Busca en el BLOG

jueves, 30 de diciembre de 2021

ALWAYS On VPN

Qué es Always On VPN 


El aumento del trabajo a distancia ha seguido creciendo con las nuevas innovaciones tecnológicas, pero ha experimentado un incremento masivo desde la pandemia de Covid-19. Empresas de todo el mundo han enviado a sus trabajadores a casa. Sin embargo, permitir que los trabajadores remotos accedan de forma segura a los recursos de la empresa dentro del perímetro de la red no es una tarea sencilla.

Microsoft ofrece dos soluciones para mejorar el trabajo remoto: DirectAccess y Windows Always On VPN. En este artículo hablaremos de esto último.

Qué es Always On VPN

Always On VPN es una de las últimas soluciones de acceso remoto de Microsoft y está integrada en Windows 10. La otra solución de acceso remoto es DirectAccess, que se utiliza desde hace años. Los dos son básicamente lo mismo, ya que ambos proporcionan un acceso remoto consistente y transparente, pero se supone que Always On VPN es el sucesor de DirectAccess.


DirectAccess permite que los ordenadores cliente se conecten de forma segura a los recursos corporativos sin pasar por la configuración tradicional de una VPN. Los usuarios no necesitan iniciar y detener las conexiones porque los ordenadores cliente siempre están conectados a la red. DirectAccess era el estándar de oro hasta que Microsoft introdujo Always On VPN, que mejora la seguridad, la autenticación, el rendimiento y la gestión.


Lo que necesita para Always On VPN

Always On VPN sólo funciona con Windows 10. Para desplegarlo, necesitará

Una infraestructura de clave pública (PKI) basada en AD.

Servicios de certificación de Active Directory (AD CS)

Un servidor de Autoridad de Certificación (CA)

Un servidor de autenticación (RADIUSNPS)

Un servidor de acceso remoto

Solución MDM

Para aprovechar las funciones avanzadas de Always On VPN, los dispositivos Windows 10 deben estar unidos a Azure AD. Always On VPN requiere al menos dos servidores, uno de los cuales es el servidor VPN con el rol de Enrutamiento y Acceso Remoto, y el otro es el servidor RADIUS con el rol de NPS. La mayoría de las organizaciones configuran servidores Windows, pero es posible utilizar servidores de terceros, como las CA privadas de SecureW2, que pueden personalizarse para satisfacer sus necesidades.

 

Cómo funciona Always On VPN

Always On VPN funciona como un servicio automatizado que establece una conexión entre el cliente y la VPN sin ninguna interacción del usuario. Se ha diseñado como sustituto de DirectAccess y es más fácil de gestionar e implantar y más seguro.

 

Características de VPN Always On

La tendencia al trabajo a distancia ha crecido rápidamente a lo largo de los años, haciendo que las VPN sean aún más necesarias. Sin embargo, las VPN también son vectores habituales de ciberataques, por lo que la seguridad debe ser una prioridad.

 

Con Always On VPN, los administradores de red pueden mantener configuraciones estándar; sus dispositivos y máquinas se benefician del más alto nivel de seguridad. El filtrado del tráfico permite a los administradores gestionar y restringir el acceso de los usuarios remotos. Al combinar Always On VPN con Azure AD, los administradores obtienen acceso condicional, lo que significa que pueden crear configuraciones personalizadas, asociarlas con los usuarios y basar el acceso de los usuarios en esas configuraciones.

Always On VPN puede integrarse con Azure MFA (o cualquier otro proveedor de MFA) y Windows Hello para reforzar aún más las medidas de seguridad de la red.


Always On VPN + AD CS PKI

AD CS puede proporcionar el mecanismo de autenticación para Always ON VPN mediante la emisión de certificados. Con AD CS, los administradores pueden emitir certificados para usuarios, dispositivos, máquinas, servidores, etc. y actuar como su identidad en el espacio digital. Ya no es necesario que los usuarios introduzcan sus propias contraseñas, ya que el certificado es suficiente identificación.

Este es un breve resumen de cómo habilitar Always On VPN, pero consulte esta guía para obtener una explicación más detallada.

Configuración de grupos de seguridad en AD

Cree grupos para servidores y usuarios y comience a asignarlos a sus grupos personalizados.

Configurar la solución PKI

La mayoría de las organizaciones utilizan AD CS, pero muchas han tenido dificultades para instalar AD CS porque no planificaron adecuadamente su implementación de PKI. Tómese el tiempo necesario para determinar lo que necesita y lo que no. Es posible que haya otras soluciones PKI que le funcionen mejor que AD CS.

Crear y publicar plantillas de certificados

Es necesario crear tres plantillas, una para los usuarios de la VPN, otra para el servidor NPS y otra para el servidor VPN.

Utilizar la política de grupo para inscribir automáticamente los certificados

Los administradores pueden utilizar la Política de Grupo para configurar los certificados con políticas de seguridad y suministrarlos automáticamente a los dispositivos, ordenadores, estaciones de trabajo, etc.

Instalar NPS (RADIUS)

Para desplegar Always On VPN, necesita un servidor de autenticación. La mayoría de los sistemas de Microsoft utilizan NPS como servidor RADIUS, pero se pueden configurar servidores de terceros, como el Dynamic CloudRADIUS de SecureW2.

Configuración del RAS

RAS y su sucesor, RRAS, permiten a los usuarios conectarse a las redes de Microsoft de forma remota.

Configure sus máquinas Windows 10.

Despliegue la configuración.

Ahora debería poder conectar sus máquinas y dispositivos Windows 10 a Always On VPN.

Always On VPN + SecureW2 PKI y CloudRADIUS

 

SecureW2 PKI simplifica la emisión y gestión de certificados. Los administradores pueden buscar fácilmente certificados por nombre de usuario, SAN, sistema operativo, etc. También puede seleccionar usuarios individuales y ver todos sus certificados y dispositivos, así como sus registros de inscripción de certificados, lo que facilita la resolución de problemas a distancia. También mejora significativamente el proceso de inscripción de certificados.

 

Nuestra solución PKI incluye el software de incorporación de JoinNow, que permite a los dispositivos BYOD, independientemente de su sistema operativo, inscribirse fácilmente para obtener certificados. Además, nuestras avanzadas pasarelas API permiten a los administradores enviar cargas útiles que permiten a los dispositivos gestionados inscribirse para obtener certificados de forma altamente segura.

 

Además de nuestro software PKI y de host, SecureW2 ofrece CloudRADIUS, una solución RADIUS llave en mano que puede implementarse en prácticamente cualquier entorno porque funciona con los principales proveedores de identidad SAML y LDAP, como AD o Azure AD. Diseñado desde cero para la autenticación EAP-TLS basada en certificados, elimina el riesgo de que las credenciales se envíen por Internet y el riesgo de que sean robadas.

 

CloudRADIUS disfruta de todas las ventajas de la computación en la nube, incluida la disponibilidad 24 horas al día, 7 días a la semana, y la redundancia incorporada para gestionar fácilmente grandes eventos de integración. Además de las ventajas de la computación en la nube, CloudRADIUS es más escalable que las soluciones locales, lo que facilita la ampliación de las capacidades de su red a medida que su empresa crece. La seguridad y la experiencia del usuario mejoran con CloudRADIUS porque realiza la autenticación EAP-TLS basada en certificados.

 

PIF

https://www.youtube.com/c/pablitoinformatico  https://www.pablitoinformatico.net http://www.pablitoinformatico.net/ https://blog.pablitoinformatico.netTelegram Pablito informático

No hay comentarios:

Publicar un comentario