Академический Документы
Профессиональный Документы
Культура Документы
IPSec
Las directivas IPSec permiten elegir un algoritmo de cifrado seguro, 3DES, que ofrece un cifrado más
efectivo que DES para lograr mayor seguridad. Para ejecutar el algoritmo 3DES, los equipos que utilizan
Windows 2000 deben tener instalado High Encryption Pack o Service Pack 2 o posterior. Si un equipo
con Windows 2000 recibe una configuración de 3DES, pero no tiene instalado High Encryption Pack o
Service Pack 2 (o posterior), dicha configuración se establece en el DES más débil para proporcionar
cierto nivel de confidencialidad en la comunicación, en lugar de bloquear toda la comunicación. No
obstante, sólo debería utilizar DES como una opción de retroceso si no todos los equipos del entorno
admiten el uso de 3DES. Los equipos que ejecutan Windows XP y la familia de Windows Server 2003
admiten 3DES y no requieren la instalación de High Encryption Pack.
Método de autenticación
Si los equipos de su organización forman parte de un dominio de Active Directory®, se puede realizar la
autenticación IPSec de modo principal con el método de autenticación predeterminado (Kerberos V5). No
es necesario que implemente certificados de clave pública para la comunicación a través de la intranet.
Sin embargo, los equipos que ejecutan Windows XP Home Edition no admiten el método de
autenticación Kerberos V5. Asimismo, si hay equipos conectados a Internet, se recomienda no utilizar
Kerberos V5 como método de autenticación. Cuando se utiliza la autenticación Kerberos, durante la
negociación de modo principal, cada interlocutor de IPSec envía al otro interlocutor la identidad de su
equipo en formato no cifrado. La identidad del equipo no está cifrada hasta que la carga de identidad
completa se cifra durante la fase de autenticación de la negociación del modo principal. Un intruso puede
enviar un paquete de Intercambio de claves de Internet (IKE, <i>Internet Key Exchange</i>) para que el
interlocutor IPSec que responde exponga la identidad de su equipo y su pertenencia a un dominio. Para
proteger los equipos que están conectados a Internet, se recomienda la autenticación de certificados.
Para una mayor seguridad, no se recomienda el uso de autenticación por claves compartidas
previamente porque es un método de autenticación relativamente débil. Asimismo, las claves
previamente compartidas se almacenan en texto no cifrado. La autenticación por claves compartidas
previamente se utiliza por motivos de interoperabilidad y por compatibilidad con los estándares de IPSec.
Se recomienda utilizar claves compartidas previamente sólo para realizar pruebas.
Página 2 de 10
Para obtener más información, vea Métodos de autenticación y Autenticación con claves previamente
compartidas.
La mayoría de las aplicaciones de filtrado de paquetes permiten especificar más. Es posible definir filtros
de paquetes distintos para el tráfico entrante (filtros de entrada), el trafico saliente (filtros de salida) y
para cada interfaz. Además, puede especificar direcciones IP para los equipos con IPSec de la red
perimetral. En las secciones siguientes se describen los filtros de paquetes más restrictivos para el
tráfico IPSec intercambiado con un mismo equipo con IPSec de la red perimetral.
Para permitir tipos específicos de tráfico, configure los filtros de paquetes entrantes siguientes en la
interfaz Internet del servidor de seguridad:
• Dirección IP de destino de la interfaz de la red perimetral del equipo con IPSec y puerto de destino
UDP 500 (0x1F4)
Este filtro permite enviar el tráfico IKE al equipo con IPSec de la red perimetral.
• Dirección IP de destino de la interfaz de la red perimetral del equipo con IPSec e Id. de protocolo
IP 50 (0x32)
Este filtro permite enviar el tráfico ESP de IPSec al equipo con IPSec de la red perimetral.
• Dirección IP de destino de la interfaz de la red perimetral del equipo con IPSec e Id. de protocolo
IP 51 (0x33)
Este filtro permite enviar el tráfico AH de IPSec al equipo con IPSec de la red perimetral.
Para permitir tipos específicos de tráfico, configure los filtros de paquetes salientes siguientes en la
interfaz Internet del servidor de seguridad:
• Dirección IP de origen de la interfaz de la red perimetral del equipo con IPSec y puerto de origen
UDP 500 (0x1F4)
Este filtro permite enviar el tráfico IKE desde el equipo con IPSec de la red perimetral.
• Dirección IP de origen de la interfaz de la red perimetral del equipo con IPSec e Id. de protocolo IP
50 (0x32)
Este filtro permite enviar el tráfico ESP de IPSec desde el equipo con IPSec de la red perimetral.
• Dirección IP de origen de la interfaz de la red perimetral del equipo con IPSec e Id. de protocolo IP
51 (0x33)
Este filtro permite enviar el tráfico AH de IPSec desde el equipo con IPSec de la red perimetral.
Para permitir tipos específicos de tráfico, configure los filtros de paquetes entrantes siguientes en la
interfaz con la red perimetral del servidor de seguridad:
Página 3 de 10
• Dirección IP de origen de la interfaz de la red perimetral del equipo con IPSec y puerto de origen
UDP 500 (0x1F4)
Este filtro permite enviar el tráfico IKE desde el equipo con IPSec de la red perimetral.
• Dirección IP de origen de la interfaz de la red perimetral del equipo con IPSec e Id. de protocolo IP
50 (0x32)
Este filtro permite enviar el tráfico ESP de IPSec desde el equipo con IPSec de la red perimetral.
• Dirección IP de origen de la interfaz de la red perimetral del equipo con IPSec e Id. de protocolo IP
51 (0x33)
Este filtro permite enviar el tráfico AH de IPSec desde el equipo con IPSec de la red perimetral.
Para permitir tipos específicos de tráfico, configure los filtros de paquetes salientes siguientes en la
interfaz con la red perimetral del servidor de seguridad:
• Dirección IP de destino de la interfaz de la red perimetral del equipo con IPSec y puerto de destino
UDP 500 (0x1F4)
Este filtro permite enviar el tráfico IKE al equipo con IPSec de la red perimetral.
• Dirección IP de destino de la interfaz de la red perimetral del equipo con IPSec e Id. de protocolo
IP 50 (0x32)
Este filtro permite enviar el tráfico ESP de IPSec al equipo con IPSec de la red perimetral.
• Dirección IP de destino de la interfaz de la red perimetral del equipo con IPSec e Id. de protocolo
IP 51 (0x33)
Este filtro permite enviar el tráfico AH de IPSec al equipo con IPSec de la red perimetral.
A la hora de decidir entre usar AH o ESP para proteger el tráfico IP, considere lo siguiente:
Se consumen menos recursos de la CPU al calcular y comprobar la función hash de cada paquete que al
cifrarlo y descifrarlo. Si el rendimiento es especialmente importante, puede utilizar AH para proteger la
mayor parte del tráfico. Cuando se requiere confidencialidad, puede utilizar ESP en su lugar. Por
ejemplo, puede utilizar AH para proteger el tráfico de la intranet y ESP para el tráfico que se envía a
través de Internet.
Nota
Resulta sencillo establecer un escenario de implementación de IPSec que proteja el tráfico desde un
conjunto específico de servidores, del modo siguiente:
Página 4 de 10
• Sitúe los servidores en una unidad organizativa y asigne una directiva IPSec a un objeto de
directiva de grupos de esa unidad organizativa, con una regla que requiera tráfico protegido entre
los servidores y cualquier otro equipo. Dentro de la acción de filtrado de la regla, permita a los
servidores seguros aceptar comunicaciones no seguras, pero respondiendo siempre con IPSec.
• Sitúe los equipos cliente en una unidad organizativa y asigne a un objeto de directiva de grupos
de esa unidad organizativa una directiva IPSec que sólo aplique la regla de respuesta
predeterminada. Para obtener más información, vea Reglas de directiva IPSec.
En esta configuración no será seguro el tráfico siguiente entre los equipos cliente y los servidores
seguros:
• La solicitud inicial (por ejemplo un paquete TCP SYN) enviado por el equipo cliente para
establecer una comunicación no es segura, porque el cliente no tiene ninguna regla en su
directiva que le haga iniciar una comunicación segura con el servidor.
• Aunque las comunicaciones sucesivas sí estarán protegidas una vez que se negocie la
comunicación segura entre el cliente y los servidores, la asociación de seguridad (SA) de modo
rápido que proporciona la configuración de seguridad del tráfico puede eventualmente alcanzar el
tiempo de espera máximo y ser retirada tanto del servidor seguro como del equipo cliente. Esto
ocurre cuando existe una conexión TCP y no se envía tráfico entre el equipo cliente y el servidor
seguro durante un período de tiempo prolongado. El filtro dinámico que la regla de respuesta
predeterminada crea en el equipo cliente también se quita cuando se agota el tiempo de espera
de dicho filtro.
Si el servidor seguro envía nueva información por la conexión existente, volverá a negociar la SA
de modo rápido antes de enviar los datos al equipo cliente, ya que existe una regla en el servidor
seguro para proteger el tráfico entre él y todos los demás equipos. Sin embargo, si el equipo
cliente envía nuevos datos después de que las SA de modo rápido y el filtro dinámico hayan
caducado, los datos se enviarán sin protección, ya que el cliente no tiene ninguna regla para
iniciar una comunicación segura con el servidor. En el caso de las conexiones TCP, es posible
que el equipo cliente envíe uno o varios segmentos TCP sin proteger. Para evitar que los equipos
cliente envíen datos sin proteger a los servidores seguros, debe configurar la directiva IPSec de
cada equipo cliente con reglas adicionales que inicien comunicaciones seguras con los servidores
protegidos.
Los grupos Diffie-Hellman se utilizan para determinar la longitud de los números primos base utilizados
durante el proceso de intercambio de claves. El grupo 2048 (alto) es más eficaz (más seguro) que el
grupo 2 (medio), que a su vez es más eficaz que el grupo 1 (bajo). El grupo 1 proporciona 768 bits de
protección de clave, el grupo 2 proporciona 1,024 bits y el grupo 2048 proporciona 2,048 bits.
Los grupos Diffie-Hellman más eficaces pueden combinarse con mayores longitudes de clave para
aumentar la dificultad de calcular una clave secreta.
Importante
Para lograr mayor seguridad, no utilice el grupo Diffie-Hellman 1. Para obtener la máxima seguridad,
utilice el grupo 2048 siempre que sea posible. Utilice el grupo 2 cuando sea necesario para la
interoperabilidad con Windows 2000 y Windows XP.
Nota
El grupo Diffie-Hellman 2048 sólo se suministra con la familia de Windows Server 2003.
Para obtener más información acerca de los grupos Diffie-Hellman y el intercambio de claves, vea
Métodos de intercambio de claves y Administración y protección de claves.
Página 5 de 10
La seguridad del Protocolo de Internet (IPSec) es un marco de estándares abiertos para lograr
comunicaciones privadas seguras a través de redes con el Protocolo de Internet (IP) mediante el uso de
servicios de seguridad criptográfica. Las implementaciones de IPSec para Microsoft® Windows® 2000,
Windows XP y la familia Windows Server 2003 se basan en estándares desarrollados por el grupo de
trabajo IPSec del Grupo de trabajo de ingeniería de Internet (IETF, <i>Internet Engineering Task
Force</i>).
IPSec es la tendencia a largo plazo para las redes seguras. Proporciona una sólida protección contra
ataques a redes privadas e Internet mediante la seguridad de extremo a extremo. Los únicos equipos
que deben conocer que existe protección con IPSec son el remitente y el receptor de la comunicación.
En Windows XP y la familia Windows Server 2003, IPSec permite proteger la comunicación entre grupos
de trabajo, equipos de redes de área local, clientes y servidores de dominio, sucursales (que físicamente
pueden ser remotas), extranets y clientes itinerantes.
3. Introducción a IPSec
IPSec es la tendencia a largo plazo para las redes seguras. Proporciona una línea de defensa clave
frente a ataques en redes privadas e Internet.
IPSec se basa en un modelo de seguridad completo, y establece la confianza y la seguridad desde una
dirección IP de origen hasta una dirección IP de destino. La dirección IP en sí no se considera
necesariamente una identidad, sino que el sistema que hay tras la dirección IP tiene una identidad que
se valida a través de un proceso de autenticación. Los únicos equipos que deben conocer que el tráfico
está protegido son los equipos remitente y receptor. Cada equipo trata la seguridad en su extremo
respectivo y supone que el medio a través del cual tiene lugar la comunicación no es seguro. Los
equipos que se limitan a enrutar datos desde el origen hasta el destino no necesitan ser compatibles con
IPSec, salvo en el caso de que se filtren paquetes de tipo servidor de seguridad o se traduzcan
direcciones de red entre los dos equipos. Este modelo permite implementar correctamente IPSec en los
siguientes casos:
Normalmente, ambas partes requieren una configuración de IPSec (denominada directiva IPSec) para
establecer las opciones y los parámetros de seguridad que permitirán que ambos sistemas acuerden el
modo de proteger el tráfico entre ellos. Las implementaciones de IPSec para Microsoft®
Windows® 2000, Windows XP y la familia Windows Server 2003 se basan en estándares del sector
desarrollados por el grupo de trabajo IPSec del Grupo de trabajo de ingeniería de Internet (IETF).
Algunas partes de los servicios relacionados con IPSec han sido desarrollados conjuntamente por
Microsoft y Cisco Systems, Inc.
Página 6 de 10
4. Cuestiones de seguridad de IP
Sin medidas de seguridad, tanto las redes públicas como las privadas están expuestas a la observación
y el acceso no autorizados. Los ataques internos pueden ser la consecuencia de una seguridad de
intranet mínima o incluso inexistente. Los riesgos provenientes del exterior de la red privada se originan
en las conexiones a Internet y a extranets. Los controles de acceso de usuarios basados en contraseñas
no protegen por sí solos los datos transmitidos a través de una red.
Si no se toman medidas de seguridad ni se aplican controles, los datos pueden ser objeto de un ataque.
Algunos ataques son pasivos, en el sentido de que sólo se observa la información. Otros ataques son
activos y se modifica la información con intención de dañar o destruir los datos o la propia red. Cuando
no se tiene un plan de seguridad, las redes y los datos son vulnerables a todos los tipos de ataques
siguientes.
Espionaje
En general, la mayoría de las comunicaciones por red tienen lugar en formato de texto simple (sin cifrar),
lo que permite al atacante que haya logrado el acceso a las rutas de datos de una red observar e
interpretar (leer) el tráfico. El espionaje de las comunicaciones por parte de un atacante se conoce como
husmear. La capacidad de los espías para observar la red suele ser el mayor problema de seguridad que
afrontan los administradores de las compañías. Sin unos servicios de cifrado eficaces basados en
criptografía, mientras los datos atraviesan la red pueden ser observados por terceros.
Modificación de datos
Cuando un atacante ha leído los datos, a menudo el siguiente paso lógico consiste en modificarlos. Un
atacante puede modificar los datos de un paquete sin que el remitente ni el receptor lo adviertan. Incluso
cuando no se requiera confidencialidad en todas las comunicaciones, no se desea que los mensajes se
modifiquen en su camino. Por ejemplo, si intercambia solicitudes de compra, no desea que se modifique
la información relativa a los artículos, los importes ni la facturación.
La mayoría de las redes y sistemas operativos utilizan la dirección IP para identificar un equipo como
válido en una red. En algunos casos, es posible utilizar una dirección IP falsa. Esta práctica se conoce
como suplantación. Un atacante podría utilizar programas especiales para construir paquetes IP que
parezcan provenir de direcciones válidas dentro de la intranet de una organización.
Una vez obtenido el acceso a la red con una dirección IP válida, el atacante podrá modificar, desviar o
eliminar datos. También podrá realizar ataques de otros tipos, como se describe en las secciones
siguientes.
Cuando un atacante encuentra una cuenta de usuario válida y la utiliza para el acceso, obtendrá los
mismos derechos que el usuario real. Por ejemplo, si el usuario tiene derechos administrativos, el
atacante puede crear cuentas adicionales para tener acceso posteriormente.
Una vez obtenido el acceso a una red con una cuenta válida, el atacante puede hacer lo siguiente:
A diferencia de un ataque basado en contraseñas, el ataque de rechazo de servicio impide el uso normal
de un equipo o de una red por parte de los usuarios autorizados.
Una vez obtenido el acceso a una red, el atacante puede hacer lo siguiente:
Como su nombre indica, un ataque por usuario interpuesto se produce cuando alguien situado entre dos
usuarios que se están comunicando observa activamente, captura y controla la comunicación sin que los
usuarios lo adviertan. Por ejemplo, un atacante puede negociar claves de cifrado con ambos usuarios. A
continuación, cada usuario enviará datos cifrados al atacante, quien podrá descifrarlos. Cuando los
equipos se comunican en niveles bajos de la capa de red, quizás no puedan determinar con qué equipos
están intercambiando datos.
Una clave es un código o un número secreto necesario para cifrar, descifrar o validar información
protegida. Averiguar una clave es un proceso difícil y que requiere grandes recursos por parte del
atacante, pero no deja de ser posible. Cuando un atacante averigua una clave, ésta se denomina clave
comprometida.
El atacante puede utilizar la clave comprometida para obtener acceso a una comunicación protegida sin
que el remitente ni el receptor lo perciban. La clave comprometida permite al atacante descifrar o
modificar los datos. El atacante también puede intentar utilizar la clave comprometida para calcular otras
claves que podrían suponer el acceso a otras comunicaciones protegidas.
Ataque de husmeador
Un husmeador es una aplicación o dispositivo que puede leer, supervisar y capturar intercambios de
datos y paquetes en la red. Si los paquetes no están cifrados, el husmeador proporciona una vista
completa de los datos contenidos en el paquete. Incluso los paquetes encapsulados (enviados por un
túnel) se pueden abrir y leer si no están cifrados.
• Analizar una red y lograr acceso a la información, y eventualmente hacer que la red deje de
responder o que resulte dañada.
• Leer comunicaciones privadas.
Los ataques en la capa de aplicación se dirigen a los servidores de aplicaciones e intentan provocar
errores en su sistema operativo o en sus aplicaciones. De este modo el atacante puede llegar a eludir los
controles de acceso normales. El atacante aprovecha esta situación para obtener el control de una
aplicación, sistema o red, con lo que podrá hacer lo siguiente:
IPSec protege los datos de modo que a un intruso le resulte sumamente difícil o imposible interpretarlos.
El nivel de protección ofrecido está determinado por el rigor de los niveles de seguridad especificados en
la estructura de directivas IPSec.
IPSec proporciona diversas características que reducen o previenen significativamente los ataques
siguientes:
Aunque los métodos de seguridad criptográficos, más estrictos, se han vuelto necesarios para lograr una
protección completa de la comunicación, a menudo suponen un incremento importante de la carga
administrativa. Para reducir esta carga, IPSec utiliza la administración basada en directivas.
Página 9 de 10
Para configurar los servicios de seguridad IPSec se utilizan directivas IPSec, en lugar de interfaces de
programación de aplicaciones (API). Las directivas proporcionan niveles de protección variables para la
mayor parte de los tipos de tráfico, en la mayoría de las redes existentes.
Puede configurar directivas IPSec para satisfacer los requisitos de seguridad de un equipo, una
aplicación, una unidad organizativa, un dominio, un sitio o de toda la organización. Puede utilizar la
consola Administrador de las directivas de seguridad de IP incluida en Microsoft® Windows® XP y la
familia Windows Server 2003 para definir directivas IPSec que se aplicarán a los equipos a través de
Active Directory® (en el caso de miembros de dominios) o en cada equipo local (si los equipos no
pertenecen a un dominio).
7. Implementación simplificada
Para disponer de comunicaciones seguras con un costo de propiedad bajo, Microsoft® Windows® XP y
la familia de Windows Server 2003 simplifican la implementación de IPSec mediante las características
siguientes:
• Integración con el marco de seguridad en Windows 2000 y la familia de Windows Server 2003.
IPSec utiliza el dominio seguro en Windows 2000 y la familia de Windows Server 2003 como
modelo de confianza. De forma predeterminada, las directivas IPSec utilizan el método de
autenticación predeterminado de Active Directory® (autenticación mediante Kerberos V5) para
identificar y definir la confianza con los equipos que realizan la comunicación. Los equipos que
forman parte de un dominio de Windows 2000 o Windows Server 2003 y se encuentran en
dominios de confianza pueden establecer fácilmente comunicaciones protegidas mediante IPSec.
• Administración centralizada de directivas IPSec mediante Active Directory
Las directivas IPSec se pueden asignar mediante la configuración de Directiva de grupo de los
dominios de Active Directory y las unidades organizativas. De este modo es posible asignar la
directiva IPSec en el nivel de dominio, sitio o unidad organizativa, lo que elimina la sobrecarga
administrativa que supone la configuración individual de cada equipo.
• Transparencia de IPSec para los usuarios y las aplicaciones
La integración en la capa IP (capa 3) proporciona seguridad para cualquier protocolo del conjunto
de protocolos TCP/IP. No es necesario separar la seguridad para cada protocolo del conjunto
TCP/IP, ya que las aplicaciones que utilizan TCP/IP pasan los datos a la capa del protocolo IP, en
la que se implementa la seguridad.
• Configuración de seguridad flexible
Los servicios de seguridad de cada directiva pueden personalizarse para adaptarlos a la mayoría
de los requisitos de seguridad del tráfico de red y de datos.
• Administración automática de claves
Los servicios de Intercambio de claves de Internet (IKE) intercambian y administran de forma
dinámica las claves de cifrado entre los equipos que realizan la comunicación.
• Negociación automática de seguridad
Los servicios de Intercambio de claves de Internet (IKE) negocian de forma dinámica un conjunto
común de opciones de seguridad para los equipos que realizan la comunicación, lo que elimina la
necesidad de que ambos equipos tengan configuradas directivas idénticas.
• Compatibilidad con la infraestructura de clave pública
Es posible utilizar certificados de clave pública para la autenticación. De este modo, es posible
utilizar la confianza y las comunicaciones seguras en equipos que no pertenezcan a un dominio
de confianza de Windows 2000 o Windows Server 2003, sistemas operativos que no sean de
Microsoft, equipos que pertenezcan a dominios que no sean de confianza y casos en los que el
acceso a un equipo deba restringirse a un grupo menor de lo que permite la autenticación de
dominios.
• Compatibilidad con clave previamente compartida
Si no es posible realizar la autenticación mediante el protocolo Kerberos V5 ni mediante
certificados de clave pública, se puede configurar una clave de autenticación previamente
compartida.
Importante
Página 10 de 10
Nota