Cómo bloquear determinados protocolos de red y puertos mediante IPSec

Resumen

Las reglas de filtrado de Seguridad de protocolo Internet (IPSec) pueden utilizarse para ayudar a proteger los equipos Windows 2000, Windows XP y Windows Server 2003 de a ataques basados en red frente amenazas como virus y gusanos. Este artículo describe cómo filtrar un protocolo determinado y combinación de puerto para el tráfico de red entrante y saliente. Incluye los pasos para si hay ninguna directiva IPSec asignada actualmente a un equipo Windows 2000, Windows XP o Windows Server 2003, los pasos para crear y asignar una nueva directiva IPSec y los pasos para desasignar y eliminar una directiva IPSec.

Más información

Las directivas IPSec se pueden aplicar localmente o se aplica a un miembro de un dominio como parte de las directivas de grupo del dominio. Las directivas IPSec locales pueden ser estáticas (persistente tras reiniciar) o dinámicas (volátil). Las directivas de IPSec estáticas se escriben en el registro local y persisten después de que se reinicie el sistema operativo. Directivas IPSec dinámicas no se guardan permanentemente en el registro y se quitan si se reinicia el sistema operativo o el servicio Agente de directivas IPSec.

Importante: Este artículo contiene información acerca de cómo modificar el registro utilizando Ipsecpol.exe. Antes de modificar el registro, asegúrese de que sabe cómo restaurarlo si ocurre algún problema. Para obtener información acerca de cómo hacer copia de seguridad, restaurar y modificar el registro, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
Nota: Las reglas de filtrado de IPSec pueden causar pérdida de datos y detener las solicitudes de red, incluyendo errores de autenticación de usuarios. Utilice reglas de filtrado de IPSec como medida defensiva de último recurso y sólo después de tener una comprensión clara del impacto que tendrá el bloqueo de puertos específicos en su entorno. Si una directiva IPSec que se crea mediante los pasos que se enumeran en este artículo tiene efectos no deseados en los programas de red, consulte la sección "Desasignar y eliminar una directiva de IPSec" más adelante en este artículo para obtener instrucciones acerca de cómo deshabilitar y eliminar la directiva de inmediato.

Determinar si se ha asignado una directiva IPSec

Windows Server 2003-based equipos

Antes de crear o asignar cualquier nuevas directivas IPSec a un equipo basado en Windows Server 2003, determine si se aplican las directivas IPSec desde el registro local o a través de un objeto de directiva de grupo (GPO). Para ello, siga estos pasos:
  1. Instalar Netdiag.exe desde el CD de Windows Server 2003, ejecute Suptools.msi desde la carpeta Support\Tools.
  2. Abra un símbolo del sistema y, a continuación, establezca la carpeta de trabajo en C:\Program archivos de programa\Support Tools.
  3. Ejecute el siguiente comando para comprobar que no hay una directiva IPSec existente ya asignada al equipo:
    netdiag/test: IPSec
    Si no se ha asignado ninguna directiva, recibirá el siguiente mensaje:
    Prueba de seguridad IP........ . : Servicio pasado de directiva IPSec está activa, pero no se ha asignado ninguna directiva.

Equipos basados en XP de Windows

Antes de crear o asignar cualquier nuevas directivas IPSec a un equipo basado en Windows XP, determine si se aplican las directivas IPSec desde el registro local o a través de un GPO. Para ello, siga estos pasos:
  1. Instalar Netdiag.exe desde el CD de Windows XP ejecutando Setup.exe desde la carpeta Support\Tools.
  2. Abra un símbolo del sistema y, a continuación, establezca la carpeta de trabajo en C:\Program archivos de programa\Support Tools.
  3. Ejecute el siguiente comando para comprobar que no hay una directiva IPSec existente ya asignada al equipo:
    netdiag/test: IPSec
    Si no se ha asignado ninguna directiva, recibirá el siguiente mensaje:
    Prueba de seguridad IP........ . : Servicio pasado de directiva IPSec está activa, pero no se ha asignado ninguna directiva.

Equipos basados en Windows 2000

Antes de crear o asignar cualquier nuevas directivas IPSec a un equipo basado en Windows 2000, determine si se aplican las directivas IPSec desde el registro local o a través de un GPO. Para ello, siga estos pasos:
  1. Instalar Netdiag.exe desde el CD de Windows 2000 ejecutando Setup.exe desde la carpeta Support\Tools.
  2. Abra un símbolo del sistema y, a continuación, establezca la carpeta de trabajo en C:\Program archivos de programa\Support Tools.
  3. Ejecute el siguiente comando para comprobar que no hay una directiva IPSec existente ya asignada al equipo:
    netdiag/test: IPSec
    Si no se ha asignado ninguna directiva, recibirá el siguiente mensaje:
    Prueba de seguridad IP........ . : Servicio pasado de directiva IPSec está activa, pero no se ha asignado ninguna directiva.

Crear una directiva estática para bloquear el tráfico

Los equipos basados en Windows XP y Server 2003-based Windows

Para los sistemas que no tienen una directiva IPSec definida localmente habilitada, cree una nueva directiva estática local para bloquear el tráfico que se dirige a un protocolo específico y un puerto específico en basado en Windows Server 2003 y equipos basados de Windows XP. Para ello, siga estos pasos:
  1. Compruebe que el servicio Agente de directivas IPSec está activado e iniciado en el complemento Servicios de MMC.
  2. Instalar IPSeccmd.exe. IPSeccmd.exe forma parte de las herramientas de soporte de Windows XP Service Pack 2 (SP2).

    Nota: IPSeccmd.exe se ejecutará en Windows XP y sistemas operativos Windows Server 2003, pero la herramienta sólo está disponible en el paquete de herramientas de soporte técnico del SP2 de Windows XP.

    Para obtener más información acerca de cómo descargar e instalar las herramientas de soporte técnico de Windows XP Service Pack 2, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:

    838079 Windows XP Service Pack 2 Support Tools

  3. Abra un símbolo del sistema y, a continuación, establezca la carpeta de trabajo a la carpeta donde instaló las herramientas de soporte técnico de Windows XP Service Pack 2.

    Nota: La carpeta predeterminada para Windows XP Service Pack 2 Support Tools es C:\Program archivos de programa\Support Tools.
  4. Para crear una nueva directiva IPSec local y la regla de filtrado que se aplica al tráfico de red desde cualquier dirección IP a la dirección IP del equipo basado en Windows XP o Windows Server 2003 que está configurando, utilice el siguiente comando.

    Nota: En el siguiente comando, protocolo y número de puerto son variables.
    IPSeccmd.exe -w REG -p "Filtro de bloqueo protocoloPortNumber" - r "Block regla dePortNumber entrante de protocolo"-f * = 0:PortNumber:protocolo - n BLOCK-x
    Por ejemplo, para bloquear el tráfico de red desde cualquier dirección IP y cualquier puerto de origen al puerto de destino UDP 1434 en un equipo basado en Windows XP o Windows Server 2003, escriba lo siguiente. Esta directiva es suficiente para proteger equipos que ejecutan Microsoft SQL Server 2000 desde el gusano "Slammer".
    IPSeccmd.exe -w REG -p "Filtro de bloque UDP 1434" - r "Block entrante UDP 1434 Rule" -f * = 0:1434:UDP - n BLOCK - x
    El siguiente ejemplo se bloquea el acceso al puerto TCP 80 de entrada pero sigue permitiendo el acceso de salida TCP 80. Esta directiva es suficiente para proteger equipos que ejecutan servicios de Microsoft Internet Information Services (IIS) 5.0 desde el gusano "Código rojo" y "Nimda".
    IPSeccmd.exe -w REG -p "Block TCP 80 Filter" -r "Block Inbound TCP 80 Rule" -f *=0:80:TCP -n BLOCK -x
    Nota: El modificador - x asigna la directiva inmediatamente. Si escribe este comando, no está asignada la directiva "Filtro de bloque UDP 1434" y se asigna el "bloque TCP 80 filtro". Para agregar la directiva pero no asignar la directiva, escriba el comando sin el modificador - x al final.
  5. Para agregar una regla filtrada adicional a la directiva "Filtro de bloque UDP 1434" existente que bloquea el tráfico que se origina desde el equipo basado en Windows XP o Windows Server 2003 para cualquier dirección IP de red, utilice el siguiente comando.

    Nota: En este comando, protocolo y
    PortNumber son variables:
    IPSeccmd.exe -w REG -p "Filtro de bloqueo protocoloPortNumber"- r "Block saliente protocoloPortNumber Rule" -f * 0 =:PortNumber:protocolo - n BLOCK
    Por ejemplo, para bloquear el tráfico de red que se origina en el equipo basado en Windows XP o Windows Server 2003 que se dirige al puerto UDP 1434 en cualquier otro host, escriba lo siguiente. Esta directiva es suficiente para ayudar a evitar que los equipos que ejecutan SQL Server 2000 desde extendiendo el gusano "Slammer".
    IPSeccmd.exe -w REG -p "Filtro de bloque UDP 1434" - r "Block UDP saliente 1434 Rule" -f 0 = * 1434 - n BLOCK
    Nota: Puede agregar tantas reglas de filtrado a una directiva como desee mediante este comando. Por ejemplo, puede utilizar este comando para bloquear varios puertos mediante la misma directiva.
  6. La directiva en el paso 5 ahora estará en vigor y se conservará cada vez que se reinicie el equipo. Sin embargo, si una directiva de IPSec basada en dominio está asignada al equipo más adelante, esta directiva local se sobrescribirá y dejará de aplicarse.

    Para comprobar la asignación correcta de la regla de filtrado, establezca la carpeta de trabajo en C:\Program archivos de programa\Support Tools en el símbolo del sistema y, a continuación, escriba el comando siguiente:
    netdiag/test: IPSec /debug
    Si se asignan directivas para tráfico entrante y saliente como se muestra en estos ejemplos, recibirá el siguiente mensaje:
    Prueba de seguridad IP........ . :
    Pasado directiva IPSec Local activa: Ruta de directiva de seguridad IP de 'Bloquear UDP 1434 filtro': SOFTWARE\Policies\Microsoft\Windows\IPSec\Policy\Local\ipsecPolicy {D239C599-F945-47A3-A4E3-B37BC12826B9}


    Hay 2 filtros
    Sin nombre
    Id. de filtro: {5EC1FD53-EA98-4C1B-A99F-6D2A0FF94592}
    Id. de directiva: {509492EA-1214-4F50-BF43-9CAC2B538518}
    Dir Orig: 0.0.0.0 Máscara Orig: 0.0.0.0
    Dir dest: 192.168.1.1 Dest Mask: 255.255.255.255
    Dirección de túnel: 0.0.0.0 Puerto Orig: 0 Puerto Dest: 1434
    Protocolo: 17 TunnelFilter: N
    Indicadores: Bloque de entrada
    Sin nombre
    Id. de filtro: {9B4144A6-774F-4AE5-B23A-51331E67BAB2}
    Id. de directiva: {2DEB01BD-9830-4067-B58A-AADFC8659BE5}
    Dir Orig: 192.168.1.1 Máscara Orig: 255.255.255.255
    Dir dest: 0.0.0.0 máscara Dest: 0.0.0.0
    Dirección de túnel: 0.0.0.0 Puerto Orig: 0 Puerto Dest: 1434
    Protocolo: 17 TunnelFilter: N

    Indicadores: Bloqueo de salida
    Nota: Las direcciones IP y números de (GUID) de la interfaz gráfica de usuario será diferentes dependiendo del equipo basado en Windows XP o Windows Server 2003.

Equipos basados en Windows 2000

Para sistemas sin una directiva IPSec definida localmente habilitado, siga estos pasos para crear una nueva directiva estática local para bloquear el tráfico que se dirige a un protocolo específico y un puerto en un equipo basado en Windows 2000 sin una directiva IPSec existente asignado:
  1. Compruebe que el servicio Agente de directivas IPSec está activado e iniciado en el complemento Servicios de MMC.
  2. Visite el siguiente sitio Web de Microsoft para descargar e instalar Ipsecpol.exe:
  3. Abra un símbolo del sistema y establece la carpeta de trabajo en la carpeta donde instaló Ipsecpol.exe.

    Nota: La carpeta predeterminada para Ipsecpol.exe es C:\Program archivos de programa\Resource Kit.
  4. Para crear una nueva directiva IPSec local y filtrado de regla que se aplica al tráfico de red desde cualquier dirección IP a la dirección IP del equipo basado en Windows 2000 que está configurando, utilice el comando siguiente, donde
    Protocolo y número de puerto son variables:
    ipsecpol -w REG -p "Filtro de bloqueo protocoloPortNumber" - r "Block entrante protocoloPortNumber Rule" -f * = 0:PortNumber:protocolo - n BLOCK-x
    Por ejemplo, para bloquear el tráfico de red desde cualquier dirección IP y cualquier puerto de origen al puerto de destino UDP 1434 en un equipo basado en Windows 2000, escriba lo siguiente. Esta directiva es suficiente para proteger equipos que ejecutan Microsoft SQL Server 2000 desde el gusano "Slammer".
    ipsecpol -w REG -p "Filtro de bloque UDP 1434" - r "Block Inbound UDP 1434 Rule" -f * = 0:1434:UDP - n BLOCK - x
    El siguiente ejemplo se bloquea el acceso al puerto TCP 80 de entrada pero sigue permitiendo el acceso de salida TCP 80. Esta directiva es suficiente para proteger equipos que ejecutan servicios de Microsoft Internet Information Services (IIS) 5.0 desde el "Código rojo" y "Nimda" gusanos.
    ipsecpol -w REG -p "Filtro de bloqueo TCP 80" - r "Block Inbound TCP 80 Rule" -f * = 0:80:TCP - n BLOCK - x
    Nota: El modificador - x asigna la directiva inmediatamente. Si escribe este comando, está asignada la directiva "Filtro de bloque UDP 1434", y se asigna el "bloque TCP 80 filtro". Para agregar pero no asignar la directiva, escriba el comando sin el modificador - x al final.
  5. Para agregar una regla de filtrado adicional a la directiva "Filtro de bloque UDP 1434" existente que bloquea el tráfico que se origina desde un equipo basado en Windows 2000 a cualquier dirección IP de red, utilice el comando siguiente, donde protocolo y
    PortNumber son variables:
    ipsecpol -w REG -p "Filtro de bloqueo protocoloPortNumber"- r "Block saliente protocoloPortNumber Rule" -f * 0 =:PortNumber:protocolo - n BLOCK
    Por ejemplo, para bloquear el tráfico de red que se origina desde un equipo basado en Windows 2000 que se dirige al puerto UDP 1434 en cualquier otro host, escriba lo siguiente. Esta directiva es suficiente para evitar que los equipos que ejecutan SQL Server 2000 desde extendiendo el gusano "Slammer".
    ipsecpol -w REG -p "Filtro de bloque UDP 1434" - r "Block saliente UDP 1434 Rule" -f 0 = * 1434 - n BLOCK
    Nota: Puede agregar tantas reglas de filtrado a una directiva como desee mediante este comando (por ejemplo, para bloquear varios puertos mediante la misma directiva).
  6. La directiva en el paso 5 ahora estará en vigor y se conservará cada vez que se reinicie el equipo. Sin embargo, si una directiva de IPSec basada en dominio está asignada al equipo más adelante, esta directiva local se sobrescribirá y dejará de aplicarse. Para comprobar la asignación correcta de la regla de filtrado, en el símbolo del sistema, establezca la carpeta de trabajo en C:\Program archivos de programa\Support Tools y, a continuación, escriba el comando siguiente:
    netdiag/test: IPSec /debug
    Si, como en estos ejemplos, se asignan las directivas para el tráfico entrante y saliente, recibirá el siguiente mensaje:
    Prueba de seguridad IP........ . :
    Pasado directiva IPSec Local activa: Ruta de directiva de seguridad IP de 'Bloquear UDP 1434 filtro': SOFTWARE\Policies\Microsoft\Windows\IPSec\Policy\Local\ipsecPolicy {D239C599-F945-47A3-A4E3-B37BC12826B9}


    Hay 2 filtros
    Sin nombre
    Id. de filtro: {5EC1FD53-EA98-4C1B-A99F-6D2A0FF94592}
    Id. de directiva: {509492EA-1214-4F50-BF43-9CAC2B538518}
    Dir Orig: 0.0.0.0 Máscara Orig: 0.0.0.0
    Dir dest: 192.168.1.1 Dest Mask: 255.255.255.255
    Dirección de túnel: 0.0.0.0 Puerto Orig: 0 Puerto Dest: 1434
    Protocolo: 17 TunnelFilter: N
    Indicadores: Bloque de entrada
    Sin nombre
    Id. de filtro: {9B4144A6-774F-4AE5-B23A-51331E67BAB2}
    Id. de directiva: {2DEB01BD-9830-4067-B58A-AADFC8659BE5}
    Dir Orig: 192.168.1.1 Máscara Orig: 255.255.255.255
    Dir dest: 0.0.0.0 máscara Dest: 0.0.0.0
    Dirección de túnel: 0.0.0.0 Puerto Orig: 0 Puerto Dest: 1434
    Protocolo: 17 TunnelFilter: N

    Indicadores: Bloqueo de salida
    Nota: Las direcciones IP y números de (GUID) de la interfaz gráfica de usuario será diferentes. Se reflejan las del equipo basado en Windows 2000.

Agregar una regla de bloque para un protocolo específico y un puerto

Los equipos basados en Windows XP y Server 2003-based Windows

Para agregar una regla de bloqueo para un protocolo específico y un puerto en un equipo basado en Windows XP o Windows Server 2003 que tiene una asignada localmente estática directiva IPSec existente, siga estos pasos:
  1. Instalar IPSeccmd.exe. IPSeccmd.exe forma parte de las herramientas de soporte técnico del SP2 de Windows XP.

    Para obtener más información acerca de cómo descargar e instalar las herramientas de soporte técnico de Windows XP Service Pack 2, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:

    838079 Windows XP Service Pack 2 Support Tools

  2. Identificar el nombre de la directiva IPSec asignada actualmente. Para ello, escriba lo siguiente en un símbolo del sistema:
    netdiag/test: IPSec
    Si se asigna una directiva, recibirá un mensaje similar al siguiente:
    Prueba de seguridad IP........ . : Pasa
    Directiva IPSec local activa: 'Bloquear UDP 1434 filtro'
  3. Si hay una directiva IPSec ya asignada para el uso del equipo (local o de dominio), el siguiente comando para agregar una regla de filtro de bloque adicional a la directiva IPSec existente.

    Nota: En este comando, Existing_IPSec_Policy_Name,
    Protocoloy número de puerto son variables.
    IPSeccmd.exe -p "Existing_IPSec_Policy_Name" -w REG - r "Block
    Protocolo NúmeroDePuerto La regla"-f * = 0:PortNumber:protocolo - n BLOCK
    Por ejemplo, para agregar una regla de filtro para bloquear el acceso entrante al puerto TCP 80 para el filtro de bloque UDP 1434 existente, escriba el comando siguiente:
    IPSeccmd.exe -p "Filtro de bloque UDP 1434" -w REG - r "bloquear entrante TCP 80 regla" -f * = 0:80:TCP - n BLOCK

Equipos basados en Windows 2000

Para agregar una regla de bloqueo para un protocolo específico y un puerto en un equipo basado en Windows 2000 con una asignada localmente estática directiva IPSec existente, siga estos pasos:
  1. Visite el siguiente sitio Web de Microsoft para descargar e instalar Ipsecpol.exe:
  2. Identificar el nombre de la directiva IPSec asignada actualmente. Para ello, escriba lo siguiente en un símbolo del sistema:
    netdiag/test: IPSec
    Si se asigna una directiva, recibirá un mensaje similar al siguiente:
    Prueba de seguridad IP........ . : Pasa
    Directiva IPSec local activa: 'Bloquear UDP 1434 filtro'
  3. Si hay una directiva IPSec ya asignada al equipo (local o dominio), utilice el siguiente comando para agregar un bloque adicional de filtrado de regla a la directiva IPSec existente, donde
    Existing_IPSec_Policy_Name,
    Protocoloy número de puerto son variables:
    ipsecpol -p "Existing_IPSec_Policy_Name" -w REG - r "Block
    Protocolo NúmeroDePuerto La regla"-f * = 0:PortNumber:protocolo - n BLOCK
    Por ejemplo, para agregar una regla de filtro para bloquear el acceso entrante al puerto TCP 80 para el filtro de bloque UDP 1434 existente, escriba el comando siguiente:
    ipsecpol -p "Filtro de bloque UDP 1434" -w REG - r "Block Inbound TCP 80 Rule" -f * = 0:80:TCP - n BLOCK

Agregar una directiva de bloqueo dinámico para un protocolo específico y un puerto

Equipos basados en Windows XP y Windows Server 2003

Es aconsejable bloquear temporalmente el acceso a un puerto específico. Por ejemplo, desea bloquear un puerto específico hasta que pueda instalar una revisión o si una directiva de IPSec basada en dominio ya está asignada al equipo. Para bloquear temporalmente el acceso a un puerto en un equipo basado en Windows XP o Windows Server 2003 utilizando la directiva IPSec, siga estos pasos:
  1. Instalar IPSeccmd.exe. IPSeccmd.exe forma parte de las herramientas de soporte técnico de Windows XP Service Pack 2.

    Nota: IPSeccmd.exe se ejecutará en Windows XP y sistemas operativos Windows Server 2003, pero la herramienta sólo está disponible en el paquete de herramientas de soporte técnico del SP2 de Windows XP.

    Para obtener más información acerca de cómo descargar e instalar las herramientas de soporte técnico de Windows XP Service Pack 2, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:

    838079 Windows XP Service Pack 2 Support Tools

  2. Para agregar un filtro dinámico que bloquee todos los paquetes desde cualquier dirección IP a la dirección IP de su sistema y puerto destino, escriba lo siguiente en un símbolo del sistema.

    Nota: En el siguiente comando, protocolo y
    PortNumber son variables.
    -F IPSeccmd.exe [* = 0:PortNumber:protocolo]
    Nota: Este comando crea dinámicamente el filtro de bloqueo. La directiva permanecerá asignada siempre y cuando se ejecuta el servicio Agente de directivas IPSec. Si se reinicia el servicio Agente de directivas IPSec o se reinicia el equipo, esta directiva se pierde. Si desea reasignar dinámicamente la regla de filtrado de IPSec cada vez que se reinicie el sistema, cree una secuencia de comandos de inicio para volver a aplicar la regla de filtrado. Si desea aplicar este filtro de forma permanente, configure el filtro como una directiva IPSec estática. El complemento Administración de directivas IPSec de MMC proporciona una interfaz gráfica de usuario para administrar la configuración de directivas IPSec. Si ya se ha aplicado una directiva de IPSec basada en dominio, el comando netdiag/test: IPSec /debug puede mostrar sólo los detalles de filtro si el comando es ejecutado por un usuario que tenga credenciales de administrador de dominio.

Equipos basados en Windows 2000

Puede que desee bloquear temporalmente un puerto específico (por ejemplo, hasta que se puede instalar una revisión o una directiva de IPSec basada en dominio ya está asignada al equipo). Para bloquear temporalmente el acceso a un puerto en un equipo basado en Windows 2000 mediante directivas de IPSec, siga estos pasos:
  1. Visite el siguiente sitio Web de Microsoft para descargar e instalar Ipsecpol.exe:
  2. Para agregar un filtro dinámico de bloque que bloquea todos los paquetes desde cualquier dirección IP a la dirección IP y el puerto destino del sistema, escriba lo siguiente en un símbolo del sistema, donde protocolo y
    PortNumber son variables:
    ipsecpol -f [* = 0:PortNumber:protocolo]
    Nota: Este comando crea el filtro de bloque dinámicamente, y la directiva permanecerá asignada siempre y cuando se ejecuta el servicio Agente de directivas IPSec. Si se reinicia el servicio IPSec o se reinicia el equipo, esta configuración se perderá. Si desea reasignar dinámicamente la regla de filtrado de IPSec cada vez que se reinicie el sistema, cree una secuencia de comandos de inicio para volver a aplicar la regla de filtrado. Si desea aplicar este filtro de forma permanente, configure el filtro como una directiva IPSec estática. El complemento Administración de directivas IPSec de MMC proporciona una interfaz gráfica de usuario para administrar la configuración de directivas IPSec. Si ya se ha aplicado una directiva de IPSec basada en dominio, el comando netdiag/test: IPSec /debug puede mostrar sólo los detalles de filtro si el comando es ejecutado por un usuario con credenciales de administrador de dominio. Una versión actualizada de Netdiag.exe estará disponible en Windows 2000 Service Pack 4 que permite a los administradores locales ver la directiva IPSec basada en dominio.

Las reglas de filtrado de IPSec y directiva de grupo

Para entornos donde se asignan las directivas IPSec mediante una configuración de directiva de grupo, deberá actualizar la directiva del dominio entero para bloquear el protocolo y el puerto. Después de configurar correctamente la configuración de IPSec de la directiva de grupo, se debe aplicar una actualización de la configuración de directiva de grupo en todos los equipos basados en Windows Server 2003, basado en Windows XP y con Windows 2000 en el dominio. Para ello, utilice el comando siguiente:
secedit /refreshpolicy machine_policy
El cambio de directiva IPSec se detectarán dentro de uno de dos intervalos distintos de sondeo. Para una directiva de IPSec recién asignada que se aplican a un GPO, la directiva IPSec se aplicará a los clientes dentro del tiempo establecido para el intervalo de sondeo de directiva de grupo o cuando se ejecuta el comando secedit /refreshpolicy machine_policy en los equipos cliente. Si ya está asignada la directiva IPSec a un GPO y filtros IPSec nueva o se agregan las reglas a una directiva existente, el comando secedit no hará IPSec reconocen los cambios. En este escenario, las modificaciones existente IPSec basados en GPO Directiva se detectarán dentro de esa directiva IPSec propia intervalo de sondeo. Este intervalo se especifica en la ficha General para esa directiva de IPSec. También puede forzar una actualización de la configuración de directiva IPSec reiniciando el servicio Agente de directivas IPSec. Si se detiene o se reinicia el servicio IPSec, comunicaciones protegidas por IPSec se interrumpirá y tardará algunos segundos para reanudar. Esto puede causar que las conexiones de programas desconectar, especialmente para las conexiones que están transfiriendo activamente grandes volúmenes de datos. En situaciones donde se aplica la directiva IPSec sólo en el equipo local, no es necesario reiniciar el servicio.

Desasignar y eliminar una directiva IPSec

Los equipos basados en Windows XP y Server 2003-based Windows

  • Equipos que tienen una directiva estática definido localmente
    1. Abra un símbolo del sistema y, a continuación, establezca la carpeta de trabajo a la carpeta donde instaló Ipsecpol.exe.
    2. Para cancelar el filtro que creó anteriormente, utilice el comando siguiente:
      IPSeccmd.exe -w REG -p "Filtro de bloqueo protocoloPortNumber" – i
      Por ejemplo, para cancelar el filtro de bloque UDP 1434 que creó anteriormente, utilice el comando siguiente:
      IPSeccmd.exe -w REG -p "Filtro de bloque UDP 1434" -y
    3. Para eliminar el filtro que ha creado, utilice el siguiente comando:
      IPSeccmd.exe -w REG -p "Filtro de bloqueo protocoloPortNumber" - r "Block protocoloPortNumber Rule"-o
      Por ejemplo, para eliminar el filtro "Filtro de bloque UDP 1434" y los dos reglas que ha creado, utilice el comando siguiente:
      IPSeccmd.exe -w REG -p "Filtro de bloque UDP 1434" - r "Regla de bloqueo entrante UDP 1434" - r "Block UDP saliente 1434 Rule" -o
  • Equipos que tienen una directiva dinámica definido localmente
    Directiva IPSec dinámica no se aplica si se detiene el servicio Agente de directivas IPSec mediante el comando net stop policyagent . Para eliminar los comandos específicos que se utilizaron sin detener el servicio Agente de directivas IPSec, siga estos pasos:

    1. Abra un símbolo del sistema y, a continuación, establezca la carpeta de trabajo a la carpeta donde ha instalado herramientas de soporte técnico de Windows XP Service Pack 2.
    2. Escriba el siguiente comando:
      IPSeccmd.exe –u
      Nota: También puede reiniciar el servicio Agente de directivas IPSec para desactivar todas las directivas asignadas dinámicamente.

Equipos basados en Windows 2000

  • Equipos con una directiva estática definido localmente
    1. Abra un símbolo del sistema y, a continuación, establezca la carpeta de trabajo a la carpeta donde instaló Ipsecpol.exe.
    2. Para cancelar el filtro que creó anteriormente, utilice el comando siguiente:
      ipsecpol -w REG -p "Filtro de bloqueo protocoloPortNumber" – i
      Por ejemplo, para cancelar el filtro de bloque UDP 1434 que creó anteriormente, utilice el comando siguiente:
      ipsecpol -w REG -p "Filtro de bloque UDP 1434" -y
    3. Para eliminar el filtro que ha creado, utilice el siguiente comando:
      ipsecpol -w REG -p "Filtro de bloqueo protocoloPortNumber" - r "Block protocoloPortNumber Rule"-o
      Por ejemplo, para eliminar el filtro "Filtro de bloque UDP 1434" y ambas reglas que creó anteriormente, utilice el comando siguiente:
      ipsecpol -w REG -p "Filtro de bloque UDP 1434" - r "Block Inbound UDP 1434 Rule" - r "Block saliente UDP 1434 Rule" -o
  • Equipos con una directiva dinámico definido localmente

    Directiva IPSec dinámica se desaplicarán si se detiene el servicio Agente de directivas IPSec (mediante el comando net stop policyagent ). Sin embargo, para eliminar los comandos específicos que se utilizaron anteriormente sin detenerse el agente de directivas IPSec service, siga estos pasos:

    1. Abra un símbolo del sistema y, a continuación, establezca la carpeta de trabajo a la carpeta donde instaló Ipsecpol.exe.
    2. Escriba el siguiente comando:
      Ipsecpol – u
      Nota: También puede reiniciar el servicio Agente de directivas IPSec para desactivar todas las directivas asignadas dinámicamente.

La nueva regla de filtro se aplican a todos los puertos y protocolos

De forma predeterminada en Microsoft Windows 2000 y Microsoft Windows XP, IPSec excluye tráfico de difusión, multidifusión, RSVP, IKE y Kerberos de todas las restricciones de filtro y la autenticación. Para obtener información adicional acerca de estas excepciones, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
253169 el tráfico que puede--y no--protegido por IPSec

Cuando IPSec se utiliza sólo para permitir y bloquear el tráfico, quitar las exenciones para los protocolos Kerberos y RSVP cambiando un valor del registro. Para obtener instrucciones completas acerca de cómo hacerlo, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
254728 IPSec no protege el tráfico de Kerberos entre controladores de dominio

Siguiendo estas instrucciones, puede ayudar a proteger el puerto UDP 1434 incluso en casos donde los atacantes pueden establecer su puerto de origen a los puertos de Kerberos de TCP/UDP 88. Al quitar las exenciones de Kerberos, paquetes de Kerberos ahora coincidirá con todos los filtros en la directiva IPSec. Por lo tanto, Kerberos puede ser protegida dentro de IPSec, bloqueada o permitida. Por lo tanto, si los filtros IPSec coincida con el tráfico de Kerberos que se va a las direcciones IP de controlador de dominio, tendrá que cambiar el diseño de directiva IPSec para agregar nuevos filtros para permitir el tráfico de Kerberos a cada dirección IP de controlador de dominio (si no está usando IPSec para proteger todo el tráfico entre los controladores de dominio como se describe en el artículo 254728 de Knowledge Base).

Reinicie la aplicación de las reglas de filtrado de IPSec en el equipo

Todas las directivas IPSec se basan en el servicio Agente de directivas IPSec para asignarse. Cuando un equipo basado en Windows 2000 está en proceso de puesta en marcha, el servicio Agente de directivas IPSec no es necesariamente el primer servicio para iniciar. Por lo tanto, puede haber un breve momento cuando la conexión de red del equipo es vulnerable a los ataques de virus o un gusano. Esta situación sólo se aplica en el caso de un servicio potencialmente vulnerable se inició correctamente y está aceptando conexión antes de que el servicio Agente de directivas IPSec completamente ha iniciado y se asigna a todas las directivas.
Propiedades

Id. de artículo: 813878 - Última revisión: 17/01/2017 - Revisión: 1

Comentarios