다음을 통해 공유

Nuevas características de VPN en Windows 10 y Windows Server 2016

  • 아티클

Créditos:  James McIllece

Las funciones avanzadas de red privada virtual (VPN) y la funcionalidad mejorada para VPN en Windows 10 y acceso remoto en Windows Server 2016 se describen en las siguientes secciones.

Integración Avanzada de Plataforma

Las siguientes son las características de integración de plataforma avanzada para Windows 10 VPN.

Integración de Windows Information Protection (WIP)

La integración con Windows Information Protection (anteriormente conocida como Enterprise Data Protection) permite que la aplicación de políticas de red determine si el tráfico puede pasar por la VPN. Si el perfil está activo, también activa automáticamente la VPN para conectarse. Además, al usar WIP no es necesario especificar las reglas AppTriggerList y TrafficFilterList por separado en el perfil de VPN (a menos que se necesite una configuración más avanzada) porque las políticas de WIP y las listas de aplicaciones entran en vigencia automáticamente.

Integración de WIndows Hello para Empresas

Windows 10 VPN admite de forma nativa el uso de Windows Hello para empresas (en modo de autenticación basada en certificado) para proporcionar una experiencia de inicio de sesión única sin interrupciones tanto para el inicio de sesión en la máquina como para la conexión simultánea a la VPN.

Integración de Acceso Condicional a Azure

El cliente VPN de Windows 10 puede integrarse con la Plataforma de acceso condicional de Azure para imponer la autenticación de múltiples factores, exigir el cumplimiento del dispositivo o una combinación de ambos. Cuando cumple con las políticas de acceso condicional, Azure AD emitirá un certificado de autenticación IPsec efímero (60 minutos por defecto) que luego se puede usar para autenticarse en la puerta de enlace VPN. El cumplimiento del dispositivo aprovecha Microsoft Configuration Manager / Intune Compliance Policies, que incluye la capacidad de incluir el estado de certificación de estado del dispositivo como parte de la verificación de cumplimiento de la conexión.

Integración de Autenticación Multi-Factor (MFA) de Azure

Cuando se combina con los servicios RADIUS y la extensión del Servidor de políticas de red (NPS) para Azure MFA, la autenticación VPN puede utilizar una sólida autenticación de múltiples factores.

Integración de plug-in de terceros para VPN

Al utilizar la plataforma UWP, los proveedores de VPN externos pueden crear complementos en contenedor de aplicaciones utilizando las API de WinRT, lo que elimina la complejidad y los problemas a menudo asociados con la escritura de controladores de kernel. En el momento de redactar este informe, están disponibles los siguientes complementos de Windows 10 UWP VPN: Pulse Secure, F5 Access, Check Point Capsule VPN, FortiClient y SonicWall Mobile Connect.

Seguridad Avanzada

Las siguientes son las características de seguridad avanzada para Windows 10 VPN.

Filtros de tráfico

Los filtros de tráfico brindan la capacidad de decidir qué tráfico se permite en la red corporativa en función de la política; proporcionando efectivamente la capacidad de agregar reglas de firewall específicas de interfaz en la interfaz VPN. Con las reglas de firewall basadas en la aplicación, se puede marcar una lista de aplicaciones para que solo el tráfico que se origina en estas aplicaciones pueda pasar por la interfaz VPN. Las reglas de firewall basadas en tráfico son políticas de 5 tuplas (puertos, direcciones, protocolo) que se pueden especificar de modo que solo el tráfico que coincida con estas reglas pueda pasar por la interfaz VPN.

Lockdown VPN

Un perfil VPN configurado con LockDown VPN protege el dispositivo para que solo permita el tráfico de red a través de la interfaz VPN y brinda una opción de configuración adecuada para organizaciones con alta conciencia de la seguridad.

VPN por Aplicación

Por aplicación VPN es esencialmente un filtro de tráfico especial que combina los desencadenadores de aplicaciones con un filtro de tráfico específico de la aplicación para que la conectividad VPN esté restringida a una aplicación específica, a diferencia de todas las aplicaciones en el cliente VPN.

Soporte para Criptografía de Algoritmos para IPsec personalizados

La plataforma VPN de Windows 10 admite el uso de algoritmos criptográficos personalizados basados ​​en RSA y ECC para cumplir con estrictas políticas gubernamentales o de seguridad organizacional similares.

Compatibilidad con el Protocolo de autenticación extensible nativo (EAP)

La plataforma VPN de Windows 10 es compatible nativamente con el Protocolo de autenticación extensible (EAP) que permite utilizar un conjunto diverso de tipos de EAP de Microsoft y de terceros como parte del flujo de trabajo de autenticación. EAP proporciona autenticación segura utilizando tanto nombre de usuario y contraseña, como métodos basados ​​en certificados, entre otros tipos.

Soporte para autenticación y autorización flexible y robusta

La plataforma Windows 10 VPN admite nativamente las siguientes opciones de autenticación / autorización.

  • Nombre de usuario y contraseña
  • Tarjeta inteligente (tanto física como virtual)
  • Certificado de usuario o máquinas
  • Certificado de Windows Hello for Business
  • Admisión de contraseña única o autenticación de múltiples factores por medio de la integración EAP RADIUS.
  • Los métodos de autenticación de plug-in de UWP VPN de terceros son controlados por el proveedor de la aplicación, aunque estos incluyen una amplia gama de opciones disponibles, incluidos tipos de credenciales personalizados y soporte de contraseña de un solo uso (OTP).

Conectividad VPN avanzada

Las siguientes son las características de Conectividad VPN avanzada para Windows 10 VPN.

Always On

Always On habilita que el perfil VPN activo se conecte automáticamente y permanezca permanentemente conectado en función de los siguientes factores desencadenantes: inicio de sesión de usuario, cambio de estado de la red o pantalla del dispositivo activa.

Always On también se integra con la experiencia Connected Standby para maximizar la duración de la batería.

Se recomienda que use Always On VPN en lugar de DirectAccess.

Para obtener información sobre la implementación de Always On VPN, consulte la Guía de implementación de VPN de acceso remoto siempre para Windows Server 2016 y Windows 10.

Lanzamiento de Aplicaciones

Los perfiles de VPN en Windows 10 se pueden configurar para conectarse automáticamente en el lanzamiento de un conjunto específico de aplicaciones. Tanto las aplicaciones de escritorio como las de la plataforma universal de Windows (UWP) se pueden configurar para activar una conexión VPN.

Lanzamiento basado en nombres

Windows 10 VPN permite definir reglas para que las consultas de nombres de dominio específicos activen la conexión VPN. Windows 10 ahora es compatible con el desencadenamiento basado en nombres para máquinas unidas por dominio (anteriormente solo se admitían máquinas sin dominio).

Detección de red de confianza

Windows 10 VPN incluye esta característica para garantizar que la conectividad VPN no se active si un usuario está conectado a una red confiable dentro de los límites corporativos. Esta función se puede combinar con cualquiera de los métodos de activación anteriores para proporcionar una experiencia de usuario perfecta y única de "conectar cuando sea necesario".

Redes Avanzadas

Las siguientes son las funciones de redes avanzadas para Windows 10 VPN.

Soporte Dual Stack para protocolos IPv4 e IPv6 Stack Support for Both IPv4 and IPv6 Protocols

Windows 10 VPN admite nativamente el uso de protocolos IPv4 e IPv6 en un enfoque de "doble pila" y no tiene una dependencia específica en un protocolo sobre el otro. Esto permite la máxima compatibilidad de aplicaciones IPv4 / IPv6 combinada con soporte para futuras necesidades de redes IPv6. A diferencia de DirectAccess, no hay una dependencia específica en IPv6.

Politicas de enrutamiento específicas por aplicación

Además de definir las políticas globales de enrutamiento de conexión VPN para la separación de tráfico de Internet e intranet, también es posible agregar políticas de enrutamiento para controlar el uso del túnel dividido o el uso forzado del túnel por aplicación.

Rutas de Exclusión

La plataforma VPN de Windows 10 admite la capacidad de especificar rutas de exclusión que controlan específicamente el comportamiento de enrutamiento para definir qué tráfico solo debe atravesar la VPN y no pasar por la interfaz de red física.

Interoperabilidad Avanzada

Las siguientes son las características de Interoperabilidad avanzada para Windows 10 VPN.

Interoperabilidad con VPN Gateway de terceros

El cliente Windows 10 VPN no requiere el uso de una puerta de enlace VPN basada en Microsoft para funcionar, y mediante el soporte del protocolo IKEv2, permite la interoperabilidad con pasarelas VPN de terceros que admiten este tipo de túnel estándar de la industria.

También se proporciona compatibilidad hacia atrás para los protocolos SSTP, L2TP / IPsec y PPTP.

La interoperabilidad con gateways VPN de terceros también se puede lograr mediante el uso de un complemento UWP VPN combinado con un tipo de túnel personalizado, sin sacrificar las características y los beneficios de la plataforma Windows 10 VPN.

Soporte para protocolo VPN IKEv2 estándar de la industria

El cliente Windows 10 VPN admite el uso de IKEv2, que probablemente sea el protocolo de túnel más estándar de la industria utilizado por muchos proveedores de VPN. Esto garantiza la máxima interoperabilidad con las puertas de enlace VPN de terceros y al mismo tiempo mantiene todas las características de la plataforma VPN de Windows 10.

Soporte de Plataforma

Windows 10 VPN admite clientes VPN unidos a un dominio y no unidos a un dominio (grupo de trabajo o Azure AD) para permitir escenarios Enterprise y BYOD por igual.

Windows 10 VPN también está disponible en todos los SKU de Windows y las características de la plataforma también están disponibles para terceros a través del soporte de plug-in UWP VPN.

Administración Avanzada

Las siguientes son las funciones de capacidad de administración avanzada para Windows 10 VPN.

Diversidad de Mecanismos para Administración y Provisionamiento

La administración de la configuración VPN (llamada perfil VPN) se puede lograr utilizando una lista diversa de mecanismos de administración e implementación. Estos incluyen Windows PowerShell, System Center Configuration Manager, Microsoft Intune (o proveedor de terceros de MDM) y la herramienta de diseño de configuración de Windows.

Definición Estandarizada para perfiles VPN

Windows 10 VPN admite la recopilación de todas las configuraciones de VPN en un solo formato XML estandarizado que los diferentes conjuntos de herramientas de administración y despliegue pueden usar para definir el perfil de VPN como blob XML único y homogéneo.

Artículo original: https://social.technet.microsoft.com/wiki/contents/articles/38546.new-features-for-vpn-in-windows-10-and-windows-server-2016/edit.aspx