MANUAL DE IPSEC EN WINDOWS 2003 SERVER

ADMINISTRACIÓN DE REDES

APRENDICES

JOLMAN ALEXANDER ROBLEDO

jolman.a@misena.edu.co

CARLOS CORDOBA CASTILLO

ccordobac@misena.edu.co

JHONNY ALEXANDER RIOS jriosr@misena.edu.co

RICHAR ALEXANDER SALAZAR rsalazari@misena.edu.co

VANESSA VALENZUELA GUZMAN vanessa.v.g27@misena.edu.co

DOCENTE
MAURICIO ORTIZ mortiz@misena.edu.co

SENA
REGIONAL ANTIOQUIA
CENTRO DE SERVICIOS Y GESTIÓN EMPRESARIAL
MEDELLÍN
2009-02-27
 INTRODUCCIÓN

En este manual configuraremos IPsec en Windows 2003 Server, crearemos

políticas de seguridad, filtros y profundizaremos sobre el modo transporte de
IPsec.
 Que es:

IPsec

IPsec es un conjunto de protocolos cuya función es asegurar las

comunicaciones sobre el protocolo de internet (IP) autenticando y
cifrando cada paquete ip en un flujo de datos.

IPSec tiene la capacidad de proporcionar seguridad a protocolos de capas

superiores dentro del modelo OSI/ISO. Otros protocolos como SSH, SSL, TLS
operarán en capas superiores a la capa 3 del modelo OSI de ISO

Modo transporte
En modo transporte, sólo la carga útil del paquete IP es cifrada y/o
autenticada. El enrutamiento permanece intacto, ya que no se modifica
ni se cifra la cabecera IP; sin embargo, cuando se utiliza la cabecera
de autenticacion (AH), las direcciones IP no pueden ser traducidas, ya
que eso invalidaría el hash. Las capas de transporte y aplicación están
siempre aseguradas por un hash, en el modo tranporte funciona pc a
pc

modo tunel
En el modo túnel, todo el paquete IP (datos más cabeceras del
mensaje) es cifrado y autenticado. Debe ser entonces encapsulado en
un nuevo paquete IP para que funcione el enrutamiento. Este modo se
utiliza para comunicaciones red a red (túneles seguros entre routers,
para VPNs) (en modo tunel la conexion es entre redes y se implementa
IPsec es en los router)
Authentication header (AH)
AH está dirigido a garantizar integridad sin conexión y autenticación
de los datos de origen de los datagramas IP. Para ello, calcula un Hash
Message Authentication Code (HMAC) a través de algún algoritmo
hash operando sobre una clave secreta,

firma el paquete y brinda autenticidad, integridad, no repudio, "no

garantiza confidencialidad") Algoritmos = sha md5

Encapsulating Security Payload (ESP)

El protocolo ESP proporciona autenticidad de origen, integridad y protección
de confidencialidad de un paquete. ESP opera directamente sobre IP,
utilizando el protocolo IP número 50. (cifra el paquete y brinda autenticidad,
integridad, no repudio, confidencialidad) Algoritmos = 3des aes blowfish
 IKE
El protocolo para Intercambio de Claves en Internet es el encargado en la
infraestructura IPSec de proporcionar un entorno previo seguro para la
compartición de una clave secreta y autenticación de los extremos. IKE
utiliza el puerto 500 de UDP para establecer el intercambio de mensajes
pertinente. Por lo general se implementa como una aplicación en espacio de
usuario, al no formar parte del núcleo de muchos sistemas operativos.
(autentica los participantes, nagocia las AS, escoger claves simetricas.

SP: politicas de seguridad

lo que queremos hacer y almacena protocolos a proteger, ip de los
participantes, la SA asociada.

AS: asociasiones de seguridad

como lo vamos a hacer, unidireccional y almacena claves secretas,
algoritmos, ip de los participantes.

spd y sad:
son las respectivas bases de datos de las políticas y las asociaciones.

Arquitectura

La mayoría de la implementaciones de IPsec consisten en un dominio IKE que

corre en el espacio de usuario y una pila IPsec dentro del kernel que procesa
los paquetes IP.

El protocolo IKE usa paquetes UDP, normalmente a través del puerto 500, y
generalmente requiere entre 4 y 6 paquetes con dos turnos para crear una SA
en ambos extremos. La claves negociadas son entregadas a la pila IPsec.

Configuración:
 1. consola de administración:

- Inicio
- Ejecutar “mmc”

Después que le damos “mmc” nos aparecerá una consola de la siguiente

forma:

Luego para poder agregar las la consola de administración de ipsec para

esto en la consola en:
-Archivo
- Agregar o quitar complemento
- Agregar
- Agregamos el Administrador de las directivas de seguridad IP

Al agregar esta opción nos debe aparecer una ventana donde nos
pregunta que si usaremos IPsec en el equipo local o en un dominio de ative
directory u otro equipo, para nuestro caso utilizremos en el equipo local para
que las directivas se apliquen ha este y finalizar
- Computador Local
- Finalizar
Ahora escogemos la consola para monitorear IPsec agregamos “Monitor
de seguridad IP” y agregamos, aceptamos

Para empezar a crear nuestras reglas hacemos lo siguiente:

- Damos Clic en Directivas de seguridad IP
- En la parte derecha de esa opción le damos clic derecho, Crear una política
de seguridad IP.
Ahora nos aparecerá un asistente de instalación y Siguiente

- Aquí le daremos el nombre a la politica y la descripcion.

- Siguiente
 Nombre de nuestra directiva

- Activamos la casilla para que por defecto obtengamos una respuesta de esta
política al ser aplicada para la comunicación con seguridad.
- Siguiente
- Ahora Como aplicaremos esta política con una clave pre compartida
(senaadministracionredes) la digitaremos en la opción clave previamente
compartida; Esta clave la debe tener igual configurada el equipo con el que se
comunicara, porque de lo contrario la negociación de la comunicación no se
dará y habrá conexión y damos
- Siguiente

Clave pre-compartida

Señalamos la opción editar propiedades y finalizamos el asistente.

Al finalizar el asistente nos aparecen unas ventanas de configuración. Como
estamos haciendo una regla de seguridad, dependiendo de las necesidades
que tenemos crearemos unas personalizadas damos
- Agregar

- Siguiente
En esta regla como no usaremos el modo túnel sino el modo treansporte
entonces, no especificaremos uno y le damos esta regla no especifica un túnel
y
- Siguiente

- en esta regla especificaremos el tipo de red a la que aplicaremos la regla de

seguridad, en nuestro caso aplicaremos la regla ha todas las conexiones de red
y damos
- Siguiente
Ahora agregamos un filtro IP personalizado a la lista de filtros para el trafico ip
al que se aplicara la regla, y damos
-Agregar

- en esta parte Agregaremos un filtro que en nuestro caso se llamara “filtro IP

grupo 2”
- Agregar
ahora para agregar el filtro nos aparecerá un asistente para filtros le damos
Siguiente

- Ahora hacemos una descripción de la primera politica, por si hay varias

Sea fácil reconocerla seleccionamos la opción de reflejado para que la reglas
se aplique a las direcciones de origen y destino y damos
- Siguiente
- Escogeremos mi dirección ip ya que el trafico de salida lo iniciaremos desde
nuestro equipo local y damos
- Siguiente

-En la dirección de destino escogeremos cualquier dirección ip para que la

regla se aplique ha todas las conexiones que nos hagan y damos
- Siguiente
El tipo de protocolo. Como es una política de prueba se hace para que se
aplique al momento de hacer ping a los PC de la red, le daremos el protocolo
ICMP y damos
- Siguiente

en esta parte seleccionamos modificar propiedades y finalizamos.

- En las propiedades del filtro podremos cambiar las reglas o las opciones
especificadas anteriormente. En caso de alguna corrección que necesitemos
hacer.
- En caso de escoger un protocolo y le podamos especificar el puerto. Lo
cambiamos por aquí y damos
- Aceptar
Regresamos a las opciones de configuración anterior.
- Seleccionamos el filtro de la lista que acabamos de crear ya damos clic en
- Siguiente
-ahora vamos ha Agregar una “acción” de filtrado y seleccionamos usar
asistente para agregar y damos en
- Agregar

Ahora nos saldrá un asistente para crear la acción y damos

- siguiente
Ahora nos pedirá un nombre y una descripción para nuestra
-Siguiente

-Ahora le damos en “Negociar la seguridad” de la política para ha la hora de

establecer la comunicación negocie la seguridad con que será la conexión para
el envió de paquetes ip, autenticados y cifrados de seguido damos clic en
-Siguiente
-Luego seleccionamos que la comunicacion solo sea efectuada con equipos
quen implementen ipsec y claramente nuestra clave pecompartida y damos
-Siguiente

Trafico de seguridad IP. Aquí Hacemos uno personalizado.

-Personalizada
-Configuracion…
-en esta parte Escogemos el algoritmo que nos brindara integridad y cifrado de
datos en nuestro paquete ip y damos clic en
-Aceptar
-en esta parte estamos finalizando el asistente de de la acción y damos clic en
- Finalizar

-nos mostrara las propiedades del filtro y damos en

- Aceptar
-Escogemos la regla de acción de filtrado que acabamos de crear (Respuesta
ping) y damos
-Siguiente

Digitamos de nuevo la clave pre-compartida y damos

-Siguiente
-ahora finalizamos el asistente para la regla de seguridad ip y damos clic en
Finalizar

Basta recordar que solo se puede asignar una regla a la vez:

-Clic derecho sobre la regla que deseamos y damos clic en

-Asignar para que la regla sea aplicada en el equipo local
Aquí miramos que ya tenemos nuestra regla asignada:

Prueba:
Ahora miraremos si nuestra regla si se aplica, daremos un “ping” al equipo del
otro extremo, que está configurado con nustra clave que compartimos para la
comunicación de esta misma forma y nos deberá mostrar lo siguiente:

En una consola cmd o símbolo del sistema haremos el “ping”:

ping 192.168.1.66
NOTA:

Si al efectuar la prueba de “ping” no nos saca la Negociación de Seguridad IP

hacemos lo siguiente:

Ingresamos a la consola de administración de Directivas de seguridad IP y

damos clic derecho en la Política de seguridad IP que hemos creado, le damos
en desasignar y luego en asignar, ahora volvemos a probar dándole “ping”
nuevamente.
 GLOSARIO

Directorio Activo: Es la implementación de Microsoft del servicio de directorios

LDAP para ser utilizado en entornos Windows. El Directorio Activo permite a los
administradores establecer políticas a nivel de empresa, desplegar programas
en muchos ordenadores y aplicar actualizaciones críticas a una organización
entera. Un Directorio Activo almacena información de una organización en una
base de datos central, organizada y accesible. Pueden encontrarse desde
Directorios Activos con cientos de objetos para una red pequeña hasta
Directorios Activos con millones de objetos.i

Hash: se refiere a una función o método para generar claves o llaves que
representen de manera casi unívoca a un documento, registro, archivo, etc.,
resumir o identificar un dato a través de la probabilidad, utilizando una función
hash o algoritmo hash. Un hash es el resultado de dicha función o algoritmo.ii

ICMP: El Protocolo de Mensajes de Control de Internet o ICMP (por sus

siglas de Internet Control Message Protocol) es el subprotocolo de control y
notificación de errores del Protocolo de Internet (IP). Como tal, se usa para
enviar mensajes de error, indicando por ejemplo que un servicio determinado
no está disponible o que un router o host no puede ser localizado.iii

IP: es un número que identifica de manera lógica y jerárquica a una interfaz de

un dispositivo (habitualmente una computadora) dentro de una red que utilice el
protocolo IP (Internet Protocol), que corresponde al nivel de red o nivel 3 del
modelo de referencia OSI. Dicho número no se ha de confundir con la dirección
MAC que es un número hexadecimal fijo que es asignado a la tarjeta o
dispositivo de red por el fabricante, mientras que la dirección IP se puede
cambiar.iv

MMC: Microsoft Management Console (MMC) hospeda y muestra

herramientas administrativas creadas por Microsoft y por otros proveedores de
software.
Estas herramientas se conocen como complementos y sirven para administrar
los componentes de hardware, software y red de Windows. Varias herramientas
de la carpeta Herramientas administrativas, como Administración de equipos,
son complementos MMC.v

MODELO OSI: El modelo de referencia de Interconexión de Sistemas

Abiertos (OSI, Open System Interconnection) lanzado en 1984 fue el modelo
de red descriptivo creado por ISO; esto es, un marco de referencia para la
definición de arquitecturas de interconexión de sistemas de comunicaciones.vi

MODO TÚNEL: todo el paquete IP (datos más cabeceras del mensaje) es

cifrado y/o autenticado. Debe ser entonces encapsulado en un nuevo paquete
IP para que funcione el enrutamiento. El modo túnel se utiliza para
comunicaciones red a red (túneles seguros entre routers, p.e. para VPNs) o
comunicaciones ordenador a red u ordenador a ordenador sobre Internet.vii

PING: comprueba el estado de la conexión con uno o varios equipos remotos

por medio de los paquetes de solicitud de eco y de respuesta de eco (ambos
definidos en el protocolo de red ICMP) para determinar si un sistema IP
específico es accesible en una red. Es útil para diagnosticar los errores en
redes o enrutadores IP.viii

POLÍTICAS DE SEGURIDAD: es un documento de alto nivel que denota el

compromiso de la gerencia con la seguridad de la información. Contiene la
definición de la seguridad de la información bajo el punto de vista de cierta
entidad.

Debe ser enriquecida y compatibilizada con otras políticas dependientes de

ésta, objetivos de seguridad, procedimientos (véase referencias más adelante).
Debe estar fácilmente accesible de forma que los empleados estén al tanto de
su existencia y entiendan su contenido. Puede ser también un documento único
o inserto en un manual de seguridad. Se debe designar un propietario que será
el responsable de su mantenimiento y su actualización a cualquier cambio que
se requiera.ix
TCP: La familia de protocolos de Internet es un conjunto de protocolos de
red en la que se basa Internet y que permiten la transmisión de datos entre
redes de computadoras. En ocasiones se le denomina conjunto de protocolos
TCP/IP, en referencia a los dos protocolos más importantes que la componen:
Protocolo de Control de Transmisión (TCP) y Protocolo de Internet (IP), que
fueron los dos primeros en definirse, y que son los más utilizados de la familia.
Existen tantos protocolos en este conjunto que llegan a ser más de 100
diferentes, entre ellos se encuentra el popular HTTP (HyperText Transfer
Protocol), que es el que se utiliza para acceder a las páginas web, además de
otros como el ARP (Address Resolution Protocol) para la resolución de
direcciones, el FTP (File Transfer Protocol) para transferencia de archivos, y el
SMTP (Simple Mail Transfer Protocol) y el POP (Post Office Protocol) para
correo electrónico, TELNET para acceder a equipos remotos, entre otros.x

UDP: User Datagram Protocol (UDP) es un protocolo del nivel de transporte

basado en el intercambio de datagramas. Permite el envío de datagramas a
través de la red sin que se haya establecido previamente una conexión, ya que
el propio datagrama incorpora suficiente información de direccionamiento en su
cabecera. Tampoco tiene confirmación, ni control de flujo, por lo que los
paquetes pueden adelantarse unos a otros; y tampoco se sabe si ha llegado
correctamente, ya que no hay confirmación de entrega o de recepción. Su uso
principal es para protocolos como DHCP, BOOTP, DNS y demás protocolos en
los que el intercambio de paquetes de la conexión/desconexión son mayores, o
no son rentables con respecto a la información transmitida, así como para la
transmisión de audio y vídeo en tiempo real, donde no es posible realizar
retransmisiones por los estrictos requisitos de retardo que se tiene en estos
casos.xi
 CONCLUSIONES

• IPsec puede ser un poco más manejable que otros protocolos como ssl
ya que IPsec actúa en la capa 4 del modelo OSI y puede ser utilizado
para proteger protocolos como TCP y UDP.

• IPsec se utiliza originalmente con IP versión 6 pero es opcional en IP

versión 4.

• El protocolo IPsec trabaja con mecanismos de encriptación ya como

algoritmos de clave simétrica.
BIBLIOGRAFÍA
i
http://es.wikipedia.org/wiki/Directorio_activo
ii
http://es.wikipedia.org/wiki/Hash
iii
http://es.wikipedia.org/wiki/ICMP
iv
http://es.wikipedia.org/wiki/Direcci%C3%B3n_IP
v
http://es.wikipedia.org/wiki/Microsoft_Management_Console
vi
http://es.wikipedia.org/wiki/Modelo_OSI
vii
http://es.wikipedia.org/wiki/IPSEC
viii
http://es.wikipedia.org/wiki/Ping
ix
http://es.wikipedia.org/wiki/Pol%C3%ADticas_de_seguridad
x

http://es.wikipedia.org/wiki/TCP/IP
xi

http://es.wikipedia.org/wiki/UDP