Tecnología

Inicio

Cómo configurar la seguridad IP

April 24

Cómo configurar la seguridad IP


Seguridad IP protege el tráfico de la red a un nivel fundamental, y por lo tanto muchas aplicaciones críticas para el negocio requiere este método de configuración avanzada. Configuración de seguridad IP (IPsec) desafía a los administradores de red, sin embargo, ya que requiere una gran cantidad de control sobre ambos los lados de cliente y servidor de la configuración de red. Configurar IPsec utilizando objetos de directiva de grupo (GPO) de Windows mediante la creación de condiciones especiales para el cliente y el servidor.

Instrucciones

1 Configurar el bypass firewall de Windows para permitir el tráfico del cliente para evitar el cortafuego basado en host. En el Directorio de Grupo Editor de directivas activas, haga clic en la unidad organizativa (OU) que contiene el objeto de equipo del servidor de destino y seleccione "Crear un GPO en este dominio y vincularlo aquí." Dar el objeto de directiva de grupo (GPO) un nombre significativo y haga clic en "Aceptar". Haga clic en el GPO y seleccionar "Editar". Expanda el árbol plantilla de directiva en el siguiente orden: "Configuración del equipo", "Plantillas administrativas", "Red", "Conexiones de red" y "Windows Firewall". En el panel derecho, haga doble clic en la política de "Firewall de Windows: permitir la omisión de IPSec autenticada" y hacer clic en "Habilitado".

Una política de derivación de nombres de servidor de seguridad IPsec un grupo específico al que se concederá el permiso para utilizar IPsec para atravesar el firewall basado en host. En el campo "Definir interlocutores IPSec para quedar exento de política de firewall:" entrar en el lenguaje de definición de descriptores de seguridad (SDDL) de cadena para el grupo permitido. El formato de la cadena SDDL para un solo grupo es: "O: DAG: DAD: (A ;; RCGW ;;; SID)", donde SID es el identificador de seguridad (SID) de una cuenta de grupo. Por lo tanto, para definir el escenario de su grupo, el texto de la política dice algo así como "Definir interlocutores IPSec para quedar exentos de la política de cortafuegos: O: DAG: DAD: (A ;; RCGW ;;; S-1-5-21 -4214763869-96332444560-8429442246-100290). " Utilice la utilidad de línea de comandos GETSID contra el nombre del grupo de seguridad para determinar el SID, si aún no lo sepa.

2 Asignar un server-side "requerir el cifrado" regla de directiva de grupo. Con el fin de requerir el cifrado a través de IPsec, debe agregar una regla de seguridad de la directiva de grupo Configuración de Windows> Configuración de seguridad> sección Directivas de seguridad IP. En el Editor de directivas de grupo, haga clic en la unidad organizativa que contiene el objeto de equipo del servidor de destino y seleccione "Crear un GPO en este dominio y vincularlo aquí." Dar el objeto de directiva de grupo (GPO) un nombre significativo y haga clic en "Aceptar".

Expanda el árbol plantilla de directiva en el orden siguiente:. "Configuración del equipo", "Configuración de Windows" y "Políticas de seguridad IP en Active Directory" Haga clic en el "servidor seguro (requerir seguridad)" la política en el panel de la derecha y seleccione "Asignar". Cuando se le asigna, esta política requiere que todo el tráfico de intentar alcanzar el servidor va a utilizar IPsec.

3 Configurar un lado del cliente "requerir el cifrado" regla. Para que los clientes para utilizar el cifrado para llegar al servidor, debe configurar una política para aquellos clientes que permite el cifrado sólo para el servidor de destino. En el Editor de directivas de grupo, haga clic en la unidad organizativa que contiene el objeto de grupo que incluye a todos los clientes que tendrán permiso para utilizar IPsec para llegar al servidor de destino. Seleccione "Crear un GPO en este dominio y vincularlo aquí." Dar el GPO un nombre significativo y haga clic en "Aceptar".

Expanda el árbol plantilla de directiva en el orden siguiente:. "Configuración del equipo", "Configuración de Windows" y "Políticas de seguridad IP en Active Directory" Haga doble clic en el "Cliente (sólo responder)" la política en el panel de la derecha. Haga clic en "Añadir ..." para iniciar el Asistente para reglas de seguridad. Aceptar los valores por defecto de "punto final del túnel" y "Tipo de red", pero en la "Lista de filtros IP" página, haga clic en "Añadir ..." En la "Lista de filtros IP" nombre de la página de la lista de filtros y haga clic en "Añadir .. . "para agregar el servidor. Con el siguiente menú, especificando "Cualquier dirección IP" para la dirección de origen y "Un nombre DNS específico" para el servidor de destino. Introduzca el nombre del servidor de destino en el "Nombre de equipo:" campo. Finalizar el asistente con los valores por omisión restantes y haga clic en "Aceptar" para cerrar el asistente "Lista Filer IP". En el "Asistente para reglas de seguridad", seleccione "Permiso" como la acción del filtro y haga clic en "Siguiente" para finalizar el asistente.

Cuando se le asigna, esta política requiere que todo el tráfico de las máquinas cliente que intenta alcanzar el servidor va a utilizar IPsec, pero el tráfico que va a cualquier otro servidor no.

4 Aplicar actualizaciones de políticas de grupo tanto a los clientes y el servidor. En cada máquina abrir un símbolo del sistema y escriba "gpupdate." Si se le pide que cierre la sesión, que lo hagan.

Consejos y advertencias

  • El nombre de cada objeto de directiva de grupo cuidadosamente con el fin de hacer más fácil la solución de problemas de IPsec. Utilice la utilidad de línea de comandos "gpreport" para ver qué políticas de grupo están habilitados y buscar los GPO en la lista de las políticas aplicadas.
  • Compruebe las reglas de firewall en el servidor para asegurarse de que todas las reglas de filtro que no sean necesarios para la administración remota están inhabilitados. La política de derivación cortafuegos permitirá a los clientes a través debido a que su tráfico se cifra utilizando IPsec, pero esta configuración pierde su eficacia si los permisos de firewall a través de todo el tráfico, ya que está mal configurado.
  • Para configurar IPsec en un servidor Windows 2003 o anterior, consulte el artículo de Petri de TI de conocimientos.
  • Con el fin de IPsec para trabajar el puerto UDP 500 y el puerto IP 50 deben ser permitidos a nivel de red a través de excepciones de firewall. Además, NAT-Traversal necesita ser configurada en el servidor de seguridad.