Scribd Logo
Загрузить

Добро пожаловать в Scribd!

  • Procedimiento IPSec

    Загружено:

    Santiago Toro Acelas
    25 просмотров13 страниц

    Оригинальное название

    ProcedimientoIPSec

    Авторское право

    © Attribution Non-Commercial (BY-NC)

    Доступные форматы

    PDF, TXT или читайте онлайн в Scribd

    Этот документ был вам полезен?

    Это неприемлемый материал?

    Пожаловаться на этот документ

    Авторское право:

    Attribution Non-Commercial (BY-NC)
    Скачайте в формате PDF, TXT или читайте онлайн в Scribd
    Отметить как неприемлемый контент
    25 просмотров13 страниц

    Procedimiento IPSec

    Загружено:

    Santiago Toro Acelas

    Авторское право:

    Attribution Non-Commercial (BY-NC)
    Скачайте в формате PDF, TXT или читайте онлайн в Scribd
    Отметить как неприемлемый контент
    из 13

    IPSec

    http://www.bujarra.com/ProcedimientoIPSec.html

    IPSec con Windows 2003 y Windows XP

    IPSec, IPSec es un protocolo de encriptacin de trfico de red. En este procedimiento hago una prueba de cmo encriptar las comunicaciones entre un PC cliente (XP) y un servidor (2003). El servidor 2003 tiene la IP 192.168.0.3 y tiene habilitado el servidor FTP, la cosa es que el XP se le conecta al servidor FTP para bajarse unos ficheros, pero entre esos dos PC's hay un 'kapuyo' con un sniffer, y como el trafico FTP y casi todo en la red es sin cifrar pues el 'kapuyo' nos ha sacado la contrasea con la que el XP se a auntenticado en el 2003, todo esto sucede en una misma red, en un mismo dominio (el XP y el 2003 por lo menos). Para que todo el trafico al servidor sea cifrado le habilitar los servicios de IPSec y en el cliente tambin para que hablen entre ellos en 'IPSec'.

    Empezemos:

    Lo que os digo, un PC con Windows XP se va a conectar a un servidor FTP, es mi Windows 2003 con IIS & FTP habilitado, le pide usuario y contrasea y lo mete (usuario: nheobug; contrasea: Pwd123456), le da a "Iniciar sesin" y...

    1 de 13

    01/12/2007 1:28

    IPSec

    http://www.bujarra.com/ProcedimientoIPSec.html

    En ese momento hay un 'kapuyo' en la LAN, o entre el XP y el FTP/2003 sniffando todo el trafico que pasa, y zamb!! el Ethereal le revela que alguin se ha conectado a un servidor FTP con la IP 192.168.0.3 con el USER: nheobug y la contrasea/PASS: Pwd123456!!! pues el tio nos la ha liado!! ya tiene un usuario y una pwd de nuestro server... vaya, lo que nos interesa es cifrar este trafico para que esto NO SE VUELVA A REPETIR. Para ello... IPSec.

    Comenzamos:

    Nos vamos al servidor que queremos proteger y que todo su frafico sea cifrado, en este caso es mi servidor FTP, para que las contraseas no viajen por la red tan ligeritas. Desde el W2K3, "Inicio" > "Ejecutar" > "mmc" y "Aceptar".

    2 de 13

    01/12/2007 1:28

    IPSec

    http://www.bujarra.com/ProcedimientoIPSec.html

    Nos sale una consola de estas, vamos a "Archivo" > "Agregar o quitar complemento..."

    Le damos a "Agregar", en los complementos, seleccionamos "Administrador de las directivas de seguridad IP" y le damos a "Agregar".

    3 de 13

    01/12/2007 1:28

    IPSec

    http://www.bujarra.com/ProcedimientoIPSec.html

    "Equipo local", y Finalizar. Despus a "Cerrar" y "Aceptar".

    Y tendremos algo como esto, vale, vamos a editar la politica/directiva "Servidor seguro", botn derecho y "Propiedades".

    4 de 13

    01/12/2007 1:28

    IPSec

    http://www.bujarra.com/ProcedimientoIPSec.html

    Marcamos los checks SOLO de "Tdo el trfico ICMP" y "Todo el trfico de IP"; el de "<Dinmico>" NO. Seleccionamos el de ICMP y damos a "Modificar..."

    Nos movemos por todas sus pestaas, por "Lista de filtros IP", comprobamos que est eso, la de "Todo trfico ICMP",

    5 de 13

    01/12/2007 1:28

    IPSec

    http://www.bujarra.com/ProcedimientoIPSec.html

    En la de "Accin de filtrado" indicamos "Requerir seguridad",

    Marcamos el de "Todas las conexiones de red"

    6 de 13

    01/12/2007 1:28

    IPSec

    http://www.bujarra.com/ProcedimientoIPSec.html

    En "Configuracin de tnel" --> "Esta regla no especifica un tnel IPSec",

    Mtodos de autenticacin --> Kerberos y como est todo OK, pinchamos en "Aceptar",

    7 de 13

    01/12/2007 1:28

    IPSec

    http://www.bujarra.com/ProcedimientoIPSec.html

    Vale, ahora comprueba lo mismo en la directiva de "Todo el trfico IP", tiene que estar igual que la del trafico ICMP, y Aceptas.

    Una vez checkeado todo eso, nos Asignamos la directiva de "Servidor seguro", para ello, botn derecho y "Asignar".

    8 de 13

    01/12/2007 1:28

    IPSec

    http://www.bujarra.com/ProcedimientoIPSec.html

    Comprobamos que tiene el check en verde, cuando cerremos la consola no hace falta grabar los cambios.

    Y esto... pues no pone que haya que hacerlo, pero yo lo hago, actualizo las directivas mediante una consola de MSDOS y escribo "gpupdate /force". Vale, la parte del servidor ya est configurada. A partir de YA, el server no va a haceptar trfico normal (o sea, sin cifrar), as que el que intente comunicarse y no tenga la parte cliente configurada (esto que viene ahora) no podr comunicar con l. Slo habr trafico seguro.

    Vale, ahora, yo quiero que Mi PC con MS Windows XP se contecte a ese servidor, quiero volver a conectarme como antes por FTP. Para ello tendre que configurar mi parte, para que entre ese servidor seguro y yo haya trafico encriptado. Para ello, desde el MS Windows XP, abrimos una consola MMC --> "Inicio" > "Ejecutar" > "mmc" y "Aceptar". Ahora, en la MMC, "Archivo" > "Agregar o quitar complemento..."

    9 de 13

    01/12/2007 1:28

    IPSec

    http://www.bujarra.com/ProcedimientoIPSec.html

    Le damos a "Agregar", en los complementos, seleccionamos "Administrador de las directivas de seguridad IP" y le damos a "Agregar".

    "Equipo local", y Finalizar. Despus a "Cerrar" y "Aceptar".

    10 de 13

    01/12/2007 1:28

    IPSec

    http://www.bujarra.com/ProcedimientoIPSec.html

    Y ahora nos vamos a la parte de la derecha y nos asignamos la politica de "Cliente (slo responder)" > botn derecho > "Asignar".

    Vemos que el check de la directiva se pone verde y pone "Directiva asignada": "S"

    Lo mismo que en la parte del servidor, no se exactamente si hay que actualizar las polticas, pero siempre lo hago pq nunca viene mal. "Inicio" > "Ejecutar" > "cmd" y "Aceptar", en la consola del sistema: "gpupdate /force".

    11 de 13

    01/12/2007 1:28

    IPSec

    http://www.bujarra.com/ProcedimientoIPSec.html

    Esto ya para comprobar que el trafico va encriptado... si ahora probamos a conectarnos por FTP de la misma forma que lo hemos hecho antes o cualquier tipo de conexin al servidor seguro... metemos los mismos credenciales y le damos a "Iniciar sesin"

    Y el 'kapuyo' estara esnifando la red como antes, slo recibiria paquetes ESP y todo el trafico va cifrado y es

    12 de 13

    01/12/2007 1:28

    IPSec

    http://www.bujarra.com/ProcedimientoIPSec.html

    IMPOSIBLE que nos descifren lo que pone. Bueno, pues este ejemplo que he echo con un cliente y servidor FTP, que lo sepais que se aplica a todos los traficos de una red o de internet, exceptuando los que de por s vayan cifrados como HTTPS, SSH... pero si copiamos un fichero por la red de un PC a otro, ese trafico va sin cifrar, imaginate que son datos MUY CONFIDENCIALES, o cualquier otra idea, si quieres asegurar trafico entre PC's, usa IPSec.

    13 de 13

    01/12/2007 1:28

    Вам также может понравиться