Professional Documents
Culture Documents
la red
Contenido
Introducción 2
Lección: Introducción a las infraestructuras de acceso a la red 3
Lección: Configurar una conexión VPN 14
Lección: Configurar una conexión de acceso telefónico 30
Lección: Configurar una conexión inalámbrica 41
Lección: Controlar el acceso de los usuarios a una red 54
Lección: Centralizar la autenticación de acceso a la red y la administración de directivas mediante IAS 73
2 Configurar el acceso a la red
Introducción
*************************************************************************************
Introducción Este módulo le permite adquirir los conocimientos y técnicas básicos necesarios
para permitir la conexión de usuarios remotos a una red. Entre las principales
tareas para habilitar el acceso remoto a una red se incluye la configuración de
un servidor con el Servicio de enrutamiento y acceso remoto, la creación de
conexiones de acceso remoto adecuadas en un servidor de acceso a la red, así
como la configuración de los derechos de acceso de los usuarios.
Objetivos Después de finalizar este módulo, será capaz de:
• Describir una infraestructura de acceso a la red.
• Configurar una conexión de red privada virtual (VPN).
• Configurar una conexión de acceso telefónico.
• Configurar una conexión inalámbrica.
• Controlar el acceso de usuarios remotos a una red.
• Centralizar la autenticación y la administración de directivas para el acceso
a la red mediante el Servicio de autenticación de Internet (IAS, Internet
Authentication Service).
Configurar el acceso a la red 3
*************************************************************************************
Introducción Para mantener una comunicación eficaz y conectar ubicaciones remotas, las
organizaciones necesitan instalar y administrar una infraestructura de acceso
a la red que sea segura. En esta lección se presenta la función de una
infraestructura de acceso a la red, sus componentes y cómo funcionan
conjuntamente para proporcionar un acceso seguro a la red.
Objetivos de la lección Después de finalizar esta lección, será capaz de:
• Describir de qué modo los servidores de acceso a la red funcionan
conjuntamente.
• Describir los componentes de una infraestructura de acceso a la red.
• Explicar los requisitos de configuración para un servidor de acceso a la red.
• Explicar qué tipo de clientes pueden tener a acceso a una red.
• Explicar en qué consisten la autenticación y la autorización de acceso a la red.
• Especificar qué tipos de métodos de autenticación se utilizan en una
infraestructura de acceso a la red.
4 Configurar el acceso a la red
*************************************************************************************
Ubicación de los Para iniciar la presentación Introducción a la infraestructura de acceso a la
archivos red, abra el archivo media34.htm que se puede encontrar dentro del fichero
media34.zip.
Objetivos Al final de esta presentación, será capaz de:
• Explicar los componentes de una infraestructura de acceso a la red.
• Describir de qué modo los componentes de acceso a la red funcionan
conjuntamente para proporcionar una solución de acceso remoto.
• Detallar cómo funciona el proceso de acceso remoto.
Puntos clave • En una red corporativa hay usuarios que se conectan mediante topologías de
red de área local (LAN) y usuarios que utilizan otros métodos de acceso.
• Para admitir la presencia de los usuarios que no emplean topologías LAN,
debe proporcionar una infraestructura de acceso remoto de manera que los
usuarios remotos puedan conectarse a la red central.
• Hay numerosos componentes y procesos necesarios a la hora de
proporcionar una solución de acceso remoto.
• Como administrador de sistemas, su responsabilidad es garantizar que la
infraestructura de acceso a la red funcione y que los usuarios remotos
puedan tener acceso a la red.
Configurar el acceso a la red 5
*************************************************************************************
Introducción Para proporcionar una infraestructura de acceso a la red segura, un administrador
debe conocer los siguientes componentes básicos que la conforman:
• Servidor de acceso a la red
• Clientes de acceso a la red
• Servicio de autenticación
• Servicio de directorio Active Directory®
Active Directory Los dominios de Active Directory contienen las cuentas de usuario, contraseñas
y propiedades de acceso telefónico necesarias para autenticar las credenciales
del usuario y evaluar las restricciones tanto de autorización como de conexión.
Cuando un cliente se conecta a la red, el administrador puede controlar su
acceso a los recursos mediante diversos controles administrativos tanto en el
equipo cliente como en los servidores de acceso a la red. Entre estos controles
administrativos se incluyen Compartir impresoras y archivos, Directiva de
grupo local y Directiva de grupo a través del servicio Active Directory.
Configurar el acceso a la red 7
*************************************************************************************
Definición Un servidor de acceso a la red es aquel que actúa como puerta de enlace a una
red para un cliente. En este módulo, el servidor de acceso a la red es un servidor
configurado con el Servicio de enrutamiento y acceso remoto y también se
puede hacer referencia a él como servidor de acceso remoto (en las conexiones
de acceso telefónico) o como servidor VPN, dependiendo del tipo de conexión
que esté configurado para negociar.
Nota La autenticación se describe con más detalle más adelante en esta lección.
*************************************************************************************
Introducción La administración de una red informática requiere que los administradores
pongan los recursos de red a disposición de los usuarios que no están
conectados directamente a la LAN. Estos usuarios pueden ser empleados,
contratistas, socios, proveedores o clientes, y pueden necesitar un acceso
a la red a través de marcado, Internet o conexiones inalámbricas. Como
administrador de sistemas, su responsabilidad es configurar un acceso seguro
para los usuarios que tengan permiso para conectarse a la red y denegar el
acceso a aquellos usuarios que no cuenten con dicho permiso. Por lo tanto,
debe saber cómo configurar y proteger el servidor de acceso a la red para los
siguientes métodos de acceso:
• Red privada virtual
• Acceso remoto mediante acceso telefónico
• Acceso inalámbrico
Cliente VPN Un cliente VPN se conecta a una red a través de una red compartida o pública,
como Internet, de manera que simula un vínculo punto a punto en una red privada.
Cliente de acceso Un cliente de acceso telefónico se conecta a una red mediante una red de
telefónico comunicaciones, como la Red telefónica pública conmutada (PSTN, Public
Switched Telephone Network), para crear una conexión física a un puerto en un
servidor de acceso remoto en una red privada. Esta conexión puede efectuarse
con diferentes tecnologías, como puede ser un módem, un adaptador de Red
digital de servicios integrados (RDSI, Integrated Services Digital Network)
o un adaptador de Línea de suscriptor digital (DSL, Digital Subscriber Line)
para marcar al servidor de acceso remoto.
Cliente inalámbrico Un cliente inalámbrico se conecta a una red con tecnologías de infrarrojos o
de radiofrecuencia optimizadas para conexiones de corto alcance. Entre los
dispositivos que suelen utilizarse para el acceso inalámbrico a red se incluyen
los equipos portátiles, los equipos de bolsillo, los asistentes personales digitales
(PDA, Personal Digital Assistant), los teléfonos móviles, los equipos basados
en lápiz y los localizadores, o “buscas”.
10 Configurar el acceso a la red
*************************************************************************************
La autenticación de Al permitir un mayor acceso a la red, las organizaciones necesitan garantizar un
acceso a la red protege nivel de seguridad suficiente para protegerse de los accesos no autorizados y del
dicho acceso uso de los activos internos.
En las conexiones VPN, de acceso telefónico e inalámbricas, Microsoft®
Windows Server™ 2003 implementa la autenticación en dos procesos: inicio
de sesión interactivo y autorización de la red. Ambos deben completarse
correctamente para que un usuario pueda tener acceso a los recursos de la red.
Diferencia entre La distinción entre autenticación y autorización es importante para comprender
autenticación y de qué modo se aceptan o rechazan los intentos de conexión.
autorización
• La autenticación es la validación de las credenciales durante un intento
de conexión. Este proceso de inicio de sesión consiste en enviar las
credenciales desde el cliente de acceso a la red (por ejemplo, un nombre y
contraseña) al servidor de acceso a la red ya sea en texto sin formato o de
forma cifrada con un protocolo de autenticación. La identificación del usuario
se reenvía posteriormente a una cuenta de dominio para confirmarse.
• La autorización consiste en la comprobación de que el intento de conexión se
ha permitido. Una vez autenticado el cliente remoto, se permite o rechaza el
acceso de acuerdo con las credenciales de la cuenta y las directivas de acceso
remoto. La autorización solamente puede producirse tras un intento de inicio
de sesión correcto. Si el inicio de sesión falla, se rechaza el acceso del usuario.
Configurar el acceso a la red 11
Aceptación o rechazo de Para que un intento de conexión se acepte, debe autenticarse y autorizarse. Es
un intento de conexión posible que el intento de conexión se autentique con credenciales válidas, pero
que no se autorice. Cuando la autenticación se supera pero la autorización falla,
el intento de conexión se rechaza.
Si el servidor de acceso a la red se configura como el proveedor de
autenticación de Windows, Windows Server 2003 realiza la autenticación de las
credenciales del usuario. Las propiedades de acceso telefónico de la cuenta de
usuario y las directivas de acceso remoto almacenadas localmente permiten la
autorización del intento de conexión. Un intento de conexión se acepta si se
autentica y se autoriza.
12 Configurar el acceso a la red
*************************************************************************************
Métodos de La autenticación de clientes de acceso remoto es un aspecto de seguridad
autenticación importante. Generalmente, los métodos de autenticación emplean un protocolo
de autenticación que se negocia durante el proceso de establecimiento de la
conexión. La familia de Windows Server 2003 admite los siguiente métodos de
autenticación.
Método de autenticación Descripción
(continuación)
Método de autenticación Descripción
Autenticación EAP El Protocolo de autenticación extensible (EAP) ofrece un marco que permite la
autenticación personalizada a los servidores de acceso remoto. El método de
autenticación específico se negocia entre el cliente y el servidor de acceso
remoto. Tanto el cliente de acceso remoto como el autenticador deben tener
instalado el mismo módulo de autenticación EAP.
Los proveedores independientes pueden emplear las interfaces de programación
de aplicaciones (API) de EAP para crear nuevos tipos de EAP que podrían
incluir tecnologías como tarjetas testigo o biométrica.
Método de autenticación El uso de certificados y tarjetas inteligentes para la autenticación de usuarios es la
recomendado forma más segura de autenticación remota en la familia de Windows Server 2003.
Las tarjetas inteligentes son un método versátil y a prueba de alteraciones para
proporcionar soluciones de seguridad para tareas, como el inicio de sesión en un
dominio de la familia de Microsoft Windows Server 2003, la conexión a un
servidor de acceso remoto y la protección del correo electrónico. El uso de
certificados de tarjeta inteligente para la autenticación de usuarios requiere una
infraestructura de clave pública (PKI).
*************************************************************************************
Introducción Esta lección le permite adquirir las técnicas y conocimientos que necesita para
configurar correctamente una conexión VPN.
Objetivos de la lección Después de finalizar esta lección, será capaz de:
• Describir cómo funciona una conexión VPN.
• Describir los componentes de una conexión VPN.
• Explicar qué tipos de protocolos de cifrado se utilizan para las
conexiones VPN.
• Identificar los requisitos de configuración para un servidor VPN.
• Configurar un servidor de acceso remoto para usar una conexión VPN.
• Configurar un cliente de acceso remoto para usar una conexión VPN.
• Configurar la autenticación mediante tarjeta inteligente para el acceso
a la red.
• Configurar una conexión VPN.
Configurar el acceso a la red 15
*************************************************************************************
Introducción El Servicio de enrutamiento y acceso remoto proporciona servicios VPN para
que los usuarios puedan tener acceso a las redes corporativas de una manera
segura al cifrar los datos transmitidos a través de una red de transporte no
segura, como Internet.
Qué es una VPN Una conexión VPN amplía las capacidades de una red privada para abarcar
vínculos a través de redes compartidas o públicas, como Internet. Con una VPN
puede enviar datos cifrados entre dos equipos a través de una red compartida o
pública simulando un vínculo punto a punto en una red privada.
Para simular un vínculo punto a punto, los datos se encapsulan, o empaquetan,
con un encabezado que ofrece información de enrutamiento y que les permite
atravesar la red compartida o pública para alcanzar su punto final. Para simular
un vínculo privado, los datos se cifran con el fin de garantizar la
confidencialidad. Los paquetes que se interceptan en la red compartida o
pública no pueden leerse sin las claves de cifrado. El vínculo donde se
encapsulan y se cifran los datos privados es una conexión VPN. La conexión
VPN también se conoce como túnel VPN.
Proceso de El proceso de una conexión VPN se describe en los siguientes pasos:
conexión VPN
1. Un cliente VPN realiza una conexión VPN a un servidor de acceso remoto o
servidor VPN que está conectado a Internet. (El servidor VPN actúa como
puerta de enlace y normalmente se configura de modo que proporcione
acceso a la red completa a la que está conectado el servidor VPN.)
2. El servidor VPN responde a la llamada virtual.
3. El servidor VPN autentica al autor de la llamada y comprueba su
autorización para conectar.
4. El servidor VPN transfiere datos entre el cliente VPN y la red corporativa.
16 Configurar el acceso a la red
Ventajas de una VPN Las VPN permiten a los usuarios o corporaciones conectarse a servidores
remotos, sucursales o a otras organizaciones a través de una red pública, a la
vez que mantiene comunicaciones seguras. En todos estos casos, la conexión
segura se muestra al usuario como una comunicación de red privada, a pesar de
que la comunicación se efectúa a través de una red pública. Otras ventajas son:
• Beneficios en los costos. VPN no emplea una línea telefónica y requiere
menos hardware (el proveedor de servicios Internet (ISP) se encarga de
mantener el hardware de comunicaciones).
• Seguridad mejorada. Los datos confidenciales se ocultan a los usuarios no
autorizados, pero resultan accesibles a los autorizados a través de la
conexión. El servidor VPN obliga a la autenticación y el cifrado.
• Compatibilidad de protocolos de red. Puede ejecutar remotamente cualquier
aplicación que dependa de los protocolos de red más comunes, como
Protocolo de control de transporte/Protocolo Internet (TCP/IP, Transmission
Control Protocol/Internet Protocol).
• Seguridad de las direcciones IP. Dado que la información enviada a través
de una VPN se cifra, las direcciones que usted especifica se protegen y el
tráfico transmitido a través de Internet solamente tendrá la dirección IP
externa visible. No se incurre en costos administrativos por tener que
cambiar las direcciones IP para el acceso remoto a través de Internet.
Configurar el acceso a la red 17
*************************************************************************************
Componentes de una Una conexión VPN incluye los siguientes componentes:
conexión VPN
• Servidor VPN. Equipo que acepta conexiones VPN de clientes VPN, como
un servidor configurado con el Servicio de enrutamiento y acceso remoto.
• Cliente VPN. Equipo que inicia una conexión VPN a un servidor VPN.
• Red de tránsito. La red compartida o pública por la que pasan los datos
encapsulados.
• Conexión o túnel VPN. La parte de la conexión donde los datos se cifran y
se encapsulan.
• Protocolos de túnel. Los protocolos que se utilizan para administrar túneles
y encapsular datos privados, por ejemplo, Protocolo de túnel punto a punto
(PPTP, Point-to-Point Tunneling Protocol).
• Datos de túnel. Los datos que suelen enviarse a través de un vínculo punto a
punto privado.
• Autenticación. La identidad del cliente y del servidor en una conexión VPN
se autentican. Para garantizar que los datos recibidos se originan en el otro
extremo de la conexión y que no se han interceptado ni modificado, una
VPN también autentica los datos que se han enviado.
• Asignación de servidores de direcciones y nombres. El servidor VPN es el
responsable de la asignación de direcciones IP y lo hace con el protocolo
predeterminado, Protocolo de configuración dinámica de host (DHCP,
Dynamic Host Configuration Protocol), o a partir de un conjunto estático
que crea el administrador. El servidor VPN también asigna a los clientes
direcciones del servidor de Sistema de nombres de dominio (DNS) y
Servicio de nombres Internet de Windows (WINS). Los servidores de
nombres asignados son aquellos que proporcionan servicios a la intranet
con la que se interconecta el servidor VPN.
18 Configurar el acceso a la red
*************************************************************************************
Protocolos de túnel Para proteger la comunicación, la familia de Windows Server 2003 emplea dos
tipos de protocolos de túnel (de cifrado):
• Protocolo de túnel punto a punto (PPTP). Emplea los métodos de
autenticación PPP de usuario y Cifrado punto a punto de Microsoft
(MPPE, Microsoft Point-to-Point Encryption) para el cifrado de datos.
• Protocolo de túnel de capa dos con seguridad del protocolo Internet
(L2TP/IPSec). Emplea métodos de autenticación PPP de nivel de usuario
a través de una conexión que se cifra con IPSec. IPSec requiere una
autenticación de host mediante el uso del protocolo Kerberos, el secreto
compartido o los certificados de equipo.
Ejemplos de un servidor Dos escenarios habituales en los que se utiliza L2TP/IPSec son:
de acceso remoto con
L2TP/IPSec • Protección de comunicaciones entre clientes de acceso remoto y la red
corporativa a través de Internet.
• Protección de comunicaciones entre sucursales.
20 Configurar el acceso a la red
*************************************************************************************
Introducción Para poder configurar una conexión VPN, deberá habilitar el Servicio de
enrutamiento y acceso remoto. Al habilitarlo, se inicia el Asistente para la
instalación del servidor de enrutamiento y acceso remoto con el que podrá
configurar el servidor VPN. Si el Servicio de enrutamiento y acceso remoto
se habilitó anteriormente, puede configurar el acceso a la red VPN en las
propiedades del servidor de acceso remoto.
Requisitos de En la tabla siguiente se enumera la información que necesita conocer para
configuración configurar un servidor de acceso remoto o VPN.
Identifique la interfaz de red que se conecta a Internet Durante la configuración se le solicitará que elija el tipo
y la que se conecta a la red privada. de interfaz de red que se conecta a Internet. Si especifica
la interfaz incorrecta, el servidor de acceso remoto o
VPN no funcionará correctamente.
Indique si los clientes remotos recibirán direcciones IP Si cuenta con un servidor DHCP en la red privada,
de un servidor DHCP de la red privada o del servidor el servidor VPN puede conceder 10 direcciones
VPN que está configurando. simultáneamente desde el servidor DHCP y asignarlas
a clientes remotos. Si no dispone del servidor DHCP, el
servidor VPN puede generar y asignar automáticamente
direcciones IP a los clientes remotos. Si desea que el
servidor de acceso remoto o VPN asigne las direcciones
IP de un intervalo que usted determine, deberá indicar
dicho intervalo.
Indique si desea que las solicitudes de conexión de los Agregar un servidor RADIUS resulta útil si piensa
clientes VPN se autentiquen mediante un servidor instalar varios servidores VPN, puntos de acceso
RADIUS o mediante el servidor VPN que está inalámbricos u otros clientes RADIUS a la red privada.
configurando. La incorporación de un servidor RADIUS se describe con
mayor detalle en las siguientes lecciones de este módulo.
Configurar el acceso a la red 21
*************************************************************************************
Introducción Si desea configurar un servidor VPN, primero deberá agregar la función de
servidor de acceso remoto o servidor VPN. Debe ser miembro del grupo
Administradores en el equipo local para agregar una función de servidor.
Una vez haya agregado la función de servidor VPN, puede usar el Asistente
para configurar su servidor, que le ayudará a configurar el servidor para usar
una conexión VPN. En Administre su servidor, haga clic en Agregar o quitar
función y, a continuación, seleccione la función Servidor de acceso
remoto/VPN.
Nota Para realizar este procedimiento, debe ser miembro del grupo
Administradores en el equipo local. Cómo práctica de seguridad recomendada,
considere la opción de utilizar el comando Ejecutar como en lugar de iniciar
la sesión con credenciales administrativas. Si ha iniciado una sesión con
credenciales administrativas, también puede abrir Enrutamiento y acceso
remoto si hace clic en Inicio y Panel de control, hace doble clic en
Herramientas administrativas y, a continuación, hace doble clic en
Enrutamiento y acceso remoto.
Directrices para Un administrador de dominio debe agregar la cuenta de equipo del servidor
registrar el servidor de apropiado al grupo de seguridad Servidores RAS e IAS en el dominio del que
acceso remoto en Active ese servidor sea miembro. El administrador de dominio puede agregar la cuenta
Directory del equipo al grupo de seguridad Servidores RAS e IAS mediante Usuarios y
equipos de Active Directory o con el comando netsh ras add registeredserver.
Por ejemplo, para registrar el servidor de acceso remoto Vancouver en el
dominio nwtraders, en el símbolo del sistema escriba netsh ras add
registeredserver nwtraders Vancouver.
22 Configurar el acceso a la red
Procedimiento de Para configurar un servidor de acceso remoto con el fin de usar una
configuración de un conexión VPN:
servidor de acceso
remoto para usar una 1. Inicie una sesión con una cuenta de usuario no administrativa.
conexión VPN
2. Haga clic en Inicio y, después, en Panel de control.
3. En Panel de control, abra Herramientas administrativas y, a continuación,
haga clic con el botón secundario del mouse (ratón) en Administre su
servidor y seleccione Ejecutar como.
4. En el cuadro de diálogo Ejecutar como, seleccione la opción El siguiente
usuario y, a continuación, escriba una cuenta de usuario y contraseña que
posea los permisos apropiados para completar la tarea, y haga clic en
Aceptar.
5. En la ventana Administre su servidor, haga clic en Agregar o quitar
función para tener acceso al Asistente para configurar su servidor.
6. En la página Pasos preliminares, haga clic en Siguiente.
7. En la página Función del servidor, haga clic en Servidor de acceso
remoto/VPN y, a continuación, haga clic en Siguiente.
8. En la página Resumen de las selecciones, haga clic en Siguiente.
9. En la página Éste es el Asistente para instalación del servidor de
enrutamiento y acceso remoto, haga clic en Siguiente.
10. En la página Configuración, seleccione Acceso remoto (acceso telefónico
o red privada virtual) y, a continuación, haga clic en Siguiente.
11. En la página Acceso remoto, compruebe que la opción VPN está
seleccionada y haga clic en Siguiente.
12. En la página Conexión VPN, haga clic en la interfaz de red que conecta
el equipo a Internet. La interfaz de red que elija podrá configurarse para
recibir conexiones de los clientes VPN. Las interfaces que no elija se
configurarán como una conexión a la red privada.
13. En la página Asignación de direcciones IP, seleccione la opción
Automáticamente o De un intervalo de direcciones especificado.
La opción seleccionada de manera predeterminada es Automáticamente.
Esta selección configura el servidor para generar y asignar direcciones
IP a clientes remotos. Haga clic en Siguiente.
14. En la página Administrar servidores de acceso remoto múltiples, la
opción No, usar Enrutamiento y acceso remoto para autenticar las
solicitudes de conexión se selecciona automáticamente. No cambie la
selección. Esta selección configura el servidor para autenticar las solicitudes
de conexión localmente mediante la autenticación de Windows, la
administración de cuentas de Windows y las directivas de acceso remoto
almacenadas localmente. Haga clic en Siguiente.
Configurar el acceso a la red 23
Nota Debe comprobar que haya bastantes puertos configurados para permitir
suficientes conexiones simultáneas al servidor.
*************************************************************************************
Introducción Puede utilizar Conexiones de red al configurar un cliente para usar una
conexión VPN. Una vez haya creado una conexión nueva, puede copiarla a la
carpeta Conexiones de red, cambiar el nombre de la conexión y modificar la
configuración. Copiar la nueva conexión a la carpeta Conexiones de red es un
modo rápido de crear conexiones diferentes que se adapten a diversos módems,
ISP, perfiles de marcado, etcétera.
Nota Es recomendable que inicie sesión con una cuenta que no tenga
credenciales administrativas y que ejecute el comando Ejecutar como con una
cuenta de usuario que disponga de las credenciales administrativas apropiadas
para realizar esta tarea.
Configurar el acceso a la red 25
Procedimiento Para configurar un cliente de acceso remoto para usar una conexión VPN:
1. Haga clic en Inicio y, después, en Panel de control.
2. En el Panel de control, haga clic en Conexiones de red.
3. En Conexiones de red, haga doble clic en Asistente para conexión nueva.
4. En la página Éste es el Asistente para conexión nueva, haga clic
en Siguiente.
5. En la página Tipo de conexión de red, seleccione Conectarse a la red
de mi lugar de trabajo y, a continuación, haga clic en Siguiente.
6. En la página Conexión de red, seleccione Conexión de red privada
virtual y, a continuación, haga clic en Siguiente.
7. En la página Nombre de la conexión, escriba el nombre correspondiente a
la conexión (generalmente se utiliza el nombre de la organización) y haga
clic en Siguiente.
8. En la página Selección del servidor VPN, escriba el nombre de host (por
ejemplo, Microsoft.com) o la dirección IP del servidor VPN al que se va a
conectar y, a continuación, haga clic en Siguiente.
9. En la página Disponibilidad de la conexión, si tiene permisos
administrativos en el equipo local, puede seleccionar El uso de cualquier
persona o Sólo para mi uso. Si ha iniciado una sesión con una cuenta no
administrativa, entonces solamente puede seleccionar la opción Sólo para
mi uso. Haga clic en Siguiente.
10. En la página Finalización del Asistente para conexión nueva, haga clic
en Finalizar.
26 Configurar el acceso a la red
*************************************************************************************
Introducción El uso de tarjetas inteligentes para la autenticación de usuarios es la forma más
segura de autenticación en la familia de Windows Server 2003. Para las
conexiones de acceso remoto, debe utilizar EAP con tarjeta inteligente u otro
tipo de EAP de certificado (TLS), también conocido como EAP-TLS.
Procedimiento Para configurar la autenticación mediante tarjeta inteligente en un servidor
de acceso remoto:
1. Abra la consola de Enrutamiento y acceso remoto.
2. Haga clic con el botón secundario del mouse en el nombre del servidor
de acceso remoto y, a continuación, haga clic en Propiedades.
3. En la ficha Seguridad, haga clic en Métodos de autenticación.
4. En el cuadro de diálogo Métodos de autenticación, compruebe que la
casilla de verificación Protocolo de autenticación extensible (EAP)
está activada y, a continuación, haga clic en Aceptar dos veces.
5. Expanda el servidor de acceso remoto y, a continuación, haga clic en
Directivas de acceso remoto.
6. En el panel de detalles, haga clic con el botón secundario del mouse en la
directiva de acceso remoto que emplearán los clientes de acceso remoto con
tarjetas inteligentes, haga clic en Propiedades y, a continuación, haga clic
en Editar perfil.
Configurar el acceso a la red 27
*************************************************************************************
Objetivo En este ejercicio, va a configurar una conexión VPN.
Instrucciones Para completar este ejercicio, consulte el documento Valores del plan de
implementación, incluido en el apéndice al final del cuaderno de trabajo.
Es recomendable que inicie sesión con una cuenta que no tenga credenciales
administrativas y que ejecute el comando Ejecutar como con una cuenta de
usuario que disponga de las credenciales administrativas apropiadas para
realizar esta tarea.
Situación de ejemplo Algunos ingenieros de pruebas del departamento de laboratorio desean trabajar
de manera remota desde su domicilio. Allí disponen de conexión a Internet. El
ingeniero de sistemas ha decidido admitir la solicitud de estos usuarios remotos
y le ha pedido a usted que configure un servidor de acceso remoto para poder
usar VPN. También tendrá que configurar un equipo cliente con conectividad
VPN de modo que pueda comprobar el acceso remoto a la red.
Configurar el acceso a la red 29
Ejercicio Configurar un servidor de acceso remoto para usar una conexión VPN
• Complete esta tarea desde los equipos de ambos alumnos.
• Nombre de usuario: nwtraders\NombreDeEquipoAdmin
• Contraseña: P@ssw0rd
• Función del servidor: Servidor de acceso remoto/VPN
• Configuración: Acceso remoto (acceso telefónico o red privada virtual)
• Acceso remoto: VPN
• Interfaz de conexión VPN: Conexión de red del asociado
• Asignación de dirección IP: De un intervalo de direcciones especificado
• Asignación de intervalo de direcciones: 10.x.0.10 (donde x es su número de
identificación de alumno)
• Número de direcciones: 5
• Administrar servidores de acceso remoto múltiples: No, usar Enrutamiento
y acceso remoto para autenticar las solicitudes de conexión
*************************************************************************************
Introducción Esta lección le permite adquirir las técnicas y conocimientos que necesita para
configurar correctamente una conexión de acceso telefónico.
Objetivos de la lección Después de finalizar esta lección, será capaz de:
• Describir cómo funciona el acceso a la red de acceso telefónico.
• Describir los componentes de una conexión de acceso telefónico.
• Explicar qué tipos de métodos de autenticación se utilizan en una conexión
de acceso telefónico.
• Identificar los requisitos de configuración para un servidor de acceso remoto.
• Configurar un servidor de acceso remoto para usar una conexión de acceso
telefónico.
• Configurar un cliente de acceso remoto para usar una conexión de acceso
telefónico.
Configurar el acceso a la red 31
*************************************************************************************
Introducción Puede utilizar un servidor que tenga configurado el Servicio de enrutamiento y
acceso remoto para proporcionar acceso telefónico a la intranet corporativa.
Qué es el acceso Se denomina acceso telefónico a redes al proceso por el que un cliente de
telefónico a redes acceso remoto que efectúa una conexión de acceso telefónico temporal a un
puerto físico en un servidor de acceso remoto mediante el servicio de un
proveedor de telecomunicaciones, como un teléfono analógico, Red digital de
servicios integrados (RDSI o ISDN) o X.25.
El acceso telefónico a redes a través de un teléfono analógico o RDSI es una
conexión física directa entre el cliente y el servidor de acceso telefónico a la
red. Puede cifrar los datos que se envían durante la conexión, aunque no es
necesario.
El proceso de El proceso de acceso telefónico a una red se describe en los siguientes pasos:
acceso telefónico
1. Un cliente marca al servidor de acceso remoto.
2. El equipo de acceso telefónico que está instalado en el servidor de acceso
remoto responde a las solicitudes de conexión entrantes de los clientes de
acceso telefónico a la red.
3. El servidor de acceso remoto autentica y autoriza al autor de la llamada.
4. El servidor de acceso remoto transfiere los datos entre el cliente de acceso
telefónico a redes y la intranet de la organización. (El servidor de acceso
remoto actúa como puerta de enlace y proporciona acceso a toda la red a la
que está conectado el servidor de acceso remoto.)
32 Configurar el acceso a la red
Hardware necesario Para el acceso telefónico a la red se precisa un equipo determinado. Por ejemplo,
para las conexiones de para permitir la conexión simultánea de varios clientes de acceso telefónico,
acceso telefónico puede instalar un banco de módems configurados con las conexiones apropiadas
al proveedor de telecomunicaciones local. También necesitará un adaptador
de varios puertos de módem que deberá instalar en el servidor que ejecute
Enrutamiento y acceso remoto y que permitirá la conexión al banco de módems.
El adaptador del banco de módems incorpora controladores que se instalan en
el servidor que ejecuta el Servicio de enrutamiento y acceso remoto, de manera
que el banco de módems se muestre como un dispositivo con varios puertos
de módem.
Diversos proveedores ofrecen también una tarjeta única con múltiples
módems. Debe comprobar si el hardware se encuentra en la Lista de
compatibilidad de hardware de Microsoft Windows en el sitio Web
de Microsoft (http://www.microsoft.com/).
Configurar el acceso a la red 33
*************************************************************************************
Componentes de una Una conexión de acceso telefónico incluye los siguientes componentes:
conexión de acceso
telefónico • Servidor de acceso remoto. Equipo que acepta conexiones de acceso
telefónico de clientes de acceso telefónico, como un servidor configurado
con el Servicio de enrutamiento y acceso remoto. Cliente de acceso
telefónico. Equipo que inicia una conexión de acceso telefónico a un
servidor de acceso telefónico.
• Protocolos de LAN y de acceso remoto. Los programas de aplicaciones
emplean protocolos de LAN para transportar la información. Los protocolos
de acceso remoto se utilizan para negociar conexiones y proporcionar un
marco para los datos del protocolo de LAN que se envían a través de
vínculos de red de área extensa (WAN, Wide Area Network).
• Opciones WAN. Los clientes pueden marcar a la red con líneas de teléfono
estándar y un módem o conjunto de módems. Existe la posibilidad de
establecer vínculos más rápidos mediante RDSI. También puede conectar
clientes de acceso remoto a servidores de acceso remoto con X.25 o con el
modo de transferencia asincrónico (ATM, Asynchronous Transfer Mode).
Las conexiones directas también se admiten a través de un cable de módem
de conexión directa RS-232C, una conexión de puerto paralelo o una
conexión por infrarrojos.
• Autenticación. La identidad del cliente y del servidor en una conexión de
acceso telefónico se autentican. El uso de tarjetas inteligentes para la
autenticación de usuarios es la forma más segura de autenticación en la
familia de Windows Server 2003.
• Asignación de servidores de direcciones y nombres. El servidor de acceso
remoto se encarga de asignar direcciones IP, para lo que usa el método
predeterminado, DHCP. El servidor de acceso remoto también asigna
direcciones de servidor DNS y WINS a los clientes. Los servidores de
nombres que asignan las direcciones para los clientes de acceso remoto son
los que atienden a la intranet a la que se conecta el servidor de acceso remoto.
34 Configurar el acceso a la red
*************************************************************************************
Introducción La familia de Windows Server 2003 admite los siguiente métodos de
autenticación para el acceso telefónico a redes:
• CHAP
• PAP
• SPAP
• MS-CHAP
• MS-CHAP v2
• EAP-TLS
• EAP-Desafío MD5
Método de autenticación La forma más segura de autenticación para las versiones anteriores de Windows
recomendado es EAP-TLS, un método de autenticación mutuo mediante el que el cliente y el
servidor demuestran la validez de sus identidades uno a otro. Durante el
proceso de autenticación, el cliente de acceso remoto envía su certificado de
usuario y el servidor de acceso remoto envía su certificado de equipo. Si alguno
de los dos certificados no se envía o no es válido, la conexión se interrumpe.
Configurar el acceso a la red 35
Método de autenticación El uso de certificados y tarjetas inteligentes con EAP-TLS para la autenticación
más seguro para la de usuarios es la forma más segura de autenticación de la familia de Windows
familia de Windows Server 2003. Esta técnica requiere una PKI.
Server 2003
Nota La compatibilidad con tarjetas inteligentes criptográficas es una
característica clave de la PKI que Microsoft ha integrado en
Microsoft Windows XP y la familia de Windows Server 2003. Para obtener
más información acerca de PKI, consulte el módulo 5, “Using a PKI to
Secure Information”, del curso 2810, Fundamentals of Network Security.
36 Configurar el acceso a la red
*************************************************************************************
Requisitos de En la tabla siguiente se enumera la información que necesita conocer para
configuración configurar un servidor de acceso remoto para usar acceso telefónico.
Indique si los clientes remotos recibirán Si cuenta con un servidor DHCP en la red
direcciones IP de un servidor DHCP de privada, el servidor VPN puede conceder
la red privada o del servidor de acceso 10 direcciones simultáneamente desde el
remoto que está configurando. servidor DHCP y asignarlas a clientes
remotos. Si no dispone del servidor
DHCP, el servidor de acceso telefónico
puede generar y asignar automáticamente
direcciones IP a los clientes remotos. Si
desea que el servidor de acceso remoto
asigne las direcciones IP de un intervalo
que usted determine, deberá indicar dicho
intervalo.
Indique si desea que las solicitudes de Agregar un servidor RADIUS resulta útil si
conexión de los clientes de acceso piensa instalar varios servidores de acceso
telefónico se autentiquen mediante un remoto, puntos de acceso inalámbricos u
servidor RADIUS o mediante el servidor otros clientes RADIUS a la red privada.
de acceso remoto que está configurando. La incorporación de un servidor RADIUS
se describe con mayor detalle en las
siguientes lecciones de este módulo.
Compruebe que todos los usuarios tienen Para que los usuarios puedan conectarse a
cuentas de usuario configuradas para el la red, deben tener cuentas de usuario en
acceso telefónico. el servidor de acceso remoto o en Active
Directory. Cada cuenta de usuario
contiene propiedades que determinan
si el usuario puede conectarse.
Configurar el acceso a la red 37
*************************************************************************************
Introducción Si desea configurar un servidor de acceso remoto para usar acceso telefónico,
primero deberá agregar la función de servidor de acceso remoto o servidor VPN.
Cuando lo haya hecho, el Asistente para instalación del servidor de enrutamiento
y acceso remoto proporciona instrucciones en pantalla que le guiarán a través del
proceso de configuración de conexiones de acceso telefónico.
Nota Es recomendable que inicie sesión con una cuenta que no tenga
credenciales administrativas y que ejecute el comando Ejecutar como con una
cuenta de usuario que disponga de las credenciales administrativas apropiadas
para realizar esta tarea.
38 Configurar el acceso a la red
Procedimiento Para configurar el servidor de acceso remoto para usar una conexión de
acceso telefónico:
1. Abra Administre su servidor y, a continuación, haga clic en Agregar o
quitar función.
2. En la página Pasos preliminares, haga clic en Siguiente.
3. En la página Función del servidor, seleccione Servidor de acceso
remoto/VPN y, a continuación, haga clic en Siguiente.
4. En la página Resumen de las selecciones, haga clic en Siguiente.
5. En la página Éste es el Asistente para instalación del servidor de
enrutamiento y acceso remoto, haga clic en Siguiente.
6. En la página Configuración, seleccione Acceso remoto (acceso telefónico
o red privada virtual) y, a continuación, haga clic en Siguiente.
7. En la página Acceso remoto, haga clic en Acceso telefónico y, a
continuación, haga clic en Siguiente.
8. En la página Selección de red, seleccione la interfaz de red que está
conectada a Internet y, a continuación, haga clic en Siguiente.
9. En la página Asignación de dirección IP, haga clic en Siguiente.
10. En la página Administrar servidores de acceso remoto múltiples,
haga clic en Siguiente.
11. En la página Finalización del Asistente para instalación del servidor
de enrutamiento y acceso remoto, haga clic en Finalizar.
12. En el cuadro de diálogo Enrutamiento y acceso remoto, haga clic
en Aceptar.
13. En la página Este servidor es ahora un servidor de acceso remoto/VPN,
haga clic en Finalizar.
Configurar el acceso a la red 39
*************************************************************************************
Introducción Puede utilizar Conexiones de red con el fin de configurar un cliente para usar
una conexión de acceso telefónico. Posteriormente puede cambiar esta conexión
modificando las opciones de configuración. Las opciones de acceso telefónico,
como el número de teléfono de la conexión, el número de intentos de marcado,
etcétera, se definen para cada conexión. Estas opciones relativas a la situación
anterior y posterior a la conexión no modifican ni afectan a las opciones de
configuración de otras conexiones.
Nota Es recomendable que inicie sesión con una cuenta que no tenga
credenciales administrativas y que ejecute el comando Ejecutar como con una
cuenta de usuario que disponga de las credenciales administrativas apropiadas
para realizar esta tarea.
40 Configurar el acceso a la red
*************************************************************************************
Introducción Antes de implementar conexiones de LAN inalámbricas en una organización,
resulta de utilidad conocer los componentes de una LAN inalámbrica segura y
de qué modo funcionan conjuntamente para proporcionar un acceso
inalámbrico a la red.
Objetivos de la lección Después de finalizar esta lección, será capaz de:
• Explicar en qué consiste el acceso a la red inalámbrica.
• Describir los componentes que se utilizan para el acceso a la red inalámbrica.
• Explicar cuáles son los estándares inalámbricos.
• Explicar qué tipos de métodos de autenticación se utilizan para una
conexión inalámbrica.
• Definir los requisitos necesarios para configurar un cliente Windows XP
Professional para que tenga acceso a una red inalámbrica.
• Configurar un cliente de acceso a la red para usar una conexión inalámbrica.
42 Configurar el acceso a la red
*************************************************************************************
Introducción Microsoft Windows XP y Windows Server 2003 proporcionan numerosas
funciones para la tecnología de redes inalámbricas con el fin de extender las
redes corporativas a los dispositivos inalámbricos.
Qué es una red Una red inalámbrica emplea tecnología que permite que dos o más dispositivos
inalámbrica se comuniquen a través de protocolos de red estándar y ondas
electromagnéticas (sin cableado de red) para transportar las señales a través de
parte o de toda la infraestructura de red. Entre los dispositivos que suelen
utilizarse para el acceso a una red inalámbrica se incluyen los equipos
portátiles, los equipos de bolsillo, los PDA, los teléfonos móviles, los equipos
basados en lápiz y los localizadores (o “buscas”).
Ventajas de una WLAN Puede emplear una LAN inalámbrica (WLAN, Wireless LAN) en oficinas
esporádicas u otros espacios donde la instalación de un cableado extensivo sería
demasiado costosa o para complementar a una LAN existente de manera que
los usuarios puedan trabajar en distintas ubicaciones dentro del edificio en
diferentes momentos. Los usuarios móviles pueden emplear teléfonos móviles,
PDA, equipos portátiles y otros dispositivos para tener acceso al correo
electrónico. Los viajeros con equipos portátiles pueden conectarse a Internet a
través de emisoras base instaladas en aeropuertos, estaciones ferroviarias y
otros lugares públicos.
Configurar el acceso a la red 43
Las WLAN pueden Una WLAN funciona de dos modos diferentes, definidos por el estándar IEEE
funcionar de dos 802.11 del Institute of Electrical and Electronics Engineers (Instituto de
modos diferentes ingenieros eléctricos y electrónicos):
• WLAN de infraestructura de punto de acceso. Las emisoras inalámbricas
(dispositivos con tarjetas de red de radio o módems externos) se conectan a
los puntos de acceso inalámbrico que funcionan como puentes entre las
emisoras y la red troncal existente. Por ejemplo, los usuarios de dispositivos
inalámbricos dentro de un edificio corporativo o universitario pueden tener
acceso a los recursos de la red como si estuvieran conectados a la red del
modo tradicional.
• WLAN de igual a igual (ad hoc). En una red de igual a igual, los clientes
inalámbricos se comunican directamente entre ellos sin necesidad de
cableado. Por ejemplo, varios usuarios de una zona limitada, como una
sala de conferencias, pueden formar una red temporal sin necesidad de usar
puntos de acceso. Aunque pueden comunicarse y compartir recursos, no
pueden tener acceso a los recursos de la red que no forman parte de esa red
de igual a igual.
44 Configurar el acceso a la red
*************************************************************************************
Componentes de una Una red LAN inalámbrica está formada por los siguientes componentes:
conexión inalámbrica
• Cliente inalámbrico (emisora). Una emisora es un dispositivo informático
equipado con un adaptador de red LAN inalámbrica. Un equipo personal
que disponga de un adaptador de red LAN inalámbrica se conoce también
como cliente inalámbrico. Los clientes inalámbricos pueden comunicarse
directamente entre sí o a través de un punto de acceso inalámbrico.
• Punto de acceso inalámbrico. Es un dispositivo de red equipado con
un adaptador de red LAN inalámbrica que actúa como puente entre las
emisoras y una red con cableado tradicional. Un punto de acceso contiene
los siguientes elementos:
• Al menos una interfaz que conecta el punto de acceso a una red cableada
existente (como una red troncal Ethernet).
• Un equipo de radio mediante el cual crea conexiones inalámbricas a los
clientes inalámbricos.
• Un software de puente que cumpla el estándar IEEE 802.1D, para actuar
como un puente transparente entre las redes inalámbricas y las cableadas.
• Puertos. Un puerto es un canal de un dispositivo que puede admitir una sola
conexión punto a punto. Un cliente inalámbrico típico con un único adaptador
de red LAN inalámbrica posee un único puerto y puede admitir una sola
conexión inalámbrica. Un punto de acceso inalámbrico típico posee múltiples
puertos y puede admitir varias conexiones inalámbricas simultáneas.
Configurar el acceso a la red 45
Estándares inalámbricos
*************************************************************************************
Qué es 802.11 802.11, también conocido como Wi-Fi, es un conjunto de especificaciones para
redes WLAN que ha desarrollado un grupo de trabajo del IEEE. 802.11 define
la parte física y de control de acceso al medio (MAC, Media Access Control)
de la capa de vínculo de datos en el modelo Interconexión de sistemas abiertos
(OSI, Open Systems Interconnection). La capa MAC es la misma para todos los
estándares 802.11, pero la implementación física varía.
De 802.11 a 802.11g 802.11b admite tasas de bits superiores que la especificación 802.11 original.
802.11b admite dos velocidades adicionales: 5,5 megabits por segundo (Mbps) y
11 Mbps. Presenta un buen alcance, aunque es susceptible a las interferencias de
señales de radio. Numerosos proveedores ofrecen dispositivos 802.11b a precios
bastante asequibles para el mercado doméstico y de las pequeñas empresas.
802.11a permite velocidades de comunicación más rápidas, hasta 54 Mbps,
pero generalmente con un alcance más corto. Esta tecnología de velocidad
superior permite que las redes LAN inalámbricas funcionen mejor para las
aplicaciones de vídeo y de conferencia. Emplea 12 canales independientes no
superpuestos, de manera que funciona bien en zonas muy pobladas y ofrece
una mayor resistencia a las interferencias y un rendimiento superior. Utiliza una
parte diferente del espectro de radio del que usan 802.11, 802.11b y 802.11g, de
manera que no puede funcionar con ellos.
802.11g es una mejora de 802.11b, además de ser compatible con dicho
estándar. La actualización de b a g puede efectuarse mediante una actualización
de firmware en lugar de requerir la actualización de todo el hardware. Admite
velocidades de hasta 54 Mbps, aunque con un menor alcance que 802.11b.
Al igual que 802.11b, es susceptible a las interferencias.
Configurar el acceso a la red 47
*************************************************************************************
Introducción 802.1x es un estándar del sector para el acceso autenticado a redes cableadas
Ethernet y redes inalámbricas 802.11. 802.1x mejora la seguridad y la
implementación al proporcionar funciones para la identificación de usuarios,
autenticación, administración de claves dinámicas y de cuentas, todo ello de
forma centralizada. Si se conecta a una WLAN 802.11 sin tener habilitada la
autenticación 802.1x, los datos que envíe serán más vulnerables a los ataques.
Métodos de Para la autenticación, el estándar 802.11 define los tipos de autenticación de
autenticación de 802.1x sistemas abiertos y de clave compartida. Para la confidencialidad de datos, el
estándar 802.11 define la Privacidad equivalente al cable (WEP, Wired
Equivalent Privacy).
El estándar 802.11 no define ni proporciona un protocolo de administración de
claves WEP que ofrezca una determinación y renovación automáticas de las
claves de cifrado. Esto constituye una limitación para los servicios de seguridad
IEEE 802.11, especialmente para un modo de infraestructura inalámbrica con
un número elevado de clientes inalámbricos.
Esta cuestión se soluciona mediante la combinación de un control de acceso a la
red basado en puerto IEEE 802.1x y EAP-TLS para redes IEEE 802.11.
Configurar el acceso a la red 49
*************************************************************************************
Introducción El servicio Configuración inalámbrica de la familia de Windows Server 2003 y
de Windows XP admite el estándar IEEE 802.11 para redes inalámbricas y
reduce la configuración necesaria para el acceso a este tipo de redes.
Este servicio se encuentra habilitado de manera predeterminada, de modo que
puede utilizar Windows para configurar las opciones de su red inalámbrica.
Tipos de redes Cuando utilice Windows para configurar una red inalámbrica, puede crear una
inalámbricas lista de redes inalámbricas preferidas y también puede especificar el orden en
que se debe intentar conectar con ellas. Puede elegir entre los siguientes tipos
de redes inalámbricas:
• Punto de acceso (infraestructura). Esta opción permite a los usuarios
conectarse a diversos puntos de acceso inalámbricos a medida que se
desplazan por diferentes plantas de un edificio o edificios distintos de un
recinto manteniendo un acceso ininterrumpido a los recursos de red.
• De equipo a equipo (ad hoc). Si los usuarios se encuentran en una reunión
con colegas y no necesitan acceso a los recursos de la red, sus dispositivos
inalámbricos pueden efectuar conexiones directas a los dispositivos
inalámbricos de sus colegas y formar así una red temporal.
• Cualquier red disponible (punto de acceso preferido). En las redes
inalámbricas de punto de acceso preferido, siempre se intenta primero una
conexión a una red inalámbrica de punto de acceso, en el caso de que haya
alguna disponible. Si no la hay, se intenta una conexión a una red
inalámbrica de equipo a equipo. Por ejemplo, si emplea un equipo portátil
en la oficina en una red inalámbrica de punto de acceso y, posteriormente,
se lleva el equipo a casa para utilizarlo en una red doméstica de equipo a
equipo, la configuración de red inalámbrica automática cambiará las
opciones correspondientes según sea necesario, de manera que pueda
conectarse a la red doméstica.
Configurar el acceso a la red 51
*************************************************************************************
Introducción Puede utilizar Conexiones de red al configurar un cliente para usar una
conexión inalámbrica. En este procedimiento se supone que el equipo ya tiene
instalado el hardware para admitir una conexión inalámbrica.
Nota Es recomendable que inicie sesión con una cuenta que no tenga
credenciales administrativas y que ejecute el comando Ejecutar como con una
cuenta de usuario que disponga de las credenciales administrativas apropiadas
para realizar esta tarea.
Procedimiento Para configurar un cliente de acceso a la red para usar una conexión de
red inalámbrica:
1. Abra Conexiones de red.
2. Haga clic con el botón secundario del mouse en la conexión de red
inalámbrica apropiada, seleccione Propiedades y, continuación,
haga clic en la ficha Redes inalámbricas.
Configurar el acceso a la red 53
*************************************************************************************
Introducción Esta lección le permite adquirir las técnicas y conocimientos que necesita
para ofrecer un acceso remoto e inalámbrico a una red de Microsoft Windows
Server 2003 mediante el uso de directivas de acceso remoto y perfiles
de directiva.
Objetivos de la lección Después de finalizar esta lección, será capaz de:
• Explicar en qué consisten los permisos de marcado de cuenta de usuario.
• Configurar cuentas de usuario para el acceso a la red.
• Explicar qué es una directiva de acceso remoto.
• Explicar qué es un perfil de directiva de acceso remoto.
• Describir cuántas directivas de acceso remoto se procesan.
• Configurar una directiva de acceso remoto.
• Modificar un perfil de directiva de acceso remoto.
• Controlar el acceso de los usuarios a una red.
Configurar el acceso a la red 55
*************************************************************************************
Cómo puede controlar En Windows Server 2003, puede definir y crear directivas de acceso remoto
los permisos de acceso para controlar el nivel de acceso remoto que un usuario o grupo de usuarios
remoto y el uso tiene en la red. Las directivas de acceso remoto son un conjunto de condiciones
y opciones de conexión que ofrecen a los administradores de red una mayor
flexibilidad a la hora de conceder permisos de acceso remoto y de uso.
El Servicio de enrutamiento y acceso remoto e IAS, ambos de Windows
Server 2003, emplean directivas de acceso remoto para determinar si se
aceptan o rechazan los intentos de conexión.
Permisos de marcado Puede definir los permisos de marcado en el cuadro de diálogo Propiedades
de cuentas de usuario para un usuario en Active Directory o en la consola Usuarios y grupos locales.
Las propiedades de marcado que puede configurar para una cuenta de usuario
son las siguientes:
• Permiso de acceso remoto (marcado o red privada virtual). Puede
emplear esta propiedad para definir que el permiso de acceso remoto se
permita, deniegue o determine explícitamente a través de directivas de
acceso remoto. En todos los casos, las directivas de acceso remoto se
emplean para autorizar el intento de conexión.
• Comprobar el Id. de quien llama. Al configurar esta opción, está
requiriendo que el servidor compruebe el número de teléfono del autor
de la llamada. Si no coincide con el número de teléfono que ha configurado,
el intento de conexión se deniega.
• Opciones de devolución de llamada. Si esta propiedad se habilita, el
servidor devuelve la llamada a su autor durante el proceso de conexión.
El número de teléfono que el servidor emplea lo define el autor de la
llamada o el administrador de red.
• Asignar una dirección IP estática. Puede emplear esta propiedad para
asignar una dirección IP específica a un usuario cuando se efectúa una
conexión.
• Aplicar rutas estáticas. Esta opción está diseñada para enrutamientos de
marcado a petición. Puede utilizar esta propiedad para definir una serie de
rutas IP estáticas que se agregan a la tabla de enrutamiento del servidor que
ejecuta el Servicio de enrutamiento y acceso remoto cuando se efectúa una
conexión.
Configurar el acceso a la red 57
*************************************************************************************
Introducción Para un servidor basado en Active Directory en un dominio definido en un
dominio original de Windows Server 2003, las propiedades de marcado para
una cuenta de usuario de Usuarios y equipos de Active Directory se configuran
con la opción Controlar acceso a través de la directiva de acceso remoto
como valor predeterminado.
Para un servidor basado en Active Directory en un dominio definido en un
dominio original de Windows 2000, puede configurar las propiedades de
marcado para una cuenta de usuario en Usuarios y equipos de Active Directory.
Nota Es recomendable que inicie sesión con una cuenta que no tenga
credenciales administrativas y que ejecute el comando Ejecutar como con una
cuenta de usuario que disponga de las credenciales administrativas apropiadas
para realizar esta tarea.
*************************************************************************************
Definición Las directivas de acceso remoto constituyen un conjunto de reglas ordenado
que define de qué modo se autorizan o rechazan las conexiones. Para cada
regla, hay una o varias condiciones, una opción de permiso de acceso remoto
y un conjunto de opciones de perfil.
Componentes de una Las directivas de acceso remoto se configuran para especificar, de acuerdo
directiva de acceso con usuarios individuales o pertenecientes a un grupo, los diferentes tipos de
remoto restricciones en la conexión. Una directiva de acceso remoto consta de los
siguientes tres componentes que operan conjuntamente con Active Directory
para ofrecer un acceso seguro a los servidores de acceso remoto:
• Condiciones. Las condiciones de las directivas de acceso remoto son una
lista de parámetros, como la hora del día, grupos de usuarios, identificador
del autor de la llamada o direcciones IP, que se comparan con los
parámetros del cliente que se conecta al servidor. El primer conjunto de
condiciones de directiva que se compara con los parámetros de la solicitud
de conexión entrante se procesa para obtener el permiso de acceso y la
configuración. Si ninguno de los conjuntos de condiciones coincide, el
intento de acceso fallará.
• Permiso de acceso remoto. Las conexiones de acceso remoto se permiten de
acuerdo con una combinación de las propiedades de marcado de una cuenta
de usuario y directivas de acceso remoto. La configuración del permiso en la
directiva de acceso remoto funciona con los permisos de marcado del
usuario en Active Directory.
• Perfil. Cada directiva incluye un perfil de opciones, como protocolos de
autenticación y de cifrado, que se aplican a la conexión. Las opciones del
perfil se aplican a la conexión inmediatamente y podrían ocasionar que
ésta se deniegue. Por ejemplo, si las opciones del perfil de una conexión
especifican que el usuario solamente puede conectarse durante 30 minutos
cada vez, transcurrido ese tiempo, se desconectará al usuario del servidor
de acceso remoto.
60 Configurar el acceso a la red
Ejemplo Por ejemplo, una directiva puede conceder acceso a todos los usuarios del
Grupo A de las 8:00 a.m. a las 17:00 p.m. No obstante, los permisos para el
Usuario X del Grupo A pueden definirse de manera que se le deniegue el
acceso en Active Directory, mientras que los permisos para el Usuario Y del
Grupo A pueden definirse para permitirle el acceso en Active Directory en
cualquier momento. Como resultado, la mayor parte de los usuarios del Grupo
A están controlados mediante la configuración de la directiva y solamente
pueden obtener acceso desde las 8:00 a.m. a las 17:00 p.m. No obstante, al
Usuario X se le deniega el acceso totalmente y al Usuario se le concede acceso
las 24 horas.
Configurar el acceso a la red 61
*************************************************************************************
Definición Un perfil de directiva de acceso remoto es un conjunto de propiedades que se
aplican a una conexión cuando se autoriza, ya sea a través de una cuenta de
usuario o de opciones de configuración de permisos de directiva.
Una vez autorizada la conexión, el perfil para la directiva de acceso remoto
especifica un conjunto de restricciones de conexión. Las propiedades de
marcado de la cuenta de usuario también ofrecen un conjunto de restricciones.
Cuando corresponda, las restricciones de conexión de una cuenta de usuario
reemplazan a las aplicables al perfil de directiva de acceso remoto.
62 Configurar el acceso a la red
Elementos de un perfil El perfil de directiva de acceso remoto especifica qué tipo de acceso se le
para una directiva de concede al usuario si las condiciones coinciden. Solamente se concede acceso
acceso remoto si el intento de conexión no entra en conflicto con las opciones de la cuenta
de usuario o el perfil. Puede configurar un perfil en el cuadro de diálogo
Modificar el perfil de marcado si hace clic en Editar perfil en el cuadro
de diálogo Propiedades para una directiva. En el cuadro de diálogo puede
configurar las opciones siguientes:
• Restricciones de marcado. Puede usar estas opciones para determinar
el intervalo de tiempo de inactividad antes de la desconexión, la duración
máxima de la sesión y los días, horas, números de teléfono y tipos de medio
(RDSI, VPN, etcétera) permitidos.
• Propiedades IP. Puede configurar la asignación de direcciones IP
de un cliente y el filtro de paquetes del Protocolo de control de
transporte/Protocolo Internet (TCP/IP) en esta ficha. Puede definir
filtros independientes para paquetes entrantes y salientes.
• Multivínculo. Con Multivínculo varios vínculos físicos aparecen como
un único vínculo lógico a través del que se envían y reciben datos.
Puede definir propiedades de Multivínculo que habiliten Multivínculo y
determinen el número máximo de puertos que una conexión Multivínculo
puede utilizar. Además, puede definir directivas BAP que determinen el uso
de BAP y que especifiquen cuándo se descartan las líneas BAP adicionales.
• Autenticación. Puede definir las propiedades de autenticación para habilitar
los tipos de autenticación permitidos en una conexión y especificar el tipo
de EAP que debe utilizarse. También puede configurar el tipo de EAP. De
manera predeterminada, MS-CHAP y MS-CHAP v2 están habilitados.
• Cifrado. Puede utilizar esta ficha para especificar los tipos de cifrado que
están prohibidos, permitidos o que son obligatorios.
• Opciones avanzadas. Puede definir propiedades avanzadas para especificar
la serie de atributos RADIUS que el servidor IAS envía de vuelta para que
el cliente RADIUS los evalúe. Los atributos RADIUS sirven para realizar la
autenticación de RADIUS y los servidores que ejecutan el Servicio de
enrutamiento y acceso remoto y que están configurados para la
autenticación de Windows los pasan por alto.
Configurar el acceso a la red 63
*************************************************************************************
Proceso para emplear Windows Server 2003 evalúa un intento de conexión en función de las
acceso remoto condiciones de directivas, permisos de usuario y de acceso remoto, así como
opciones de perfil. El flujo del proceso consta de tres fases básicas que incluyen
comprobar las condiciones en primer lugar, luego los permisos y, por último, el
perfil. La primera directiva que reúne todas las condiciones es la que se emplea
para la conexión.
Las directivas de acceso remoto se procesan del modo siguiente:
4. Enrutamiento y acceso remoto compara las condiciones de la directiva de
acceso remoto y las condiciones de la conexión intentada:
• Si no hay definida ninguna directiva, el acceso se rechaza.
• Si no hay ninguna directiva que coincida, el acceso se rechaza.
• Si se detecta una coincidencia, la directiva se emplea para determinar
el acceso.
5. Enrutamiento y acceso remoto comprueba los permisos de marcado de la
cuenta de usuario:
• Si el permiso de la cuenta de usuario está definido como
Denegar acceso, se rechaza el acceso del usuario.
• Si el permiso de la cuenta de usuario está definido como Permitir
acceso, se concede acceso al usuario y se aplica el perfil de la directiva.
• Si el permiso está definido como Controlar acceso a través de la
directiva de acceso remoto, la configuración de permisos de la
directiva determina el acceso del usuario.
64 Configurar el acceso a la red
*************************************************************************************
Introducción Puede configurar una directiva de acceso remoto y un perfil asociado en
Directivas de acceso remoto en el árbol de la consola de Enrutamiento y
acceso remoto.
Para un servidor basado en Active Directory en un dominio definido en un
dominio original de Windows Server 2003, las propiedades de marcado para
una cuenta de usuario de Usuarios y equipos de Active Directory se configuran
con la opción Controlar acceso a través de la directiva de acceso remoto
como valor predeterminado.
Nota Es recomendable que inicie sesión con una cuenta que no tenga
credenciales administrativas y que ejecute el comando Ejecutar como con una
cuenta de usuario que disponga de las credenciales administrativas apropiadas
para realizar esta tarea.
Procedimiento de Para configurar una condición de directiva nueva para una directiva de
configuración de una acceso remoto:
condición de directiva
nueva para una directiva 1. Abra la consola de Enrutamiento y acceso remoto.
de acceso remoto
2. En el árbol de la consola, haga clic en Directivas de acceso remoto.
3. En el panel de detalles, haga doble clic en la directiva de acceso remoto que
desee configurar.
4. En el cuadro de diálogo Propiedades de Directiva, haga clic en Agregar.
5. En el cuadro de diálogo Seleccionar atributo, seleccione el atributo que
desee agregar y haga clic en Agregar.
6. En el cuadro de diálogo Atributo, configure el atributo y haga clic
en Aceptar.
7. Para conceder acceso a los autores de las llamadas que cumplan las
condiciones de la directiva, haga clic en Conceder permiso de acceso
remoto o bien, para denegar el acceso, haga clic en Denegar permiso de
acceso remoto.
8. En el cuadro de diálogo Propiedades de Directiva, haga clic en Aceptar.
68 Configurar el acceso a la red
*************************************************************************************
Introducción El perfil de acceso remoto especifica qué tipo de acceso se le concede al usuario
si las condiciones coinciden. Solamente se concede acceso si el intento de
conexión no entra en conflicto con las opciones de la cuenta de usuario o el perfil.
Procedimiento Para configurar un perfil de directiva de acceso remoto:
1. Abra la consola de Enrutamiento y acceso remoto.
2. En el árbol de la consola, haga clic en Directivas de acceso remoto.
3. En el panel de detalles, haga doble clic en la directiva de acceso remoto
que desee configurar.
4. Haga clic en Editar perfil.
5. En el cuadro de diálogo Modificar el perfil de marcado, especifique
cualquier opción deseada para las siguientes áreas de un perfil de directiva
de acceso remoto:
• Restricciones de marcado. Puede usar estas opciones para determinar
el intervalo de tiempo de inactividad antes de la desconexión, la
duración máxima de la sesión y los días, horas, números de teléfono
y tipos de medio (RDSI, VPN, etcétera) permitidos.
• IP. En esta ficha, puede configurar la asignación de direcciones
IP de un cliente y el filtro de paquetes TCP/IP. Puede definir filtros
independientes para paquetes entrantes y salientes.
• Multivínculo. En esta ficha, puede configurar Multivínculo y el Protocolo
de asignación de ancho de banda (BAP). Utilice estas opciones para
desconectar una línea si el ancho de banda desciende por debajo de un
nivel determinado durante un período especificado. Multivínculo también
puede definirse de manera que requiera el uso de BAP.
Configurar el acceso a la red 69
*************************************************************************************
Objetivo En este ejercicio, configurará una directiva de acceso remoto y un perfil
de directiva.
Situación de ejemplo Como ha configurado un servidor de acceso remoto para que admita conexiones
VPN para los ingenieros de pruebas del laboratorio, ahora deberá configurar el
acceso de los usuarios. Algunos ingenieros de pruebas necesitarán un mayor
acceso que otros a los equipos del laboratorio desde conexiones remotas.
Deberá configurar una directiva de acceso remoto y un perfil de directiva para
controlar el acceso de los usuarios.
Configurar el acceso a la red 71
*************************************************************************************
Introducción Esta lección le permite adquirir las técnicas y conocimientos que necesita para
usar Servicio de autenticación de Internet (IAS) con el fin de centralizar la
autenticación de la red y la administración de directivas.
Objetivos de la lección Después de finalizar esta lección, será capaz de:
• Explicar en qué consiste RADIUS.
• Explicar en qué consiste IAS.
• Describir cómo funciona la administración centralizada de autenticación
y de directivas.
• Configurar un servidor IAS para la autenticación de acceso a la red.
• Configurar el servidor de acceso remoto para que utilice IAS en la
autenticación.
• Centralizar la administración de directivas y de la autenticación de acceso
a la red mediante IAS.
74 Configurar el acceso a la red
Qué es RADIUS
*************************************************************************************
Motivos para centralizar Actualmente, la seguridad en el acceso a la red debe ser exhaustiva para
la administración garantizar al máximo un acceso apropiado a socios empresariales, asesores y
de directivas y la empleados. De este modo, las organizaciones necesitan conceder diferentes
autenticación de niveles de acceso a la red según el tipo de usuario, las credenciales que utiliza,
acceso a la red el modo en que se conecta, el nivel de cifrado utilizado en la conexión, la hora
del día, etcétera. Para ello se requiere un sistema de administración centralizada
de directivas y autenticación de acceso a la red capaz de satisfacer las
exigencias de las grandes redes.
El Servicio de usuario de acceso telefónico de autenticación remota (RADIUS,
Remote Authentication Dial-In User Service) se ha convertido en un estándar
para efectuar la autenticación y administración de directivas de acceso a la red.
Qué es RADIUS RADIUS es un protocolo ampliamente utilizado que se basa en el modelo
cliente-servidor y que permite realizar la autenticación, la autorización y la
administración de cuentas de forma centralizada para el acceso a la red.
Finalidad de RADIUS Desarrollado en un principio para las soluciones de marcado, el protocolo
RADIUS ha evolucionado hasta convertirse en el estándar de administración de
acceso a la red para VPN, acceso telefónico y redes inalámbricas. Mediante una
integración minuciosa de este servicio de administración para directivas de
acceso a la red con los servicios de identidad del sistema operativo, así como la
incorporación de numerosas y completas funciones para el procesamiento de
reglas RADIUS, podrá administrar el acceso a la red de manera centralizada y
en numerosos tipos de acceso a la red.
Qué es un servidor Un servidor RADIUS recibe y procesa solicitudes de conexión o mensajes de
RADIUS administración de cuentas que los clientes RADIUS o los servidores proxy
RADIUS envían. En el caso de solicitudes de conexión, el servidor RADIUS
procesa la lista de atributos RADIUS en la solicitud de conexión. De acuerdo
con un conjunto de reglas y la información de la base de datos de cuentas de
usuario, el servidor RADIUS autentica y autoriza la conexión y devuelve un
mensaje de Aceptación de acceso o de Rechazo de acceso.
Configurar el acceso a la red 75
Qué es un cliente Un cliente RADIUS puede ser un proxy RADIUS o un servidor de acceso,
RADIUS como un servidor de acceso telefónico, un servidor VPN o un punto de acceso
inalámbrico. El cliente RADIUS recibe solicitudes de autorización del cliente
de acceso remoto para el acceso a la red y las remite al servidor RADIUS para
que las compruebe.
Qué es un proxy Un proxy RADIUS puede configurarse en una infraestructura que tenga varios
RADIUS servidores RADIUS disponibles para autorizar solicitudes de acceso. Un proxy
RADIUS recibe una solicitud de autorización de un cliente RADIUS, determina
el servidor RADIUS apropiado y le reenvía la solicitud de autorización.
Por ejemplo, diversas organizaciones pueden subcontratar su conexión de
acceso telefónico a un ISP. Cuando un cliente marca al ISP, se conecta a un
cliente RADIUS que transmite la solicitud de autorización al proxy RADIUS.
El proxy RADIUS determina a qué organización pertenece el usuario y, a
continuación, remite la solicitud a esa organización para proceder a la
autenticación de la conexión de acceso telefónico del usuario.
76 Configurar el acceso a la red
Qué es IAS
*************************************************************************************
Definición El componente Servicio de autenticación de Internet (IAS) de Windows
Server 2003 es un servidor RADIUS que cumple los estándares del sector.
IAS realiza la autenticación, autorización, auditoría y administración de cuentas
de conexiones de forma centralizada en conexiones VPN, de acceso telefónico
e inalámbricas.
Motivos para utilizar IAS Mediante el uso de IAS puede administrar y controlar de manera centralizada el
acceso remoto e inalámbrico a una red, además de efectuar un seguimiento de
las estadísticas de uso. También puede administrar permisos de acceso remoto
y propiedades de conexión de manera centralizada.
Si tiene más de un servidor de acceso remoto o inalámbrico, en lugar de
administrar las directivas de acceso de todos los servidores de acceso por
separado, puede configurar un servidor único con IAS como servidor RADIUS
y configurar los servidores de acceso remoto como clientes RADIUS.
Cuando un servidor IAS es miembro de un dominio de Active Directory,
IAS emplea el servicio de directorio como su base de datos de cuentas de
usuario y forma parte de una solución que permite el inicio de sesión único.
El mismo conjunto de credenciales se utiliza para el control de acceso a la red
(autenticación y autorización del acceso a una red) y para el inicio de sesión en
un dominio de Active Directory.
Ejemplos Puede configurar IAS para que admita diversos escenarios corporativos, como
los siguientes:
• Acceso telefónico corporativo. Puede configurar IAS para que admita a
empleados remotos con conexiones de acceso telefónico autenticadas de
manera que el servidor IAS pueda proporcionar acceso a los empleados en
función del grupo al que pertenezcan.
• Acceso a extranet para socios empresariales. Puede configurar IAS para que
permita a los socios corporativos un acceso limitado a recursos específicos de
la red y a la vez proteger otros recursos frente a un acceso no autorizado.
• Acceso a Internet. Puede configurar IAS para que admita conexiones de
acceso telefónico autenticadas por el cliente a un ISP, de manera que el
servidor IAS conceda acceso a los clientes de acuerdo con el plan de
servicio que tengan subscrito.
• Acceso corporativo subcontratado a través de proveedores de servicio.
Puede utilizar IAS para una organización que emplea un ISP que
proporciona la infraestructura de acceso remoto, pero donde la organización
mantiene el control sobre la autenticación, autorización y administración de
cuentas. Cuando un empleado se conecta al servidor de acceso remoto en el
ISP, los registros de autenticación y de uso se remiten al servidor IAS de la
organización. El servidor IAS permite que la organización controle la
autenticación de usuarios, efectúe un seguimiento del uso y supervise a
qué empleados se les permite el acceso a la red.
78 Configurar el acceso a la red
*************************************************************************************
El proceso de En los siguientes pasos se describe el proceso básico que emplean los
autenticación y servidores de acceso a la red, un servidor RADIUS y los clientes RADIUS
autorización para efectuar la autenticación y autorización:
centralizadas
7. Un usuario se conecta a un servidor de acceso a la red (un equipo basado en
Windows que está configurado con el Servicio de enrutamiento y acceso
remoto) mediante una conexión VPN, de acceso telefónico o inalámbrica.
8. El servidor de acceso a la red reenvía las solicitudes de autenticación a un
servidor RADIUS (IAS). (El servidor de acceso a la red actúa como cliente
RADIUS.) Si la comprobación de la firma digital es correcta, el servidor
IAS consulta al controlador de dominio.
9. El servidor RADIUS (IAS) tiene acceso a la información de cuentas de
usuario en un controlador de dominio y comprueba las credenciales de
autenticación de acceso remoto. (El servidor IAS realiza las funciones
de un servidor RADIUS.)
4. Si las credenciales del usuario se autentican, el servidor IAS evalúa el
intento de conexión comparándolo con las directivas de acceso remoto
configuradas y las propiedades de marcado de la cuenta del usuario para
decidir si autoriza la solicitud. Si el intento de conexión cumple las
condiciones de al menos una directiva y las propiedades de marcado de
cuenta, IAS devuelve un mensaje RADIUS de Aceptación de acceso al
servidor de acceso a la red que envió la solicitud de autenticación.
Si el intento de conexión no se autentica o no se autoriza, IAS devuelve un
mensaje RADIUS de Rechazo de acceso al servidor de acceso a la red y el
intento de conexión se rechaza.
Configurar el acceso a la red 79
*************************************************************************************
Introducción Si un servidor IAS debe tener acceso a Active Directory para autenticar a los
usuarios, debe autorizarlo con el fin de garantizar que IAS posee los permisos
correctos para tener a la información de cuentas desde Active Directory.
También debe agregar los clientes RADIUS al servidor IAS. Los clientes
RADIUS son los servidores de acceso remoto que utilizarán el servidor IAS
para la autenticación y la autorización.
Nota Es recomendable que inicie sesión con una cuenta que no tenga
credenciales administrativas y que ejecute el comando Ejecutar como con una
cuenta de usuario que disponga de las credenciales administrativas apropiadas
para realizar esta tarea.
Procedimiento de Para configurar el servidor IAS de modo que atienda a clientes RADIUS:
configuración del
servidor IAS para 1. Abra la consola del Servicio de autenticación de Internet.
clientes RADIUS 2. En el árbol de la consola, haga clic con el botón secundario del mouse en
Clientes RADIUS y, a continuación, haga clic en Nuevo cliente RADIUS
para iniciar el Asistente para agregar cliente.
3. En la página Nuevo cliente RADIUS, especifique la siguiente información
y, a continuación, haga clic en Siguiente:
• Nombre descriptivo. Escriba un nombre para el cliente RADIUS que
va a agregar.
• Dirección de cliente (IP o DNS). Escriba la dirección IP o nombre DNS
para el cliente RADIUS. Por lo general, resulta más eficaz especificar una
dirección IP de manera que IAS no tenga que resolver todos los nombres
de host al inicio. Si solamente conoce el nombre DNS de un cliente, haga
clic en Comprobar para resolver el nombre como una dirección IP.
4. En la página Información adicional, especifique lo siguiente:
• Cliente proveedor. Seleccione Microsoft si va a agregar un servidor
de Enrutamiento y acceso remoto. Si agrega un cliente RADIUS de un
proveedor que no aparece en la lista, seleccione RADIUS Standard.
*************************************************************************************
Introducción Para configurar un servidor de acceso remoto como cliente RADIUS, debe
configurarlo para reenviar las solicitudes de autenticación a un servidor IAS.
Nota Es recomendable que inicie sesión con una cuenta que no tenga
credenciales administrativas y que ejecute el comando Ejecutar como con una
cuenta de usuario que disponga de las credenciales administrativas apropiadas
para realizar esta tarea.
Procedimiento Para configurar un servidor de acceso remoto de modo que utilice IAS para
la autenticación:
1. En el menú Herramientas administrativas, abra Enrutamiento y
acceso remoto.
2. En el árbol de la consola, haga clic con el botón secundario del mouse en
NombreDeEquipo (donde NombreDeEquipo es el nombre de su equipo)
y, a continuación, haga clic en Propiedades.
3. En la ficha Seguridad del cuadro de diálogo Propiedades de
NombreDeEquipo (local), en el cuadro Proveedor de autenticación,
seleccione Autenticación RADIUS y, a continuación, haga clic en
Configurar.
*************************************************************************************
Objetivo En este ejercicio, agregará un servidor VPN como cliente RADIUS a un
servidor IAS.
Instrucciones Para completar este ejercicio, consulte el documento Valores del plan de
implementación, incluido en el apéndice al final del cuaderno de trabajo.
Debe haber iniciado sesión con una cuenta que no tenga credenciales
administrativas y ejecutar el comando Ejecutar como con una cuenta de
usuario que disponga de las credenciales administrativas apropiadas para
realizar la tarea.
Situación de ejemplo Como el número de servidores de acceso remoto ha crecido en su organización,
el ingeniero de sistemas ha instalado un servidor IAS y lo ha configurado con
directivas de acceso remoto. También le ha pedido que agregue su servidor
de acceso remoto o VPN al servidor IAS como cliente RADIUS y que,
posteriormente, configure el servidor VPN para que utilice la autenticación
RADIUS.
Ejercicio Configurar un servidor de acceso remoto para que utilice IAS en la
autenticación
• Complete esta tarea desde los equipos de ambos alumnos.
• Nombre de usuario: nwtraders\NombreDeEquipoAdmin
• Contraseña: P@ssw0rd
• Herramienta administrativa: Enrutamiento y acceso remoto
• Proveedor de autenticación RADIUS: Autenticación RADIUS
• Servidor de autenticación RADIUS: London
• Secreto compartido: 2184
• Reiniciar Enrutamiento y acceso remoto.
84 Configurar el acceso a la red