• Artículo

Windows Vista

Redes empresariales con Windows Vista

Jason Leznek

 

Resumen:

  • Pila Next Generation TCP/IP
  • Herramientas de red centradas en el usuario
  • Mejora de seguridad de red
  • Simplificación de la administración de red

¿Cuándo fue la última vez que intentó trabajar durante un día completo sin tener que estar conectado a su red corporativa? Piénselo; sin tener acceso al correo electrónico. Sin explorar Internet. No pudo usar las

impresoras ni los archivos de uso compartido. No tuvo acceso a los datos esenciales de las bases de datos de ventas. En definitiva, no pudo hacer su trabajo.

La conectividad en red es crítica para la capacidad de funcionar en el trabajo de la mayoría de las personas. Asimismo, los usuarios tienen cada vez más expectativas de desplazarse y conectar sus propios portátiles corporativos a casi cualquier red doméstica o pública en cualquier lugar. ¿Se echa a temblar ante las repercusiones de seguridad?

Los ingenieros del equipo de redes de Windows Vista™ saben lo importante que es la conectividad y han trabajado mucho para crear el mejor conjunto de innovaciones de red desde Windows® 95. Con Windows Vista, la red es más sencilla de usar, más segura, más fácil de administrar y escalable a una red más grande.

Han pasado cinco años desde que se lanzó al mercado Windows XP. Durante ese tiempo han cambiado muchas cosas, entre las que se encuentran una necesidad mayor de recursos de red inalámbricos omnipresentes, independientemente del lugar donde estén los usuarios; regulaciones industriales o gubernamentales, como la ley Sarbanes-Oxley y la ley HIPAA; así como la necesidad de reducir costos y usar las inversiones actuales más eficazmente. Los usuarios esperan que los recursos de red "simplemente estén ahí" y se frustran con el indicio más ligero de problemas de conectividad. Por fin, los usuarios disponen de más movilidad que nunca y no se conectan sólo a la red corporativa, sino que pueden conectarse a casi cualquier red que haya alrededor.

Comencemos con la pila

Windows Vista incluye una implementación actualizada de la pila TCP/IP, que cuenta con mejoras significativas que solucionan varios problemas principales de las redes, a través de la optimización del rendimiento y la capacidad de proceso, una arquitectura Wi-Fi nativa y una API que permite la inspección del paquete de redes.

La maximización del uso de redes requiere una compleja optimización de los parámetros de configuración de TCP/IP. Windows Vista elimina la necesidad de realizar esto manualmente al detectar las condiciones de red y optimizar el rendimiento automáticamente. En redes de pérdidas altas, como las redes inalámbricas, Windows Vista se recupera mejor de las pérdidas de paquetes simples y múltiples. Puede aumentar o disminuir dinámicamente la ventana de recepción de TCP para poder usar completamente la conexión. Los usuarios que transfieren archivos a través de una conexión WAN de alta velocidad o alta latencia o que descargan archivos de Internet disfrutan de tiempos de transferencia mucho más rápidos.

Windows Vista incluye también una arquitectura de redes nativa inalámbrica (Wi-Fi nativa) como parte de su pila de red principal. Entre las ventajas se incluyen una implementación flexible en diferentes marcas y modelos de hardware, experiencias de usuarios parecidas con independencia del hardware y controladores de NIC inalámbricos de terceros más confiables. Las conexiones de redes inalámbricas de Windows Vista se pueden administrar centralmente, son compatibles con los últimos protocolos de seguridad y proporcionan al usuario una experiencia de redes sin complicaciones.

La Plataforma de filtrado de Windows (WFP) es una nueva arquitectura en la pila Next Generation TCP/IP que proporciona unas API que otros desarrolladores de software pueden usar para participar en las decisiones de filtrado que se llevan a cabo en varias capas de la pila del protocolo TCP/IP sin tener que escribir sus propias aplicaciones del modo de núcleo. La plataforma también es compatible con las características de firewall de última generación, como la comunicación autenticada y la configuración dinámica de firewall basada en el uso de aplicaciones de la API de Windows Sockets (directiva basada en aplicaciones).

Permisos de usuario

El Centro de redes y recursos compartidos es un sitio exclusivo para usuarios que permite comprobar el estado de las redes: si están conectadas, a qué están conectadas y si están en la red local o en Internet (consulte la figura 1). También es posible ver el estado de varios servicios de red en los equipos. ¿Aparece el equipo en la red local? ¿Existen carpetas o impresoras de uso compartido? El usuario puede crear además una red o conectarse a una existente, tanto si es ad hoc como si es inalámbrica de infraestructura, VPN, o bien una conexión de banda ancha doméstica.

Figure 1 Centro de redes y recursos compartidos

Figure 1** Centro de redes y recursos compartidos **(Hacer clic en la imagen para ampliarla)

Windows Vista también diagnostica y soluciona muchos problemas de conectividad sin que el usuario tenga que llamar al departamento de soporte. El marco de diagnóstico de redes proporciona a Windows Vista la capacidad de identificar la causa principal del problema de conectividad desde el contexto de la acción de la aplicación. Por ejemplo, si el usuario no puede conectar con un sitio de Internet, Diagnósticos de red intentará descubrir el origen del problema, desde si hay una conexión inalámbrica activa y una dirección IP correcta hasta si se tiene acceso al servidor DNS, encontrar el servidor proxy y obtener una respuesta del servidor Web.

Si se encuentra algún problema, el usuario obtiene un mensaje que identifica claramente cuál es y cómo se resuelve (consulte la figura 2). Algunas veces es tan fácil como hacer clic en una respuesta. Otras veces, el usuario tiene que hacer un cambio de configuración y seguir las indicaciones del cuadro de diálogo que le llevarán a la ubicación exacta. En ocasiones, el usuario no puede llevar a cabo la acción correcta por falta de conocimiento o de privilegios de administración; en estos casos, la información detallada se registra en el Visor de sucesos para que el departamento de soporte pueda trabajar en la resolución del problema con rapidez, en lugar de que se pierda el tiempo intentando solucionar el problema.

Figure 2 Solución de problemas de conectividad

Figure 2** Solución de problemas de conectividad **(Hacer clic en la imagen para ampliarla)

Windows Vista incorpora las API de reconocimiento de redes, a las que la aplicación puede llamar para obtener el estado de conectividad, permitiendo que la aplicación reconozca los cambios en la conectividad y que identifique el tipo de red (dominio, pública o privada) a la que el equipo está conectado en ese momento. Cuando Windows Vista obtiene acceso al controlador de dominio en la red, cambia al perfil del dominio automáticamente. Ninguna otra red se puede colocar en esta categoría. El resto de las redes se categorizan como públicas excepto cuando un usuario o una aplicación identifica la red como privada. Las redes que representan conexiones directas a Internet o que están en lugares públicos, como aeropuertos y cafeterías, deben ser públicas. Sólo las redes ubicadas en un dispositivo de puerta de enlace privado se deben identificar como privadas, como las redes de pequeñas empresas o domésticas.

Con el reconocimiento de redes, algunas aplicaciones como el Firewall de Windows con seguridad avanzada (del que hablaremos más adelante) pueden tener diferentes configuraciones según el tipo de red con la que establezcan conexión en ese momento; así, cambian la configuración automáticamente cuando cambia el tipo de red. Por ejemplo, el administrador puede tener configurado el firewall para que abra unos puertos determinados al software de administración de escritorio cuando el equipo esté conectado a la red del dominio, pero esos mismos puertos se cierran automáticamente cuando el usuario trabaja en una zona interactiva pública.

La directiva de grupo también es de reconocimiento de redes en Windows Vista: reconoce automáticamente cuándo está el equipo en la red del dominio e inicia el procesamiento de cualquier configuración nueva de directiva de grupo sin tener que esperar al siguiente ciclo de actualización. Esto significa que Windows Vista comprueba automáticamente si hay nuevas configuraciones de la directiva de grupo al conectar a la red del dominio, incluso al salir del modo de hibernación. Esto permite a los administradores la implementación de configuraciones de seguridad con mayor rapidez, cuando el tiempo es un factor clave.

Seguridad de la red

Existen muchos tipos de amenazas: usuarios que obtienen acceso a redes inalámbricas que no son lo que parecen, equipos invitados en mal estado que se conectan a redes corporativas y recursos no administrados que intentan obtener acceso a recursos a los que no deberían tener acceso. Son suficientes para tener a un administrador de red ocupado todo el día y preocupado toda la noche. Windows Vista ofrece ayuda en todos estos escenarios, gracias a sus características de seguridad de red mejoradas que son completas y aún más fáciles de configurar.

La arquitectura Wi-Fi nativa de Windows Vista es ampliamente compatible con los últimos protocolos de seguridad, entre los que se encuentran Enterprise y Personal de Acceso protegido Wi-Fi (WPA) 2, PEAP-TLS y PEAP-MS-CHAP v2 (protocolo de autenticación extensible protegido con seguridad de la capa de transporte y con protocolo de autenticación por desafío mutuo de Microsoft). Esta amplia compatibilidad asegura la interoperabilidad entre Windows Vista y casi cualquier infraestructura inalámbrica. Windows Vista examina las capacidades de la tarjeta de red y elige el protocolo más seguro de forma predeterminada, al conectarse a redes inalámbricas o al crearlas. Con el marco EAP-HOST, Windows Vista está preparado para ser compatible con mecanismos de autenticación personalizados que estén definidos por un proveedor de hardware o por una organización.

Windows Vista incluye muchas mejoras en el comportamiento del cliente inalámbrico con el fin de reducir los ataques inalámbricos habituales. El cliente se conecta automáticamente sólo a las redes identificadas o solicitadas por el usuario como redes preferidas y no se conecta automáticamente a redes ad hoc. El cliente hace que aparezca una advertencia si el usuario está a punto de establecer una conexión con una red no segura. Además, el cliente realizará un sondeo activo de las redes de menor preferencia y sólo si el usuario se lo ordena, lo que dificulta a los atacantes la identificación de la red a la que el cliente se intenta conectar y crea una red falsa con el mismo nombre.

El cliente inalámbrico nativo de Windows Vista es compatible con una característica de inicio de sesión único (SSO) que ejecuta la autenticación de red de capa 2 en el momento adecuado en función de la configuración de seguridad de red, a la vez que se integra con el inicio de sesión de Windows del usuario. Una vez que se ha configurado un perfil de inicio de sesión único, el inicio de sesión de red se realizará antes que el inicio de sesión de Windows. Dicha característica habilita escenarios como las actualizaciones de directivas de grupo, secuencias de comandos de inicio de sesión y secuencias de inicio inalámbrico, que requieren conectividad de red antes del inicio de sesión del usuario.

El Firewall de Windows con seguridad avanzada presenta un nivel de seguridad de red nuevo en la plataforma de Windows, lo que ofrece compatibilidad con el filtrado de entrada y salida, así como con Windows Service Hardening. Si el firewall detecta un servicio de Windows con un comportamiento anormal según lo indicado en las reglas de red de Windows Service Hardening, el firewall lo bloqueará. El Firewall de Windows con seguridad avanzada también es compatible con Authenticated Bypass, que permite a determinados equipos autenticados con IPsec omitir las reglas del firewall para tareas como la administración remota.

Uno de los cambios más importante en el Firewall de Windows es la integración con IPsec. Anteriormente, los administradores necesitaban dos herramientas individuales (un firewall y la herramienta de administración e implementación de IPsec) para crear un conjunto de reglas de seguridad de red por capas. Gracias a Windows Vista, los administradores pueden crear reglas de seguridad de red sencillas que pueden combinar puertos firewall con reglas IPsec para proteger la red de accesos no autorizados. Esta integración ofrece una forma sencilla de reforzar las comunicaciones autenticadas entre redes de un extremo a otro, lo que proporciona un acceso escalable y por niveles a recursos de red de confianza y protege la confidencialidad e integridad de los datos.

Evidentemente, el administrador puede aislar la red corporativa en áreas a las que se puede tener acceso desde cualquier equipo (invitados incluidos) o sólo desde equipos que se han autenticado en el dominio (aislamiento de dominio). Asimismo, el administrador puede aislar servidores específicos a los que sólo deben tener acceso un conjunto determinado de usuarios o equipos, como un servidor de aplicaciones de RR.HH. restringido a equipos del grupo de RR.HH. (aislamiento de servidor), como se muestra en la figura 3.

Figure 3 Aislamiento de servidor y dominio

Figure 3** Aislamiento de servidor y dominio **

Los virus o gusanos pueden entrar en redes privadas a través de un equipo portátil e infectar rápidamente otros equipos. Windows Vista, cuando se conecta a una infraestructura de red basada en el nombre de código Windows Server "Longhorn" (la próxima versión de Windows Server), es compatible con Protección de acceso a redes (NAP) para reducir el riesgo de conexiones de equipos en mal estado directamente con redes privadas o a través de una conexión VPN. Si un equipo que utiliza Windows Vista no tiene las actualizaciones de seguridad ni las firmas de virus, o bien no puede cumplir los requisitos de seguridad corporativa, NAP bloquea por completo el acceso del equipo a la red. En su lugar, se conectará a una red restringida donde podrá descargar e instalar las actualizaciones, firmas de antivirus o parámetros de configuración requeridos para cumplir los requisitos de mantenimiento en vigor.

Simplificación de la administración de red

Las características de red de Windows Vista han sido diseñadas para admitir niveles elevados de facilidad de uso con el fin de ayudar a reducir el costo de la implementación de redes inalámbricas y directivas de seguridad de red, así como para proporcionar calidad de servicio para aplicaciones y usuarios. Windows Vista usa con frecuencia secuencias de comandos de directiva de grupo o de línea de comandos a través del shell de red (NETSH) para administrar las características de red, de modo que no tiene que aprender ni implementar una herramienta de administración nueva, y se puede beneficiar de las inversiones anteriores de Active Directory® y de la estructura de unidad organizativa (OU) ya creada.

La implementación y administración de reglas de seguridad de red, que combinan firewall y directivas IPsec, se ha simplificado en un solo complemento Microsoft Management Console (MMC) dirigido por un asistente denominado Firewall de Windows con seguridad avanzada (consulte la figura 4) o secuencias de comandos de línea de comandos a través de NETSH. El complemento nuevo ofrece un modo sencillo de implementar el filtrado de entrada y salida y las reglas de seguridad de conexión que limitan el acceso de usuarios, equipos o aplicaciones específicos al mismo tiempo que proporciona un nivel granular de control administrativo. IPsec puede solicitar o requerir la autenticación por usuario, equipo o certificado de mantenimiento (con Protección de acceso a redes integrada) para ofrecer una directiva de seguridad basada en escenarios. Este complemento facilita la creación de reglas de aislamiento de servidor o dominio y, como se ha diseñado en función de directivas de grupo, puede dirigir a estas reglas a partir de la estructura empresarial.

Figure 4 Firewall de Windows con seguridad avanzada

Figure 4** Firewall de Windows con seguridad avanzada **(Hacer clic en la imagen para ampliarla)

Mediante la directiva de grupo puede definir también la conexión y el funcionamiento de los clientes que se desplazan en redes inalámbricas. Por ejemplo, una compañía puede definir una directiva que requiera que todas las conexiones inalámbricas usen un protocolo concreto o que todas las conexiones se limiten a redes inalámbricas determinadas. Puesto que estos parámetros se configuran a través de directivas de grupo, se puede evitar que el usuario final cambie esta configuración.

NETSH permite la automatización y creación de secuencias de comandos para ayudar con la solución de problemas de conexiones de red inalámbricas. Con la interfaz de la línea de comandos, los administradores pueden comprobar, cambiar o quitar perfiles de configuración de red inalámbrica de un cliente. Estos perfiles de configuración se pueden exportar e importar entre equipos para acelerar el establecimiento de varios equipos.

La calidad de red puede disminuir porque las aplicaciones que requieren un ancho de banda elevado suelen utilizar toda la capacidad disponible, y las aplicaciones no están preparadas para otorgar control de ancho de banda central a los administradores de TI. Es posible que agregar más ancho de banda no solucione estos problemas; todo lo contrario, sólo provocará que las mismas aplicaciones consuman la nueva capacidad disponible. Con la calidad de servicio (QoS) basada en directivas, los administradores pueden otorgar prioridad al tráfico de red saliente o limitarlo sin que las aplicaciones se deban modificar. Las directivas pueden marcar el tráfico saliente con un valor de punto de código de servicios diferenciados (DSCP) para enrutadores con el fin de otorgar prioridad a Windows Vista o permitirle que limite la cantidad enviada de tráfico saliente, independientemente de la configuración del enrutador. Combinar ambas técnicas proporciona aún más flexibilidad. En la figura 5 se muestra la creación de la directiva QoS.

Figure 5 Creación de la directiva QoS

Figure 5** Creación de la directiva QoS **(Hacer clic en la imagen para ampliarla)

Ajuste de escala para la empresa y más aún

Las organizaciones de ámbito empresarial se preocupan normalmente por los problemas de escalabilidad relacionados con la compatibilidad de su red. Por ejemplo, es posible que agote las direcciones IP, especialmente cuando las exigencias empresariales obligan a introducir varios dispositivos en red por usuario, como portátiles adicionales y equipos móviles como dispositivos Smartphone. Del mismo modo, es posible que esté interesado en ofrecer servicios de red adicionales como IPsec, aunque también puede que le preocupe el efecto en la carga de la CPU. Windows Vista trata los problemas de escalabilidad de red mediante la compatibilidad con IPv6 y capacidades de descarga de hardware.

Para solucionar los problemas de direcciones públicas IPv4 limitadas, muchos gobiernos, ISP y otras organizaciones están realizando la transición a IPv6, la próxima versión del protocolo de red que dirigirá Internet. Windows Vista es compatible con IPv4 e IPv6 de forma simultánea a través de una arquitectura de pila IP de dos capas. IPv6 está habilitada de forma predeterminada y la compatibilidad de pila de dos capas le permite migrar gradualmente mediante tecnologías de transición IPv6 que pueden crear un túnel para el tráfico IPv6 a través de una red IPv4 privada o Internet. Windows Vista es compatible de forma nativa con PPPv6 y redes privadas virtuales (VPN) de protocolo de túnel de nivel 2 (L2TP/IPv6), lo que permite a los usuarios de acceso remoto beneficiarse de las redes IPv6.

Windows Vista es compatible con el procesamiento de tráfico de red de descarga para adaptadores de red especializados. Las capacidades de descarga nuevas incluyen la descarga de IPv6 y chimeneas TCP. Estas novedades de la arquitectura optimizan el rendimiento general y el de red para obtener ventajas operativas y de rendimiento posibles gracias a la alta velocidad de las redes actuales. El uso de hardware compatible para adaptadores de red puede eliminar los cuellos de botella relacionados con el procesamiento de paquetes de red como la sobrecarga de la CPU y el ancho de banda de la memoria disponible, sin necesidad de cambiar aplicaciones existentes o herramientas de administración de red.

La pila de red también es compatible con el ajuste de escala de recepción, que equilibra de forma dinámica las conexiones de red entrantes de forma que la carga se pueda compartir entre varios procesadores o núcleos, lo que reduce los posibles cuellos de botella en el procesamiento del tráfico de red.

Resumen

Windows Vista representa la actualización más importante de red en Windows desde Windows 95. Los usuarios podrán utilizar con mayor facilidad las redes cableadas e inalámbricas en sus viajes. Con la pila de red de ajuste automático nueva, las transferencias de archivos se realizarán más rápidamente. Las empresas valorarán la reducción de los riesgos de seguridad, incluida la protección mejorada ante las amenazas introducidas por los usuarios de dispositivos móviles e inalámbricos. Los administradores de sistemas encontrarán Windows Vista más fácil de administrar, con la capacidad de crear directivas de seguridad granulares para el tráfico de red, así como calidad de servicio (QoS) para aplicaciones de misiones importantes. Estas nuevas características le permiten sacar mayor partido a la infraestructura de red, minimizando el esfuerzo de administración y maximizando la productividad del usuario final.

Recursos adicionales

Jason Leznek es el jefe senior de producto para redes de Windows Vista. Lleva casi diez años en Microsoft y era jefe de producto de Windows Server Update Services y directivas de grupo antes de incorporarse al equipo de Windows Vista. Anteriormente, trabajó siete años en este campo con clientes de empresa de Microsoft.

© 2008 Microsoft Corporation and CMP Media, LLC. Reservados todos los derechos; queda prohibida la reproducción parcial o total sin previa autorización.