************
Introducción Microsoft Windows XP y Windows Server 2003 proporcionan numerosas
funciones para la tecnología de redes inalámbricas con el fin de extender las
redes corporativas a los dispositivos inalámbricos.
Qué es una red Una red inalámbrica emplea tecnología que permite que dos o más dispositivos
inalámbrica se comuniquen a través de protocolos de red estándar y ondas
electromagnéticas (sin cableado de red) para transportar las señales a través de
parte o de toda la infraestructura de red. Entre los dispositivos que suelen
utilizarse para el acceso a una red inalámbrica se incluyen los equipos
portátiles, los equipos de bolsillo, los PDA, los teléfonos móviles, los equipos
basados en lápiz y los localizadores (o “buscas”).
Ventajas de una WLAN Puede emplear una LAN inalámbrica (WLAN, Wireless LAN) en oficinas
esporádicas u otros espacios donde la instalación de un cableado extensivo sería
demasiado costosa o para complementar a una LAN existente de manera que
los usuarios puedan trabajar en distintas ubicaciones dentro del edificio en
diferentes momentos. Los usuarios móviles pueden emplear teléfonos móviles,
PDA, equipos portátiles y otros dispositivos para tener acceso al correo
electrónico. Los viajeros con equipos portátiles pueden conectarse a Internet a
través de emisoras base instaladas en aeropuertos, estaciones ferroviarias y
otros lugares públicos.
Configurar el acceso a la red 43

Las WLAN pueden Una WLAN funciona de dos modos diferentes, definidos por el estándar IEEE
funcionar de dos 802.11 del Institute of Electrical and Electronics Engineers (Instituto de
modos diferentes ingenieros eléctricos y electrónicos):
• WLAN de infraestructura de punto de acceso. Las emisoras inalámbricas
(dispositivos con tarjetas de red de radio o módems externos) se conectan a
los puntos de acceso inalámbrico que funcionan como puentes entre las
emisoras y la red troncal existente. Por ejemplo, los usuarios de dispositivos
inalámbricos dentro de un edificio corporativo o universitario pueden tener
acceso a los recursos de la red como si estuvieran conectados a la red del
modo tradicional.
• WLAN de igual a igual (ad hoc). En una red de igual a igual, los clientes
inalámbricos se comunican directamente entre ellos sin necesidad de
cableado. Por ejemplo, varios usuarios de una zona limitada, como una
sala de conferencias, pueden formar una red temporal sin necesidad de usar
puntos de acceso. Aunque pueden comunicarse y compartir recursos, no
pueden tener acceso a los recursos de la red que no forman parte de esa red
de igual a igual.
44 Configurar el acceso a la red

Componentes de una conexión inalámbrica

*************************************************************************************
Componentes de una Una red LAN inalámbrica está formada por los siguientes componentes:
conexión inalámbrica
• Cliente inalámbrico (emisora). Una emisora es un dispositivo informático
equipado con un adaptador de red LAN inalámbrica. Un equipo personal
que disponga de un adaptador de red LAN inalámbrica se conoce también
como cliente inalámbrico. Los clientes inalámbricos pueden comunicarse
directamente entre sí o a través de un punto de acceso inalámbrico.
• Punto de acceso inalámbrico. Es un dispositivo de red equipado con
un adaptador de red LAN inalámbrica que actúa como puente entre las
emisoras y una red con cableado tradicional. Un punto de acceso contiene
los siguientes elementos:
• Al menos una interfaz que conecta el punto de acceso a una red cableada
existente (como una red troncal Ethernet).
• Un equipo de radio mediante el cual crea conexiones inalámbricas a los
clientes inalámbricos.
• Un software de puente que cumpla el estándar IEEE 802.1D, para actuar
como un puente transparente entre las redes inalámbricas y las cableadas.
• Puertos. Un puerto es un canal de un dispositivo que puede admitir una sola
conexión punto a punto. Un cliente inalámbrico típico con un único adaptador
de red LAN inalámbrica posee un único puerto y puede admitir una sola
conexión inalámbrica. Un punto de acceso inalámbrico típico posee múltiples
puertos y puede admitir varias conexiones inalámbricas simultáneas.
Configurar el acceso a la red 45

• Autenticación. El Servicio de enrutamiento y acceso remoto proporciona


servicios de autenticación como el Servicio de autenticación de Internet
(IAS) y métodos de autenticación 802.1x. Windows Server 2003 también
ofrece servicios personalizables para emitir y administrar certificados que
se utilizan en sistemas de seguridad de software que emplean tecnología de
clave pública.
• Asignación de servidores de direcciones y nombres. El Servicio de
enrutamiento y acceso remoto admite redes inalámbricas del mismo modo
que otros clientes de acceso remoto, como los clientes VPN o de acceso
telefónico. El Servicio de enrutamiento y acceso remoto permite la
asignación de direcciones IP y directivas de acceso remoto que son
exclusivas para los clientes de redes inalámbricas.
46 Configurar el acceso a la red

Estándares inalámbricos

*************************************************************************************
Qué es 802.11 802.11, también conocido como Wi-Fi, es un conjunto de especificaciones para
redes WLAN que ha desarrollado un grupo de trabajo del IEEE. 802.11 define
la parte física y de control de acceso al medio (MAC, Media Access Control)
de la capa de vínculo de datos en el modelo Interconexión de sistemas abiertos
(OSI, Open Systems Interconnection). La capa MAC es la misma para todos los
estándares 802.11, pero la implementación física varía.

Nota En las especificaciones IEEE 802.x, MAC es la inferior de dos subcapas


que conforman la capa de vínculo de datos de la Organización Internacional de
Normalización/OSI (ISO, International Organization for Standardization).
MAC administra el acceso a la red física, delimita las tramas y se ocupa del
control de errores.

De 802.11 a 802.11g 802.11b admite tasas de bits superiores que la especificación 802.11 original.
802.11b admite dos velocidades adicionales: 5,5 megabits por segundo (Mbps) y
11 Mbps. Presenta un buen alcance, aunque es susceptible a las interferencias de
señales de radio. Numerosos proveedores ofrecen dispositivos 802.11b a precios
bastante asequibles para el mercado doméstico y de las pequeñas empresas.
802.11a permite velocidades de comunicación más rápidas, hasta 54 Mbps,
pero generalmente con un alcance más corto. Esta tecnología de velocidad
superior permite que las redes LAN inalámbricas funcionen mejor para las
aplicaciones de vídeo y de conferencia. Emplea 12 canales independientes no
superpuestos, de manera que funciona bien en zonas muy pobladas y ofrece
una mayor resistencia a las interferencias y un rendimiento superior. Utiliza una
parte diferente del espectro de radio del que usan 802.11, 802.11b y 802.11g, de
manera que no puede funcionar con ellos.
802.11g es una mejora de 802.11b, además de ser compatible con dicho
estándar. La actualización de b a g puede efectuarse mediante una actualización
de firmware en lugar de requerir la actualización de todo el hardware. Admite
velocidades de hasta 54 Mbps, aunque con un menor alcance que 802.11b.
Al igual que 802.11b, es susceptible a las interferencias.
Configurar el acceso a la red 47

802.1x La extensión 802.1x a 802.11 define un modo de autenticar el acceso al puerto


antes de permitir el acceso a la red. Se diseñó para solucionar algunas de las
limitaciones de la seguridad con dispositivos inalámbricos de 802.11, pero
también puede utilizarse para LAN cableadas. Para la autenticación, 802.1x
puede emplear certificados con EAP-TLS, contraseñas con EAP-MS-CHAP v2
o PEAP. PEAP puede configurarse con TLS o con MS-CHAP v2. PEAP-TLS
es el mecanismo de autenticación recomendado, ya que proporciona el método
de autenticación y de determinación de claves más seguro y robusto. Para
utilizar MS-CHAP v2, se requiere un certificado en el servidor de acceso a la
red. Si se usa PEAP-TLS, se precisan certificados para el cliente y los
servidores de acceso a la red. 802.1x requiere una inversión en hardware e
infraestructura.
Lectura complementaria Para obtener información adicional acerca de cómo ha implementado Microsoft
diferentes tecnologías inalámbricas, consulte el documento técnico Microsoft
Wireless LAN Deployment and Best Practices (Implementación de LAN
inalámbricas de Microsoft y métodos recomendados), que puede estar en inglés,
en el sitio Web de Microsoft.
48 Configurar el acceso a la red

Métodos de autenticación para redes inalámbricas

*************************************************************************************
Introducción 802.1x es un estándar del sector para el acceso autenticado a redes cableadas
Ethernet y redes inalámbricas 802.11. 802.1x mejora la seguridad y la
implementación al proporcionar funciones para la identificación de usuarios,
autenticación, administración de claves dinámicas y de cuentas, todo ello de
forma centralizada. Si se conecta a una WLAN 802.11 sin tener habilitada la
autenticación 802.1x, los datos que envíe serán más vulnerables a los ataques.
Métodos de Para la autenticación, el estándar 802.11 define los tipos de autenticación de
autenticación de 802.1x sistemas abiertos y de clave compartida. Para la confidencialidad de datos, el
estándar 802.11 define la Privacidad equivalente al cable (WEP, Wired
Equivalent Privacy).
El estándar 802.11 no define ni proporciona un protocolo de administración de
claves WEP que ofrezca una determinación y renovación automáticas de las
claves de cifrado. Esto constituye una limitación para los servicios de seguridad
IEEE 802.11, especialmente para un modo de infraestructura inalámbrica con
un número elevado de clientes inalámbricos.
Esta cuestión se soluciona mediante la combinación de un control de acceso a la
red basado en puerto IEEE 802.1x y EAP-TLS para redes IEEE 802.11.
Configurar el acceso a la red 49

802.1x emplea EAP como protocolo de autenticación. EAP permite el


intercambio de mensajes y una conversación abierta entre el cliente y el
servidor durante el proceso de autenticación para posibilitar la negociación de
los protocolos de autenticación. La compatibilidad que ofrece 802.1x para los
tipos de EAP le da la posibilidad de elegir entre diversos métodos de
autenticación para clientes inalámbricos, incluidos:
• EAP-MS-CHAP v2. Este protocolo permite la autenticación mutua y emplea
certificados para la autenticación del servidor y credenciales basadas en
contraseña para la autenticación de los clientes.
• EAP-TLS. Permite la autenticación mutua y es el método de autenticación y
determinación de claves más seguro y robusto. Emplea certificados para la
autenticación tanto de servidores como de clientes.
• EAP protegido (PEAP). PEAP protege todavía más el proceso de
autenticación al cifrar los paquetes de negociación de EAP iniciales.
PEAP ofrece compatibilidad con EAP-TLS y EAP-MS-CHAP v2.

Nota Si desea utilizar certificados o tarjetas inteligentes para la autenticación


de usuarios y equipos cliente, deberá emplear EAP-TLS o, si desea más
seguridad, PEAP con EAP-TLS.
50 Configurar el acceso a la red

Requisitos de configuración de un cliente Windows XP


Professional para tener acceso a una red inalámbrica

*************************************************************************************
Introducción El servicio Configuración inalámbrica de la familia de Windows Server 2003 y
de Windows XP admite el estándar IEEE 802.11 para redes inalámbricas y
reduce la configuración necesaria para el acceso a este tipo de redes.
Este servicio se encuentra habilitado de manera predeterminada, de modo que
puede utilizar Windows para configurar las opciones de su red inalámbrica.
Tipos de redes Cuando utilice Windows para configurar una red inalámbrica, puede crear una
inalámbricas lista de redes inalámbricas preferidas y también puede especificar el orden en
que se debe intentar conectar con ellas. Puede elegir entre los siguientes tipos
de redes inalámbricas:
• Punto de acceso (infraestructura). Esta opción permite a los usuarios
conectarse a diversos puntos de acceso inalámbricos a medida que se
desplazan por diferentes plantas de un edificio o edificios distintos de un
recinto manteniendo un acceso ininterrumpido a los recursos de red.
• De equipo a equipo (ad hoc). Si los usuarios se encuentran en una reunión
con colegas y no necesitan acceso a los recursos de la red, sus dispositivos
inalámbricos pueden efectuar conexiones directas a los dispositivos
inalámbricos de sus colegas y formar así una red temporal.
• Cualquier red disponible (punto de acceso preferido). En las redes
inalámbricas de punto de acceso preferido, siempre se intenta primero una
conexión a una red inalámbrica de punto de acceso, en el caso de que haya
alguna disponible. Si no la hay, se intenta una conexión a una red
inalámbrica de equipo a equipo. Por ejemplo, si emplea un equipo portátil
en la oficina en una red inalámbrica de punto de acceso y, posteriormente,
se lleva el equipo a casa para utilizarlo en una red doméstica de equipo a
equipo, la configuración de red inalámbrica automática cambiará las
opciones correspondientes según sea necesario, de manera que pueda
conectarse a la red doméstica.
Configurar el acceso a la red 51

Configuración de la Para mejorar la seguridad en las redes inalámbricas, en la familia de


seguridad de redes Windows Server 2003 y en Windows XP Service Pack 1, la autenticación
inalámbricas 802.1x solamente es posible para las redes de punto de acceso (infraestructura)
que requieran el uso de una clave de red WEP. WEP proporciona
confidencialidad al cifrar los datos que se envían a través de los clientes
inalámbricos y los puntos de acceso inalámbrico.
Configuración WEP Si WEP está habilitado, puede utilizarse una clave de red para cifrar los
datos que se envían a través de las redes inalámbricas. La clave de red puede
facilitársele automáticamente (por ejemplo, puede encontrarse en el adaptador
de red inalámbrico) o puede especificarla usted mismo.
Métodos de Puede elegir cualquiera de los siguientes métodos de autenticación cuando
autenticación 801.1x configure 802.1x para conexiones de red inalámbrica:
• EAP-TLS
• PEAP con EAP-MS-CHAP v2
• PEAP con EAP-TLS

Nivel de seguridad A la hora de elegir un método de autenticación, debería sopesar el nivel de


en comparación seguridad frente al trabajo necesario para implementar el método de
con el trabajo de autenticación seleccionado. Si desea el nivel de seguridad más elevado, elija
implementación PEAP con certificados (EAP-TLS). Si busca la implementación más sencilla,
elija PEAP con contraseñas (EAP-MS-CHAP v2). Considere las siguientes
opciones cuando determine el método de autenticación que utilizar:
• Tanto PEAP con EAP-TLS como EAP-TLS solo proporcionan una
seguridad robusta mediante el uso de certificados para la autenticación de
servidores y el uso de certificados o tarjetas inteligentes en la autenticación
de equipos cliente y usuarios. Pero cuando se emplea PEAP con EAP-TLS,
la información de los certificados de cliente se cifra, algo que no ocurre
cuando se utiliza solamente EAP-TLS.
• PEAP con EAP-MS-CHAP v2 requiere un trabajo mínimo de
implementación. La autenticación de clientes se basa en contraseñas, de
manera que no es necesario instalar certificados ni tarjetas inteligentes en
los equipos cliente. Dado que PEAP crea un canal cifrado de un extremo a
otro antes de que se produzca la autenticación EAP-MS-CHAP v2, el
intercambio de autenticación es mucho menos vulnerable a los ataques de
diccionario sin conexión, en los que un usuario malintencionado captura el
intercambio de CHAP y, a continuación, intenta averiguar la contraseña.
• Además, PEAP admite la reautenticación rápida, también conocida como
fast roaming o movilidad rápida. PEAP permite a los usuarios que se
desplazan mantener de forma continuada la conectividad a una red
inalámbrica mientras se trasladan entre diferentes puntos de acceso
inalámbrico en la misma red, siempre y cuando todos ellos estén
configurados como clientes del mismo servidor IAS (RADIUS).

Lectura complementaria Para obtener información adicional acerca de la compatibilidad de Windows


Server 2003 para el acceso a la red inalámbrica, consulte el documento
Windows XP Wireless Deployment Technology and Component Overview
(Descripción general de los componentes y la tecnología de implementación
inalámbrica de Windows XP), que puede estar en inglés, en la sección
Deployment Articles (Artículos de implementación), en el sitio
http://www.microsoft.com/wifi.
52 Configurar el acceso a la red

Cómo configurar un cliente de acceso a la red para usar una


conexión inalámbrica

*************************************************************************************
Introducción Puede utilizar Conexiones de red al configurar un cliente para usar una
conexión inalámbrica. En este procedimiento se supone que el equipo ya tiene
instalado el hardware para admitir una conexión inalámbrica.

Nota Es recomendable que inicie sesión con una cuenta que no tenga
credenciales administrativas y que ejecute el comando Ejecutar como con una
cuenta de usuario que disponga de las credenciales administrativas apropiadas
para realizar esta tarea.

Procedimiento Para configurar un cliente de acceso a la red para usar una conexión de
red inalámbrica:
1. Abra Conexiones de red.
2. Haga clic con el botón secundario del mouse en la conexión de red
inalámbrica apropiada, seleccione Propiedades y, continuación,
haga clic en la ficha Redes inalámbricas.
Configurar el acceso a la red 53

3. Determine si desea agregar una conexión de red inalámbrica nueva o


modificar o eliminar una existente, y seleccione la tarea correspondiente
en la tabla siguiente.

Tareas Pasos del procedimiento

• Agregar una conexión de red • Active la casilla de verificación Usar


inalámbrica nueva Windows para configurar las opciones
de red y haga clic en Agregar.
• Modificar una conexión de red • Active la casilla de verificación
inalámbrica existente Usar Windows para configurar las
opciones de red. En Redes preferidas,
haga clic en la conexión de red
inalámbrica que desee modificar y, a
continuación, haga clic en Propiedades.
• En Redes preferidas, haga clic en la
• Quitar una conexión de red conexión de red inalámbrica que desee
inalámbrica preferida quitar y, a continuación, haga clic en
Quitar.

4. Si va a agregar o modificar una conexión de red inalámbrica, haga clic en la


ficha Asociación y, a continuación, configure las opciones del modo deseado.
5. Para configurar la autenticación 802.1x para la conexión de red inalámbrica,
haga clic en la ficha Autenticación y, a continuación, configure las
opciones según sea necesario.
6. Para conectarse a una red inalámbrica tras configurar las opciones de red, en
la ficha Redes inalámbricas, en Redes disponibles, haga clic en el nombre
de red, haga clic en Configurar y, a continuación, haga clic en Aceptar.

Importante Si una red no difunde su nombre de red, no aparecerá en Redes


disponibles. Para conectar a una red de punto de acceso (infraestructura) que
sabe que se encuentra disponible pero que no aparece en Redes disponibles,
haga clic en Agregar. En la ficha Asociación, escriba el nombre de la red y,
en caso necesario, configure las opciones de red adicionales.

7. Para cambiar el orden en el que se efectúan los intentos de conexión a las


redes preferidas, en Redes preferidas, haga clic en la red inalámbrica que
desee mover a otra posición en la lista y, a continuación, haga clic en Subir
o en Bajar hasta que la red inalámbrica se encuentre en la posición deseada.
8. Para actualizar la lista de redes disponibles que se encuentran dentro
del alcance de su equipo, haga clic en Actualizar.
9. Para conectarse automáticamente a las redes disponibles que no aparecen
en la lista Redes preferidas, haga clic en Opciones avanzadas y, a
continuación, active la casilla de verificación Conectar automáticamente
a redes no preferidas.
54 Configurar el acceso a la red

Lección: Controlar el acceso de los usuarios a una red

*************************************************************************************
Introducción Esta lección le permite adquirir las técnicas y conocimientos que necesita
para ofrecer un acceso remoto e inalámbrico a una red de Microsoft Windows
Server 2003 mediante el uso de directivas de acceso remoto y perfiles
de directiva.
Objetivos de la lección Después de finalizar esta lección, será capaz de:
• Explicar en qué consisten los permisos de marcado de cuenta de usuario.
• Configurar cuentas de usuario para el acceso a la red.
• Explicar qué es una directiva de acceso remoto.
• Explicar qué es un perfil de directiva de acceso remoto.
• Describir cuántas directivas de acceso remoto se procesan.
• Configurar una directiva de acceso remoto.
• Modificar un perfil de directiva de acceso remoto.
• Controlar el acceso de los usuarios a una red.
Configurar el acceso a la red 55

Permisos de marcado de cuentas de usuario

*************************************************************************************
Cómo puede controlar En Windows Server 2003, puede definir y crear directivas de acceso remoto
los permisos de acceso para controlar el nivel de acceso remoto que un usuario o grupo de usuarios
remoto y el uso tiene en la red. Las directivas de acceso remoto son un conjunto de condiciones
y opciones de conexión que ofrecen a los administradores de red una mayor
flexibilidad a la hora de conceder permisos de acceso remoto y de uso.
El Servicio de enrutamiento y acceso remoto e IAS, ambos de Windows
Server 2003, emplean directivas de acceso remoto para determinar si se
aceptan o rechazan los intentos de conexión.

Nota Para obtener más información acerca de IAS, consulte la lección


Centralizar la autenticación de acceso a la red y la administración de directivas
mediante IAS en este módulo.

Windows Server 2003 evalúa un intento de conexión basándose en las


condiciones de las directivas, permisos de cuentas de usuario y de acceso
remoto, y opciones de perfil de directiva.
56 Configurar el acceso a la red

Permisos de marcado Puede definir los permisos de marcado en el cuadro de diálogo Propiedades
de cuentas de usuario para un usuario en Active Directory o en la consola Usuarios y grupos locales.
Las propiedades de marcado que puede configurar para una cuenta de usuario
son las siguientes:
• Permiso de acceso remoto (marcado o red privada virtual). Puede
emplear esta propiedad para definir que el permiso de acceso remoto se
permita, deniegue o determine explícitamente a través de directivas de
acceso remoto. En todos los casos, las directivas de acceso remoto se
emplean para autorizar el intento de conexión.
• Comprobar el Id. de quien llama. Al configurar esta opción, está
requiriendo que el servidor compruebe el número de teléfono del autor
de la llamada. Si no coincide con el número de teléfono que ha configurado,
el intento de conexión se deniega.
• Opciones de devolución de llamada. Si esta propiedad se habilita, el
servidor devuelve la llamada a su autor durante el proceso de conexión.
El número de teléfono que el servidor emplea lo define el autor de la
llamada o el administrador de red.
• Asignar una dirección IP estática. Puede emplear esta propiedad para
asignar una dirección IP específica a un usuario cuando se efectúa una
conexión.
• Aplicar rutas estáticas. Esta opción está diseñada para enrutamientos de
marcado a petición. Puede utilizar esta propiedad para definir una serie de
rutas IP estáticas que se agregan a la tabla de enrutamiento del servidor que
ejecuta el Servicio de enrutamiento y acceso remoto cuando se efectúa una
conexión.
Configurar el acceso a la red 57

Cómo configurar cuentas de usuario para el acceso a la red

*************************************************************************************
Introducción Para un servidor basado en Active Directory en un dominio definido en un
dominio original de Windows Server 2003, las propiedades de marcado para
una cuenta de usuario de Usuarios y equipos de Active Directory se configuran
con la opción Controlar acceso a través de la directiva de acceso remoto
como valor predeterminado.
Para un servidor basado en Active Directory en un dominio definido en un
dominio original de Windows 2000, puede configurar las propiedades de
marcado para una cuenta de usuario en Usuarios y equipos de Active Directory.

Nota Es recomendable que inicie sesión con una cuenta que no tenga
credenciales administrativas y que ejecute el comando Ejecutar como con una
cuenta de usuario que disponga de las credenciales administrativas apropiadas
para realizar esta tarea.

Procedimiento para Para elevar el nivel funcional de dominio:


elevar el nivel funcional
de dominio 1. Abra Dominios y confianzas de Active Directory.
2. Haga clic con el botón secundario del mouse en el dominio apropiado y, a
continuación, haga clic en Elevar el nivel funcional de dominio.
3. En el cuadro de diálogo Elevar el nivel funcional del dominio, seleccione
Windows Server 2003 y, a continuación, haga clic Elevar.
4. En el cuadro de advertencia de Elevar el nivel funcional de dominio,
haga clic en Aceptar.
5. En el cuadro de información Elevar el nivel funcional de dominio,
haga clic en Aceptar.
6. Cierre Dominios y confianzas de Active Directory.
58 Configurar el acceso a la red

Procedimiento de Para configurar las propiedades de marcado para cuentas de usuario en un


configuración de dominio original de Windows 2000:
propiedades de marcado
para cuentas de usuario 1. Abra Usuarios y equipos de Active Directory.
en un dominio original
de Windows 2000 2. En el árbol de la consola, haga clic en Users.
3. En el panel de detalles, haga clic con el botón secundario del mouse en un
nombre de usuario y, después, haga clic en Propiedades.
4. Para establecer permisos de acceso remoto:
• En la ficha Marcado, en Permiso de acceso remoto (marcado o red
privada virtual), haga clic en Permitir acceso o Negar acceso y, a
continuación, haga clic en Aceptar.
5. Para habilitar la comprobación del identificador del autor de la llamada:
• En la ficha Marcado, active la casilla de verificación Comprobar el Id.
de quien llama y, a continuación, escriba el número desde donde llama
el usuario.
6. Para definir las opciones de devolución de llamada:
• En la ficha Marcado, en Opciones de devolución de llamada, haga clic
en la opción de devolución de llamada que desee definir para el usuario.
7. Para asignar una dirección IP estática:
• En la ficha Marcado, active la casilla de verificación Asignar una
dirección IP estática y, a continuación, escriba la dirección IP estática
para este usuario.
8. Para configurar las rutas estáticas para un usuario de marcado:
En la ficha Marcado, active la casilla de verificación Aplicar rutas
estáticas.
En el cuadro de diálogo Rutas estáticas, haga clic en Agregar ruta.
En Destino, Máscara de red y Métrica, escriba la dirección de red de
destino, la máscara de red y el número de saltos a la red de destino para
esa ruta estática y, a continuación, haga clic en Aceptar.
Repita los pasos b y c para cada ruta estática que desee configurar
para el usuario.
Configurar el acceso a la red 59

Qué es una directiva de acceso remoto

*************************************************************************************
Definición Las directivas de acceso remoto constituyen un conjunto de reglas ordenado
que define de qué modo se autorizan o rechazan las conexiones. Para cada
regla, hay una o varias condiciones, una opción de permiso de acceso remoto
y un conjunto de opciones de perfil.
Componentes de una Las directivas de acceso remoto se configuran para especificar, de acuerdo
directiva de acceso con usuarios individuales o pertenecientes a un grupo, los diferentes tipos de
remoto restricciones en la conexión. Una directiva de acceso remoto consta de los
siguientes tres componentes que operan conjuntamente con Active Directory
para ofrecer un acceso seguro a los servidores de acceso remoto:
• Condiciones. Las condiciones de las directivas de acceso remoto son una
lista de parámetros, como la hora del día, grupos de usuarios, identificador
del autor de la llamada o direcciones IP, que se comparan con los
parámetros del cliente que se conecta al servidor. El primer conjunto de
condiciones de directiva que se compara con los parámetros de la solicitud
de conexión entrante se procesa para obtener el permiso de acceso y la
configuración. Si ninguno de los conjuntos de condiciones coincide, el
intento de acceso fallará.
• Permiso de acceso remoto. Las conexiones de acceso remoto se permiten de
acuerdo con una combinación de las propiedades de marcado de una cuenta
de usuario y directivas de acceso remoto. La configuración del permiso en la
directiva de acceso remoto funciona con los permisos de marcado del
usuario en Active Directory.
• Perfil. Cada directiva incluye un perfil de opciones, como protocolos de
autenticación y de cifrado, que se aplican a la conexión. Las opciones del
perfil se aplican a la conexión inmediatamente y podrían ocasionar que
ésta se deniegue. Por ejemplo, si las opciones del perfil de una conexión
especifican que el usuario solamente puede conectarse durante 30 minutos
cada vez, transcurrido ese tiempo, se desconectará al usuario del servidor
de acceso remoto.
60 Configurar el acceso a la red

Ejemplo Por ejemplo, una directiva puede conceder acceso a todos los usuarios del
Grupo A de las 8:00 a.m. a las 17:00 p.m. No obstante, los permisos para el
Usuario X del Grupo A pueden definirse de manera que se le deniegue el
acceso en Active Directory, mientras que los permisos para el Usuario Y del
Grupo A pueden definirse para permitirle el acceso en Active Directory en
cualquier momento. Como resultado, la mayor parte de los usuarios del Grupo
A están controlados mediante la configuración de la directiva y solamente
pueden obtener acceso desde las 8:00 a.m. a las 17:00 p.m. No obstante, al
Usuario X se le deniega el acceso totalmente y al Usuario se le concede acceso
las 24 horas.
Configurar el acceso a la red 61

Qué es un perfil de directiva de acceso remoto

*************************************************************************************
Definición Un perfil de directiva de acceso remoto es un conjunto de propiedades que se
aplican a una conexión cuando se autoriza, ya sea a través de una cuenta de
usuario o de opciones de configuración de permisos de directiva.
Una vez autorizada la conexión, el perfil para la directiva de acceso remoto
especifica un conjunto de restricciones de conexión. Las propiedades de
marcado de la cuenta de usuario también ofrecen un conjunto de restricciones.
Cuando corresponda, las restricciones de conexión de una cuenta de usuario
reemplazan a las aplicables al perfil de directiva de acceso remoto.
62 Configurar el acceso a la red

Elementos de un perfil El perfil de directiva de acceso remoto especifica qué tipo de acceso se le
para una directiva de concede al usuario si las condiciones coinciden. Solamente se concede acceso
acceso remoto si el intento de conexión no entra en conflicto con las opciones de la cuenta
de usuario o el perfil. Puede configurar un perfil en el cuadro de diálogo
Modificar el perfil de marcado si hace clic en Editar perfil en el cuadro
de diálogo Propiedades para una directiva. En el cuadro de diálogo puede
configurar las opciones siguientes:
• Restricciones de marcado. Puede usar estas opciones para determinar
el intervalo de tiempo de inactividad antes de la desconexión, la duración
máxima de la sesión y los días, horas, números de teléfono y tipos de medio
(RDSI, VPN, etcétera) permitidos.
• Propiedades IP. Puede configurar la asignación de direcciones IP
de un cliente y el filtro de paquetes del Protocolo de control de
transporte/Protocolo Internet (TCP/IP) en esta ficha. Puede definir
filtros independientes para paquetes entrantes y salientes.
• Multivínculo. Con Multivínculo varios vínculos físicos aparecen como
un único vínculo lógico a través del que se envían y reciben datos.
Puede definir propiedades de Multivínculo que habiliten Multivínculo y
determinen el número máximo de puertos que una conexión Multivínculo
puede utilizar. Además, puede definir directivas BAP que determinen el uso
de BAP y que especifiquen cuándo se descartan las líneas BAP adicionales.
• Autenticación. Puede definir las propiedades de autenticación para habilitar
los tipos de autenticación permitidos en una conexión y especificar el tipo
de EAP que debe utilizarse. También puede configurar el tipo de EAP. De
manera predeterminada, MS-CHAP y MS-CHAP v2 están habilitados.
• Cifrado. Puede utilizar esta ficha para especificar los tipos de cifrado que
están prohibidos, permitidos o que son obligatorios.
• Opciones avanzadas. Puede definir propiedades avanzadas para especificar
la serie de atributos RADIUS que el servidor IAS envía de vuelta para que
el cliente RADIUS los evalúe. Los atributos RADIUS sirven para realizar la
autenticación de RADIUS y los servidores que ejecutan el Servicio de
enrutamiento y acceso remoto y que están configurados para la
autenticación de Windows los pasan por alto.
Configurar el acceso a la red 63

Cómo se procesan las directivas de acceso remoto

*************************************************************************************
Proceso para emplear Windows Server 2003 evalúa un intento de conexión en función de las
acceso remoto condiciones de directivas, permisos de usuario y de acceso remoto, así como
opciones de perfil. El flujo del proceso consta de tres fases básicas que incluyen
comprobar las condiciones en primer lugar, luego los permisos y, por último, el
perfil. La primera directiva que reúne todas las condiciones es la que se emplea
para la conexión.
Las directivas de acceso remoto se procesan del modo siguiente:
4. Enrutamiento y acceso remoto compara las condiciones de la directiva de
acceso remoto y las condiciones de la conexión intentada:
• Si no hay definida ninguna directiva, el acceso se rechaza.
• Si no hay ninguna directiva que coincida, el acceso se rechaza.
• Si se detecta una coincidencia, la directiva se emplea para determinar
el acceso.
5. Enrutamiento y acceso remoto comprueba los permisos de marcado de la
cuenta de usuario:
• Si el permiso de la cuenta de usuario está definido como
Denegar acceso, se rechaza el acceso del usuario.
• Si el permiso de la cuenta de usuario está definido como Permitir
acceso, se concede acceso al usuario y se aplica el perfil de la directiva.
• Si el permiso está definido como Controlar acceso a través de la
directiva de acceso remoto, la configuración de permisos de la
directiva determina el acceso del usuario.
64 Configurar el acceso a la red

6. Enrutamiento y acceso remoto aplica las opciones del perfil de la directiva a


la conexión entrante.
• La conexión puede que no se permita si una opción crucial del perfil no
coincide con la del servidor de acceso remoto. Por ejemplo, el perfil para
una conexión entrante puede especificar que un grupo solamente puede
conectarse por la noche. Si un usuario de ese grupo intenta conectarse
durante el día, el intento de conexión se rechazará.
• La conexión puede desconectarse posteriormente debido a una opción
del perfil, como una restricción del tiempo de conexión.
Configurar el acceso a la red 65

Cómo configurar una directiva de acceso remoto

*************************************************************************************
Introducción Puede configurar una directiva de acceso remoto y un perfil asociado en
Directivas de acceso remoto en el árbol de la consola de Enrutamiento y
acceso remoto.
Para un servidor basado en Active Directory en un dominio definido en un
dominio original de Windows Server 2003, las propiedades de marcado para
una cuenta de usuario de Usuarios y equipos de Active Directory se configuran
con la opción Controlar acceso a través de la directiva de acceso remoto
como valor predeterminado.

Nota Es recomendable que inicie sesión con una cuenta que no tenga
credenciales administrativas y que ejecute el comando Ejecutar como con una
cuenta de usuario que disponga de las credenciales administrativas apropiadas
para realizar esta tarea.

Procedimiento para Para configurar una directiva de acceso remoto:


configurar una directiva
de acceso remoto 1. Abra la consola de Enrutamiento y acceso remoto.
2. Expanda el árbol de la consola, haga clic con el botón secundario del
mouse en Directivas de acceso remoto y, a continuación, haga clic en
Nueva directiva de acceso remoto.
3. En la página Éste es el Asistente para nueva directiva de acceso remoto,
haga clic en Siguiente.
4. En la página Método de configuración de directiva, escriba el nombre de
la directiva y haga clic en Siguiente.
66 Configurar el acceso a la red

5. En la página Método Access, seleccione uno de los siguientes métodos


de acceso:
• VPN. Se utiliza para todas las conexiones VPN.
• Acceso telefónico. Se utiliza para las conexiones de acceso telefónico
que emplean una línea de teléfono tradicional o línea RDSI.
• Inalámbrico. Se utiliza para las conexiones LAN inalámbricas
solamente.
• Ethernet. Se utiliza para las conexiones Ethernet, por ejemplo, las que
emplean un conmutador.
6. En la página Acceso de usuarios o grupos, seleccione una de las siguientes
opciones:
• Usuario: los permisos de acceso de usuario se especifican en la cuenta
de usuario.
• Grupo: los permisos de usuarios individuales reemplazan a los de grupo.
7. En la página Métodos de autenticación, seleccione una o varias de las
siguientes opciones (EAP y MS-CHAPv2 están seleccionados de manera
predeterminada) y, a continuación, haga clic en Siguiente:
• Protocolo de autenticación extensible (EAP).
1. EAP protegido (PEAP). Configure el certificado apropiado.
2. Tarjeta inteligente u otro certificado. Configure el certificado
apropiado.
• Autenticación cifrada de Microsoft versión 2 (MS-CHAPv2).
Seleccione esta opción si los usuarios deben suministrar una contraseña
para la autenticación.
• Autenticación cifrada de Microsoft (MS-CHAP). Seleccione
esta opción si en la red se usan sistemas operativos que no admitan
MS-CHAPv2.
8. En la página Nivel de cifrado de directiva, seleccione una o varias de las
opciones siguientes y, después, haga clic en Siguiente.
• Cifrado básico (IPSec DES de 56 bits o MPPE de 40 bits)
• Cifrado de alta seguridad (IPSec DES de 56 bits o MPPE de 56 bits)
• Cifrado de la más alta seguridad (IPSec DES Triple o MPPE de
128 bits)
9. En la página Finalización del Asistente para nueva directiva de acceso
remoto, haga clic en Finalizar.
Configurar el acceso a la red 67

Procedimiento de Para configurar una condición de directiva nueva para una directiva de
configuración de una acceso remoto:
condición de directiva
nueva para una directiva 1. Abra la consola de Enrutamiento y acceso remoto.
de acceso remoto
2. En el árbol de la consola, haga clic en Directivas de acceso remoto.
3. En el panel de detalles, haga doble clic en la directiva de acceso remoto que
desee configurar.
4. En el cuadro de diálogo Propiedades de Directiva, haga clic en Agregar.
5. En el cuadro de diálogo Seleccionar atributo, seleccione el atributo que
desee agregar y haga clic en Agregar.
6. En el cuadro de diálogo Atributo, configure el atributo y haga clic
en Aceptar.
7. Para conceder acceso a los autores de las llamadas que cumplan las
condiciones de la directiva, haga clic en Conceder permiso de acceso
remoto o bien, para denegar el acceso, haga clic en Denegar permiso de
acceso remoto.
8. En el cuadro de diálogo Propiedades de Directiva, haga clic en Aceptar.
68 Configurar el acceso a la red

Cómo configurar un perfil de directiva de acceso remoto

*************************************************************************************
Introducción El perfil de acceso remoto especifica qué tipo de acceso se le concede al usuario
si las condiciones coinciden. Solamente se concede acceso si el intento de
conexión no entra en conflicto con las opciones de la cuenta de usuario o el perfil.
Procedimiento Para configurar un perfil de directiva de acceso remoto:
1. Abra la consola de Enrutamiento y acceso remoto.
2. En el árbol de la consola, haga clic en Directivas de acceso remoto.
3. En el panel de detalles, haga doble clic en la directiva de acceso remoto
que desee configurar.
4. Haga clic en Editar perfil.
5. En el cuadro de diálogo Modificar el perfil de marcado, especifique
cualquier opción deseada para las siguientes áreas de un perfil de directiva
de acceso remoto:
• Restricciones de marcado. Puede usar estas opciones para determinar
el intervalo de tiempo de inactividad antes de la desconexión, la
duración máxima de la sesión y los días, horas, números de teléfono
y tipos de medio (RDSI, VPN, etcétera) permitidos.
• IP. En esta ficha, puede configurar la asignación de direcciones
IP de un cliente y el filtro de paquetes TCP/IP. Puede definir filtros
independientes para paquetes entrantes y salientes.
• Multivínculo. En esta ficha, puede configurar Multivínculo y el Protocolo
de asignación de ancho de banda (BAP). Utilice estas opciones para
desconectar una línea si el ancho de banda desciende por debajo de un
nivel determinado durante un período especificado. Multivínculo también
puede definirse de manera que requiera el uso de BAP.
Configurar el acceso a la red 69

• Autenticación. Puede usar estas opciones con el fin de definir los


protocolos de autenticación permitidos para las conexiones que emplean
esta directiva. Compruebe que cualquier protocolo que seleccione aquí
también se habilita en el cuadro de diálogo Propiedades del servidor.
• Cifrado. Puede utilizar esta ficha para especificar los tipos de cifrado
que están prohibidos, permitidos o que son necesarios.
• Opciones avanzadas. Puede usar esta ficha para configurar parámetros
de red adicionales que pueden enviarse desde servidores RADIUS que
ejecutan sistemas operativos que no son de Microsoft.
70 Configurar el acceso a la red

Ejercicio: Controlar el acceso de los usuarios a una red

*************************************************************************************
Objetivo En este ejercicio, configurará una directiva de acceso remoto y un perfil
de directiva.
Situación de ejemplo Como ha configurado un servidor de acceso remoto para que admita conexiones
VPN para los ingenieros de pruebas del laboratorio, ahora deberá configurar el
acceso de los usuarios. Algunos ingenieros de pruebas necesitarán un mayor
acceso que otros a los equipos del laboratorio desde conexiones remotas.
Deberá configurar una directiva de acceso remoto y un perfil de directiva para
controlar el acceso de los usuarios.
Configurar el acceso a la red 71

Ejercicio Configurar una directiva de acceso remoto denominada Directiva VPN


• Complete esta tarea desde los equipos de ambos alumnos.
• Nombre de usuario: nwtraders\NombreDeEquipoAdmin
• Contraseña: P@ssw0rd
• Herramienta administrativa: Enrutamiento y acceso remoto
• Nombre de directiva: Directiva VPN
• Método de acceso: VPN
• Acceso de usuario o grupo:
• Nombre de dominio: nwtraders.msft:
• Grupo: G NombreDeEquipoAdmins (donde NombreDeEquipo
es el nombre de su equipo)
• Métodos de autenticación: aceptar opciones predeterminadas
• Nivel de cifrado de directiva: aceptar opciones predeterminadas

Comprobar que la directiva VPN es la primera de la lista de directivas


• Complete esta tarea desde los equipos de ambos alumnos.
• Herramienta administrativa: Enrutamiento y acceso remoto
• En el panel de detalles, compruebe que en la parte superior de la lista
aparece Directiva VPN.

Configurar un perfil de directiva de acceso remoto para la Directiva VPN


• Complete esta tarea desde los equipos de ambos alumnos.
• Restricciones de marcado: Permitir acceso sólo a través de estos medios
• Tipo de medio: Virtual (VPN)

Conectarse al equipo de su compañero con la conexión VPN


• Realice esta tarea desde el equipo de alumno que tenga el número de
identificación más alto.
1. En el escritorio, haga doble clic en VPN NombreDeEquipo
(donde NombreDeEquipo es el equipo de su compañero).
2. En el cuadro de diálogo Conectarse a VPN NombreDeEquipo,
escriba lo siguiente:
• Nombre de usuario: NombreDeEquipoAdmin (donde NombreDeEquipo
es el nombre de su equipo)
• Contraseña: P@ssw0rd
3. Compruebe que aparece un globo emergente en el área de notificación que
indica que VPN NombreDeEquipo (donde NombreDeEquipo es el nombre
del equipo de su compañero) está conectado en ese momento.
4. En el escritorio, haga clic con el botón secundario del mouse en VPN
NombreDeEquipo y, a continuación, haga clic en Estado.
72 Configurar el acceso a la red

5. En el cuadro de diálogo Estado de VPN NombreDeEquipo, compruebe que


en Estado aparece Conectado y, a continuación, observe el tiempo en
Duración.
Comprobar la duración de la conexión para el cliente de acceso remoto
1. Complete esta tarea desde el equipo del alumno con el número de
identificación más bajo.
1. En Enrutamiento y acceso remoto, expanda NombreDeEquipo y, a
continuación, haga clic en Clientes de acceso remoto.
2. Compruebe en el panel de detalles la duración de conexión del cliente.
(Debe presionar F5 para actualizar la consola; no se actualiza
automáticamente.)

En el equipo del cliente, desconéctese del equipo de su compañero


• Realice esta tarea desde el equipo de alumno que tenga el número de
identificación más alto.
• En el escritorio, haga clic con el botón secundario del mouse en VPN
NombreDeEquipo y, a continuación, haga clic en Desconectar.
Configurar el acceso a la red 73

Lección: Centralizar la autenticación de acceso a la red y


la administración de directivas mediante IAS

*************************************************************************************
Introducción Esta lección le permite adquirir las técnicas y conocimientos que necesita para
usar Servicio de autenticación de Internet (IAS) con el fin de centralizar la
autenticación de la red y la administración de directivas.
Objetivos de la lección Después de finalizar esta lección, será capaz de:
• Explicar en qué consiste RADIUS.
• Explicar en qué consiste IAS.
• Describir cómo funciona la administración centralizada de autenticación
y de directivas.
• Configurar un servidor IAS para la autenticación de acceso a la red.
• Configurar el servidor de acceso remoto para que utilice IAS en la
autenticación.
• Centralizar la administración de directivas y de la autenticación de acceso
a la red mediante IAS.
74 Configurar el acceso a la red

Qué es RADIUS

*************************************************************************************
Motivos para centralizar Actualmente, la seguridad en el acceso a la red debe ser exhaustiva para
la administración garantizar al máximo un acceso apropiado a socios empresariales, asesores y
de directivas y la empleados. De este modo, las organizaciones necesitan conceder diferentes
autenticación de niveles de acceso a la red según el tipo de usuario, las credenciales que utiliza,
acceso a la red el modo en que se conecta, el nivel de cifrado utilizado en la conexión, la hora
del día, etcétera. Para ello se requiere un sistema de administración centralizada
de directivas y autenticación de acceso a la red capaz de satisfacer las
exigencias de las grandes redes.
El Servicio de usuario de acceso telefónico de autenticación remota (RADIUS,
Remote Authentication Dial-In User Service) se ha convertido en un estándar
para efectuar la autenticación y administración de directivas de acceso a la red.
Qué es RADIUS RADIUS es un protocolo ampliamente utilizado que se basa en el modelo
cliente-servidor y que permite realizar la autenticación, la autorización y la
administración de cuentas de forma centralizada para el acceso a la red.
Finalidad de RADIUS Desarrollado en un principio para las soluciones de marcado, el protocolo
RADIUS ha evolucionado hasta convertirse en el estándar de administración de
acceso a la red para VPN, acceso telefónico y redes inalámbricas. Mediante una
integración minuciosa de este servicio de administración para directivas de
acceso a la red con los servicios de identidad del sistema operativo, así como la
incorporación de numerosas y completas funciones para el procesamiento de
reglas RADIUS, podrá administrar el acceso a la red de manera centralizada y
en numerosos tipos de acceso a la red.
Qué es un servidor Un servidor RADIUS recibe y procesa solicitudes de conexión o mensajes de
RADIUS administración de cuentas que los clientes RADIUS o los servidores proxy
RADIUS envían. En el caso de solicitudes de conexión, el servidor RADIUS
procesa la lista de atributos RADIUS en la solicitud de conexión. De acuerdo
con un conjunto de reglas y la información de la base de datos de cuentas de
usuario, el servidor RADIUS autentica y autoriza la conexión y devuelve un
mensaje de Aceptación de acceso o de Rechazo de acceso.
Configurar el acceso a la red 75

Qué es un cliente Un cliente RADIUS puede ser un proxy RADIUS o un servidor de acceso,
RADIUS como un servidor de acceso telefónico, un servidor VPN o un punto de acceso
inalámbrico. El cliente RADIUS recibe solicitudes de autorización del cliente
de acceso remoto para el acceso a la red y las remite al servidor RADIUS para
que las compruebe.
Qué es un proxy Un proxy RADIUS puede configurarse en una infraestructura que tenga varios
RADIUS servidores RADIUS disponibles para autorizar solicitudes de acceso. Un proxy
RADIUS recibe una solicitud de autorización de un cliente RADIUS, determina
el servidor RADIUS apropiado y le reenvía la solicitud de autorización.
Por ejemplo, diversas organizaciones pueden subcontratar su conexión de
acceso telefónico a un ISP. Cuando un cliente marca al ISP, se conecta a un
cliente RADIUS que transmite la solicitud de autorización al proxy RADIUS.
El proxy RADIUS determina a qué organización pertenece el usuario y, a
continuación, remite la solicitud a esa organización para proceder a la
autenticación de la conexión de acceso telefónico del usuario.
76 Configurar el acceso a la red

Qué es IAS

*************************************************************************************
Definición El componente Servicio de autenticación de Internet (IAS) de Windows
Server 2003 es un servidor RADIUS que cumple los estándares del sector.
IAS realiza la autenticación, autorización, auditoría y administración de cuentas
de conexiones de forma centralizada en conexiones VPN, de acceso telefónico
e inalámbricas.
Motivos para utilizar IAS Mediante el uso de IAS puede administrar y controlar de manera centralizada el
acceso remoto e inalámbrico a una red, además de efectuar un seguimiento de
las estadísticas de uso. También puede administrar permisos de acceso remoto
y propiedades de conexión de manera centralizada.
Si tiene más de un servidor de acceso remoto o inalámbrico, en lugar de
administrar las directivas de acceso de todos los servidores de acceso por
separado, puede configurar un servidor único con IAS como servidor RADIUS
y configurar los servidores de acceso remoto como clientes RADIUS.
Cuando un servidor IAS es miembro de un dominio de Active Directory,
IAS emplea el servicio de directorio como su base de datos de cuentas de
usuario y forma parte de una solución que permite el inicio de sesión único.
El mismo conjunto de credenciales se utiliza para el control de acceso a la red
(autenticación y autorización del acceso a una red) y para el inicio de sesión en
un dominio de Active Directory.

Nota Tras configurar un servidor que ejecute el Servicio de enrutamiento y


acceso remoto para usar la autenticación de RADIUS, las directivas de acceso
remoto almacenadas en el servidor de acceso remoto dejan de utilizarse. En su
lugar, se emplean las directivas de acceso remoto almacenadas en el servidor IAS.
Puede copiar el conjunto actual de directivas de acceso remoto al servidor IAS.

IAS interopera con dispositivos de acceso a la red de numerosos proveedores.


Las organizaciones que deseen crear un sistema de autenticación integrado que
autentique de manera segura a los usuarios en un directorio único,
independientemente del método de acceso o del dispositivo que estén
utilizando, pueden obtener ventajas con el uso de IAS.
Configurar el acceso a la red 77

Ejemplos Puede configurar IAS para que admita diversos escenarios corporativos, como
los siguientes:
• Acceso telefónico corporativo. Puede configurar IAS para que admita a
empleados remotos con conexiones de acceso telefónico autenticadas de
manera que el servidor IAS pueda proporcionar acceso a los empleados en
función del grupo al que pertenezcan.
• Acceso a extranet para socios empresariales. Puede configurar IAS para que
permita a los socios corporativos un acceso limitado a recursos específicos de
la red y a la vez proteger otros recursos frente a un acceso no autorizado.
• Acceso a Internet. Puede configurar IAS para que admita conexiones de
acceso telefónico autenticadas por el cliente a un ISP, de manera que el
servidor IAS conceda acceso a los clientes de acuerdo con el plan de
servicio que tengan subscrito.
• Acceso corporativo subcontratado a través de proveedores de servicio.
Puede utilizar IAS para una organización que emplea un ISP que
proporciona la infraestructura de acceso remoto, pero donde la organización
mantiene el control sobre la autenticación, autorización y administración de
cuentas. Cuando un empleado se conecta al servidor de acceso remoto en el
ISP, los registros de autenticación y de uso se remiten al servidor IAS de la
organización. El servidor IAS permite que la organización controle la
autenticación de usuarios, efectúe un seguimiento del uso y supervise a
qué empleados se les permite el acceso a la red.
78 Configurar el acceso a la red

Cómo funciona la autenticación centralizada

*************************************************************************************
El proceso de En los siguientes pasos se describe el proceso básico que emplean los
autenticación y servidores de acceso a la red, un servidor RADIUS y los clientes RADIUS
autorización para efectuar la autenticación y autorización:
centralizadas
7. Un usuario se conecta a un servidor de acceso a la red (un equipo basado en
Windows que está configurado con el Servicio de enrutamiento y acceso
remoto) mediante una conexión VPN, de acceso telefónico o inalámbrica.
8. El servidor de acceso a la red reenvía las solicitudes de autenticación a un
servidor RADIUS (IAS). (El servidor de acceso a la red actúa como cliente
RADIUS.) Si la comprobación de la firma digital es correcta, el servidor
IAS consulta al controlador de dominio.
9. El servidor RADIUS (IAS) tiene acceso a la información de cuentas de
usuario en un controlador de dominio y comprueba las credenciales de
autenticación de acceso remoto. (El servidor IAS realiza las funciones
de un servidor RADIUS.)
4. Si las credenciales del usuario se autentican, el servidor IAS evalúa el
intento de conexión comparándolo con las directivas de acceso remoto
configuradas y las propiedades de marcado de la cuenta del usuario para
decidir si autoriza la solicitud. Si el intento de conexión cumple las
condiciones de al menos una directiva y las propiedades de marcado de
cuenta, IAS devuelve un mensaje RADIUS de Aceptación de acceso al
servidor de acceso a la red que envió la solicitud de autenticación.
Si el intento de conexión no se autentica o no se autoriza, IAS devuelve un
mensaje RADIUS de Rechazo de acceso al servidor de acceso a la red y el
intento de conexión se rechaza.
Configurar el acceso a la red 79

Cómo configurar un servidor IAS para la autenticación de acceso


a la red

*************************************************************************************
Introducción Si un servidor IAS debe tener acceso a Active Directory para autenticar a los
usuarios, debe autorizarlo con el fin de garantizar que IAS posee los permisos
correctos para tener a la información de cuentas desde Active Directory.
También debe agregar los clientes RADIUS al servidor IAS. Los clientes
RADIUS son los servidores de acceso remoto que utilizarán el servidor IAS
para la autenticación y la autorización.

Nota Es recomendable que inicie sesión con una cuenta que no tenga
credenciales administrativas y que ejecute el comando Ejecutar como con una
cuenta de usuario que disponga de las credenciales administrativas apropiadas
para realizar esta tarea.

Procedimiento para Para autorizar un servidor IAS en Active Directory:


autorizar un servidor
IAS en Active Directory 1. Abra la consola del Servicio de autenticación de Internet.
2. Haga clic con el botón secundario del mouse en Servicio de autenticación
de Internet (local) y, a continuación, haga clic en Registrar servidor en
Active Directory.
3. En el cuadro de diálogo Registrar el Servicio de autenticación de Internet
en Active Directory, haga clic en Aceptar.

Nota Cuando se autoriza a un servidor IAS, Windows Server 2003 agrega la


cuenta del equipo del servidor al grupo de seguridad de servidores RAS e IAS,
que posee los permisos de Active Directory necesarios para tener acceso a los
datos del usuario en Active Directory.
80 Configurar el acceso a la red

Procedimiento de Para configurar el servidor IAS de modo que atienda a clientes RADIUS:
configuración del
servidor IAS para 1. Abra la consola del Servicio de autenticación de Internet.
clientes RADIUS 2. En el árbol de la consola, haga clic con el botón secundario del mouse en
Clientes RADIUS y, a continuación, haga clic en Nuevo cliente RADIUS
para iniciar el Asistente para agregar cliente.
3. En la página Nuevo cliente RADIUS, especifique la siguiente información
y, a continuación, haga clic en Siguiente:
• Nombre descriptivo. Escriba un nombre para el cliente RADIUS que
va a agregar.
• Dirección de cliente (IP o DNS). Escriba la dirección IP o nombre DNS
para el cliente RADIUS. Por lo general, resulta más eficaz especificar una
dirección IP de manera que IAS no tenga que resolver todos los nombres
de host al inicio. Si solamente conoce el nombre DNS de un cliente, haga
clic en Comprobar para resolver el nombre como una dirección IP.
4. En la página Información adicional, especifique lo siguiente:
• Cliente proveedor. Seleccione Microsoft si va a agregar un servidor
de Enrutamiento y acceso remoto. Si agrega un cliente RADIUS de un
proveedor que no aparece en la lista, seleccione RADIUS Standard.

Nota La opción Cliente proveedor solamente es necesaria si va a utilizar


directivas de acceso remoto que se basan en un atributo cliente-proveedor.

• La solicitud debe contener el atributo autenticador de mensajes.


Active esta casilla de verificación si el cliente RADIUS debe enviar un
atributo de firma en el paquete de solicitud de acceso. Debe especificar
un atributo de firma si utiliza EAP para la autenticación.
• Secreto compartido. Escriba el secreto y, a continuación, escríbalo de
nuevo en el cuadro Confirmar secreto compartido.
Un secreto compartido es una cadena de texto que sirve como contraseña
entre un servidor IAS y los servidores de acceso remoto que le reenvían
solicitudes. Secretos compartidos:
3. Deben ser exactamente iguales en ambos servidores.
4. Se distinguen mayúsculas y minúsculas.
5. Pueden utilizar cualquier carácter alfanumérico estándar o especial.
Si se combinan letras en mayúsculas y en minúsculas, números y
caracteres especiales, el secreto compartido es más seguro.
6. Puede tener una longitud de hasta 255 caracteres. Los secretos
compartidos largos son más seguros que los cortos.
5. Haga clic en Finalizar.
Configurar el acceso a la red 81

Cómo configurar un servidor de acceso remoto para que utilice IAS


en la autenticación

*************************************************************************************
Introducción Para configurar un servidor de acceso remoto como cliente RADIUS, debe
configurarlo para reenviar las solicitudes de autenticación a un servidor IAS.

Nota Es recomendable que inicie sesión con una cuenta que no tenga
credenciales administrativas y que ejecute el comando Ejecutar como con una
cuenta de usuario que disponga de las credenciales administrativas apropiadas
para realizar esta tarea.

Procedimiento Para configurar un servidor de acceso remoto de modo que utilice IAS para
la autenticación:
1. En el menú Herramientas administrativas, abra Enrutamiento y
acceso remoto.
2. En el árbol de la consola, haga clic con el botón secundario del mouse en
NombreDeEquipo (donde NombreDeEquipo es el nombre de su equipo)
y, a continuación, haga clic en Propiedades.
3. En la ficha Seguridad del cuadro de diálogo Propiedades de
NombreDeEquipo (local), en el cuadro Proveedor de autenticación,
seleccione Autenticación RADIUS y, a continuación, haga clic en
Configurar.

Nota Para usar Autenticación de Windows, en el cuadro de diálogo


Propiedades de NombreEquipo (local), en el cuadro Proveedor de
autenticación, seleccione Autenticación de Windows y haga clic en Aceptar.
82 Configurar el acceso a la red

4. En el cuadro de diálogo Autenticación RADIUS, haga clic en Agregar.


5. En el cuadro de diálogo Agregar servidor RADIUS, en el cuadro Nombre
de servidor, escriba el nombre del servidor IAS que va a utilizar para la
autenticación RADIUS.
6. Si ha configurado un secreto compartido en el servidor IAS, haga clic en
Cambiar para definir el secreto compartido en el servidor de acceso remoto
y, a continuación, haga clic en Aceptar.
7. En el cuadro de diálogo Propiedades de NombreEquipo (local), haga clic
en Aceptar.
8. En el cuadro de advertencia de Enrutamiento y acceso remoto, haga clic
en No para configurar la administración de cuentas RADIUS.
9. En el cuadro de advertencia de Enrutamiento y acceso remoto, haga clic
en Aceptar.
10. En el segundo cuadro de advertencia de Enrutamiento y acceso remoto,
haga clic en Aceptar.
11. En la consola de Enrutamiento y acceso remoto, haga clic con el botón
secundario del mouse en NombreDeEquipo, haga clic en Todas las tareas
y, a continuación, haga clic en Reiniciar.
Configurar el acceso a la red 83

Ejercicio: Centralizar la autenticación de acceso a la red


mediante IAS

*************************************************************************************
Objetivo En este ejercicio, agregará un servidor VPN como cliente RADIUS a un
servidor IAS.
Instrucciones Para completar este ejercicio, consulte el documento Valores del plan de
implementación, incluido en el apéndice al final del cuaderno de trabajo.
Debe haber iniciado sesión con una cuenta que no tenga credenciales
administrativas y ejecutar el comando Ejecutar como con una cuenta de
usuario que disponga de las credenciales administrativas apropiadas para
realizar la tarea.
Situación de ejemplo Como el número de servidores de acceso remoto ha crecido en su organización,
el ingeniero de sistemas ha instalado un servidor IAS y lo ha configurado con
directivas de acceso remoto. También le ha pedido que agregue su servidor
de acceso remoto o VPN al servidor IAS como cliente RADIUS y que,
posteriormente, configure el servidor VPN para que utilice la autenticación
RADIUS.
Ejercicio Configurar un servidor de acceso remoto para que utilice IAS en la
autenticación
• Complete esta tarea desde los equipos de ambos alumnos.
• Nombre de usuario: nwtraders\NombreDeEquipoAdmin
• Contraseña: P@ssw0rd
• Herramienta administrativa: Enrutamiento y acceso remoto
• Proveedor de autenticación RADIUS: Autenticación RADIUS
• Servidor de autenticación RADIUS: London
• Secreto compartido: 2184
• Reiniciar Enrutamiento y acceso remoto.
84 Configurar el acceso a la red

Conectarse al equipo de su compañero con la conexión VPN


• Realice esta tarea desde el equipo de alumno que tenga el número de
identificación más alto.
• Nombre de usuario: NombreDeEquipoAdmin (donde NombreDeEquipo
es el nombre de su equipo)
• Contraseña: P@ssw0rd
• Compruebe que aparece un globo emergente en el área de notificación que
indica que VPN NombreDeEquipo (donde NombreDeEquipo es el nombre
del equipo de su compañero) está conectado en ese momento.
• En el escritorio, haga clic con el botón secundario del mouse en VPN
NombreDeEquipo y, a continuación, haga clic en Estado.
• En el cuadro de diálogo Estado de VPN NombreDeEquipo, compruebe
que en Estado aparece Conectado y, a continuación, observe el tiempo
en Duración.

Comprobar la duración de la conexión para el cliente de acceso remoto


• Complete esta tarea desde el equipo del alumno con el número de
identificación más bajo.
• Nombre de usuario: nwtraders\NombreDeEquipoAdmin
• Contraseña: P@ssw0rd
• Herramienta administrativa: Enrutamiento y acceso remoto
• Clientes de acceso remoto: nwtraders\NombreDeEquipoAdmin
(donde NombreDeEquipo es el nombre del equipo de su compañero)

Desconectarse del equipo de su compañero mediante la conexión VPN


• Realice esta tarea desde el equipo de alumno que tenga el número de
identificación más alto.
• En el escritorio, haga clic con el botón secundario del mouse en VPN
NombreDeEquipo (donde NombreDeEquipo es el equipo de su compañero)
y, a continuación, haga clic en Desconectar.

Configurar el servidor VPN para que utilice la autenticación de Windows


• Complete esta tarea desde los equipos de ambos alumnos.
• Nombre de usuario: nwtraders\NombreDeEquipoAdmin
• Contraseña: P@ssw0rd
• Herramienta administrativa: Enrutamiento y acceso remoto
• Proveedor de autenticación RADIUS: Autenticación Windows
• Reiniciar Enrutamiento y acceso remoto.