Cómo utilizar la seguridad de Protocolo de Internet para proteger el tráfico de red entre dos hosts en Windows 2000

Seleccione idioma Seleccione idioma
Id. de artículo: 301284 - Ver los productos a los que se aplica este artículo
Este artículo se publicó anteriormente con el número E301284
Expandir todo | Contraer todo

En esta página

Resumen

Este artículo es una guía de instrucciones paso a paso para permitir que los usuarios avanzados configuren la seguridad del Protocolo de Internet (IPSec) de forma que puedan proteger las comunicaciones entre dos equipos host.

Terminología de IPSec

Asegúrese de que conoce el significado de los siguientes términos antes de realizar las instrucciones siguientes:
  • Autenticación: proceso para determinar si la identidad de un equipo es legítima. IPSec de Windows 2000 admite tres tipos de autenticación: Kerberos, certificados y claves previamente compartidas. La autenticación Kerberos sólo puede funcionar si ambos extremos (equipos) están en el mismo dominio de Windows 2000. Este tipo de autenticación es el método preferido. Si los equipos están en dominios diferentes, o al menos uno de ellos no está en un dominio, debe utilizar certificados o claves previamente compartidas. Los certificados sólo pueden funcionar si cada extremo contiene un certificado firmado por una autoridad en la que el otro extremo confía. Las claves previamente compartidas tienen los mismos problemas que las contraseñas: no son secretas por mucho tiempo. Si los extremos no están en el mismo dominio y no puede obtener certificados, las claves previamente compartidas serán la única opción de autenticación.
  • Cifrado: proceso de hacer indistintos los datos como preparación para su transmisión entre dos extremos. Mediante el uso de algoritmos ampliamente probados, cada extremo crea e intercambia claves criptográficas. El proceso garantiza que sólo los extremos conocen las claves; y, si se intercepta cualquier secuencia de intercambio de claves, la persona que la intercepte no obtendrá nada útil.
  • Filtro: descripción de los protocolos y las direcciones del Protocolo de Internet (IP) que puede desencadenar el establecimiento de una asociación de seguridad de IPSec.
  • Acción de filtrado: requisitos de seguridad que se pueden permitir cuando el tráfico cumple los filtros de una lista de filtros.
  • Lista de filtros: Conjunto de filtros.
  • Directiva de seguridad del Protocolo de Internet: conjunto de reglas que describen cómo se protegen las comunicaciones entre los equipos.
  • Regla: vínculo entre una lista de filtros y una acción de filtrado. Cuando el tráfico coincide con una lista de filtros se puede desencadenar la acción de filtrado correspondiente. Una directiva de IPSec puede contener varias reglas.
  • Asociación de seguridad: conjunto de métodos de autenticación y de cifrado que los extremos negocian para establecer una sesión segura.

Buscar IPSec en Microsoft Management Console

Para configurar IPSec se utiliza Microsoft Management Console (MMC). Windows 2000 crea una MMC con el complemento IPSec durante el proceso de instalación. Para buscar IPSec, haga clic en Inicio, seleccione Programas, haga clic en Herramientas administrativas y, a continuación, haga clic en Directiva de seguridad local. En la MMC que se abre, haga clic en Directivas de seguridad IP en la máquina local en el panel izquierdo. Después, MMC muestra las directivas predeterminadas existentes en el panel derecho.

Cambiar la dirección IP, los nombres de equipo y los nombres de usuario

A efectos de este ejemplo, el equipo de Alicia se llama "PCAlicia" y tiene la dirección IP 172.16.98.231, y el equipo de Benito se llama "PortatilBenito" y tiene la dirección IP 172.31.67.244. Conectan sus equipos mediante el programa Abczz.

Alicia y Benito deben asegurarse de que el tráfico está cifrado cuando se conectan directamente entre sí mediante el programa Abczz. Cuando Abczz establece su conexión, el iniciador utiliza un puerto alto aleatorio suyo y se conecta (en este ejemplo) en el destino al puerto 6667/TCP o 6668/TCP (donde TCP es la abreviatura del Protocolo de control de transporte). Normalmente, estos puertos se utilizan para Internet Relay Chat (IRC). Como Alicia o Benito pueden iniciar conexiones, la directiva debe existir en ambos extremos.

Crear la lista de filtros

Puede tener acceso a los menús para crear directivas de IPSec si hace clic con el botón secundario del mouse (ratón) en Directivas de seguridad IP en la consola MMC. El primer elemento de menú es Crear directiva de seguridad IP. Aunque parezca que éste es el mejor sitio para empezar, no lo es. Antes de crear una directiva y sus reglas asociadas debe definir listas de filtros y acciones de filtrado, que son componentes necesarios de cualquier directiva de IPSec. Comience haciendo clic en Administrar listas de filtros IP y acciones de filtrado.

El cuadro de diálogo que aparecerá tiene dos fichas: una para las listas de filtros y otra para las acciones de filtrado. En primer lugar, se abre la ficha Administrar listas de filtros IP. Ya hay dos listas de filtros predefinidas que no se utilizan. En su lugar, puede crear una lista de filtros específica correspondiente al otro equipo con el que desea conectar.

Suponga que crea la directiva en el equipo perteneciente a Alicia:
  1. Haga clic en Agregar para crear una nueva lista de filtros. Asigne a la lista el nombre "Abczz para PC de Benito".
  2. Haga clic en Agregar para agregar un nuevo filtro. Se iniciará un asistente.
  3. Haga clic en Mi dirección IP como el origen.
  4. Haga clic en una determinada dirección IP como el destino y escriba la dirección IP (172.31.67.244) del equipo perteneciente a Benito. Como alternativa, si el equipo que pertenece a Benito está registrado en el Sistema de nombres de dominio (DNS) o en el Servicio de nombres Internet de Windows (WINS), puede seleccionar un nombre DNS específico y escribir después el nombre del equipo de Benito, que es "PortatilBenito".
  5. Abczz utiliza TCP para la comunicación, por lo que debe hacer clic en TCP para el tipo de protocolo.
  6. Para los puertos del protocolo IP, haga clic en Desde cualquier puerto. Haga clic en A este puerto, escriba: 6667 y haga clic en Finalizar para completar el asistente.
  7. Repita los pasos anteriores, pero esta vez escriba 6668 como el número de puerto y, a continuación, haga clic en Cerrar.
La lista de filtros contiene dos filtros: uno para las comunicaciones desde Alicia a Benito en el puerto 6667 (que pertenece a Benito) y otro en el puerto 6668 (que pertenece a Benito). (Benito tiene configurados los puertos 6667 y 6668 en su equipo: un puerto es para la comunicación saliente y el otro para la comunicación entrante.) Estos filtros están reflejados, lo que suele ser necesario siempre que crea un filtro de IPSec. Para cada filtro reflejado, la lista puede contener (pero no mostrar) un filtro opuesto exacto donde las direcciones de origen y de destino están invertidas. Sin filtros reflejados, las comunicaciones IPSec no suelen realizarse correctamente.

Crear la acción de filtrado

Ha definido el tipo de tráfico que se debe proteger. Ahora debe especificar el mecanismo de seguridad. Haga clic en la ficha Administrar acciones de filtrado. Se muestran tres valores predeterminados. En lugar de utilizar la acción Requiere seguridad, debe crear una nueva acción más estricta.

Para crear la nueva acción:
  1. Haga clic en Agregar para crear una nueva acción de filtrado. Se iniciará un asistente. Asigne a la acción el nombre "Cifrar Abczz".
  2. En la opción General, haga clic en Negociar la seguridad y, a continuación, en No comunicar con equipos que no son compatibles con IPSec.
  3. Haga clic en la opción Alta para Seguridad del tráfico IP y, a continuación, haga clic en Finalizar para cerrar el asistente.
  4. Haga doble clic en la nueva acción de filtrado (a la que antes asignó el nombre "Cifrar Abczz").
  5. Desactive la casilla de verificación Aceptar comunicación no segura, pero responder siempre usando IPSec. Este paso garantiza que los equipos deben negociar IPSec antes de enviar un paquete Abczz.
  6. Haga clic en Confidencialidad directa perfecta de clave de sesión para asegurarse de que el material de clave no se reutiliza, haga clic en Aceptar y, después, haga clic en Cerrar.

Crear la directiva IPSec

Ha obtenido los elementos de la directiva. Ahora puede crear la directiva propiamente dicha. Haga clic con el botón secundario del mouse (ratón) en el panel derecho de MMC y, a continuación, haga clic en Crear directiva de seguridad IP. Cuando se inicie el asistente:
  1. Asigne a la directiva el nombre "IPSec de Alicia".
  2. Desactive la casilla de verificación Activar la regla de respuesta predeterminada.
  3. Haga clic en Modificar propiedades si no está activada y finalice el asistente. Se abrirá el cuadro de diálogo Propiedades de la directiva.
Para que la directiva IPSec funcione, debe contener al menos una regla que vincule una lista de filtros a una acción de filtrado.

Para especificar reglas en el cuadro de diálogo Propiedades:
  1. Haga clic en Agregar para crear una nueva regla. Cuando se inicie el asistente, haga clic en Esta regla no especifica un túnel.
  2. Haga clic en Red de área local (LAN) para el tipo de red.
  3. Haga clic en Valor predeterminado de Windows 2000 (protocolo Kerberos V5) para el método de autenticación si los equipos de Alicia y Benito están en el mismo dominio de Windows 2000. Si no, haga clic en Usar esta cadena para proteger el intercambio de claves (clave compartida) y escriba una cadena (utilice una cadena larga que pueda recordar y escriba sin errores ortográficos).
  4. Seleccione la lista de filtros que creó anteriormente. En este ejemplo, la lista de filtros es "Abczz para PC de Benito". Después, seleccione la acción de filtrado que creó anteriormente. En este ejemplo, la acción de filtrado es "Cifrar Abczz".
  5. Finalice el asistente y, a continuación, haga clic en Cerrar.

Configurar los otros extremos

Repita en el equipo de Benito todos los procedimientos aplicados al equipo de Alicia. Los cambios necesarios son obvios; por ejemplo, "Abczz para PC de Benito" debe cambiarse a "Abczz para PC de Alicia".

Asignar las directivas

Ha definido las directivas en ambos extremos. Ahora debe asignarlas:
  1. En Configuración de seguridad local de MMC, haga clic con el botón secundario del mouse (ratón) en la directiva (Abczz en este ejemplo).
  2. Haga clic en Asignar.
Sólo se puede asignar una directiva IPSec cada vez, pero una única directiva puede tener tantas reglas como necesite. Por ejemplo, si Alicia necesita también comunicaciones seguras con Eva utilizando un protocolo diferente, tiene que crear las listas de filtros y acciones de filtrado apropiadas y, después, agregar una regla a IPSec (que pertenece a Alicia) que vincule esa lista de filtros y la acción de filtrado. Haga clic en Usar una clave compartida diferente para esta regla. La directiva de Alicia tiene ahora dos reglas: Una para las comunicaciones Abczz con Benito y otra para las comunicaciones con Eva. Como Benito y Eva no necesitan comunicarse de manera segura entre sí, no se ha agregado nada a la directiva de Benito y la directiva de Eva contiene una única regla para las comunicaciones con Alicia.

Solución de problemas

Utilizar IPSecMon para probar la directiva

Windows 2000 incluye una utilidad (IPSecMon.exe) que puede utilizarse para probar si una asociación de seguridad IPSec se estableció correctamente. Para iniciar IPSecMon:
  1. Haga clic en Inicio y, a continuación, en Ejecutar.
  2. Escriba: ipsecmon y presione ENTRAR.
  3. Haga clic en Opciones.
  4. Cambie el intervalo de actualización a 1.
Debe establecer comunicaciones de un extremo a otro. Puede haber un retardo porque los extremos tardan unos segundos en intercambiar información criptográfica y completar la asociación de seguridad. Puede observar este comportamiento en IPSecMon. Cuando cada extremo crea sus asociaciones de seguridad, puede observar una entrada en IPSecMon que muestra este comportamiento.

Si espera que se cree una asociación de seguridad pero no ocurre nada, vuelva y examine las listas de filtros en cada extremo. Asegúrese de que ha recibido las definiciones correctas de los protocolos que utiliza, ya que puede invertir fácilmente las direcciones de origen y de destino o los puertos. Quizás desee considerar la posibilidad de crear una nueva lista de filtros que especifique todo el tráfico. También puede agregar una nueva regla a la directiva que utilice esta lista de filtros y, después, deshabilitar la regla existente. Realice estos pasos en ambos extremos. Después, puede utilizar el comando ping para probar la conectividad: El comando ping puede mostrar "Negociar seguridad de IP" durante la fase de asociación de seguridad y, después, puede mostrar sus resultados normales cuando se establezca la asociación de seguridad.

NAT e IPSec son incompatibles

Si hay Traducción de direcciones de red (NAT) entre los dos extremos, IPSec no funcionará. IPSec incrusta las direcciones de los extremos como parte de la carga. IPSec también utiliza las direcciones de origen cuando calcula sumas de comprobación de los paquetes antes de depositar los paquetes en el cable. NAT puede cambiar la dirección de origen de los paquetes de salida y el destino utiliza la dirección del encabezado cuando calcula sus propias sumas de comprobación. Las sumas de comprobación originales calculadas en el origen, que se transportan en los paquetes, no coinciden con las sumas calculadas en el destino, y el destino puede descartar los paquetes. No puede utilizar IPSec con ningún tipo de dispositivo NAT.

Referencias

Para obtener más información al respecto, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
313390 Cómo utilizar listas de filtros IP de IPSec en Windows 2000

Propiedades

Id. de artículo: 301284 - Última revisión: miércoles, 24 de enero de 2007 - Versión: 4.1
La información de este artículo se refiere a:
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Professional Edition
Palabras clave: 
kbhowtomaster KB301284

Enviar comentarios

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com