Las exenciones predeterminadas IPsec se pueden usar para omitir protección IPsec en Escenarios Algunos

Seleccione idioma Seleccione idioma
Id. de artículo: 811832 - Ver los productos a los que se aplica este artículo
Expandir todo | Contraer todo

En esta página

Resumen

La característica de Windows 2000 Windows XP y Windows Server 2003 Seguridad de protocolo Internet (IPsec) no estuvo diseñada de una seguridad completa basada en host. Estuvo diseñado para que proporcione permiso y bloque básicos de filtrado utilizando información de dirección, protocolo y puerto en paquetes de red. Estuvo también diseñado para que IPsec mejore la seguridad de comunicaciones de una forma que es transparente a los programas como una herramienta administrativa. A causa de esto, proporciona filtrar tráfico que es necesario negociar seguridad para principalmente entornos de intranet para los que estuvo disponible del servicio Kerberos la confianza de equipo, para modo de transporte IPsec o modo de túnel IPsec o rutas específicas de acceso a través del Internet dónde se pueden utilizar aquéllos certificados digitales de infraestructura de claves públicas (PKI).

Las exenciones predeterminadas a filtros de directivos IPsec se documentan de la ayuda Microsoft Windows 2000 y Microsoft Windows XP en pantalla. Estos filtros hacen posibles ello a función para Intercambio de claves de Internet y Kerberos. También los filtros realizan posibles ello como la red Calidad de servicio (QoS de protegerse) se señaló (a RSVP) por IPsec al proteger el tráfico de datos y para tráfico, aquel IPsec no se podría proteger como tráfico de multidifusión y difusión. Para más información sobre estos filtros, haga clic en el número de artículo siguiente para ver el artículo en el Microsoft Knowledge Base:
253169 El tráfico que puede poder y que no puede poder proteja por IPsec

Más información

A medida que se utiliza IPsec más cada vez para el filtrado de paquetes host-firewall básico si especialmente hay Internet-exposed, el efecto de estas exenciones predeterminadas no se ha entendido totalmente. A causa de esto, algunos administradores de IPsec pueden crear directivos IPsec que piensan que son seguros pero no están realmente seguros contra ataques entrantes que utilizan las exenciones predeterminadas.

Microsoft recomienda encarecidamente que los administradores de red tomen las medidas en este artículo para quitar las exenciones predeterminadas a IPSec. Especialmente se recomienda esto si IPsec se utiliza en casos dónde debe impedir la funcionalidad firewall-like que los atacantes obtengan acceso al equipo a red. Quite las exenciones predeterminadas para que Kerberos impida a atacantes derrotar la protección que está pensado que sea proporcionado por IPsec para configuraciones determinadas de directivos IPsec. Es posible que cuando se desinstala las exenciones, se tengan que cambiar directiva de seguridad existentes para funcionar correctamente.

Los administradores pueden iniciar al diseñar de estos cambios para todas las implementaciones IPsec existentes y nuevas utilizando el <B> <REG PATH> NoDefaultExempt = 1 </REG_PATH> clave de Registro </B> en todos los equipos basados en Windows 2000 y basados en Windows XP. El propósito de esta clave de Registro se describe adelante en este artículo.

Definición de exenciones predeterminadas IPsec

La tabla siguiente resume los filtros equivalentes que se implementan si todas las exenciones predeterminadas al filtrado IPSec están habilitadas como se encuentran de forma predeterminada o describen las exenciones predeterminadas que se aplican en el controlador IPsec para permitir tráfico sin consideración de otros filtros de directivos IPsec si NoDefaultExempt se establece a definiciones de filtro .These 0. Las herramientas que está diseñado para mostrar los detalles de filtro de directivas IPSec no muestran estas exenciones en sus resultados.

Filtros equivalentes: <REG PATH> NoDefaultExempt </B> = </REG_PATH> 0 para <B>:
Contraer esta tablaAmpliar esta tabla
Dirección de origen Destination Address ProtocoloPuerto de origen Puerto de destino Filtre Acción
Mi dirección IP Cualquier dirección IP UDPCualquiera8Permita
Cualquier dirección IP Mi dirección IP UDP8Cualquiera Permita
Cualquier dirección IPMi dirección IPUDP Cualquiera 8Permita
Mi dirección IP Cualquier dirección IP UDP8Cualquiera Permita
Mi dirección IPCualquier dirección IPTCP Cualquiera 8Permita
Cualquier dirección IP Mi dirección IP TCP8Cualquiera Permita
Cualquier dirección IPMi dirección IPTCP Cualquiera 8Permita
Mi dirección IP Cualquier dirección IP TCP8Cualquiera Permita
Mi dirección IP Cualquier dirección IP UDP500500 (1)Permita
Cualquier dirección IP Mi dirección IP UDP500500Permita
Mi dirección IPCualquiera 46 (RSVP) Permita
Cualquier dirección IPMi dirección IP 46 (RSVP) Permita
Cualquier dirección IP &lt;multidifusión (2)&gt; Permita
Mi dirección IP &lt;multidifusión&gt;Permita
Cualquier dirección IP &lt;difusión (3)&gt; Permita
Mi dirección IP &lt;difusión&gt;Permita
&lt; Todos los protocolos IPv6 comercian &gt; ( 5 ) &lt; Todos los protocolos IPv6 comercian &gt; ( 4 ) Permita
Cuando se especifica la dirección IP, la máscara de subred es 255.255.255.255. Cuando la dirección IP es Cualquiera, la máscara de subred es 0.0.0.0.
  1. El tráfico ISAKMP no se excluye para que se negocie el modo de transporte IPSec a través de un modo SA de túnel IPSec si primero se tiene que pasar a través del túnel IPSec.
  2. Se define el tráfico de multidifusión como la clase Range D con un intervalo de 224.0.0.0 de dirección de destino con un 240.0.0.0 máscara de subred. Esto incluye el intervalo de direcciones IP de 224.0.0.0 a 239.255.255.255.
  3. El tráfico de difusión se define como una dirección de destino 255.255.255.255, la dirección limitada de difusión, o ya que tiene la parte de identificación de host de la dirección IP establecida en todos los 1, la subred difundió dirección.
  4. IPSec no admite filtro de paquetes excepto cuándo se encapsulan paquetes IPv6 con un encabezado IPv4 como protocolo IP 41 para IP versión 6 (IPv6). Para más información acerca de compatibilidad en Windows con IPv6, visite el sitio Web de Microsoft siguiente:
    http://technet.microsoft.com/en-us/network/bb530961.aspx

Compatibilidad de sistema operativo para NoDefaultExempt

En la tabla siguiente se describen los comportamientos predeterminados de exención en varias de las versiones de Windows 2000 y Windows XP:
Contraer esta tablaAmpliar esta tabla
Publicó versión que revende SP1SP2SP3SP4
Windows 200Las exenciones predeterminadas tienen. No se admite la clave NoDefaultExempt.Las exenciones predeterminadas tienen se admite la clave NoDefaultExempt 0 de valores o 1.Las exenciones predeterminadas tienen. La clave NoDefaultExempt se admite, valora 0 o 1.Las exenciones predeterminadas tienen. La clave NoDefaultExempt se admite, valora 0 o 1.Cambia el valor predeterminado <B> <REG PATH> NoDefaultExempt = 1 </REG_PATH> </B> que quita exenciones Kerb y RSVP.
Windows XLas exenciones predeterminadas tienen se admite NoDefaultExempt 0 de valores o 1.Las exenciones predeterminadas tienen se admite NoDefaultExempt 0 de valores o 1.Cambia el valor predeterminado <B> <REG PATH> NoDefaultExempt = 1 </REG_PATH> </B> que quita exenciones Kerb y RSVP.


Nota IPSec en Windows 2000 y Windows XP no admite filtro de difusión o tráfico de multidifusión.

Eliminación de exenciones predeterminadas

La clave siguiente de Registro controla el tipo de exenciones predeterminadas para IPsec:
NoDefaultExempt

Tipo de datos: REG_DWORD
Intervalo: Varía:
Windows - 2000 : 0 1 sólo admitido
Windows XP: 0-1 sólo admitido
Windows Server - 2003 : 0 3 sólo admitidos
Predetermina comportamiento (Windows 2000 y Windows XP) : 0
Predetermina comportamiento (Windows Server 2003) : 3
No presente de manera predeterminada ninguno
Descripción de valores posibles:
  • Un valor 0 especifica aquella multidifusión difundido, el tráfico de RSVP, de Kerberos y de IKE (ISAKMP) es exento del filtrado IPSec. Esto es el predeterminado que filtra comportamiento para Windows 2000 y Windows XP. Sólo deba utilizar esta configuración si tiene que utilizar esta configuración para compatibilidad con una directiva existente IPsec o un comportamiento de Windows 2000 y Windows XP.
  • Valor de 1 que especifica que el tráfico de Kerberos y de RSVP no es exento del filtrado IPSec pero que la multidifusión, difusión y tráfico IKE son exentos. Esto es el valor recomendado para Windows 2000 y Windows XP.
  • Valor de 2 que especifica que el tráfico de multidifusión y difusión no es exento del filtrado IPSec pero que el tráfico RSVP, Kerberos y IKE es exento. Fue admitido sólo por Windows Server 2003.
  • Valor de 3 que especifica que sólo tráfico IKE es exento del filtrado IPSec. Fue admitido sólo por Windows Server 2003. Windows Server 2003 contiene este comportamiento predeterminado aunque no existe la clave de Registro de forma predeterminada.
Importante La sección, el método o la tarea contienen pasos que indican cómo modificar el Registro. Sin embargo, los problemas graves se podrían producir si modifica el Registro incorrectamente. Por lo tanto, asegúrese de que sigue estos pasos atentamente. Para protección agregada, realice una copia de seguridad del Registro antes de modificarlo. Puede restaurar el Registro a continuación en caso de que surge un problema. Para más información acerca de cómo realiza y realiza la operación, haga clic en el número de artículo siguiente para ver el artículo en el Microsoft Knowledge Base:
322756 Cómo realizar y restaurar el Registro en Windows


Para configurar esta clave de Registro:
  1. Haga clic en Inicio, haga clic en Ejecutar, escriba regedit y a continuación, haga clic en Aceptar.
  2. Haga clic en la siguiente clave del Registro
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\IPSEC

    Nota En Windows Server 2008 y Windows Vista, la clave de Registro es:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PolicyAgent
  3. Haga clic con el botón secundario en IPSEC, seleccione Nuevo y a continuación, haga clic en Valor DWORD.
  4. Denomine esta entrada nueva NoDefaultExempt.
  5. Cambie el valor de la clave NoDefaultExempt entre 0 en 1. Si desea, puede utilizar un valor a no ser 1 si otro valor es más adecuado a su entorno.
  6. Salga del Editor del Registro.
  7. En Windows XP, haga clic en Inicio, haga clic en Panel de control y a continuación, haga doble clic en Herramientas administrativas. En Windows 2000, haga clic en Inicio, haga clic en Configuración, haga clic en Panel de control y a continuación, haga doble clic en Herramientas administrativas.
  8. Haga doble clic en Servicios.
  9. Detenga y a continuación, reinicie el servicio servicios IPSec. Windows XP requiere que reinicia el equipo después de reiniciarlo.

Efecto de exenciones predeterminadas

En el ejemplo siguiente muestra una directiva IPSec de Windows 2000 o Windows XP configurada como un filtro de bloque unidireccional. Los efectos de la aplicación de un filtro de bloque con estas reglas son que se bloquean todos los tráficos entrantes. Esta regla de filtrado se proporciona para sólo mostrar el efecto de las exenciones IPSec contra esta regla:
Source Address:		Any
Source Mask:		0.0.0.0
Destination Address:	My IP Address (10.10.1.2)
Destination Mask:	(255.255.255.255)
Protocol:		Any
Source Port:		Any
Destination Port:	Any
Mirrored:		No
Bloquear todos los tráficos de unidifusión entrante que van al 10.10.1.2 a dirección IP la intención administratorÆs es en este ejemplo. El efecto de las exenciones predeterminadas en las secciones siguientes se describe tal como se aplican a este filtro.

Efecto de exención IKE

La exención IKE es específica a puerto UDP 500 de origen y destino. IKE siempre recibe este tipo de paquete desde cualquier dirección de origen a causa del predeterminado exención IKE. Puede ser posible que un atacante utilice los puertos IKE para atacar IKE y quizás causar problemas. Sin embargo, los puertos IKE no se pueden utilizar para atacar a otros puertos abiertos UDP o TCP. IKE realizará una búsqueda de directiva IPsec de determinar si debería responder a un paquete entrante. Debido a que IKE se utiliza para negociar configuración de seguridad entre dos hosts IPSec y se utilizan los filtros IPsec sólo para control de tráfico de permiso y bloque, IKE no encontrará una directiva coincidente de seguridad y no responderá a solicitudes entrantes.

IKE utiliza varios métodos de denegación de prevención de servicio (Does). Service Pack 3 (SP3) de Windows 2000 y Windows XP proporcionan prevención mejorada Does a IKE que inunda ataques. No se puede deshabilitar IKE independiente del servicio IPsec y del controlador IPsec. IKE sólo se puede deshabilitar si detiene el servicio IPsec que también deshabilita el filtrado IPsec.

Si el filtrado IPsec es necesario, IKE sufre un ataque del Internet y no es necesario pero, una serie de opciones está disponible:
  • Un filtro de bloqueo para tráfico UDP 500 se puede utilizar en la puerta de enlace predeterminada o en el servidor de seguridad.
  • Configure un filtro Propiedades avanzadas de TCP/IP en el interfaz de Internet. Utilice Permitir sólo y a continuación, agregue que puerto UDP requirieron otro que UDP 500. Para más información acerca del uso de esta opción, haga clic en el número de artículo siguiente para ver el artículo en el Microsoft Knowledge Base:
    309798 Cómo configurar filtrado TCP/IP en Windows 2000
    Utiliza el comando netstat ûa para ver abre puerto UDP.
  • En Windows XP, el Servidor de seguridad de conexión a Internet se puede habilitar en el interfaz de Internet para bloquear todos los tráficos entrantes. Los agujeros específicos se pueden configurar para puerto UDP a no ser UDP 500. Para más información en ICF, haga clic en el número de artículo siguiente para ver el artículo en el Microsoft Knowledge Base:
    283673 Cómo activar o desactivar el servidor de seguridad en Windows XP

Efecto de exención predeterminada Kerberos

Con este ejemplo que bloquea todos los tráficos entrantes unidireccionales, todos los unidifusión entrantes o salientes tráfico de Kerberos se excluirán de coincidir con este filtro. A causa de esto, un atacante puede construir un paquete de unidifusión UDP o TCP que utiliza puerto de origen 88 para tener acceso a cualquier puerto abierto en 10.10.1.2. Esto habilitará una exploración UDP y TCP incluso con el filtro de bloque. El administrador debe establecer la clave de Registro NoDefaultExempt para evitar ataques. Si un enrutador o un servidor de seguridad de filtrado están en uso, puede permitir dicho tráfico de un atacante según cómo controla tráfico que utiliza los puertos Kerberos o es posible no permitirlo.

Nota Muchas herramientas de análisis de puerto no detectan este comportamiento porque estas herramientas no permiten establecer el puerto de origen en 88 cuando se produce la comprobación para puertos abiertos. También tenga en cuenta que muchas herramientas de análisis de puerto esperan un mensaje ICMP en respuesta a una sonda que se envía a un puerto TCP o UDP que no está abierto. Si IPsec bloquea tráfico ICMP, la herramienta de análisis puede informar falsamente de que el puerto está abierto. Utiliza una traza de red con la herramienta de Monitor de red para asegurarse de que es el tráfico se enviar y se recibir en la red.

Cuando la exención Kerberos se quita y si también IPsec se utiliza para proteger tráfico utilizando autenticación Kerberos en IKE, debe ir seguidas las consideraciones siguientes de diseño de directiva IPsec:
  • Un Equipo: <REG PATH> NoDefaultExempt = 1 </REG_PATH> </B> no puede comunicar que también no tiene el mismo valor de clave de Registro con un equipo homólogo que utiliza autenticación Kerberos IKE que utiliza autenticación Kerberos IKE con <B>. Utilice autenticación de certificados para IKE en vez de Kerberos donde se requiere esto.
  • Las exenciones explícitas para tráfico de Kerberos y UDP 389 a y de direcciones relevantes IP de DC se deben especificar en la directiva IPsec. Como desde marzo de 2003, Microsoft no admite IPsec que protege tráfico de un miembro de dominio en su controlador de dominio, agregue filtros a la directiva IPsec para permitir explícitamente todos los tráficos en el controlador de dominio direcciones IP. Esto puede requerir que más permiten filtros si hay más DCs. DC de que los controladores de dominio (direcciones IP estáticas) se deben asignar permanentemente a DCs. DC direcciones IP. La lista actual de direcciones IP debe ser mantenida manualmente la lista de filtros para todos los DC de un dominio tenida por el administrador. Esto puede ser actualizar más fácilmente por el administrador si el filtro especifica el nombre DNS del dominio durante la creación de un filtro nuevo como la dirección de origen o destino. Esto resuelve los nombres de dominio contra DNS a todas las direcciones IP actuales en el dominio y crea filtros para cada IP individual. Compruebe la lista Dirección IP antes de usted que está utilizando la lista de filtros en producción. Agregar un DC nuevo requerirá que agrega un filtro nuevo de esta lista de filtros. Microsoft recomienda utilizar una lista de filtros para todos los DC de un dominio determinado a continuación, compartido a través de reglas de directiva IPsec. Asegúrese de que el nombre de lista de filtro se indica la última vez de actualización de la lista Dirección IP para facilitar consulta.
Para más información acerca de comunicación entre controladores de dominio, haga clic en el número de artículo siguiente para ver el artículo en el Microsoft Knowledge Base:
254949 Compatibilidad para tráfico controlador client-to-domain y tráfico de controlador de dominio controller-to-domain con IPSec

Efecto de exención RSVP

Para un equipo que utiliza RSVP, un atacante puede ser capaz de provocar una denegación de servicio inundando o enviando paquetes RSVP simulados o malintencionados a 10.10.1.2. Esto es la dirección IP que se utiliza en el ejemplo anterior y este ataque omitirá el filtro de bloque entrante unidireccional IPsec en el ejemplo.

RSVP es protocolo 46, IP. Es un protocolo de señalización que utiliza para reservar ancho de banda en enrutadores para tráfico de programa.

RSVP en Windows 2000

Windows 2000 utiliza el protocolo RSVP en las circunstancias siguientes:
  • Se instala el servicio de control de admisión QoS. Esto es un componente de equipos con Windows 2000 Server de red opcional. Si se instala esto, recibe y envía tráfico RSVP.
  • Se ejecuta el servicio RSVP de Calidad de servicio (QoS). Este servicio se instala y de forma predeterminada, está configurado como un servicio autostart. Cuando se inicia, el servicio carga el programa Rsvp.exe que utiliza el protocolo RSVP y que a continuación, lo descarga si no hay ningún tráfico que requiere la señalización RSVP. Carga dinámicamente el programa Rsvp.exe cuando los servicios QoS son necesarios.
  • Un programa abre un socket con una opción GQoS de socket. El programa Rsvp.exe se ejecuta continuamente para administrar la señalización para el tráfico de socket.
  • E pathping ?r El comando utiliza el protocolo RSVP para determinar si hay enrutadores RSVP habilitado.
Para más información acerca de cómo deshabilitar el protocolo de señalización RSVP, haga clic en el número de artículo siguiente para ver el artículo en el Microsoft Knowledge Base:
247103 Cómo deshabilitar la señalización RSVP
Cuando se utiliza, el servicio QoS RSVP no envía la señalización RSVP en el interfaz especificado.

RSVP en Windows XP

El protocolo RSVP se degradó en Windows XP. Aunque el servicio RSVP de Calidad de servicio (QoS) se instala de manera predeterminada, se lo configura en un inicio manual. El servicio no envía o no procesa mensajes recibidos de protocolo RSVP. Aún registra el protocolo RSVP para que la pila TCPIP reciba 46 paquetes de tipo de protocolo IP. Pero se descarta estos paquetes entrantes. Si el servicio QoS RSVP no está iniciado, la pila de protocolos TCP/IP eliminará el paquete entrante RSVP y después, enviará un paquete de "destino inalcanzable" ICMP como respuesta.

Sólo utiliza Windows XP el protocolo RSVP cuando pathping ?r El comando utiliza el protocolo RSVP para determinar si hay enrutadores RSVP habilitado.

Proteger frente a ataques RSVP

Para habilitar a IPsec que se protege frente a ataques potenciales utilizando el protocolo RSVP, el <B> se debe establecer el administrador <REG PATH> NoDefaultExempt = 1 </REG_PATH> clave de Registro </B> para deshabilitar la exención RSVP en IPsec. En su lugar, puede deshabilitar el servicio QoS RSVP o deshabilitar RSVP como un protocolo. Para más información acerca de cómo hacerlo, haga clic en el número de artículo siguiente para ver el artículo en el Microsoft Knowledge Base:
247103 Cómo deshabilitar la señalización RSVP
Si la operación de protocolo RSVP está requerida, los filtros de permiso explícito se pueden definir en la directiva IPsec para permitir protocolo IP 46 a las direcciones adecuadas de origen y destino. A causa de que está pensado que RSVP se comunique con enrutadores, Microsoft no recomienda utilizar IPsec para negociar seguridad para RSVP. Tenga en cuenta que también RSVP puede utilizar una dirección de multidifusión que no puede filtrar por IPSec.

Efecto de difusión y exención de multidifusión

Los paquetes con dirección de destino de multidifusión y difusión no coincidirán con el filtro entrante de ejemplo porque el filtro entrante tiene una dirección de destino de una dirección IP específica (10.10.1.2) de unidifusión. Windows 2000 y filtrar IPsec de Windows XP no hace posible filtrar tráfico de multidifusión o difusión.

Si un atacante construye paquetes de multidifusión o difusión y si la red permite que estos paquetes sean recibidos por el equipo, el atacante puede eludir el filtro IPsec que se utiliza en el ejemplo anterior. El atacante normalmente se tendrá que encontrar en la subred local para realizar un ataque utilizando este tráfico a causa de que la configuración de enrutador de puerta de enlace predeterminada no reenviará tráfico entrante de multidifusión o difusión no solicitado. Un atacante puede ser capaz de utilizar multidifusión o entrante para hacer un equipo de destino que envía una respuesta de unidifusión tráfico de difusión en algunos diseños de directiva IPsec que utilizan la opción de filtro a ôAllow no protegida la comunicación con computerö no protegido por IPsec en cuenta. A continuación, esto desencadenará una negociación IKE saliente de que aquél creará un paquete suave y de que abrirá la ruta para que el atacante conecte la ruta. Un atacante puede construir un paquete no válido TCP utilizando una dirección de destino de multidifusión o difusión para intentar eludir filtros IPsec. Si un programa o un protocolo ejecutan aquél, solicita recibir paquetes de multidifusión o difusión el atacante puede ser capaz de comunicarse con aquel programa si ambos atacante y programa utilizan sólo tráfico de difusión y multidifusión.

Microsoft recomienda que el administrador de IPsec describa el enrutador y la configuración de seguridad con el administrador de red que investiga aún más la viabilidad de tal ataque que se basa en las directivas actuales IPsec.

La comunicación basada en TCP requiere una negociación tridireccional de protocolos que utiliza tráfico IP de unidifusión y que por lo tanto, no puede utilizar tipos de tráfico de multidifusión o difusión. Windows 2000 y Windows XP in programas y servicios que utilizan UDP y socket en DEFAULT reciben tráfico de difusión si se envía a puertos que abren los programas. De forma predeterminada, los estados RFC 2644 que dirigieron tráfico de difusión no deben ser reenviados por enrutadores. Son dos otros tipos de tráfico de difusión que se podría utilizar del vínculo local:
  • U limitada Difusión Dirección, Esto es si la dirección IP de destino es 255.255.255.255.
  • Esto Difusiones de red Prefix Directed es si la dirección IP de destino es x.y.255.255 o x.y.z.255 con máscara de subred adecuadas.
Los programas normalmente definen su propio modelo de comunicación utilizando este tráfico. Normalmente se utiliza tráfico de multidifusión y difusión para anunciar y descubrir un servicio inicialmente. A continuación, los equipos de origen y destino utilizarán tráfico IP de unidifusión entre sus direcciones IP para continuar con la comunicación.

Para ver programas UDP que recibirán tráfico de difusión de manera predeterminada, utiliza netstat comando:
  • Windows 2000 netstat -a -p UDP No hay ningún método para mostrar los programas que abrieron estos puertos.
  • Windows XP netstat ?ao ?p UDP El <B> - ao que conmuta </B> muestra si el identificador de proceso ayuda a identificar los programas que utilizan puertos abiertos.

Qué se programa puede recibir tráfico de multidifusión?


Los programas se deben registrar explícitamente en la pila TCPIP para recibir tráfico entrante de multidifusión. Si el programa no se ha registrado para recibir este tipo de tráfico, se quitan los paquetes entrantes de multidifusión. Sin embargo, los paquetes de multidifusión se pueden quitar en el adaptador de red (más común) en el minipuerto, en la capa IP o en la capa UDP. Los administradores deberían comprobar para determinar qué tipos de tráfico de multidifusión son enrutables a través de la red que la evalúa mejor si se puede utilizar el tráfico de multidifusión para atacar un equipo. Para qué multidifusión determinar, a grupos se ha unido un programa:
  • Windows 2000: Ningún método disponible
  • Windows XP
    1. Hace clic en Inicio hace clic en Ejecutar tipo cmd , y a continuación, hace clic en Aceptar.
    2. Tipo netsh interface ip show joins, y presiona ENTRAR.

Utilizar IPsec con el Servidor de seguridad de conexión a Internet

Para Windows XP, el Servidor de seguridad de conexión a Internet (ICF) puede satisfacer mejor los requisitos de seguridad para filtrar tráfico. ICF filtra y puede bloquear tráfico entrante de multidifusión y difusión en Windows XP SP1. Sin embargo, ICF no conoce tráfico protegido por AH de IPsec o por ESP en modo de transporte o túnel. IPsec se encuentra en la capa de red debajo de ICF. IKE está superpuesto arriba de ICF. A causa de esto, ICF debería permitir IKE estáticamente entrante y (puerto UDP 500) no verá protocolos AH de IPsec o ESP pero el tráfico TCP o UDP cuando IPsec tiene decapsulated ello en procesar recepción. Si IPsec bloquea tráfico, el registro de paquete perdido de ICF no contendrá los paquetes que descartó IPsec.

La funcionalidad IPsec se puede combinar junto con ICF de filtrado para comportamiento avanzado de filtrado. Por ejemplo, sólo se puede configurar ICF a fin de abrir puerto TCP 445 de cualquier dirección IP y un filtro IPsec se podría utilizar para restringir aún más esto sólo a paquetes que contienen una subred interna como la dirección de origen. Podría haber otro ejemplo que IPsec se configura para negociar seguridad para todos los tráficos pero que la configuración de ICF restringe qué conexiones de entrada se permiten para que se acepte para permitir sólo IKE entrante (puerto UDP 500) y archivo SMB que comparte (puerto TCP 445).

Referencias

Para más información acerca de implementación TCP/IP, vea el documento Windows 2000 TCP/IP Detailed Implementation. Para hacerlo, visite el sitio Web de Microsoft siguiente:
http://technet.microsoft.com/en-us/library/bb726981.aspx
Para más información acerca de Seguridad IP, haga clic en los números siguientes de artículo para ver los artículos en el Microsoft Knowledge Base:
253169 El tráfico que puede poder y que no puede poder proteja por IPSec
254728 IPSec no protege tráfico de Kerberos entre controladores de dominio
308127 Cómo abrir puertos manualmente en el Servidor de seguridad de conexión a Internet de Windows X
810207 Las exenciones predeterminadas IPSec se quitan de Windows Server 2003

Propiedades

Id. de artículo: 811832 - Última revisión: viernes, 08 de febrero de 2008 - Versión: 7.1
La información de este artículo se refiere a:
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Datacenter Server
  • Microsoft Windows 2000 Professional Edition
  • Microsoft Windows XP Professional
Palabras clave: 
kbfirewall kbprb kbinfo KB811832 KbMtes kbmt
Traducción automática
IMPORTANTE: Este artículo ha sido traducido por un software de traducción automática de Microsoft (http://support.microsoft.com/gp/mtdetails) en lugar de un traductor humano. Microsoft le ofrece artículos traducidos por un traductor humano y artículos traducidos automáticamente para que tenga acceso en su propio idioma a todos los artículos de nuestra base de conocimientos (Knowledge Base). Sin embargo, los artículos traducidos automáticamente pueden contener errores en el vocabulario, la sintaxis o la gramática, como los que un extranjero podría cometer al hablar el idioma. Microsoft no se hace responsable de cualquier imprecisión, error o daño ocasionado por una mala traducción del contenido o como consecuencia de su utilización por nuestros clientes. Microsoft suele actualizar el software de traducción frecuentemente. Si ve errores y desea ayudar con este esfuerzo, rellene la encuesta en la parte inferior de este artículo.
Haga clic aquí para ver el artículo original (en inglés): 811832

Enviar comentarios

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com