Actualización de NAT-T de L2TP/IPsec para Windows XP y Windows 2000

Microsoft ha publicado un paquete de actualización para mejorar la funcionalidad actual del Protocolo de túnel de capa 2 (L2TP) y la Seguridad de protocolo de Internet (IPSec) en equipos que ejecutan Microsoft Windows 2000 y Microsoft Windows XP sin Service Pack instalados, y Windows XP con Service Pack 1 (SP1). Esta funcionalidad se incluye en el (SP2) Service Pack 2 de Windows XP. Los equipos que ejecutan Windows XP con un Service Pack no tienen que instalar este paquete de actualización.

Esta actualización incluye mejoras de IPsec destinadas a aumentar la compatibilidad con clientes de redes privadas virtuales (VPN, Virtual Private Network) que se encuentran detrás de dispositivos de traducción de direcciones de red (NAT, Network Address Translation). Si aplica esta actualización en un equipo donde se ejecute Windows XP y el servicio IPsec encuentra un error de tiempo de ejecución y no puede iniciarse por algún motivo, el controlador IPsec opera en modo de bloques porque no puede proteger el tráfico de red.

Nota
El servicio IPSec aparece como "Servicios IPSEC" en la lista de servicios de sistema.

Para obtener más información acerca del Service Pack más reciente de Windows XP, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:

Contenido del artículo

• Nuevas características de IPsec y complementos de administración y supervisión
• Interoperabilidad y problemas conocidos
• Información del Service Pack de Windows XP
• Actualización para Windows 2000
• References

Nuevas características de IPsec y complementos de administración y supervisión

• Después de instalar que esta actualización, los clientes L2TP/IPsec basados en Windows 2000 y Windows XP pueden crear las conexiones IPsec desde detrás de un dispositivo NAT. La nueva funcionalidad IPSec NAT-T se basa en la Solicitud de comentarios (RFC, Requests for Comments) de IETF 3193 y la versión 2 de los esbozos de NAT-T IPSec IETF de Internet. Los clientes de Windows XP que tienen el SP2 también tienen esta opción de conectividad mejorada. NAT-T IPSec se especifica actualmente en los RFC 3947 y 3948.
• El complemento Monitor de IPSec actualizado puede ver los equipos donde se ejecuta Windows XP pero sólo si el equipo basado en este sistema tiene instalada la actualización.
• El complemento Monitor de IPSec actualizado puede ver los equipos donde se ejecuta Microsoft Windows Server 2003. De igual modo, Windows Server 2003 puede supervisar equipos basados en Windows XP que tengan instalado el SP2.
• Los equipos donde se ejecute Windows 2000 no se pueden supervisar con este complemento.
• El nuevo complemento de administración de IPSec pasa al modo de sólo lectura cuando encuentra objetos de directiva que contienen características avanzadas creadas en Windows Server 2003 (por ejemplo, DH2048, asignación de certificados o filtros dinámicos). Este comportamiento hace que objetos de complemento, como son las reglas, las listas de filtros o las ofertas del modo principal, no puedan modificarse si contienen referencias a estas nuevas opciones. El complemento de administración de IPSec pasa al modo de sólo lectura para que no pueda quitar accidentalmente las características avanzadas más importantes.
• Los servicios IPsec actualizados en los equipos basados en Windows XP pueden exponer la mayor parte de las nuevas características que se proporcionan en una directiva de Windows Server 2003.
  
  Nota
  La asignación de certificados no está disponible.
• Si en un equipo basado en Windows XP se instala una versión anterior de la herramienta IPseccmd (que no está disponible en Windows 2000), se instala una versión de IPseccmd actualizada en la carpetaunidad:\Archivos de programa\Support Tools.
  
  La versión de IPseccmd actualizada tiene las características siguientes:
  • Activa y desactiva dinámicamente el registro de Intercambio de claves de Internet (IKE, Internet Key Exchange).
  • Muestra información acerca de una directiva asignada actualmente.
  • Le permite crear una directiva de IPsec persistente.
  Nota
  La versión anterior de IPseccmd no funciona en equipos actualizados y la versión de IPseccmd actualizada no funciona en los equipos que no lo estén.

Interoperabilidad y problemas conocidos

NAT-T IPsec y las reglas del servidor de seguridad

Como la compatibilidad con la funcionalidad NAT-T de IPsec se basa en el RFC 3193 de IETF y la versión 2 de los esbozos de Internet originales NAT-T de IETF, pues estos servicios se ejecutan a través de un servidor de seguridad, quizá tenga que abrir los siguientes puertos y protocolos de las reglas del servidor de seguridad:

• Intercambio de claves de Internet (IKE) - Protocolo de datagramas de usuarios (UDP) 500
• NAT-T de IPsec - UDP 4500
• Carga de seguridad de encapsulación (ESP) - Protocolo de Internet (IP) protocolo 50

Escenarios admitidos con NAT-T de IPsec

En los escenarios siguientes se permitirá el establecimiento de conexiones NAT-T de IPsec con L2TP/IPsec. En estos escenarios, Cliente es un cliente que está ejecutando Windows 2000 y que tiene instalada la actualización 818043 o es un equipo basado en Windows XP que tiene SP2 instalado el SP2. Servidor es un servidor L2TP/IPsec que ejecuta Windows Server 2003 y utiliza Enrutamiento y acceso remoto.
El único escenario compatible y recomendado es cuando elServidor no está ubicado detrás de un dispositivo NAT.
El servidor L2TP/IPsec también puede ser un producto de puerta de enlace de terceros que admita conexiones NAT-T.

Nota
Si aplica la actualización 818043 a un servidor basado en Windows 2000 que usa Enrutamiento y acceso remoto, el servidor no puede funcionar como servidor L2TP/IPsec en este escenario. No puede permitir las conexiones desde clientes de L2TP/IPsec que están detrás de uno o más dispositivos NAT. Esta actualización sólo es para clientes. La funcionalidad NAT-T de IPsec en servidores es una característica nueva de Enrutamiento y acceso remoto, que sólo está en Windows Server 2003. NAT-T de IPsec se podrá usar en los servidores a partir de Enrutamiento y acceso remoto de Windows 2000.

Actualización Diffie-Hellman Group 2048

Para los clientes de L2TP/IPsec negocien y usen la actualización Diffie-Hellman Group 2048, el servidor de acceso remoto contactado también debe admitir este grupo.

Nota
Para utilizar Diffie-Hellman 2048, si su equipo está ejecutando Windows Server 2003, debe crear una subclave del Registro. Para ello, siga estos pasos:

1. Haga clic en Inicio, en Ejecutar, escriba regedit y, a continuación, haga clic en Aceptar.
2. Busque la siguiente subclave del Registro y haga clic en ella:
   HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\Parameters
3. En el menú Edición, seleccione Nuevo y haga clic en Valor DWORD.
4. Escriba NegotiateDH2048 y presione ENTRAR.
5. Haga clic con el botón secundario del mouse (ratón) en NegotiateDH2048 y, después, haga clic en Modificar.
6. En el cuadro Información del valor, escriba 1 y, después, haga clic en Aceptar.
7. En el menú Archivo, haga clic en Salir.

Otros

• Hardware de descarga de IPsec
  Los adaptadores de red de descarga de IPsec no descargan asociaciones de seguridad que se hayan creado mediante NAT.
• Las nuevas características no se muestran correctamente
  Las nuevas características que se pueden usar con una directiva IPsec de Windows Server 2003 pueden no mostrarse correctamente en el monitor de IPsec. Lo más importante, el grupo DH2048 se muestra como 268435457 y los nombres de filtros dinámicos, como WINS o DHCP, no se muestran (la columna está vacía).
• El componente IKE de la implementación de IPsec de Windows usa una función de la API extendida Winsock cuyo puntero se determina llamando a WSAIoctl(). Si la llamada a esta función no puede pasar a través de algún Proveedor de servicios en capas (LSP, Layered Service Provider) instalado, IPsec no puede escuchar en el puerto IKE. IPsec interpreta esto como un error del componente y reacciona en consecuencia, es decir, devuelve un mensaje "Fail to a Secure Mode". La incapacidad del componente IKE de pasar a través de un LSP puede estar ocasionada por un programa de terceros instalado.

Advertencia
Pueden producirse graves problemas si modifica incorrectamente el Registro mediante el Editor del Registro o con cualquier otro método. Estos problemas pueden requerir que reinstale el sistema operativo. Microsoft no puede garantizar la solución de esos problemas. Modifique el Registro bajo su responsabilidad. Para cambiar el comportamiento de NAT-T de IPSec en un equipo que está ejecutando el SP2 de Windows XP, debe crear el valor del Registro AssumeUDPEncapsulationContextOnSendRule.

De manera predeterminada, el SP2 de Windows XP ya no admite asociaciones de seguridad de NAT-T de IPSec con servidores ubicados detrás de un traductor de direcciones de red. Por consiguiente, si su servidor de la red privada virtual (VPN) está detrás de un traductor de direcciones de red, de manera predeterminada, un cliente VPN basado en el SP2 de Windows XP no puede realizar una conexión L2TP/IPsec con el servidor VPN. Este escenario incluye un servidor VPN que está ejecutando Microsoft Windows Server 2003.

Este comportamiento predeterminado también puede evitar que los equipos que están ejecutando el SP2 de Windows XP hagan conexiones de escritorio remoto con L2TP/IPsec cuando el equipo de destino se encuentra detrás de un traductor de direcciones de red.

Por la manera en que los traductores de direcciones de red traducen el tráfico de la red, puede experimentar resultados inesperados cuando coloca un servidor detrás de un traductor de la dirección de red y, a continuación, utiliza NAT-T de IPSec. Por consiguiente, si requiere IPSec para la comunicación, le recomendamos que utilice direcciones IP públicas para todos los servidores que puedan conectar directamente a Internet.

Para crear y configurar el valor de AssumeUDPEncapsulationContextOnSendRule del Registro, siga estos pasos:

1. Haga clic en Inicio, en Ejecutar, escriba regedit y, a continuación, haga clic en Aceptar.
2. Busque la siguiente subclave del Registro y haga clic en ella:
   HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\IPsec
3. En el menú Edición, seleccione Nuevo y haga clic en Valor DWORD.
4. En el cuadro Nuevo valor nº 1, escriba AssumeUDPEncapsulationContextOnSendRule y presione Entrar.
5. Haga clic con el botón secundario del mouse en AssumeUDPEncapsulationContextOnSendRule y, a continuación, haga clic en Modificar.
6. En el cuadro Información del valor, escriba uno de los valores siguientes:
   • 0 (predeterminado)
     Un valor de 0 (cero) configura Windows para que no pueda establecer las asociaciones de seguridad con servidores ubicados detrás de los traductores de direcciones de red.
   • 1
     Un valor de 1 configura Windows para que pueda establecer las asociaciones de seguridad con servidores ubicados detrás de los traductores de direcciones de red.
   • 2
     Un valor de 2 configura Windows para que pueda establecer las asociaciones de seguridad cuando el servidor y el equipo cliente basado en el SP2 de Windows XP están detrás de los traductores de direcciones de red.
7. Haga clic en Aceptar y, a continuación, cierre el Editor del Registro.
8. Reinicie el equipo.

Información acerca del Service Pack de Windows XP

Esta función está disponible en el Service Pack (SP2) más reciente para Windows XP. Para obtener más información, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:

Actualización para Windows 2000

Si desea descargar esta actualización para Windows 2000, visite el siguiente sitio Web de Microsoft para usar el Catálogo de Microsoft Windows Update: Busque el número de identificador de este artículo mediante la característica de opciones de búsqueda avanzada en el Catálogo de Windows Update. Para ello, siga estos pasos:

1. En el sitio Web de Microsoft Windows Update, haga clic en Find updates for Microsoft Windows operating systems.
2. Haga clic para seleccionar su sistema operativo y lenguaje y, a continuación, haga clic en Advanced Search.
   
   Nota
   Debe seleccionar el Service Pack 3 o el Service Pack 4 de Windows 2000 Professional. Si selecciona un sistema operativo diferente, la búsqueda no devuelve la actualización.
3. En el cuadro Contains these words, escriba Msiexec.exe y haga clic en Search.

Para obtener información adicional sobre cómo descargar actualizaciones desde el Catálogo de Windows Update, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:

Requisitos previos

Este paquete de actualización está diseñado para instalarse en equipos donde se ejecute Windows 2000 con el Service Pack 3 (SP3) o posterior.

Requisito de reinicio

Este paquete de actualización requiere que reinicie el equipo para habilitar las nuevas características de IPsec.

Información de sustitución de actualizaciones

Esta actualización no sustituye a ninguna otra.

Información de archivos

La versión en inglés de este hotfix tiene los atributos de archivo (o atributos de último archivo) mostrados en la siguiente tabla. Las fechas y las horas de estos archivos se muestran según el horario universal coordinado (UTC). La información de los archivos se convertirá a la hora local cuando la vea. Para ver la diferencia entre la hora UTC y la hora local, utilice la ficha Zona horaria de la herramienta Fecha y hora del Panel de control.

Para obtener más información, haga clic en los números de artículo siguientes para verlos en Microsoft Knowledge Base: