Mes: noviembre 2006

VPN

Los cortafuegos modernos incluyen pasarelas VPN integradas (como ISA Server). Estas VPN permiten a usuarios remotos conectar con el servidor VPN o con la red entera mediante el túnel vpn que se configura por el canal público de Internet, o de manera alternativa, permite que dos áreas locales de red en distintos lugares conectarse entre ellas de forma segura también utilizando el canal público de Internet. Aquí ya casi hemos definido dos tipos de VPN, la del cliente hacia un servidor y una sitio-a-sitio.

VPN cliente contra servidor

Esta vpn se utiliza cuando equipos remotos individuales (por ejemplo empleados que trabajan desde su domicilio entre otros.) conecten a la red de su empresa, primero estableciendo una conexión a internet y luego utilizando el software de cliente VPN, mediante los protocolos de túnel(como PPTP o L2TP) establecer la conexión con la empresa que a su vez está conectada a internet. Ya que los datos viajan a través de este túnel y lo hacen cifrados(sea por MPPE o IPSec) es también una conexión privada.

VPN sitio-a-sitio

Esta se usa para conectar redes enteras entre sí. Como en el caso anterior, ambos sitios deben estar conectados a Internet. Se usan los mismos protocolos de túnel y cifrado. La diferencia es que con una VPN sitio-a-sitio hay una puerta de enlace y ambos son final de conexión (en lugar de un equipo cliente individual que es un final). Algunos cortafuegos son compatibles únicamente con VPNs sitio-a-sitio.

Isa Server 2004 es compatible con los protocolos PPTP, L2TP/IPSec y Modo Túnel IPSec.

Los dos primeros se pueden utilizar en accesos remotos y en sitio-a-sitio, mientras que el último sólo en conexiones sitio-a-sitio.

El modo de túnel IPSec es un compatibilidad con servidores VPN de terceros y no debería usarse si la conexión sitio-a-sitio lo es entre ISA y otro producto VPN de Microsoft(Windows 2000/Windows Server 2003 RRAS o ISA Server 2000).

La característica VPN de Isa Server 2004 es compatible con ambos tipos de conexiones VPN: cliente con servidor(llamado también acceso remoto VPN) y sitio-a-sitio.

Así mediante el acceso remoto de VPN permite que equipos individuales y configurados como clientes VPN conecten con el cortafuegos ISA Server 2004 y accedan a los recursos de la red. Los clientes pueden usar PPTP o L2PT/IPSec. Mecanismos avanzados de autenticación como SecurID, RADIUS, certificados EAP/TLS, biometría y otros son compatibles también por la VPN Acceso remoto de ISA Server 2004.

Las VPN sitio-a-sitio permiten a ISA Server 2004 conectar con otras VPN y unirse a redes enteras mediante el uso de internet. Ello hace que pueda plantearse la eliminación de las costosas líneas dedicadas entre sedes.

Una de las ventajas de ISA Server 2004 es que las reglas de cortafuego se aplican a las VPN (de uno u otro tipo). En contraste con otros productos que ofrecen completo acceso las VPN de ISA Server 2004 están expuestas al control de las reglas de acceso, con lo que cuando un cliente establece una conexión mediante una VPN contra el ISA accederá sólo a los recursos que necesita para hacer su trabajo y no otros.

Todos los Windows incluyen cliente de VPN, por lo que no necesitan instalar software de terceros, no suelen existir problemas de compatibilidad, la configuración suele ser simple y son compatibles con IETF RFC Internet Standard IPSec NAT Traversal.

Como final diré que además ISA Server 2004 también incluye características de seguridad como la Cuarentena de VPN.

Como administradores puede que queramos monitorizar usuarios, sesiones y aplicaciones en servidores remotos y llevar a cabo tareas varias para gestionar la conexión del servidor. Ahora echaremos un vistazo a la importancia de la administración de la conexión de Escritorio Remoto y como cerrar las sesiones para que no lleven tiempo abiertas sin uso.

Configuración de finalización para conexiones de escritorio remoto

Cada sesión que se inicia tiene su propia sesión de escritorio, así como la sesión de consola del servidor. Podemos configurar la cantidad de tiempo que las sesiones de cliente pueden permanecer activas en el servidor mediante la configuración de Servicios de Terminal.

Debemos establecer el tiempo de espera de las sesiones para estas conexiones porque cuanto más tiempo permanezcan activas más consumo de recursos valiosos del servidor se producen. Si una sesión se desconecta sin efectuar cierre de sesión sigue utilizando una conexión de las disponibles del servidor.

Si se realiza el cierre de sesión desde la propia sesión esta finaliza su conexión con el servidor, liberando recursos, pero al mismo tiempo cerrando las aplicaciones que estuviera ejecutando y perdiendo los datos que no se hayan guardado.

Despúes de establecer una conexión contra un servidor remoto esta permanecerá abierta hasta realizar el cierre de sesión. Si la desconectamos, la sesión queda abierta en el servidor, y en cuanto volvemos a conectar recuperamos la sesión abierta. Así que permanecerá abierta hasta el cierre correcto de sesión o hasta que un administrador la cierre o que su configuración de tiempo de espera se haya alcanzado.

Hemos de utilizar la Configuración de servicios de Terminal para establecer tiempos de espera apropiados, de entre algunas opciones:

• Finalizar una sesión desconectada. Nos permite establecer el tiempo máximo de tiempo que una sesión desconectada permanece abierta en el servidor.
• Límite de sesión activa. Nos permite establecer el tiempo máximo que la sesión de usuario puede estar activa en el servidor.
• Límite de sesión sin utilizar. Nos permite establecer la cantidad de tiempo que una sesión puede permanecer sin utilizar (sin hacer nada) antes de cerrarla.

1. Pulsamos en Inicio
2. Menú Herramientas administrativas, Configuración de Servicios de Terminal
3. En el panel de detalles, clic derecho sobre RDP-Tcp y luego en propiedades.
4. En la pestaña de sesiones, seleccionamos la primera casilla Sustituir la configuración del usuario, y,
5. Ajustamos los valores que queremos.

‘Filename: listprinters.vbs
‘Revisión: v1.0
‘Author: Juansa
‘
‘Fecha:  02/11/2006
‘Revisado: 
‘Sintaxis: listprinters.vbs pathtolist
‘pathtolist = ruta y archivo donde irán los datos

On error Resume Next

Const ForAppending = 8

‘***Comprobamos argumentos***
If WScript.Arguments.count > 0 Then
 ArchivoSalida = WScript.Arguments.item(0)
   Else
 ArchivoSalida = InputBox(«Se necesita un nombre de archivo para la lista a generar», «Listado de impresoras»)
End If

‘***Crear el archivo***

Set objFSO = CreateObject(«Scripting.FileSystemObject»)
Set objTextFile = objFSO.OpenTextFile (ArchivoSalida, ForAppending, True)

‘******

strComputer = «.»
Set objWMIService = GetObject(«winmgmts:» _
& «{impersonationLevel=impersonate}!\» & strComputer & «rootcimv2»)
Set colInstalledPrinters = objWMIService.ExecQuery _
(«Select * from Win32_PrinterDriver»)
For each objPrinter in colInstalledPrinters
objTextFile.WriteLine(«Archivo de configuración: » & objPrinter.ConfigFile)
objTextFile.WriteLine(«Fecha del archivo: » & objPrinter.DataFile)
objTextFile.WriteLine(«Descripción: » & objPrinter.Description)
objTextFile.WriteLine(«Ruta del controlador: » & objPrinter.DriverPath)
objTextFile.WriteLine(«Ruta del archivo: » & objPrinter.FilePath)
objTextFile.WriteLine(«ARchivo de ayuda: » & objPrinter.HelpFile)
objTextFile.WriteLine(«Nombre INF: » & objPrinter.InfName)
objTextFile.WriteLine(«Nombre del monitor: » & objPrinter.MonitorName)
objTextFile.WriteLine(«Nombre: » & objPrinter.Name)
objTextFile.WriteLine(«OEMUrl: » & objPrinter.OEMUrl)
objTextFile.WriteLine(«Plataforma compatible: » & objPrinter.SupportedPlatform)
objTextFile.WriteLine(«Versión: » & objPrinter.Version)
objTextFile.WriteLine(«»)
Next
objTextFile.Close
set ObjTextFile = Nothing
wscript.Echo «Hecho!!!»

Conexión de escritorio remoto vs. Escritorios remotos

Windows Server 2003 viene con dos clientes que permiten a los administradores conectar con el Escritorio Remoto.

• Conexión de Escritorio Remoto
• Complemento de Escritorios Remotos

Usando el primero podemos conectar con un servidor, podemos ejecutar multiples copias para conectar a multiples servidores, pero debemos intercambiar entre las distintas sesiones para administrar cada servidor. Cada conexión además puede mostrarse a pantalla completa o en una ventana.

Cuando conectamos a un servidor usando conexión de escritorio remoto abriremos una sesión remota de forma predeterminada.

Podemos usar la segunda para conectar a multiples servidores simultáneamente. Cada conexión se muestra en una consola MMC. El árbol de consola muestra el nombre del servidor y el panel de detalles la sesión remota.

Cuando conectamos a un servidor mediante Escritorios remotos abriremos la sesión de consola de forma predeterminada.

Por supuesto también podemos conectar con la sesión de consola de un servidor remoto mediante la herramienta de línea de comandos mstsc.

Para conectarnos con un servidor mediante Conexión de escritorio remoto:

1. En el cliente, clic en el botón Inicio.
2. Todos los programas, Accesorios, Comunicaciones, pulsamos en Conexión de Escritorio Remoto.
3. En la caja de texto escribimos el nombre o la IP del equipo a conectar, y Aceptar.
4. Cuando finalizamos y desde dentro de la sesión remota, pulsamos en inicio y cerrar sesión.

Para conectar con la sesión de consola de un servidor remoto:

1. Inicio, Herramientas administrativas, Escritorios remotos. (Sólo desde Windows Server 2003)
2. En el árbol de consola, clic derecho sobre escritorios remotos y después en Añadir nueva conexión.
3. En el cuadro de diálogo, introducimos el nombre del servidor, un nombre de conexión, usuario y contraseña, y el nombre del dominio.
4. Asegurarse que la casilla de verificación Conectar a la consola está marcada.
5. Para múltiples servidores, repetiremos los pasos 2 y 3.
6. Cuando finalicemos la sesión, cerrarla desde la sesión remota.

Usando la herramienta de línea de comandos:

1. Inicio
2. Ejecutar
3. abrimos una cmd
4. en el prompt, escribimos el comando y sus parámetros, luego pulsaremos Enter:
• mstsc /v:servidor /console
5. Iniciar sesión en el servidor.

La sintaxis completa de mstsc con mstsc /?.