11:54 PM - Internet Protocol Security (IPSec) en Windows

IPsec comprende una serie de estándares con el objetivo de autentificar y/o encriptar todos los paquetes a nivel capa de red (layer 3) lo que lo hace transparente a las aplicaciones de forma que no deben ser modificadas para hacer uso de IPsec, en principio fue diseñado de cara a Ipv6 pero se ha adaptado para v4. Se usan una serie de protocolos con dos objetivos, asegurar el flujo de datos y el intercambio de claves. Para lo primero se usan dos protocolos: Encapsulating Security Payload (ESP) que provee autentificación, confidencialidad de los datos e integridad del mensaje y Authentication Header (AH) que solo provee autentificación e integridad del mensaje. Mientras que para el intercambio seguro de claves solo hay un protocolo definido que es IKE (Internet Key Exchange) que en Windows se puede implementar mediante Kerberos v5 (por defecto), certificados o bien por una clave previamente compartida (PSK / pre-shared key) que se trata simplemente de una palabra o frase en texto que usa a modo de contraseña. AH y ESP pueden ser usados conjuntamente o por separado, pero ambos pueden usar dos modos de operaciones distintos:

Modo transporte (transport mode): provee seguridad punto a punto y es el tipo de encriptación que se usa en VPNs tipo L2TP con IPSec y en un entorno donde los equipos estén configurados por ipsec en el que se realicen conexiones IPSec donde se negocia de equipo a equipo o bien de equipo a gateway.

Modo túnel (tunnel mode): normalmente este termino provoca confusión y se tienda a relacionar directamente a los túneles L2PT/IPSec que en realidad no usan este modo sino el de transporte, este modo es usado entre gateways ipsec o por Isa Server cuando funciona en modo túnel de IPSec.

En Windows IPsec esta soportado en 2000, XP y Server 2003, en el caso de que la implementación que hagamos sea una VPN tipo L2TP/IPsec hay un cliente para sistemas operativos anteriores a Windows 2000. Tanto en las políticas de seguridad local (secpol.msc) como en las directivas de grupo (GPO) existen unas políticas predefinidas de IPSec:


Servidor Seguro (requerir seguridad) - Secure Server (require security): solo acepta comunicaciones sobre IPSec.

Servidor (solicitar seguridad) - Server (request security): si es posible utiliza IPSec en las comunicaciones.

Cliente (sólo responder)- Client (respond only): política pensada para los clientes de manera que usen IPSec si el otro



Si queremos crear una nueva directiva simplemente tenemos que ir a Acción -> Crear directiva de seguridad IP.. y nos aparecerá un asistente que nos guiara en los distintos pasos, lo primero que nos solicitara es el nombre y una breve descripción. Tras esto nos preguntara como queremos que la política responda a las peticiones de comunicación segura (ipsec) en algo que hace llamar activar la regla de respuesta predeterminada y el tipo de autentificación que se usara.





Básicamente una vez creada nuestra directiva personalizada podemos agregar distintas reglas que pueden utilizar distintos métodos de autentificación, a que tipo de trafico aplicar (por defecto tenemos ICMP e IP como elecciones pero se pueden agregar mas), responder o encaminar solo a determinadas redes y realizar distintas acciones como requerir que es forzar a que la comunicación segura o no realizarla si no se puede asegurar, solicitar (request) donde se pide si es posible realizar la comunicación por ipsec o bien permitir (permit) donde se permite realizar comunicación sin ningún tipo de seguridad.

---

Publicar un comentario en la entrada