3 DIRECTIVAS DE SEGURIDAD DE IP / IPSec

Las directivas de IPSec se pueden configurar de acuerdo con los requisitos de seguridad de un usuario, grupo, aplicación, dominio, sitio o empresa global. Windows 2003 permite crear y administrar directivas de IPSec localmente o a través de la consola ``Directiva de grupo''. Windows proporciona directivas predefinidas (predeterminadas) para configuraciones de seguridad de grupo y locales. Se pueden modificar para cumplir requisitos específicos. Una vez definida una directiva, tiene que asignarse para que se aplique. No hay directivas asignadas de forma predeterminada.

3.0.1 ISAKMP y Directivas de Seguridad

Durante la configuración de IPSec, se crea una directiva en la interfaz. Sin embargo, IPSec crea las dos siguientes directivas de negociación de seguridad en segundo plano:

• Directiva de negociación: La primera negociación incluye autenticación de identidad de usuario para los dos equipos que se van a comunicar y el intercambio de las claves de la sesión para proteger los datos. ISAKMP administra esta primera negociación.
• Directiva de seguridad: La segunda negociación sigue al intercambio de las claves. Los dos equipos tienen que acordar la configuración de seguridad que van a utilizar para proteger su comunicación sobre IP, mediante unas reglas.

3.0.2 Asignación de Directivas de Seguridad

Las directivas de IPSec locales se crean y configuran mediante Directiva de seguridad local. Se pueden definir varias directivas, pero sólo una se asigna a un equipo al mismo tiempo.

Una directiva de grupo presenta tres entradas de directiva predefinidas:

• Cliente (sólo responder): permite comunicaciones sin IPSec, pero responderá a solicitudes de IPSec e intentará negociar la seguridad si se efectúa una solicitud de seguridad.
• Servidor (seguridad de petición): permite recibir tráfico IPSec y tráfico no IPSec desde los clientes. Cada vez que se inicia una conexión intenta negociar seguridad mediante IPSec. Además para todas las peticiones que realiza solicita utilizar IPSec, pero permite realizar comunicaciones no IPSec si el otro equipo no lo admite. En resumen, esta directiva permite la comunicación sin IPSec pero siempre intenta utilizar IPSec.
• Servidor seguro (requiere seguridad): requiere utilizar IPSec para todo el tráfico entrante y saliente. Por tanto siempre requiere que los equipos de destino sean de confianza y utilicen IPSec.

Cada directiva de IPSec puede contener una o varias reglas; una o todas ellas pueden estar activas de forma simultánea. Se proporcionan reglas predeterminadas que se adaptan a una amplia gama de comunicaciones entre cliente y servidor.

3.0.3 Reglas

Una regla se compone de 6 elementos:

1. Lista de filtros IP. Define qué tráfico se va a proteger con esta regla. Puede utilizar los filtros predeterminados o crear filtros específicos de directiva para ciertos tipos de tráfico IP o para subredes específicas.
2. Acciones de filtrado. Enumera las acciones de seguridad que se tomarán cuando el tráfico cumpla los criterios de un filtro. La acción especifica si el tráfico se bloquea, se permite o si se negocia la seguridad de la conexión. Se pueden especificar una o varias acciones de filtrado en una lista ordenada por preferencia. Si dicha acción de filtrado no se puede negociar, se intenta la acción de filtrado siguiente.
3. Métodos de seguridad. Especifica cómo los equipos que se comunican tienen que proteger el intercambio de datos. Puede utilizar los métodos predefinidos Medio y Alto, o definir métodos de seguridad personalizados.
4. Configuración de túneles. En algunas situaciones, como entre encaminadores que sólo están conectados por Internet, es interesante utilizar el modo de túnel en IPSec. Para definir un túnel IPSec tiene que haber dos reglas, una para cada sentido.
5. Métodos de autenticación. Los métodos de autenticación definen cómo cada usuario se va a asegurar de que el otro equipo o el otro usuario son realmente quienes dicen ser. Cada regla puede estar configurada con uno o varios Métodos de autenticación en una lista ordenada por preferencia. Si el primer método no se puede usar, se intenta el siguiente. Windows 2003 acepta tres Métodos de autenticación:

• • Kerberos. El protocolo de seguridad Kerberos V5 es la tecnología de autenticación predeterminada. Este método se puede usar en cualquier cliente que ejecute el protocolo Kerberos V5 (sean o no clientes de Windows) que sean miembros de un dominio de confianza.
  • Certificados. Este método requiere que se haya configurado al menos una entidad emisora de certificados (CA: Certificate Authority). Windows 2003 acepta certificados X.509 versión 3, incluidos los generados por entidades emisoras de certificados comerciales.
  • Clave previamente compartida (PSK). Es una clave secreta, compartida, que dos usuarios acuerdan de antemano y que configuran manualmente antes de usarla.

1. Tipos de conexión. Permite que el administrador de la red elija si la regla se aplica a todas las conexiones de la red, a la red de área local o a las conexiones de acceso remoto.

 
Puede descargar una versión en PDF del documento: Servidores Windows en PDF.

2009-05 Güimi (http://guimi.net)
Está permitido copiar, distribuir y/o modificar los documentos bajo los términos de la licencia
"Reconocimiento-Compartir bajo la misma licencia 3.0 España" de Creative Commons.
Puede ver una copia de esta licencia completa.

administración de windows, modelo de seguridad, directorio activo, active directory, políticas de grupo, sistema de archivos distribuido (DFS)