MANUAL DE IPSEC EN WINDOWS 2003 SERVER
ADMINISTRACIÓN DE REDES
APRENDICES JOLMAN ALEXANDER ROBLEDO
[email protected] CARLOS CORDOBA CASTILLO
[email protected] JHONNY ALEXANDER RIOS
[email protected] RICHAR ALEXANDER SALAZAR
[email protected] VANESSA VALENZUELA GUZMAN
[email protected]
DOCENTE MAURICIO ORTIZ
[email protected]
SENA REGIONAL ANTIOQUIA CENTRO DE SERVICIOS Y GESTIÓN EMPRESARIAL
MEDELLÍN 2009-02-27
INTRODUCCIÓN En este manual configuraremos IPsec en Windows 2003 Server, crearemos políticas de seguridad, filtros y profundizaremos sobre el modo transporte de IPsec.
Que es: IPsec IPsec es un conjunto de protocolos cuya función es asegurar las comunicaciones sobre el protocolo de internet (IP) autenticando y cifrando cada paquete ip en un flujo de datos. IPSec tiene la capacidad de proporcionar seguridad a protocolos de capas superiores dentro del modelo OSI/ISO. Otros protocolos como SSH, SSL, TLS operarán en capas superiores a la capa 3 del modelo OSI de ISO
Modo transporte En modo transporte, sólo la carga útil del paquete IP es cifrada y/o autenticada. El enrutamiento permanece intacto, ya que no se modifica ni se cifra la cabecera IP; sin embargo, cuando se utiliza la cabecera de autenticacion (AH), las direcciones IP no pueden ser traducidas, ya que eso invalidaría el hash. Las capas de transporte y aplicación están siempre aseguradas por un hash, en el modo tranporte funciona pc a pc
modo tunel En el modo túnel, todo el paquete IP (datos más cabeceras del mensaje) es cifrado y autenticado. Debe ser entonces encapsulado en un nuevo paquete IP para que funcione el enrutamiento. Este modo se utiliza para comunicaciones red a red (túneles seguros entre routers, para VPNs) (en modo tunel la conexion es entre redes y se implementa IPsec es en los router)
Authentication header (AH) AH está dirigido a garantizar integridad sin conexión y autenticación de los datos de origen de los datagramas IP. Para ello, calcula un Hash Message Authentication Code (HMAC) a través de algún algoritmo hash operando sobre una clave secreta,
firma el paquete y brinda autenticidad, integridad, no repudio, "no garantiza confidencialidad") Algoritmos = sha md5
Encapsulating Security Payload (ESP) El protocolo ESP proporciona autenticidad de origen, integridad y protección de confidencialidad de un paquete. ESP opera directamente sobre IP, utilizando el protocolo IP número 50. (cifra el paquete y brinda autenticidad, integridad, no repudio, confidencialidad) Algoritmos = 3des aes blowfish
IKE El protocolo para Intercambio de Claves en Internet es el encargado en la infraestructura IPSec de proporcionar un entorno previo seguro para la compartición de una clave secreta y autenticación de los extremos. IKE utiliza el puerto 500 de UDP para establecer el intercambio de mensajes pertinente. Por lo general se implementa como una aplicación en espacio de usuario, al no formar parte del núcleo de muchos sistemas operativos. (autentica los participantes, nagocia las AS, escoger claves simetricas. SP: politicas de seguridad lo que queremos hacer y almacena protocolos a proteger, ip de los participantes, la SA asociada.
AS: asociasiones de seguridad como lo vamos a hacer, unidireccional y almacena claves secretas, algoritmos, ip de los participantes. spd y sad: son las respectivas bases de datos de las políticas y las asociaciones.
Arquitectura La mayoría de la implementaciones de IPsec consisten en un dominio IKE que corre en el espacio de usuario y una pila IPsec dentro del kernel que procesa los paquetes IP. El protocolo IKE usa paquetes UDP, normalmente a través del puerto 500, y generalmente requiere entre 4 y 6 paquetes con dos turnos para crear una SA en ambos extremos. La claves negociadas son entregadas a la pila IPsec.
Configuración:
1. consola de administración: -
Inicio
-
Ejecutar “mmc”
Después que le damos “mmc” nos aparecerá una consola de la siguiente forma:
Luego para poder agregar las la consola de administración de ipsec para esto en la consola en:
-Archivo - Agregar o quitar complemento - Agregar - Agregamos el Administrador de las directivas de seguridad IP
Al agregar esta opción nos debe aparecer una ventana donde nos pregunta que si usaremos IPsec en el equipo local o en un dominio de ative directory u otro equipo, para nuestro caso utilizremos en el equipo local para que las directivas se apliquen ha este y finalizar - Computador Local - Finalizar
Ahora escogemos la consola para monitorear IPsec agregamos “Monitor de seguridad IP” y agregamos, aceptamos
Para empezar a crear nuestras reglas hacemos lo siguiente: - Damos Clic en Directivas de seguridad IP - En la parte derecha de esa opción le damos clic derecho, Crear una política de seguridad IP.
Ahora nos aparecerá un asistente de instalación y Siguiente
- Aquí le daremos el nombre a la politica y la descripcion. - Siguiente
Nombre de nuestra directiva
- Activamos la casilla para que por defecto obtengamos una respuesta de esta política al ser aplicada para la comunicación con seguridad. - Siguiente
- Ahora Como aplicaremos esta política con una clave pre compartida (senaadministracionredes) la digitaremos en la opción clave previamente compartida; Esta clave la debe tener igual configurada el equipo con el que se comunicara, porque de lo contrario la negociación de la comunicación no se dará y habrá conexión y damos - Siguiente
Clave pre-compartida
Señalamos la opción editar propiedades y finalizamos el asistente.
Al finalizar el asistente nos aparecen unas ventanas de configuración. Como estamos haciendo una regla de seguridad, dependiendo de las necesidades que tenemos crearemos unas personalizadas damos - Agregar
- Siguiente
En esta regla como no usaremos el modo túnel sino el modo treansporte entonces, no especificaremos uno y le damos esta regla no especifica un túnel y - Siguiente
- en esta regla especificaremos el tipo de red a la que aplicaremos la regla de seguridad, en nuestro caso aplicaremos la regla ha todas las conexiones de red y damos - Siguiente
Ahora agregamos un filtro IP personalizado a la lista de filtros para el trafico ip al que se aplicara la regla, y damos -Agregar
- en esta parte Agregaremos un filtro que en nuestro caso se llamara “filtro IP grupo 2” - Agregar
ahora para agregar el filtro nos aparecerá un asistente para filtros le damos Siguiente
- Ahora hacemos una descripción de la primera politica, por si hay varias Sea fácil reconocerla seleccionamos la opción de reflejado para que la reglas se aplique a las direcciones de origen y destino y damos - Siguiente
- Escogeremos mi dirección ip ya que el trafico de salida lo iniciaremos desde nuestro equipo local y damos - Siguiente
-En la dirección de destino escogeremos cualquier dirección ip para que la regla se aplique ha todas las conexiones que nos hagan y damos - Siguiente
El tipo de protocolo. Como es una política de prueba se hace para que se aplique al momento de hacer ping a los PC de la red, le daremos el protocolo ICMP y damos - Siguiente
en esta parte seleccionamos modificar propiedades y finalizamos.
- En las propiedades del filtro podremos cambiar las reglas o las opciones especificadas anteriormente. En caso de alguna corrección que necesitemos hacer.
- En caso de escoger un protocolo y le podamos especificar el puerto. Lo cambiamos por aquí y damos - Aceptar Regresamos a las opciones de configuración anterior. - Seleccionamos el filtro de la lista que acabamos de crear ya damos clic en - Siguiente
-ahora vamos ha Agregar una “acción” de filtrado y seleccionamos usar asistente para agregar y damos en - Agregar
Ahora nos saldrá un asistente para crear la acción y damos - siguiente
Ahora nos pedirá un nombre y una descripción para nuestra -Siguiente
-Ahora le damos en “Negociar la seguridad” de la política para ha la hora de establecer la comunicación negocie la seguridad con que será la conexión para el envió de paquetes ip, autenticados y cifrados de seguido damos clic en -Siguiente
-Luego seleccionamos que la comunicacion solo sea efectuada con equipos quen implementen ipsec y claramente nuestra clave pecompartida y damos -Siguiente
Trafico de seguridad IP. Aquí Hacemos uno personalizado. -Personalizada -Configuracion…
-en esta parte Escogemos el algoritmo que nos brindara integridad y cifrado de datos en nuestro paquete ip y damos clic en -Aceptar
-en esta parte estamos finalizando el asistente de de la acción y damos clic en - Finalizar
-nos mostrara las propiedades del filtro y damos en - Aceptar
-Escogemos la regla de acción de filtrado que acabamos de crear (Respuesta ping) y damos -Siguiente
Digitamos de nuevo la clave pre-compartida y damos -Siguiente
-ahora finalizamos el asistente para la regla de seguridad ip y damos clic en Finalizar
Basta recordar que solo se puede asignar una regla a la vez: -Clic derecho sobre la regla que deseamos y damos clic en -Asignar para que la regla sea aplicada en el equipo local
Aquí miramos que ya tenemos nuestra regla asignada:
Prueba: Ahora miraremos si nuestra regla si se aplica, daremos un “ping” al equipo del otro extremo, que está configurado con nustra clave que compartimos para la comunicación de esta misma forma y nos deberá mostrar lo siguiente: En una consola cmd o símbolo del sistema haremos el “ping”: ping 192.168.1.66
NOTA: Si al efectuar la prueba de “ping” no nos saca la Negociación de Seguridad IP hacemos lo siguiente: Ingresamos a la consola de administración de Directivas de seguridad IP y damos clic derecho en la Política de seguridad IP que hemos creado, le damos en desasignar y luego en asignar, ahora volvemos a probar dándole “ping” nuevamente.
GLOSARIO Directorio Activo: Es la implementación de Microsoft del servicio de directorios LDAP para ser utilizado en entornos Windows. El Directorio Activo permite a los administradores establecer políticas a nivel de empresa, desplegar programas en muchos ordenadores y aplicar actualizaciones críticas a una organización entera. Un Directorio Activo almacena información de una organización en una base de datos central, organizada y accesible. Pueden encontrarse desde Directorios Activos con cientos de objetos para una red pequeña hasta Directorios Activos con millones de objetos.i Hash: se refiere a una función o método para generar claves o llaves que representen de manera casi unívoca a un documento, registro, archivo, etc., resumir o identificar un dato a través de la probabilidad, utilizando una función hash o algoritmo hash. Un hash es el resultado de dicha función o algoritmo.ii
ICMP: El Protocolo de Mensajes de Control de Internet o ICMP (por sus siglas de Internet Control Message Protocol) es el subprotocolo de control y notificación de errores del Protocolo de Internet (IP). Como tal, se usa para enviar mensajes de error, indicando por ejemplo que un servicio determinado no está disponible o que un router o host no puede ser localizado.iii IP: es un número que identifica de manera lógica y jerárquica a una interfaz de un dispositivo (habitualmente una computadora) dentro de una red que utilice el protocolo IP (Internet Protocol), que corresponde al nivel de red o nivel 3 del modelo de referencia OSI. Dicho número no se ha de confundir con la dirección MAC que es un número hexadecimal fijo que es asignado a la tarjeta o dispositivo de red por el fabricante, mientras que la dirección IP se puede cambiar.iv MMC: Microsoft Management Console (MMC) hospeda y muestra herramientas administrativas creadas por Microsoft y por otros proveedores de software.
Estas herramientas se conocen como complementos y sirven para administrar los componentes de hardware, software y red de Windows. Varias herramientas de la carpeta Herramientas administrativas, como Administración de equipos, son complementos MMC.v MODELO OSI: El modelo de referencia de Interconexión de Sistemas Abiertos (OSI, Open System Interconnection) lanzado en 1984 fue el modelo de red descriptivo creado por ISO; esto es, un marco de referencia para la definición de arquitecturas de interconexión de sistemas de comunicaciones.vi MODO TÚNEL: todo el paquete IP (datos más cabeceras del mensaje) es cifrado y/o autenticado. Debe ser entonces encapsulado en un nuevo paquete IP para que funcione el enrutamiento. El modo túnel se utiliza para comunicaciones red a red (túneles seguros entre routers, p.e. para VPNs) o comunicaciones ordenador a red u ordenador a ordenador sobre Internet.vii PING: comprueba el estado de la conexión con uno o varios equipos remotos por medio de los paquetes de solicitud de eco y de respuesta de eco (ambos definidos en el protocolo de red ICMP) para determinar si un sistema IP específico es accesible en una red. Es útil para diagnosticar los errores en redes o enrutadores IP.viii POLÍTICAS DE SEGURIDAD: es un documento de alto nivel que denota el compromiso de la gerencia con la seguridad de la información. Contiene la definición de la seguridad de la información bajo el punto de vista de cierta entidad. Debe ser enriquecida y compatibilizada con otras políticas dependientes de ésta, objetivos de seguridad, procedimientos (véase referencias más adelante). Debe estar fácilmente accesible de forma que los empleados estén al tanto de su existencia y entiendan su contenido. Puede ser también un documento único o inserto en un manual de seguridad. Se debe designar un propietario que será el responsable de su mantenimiento y su actualización a cualquier cambio que se requiera.ix
TCP: La familia de protocolos de Internet es un conjunto de protocolos de red en la que se basa Internet y que permiten la transmisión de datos entre redes de computadoras. En ocasiones se le denomina conjunto de protocolos TCP/IP, en referencia a los dos protocolos más importantes que la componen: Protocolo de Control de Transmisión (TCP) y Protocolo de Internet (IP), que fueron los dos primeros en definirse, y que son los más utilizados de la familia. Existen tantos protocolos en este conjunto que llegan a ser más de 100 diferentes, entre ellos se encuentra el popular HTTP (HyperText Transfer Protocol), que es el que se utiliza para acceder a las páginas web, además de otros como el ARP (Address Resolution Protocol) para la resolución de direcciones, el FTP (File Transfer Protocol) para transferencia de archivos, y el SMTP (Simple Mail Transfer Protocol) y el POP (Post Office Protocol) para correo electrónico, TELNET para acceder a equipos remotos, entre otros.x UDP: User Datagram Protocol (UDP) es un protocolo del nivel de transporte basado en el intercambio de datagramas. Permite el envío de datagramas a través de la red sin que se haya establecido previamente una conexión, ya que el propio datagrama incorpora suficiente información de direccionamiento en su cabecera. Tampoco tiene confirmación, ni control de flujo, por lo que los paquetes pueden adelantarse unos a otros; y tampoco se sabe si ha llegado correctamente, ya que no hay confirmación de entrega o de recepción. Su uso principal es para protocolos como DHCP, BOOTP, DNS y demás protocolos en los que el intercambio de paquetes de la conexión/desconexión son mayores, o no son rentables con respecto a la información transmitida, así como para la transmisión de audio y vídeo en tiempo real, donde no es posible realizar retransmisiones por los estrictos requisitos de retardo que se tiene en estos casos.xi
CONCLUSIONES
•
IPsec puede ser un poco más manejable que otros protocolos como ssl ya que IPsec actúa en la capa 4 del modelo OSI y puede ser utilizado para proteger protocolos como TCP y UDP.
•
IPsec se utiliza originalmente con IP versión 6 pero es opcional en IP versión 4.
•
El protocolo IPsec trabaja con mecanismos de encriptación ya como algoritmos de clave simétrica.
BIBLIOGRAFÍA
i
http://es.wikipedia.org/wiki/Directorio_activo
ii
http://es.wikipedia.org/wiki/Hash
iii
http://es.wikipedia.org/wiki/ICMP
iv v
http://es.wikipedia.org/wiki/Direcci%C3%B3n_IP http://es.wikipedia.org/wiki/Microsoft_Management_Console
vi
http://es.wikipedia.org/wiki/Modelo_OSI
vii
http://es.wikipedia.org/wiki/IPSEC
viii
http://es.wikipedia.org/wiki/Ping
ix
http://es.wikipedia.org/wiki/Pol%C3%ADticas_de_seguridad
x
http://es.wikipedia.org/wiki/TCP/IP xi
http://es.wikipedia.org/wiki/UDP