Top Banner
Instituto Superior UNITEK Instituto Superior UNITEK del Grupo IDAt del Grupo IDAt TEMAS: IPSec y Certificados Digitales en Windows 2003 Server (Definición y características) PROFESOR: FREDY COLLANQUI MARTINEZ PRESENTADO POR: NORA YANETH CRUZ TIQUE SEMESTRE: QUINTO COMPUTACION INFORMATICA PUNO- PERU 2008
24

Instituto Superior UNITEK del Grupo IDAt

Jun 07, 2015

Download

Documents

Nora

nora yaneth cruz tique trabajo de sistemas operativos TEMAS: IPSec y Certificados Digitales en Windows 2003 Server (Definición y características)
Welcome message from author
This document is posted to help you gain knowledge. Please leave a comment to let me know what you think about it! Share it to your friends and learn new things together.
Transcript
Page 1: Instituto Superior UNITEK del Grupo IDAt

Instituto Superior UNITEK del Instituto Superior UNITEK del Grupo IDAtGrupo IDAt

TEMAS: IPSec y Certificados Digitales en Windows 2003 Server (Definición y características)

PROFESOR:FREDY COLLANQUI MARTINEZ

PRESENTADO POR:NORA YANETH CRUZ TIQUE

SEMESTRE:QUINTO

COMPUTACION INFORMATICA

PUNO- PERU

2008

Page 2: Instituto Superior UNITEK del Grupo IDAt

¿Qué es IPSec?¿Qué es IPSec?

IPSec (Internet Protocol Security).-Internet Protocol Security (IPSec) es un entorno de estándares abiertos para garantizar comunicaciones privadas y seguras a través de redes Internet Protocol (IP), mediante el uso de servicios de seguridad basados en cifrado. IPSec soporta autenticación de sistemas a nivel de red, autenticación del origen de los datos, integridad de datos, confidencialidad de datos (encriptación) y protección frente a reenvío. la implementación de IPSec de Microsoft se basa en estándares desarrollados por el grupo de trabajo de IPSec de la IETF (Internet Engineering Task Force).IPSec está soportado en Windows Server™ 2003, Windows XP, y Windows 2000, y está integrado con el servicio de Directorio Activo. Las políticas IPSec se pueden asignar mediante Políticas de Grupo, lo que permite que los parámetros de IPSec se configuren a nivel de dominio, site o unidad organizativa.Este sitio Web contiene enlaces a recursos muy diversos sobre IPSec y su soporte en Windows Server 2003.IPSec (Internet Protocol Security

Page 3: Instituto Superior UNITEK del Grupo IDAt

Internet Protocol Security for Microsoft Windos Server 2003Internet Protocol Security for Microsoft Windos Server 2003Este Whitepaper contiene una introducción al soporte de IPSec en Windows Server 2003, los beneficios derivados del uso de IPSec, escenarios comunes de uso de IPSec, los conceptos básicos del proceso de implantación de IPSec y cómo funciona IPSec.El Microsoft Windows Server 2003 sistema operativo incluye una implementación de la Internet Engineering Task Force de la seguridad de Protocolo de Internet (IPSec). IPSec, que también se incluye en Windows 2000 y Windows XP, ofrece gestores de la red con una clave de la línea de defensa para proteger sus redes. IPSec existe por debajo de la capa de transporte, por lo que sus servicios de seguridad son heredados de forma transparente aplicaciones. IPSec proporciona la protección de la integridad de los datos, autenticación de origen de datos, confidencialidad de los datos, protección y reproducción, sin tener que actualizar las aplicaciones o usuarios de los trenes.

IPSec ArchitectureIPSec ArchitectureEste artículo de Technet es una reedición del Capítulo 4 de "IPSec—The New Security Standard for the Internet, Intranets and Virtual Private Networks" (Ed. Prentice Hall) escrito por Naganand Doraswamy y Dan Harkins, donde se describen los detalles de la arquitectura de IPSec así como la de diversos componentes internos, cómo interactúan entre ellos, los protocolos de la familia IPSec y los modos en que operan.

IPSec ImplementationIPSec ImplementationEste artículo de Technet es una reedición del Capítulo 9 de "IPSec—The New Security Standard for the Internet, Intranets and Virtual Private Networks" (Ed Prentice Hall) escrito por Naganand Doraswamy y Dan Harkins, que describe detalles de los aspectos más importantes de la implantación de IPSec, como la interacción de los componentes de IPSec, interfaces que expone cada uno de esos componentes y un recorrido a través del procesamiento de paquetes de entrada y salida.

Page 4: Instituto Superior UNITEK del Grupo IDAt

Implementar IPSec en Windows Server 2003 En este sentido, la última en nuestra serie de Windows Server 2003 la administración tutoriales, veremos

en el proceso de implementación de IPSec en Windos Server 2003. Vamos a ver también a algunos de los procedimientos que deben ser conscientes de cuando se realiza esta aplicación en una red en vivo. Cuando estamos haciendo todos, vamos a mirar hacia atrás en el proceso y sopesar los pros y los contras, buscando responder a una sencilla pregunta: ¿Merece la pena considerar la posibilidad de IPSec aplicación para su red?

IPSec 101Antes de vadeo en una explicación de cómo implementar IPSec, primero debemos tomar un momento para introducir a usted, o refrescar sus conocimientos de, esta libre y muy eficaz método de asegurar las transmisiones de red. En un plano teórico, IPSec es un marco diseñado para garantizar la seguridad de red basada en IP de tráfico. A nivel práctico, se trata de un protocolo de capa de red que encripta los datos para que no se puede "inhalados" de la red y posteriormente leer o alterada. IPSec logra esta funcionalidad a través de dos protocolos de autenticación IPSec llamado Header (AH) y la encapsulación de IPSec Seguridad de carga útil (ESP). IPSec AH realidad, no encriptar los datos, pero sí proporciona la autenticación y la integridad de los datos garantizada. En otras palabras, IPSec con AH, alguien puede leer los datos en una red de transporte, pero no pueden alterar. Tampoco puede alguien falso el origen de los datos. IPSec ESP, en cambio, se centra en la obtención de datos en la transmisión, aunque lo hace también algunos de autenticación, y una medida de comprobación de la integridad de los datos. La buena noticia es que en un equipo con Windows Server 2003 IPSec aplicación, como sucede con la mayoría de los otros, no es necesario elegir entre IPSec IPSec AH y ESP. Puede usar ambos protocolos para obtener el beneficio completo de IPSec - autenticación, garantiza la integridad de los datos, y la transferencia de datos cifrada.

IPSec y Windows Server 2003 Ahora que hemos recapped IPSec lo que es y hace, podemos llegar a ver con la forma de ponerlo en

práctica. IPSec es siempre la funcionalidad en un equipo con Windows Server 2003 el sistema a través de IPSec Servicios de servicio. Así, el primer paso en la configuración de IPSec es asegurarse de que este se está ejecutando en su servidor en busca de los Servicios MMC. En un controlador de dominio, los Servicios de MMC se puede acceder a través del menú Herramientas administrativas. El servicio IPSec está configurado para iniciarse automáticamente por omisión, por lo menos que haya sido detenido o discapacitados, su cheque debe ser nada más que superficial. La siguiente parte de la aplicación de IPSec es la elección y la asignación de una política IPSec. Políticas IPSec, una vez asignado, definir qué acciones deben realizarse en el tráfico que hace o no cumple un determinado criterio. IPSec políticas, y sus componentes, se configuran a través de la IP de Gestión de Políticas de Seguridad MMC snap-in. No hay ningún atajo a esta MMC en el menú Herramientas administrativas, por lo que usted necesita para abrir una MMC en blanco y, a continuación, añadir el snap-in para él. Una vez que hayas hecho esto, podrás comenzar a trabajar en la Administración de la Seguridad IP MMC snap-in, como se muestra en la Figura

Page 5: Instituto Superior UNITEK del Grupo IDAt

Certificados Digitales en Windows 2003 ServerCertificados Digitales en Windows 2003 Server

IPSec es un protocolo de encriptación de tráfico de red. En este procedimiento hago una prueba de cómo encriptar las comunicaciones entre un PC cliente (XP) y un servidor (2003). El servidor 2003 tiene la IP 192.168.0.3 y tiene habilitado el servidor FTP, la cosa es que el XP se le conecta al servidor FTP para bajarse unos ficheros, pero entre esos dos PC's hay un 'kapuyo' con un sniffer, y como el trafico FTP y casi todo en la red es sin cifrar pues el 'kapuyo' nos ha sacado la contraseña con la que el XP se a auntenticado en el 2003, todo esto sucede en una misma red, en un mismo dominio (el XP y el 2003 por lo menos). Para que todo el trafico al servidor sea cifrado le habilitaré los servicios de IPSec y en el cliente también para que hablen entre ellos en 'IPSec'.

 

Page 6: Instituto Superior UNITEK del Grupo IDAt
Page 7: Instituto Superior UNITEK del Grupo IDAt

Lo que os digo, un PC con Windows XP se va a conectar a un servidor FTP, es mi Lo que os digo, un PC con Windows XP se va a conectar a un servidor FTP, es mi Windows 2003 con IIS & FTP habilitado, le pide usuario y contraseña y lo mete (usuario: Windows 2003 con IIS & FTP habilitado, le pide usuario y contraseña y lo mete (usuario: nheobug; contraseña: Pwd123456), le da a "Iniciar sesión" y...nheobug; contraseña: Pwd123456), le da a "Iniciar sesión" y...

Page 8: Instituto Superior UNITEK del Grupo IDAt

En ese momento hay un 'kapuyo' en la LAN, o entre el XP y el FTP/2003 sniffando todo el trafico que En ese momento hay un 'kapuyo' en la LAN, o entre el XP y el FTP/2003 sniffando todo el trafico que pasa, y zamb!! el Ethereal le revela que alguién se ha conectado a un servidor FTP con la IP pasa, y zamb!! el Ethereal le revela que alguién se ha conectado a un servidor FTP con la IP 192.168.0.3 con el USER: nheobug y la contraseña/PASS: Pwd123456!!! pues el tio nos la ha liado!! 192.168.0.3 con el USER: nheobug y la contraseña/PASS: Pwd123456!!! pues el tio nos la ha liado!! ya tiene un usuario y una pwd de nuestro server... vaya, lo que nos interesa es cifrar este trafico para ya tiene un usuario y una pwd de nuestro server... vaya, lo que nos interesa es cifrar este trafico para que esto NO SE VUELVA A REPETIR. Para ello... IPSec.que esto NO SE VUELVA A REPETIR. Para ello... IPSec.

Nos vamos al servidor que queremos proteger y que todo su frafico sea cifrado, en este caso es mi servidor FTP, para que las contraseñas no viajen por la red tan ligeritas. Desde el W2K3, "Inicio" > "Ejecutar" > "mmc" y "Aceptar".

Page 9: Instituto Superior UNITEK del Grupo IDAt

Nos sale una consola de estas, vamos a "Archivo" > "Agregar o quitar complemento..." 

Page 10: Instituto Superior UNITEK del Grupo IDAt

Le damos a "Agregar", en los complementos, seleccionamos "Administrador de las directivas de seguridad IP" y le damos a "Agregar". 

Page 11: Instituto Superior UNITEK del Grupo IDAt

"Equipo local", y Finalizar. Después a "Cerrar" y "Aceptar".

Page 12: Instituto Superior UNITEK del Grupo IDAt

Y tendremos algo como esto, vale, vamos a editar la politica/directiva "Servidor seguro", botón derecho y "Propiedades". 

Marcamos los checks SOLO de "Tódo el tráfico ICMP" y "Todo el tráfico de IP"; el de "<Dinámico>" NO. Seleccionamos el de ICMP y damos a "Modificar..."

Page 13: Instituto Superior UNITEK del Grupo IDAt

Nos movemos por todas sus pestañas, por "Lista de filtros IP", comprobamos que está eso, la de "Todo tráfico ICMP",

Page 14: Instituto Superior UNITEK del Grupo IDAt

En la de "Acción de filtrado" indicamos "Requerir seguridad",

Page 15: Instituto Superior UNITEK del Grupo IDAt

Marcamos el de "Todas las conexiones de red"

En "Configuración de túnel" --> "Esta regla no especifica un túnel IPSec",

Page 16: Instituto Superior UNITEK del Grupo IDAt

Métodos de autenticación --> Kerberos y como está todo OK, pinchamos en "Aceptar",

Vale, ahora comprueba lo mismo en la directiva de "Todo el tráfico IP", tiene que estar igual que la del trafico ICMP, y Aceptas.

Page 17: Instituto Superior UNITEK del Grupo IDAt

Una vez checkeado todo eso, nos Asignamos la directiva de "Servidor seguro", para ello, botón derecho y "Asignar".

Comprobamos que tiene el check en verde, cuando cerremos la consola no hace falta grabar los cambios.

Page 18: Instituto Superior UNITEK del Grupo IDAt

Y esto... pues no pone que haya que hacerlo, pero yo lo hago, actualizo las directivas mediante una consola de MSDOS y escribo "gpupdate /force". Vale, la parte del servidor ya está configurada. A partir de YA, el server no va a haceptar tráfico normal (o sea, sin cifrar), así que el que intente comunicarse y no tenga la parte cliente configurada (esto que viene ahora) no podrá comunicar con él. Sólo habrá trafico seguro.

Page 19: Instituto Superior UNITEK del Grupo IDAt

Vale, ahora, yo quiero que Mi PC con MS Windows XP se contecte a ese servidor, quiero volver a conectarme como antes por FTP. Para ello tendre que configurar mi parte, para que entre ese servidor seguro y yo haya trafico encriptado. Para ello, desde el MS Windows XP, abrimos una consola MMC --> "Inicio" > "Ejecutar" > "mmc" y "Aceptar". Ahora, en la MMC, "Archivo" > "Agregar o quitar complemento..."

Page 20: Instituto Superior UNITEK del Grupo IDAt

Le damos a "Agregar", en los complementos, seleccionamos "Administrador de las directivas de seguridad IP" y le damos a "Agregar". 

Page 21: Instituto Superior UNITEK del Grupo IDAt

"Equipo local", y Finalizar. Después a "Cerrar" y "Aceptar".

Y ahora nos vamos a la parte de la derecha y nos asignamos la politica de "Cliente (sólo responder)" > botón derecho > "Asignar". 

Page 22: Instituto Superior UNITEK del Grupo IDAt

Vemos que el check de la directiva se pone verde y pone "Directiva asignada": "Sí"

Lo mismo que en la parte del servidor, no se exactamente si hay que actualizar las políticas, pero siempre lo hago por que nunca viene mal. "Inicio" > "Ejecutar" > "cmd" y "Aceptar", en la consola del sistema: "gpupdate /force".

Page 23: Instituto Superior UNITEK del Grupo IDAt

Esto ya para comprobar que el trafico va encriptado... si ahora probamos a conectarnos por FTP de la misma forma que lo hemos hecho antes o cualquier tipo de conexión al servidor seguro... metemos los mismos credenciales y le damos a "Iniciar sesión" 

Page 24: Instituto Superior UNITEK del Grupo IDAt

Y el 'kapuyo' estaría esnifando la red como antes, sólo recibiria paquetes ESP y todo el trafico va cifrado y es IMPOSIBLE que nos descifren lo que pone. Bueno, pues este ejemplo que he echo con un cliente y servidor FTP, que lo sepais que se aplica a todos los traficos de una red o de internet, exceptuando los que de por sí vayan cifrados como HTTPS, SSH... pero si copiamos un fichero por la red de un PC a otro, ese trafico va sin cifrar, imaginate que son datos MUY CONFIDENCIALES, o cualquier otra idea, si quieres asegurar trafico entre PC's, usa IPSec.