Opciones de autenticación de VPN

• Se aplica a:

  ✅ Windows 11, ✅ Windows 10

Además de los métodos de autenticación basados en contraseña antiguos y menos seguros (que deben evitarse), la solución VPN integrada usa el protocolo de autenticación extensible (EAP) para proporcionar una autenticación segura con el nombre de usuario y la contraseña, y métodos basados en certificados. Solo puedes configurar la autenticación basada en EAP si seleccionas un tipo VPN integrado (IKEv2, L2TP, PPTP o automático).

Windows admite una serie de métodos de autenticación de EAP.

• EAP-Microsoft Challenge Handshake Authentication Protocol versión 2 (EAP-MSCHAPv2):

  • Autenticación por nombre de usuario y contraseña
  • Credenciales de Winlogon: puedes especificar la autenticación con credenciales de inicio de sesión del equipo

• Seguridad de la capa de EAP-Transport (EAP-TLS):

  • Admite los siguientes tipos de autenticación de certificados:

    • Certificado con claves en el proveedor de almacenamiento de claves (KSP) de software
    • Certificado con claves en módulo de plataforma segura (TPM) KSP
    • Certificados de tarjeta inteligente
    • Certificado de Windows Hello para empresas

  • Filtrado de certificados:

    • El filtrado de certificados puede habilitarse para buscar un determinado certificado que se usará para autenticarse
    • El filtrado puede basarse en el emisor o en el uso extendido de claves (EKU)

  • Validación del servidor: con TLS, la validación del servidor se puede activar o desactivar:

    • Nombre de servidor: especifica el servidor para validar
    • Certificado de servidor: certificado raíz de confianza para validar el servidor
    • Notificación: especifica si el usuario debe recibir una notificación que le pregunte si confiar en el servidor o no

• Protocolo de autenticación extensible protegido (PEAP):

  • Validación del servidor: con PEAP, la validación del servidor se puede activar o desactivar:

    • Nombre de servidor: especifica el servidor para validar
    • Certificado de servidor: certificado raíz de confianza para validar el servidor
    • Notificación: especifica si el usuario debe recibir una notificación que le pregunte si confiar en el servidor o no

  • Método interno: el método externo crea un túnel seguro dentro mientras que el método interno se usa para completar la autenticación:

    • EAP-MSCHAPv2
    • EAP-TLS

  • Reconexión rápida: reduce el retraso entre un la solicitud de autenticación de un cliente y la respuesta del servidor de directivas de redes (NPS) u otro servidor de Servicio de autenticación remota telefónica de usuario (RADIUS). Esto reduce los requisitos de recursos del cliente y el servidor, a la vez que minimiza el número de veces que se le piden las credenciales a los usuarios.

  • Cryptobinding: al derivar e intercambiar valores del material de clave de la fase 1 de PEAP (clave de túnel) y del material de clave del método EAP interno de la fase 2 de PEAP (clave de sesión interna), es posible demostrar que las dos autenticaciones finalizan en las mismas dos entidades (servidor PEAP del mismo nivel y PEAP). Este proceso, que se conoce como "cryptobinding", se usa para proteger la negociación de PEAP contra los ataques "Man in the Middle".

• Seguridad de capa de transporte de túnel (TTLS)

  • Método interno
    • Sin EAP
      • Protocolo de autenticación de contraseña (PAP)
      • CHAP
      • MSCHAP
      • MSCHAPv2
    • EAP
      • MSCHAPv2
      • TLS
  • Validación del servidor: en TTLS, el servidor debe validarse. Puede configurarse lo siguiente:
    • Nombre del servidor
    • Certificado raíz de confianza para el certificado de servidor
    • Si debe haber una notificación de validación de servidor

Para un complemento VPN de UWP, el proveedor de la aplicación controla el método de autenticación que se usará. Pueden usarse los siguientes tipos de credenciales:

• Tarjeta inteligente
• Certificado
• Windows Hello para empresas
• Nombre de usuario y contraseña
• Contraseña de un solo uso
• Tipo de credencial personalizada

Configurar la autenticación

Consulta Configuración de EAP para conocer la configuración de EAP XML.

Nota

Para configurar la autenticación de Windows Hello para empresas, sigue los pasos de configuración de EAP para crear un certificado de tarjeta inteligente. Más información sobre Windows Hello para empresas.

La siguiente imagen muestra el campo para EAP XML en un perfil de VPN de Microsoft Intune. El campo de EAP XML solo aparece cuando seleccionas un tipo de conexión integrada (automático, IKEv2, L2TP, PPTP).

Temas relacionados

• Guía técnica de VPN
• Tipos de conexión de VPN
• Decisiones de enrutamiento de VPN
• VPN y acceso condicional
• Resolución de nombres de VPN
• Opciones desencadenadas automáticamente de perfil de VPN
• Características de seguridad de VPN
• Opciones de perfil de VPN
• Protocolo de autenticación extensible (EAP) para el acceso a la red