La descarga está en progreso. Por favor, espere

La descarga está en progreso. Por favor, espere

Infraestructura de red de Windows Server 2003. Lo que cubriremos: NAT (Conversión de direcciones de red), ICS (Compartir conexión a Internet) Firewall.

Presentaciones similares


Presentación del tema: "Infraestructura de red de Windows Server 2003. Lo que cubriremos: NAT (Conversión de direcciones de red), ICS (Compartir conexión a Internet) Firewall."— Transcripción de la presentación:

1 Infraestructura de red de Windows Server 2003

2 Lo que cubriremos: NAT (Conversión de direcciones de red), ICS (Compartir conexión a Internet) Firewall de Windows y el firewall básico RRAS IPSec (Seguridad del protocolo de Internet) basada en certificados Cuarentena de acceso remoto L2TP (Protocolo de túnel de nivel 2) IAS (Servicio de autenticación de Internet)

3 Conocimiento previo Nivel 200 TCP/IP Active Directory Administración de Windows Server

4 Agenda Acceso a Internet de sucursal Asegurar comunicaciones de servidor Asegurar acceso remoto VPN de oficina a oficina Configuración de IAS

5 Escenario de negociosServidores Clientes Sucursal Windows Server 2003 Oficina corporativa Windows Server 2003 Internet Clientes

6 Acceso a Internet de sucursal Problema de negocios Tiene una nueva sucursal con las siguientes necesidades: Acceso a Internet Seguridad de fuentes externas

7 Acceso a Internet de sucursal Solución = NAT + Firewall NAT (Conversión de direcciones de red) o ICS (Compartir conexión a Internet) Proporciona acceso a Internet desde un rango de direcciones privadas protegidas Firewall básico o Firewall de Windows Proporciona capacidades de firewall con filtración de paquetes

8 Acceso a Internet de sucursal Solución = NAT o ICS NAT (Conversión de direcciones de red) Traduce direcciones IP y números de puerto para tráfico entrante y saliente Oculta el rango de direcciones IP privadas del Internet Se puede utilizar con DHCP o se puede configurar como un asignador DHCP Se puede configurar para permitir conexiones entrantes a reservaciones específicas ICS (Compartir conexión a Internet) ICS es básicamente NAT con una configuración más fácil (también está disponible en Windows® XP)

9 Acceso a Internet de sucursal NAT vs. ICS NAT requiere una configuración manual de DHCP, DNS y RRAS ICS se auto-configura y es la mejor opción para un ambiente pequeño No utilice ICS en una red que: Utilice direcciones IP estáticas Utilice otros servidores DNS, puertas de enlace o servidores DHCP

10 NAT/ICS PCs cliente IP = IP = IP = PC que ejecuta NAT IP interna = IP externa = IP pública 1.El cliente envía un paquete para el PC que ejecuta NAT. Internet Web Server IP = IP pública

11 NAT/ICS PCs cliente IP = IP = IP = PC que ejecuta NAT IP interna = IP externa = IP pública 1.El cliente envía un paquete para el PC que ejecuta NAT. 2.El PC que ejecuta NAT cambia el encabezado del paquete y envía el paquete sobre el Internet al servidor Web. Internet Web Server IP = IP pública

12 NAT/ICS PCs cliente IP = IP = IP = PC que ejecuta NAT IP interna = IP externa = IP pública 1.El cliente envía un paquete para el PC que ejecuta NAT. 2.El PC que ejecuta NAT cambia el encabezado del paquete y envía el paquete sobre el Internet al servidor Web. 3.El servidor Web envía una respuesta al PC que ejecuta NAT. Internet Web Server IP = IP pública

13 NAT/ICS PCs cliente IP = IP = IP = PC que ejecuta NAT IP interna = IP externa = IP pública 1.El cliente envía un paquete para el PC que ejecuta NAT. 4.El PC que ejecuta NAT determina el destino, cambia el encabezado del paquete y envía el paquete al cliente. 2.El PC que ejecuta NAT cambia el encabezado del paquete y envía el paquete sobre el Internet al servidor Web. 3.El servidor Web envía una respuesta al PC que ejecuta NAT Internet Web Server IP = IP pública

14 Acceso a Internet de sucursal Firewall básico/Firewall de Windows Firewall básico Configurado a través de RRAS Permite configurar excepciones para protocolos de IP y tráfico ICMP para tráfico entrante y saliente Firewall basado en el servidor Firewall de Windows Función agregada en Windows Server 2003 SP1 Le permite configurar únicamente excepciones TCP y UDP basadas en puertos para tráfico entrante Firewall basado en el cliente

15 Configuración de NAT y Firewall básico Configurar NAT y un firewall básico RRAS Demo

16 Agenda Acceso a Internet de sucursal Asegurar comunicaciones de servidor Asegurar acceso remoto VPN de oficina a oficina Configuración de IAS

17 Asegurar comunicaciones de servidor Problema de negocios Necesita asegurar que las comunicaciones entre su servidor Web público y Microsoft® SQL Server sean seguras El servidor Web se localiza en una subred filtrada y se conecta a SQL Server a través del firewall. El servidor Web no es miembro de un bosque interno de Active Directory. Los filtros de paquete ya están configurados en el firewall, pero se requiere más seguridad.

18 Asegurar comunicaciones de servidor IPSec basada en certificados Servicios de certificado de Windows Server 2003 Configure la encriptación de IPSec para utilizar la autenticación de certificados (CA) Personalice la política de IPSec para encriptar únicamente el tráfico SQL (opcional, pero recomendado)

19 Asegurar comunicaciones de servidor PKI de Windows Server 2003 Los certificados son credenciales electrónicas que autentican a un usuario en Internet o en las intranets Certificados: Vinculan con seguridad una clave pública con una entidad que ostenta la clave privada correspondiente Están firmados digitalmente por la autoridad de certificación (CA) emisora Verifican la identidad de un usuario, un PC, o un servicio que presenta el certificado Contienen detalles acerca del emisor y del sujeto Vinculan con seguridad una clave pública con una entidad que ostenta la clave privada correspondiente Están firmados digitalmente por la autoridad de certificación (CA) emisora Verifican la identidad de un usuario, un PC, o un servicio que presenta el certificado Contienen detalles acerca del emisor y del sujeto

20 Asegurar comunicaciones de servidor Métodos de autenticación IPSec Kerberos (predeterminado) –Funciona para PCs que son miembros de un dominio confiable de Active Directory Basada en certificados –Funciona para PCs que tienen certificados de una autoridad de certificación seleccionada Clave Precompartida –No se recomienda debido a que es el menos seguro de los tres métodos

21 Asegurar comunicaciones de servidor Políticas para personalizar IPSec Las políticas predeterminadas incluyen: –Cliente (sólo responder) –Servidor (seguridad de solicitud) –Servidor seguro (se requiere seguridad) Ejemplo de una política personalizada –Edite los filtros de la política de Asegurar servidor para requerir seguridad únicamente en las comunicaciones entre IIS Server y SQL Server.

22 Configuración de IPSec Instalar los certificados de PC de IPSec Crear una política IPSec personalizada Demo

23 Agenda Acceso a Internet de sucursal Asegurar comunicaciones de servidor Asegurar acceso remoto VPN de oficina a oficina Configuración de IAS

24 Asegurar acceso remoto Problema de negocios Necesita configurar una solución de acceso remoto segura que permita: –Un control personalizable sobre el acceso de los usuarios –Evitar que se conecten configuraciones inválidas

25 Asegurar acceso remoto Políticas y cuarentena de acceso remoto Políticas de acceso remoto –Permitir un control robusto del acceso remoto Control de cuarentena de acceso a la red –Demora una conexión de acceso totalmente remota hasta que el cliente de acceso remoto haya sido examinado de acuerdo con las secuencias de comandos proporcionadas por el administrador

26 Asegurar acceso remoto Evaluación de la política de acceso remoto Controlador de dominio Windows 2000 Servidor RAS Cliente RAS Permisos de cuenta Permitir Permitir Negar Negar Condiciones de acceso remoto Día y hora Día y hora Grupo Grupo Etcétera Etcétera Perfil de acceso remoto Restricciones de medios de marcación Restricciones de medios de marcación Configuraciones de múltiples enlaces Configuraciones de múltiples enlaces Etcétera Etcétera Política de acceso remoto

27 Asegurar acceso remoto Evaluación de la política de acceso remoto Controlador de dominio Windows 2000 Servidor RAS Cliente RAS Permisos de cuenta Permitir Permitir Negar Negar Condiciones de acceso remoto Día y hora Día y hora Grupo Grupo Etcétera Etcétera Perfil de acceso remoto Restricciones de medios de marcación Restricciones de medios de marcación Configuraciones de múltiples enlaces Configuraciones de múltiples enlaces Etcétera Etcétera Política de acceso remoto

28 Asegurar acceso remoto Evaluación de la política de acceso remoto Controlador de dominio Windows 2000 Servidor RAS Cliente RAS Permisos de cuenta Permitir Permitir Negar Negar Condiciones de acceso remoto Día y hora Día y hora Grupo Grupo Etcétera Etcétera Perfil de acceso remoto Restricciones de medios de marcación Restricciones de medios de marcación Configuraciones de múltiples enlaces Configuraciones de múltiples enlaces Etcétera Etcétera Política de acceso remoto

29 Asegurar acceso remoto Evaluación de la política de acceso remoto Controlador de dominio Windows 2000 Servidor RAS Cliente RAS Permisos de cuenta Permitir Permitir Negar Negar Condiciones de acceso remoto Día y hora Día y hora Grupo Grupo Etcétera Etcétera Perfil de acceso remoto Restricciones de medios de marcación Restricciones de medios de marcación Configuraciones de múltiples enlaces Configuraciones de múltiples enlaces Etcétera Etcétera Política de acceso remoto

30 Asegurar acceso remoto Evaluación de la política de acceso remoto Controlador de dominio Windows 2000 Servidor RAS Cliente RAS Permisos de cuenta Permitir Permitir Negar Negar Control con RAP Control con RAP Condiciones de acceso remoto Día y hora Día y hora Grupo Grupo Etcétera Etcétera Perfil de acceso remoto Restricciones de medios de marcación Restricciones de medios de marcación Configuraciones de múltiples enlaces Configuraciones de múltiples enlaces Etcétera Etcétera Política de acceso remoto Permisos de acceso remoto Permitir Permitir Negar Negar (Únicamente modo nativo) (Únicamente modo nativo)

31 Asegurar acceso remoto Evaluación de la política de acceso remoto Controlador de dominio Windows 2000 Servidor RAS Cliente RAS Permisos de cuenta Permitir Permitir Negar Negar Control con RAP Control con RAP Condiciones de acceso remoto Día y hora Día y hora Grupo Grupo Etcétera Etcétera Perfil de acceso remoto Restricciones de medios de marcación Restricciones de medios de marcación Configuraciones de múltiples enlaces Configuraciones de múltiples enlaces Etcétera Etcétera Política de acceso remoto Permisos de acceso remoto Permitir Permitir Negar Negar (Únicamente modo nativo) (Únicamente modo nativo)

32 Asegurar acceso remoto Evaluación de la política de acceso remoto Controlador de dominio Windows 2000 Servidor RAS Cliente RAS Permisos de cuenta Permitir Permitir Negar Negar Control con RAP Control con RAP Condiciones de acceso remoto Día y hora Día y hora Grupo Grupo Etcétera Etcétera Perfil de acceso remoto Restricciones de medios de marcación Restricciones de medios de marcación Configuraciones de múltiples enlaces Configuraciones de múltiples enlaces Etcétera Etcétera Política de acceso remoto Permisos de acceso remoto Permitir Permitir Negar Negar (Únicamente modo nativo) (Únicamente modo nativo)

33 Asegurar acceso remoto Evaluación de la política de acceso remoto Controlador de dominio Windows 2000 Servidor RAS Cliente RAS Permisos de cuenta Permitir Permitir Negar Negar Control con RAP Control con RAP Condiciones de acceso remoto Día y hora Día y hora Grupo Grupo Etcétera Etcétera Perfil de acceso remoto Restricciones de medios de marcación Restricciones de medios de marcación Configuraciones de múltiples enlaces Configuraciones de múltiples enlaces Etcétera Etcétera Política de acceso remoto Permisos de acceso remoto Permitir Permitir Negar Negar (Únicamente modo nativo) (Únicamente modo nativo)

34 Asegurar acceso remoto Comportamiento de la política Política predeterminada de acceso remoto –Permite acceso a cualquier cuenta de usuario a la que se le haya otorgado acceso mediante las propiedades de cuenta de usuario en Active Directory Políticas múltiples –Las políticas se verifican en orden de prioridad hasta que el usuario corresponda a las condiciones de una de ellas –Si el usuario corresponde a las condiciones de varias políticas, se utiliza la primera con la que coincida

35 Asegurar acceso remoto Cuarentena de acceso a la red Permite la validación de las siguientes conexiones entrantes de acceso remoto: –Versión de paquete de servicio –Software antivirus y firmas –Configuración de firewall local –Se deshabilita el enrutamiento local –Protector de pantalla protegido con contraseña

36 Asegurar acceso remoto Cuarentena de acceso a la red Intranet Cliente en cuarentena con perfil CM RAS de Windows Server 2003 Política de cuarentena DC de Windows Server 2003 Recursos en cuarentena Internet

37 Asegurar acceso remoto Cuarentena de acceso a la red Intranet Cliente en cuarentena con perfil CM RAS de Windows Server 2003 Política de cuarentena DC de Windows Server 2003 Recursos en cuarentena Cliente ejecuta el programa de cuarentena Internet

38 Asegurar acceso remoto Cuarentena de acceso a la red Intranet Cliente en cuarentena con perfil CM RAS de Windows Server 2003 Política de cuarentena DC de Windows Server 2003 Recursos en cuarentena Cliente ejecuta el programa de cuarentena X Internet

39 Asegurar acceso remoto Cuarentena de acceso a la red Intranet Cliente en cuarentena con perfil CM RAS de Windows Server 2003 Política de cuarentena DC de Windows Server 2003 Recursos en cuarentena Cliente ejecuta el programa de cuarentena OK Internet

40 Asegurar acceso remoto Configuración de la cuarentena Para implementar el Control de cuarentena de acceso a la red, los pasos básicos (en orden) son los siguientes: 1.Crear los recursos de cuarentena. 2.Crear una secuencia de comandos o programa que valide la configuración del cliente. 3.Instalar Rqs.exe en los servidores de acceso remoto. NOTA: Esto estará disponible a través de Agregar/Quitar programas con Service Pack 1. 4.Crear un nuevo perfil CM de cuarentena con Windows Server 2003 CMAK. 5.Distribuir el perfil CM para instalación en los PCs cliente de acceso remoto. 6.Configurar la política de acceso remoto de cuarentena.

41 Configurar la cuarentena de VPN Configurar el servidor de acceso remoto Crear el perfil CMAK Probar la conexión Demo

42 Agenda Acceso a Internet de sucursal Asegurar comunicaciones de servidor Asegurar acceso remoto VPN de oficina a oficina Configuración de IAS

43 VPN de oficina a oficina Problema de negocios Desea conectar la sucursal a través de una VPN de sitio a sitio y necesita asegurar alta seguridad.

44 VPN de oficina a oficina Solución: L2TP VPN VPN de enrutador a enrutador Una solución rentable cuando se compara con las líneas arrendadas L2TP (Protocolo de túnel de nivel 2) Utiliza la encriptación IPSec (DES o 3DES) y los certificados de PC para autenticación basada en PC

45 VPN de oficina a oficina Windows Server 2003 L2TP Windows Server 2003 soporta IPSec NAT-T, lo que significa que puede tener sus servidores VPN detrás del firewall que proporciona NAT VPN de Windows Server 2003 Internet Firewall Windows Server 2003 también soporta el uso de claves precompartidas para autenticación (no se recomienda para uso de producción)

46 VPN de oficina a oficina Proceso de conexión L2TP 1. Negociación IKE y negociación IPSec SA VPN de Windows Server 2003 Internet

47 VPN de oficina a oficina Proceso de conexión L2TP 1. Negociación IKE y negociación IPSec SA2. Se establece el túnel L2TP VPN de Windows Server 2003 Internet

48 VPN de oficina a oficina Proceso de conexión L2TP 1. Negociación IKE y negociación IPSec SA2. Se establece el túnel L2TP3. La autenticación PPP pasa a través del túnel VPN de Windows Server 2003 Internet

49 VPN de oficina a oficina Configuración L2TP VPN Instale los certificados de PC en cada servidor VPN. Configure las interfaces de marcación a solicitud. Configure la cuenta de marcación a utilizar. Configure los filtros de paquete en el servidor VPN o en el firewall, dependiendo de su ambiente.

50 VPN de oficina a oficina utilizando L2TP Configurar el enrutador corporativo Configurar el enrutador de la sucursal Probar la conexión Demo

51 Agenda Acceso a Internet de sucursal Asegurar comunicaciones de servidor Asegurar acceso remoto VPN de oficina a oficina Configuración de IAS

52 Configuración de IAS Problema de negocios Desea configurar un servidor de acceso remoto en la nueva sucursal que se localiza en la DMZ y que no es miembro del dominio. La autenticación debe ser desde Active Directory.

53 Configuración de IAS Solución = IAS Un servidor IAS (Servicio de autenticación de Internet) es la implementación de RADIUS (Servicio de usuario de acceso telefónico de autenticación remota) de Microsoft Permite que las organizaciones centralicen su autenticación, auditoría, autorización y contabilidad de acceso remoto

54 Configuración de IAS ¿Qué es IAS? IAS, un componente de Windows Server 2003, es un servidor RADIUS que cumple con el estándar de la industria. IAS lleva a cabo autenticación, autorización, auditoría y contabilidad centralizada para las conexiones de VPN, acceso telefónico y conexiones inalámbricas. Puede configurar IAS para que soporte: Acceso corporativo de marcación Acceso a extranet para los socios de negocios Acceso a Internet Acceso corporativo externo mediante proveedores de servicios Acceso corporativo de marcación Acceso a extranet para los socios de negocios Acceso a Internet Acceso corporativo externo mediante proveedores de servicios Servidor RADIUS

55 Configuración de IAS Cómo funciona IAS Servidor RADIUS Cliente RADIUS Cliente Marca al cliente RADIUS local para obtener conectividad a la red 1 1 Controlador de dominio Servidor de acceso remoto

56 Configuración de IAS Cómo funciona IAS Servidor RADIUS Cliente RADIUS Cliente Marca al cliente RADIUS local para obtener conectividad a la red 1 1 Envía las solicitudes a un servidor RADIUS 2 2 Controlador de dominio Servidor de acceso remoto

57 Configuración de IAS Cómo funciona IAS Servidor RADIUS Cliente RADIUS Cliente Marca al cliente RADIUS local para obtener conectividad a la red 1 1 Envía las solicitudes a un servidor RADIUS 2 2 Autentica las solicitudes y almacena la información de contabilidad 3 3 Controlador de dominio Servidor de acceso remoto

58 Configuración de IAS Cómo funciona IAS Servidor RADIUS Cliente RADIUS Client e Marca al cliente RADIUS local para obtener conectividad a la red 1 1 Envía las solicitudes a un servidor RADIUS 2 2 Autentica las solicitudes y almacenan la información de contabilidad 3 3 Controlador de dominio Se comunica con el cliente RADIUS para otorgar o negar el acceso 4 4 Servidor de acceso remoto Access Server

59 Configurar IAS Instalar y configurar IAS Configurar un cliente RADIUS Probar y verificar la configuración Demo

60 Resumen de la sesión Windows Server 2003 RRAS es una solución capaz para muchos problemas de red. La cuarentena de acceso a la red es un excelente herramienta para ayudar a proteger su red contra amenazas no deseadas. Los certificados se pueden utilizar como políticas IPSec personalizadas, al igual que las conexiones L2TP de VPN, para mejorar en gran medida la seguridad.

61 Para mayores informes Visite TechNet en Visite el siguiente sitio Web para obtener información adicional, incluyendo: –Libros y cursos –Recursos de la comunidad –Versiones de medios agilizados y descargables para esta sesión

62 Microsoft Press Información interna para profesionales de informática Para encontrar los títulos más recientes, visite

63 Estos libros se pueden encontrar y adquirir en todas las librerías de prestigio y con los proveedores en línea. Publicaciones de terceros Complementarias para profesionales de informática

64 Microsoft Learning Recursos de capacitación para profesionales de informática CursoTítuloDisponible MS-2277Implementar, administrar y mantener Infraestructura de red Microsoft Windows Server 2003: Servicios de red ¡Ahora! MS-2278Planear y mantener una Infraestructura de red Microsoft Windows Server 2003 ¡Ahora! Para ver el programa detallado o para encontrar un proveedor de capacitación, visite:

65 Evaluar su Preparación Evaluación de habilidades de Microsoft ¿Qué es la evaluación de habilidades de Microsoft? Una herramienta de aprendizaje de auto estudio para evaluar la preparación respecto a las soluciones de productos y tecnología, en lugar de roles de trabajo (certificación) Windows Server 2003, Exchange Server 2003, Windows Storage Server 2003, Visual Studio®.NET, Office 2003 Sin costo, en línea, sin supervisión y disponibles para cualquiera Responde a la pregunta: ¿Estoy listo? Determina las diferencias en habilidades y proporciona planes de estudio con cursos de Microsoft Official Curriculum Coloque su Calificación más alta para ver cómo se compara con los demás Visite

66 Conviértase en un Microsoft Certified Systems Administrator (MCSA) ¿Qué es la certificación MCSA? –Para los Profesionales de informática que manejan y mantienen redes y sistemas basados en Microsoft Windows Server ¿Cómo me convierto en un MCSA de Microsoft Windows Server 2003? –Apruebe 3 exámenes básicos –Apruebe un examen opcional o dos certificaciones CompTIA ¿Dónde obtengo mayores informes?

67 Conviértase en un Microsoft Certified Systems Engineer (MCSE) ¿Qué es la certificación MCSE? –Certificación Premier para los Profesionales de informática que analizan los requisitos, diseñan, planean e implementan la infraestructura para las soluciones empresariales con base en Microsoft Windows Server System ¿Cómo me convierto en un MCSE en Microsoft Windows 2003? –Apruebe 6 exámenes básicos –Apruebe 1 examen opcional de una amplia lista ¿Dónde obtengo mayores informes?

68 Suscripciones a TechNet ¿Ya se enteró de lo más reciente? ¡Software sin límites de tiempo! El software para evaluación de la versión completa proporciona una mayor flexibilidad a los suscriptores a TechNet Plus. Soporte técnico complementario. Los dos incidentes gratuitos de soporte técnico que se incluyen con todas las suscripciones a TechNet Plus le ahorran tiempo al resolver problemas de misión crítica. Tenga a la mano los recursos más actuales para evaluar, implementar y brindar soporte a las soluciones de Microsoft, que se ofrecen mensualmente en CD o en DVD, sin depender de una conectividad a Internet ni de los firewalls.

69 ¿En dónde puedo obtener ayuda? Chats y difusiones por el Web gratuitos Lista de grupos de noticias Sitios de la comunidad de Microsoft Eventos de la comunidad Columna de la comunidad


Descargar ppt "Infraestructura de red de Windows Server 2003. Lo que cubriremos: NAT (Conversión de direcciones de red), ICS (Compartir conexión a Internet) Firewall."

Presentaciones similares


Anuncios Google