Buscar en TechNet

Avanzada

Acceso a redes protegidas con privacidad de Microsoft: seguridad en redes privadas virtuales e intranets

Notas del producto

Resumen

El sistema operativo Microsoft® Windows® incluye la tecnología necesaria para garantizar unas comunicaciones seguras en redes públicas y privadas. Los productos actuales de Microsoft proporcionan herramientas que ofrecen servicios de seguridad en las capas de enlace y transporte, así como seguridad en la capa de aplicación para el correo electrónico. La seguridad en la capa de enlace realiza un cifrado de los datos en tránsito dentro de sesiones de acceso remoto y en las conexiones de redes de sucursales. La seguridad en la capa de transporte permite la protección de protocolos basados en TCP, incluidas las sesiones de World Wide Web. Windows 2000 proporcionará, además, servicios de seguridad en la capa de red de un extremo al otro a través de Seguridad del protocolo de Internet (IP), o IPSec, que permite aplicar servicios de seguridad en redes internas.

Este artículo se centra en la capa de enlace y en la seguridad de extremo a extremo. Se explica el compromiso de Microsoft de dar soporte al protocolo de túnel punto a punto (PPTP, Point-to-Point Tunneling Protocol), el protocolo de túnel de capa 2 (L2TP, Layer 2 Tunneling Protocol) y el protocolo IPSec para tratar los diversos requisitos del cliente. Asimismo, el presente artículo detalla los planes de Microsoft para implementar estos protocolos en los sistemas operativos Windows.

Introducción

La seguridad de la red es cada vez más importante para las organizaciones de todos los tamaños. Tanto si se trata de proteger la información en tránsito en sesiones de acceso remoto, como en conexiones a redes de sucursales o redes internas, son fundamentales las soluciones para esta forma de seguridad. En general, la seguridad no consiste en un solo producto o tecnología sino en una integración de varias tecnologías combinadas con una política de administración que proporciona una protección equilibrada con riesgos aceptables. Microsoft se toma muy en serio la seguridad y trabaja en varias iniciativas para proporcionar a los clientes la tecnología y las herramientas necesarias para definir y administrar fácilmente la política de seguridad.

Los servicios de seguridad incluyen confidencialidad, protección de la integridad, autenticación, autorización y protección contra la reproducción. Entre estas herramientas se encuentran los servicios de cifrado de red que ayudan a minimizar los riesgos asociados con la transmisión de información confidencial en redes administradas públicas y privadas. Microsoft también se toma muy en serio el costo total de la propiedad y se compromete a proporcionar soluciones basadas en estándares que maximicen la interoperabilidad y la flexibilidad de las comunicaciones mediante la plataforma Windows.

Existen tres modelos principales para proporcionar seguridad a la red y Microsoft admite cada uno de ellos:

• Hoy en día, muchas aplicaciones se encuentran alojadas y se tiene acceso a ellas a través de redes administradas privadas y públicas, protegidas mediante tecnologías de seguridad en la capa de transporte como HTTPS, SOCKS o SSL. La seguridad en la capa de transporte, tal como la que proporciona SSL/TLS, significa que las aplicaciones basadas en TCP se escriben específicamente para utilizar estos servicios de seguridad. Los productos de Microsoft son totalmente compatibles con SSL/TLS. Sin embargo, las aplicaciones SSL/TLS no están perfectamente adaptadas a la administración centralizada ya que estos servicios se aplican frecuentemente en términos de “página a página”. SOCKS es un protocolo transversal de servidor de seguridad autenticado que proporciona una autenticación extensible, así como autorización granular para sesiones tanto de entrada como de salida. SOCKS V, no admitido por Microsoft, se aplica tanto a protocolos basados en TCP como en UDP y se adapta bien a la administración centralizada. Como consecuencia, las tecnologías SSL/TLS y SOCKS son complementarias y se pueden utilizar juntas para proporcionar seguridad en la capa de transporte en redes privadas virtuales y extranets.
• Muchas organizaciones utilizan infraestructuras de redes privadas o de confianza, incluidos sistemas de cable internos y subcontratados, así como redes de área extensa, que ofrecen un nivel de privacidad en virtud de su seguridad física. Por sí mismas, estas redes no protegen contra la obtención de información inadvertida o intencionada a su paso por la red. Como la mayoría de las infracciones de seguridad se producen dentro de la red de una organización, se necesita una tecnología adicional para proteger la información contra robos y ataques.
• La seguridad extremo a extremo de las redes está formada por técnicas y protocolos de seguridad que garantizan de forma transparente las comunicaciones que requieren un conocimiento de las aplicaciones. Es necesario un diseño y una configuración cuidadosos para lograr esta seguridad. Estas herramientas suelen administrarse a través de una cierta política administrativa de forma que las comunicaciones estén protegidas de forma segura cuando se transmiten a través de una red, sin el conocimiento o la implicación de aplicaciones o usuarios finales.

Estos tres modelos se incluyen en la amplia categoría de Redes privadas virtuales (VPN, Virtual Private Networking). Aunque es verdad que cada modelo proporciona algún nivel de red privada, esta amplia definición es un poco confusa. Microsoft ha adoptado una definición más limitada del término y utiliza "VPN" para referirse a un servicio de seguridad a través de una infraestructura de red pública o sin confianza que incluye:

• Acceso remoto seguro de cliente a puerta de enlace, bien a través de conexiones de Internet o bien dentro de redes privadas o subcontratadas
• Conexiones seguras de puerta de enlace a puerta de enlace a través de Internet, o bien a través de redes privadas o subcontratadas.

Además, Microsoft está a la cabeza de la industria con el primer sistema operativo que constituye una solución integrada para asegurar las comunicaciones de un extremo a otro dentro de una red privada. Windows 2000 integra IPSec con el servicio de directorio Active Directory™ para proporcionar un control centralizado de administración de seguridad basado en políticas.

Este artículo trata la orientación de Microsoft respecto a los modelos VPN y de extremo a extremo para redes seguras. Se describen las diferencias fundamentales entre los principales protocolos de red, se habla de la posición de Microsoft respecto a estos protocolos y se explica la forma en la que Microsoft admite estos protocolos en sus sistemas operativos.

Protocolos para comunicaciones de red seguras

En los últimos años, han surgido varios protocolos que se clasifican como protocolos VPN y que realizan un cifrado de las comunicaciones. Entre ellos se incluyen los siguientes:

• Seguridad de protocolos de Internet (IPSec): arquitectura, protocolo y protocolo de intercambio de claves de Internet (IKE, Internet Key Exchange) relacionado, descritos en los documentos RFCs 2401-2409 de IETF.
• Reenvío de la capa 2 (L2F, Layer 2 Forwarding): creado por Cisco Systems.
• Protocolo de túnel de la capa 2 (L2TP, Layer 2 Tunneling Protocol): una combinación de PPTP y L2F que evolucionó a través del proceso de estándares IETF.
• Protocolo de túnel punto a punto (PPTP, Point-to-Point Tunneling Protocol): creado por PPTP Industry Forum (US Robotics (ahora 3Com), 3Com/Primary Access, Ascend, Microsoft y ECI Telematics).

Aunque muchos consideran los protocolos IPSec, L2TP y PPTP como tecnologías competidoras, estos protocolos ofrecen capacidades que son apropiadas para distintos usuarios. Para comprender esto, resulta útil considerar los objetivos de diseño y las diferencias técnicas de los protocolos.

IPSec proporciona servicios de protección de integridad, autenticación y (opcionalmente) protección contra reproducción y privacidad para el tráfico IP. Los paquetes IPSec son de dos tipos:

• Protocolo IP 50 denominado formato de Carga de seguridad de encapsulación(ESP, Encapsulating Security Payload), que proporciona privacidad, autenticidad e integridad.
• Protocolo IP 51 denominado formato de Encabezado de autenticación (AH, Authentication Header), que sólo proporciona integridad y autenticidad para paquetes, pero no privacidad

IPSec se puede utilizar en dos modos: modo de transporte que asegura un paquete IP existente desde el origen al destino y modo de túnel que coloca un paquete IP existente dentro de un nuevo paquete IP que se envía a un extremo del túnel con formato IPSec. Ambos modos, transporte y túnel, se pueden encapsular en encabezados ESP o AH.

El modo de transporte IPSec se diseñó para proporcionar seguridad para tráfico IP extremo a extremo entre dos sistemas de comunicación, por ejemplo, para hacer segura una conexión TCP o un datagrama UDP. El modo de túnel IPSec se diseñó principalmente para puntos intermedios, enrutadores o puertas de enlace para asegurar otro tipo de tráfico IP dentro de un túnel IPSec que conecta una red IP privada a otra red IP privada en una red IP pública o que no es de confianza (por ejemplo, Internet). En ambos casos, se realiza una negociación de seguridad compleja entre los dos equipos a través del protocolo de intercambio de claves de Internet (IKE, Internet Key Exchange), normalmente mediante certificados PKI para una autenticación mutua.

Las especificaciones del protocolo de túnel IETF RFC IPSec no incluían mecanismos adecuados para clientes VPN de acceso remoto. Entre las características omitidas se incluyen opciones de autenticación de usuario o la configuración de direcciones IP del cliente. Para utilizar el modo de túnel IPSec para el acceso remoto, algunos proveedores eligieron ampliar el protocolo de forma propietaria para resolver estos aspectos. Mientras que unas pocas de estas extensiones están documentadas como borradores de Internet, les falta el estado de estándar y no suelen ser interoperables. Como resultado, los clientes deben considerar seriamente si tales implementaciones ofrecen una interoperabilidad multiproveedor adecuada.

L2TP es un protocolo maduro en la senda de los estándares IETF que ha sido ampliamente implementado. L2TP encapsula las tramas del protocolo punto a punto (PPP, Point-to-Point Protocol) que van a enviarse a través de redes IP, X.25, frame relay, o modo de transferencia asíncronica (ATM, Asynchronous Transfer Mode). Cuando está configurado para utilizar IP como su transporte, L2TP se puede utilizar como protocolo de túnel VPN en Internet. L2TP sobre IP utiliza el puerto UDP 1701 e incluye una serie de mensajes de control L2TP para el mantenimiento del túnel. L2TP también utiliza UDP para enviar tramas PPP encapsuladas en L2TP como datos del túnel. Las tramas PPP encapsuladas se pueden cifrar o comprimir. Cuando los túneles L2TP aparecen como paquetes IP, aprovechan la seguridad IPSec estándar mediante el modo de transporte IPSec para obtener una fuerte protección de integridad, reproducción, autenticidad y privacidad. L2TP se diseñó específicamente para conexiones cliente a servidores de acceso a redes, así como para conexiones puerta de enlace a puerta de enlace. Mediante su utilización del protocolo PPP, L2TP gana compatibilidad multiprotocolo para protocolos como IPX y Appletalk. PPP también proporciona una amplia gama de opciones de autenticación de usuario, incluidos CHAP, MS-CHAP, MS-CHAPv2 y el Protocolo de autenticación extensible (EAP, Extensible Authentication Protocol) que admite mecanismos de autenticación de tarjetas token y tarjetas inteligentes. L2TP/IPSec, por lo tanto, proporciona túneles bien definidos e interoperables, con la seguridad de alto nivel e interoperabilidad de IPSec. Es una buena solución para conexiones seguras de acceso remoto y de puerta de enlace a puerta de enlace.

PPTP se diseñó para proporcionar comunicaciones autenticadas y cifradas entre un cliente y una puerta de enlace o entre dos puertas de enlace (sin necesitar una infraestructura de clave pública) utilizando un Id. de usuario y una contraseña. Apareció por primera vez en 1996, dos años antes de la disponibilidad de IPSec y L2TP. El objetivo del diseño era la simplicidad, la compatibilidad multiprotocolo y la capacidad de cruzar una amplia gama de redes IP. El protocolo de túnel punto a punto (PPTP, Point-to-Point Tunneling Protocol) utiliza una conexión TCP para el mantenimiento del túnel y tramas PPP encapsuladas mediante Encapsulación de enrutamiento genérico (GRE, Generic Routing Encapsulation) para los datos del túnel. Las cargas (partes de datos útiles) de las tramas PPP encapsuladas se pueden cifrar o comprimir. El uso de PPP proporciona la capacidad de negociar los servicios de autenticación, cifrado y asignación de dirección IP.

La tabla 1 resume algunas de las diferencias técnicas clave entre estos tres protocolos de seguridad.

Tabla 1 Diferencias entre los protocolos de seguridad de red

Característica	Descripción	PPTP/ PPP	L2TP/ PPP	L2TP/ IPSec	Transporte IPSec	Túnel IPSec
Autenticación de usuario	Puede autenticar al usuario que está iniciando las comunicaciones.	Sí	Sí	Sí	WIP1	WIP
Autenticación del equipo	Permite autenticar los equipos implicados en las comunicaciones.	Sí2	Sí	Sí	Sí	Sí
Compatible con NAT	Puede pasar por traductores de direcciones de red para ocultar uno o ambos extremos de las comunicaciones.	Sí	Sí	No	No	No
Compatibilidad multiprotocolo	Define un método estándar para transmitir tráfico IP y no IP.	Sí	Sí	Sí	No	WIP
Asignación dinámica de direcciones IP de túnel	Define una forma estándar de negociar una dirección IP para la parte de túnel de las comunicaciones. Es importante para que los paquetes devueltos se enruten de vuelta a través de la misma sesión en vez de a través de una ruta sin túnel e insegura y para eliminar la configuración manual estática del sistema final.	Sí	Sí	Sí	No disponible	WIP
Cifrado	Puede cifrar el tráfico que transmite.	Sí	Sí	Sí	Sí	Sí
Utiliza PKI	Puede utilizar PKI para implementar el cifrado y/o la autenticación.	Sí	Sí	Sí	Sí	Sí
Autenticidad de paquetes	Proporciona un método de autenticidad para asegurarse de que el contenido del paquete no se modifica mientras se transmite.	No	No	Sí	Sí	Sí
Compatibilidad multidifusión	Puede transmitir tráfico multidifusión IP además del tráfico IP de difusión simple.	Sí	Sí	Sí	No	Sí

La posición de Microsoft respecto a IPSec, L2TP/IPSec y PPTP

Por su diseño, el modo de transporte IPSec es ideal para proporcionar autenticidad y cifrado extremo a extremo dentro de las redes corporativas. Microsoft está trabajando estrechamente dentro IETF y con los proveedores de redes líderes para garantizar la interoperabilidad dentro de los estándares IPSec especificados compatibles con este escenario.

En la mayoría de las situaciones VPN cliente a puerta de enlace, la autenticación del usuario y la configuración de direcciones internas son aspectos muy importantes de la seguridad y de la administración. La compatibilidad multidifusión y los métodos definidos para transportar tráfico multiprotocolo también son fundamentales, particularmente en escenarios de puerta de enlace a puerta de enlace. Por esta razón, muchos proveedores han implementado extensiones propietarias y/o débilmente adoptadas para IPSec que inhiben la interoperabilidad multiproveedor. El grupo de trabajo IETF IPSec estudia actualmente la forma de tratar estos temas, a la vez que intenta minimizar el tamaño de los paquetes y aprovechar la estructura IP de IETF. Sin embargo, como el modo de protocolo de túnel de IPSec no dispone aún de métodos estándar definidos de autenticación extensible basada en el usuario y asignación de direcciones para acometer estos aspectos, Microsoft ha llegado a la conclusión de que, por sí mismo, el modo de protocolo de túnel de IPSec no es adecuado para la mayoría de las situaciones cliente a puerta de enlace en VPN. Para escenarios VPN entre puertas de enlace, el modo de protocolo de túnel es apropiado, aunque pueden surgir problemas de interoperabilidad en configuraciones de red específicas debido al número variable de opciones IKE admitidas, así como al nivel de prueba de interoperabilidad ofrecido en los productos actuales.

L2TP es un protocolo interoperable bien definido que trata las actuales deficiencias de los escenarios sólo cliente a puerta de enlace y puerta de enlace a puerta de enlace de IPSec (autenticación de usuarios, asignación de direcciones IP túnel y compatibilidad multiprotocolo). L2TP dispone de un amplio soporte por parte de los proveedores, particularmente entre los grandes proveedores de equipos de acceso a redes, así como de una probada interoperabilidad. Si se incluye L2TP como carga (parte útil o de datos) dentro de un paquete IPSec, las comunicaciones se beneficiarán del cifrado basado en estándares y de la autenticidad de IPSec, a la vez que se dispone de un método de elevada interoperabilidad para llevar a cabo la autenticación de usuario, la asignación de direcciones del modo de protocolo de túnel, la compatibilidad multiprotocolo y el soporte de multidifusión mediante PPP. Esta combinación se suele denominar L2TP/IPSec. Debido a la falta de una solución estándar mejor y más pura basada en IPSec, Microsoft cree que L2TP/IPSec proporciona la mejor solución basada en estándares para escenarios VPN interoperables cliente a puerta de enlace con múltiples proveedores. Microsoft trabaja actualmente de forma estrecha con importantes proveedores de interconexión en red, incluidos Cisco, 3Com, Lucent e IBM, para dar soporte a esta combinación.

Es preciso observar que, debido a incompatibilidades entre el protocolo IKE y Traducción de direcciones de red, no es posible utilizar L2TP/IPsec o el modo de protocolo de túnel de IPSec a través de un traductor de direcciones de red y aprovechar, a la vez, el intercambio automatizado de claves.

Cierto trabajo recientemente propuesto para L2TP especifica un método de compresión de encabezados para L2TP/IPSec. Este trabajo es importante porque ayuda a reducir drásticamente la ocupación de espacio del protocolo a la vez que conserva los beneficios del resto de L2TP. Microsoft opina que este trabajo de compresión del encabezado representa un paso importante para L2TP y apoya su progresión en el camino de los estándares. Microsoft también apoya el desarrollo continuado de soluciones bien integradas, interoperables y basadas en estándares para el modo de protocolo de túnel de IPSec en aplicaciones cliente a puerta de enlace. En particular, Microsoft cree que tales soluciones no deben comprometer la integridad del protocolo IKE con un aumento excesivo de la complejidad. Además, las soluciones de Acceso remoto de IPSec (IPSRA) deben estar bien integradas con la infraestructura de red existente, tal como DHCP, y con los estándares IETF existentes para la autenticación extensible, tales como EAP y GSS_API.

PPTP se utiliza hoy ampliamente tanto en los escenarios cliente a puerta de acceso como entre puertas de acceso. Mediante la autenticación mutua cliente/servidor basada en contraseñas de usuario y claves de cifrado generadas por el proceso de autenticación, PPTP resulta de uso fácil y económico así como sencillo de administrar. En virtud de su diseño, PPTP también puede atravesar traductores de direcciones de red (NAT). Esta capacidad NAT elimina la necesidad de que cada extremo PPTP disponga de una dirección IP registrada cuando se utiliza a través de Internet.

Aunque L2TP/IPSec es una solución excelente para la interoperabilidad entre múltiples proveedores, tanto en escenarios cliente a puerta de acceso como entre puertas de acceso, su utilización de IPSec requiere un PKI escalable. Asimismo, debido a las incompatibilidades entre IKE y NAT, ni L2TP/IPSec ni el modo de protocolo de túnel de IPSec puro ni el transporte IPSec pueden pasar a través de traductores de direcciones de red típicos. Microsoft opina que PPTP seguirá siendo una opción de protocolo importante para clientes que no necesitan la sofisticación de las comunicaciones basadas en IPSec, que no desean implantar un PKI o que no requieren un protocolo VPN con capacidad NAT. En ese sentido, Microsoft tiene el compromiso de seguir apoyando y desarrollando el PPTP.

Soporte de Microsoft para IPSec, L2tp y PPTP

El sistema operativo Microsoft Windows 2000 simplifica la implantación y la administración de la seguridad de red mediante Windows IP Security, una robusta implementación de IPSec. El protocolo IPSec forma parte de la pila de protocolos TCP/IP. Microsoft y Cisco Systems, Inc., han desarrollado conjuntamente IPSec y los servicios relacionados para Windows 2000. La interoperabilidad para cada uno de los ejemplos que siguen se ha probado con Cisco y otros diversos proveedores.

Mediante IPSec, se puede ofrecer privacidad, integridad y autenticidad para el tráfico de red en las siguientes situaciones.

• Seguridad extremo a extremo para tráfico IP unidifusión, de cliente a servidor, servidor a servidor y cliente a cliente mediante el modo de transporte IPSec
• Funciones de puerta de acceso y de cliente para acceso remoto en VPN mediante L2TP protegido por el modo de transporte IPSec.
• Conexiones VPN entre sitios, a través de redes WAN privadas externas o conexiones de Internet que utilizan L2TP/IPSec o el modo de protocolo de túnel de IPSec.

La seguridad IP de Windows se basa en la arquitectura IETF IPSec al integrarse con los dominios de Windows 2000 y el servicio Active Directory. Active Directory proporciona una conexión de red habilitada para directorios y basada en políticas. La política de IPSec se asigna y se distribuye a los miembros de dominios de Windows 2000 por medio de la política de grupo de Windows 2000. Se facilita la configuración local de políticas, por lo que no es necesario ser miembro de ningún dominio.

También se suministra un servicio de administración de claves y negociación automática de seguridad mediante el protocolo de Intercambio de claves de Internet (IKE) definido por el IEFE, RFC 2409. La implementación de IKE proporciona tres métodos de autenticación para establecer confianza entre los equipos:

• La autenticación Kerberos 5.0 la proporciona el dominio de Windows 2000 que sirve como Centro de distribución de claves Kerberos versión 5.0 (KDC). Éste proporciona una cómoda implantación de comunicaciones seguras entre equipos de Windows 2000 que son miembros de un dominio o a través de dominios con relación de confianza. IKE sólo utiliza las propiedades de autenticación de Kerberos, tal como se documenta en draft-ietf-ipsec-isakmp-gss-auth-02.txt. La generación de claves para asociaciones de seguridad IPSec se realiza mediante métodos IKE RFC2409.
• Las firmas de clave pública o privada que utilizan certificados son compatibles con algunos sistemas de certificados, incluidos los de Microsoft, Entrust, Verisign y Netscape. Esto forma parte de RFC 2409.
• Las contraseñas, llamadas claves de autenticación compartidas previamente, se utilizan estrictamente para establecer relaciones de confianza entre equipos. Esto forma parte de RFC 2409.

Una vez configurados con una política IPSec, los equipos homólogos negocian mediante IKE para establecer una asociación de seguridad principal para todo el tráfico que se desarrolla entre los dos equipos. Esto implica realizar la autenticación mediante uno de los métodos anteriores y generar una clave maestra compartida. Los sistemas utilizan entonces IKE para negociar otra asociación de seguridad para el tráfico de aplicación que intentan proteger en ese momento. Esto trae consigo la generación de claves de sesión compartidas. Sólo los dos equipos conocen ambos conjuntos de claves. Los datos intercambiados mediante la asociación de seguridad se encuentran muy bien protegidos contra modificaciones o interpretaciones por parte de atacantes que pudieran actuar en la red. Las claves se actualizan automáticamente, según la configuración de la política de IPSec, de forma que proporcionen una protección constante de acuerdo con la política definida por el administrador.

Para clientes familiarizados con detalles técnicos de IPSec, Windows 2000 admite algoritmos de cifrado DES (clave de 56 bits) y 3DES (clave de 168 bits), así como algoritmos de integridad SHA-1 y MD5. Estos algoritmos pueden utilizarse en todas las combinaciones del formato ESP. Como el formato AH únicamente ofrece integridad y autenticidad, sólo se utilizan MD5 y SHA-1.

Windows 2000 incluye compatibilidad con L2TP cuando se utiliza con IPSec para configuraciones cliente a puerta de enlace y puerta de enlace a puerta de enlace. En estas configuraciones, todo el tráfico procedente del cliente con destino a una puerta de enlace, así como todo el tráfico entre puertas de enlace se somete a cifrado. Esta implementación se ha probado con varias implementaciones de L2TP/IPSec de otros proveedores.

Windows 2000 incluye compatibilidad con PPTP para configuraciones cliente a puerta de enlace y puerta de enlace a puerta de enlace. Esta implementación es coherente con los servicios PPTP disponibles para los sistemas operativos Microsoft Windows NT® Server, Windows NT Workstation, Windows 98 y Windows 95. Mediante PPTP, los clientes pueden aprovechar su inversión existente en plataformas basadas en sistemas operativos Windows. Los sistemas basados en Windows 2000 pueden interoperar con servidores PPTP basados en Windows NT, mientras que los actuales sistemas Windows pueden interoperar con servidores PPTP basados en Windows 2000. Además de la autenticación basada en contraseñas, el protocolo PPTP de Windows 2000 admite autenticación de clave pública por medio del Protocolo de autenticación extensible (EAP).

Otra dimensión de la administración de políticas de seguridad que va más allá de la política de cifrado es la política de accesos. En escenarios cliente a puerta de enlace y puerta de enlace a puerta de enlace, Windows 2000 proporciona un amplio conjunto de políticas de administración que se pueden implementar para controlar el acceso de los usuarios a través de conexiones de marcado directo, PPTP y L2TP/IPSec. Estas políticas de acceso permiten a los administradores conceder o denegar el acceso según una combinación de Id. de usuario, hora del día, puerto del protocolo, nivel de cifrado y otras. Estas políticas de acceso, que se encuentran disponibles de forma nativa en un entorno Active Directory de Windows 2000, también se pueden aplicar en entornos distintos de Windows 2000 mediante el uso de RADIUS. Por ejemplo, un servidor PPTP existente basado en Windows NT se puede configurar de forma que utilice Windows 2000 Server para la autenticación de los usuarios mediante RADIUS. Cuando se utiliza de esta manera, Windows 2000 Server se puede configurar de forma que imponga las políticas de acceso y las aplique al servidor PPTP basado en Windows NT. Éste es un ejemplo de cómo Windows 2000 puede simplificar y reforzar la administración centralizada durante una transición a Windows 2000, y pone de manifiesto una de las muchas ventajas de utilizar Windows 2000 para la autenticación en entornos heterogéneos.

Como ya se ha mencionado anteriormente para IPSec, Active Directory se utiliza para definir y controlar la política de IPSec. La instalación de los protocolos PPTP, L2TP e IPSec es inherente a la instalación de Windows 2000. La configuración de cliente para estos protocolos en escenarios cliente a puerta de acceso se puede realizar de dos formas:

• Para sistemas finales individuales, se dispone de un asistente para nuevas conexiones que guía al usuario a través de un sencillo conjunto de pantallas que permiten configurar la conexión.
• En instalaciones a mayor escala, puede utilizar conjuntamente el Kit de administración de Connection Manager y Servicios de puntos de conexión para ofrecer a los sistemas corporativos un cliente de acceso remoto mediante marcado directo y VPN.

Con estas herramientas, el administrador puede proporcionar al cliente un perfil expresamente configurado que:

• Personaliza el marcador de acuerdo con los programas de acceso remoto corporativos.
• Integra archivos de ayuda de personalización y licencias de uso corporativas de acceso remoto.
• Integra aplicaciones y otras herramientas para su lanzamiento automático en varias etapas del proceso de conexión.
• Administra una libreta de teléfonos central de números de acceso remoto.
• Contrata la administración de números telefónicos de punto de presencia (POP) con proveedores de servicios Internet (ISP).
• Configura clientes para su actualización automática, y compagina las libretas de teléfonos de los ISP con los servidores de libreta de teléfonos corporativos.

El perfil resultante se puede distribuir de manera centralizada en los clientes por medio de los Servicios de Microsoft System Management Server, download del Web, transferencias de archivos, correo electrónico, discos flexibles o discos compactos. Esto permite a los administradores administrar los clientes de forma centralizada a la vez que los usuarios utilizan una única interfaz que:

• Establece conexiones, independientemente del tipo de protocolo o conexión (marcado directo o protocolo VPN).
• Oculta la complejidad del proceso de conexión (acceso con un solo clic).
• Proporciona un registro de firma único mediante los Id. de usuarios de la compañía (no se requieren cuentas independientes del proveedor de servicios Internet).

De acuerdo con la información proporcionada por sus clientes, Microsoft considera que éste es uno de los componentes más importantes para implantar servicios VPN.

Compatibilidad de plataforma para comunicaciones de red seguras

Puesto que IPSec y su administración de políticas relacionada, la autenticación Kerberos, el soporte de PKI y la aceleración de hardware están firmemente integrados en el sistema operativo Windows 2000 y el servicio de directorio Active Directory, debe actualizarse a Windows 2000 los sistemas de servidores y equipos de escritorio basados en Windows con el fin de aprovechar IPSec para escenarios extremo a extremo. Microsoft no dispone de planes para suministrar servicios basados sólo en IPSec para los sistemas operativos Windows NT, Windows 98, Windows 95 o Windows 3.x. Windows CE se encuentra en proceso de investigación en estos momentos.

La compatibilidad con L2TP/IPSec se está implantando primero en Windows 2000 Server y Windows 2000 Professional. Microsoft no tiene planeado implantar L2TP/IPSec en Windows NT, Windows 95 o Windows 3.x. Microsoft está trabajando con sus clientes para conocer los requisitos específicos en relación con L2TP/IPSec y el modo de protocolo de túnel de IPSec en Windows 98 y Windows CE. Sin embargo, Microsoft no tiene planeado implantar L2TP/IPSec o el modo de protocolo de túnel de IPSec en Windows 3.x.

Además de formar parte de Windows 2000, PPTP sigue admitido en los sistemas operativos Windows NT, Windows 98 y Windows 95. La compatibilidad con PPTP para Windows CE se encuentra todavía en investigación. Microsoft pretende seguir al frente del desarrollo de PPTP a fin de tratar escenarios clave para los clientes que los estándares IPSec y L2TP/IPSec no pueden satisfacer.

Para obtener más información

Si desea obtener la información más reciente acerca de Windows 2000, consulte Microsoft TechNet o visite el sitio Web en http://www.microsoft.com/latam/windows/default.asp . Para obtener la información más reciente acerca de Windows NT, visite el sitio Web en http://www.microsoft.com/latam/ntserver/nts/default.asp y el foro de Windows NT Server en MSN™, así como el servicio en línea The Microsoft Network (GO WORD: MSNTS).

© 1999 Microsoft Corporation. Reservados todos los derechos.

La información contenida en este documento representa la visión actual de Microsoft Corporation acerca de los asuntos abordados en la fecha de su publicación. Como Microsoft debe responder a condiciones de mercado variables, no debe interpretarse como un compromiso por parte de Microsoft y Microsoft no puede garantizar la precisión de la información que se presenta después de la fecha de publicación.

Este documento se proporciona con propósito informativo únicamente. MICROSOFT NO OTORGA NINGUNA GARANTÍA, NI IMPLÍCITA NI EXPLÍCITA, EN ESTE DOCUMENTO.

Microsoft, Active Directory, MSN, Windows y Windows NT son marcas registradas o marcas comerciales de Microsoft Corporation en los Estados Unidos y/o en otros países. Otros nombres de productos y compañías mencionados aquí pueden ser marcas comerciales de sus respectivos propietarios.

Microsoft Corporation • One Microsoft Way • Redmond, WA 98052-6399 • USA

0599

1 Aún no se proporciona compatibilidad; no obstante, el grupo de trabajo IPSec de IETF está trabajando en ello (WIP).

2 Cuando se utiliza como una conexión VPN cliente, realiza la autenticación del usuario, no del equipo. Cuando se utiliza como una conexión entre puertas de enlace, el equipo obtiene un Id. de usuario y recibe la autenticación.