1 / 68

Infraestructura de red de Windows Server™ 2003

Infraestructura de red de Windows Server™ 2003. Lo que cubriremos:. NAT (Conversión de direcciones de red), ICS (Compartir conexión a Internet) Firewall de Windows y el firewall básico RRAS IPSec (Seguridad del protocolo de Internet) basada en certificados Cuarentena de acceso remoto

valerie
Download Presentation

Infraestructura de red de Windows Server™ 2003

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Infraestructura de red de Windows Server™ 2003

  2. Lo que cubriremos: • NAT (Conversión de direcciones de red), ICS (Compartir conexión a Internet) • Firewall de Windows y el firewall básico RRAS • IPSec (Seguridad del protocolo de Internet) basada en certificados • Cuarentena de acceso remoto • L2TP (Protocolo de túnel de nivel 2) • IAS (Servicio de autenticación de Internet)

  3. Conocimiento previo • TCP/IP • Active Directory • Administración de Windows Server Nivel 200

  4. Agenda • Acceso a Internet de sucursal • Asegurar comunicaciones de servidor • Asegurar acceso remoto • VPN de oficina a oficina • Configuración de IAS

  5. Acceso a Internet de sucursalProblema de negocios • Tiene una nueva sucursal con las siguientes necesidades: • Acceso a Internet • Seguridad de fuentes externas

  6. Acceso a Internet de sucursalSolución = NAT + Firewall • NAT (Conversión de direcciones de red) o ICS (Compartir conexión a Internet) • Proporciona acceso a Internet desde un rango de direcciones privadas protegidas • Firewall básico o Firewall de Windows • Proporciona capacidades de firewall con filtración de paquetes

  7. Acceso a Internet de sucursalSolución = NAT o ICS • NAT (Conversión de direcciones de red) • Traduce direcciones IP y números de puerto para tráfico entrante y saliente • Oculta el rango de direcciones IP privadas del Internet • Se puede utilizar con DHCP o se puede configurar como un asignador DHCP • Se puede configurar para permitir conexiones entrantes a reservaciones específicas • ICS (Compartir conexión a Internet) • ICS es básicamente NAT con una configuración más fácil (también está disponible en Windows® XP)

  8. Acceso a Internet de sucursalNAT vs. ICS • NAT requiere una configuración manual de DHCP, DNS y RRAS • ICS se auto-configura y es la mejor opción para un ambiente pequeño • No utilice ICS en una red que: • Utilice direcciones IP estáticas • Utilice otros servidores DNS, puertas de enlace o servidores DHCP

  9. NAT/ICS • El cliente envía un paquete para el PC que ejecuta NAT. Internet PCs cliente PC que ejecuta NATIP interna = 192.168.1.1IP externa = IP pública Web ServerIP = IP pública IP = 192.168.1.3 IP = 192.168.1.4 IP = 192.168.1.5

  10. NAT/ICS • El cliente envía un paquete para el PC que ejecuta NAT. Internet PCs cliente PC que ejecuta NATIP interna = 192.168.1.1IP externa = IP pública Web ServerIP = IP pública IP = 192.168.1.3 IP = 192.168.1.4 • El PC que ejecuta NAT cambia el encabezado del paquete y envía el paquete sobre el Internet al servidor Web. IP = 192.168.1.5

  11. NAT/ICS • El cliente envía un paquete para el PC que ejecuta NAT. Internet PCs cliente PC que ejecuta NATIP interna = 192.168.1.1IP externa = IP pública Web ServerIP = IP pública IP = 192.168.1.3 IP = 192.168.1.4 • El PC que ejecuta NAT cambia el encabezado del paquete y envía el paquete sobre el Internet al servidor Web. • El servidor Web envía una respuesta al PC que ejecuta NAT. IP = 192.168.1.5

  12. NAT/ICS • El cliente envía un paquete para el PC que ejecuta NAT. Internet PCs cliente PC que ejecuta NATIP interna = 192.168.1.1IP externa = IP pública Web ServerIP = IP pública IP = 192.168.1.3 IP = 192.168.1.4 • El PC que ejecuta NAT cambia el encabezado del paquete y envía el paquete sobre el Internet al servidor Web. • El servidor Web envía una respuesta al PC que ejecuta NAT IP = 192.168.1.5 • El PC que ejecuta NAT determina el destino, cambia el encabezado del paquete y envía el paquete al cliente.

  13. Acceso a Internet de sucursalFirewall básico/Firewall de Windows • Firewall básico • Configurado a través de RRAS • Permite configurar excepciones para protocolos de IP y tráfico ICMP para tráfico entrante y saliente • Firewall basado en el servidor • Firewall de Windows • Función agregada en Windows Server 2003 SP1 • Le permite configurar únicamente excepciones TCP y UDP basadas en puertos para tráfico entrante • Firewall basado en el cliente

  14. Demo • Configuración de NAT y Firewall básico • Configurar NAT y un firewall básico RRAS

  15. Agenda • Acceso a Internet de sucursal • Asegurar comunicaciones de servidor • Asegurar acceso remoto • VPN de oficina a oficina • Configuración de IAS

  16. Asegurar comunicaciones de servidorProblema de negocios • Necesita asegurar que las comunicaciones entre su servidor Web público y Microsoft® SQL Server™ sean seguras • El servidor Web se localiza en una subred filtrada y se conecta a SQL Server a través del firewall. • El servidor Web no es miembro de un bosque interno de Active Directory. • Los filtros de paquete ya están configurados en el firewall, pero se requiere más seguridad.

  17. Asegurar comunicaciones de servidorIPSec basada en certificados • Servicios de certificado de Windows Server 2003 • Configure la encriptación de IPSec para utilizar la autenticación de certificados (CA) • Personalice la política de IPSec para encriptar únicamente el tráfico SQL (opcional, pero recomendado)

  18. Asegurar comunicaciones de servidorPKI de Windows Server 2003 Los certificados son credenciales electrónicas que autentican a un usuario en Internet o en las intranets Certificados: • Vinculan con seguridad una clave pública con una entidad que ostenta la clave privada correspondiente • Están firmados digitalmente por la autoridad de certificación (CA) emisora • Verifican la identidad de un usuario,un PC, o un servicio que presenta elcertificado • Contienen detalles acerca del emisor ydel sujeto

  19. Asegurar comunicaciones de servidorMétodos de autenticación IPSec • Kerberos (predeterminado) • Funciona para PCs que son miembros de un dominio confiable de Active Directory • Basada en certificados • Funciona para PCs que tienen certificados de una autoridad de certificación seleccionada • Clave Precompartida • No se recomienda debido a que es el menos seguro de los tres métodos

  20. Asegurar comunicaciones de servidorPolíticas para personalizar IPSec • Las políticas predeterminadas incluyen: • Cliente (sólo responder) • Servidor (seguridad de solicitud) • Servidor seguro (se requiere seguridad) • Ejemplo de una política personalizada • Edite los filtros de la política de Asegurar servidor para requerir seguridad únicamente en las comunicaciones entre IIS Server y SQL Server.

  21. Demo • Configuración de IPSec • Instalar los certificados de PC de IPSec • Crear una política IPSec personalizada

  22. Agenda • Acceso a Internet de sucursal • Asegurar comunicaciones de servidor • Asegurar acceso remoto • VPN de oficina a oficina • Configuración de IAS

  23. Asegurar acceso remotoProblema de negocios • Necesita configurar una solución de acceso remoto segura que permita: • Un control personalizable sobre el acceso de los usuarios • Evitar que se conecten configuraciones inválidas

  24. Asegurar acceso remotoPolíticas y cuarentena de acceso remoto • Políticas de acceso remoto • Permitir un control robusto del acceso remoto • Control de cuarentena de acceso a la red • Demora una conexión de acceso totalmente remota hasta que el cliente de acceso remoto haya sido examinado de acuerdo con las secuencias de comandos proporcionadas por el administrador

  25. Asegurar acceso remotoEvaluación de la política de acceso remoto Política de acceso remoto Condiciones de acceso remoto • Día y hora • Grupo • Etcétera Cliente RAS Servidor RAS Perfil de acceso remoto • Restricciones de medios de marcación • Configuraciones de múltiples enlaces • Etcétera Permisos de cuenta • Permitir • Negar Controlador de dominio Windows 2000

  26. Asegurar acceso remotoEvaluación de la política de acceso remoto Política de acceso remoto Condiciones de acceso remoto • Día y hora • Grupo • Etcétera Cliente RAS Servidor RAS Perfil de acceso remoto • Restricciones de medios de marcación • Configuraciones de múltiples enlaces • Etcétera Permisos de cuenta • Permitir • Negar Controlador de dominio Windows 2000

  27. Asegurar acceso remotoEvaluación de la política de acceso remoto Política de acceso remoto Condiciones de acceso remoto • Día y hora • Grupo • Etcétera Cliente RAS Servidor RAS Perfil de acceso remoto • Restricciones de medios de marcación • Configuraciones de múltiples enlaces • Etcétera Permisos de cuenta • Permitir • Negar Controlador de dominio Windows 2000

  28. Asegurar acceso remotoEvaluación de la política de acceso remoto Política de acceso remoto Condiciones de acceso remoto • Día y hora • Grupo • Etcétera Cliente RAS Servidor RAS Perfil de acceso remoto • Restricciones de medios de marcación • Configuraciones de múltiples enlaces • Etcétera Permisos de cuenta • Permitir • Negar Controlador de dominio Windows 2000

  29. Asegurar acceso remotoEvaluación de la política de acceso remoto Política de acceso remoto Condiciones de acceso remoto • Día y hora • Grupo • Etcétera Cliente RAS Servidor RAS Perfil de acceso remoto • Restricciones de medios de marcación • Configuraciones de múltiples enlaces • Etcétera Permisos de cuenta • Permitir • Negar • Control con RAP • Permisos de acceso remoto • Permitir • Negar • (Únicamente modo nativo) Controlador de dominio Windows 2000

  30. Asegurar acceso remotoEvaluación de la política de acceso remoto Política de acceso remoto Condiciones de acceso remoto • Día y hora • Grupo • Etcétera Cliente RAS Servidor RAS Perfil de acceso remoto • Restricciones de medios de marcación • Configuraciones de múltiples enlaces • Etcétera Permisos de cuenta • Permitir • Negar • Control con RAP • Permisos de acceso remoto • Permitir • Negar • (Únicamente modo nativo) Controlador de dominio Windows 2000

  31. Asegurar acceso remotoEvaluación de la política de acceso remoto Política de acceso remoto Condiciones de acceso remoto • Día y hora • Grupo • Etcétera Cliente RAS Servidor RAS Perfil de acceso remoto • Restricciones de medios de marcación • Configuraciones de múltiples enlaces • Etcétera Permisos de cuenta • Permitir • Negar • Control con RAP • Permisos de acceso remoto • Permitir • Negar • (Únicamente modo nativo) Controlador de dominio Windows 2000

  32. Asegurar acceso remotoEvaluación de la política de acceso remoto Política de acceso remoto Condiciones de acceso remoto • Día y hora • Grupo • Etcétera Cliente RAS Servidor RAS Perfil de acceso remoto • Restricciones de medios de marcación • Configuraciones de múltiples enlaces • Etcétera Permisos de cuenta • Permitir • Negar • Control con RAP • Permisos de acceso remoto • Permitir • Negar • (Únicamente modo nativo) Controlador de dominio Windows 2000

  33. Asegurar acceso remotoComportamiento de la política • Política predeterminada de acceso remoto • Permite acceso a cualquier cuenta de usuario a la que se le haya otorgado acceso mediante las propiedades de cuenta de usuario en Active Directory • Políticas múltiples • Las políticas se verifican en orden de prioridad hasta que el usuario corresponda a las condiciones de una de ellas • Si el usuario corresponde a las condiciones de varias políticas, se utiliza la primera con la que coincida

  34. Asegurar acceso remotoCuarentena de acceso a la red • Permite la validación de las siguientes conexiones entrantes de acceso remoto: • Versión de paquete de servicio • Software antivirus y firmas • Configuración de firewall local • Se deshabilita el enrutamiento local • Protector de pantalla protegido con contraseña

  35. Asegurar acceso remotoCuarentena de acceso a la red Internet Recursos en cuarentena Política de cuarentena Intranet Cliente en cuarentena con perfil CM RAS de Windows Server 2003 DC de Windows Server 2003

  36. Asegurar acceso remotoCuarentena de acceso a la red Internet Recursos en cuarentena Política de cuarentena Intranet Cliente ejecuta el programa de cuarentena Cliente en cuarentena con perfil CM RAS de Windows Server 2003 DC de Windows Server 2003

  37. Asegurar acceso remotoCuarentena de acceso a la red Internet Recursos en cuarentena Política de cuarentena Intranet Cliente ejecuta el programa de cuarentena X Cliente en cuarentena con perfil CM RAS de Windows Server 2003 DC de Windows Server 2003

  38. Asegurar acceso remotoCuarentena de acceso a la red Internet Recursos en cuarentena Política de cuarentena Intranet Cliente ejecuta el programa de cuarentena OK Cliente en cuarentena con perfil CM RAS de Windows Server 2003 DC de Windows Server 2003

  39. Asegurar acceso remotoConfiguración de la cuarentena • Para implementar el Control de cuarentena de acceso a la red, los pasos básicos (en orden) son los siguientes: 1. Crear los recursos de cuarentena. 2. Crear una secuencia de comandos o programa que valide la configuración del cliente. 3. Instalar Rqs.exe en los servidores de acceso remoto. NOTA: Esto estará disponible a través de Agregar/Quitar programas con Service Pack 1. 4. Crear un nuevo perfil CM de cuarentena con Windows Server 2003 CMAK. 5. Distribuir el perfil CM para instalación en los PCs cliente de acceso remoto. 6. Configurar la política de acceso remoto de cuarentena.

  40. Demo • Configurar la cuarentena de VPN • Configurar el servidor de acceso remoto • Crear el perfil CMAK • Probar la conexión

  41. Agenda • Acceso a Internet de sucursal • Asegurar comunicaciones de servidor • Asegurar acceso remoto • VPN de oficina a oficina • Configuración de IAS

  42. VPN de oficina a oficina Problema de negocios • Desea conectar la sucursal a través de una VPN de sitio a sitio y necesita asegurar alta seguridad.

  43. VPN de oficina a oficina Solución: L2TP VPN • VPN de enrutador a enrutador • Una solución rentable cuando se compara con las líneas arrendadas • L2TP (Protocolo de túnel de nivel 2) • Utiliza la encriptación IPSec (DES o 3DES) y los certificados de PC para autenticación basada en PC

  44. VPN de oficina a oficina Windows Server 2003 L2TP Internet Firewall Firewall VPN de Windows Server 2003 VPN de Windows Server 2003 • Windows Server 2003 soporta IPSec NAT-T, lo que significa que puede tener sus servidores VPN detrás del firewall que proporciona NAT • Windows Server 2003 también soporta el uso de claves precompartidas para autenticación (no se recomienda para uso de producción)

  45. VPN de oficina a oficina Proceso de conexión L2TP 1. Negociación IKE y negociación IPSec SA Internet VPN de Windows Server 2003 VPN de Windows Server 2003

  46. VPN de oficina a oficina Proceso de conexión L2TP 1. Negociación IKE y negociación IPSec SA 2. Se establece el túnel L2TP Internet VPN de Windows Server 2003 VPN de Windows Server 2003

  47. VPN de oficina a oficina Proceso de conexión L2TP 3. La autenticación PPP pasa a través del túnel 1. Negociación IKE y negociación IPSec SA 2. Se establece el túnel L2TP Internet VPN de Windows Server 2003 VPN de Windows Server 2003

  48. VPN de oficina a oficina Configuración L2TP VPN • Instale los certificados de PC en cada servidor VPN. • Configure las interfaces de marcación a solicitud. • Configure la cuenta de marcación a utilizar. • Configure los filtros de paquete en el servidor VPN o en el firewall, dependiendo de su ambiente.

  49. Demo • VPN de oficina a oficina utilizando L2TP • Configurar el enrutador corporativo • Configurar el enrutador de la sucursal • Probar la conexión

  50. Agenda • Acceso a Internet de sucursal • Asegurar comunicaciones de servidor • Asegurar acceso remoto • VPN de oficina a oficina • Configuración de IAS

More Related