VPN con SSTP + Autenticación RADIUS

Una VPN es una herramienta útil a la hora de conectarse remotamente a una red y poder acceder a sus recursos. Permite gran movilidad para los empleados de las empresas, ya que pueden conectarse a los recursos de su compañía sin necesidad de estar físicamente en el edificio.

Las VPNs por si solas, son un buen mecanismo para permitir a los empelados acceder a la red empresarial. No obstante, podemos mejorarlas mediante el uso de políticas y certificados para filtrar el acceso y securizar la conexión.

Puede que no queramos que todo el mundo acceda a la red medainte VPN, por lo que podemos hacer uso de un servidor RADIUS con el que indicar qué usuarios o grupos de usuarios pueden acceder mediante VPN.

Otro mecanismo es asegurar el canal de comunicaciones entre usuario y la red empresarial, por lo que podemos emitir certificados para que la conexión sea segura.

 

Problemas relacionados con las VPNs

Estos métodos plantean una serie de problemas. Si usamos certificados, tenemos que invertir dinero en adquirirlos a través de una entidad certificadora de confianza especializada en ello, o bien, montar en nuestra empresa una entidad certificadora y emitir nuestros propios certificados.

Al hacer esto, todos los equipos de la red empresarial deben tener el certificado en su base de datos para que confíen en la entidad certificadora que acabamos de crear, por lo que es necesario que los equipos se encuentren dentro de la red para que puedan descargarse el certificado en su base de datos.

Si un equipo se conectara desde fuera, y no tuviera el certificado emitido por nuestra entidad certificadora, no podría acceder a la red empresarial mediante acceso seguro por VPN.

Si aun así, el equipo que intenta conectarse tiene el certificado y confía en la entidad certificadora, tendríamos que implementar un servidor de revocación de certificados. Esto sería necesario porque, aunque el cliente tenga el certificado, no puede estar seguro de si ese certificado sigue siendo válido o no, por lo que tendría que confirmarlo con una lista de revocación de certificados.

Al hacer uso de certificados, tendríamos que conectarnos a la VPN indicando el nombre FQDN del servidor, por lo que si en nuestra empresa dicho servidor no se encuentra registrado en los servidores DNS públicos, tendríamos que editar manualmente el fichero de resoluciones locales de cada máquina para que puedan resolver el nombre de la máquina VPN a la que el cliente se va a conectar.

 

Autenticación mediante un servidor RADIUS

Si usamos RADIUS para filtrar el acceso a la red, nos aseguramos de que sólo aquellos clientes que nosotros indicamos acceden a la red empresarial, pero implementar esto conlleva unos costes.

Sería aconsejable usar un servidor para RADIUS que se encargue del filtrado de los usuarios, por lo que tendríamos unos gastos adicionales al implantar un servidor RADIUS.

También podemos complicar las políticas con servidores RADIUS usando proxy RADIUS, pero ello sería útil si vamos a redirigir a los clientes a diferentes organizaciones.

Un punto negativo de RADIUS es que si el servidor se cae por algún motivo, aunque el servidor VPN esté funcionando, los clientes no podrán acceder a la empresa debido a que el servidor RADIUS no puede validar la conexión de dichos usuarios.

Asimismo, si el servidor VPN se cae por algún motivo, no podrá establecer la conexión entre los usuarios externos y la red interna de la empresa, por lo que si tenemos empleados que trabajan desde fuera, el servidor VPN se convierte en un servicio crítico.

 

 

Autor/a: Sergio Morón Romero

Curso: Microsoft MCSA Windows Server 2016 + Microsoft MCSE Cloud Platform & Infrastructure

Centro: Tajamar

Año académico: 2017-2018