Selección y configuración de redes VPN
Al planear VPN, Contoso debe tener en cuenta varios factores, incluido el protocolo de tunelización y el método de autenticación adecuados. También deben tener en cuenta cómo configurar mejor sus servidores VPN para admitir las necesidades de acceso remoto de sus usuarios.
Selección de un protocolo de tunelización
Contoso podría optar por implementar VPN mediante uno de varios protocolos de tunelización y métodos de autenticación. Las conexiones VPN pueden usar uno de los siguientes protocolos de tunelización:
- Protocolo de tunelización de punto a punto (PPTP)
- Protocolo de tunelización de capa 2 con seguridad de protocolo de Internet (L2TP/IPsec)
- Protocolo de tunelización de sockets seguros (SSTP)
- Intercambio de claves de Internet versión 2 (IKEv2)
Todos los protocolos de tunelización vpn comparten tres características:
- Encapsulación. La tecnología VPN encapsula los datos privados con un encabezado que contiene información de enrutamiento, lo que permite que los datos atraviesan la red de tránsito.
- Autenticación. Hay tres tipos de autenticación para las conexiones VPN, entre los que se incluyen:
- Autenticación de nivel de usuario mediante la autenticación de Protocolo de punto a punto (PPP).
- Autenticación de nivel de equipo mediante Intercambio de claves de Internet (IKE).
- Autenticación de origen de datos e integridad de datos.
- Cifrado de datos. Para garantizar la confidencialidad de los datos a medida que atraviesa la red de transporte público o compartida, el remitente cifra los datos y el receptor lo descifra.
En la tabla siguiente se describen los protocolos de tunelización admitidos.
| Protocolo | Descripción |
|---|---|
| PPTP | Puede usar PPTP para el acceso remoto y las conexiones VPN de sitio a sitio (red privada virtual). Cuando se usa Internet como red pública vpn, el servidor PPTP es un servidor VPN habilitado para PPTP que tiene una interfaz en Internet y otra en la intranet. |
| L2TP/IPsec | L2TP permite cifrar el tráfico multiprotocolo que se envía a través de cualquier medio que admita la entrega de datagramas de punto a punto, como el modo de transferencia ip o asincrónica (ATM). L2TP es una combinación de PPTP y reenvío de capa 2 (L2F). L2TP representa las mejores características de PPTP y L2F. |
| SSTP | SSTP es un protocolo de tunelización que usa el protocolo HTTPS a través del puerto TCP 443 para pasar el tráfico a través de firewalls y servidores proxy web, que de lo contrario podrían bloquear el tráfico PPTP y L2TP/IPsec. SSTP proporciona un mecanismo para encapsular el tráfico PPP a través del canal SSL del protocolo HTTPS. El uso de PPP permite admitir métodos de autenticación seguros, como EAP-TLS. SSL proporciona seguridad de nivel de transporte con la negociación de claves mejorada, el cifrado y la comprobación de integridad. |
| IKEv2 | IKEv2 usa el protocolo modo de túnel IPsec a través del puerto UDP 500. IKEv2 admite movilidad, lo que lo convierte en una buena opción de protocolo para los trabajadores móviles. Las VPN basadas en IKEv2 permiten a los usuarios moverse fácilmente entre puntos de acceso inalámbricos o entre conexiones inalámbricas y cableadas. |
Precaución
No debe usar PPTP debido a vulnerabilidades de seguridad. En su lugar, use IKEv2 siempre que sea posible porque es más seguro y ofrece ventajas sobre L2TP.
Selección de una opción de autenticación
La autenticación de los clientes de acceso es un problema de seguridad importante. Los métodos de autenticación suelen usar un protocolo de autenticación que se negocia durante el proceso de establecimiento de la conexión. El rol de servidor de acceso remoto admite los métodos que se describen en la tabla siguiente.
| Método | Descripción |
|---|---|
| PAP | El Protocolo de autenticación de contraseñas (PAP) usa contraseñas de texto no cifrado y es el protocolo de autenticación menos seguro. Normalmente se negocia si el cliente de acceso remoto y el servidor de acceso remoto no pueden negociar una forma más segura de validación. Windows Server incluye PAP para admitir sistemas operativos cliente más antiguos que no admiten ningún otro método de autenticación. |
| CHAP | El Protocolo de autenticación por desafío mutuo (CHAP) es un protocolo de autenticación de desafío-respuesta que usa el esquema de hash MD5 estándar del sector para cifrar la respuesta. Varios proveedores de servidores y clientes de acceso a la red usan CHAP. Sin embargo, dado que CHAP requiere que use una contraseña cifrada de forma reversible, debe considerar el uso de otro protocolo de autenticación, como MS-CHAPv2. |
| MS-CHAPv2 | Microsoft Challenge Handshake Authentication Protocol versión 2 (MS-CHAPv2) es una contraseña unidireccional, cifrada, protocolo de autenticación mutua y proporciona mejoras sobre CHAP. |
| EAP | Si usa el Protocolo de autenticación extensible (EAP), un mecanismo de autenticación arbitrario autentica una conexión de acceso remoto. El cliente de acceso remoto y el autenticador, que es el servidor de acceso remoto o el servidor de servicio de acceso telefónico local de autenticación remota (RADIUS), negocian el esquema de autenticación exacto que usarán. Enrutamiento y acceso remoto incluye compatibilidad predeterminada con el Protocolo de autenticación extensible-Seguridad de la capa de transporte (EAP-TLS). Puede conectar otros módulos de EAP al servidor que ejecuta enrutamiento y acceso remoto para proporcionar otros métodos de EAP. |
Consideraciones adicionales
Además del protocolo de tunelización y el método de autenticación, antes de implementar la solución VPN de la organización, debe tener en cuenta lo siguiente:
- Asegúrese de que el servidor VPN tiene dos interfaces de red. Debe determinar qué interfaz de red se conectará a Internet y qué se conectará a la red privada. Durante la configuración, debe elegir qué interfaz de red se conecta a Internet. Si especifica la interfaz de red incorrecta, el servidor VPN de acceso remoto no funcionará correctamente.
- Determine si los clientes remotos reciben direcciones IP de un servidor DHCP en la red privada o desde el servidor VPN de acceso remoto que está configurando. Si tiene un servidor DHCP en la red privada, el servidor VPN de acceso remoto puede conceder 10 direcciones a la vez desde el servidor DHCP y, a continuación, asignar esas direcciones a clientes remotos. Si no tiene un servidor DHCP en la red privada, el servidor VPN de acceso remoto puede generar y asignar automáticamente direcciones IP a clientes remotos. Si desea que el servidor VPN de acceso remoto asigne direcciones IP desde un intervalo que especifique, debe determinar cuál debe ser ese intervalo.
- Determine si desea un servidor de Servicio de acceso telefónico local (RADIUS) de autenticación remota o un servidor VPN de acceso remoto que configure para autenticar las solicitudes de conexión de los clientes VPN. Agregar un servidor RADIUS es útil si planea instalar varios servidores VPN de acceso remoto, puntos de acceso inalámbrico u otros clientes RADIUS a la red privada.