Page 1

Conexiones de red privada virtual (VPN) en Windows 2000 Microsoft Corporation, 2000 Con el Protocolo de túnel punto a punto (PPTP) o el Protocolo de túnel de nivel dos (L2TP), que se instalan automáticamente en su PC, puede tener acceso de forma segura a los recursos de una red al conectar con un servidor de acceso remoto que ejecute Windows 2000 a través de Internet u otra red. El uso de redes privadas y públicas para crear una conexión de red se denomina red privada virtual (VPN). La siguiente tabla describe las ventajas de las conexiones VPN. Ventaja

Ejemplo Como conexión se utiliza Internet en lugar de una llamada telefónica de larga distancia o un servicio de llamada Ventajas de costo gratuita. Como los ISP mantienen el hardware de comunicaciones, como módems y adaptadores ISDN (RDSI), usted necesitará adquirir y administrar menos hardware de red. Puede hacer una llamada local a la compañía telefónica o a un Proveedor de servicios Internet (ISP), que a su vez le conecta al servidor de acceso remoto que ejecuta Windows 2000 y a su red corporativa. La compañía Redes de acceso telefónica o el ISP administran los módems y las líneas telefónicas necesarias para el acceso telefónico. Como el telefónico externas ISP acepta configuraciones de hardware de comunicaciones complejas, el administrador de la red queda libre para administrar de forma centralizada las cuentas de usuario del servidor de acceso remoto. La conexión a través de Internet es cifrada y segura. El servidor de acceso remoto exige el uso de los nuevos Seguridad mejorada protocolos de autenticación y cifrado. Los datos confidenciales quedan ocultos a los usuarios de Internet, pero los usuarios apropiados pueden tener acceso a ellos a través de una VPN. Compatibilidad con Como se aceptan la mayor parte de los protocolos de red más comunes (incluidos TCP/IP, IPX y NetBEUI), protocolos de red puede ejecutar de forma remota cualquier aplicación que dependa de estos protocolos de red específicos. Como la VPN está cifrada, las direcciones que especifique están protegidas e Internet solamente ve las Seguridad de las direcciones IP externas. Para las organizaciones que tengan direcciones IP internas sin normas, las repercusiones direcciones IP pueden ser notables, ya que el cambio de direcciones IP para el acceso remoto a través de Internet no genera costos administrativos adicionales. Ventajas de costo Al utilizar redes privadas virtuales (VPN), los profesionales que viajan y los teletrabajadores pueden tener acceso a su red de área local (LAN) corporativa a través de Internet por una fracción del costo de las soluciones de acceso remoto tradicionales. Al igual que es más económico utilizar el sistema de conmutación de una compañía telefónica, en lugar de tender sus propias líneas e instalar un sistema de conmutación, marcar la dirección IP o el nombre DNS de un servidor de acceso remoto habilitado para PPTP hace uso de la base física existente de enrutadores de Internet, conmutadores ATM, y líneas digitales y analógicas sin comprometer la seguridad. Puede utilizar un adaptador de red para llamar a una red privada virtual, al igual que haría con un módem para conectar con un servidor remoto tradicional. Las VPN liberan a las compañías del costo y el mantenimiento de componentes como bancos de módems y líneas telefónicas analógicas dedicadas gratuitas. Los módems y su infraestructura asociada quedan centralizados en las instalaciones del proveedor de servicios Internet, sin comprometer la seguridad ni la capacidad de controlar las conexiones remotas. Al mismo tiempo, las ventajas del acceso protegido a los datos privados quedan aseguradas por los requisitos adicionales de las VPN, como acceso autenticado, cifrado y compresión de los datos del usuario. Redes de acceso telefónico externas El hardware de comunicaciones disponible para satisfacer las necesidades de acceso telefónico puede ser complicado y no estar bien integrado. En una organización grande, poner en marcha un servidor de acceso remoto que ejecute Windows 2000 requiere módems, controladores serie y muchos cables. Además, muchas soluciones no proporcionan una única manera integrada de utilizar con eficiencia las líneas de acceso telefónico V.34 e ISDN (RDSI). A muchas compañías les gustaría contratar acceso telefónico externo a sus redes de red troncal de una forma asequible, sin problemas, independiente del protocolo y segura que no requiera cambios en las direcciones de la red existente. La compatibilidad con redes WAN virtuales a través de conexiones de red privada virtual (VPN) es una forma de que un proveedor de servicios Internet (ISP) pueda satisfacer las necesidades de las compañías. De esta manera, la compañía externa mantiene y administra los módems y las líneas de acceso remoto, y el administrador del sistema sólo necesita ocuparse de administrar a los usuarios y los requisitos de autenticación.


Este tipo de solución aprovecha las probadas tecnologías PPP de autenticación, cifrado y compresión. Para obtener más información acerca de cómo crear una conexión VPN, consulte Para realizar una conexión de red privada virtual (VPN). La conexión no necesita tener un controlador PPTP; el cliente solamente realiza una conexión PPP al grupo de módems o al servidor de comunicaciones. El servidor de comunicaciones o el grupo de módems tienen que implementar PPTP para la comunicación con el servidor de acceso remoto. Seguridad mejorada Las conexiones de red privada virtual (VPN) habilitadas para PPTP y L2TP se autentican mediante métodos de autenticación PPP de nivel de usuario. Entre ellos se incluyen Protocolo de autenticación de contraseña (PAP, Password Authentication Protocol), Protocolo de autenticación por desafío mutuo (CHAP, Challenge Handshake Authentication Protocol), Protocolo de autenticación de contraseña de Shiva (SPAP, Shiva Password Authentication Protocol), Protocolo de autenticación por desafío mutuo de Microsoft (MS-CHAP, Microsoft Challenge Authentication Protocol)y, opcionalmente, Protocolo de autenticación extensible (EAP, Extensible Authentication Protocol). Si utiliza las nuevas opciones de seguridad Protocolo de autenticación extensible (EAP) y Seguridad de protocolo Internet (IPSec, Internet Protocol security), una red privada virtual proporciona una seguridad mejorada para los usuarios remotos. Por ejemplo, si el servidor de acceso remoto está configurado para requerir la autorización mediante EAP, se consigue el mayor nivel de autenticación para las conexiones de red privada virtual y de acceso telefónico del servidor de acceso remoto. Al aprovechar las opciones de autenticación y cifrado de Protocolo punto a punto (PPP, Point-to-Point Protocol), definir el filtrado PPTP en el servidor de acceso remoto y restringir los servidores de acceso remoto de Internet de forma que sólo acepten clientes autenticados con PPTP que cifren los datos, el administrador del sistema puede ajustar la seguridad de los datos y administrar los usuarios remotos con mucha más eficacia. En algunos entornos, los datos son tan confidenciales que tienen que estar físicamente separados y ocultos de la mayor parte de los usuarios de la compañía. Los datos financieros o de recursos humanos son ejemplos de este tipo de datos. Las organizaciones pueden utilizar conexiones VPN a través de un servidor VPN para separar físicamente los servidores de datos extremadamente confidenciales y permitir el acceso seguro a los datos por parte de usuarios seleccionados. Los usuarios de la intranet corporativa que han recibido los permisos apropiados pueden establecer una conexión VPN como cliente remoto con el servidor VPN y tener acceso a los recursos protegidos de la red del departamento que utiliza datos confidenciales. Adicionalmente, toda la comunicación a través de la VPN se cifra para mantener la confidencialidad de los datos. Los usuarios que no tengan los permisos apropiados para establecer una conexión VPN con el servidor VPN no pueden ver el servidor oculto. Compatibilidad con protocolos de red Como las redes privadas virtuales (VPN) aceptan la mayor parte de los protocolos de red más comunes, es muy sencillo que los clientes de redes Ethernet, TCP/IP, IPX y NetBEUI utilicen las VPN. Cualquier protocolo de red compatible con el acceso remoto de Windows 2000 es inherentemente compatible con una VPN. Esto significa que puede ejecutar de forma remota aplicaciones que dependen de protocolos de red específicos. A su vez, esto se traduce en un ahorro de costos de establecimiento y mantenimiento de las conexiones VPN. Seguridad de las direcciones IP Si utiliza una dirección IP no registrada (o una dirección que InterNIC haya reservado para redes privadas, como el intervalo 10.x.y.z), puede enrutar a través de Internet si proporciona una dirección IP pública válida. En la trama de la red privada virtual (VPN) se encuentran los paquetes con las direcciones de origen y destino de su red privada. Como el paquete VPN está cifrado, las direcciones que especifique en la red privada remota están protegidas. Internet sólo puede ver la dirección IP pública. En las organizaciones que tienen direcciones IP internas sin normas, las repercusiones pueden ser notables, ya que no hay costos administrativos asociados con el cambio de direcciones IP para el acceso remoto a través de Internet. Existen dos formas de crear una conexión VPN: a través de un ISP o mediante una conexión directa a Internet, como se muestra en los siguientes ejemplos. En el primer ejemplo, la conexión VPN realiza antes una llamada a un ISP. Después de establecer la conexión, se realiza otra llamada al servidor de acceso remoto para establecer el túnel PPTP o L2TP. Después de la autenticación, puede tener acceso a la red corporativa, tal como muestra la ilustración siguiente.


En el segundo ejemplo, un usuario que ya está conectado a Internet utiliza una conexión VPN para marcar el número del servidor de acceso remoto. Entre los ejemplos de este tipo de usuarios se incluyen las personas cuyos equipos están conectados a una red de área local, los usuarios de módems de cable o los suscriptores de servicios como ADSL, en los que la conectividad IP se establece inmediatamente después de que el usuario inicie el equipo. El controlador PPTP o L2TP establece un túnel a través de Internet y conecta con el servidor de acceso remoto habilitado para PPTP o L2TP. Después de la autenticación, el usuario puede tener acceso a la red corporativa con la misma funcionalidad que en el ejemplo anterior.

Notas  

Conectarse directamente a Internet significa tener acceso directo a IP sin recurrir a un ISP. (Por ejemplo, algunos hoteles le permiten usar un cable Ethernet para conectar a Internet). Si tiene un cliente Winsock Proxy activo, no puede crear una VPN. El cliente Winsock Proxy redirige inmediatamente los datos al servidor proxy configurado antes de que los datos se puedan procesar en la forma requerida por una VPN. Para establecer una VPN, deberá deshabilitar el cliente Winsock Proxy.

Acerca de Conexiones de red y de acceso telefónico Las conexiones de red y de acceso telefónico permiten a su equipo conectarse a Internet, a una red o a otro equipo. Con Conexiones de red y de acceso telefónico, puede tener acceso a recursos y funciones de redes, ya se encuentre físicamente en la ubicación de la red o en una ubicación remota. Las conexiones se crean, configuran, almacenan y supervisan desde la carpeta Conexiones de red y de acceso telefónico. . Todas las conexiones de la carpeta Conexiones de red y de acceso telefónico contienen un conjunto de características que se pueden utilizar para crear un vínculo entre su equipo y otro equipo de la red. Las conexiones salientes se ponen en contacto con un servidor de acceso remoto mediante un método de acceso configurado (LAN, módem, línea ISDN (RDSI), etc.) para establecer la conexión con la red. A la inversa, una conexión entrante habilita a un equipo que ejecuta Windows 2000 Professional o Windows 2000 Server independiente para que otros equipos se pongan en contacto con él. Es decir, su PC puede funcionar como servidor de acceso remoto. Ya esté conectado de forma local (LAN), remota (acceso telefónico, ISDN(RDSI), etc.) o ambas, se puede configurar cualquier conexión de forma que pueda ejecutar cualquier función de red necesaria. Por ejemplo, puede imprimir en impresoras de la red, tener acceso a unidades y archivos, examinar otras redes o tener acceso a Internet. Como todos los servicios y los métodos de comunicación están configurados en la propia conexión, no necesita utilizar herramientas de administración externas para configurar las conexiones. Por ejemplo, la configuración de una conexión de acceso telefónico incluye características utilizadas antes, durante y después de la conexión. Entre ellas se encuentran el módem con el que marca, el tipo de cifrado de contraseñas que desea utilizar al conectar y los protocolos de red que va a utilizar después de conectar. El estado de la conexión, que incluye la duración y la velocidad de la conexión, se puede ver desde la misma conexión; no hay que utilizar una herramienta de supervisión externa. La seguridad de inicio de sesión y de dominio de Windows 2000, la compatibilidad con hosts de seguridad, el cifrado de datos, la autenticación y la devolución de llamada proporcionan acceso seguro a las conexiones de red y de acceso telefónico. .


Para realizar una conexión de red privada virtual (VPN): 1. 2. 3. 4.

5. 6.

7. 8.

Abra Conexiones de red y de acceso telefónico. Haga doble clic en Realizar conexión nueva y, a continuación, haga clic en Siguiente. Haga clic en Conectar a una red privada a través de Internet y, a continuación, haga clic en Siguiente. Si ya ha establecido una conexión de acceso telefónico, realice una de las acciones siguientes: o Si necesita establecer una conexión con su ISP o con otra red antes de establecer el túnel con el equipo o red de destino, haga clic en Usar automáticamente esta conexión inicial, en una de las conexiones de la lista y, después, en Siguiente. o Si no desea establecer automáticamente la conexión inicial, haga clic en No usar la conexión inicial y, después, haga clic en Siguiente. Escriba el nombre de host o la dirección IP del equipo o la red con la que va a conectar y, a continuación, haga clic en Siguiente. Realice una de las siguientes acciones: o Si desea que esta conexión esté disponible para todos los usuarios de su red, haga clic en Para todos los usuarios y, después, en Siguiente. o Si desea reservar la conexión para su propio uso, haga clic en Sólo para mí y, después, en Siguiente. Si desea que otros equipos tengan acceso a recursos a través de esta conexión de acceso telefónico, active la casilla de verificación Habilitar Conexión compartida a Internet para esta conexión y, a continuación, haga clic en Siguiente. Escriba el nombre de la conexión y, después, haga clic en Finalizar.

Para realizar una conexión entrante de red: 1. 2. 3.

Abra Conexiones de red y de acceso telefónico. Haga doble clic en Realizar conexión nueva y, a continuación, haga clic en Siguiente. Haga clic en Aceptar conexiones entrantes, en Siguiente y siga las instrucciones del Asistente para conexión de red.

Notas     

Para abrir Conexiones de red y de acceso telefónico, haga clic en Inicio, seleccione Configuración y, a continuación, haga clic en Conexiones de red y de acceso telefónico. Si establece otra conexión entrante de red y vuelve a utilizar el Asistente para conexión de red, se configurará de nuevo la conexión entrante de red existente. Para crear una conexión entrante de red, debe ser miembro del grupo Administradores. Para grandes cantidades de conexiones entrantes en un equipo con Windows 2000 Server que funcione como parte de una red distribuida o como controlador de dominio, utilice los servicios de enrutamiento y acceso remoto de Windows 2000 Server para crear un acceso remoto al servidor. Si la conexión entrante y el servicio de fax tienen problemas al trabajar conjuntamente (por ejemplo, si no puede recibir llamadas entrantes en un dispositivo habilitado para recibir faxes), puede que el módem no acepte respuesta adaptable. Consulte la documentación del módem para comprobar si debe deshabilitar la recepción de fax en ese dispositivo para poder aceptar conexiones entrantes. Si conecta con un equipo que ejecute Windows 2000 Professional o Windows 2000 Server independiente que esté configurado para conexiones entrantes y usted utiliza Windows 95 o Windows 98, y desea iniciar sesiones en el equipo con una cuenta de usuario local, puede utilizar su nombre de usuario, dominio y contraseña de Windows 95 o Windows 98. Al conectar el equipo con Windows 2000 reemplaza el nombre de dominio de Windows 95 o Windows 98 por el nombre del equipo local cuando se le proporciona la información de autenticación de nombre de usuario y contraseña. Las conexiones entrantes solamente se utilizan para clientes de acceso telefónico, de red privada virtual o de conexión directa.

Características de seguridad de Conexiones de red y de acceso telefónico Puede configurar conexiones de acceso telefónico, de red privada virtual (VPN) y directas para exigir varios niveles de autenticación de contraseñas y cifrado de datos. Los métodos de autenticación van desde sin cifrado hasta personalizados, como el Protocolo de autenticación extensible (EAP, Extensible Authentication Protocol). EAP proporciona una compatibilidad flexible con una amplia gama de métodos de autenticación, que incluyen tarjetas inteligentes, certificados, contraseñas para una sola vez y claves públicas. También se puede especificar el tipo de cifrado de datos en función del nivel de autenticación de la contraseña (MS-CHAP o EAP) que se seleccione. Por último, se pueden configurar opciones de devolución de llamada para aumentar la seguridad de los accesos telefónicos. Las cuentas de usuario y los dominios de Windows 2000 proporcionan seguridad mediante el cifrado de la autenticación y los datos.


Esta sección trata:    

Devolución de llamada Cómo funciona la seguridad en la conexión Cifrado de datos Autenticación

Devolución de llamada La característica de devolución de llamada hace que el servidor de acceso remoto desconecte la conexión y, a continuación, le llame a usted, después de haber establecido la conexión. La devolución de llamada proporciona ventajas de costo y aumenta la seguridad de la red. Al colgar inmediatamente y volverle a llamar, la devolución de llamada reduce sus gastos en teléfono. La devolución de llamada requerida aumenta la protección de la red al asegurar que sólo los usuarios de ubicaciones específicas pueden tener acceso al servidor. Al terminar la llamada y llamar, a continuación, al número de devolución de llamada asignado previamente, la mayor parte de los intrusos quedan eliminados. Si el administrador del sistema ha establecido la devolución de llamada requerida, cuando su llamada llega al servidor de acceso remoto, tienen lugar los siguientes pasos: 1. 2.

El servidor determina si el nombre y la contraseña de usuario son correctos. Si son correctos, el servidor desconecta y le devuelve la llamada.

Si su conexión tiene configurada la devolución de llamada en la opción de menú Preferencias de marcado, cuando su llamada llega al servidor de acceso remoto tienen lugar los siguientes pasos: 1. 2. 3.

El servidor determina si el nombre y la contraseña de usuario son correctos. Si son correctos, aparece el cuadro de diálogo Devolución de llamada en su equipo. A continuación, usted escribe el número de devolución de llamada en el cuadro de diálogo y espera a que el servidor desconecte y le devuelva la llamada. Opcionalmente, puede presionar ESC para cancelar el proceso de devolución de llamada y seguir conectado.

Para obtener más información acerca de la configuración de las opciones de devolución de llamada, consulte Para configurar la devolución de llamada. Notas 

Los privilegios de devolución de llamada son determinados por el administrador del sistema. El administrador puede denegar el uso de la devolución de llamada, permitirle que establezca las opciones de devolución de llamada o requerir la devolución de llamada para un número específico. Puede ponerse en contacto con el administrador del sistema para averiguar sus opciones de devolución de llamada. Si el equipo está configurado para aceptar conexiones entrantes, puede exigir las opciones de devolución de llamada en ese equipo. Para obtener más información, consulte Para configurar la devolución de llamada para conexiones entrantes.

Cómo funciona la seguridad en la conexión Los pasos siguientes describen lo que ocurre durante una llamada a un servidor de acceso remoto: 1. 2.

Su equipo llama a un servidor de acceso remoto. Dependiendo de los métodos de autenticación que haya seleccionado, puede ocurrir lo siguiente: o Si utiliza PAP o SPAP:  El equipo envía su contraseña al servidor.  El servidor comprueba las credenciales de la cuenta en la base de datos de usuarios. o Si utiliza CHAP o MS-CHAP:  El servidor envía un desafío al equipo.  El equipo envía una respuesta cifrada al servidor.  El servidor comprueba la respuesta en la base de datos de usuarios.


o

3. 4.

Si utiliza MS-CHAP v2:  El servidor envía un desafío al equipo.  El equipo envía una respuesta cifrada al servidor.  El servidor comprueba la respuesta en la base de datos de usuarios y devuelve una respuesta de autenticación.  El equipo comprueba la respuesta de autenticación. o Si utiliza autenticación basada en certificados:  El servidor pide las credenciales al equipo y envía su propio certificado.  Si la conexión está configurada para validar el certificado del servidor, se valida. En caso contrario, este paso se omite.  El equipo presenta su certificado al servidor.  El servidor comprueba que el certificado es válido y no ha sido revocado. Si la cuenta es válida, el servidor comprueba si tiene permiso de acceso remoto. Si se ha concedido el permiso de acceso remoto, el servidor acepta la conexión. Si la devolución de llamada está habilitada, el servidor devuelve la llamada al cliente y repite los pasos del 2 al 4.

Notas 

  

Los permisos de acceso remoto se conceden según la configuración de acceso telefónico de la cuenta de usuario y las directivas de acceso remoto. Las directivas de acceso remoto son un conjunto de condiciones y configuraciones de conexión que ofrecen una mayor flexibilidad a los administradores de las redes para conceder los permisos y el uso del acceso remoto. Si la configuración de la conexión no coincide con al menos una de las directivas de acceso remoto aplicables a la conexión, el intento de conexión se rechaza, independientemente de su configuración de acceso telefónico. Cuando Conexiones de red y de acceso telefónico se utiliza en un entorno de dominios de Windows, los cambios a los permisos de acceso remoto no tienen efecto en todos los servidores de forma inmediata. La duplicación de los cambios en otros servidores del dominio puede prolongarse hasta 15 minutos. Si es necesario, puede volver a sincronizar el dominio para asegurarse de que un usuario con permisos denegados no pueda tener acceso a la red antes de que el cambio quede duplicado de forma automática. Los métodos de autenticación de Conexiones de red y de acceso telefónico controlan el acceso a la red, no a los recursos de la red. En Windows 2000, una vez que usted se encuentre en una red, el control de los recursos se administra de varias formas: Usuarios y grupos locales, Active Directory, Directivas de grupo, Compartir impresoras y archivos, etc. Los métodos de autenticación se han diseñado para entornos de trabajo remoto, en los que el equipo que marca no tiene acceso a la red hasta que tiene lugar el intercambio de credenciales, como el nombre de usuario y la contraseña. Para obtener información acerca de la configuración de las opciones de seguridad en las conexiones, como los protocolos de autenticación de identidad y el cifrado de los datos, consulte Seguridad.

Cifrado de datos El cifrado se puede entender como el hecho de guardar algo valioso dentro de una caja fuerte cerrada con llave. Los datos confidenciales se cifran con un algoritmo de clave que los deja ilegibles si no se conoce dicha clave. Las claves de cifrado de datos se determinan en el momento de la conexión, entre la conexión y el equipo del otro extremo. El uso del cifrado de datos puede iniciarse en su equipo o en el servidor al que se conecta. Conexiones de red y de acceso telefónico acepta cinco tipos de cifrado: Microsoft MPPE, que utiliza el cifrado RSA RC4 y una implementación de protocolo de seguridad de protocolo Internet (IPSec) que utiliza el cifrado Estándar de cifrado de datos (DES). MPPE e IPSec aceptan varios niveles de cifrado, como se muestra en la tabla siguiente. Implementación de cifrado MPPE estándar (40 bits, 56 bits) MPPE reforzado (128 bits) IPSec DES (56 bits) IPSec Triple DES (3DES)

Uso Uso internacional Norteamérica Uso internacional Entornos de alta seguridad de Norteamérica

De forma predeterminada, se instalan los archivos de cifrado para MPPE estándar (40 bits y 56 bits). Sin embargo, si ha actualizado a Windows 2000 y previamente utilizaba cifrado reforzado (128 bits), se instalan los archivos de cifrado reforzado. Si desea pasar de cifrado estándar a cifrado reforzado, obtenga Microsoft Encryption Pack. Si es usuario de Windows 2000 Server, consulte Windows 2000 Server en el sitio Web de Microsoft. (http://www.microsoft.com/). Si es usuario de Windows 2000 Professional, consulte


Windows 2000 Professional en el sitio Web de Microsoft (http://www.microsoft.com/). Sólo los usuarios que residen en los Estados Unidos, sus territorios, posesiones y dependencias, y Canadá tienen acceso a Encryption Pack. Muchos usuarios que residen fuera de Norteamérica reúnen los requisitos para poder recibir Encryption Pack, pero no desde estos sitios de descarga seguros. Los clientes a nivel mundial que reúnen los requisitos para Encryption Pack y otros productos de cifrado seguro de Microsoft se describen en el sitio Web de Microsoft (http://www.microsoft.com/). Si cree que reúne los requisitos para poder recibir productos de cifrado seguro en virtud de la ley de exportación de los Estados Unidos, póngase en contacto con su representante de Microsoft. Para obtener más información, consulte los temas siguientes:  

Cifrado punto a punto de Microsoft (MPPE) Seguridad de Protocolo Internet (IPSec)

Notas 

 

Los controles del servidor son flexibles y se pueden configurar para denegar el uso del cifrado, requerir un método de cifrado específico o permitir que el equipo seleccione un método de cifrado. De forma predeterminada, la mayor parte de los servidores permiten el cifrado y permiten que los clientes seleccionen los métodos de cifrado. Esto funciona en la mayor parte de los equipos. El administrador del sistema establece los requisitos de cifrado. Para conocer las opciones disponibles, póngase en contacto con el administrador del sistema. Para habilitar el cifrado de datos basado en MPPE en conexiones de acceso telefónico o de red privada virtual (VPN), debe seleccionar los métodos de autenticación MS-CHAP, MS-CHAP v2 o EAP-TLS. Estos métodos de autenticación generan las claves utilizadas en el proceso de cifrado. Las redes privadas virtuales (VPN) utilizan el cifrado en función del tipo de servidor al que se conecten. Si la conexión VPN está configurada para conectar con un servidor PPTP, se utiliza el cifrado MPPE. Si la conexión VPN está configurada para conectar con un servidor L2TP, se utilizan los métodos de cifrado IPSec. Si la conexión VPN está configurada para un tipo de servidor Automático, que es la opción predeterminada, primero se intenta con L2TP y el cifrado IPSec asociado y, después, se intenta con PPTP y el cifrado MPPE asociado.

Autenticación de Windows 2000 La autenticación de Windows 2000 consta de dos partes: un proceso de inicio de sesión interactivo y un proceso de autenticación de red. La autenticación correcta del usuario depende de ambos procesos. Proceso de inicio de sesión interactivo El proceso de inicio de sesión interactivo confirma la identificación del usuario como cuenta de dominio o de un equipo local. Dependiendo del tipo de cuenta de usuario, el proceso de inicio de sesión interactivo es diferente: 

Para las cuentas de dominio, el usuario inicia sesión en la red con una contraseña o una tarjeta inteligente utilizando las credenciales de inicio de sesión almacenadas en Active Directory. Al iniciar la sesión con una cuenta de dominio, un usuario autorizado puede tener acceso a los recursos del dominio y de todos los dominios que confían. Si se utiliza una contraseña para iniciar sesión con una cuenta de dominio, Windows 2000 utiliza Kerberos V5 en la autenticación. Si en su lugar se utiliza una tarjeta inteligente, Windows 2000 utiliza la autenticación de Kerberos V5 con certificados. Para las cuentas de un equipo local, el usuario inicia sesión en el equipo local con las credenciales almacenadas en el Administrador de cuentas de seguridad (SAM), que es la base de datos de cuentas de seguridad local. Cualquier estación de trabajo o servidor miembro puede almacenar cuentas de usuario locales, pero dichas cuentas sólo se pueden utilizar para tener acceso a ese equipo local.

Proceso de autenticación de red La autenticación de red confirma la identificación del usuario ante cualquier servicio de la red al que el usuario vaya a tener acceso. Para proporcionar este tipo de autenticación, el sistema de seguridad de Windows 2000 acepta varios mecanismos de autenticación diferentes, incluidos Kerberos V5, Capa de sockets seguros/Seguridad de la capa de transporte (SSL/TLS) y, por compatibilidad con Windows NT 4.0, LAN Manager.


Las usuarios que utilizan una cuenta de dominio no ven la autenticación de la red. Los usuarios que utilizan una cuenta de equipo local tienen que proporcionar credenciales (como nombre de usuario y contraseña) cada vez que tengan acceso a un recurso de la red. Al utilizar una cuenta de dominio, el usuario tiene credenciales que se utilizan automáticamente como inicio de sesión único. Para obtener información acerca de los métodos y protocolos de autenticación utilizados en Conexiones de red y de acceso telefónico, consulte Métodos y protocolos de autenticación. Autenticación y cifrado de datos en conexiones VPN Las opciones de seguridad Típica (configuración recomendada) que se seleccionan en la ficha Seguridad componen un conjunto de métodos de autenticación y cifrado de datos definidos previamente que se negocian con el servidor durante un intercambio PPP. Las tablas siguientes muestran los métodos de autenticación que se pueden utilizar con cada combinación de las selecciones Validar mi identidad como sigue y Requerir cifrado de datos (desconectar si no hay). También puede ver esta configuración si establece sus requisitos de validación de identidad y cifrado de datos en Típica (configuración recomendada) y, después, hace clic en la opción Configuración de la ficha Avanzada (configuración personalizada). Puede habilitar, configurar y deshabilitar individualmente estas combinaciones de configuración de seguridad mediante Avanzadas, pero esto requiere que conozca los protocolos de seguridad. Para obtener más información acerca de un método de autenticación o de cifrado de datos específico, haga clic en el método en la tabla siguiente. Para obtener información acerca de la configuración de una conexión, consulte Para configurar una conexión. Protocolo de túnel punto a punto (PPTP) o servidor de acceso remoto automático Requerir datos cifrados

Validar mi identidad con Requerir una contraseña segura Requerir una contraseña segura

Métodos de autenticación negociados

No

CHAP, MS-CHAP, MS-CHAP v2

MS-CHAP, MS-CHAP v2

Tarjeta inteligente

No

EAP/TLS

Tarjeta inteligente

EAP/TLS

Exigir cifrado Cifrado opcional (conectar incluso sin cifrado) Requerir cifrado de datos (desconectar si no hay) Cifrado opcional (conectar incluso sin cifrado) Requerir cifrado de datos (desconectar si no hay)

Servidor de acceso remoto con Protocolo de túnel de nivel dos (L2TP) Requerir datos cifrados

Validar mi identidad con Requerir una contraseña segura Requerir una contraseña segura

Métodos de autenticación negociados

No

CHAP, MS-CHAP, MS-CHAP v2

CHAP, MS-CHAP, MS-CHAP v2

Tarjeta inteligente

No

EAP/TLS

Tarjeta inteligente

EAP/TLS

Exigir cifrado Cifrado opcional (conectar incluso sin cifrado) Requerir cifrado de datos (desconectar si no hay) Cifrado opcional (conectar incluso sin cifrado) Requerir cifrado de datos (desconectar si no hay)

Notas  

En las conexiones VPN con L2TP, los datos se cifran mediante el protocolo seguridad de Protocolo Internet (IPSec, Internet Protocol security). Cifrado punto a punto de Microsoft (MPPE, Microsoft Point-to-Point Encryption) cifra los datos en las conexiones VPN de PPTP. Se aceptan los esquemas de alto nivel (clave de 128 bits) y estándar (clave de 40 bits) de cifrado MPPE. Puede utilizar la versión


de 40 bits en todo el mundo; está integrada en todos los equipos que ejecutan Windows 2000. El nivel de cifrado de 128 bits sólo está disponible en EE.UU. y Canadá. Puede activar la versión de 128 bits si instala la versión de software específica en el cliente y en el servidor. Sólo se cifran los datos con MPPE si se negocia la autenticación mediante MS-CHAP, MS-CHAP v2 o EAP/TLS. Éstos son los únicos protocolos de autenticación que generan sus propias claves de cifrado iniciales. MPPE requiere claves comunes en el cliente y en el servidor, como las generadas por estos tipos de autenticación.

Nota 

MS-CHAP v2 y EAP/TLS son protocolos de autenticación mutua, lo que significa que tanto el cliente como el servidor demuestran su identidad. Si la conexión está configurada para utilizar MS-CHAP v2 o EAP/TLS como el único método de autenticación y el servidor al que se conecta no proporciona pruebas de su identidad, la conexión finalizará. Anteriormente, los servidores podían omitir la autenticación ante los clientes y, simplemente, aceptar la llamada. Este cambio asegura que puede configurar una conexión para que conecte con el servidor esperado.

Conexiones de VPN en Windows 2000  

Conexiones de VPN en Windows 2000

Advertisement