Está en la página 1de 10

VPN y rewalls

http://technet.microsoft.com/es-es/library/cc753364(d=p...

VPN y firewalls
Se aplica a: Windows Server 2008 Cuando disee una solucin de acceso remoto de red privada virtual (VPN), opte por una de las dos opciones siguientes para la ubicacin del servidor. Cada opcin tiene distintos requisitos de diseo. Servidor VPN detrs del rewall. El rewall est conectado a Internet y el servidor VPN se encuentra entre el rewall y la intranet. Es la ubicacin que se emplea en las conguraciones de redes perimetrales, en las que hay un rewall colocado entre el servidor VPN y la intranet, y otro entre el servidor VPN e Internet. Servidor VPN delante del rewall. El servidor VPN est conectado a Internet y el rewall se encuentra entre el servidor VPN y la intranet.

Servidor VPN detrs de un firewall


En la conguracin que se muestra en la siguiente ilustracin, el rewall est conectado a Internet y el servidor VPN es otro recurso de intranet conectado a la red perimetral, tambin conocida como subred ltrada. La red perimetral es un segmento de red IP que suele incluir recursos a disposicin de los usuarios de Internet, como servidores web y FTP El servidor VPN tiene una interfaz en la red perimetral . y otra en la intranet. En este escenario, el rewall debe congurarse con ltros de entrada y salida en las interfaces de Internet y red perimetral para permitir el paso del trco de mantenimiento del tnel y los datos de tnel al servidor VPN. Otros ltros pueden permitir el paso de trco a los servidores web, FTP y de otros tipos de la red perimetral. Como nivel adicional de seguridad, el servidor VPN tambin debe congurarse con ltros de paquetes PPTP SSTP o L2TP/IPsec en la interfaz de red perimetral tal como se describe en , Servidor VPN delante de un rewall en este tema. Dado que el rewall no dispone de las claves de cifrado de cada conexin VPN, slo puede ltrar por los encabezados de texto simple de los datos de tnel, lo que signica que todos los datos de tnel pasan a travs del rewall. No obstante, esto no constituye un problema de seguridad porque la conexin VPN requiere un proceso de autenticacin que evita el acceso no autorizado ms all del servidor VPN. Servidor VPN detrs del rewall

Filtros de paquetes de un servidor VPN detrs de un firewall


Si el servidor VPN se encuentra detrs de un rewall, los ltros de paquetes deben congurarse para una interfaz de Internet y una interfaz de red perimetral. En este escenario, el rewall est conectado a Internet y el servidor VPN es un recurso de intranet que est conectado a la red perimetral. El servidor

1 de 10

30/10/12 09:09

VPN y rewalls

http://technet.microsoft.com/es-es/library/cc753364(d=p...

VPN tiene una interfaz tanto en la red perimetral como en Internet. Conexiones PPTP para la interfaz de Internet del firewall En la siguiente tabla se muestran los ltros PPTP entrantes y salientes de la interfaz de Internet del rewall.

Tipo de Filtro ltro

Accin

Direccin IP de destino = Interfaz de red perimetral Permite el trco de mantenimiento del tnel PPTP desde el cliente PPTP al Entrante de servidor VPN servidor PPTP . Puerto TCP de destino = 1723 (0x6BB) Direccin IP de destino = Interfaz de red perimetral Permite los datos PPTP de tnel desde el cliente PPTP al servidor PPTP . Entrante de servidor VPN Id. de protocolo IP = 47 (0x2F) Direccin IP de destino = Interfaz Slo se necesita cuando el servidor VPN acta como cliente VPN (un de red perimetral enrutador de llamadas) en una conexin VPN de sitio a sitio. Si se permite que todo el trco del puerto TCP 1723 llegue al servidor VPN, se pueden Entrante de servidor VPN producir ataques de red desde orgenes de Internet que usen este puerto. Puerto TCP de Los administradores slo deben usar este ltro en combinacin con los origen = 1723 ltros PPTP que tambin se hayan congurado en el servidor VPN. (0x6BB) Direccin IP de origen = Interfaz de red perimetral Permite el trco de mantenimiento del tnel PPTP desde el servidor PPTP Saliente de servidor VPN al cliente PPTP . Puerto TCP de origen = 1723 (0x6BB) Direccin IP de origen = Interfaz de red perimetral Permite los datos PPTP de tnel desde el servidor PPTP al cliente PPTP . Saliente de servidor VPN Id. de protocolo IP = 47 (0x2F)

2 de 10

30/10/12 09:09

VPN y rewalls

http://technet.microsoft.com/es-es/library/cc753364(d=p...

Conexiones PPTP para la interfaz de red perimetral del firewall En la siguiente tabla se muestran los ltros PPTP entrantes y salientes de la interfaz de red perimetral del rewall.

Tipo de ltro

Filtro

Accin

Direccin IP de origen = Interfaz de red perimetral de Entrante servidor VPN Puerto TCP de origen = 1723 (0x6BB) Direccin IP de origen = Interfaz de red perimetral de Entrante servidor VPN Id. de protocolo IP = 47 (0x2F) Direccin IP de origen = Interfaz de red perimetral de Entrante servidor VPN Puerto TCP de destino = 1723 (0x6BB)

Permite el trco de mantenimiento del tnel PPTP desde el servidor VPN al cliente VPN.

Permite los datos PPTP de tnel desde el servidor VPN al cliente VPN.

Slo se necesita cuando el servidor VPN acta como cliente VPN (un enrutador de llamadas) en una conexin VPN de sitio a sitio. Si se permite que todo el trco del puerto TCP 1723 llegue al servidor VPN, se pueden producir ataques de red desde orgenes de Internet que usen este puerto.

Saliente

Direccin IP de destino = Interfaz de red perimetral de Permite el trco de mantenimiento del tnel PPTP desde el cliente servidor VPN PPTP al servidor PPTP . Puerto TCP de origen = 1723 (0x6BB) Direccin IP de destino = Interfaz de red perimetral de Permite los datos PPTP de tnel desde el cliente PPTP al servidor PPTP . servidor VPN Id. de protocolo IP = 47 (0x2F)

Saliente

3 de 10

30/10/12 09:09

VPN y rewalls

http://technet.microsoft.com/es-es/library/cc753364(d=p...

Saliente

Direccin IP de destino = Interfaz de Slo se necesita cuando el servidor VPN acta como cliente VPN (un red perimetral de enrutador de llamadas) en una conexin VPN de sitio a sitio. Si se servidor VPN permite que todo el trco del servidor VPN llegue al puerto TCP 1723, se pueden producir ataques de red desde orgenes de Internet que Puerto TCP de usen este puerto. origen = 1723 (0x6BB)

Conexiones SSTP para la interfaz de Internet del firewall En la siguiente tabla se muestran los ltros SSTP entrantes y salientes de la interfaz de Internet del rewall.

Tipo de ltro

Filtro Direccin IP de destino = Interfaz de red perimetral de servidor VPN Puerto TCP de destino = 443 (0x1BB) Direccin IP de origen = Interfaz de red perimetral de servidor VPN Puerto TCP de origen = 443 (0x1BB)

Accin

Entrante

Permite el trco SSTP (HTTPS a travs de SSL) al servidor VPN.

Saliente

Permite el trco SSTP desde el servidor VPN.

Conexiones SSTP para la interfaz de red perimetral del firewall En la siguiente tabla se muestran los ltros SSTP entrantes y salientes de la interfaz de red perimetral del rewall.

Tipo de ltro

Filtro

Accin

Entrante

Direccin IP de origen = Interfaz de red Permite el trco SSTP (HTTPS a travs de SSL) perimetral de servidor VPN desde el servidor VPN al cliente VPN. Puerto TCP de origen = 443 (0x1BB) Direccin IP de destino = Interfaz de red perimetral de servidor VPN Puerto TCP de origen = 443 (0x1BB)

Saliente

Permite el trco SSTP desde el cliente SSTP al servidor SSTP .

Conexiones L2TP/IPsec para la interfaz de Internet del firewall En la siguiente tabla se muestran los ltros L2TP/IPsec entrantes y salientes de la interfaz de Internet del rewall.

4 de 10

30/10/12 09:09

VPN y rewalls

http://technet.microsoft.com/es-es/library/cc753364(d=p...

Tipo de ltro

Filtro Direccin IP de destino = Interfaz de red perimetral de servidor VPN Puerto UDP de destino = 500 (0x1F4) Direccin IP de destino = Interfaz de red perimetral de servidor VPN Puerto UDP de destino = 4500 (0x1194) Direccin IP de destino = Interfaz de red perimetral de servidor VPN Id. de protocolo IP = 50 (0x32) Direccin IP de origen = Interfaz de red perimetral de servidor VPN Puerto UDP de origen = 500 (0x1F4) Direccin IP de origen = Interfaz de red perimetral de servidor VPN Puerto UDP de origen = 4500 (0x1194) Direccin IP de origen = Interfaz de red perimetral de servidor VPN Id. de protocolo IP = 50 (0x32)

Accin

Entrante

Permite el trco IKE al servidor VPN.

Entrante

Permite el trco IPsec NAT-T al servidor VPN.

Entrante

Permite el trco IPsec ESP al servidor VPN.

Saliente

Permite el trco IKE desde el servidor VPN.

Saliente

Permite el trco IPsec NAT-T desde el servidor VPN.

Saliente

Permite el trco IPsec ESP desde el servidor VPN.

No se necesitan ltros para el trco L2TP del puerto UDP 1701. Todo el trco L2TP del rewall, incluidos los datos de mantenimiento del tnel y los datos de tnel, se cifra con IPsec ESP . Conexiones L2TP/IPsec para la interfaz de red perimetral del firewall En la siguiente tabla se muestran los ltros L2TP/IPsec entrantes y salientes de la interfaz de red perimetral del rewall.

Tipo de ltro

Filtro Direccin IP de origen = Interfaz de red perimetral de servidor VPN Puerto UDP de origen = 500 (0x1F4)

Accin

Entrante

Permite el trco IKE desde el servidor VPN.

5 de 10

30/10/12 09:09

VPN y rewalls

http://technet.microsoft.com/es-es/library/cc753364(d=p...

Entrante

Direccin IP de origen = Interfaz de red perimetral de servidor VPN Puerto UDP de origen = 4500 (0x1194) Direccin IP de origen = Interfaz de red perimetral de servidor VPN Id. de protocolo IP = 50 (0x32) Direccin IP de destino = Interfaz de red perimetral de servidor VPN Puerto UDP de destino = 500 (0x1F4) Direccin IP de destino = Interfaz de red perimetral de servidor VPN Puerto UDP de destino = 4500 (0x1194) Direccin IP de destino = Interfaz de red perimetral de servidor VPN Id. de protocolo IP = 50 (0x32)

Permite el trco IPsec NAT-T desde el servidor VPN.

Entrante

Permite el trco IPsec ESP desde el servidor VPN.

Saliente

Permite el trco IKE al servidor VPN.

Saliente

Permite el trco IPsec NAT-T al servidor VPN.

Saliente

Permite el trco IPsec ESP al servidor VPN.

Servidor VPN delante de un firewall


Con el servidor VPN delante del rewall y conectado a Internet, tal como se muestra en la siguiente ilustracin, los administradores tienen que agregar ltros de paquetes a la interfaz de Internet que slo permite el trco VPN hacia y desde la direccin IP de la interfaz del servidor VPN en Internet. En el caso del trco entrante, cuando el servidor VPN descifra los datos de tnel, se reenva al rewall, que emplea sus ltros para permitir el reenvo del trco a los recursos de intranet. Dado que el nico trco que pasa por el servidor VPN es el generado por clientes VPN autenticados, el ltrado del rewall de este escenario se puede usar para evitar que los usuarios VPN obtengan acceso a recursos de intranet concretos. Puesto que el nico trco de Internet permitido en la intranet debe pasar por el servidor VPN, este escenario tambin evita el tener que compartir recursos de intranet con usuarios de Internet no VPN. Servidor VPN delante del rewall

Filtros de paquetes de un servidor VPN delante de un firewall

6 de 10

30/10/12 09:09

VPN y rewalls

http://technet.microsoft.com/es-es/library/cc753364(d=p...

Cuando un servidor VPN se encuentra delante de un rewall y conectado a Internet, los ltros de paquetes entrantes y salientes del servidor VPN deben congurarse de modo que slo se permita el trco VPN hacia y desde la direccin IP de la interfaz de Internet del servidor VPN. Use esta conguracin si el servidor VPN se encuentra en una red perimetral, con un rewall colocado entre el servidor VPN y la intranet, y otro entre el servidor VPN e Internet. Todos los ltros de paquetes siguientes se conguran como ltros de paquetes IP en la interfaz de Internet mediante el complemento Enrutamiento y acceso remoto. Segn las decisiones de conguracin tomadas durante la ejecucin del Asistente para la instalacin del servidor de enrutamiento y acceso remoto, es posible que estos ltros de paquetes ya estn congurados. Conexiones PPTP de los filtros entrantes y salientes En la siguiente tabla se muestran los ltros entrantes y salientes del servidor VPN para PPTP .

Tipo de ltro

Filtro Direccin IP de destino = Interfaz de Internet de servidor VPN

Accin

Entrante Mscara de subred = 255.255.255.255 Puerto TCP de destino = 1723 Direccin IP de destino = Interfaz de Internet de servidor VPN Entrante Mscara de subred = 255.255.255.255 Id. de protocolo IP = 47

Permite el mantenimiento del tnel PPTP al servidor VPN.

Permite los datos PPTP de tnel al servidor VPN.

Direccin IP de destino = Interfaz de Internet de servidor VPN Slo se necesita cuando el servidor VPN acta como cliente VPN (un enrutador de llamadas) en una conexin VPN de sitio a sitio. Entrante Mscara de subred = Acepta el trco TCP nicamente cuando un servidor VPN inicia 255.255.255.255 la conexin TCP . Puerto TCP de origen (establecido) = 1723 Direccin IP de origen = Interfaz de Internet de servidor VPN Mscara de subred = 255.255.255.255

Saliente

Permite el trco de mantenimiento del tnel PPTP desde el servidor VPN.

7 de 10

30/10/12 09:09

VPN y rewalls

http://technet.microsoft.com/es-es/library/cc753364(d=p...

Puerto TCP de origen = 1723 Direccin IP de origen = Interfaz de Internet de servidor VPN Saliente Mscara de subred = 255.255.255.255 Id. de protocolo IP = 47 Direccin IP de origen = Interfaz de Internet de servidor VPN Saliente Mscara de subred = 255.255.255.255 Puerto TCP de destino (establecido) = 1723 Conexiones SSTP En la siguiente tabla se muestran los ltros entrantes y salientes del servidor VPN para SSTP . Permite los datos PPTP de tnel desde el servidor VPN.

Slo se necesita cuando el servidor VPN acta como cliente VPN (un enrutador de llamadas) en una conexin VPN de sitio a sitio. Enva el trco TCP nicamente cuando un servidor VPN inicia la conexin TCP .

Tipo de ltro

Filtro Direccin IP de destino = Interfaz de Internet de servidor VPN

Accin

Entrante

Mscara de subred = 255.255.255.255 Puerto TCP de destino = 443 Direccin IP de origen = Interfaz de Internet de servidor VPN

Permite el trco SSTP (HTTPS a travs de SSL) al servidor VPN.

Saliente

Mscara de subred = 255.255.255.255 Puerto TCP de origen = 443

Permite el trco SSTP desde el servidor VPN.

Conexiones L2TP/IPsec En la siguiente tabla se muestran los ltros entrantes y salientes del servidor VPN para L2TP/IPsec.

Tipo de ltro

Filtro

Accin

8 de 10

30/10/12 09:09

VPN y rewalls

http://technet.microsoft.com/es-es/library/cc753364(d=p...

Direccin IP de destino = Interfaz de Internet de servidor VPN Entrante Mscara de subred = 255.255.255.255 Puerto UDP de destino = 500 Direccin IP de destino = Interfaz de Internet de servidor VPN Entrante Mscara de subred = 255.255.255.255 Puerto UDP de destino = 1701 Direccin IP de destino = Interfaz de Internet de servidor VPN Entrante Mscara de subred = 255.255.255.255 Puerto UDP de destino = 4500 Direccin IP de origen = Interfaz de Internet de servidor VPN Saliente Mscara de subred = 255.255.255.255 Puerto UDP de origen = 500 Direccin IP de origen = Interfaz de Internet de servidor VPN Saliente Mscara de subred = 255.255.255.255 Puerto UDP de origen = 1701 Direccin IP de origen = Interfaz de Internet de servidor VPN Saliente Mscara de subred = 255.255.255.255 Puerto UDP de origen = 4500 Referencias adicionales Filtrado de paquetes
1

Permite el trco IKE al servidor VPN.

Permite el trco L2TP desde el cliente VPN al servidor VPN.

Permite el trco IPsec NAT-T desde el cliente VPN al servidor VPN.

Permite el trco IKE desde el servidor VPN.

Permite el trco L2TP desde el servidor VPN al cliente VPN.

Permite el trco IPsec NAT-T desde el servidor VPN al cliente VPN.

Tabla de vnculos
1

http://technet.microsoft.com/es-es/library/cc732746(v=ws.10).aspx

9 de 10

30/10/12 09:09

VPN y rewalls

http://technet.microsoft.com/es-es/library/cc753364(d=p...

Contenido de la comunidad
2012 Microsoft. Reservados todos los derechos.

10 de 10

30/10/12 09:09

También podría gustarte