• Artículo

Redes

Configurar el acceso remoto VPN con ISA Server 2006

Alan Maddison

 

Resumen:

  • Protocolos VPN
  • Configuración de una conexión VPN de sitio a sitio
  • Configuración de una conexión VPN de acceso remoto
  • Nuevas funciones en ISA Server 2006

Las redes privadas virtuales proporcionan altos niveles de adaptabilidad, escalabilidad y control sobre la conectividad de red. Además de mejorar la seguridad, pueden dar lugar a ahorros considerables

en comparación con las conexiones dedicadas tradicionales de punto a punto. Además, son flexibles.

Hay muchos tipos de VPN. Algunos se usan para conectar usuarios móviles a la red corporativa; otros sirven para conectar dos redes separadas geográficamente. Los protocolos que usan y las funciones que ofrecen estas VPN diferentes varían. Algunas proporcionan funciones de seguridad, como autenticación y cifrado, mientras que otras quizás no incluyan funciones de seguridad en absoluto. Y, obviamente, algunas son más fáciles de configurar y administrar que otras.

En este artículo, trataré la implementación de una VPN mediante ISA Server 2006. En particular, me centraré en la utilidad de VPN con ISA en dos escenarios comunes: como forma de ofrecer conexiones VPN de acceso remoto a los usuarios y como forma de ofrecer conexiones VPN de sitio a sitio. Ambas implementaciones incluyen características de seguridad para garantizar la privacidad de los datos y ofrecer protección a los recursos de red internos.

En la primera situación (conexión VPN de acceso remoto), un cliente remoto inicia una conexión VPN al servidor ISA a través de Internet. A continuación, el servidor ISA conecta el cliente remoto a su red interna, lo que ofrece al usuario acceso continuo a los recursos de la red interna, incluidos datos y aplicaciones. La segunda situación (conexión VPN de sitio a sitio) es algo más compleja debido al uso de un enrutador, que puede ser el servidor ISA mismo. No obstante, permite la conexión sin fisuras entre oficinas o sucursales diferentes o de todas ellas con la oficina central.

Hay varios beneficios adicionales derivados del uso de ISA Server 2006 para implementar una VPN. Uno de los más importantes se debe a la naturaleza integrada de ISA Server, que implica que la funcionalidad de VPN y la funcionalidad del firewall trabajan en estrecha colaboración. Además, ISA Server incluye una característica de cuarentena de VPN que usa la función Control de cuarentena de acceso a red de Windows Server® 2003 para poner en cuarentena los equipos de acceso remoto hasta que un script del servidor valida su configuración. Esto agrega otro nivel de protección al proporcionar un modo de comprobar cosas como el estado de la definición antivirus y la directiva local del firewall en el equipo remoto antes de otorgarle acceso a los recursos de red internos.

Los principales beneficios administrativos que ofrece ISA Server como solución de VPN incluyen la administración centralizada de directivas y las capacidades de supervisión, registro y notificación. En relación con sus responsabilidades administrativas diarias, el valor de estas capacidades puede ser incalculable. En particular, las funciones de supervisión en tiempo real y filtrado de registros ofrecen transparencia fundamental del tráfico en la red y de las conexiones realizadas a través de ISA Server.

Protocolos VPN

Los protocolos de túnel básicos que se usan en una conexión VPN con ISA constituyen la primera línea de defensa para proteger las conexiones. ISA Server es compatible con tres protocolos: el Protocolo de túnel de nivel dos (L2TP) a través de IPsec, el Protocolo de túnel punto a punto (PPTP) y el modo de túnel IPsec. Este último protocolo sólo se admite en conexiones de sitio a sitio y se usa principalmente para la interoperabilidad con enrutadores y otros sistemas operativos que no son compatibles con L2TP o PPTP.

L2TP se vincula a IPsec porque L2TP no cuenta con un mecanismo propio para ofrecer privacidad de datos. Junto con IPsec, puede ofrecer métodos eficaces de autenticación y cifrado; la combinación se convierte en una solución atractiva. PPTP usa la versión 2 del Protocolo de autenticación por desafío mutuo de Microsoft® (MS CHAP) o el Protocolo de autenticación extensible-Seguridad del nivel de transporte (EAP-TLS) para la autenticación, y el Cifrado punto a punto de Microsoft (MPPE), obviamente, para el cifrado.

La selección por parte de las empresas de L2TP a través de IPsec o de PPTP a menudo depende de factores que son específicos a cada organización. L2TP a través de IPsec permite usar cifrado más complejo y sofisticado, y es compatible con más tipos de redes (incluidas IP, X.25, Frame Relay y ATM). Sin embargo, PPTP es más fácil de implementar y suele tener menos requisitos. Dicho esto, en situaciones libres de restricciones organizativas, la implementación de L2TP a través de IPsec es una práctica recomendada.

Conexiones VPN de sitio a sitio

ISA Server 2006 supone un progreso tremendo a la hora de simplificar la configuración de VPN de sitio a sitio. En versiones anteriores, era necesario realizar muchos más pasos. En este ejemplo, haré referencia a un único sitio remoto que conecta a una oficina central mediante el uso de L2TP a través de IPsec con un servidor ISA en ambas ubicaciones. El proceso requiere la configuración del servidor ISA en la oficina central antes de configurar el sitio remoto.

El primer paso en el proceso es configurar las cuentas de usuario locales requeridas en ambos servidores ISA. Esta identidad de usuario proporcionará el contexto de seguridad para la conexión al servidor remoto o al servidor ISA principal. El nombre de esta cuenta debe coincidir con el nombre de la conexión VPN creada en la consola de administración de ISA. Por ejemplo, una buena convención de nomenclatura sería establecer el nombre de usuario "Site VPN" (VPN en sitio) en el servidor ISA de la oficina central (que señala al sitio remoto) y "HQ VPN" (VPN en oficina central) en el servidor ISA remoto. Una vez que ha creado estas cuentas, acuda a las propiedades de cuenta, abra la ficha Marcado y asegúrese de que la opción Permitir acceso está seleccionada.

Después de crear la cuenta de usuario local, el paso siguiente es crear el certificado de la infraestructura de claves públicas (PKI) que se usará para la autenticación entre los dos sitios. Tiene la opción de usar una clave pre-compartida, pero el uso de un certificado es siempre un método preferible. La manera más sencilla de instalar un certificado para una conexión VPN es conectar directamente a su propia entidad de certificación empresarial y solicitar un certificado a través del sitio web del servidor de certificados. Pero, para ello, es posible que necesite crear una regla de acceso con el fin de permitir al servidor ISA conectar con el servidor de certificados a través de HTTP.

Si conoce las versiones anteriores de ISA Server, advertirá que la interfaz de ISA Server 2006, mostrada en la figura 1, es mucho más intuitiva. Al seleccionar VPN en el panel de la izquierda, aparecen opciones contextuales de configuración y tareas en los paneles del centro y de la derecha.

Figura 1 La interfaz de ISA Server 2006 es más intuitiva.

Figura 1** La interfaz de ISA Server 2006 es más intuitiva. **(Hacer clic en la imagen para ampliarla)

Inicie el Asistente para VPN de sitio a sitio. Para ello, haga clic en la tarea Crear conexión VPN de sitio a sitio en el panel de la derecha. El asistente solicitará un nombre para la red de sitio a sitio. Este nombre debe coincidir con el nombre de la cuenta de usuario que creó previamente. Después de escribir el nombre, haga clic en el botón Siguiente. En la pantalla siguiente (consulte la figura 2), seleccione el protocolo VPN que desea usar; en mi ejemplo, se trata de L2TP a través de IPsec. Haga clic en Siguiente y el asistente le advertirá que debe haber disponible una cuenta de usuario que coincida con el nombre de la red. Como ya se ha ocupado de esto, haga clic en Aceptar para pasar a la pantalla siguiente.

Figura 2 Seleccione el protocolo VPN que desea usar.

Figura 2** Seleccione el protocolo VPN que desea usar. **(Hacer clic en la imagen para ampliarla)

Ahora, debe crear un grupo de direcciones IP. Tiene dos opciones: puede crear un grupo de direcciones estáticas en el servidor ISA o puede usar su servidor DHCP existente para administrar la asignación de direcciones. Ambos métodos son aceptables, de modo que su decisión debería guiarse por los procedimientos de la compañía referentes a esta opción particular. La pantalla le solicitará que especifique el nombre del servidor remoto. Escriba el nombre de dominio completo del servidor remoto y, seguidamente, proporcione las credenciales de usuario para la conexión. Recuerde que tiene que especificar la información de la cuenta de usuario que creó en el servidor ISA remoto. En este ejemplo, sería la cuenta de usuario HQ VPN, como se muestra en la figura 3.

Figura 3 Escriba el nombre de dominio completo del servidor remoto.

Figura 3** Escriba el nombre de dominio completo del servidor remoto. **(Hacer clic en la imagen para ampliarla)

En la pantalla siguiente, seleccione el método de autenticación saliente. (Como ya he mencionado con anterioridad, siempre es preferible usar un certificado.) A continuación, indique el intervalo de direcciones IP que se usa en la red interna del sitio remoto.

Después, si usa ISA Server 2006 Enterprise Edition, el asistente le permitirá configurar las direcciones IP dedicadas de equilibrio de carga de red del sitio remoto. Si usa ISA Server 2006 Standard Edition, omita el paso de equilibrio de carga y pase directamente a la pantalla siguiente (consulte la figura 4), que es donde creará la regla de red para dirigir el tráfico del sitio remoto a la red local.

Figura 4 Cree la regla de red que distribuye el tráfico.

Figura 4** Cree la regla de red que distribuye el tráfico. **(Hacer clic en la imagen para ampliarla)

También deberá crear una regla de acceso, que es el siguiente paso del proceso. Durante la configuración de la regla de acceso, hay tres opciones en cuanto a los protocolos de permiso que se pueden usar: puede permitir todo el tráfico saliente, puede permitir todo el tráfico saliente a excepción de ciertos protocolos o puede permitir sólo ciertos protocolos. En la mayoría de las situaciones, le convendrá seleccionar la opción de todo el tráfico saliente.

Ya casi ha terminado. En este momento, el asistente presentará un resumen de la configuración y, en cuanto haga clic en el botón Finalizar, se habrá creado la conexión VPN de sitio a sitio. Se abrirá un cuadro de diálogo que indica la necesidad de habilitar una regla de directiva del sistema para realizar descargas de la lista de revocación de certificados. Haga clic en Sí para habilitar esta regla. Seguidamente, el asistente ofrecerá información acerca de pasos adicionales de configuración que podrían ser necesarios. Cuando haya completado la configuración de ISA Server en el sitio principal, deberá seguir los mismos pasos para configurar el sitio remoto. Cuando se han completado los dos pasos, los usuarios de ambos sitios podrán comunicarse a través de la VPN.

Conexión VPN de acceso remoto

La configuración de una conexión VPN de acceso remoto para el acceso de clientes es mucho más sencilla (consulte la figura 5). El primer paso consiste en seleccionar VPN en el panel de la izquierda en la consola de administración de ISA Server. Seleccione la tarea Habilitar acceso de clientes de VPN en el panel de la derecha. Recibirá una advertencia de que esto puede provocar el reinicio del servicio Enrutamiento y acceso remoto. Debido a que esto podría causar problemas de conexión, quizás sea conveniente implementar este cambio durante un período de mantenimiento programado. Haga clic en Aceptar para dejar atrás esta advertencia; ISA Server habilita una directiva del sistema que permite el acceso del tráfico de clientes de VPN al servidor ISA. Para ver esta regla, seleccione Directiva de firewall en la consola de administración de ISA Server y elija la tarea Mostrar reglas de directivas del sistema.

Figura 5 Configure una conexión VPN de acceso remoto.

Figura 5** Configure una conexión VPN de acceso remoto. **(Hacer clic en la imagen para ampliarla)

También se habilita una regla de red predeterminada para posibilitar el enrutamiento entre la red interna y las dos redes VPN (clientes de VPN y clientes de VPN en cuarentena). Para ver o editar esta regla de red seleccione Redes en el panel izquierdo y abra la ficha Reglas de red en el panel central.

Ahora, deberá configurar el acceso de clientes de VPN. Hay tres parámetros adicionales que se deben configurar: los grupos de seguridad de Windows que tienen permitido el acceso, los protocolos que pueden usar los clientes y la asignación de usuarios. El cuadro de diálogo para configurar estos parámetros se muestra en la figura 6.

Figura 6 Configure el acceso de clientes de VPN.

Figura 6** Configure el acceso de clientes de VPN. **

La ficha Grupos requiere simplemente que seleccione los grupos de Windows que deben disponer de acceso remoto a través de VPN. Desde una perspectiva administrativa, creo que es buena idea contar con un solo grupo con este permiso. Esto simplifica la administración del acceso remoto.

La ficha Protocolos muestra que sólo PPTP está habilitado de forma predeterminada. Definitivamente debería habilitar L2TP a través de IPsec si esto es posible en su entorno.

La asignación de usuarios permite asignar cuentas de usuario de espacios de nombres, como el Servicio de autenticación remota telefónica de usuario (RADIUS), a cuentas de Windows para garantizar que las directivas de acceso se aplican correctamente. Habrá terminado en cuanto haya completado estas opciones de configuración y haya aplicado los cambios a ISA Server. A partir de este momento, los clientes tendrán acceso continuado a los datos y las aplicaciones de la red interna mediante una conexión VPN.

Mejoras en ISA Server 2006

ISA Server 2006 incluye varias mejoras que suponen un incremento de la eficacia y el rendimiento con respecto a versiones anteriores. Estas características, entre ellas, la compresión HTTP, la compatibilidad con el Servicio de transferencia inteligente en segundo plano (BITS) y la calidad del servicio (QoS), ofrecen varias técnicas para optimizar el uso de la red. Por supuesto, aun con estas técnicas, debería continuar usando las tecnologías comunes de optimización del ancho de banda que son básicas en ISA Server, incluido el almacenamiento en caché.

La compresión HTTP ha recibido compatibilidad en varios productos de Microsoft durante ya algún tiempo (por ejemplo, ha estado presente en Internet Explorer® desde la versión 4 y en Windows Server desde Windows® 2000). Sin embargo, esta es la primera versión de ISA Server que admite la compresión HTTP, además de los algoritmos GZIP y Deflate estándar del sector.

¿Qué significa esto? Gracias a la compatibilidad con la compresión HTTP, un explorador web en conformidad con HTTP 1.1 puede solicitar contenido comprimido de cualquier sitio web. Pero recuerde que sólo se comprimen las respuestas, no las conexiones salientes iniciales del cliente.

La compresión HTTP es una configuración global de la directiva HTTP aplicable a todo el tráfico HTTP que pasa por ISA Server; no está asociada a una regla de red específica. Sin embargo, tiene la opción de implementar la compresión HTTP con cada escucha (puede configurarla mediante el Asistente para escucha de web).

La compresión HTTP, a la que se puede obtener acceso a través de la opción General en el panel de la izquierda, está habilitada de forma predeterminada. Pero, como muestra la figura 7, tendrá que configurar los elementos de la red donde se usará la compresión. Retomemos el ejemplo de VPN de sitio a sitio. Necesita seleccionar la ficha Devolver datos comprimidos y agregar el elemento de la red Site VPN que creó con anterioridad. En este punto, también tiene la opción de seleccionar los tipos de contenido que se deben comprimir. ISA Server 2006 se distribuye con una lista de tipos de contenido estándar, pero puede agregar tipos de contenido personalizados a través del panel de tareas Directiva de firewall en la ficha Cuadro de herramientas. Recuerde que la ficha Devolver datos comprimidos hace referencia a la compresión de los datos por parte de ISA Server antes de devolverlos al cliente. Para que ISA Server solicite que un servidor web se encargue de la compresión de los datos antes de enviarlos a ISA Server, use la ficha Devolver datos comprimidos.

Figura 7 Configure la compresión HTTP.

Figura 7** Configure la compresión HTTP. **(Hacer clic en la imagen para ampliarla)

BITS es un servicio de transferencia asincrónica de archivos para el tráfico HTTP y HTTPS. Windows Server 2003 incluye BITS 1.5, que es compatible con cargas y descargas, aunque las cargas requieren también IIS 5.0 o una versión posterior. Como servicio inteligente de transferencia de archivos, BITS tiene la capacidad de examinar el tráfico de red y usar sólo la parte inactiva del ancho de banda de la red. Además, la transferencia de archivos es dinámica y BITS responderá a aumentos del tráfico de red normal con la reducción de su uso de la red. Aquí, la ventaja es que BITS asegura que la carga y la descarga de archivos grandes no influirán negativamente en otros usos de la red. Desde una perspectiva administrativa, esto significa que seguramente recibirá muchas menos llamadas sobre el rendimiento insatisfactorio de la red. ¡Buenas noticias!

BITS ofrece otras ventajas que pueden mejorar la experiencia del usuario y conseguir un rendimiento de la red superior. Por ejemplo, una transferencia de archivos que usa BITS es binaria, lo que significa que BITS puede reanudar transferencias de archivos (sin empezar desde el principio) que se han interrumpido por factores como la interrupción del servicio de la red. Además, ISA Server 2006 incluye compatibilidad integrada con una función de almacenamiento en caché de Microsoft Update que hace uso del almacenamiento en caché de BITS para optimizar las actualizaciones.

El protocolo Servicios diferenciados (DiffServ) habilita el establecimiento de prioridades entre paquetes (o QoS) para el tráfico HTTP y HTTPS. Es decir, según la configuración de su servidor ISA, se dará prioridad a un tráfico determinado. Esto es útil en redes que tienen un ancho de banda limitado, debido al volumen del tráfico o a la velocidad de la conexión de la red. Según el Grupo de trabajo de ingeniería de Internet (IETF), DiffServ es un mecanismo de administración de tráfico basado en clases. Así, DiffServ puede diferenciar entre distintos tipos de tráfico y administrarlos en consecuencia, lo que garantiza la preponderancia del tráfico de alta prioridad.

Para ofrecer esta característica, ISA Server funciona en conjunción con otros enrutadores compatibles con QoS. Es importante asegurarse de que los bits DiffServ de ISA Server coinciden con las prioridades de los enrutadores, si quiere que los paquetes sean distribuidos con el mismo orden.

Según la implementación en ISA Server, este tipo de establecimiento de prioridades entre paquetes es una configuración de directiva HTTP global y aplicable a todo el tráfico HTTP que pasa por ISA Server 2006 mediante un filtro web DiffServ. Esto significa que ISA Server no es compatible con DiffServ para otros protocolos y, de hecho, puede descartar bits DiffServ existentes en tráfico que no es HTTP.

Como muestra la figura 8, DiffServ se implementa como filtro web. Seleccione Complementos en el panel izquierdo para obtener acceso a DiffServ. Es importante que no cambie la configuración predeterminada ni el orden de prioridad del filtro DiffServ, ya que ISA Server necesita inspeccionar el tamaño de la solicitud o la respuesta en el momento en que se procesa.

Figura 8 Obtenga acceso al filtro web DiffServ.

Figura 8** Obtenga acceso al filtro web DiffServ. **(Hacer clic en la imagen para ampliarla)

Si observa detenidamente la figura 8, verá que el filtro DiffServ no está habilitado de forma predeterminada. Para habilitar el filtro, seleccione Habilitar filtros seleccionados en el panel de tareas y configure el filtro. Como el establecimiento de prioridades entre paquetes de DiffServ en ISA Server se basa en direcciones URL o en dominios concretos, necesita agregar esta información a las preferencias de DiffServ. Para hacerlo, seleccione General en el panel izquierdo de la consola de administración y, a continuación, en Configuración de directiva HTTP global, seleccione Especificar las preferencias de DiffServ. Al especificar estas preferencias, deberá definir las prioridades, así como las direcciones URL y los dominios que deben recibir prioridad. ISA Server 2006 ofrece funciones nuevas muy eficaces para la configuración del acceso remoto con clientes de VPN y la creación de VPN de sitio a sitio. Debe colocar ISA Server 2006 al principio de su lista cuando considere la solución de VPN que desea implementar.

Alan Maddison trabaja como consejero superior en la práctica de tecnología de Microsoft de MTI Technology Corporation. Su trabajo se centra principalmente en Active Directory, Exchange Server y en la virtualización.

© 2008 Microsoft Corporation and CMP Media, LLC. Reservados todos los derechos; queda prohibida la reproducción parcial o total sin previa autorización.