Compartir a través de

Nuevas características de red en el Service Pack 1 de Microsoft Windows Server 2003: The Cable Guy – Diciembre de 2004

  • Artículo

Nuevas características de red en el Service Pack 1 de Microsoft Windows Server 2003

Publicado: diciembre 1, 2004

cable_guy

Por The Cable Guy

Para obtener una lista e información adicional acerca de todas las columnas de The Cable Guy, haga clic aquí

En esta página

Introducción Introducción
Diferencias en el comportamiento predeterminado de Firewall de Windows Diferencias en el comportamiento predeterminado de Firewall de Windows
Compatibilidad de WPS en el servidor Compatibilidad de WPS en el servidor
Actualizaciones a la extensión de Directiva de grupo de las directivas de red inalámbrica (IEEE 802.11) Actualizaciones a la extensión de Directiva de grupo de las directivas de red inalámbrica (IEEE 802.11)
Incorporación de RQS.EXE y RQC.EXE para el Control de cuarentena de acceso a la red Incorporación de RQS.EXE y RQC.EXE para el Control de cuarentena de acceso a la red
Características mejoradas de TCP/IP Características mejoradas de TCP/IP
Para obtener más información Para obtener más información

Introducción

El Service Pack 1 (SP1) de Microsoft® Windows Server™ 2003 (actualmente en fase de pruebas beta) incorpora la nuevas características de red incluidas con el Service Pack 2 (SP2) de Windows® XP y proporciona características adicionales y funciones mejoradas compatibles con servicios y operaciones de servidor.

El SP1 de Windows Server 2003 contiene todas las características mejoradas de red del SP2 de Windows XP, entre las que se incluyen las siguientes:

  • Firewall de Windows

  • Servicios de redes de punto a punto de Windows

  • Compatibilidad en el cliente de Servicios de aprovisionamiento inalámbrico (WPS)

  • Actualizaciones a Protocolo Internet versión 6 (IPv6)

  • La nueva opción Netstat –b

  • Características mejoradas de redes LAN inalámbricas

Estas características mejoradas de red se describen de manera pormenorizada en el artículo de The Cable Guy de enero de 2004, Nuevas características de red en el Service Pack 2 de Microsoft Windows XP (en inglés) y en el artículo de The Cable Guy de agosto de 2004, Características mejoradas de LAN inalámbrica en el Service Pack 2 de Windows XP.

El SP1 de Windows Server 2003 incluye también lo siguiente:

  • Diferencias en el comportamiento predeterminado de Firewall de Windows

  • Compatibilidad de WPS en el servidor

  • Actualizaciones a la extensión de Directiva de grupo de las directivas de red inalámbrica (IEEE 802.11)

  • Incorporación de Rqs.exe y Rqc.exe para el Control de cuarentena de acceso a la red

  • Características mejoradas del Protocolo de control de transmisión/Protocolo Internet (TCP/IP)

Diferencias en el comportamiento predeterminado de Firewall de Windows

El SP1 de Windows Server 2003 incluye Firewall de Windows, que funciona del mismo modo que en el SP2 de Windows XP. Sin embargo, puesto que el objetivo de un servidor es aceptar tráfico entrante no solicitado, Firewall de Windows para el SP1 de Windows Server 2003 está deshabilitado de forma predeterminada.

Este comportamiento presenta la siguiente excepción: para una nueva instalación de Windows Server 2003 que ya incluya el SP1 (denominada instalación integrada), Firewall de Windows está habilitado de forma predeterminada mientras se realizan las actualizaciones de seguridad posteriores a la instalación, una parte de la instalación inicial del servidor en la que se descargan las últimas revisiones de seguridad y se instalan desde Windows Update y se configura la característica Actualizaciones automáticas. Una vez finalizadas las actualizaciones de seguridad posteriores a la instalación, Firewall de Windows se deshabilita. Si no desea realizar las actualizaciones de seguridad posteriores a la instalación, puede usar el archivo Unattend.txt o la Directiva de grupo para configurar las opciones de Firewall de Windows. Estas actualizaciones no se realizan si se configuran las opciones de Firewall de Windows.

Puede habilitar manualmente Firewall de Windows en un equipo que ejecute el SP1 de Windows Server 2003 mediante el componente Firewall de Windows del Panel de control a través de la directiva de grupo, tal como se describe en Implementar la configuración de Firewall de Windows para el Service Pack 2 de Microsoft Windows XP (en inglés), o puede utilizar el nuevo Asistente para la configuración de la seguridad del SP1 de Windows Server 2003. Este asistente es el método recomendado para habilitar y configurar Firewall de Windows y otras opciones de seguridad en equipos que ejecutan el SP1 de Windows Server 2003.

Si habilita Firewall de Windows de forma interactiva una vez que el servidor está en funcionamiento, deberá reiniciar el equipo. De esta forma, se asegurará de que Firewall de Windows pueda agregar entradas a su tabla de excepciones para los puertos abiertos por programas correspondientes a excepciones basadas en programas habilitados. Firewall de Windows no puede determinar los puertos que ha abierto un programa si se abrieron antes de que se iniciara Firewall de Windows. Algunos mensajes de Firewall de Windows se han actualizado en el SP1 de Windows Server 2003 para recordar al usuario del equipo que reinicie el sistema si Firewall de Windows se ha habilitado de forma interactiva.

Compatibilidad de WPS en el servidor

WPS amplía el software cliente inalámbrico y el Servicio de autenticación de Internet (IAS) incluido con el SP1 de Windows Server 2003 para permitir un proceso de configuración coherente y automatizado cuando se realizan las siguientes conexiones:

  • Puntos de acceso inalámbrico públicos que proporcionan acceso a Internet.

  • Redes inalámbricas privadas de una organización que proporcionan acceso de invitado a Internet.

Por ejemplo, cuando los clientes inalámbricos se conectan a un punto de acceso inalámbrico público y aún no tienen un cliente del proveedor de servicios Internet inalámbricos (WISP), el usuario del cliente inalámbrico tiene que hacer frente a las siguientes tareas:

  • Configurar las opciones de red para la conexión con la red WISP.

  • Proporcionar información de identificación y pago al WISP.

  • Obtener las credenciales de conexión.

  • Volverse a conectar a la red WISP una vez obtenidas las credenciales válidas.

WPS está diseñado para simplificar, automatizar y estandarizar la suscripción inicial y la renovación de la suscripción, de forma que el usuario no tenga que realizar procedimientos diferentes para cada proveedor inalámbrico al que se desea conectar.

La compatibilidad de WPS en el cliente se proporciona con el SP2 de Windows XP y con el SP1 de Windows Server 2003, e incluye los servicios y los componentes para automatizar el registro, la configuración y la conexión a redes inalámbricas que admitan WPS.

La compatibilidad de WPS en el servidor se proporciona en el SP1 de Windows Server 2003 como una característica mejorada de IAS que permite el proceso de aprovisionamiento de clientes inalámbricos. Por ejemplo, IAS en el SP1 de Windows Server 2003 envía la ubicación del servidor de aprovisionamiento a los clientes inalámbricos durante el proceso de conexión inicial.

Para obtener más información sobre cómo funciona WPS para un WISP, consulte el artículo de The Cable Guy de diciembre de 2003, Información general acerca de Servicios de aprovisionamiento inalámbrico (en inglés). Para obtener información detallada sobre la implementación de WPS, consulte las notas del producto Introducción a la implementación de la tecnología de Servicios de aprovisionamiento inalámbrico (WPS) (en inglés).

Actualizaciones a la extensión de Directiva de grupo de las directivas de red inalámbrica (IEEE 802.11)

La extensión de Directiva de grupo de las directivas de red inalámbrica (IEEE 802.11) permite configurar las opciones de IEEE 802.11 y 802.1X que forman parte de la Directiva de grupo de configuración del equipo para un objeto de Directiva de grupo basado en el dominio. Para obtener más información, consulte el artículo de The Cable Guy de julio de 2004, Configurar opciones inalámbricas mediante la Directiva de grupo de Windows Server 2003 (en inglés).

La extensión de Directiva de grupo de las directivas de red inalámbrica (IEEE 802.11) en Windows Server 2003 sin Service Pack instalados no incluye opciones para configurar la autenticación y el cifrado de WPA (Acceso protegido de fidelidad inalámbrica). La extensión de Directiva de grupo de las directivas de red inalámbrica (IEEE 802.11) del SP1 de Windows Server 2003 se ha mejorado con nuevas opciones de autenticación de WPA (ahora puede elegir WPA o la clave previamente compartida de WPA [WPA-PSK]) y con opciones de cifrado (ahora puede elegir el Protocolo de integridad de clave temporal [TKIP] o el Estándar de cifrado avanzado [AES]). Estas características mejoradas son compatibles en equipos que ejecutan el SP1 de Windows XP y la Actualización de seguridad inalámbrica de Windows XP, el SP2 de Windows XP o el SP1 de Windows Server 2003.

Incorporación de RQS.EXE y RQC.EXE para el Control de cuarentena de acceso a la red

El Control de cuarentena de acceso a la red retrasa el acceso remoto normal a una red privada hasta que la configuración del equipo de acceso remoto ha sido examinada y validada por una secuencia de comandos proporcionada por el administrador. Cuando un equipo de acceso remoto inicia una conexión con un servidor de acceso remoto, se autentica al usuario y se asigna una dirección IP al equipo de acceso remoto. Sin embargo, la conexión se coloca en modo de cuarentena, con el que se limita el acceso a la red. La secuencia de comandos proporcionada por el administrador se ejecuta en el equipo de acceso remoto. Cuando la secuencia de comandos notifica al servidor de acceso remoto que se ha ejecutado correctamente y el equipo de acceso remoto satisface las directivas de red actuales, se quita el modo de cuarentena y se otorga acceso remoto normal al equipo.

La implementación del Control de cuarentena de acceso remoto requiere el uso de un componente notificador que la secuencia de comandos ejecuta cuando el equipo de acceso remoto ha superado satisfactoriamente las pruebas de directivas de red, y un componente de escucha que se ejecuta en el servidor de acceso remoto. El componente de escucha atiende la notificación enviada por el componente notificador para sacar al cliente de acceso remoto del modo de cuarentena.

Para Windows Server 2003 sin Service Pack instalados, Microsoft proporciona un ejemplo de un componente notificador, llamado Rqc.exe, con las Herramientas del Kit de recursos de Windows Server 2003 (en inglés). El SP1 de Windows Server 2003 incluye ahora Rqc.exe, que se instala con el componente Kit de administración de Connection Manager en la carpeta Archivos de programa\CMAK\Support de la unidad del sistema.

Para instalar el Kit de administración de Connection Manager en un servidor de acceso remoto que ejecuta el SP1 de Windows Server 2003, siga estos pasos:

  1. Haga clic en Inicio, elija Configuración, haga clic en Panel de control, haga doble clic en Agregar o quitar programas y, a continuación, haga clic en Agregar o quitar componentes de Windows.

  2. En Componentes, desplácese hasta Herramientas de administración y supervisión y haga clic en esta opción.

  3. Haga clic en Detalles.

  4. En Subcomponentes de Herramientas de administración y supervisión, haga clic en Kit de administración de Connection Manager y luego en Aceptar.

Para Windows Server 2003 sin Service Pack instalados, Microsoft proporciona un ejemplo de un componente de escucha, llamado Rqs.exe, con las Herramientas del Kit de recursos de Windows Server 2003. El SP1 de Windows Server 2003 incluye ahora Rqs.exe, que se instala con el componente Servicio de cuarentena de acceso remoto.

Para instalar el Servicio de cuarenta de acceso remoto en un servidor de acceso remoto que ejecuta el SP1 de Windows Server 2003, siga estos pasos:

  1. Haga clic en Inicio, elija Configuración, haga clic en Panel de control, haga doble clic en Agregar o quitar programas y, a continuación, haga clic en Agregar o quitar componentes de Windows.

  2. En Componentes, desplácese hasta Servicios de red y haga clic en esta opción.

  3. Haga clic en Detalles.

  4. En Subcomponentes de Servicios de red, haga clic en Servicio de cuarentena de acceso remoto y luego en Aceptar.

Al instalar el Servicio de cuarentena de acceso remoto no se inicia automáticamente el servicio Agente de cuarentena de acceso remoto. Como administrador de la red, debe decidir el momento adecuado para iniciar el servicio de acuerdo con la configuración del servicio Enrutamiento y acceso remoto. El servicio Agente de cuarentena de acceso remoto depende del servicio Enrutamiento y acceso remoto. Sin embargo, cuando se reinicia el servicio Enrutamiento y acceso remoto, el servicio Agente de cuarentena de acceso remoto no se reinicia automáticamente. Debe reiniciarlo manualmente.

Como parte de la configuración del Agente de cuarentena de acceso remoto, deben configurarse las cadenas de versión de secuencia de comandos, que deben coincidir con la cadena de versión de secuencia de comandos configurada en la línea de comandos de Rqc.exe cuando se ejecuta desde la secuencia de comandos de cuarentena. Rqs.exe puede configurarse para que acepte varias cadenas de versión de secuencia de comandos. Deberá modificar manualmente el Registro del servidor de acceso remoto para especificar las cadenas de versión de secuencia de comandos permitidas.

Para modificar las cadenas de versión de secuencia de comandos, utilice el Editor del Registro de Windows y modifique la entrada HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\rqs\AllowedSet (tipo REG_MULTI_SZ). De forma predeterminada, el valor de AllowedSet está establecido en "RASQuarantineConfigPassed". Para permitir varias cadenas de versión de secuencia de comandos, escriba las cadenas en líneas distintas en el cuadro de diálogo Modificar cadenas múltiples cuando modifique la entrada AllowedSet.

De manera predeterminada, Rqs.exe atiende las notificaciones de Rqc.exe en el puerto TCP 7250. Para cambiar el puerto TCP predeterminado, cree la entrada del Registro HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\rqs\Port (tipo REG_DWORD) y establézcala en el puerto que desee. Reinicie el servicio Agente de cuarentena de acceso remoto para que el cambio de número de puerto surta efecto. Asegúrese de que el puerto que configura para Rqs.exe es el mismo que el puerto TCP que utiliza Rqc.exe para enviar sus notificaciones.

Para obtener más información sobre cómo implementar el Control de cuarentena de acceso remoto, consulte Control de cuarentena de acceso remoto en Windows Server 2003 (en inglés).

Para obtener algunos ejemplos de secuencias de comandos de Control de cuarentena de acceso remoto, descárguese gratuitamente Secuencias de comandos de ejemplo para comprobar la configuración del cliente para la cuarentena de VPN (en inglés).

Características mejoradas de TCP/IP

TCP/IP en el SP1 de Windows Server 2003 incluye las siguientes características mejoradas:

  • La protección contra los ataques SYN está habilitada de forma predeterminada

  • Nuevas API auxiliares para IP de notificación de ataques SYN

  • Asignación inteligente de puertos TCP

La protección contra los ataques SYN está habilitada de forma predeterminada

Un ataque de sincronización de TCP (SYN) es un ataque de denegación de servicio que aprovecha el comportamiento de retransmisión y tiempo de espera del segmento Sincronizar-Confirmar (Synchronize-Acknowledgement o SYN-ACK) durante la negociación tridireccional del protocolo TCP para crear un gran número de conexiones TCP semiabiertas. Según la implementación del protocolo TCP/IP, un gran número de conexiones TCP semiabiertas puede dar lugar a lo siguiente:

  • El uso de toda la memoria disponible.

  • El uso de todas las entradas posibles del Bloque de control de transmisión (TCB) de TCP, una tabla interna utilizada para realizar un seguimiento de las conexiones TCP. Cuando las conexiones semiabiertas utilizan todas las entradas, la respuesta a los siguientes intentos de conexión es un reinicio de la conexión TCP.

  • El uso de todas las conexiones semiabiertas disponibles. Cuando se utilizan todas las conexiones semiabiertas, la respuesta a los siguientes intentos de conexión es un reinicio de la conexión TCP.

Para crear un gran número de conexiones semiabiertas TCP, los atacantes envían un gran número de segmentos SYN, cada uno desde una dirección IP y un número de puerto TCP falsos. Cada dirección IP y número de puerto TCP falso se corresponde con un proceso que no responde a los segmentos SYN-ACK enviados por el host atacado. Los ataques SYN se utilizan normalmente para que los servidores de Internet dejen de funcionar.

Para mitigar el impacto de un host objeto de un ataque SYN, TCP/IP reduce la cantidad de recursos dedicados a conexiones TCP incompletas y la cantidad de tiempo antes de abandonar las conexiones semiabiertas. Cuando se detecta un ataque SYN, TCP/IP de Windows Server 2003 y Windows XP reduce el número de retransmisiones del segmento SYN-ACK y no asigna memoria ni recursos de entradas de la tabla a la conexión hasta que finaliza la negociación tridireccional del protocolo TCP.

Puede controlar la protección contra los ataques SYN mediante la entrada del Registro SynAttackProtect situada en HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Tcpip\Parameters (tipo REG_DWORD). Puede establecer SynAttackProtect en 0 para deshabilitar la protección contra los ataques SYN y en 1 para habilitarla.

Para TCP/IP en Windows XP (todas las versiones) y Windows Server 2003 sin Service Pack instalados, SynAttackProtect está establecido en 0 de forma predeterminada. Para TCP/IP en SP1 de Windows Server 2003, SynAttackProtect está establecido en 1 de forma predeterminada.

Para obtener más información sobre el comportamiento de la conexiones TCP y las entradas del Registro relacionadas, consulte Detalles de la implementación de TCP/IP de Microsoft Windows Server 2003 (en inglés).

Nuevas API auxiliares para IP de notificación de ataques SYN

Para permitir que una aplicación notifique a los administradores de red que se está produciendo un ataque SYN, la API auxiliar para IP admite nuevas API de notificación de ataques SYN llamadas NotifySecurityHealthChange y CancelSecurityHealthChangeNotify. Aún no se ha publicado información sobre estas nuevas API en Microsoft Developer Network (MSDN). Cuando esté disponible, se incluirá en este documento un vínculo a los temas de MSDN en los que se describen estas nuevas API.

Asignación inteligente de puertos TCP

Cuando un homólogo TCP inicia una terminación de conexión TCP y la terminación de conexión finaliza, la conexión TCP entra en el estado TIME WAIT. Una vez que se encuentra en este estado, TCP debe esperar dos veces la duración máxima del segmento (MSL) antes de que se pueda crear una conexión con el mismo conjunto de direcciones de socket. El conjunto de direcciones de socket está formado por la combinación de las direcciones IP de origen y destino y los puertos TCP de origen y destino. La MSL es la cantidad máxima de tiempo que un segmento TCP puede permanecer en una red interconectada, y su valor recomendado es de 120 segundos. Este retraso impide que los segmentos TCP de una nueva conexión que utilizan el mismo conjunto de direcciones de socket se confundan con segmentos TCP duplicados de la conexión antigua.

El puerto TCP de una conexión en el estado TIME WAIT se considera un puerto disponible y puede asignarse para que lo utilice una aplicación. Esto puede dar lugar a la siguiente situación:

  1. Una aplicación solicita un puerto TCP disponible.

  2. TCP/IP asigna un puerto TCP para que lo utilice el socket de aplicación.

  3. La aplicación intenta abrir un socket con una dirección IP de destino específica.

  4. La aplicación establece una conexión TCP y envía datos.

  5. La aplicación termina la conexión TCP.

  6. TCP/IP coloca la conexión TCP de la aplicación en el estado TIME WAIT hasta que transcurra dos veces la duración máxima del segmento.

  7. La misma aplicación solicita otro puerto TCP disponible.

  8. TCP/IP asigna un puerto TCP para que lo utilice el socket de aplicación. Como el puerto de la conexión en el estado TIME WAIT se considera que está abierto, puede seleccionarse como el siguiente puerto para su asignación a la aplicación solicitante.

  9. En el caso de que TCP/IP asignara el mismo número de puerto TCP, la aplicación intentaría abrir un socket con la misma dirección IP de destino.

  10. Como la conexión utiliza el mismo conjunto de direcciones de socket que la conexión en el estado TIME WAIT, TCP/IP indica a la aplicación que se ha producido un error.

Para solucionar este problema puede:

  • Establecer la entrada del Registro MaxFreeTWTcbs en HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Tcpip\Parameters (tipo REG_DWORD) en un valor inferior. El valor de MaxFreeTWTcbs controla el número de conexiones que pueden estar en el estado TIME WAIT. Cuando se sobrepase este número, se eliminará del estado TIME WAIT automáticamente la conexión más antigua.

  • Establecer la entrada del Registro TcpTimedWaitDelay en HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Tcpip\Parameters (tipo REG_DWORD) en un valor inferior. El valor de TcpTimedWaitDelay determina la cantidad de tiempo que una conexión permanece en el estado TIME WAIT.

Sin embargo, la reducción del valor de estas entradas del Registro contraviene el diseño original de TCP y de MSL.

Para obtener más información sobre estas entradas del Registro, consulte Detalles de la implementación de TCP/IP en Microsoft Windows Server 2003 (en inglés).

Para impedir que una aplicación cree una conexión con el mismo conjunto de direcciones de socket que una conexión que se encuentra en un estado TIME WAIT, TCP/IP en el SP1 de Windows Server 2003 dispone de un algoritmo de asignación inteligente de puertos TCP. Cuando una aplicación solicita un puerto TCP disponible, TCP/IP intenta primero encontrar un puerto disponible que no se corresponda con una conexión en estado TIME WAIT. Si no puede encontrar dicho puerto, selecciona cualquier puerto disponible.

Este nuevo comportamiento reduce considerablemente la posibilidad de que a una aplicación se le asigne un puerto TCP que se encuentra en el estado TIME WAIT cuando se conecta al mismo destino. Ya no es necesario modificar los valores de las entradas del Registro MaxFreeTWTcbs y TcpTimedWaitDelay.

Para obtener más información

Para obtener más información, consulte los siguientes recursos:

Para enviar opiniones relativas al contenido de esta columna, escriba a Microsoft TechNet. Tenga en cuenta que no se trata de un alias de soporte técnico y que no se garantiza la respuesta.

Para obtener una lista e información adicional acerca de todas las columnas de The Cable Guy, haga clic aquí.