Esta sección contiene ejemplos de autenticación que se utilizarán en los procedimientos del Chapter 5, Configuración de autenticación de protocolo punto a punto.
Las tareas de Configurar autenticación PAP muestran cómo configurar la autenticación PAP a través del enlace de PPP. Los procedimientos utilizan como ejemplo un escenario de PAP que se creó para la compañía ficticia "Big Company" en Ejemplo de una configuración para PPP de marcación telefónica.
Big Company desea permitir que los usuarios trabajen desde casa. Los administradores del sistema desean una solución segura para las líneas de serie al servidor de marcación de entrada. El inicio de sesión de estilo UNIX que utiliza la base de datos de contraseñas NIS ha resultado útil en el pasado para la red de Big Company. Los administradores del sistema desean un esquema de autenticación como UNIX para las llamadas que ingresan a la red a través del enlace de PPP. Por lo tanto, los administradores implementan el siguiente escenario que utiliza autenticación PAP.
Figura 2-3 Ejemplo de un escenario de autenticación PAP (al trabajar desde casa)
Los administradores del sistema crean una DMZ de marcación de entrada que está separada del resto de la red corporativa por un enrutador. El término DMZ proviene del término militar “zona desmilitarizada”. La DMZ es una red aislada que se configura por cuestiones de seguridad. La DMZ normalmente contiene los recursos que una compañía ofrece al público, como servidores web, servidores FTP anónimos, bases de datos y servidores de módem. Los diseñadores de red con frecuencia ubican la DMZ entre un cortafuegos y la conexión de Internet de la compañía.
Los únicos ocupantes de la DMZ que se ilustra en la Figure 2–3 son el servidor de marcación de entrada myserver y el enrutador. El servidor de marcación de entrada requiere que los emisores de llamadas proporcionen credenciales de PAP, incluidos los nombres de usuario y las contraseñas, al configurar el enlace. Además, el servidor de marcación de entrada utiliza la opción login de PAP. Por lo tanto, los nombres de usuario y las contraseñas de PAP de los emisores de llamadas deben corresponderse exactamente con los nombres de usuario y las contraseñas de UNIX en la base de datos de contraseñas del servidor de marcación de entrada.
Después de que se establece el enlace de PPP, los paquetes del emisor de llamada se reenvían al enrutador. El enrutador reenvía la transmisión a su destino en la red corporativa o en Internet.
Las tareas de Configuración de autenticación CHAP muestran cómo configurar la autenticación CHAP. Los procedimientos utilizan como ejemplo un escenario de CHAP que se creará para la compañía ficticia LocalCorp que se presentó en Ejemplo de una configuración para un enlace de línea arrendada.
LocalCorp proporciona conectividad a Internet a través de una línea arrendada a un ISP. El departamento de asistencia técnica dentro de LocalCorp genera un tráfico de red pesado. Por lo tanto, la asistencia técnica requiere su propia red privada aislada. Los técnicos de campo del departamento viajan mucho y necesitan poder acceder a la red de asistencia técnica desde ubicaciones remotas para obtener información de resolución de problemas. Para proteger la información confidencial en la base de datos de la red privada, se debe autenticar a los emisores de llamadas remotos antes de otorgarles permiso para iniciar sesión.
Por lo tanto, los administradores del sistema implementan el siguiente escenario de autenticación CHAP para una configuración de PPP de acceso telefónico.
Figura 2-4 Ejemplo de un escenario de autenticación CHAP (llamada a una red privada)
El único enlace de la red de asistencia técnica al mundo exterior es la línea de serie al extremo del enlace del servidor de marcación de entrada. Los administradores del sistema configuran el equipo portátil de cada representante del servicio de campo para PPP con seguridad de CHAP, incluido un secreto de CHAP. La base de datos chap-secrets en el servidor de marcación de entrada contiene las credenciales de CHAP para todos equipos a los que se les permite llamar a la red de asistencia técnica.