Principios básicos
del acceso remoto
A día de hoy, los usuarios itinerantes son cada vez
más exigentes y requieren poder acceder a todos sus datos en cualquier momento
(correo electrónico, archivos, etc.) de la misma forma que si se encontraran en
los locales de su empresa. Para poder satisfacer estas necesidades, tendrá que
configurar, seguramente, una solución de acceso remoto.
Este acceso remoto puede realizarse a través de dos
tipos de enlace. Bien mediante un enlace detipo Conexiones de acceso
telefónico (llamadas con frecuencia Dial-up), o viene estableciendo
unared privada virtual (VPN: Virtual Private Network).
1. Acceso telefónico
a. Generalidades sobre las conexiones telefónicas
Dial-up
Utilizar una conexión de tipo Dial-up permite
acceder a la red de la empresa mediante una simple línea telefónica, desde
cualquier sitio. La contrapartida de esta facilidad de acceso es que se trata
de una tecnología que ya es vieja y que ofrece un rendimiento muy limitado, con
una tasa de transferencia de información muy baja.
En la práctica, es necesario que tanto el cliente como
el servidor estén dotados de un módem. El usuario configura una conexión de
acceso telefónico bajo demanda, especificando un simple número telefónico.
Cuando se inicia la conexión, se requiere un nombre de usuario y una
contraseña. El servidor que gestiona el acceso remoto (también llamado
RAS, Remote Access Server) será contactado a través de la línea
telefónica, a la que se encuentra conectado a través del módem.
b. Ventajas e inconvenientes de las conexiones
telefónicas Dial-up
Ventajas
·
No se necesita una conexión a Internet:
basta con una simple línea telefónica clásica.
·
Confidencialidad de los datos: la
información no transita a través de Internet, de modo que los datos no son objetivo
de todos los ataques propios de este medio de comunicación a través de la
red mundial. La seguridad es, por lo tanto máxima, puesto que la red local no
tiene por qué estar abierta al mundo exterior.
Inconvenientes
·
Muy poco ancho de banda. Basada en la
tecnología telefónica, las tasas de transferencia de este tipo de conexión es
bastante limitada. En efecto, la red telefónica se ha diseñado para poder
reproducir la voz humana, y nada más. Las frecuencias que pueden transitar por
este medio de transmisión son, de hecho, muy limitadas.
·
Para aumentar la tasa de transferencia que
encontramos (56K), existen líneas de transmisión digitales (128K). No obstante,
siguen representando una inversión importante.
·
Coste elevado. Las comunicaciones
telefónicas tienen un coste que no es despreciable, recuperar un simple archivo
de 10 MB supondrá una inversión considerable de tiempo necesario para
descargarlo (cerca de cuarenta minutos si la tasa de transferencia media
es de 4 kB/s).
·
Además, para poder proveer conexiones
remotas múltiples se requieren tantas líneas telefónicas como usuarios nómadas
puedan conectarse simultáneamente.
Si
bien el coste es bastante elevado de esta tecnología hace que su uso no parezca
muy atractivo, puede resultar muy útil en ciertos casos concretos. Si no es, en
efecto, extraño tener problemas de conexión a Internet, es mucho menos habitual
tener cortes de la línea telefónica. Puede resultar, de este modo, bastante
interesante aprovechar este tipo de acceso en ciertas empresas de administración
de servidores. En efecto, un administrador podrá seguir gestionando, de manera
remota, sus servidores a través de la línea telefónica, aunque no estén
disponibles a través de Internet.
2. Acceso mediante Internet
a. Generalidades sobre las VPN
La segunda tecnología que permite realizar un acceso
remoto utiliza la red Internet y no la red telefónica. A diferencia de las
conexiones bajo demanda que le permiten conectar directamente con la red de la
empresa, en este caso es necesario pasar "a través" de Internet. La
tecnología que se utiliza se denomina VPN (Virtual Private Network o
Red Privada Virtual, en castellano). Aquí, la comunicación se establece
directamente a nivel IP.
A continuación se dan algunas explicaciones
relacionadas con la terminología Red Privada Virtual:
La conexión es virtual en cuanto a que el equipo que
establece una conexión VPN a través de Internet se va a comportar como si
estuviera directamente conectado a la red de área local, como si se tratase de
un cable de red directamente conectado a ella. El usuario va a poder, de este
modo, acceder a los mismos recursos que si estuviera físicamente conectado a la
red. Esta conexión se considera, no obstante, virtual, precisamente porque no
existe tal enlace físico Ethernet con la red de destino. Es privada en cuanto a
que se trata de una conexión punto a punto entre el origen y el destino. Los
datos que se intercambian están cifrados. De este modo, si alguien interceptara
los datos, no se podrían descifrar sin conocer la clave privada de la
transacción.
Las
VPN se utilizan, a menudo, para conectar sitios remotos completos. Hablamos,
entonces, de VPN sitio a sitio. El objetivo de este tipo de conexiones es poder
vincular lógicamente redes remotas sin tener que realizar un enlace de red directo
(Ethernet, Wi-Fi, etc.).
b. Los distintos tipos de VPN que ofrece Windows
Server 2012 R2
Windows Server 2012, como sus predecesores, soporta
los siguientes tipos de VPN:
·
PPTP (Point to Point Tunneling Protocol):
PPTP es el método más sencillo para
implementar y utilizar una VPN. El cifrado de los datos interviene después del
proceso de autentificación mediante el protocolo PPP. Utilice, preferentemente,
una autentificación MS-CHAPv2 con una autenticación basada en PAP (Password
Authentication Protocol) o CHAP (Challenge Handshake Authentication
Protocol) para no dejar que la contraseña transite sin cifrar por la red.
·
L2TP/IPsec (Layer 2 Tunneling Protocol):
Más seguro que PPTP, L2TP/IPsec es el
resultado de un desarrollo conjunto entre Microsoft y Cisco.
A diferencia de PPTP, el cifrado incluye
la fase de identificación puesto que la sesión IPsec se establece justo antes.
Además, la autenticación mutua de las
máquinas (también llamada handshake) impide a cualquier máquina
desconocida conectarse. Esto evita, en particular, ataques del tipo
Man-in-the-Middle, que sufren las VPN basadas en PPTP.
Preste atención, no obstante, puesto que
es necesario evitar, teóricamente el NAT antes de IPsec puesto que modifica el
contenido de los paquetes. Esta modificación es incompatible con los mecanismos
de protección integrados de los datos IPsec. Si se ve obligado a utilizar L2TP
sobre una red "nateada", utilice la variante NAT-T (NAT Traversal).
Desde Windows Server 2008, el sistema también ofrece:
·
SSTP (Secure Socket Tunneling Protocol):
SSTP es una nueva forma de túnel VPN que
facilita el establecimiento de una conexión VPN mediante un firewall o un
dispositivo que realiza la traducción de las direcciones de red (NAT).
Esto es posible gracias a la encapsulación
de paquetes PPP (Point to Point Protocol) en HTTPS. SSTP utiliza
conexiones HTTP encriptadas con SSL para establecer conexiones con las
pasarelas VPN. De este modo, es posible establecer conexiones VPN a través de
un proxy HTTP.
Del mismo modo que con L2TP/IPsec, sólo se
transmite la información de identificación una vez establecida la sesión SSL
con la pasarela VPN.
También llamado PPP/SSL, este protocolo
permite utilizar PPP y EAP para realizar la autenticación y hacer que la
conexión sea todavía más segura.
Sólo
disponible con la combinación de versiones Windows Server 2008 R2/Windows 7 o
versiones superiores, la tecnología VPN Reconnect permite hacer una
reconexión transparente mediante un enlace VPN. En caso de que se interrumpa la
conexión a Internet, por ejemplo, el sistema se encarga de recuperar la
conexión VPN sin ninguna intervención por parte del usuario, y en unos pocos
segundos.
c. Ventajas e inconvenientes de VPN
Ventajas
·
Coste reducido: todas las empresas y todos los usuarios ya están equipados,
por lo general, con una conexión a Internet. El coste de la implementación es
por lo tanto mínimo, pues basta con aprovisionar un servidor que haga las veces
de servidor VPN. Además, con una única conexión a Internet es posible dar
servicio a varias conexiones remotas simultáneas sin tener que adquirir una
línea suplementaria.
·
Ancho de banda elevado: la tecnología VPN se apoya directamente en IP y, por
tanto, sobre una infraestructura Internet. Con la extensión de ADSL y la
explosión del ancho de banda asociado, esta tecnología es mucho más rápida que
las conexiones de tipo Dial-Up.
·
VPN Anywhere: supone una pequeña analogía con la tecnología
empleada en Exchange (RPC over HTTPS) donde se encapsula el tráfico de
Outlook a través de tráfico Web seguro (HTTPS). Como se ha explicado antes,
aquí es el tráfico VPN el que está encapsulado en HTTPS. La seguridad de las
redes es por lo general una prioridad, y es corriente bloquear el tráfico de
salida que no se corresponda con las necesidades de la empresa. Por el
contrario es raro ver el tráfico HTTPS saliente bloqueado. De este modo,
gracias a SSTP, el usuario debe poder conectarse desde cualquier red de empresa
o punto de acceso a Internet.
Inconvenientes
·
Dependiente de la red: a diferencia de las conexiones bajo demanda, el
rendimiento de una conexión a Internet desde una de las dos partes (empresa o
usuario nómada) tienen un impacto nada despreciable en la calidad de la
transmisión. Cualquier problema en el proveedor de acceso de una u otra parte puede
provocar una incapacidad total para comunicarse.
·
Confidencialidad de los
datos: aunque se utilizan sistemas de cifrado
no queda más remedio que los datos transiten a través de Internet. Esto los
vuelve potencialmente visibles para todo el mundo aunque estén cifrados.
d. DirectAccess, el "VPN-Killer"
La tecnología DirectAccess se denomina, a menudo,
"VPN-Killer" por parte de muchos profesionales de la informática.
Este sobrenombre proviene del hecho de que a diferencia de las VPN habituales
(PPTP, L2TP, etc.), Direct Access permite establecer una conexión a la red
de la empresa antes incluso de abrir una sesión sobre la máquina cliente.
El objetivo del lado del cliente consiste en mejorar
su experiencia como usuario nómada proporcionándole condiciones de trabajo
totalmente idénticas a las que disfruta en los edificios de su empresa
Los administradores de sistemas sacarán buen partido a
esta tecnología. En adelante serán capaces de administrar íntegramente los
equipos situados fuera de la empresa: despliegue de actualizaciones de
software, actualización del antivirus, aplicación de las directivas de grupo,
etc.
Por defecto, y a diferencia de las tecnologías VPN
habituales, sólo el tráfico de destino de la empresa pasará a través de Direct
Access, de forma que no ralentice el tráfico de Internet. Siempre es posible
hacer transitar la totalidad del tráfico por Direct Access, con el objetivo de
controlar de principio a fin la seguridad del acceso.
Su capacidad para gestionar la alta disponibilidad se
ha visto mejorada con la llegada del Service Pack 1 de Windows Server 2008 R2
pues incluye el soporte del direccionamiento 6to4 e ISATAP cuando se utiliza
DirectAccess mediante un clúster NLB (Network Load Balancing). Si desea
más información acerca del clúster NLB, consulte el capítulo Alta
disponibilidad.
He aquí las etapas del proceso de conexión a la red
gracias a DirectAccess con Windows Server 2008/2008 R2/2012/2012 R2:
·
El cliente detecta si tiene conexión de
red.
·
Intenta establecer una sesión sobre un
sitio Intranet SSL para determinar si se encuentra en el seno de la red de la
empresa o en el exterior.
·
El cliente se conecta al servidor Direct
Access mediante IPSec e IPv6. Si no hay disponible una conexión IPv6 nativa
(éste es generalmente el caso si el equipo cliente está conectado a Internet),
el cliente establece un túnel IPv6 sobre IPv4 mediante 6To4 o Teredo (para más
información acerca de Teredo diríjase a la página: http://technet.microsoft.com/en-us/network/cc917486.aspx).
·
Si el cliente no llega a establecer la
conexión a causa de un cortafuegos o de un proxy, intentará conectarse
automáticamente mediante el protocolo HTTPS.
·
El equipo cliente y el servidor Direct
Access van a autenticarse mutuamente gracias a los certificados de equipo. Este
proceso forma parte de los mecanismos IPSec.
·
El servidor Direct Access va a verificar
en sus reglas si el equipo está autorizado (o forma parte de un grupo
autorizado) para establecer una conexión Direct Access.
·
El servidor Direct Access va a redirigir
el tráfico del equipo cliente hacia los servidores de la Intranet sobre los que
esté autorizado el acceso del usuario.
Este
proceso es ligeramente diferente con Windows Server 2012 puesto que ya no se
utiliza IPsec y, en lo sucesivo, la conexión externa se establece directamente
mediante HTTPS. La etapa 3 de intento de conexión IPsec e IPv6 ha desaparecido,
pasando directamente de la etapa 2 a la etapa 4.
e. Rol Web Application Proxy
Web Application Proxy (o WAP) es un nuevo servicio de
rol de Acceso remoto en Windows Server 2012 R2. El proxy de
aplicación web provee una funcionalidad de proxy inverso para las aplicaciones
web presentes en su red de empresa permitiendo, así, a los usuarios acceder
desde el exterior de la empresa y desde cualquier dispositivo móvil (de momento
se soporta IOS y Android debería llegar próximamente).
WAP requiere poseer una granja de AD FS para poder
funcionar. Sin AD FS, el asistente no puede completar las etapas de
configuración.
Es posible proveer funcionalidades simples de proxy
inverso utilizando una autenticación de tipo Pass-Through, que tiene, también,
la capacidad de pasar información de autenticación del cliente hacia el
servidor de destino sin pre-autenticación. Puede, también, proveer una
autenticación a AD FS (Active Directory Federation Service) agregando el
rol de proxy AD FS. Observe que, incluso para el Pass-Through, el asistente
exige una granja AD FS configurada.
El objetivo de WAP es publicar aplicaciones web
internas en la red de la empresa para hacer que estén disponibles desde el
exterior, poco importa el cliente utilizado (equipo portátil, Smartphone,
etc.), proveyendo una autenticación única (SSO) que juega, así, el rol de
portal SSL.
Se recomienda desplegar este rol en una red
perimétrica (entre el firewall conectado a Internet y el conectado a la red de
la empresa). A diferencia de una publicación web "clásica", WAP corta
el tráfico entrante del cliente para iniciar una nueva sesión con la aplicación
final. De este modo, el usuario no se comunicará, jamás, directamente con la
aplicación, sino que accederá a través del componente WAP.
En resumen, WAP provee funcionalidades de publicación
de aplicaciones similares a Microsoft Forefront Unified Access Gateway (UAG).
No obstante, WAP interactúa con otros servidores y servicios (AD FS) para
proveer un despliegue simplificado. No reemplaza totalmente a UAG, pues sólo
las aplicaciones web con autenticación Kerberos o por notificación pueden
aprovechar una publicación mediante WAP.
WAP puede, por ejemplo, resultar útil para publicar el
acceso remoto web de un servidor Exchange (OWA) o un servidor Lync (Lync Web
app). Al gestionarse la autenticación en AD FS, el usuario recibirá un token
único y podrá aprovechar el SSO (Single Sign On) para acceder a las dos
aplicaciones gracias a una única autenticación.
Encontrará, en el siguiente enlace, las etapas que
permiten implementar una publicación mediante el componente WAP: http://technet.microsoft.com/en-us/library/dn383650.aspx
f. ¿Cuáles son las novedades de Windows Server 2012 y
Windows Server 2012 R2?
Windows Server 2012 combina la funcionalidad de Direct
Access con el rol RRAS (Remote and Routing Access Service) en un nuevo
rol que permite administrar de manera centralizada, configurar y supervisar a
la vez Direct Access y los servicios de VPN. La mayor mejora reside en las
numerosas actualizaciones y mejoras de Direct Access para prevenir bloqueos
ligados al despliegue, y simplificar su gestión.
Se han aportado las siguientes mejoras con Windows
Server 2012:
·
Coexistencia de Direct
Access y RRAS: ambas herramientas pueden, en lo
sucesivo, administrarse desde la misma interfaz, a saber: la consola de
Administración de acceso remoto.
·
Simplificación del
despliegue de Direct Access para estructuras
de tamaño pequeño o mediano: ya no es obligatorio disponer de dos direcciones
IPv6 consecutivas. Basta con tener acceso al puerto TCP 443 desde el exterior,
ya no es preciso utilizar reglas IPsec complicadas.
·
Desaparecen los
requisitos previos de clave pública (PKI):
gracias a la delegación Kerberos.
·
Integración nativa del
soporte NAT64 y DNS64 para acceder a recursos mediante
IPV4: antes, era preciso tener una intranet compatible con IPv6; en lo sucesivo
basta con IPv4.
·
Soporte de DirectAccess
sobre un servidor a través de NAT.
·
Simplificación de la
administración de las directivas de seguridad.
·
Soporte de Load Balancing: ya no es necesario un servidor UAG (Unified
Access Gateway) como era el caso con la funcionalidad Direct Access en
Windows 2008 R2.
·
Integración de NAP
(Network Access Protection): para asegurar la
seguridad verificando el estado de la seguridad en los puestos.
·
Soporte multidominio.
·
Soporte de Windows
Server en modo Core.
·
Soporte OTP (One-Time
Password).
·
Supervisión de los
usuarios.
·
Herramientas de
diagnóstico.
·
Registro de eventos e
Informes.
·
VPN sitio a sitio en
modo IKEv2 IPsec: Windows Server 2008 R2 incluye el
soporte IKEv2 en las conexiones VPN cliente. El uso de IKEv2 y de IPsec ofrece
una autenticación y métodos de cifrado robustos. Windows Server 2012
incluye esta funcionalidad reforzada para conexiones VPN de tipo sitio a sitio.
·
En lo sucesivo, es posible virtualizar el
servidor que hospeda el rol de Acceso remoto.
Windows Server 2012 R2 aporta, por su parte las
siguientes mejoras:
·
Pasarela VPN sitio a
sitio multiteniente (Multi-Tenant Site-to-Site VPN Gateway): con Windows Server 2012 R2, es posible desplegar
pasarelas sitio a sitio multilocalidad (multicliente) para proveer una
conectividad a los sitios locales hacia las redes virtuales dedicadas en la red
principal. Una pasarela (o Gateway: GW) es capaz de dar servicio a varios
clientes que posean direcciones IP que se solapen (overlap). Para aclarar este
punto, se muestra a continuación un esquema que muestra el caso de un anfitrión
que aloja máquinas virtuales para clientes que utilizan la virtualización de
redes Hyper-V. Vemos cómo una única pasarela S2S GW (Site To Site Gateway)
es capaz de dar servicio a dos clientes distintos que posean la misma dirección
IP (en este caso 10.10.10.0/24).
·
El servicio Enrutamiento y acceso
remoto (RRAS) GW es una única solución software que puede desplegarse
en la mayoría de instancias de servidores RRAS multicliente para equilibrar la
carga. El siguiente enlace le indicará las etapas de la configuración necesaria
para su implementación: http://blogs.technet.com/b/networking/archive/2013/10/15/multi-tenant-vpn-with-windows-server-2012-r2.aspx
·
Pasarela del acceso
remoto VPN multicliente: para las pequeñas y
medianas estructuras, no existe la obligación de poseer dos direcciones
IPv6 públicas consecutivas. El acceso al puerto TCP 443 desde el exterior es
suficiente. El uso de reglas IPsec complicadas ya no es necesario.
·
Border Gateway Protocol
(BGP): Windows Server 2012 Border Gateway
Protocol (BGP) permite un reparto dinámico y el aprendizaje de las rutas
mediante interfaces de enrutamiento sitio-a-sitio (S2S) de RRAS. Esta
funcionalidad permite, a los anfitriones (principalmente proveedores de
servicios (IaaS)) desplegar BGP en las pasarelas S2S multi-cliente. De este
modo, la pasarela puede saber qué paquetes están dirigidos a Internet,
hacia las redes locales (clientes), hacia la red virtual del cliente en el
anfitrión y, de este modo, determinar los itinerarios de manera consecuente.
Las pasarelas RRAS con BGP habilitado puede, a su vez, desplegarse en las
empresas para distribuir rutas internas a otras pasarelas de la red de la
empresa sobre túneles seguros.
No hay comentarios:
Publicar un comentario