Escolar Documentos
Profissional Documentos
Cultura Documentos
----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
Remote Access:
Las tecnologias de acceso remoto en microsoft windows Server 2012 R2 son:
-
VPN
Direct Access
L2TP
PPTP
IPSec
SSTP
GRE
..
Cualquiera de ellas permite el acceso remoto. Tanto de usuarios como las conexin entre diferentes redes LAN.
Si las usamos para acceso remoto de usuarios, SIEMPRE requieren la interaccion del usuario. El usuario tiene que
ejecutar el cliente VPN y usar sus credenciales (aunque podrian almacenarse en cache).
Direct Access:
Es una tecnologia de VPN de microsoft que no requiere de interaccion por parte del usuario.
Direct Access usa un sistema de localizacion de forma que sabe si el usuario esta en la LAN o conectandose desde
internet. Si esta fuera, habilita la VPN sin interaccion del usuario. Reconecta a la VPN si pierde la conexin y permite
mantener el acceso a internet mientras la VPN esta abierta.
Direct access permite que las actualizaciones de seguridad, las politicas de seguridad y las GPOs se apliquen a los
equipos moviles sin depender de que un usuario abra la conexin con la LAN. La conexin con la LAN sera permanente
siempre que este fuera y tenga conexin a internet.
Routing:
Incluye capacidades de:
-
Enrutamiento estatico
NAT
VPN
VPN
Direct Access
WAP
Powershell
o
Y la consola es asi
PKI:
Public Key Infraestructure.
Podemos tener:
-
CA (Subordinada)
CA (Subordinada)
Cert equipos
Si solo tenemos una CA, ella se ecarga de entregar y gestionar todos los certificados. Tambien gestiona la CRL (Certificate
Revocation List).
Si tenemos multiples CAs, la raiz entrega certificados de CA a las Subordinadas y estas entregan certificados de equipos,
usuario, salud, etc a los clientes. Los clientes solo necesitan tener como CA confiable a la raiz
Direct Access:
Es una tecnologia de acceso remoto que permite una conexin permanente con la red LAN sin la intervencion del
usuario y de forma transparente para el.
Mantiene el acceso a internet ademas de contar con acceso a la LAN a traver de una VPN. Direcc Access habilita
enrutamiento para que mantenga el acceso a internet.
Aparecio en Windows Server 2008 R2, aunque era mucho mas complicada de configurar entre otros, los requisitos eran:
-
Implantacion de IPv6. La conexion de Direct Access se hace usando Ipv6 y protegida con IPSec.
No es necesario contar con una PKI si no tenemos clientes Windows 7. Si los clientes son Windows 8 o 8.1,
usa certificados autofirmados.
Sistemas operativos:
-
Para servidores: Sistemas operativos Windows Server 2012 o Windows Server 2012 R2. Tambien Windows
Server 2008 R2, pero con los requisitos ya nombrados.
Servidor Direct Access: Una maquina windows Server 2012 que este unida al dominio. Proporciona
autenticacion a los clientes Direct Access. En nuestro Laboratorio sera LON-RTR. LON-RTR estara conectado
directamente a internet y esta implementacion se llama Edge. Tambien permite implementaciones en las
que el Direct Access esta detrs de un cortafuegos.
Clientes Direct Access: Pueden ser clientes internos y externos. Cuando son externos, se abre la VPN IPSec.
Cuando son internos, no se abre la VPN y el acceso a los recursos es directo. La apertura de la VPN sera
automatica Sin que intervenga el usuario. Para esto Se necesita un metodo de localizacion para saber si el
cliente esta dentro o fuera. Se denomina Network Location Server (NLS)
Network Location Server: Es un servidor web al que los clientes se conectan via HTTPS. Los clientes reciben
el certificado SSL del servidor y eso les permite saber si estan fuera o dentro de la red. NLS solo es accesible
desde la LAN. Si el cliente no recibe certificado, sabe que esta fuera de la red. En nuestro laboratorio
tambien sera el LON-RTR.
PKI: Es opcional, a nos ser que queramos usar clientes windows 7 o no tengamos necesidades especificas de
configuracion, como la prohibicion de usar certificados autofirmados.
DNS: Permite la localizacion de recusos, entre ellos el NLS. Este DNS estara accesible solo para equipos en la
LAN. Los clientes Direct Access no lo verian cuando estan fuera de la red. Para resolver este problema, se
utiliza NRPT (Network Resolution Policy Table).
NAP: es un componente opcional. En este caso tendriamos que llevar a cabo la configuracion avanzada de
Direct Access, no esta disponible la integracion con NAP en el asistente
Nuestro LAB:
Opciones de Implementacion:
Direct Access permite diferentes entornos de Implementacion:
-
Multiples Extremos (Endpoints): Podemos tener multiples DA Servers en la empresa, Por ejemplo, uno en
cada sucursal. Direct Access redirigira al cliente al servidor mas cercano. Direct Access se suele combinar con
DFS (Distributed File System)
Multiples dominios bosques: Es posible implementar Direct Access en entornos de multiples dominios y
bosques.
Despliegues detrs de NAT: podemos evitar el uso de direcciones IP publiscas si el DA server esta detrs de
un NAT.
Soporte OTP y Smartcards: OTP (One Time Password). Tambien soporta autenticacion de doble factor.
ISATAP: Se utiliza cuando los clientes tienen direcciones direcciones IP privadas y el servidor una IP publica.
ISATAP no soporta NAT
6to4: Se utiliza cuando tanto los clientes como el servidor tienen IP publicas
IP-HTTPS: Se utiliza cunado los 3 metedos anteriores fallan, por jemplo, por restricciones de cortafuegos.
Todo el trafico ira por HTTPS
Debe estar funcionando y accesible los DCs de todos los dominios que tenemos configurados (VMnet2).
o
LON-CL3 unido al dominio y en Vmnet2 con la IP 192.168.10.151/24. Es necesario para que reciba la GPO de
los DA Clientes.
Por defecto, La GPO de DA Clients se asigna a todos los equipos del dominio. Lo cambiaremos y solo
aplicaremos esta GPO a un grupo de equipos que llamaremos DA_Clients. El unico miembro de este grupo
sera LON-CL3.
La interfaz externa (VMnet3) de LON-RTR (DA Server) debe tener una direccion IP Publica (80.168.20.1/24)
Creamos esta estructura para mas adelante filtrar por grupo. No es necesario imitar esta organizacin es para tenerlo
todo un poco ordenado
Ahora vamos a configurar las opciones que vienen por defecto pulsando en Here
Aqu ahora no modificamos nada pero vemos la opcion de poner un correo de soporte en el examen pueden preguntarlo
Ahora ya finalizamos
Ahora comprobamos que se le esta aplicando la nueva GPO al LON-RTR con gpresult /r y reiniciamos ya que las politicas
de equipo solo se aplican al reiniciar.
Ahora ya nos sale todo OK
Ahora vamos a comprobar que esta funcionando direct access desde el cliente en la red local (LON-CL3 en vmnet2)
Netsh dns show state
Get-DAConnectionStatus
Y comprobamos si funciona
Como se ve en la imagen automaticamente ya nos indica que estamos fuera de la red corporativa y que el Direct Access
esta configurado y habilitado.
Tambien podemos ver la configuracion ip del tunel
Crea dos tuneles uno para autenticacion de usuario y otra para trafico
Ahora tendriamos que configurar la parte avanzada para que funcione todo correctamente.
LON-SRV2: Es un DC en contoso.com, aunque podria apagarse. (es para que no salga fallo en la consola de
Remote Access)
LON-CL3: Cliente Direct Access con windows 8.1 Enterprise (en profesional no funciona)
Parte de la configuracion de este asistente rapido es la creacion de GPOs en el dominio, tanto para servidores como para
clientes DirectAccess
DirectAccess tambien usa el LON-RTR como servidor intermedio para DNS con IPv6 se puede ver en la GPO para servidor
de DirectAccess
Modos IPsec
ESP: Encapsulation Security Payload. (Cifrado)
AH: Authenticacion Header (Sin cifrar)
NLS: Network Location Server. Servidor que, si es accesible por el cliente, indica que este cliente esta en la intranet. Si no
es accesible para el cliente, indica que este cliente esta fuera de la intranet y debe abrir el tuner DirectAccess. Es un
servidor HTTPS con un certificado autofirmado (en el caso del Getting Started Wizard). El cliente descarga el certificado y
comprueba su valided. Si no puede descargarlo, es que se encuentra fuera de la intranet.
Deberia usar el DirectAccess-IPHTTPS pero como ya teniamos montada la PKI esta usando el certificado de
LON.RTR.adatum.com a veces el asistente se lia
Certificados autofirmados no permite que se utilicen en varios sitios a la vez. La GPO solo indica un servidor
en el que confiar.el ultimo sitio que creara la GPO seria en el que confiaran los equipos ya que se machaca
cada vez que se crea.
Obligaria a que el CRL (Certificate Revocation List) este accesible desde el exterior
Si tenemos clientes con Windows 7 tampoco se puede usar por que no soportan certificados autofirmados.
No te deja elegir donde esta el servidor IIS para NLS (Network Location Server) para los certificados lo que
implica que todo el mundo deberia tener acceso a el, por obligacion el NLS estara en el Servidor
DirectAccess
Para Saltarnos las limitaciones del Getting Started Wizard (No permite multiples sitios ni tampoco windows 7, Tampoco
permite elegir donde instalar el NSL), tenemos qie recurrir a la configuracion avanzada de Direct Access.
La configuracion Avanzada de Direct Access tambien hace uso de un asistente: Remote Access Setup.
Podemos usar una PKI que tengamos en la empresa, lo que permite alta disponibilidad y escalabilidad
Podemos elegir donde colocar el NLS y tambien si queremos tener varios para redundancia y alta
disponibilidad.
Podemos usar certificados firmados por una CA confiable para aplicarlos en equipos con windows 7.
Primer paso
Paso 2
No tiene conexin directa con internet. Es intermediario para acceder a la red local
Esta solamente conectado a la red local y atiende peticiones de DA a traves del firewall de la red
Paso 3
Aqu podriamos elegir quien administra directaccess puede ser un DC o System Center
Debe ser accesible para todos los clientes Direct Access internos.
Todos los clientes internos deben confiar en la CA que ha emitido el certificado para HTTPS
Usar NBL (Network Load Balancing). Varios servidores web que atienden todos a la misma URL.
Aplicar actualizaciones
Aplicar GPOs
Despliegue de aplicaciones
Comprobar que el servidor y los clientes han recibido y estan aplicando las GPOs que les correspondan
(Gpresult /r)
Comprobar que la maquina cliente determina Correctamente si esta fuera o dentro de la red (netsh dns
show state)
Comprobar que los clientes pueden comunicarse con los servidores DNS internos.
CMAK: Es una herramienta que permite crear archivos ejecutables (que luego podemos desplegar mediante GPOs) para
configurar conexiones (VPN, Escritorio remoto,) en los equipos cliente.
Tipos de VPN:
-
Acceso remoto: un usuario movil necesita acceder a los recursos de una red local estando en el exterior. El
acceso debe ser seguro. Es el cliente el que abre la VPN
Sitio a sitio: queremos unir dos (o mas) redes locales de forma segura usando infraestructura publica. La
VPN esta permanentemente abierta.
Protocolos de tunnelling:
-
PPTP: Point to Point Tunnelling Protocol. Puede usarse para cualquier tipo de VPN. Es el menos seguro.
Soportado por practicamente cualquier dispositivo. No aporta integridad de los datos. El protocolo de
tranporte es TCP y el puerto usado es el 1723.
L2TP (Layer 2 tunnelling Protocol): es un protocolo que permite encapsular cualquier protocolo de capas
superiores para que viaje por un enlace punto a punto (Frame Relay, ATM). La seguridad se obtiene cuando
se asocia con IPSec en Modo transporte (L2TP/IPSec). Soportado por los sistemas operativos windows desde
XP y Windows Server 2003. La pega son la cantidad de puertos que necesita UDP 500 UDP 1701 UDP 4500 y
IPPID 50
SSTP (Secure socket Tunnellin Protocol). Usa el puerto 443 (HTTP/SSL) para encapsular todo el trafico
IKE v2 (Internet Key Exchange). Indicado sobre todo cuando los clientes necesitan movilidad. Soportado a
partir de windows 7 y windows 2008
Protocolos de autenticacion:
-
CHAP (Challenge Authentication Protocol): Para evitar enviar en la red la contrasea, usa un mecanismo de
desafio. El principal es que requiere almacenar la password en modo reversible.
MS-CHAPv2: mejora de CHAP en la que la contrasea ya no se tiene que almacenar en modo reversible
EAP (Extensible Authentication Protocol): Marco de autenticacion que soporta sistemas de autenticacion
biometricos, dos factores, tarjetas inteligentes, certificados, .
VPN reconnect:
Es una caracteristica disponible desde windows Server 2008 R2 y Windows 7.
Si la conexin VPN se cierra por un problema de conectividad, se abre automaticamente cuando se recupera la
conectividad.
Un ejemplo es un usuario movil en una red corporativa wifi formada por multiples Aps. Al pasar de un AP a otro
(Roaming), el usuario perderia la conectividad momentaneamente y tendria que volver a abrir manualmente la VPN.
VPN reconnect se encarga de volver a abrir sin interaccion por parte del usuario.
Requiere el uso de IKE v2 y certificados, para lo que sera necesario contar con una PKI.
Ejercicio: Configurar una VPN usando el getting started wizard de remote access management. Configurar una VPN SSTP
Instalamos CMAK en el cliente para crear el .exe de configuracion de la VPN para ejecutarlo por politicas en todos los
equipos
Si lo instalamos se ve asi
Y ahora iramos al rras y configurariamos el certificado en las propiedades del servidor RRAS
eligiendo el nuevo certificado