Paso a Paso - Configurar IPSec en un escenario MS

Exchange Server 2003 Front End – Back End con

MS Windows Server 2003 R2

Este documento describe cómo configurar IPSec en un escenario MS Exchange Server

2003 Front End – Back End con MS Windows 2003 R2 teniendo en cuenta que ambos
servidores están en distintos segmentos de red y que se configurara IPSec en modo túnel
encriptando de este manera la información entre estos dos servidores..

Expandir / Comprimir Todo Imprimir Documento Guardar

Documento

1. Introducción.

Este documento describe los pasos involucrados en la configuración de IPSec

utilizando MS Windows Server 2003 R2 en una topología de Front End – Back End con
MS Exchange Server 2003.

Se entiende por IPSec (IP Security) a una estrategia de seguridad que involucra
distintos protocolos, configuraciones y niveles de encripcion de datos.

Muchas organizaciones no tienen configurados sus servidores MS Exchange Server en

una topología Front End – Back End asegurada por MS ISA Server 2000/2004, si no que
tienen un diseño clásico donde el servidor Front End esta ubicado en la red DMZ y el
servidor Back End en la red LAN, esto implica que en el Firewall debe existir una regla
que permita el trafico desde la red (LAN) hacia la red (DMZ) y viceversa con los
respectivos puertos habilitados.

Si bien hay muchas discusiones respecto del escenario ideal para la implementación de
MS Exchange Server 2003 Front End – Back End este documento se focaliza en como
asegurar la comunicación entre un servidor MS Exchange Server 2003 en la red (DMZ)
como Front End y otro servidor MS Exchange Server 2003 en la red (LAN) como
servidor Back End utilizando IPSec en MS Windows Server 2003 R2.

En el siguiente esquema se ve representado el escenario: (Figura 1)

 Figura 1

Requisitos:

1. Un Servidor con hardware compatible con Windows Server 2003 y una interfase de red,
configurada con una dirección IP estática en el segmento de red (DMZ) con MS Exchange
Server 2003 configurado como servidor de Front End.
2. Un Servidor con hardware compatible con Windows Server 2003 y una interfase de red,
configurada con una dirección IP estática en el segmento de red (LAN) con MS Exchange
Server 2003 configurado como servidor de Back End.

2. Conceptos.

Antes de comenzar con la configuración de IPSec, se realizaran algunas aclaraciones

respecto de la configuración IPSec que se detallara en este documento.

El protocolo de IPSec puede ser configurado de varias maneras distintas para que se
adapte a las necesidades de seguridad que se deben satisfacer, en este escenario se tiene
por objetivo:

 Asegurar la comunicación entre el servidor de MS Exchange Server 2003 de

Back End en la red LAN y el servidor MS Exchange Server 2003 de Front End
en la DMZ.
 Encriptar los datos entre el servidor de MS Exchange Server 2003 de Back End
en la red LAN y el servidor MS Exchange Server 2003 de Front End en la DMZ

Para satisfacer estas necesidades debemos configurar IPSec en modo Túnel, en este
modo IPSec cifra el encabezado IP y la carga, adicionalmente el modo túnel protege los
paquetes IP completos, ya que los trata como una carga AH o ESP. De esta manera todo
el paquete IP se encapsula con un encabezado AH o ESP y un encabezado IP adicional.
 Las direcciones IP del encabezado IP externo son los extremos del túnel, y las
direcciones IP del encabezado IP encapsulado son las direcciones últimas de origen y
de destino.

Para realizar la configuración de IPSec es necesario tener en cuenta los siguientes pasos
de alto nivel.

 Crear una directiva de seguridad IP.

 Definir reglas de seguridad.
 Crear filtros IP.
 Crear acciones de filtrado.

Al no ser posible reflejar filtros para el tráfico que pasa por el túnel, se deben
configurar dos reglas. Una regla se utilizará para el tráfico saliente y la otra para el
tráfico entrante. Para la regla de tráfico saliente, el extremo del túnel es la dirección IP
en el otro extremo del túnel. Para la regla de tráfico entrante, el extremo del túnel es
una dirección IP configurada en el equipo local.

3. ¿Como configurar IPSec?

La configuración que se detalla a continuación debe ser realizada tanto en el servidor

de MS Exchange Server 2003 de Back End como en el servidor MS Exchange Server
2003 de Front End.

El primer paso consiste en configurar una consola de administración desde donde

realizaremos la configuración de las reglas IPSec, esta consola de administración va a
ser configurada a traves de una MMC (Microsoft Management Console).

3.0.1 Hacer clic en Inicio.

3.0.2 Hacer clic en Ejecutar.
3.0.3 Ingresar MMC y hacer clic en Aceptar. (Ver Figura 2)

Figura 2
Una vez dentro de la MMC debemos agregar el complemento correspondiente.

3.0.4 Hacer clic en Archivo.

3.0.5 Hacer clic en Agregar o quitar complemento.
3.0.6 Hacer clic en Agregar.
3.0.7 De la lista de complementos seleccionar Administrador de las directivas
de seguridad de IP y hacer clic en Agregar.
3.0.8 Seleccionar Computadora local y hacer clic en Finalizar.
3.0.9 Hacer clic en Cerrar.
3.0.10 Hacer clic en Aceptar. (Ver Figura 3)

Figura 3

Configurada la consola de administración vamos a proceder a generar las reglas IPSec.

3.0.11 Hacer clic en Directivas de seguridad de IP en Equipo local.

3.0.12 Hacer clic con el botón derecho y seleccionar Crear directiva de seguridad
IP.
3.0.13 Una vez en el Asistente debemos ingresar un nombre para la nueva
directiva, en este caso la llamaremos túnel IPSec BE – FE.
3.0.14 Hacer clic en Siguiente. (Ver Figura 4)
 Figura 4

3.0.15 Deseleccionar la opción Activar la regla de respuesta predeterminada.

3.0.16 Hacer clic en Siguiente. (Ver Figura 5)
 Figura 5

3.0.17 Dejar seleccionada la opción Editar propiedades.

3.0.18 Hacer clic en Finalizar. (Ver Figura 6)
 Figura 6

3.0.19 Hacer clic en Agregar. (Ver Figura 7)

 Figura 7

3.0.20 Un nuevo Asistente se presenta para realizar la configuración de las reglas

de seguridad IP, hacer un clic en Siguiente.
3.0.21 Seleccionar la opción El extremo del túnel esta especificado mediante la
siguiente dirección IP e ingresar la dirección IP 192.168.1.2
3.0.22 Hacer clic en Siguiente. (Ver Figura 8)
 Figura 8

3.0.23 Seleccionar Red de área local (LAN).

3.0.24 Hacer clic en Siguiente. (Ver Figura 9)
 Figura 9

3.0.25 En la lista de filtros, hacer clic en Agregar.

3.0.26 Una nueva Consola se presenta, ingresar un nombre para el filtro IP, en
este caso BE – FE.
3.0.27 Hacer clic en Agregar. (Ver Figura 10)
 Figura 10

3.0.28 Un nuevo Asistente se presenta, hacer clic en Siguiente.

3.0.29 Deseleccionar la opción Reflejado… y hacer clic en Siguiente. (Ver Figura
11)
 Figura 11

3.0.30 En la lista desplegable seleccionar Dirección IP especifica e ingresar la

dirección IP 192.168.2.2.
3.0.31 Hacer clic en Siguiente. (Ver Figura 12)
 Figura 12

3.0.32 En la lista desplegable seleccionar Dirección IP especifica e ingresar la

dirección IP 192.168.1.2.
3.0.33 Hacer clic en Siguiente. (Ver Figura 13)
 Figura 13

3.0.34 En la lista desplegable de protocolos, seleccionar Cualquiera.

3.0.35 Hacer un clic en Siguiente. (Ver Figura 14)
 Figura 14

3.0.36 Hacer clic en Finalizar.

3.0.37 Repetir los pasos desde el punto 2.0.28 al punto 2.0.36 teniendo en cuenta
que es necesario invertir las direcciones IP de origen y destino, de tal
manera que la lista de filtros quede como se ve a continuación. (Ver Figura
15)
 Figura 15

3.0.37 En la Lista de filtros IP hacer clic en Agregar. (Ver Figura 16)

 Figura 16

3.0.38 Ingresar un nombre para el nuevo filtro, en este caso FE – BE.

3.0.39 Hacer clic en Agregar. (Ver Figura 17)
 Figura 17

Repetir los pasos desde el punto 2.0.28 al punto 2.0.36 teniendo en cuenta que es
necesario invertir las direcciones IP de origen y destino, de tal manera que la lista de
filtros quede como se ve a continuación. (Ver Figura 18)
 Figura 18

Configurados los filtros IP, es necesario configurar las acciones de filtrado. (Ver Figura
19)
 Figura 19

3.0.40 De la lista de filtros, seleccionar BE – FE.

3.0.41 Hacer clic en Siguiente.
3.0.42 Hacer clic en Agregar. (Ver Figura 20)
 Figura 20

3.0.37 Un nuevo Asistente se presenta, hacer clic en Siguiente.

3.0.38 Ingresar un nombre para la acción de filtrado, en este ejemplo utilizaremos
Seguridad BE – FE.
3.0.39 Hacer clic en Siguiente. (Ver Figura 21)
 Figura 21

3.0.40 En las opciones generales de la acción de filtrado, hacer clic en Negociar la

seguridad.
3.0.41 Hacer clic en Siguiente. (Ver Figura 22)
 Figura 22

3.0.42 Hacer clic en No comunicar equipos que no son compatibles con IPSec.
3.0.43 Hacer clic en Siguiente. (Ver Figura 23)
 Figura 23

3.0.44 En seguridad del trafico IP, hacer clic en Integridad y cifrado.

3.0.45 Hacer clic en Siguiente. (Ver Figura 24)
 Figura 24

3.0.46 Hacer clic en Finalizar.

El asistente para reglas de seguridad, debería quedar como se muestra a continuación.

(Ver Figura 25)
 Figura 25

3.0.47 Hacer clic en Seguridad BE – FE.

3.0.48 Hacer clic en Siguiente.
3.0.49 En método de autenticación, hacer clic en Valor predeterminado de Active
Directory (protocolo Kerberos V5).
3.0.50 Hacer clic en Siguiente. (Ver Figura 26)
3.0.51 Hacer clic en Finalizar.
 Figura 26

Las propiedades de Túnel IPSec BE – FE deberían quedar como se ve a continuación.

(Ver Figura 27)
 Figura 27

3.0.52 Hacer clic en Agregar.

3.0.53 Hacer clic en Siguiente.
3.0.54 En Punto final del túnel, ingresar la dirección IP del servidor Back End, en
este caso IP 192.168.2.2
3.0.55 Hacer clic en Siguiente. (Ver Figura 28)
 Figura 28

3.0.56 En Tipo de red, seleccionar Red de área local (LAN).

3.0.57 Hacer clic en Siguiente. (Ver figura 29).
 Figura 29

3.0.58 En la lista de filtros IP, hacer clic en FE – BE.

3.0.59 Hacer clic en Siguiente. (Ver Figura 30)
 Figura 30

3.0.60 En las acciones de filtrado, hacer clic en Seguridad BE – FE.

3.0.61 Hacer clic en Siguiente. (Ver Figura 31)
 Figura 31

3.0.62 En método de autenticación, seleccionar Valor predeterminado de Active

Directory (protocolo Kerberos V5).
3.0.63 Hacer clic en Siguiente. (Ver Figura 32)
3.0.64 Hacer clic en Finalizar.
 Figura 32

Las propiedades del túnel IPSec BE – FE deberían quedar como se muestra a

continuación. (Ver Figura 33)
 Figura 33

4. ¿Como monitorear IPSec?

La configuración que se detalla a continuación debe ser realizada tanto en el servidor

de MS Exchange Server 2003 de Back End como en el servidor MS Exchange Server
2003 de Front End.

Previamente se detallo como configurar una consola de administración MMC

(Microsoft Management Console), para realizar el monitoreo de IPSec agregaremos un
complemento adicional a esta MMC.
4.1 Dentro de la MMC.
4.2 Hacer clic en Archivo.
4.3 Hacer clic en Agregar o quitar complemento.
4.4 Hacer clic en Agregar.
4.5 Seleccionar de la lista de complementos Monitor de Seguridad IP. (Ver
Figura 34)

Figura 34

4.6 Hacer clic en Agregar.

4.7 Hacer clic en Aceptar. (Ver Figura 35)
 Figura 35

Conclusión.

A lo largo del documento se demostró cómo configurar IPSec en MS Windows Server 2003, en
un entorno Microsoft Exchange Server 2003 Front End – Back End, como así también la forma
de monitorear esta comunicación.

Referencias.

En el sitio Microsoft Windows 2003 TechCenter:

http://support.microsoft.com/default.aspx?scid=kb;en-us;300429
En el sitio Technet Latinoamérica:
http://www.microsoft.com/latam/technet/recursos/howto/default.asp

Autor.

Emiliano Gastón Estevez, socio y consultor de Algeiba S.A. (eestevez@algeiba.com.ar). Es el

encargado de proyectos en infraestructura de IT. Tiene más de 9 años de experiencia como
profesional de IT. Ha trabajado en diferentes empresas nacionales y multinacionales,
contribuyendo a incrementar la disponibilidad, seguridad y performance de sus centros de
datos. Es MCSA (Microsoft Certified Systems Administrator) en MS Windows 2000/2003 y
MCSE (Microsoft Certified Systems Engineer) en MS Windows 2000/2003, ambas
certificaciones con especialización en Messaging. Certificó como Cisco CRS (Customer
Response Solutions) y Cisco UCSE (Unified Communications System Engineer). Se desempeñó
como instructor de la carrera de MCSA/MCSE en MS Windows 2000 en Executrain.