Implementación de IPsec y L2TP en Windows 2000

En este artículo se describe Seguridad del protocolo IP (IPSec) y su implementación en Windows 2000 y en Windows Server 2003. También se explica la interoperación de IPSec y Protocolo de túnel de capa 2 (L2TP) con productos de otros fabricantes.

Descripción de IPSec

IPSec está diseñado para cifrar los datos mientras viajan entre dos equipos, protegiendo los datos frente a su modificación e interpretación. IPSec es una línea clave de defensa contra los ataques internos, de red privada y externos. Aunque la mayoría de las estrategias de seguridad de red se han centrado en evitar los ataques desde fuera de la red de una organización, se puede perder gran cantidad de información confidencial por ataques internos que interpretan los datos de la red. La mayoría de los datos no están protegidos cuando viajan a través de la red, por lo que los empleados, miembros de personal auxiliar o visitantes quizás puedan conectarse a su red y copiar datos para su análisis posterior. También pueden montar ataques de nivel de red contra otros equipos. Los servidores de seguridad no proporcionan ninguna protección contra esas amenazas internas, por lo que el uso de IPSec ofrece mucha más seguridad para los datos corporativos.

IPSec es un servicio de seguridad que ofrece a los administradores la posibilidad de supervisar el tráfico, examinar direcciones y aplicar varios métodos de seguridad al paquete de datos IP independientemente del programa que genera los datos.

Mediante el filtrado de IP, IPSec examina todos los paquetes IP para ver las direcciones, los puertos y los protocolos de transporte. Las reglas contenidas en directivas locales o de grupo indican a IPSec que debe omitir o proteger determinados paquetes, dependiendo de la información de direccionamiento y de protocolo.

Implementación de IPSec en Windows 2000 y en Windows Server 2003

IPSec e Intercambio de claves de Internet (IKE) sólo se incluyen en Windows 2000 y en Windows Server 2003. Estos sistemas operativos se adhieren al conjunto de RFC para IPSec (2401+) en la medida en que puede hacerlo una primera versión; todavía hay algunos aspectos de RFC que no se han implementado. Está integrado estrechamente con otros muchos aspectos de estos sistemas operativos, como la pila TCP/IP, dispositivos Plug and Play, servicios de certificados y módulos criptográficos (CAPIv2) y, en cierta medida, Directiva de grupo para la entrega de la directiva IPSec basada en directorio.

Sólo L2TP utiliza de forma predeterminada IPSec para proteger los paquetes IP de UDP 1701 que son el túnel. IPSec no se incluye en Microsoft Windows 98. Microsoft y Cisco Systems, Inc. desarrollaron conjuntamente IPSec y los servicios relacionados en Windows 2000 y en Windows Server 2003. Microsoft realizó la implementación de L2TP propiamente dicha y la integró con IPSec después de la beta 2.

Componentes

• El controlador IPSec que supervisa, filtra y protege el tráfico.
• Los servicios de administración e intercambio de claves del Protocolo de administración de claves y asociación de seguridad Internet (ISAKMP/Oakley) que vigilan las negociaciones de seguridad entre los hosts y proporcionan las claves para su uso con los algoritmos de seguridad.
• El agente de directiva que busca directivas y las entrega al controlador IPSec e ISAKMP.
• La directiva de seguridad IP y las asociaciones de seguridad derivadas de esas directivas que definen el entorno de seguridad en el que se comunican dos hosts.
• La API de asociación de seguridad que proporciona la interfaz entre el controlador IPSec, ISAKMP y el agente de directiva.
• Las herramientas de administración que crean directivas, supervisan las estadísticas de seguridad IP y registran sucesos de seguridad IP.

Interacción de componentes

• Un paquete IP coincide con un filtro de IP que forma parte de una directiva de seguridad IP.
• La directiva de seguridad IP puede tener varios métodos de seguridad opcionales. El controlador IPSec necesita saber qué método se utiliza para proteger el paquete. El controlador IPSec solicita que ISAKMP negocie un método de seguridad y una clave de seguridad.
• ISAKMP negocia un método de seguridad y lo envía con una clave de seguridad al controlador IPSec.
• El método y la clave se convierten en la asociación de seguridad IPSec (SA). El controlador IPSec almacena esta SA en su base de datos.
• Los dos hosts que se están comunicando necesitan proteger o desproteger el tráfico IP, por lo que ambos deben conocer y almacenar la SA.

Métodos de seguridad de IP

El controlador IPSec aplica los métodos de seguridad IP a un paquete IP. Hay dos métodos de seguridad que se pueden utilizar, ya sea por separado o al unísono. Los dos métodos son:

• Integridad de datos y de direcciones mediante hash con clave (HMAC)
• Integridad de datos y confidencialidad mediante cifrado

Configuración de la directiva de IPSec

Puede utilizar Microsoft Management Console (MMC) para aumentar la protección del tráfico IP de unidifusión utilizando una 'directiva' de configuración en el cliente y el servidor o enrutador. Puede configurar esta directiva localmente (utilizando el complemento Directivas de seguridad IP en Equipo local) o en Active Directory (mediante la herramienta Directivas de seguridad IP de Active Directory). Cuando aplica la directiva, IPSec utiliza filtros de paquetes para determinar qué tráfico debe proteger, bloquear o permitir. Cuando protege tráfico, se utiliza IKE para negociar la configuración de seguridad y realizar los intercambios de claves criptográficas, el establecimiento de la SA de IPSec y la nueva introducción automática de claves. IPSec funciona de la forma más transparente posible para las capas situadas por encima de IP.

Si la directiva de IPSec lo especifica, IKE puede utilizar el protocolo de seguridad Kerberos 5 de Windows para la autenticación de los equipos, evitando así el requisito de implementación de certificados. La implementación de Windows 2000 y de Windows Server 2003 se atiene al borrador de Derrell Piper (como se describe más adelante en este artículo). Kerberos no se utiliza para las claves de IPSec, sino sólo para la autenticación de equipos en modo principal de IKE. No se utiliza ninguna extensión Kerberos en el vale porque no es un vale de servicio o de usuario (es un vale de equipo), por lo que debe funcionar cuando configure cualquier sistema operativo para el modo de compatibilidad con MIT de Kerberos 5 con otros equipos que sean miembros de territorios de Kerberos 5. Para obtener información adicional al respecto, consulte los siguientes sitios Web: Microsoft proporciona información de contacto con otros proveedores para ayudarle a encontrar soporte técnico. Esta información de contacto puede cambiar sin previo aviso. Microsoft no ofrece ninguna garantía con respecto a la exactitud de esta información de contacto con otros proveedores.

API y directiva de IPSec

Las API y el esquema de directivas de IPSec de Windows 2000 y Windows Server 2003 no se han publicado todavía. IPSec y el modo de protección de identidad de IKE (modo principal y modo rápido) no se prestan a API basadas en programas y orientadas a la conexión. IPSec no está pensado como reemplazo de los métodos orientados a la conexión de SSL/TLS utilizados normalmente para proteger las comunicaciones Web.

La definición de 'directiva' de Windows 2000 y Windows Server 2003 es un conjunto de opciones específicas de IPSec que se puede entregar al host y, a continuación, aplicar. 'Directiva' implica configuraciones o datos estáticos que no se han evaluado en el punto de cumplimiento del equipo final que recibe estas configuraciones. La implementación de IPSec típica es para que un administrador de dominio configure una directiva de IPSec en Active Directory según lo requieran los clientes, servidores y otros equipos de propósito especial y, a continuación, la asigne y la entregue utilizando el sistema Directiva de grupo. También puede configurar totalmente la directiva de IPSec.

Microsoft piensa cambiar los formatos de almacenamiento de directivas en versiones futuras de Windows. Por tanto, los formatos de almacenamiento de la directiva de directorio y del Registro local de IPSec de Windows se consideran una estructura de datos privada y sin publicar de Microsoft.

Todavía puede crear una secuencia de comandos por lotes para crear directivas IPSec. Ipsecpol.exe es una herramienta de la línea de comandos incluida en el Kit de recursos de Microsoft Windows 2000 que puede utilizar para automatizar la construcción de directivas (la documentación se incluye con la herramienta). En la carpeta Support Tools del CD-ROM, puede utilizar el comando netdiag.exe /test:ipsec /v /debug para ver los detalles de la directiva de IPSec, el filtrado, etc. (si inicia sesión con los mismos privilegios que el usuario que asignó la directiva).

Para una versión futura (no necesariamente la próxima versión), Microsoft está trabajando en unas API que permitan a los clientes de API sondear filtros y ofrecerlos al motor. Microsoft ofrecerá estas API después de una revisión detallada del diseño realizado por otro proveedor. Las soluciones de administración de directivas podrán diseñar sus propios formatos de directiva y conectarlos al sistema IPSec mediante las API.

Se está trabajando sobre una propuesta para un modelo/esquema de directiva de IPSec como primer borrador de lo que una API orientada a directivas administrativas podría admitir. Sin embargo, los proveedores y los clientes interesados deben revisar sustancialmente este borrador para ver si el modelo funcionaría. Para obtener información adicional al respecto, consulte el siguiente sitio Web: Microsoft proporciona información de contacto de otros proveedores para ayudarle a encontrar soporte técnico. Esta información de contacto puede cambiar sin previo aviso. Microsoft no ofrece ninguna garantía con respecto a la exactitud de esta información de contacto con otros proveedores.

Interoperación de IPSec

Para los escenarios de red privada virtual (VPN), Microsoft recomienda túneles IPSec sólo para aquellos casos de puerta de enlace a puerta de enlace en los que L2TP/IPsec no funcionará, y para los escenarios de extremo a puerta de enlace (no los clientes de acceso remoto VPN, porque es una implementación de túnel compatible con RFC y no admite IKECFG o XAUTH) donde cada punto tiene una dirección IP estática y, por tanto, reglas estáticas de IPSec con filtros para habilitar el túnel. Para obtener más información acerca de la actualización de túneles IPSec en Windows 2000, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base: Aunque técnicamente puede configurar filtros de directiva para proporcionar túneles IPSec para protocolos y puertos (puesto que la herramienta de configuración de directivas es muy general), Microsoft no admite estos tipos de túneles.
La interoperabilidad de IPSec no está definida claramente. Algunos proveedores han decidido ejecutar su propio programa. Los dos sitios Web siguientes están llevando a cabo programas de prueba de interoperabilidad: Windows 2000 y Windows Server 2003 no se han sometido todavía a ninguno de ellos. La demanda de los clientes y el examen de los criterios de interoperación utilizados en estos programas de prueba frente a cómo desean utilizar IPSec determinará si Microsoft solicitará la certificación en estos programas.

Niveles de interoperabilidad sugeridos

• Compatible con protocolo:
  Se puede determinar examinando las especificaciones técnicas de opciones compatibles como las características y los modos de funcionamiento de IKE, los métodos de autenticación (como soporte técnico de los proveedores de certificados, jerarquías, tamaños de claves) y métodos de seguridad (como DES, 3DES, MD5 y PFS).
• Protocolo interoperable:
  Los ingenieros pueden configurar ciertas versiones de dos productos para enviar y recibir datos. La versión inferior de esto es lo que se está probando en los talleres de interoperabilidad de los proveedores y la versión superior es qué harían los equipos de pruebas de productos.
  Tenga en cuenta que los talleres de interoperación no suelen probar código comercial. En el último taller se utilizó la versión final de Windows 2000, compilación 2195. Los resultados de interoperación de los talleres no son públicos porque son talleres de ingeniería para probar productos en desarrollo. Los resultados sólo son significativos para los ingenieros que prueban su código.
• Producto interoperable:
  Funciona de la manera en que el cliente desea configurarlo en un escenario concreto (haciendo trabajo real) y se comprueba su "capacidad de funcionamiento" (cumple los requisitos de fiabilidad y facilidad de administración, y transporta cargas de tráfico reales). Las pruebas de un proveedor sólo son viables para algunos escenarios con pocos productos y los clientes deben comprobar las pruebas porque sus requisitos de seguridad y operativos suelen ser únicos.

Interoperación de L2TP/IPSec

Windows 2000 y Windows Server 2003 cumplen RFC 2661 ("Protocolo de túnel de capa 2"). RFC 2661 indica que el tráfico L2TP se puede proteger con IPSec, pero no proporciona detalles acerca de cómo implementar esta seguridad. Actualmente se está trabajando en un documento borrador de Internet que especificará los detalles de la protección del tráfico L2TP con IPSec. Los documentos borrador de Internet son documentos de trabajo del Grupo de trabajo de ingeniería de Internet (IETF), sus áreas y sus grupos de trabajo.

Puesto que la protección de tráfico L2TP con IPSec no es todavía un estándar (no hay ninguna RFC al respecto), se debe probar la interoperación de estos sistemas operativos Windows utilizando L2TP/IPsec.

Utilice la información básica siguiente sobre la protección de tráfico L2TP utilizando IPSec en Windows 2000 y en Windows Server 2003 como guía cuando esté realizando pruebas con proveedores terceros:

• Se utilizan certificados para la autenticación de equipos; es posible utilizar una clave de uso compartido previo para probar.
• El modo de transporte de IPSec se utiliza para proteger el tráfico L2TP.
• El puerto UDP 1701 se utiliza para los puertos de origen y para los puertos de destino. Esto no es negociable.

Microsoft sigue probando IPSec sólo y L2TP/IPsec con otros proveedores según la demanda de los clientes. Se publicarán artículos de Microsoft Knowledge Base si se encuentran problemas. Visite el siguiente sitio Web de Microsoft para conocer la información más reciente acerca de la interoperación: Es frecuente que algunos proveedores digan tener interoperación con Windows 2000 y Windows Server 2003, incluso aunque Microsoft no haya tenido ninguna oportunidad de comprobarlo con ese proveedor.

Seguridad

Microsoft ha dado varios pasos para garantizar la calidad del diseño y la implementación, que han incluido revisiones internas y externas (privadas) del diseño y del código. Microsoft seguirá proporcionando documentación y ayuda para los clientes sobre su uso apropiado. Como ocurre con cualquier herramienta de seguridad, es importante que los usuarios lean detenidamente la Ayuda en pantalla y la documentación del Kit de recursos para entender IPSec y su uso. IPSec e IKE se implementan en estándares RFC de IETF, pero siguen siendo tecnologías nuevas en la industria, lo que significa que estarán sujetas a escrutinio y ataques por parte de usuarios malintencionados.

Microsoft recomienda realizar las acciones siguientes para mantener un entorno seguro:

• Instale el paquete de actualización Strong Cryptography para obtener la función de cifrado 3DES para todos los equipos que espera que utilicen IPSec. Puede descargarlo desde el siguiente sitio Web de Microsoft:
  http://update.microsoft.com/

  (http://update.microsoft.com/)
  .
• Asegúrese de que las directivas de IPSec sólo requieren 3DES cuando se requiera privacidad en la comunicación IPSec. El cifrado DES ha demostrado no ser suficientemente seguro frente a ataques criptográficos. Utilice aceleración de hardware 3DES con adaptadores de red preparados para IPSec para los equipos que requieran un rendimiento elevado del tráfico protegido por IPSec.
• Habilite la auditoría del registro de seguridad para los problemas de inicio y cierre de sesión, y supervise si aparecen los sucesos 541 y 542 relacionados con IPSec.
• Supervise el registro del sistema para ver si hay sucesos cuyo origen sea IPSec.
• Actualícese al Service Pack más reciente (cuando se publique) para obtener las correcciones y actualizaciones de seguridad más recientes para los componentes de sus equipos. Aplique candidatos para versión comercial, si hay disponibles, de los Service Pack más recientes (en su entorno de laboratorio) para la comprobación operativa antes de la publicación final. Póngase en contacto inmediatamente con su representante de los Servicios de soporte técnico sobre los problemas que pueda haber.
• Cuando esté diseñando una implementación de IPSec, consulte Microsoft Knowledge Base (http://support.microsoft.com/search
  (http://search.support.microsoft.com)
  ) para obtener los detalles de configuración, problemas conocidos y soluciones más recientes.
• Supervise el sitio Web de seguridad de Microsoft (http://www.microsoft.com/spain/technet/seguridad/default.mspx
  (http://www.microsoft.com/spain/technet/seguridad/default.mspx)
  ) para estar al día de las noticias y las revisiones de seguridad.
• Póngase en contacto con secure@microsoft.com si piensa que ha descubierto una vulnerabilidad de seguridad que se pueda reproducir. Proporcione tantos detalles como sea posible para acelerar la investigación.

Puntos de contacto de Microsoft

Para las preguntas de medios, póngase en contacto con Waggener Edstrom en el número 425-637-9097. Indique que está preguntando sobre IPSec y la seguridad de red. Podrán ponerse en contacto con la dirección del producto y los recursos técnicos adecuados para ayudarle.

Para temas relativos a IPSec como tecnología de la plataforma Windows, envíe un mensaje de correo electrónico a ipsecreq@microsoft.com.

Los clientes de Microsoft con contratos de soporte técnico tienen acceso a los profesionales de soporte técnico de Windows 2000 que han estado trabajando con el equipo del producto durante el ciclo beta de Windows 2000. Los clientes que ya implementan o que implementarán IPSec de Windows 2000 o de Windows Server 2003 para los escenarios de extremo a extremo o de extremo a enrutador deben ponerse en contacto directamente con su representante de soporte técnico de Microsoft. Para obtener información acerca de las opciones de soporte técnico de Microsoft, visite el siguiente sitio Web de Microsoft: Microsoft necesita conocer los comentarios de los clientes y de los proveedores para mejorar la funcionalidad de la plataforma. Nos gustaría saber quién la está utilizando y cómo lo está haciendo, y cuál es su experiencia. Para ello, lo mejor es que los clientes escalen los problemas a través del canal de soporte técnico. Si es un proveedor de IPSec y tiene una pregunta concreta sobre implementación o interoperación, consulte nuestros tutoriales y artículos de Microsoft Knowledge Base sobre cómo activar la depuración. Después de la investigación, envíe un mensaje de correo electrónico al alias en el sitio de pruebas de interoperación, explique quién es, qué está pasando, etc.

La Ayuda en pantalla (tanto en Windows 2000 Professional como Server) incluye el mismo contenido para IPSec, pero se representa de manera diferente en la tabla de contenido. La Ayuda en pantalla también está disponible en el sitio Web de Microsoft siguiente: El Kit de recursos de Windows 2000 Server está orientado a los administradores de redes y servidores sin experiencia en IPsec. Para obtener información acerca del Kit de recursos de Windows 2000, visite el siguiente sitio Web de Microsoft: Los procedimientos detallados para utilizar IPSec con el fin de proteger el tráfico de extremo a extremo, así como más información acerca de la implementación, están disponibles en el siguiente sitio Web de Microsoft: El grupo de noticias de redes de Windows 2000 está disponible en microsoft.public.win2000.networking. Para obtener más información al respecto, haga clic en los números de artículo siguientes para verlos en Microsoft Knowledge Base: Para obtener información acerca de la red privada virtual basada en Windows 2000 y la interoperabilidad VPN correspondiente, visite el siguiente sitio Web de Microsoft: