jueves, 24 de mayo de 2012

INVESTIGACION VPN


VPN o "Virtual Private Network" es una tecnología de red que permite una extensión de la red local sobre una red pública o no controlada, como por ejemplo Internet.
El ejemplo más común es la posibilidad de conectar dos o más sucursales de una empresa utilizando como vínculo Internet; también permitir a los miembros del equipo de soporte técnico la conexión desde su casa al centro de cómputos, o que un usuario pueda acceder a su equipo hogareño desde un sitio remoto, como por ejemplo un hotel. Todo esto utilizando la infraestructura de Internet.
Para hacerlo posible de manera segura es necesario proveer los medios para garantizar la autenticación, integridad y confidencialidad de toda la comunicación.
  • Autenticación y Autorización: ¿Quién está del otro lado? Usuario/equipo y qué nivel de acceso debe tener.
  • Integridad : La garantía de que los datos enviados no han sido alterados.
  • Confidencialidad : Dado que los datos viajan a través de un medio hostil como Internet, los mismos son susceptibles de interceptación: por eso es fundamental el cifrado de los datos. De este modo, la información no debe poder ser interpretada por nadie más que los destinatarios de la misma.

Tipos de VPN

Básicamente existen tres arquitecturas de conexión VPN:
VPN de acceso remoto
Este es quizás el modelo más usado actualmente y consiste en usuarios o proveedores que se conectan con la empresa desde sitios remotos (oficinas comerciales, domicilios, hoteles, aviones, etc.) utilizando Internet como vínculo de acceso. Una vez autenticados tienen un nivel de acceso muy similar al que tienen en la red local de la empresa. Muchas empresas han reemplazado con esta tecnología su infraestructura "dial-up" (módems y líneas telefónicas), aunque por razones de contingencia todavía conservan sus viejos modems...
VPN sitio-a-sitio
Este esquema se utiliza para conectar oficinas remotas con la sede central de organización. El equipo central vpn, que posee un vinculo a Internet permanente, acepta las conexiones vía Internet provenientes de los sitios y establece el "túnel" vpn. Los servidores de las sucursales se conectan a Internet utilizando los servicios de su proveedor local de Internet, típicamente mediante conexiones de banda ancha. Esto permite eliminar los costosos vínculos punto a punto tradicionales, sobre todo en las comunicaciones internacionales.
VPN Interna
Este esquema es el menos difundido pero uno de los más poderosos para utilizar dentro de la empresa. Es una variante del tipo "acceso remoto" pero, en vez de utilizar Internet como medio de conexión, emplea la misma red Lan (Red de área local) de la empresa. Sirve para aislar zonas y servicios de la red Lan interna. Esta capacidad lo hace muy conveniente para mejorar las prestaciones de seguridad de las redes inalámbricas (WiFi).
Un ejemplo clásico es un servidor con información sensible, como las nóminas de sueldos, ubicado detrás de un equipo VPN, el cual provee autenticación adicional más el agregado del cifrado, haciendo posible que sólo el personal de RRHH habilitado pueda acceder a la información.

¿Por qué VPN?

Costos
La principal motivación del uso y difusión de esta tecnología es la reducción de los costos de comunicaciones directos, tanto en líneas dial-up como en vínculos Wan dedicados. Los costos se reducen drásticamente en estos casos:
En el caso de accesos remotos, llamadas locales a los ISP (Internet Service Provider) en vez de llamadas de larga distancia a los servidores de acceso remoto de la organización. O también mediante servicios de banda ancha.
En el caso de Sitio-a-Sitio, utilizando servicios de banda ancha para acceder a Internet, y desde Internet llegar al servidor VPN de la organización. Todo esto a un costo sensiblemente inferior al de los vínculos Wan dedicados.
Ancho de Banda
Podemos encontrar otra motivación en el deseo de mejorar el ancho de banda utilizado en conexiones dial-up. Las conexiones vpn de banda ancha mejoran notablemente la capacidad del vínculo.

Cómo instalar y activar un servidor VPN


Para instalar y activar un servidor VPN, siga estos pasos:
  1. Haga clic en Inicio, seleccione Herramientas administrativas y haga clic en Enrutamiento y acceso remoto.
  2. Haga clic en el icono de servidor correspondiente al nombre del servidor local en el panel izquierdo de la consola. Si el icono tiene un círculo de color rojo en la esquina inferior izquierda, el servicio Enrutamiento y acceso remoto no está activado. Si el icono tiene una flecha de color verde que señala hacia arriba en la esquina inferior izquierda, el servicio Enrutamiento y acceso remoto está activado. Si el servicio Enrutamiento y acceso remoto se activó previamente, quizás desee volver a configurar el servidor. Para reconfigurar el servidor:
    1. Haga clic con el botón secundario del mouse (ratón) en el objeto servidor y, después, haga clic en Deshabilitar el enrutamiento y el acceso remoto. Haga clic en Sí para continuar cuando aparezca un mensaje informativo.
    2. Haga clic con el botón secundario del mouse en el icono del servidor y, después, haga clic en Configurar y habilitar Enrutamiento y acceso remoto para iniciar el Asistente para instalación del servidor de enrutamiento y acceso remoto. Haga clic en Siguiente para continuar.
    3. Haga clic en Acceso remoto (acceso telefónico o red privada virtual) para activar los equipos remotos de forma que puedan marcar o conectarse a esta red a través de Internet. Haga clic en Siguiente para continuar.
  3. Active VPN o Acceso telefónico, dependiendo de la función que vaya a asignar a este servidor.
  4. En la ventana Conexión VPN, haga clic en la interfaz de red conectada a Internet y, después, haga clic en Siguiente.
  5. En la ventana Asignación de direcciones IP, haga clic en Automáticamente si se va a utilizar un servidor DHCP para asignar direcciones a clientes remotos o haga clic en De un intervalo de direcciones especificado si los clientes remotos sólo deben recibir direcciones de un conjunto predefinido. En la mayoría de los casos, la opción DHCP es más fácil de administrar. Sin embargo, si DHCP no está disponible, debe especificar un intervalo de direcciones estáticas. Haga clic en Siguiente para continuar.
  6. Si hizo clic en De un intervalo de direcciones especificado, se abrirá el cuadro de diálogo Asignación de intervalo de direcciones. Haga clic en Nuevo. Escriba la primera dirección IP del intervalo de direcciones que desee utilizar en el cuadro Dirección IP inicial. Escriba la última dirección IP del intervalo en el cuadro Dirección IP final. Windows calcula automáticamente el número de direcciones. Haga clic en Aceptar para volver a la ventana Asignación de intervalo de direcciones. Haga clic en Siguiente para continuar.
  7. Acepte la opción predeterminada No, usar Enrutamiento y acceso remoto para autenticar las solicitudes de conexión y haga clic en Siguiente para continuar. Haga clic en Finalizar para activar el servicio Enrutamiento y acceso remoto, y para configurar el servidor como servidor de acceso remoto.

Cómo configurar el servidor VPN

Para seguir configurando el servidor VPN como sea necesario, siga estos pasos.

Cómo configurar el servidor de acceso remoto como enrutador

Para que el servidor de acceso remoto reenvíe el tráfico correctamente dentro de la red, debe configurarlo como un enrutador con rutas estáticas o con protocolos de enrutamiento de forma que se pueda llegar a todas las ubicaciones de la intranet desde él.

Para configurar el servidor como un enrutador:
  1. Haga clic en Inicio, seleccione Herramientas administrativas y haga clic en Enrutamiento y acceso remoto.
  2. Haga clic con el botón secundario del mouse en el nombre del servidor y, a continuación, haga clic en Propiedades.
  3. Haga clic en la ficha General y, a continuación, active Enrutador bajo Habilitar este equipo como.
  4. Haga clic en Enrutamiento LAN y de marcado a petición y, después, haga clic en Aceptar para cerrar el cuadro de diálogo Propiedades.

Cómo modificar el número de conexiones simultáneas

El número de conexiones de módem de acceso telefónico depende del número de módems que se instalan en el servidor. Por ejemplo, si sólo hay un módem instalado en el servidor, sólo se dispone de una conexión por módem cada vez.

El número de conexiones VPN de acceso telefónico depende del número de usuarios simultáneos que desee permitir. De manera predeterminada, al ejecutar el procedimiento descrito en este artículo se permiten 128 conexiones. Para cambiar el número de conexiones simultáneas, siga estos pasos:
  1. Haga clic en Inicio, seleccione Herramientas administrativas y haga clic en Enrutamiento y acceso remoto.
  2. Haga doble clic en el objeto de servidor, haga clic con el botón secundario del mouse en Puertos y, después, haga clic en Propiedades.
  3. En el cuadro de diálogo Propiedades de Puertos, haga clic en Minipuerto WAN (PPTP) y, después, haga clic en Configurar.
  4. En el cuadro Número máximo de puertos, escriba el número de conexiones VPN que desea permitir.
  5. Haga clic en Aceptar, haga clic de nuevo en Aceptar, y cierre Enrutamiento y acceso remoto.

Cómo administrar direcciones y servidores de nombres

El servidor VPN debe tener disponibles las direcciones IP que asignará a la interfaz del servidor virtual VPN y a los clientes VPN durante la fase de negociación del proceso de conexión del Protocolo de control de IP (IPCP). La dirección IP asignada al cliente VPN se asigna a la interfaz virtual del mismo.

Para los servidores VPN basados en Windows Server 2003, las direcciones IP asignadas a clientes VPN se obtienen de manera predeterminada mediante DHPC. Asimismo, puede configurar un conjunto de direcciones IP estáticas. El servidor VPN también debe estar configurado con servidores de resolución de nombres, generalmente direcciones de servidores DNS y WINS, para asignar al cliente VPN durante la negociación de IPCP.

Cómo administrar el acceso

Configure las propiedades de acceso telefónico en las cuentas de usuario y en las directivas de acceso remoto para administrar el acceso a las conexiones de acceso telefónico y a las conexiones VPN.

NOTA: de manera predeterminada, se deniega a los usuarios el acceso telefónico a redes.

Acceso mediante cuentas de usuario

Para conceder acceso telefónico a una cuenta de usuario si está administrando el acceso remoto de cada uno de los usuarios, siga estos pasos:
  1. Haga clic en Inicio, seleccione Herramientas administrativas y haga clic en Usuarios y equipos de Active Directory.
  2. Haga clic con el botón secundario del mouse en la cuenta del usuario y, a continuación, haga clic en Propiedades.
  3. Haga clic en la ficha Marcado.
  4. Haga clic en Permitir acceso para conceder al usuario permiso de marcado. Haga clic en Aceptar.

Acceso mediante la pertenencia a grupos

Si administra el acceso remoto basándose en grupos, siga estos pasos:
  1. Cree un grupo que contenga los miembros a los que se les permite crear conexiones VPN.
  2. Haga clic en Inicio, seleccione Herramientas administrativas y haga clic en Enrutamiento y acceso remoto.
  3. En el árbol de consola, expanda Enrutamiento y acceso remoto, expanda el nombre del servidor y haga clic en Directivas de acceso remoto.
  4. Haga clic con el botón secundario del mouse en cualquier lugar del panel de la derecha, seleccione Nuevo y haga clic en Directiva de acceso remoto.
  5. Haga clic en Siguiente, escriba el nombre de la directiva y haga clic en Siguiente.
  6. Haga clic en VPN para el método de acceso a una red privada virtual o en Marcado para el acceso telefónico y, después, haga clic en Siguiente.
  7. Haga clic en Agregar, escriba el nombre del grupo que ha creado en el paso 1 y haga clic en Siguiente.
  8. Siga las instrucciones que aparecerán en la pantalla para finalizar el asistente.




Si el servidor VPN ya permite los servicios de acceso telefónico a redes remoto, no elimine la directiva predeterminada. En lugar de ello, muévala de forma que sea la última directiva en evaluarse.

Cómo configurar una conexión VPN desde un equipo cliente

Para configurar una conexión con una VPN, siga estos pasos. Para configurar un cliente para acceso a una red privada virtual, siga estos pasos en la estación de trabajo cliente:

NOTA: para poder seguir estos pasos, debe haber iniciado sesión como miembro del grupo Administradores.

NOTA: como hay varias versiones de Microsoft Windows, los pasos siguientes pueden ser diferentes en su equipo. Si es así, consulte la documentación del producto para completarlos.
  1. En el equipo cliente, confirme que la conexión a Internet está configurada correctamente.
  2. Haga clic sucesivamente en Inicio, Panel de control y Conexiones de red. En Tareas de red, haga clic en Crear una conexión nueva y, a continuación, haga clic en Siguiente.
  3. Haga clic en Conectarse a la red de mi lugar de trabajo para crear la conexión de acceso telefónico. Haga clic en Siguiente para continuar.
  4. Haga clic en Conexión de red privada virtual y, después, haga clic en Siguiente.
  5. Escriba un nombre descriptivo para esta conexión en el cuadro de diálogo Nombre de la organización y haga clic en Siguiente.
  6. Si el equipo está conectado a Internet de forma permanente, haga clic en No usar la conexión inicial. Si el equipo se conecta a Internet a través de un proveedor de servicios Internet (ISP), haga clic en Usar automáticamente esta conexión inicial y, después, haga clic en el nombre de la conexión con el ISP. Haga clic en Siguiente.
  7. Escriba la dirección IP o el nombre de host del equipo servidor VPN (por ejemplo, ServidorVPN.DominioDeEjemplo.com).
  8. Si desea permitir que cualquier usuario que inicie sesión en la estación de trabajo tenga acceso a esta conexión telefónica, haga clic en El uso de cualquier persona. Si desea que la conexión sólo esté disponible para el usuario que ha iniciado sesión actualmente, haga clic en Sólo para mi uso. Haga clic en Siguiente.
  9. Haga clic en Finalizar para guardar la conexión.
  10. Haga clic sucesivamente en Inicio, Panel de control y Conexiones de red.
  11. Haga doble clic en la nueva conexión.
  12. Haga clic en Propiedades para seguir configurando opciones para la conexión. Para seguir configurando opciones para la conexión, siga estos pasos:
    • Si se va a conectar a un dominio, haga clic en la ficha Opciones y active la casilla de verificación Incluir el dominio de inicio de sesión de Windows para especificar si se va a solicitar información de dominio de inicio de sesión de Windows Server 2003 antes de intentar la conexión.
    • Si desea que se vuelva a marcar en caso de que la conexión se interrumpa, haga clic en la ficha Opciones y active la casilla de verificación Volver a marcar si se interrumpe la línea.
Para utilizar la conexión, siga estos pasos:
  1. Haga clic en Inicio, seleccione Conectar a y haga clic en la nueva conexión.
  2. Si actualmente no está conectado a Internet, Windows le ofrece la posibilidad de conectarse.
  3. Una vez realizada la conexión a Internet, el servidor VPN le pide su nombre de usuario y su contraseña. Escriba su nombre de usuario y su contraseña; a continuación, haga clic en Conectar.
    Sus recursos de red deben estar disponibles de la misma manera que cuando se conecta directamente a la red.NOTA: para desconectarse de la VPN, haga clic con el botón secundario del mouse en el icono de la conexión y, a continuación, haga clic en Desconectar.
           VPN
Publicado por en

No hay comentarios:

Publicar un comentario

Suscribirse a: Enviar comentarios (Atom)