Cómo restringir las conexiones SSTP a una dirección IP específica en Windows Server 2008

Seleccione idioma Seleccione idioma
Id. de artículo: 947028 - Ver los productos a los que se aplica este artículo
Expandir todo | Contraer todo

En esta página

INTRODUCCIÓN

Seguro de túnel de Sockets (SSTP) es un nuevo tipo de túnel de red privada virtual (VPN) que está disponible en la función Servicios de acceso remoto y enrutamiento en Windows Server 2008. SSTP también está disponible para su uso en Windows Vista Service Pack 1 (SP1). SSTP utiliza el protocolo HTTPS a través del puerto 443 de protocolo de control de transmisión (TCP) para pasar el tráfico a través de firewalls y Web proxy que podrían bloquear túnel de punto a punto (PPTP) y protocolo de túnel de capa 2 (L2TP) y el tráfico de IPsec. SSTP permite para que paquetes de protocolo punto a punto (PPP) encapsular a través del canal Secure Sockets Layer (SSL) del protocolo HTTPS. Esto permite una conexión VPN a establecerse más fácilmente mediante un servidor de seguridad o un dispositivo de traducción de direcciones de red (NAT). Además, esto permite una conexión VPN a establecerse a través de un dispositivo de proxy HTTP. SSTP proporciona un mecanismo para encapsular el tráfico PPP a través del canal SSL del protocolo HTTPS.

De forma predeterminada, SSTP está configurado para escuchar en todas las interfaces. Por ejemplo, SSTP se configura para escuchar en 0.0.0.0 para IPv4 o:: / 0 para IPv6. De forma predeterminada, servicios de acceso remoto y enrutamiento permite para que las conexiones VPN viajar a través de IPv4 e IPv6 todo direcciones que están disponibles en el equipo. Además, servicios de acceso remoto y enrutamiento siempre se establece el certificado de equipo, también conocido como el certificado de máquina, en http.sys. HTTP.sys es el componente de escucha HTTPS en un equipo basado en Windows Server 2008 que ejecuta Enrutamiento y servicios de acceso remoto junto con 0.0.0.0:PortNum y [:]: PortNum.

Este artículo describe cómo un administrador puede bloquear conexiones SSTP desde direcciones de IPv4 o IPv6 IP específicas o de interfaces específicas.

Más información

Para bloquear conexiones SSTP desde direcciones de IPv4 o IPv6 IP específicas o de interfaces específicas, utilice uno de los métodos siguientes.

Método 1: Configurar el filtro de paquete apropiado

  1. Inicie el complemento Enrutamiento y acceso remoto de MMC. Para ello, haga clic en Inicio , seleccione Herramientas administrativas y, a continuación, haga clic en enrutamiento y acceso remoto .
  2. Expanda IPv4 y, a continuación, haga clic en General . Aparece la lista de interfaces disponibles.
  3. Haga doble clic en la interfaz a la VPN se conectan clientes.
  4. Haga clic en filtros de entrada .
  5. Haga clic en nuevo y, a continuación, haga clic en casilla de verificación red de destino .
  6. En el cuadro dirección , escriba la dirección IP de destino.
  7. En el cuadro máscara de subred , escriba la máscara de subred de destino.
  8. En la lista de protocolos , haga clic en TCP .
  9. En el cuadro puerto de origen , escriba 443 . O bien, escriba el número de puerto SSTP si difiere de 443.
  10. En el cuadro puerto de destino , escriba 443 . O bien, escriba el número de puerto SSTP si difiere de 443.

Método 2: Configurar el certificado de un dirección IP específico: puerto para el agente de escucha HTTP

Nota Para ejecutar los comandos siguientes, debe abrir el símbolo del sistema utilizando permisos elevados. Para ello, haga clic en Inicio , haga clic con el botón secundario en símbolo y, a continuación, haga clic en Ejecutar como administrador .
  1. Eliminar el certificado de HTTP.sys. Para ello, escriba los comandos siguientes en el símbolo del sistema, donde 443 es el número de puerto SSTP:
    netsh http delete sslcert ipport = 0.0.0.0:443
    Netsh http delete sslcert ipport = [:]: 443
  2. Agregar el nuevo certificado a http.sys. Para ello, escriba los comandos siguientes en el símbolo del sistema:
    netsh http agregar sslcert ipport = IPv4 address for the HTTP listener: 443 certhash = El appid de xxx = {ba195980-cd49-458b-9e23-c84ee0adcd75} certstorename = mi
    Netsh http agregar sslcert ipport = IPv6 address for the HTTP listener: 443 certhash = El appid de xxx = {ba195980-cd49-458b-9e23-c84ee0adcd75} certstorename = mi

    Nota En estos comandos, xxx es un marcador de posición para el hash del certificado de SHA1 del certificado nuevo.
  3. En el símbolo del sistema, escriba el comando siguiente y presione ENTRAR para configurar el valor de subclave del registro de Sha256CertificateHash para el servicio SSTP:
    reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SstpSvc\Parameters /v SHA256CertificateHash /t REG_BINARY /d Sha256 hash value for the IIS Web server certificate /f

    Nota Si no puede encontrar el hash de certificado SHA256 del certificado de equipo, la completa los pasos al e para configurar un valor para la subclave Sha256CertificateHash.
    1. Reinicie el servicio Enrutamiento y acceso remoto.
    2. Configurar cualquier valor binario de 32 bytes como un valor temporal para la clave de registro Sha256CertificateHash la ubicación del registro que se menciona en el paso 3. Esta clave del registro tiene que ser de tipo REG_BINARY.
    3. En un equipo diferente, cree una conexión VPN que está basado en SSTP donde el destino de VPN es el nombre de host del servidor de acceso remoto y enrutamiento.
    4. Conectarse a la conexión VPN. La conexión dará error. Abra Visor de sucesos en el equipo cliente y, a continuación, busque el suceso siguiente:
      Cryptographic binding failed for the client connection. The reason is client and the server have mismatched certificate hashes configured. SHA1 Certificate Hash: HashValue SHA256 Certificate Hash: HashValue
      `
    5. Anote el valor de hash de certificado SHA256 en el evento en el equipo cliente y, a continuación, utilice este valor para la clave de registro Sha256CertificateHash en el servidor de enrutamiento y acceso remoto.
  4. Reinicie el servidor de enrutamiento y acceso remoto. HTTP.sys ahora está establecido para escuchar en un determinada dirección IP: puerto. Las conexiones HTTPS se quitan de otros puertos: dirección IP.

Propiedades

Id. de artículo: 947028 - Última revisión: jueves, 29 de mayo de 2008 - Versión: 1.0
La información de este artículo se refiere a:
  • Windows Server 2008 Datacenter without Hyper-V
  • Windows Server 2008 Enterprise without Hyper-V
  • Windows Server 2008 for Itanium-Based Systems
  • Windows Server 2008 Standard without Hyper-V
  • Windows Server 2008 Datacenter
  • Windows Server 2008 Enterprise
  • Windows Server 2008 Standard
Palabras clave: 
kbmt kbexpertiseadvanced kbhowto kbinfo KB947028 KbMtes
Traducción automática
IMPORTANTE: Este artículo ha sido traducido por un software de traducción automática de Microsoft (http://support.microsoft.com/gp/mtdetails) en lugar de un traductor humano. Microsoft le ofrece artículos traducidos por un traductor humano y artículos traducidos automáticamente para que tenga acceso en su propio idioma a todos los artículos de nuestra base de conocimientos (Knowledge Base). Sin embargo, los artículos traducidos automáticamente pueden contener errores en el vocabulario, la sintaxis o la gramática, como los que un extranjero podría cometer al hablar el idioma. Microsoft no se hace responsable de cualquier imprecisión, error o daño ocasionado por una mala traducción del contenido o como consecuencia de su utilización por nuestros clientes. Microsoft suele actualizar el software de traducción frecuentemente.
Haga clic aquí para ver el artículo original (en inglés): 947028

Enviar comentarios

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com