Cómo bloquear protocolos y puertos de red específicos mediante IPSec

Se aplica a: Microsoft Windows Server 2003 Datacenter Edition (32-bit x86)Microsoft Windows Server 2003 Enterprise Edition (32-bit x86)Microsoft Windows Server 2003 Standard Edition (32-bit x86)

Resumen


Las reglas de filtrado de seguridad del Protocolo de Internet (IPSec) se pueden usar para ayudar a proteger los equipos basados en Windows 2000, Windows XP y Windows Server 2003 de ataques basados en red de amenazas como virus y gusanos. En este artículo se describe cómo filtrar una combinación de protocolo y puerto en particular para el tráfico de red entrante y saliente. Incluye pasos para si hay alguna directiva IPSec asignada actualmente a un equipo basado en Windows 2000, Windows XP o Windows Server 2003, pasos para crear y asignar una nueva directiva IPSec, y pasos para cancelar la asignación y eliminar una directiva IPSec.

Más información


Las directivas IPSec se pueden aplicar de forma local o aplicarse a un miembro de un dominio como parte de las directivas de grupo de ese dominio. Las directivas IPSec locales pueden ser estáticas (persistentes después de reinicios) o dinámicas (volátiles). Las directivas IPSec estáticas se escriben en el registro local y se conservan después de que se reinicie el sistema operativo. Las directivas IPSec dinámicas no se escriben permanentemente en el registro y se quitan si se reinicia el sistema operativo o el servicio agente de directiva IPSec.Importante Este artículo contiene información acerca de cómo modificar el registro mediante Ipsecpol. exe. Antes de editar el registro, asegúrese de que sabe cómo restaurarlo en caso de que se produzca un problema. Para obtener información sobre cómo realizar una copia de seguridad, restaurar y editar el registro, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
256986 Descripción del registro de Microsoft Windows 
Nota Las reglas de filtro IPSec pueden provocar que los programas de red pierdan datos y dejen de responder a las solicitudes de red, incluido el error al autenticar a los usuarios. Use reglas de filtro IPSec como medida defensiva del último recurso y solo después de tener una comprensión clara del impacto que tendrá el bloqueo de puertos específicos en su entorno. Si una directiva IPSec creada con los pasos que se indican en este artículo tiene efectos no deseados en los programas de red, consulte la sección "desasignar y eliminar una directiva IPSec", más adelante en este artículo, para obtener instrucciones sobre cómo deshabilitar y eliminar la Directiva inmediatamente.

Determinar si una directiva IPSec está asignada

Equipos basados en Windows Server 2003

Antes de crear o asignar directivas IPSec nuevas a un equipo basado en Windows Server 2003, determine si las directivas IPSec se aplican desde el registro local o mediante un objeto de directiva de grupo (GPO). Para ello, siga estos pasos:
  1. Para instalar Netdiag. exe desde el CD de Windows Server 2003, ejecute Suptools. msi desde la carpeta Support\Tools.
  2. Abra un símbolo del sistema y, a continuación, establezca la carpeta de trabajo en C:\Archivos de Programa\support Tools.
  3. Ejecute el siguiente comando para comprobar que no hay ninguna directiva IPSec ya asignada al equipo:
    Netdiag/test: IPSec
    Si no se asigna ninguna directiva, recibirá el siguiente mensaje:
    Prueba de seguridad IP. . . . . . . . . : El servicio de directivas IPSec superado está activo, pero no hay ninguna directiva asignada.

Equipos basados en Windows XP

Antes de crear o asignar directivas IPSec nuevas a un equipo basado en Windows XP, determine si las directivas IPSec se aplican desde el registro local o mediante un objeto de directiva de grupo. Para ello, siga estos pasos:
  1. Instale Netdiag. exe desde el CD de Windows XP ejecutando setup. exe desde la carpeta Support\Tools.
  2. Abra un símbolo del sistema y, a continuación, establezca la carpeta de trabajo en C:\Archivos de Programa\support Tools.
  3. Ejecute el siguiente comando para comprobar que no hay ninguna directiva IPSec ya asignada al equipo:
    Netdiag/test: IPSec
    Si no se asigna ninguna directiva, recibirá el siguiente mensaje:
    Prueba de seguridad IP. . . . . . . . . : El servicio de directivas IPSec superado está activo, pero no hay ninguna directiva asignada.

Equipos basados en Windows 2000

Antes de crear o asignar directivas IPSec nuevas a un equipo basado en Windows 2000, determine si las directivas IPSec se aplican desde el registro local o mediante un objeto de directiva de grupo. Para ello, siga estos pasos:
  1. Instale Netdiag. exe desde el CD de Windows 2000 ejecutando setup. exe desde la carpeta Support\Tools.
  2. Abra un símbolo del sistema y, a continuación, establezca la carpeta de trabajo en C:\Archivos de Programa\support Tools.
  3. Ejecute el siguiente comando para comprobar que no hay ninguna directiva IPSec ya asignada al equipo:
    Netdiag/test: IPSec
    Si no se asigna ninguna directiva, recibirá el siguiente mensaje:
    Prueba de seguridad IP. . . . . . . . . : El servicio de directivas IPSec superado está activo, pero no hay ninguna directiva asignada.

Crear una directiva estática para bloquear el tráfico

Equipos basados en Windows Server 2003 y Windows XP

Para los sistemas que no tienen habilitada una directiva IPSec definida localmente, cree una nueva directiva local local para bloquear el tráfico dirigido a un protocolo específico y a un puerto específico en equipos basados en Windows Server 2003 o Windows XP. Para ello, siga estos pasos:
  1. Compruebe que el agente de directiva IPSec está habilitado y se ha iniciado en el complemento Servicios de MMC.
  2. Instale IPSeccmd. exe. IPSeccmd. exe forma parte de las herramientas de soporte técnico del Service Pack 2 (SP2) de Windows XP. Nota IPSeccmd. exe se ejecutará en los sistemas operativos Windows XP y Windows Server 2003, pero la herramienta solo está disponible en el paquete de herramientas de soporte técnico del SP2 de Windows XP. Para obtener más información sobre cómo descargar e instalar las herramientas de soporte técnico del Service Pack 2 de Windows XP, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:  
    838079 Herramientas de soporte técnico del Service Pack 2 de Windows XP  
  3. Abra un símbolo del sistema y establezca la carpeta de trabajo en la carpeta donde instaló las herramientas de soporte técnico del Service Pack 2 de Windows XP. Nota La carpeta predeterminada para las herramientas de soporte técnico del SP2 de Windows XP es C:\Archivos de Programa\support Tools.
  4. Para crear una nueva directiva IPSec local y una regla de filtrado que se aplique al tráfico de red desde cualquier dirección IP a la dirección IP del equipo basado en Windows Server 2003 o Windows XP que esté configurando, use el siguiente comando. Nota En el siguiente comando, Protocol y PortNumber son variables.
    IPSeccmd. exe-w REG-p "filtro ProtocolnúmeroDePuerto de protocolo bloqueado"-r "bloquear regla entrante ProtocolonúmeroDePuerto "-f * = 0:númeroDePuerto:Protocolo -n bloque-x
    Por ejemplo, para bloquear el tráfico de red desde cualquier dirección IP y cualquier puerto de origen al puerto de destino UDP 1434 en un equipo basado en Windows Server 2003 o en Windows XP, escriba lo siguiente. Esta directiva es suficiente para ayudar a proteger los equipos que ejecutan Microsoft SQL Server 2000 del gusano "Slammer".
    IPSeccmd. exe-w REG-p "Block UDP 1434 Filter"-r "bloqueo de la regla UDP entrante 1434"-f * = 0:1434: UDP-n BLOCK-x
    En el siguiente ejemplo se bloquea el acceso entrante al puerto TCP 80, pero sigue permitiendo el acceso saliente TCP 80. Esta directiva es suficiente para ayudar a proteger los equipos que ejecutan Microsoft Internet Information Services (IIS) 5,0 del gusano "Code Red" y el gusano "Nimda".
    IPSeccmd. exe-w REG-p "Block TCP 80 Filter"-r "bloquear la regla TCP 80 de entrada"-f * = 0:80: TCP-n BLOCK-x
    Nota El modificador -x asigna la Directiva inmediatamente. Si escribe este comando, la Directiva "bloquear UDP 1434 filtro" no está asignada y el "filtro" bloquear TCP 80 "está asignado. Para agregar la Directiva pero no asignar la Directiva, escriba el comando sin el modificador -x al final.
  5. Para agregar una regla de filtrado adicional a la Directiva "bloquear UDP 1434 filtro" existente que bloquea el tráfico de red originado en cualquier dirección IP del equipo basado en Windows Server 2003 o en Windows XP, use el siguiente comando. Nota En este comando, Protocolo y PortNumber son variables:
    IPSeccmd. exe-w REG-p "filtro ProtocolnúmeroDePuertode protocolo bloqueado"-r "bloquear regla de protocolo de salida de ProtocolonúmeroDePuerto "-f * 0 =:númeroDePuerto:Protocolo -n bloque
    Por ejemplo, para bloquear el tráfico de red originado en un equipo basado en Windows Server 2003 o en Windows XP dirigido a UDP 1434 en cualquier otro host, escriba lo siguiente. Esta directiva es suficiente para ayudar a evitar que los equipos que ejecutan SQL Server 2000 propaguen el gusano "Slammer".
    IPSeccmd. exe-w REG-p "Block UDP 1434 Filter"-r "Block saliente UDP 1434 Rule"-f 0 = *: 1434: bloque UDP-n
    Nota Con este comando puede Agregar tantas reglas de filtrado a una directiva como desee. Por ejemplo, puede usar este comando para bloquear varios puertos con la misma directiva.
  6. La Directiva del paso 5 estará vigente y se conservará cada vez que se reinicie el equipo. Sin embargo, si una directiva IPSec basada en dominio se asigna al equipo más adelante, esta directiva local se reemplazará y ya no se aplicará. Para comprobar que la asignación de la regla de filtrado se ha realizado correctamente, establezca la carpeta de trabajo en C:\Archivos de Programa\support Tools en el símbolo del sistema y, a continuación, escriba el siguiente comando:
    Netdiag/test: IPSec/Debug
    Si se asignan directivas para el tráfico entrante y saliente, como en estos ejemplos, recibirá el siguiente mensaje:
    Prueba de seguridad IP. . . . . . . . . : Se pasó la directiva IPSec local activa: "bloquear el filtro UDP 1434" ruta de la Directiva de seguridad IP: SOFTWARE\Policies\Microsoft\Windows\IPSec\Policy\Local\ipsecPolicy {D239C599-F945-47A3-A4E3-B37BC12826B9} Hay dos filtros Sin nombre Identificador de filtro: {5EC1FD53-EA98-4C1B-A99F-6D2A0FF94592} Identificador de la Directiva: {509492EA-1214-4F50-BF43-9CAC2B538518} Dirección de origen: 0.0.0.0 máscara de origen: 0.0.0.0 Dest addr: 192.168.1.1 dest Mask: 255.255.255.255 Dirección de túnel: 0.0.0.0 puerto src: 0 dest Port: 1434 Protocolo: 17 TunnelFilter: no Indicadores: bloque entrante Sin nombre Identificador de filtro: {9B4144A6-774F-4AE5-B23A-51331E67BAB2} Identificador de la Directiva: {2DEB01BD-9830-4067-B58A-AADFC8659BE5} Dirección de origen: 192.168.1.1 máscara de origen: 255.255.255.255 Dirección dest: 0.0.0.0 máscara de destino: 0.0.0.0 Dirección de túnel: 0.0.0.0 puerto src: 0 dest Port: 1434 Protocolo: 17 TunnelFilter: no Marcas: bloqueo de salida
    Nota Las direcciones IP y los números de la interfaz gráfica de usuario (GUID) serán diferentes según el equipo basado en Windows Server 2003 o Windows XP.

Equipos basados en Windows 2000

Para los sistemas que no tienen habilitada una directiva IPSec definida localmente, siga estos pasos para crear una nueva directiva local local para bloquear el tráfico dirigido a un protocolo y Puerto específicos en un equipo basado en Windows 2000 sin una directiva IPSec existente asignada:
  1. Compruebe que el agente de directiva IPSec está habilitado y se ha iniciado en el complemento Servicios de MMC.
  2. Abra un símbolo del sistema y establezca la carpeta de trabajo en la carpeta donde instaló Ipsecpol. exe. Nota La carpeta predeterminada de Ipsecpol. exe es C:\Archivos de Files\Resource.
  3. Para crear una nueva directiva IPSec local y una regla de filtrado que se aplique al tráfico de red desde cualquier dirección IP a la dirección IP del equipo basado en Windows 2000 que está configurando, use el siguiente comando, donde Protocol y PortNumber son variables:
    Ipsecpol-w REG-p "filtro de bloqueo de ProtocolonúmeroDePuerto "-r "bloquear regla de Protocolode entradanúmeroDePuerto "-f * = 0:NúmeroPuerto:Protocolo -n bloque-x
    Por ejemplo, para bloquear el tráfico de red desde cualquier dirección IP y cualquier puerto de origen al puerto de destino UDP 1434 en un equipo basado en Windows 2000, escriba lo siguiente. Esta directiva es suficiente para ayudar a proteger los equipos que ejecutan Microsoft SQL Server 2000 del gusano "Slammer".
    Ipsecpol-w REG-p "Block UDP 1434 Filter"-r "bloquear la regla UDP entrante 1434"-f * = 0:1434: UDP-n BLOCK-x
    En el siguiente ejemplo se bloquea el acceso entrante al puerto TCP 80, pero sigue permitiendo el acceso saliente TCP 80. Esta directiva es suficiente para ayudar a proteger los equipos que ejecutan Microsoft Internet Information Services (IIS) 5,0 de los gusanos "Code Red" y "Nimda".
    Ipsecpol-w REG-p "Block TCP 80 Filter"-r "bloquear la regla TCP 80 de entrada"-f * = 0:80: TCP-n BLOCK-x
    Nota El modificador -x asigna la Directiva inmediatamente. Si escribe este comando, la Directiva "bloquear UDP 1434 filtro" no está asignada y se asigna el filtro "bloquear TCP 80". Para agregar pero no asignar la Directiva, escriba el comando sin el modificador -x al final.
  4. Para agregar una regla de filtrado adicional a la Directiva "bloquear UDP 1434 filtro" existente que bloquea el tráfico de red originado en el equipo basado en Windows 2000 a cualquier dirección IP, use el siguiente comando, donde Protocolo y PortNumber son variables:
    Ipsecpol-w REG-p "filtro de bloqueo de ProtocolonúmeroDePuerto"-r "bloqueo Protocolde regla de protocolo de salida de"-f * 0 =:númeroDePuerto:Protocolo -n bloque
    Por ejemplo, para bloquear el tráfico de red originado en el equipo basado en Windows 2000 que se dirige a UDP 1434 en cualquier otro host, escriba lo siguiente. Esta directiva es suficiente para evitar que los equipos que ejecutan SQL Server 2000 propaguen el gusano "Slammer".
    Ipsecpol-w REG-p "Block UDP 1434 Filter"-r "bloquear salida UDP 1434 Rule"-f 0 = *: 1434: bloque UDP-n
    Nota Puede Agregar tantas reglas de filtrado a una directiva como desee usando este comando (por ejemplo, para bloquear varios puertos con la misma directiva).
  5. La Directiva del paso 5 estará vigente y se conservará cada vez que se reinicie el equipo. Sin embargo, si una directiva IPSec basada en dominio se asigna al equipo más adelante, esta directiva local se reemplazará y ya no se aplicará. Para comprobar que la asignación de la regla de filtrado se ha realizado correctamente, en el símbolo del sistema, establezca la carpeta de trabajo en C:\Archivos de Programa\support Tools y, a continuación, escriba el siguiente comando:
    Netdiag/test: IPSec/Debug
    Si, como en estos ejemplos, se asignan directivas para el tráfico entrante y el saliente, recibirá el siguiente mensaje:
    Prueba de seguridad IP. . . . . . . . . : Se pasó la directiva IPSec local activa: "bloquear el filtro UDP 1434" ruta de la Directiva de seguridad IP: SOFTWARE\Policies\Microsoft\Windows\IPSec\Policy\Local\ipsecPolicy {D239C599-F945-47A3-A4E3-B37BC12826B9} Hay dos filtros Sin nombre Identificador de filtro: {5EC1FD53-EA98-4C1B-A99F-6D2A0FF94592} Identificador de la Directiva: {509492EA-1214-4F50-BF43-9CAC2B538518} Dirección de origen: 0.0.0.0 máscara de origen: 0.0.0.0 Dest addr: 192.168.1.1 dest Mask: 255.255.255.255 Dirección de túnel: 0.0.0.0 puerto src: 0 dest Port: 1434 Protocolo: 17 TunnelFilter: no Indicadores: bloque entrante Sin nombre Identificador de filtro: {9B4144A6-774F-4AE5-B23A-51331E67BAB2} Identificador de la Directiva: {2DEB01BD-9830-4067-B58A-AADFC8659BE5} Dirección de origen: 192.168.1.1 máscara de origen: 255.255.255.255 Dirección dest: 0.0.0.0 máscara de destino: 0.0.0.0 Dirección de túnel: 0.0.0.0 puerto src: 0 dest Port: 1434 Protocolo: 17 TunnelFilter: no Marcas: bloqueo de salida
    Nota Las direcciones IP y los números de la interfaz gráfica de usuario (GUID) serán diferentes. Los verán reflejados en el equipo basado en Windows 2000.

Agregar una regla de bloqueo para un protocolo y Puerto específicos

Equipos basados en Windows Server 2003 y Windows XP

Para agregar una regla de bloqueo para un protocolo y Puerto específicos en un equipo basado en Windows Server 2003 o Windows XP que tenga una directiva IPSec estática asignada localmente, siga estos pasos:
  1. Instale IPSeccmd. exe. IPSeccmd. exe forma parte de las herramientas de soporte técnico de Windows XP SP2. Para obtener más información sobre cómo descargar e instalar las herramientas de soporte técnico del Service Pack 2 de Windows XP, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:  
    838079 Herramientas de soporte técnico del Service Pack 2 de Windows XP  
  2. Identificar el nombre de la directiva IPSec asignada actualmente. Para ello, escriba lo siguiente en un símbolo del sistema:
    Netdiag/test: IPSec
    Si se asigna una directiva, recibirá un mensaje similar al siguiente:
    Prueba de seguridad IP. . . . . . . . . : Se ha pasado Directiva IPSec local activa: ' filtro de bloqueo de UDP 1434 '
  3. Si ya hay una directiva IPSec asignada al equipo (local o dominio), use el comando siguiente para agregar una regla de filtro de bloque adicional a la directiva IPSec existente. NotaEn este comando, Existing_IPSec_Policy_Name, Protocoly PortNumber son variables.
    IPSeccmd. exe-p "Existing_IPSec_Policy_Name"-w reg-r "Block Regla de ProtocolonúmeroDePuerto "-f * = 0:NÚMERODEPUERTO:Protocolo -n bloque
    Por ejemplo, para agregar una regla de filtro para bloquear el acceso entrante al puerto TCP 80 al filtro bloquear UDP 1434, escriba el siguiente comando:
    IPSeccmd. exe-p "Block UDP 1434 Filter"-w REG-r "Block entrante TCP 80 Rule"-f * = 0:80: TCP-n BLOCK

Equipos basados en Windows 2000

Para agregar una regla de bloqueo para un protocolo y Puerto específicos en un equipo basado en Windows 2000 con una directiva IPSec estática asignada localmente, siga estos pasos:
  1. Visite el siguiente sitio web de Microsoft para descargar e instalar Ipsecpol. exe:
  2. Identificar el nombre de la directiva IPSec asignada actualmente. Para ello, escriba lo siguiente en un símbolo del sistema:
    Netdiag/test: IPSec
    Si se asigna una directiva, recibirá un mensaje similar al siguiente:
    Prueba de seguridad IP. . . . . . . . . : Se ha pasado Directiva IPSec local activa: ' filtro de bloqueo de UDP 1434 '
  3. Si hay una directiva IPSec ya asignada al equipo (local o dominio), use el comando siguiente para agregar una regla de filtrado de bloque adicional a la directiva IPSec existente, donde Existing_IPSec_Policy_Name, Protocoly PortNumber son variables:
    Ipsecpol-p "Existing_IPSec_Policy_Name"-w reg-r "Block Regla de ProtocolonúmeroDePuerto "-f * = 0:NÚMERODEPUERTO:Protocolo -n bloque
    Por ejemplo, para agregar una regla de filtro para bloquear el acceso entrante al puerto TCP 80 al filtro bloquear UDP 1434, escriba el siguiente comando:
    Ipsecpol-p "bloqueo del filtro UDP 1434"-w REG-r "bloquear la regla TCP 80 de entrada"-f * = 0:80: TCP-n BLOCK

Agregar una directiva de bloqueo dinámico para un protocolo y Puerto específicos

Equipos basados en Windows Server 2003 y Windows XP

Es posible que desee bloquear temporalmente el acceso a un puerto específico. Por ejemplo, es posible que desee bloquear un puerto específico hasta que pueda instalar un hotfix o si ya se ha asignado al equipo una directiva IPSec basada en el dominio. Para bloquear temporalmente el acceso a un puerto en un equipo basado en Windows Server 2003 o Windows XP mediante la directiva IPSec, siga estos pasos:
  1. Instale IPSeccmd. exe. IPSeccmd. exe forma parte de las herramientas de soporte técnico del Service Pack 2 de Windows XP. Nota IPSeccmd. exe se ejecutará en los sistemas operativos Windows XP y Windows Server 2003, pero la herramienta solo está disponible en el paquete de herramientas de soporte técnico del SP2 de Windows XP. Para obtener más información sobre cómo descargar e instalar las herramientas de soporte técnico del Service Pack 2 de Windows XP, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:  
    838079 Herramientas de soporte técnico del Service Pack 2 de Windows XP  
  2. Para agregar un filtro de bloque dinámico que bloquee todos los paquetes de cualquier dirección IP a la dirección IP del sistema y al puerto de destino, escriba lo siguiente en el símbolo del sistema. Nota En el siguiente comando, Protocolo y PortNumber son variables.
    Ipseccmd. exe-f [* = 0:númeroDePuerto:Protocolo]
    Nota Este comando crea el filtro de bloqueo de forma dinámica. La Directiva sigue estando asignada mientras el agente de directiva IPSec se esté ejecutando. Si se reinicia el servicio agente de directiva IPSec o se reinicia el equipo, se perderá esta Directiva. Si desea reasignar dinámicamente la regla de filtrado IPSec cada vez que se reinicie el sistema, cree un script de inicio para volver a aplicar la regla de filtro. Si desea aplicar este filtro de forma permanente, configure el filtro como una directiva IPSec estática. El complemento Administración de directivas IPSec de MMC proporciona una interfaz gráfica de usuario para administrar la configuración de la directiva IPSec. Si ya se ha aplicado una directiva IPSec basada en dominio, el comando netdiag/test: IPSec/Debug solo puede mostrar los detalles del filtro si un usuario con credenciales de administrador de dominio ejecuta el comando.

Equipos basados en Windows 2000

Es posible que desee bloquear temporalmente un puerto específico (por ejemplo, hasta que se pueda instalar una revisión o si una directiva IPSec basada en el dominio ya está asignada al equipo). Para bloquear temporalmente el acceso a un puerto en un equipo basado en Windows 2000 mediante la directiva IPSec, siga estos pasos:
  1. Visite el siguiente sitio web de Microsoft para descargar e instalar Ipsecpol. exe:
  2. Para agregar un filtro de bloque dinámico que bloquee todos los paquetes de cualquier dirección IP a la dirección IP del sistema y al puerto de destino, escriba lo siguiente en el símbolo del sistema, donde Protocolo y PortNumber son variables:
    Ipsecpol-f [* = 0:númeroDePuerto:Protocolo]
    Nota Este comando crea dinámicamente el filtro de bloque y la Directiva permanecerá asignada mientras el agente de directiva IPSec se esté ejecutando. Si se reinicia el servicio IPSec o se reinicia el equipo, se perderá esta configuración. Si desea reasignar dinámicamente la regla de filtrado IPSec cada vez que se reinicie el sistema, cree un script de inicio para volver a aplicar la regla de filtro. Si desea aplicar este filtro de forma permanente, configure el filtro como una directiva IPSec estática. El complemento Administración de directivas IPSec de MMC proporciona una interfaz gráfica de usuario para administrar la configuración de la directiva IPSec. Si ya se ha aplicado una directiva IPSec basada en dominio, el comando netdiag/test: IPSec/Debug solo puede mostrar los detalles del filtro si un usuario con credenciales de administrador de dominio ejecuta el comando. Una versión actualizada de Netdiag. exe estará disponible en el Service Pack 4 de Windows 2000 que permitirá a los administradores locales ver la directiva IPSec basada en el dominio.

Reglas de filtrado IPSec y Directiva de grupo

Para entornos en los que una configuración de directiva de grupo asigna directivas IPSec, tiene que actualizar la Directiva del dominio completo para bloquear el protocolo y el puerto en particular. Una vez configurada correctamente la configuración de IPSec de la Directiva de grupo, debe exigir una actualización de la configuración de directiva de grupo en todos los equipos basados en Windows Server 2003, Windows XP y Windows 2000 del dominio. Para ello, use el siguiente comando:
Secedit/refreshpolicy machine_policy
El cambio de la directiva IPSec se detectará dentro de uno de dos intervalos de sondeo diferentes. Para que se aplique una directiva IPSec recién asignada a un GPO, la directiva IPSec se aplicará a los clientes dentro del tiempo establecido para el intervalo de sondeo de directiva de grupo o cuando se ejecute el comando Secedit/refreshpolicy machine_policy en los equipos cliente. Si la directiva IPSec ya está asignada a un GPO y se agregan nuevos filtros o reglas IPSec a una directiva existente, el comando secedit no hará que los cambios reconozcan IPSec. En este escenario, se detectarán modificaciones en una directiva IPSec basada en GPO existentes dentro del intervalo de sondeo de la directiva IPSec. Este intervalo se especifica en la pestaña General para esa directiva IPSec. También puede forzar una actualización de la configuración de la directiva IPSec reiniciando el servicio agente de directiva IPSec. Si detiene o reinicia el servicio IPSec, las comunicaciones protegidas por IPSec se interrumpirán y se devolverán varios segundos. Esto puede ocasionar que se desconecte las conexiones del programa, especialmente en el caso de las conexiones que están transfiriendo de forma activa grandes volúmenes de datos. En situaciones en las que la directiva IPSec solo se aplica en el equipo local, no es necesario reiniciar el servicio.

Cancelar la asignación y eliminar una directiva IPSec

Equipos basados en Windows Server 2003 y Windows XP

  • Equipos que tienen una directiva estática definida localmente
    1. Abra un símbolo del sistema y, a continuación, establezca la carpeta de trabajo en la carpeta donde instaló Ipsecpol. exe.
    2. Para cancelar la asignación del filtro que creó anteriormente, use el siguiente comando:
      IPSeccmd. exe-w REG-p "filtro ProtocolnúmeroDePuerto del Protocolo de bloqueo" – y
      Por ejemplo, para cancelar la asignación del filtro de bloqueo UDP 1434 que creó anteriormente, use el siguiente comando:
      IPSeccmd. exe-w REG-p "Block UDP 1434 Filter"-y
    3. Para eliminar el filtro que ha creado, use el siguiente comando:
      IPSeccmd. exe-w REG-p "filtro ProtocolnúmeroDePuerto de protocolo bloqueado"-r "Block ProtocolnúmeroDePuerto Rule" – o
      Por ejemplo, para eliminar el filtro "bloquear filtro UDP 1434" y las dos reglas que ha creado, use el siguiente comando:
      IPSeccmd. exe-w REG-p "Block UDP 1434 Filter"-r "bloquear la regla UDP entrante 1434"-r "bloquear la regla UDP 1434 de salida"-o
  • Equipos que tienen una directiva dinámica definida localmente La directiva IPSec dinámica no se aplica si el servicio agente de directivas IPSec se detiene mediante el comando net stop policyagent . Para eliminar los comandos específicos que se usaron sin detener el servicio agente de directiva IPSec, siga estos pasos:  
    1. Abra un símbolo del sistema y establezca la carpeta de trabajo en la carpeta donde instaló las herramientas de soporte técnico del Service Pack 2 de Windows XP.
    2. Escriba el siguiente comando:
      IPSeccmd.exe –u
      Nota También puede reiniciar el servicio agente de directiva IPSec para borrar todas las directivas asignadas dinámicamente.

Equipos basados en Windows 2000

  • Equipos con una directiva estática definida en el equipo local
    1. Abra un símbolo del sistema y, a continuación, establezca la carpeta de trabajo en la carpeta donde instaló Ipsecpol. exe.
    2. Para cancelar la asignación del filtro que creó anteriormente, use el siguiente comando:
      Ipsecpol-w REG-p "Block ProtocolnúmeroDePuerto Filter" – y
      Por ejemplo, para cancelar la asignación del filtro de bloqueo UDP 1434 que creó anteriormente, use el siguiente comando:
      Ipsecpol-w REG-p "Block UDP 1434 Filter"-y
    3. Para eliminar el filtro que ha creado, use el siguiente comando:
      Ipsecpol-w REG-p "Block ProtocolnúmeroDePuerto Filter"-r "Block ProtocolnúmeroDePuerto Rule" – o
      Por ejemplo, para eliminar el filtro "bloquear filtro UDP 1434" y las reglas que creó anteriormente, use el siguiente comando:
      Ipsecpol-w REG-p "Block UDP 1434 Filter"-r "bloquear la regla UDP entrante 1434"-r "bloquear la regla UDP 1434 de salida"-o
  • Equipos con una directiva dinámica definida localmente La directiva IPSec dinámica no se aplicará si el servicio agente de directivas IPSec se detiene (mediante el comando net stop policyagent ). Sin embargo, para eliminar los comandos específicos que se usaron anteriormente sin detener el servicio agente de directiva IPSec, siga estos pasos:  
    1. Abra un símbolo del sistema y, a continuación, establezca la carpeta de trabajo en la carpeta donde instaló Ipsecpol. exe.
    2. Escriba el siguiente comando:
      Ipsecpol – u
      Nota También puede reiniciar el servicio agente de directiva IPSec para borrar todas las directivas asignadas dinámicamente.

Aplicar la nueva regla de filtro a todos los protocolos y puertos

De forma predeterminada en Microsoft Windows 2000 y Microsoft Windows XP, IPSec exime el tráfico de difusión, multidifusión, RSVP, IKE y Kerberos de todas las restricciones de filtrado y de autenticación. Para obtener información adicional sobre estas exenciones, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
253169 Tráfico que puede, y no, protegerse mediante IPSec 
Donde IPSec solo se usa para permitir y bloquear el tráfico, quite las exenciones para los protocolos Kerberos y RSVP modificando un valor del registro. Para obtener instrucciones completas sobre cómo hacerlo, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
254728 IPSec no protege el tráfico Kerberos entre controladores de dominio 
Siguiendo estas instrucciones, puede ayudar a proteger UDP 1434 incluso en los casos en los que un atacante puede establecer su puerto de origen en los puertos Kerberos de TCP/UDP 88. Al quitar las exenciones de Kerberos, los paquetes de Kerberos se cotejan ahora con todos los filtros de la directiva IPSec. Por lo tanto, Kerberos puede protegerse dentro de IPSec, estar bloqueado o permitido. Por tanto, si los filtros IPSec coinciden con el tráfico de Kerberos que va a las direcciones IP del controlador de dominio, es posible que tenga que cambiar el diseño de la directiva IPSec para agregar nuevos filtros que permitan el tráfico Kerberos a cada dirección IP del controlador de dominio (si no usa IPSec para proteger todo el tráfico entre los controladores de dominio como describe el artículo 254728 de Knowledge base)

Aplicación de reglas de filtro IPSec al reiniciar el equipo

Todas las directivas IPSec dependen del servicio agente de directiva IPSec que se va a asignar. Cuando un equipo basado en Windows 2000 está en proceso de inicio, el servicio agente de directiva IPSec no es necesariamente el primer servicio que se inicia. Por lo tanto, es posible que haya un breve momento en que la conexión de red del equipo sea vulnerable a ataques de virus o gusanos. Esta situación solo se aplica en el caso de que un servicio potencialmente vulnerable se haya iniciado correctamente y acepte la conexión antes de que el servicio agente de directiva IPSec se haya iniciado por completo y haya asignado todas las directivas.