Este documento proporciona una introducción a IPSec (Internet Protocol Security) y cómo implementarlo en Windows Server 2003 para cifrar el tráfico de red entre un cliente Windows XP y un servidor Windows 2003. Explica los conceptos básicos de IPSec, cómo configurar políticas IPSec tanto en el servidor como en el cliente, y verifica que el tráfico ahora está cifrado evitando que se intercepten contraseñas u otros datos confidenciales.
IPSec y Certificados Digitales en Windows 2003 Server (Definición y características)
1.
2.
3. Internet Protocol Security for Microsoft Windos Server 2003 Este Whitepaper contiene una introducción al soporte de IPSec en Windows Server 2003, los beneficios derivados del uso de IPSec, escenarios comunes de uso de IPSec, los conceptos básicos del proceso de implantación de IPSec y cómo funciona IPSec. El Microsoft Windows Server 2003 sistema operativo incluye una implementación de la Internet Engineering Task Force de la seguridad de Protocolo de Internet (IPSec). IPSec, que también se incluye en Windows 2000 y Windows XP, ofrece gestores de la red con una clave de la línea de defensa para proteger sus redes. IPSec existe por debajo de la capa de transporte, por lo que sus servicios de seguridad son heredados de forma transparente aplicaciones. IPSec proporciona la protección de la integridad de los datos, autenticación de origen de datos, confidencialidad de los datos, protección y reproducción, sin tener que actualizar las aplicaciones o usuarios de los trenes. IPSec Architecture Este artículo de Technet es una reedición del Capítulo 4 de "IPSec—The New Security Standard for the Internet, Intranets and Virtual Private Networks" (Ed. Prentice Hall) escrito por Naganand Doraswamy y Dan Harkins, donde se describen los detalles de la arquitectura de IPSec así como la de diversos componentes internos, cómo interactúan entre ellos, los protocolos de la familia IPSec y los modos en que operan. IPSec Implementation Este artículo de Technet es una reedición del Capítulo 9 de "IPSec—The New Security Standard for the Internet, Intranets and Virtual Private Networks" (Ed Prentice Hall) escrito por Naganand Doraswamy y Dan Harkins, que describe detalles de los aspectos más importantes de la implantación de IPSec, como la interacción de los componentes de IPSec, interfaces que expone cada uno de esos componentes y un recorrido a través del procesamiento de paquetes de entrada y salida.
4.
5.
6.
7. Lo que os digo, un PC con Windows XP se va a conectar a un servidor FTP, es mi Windows 2003 con IIS & FTP habilitado, le pide usuario y contraseña y lo mete (usuario: nheobug; contraseña: Pwd123456), le da a "Iniciar sesión" y...
8. En ese momento hay un 'kapuyo' en la LAN, o entre el XP y el FTP/2003 sniffando todo el trafico que pasa, y zamb!! el Ethereal le revela que alguién se ha conectado a un servidor FTP con la IP 192.168.0.3 con el USER: nheobug y la contraseña/PASS: Pwd123456!!! pues el tio nos la ha liado!! ya tiene un usuario y una pwd de nuestro server... vaya, lo que nos interesa es cifrar este trafico para que esto NO SE VUELVA A REPETIR. Para ello... IPSec. Nos vamos al servidor que queremos proteger y que todo su frafico sea cifrado, en este caso es mi servidor FTP, para que las contraseñas no viajen por la red tan ligeritas. Desde el W2K3, "Inicio" > "Ejecutar" > "mmc" y "Aceptar".
9. Nos sale una consola de estas, vamos a "Archivo" > "Agregar o quitar complemento..."
10. Le damos a "Agregar", en los complementos, seleccionamos "Administrador de las directivas de seguridad IP" y le damos a "Agregar".
12. Y tendremos algo como esto, vale, vamos a editar la politica/directiva "Servidor seguro", botón derecho y "Propiedades". Marcamos los checks SOLO de "Tódo el tráfico ICMP" y "Todo el tráfico de IP"; el de "<Dinámico>" NO. Seleccionamos el de ICMP y damos a "Modificar..."
13. Nos movemos por todas sus pestañas, por "Lista de filtros IP", comprobamos que está eso, la de "Todo tráfico ICMP",
14. En la de "Acción de filtrado" indicamos "Requerir seguridad",
15. Marcamos el de "Todas las conexiones de red" En "Configuración de túnel" --> "Esta regla no especifica un túnel IPSec",
16. Métodos de autenticación --> Kerberos y como está todo OK, pinchamos en "Aceptar", Vale, ahora comprueba lo mismo en la directiva de "Todo el tráfico IP", tiene que estar igual que la del trafico ICMP, y Aceptas.
17. Una vez checkeado todo eso, nos Asignamos la directiva de "Servidor seguro", para ello, botón derecho y "Asignar". Comprobamos que tiene el check en verde, cuando cerremos la consola no hace falta grabar los cambios.
18. Y esto... pues no pone que haya que hacerlo, pero yo lo hago, actualizo las directivas mediante una consola de MSDOS y escribo "gpupdate /force". Vale, la parte del servidor ya está configurada. A partir de YA, el server no va a haceptar tráfico normal (o sea, sin cifrar), así que el que intente comunicarse y no tenga la parte cliente configurada (esto que viene ahora) no podrá comunicar con él. Sólo habrá trafico seguro.
19. Vale, ahora, yo quiero que Mi PC con MS Windows XP se contecte a ese servidor, quiero volver a conectarme como antes por FTP. Para ello tendre que configurar mi parte, para que entre ese servidor seguro y yo haya trafico encriptado. Para ello, desde el MS Windows XP, abrimos una consola MMC --> "Inicio" > "Ejecutar" > "mmc" y "Aceptar". Ahora, en la MMC, "Archivo" > "Agregar o quitar complemento..."
20. Le damos a "Agregar", en los complementos, seleccionamos "Administrador de las directivas de seguridad IP" y le damos a "Agregar".
21. "Equipo local", y Finalizar. Después a "Cerrar" y "Aceptar". Y ahora nos vamos a la parte de la derecha y nos asignamos la politica de "Cliente (sólo responder)" > botón derecho > "Asignar".
22. Vemos que el check de la directiva se pone verde y pone "Directiva asignada": "Sí" Lo mismo que en la parte del servidor, no se exactamente si hay que actualizar las políticas, pero siempre lo hago por que nunca viene mal. "Inicio" > "Ejecutar" > "cmd" y "Aceptar", en la consola del sistema: "gpupdate /force".
23. Esto ya para comprobar que el trafico va encriptado... si ahora probamos a conectarnos por FTP de la misma forma que lo hemos hecho antes o cualquier tipo de conexión al servidor seguro... metemos los mismos credenciales y le damos a "Iniciar sesión"
24. Y el 'kapuyo' estaría esnifando la red como antes, sólo recibiria paquetes ESP y todo el trafico va cifrado y es IMPOSIBLE que nos descifren lo que pone. Bueno, pues este ejemplo que he echo con un cliente y servidor FTP, que lo sepais que se aplica a todos los traficos de una red o de internet, exceptuando los que de por sí vayan cifrados como HTTPS, SSH... pero si copiamos un fichero por la red de un PC a otro, ese trafico va sin cifrar, imaginate que son datos MUY CONFIDENCIALES, o cualquier otra idea, si quieres asegurar trafico entre PC's, usa IPSec.