Está en la página 1de 52

Mdulo 8: Planeamiento y solucin de problemas de IPSec

Contenido Introduccin Leccin: Reglas de directiva predeterminadas Presentacin multimedia: Introduccin a IPSec Leccin: Planeamiento de una implementacin de IPSec Leccin: Solucin de problemas de comunicacin de IPSec Prctica A: Solucin de problemas de IPSec 1 2 3 15 30 40

La informacin contenida en este documento, incluidas las direcciones URL y otras referencias a sitios Web en Internet, est sujeta a modificaciones sin previo aviso. A menos que se indique lo contrario, los nombres de las compaas, productos, dominios, direcciones de correo electrnico, logotipos, personas, personajes, lugares y eventos mencionados son ficticios. No se pretende indicar, ni debe deducirse ninguna asociacin con compaas, organizaciones, productos, dominios, direcciones de correo electrnico, logotipos, personas, lugares o eventos reales. Es responsabilidad del usuario el cumplimiento de todas las leyes de derechos de autor aplicables. Ninguna parte de este documento puede ser reproducida, almacenada o introducida en un sistema de recuperacin, o transmitida de ninguna forma, ni por ningn medio (ya sea electrnico, mecnico, por fotocopia, grabacin o de otra manera) con ningn propsito, sin la previa autorizacin por escrito de Microsoft Corporation. Microsoft puede ser titular de patentes, solicitudes de patentes, marcas, derechos de autor, y otros derechos de propiedad intelectual sobre los contenidos de este documento. El suministro de este documento no le otorga a usted ninguna licencia sobre estas patentes, marcas, derechos de autor, u otros derechos de propiedad intelectual, a menos que ello se prevea en un contrato escrito de licencia de Microsoft. 2003 Microsoft Corporation. Reservados todos los derechos. Microsoft, MS-DOS, Windows, Windows NT, Active Directory, MSDN, PowerPoint, SharePoint, Visual Basic y Windows Media son marcas registradas o marcas comerciales de Microsoft Corporation en los Estados Unidos y/o en otros pases. Los nombres de compaas reales y productos aqu mencionados pueden ser marcas registradas de sus respectivos propietarios.

Mdulo 8: Planeamiento y solucin de problemas de IPSec

iii

Notas para el instructor


Presentacin: 90 minutos Prctica: 30 minutos Este mdulo proporciona a los alumnos la informacin necesaria para planear una implementacin de IPSec (Seguridad del protocolo Internet) y solucionar los problemas relacionados. Despus de completar este mdulo, los alumnos podrn:
! !

Describir IPSec. Explicar las directivas predeterminadas, las reglas y la configuracin de IPSec. Planear la implementacin de IPSec. Solucionar problemas de IPSec.

! !

Material necesario

Para impartir este mdulo, necesitar el material siguiente:


! !

Archivo 2191A_08.ppt de Microsoft PowerPoint Archivo multimedia: Introduccin a IPSec

Importante Se recomienda utilizar PowerPoint 2002 o una versin posterior para mostrar las diapositivas de este curso. Si usa PowerPoint Viewer o una versin anterior de PowerPoint, puede que no se muestren correctamente todas las caractersticas de las diapositivas. Tareas de preparacin Para preparar este mdulo, debe:
! ! ! !

Leer todo el material relacionado. Completar los ejercicios prcticos y la prctica y revisar las respuestas de sta. Observar la presentacin multimedia. Revisar los requisitos previos en lo que respecta a cursos y mdulos.

iv

Mdulo 8: Planeamiento y solucin de problemas de IPSec

Recomendaciones para impartir este mdulo


En algn momento del mdulo, debe explicar a los alumnos que al planear una implementacin de IPSec deben determinar cundo y dnde son apropiadas las comunicaciones IPSec en la organizacin. En algunos casos, puede utilizarse IPSec en toda la organizacin. En otros casos, en cambio, puede ser apropiado utilizar IPSec de forma muy limitada: por ejemplo, para proteger las comunicaciones entre dos equipos.

Pginas de instrucciones, directrices, ejercicios prcticos y prcticas


Explique a los alumnos el diseo para este curso de las pginas de instrucciones, los ejercicios prcticos y las prcticas. Un mdulo incluye dos lecciones o ms. La mayor parte de las lecciones contienen pginas de instrucciones y un ejercicio prctico. Una vez completadas todas las lecciones, el mdulo concluye con una prctica. Pginas de instrucciones Las pginas de instrucciones tienen como objetivo que el instructor muestre cmo llevar a cabo una tarea. Los alumnos no deben llevar a cabo las tareas de la pgina de instrucciones con el instructor, sino que utilizarn dichos pasos para llevar a cabo el ejercicio prctico al final de cada leccin. Las pginas de directrices proporcionan decisiones clave sobre el tema tratado en la leccin. Utilice estas directrices para reforzar el contenido y los objetivos de la leccin. Una vez que haya cubierto el contenido del tema y haya demostrado los procedimientos correspondientes a la leccin, explique que los ejercicios prcticos proporcionan a los alumnos la oportunidad de obtener experiencia prctica en todas las tareas tratadas. Al final de cada mdulo, gracias a la prctica los alumnos pueden ejercitarse en las tareas que se explican y se aplican en todo el mdulo. A travs de escenarios relacionados con la funcin de trabajo, la prctica proporciona a los alumnos un conjunto de instrucciones en una tabla de dos columnas. En la columna de la izquierda se indica la tarea que deben realizar (por ejemplo, crear un grupo). La columna de la derecha contiene instrucciones especficas necesarias para que los alumnos puedan realizar la tarea (por ejemplo, en Usuarios y equipos de Active Directory, haga doble clic en el nodo del dominio). En el disco compacto Material del alumno se encuentran las respuestas de los ejercicios de cada prctica, en el caso de que los alumnos necesiten instrucciones paso a paso para completarla. Tambin pueden remitirse a los ejercicios prcticos y a las pginas de instrucciones del mdulo.

Pginas de directrices

Ejercicios prcticos

Prcticas

Mdulo 8: Planeamiento y solucin de problemas de IPSec

Leccin: Reglas de directiva predeterminadas


En esta seccin se describen los mtodos para impartir esta leccin. Presentacin multimedia: Introduccin a IPSec Reglas para una conexin IPSec Al presentar esta leccin, debe dejar claro que en ella no se describen conceptos especficos de los algoritmos utilizados. Debe conocer estos algoritmos y la configuracin de intercambio de claves para poder responder a las posibles preguntas de los alumnos. Asegrese de que los alumnos comprendan los elementos que conforman una regla IPSec. Es posible que deba demostrar estos elementos; para ello, abra Directivas de seguridad IP en el equipo del instructor y comente los elementos enumerados en la diapositiva. Indique a los alumnos que utilizarn esta herramienta en la prctica. Cuando comente este tema, debe hacer hincapi en que, de forma predeterminada, ninguna de las directivas est asignada; no obstante, pueden asignarse para proporcionar comunicacin IPSec. Los alumnos pueden utilizar estas directivas tal y como se presentan, modificarlas para crear otras directivas o crear directivas totalmente nuevas. Demuestre a los alumnos cmo pueden importar directivas de otros equipos y exportarlas a otros equipos, aun cuando no utilicen el servicio de directorio Active Directory para asignar directivas IPSec. Cuando describa las reglas de la directiva predeterminada Cliente (slo responder), debe dejar claro que esta directiva no inicia comunicaciones con IPSec, sino que responde si otra parte enva una solicitud. Dicho de otro modo, el cliente puede utilizar comunicaciones IPSec, pero no las inicia. Para ilustrar el contenido de esta diapositiva y de las dos diapositivas siguientes, es posible que deba regresar al complemento Microsoft Management Console (MMC) y demostrar las caractersticas de la directiva. Compare esta directiva con la anterior. Las solicitudes de esta directiva protegen la comunicacin mediante IPSec, pero no lo precisan. Compare esta directiva con las dos directivas anteriores y resalte que un servidor que utilice esta directiva no responde a otros sistemas que no utilicen IPSec para las comunicaciones. El trfico ICMP (Protocolo de mensajes de control de Internet) es una excepcin. Como consecuencia de ello, puede aplicar el comando ping a un servidor aunque esta directiva est habilitada. Indique a los alumnos que pueden modificar la directiva predeterminada Servidor seguro (requerir seguridad) de modo que no pueda utilizarse el comando ping o que este comando slo pueda ejecutarse desde determinadas mquinas. Notifique a los alumnos que la respuesta a esta prctica, que se encuentra en el disco compacto Material del alumno, proporciona ms detalles sobre los elementos de la ficha Accin de filtrado. Debe estar preparado para debatir sobre estos componentes si es necesario, por lo que debe conocer todas las implicaciones de cada uno de los valores disponibles en MMC.

Directivas IPSec predeterminadas

Reglas de la directiva predeterminada Cliente (slo responder)

Reglas de la directiva predeterminada Servidor (requerir seguridad) Reglas de la directiva predeterminada Servidor seguro (requerir seguridad)

Ejercicio prctico: Administracin basada en directivas

vi

Mdulo 8: Planeamiento y solucin de problemas de IPSec

Leccin: Planeamiento de una implementacin de IPSec


En esta seccin se describen los mtodos para impartir esta leccin. Introduccin Al presentar esta leccin, debe indicar que muchas de las decisiones de planeamiento que los alumnos deben tomar dependen de la infraestructura con la que trabajen. Por ejemplo, es posible que deban decidir si es necesario restringir las comunicaciones IPSec a los equipos de un bosque Active Directory. Si deciden no hacerlo, debern utilizar la infraestructura de clave pblica (PKI) en lugar de Kerberos, y no podrn utilizar Directiva de grupo para aplicar la directiva de grupo en toda la red. Asegrese de que los alumnos saben que pueden aplicar directivas IPSec localmente aunque los equipos formen parte de una infraestructura Active Directory, por ejemplo en caso de que slo desee proteger las comunicaciones utilizando IPSec para determinados equipos del entorno. Indique que no siempre es posible utilizar Kerberos. Por ejemplo, los alumnos no deben utilizar Kerberos si algunos de los equipos de la red no forman parte de un dominio de confianza Active Directory.

Determinacin del mtodo de implementacin de la directiva IPSec Seleccin del mtodo de autenticacin que debe utilizarse

Leccin: Solucin de problemas de comunicacin de IPSec


En esta seccin se describen los mtodos para impartir esta leccin. Introduccin Al presentar esta leccin, haga hincapi en que los problemas ms comunes relacionados con las comunicaciones IPSec se deben a errores de configuracin de las directivas propiamente dichas y al desconocimiento sobre cmo se aplica la directiva de grupo de Microsoft Windows 2003. Deje claro que cuando los alumnos implementen IPSec en un entorno, debern utilizar el Monitor de seguridad IP para comprobar que el trfico est protegido tal como se espera. Puede utilizar el Monitor de red para visualizar los paquetes y ver que estn protegidos segn lo previsto. Recuerde que los alumnos tambin lo harn en la prctica. Si anteriormente ha demostrado que el trfico est protegido mediante IPSec, puede utilizar algunas de estas herramientas y mostrar ejemplos de flujo de trfico protegido mediante trfico IPSec. Asegrese de que los alumnos no se quedan con la idea de que el error en el intercambio de claves es la causa principal que explica por qu IPSec no funciona como cabra esperar. Si no se produce ningn intercambio de claves, es muy probable que la causa del problema sea otra (por ejemplo, un error de configuracin). Deje claro que, si el entorno de directiva de grupo es demasiado complejo, a menudo las directivas no se aplican segn lo previsto y, por consiguiente, IPSec no funciona como es necesario. Tambin debe dejar claro que se trata de un uso general y que puede afectar a muchos otros factores aparte de IPSec.

Herramientas para solucionar problemas de IPSec Visualizacin de la informacin de intercambio de claves mediante el Visor de sucesos Comprobacin de la aplicacin de una directiva mediante RSoP

Mdulo 8: Planeamiento y solucin de problemas de IPSec

vii

Prctica A: Solucin de problemas de IPSec


Antes de iniciar la prctica, los alumnos debern haber terminado todos los ejercicios prcticos. Recuerde a los alumnos que pueden volver a consultar las directrices y las pginas de contenido del mdulo para obtener ayuda. En el disco compacto Material del alumno se encuentran las respuestas de los ejercicios de cada prctica. Tambin debe llevar a cabo las tareas siguientes para configurar el equipo Glasgow para la prctica.

Tareas
1.

Pasos detallados
a. c. a.

Iniciar una sesin en el equipo Glasgow como administrador de nwtraders. Crear una MMC con el complemento de administracin de directivas IPSec configurado para el equipo local.

Presione CTRL+ALT+SUPR. Contrasea: Contrasea del administrador del aula Haga clic en Inicio y en Ejecutar, escriba mmc en el cuadro de dilogo Abrir y, a continuacin, haga clic en Aceptar. Haga clic en Agregar y seleccione el complemento Administracin de directivas de seguridad IP. clic en Finalizar.

b. Nombre de usuario: Administrador

2.

b. En el men Archivo, haga clic en Agregar o quitar complemento. c.

d. Haga clic en Agregar, seleccione Equipo local y, a continuacin, haga e. 3.

Haga clic en Cerrar y, a continuacin, en Aceptar. Haga clic con el botn secundario del mouse en Directivas de seguridad IP en Equipo local en la vista de rbol. Seleccione Todas las tareas. Seleccione Importar directivas... Seleccione el archivo C:\MOC\2191\Labfiles\Glasgow_Base_Start.ipsec. Haga clic en Abrir para importar las directivas. En el panel Detalles, haga clic con el botn secundario del mouse en IPSec_Lab y seleccione Asignar.

Importar el archivo Glasgow_Base_Start.ipsec mediante la MMC.

a. b. c. d. e.

4.

Asignar la directiva Client_Policy

a.

viii

Mdulo 8: Planeamiento y solucin de problemas de IPSec

Informacin de personalizacin
En esta seccin se identifican los requisitos de instalacin de las prcticas para el mdulo y los cambios de configuracin que ocurren en los equipos de los alumnos durante estas prcticas. Esta informacin pretende ayudarle a replicar o personalizar el material del curso Microsoft Official Curriculum (MOC). La prctica de este mdulo tambin depende de la configuracin del aula que est especificada en la seccin Informacin de personalizacin, al final de la Gua de configuracin automatizada del aula del curso 2191A, Planeamiento y mantenimiento de infraestructuras de redes en Microsoft Windows Server 2003.

Configuracin de las prcticas


No existen requisitos de instalacin de la prctica que afecten a la replicacin o la personalizacin.

Resultados de las prcticas


No hay ningn cambio de configuracin de los equipos de los alumnos que afecte a la replicacin o la personalizacin.

Mdulo 8: Planeamiento y solucin de problemas de IPSec

Introduccin

******EL USO POR QUIENES NO SEAN INSTRUCTORES NO EST AUTORIZADO Y RESULTA ILEGAL****** Introduccin Una de las funciones importantes del ingeniero de sistemas de una empresa es proteger los recursos ante los ataques de usuarios malintencionados. En este mdulo, aprender a planear una implementacin de IPSec (Seguridad del protocolo Internet). En este mdulo tambin se describen las herramientas y los conocimientos necesarios para solucionar problemas relacionados con IPSec. Despus de finalizar este mdulo, el alumno podr:
! !

Objetivos

Describir IPSec. Explicar las directivas predeterminadas, las reglas y la configuracin de IPSec. Planear la implementacin de IPSec. Solucionar problemas de IPSec.

! !

Mdulo 8: Planeamiento y solucin de problemas de IPSec

Leccin: Reglas de directiva predeterminadas

******EL USO POR QUIENES NO SEAN INSTRUCTORES NO EST AUTORIZADO Y RESULTA ILEGAL****** Introduccin Una configuracin IPSec se conoce como directiva IPSec. Cada directiva IPSec tiene reglas con valores de configuracin asociados. En este mdulo se definen las directivas IPSec predeterminadas y las reglas asociadas. Despus de finalizar esta leccin, el alumno podr:
! ! ! ! !

Objetivos de la leccin

Describir las reglas para una directiva IPSec. Describir las tres directivas IPSec predeterminadas. Comprender las reglas para la directiva IPSec predeterminada de cliente. Comprender las reglas para la directiva IPSec predeterminada de servidor. Comprender las reglas para la directiva IPSec predeterminada de servidor seguro.

Mdulo 8: Planeamiento y solucin de problemas de IPSec

Presentacin multimedia: Introduccin a IPSec

******EL USO POR QUIENES NO SEAN INSTRUCTORES NO EST AUTORIZADO Y RESULTA ILEGAL****** Ubicacin de los archivos Objetivos Para ver la presentacin Introduccin a IPSec, abra la pgina Web incluida en el disco compacto Material del alumno, haga clic en Multimedia y, a continuacin, haga clic en el ttulo de la presentacin. Una vez que haya visualizado esta presentacin, podr:
! ! !

Identificar el proceso para cifrar, descifrar y firmar datos. Explicar la funcionalidad de los agentes y controladores de la directiva IPSec. Definir la funcionalidad del servicio ISAKMP (Protocolo de administracin de claves y asociaciones de seguridad de Internet). Explicar cmo la directiva IPSec desencadena el proceso de cifrado de datos entre dos equipos.

Preguntas clave

Cuando vea esta presentacin multimedia, deber tener en cuenta las preguntas siguientes:
!

Qu ocurre si no hay ninguna directiva IPSec en el servicio de directorio Active Directory o en el registro del equipo local? Qu suceso solicita el intercambio de claves de seguridad? Qu protocolo centraliza la administracin de asociaciones de seguridad? Cmo desencadena la directiva IPSec el proceso de cifrado de datos entre dos equipos?

! ! !

Mdulo 8: Planeamiento y solucin de problemas de IPSec

Reglas para una conexin IPSec

******EL USO POR QUIENES NO SEAN INSTRUCTORES NO EST AUTORIZADO Y RESULTA ILEGAL****** Introduccin Una directiva IPSec se compone de una o varias reglas que determinan el comportamiento de IPSec. Cada regla IPSec contiene valores que pueden configurarse. Las reglas IPSec se configuran en las propiedades de una directiva de la ficha Reglas. En la seccin siguiente se enumeran y describen las reglas y los valores de configuracin correspondientes. Se selecciona una nica lista de filtros que contiene uno o ms filtros de paquetes predefinidos que describen los tipos de trfico a los que se aplica la accin de filtro configurada para esta regla. Configure la lista de filtros de las propiedades de una regla IPSec en la ficha Lista de filtros IP de una directiva IPSec. Se selecciona una nica accin de filtro que incluye el tipo de accin necesario (Permitir, Bloquear o Negociar la seguridad) para los paquetes que coinciden con la lista de filtros. Para la accin de filtro Negociar la seguridad, los datos de negociacin contienen varios valores de configuracin de IPSec, que incluyen uno o ms mtodos de seguridad (por orden de preferencia) utilizados durante las negociaciones IKE (Intercambio de claves de Internet). Cada mtodo de seguridad determina el protocolo de seguridad (como AH [Encabezado de autenticacin] o ESP [Carga de seguridad encapsuladora]), los algoritmos de cifrado y hash especficos y los valores de regeneracin de claves de sesin que se utilizan. Configure la accin del filtro en las propiedades de una regla IPSec de la ficha Accin de filtrado de la directiva IPSec. Se configuran uno o ms mtodos de autenticacin (en orden de preferencia) y se utilizan para la autenticacin de homlogos IPSec durante las negociaciones de modos principales. Los mtodos de autenticacin disponibles son el protocolo Kerberos versin 5 (Kerberos V5), el uso de un certificado expedido por una entidad emisora de certificados o una clave previamente compartida. Configure los datos de negociacin en las propiedades de una regla IPSec en la ficha Mtodos de autenticacin de una directiva IPSec.

Lista de filtros

Accin de filtrado

Mtodos de autenticacin

Mdulo 8: Planeamiento y solucin de problemas de IPSec

Punto final del tnel

El punto final del tnel especifica si el trfico se transmite por tnel y, en caso afirmativo, especifica la direccin IP (Protocolo Internet) del punto final del tnel. Para el trfico de salida, el punto final del tnel es la direccin IP del homlogo del tnel IPSec. Para el trfico de entrada, el punto final del tnel es una direccin IP local. Configure el punto final del tnel en las propiedades de una regla IPSec de la ficha Configuracin de tnel de una directiva IPSec. El tipo de conexin especifica si la regla se aplica a las conexiones de red de rea local (LAN), a las conexiones de acceso telefnico o a ambos tipos de conexin. Configure el tipo de conexin en las propiedades de una regla IPSec en la ficha Tipo de conexin de una directiva IPSec. Las reglas de una directiva se visualizan en el Editor de objetos de directiva de grupo y son: Configuracin de equipo, Configuracin de Windows, Configuracin de seguridad y Directivas de seguridad IP. Las reglas aparecen en orden alfabtico inverso en funcin del nombre de la lista de filtros seleccionada para cada regla. No existe ningn mtodo para especificar el orden en el que deben aplicarse las reglas en una directiva. El controlador IPSec ordena automticamente las reglas en funcin de la lista de filtros ms especfica a la menos especfica. Por ejemplo, el controlador IPSec aplicar antes una regla que contenga una lista de filtros que especifique direcciones IP y puertos TCP (Protocolo de control de transporte) individuales que una regla que contenga una lista de filtros que especifique todas las direcciones de una subred.

Tipo de conexin

Cmo se aplican las reglas

Mdulo 8: Planeamiento y solucin de problemas de IPSec

Directivas IPSec predeterminadas

******EL USO POR QUIENES NO SEAN INSTRUCTORES NO EST AUTORIZADO Y RESULTA ILEGAL****** Introduccin Microsoft Windows XP y la familia Microsoft Windows Server 2003 proporcionan un conjunto de listas de filtrados IPSec predefinidos, acciones de filtros y directivas predeterminadas. El nico objetivo de este conjunto predefinido es proporcionar un ejemplo y no est diseado para utilizarlo de forma operativa sin ningn tipo de modificacin. Un administrador de red IPSec especializado o un usuario avanzado deben disear directivas nuevas y personalizadas para su uso operativo. Los equipos conectados a Internet deben protegerse de posibles ataques de red mediante directivas personalizadas. Las directivas predeterminadas estn predefinidas como ejemplos para intranets porque permiten que un equipo reciba trfico no seguro. Las directivas predeterminadas se han diseado para equipos que son miembros de un dominio Active Directory. Se definen las tres directivas predeterminadas que se indican a continuacin:
! ! !

Cliente (slo responder) Servidor (requerir seguridad) Servidor seguro (requerir seguridad)

Mdulo 8: Planeamiento y solucin de problemas de IPSec

Cliente (slo responder)

La directiva predeterminada Cliente (slo responder) est concebida para equipos que protegen las comunicaciones a peticin. Por ejemplo, es posible que los clientes de la intranet no necesiten IPSec a menos que lo solicite otro equipo. Esta directiva permite al equipo en el que est activa responder a las solicitudes de comunicaciones seguras. La directiva contiene la regla de respuesta predeterminada, que crea filtros IPSec dinmicos para el trfico de entrada y de salida basado en el protocolo solicitado y en el trfico de puerto para la comunicacin que se ha protegido. La directiva predeterminada Servidor (requerir seguridad) est concebida para los equipos que necesitan comunicaciones IP pero permiten comunicaciones IP no seguras con equipos no habilitados para IPSec. La directiva predeterminada Servidor seguro (requerir seguridad) est concebida para los equipos de una intranet que necesitan comunicaciones seguras, como un servidor que transmite informacin confidencial. Los filtros utilizados en esta directiva exigen que todas las comunicaciones de salida sean seguras y slo permiten que la comunicacin de entrada inicial no lo sea.

Servidor (requerir seguridad) Servidor seguro (requerir seguridad)

Mdulo 8: Planeamiento y solucin de problemas de IPSec

Reglas de la directiva predeterminada Cliente (slo responder)

******EL USO POR QUIENES NO SEAN INSTRUCTORES NO EST AUTORIZADO Y RESULTA ILEGAL****** Introduccin La directiva predeterminada Cliente (slo responder) es una directiva de ejemplo concebida para equipos que protegen las comunicaciones a peticin. Esta directiva permite al equipo en el que est activa responder a las solicitudes de comunicaciones seguras. Contiene la regla de respuesta predeterminada, que crea filtros IPSec dinmicos para el trfico de entrada y de salida de acuerdo con el protocolo solicitado y el trfico de puerto para la comunicacin que se ha protegido. La directiva Cliente (slo responder) tiene la configuracin siguiente:
!

Regla de la directiva

Primera regla (regla de respuesta predeterminada) Esta es la regla de respuesta predeterminada, que puede utilizarse para todas las directivas. Esta regla no puede borrarse, pero s desactivarse. Se activa de forma predeterminada en todas las directivas.

Lista de filtros IP: <dinmica> Indica que la lista de filtros no est configurada, pero que los filtros se crean de forma automtica en funcin de la recepcin de los paquetes de negociacin IKE.

Accin de filtrado: respuesta predeterminada Indica que la accin del filtro no se puede configurar. Se utiliza la accin de filtrado Negociar la seguridad.

Autenticacin: Kerberos Esta configuracin selecciona la autenticacin Kerberos y se utiliza para todas las autenticaciones.

Configuracin de tnel: ninguna No hay ninguna configuracin de tnel en la lista. Tipo de conexin: todas Se utiliza para todos los tipos de conexin.

Mdulo 8: Planeamiento y solucin de problemas de IPSec

Reglas de la directiva predeterminada Servidor (requerir seguridad)

******EL USO POR QUIENES NO SEAN INSTRUCTORES NO EST AUTORIZADO Y RESULTA ILEGAL****** Introduccin En la directiva predeterminada Servidor (requerir seguridad), el equipo acepta trfico no seguro, pero siempre trata de proporcionar seguridad a las comunicaciones adicionales solicitando seguridad al emisor original. La directiva predeterminada Servidor (requerir seguridad) es una directiva de ejemplo concebida para equipos que deban proporcionar seguridad a las comunicaciones en la mayora de los casos. Esta directiva permite prescindir de seguridad en toda la comunicacin si el otro equipo no tiene habilitado IPSec. Por ejemplo, la comunicacin con servidores especficos puede ser segura y a la vez permitir que el servidor se comunique de forma no segura para ajustarse a una combinacin de clientes (algunos que son compatibles con IPSec y otros que no lo son). La directiva predeterminada Servidor (requerir seguridad) tiene tres reglas. La primera regla se utiliza para requerir seguridad para todo el trfico IP; la segunda, para permitir el trfico ICMP (Protocolo de mensajes de control de Internet); y la tercera (respuesta predeterminada), para responder a las solicitudes de seguridad de otros equipos. La directiva Servidor (requerir seguridad) tiene la configuracin siguiente: Primera regla La primera regla Servidor (requerir seguridad) tiene la configuracin siguiente:
!

Directiva predeterminada del servidor (requerir seguridad)

Reglas de la directiva

Lista de filtros IP: todo el trfico IP Esta lista de filtros se aplica a todo el trfico IP. Accin de filtrado: requerir seguridad (opcional) El requisito de seguridad de esta regla es que el equipo solicite seguridad. Autenticacin: Kerberos Configuracin de tnel: ninguna No existe ninguna direccin IP de destino para la configuracin de tnel. Tipo de conexin: todas Esto se aplica a todos los tipos de conexin.

! !

10

Mdulo 8: Planeamiento y solucin de problemas de IPSec

Segunda regla

La segunda regla de la directiva Servidor (requerir seguridad) tiene la configuracin siguiente:


!

Lista de filtros IP: todo el trfico ICMP Esta lista de filtros se aplica a todo el trfico ICMP. Accin de filtrado: permitir Esta regla especifica que IPSec pasa este trfico sin modificar el requisito de seguridad.

Autenticacin: N/D Esta regla no tiene ninguna autenticacin asociada. Configuracin de tnel: ninguna Esta regla no tiene ninguna configuracin de tnel asociada. Tipo de conexin: todas Esta regla se aplica a todos los tipos de conexin.

Tercera regla (regla de respuesta predeterminada)

La tercera regla de la directiva Servidor (requerir seguridad) tiene la configuracin siguiente:


! ! ! ! !

Lista de filtros IP: <dinmica> Accin de filtrado: respuesta predeterminada Autenticacin: Kerberos Configuracin de tnel: ninguna Tipo de conexin: todas

Mdulo 8: Planeamiento y solucin de problemas de IPSec

11

Reglas de la directiva predeterminada Servidor seguro (requerir seguridad)

******EL USO POR QUIENES NO SEAN INSTRUCTORES NO EST AUTORIZADO Y RESULTA ILEGAL****** Introduccin La directiva predeterminada Servidor seguro (requerir seguridad) es una directiva concebida para los equipos de una intranet que exijan comunicaciones seguras, como un servidor que transmita informacin muy confidencial. Los administradores pueden utilizar esta directiva IPSec como ejemplo de creacin de una directiva IPSec personalizada para su uso en produccin. Los filtros utilizados en esta directiva exigen que toda la comunicacin de salida sea segura, de manera que slo se permita que no sea segura la solicitud de comunicacin de entrada. La directiva Servidor seguro (requerir seguridad) tiene tres reglas. La primera regla consiste en exigir seguridad para todo el trfico IP; la segunda, permitir trfico ICMP; y la tercera, responder a las solicitudes de seguridad de otros equipos. La primera regla de la directiva Servidor seguro (requerir seguridad) tiene la configuracin siguiente:
! !

Directiva predeterminada Servidor seguro (requerir seguridad) Reglas de la directiva

Primera regla

Lista de filtros IP: todo el trfico IP Accin de filtrado: requerir seguridad La accin de filtrado requiere seguridad para todas las conexiones. Autenticacin: Kerberos Configuracin de tnel: ninguna Tipo de conexin: todas

! ! !

12

Mdulo 8: Planeamiento y solucin de problemas de IPSec

Segunda regla

La segunda regla de la directiva Servidor seguro (requerir seguridad) tiene la configuracin siguiente:
! ! ! ! !

Lista de filtros IP: todo el trfico ICMP Accin de filtrado: permitir Autenticacin: ninguna Configuracin de tnel: ninguna Tipo de conexin: todas

Tercera regla (regla de respuesta predeterminada)

La tercera regla de la directiva Servidor seguro (requerir seguridad) tiene la configuracin siguiente:
! ! ! ! !

Lista de filtros IP: <dinmica> Accin de filtrado: respuesta predeterminada Autenticacin: Kerberos Configuracin de tnel: ninguna Tipo de conexin: todas

Mdulo 8: Planeamiento y solucin de problemas de IPSec

13

Ejercicio prctico: Administracin basada en directivas

******EL USO POR QUIENES NO SEAN INSTRUCTORES NO EST AUTORIZADO Y RESULTA ILEGAL****** Introduccin Objetivo Instrucciones (opcional) En este ejercicio prctico se aborda la administracin de IPSec basada en directivas. El objetivo de este ejercicio prctico consiste en presentar la administracin basada en directivas de IPSec. 1. Lea el escenario. 2. Preprese para tratar los retos que implica esta tarea en un debate posterior al ejercicio prctico. Escenario Supongamos que el administrador de TI de Trey Research le ha contratado para trabajar como consultor en el proyecto conjunto de la empresa con Proseware Inc. Las dos empresas han firmado un contrato para llevar a cabo investigaciones conjuntas y planean compartir los datos por Internet. La seguridad es una de sus preocupaciones, y ambas empresas desean asegurarse de que nadie ms pueda leer o alterar la informacin que intercambian. Ambas empresas han implementado Windows Server 2003. Trey Research ha implementado un bosque de Active Directory, y Proseware Inc. tiene tres equipos independientes con Windows Server 2003. El departamento de TI de Trey Research sugiri utilizar IPSec como medio de comunicacin entre las dos empresas, pero ninguna de ellas ha implementado IPSec. Las empresas le envan sus planes preliminares para que los revise y ofrezca sugerencias. Constata que planean utilizar la directiva predeterminada Servidor seguro (requerir seguridad) en los dos extremos.

14

Mdulo 8: Planeamiento y solucin de problemas de IPSec

Ejercicio prctico

Qu propondra al administrador de TI de Trey Research? Razone las propuestas. Debe recomendar que Trey Research no utilice la directiva predeterminada en esta configuracin actual. El primer problema del plan propuesto es que la primera regla, que se aplica a todo el trfico IP, utiliza Kerberos como mtodo de autenticacin. No funcionar porque no hay confianza de Active Directory entre las dos organizaciones. Sugiera que los planeadores modifiquen el mtodo de autenticacin para los certificados de clave pblica. El segundo problema es que las directivas predeterminadas fueron concebidas para utilizarlas en una intranet y, por lo tanto, permiten trfico no seguro. Los planeadores deben cambiar la directiva predeterminada si un equipo se va a exponer a Internet. Adems, debe examinar la regla Accin de filtrado para asegurarse de que la configuracin de la regeneracin de las claves de sesin sea adecuada para las necesidades de ambas empresas. ________________________________________________________________ ________________________________________________________________ ________________________________________________________________ ________________________________________________________________

Mdulo 8: Planeamiento y solucin de problemas de IPSec

15

Leccin: Planeamiento de una implementacin de IPSec

******EL USO POR QUIENES NO SEAN INSTRUCTORES NO EST AUTORIZADO Y RESULTA ILEGAL****** Introduccin En esta leccin se tratan los principios para planear una implementacin de IPSec. La leccin tambin aborda la informacin necesaria para planear el acceso entre redes privadas, adems de los requisitos para determinar la implementacin de directivas. Despus de finalizar esta leccin, el alumno podr:
!

Objetivos de la leccin

Determine los sistemas y las direcciones IP que se incluirn en la red privada. Identifique la plantilla predeterminada que deba usarse. Planee el acceso seguro entre las redes privadas. Determine el mtodo de implementacin de directivas. Planee las necesidades de optimizacin.

! ! ! !

16

Mdulo 8: Planeamiento y solucin de problemas de IPSec

Determinacin del mtodo de implementacin de la directiva IPSec

******EL USO POR QUIENES NO SEAN INSTRUCTORES NO EST AUTORIZADO Y RESULTA ILEGAL****** Introduccin Al planear una implementacin de IPSec es necesario plantearse cmo almacenar e implementar las directivas IPSec. Puede implementar las directivas IPSec de dos maneras: utilizando Active Directory o las directivas locales. Puede asignar directivas IPSec en el objeto de directiva de grupo (GPO) de un sitio, un dominio o una unidad organizativa. Cuando la directiva IPSec est asignada en uno de los GPO para el objeto Active Directory, la directiva IPSec se propaga a todas las cuentas de los equipos afectados por dicho GPO. Puede administrar una directiva basada en Active Directory utilizando la consola Administracin de las directivas de seguridad de IP o el comando netsh. Una directiva basada en Active Directory reemplaza cualquier directiva IPSec asignada y se suma a la directiva IPSec persistente que ya ha aplicado el Agente de directivas IPSec, si se ha configurado una directiva persistente. Si existe un conflicto entre una directiva IPSec persistente y un dominio o una directiva local, la configuracin de la directiva persistente prevalece. Cuando asigne una directiva IPSec en Active Directory, tenga en cuenta lo siguiente:
!

Implementacin mediante Active Directory

La lista de todas las directivas IPSec est disponible para asignarlas en cualquier nivel de la jerarqua de Active Directory. No obstante, slo puede asignarse una directiva IPSec en un nivel especfico de Active Directory. Una directiva IPSec asignada a una unidad organizativa de Active Directory tiene prioridad sobre una directiva del nivel del dominio para los miembros de esa unidad organizativa. Una directiva IPSec asignada a la unidad organizativa de nivel ms bajo de la jerarqua de dominios sustituye una directiva IPSec asignada a una unidad organizativa de nivel superior para equipos miembros de esa unidad organizativa.

Mdulo 8: Planeamiento y solucin de problemas de IPSec


!

17

Una unidad organizativa hereda la directiva de la unidad organizativa principal a menos que se haya bloqueado explcitamente la herencia de directivas o se haya asignado explcitamente una directiva. Nunca se fusionan las directivas IPSec de distintas unidades organizativas. El nivel ms alto posible de la jerarqua de Active Directory debe utilizarse para asignar directivas a fin de reducir la cantidad de configuracin y administracin necesaria.

! !

Cundo utilizar Active Directory para implementar las directivas

Active Directory debe utilizarse para implementar directivas si la empresa cumple los criterios siguientes:
! !

Cuenta con una infraestructura de Active Directory. Tiene una cantidad considerable de equipos que es necesario agrupar para la asignacin de IPSec. Desea centralizar la estrategia IPSec de la organizacin.

Implementacin mediante directivas locales

Slo un GPO local, a menudo denominado directiva de equipo local, se guarda en un equipo local. Cundo se utiliza este GPO local se puede guardar la configuracin de la directiva de grupo independientemente de si son miembros de un dominio Active Directory. En una red sin un dominio Active Directory (una red sin un controlador de dominio de Windows 2000 o Windows Server 2003), la configuracin del GPO local determina el comportamiento de IPSec porque no est sobrescrita por otros GPO. Los GPO asociados a sitios, dominios o unidades organizativas en un entorno Active Directory pueden sobrescribir los GPO locales. La configuracin de una directiva IPSec local se suma a la directiva persistente, si ya se ha configurado una directiva persistente. Si se ha asignado una directiva IPSec basada en Active Directory y el equipo est conectado a un dominio Active Directory, se aplicar en su lugar la configuracin de la directiva basada en Active Directory.

Cundo utilizar la directiva local

La directiva local se debe utilizar en los dos escenarios siguientes:


!

Si no cuenta con ninguna infraestructura de Active Directory o dispone de una cantidad muy pequea de equipos que necesitan utilizar IPSec. Si no desea centralizar la estrategia IPSec de la organizacin.

Implementacin en un entorno heterogneo

Puede implementar IPSec en un entorno en el que tenga, adems de equipos miembros de un dominio que reciban su directiva IPSec a travs de una directiva de grupo de Active Directory, equipos que no sean miembros de un dominio y que reciban su directiva IPSec a travs de una directiva de grupo local. Independientemente de cmo se reciban las directivas IPSec, dos equipos que necesitan comunicarse entre s negocian el uno con el otro utilizando las reglas definidas en su directiva IPSec.

18

Mdulo 8: Planeamiento y solucin de problemas de IPSec

Seleccin del mtodo de autenticacin que debe utilizarse

******EL USO POR QUIENES NO SEAN INSTRUCTORES NO EST AUTORIZADO Y RESULTA ILEGAL****** Introduccin Debe seleccionar un mtodo de autenticacin para usarlo con su directiva IPSec. Su regla de directiva IPSec incluye una lista de mtodos de autenticacin, cada uno de los cuales define los requisitos para comprobar identidades. El mtodo de autenticacin seleccionado depende de los equipos de la empresa adems del nivel de seguridad necesario. Si los equipos de la empresa forman parte de un dominio Active Directory, puede efectuar la autenticacin del modo principal de IPSec usando el mtodo de autenticacin predeterminado. No es necesario implementar un certificado de clave pblica para la comunicacin en intranet. Sin embargo, los equipos que ejecutan Microsoft Windows XP Home Edition no admiten el mtodo de autenticacin Kerberos V5. Como opcin secundaria se puede tener en cuenta la utilizacin de la autenticacin por certificado. Slo puede utilizar un mtodo de autenticacin entre un par de equipos sin tener en cuenta la cantidad de mtodos configurados. Si tiene varias reglas que se aplican al mismo par de equipos, deber configurar un mtodo comn de autenticacin en estas reglas para permitir que ambos equipos puedan utilizar el mismo mtodo. Kerberos V5 El protocolo de seguridad Kerberos V5 es la tecnologa de autenticacin predeterminada. Puede utilizar este mtodo para cualquier cliente que ejecute el protocolo Kerberos V5 (independientemente de si ejecutan Windows 2000, Windows XP Professional o la familia Windows Server 2003) y que sea miembro de los mismos dominios o de dominios de confianza.

Mtodos de autenticacin

Mdulo 8: Planeamiento y solucin de problemas de IPSec

19

Certificado de clave pblica

Debe utilizar un certificado de clave pblica en situaciones que impliquen el acceso a Internet, el acceso remoto a recursos corporativos, comunicaciones con socios empresariales externos o equipos que no ejecuten el protocolo de seguridad Kerberos V5. Para utilizar un certificado de clave pblica es necesario que se hayan configurado al menos una entidad emisora de certificados de confianza y un certificado asociado. Los equipos con Windows 2000, Windows XP o la familia Windows Server 2003 admiten los certificados X.509 versin 3, los cuales incluyen certificados de equipo generados por entidades emisoras de certificados comerciales.

Clave de secreto previamente compartido

Tambin puede especificar una clave de secreto previamente compartido, que es fcil de usar y no exige que el cliente ejecute el protocolo Kerberos V5 o tenga un certificado de clave pblica. Ambas partes deben configurar manualmente IPSec para utilizar esta clave previamente compartida.

20

Mdulo 8: Planeamiento y solucin de problemas de IPSec

Definicin de las necesidades de la directiva IPSec

******EL USO POR QUIENES NO SEAN INSTRUCTORES NO EST AUTORIZADO Y RESULTA ILEGAL****** Introduccin La identificacin de la directiva IPSec que se utilizar depende de los criterios estipulados en el documento de diseo de la empresa. El arquitecto de la red suele mostrar el nivel de seguridad que es necesario planear en el documento de diseo. Cuando tenga esta informacin podr identificar si va a utilizar una directiva predeterminada como punto de partida en el plan de seguridad. Al determinar la directiva IPSec que debe utilizar es posible que necesite crear una nueva directiva y compararla con la directiva predeterminada que ms se adapte a sus necesidades. Otra posibilidad consiste en modificar una directiva existente. Si realiza demasiados cambios y desea volver a sus directivas originales podr utilizar la opcin Restaurar las directivas predeterminadas del complemento Directivas de seguridad IP. Por ejemplo, la directiva predeterminada Servidor de seguridad (requerir seguridad) parece ser una directiva muy segura porque exige que toda comunicacin IP de salida sea segura. Sin embargo, esta directiva predeterminada utiliza una accin de filtrado Requerir seguridad que permite un paquete de solicitudes de conexiones entrantes. La respuesta del equipo a la solicitud de conexin coincide con el filtro de salida, lo que hace que se enve una solicitud de seguridad al emisor del trfico no seguro. Si la negociacin de seguridad se realiza correctamente, se requerir que el trfico en ambas direcciones sea seguro. Si la negociacin de seguridad no se realiza correctamente, no se permitir el trfico de salida. El equipo puede continuar recibiendo trfico no seguro de entrada y continuar intentando negociar la seguridad.

Identificacin de las necesidades de la directiva IPSec

Ejemplo

Mdulo 8: Planeamiento y solucin de problemas de IPSec

21

Por lo tanto, si este equipo se fuese a utilizar para conectarse de forma segura con equipos mediante Internet, podra ser sujeto de ataques de denegacin de servicio. Por este motivo puede que no desee utilizar esta accin de filtrado, pero s ajustarla a sus necesidades. Por ejemplo, en este caso podra dejar en blanco la casilla de verificacin Aceptar comunicacin no segura, pero responder siempre usando IPSec, en Accin de filtrado en la pgina Mtodos de seguridad del servidor, y configurar los clientes para iniciar la seguridad con el servidor en lugar de utilizar una regla de respuesta predeterminada. Advertencia Se recomienda dejar la modificacin de una directiva IPSec en manos de un especialista experimentado en seguridad de Windows que comprenda todas las ramificaciones y consecuencias de los diversos valores, as como las propiedades de una directiva IPSec. Antes de realizar cualquier modificacin de este tipo e implementarlo en su organizacin, consulte a un especialista.

22

Mdulo 8: Planeamiento y solucin de problemas de IPSec

Prcticas recomendadas para planear IPSec

******EL USO POR QUIENES NO SEAN INSTRUCTORES NO EST AUTORIZADO Y RESULTA ILEGAL****** Introduccin Microsoft tiene algunas prcticas recomendadas para que las tenga en cuenta al planear una implementacin de IPSec. Las prcticas recomendadas siguientes le ayudarn en sus esfuerzos de planeamiento. El complemento Administracin de las directivas de seguridad de IP de Windows 2000 simplifica enormemente la implementacin. Para aprovechar las ventajas de esta funcin y evitar implementaciones problemticas es necesario hacer lo siguiente:
!

Prcticas recomendadas

Evaluar el tipo de informacin que se enva por la red. Plantese si la informacin incluye informacin financiera confidencial, informacin privada o correo electrnico. Algunos departamentos pueden exigir un nivel de seguridad superior al de otros debido a la naturaleza de sus funciones.

Determinar la ubicacin de su informacin guardada, las maneras en que se transmite por la red y los equipos que pueden obtener acceso a la red. De este modo se consigue informacin sobre la velocidad, la capacidad y la utilizacin de la red antes de la implementacin de IPSec, lo cual resulta til para la optimizacin del rendimiento.

Evaluar su vulnerabilidad a los ataques a la red.

Mdulo 8: Planeamiento y solucin de problemas de IPSec


!

23

Disear y documentar un plan de seguridad de la red corporativa, teniendo en cuenta los elementos siguientes: El marco de seguridad general de Windows 2000, incluido el modelo de Active Directory y la manera en que se aplica a los GPO. Los posibles escenarios de comunicacin: intranet, acceso remoto, extranets para socios empresariales y comunicacin entre sitios (entre enrutadores). El nivel de seguridad necesario para cada escenario. Por ejemplo, tal vez decida que slo las comunicaciones por Internet requieran confidencialidad.

Disear, crear y probar las directivas IPSec para cada escenario del plan. Esto permite aclarar y precisar las directivas y las estructuras de directivas necesarias.

24

Mdulo 8: Planeamiento y solucin de problemas de IPSec

Directrices para planear una implementacin de IPSec con Active Directory

******EL USO POR QUIENES NO SEAN INSTRUCTORES NO EST AUTORIZADO Y RESULTA ILEGAL****** Introduccin Evale las amenazas de seguridad Determine si IPSec puede disminuir las amenazas Evale la directiva del grupo basada en Active Directory para la implementacin Identifique grupos de equipos que exijan seguridad Determine dnde asignar el GPO Las directrices siguientes le ayudarn a planear una implementacin de IPSec utilizando Active Directory. Es necesario examinar la informacin y las redes para establecer si pueden ser vulnerables a ataques pasivos y activos. Determine si las funciones y la configuracin de IPSec pueden disminuir cualquier amenaza de ataque que identifique en su red. La implementacin basada en Active Directory puede facilitar la propagacin automtica de la directiva IPSec a una gran cantidad de equipos. Es necesario determinar si este mtodo cubre mejor las necesidades de la empresa. Basndose en las amenazas potenciales que ha identificado, deber determinar los equipos que puedan agruparse para as aplicarles un directiva IPSec comn y reducir los riesgos. Especifique si necesita aplicar una directiva que afecte a muchos equipos o slo a algunos. Si hay muchos equipos que requieren una directiva IPSec comn, tal vez pueda asignar una directiva IPSec al GPO de un sitio o un dominio. Si necesita una directiva IPSec comn para un grupo ms selecto, tal vez necesite asignar una directiva IPSec a un GPO de una unidad organizativa existente o de una que cree.

Mdulo 8: Planeamiento y solucin de problemas de IPSec

25

Defina las directivas de IPSec

Tanto si comienza con una directiva predeterminada y la modifica para que se ajuste a sus necesidades como si define una directiva completamente nueva, necesitar especificar los factores siguientes para su directiva:
! ! ! ! !

Filtros IP Accin de filtrado y mtodos de seguridad asociados Mtodos de autenticacin Configuracin de tnel Tipo de conexin

26

Mdulo 8: Planeamiento y solucin de problemas de IPSec

Directrices para planear una implementacin de IPSec con directivas locales

******EL USO POR QUIENES NO SEAN INSTRUCTORES NO EST AUTORIZADO Y RESULTA ILEGAL****** Introduccin Si Active Directory no est disponible pero es necesario implementar IPSec, necesitar planear una implementacin de IPSec utilizando directivas de grupos locales. Necesita examinar su informacin y sus redes para determinar si son vulnerables a ataques pasivos y activos. Determine si las funciones y la configuracin de IPSec puede disminuir cualquier riesgo de ataque que puede identificar en la red. La directiva de grupo local slo afecta al equipo local y es la nica opcin de implementacin disponible sin un Active Directory en su lugar. Es necesario determinar si este mtodo es suficiente para ajustarse a sus necesidades de la empresa. Dado que una directiva local slo se aplica a equipos individuales, es necesario identificar aquellos que necesiten tener una directiva IPSec activa, as como si dichos equipos pueden utilizar directivas similares. Si utiliza directivas locales y elige no utilizar Kerberos como mtodo de autenticacin (o si no se ha implementado un Active Directory), necesitar determinar si existe alguna infraestructura de certificados implantada para usarla como mtodo de autenticacin. Con una entidad emisora de certificados de Microsoft puede utilizar inscripcin automtica para guardar de forma automtica certificados de equipos como propiedad de una cuenta de equipo de Active Directory. Otra opcin puede consistir en administrar de forma manual certificados de equipos para todos los equipos que los necesiten.

Evale las amenazas de seguridad Determine si IPSec puede disminuir las amenazas Determine si la directiva de grupo local es el mejor mtodo para la implementacin Identifique grupos de equipos que exijan seguridad Determine si existe una infraestructura de certificados implantada

Mdulo 8: Planeamiento y solucin de problemas de IPSec

27

Determine cmo se implementarn las directivas

Si utiliza una directiva de grupo local en su implementacin de IPSec, necesitar determinar la mejor manera de implementar esa configuracin de directivas locales en varios equipos. Dado que no est utilizando la directiva de grupo del dominio, no podr utilizar Active Directory como mtodo de distribucin.

28

Mdulo 8: Planeamiento y solucin de problemas de IPSec

Ejercicio prctico: Planeamiento de una implementacin de IPSec

******EL USO POR QUIENES NO SEAN INSTRUCTORES NO EST AUTORIZADO Y RESULTA ILEGAL****** Introduccin Objetivo Instrucciones En este ejercicio prctico determinar si es posible llevar a la prctica el plan de implementacin de IPSec propuesto. El objetivo de este ejercicio prctico es planear una implementacin de IPSec basada en el escenario que se proporciona. 1. Lea el escenario. 2. Preprese para tratar los retos que implica esta tarea en un debate posterior al ejercicio prctico. Escenario Woodgrove Bank tiene implantada una infraestructura de Active Directory en su sede central con unos 500 equipos con Windows XP Professional, Windows 2000 o Windows Server 2003. El departamento de prstamos hipotecarios del banco tiene varios equipos con Windows 2000 Professional que no pertenecen al dominio. Se planea un programa piloto para conferir seguridad al trfico entre la sucursal del departamento de prstamos hipotecarios y el departamento de prstamos hipotecarios de la sede central. La sede central tiene un controlador de dominio para un dominio secundario en un sitio de Active Directory separado. El plan requiere que en la sede central haya un servidor miembro con Windows 2000 para poder intercambiar informacin de las aplicaciones hipotecarias con un servidor miembro con Windows Server 2003, al cual se confiere seguridad mediante directivas IPSec. El plan de directiva IPSec seala que debe utilizarse Kerberos para la autenticacin y que la sede central debe utilizar una directiva de grupo local, mientras que el servidor de la sede central debe utilizar una directiva de grupo de Active Directory. La directiva debe conferir seguridad a todo el trfico IP.

Mdulo 8: Planeamiento y solucin de problemas de IPSec

29

Ejercicio prctico

Es este plan posible? Razone la respuesta. S, es posible. La autenticacin mediante Kerberos puede utilizarse porque todos los equipos que utilizan IPSec para comunicarse son miembros de confianza de un dominio Active Directory. Sin embargo, si en el futuro surgiese la necesidad de que las dos estaciones de trabajo independientes con Windows 2000 se comunicaran con los dos servidores, sera necesario incluirlos en el dominio o bien seleccionar un mtodo de autenticacin distinto (por ejemplo certificados de clave pblica). Tambin es posible utilizar los dos mtodos de implementacin diferentes (local o Active Directory). La sucursal puede realizar la implementacin utilizando una directiva de grupo local y la sede central, utilizando Active Directory. Si se configurase una directiva IPSec de Active Directory en la sucursal, sta reemplazara la directiva local y quizs tendra consecuencias imprevistas si no se planeara adecuadamente. _______________________________________________________________ _______________________________________________________________ _______________________________________________________________ _______________________________________________________________

30

Mdulo 8: Planeamiento y solucin de problemas de IPSec

Leccin: Solucin de problemas de comunicacin de IPSec

******EL USO POR QUIENES NO SEAN INSTRUCTORES NO EST AUTORIZADO Y RESULTA ILEGAL****** Introduccin Esta leccin proporciona los conocimientos necesarios para solucionar problemas de comunicacin de IPSec. Adems, en este mdulo se tratan y se ejemplifican las herramientas utilizadas para la solucin de problemas. Despus de finalizar esta leccin, el alumno podr:
! !

Objetivos

Solucionar problemas de comunicacin de IPSec. Comprobar la configuracin de IPSec de un equipo mediante la herramienta Configuracin y anlisis de seguridad. Comprobar la configuracin de IPSec de un equipo mediante el Editor de objetos de directiva de grupo. Comprobar la configuracin de IPSec de un equipo mediante el Conjunto resultante de directivas (RSoP). Corregir la configuracin de IPSec de un equipo mediante el complemento Directiva de grupo. Solucionar problemas de la configuracin IPSec de un equipo mediante el Monitor de seguridad IP.

Mdulo 8: Planeamiento y solucin de problemas de IPSec

31

Herramientas para solucionar problemas de IPSec

******EL USO POR QUIENES NO SEAN INSTRUCTORES NO EST AUTORIZADO Y RESULTA ILEGAL****** Introduccin Complemento Monitor de seguridad IP En esta seccin se describen varias herramientas que se pueden utilizar para solucionar problemas de implementacin de IPSec en la empresa. El Monitor de seguridad IP es una herramienta que se utiliza para solucionar problemas avanzados de IPSec. Permite ver los detalles de una directiva IPSec activa que se aplica de forma local o bien a un dominio, adems de estadsticas asociadas con el proceso de intercambio de claves. Puede utilizar el Monitor de seguridad IP para buscar todas las coincidencias de filtros de un tipo de trfico especfico. Para la supervisin remota, puede utilizar el Monitor de seguridad IP slo para supervisar los equipos que funcionen con la misma versin de un sistema operativo Windows. Para supervisar de forma remota IPSec en un equipo con una versin de Windows distinta de la que tiene su equipo, utilice la Conexin a Escritorio remoto. Si su equipo funciona con la familia Windows Server 2003 y tiene previsto supervisar IPSec en equipos que tambin funcionan con la familia Windows Server 2003, puede ejecutar el Monitor de seguridad IP o utilizar de forma remota la herramienta de lnea de comandos Netsh. Sin embargo, con las directivas IPSec basadas en Active Directory no es posible asignar las directivas mediante la consola de administracin. Debe utilizar el Editor de objetos de directiva de grupo para asignar una directiva IPSec. Tenga en cuenta que puede asignar directivas IPSec asociadas con una directiva de grupo local mediante la consola Administracin de directivas de seguridad IP.

32

Mdulo 8: Planeamiento y solucin de problemas de IPSec

El Monitor de seguridad IP tambin permite ver detalles sobre los temas siguientes:
!

Filtros genricos de modo principal y modo rpido y asociaciones de seguridad Directivas IKE Directivas de negociacin Estadsticas de seguridad del modo principal y del modo rpido Detalles de la directiva IPSec activa

! ! ! !

Complemento Administracin de directivas de seguridad IP Usuarios y equipos de Active Directory y Directiva de grupo RSoP

Puede utilizar el complemento Administracin de directivas de seguridad IP para crear, eliminar y modificar las directivas IPSec. Puede crear una consola agregando el complemento para el equipo local, el dominio Active Directory, otro dominio Active Directory u otro equipo. Puede utilizar el complemento Usuarios y equipos de Active Directory para solucionar problemas de prioridad de directivas y determinar las directivas IPSec que estn disponibles, asignadas o aplicadas a los clientes IPSec. Puede utilizar RSoP para definir las directivas IPSec que estn asignadas pero no se han aplicado a los clientes IPSec. El complemento RSoP slo muestra la configuracin detallada de las directivas IPSec. Muestra las reglas de filtro, las acciones de filtro, los mtodos de autenticacin, los puntos finales y el tipo de conexin para la directiva que se aplica. Puede utilizar el Visor de sucesos para ver los siguientes sucesos relacionados con IPSec:
! ! ! !

Visor de sucesos

Sucesos del Agente de directivas IPSec en el registro de auditora Sucesos de controladores de IPSec en el registro de auditora Sucesos IKE en el registro de auditora Sucesos de cambio de la directiva IPSec en el registro de auditora

Nota Habilitar el registro de auditora puede hacer que el Visor de sucesos se llene rpidamente con sucesos. Si realiza una auditora con una gran cantidad de sucesos, asegrese de aumentar el tamao de los registros de sucesos para controlar la situacin. Registro Oakley Puede utilizar el registro Oakley para ver detalles acerca del proceso de establecimiento de asociaciones de seguridad. El registro Oakley se habilita en el Registro pero no est habilitado de manera predeterminada. El registro Oakley registra todas las negociaciones del modo rpido o el modo principal de ISAKMP. Cada vez que se inicia el Agente de directivas IPSec, se crea un nuevo archivo Oakley.log y la versin anterior se guarda como Oakley.log.sav.

Mdulo 8: Planeamiento y solucin de problemas de IPSec

33

Consola GMPC (Group Policy Management Console)

La consola GMPC es un conjunto de interfaces que se utilizan para administrar la directiva del grupo y un complemento Microsoft Management Console (MMC) incorporado en estas interfaces programables. En conjunto, los componentes de GMPC consolidan la administracin de la directiva de grupo en toda la empresa. La consola GMPC (Group Policy Management Console) combina la funcionalidad de varios componentes en una sola interfaz de usuario (UI). La UI est estructurada de modo que coincida con el uso y la administracin de Directiva de grupo. Integra en un solo complemento MMC funciones relacionadas con Directiva de grupo de las herramientas siguientes:
! ! !

Usuarios y equipos de Active Directory Sitios y servicios de Active Directory RSoP

La consola GPMC tambin proporciona las funciones ampliadas siguientes que no estaban disponibles en las herramientas de directiva de grupo anteriores. Con GPMC se puede:
! !

Realizar copias de seguridad y restaurar GPO. Copiar e importar GPO y filtros WMI (Instrumental de administracin de Windows). Presentar informacin de GPO y RSoP. Buscar GPO.

! !

34

Mdulo 8: Planeamiento y solucin de problemas de IPSec

Visualizacin de la informacin de intercambio de claves mediante el Visor de sucesos

******EL USO POR QUIENES NO SEAN INSTRUCTORES NO EST AUTORIZADO Y RESULTA ILEGAL****** Introduccin Si sospecha que hay errores en el proceso de intercambio de claves, el Visor de sucesos es la mejor herramienta para ver las acciones que se han producido. Estos sucesos pueden confirmar que el intercambio de claves se est produciendo correctamente. La auditora de IKE es compatible con Windows 2000, Windows XP y la familia Windows Server 2003. (IKE utiliza la categora de sucesos de inicio de sesin.) En la familia Windows Server 2003 tambin se puede habilitar la auditora para la base de datos de directivas de seguridad (SPD), que utiliza la categora de cambios de directivas. Puede utilizar el Visor de sucesos para ver sucesos IKE (negociacin, xito y error) en el registro de seguridad. Para ver estos sucesos, habilite la auditora de acciones correctas o errores en la directiva de auditora Auditar sucesos de inicio de sesin en su dominio o equipo local. Tambin puede utilizar la categora de sucesos IKE para realizar la auditora de sucesos de inicio de sesin de usuarios en los servicios que no sean IPSec. Cuando se habilita la auditora de acciones con xito o error para la directiva de auditora de Auditar sucesos de inicio de sesin, IPSec registra el xito o el error de todas las negociaciones IKE, as como el establecimiento y la terminacin de cada negociacin como sucesos separados. No obstante, al habilitar este tipo de auditora, el registro de seguridad puede llenarse de sucesos IKE. Ejemplo Por ejemplo, en los servidores que estn conectados a Internet, los ataques al protocolo IKE pueden provocar que el registro de seguridad se llene de sucesos IKE. Los sucesos IKE tambin pueden llenar el registro de seguridad de los servidores que emplean IPSec para proteger el trfico destinado a diversos clientes. Para evitarlo, puede deshabilitar la auditora para los sucesos IKE en el registro de seguridad modificando el registro.

Comprobacin de la activacin de la auditora de seguridad

Visualizacin de sucesos relacionados con IPSec en el Visor de sucesos

Mdulo 8: Planeamiento y solucin de problemas de IPSec

35

Deshabilitacin de la auditora de sucesos IKE

Para deshabilitar la auditora de sucesos IKE en el registro de seguridad, lleve a cabo los pasos siguientes: 1. Establezca el valor de registro HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\ Lsa\Audit\DisableIKEAudits en 1. La clave DisableIKEAudits no existe de forma predeterminada y debe crearse. Precaucin Modificar incorrectamente el registro puede daar gravemente el sistema. Antes de efectuar cambios en el registro, debe hacer una copia de seguridad de todos los datos valiosos del equipo. 2. Reinicie el equipo o detngalo y vuelva a iniciar el servicio IPSec. Para ello, ejecute los comandos net stop policyagent y net start policyagent en el smbolo del sistema. Detener y volver a iniciar el servicio IPSec puede desconectar todos los equipos que utilizan IPSec del equipo en el que se detiene el servicio IPSec. Tambin puede impedir otras comunicaciones con ese equipo. Si reinicia el servicio IPSec de forma inmediata, la comunicacin basada en TCP puede reanudarse gracias al comportamiento de retransmisin de TCP despus de que se hayan establecido nuevas asociaciones de seguridad IKE e IPSec.

36

Mdulo 8: Planeamiento y solucin de problemas de IPSec

Comprobacin de la aplicacin de una directiva mediante RSoP

******EL USO POR QUIENES NO SEAN INSTRUCTORES NO EST AUTORIZADO Y RESULTA ILEGAL****** Introduccin El Conjunto resultante de directivas (RSoP) es un elemento aadido a Directiva de grupo que se puede utilizar para ver asignaciones de directivas IPSec para un equipo o para miembros de un contenedor de directiva de grupo. Esta informacin puede ayudarle a solucionar problemas de prioridad de directivas y a planear su implementacin. Para ver asignaciones de directivas IPSec en RSoP, primero debe abrir la consola MMC de RSoP y, a continuacin, ejecutar una consulta. RSoP proporciona dos tipos de consultas: consultas de modo de registro (para ver asignaciones de directivas de IPSec de un equipo) y consultas de modo de planeamiento (para ver asignaciones de directivas de IPSec para miembros de un contenedor de directiva de grupo). Puede ejecutar una consulta de modo de registro de RSoP para ver todas las directivas IPSec asignadas a un cliente IPSec. Los resultados de la consulta muestran la prioridad de cada asignacin de directiva IPSec de modo que se puedan determinar rpidamente las directivas IPSec que se han asignado pero que no se han aplicado, as como la directiva IPSec en vigor. La consola RSoP tambin muestra configuraciones detalladas (es decir, reglas del filtro, acciones de filtrado, mtodos de autenticacin, puntos finales del tnel y tipo de conexin) de la directiva IPSec que se aplica. Cuando se ejecuta una consulta en modo de registro, RSoP recupera la informacin de las directivas del repositorio WMI del equipo de destino y la muestra en la consola RSoP. De esta manera, RSoP proporciona una vista de la configuracin de la directiva aplicada a un equipo en un momento dado.

RSoP

Consultas de modo de registro

Mdulo 8: Planeamiento y solucin de problemas de IPSec

37

Consultas de modo de planeamiento

Puede ejecutar una consulta de modo de planeamiento RSoP para ver todas las directivas IPSec asignadas a los miembros de un contenedor de directiva de grupo. Por ejemplo, una consulta de modo de planeamiento puede resultar til si se planea reorganizar una empresa y trasladar equipos de una unidad organizativa a otra nueva. Si proporciona la informacin adecuada y despus ejecuta una consulta de modo de planeamiento, podr determinar las directivas IPSec que estn asignadas pero no se aplican en la unidad organizativa, as como la directiva IPSec en vigor. De este modo puede identificar la directiva que se aplicara si fuese a trasladar los equipos a la unidad organizativa nueva. Al igual que en las consultas de modo de registro, al ejecutar una consulta de modo de planeamiento, la consola RSoP muestra la configuracin detallada de la directiva IPSec en vigor. Al ejecutar una consulta de modo de planeamiento, RSoP recupera los nombres de usuario de destino, equipo y controlador de dominio del repositorio WMI en el controlador de dominio. WMI utiliza a continuacin el Servicio GPDAS (Servicio de acceso de datos de directivas de grupos) para crear la configuracin de directiva que se aplicara en el equipo de destino, de acuerdo con la configuracin de consulta RSoP que haya establecido. RSoP lee la configuracin de directiva del repositorio WMI en el controlador de dominio y muestra esta informacin en la interfaz de usuario de la consola RSoP. Nota Puede ejecutar una consulta RSoP de modo de planeamiento slo en un controlador de dominio. (Cuando ejecuta una consulta de modo de planeamiento, debe especificar de manera explcita el nombre del controlador de dominio.) Sin embargo, puede especificar cualquier cliente IPSec como objetivo de la consulta, si tiene los permisos adecuados para ello.

38

Mdulo 8: Planeamiento y solucin de problemas de IPSec

Ejercicio prctico: Solucin de problemas de comunicacin de IPSec

******EL USO POR QUIENES NO SEAN INSTRUCTORES NO EST AUTORIZADO Y RESULTA ILEGAL****** Introduccin Objetivo Instrucciones En este ejercicio prctico solucionar problemas de comunicacin de IPSec mediante las herramientas descritas en esta leccin. El objetivo de esta leccin consiste en solucionar problemas de comunicacin de IPSec. 1. Lea el escenario. 2. Preprese para tratar los retos que implica esta tarea en un debate posterior al ejercicio prctico.

Mdulo 8: Planeamiento y solucin de problemas de IPSec

39

Escenario

Varios administradores de City Power & Light han configurado directivas IPSec y ahora tienen un problema. Nadie sabe qu directivas IPSec se aplican ni cundo se aplican. Ha encontrado un documento de planeamiento antiguo que ilustra las asignaciones de directivas IPSec siguientes.

CP&LDOM

Directiva de dominio Directiva IPSec 1

Unidad organizativa de ventas

Directiva de ventas Directiva IPSec 2

Unidad organizativa del consumidor

Directiva del consumidor. Directiva IPSec 3

Estacin de trabajo 1

Directiva local Directiva IPSec 4

Ejercicio prctico

Si el documento de planeamiento es correcto, qu directiva IPSec se aplicar a la estacin de trabajo 1? La directiva IPSec 3. Qu herramienta sera mejor utilizar para comprobar su respuesta? El Conjunto resultante de directivas (RSoP) en modo de registro.

40

Mdulo 8: Planeamiento y solucin de problemas de IPSec

Prctica A: Solucin de problemas de IPSec

******EL USO POR QUIENES NO SEAN INSTRUCTORES NO EST AUTORIZADO Y RESULTA ILEGAL****** Objetivos Despus de realizar esta prctica, el alumno podr:
! !

Planear una infraestructura IPSec para un entorno LAN/WAN. Solucionar problemas de una infraestructura basada en IPSec.

Escenario

Supongamos que es un ingeniero de sistemas para Northwind Traders y debe planear una infraestructura IPSec nueva para el departamento de Recursos humanos de la empresa del Reino Unido. Aunque la sede del Reino Unido, en Londres, es la sede central de la organizacin Northwind Traders y la mayora de activos de Recursos humanos se encuentran en ella, el personal de Recursos humanos se encuentra en todas las oficinas de todo el mundo. Recientemente ha surgido la preocupacin de que la informacin de Recursos humanos pueda no tener la seguridad adecuada en las LAN locales de cada sede. El departamento de TI desea implementar una infraestructura segura para el departamento de Recursos humanos y desea que planee la infraestructura necesaria. Las modificaciones sugeridas las considerar el departamento de TI y se implementarn en todas las sedes cuando se aprueben. El departamento de Recursos humanos tiene personal y recursos distribuidos por las sedes de Northwind Traders del modo siguiente:
!

Londres: once clientes de escritorio, cinco clientes inalmbricos, dos servidores de archivos y dos servidores de impresin Pars: tres clientes de escritorio, un servidor de archivos e impresin Sydney: dos clientes de escritorio, un servidor de archivos e impresin Nueva York: cinco clientes de escritorio, dos servidores de archivos e impresin

! ! !

Tiempo previsto para completar esta prctica: 30 minutos

Mdulo 8: Planeamiento y solucin de problemas de IPSec

41

Ejercicio 1 Planeamiento de IPSec para entornos LAN/WAN


En este ejercicio se crear un plan para que la nueva infraestructura IPSec cumpla los requisitos de seguridad especificados para el personal del departamento de Recursos humanos. Describa los cambios o dibuje la infraestructura que implementara para la infraestructura IPSec del departamento de Recursos humanos de Northwind Traders.

Escenario
La nueva configuracin con IPSec es para el personal del departamento de Recursos humanos de la sede central y de las sucursales en el extranjero. Northwind Traders ha implementado Active Directory, y todo el personal de Recursos humanos excepto un empleado tiene una cuenta en el dominio de la sede central o en un dominio de confianza. Northwind Traders utiliza un consultor externo con el que se comunica principalmente mediante correo electrnico cifrado. El consultor puede conectarse a la red de Northwind Traders cuando lo necesite mediante una cuenta para crear una conexin de red privada virtual (VPN). La cuenta es una cuenta de invitado utilizada por varios contratistas externos y proporciona un acceso muy limitado a los recursos. El grupo de planeamiento de TI de Northwind Traders ha publicado una especificacin que debe cumplirse al planear la infraestructura IPSec. Los puntos principales son los siguientes:
!

Northwind Traders no desea implementar una infraestructura de certificado de clave pblica (PKI) en este momento. Debe utilizarse el nivel de seguridad ms alto posible (con integridad y cifrado) para todas las transferencias de datos de Recursos humanos entre los clientes de Recursos humanos, los servidores de Recursos humanos y las impresoras. (Todos los equipos relacionados con el departamento de Recursos humanos tienen adaptadores de red que pueden descargar la negociacin de seguridad y el almacenamiento de las asociaciones de seguridad. Los controladores de los adaptadores de red ya estn instalados.) El personal de Recursos humanos debe todava poder tener acceso a todos los recursos no seguros y los recursos pblicos de Internet. Northwind Traders no desea modificar la red para aislar el departamento de Recursos humanos, de modo que no se necesitan LAN virtuales (VLAN) o subredes separadas.

Adems, el grupo de planeamiento de TI de Northwind Traders quiere asegurarse de lo siguiente:


!

El departamento de Recursos humanos desea permitir a su consultor externo que obtenga acceso a los recursos internos almacenados en la oficina central. El departamento de Recursos humanos no desea proporcionar una cuenta Active Directory diferente para este consultor. El departamento de TI ha indicado que, en la medida de lo posible, debe evitarse que el personal de Recursos humanos utilice conexiones de igual a igual, a menos que dichas conexiones puedan protegerse mediante IPSec.

42

Mdulo 8: Planeamiento y solucin de problemas de IPSec

Investigue los niveles actuales de trfico de datos de Recursos humanos y determinar los hechos siguientes:
!

Los clientes imprimen grandes cantidades de documentos seguros con trabajos de impresin de un tamao medio de 18 megabytes (MB) y una carga de impresin diaria habitual de entre 100 y 170 MB. Los clientes abren muchos documentos seguros y pginas Web en un servidor con Microsoft SharePoint Portal Server. El rendimiento de datos de este servidor desde los clientes es de 32 MB por hora (mximo) y por usuario.

Tareas
1.

Instrucciones especiales

Documentar las modificaciones planeadas para los recursos del departamento de Recursos humanos y las cuentas de equipos y usuarios para asegurarse de que IPSec est habilitado para todas las transferencias de datos relacionadas con dicho departamento. Documentar el nmero de directivas IPSec necesarias. Documentar la metodologa de implementacin de directiva que vaya a utilizar. Incluya informacin sobre la lista de filtros IP, el mtodo de autenticacin, los mtodos de intercambio de claves y la accin de filtrado para cada tipo de directiva que necesite. Incluya los detalles sobre cmo implementar las directivas IPSec en los equipos necesarios.

2.

3.

Mdulo 8: Planeamiento y solucin de problemas de IPSec

43

Ejercicio 2 Solucin de problemas de infraestructura IPSec


En este ejercicio solucionar problemas sobre la infraestructura IPSec para asegurar que los clientes obtengan los niveles de seguridad y las funciones que corresponda.

Escenario
Supongamos que es el administrador de una LAN y que un experto en seguridad le ha aconsejado que las comunicaciones de un servidor seguro se enven sin cifrar a los clientes de la LAN. Adems, el experto informa de que no puede aplicar el comando ping al servidor seguro cuando espera que este mtodo funcione. Examine la configuracin de la directiva del servidor seguro, que es la siguiente: Directiva del servidor de recursos: Regla 1 Lista de filtros IP: trfico de servidor DNS y WINS Accin de filtrado: permitir Mtodos de autenticacin: ninguno Tipo de conexin: LAN Regla 2 Lista de filtros IP: ICMP Accin de filtrado: permitir Mtodos de autenticacin: ninguno Tipo de conexin: LAN Regla 3 Lista de filtros IP: todo el trfico IP Accin de filtrado: necesaria Mtodos de autenticacin: Kerberos Tipo de conexin: LAN Exporte la directiva utilizada en el cliente e imprtela a su equipo para solucionar el problema. Comprobar que el problema persiste en su equipo. Nota En los pasos 1-5 comprobar la conectividad con el equipo Glasgow para poder examinar los paquetes. En los pasos 6-12 revisar el problema de la directiva IPSec.

44

Mdulo 8: Planeamiento y solucin de problemas de IPSec

Tareas
1.

Instrucciones especiales

Iniciar una sesin en su equipo mediante la cuenta de administrador local correspondiente. Iniciar el Monitor de red, seleccionar la red del aula e iniciar la captura. Abrir una ventana de comandos y aplicar el comando ping al equipo Glasgow. Escribir el archivo de texto del alumno en \\Glasgow\Ipsec_test \ipsec.txt. Detener la captura y examinar los datos.

" "

Nombre de usuario: Administrador Contrasea: Contrasea del administrador del equipo

2.

Seleccione Red del aula para capturar datos.

3.

4.

En la lnea de comandos, escriba \\Glasgow\Ipsec_test\ipsec.txt

5.

Identificar los paquetes ICMP y el contenido del texto del archivo. Crear una MMC con el complemento de administracin de directivas IPSec configurado para el equipo local. Importar el archivo Student_Client_Policy_Start .ipsec mediante la MMC. Asignar la directiva Client_Policy Iniciar la captura del Monitor de red. a Glasgow.
11. Escribir el archivo de texto

6.

7.

La ubicacin del archivo es C:\MOC\2191\Labfiles\

8. 9.

No guarde la captura anterior cuando se le pregunte.

10. Aplicar el comando ping

En la lnea de comandos, escriba \\Glasgow\Ipsec_test\ipsec.txt

del alumno en \\Glasgow\Ipsec_test \ipsec.txt.


12. Detener la captura para

Utilice esta informacin para responder a las preguntas siguientes.

examinar los datos. Examinar los datos obtenidos cuando se aplic la directiva IPSec y averiguar por qu no estn cifrados los datos. Examinar los datos obtenidos cuando se aplic la directiva IPSec y averiguar por qu no se pasan los paquetes ICMP.

THIS PAGE INTENTIONALLY