This document is posted to help you gain knowledge. Please leave a comment to let me know what you think about it! Share it to your friends and learn new things together.
En este manual configuraremos IPsec en Windows 2003 Server, crearemos
políticas de seguridad, filtros y profundizaremos sobre el modo transporte de
IPsec.
Que es:
IPsec
IPsec es un conjunto de protocolos cuya función es asegurar las comunicaciones sobre el protocolo de internet (IP) autenticando y cifrando cada paquete ip en un flujo de datos.
IPSec tiene la capacidad de proporcionar seguridad a protocolos de capas superiores dentro del modelo OSI/ISO. Otros protocolos como SSH, SSL, TLS operarán en capas superiores a la capa 3 del modelo OSI de ISO
Modo transporte
En modo transporte, sólo la carga útil del paquete IP es cifrada y/o
autenticada. El enrutamiento permanece intacto, ya que no se modifica
ni se cifra la cabecera IP; sin embargo, cuando se utiliza la cabecera
de autenticacion (AH), las direcciones IP no pueden ser traducidas, ya
que eso invalidaría el hash. Las capas de transporte y aplicación están
siempre aseguradas por un hash, en el modo tranporte funciona pc a
pc
modo tunel
En el modo túnel, todo el paquete IP (datos más cabeceras del
mensaje) es cifrado y autenticado. Debe ser entonces encapsulado en
un nuevo paquete IP para que funcione el enrutamiento. Este modo se
utiliza para comunicaciones red a red (túneles seguros entre routers,
para VPNs) (en modo tunel la conexion es entre redes y se implementa
AH está dirigido a garantizar integridad sin conexión y autenticación
de los datos de origen de los datagramas IP. Para ello, calcula un Hash
Message Authentication Code (HMAC) a través de algún algoritmo
hash operando sobre una clave secreta,
firma el paquete y brinda autenticidad, integridad, no repudio, "no
garantiza confidencialidad") Algoritmos = sha md5
Encapsulating Security Payload (ESP)
El protocolo ESP proporciona autenticidad de origen, integridad y protección
de confidencialidad de un paquete. ESP opera directamente sobre IP,
utilizando el protocolo IP número 50. (cifra el paquete y brinda autenticidad,
integridad, no repudio, confidencialidad) Algoritmos = 3des aes blowfish
IKE
El protocolo para Intercambio de Claves en Internet es el encargado en la
infraestructura IPSec de proporcionar un entorno previo seguro para la
compartición de una clave secreta y autenticación de los extremos. IKE
utiliza el puerto 500 de UDP para establecer el intercambio de mensajes
pertinente. Por lo general se implementa como una aplicación en espacio de
usuario, al no formar parte del núcleo de muchos sistemas operativos.
(autentica los participantes, nagocia las AS, escoger claves simetricas.
SP: politicas de seguridad
lo que queremos hacer y almacena protocolos a proteger, ip de los
participantes, la SA asociada.
AS: asociasiones de seguridad
como lo vamos a hacer, unidireccional y almacena claves secretas,
algoritmos, ip de los participantes.
spd y sad:
son las respectivas bases de datos de las políticas y las asociaciones.
Arquitectura
La mayoría de la implementaciones de IPsec consisten en un dominio IKE que corre en el espacio de usuario y una pila IPsec dentro del kernel que procesa los paquetes IP.
El protocolo IKE usa paquetes UDP, normalmente a través del puerto 500, y generalmente requiere entre 4 y 6 paquetes con dos turnos para crear una SA en ambos extremos. La claves negociadas son entregadas a la pila IPsec.
Configuración:
1. consola de administración:
- Inicio
- Ejecutar “mmc”
Después que le damos “mmc” nos aparecerá una consola de la siguiente
forma:
Luego para poder agregar las la consola de administración de ipsec para
esto en la consola en:
-Archivo
- Agregar o quitar complemento
- Agregar
- Agregamos el Administrador de las directivas de seguridad IP
Al agregar esta opción nos debe aparecer una ventana donde nos
pregunta que si usaremos IPsec en el equipo local o en un dominio de ative
directory u otro equipo, para nuestro caso utilizremos en el equipo local para
que las directivas se apliquen ha este y finalizar
- Computador Local
- Finalizar
Ahora escogemos la consola para monitorear IPsec agregamos “Monitor
de seguridad IP” y agregamos, aceptamos
Para empezar a crear nuestras reglas hacemos lo siguiente:
- Damos Clic en Directivas de seguridad IP
- En la parte derecha de esa opción le damos clic derecho, Crear una política
de seguridad IP.
Ahora nos aparecerá un asistente de instalación y Siguiente
- Aquí le daremos el nombre a la politica y la descripcion.
- Siguiente
- Activamos la casilla para que por defecto obtengamos una respuesta de esta
política al ser aplicada para la comunicación con seguridad.
- Siguiente
Nombre de nuestra directiva
- Ahora Como aplicaremos esta política con una clave pre compartida
(senaadministracionredes) la digitaremos en la opción clave previamente
compartida; Esta clave la debe tener igual configurada el equipo con el que se
comunicara, porque de lo contrario la negociación de la comunicación no se
dará y habrá conexión y damos
- Siguiente
Señalamos la opción editar propiedades y finalizamos el asistente.
Clave pre-compartida
Al finalizar el asistente nos aparecen unas ventanas de configuración. Como
estamos haciendo una regla de seguridad, dependiendo de las necesidades
que tenemos crearemos unas personalizadas damos
- Agregar
- Siguiente
En esta regla como no usaremos el modo túnel sino el modo treansporte
entonces, no especificaremos uno y le damos esta regla no especifica un túnel
y
- Siguiente
- en esta regla especificaremos el tipo de red a la que aplicaremos la regla de
seguridad, en nuestro caso aplicaremos la regla ha todas las conexiones de red
y damos
- Siguiente
Ahora agregamos un filtro IP personalizado a la lista de filtros para el trafico ip
al que se aplicara la regla, y damos
-Agregar
- en esta parte Agregaremos un filtro que en nuestro caso se llamara “filtro IP
grupo 2”
- Agregar
ahora para agregar el filtro nos aparecerá un asistente para filtros le damos
Siguiente
- Ahora hacemos una descripción de la primera politica, por si hay varias
Sea fácil reconocerla seleccionamos la opción de reflejado para que la reglas
se aplique a las direcciones de origen y destino y damos
- Siguiente
- Escogeremos mi dirección ip ya que el trafico de salida lo iniciaremos desde
nuestro equipo local y damos
- Siguiente
-En la dirección de destino escogeremos cualquier dirección ip para que la
regla se aplique ha todas las conexiones que nos hagan y damos
- Siguiente
El tipo de protocolo. Como es una política de prueba se hace para que se
aplique al momento de hacer ping a los PC de la red, le daremos el protocolo
ICMP y damos
- Siguiente
en esta parte seleccionamos modificar propiedades y finalizamos.
- En las propiedades del filtro podremos cambiar las reglas o las opciones
especificadas anteriormente. En caso de alguna corrección que necesitemos
hacer.
- En caso de escoger un protocolo y le podamos especificar el puerto. Lo
cambiamos por aquí y damos
- Aceptar
Regresamos a las opciones de configuración anterior.
- Seleccionamos el filtro de la lista que acabamos de crear ya damos clic en
- Siguiente
-ahora vamos ha Agregar una “acción” de filtrado y seleccionamos usar
asistente para agregar y damos en
- Agregar
Ahora nos saldrá un asistente para crear la acción y damos
- siguiente
Ahora nos pedirá un nombre y una descripción para nuestra
-Siguiente
-Ahora le damos en “Negociar la seguridad” de la política para ha la hora de
establecer la comunicación negocie la seguridad con que será la conexión para
el envió de paquetes ip, autenticados y cifrados de seguido damos clic en
-Siguiente
-Luego seleccionamos que la comunicacion solo sea efectuada con equipos
quen implementen ipsec y claramente nuestra clave pecompartida y damos
-Siguiente
Trafico de seguridad IP. Aquí Hacemos uno personalizado.
-Personalizada
-Configuracion…
-en esta parte Escogemos el algoritmo que nos brindara integridad y cifrado de
datos en nuestro paquete ip y damos clic en
-Aceptar
-en esta parte estamos finalizando el asistente de de la acción y damos clic en
- Finalizar
-nos mostrara las propiedades del filtro y damos en
- Aceptar
-Escogemos la regla de acción de filtrado que acabamos de crear (Respuesta
ping) y damos
-Siguiente
Digitamos de nuevo la clave pre-compartida y damos
-Siguiente
-ahora finalizamos el asistente para la regla de seguridad ip y damos clic en
Finalizar
Basta recordar que solo se puede asignar una regla a la vez:
-Clic derecho sobre la regla que deseamos y damos clic en
-Asignar para que la regla sea aplicada en el equipo local
Aquí miramos que ya tenemos nuestra regla asignada:
Prueba:
Ahora miraremos si nuestra regla si se aplica, daremos un “ping” al equipo del
otro extremo, que está configurado con nustra clave que compartimos para la
comunicación de esta misma forma y nos deberá mostrar lo siguiente:
En una consola cmd o símbolo del sistema haremos el “ping”:
ping 192.168.1.66
NOTA:
Si al efectuar la prueba de “ping” no nos saca la Negociación de Seguridad IP
hacemos lo siguiente:
Ingresamos a la consola de administración de Directivas de seguridad IP y
damos clic derecho en la Política de seguridad IP que hemos creado, le damos
en desasignar y luego en asignar, ahora volvemos a probar dándole “ping”
nuevamente.
GLOSARIO
Directorio Activo: Es la implementación de Microsoft del servicio de directorios
LDAP para ser utilizado en entornos Windows. El Directorio Activo permite a los
administradores establecer políticas a nivel de empresa, desplegar programas
en muchos ordenadores y aplicar actualizaciones críticas a una organización
entera. Un Directorio Activo almacena información de una organización en una
base de datos central, organizada y accesible. Pueden encontrarse desde
Directorios Activos con cientos de objetos para una red pequeña hasta
Directorios Activos con millones de objetos.i
Hash: se refiere a una función o método para generar claves o llaves que
representen de manera casi unívoca a un documento, registro, archivo, etc.,
resumir o identificar un dato a través de la probabilidad, utilizando una función
hash o algoritmo hash. Un hash es el resultado de dicha función o algoritmo.ii
ICMP: El Protocolo de Mensajes de Control de Internet o ICMP (por sus
siglas de Internet Control Message Protocol) es el subprotocolo de control y
notificación de errores del Protocolo de Internet (IP). Como tal, se usa para
enviar mensajes de error, indicando por ejemplo que un servicio determinado
no está disponible o que un router o host no puede ser localizado.iii
IP: es un número que identifica de manera lógica y jerárquica a una interfaz de
un dispositivo (habitualmente una computadora) dentro de una red que utilice el
protocolo IP (Internet Protocol), que corresponde al nivel de red o nivel 3 del
modelo de referencia OSI. Dicho número no se ha de confundir con la dirección
MAC que es un número hexadecimal fijo que es asignado a la tarjeta o
dispositivo de red por el fabricante, mientras que la dirección IP se puede