Cómo bloquear determinados protocolos de red y puertos mediante IPSec

Support for Windows XP has ended

Microsoft ended support for Windows XP on April 8, 2014. This change has affected your software updates and security options. Learn what this means for you and how to stay protected.

Support for Windows Server 2003 ended on July 14, 2015

Microsoft ended support for Windows Server 2003 on July 14, 2015. This change has affected your software updates and security options. Learn what this means for you and how to stay protected.

IMPORTANTE: Este artículo ha sido traducido por un software de traducción automática de Microsoft (http://support.microsoft.com/gp/mtdetails) en lugar de un traductor humano. Microsoft le ofrece artículos traducidos por un traductor humano y artículos traducidos automáticamente para que tenga acceso en su propio idioma a todos los artículos de nuestra base de conocimientos (Knowledge Base). Sin embargo, los artículos traducidos automáticamente pueden contener errores en el vocabulario, la sintaxis o la gramática, como los que un extranjero podría cometer al hablar el idioma. Microsoft no se hace responsable de cualquier imprecisión, error o daño ocasionado por una mala traducción del contenido o como consecuencia de su utilización por nuestros clientes. Microsoft suele actualizar el software de traducción frecuentemente.

Haga clic aquí para ver el artículo original (en inglés): 813878
Resumen
Seguridad de protocolo Internet (IPSec), las reglas de filtrado puede utilizarse para ayudar a proteger los equipos Windows 2000, Windows XP y Windows Server 2003 frente a ataques basados en red frente a amenazas como virus y gusanos. Este artículo describe cómo filtrar un protocolo determinado y combinación de puerto para el tráfico de red entrante y saliente. Incluye los pasos para si hay ninguna directiva IPSec asignada actualmente a un equipo Windows 2000, Windows XP o Windows Server 2003, los pasos para crear y asignar una nueva directiva IPSec y los pasos para desasignar y eliminar una directiva IPSec.
Más información
Las directivas IPSec se pueden aplicar localmente o se aplica a un miembro de un dominio como parte de las directivas de grupo del dominio. Las directivas IPSec locales pueden ser estático (persistente tras reiniciar) o dinámico (volátil). Las directivas de IPSec estáticas se escriben en el registro local y persisten después de que se reinicie el sistema operativo. Directivas IPSec dinámicas no se guardan permanentemente en el registro y se quitan si se reinicia el sistema operativo o el servicio Agente de directivas IPSec.

Importante: Este artículo contiene información acerca de cómo modificar el registro utilizando Ipsecpol.exe. Antes de modificar el registro, asegúrese de que sabe cómo restaurarlo si ocurre algún problema. Para obtener información acerca de cómo hacer copia de seguridad, restaurar y modificar el registro, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
256986 Descripción del registro de Microsoft Windows
Nota: Reglas de filtrado de IPSec pueden causar pérdida de datos y responda a las solicitudes de red, incluida la omisión de autenticar a los usuarios los programas de red. Utilice reglas de filtrado de IPSec como medida defensiva de último recurso y sólo después de tener una comprensión clara del impacto que tendrá el bloqueo de puertos específicos en su entorno. Si una directiva IPSec que se crea mediante los pasos que se enumeran en este artículo tiene efectos no deseados en los programas de red, consulte la sección "Desasignar y eliminar una directiva de IPSec" más adelante en este artículo para obtener instrucciones acerca de cómo deshabilitar y eliminar la directiva de inmediato.

Determinar si se ha asignado una directiva IPSec

Windows Server 2003-based equipos

Antes de crear o asignar cualquier nuevas directivas IPSec a un equipo basado en Windows Server 2003, determine si se aplican las directivas IPSec desde el registro local o a través de un objeto de directiva de grupo (GPO). Para ello, siga estos pasos:
  1. Instalar Netdiag.exe runningSuptools.msi desde la carpeta Support\Tools del CD de Windows Server 2003.
  2. Abra un símbolo del sistema y, a continuación, establezca la carpeta de trabajo toC:\Program Files\Support herramientas.
  3. Ejecute el siguiente comando para comprobar que no hay una directiva IPSec existente ya asignada al equipo:
    netdiag / test: ipsec
    Si no se ha asignado ninguna directiva, recibirá el followingmessage:
    Prueba de seguridad IP........ . : PassedIPSec Directiva servicio está activo, pero no se ha asignado ninguna directiva.

Equipos basados en XP de Windows

Antes de crear o asignar cualquier nuevas directivas IPSec a un equipo basado en Windows XP, determine si se aplican las directivas IPSec desde el registro local o a través de un GPO. Para ello, siga estos pasos:
  1. Instalar Netdiag.exe runningSetup.exe desde la carpeta Support\Tools del CD de Windows XP.
  2. Abra un símbolo del sistema y, a continuación, establezca la carpeta de trabajo toC:\Program Files\Support herramientas.
  3. Ejecute el siguiente comando para comprobar que no hay una directiva IPSec existente ya asignada al equipo:
    netdiag / test: ipsec
    Si no se ha asignado ninguna directiva, recibirá el followingmessage:
    Prueba de seguridad IP........ . : PassedIPSec Directiva servicio está activo, pero no se ha asignado ninguna directiva.

Equipos basados en Windows 2000

Antes de crear o asignar cualquier nuevas directivas IPSec a un equipo basado en Windows 2000, determine si se aplican las directivas IPSec desde el registro local o a través de un GPO. Para ello, siga estos pasos:
  1. Instalar Netdiag.exe runningSetup.exe desde la carpeta Support\Tools del CD de Windows 2000.
  2. Abra un símbolo del sistema y, a continuación, establezca la carpeta de trabajo toC:\Program Files\Support herramientas.
  3. Ejecute el siguiente comando para comprobar que no hay una directiva IPSec existente ya asignada al equipo:
    netdiag / test: ipsec
    Si no se ha asignado ninguna directiva, recibirá el followingmessage:
    Prueba de seguridad IP........ . : PassedIPSec Directiva servicio está activo, pero no se ha asignado ninguna directiva.

Crear una directiva estática para bloquear el tráfico

Los equipos basados en Windows XP y Server 2003-based Windows

Para los sistemas que no tienen una directiva IPSec definida localmente habilitada, cree una nueva directiva estática local para bloquear el tráfico que se dirige a un protocolo específico y un puerto específico en basado en Windows Server 2003 y equipos basados de Windows XP. Para ello, siga estos pasos:
  1. Compruebe que el servicio Agente de directivas IPSec está habilitado andstarted en el complemento Servicios de MMC.
  2. Instalar IPSeccmd.exe. IPSeccmd.exe forma parte de las herramientas de soporte de Windows XP Service Pack 2 (SP2).

    Nota: IPSeccmd.exe se ejecutará en Windows XP y sistemas operativos Windows Server 2003, pero la herramienta sólo está disponible en el paquete de herramientas de soporte técnico del SP2 de Windows XP.

    Para obtener más información acerca de cómo descargar e instalar las herramientas de soporte técnico de Windows XP Service Pack 2, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
    838079 Herramientas de soporte de Windows XP Service Pack 2
  3. Abra un símbolo del sistema y, a continuación, establezca la carpeta de trabajo en thefolder donde instaló las herramientas de soporte técnico de Windows XP Service Pack 2.

    Nota: La carpeta predeterminada para Windows XP Service Pack 2 Support Tools es C:\Program archivos de programa\Support Tools.
  4. Para crear una nueva directiva IPSec local y filtrado thatapplies de regla al tráfico de red desde cualquier dirección IP a la dirección IP del equipo basado en Windows XP o Windows Server 2003 que está configurando, utilice el siguiente comando.

    Nota: En el siguiente comando, Protocolo y NúmeroDePuerto arevariables.
    IPSeccmd.exe -w REG -p "Block ProtocoloNúmeroDePuerto Filtrar"- r"Block Inbound ProtocoloNúmeroDePuerto La regla"-f * = 0:NúmeroDePuerto:Protocolo -n BLOCK-x
    Por ejemplo, para bloquear el tráfico de red desde cualquier dirección IP y cualquier puerto de origen al puerto de destino UDP 1434 en un equipo basado en Windows XP o Windows Server 2003, escriba lo siguiente. Esta directiva es suficiente para ayudar a protectcomputers que ejecutan Microsoft SQL Server 2000 desde el gusano "Slammer".
    IPSeccmd.exe -w REG -p "Filtro de bloqueo UDP1434" - r "Block entrante UDP 1434 Rule" -f * = 0:1434:UDP - n BLOCK-x
    El siguiente ejemplo se bloquea acceso entrante a 80 TCPport, pero permite el acceso TCP 80 de salida. Esta directiva es suficiente sienta proteger equipos que ejecutan servicios de Microsoft Internet Information Services (IIS) 5.0from "Code Red" gusano y "Nimda".
    IPSeccmd.exe -w REG -p "Bloquear TCP 80 filtro" - r "Block regla entrante TCP80" -f * = 0:80:TCP - n BLOCK - x
    Nota: La -x conmutador asigna la directiva inmediatamente. Si escribe este comando, no está asignada la directiva "Filtro de bloque UDP 1434" y se asigna el "bloque TCP 80 filtro". Para agregar la directiva pero no asignar la directiva, escriba el comando sin la -x Cambie al final.
  5. Para agregar una regla filtrada adicional a la directiva "Filtro de BlockUDP 1434" existente que bloquea tráfico de red que se origina desde el equipo basado en Windows XP o Windows Server 2003 para cualquier dirección IP, utilice thefollowing comando.

    Nota: En este comando, Protocolo yNúmeroDePuerto son variables:
    IPSeccmd.exe -w REG -p "Block ProtocoloNúmeroDePuertoFiltrar"- r"Block saliente ProtocoloNúmeroDePuerto La regla"-f * 0 =:NúmeroDePuerto:Protocolo -n BLOCK
    Por ejemplo bloquear cualquier thatoriginates de tráfico de red del equipo basado en Windows XP o Windows Server 2003 que dirige a UDP 1434on cualquier otro host, escriba lo siguiente. Esta directiva es suficiente para ayudar a preventcomputers que ejecutan SQL Server 2000 desde extendiendo el gusano "Slammer".
    IPSeccmd.exe -w REG -p "Filtro de bloqueo UDP1434" - r "Block UDP saliente 1434 Rule" -f 0 = * 1434 - nBLOCK
    Nota: Puede agregar tantas reglas de filtrado a una directiva como desee utilizando este comando. Por ejemplo, puede utilizar este comando para bloquear varios puertos mediante el uso de la samepolicy.
  6. La directiva en el paso 5 ahora estará en efecto y le persistevery el tiempo que se reinicie el equipo. Sin embargo, si una basada en dominio IPSec directiva isassigned en el equipo más adelante, esta directiva local que se va a reemplazar y aplicar más willno.

    Para comprobar la asignación correcta de la regla de filtrado, establezca la carpeta de trabajo en C:\Program archivos de programa\Support Tools en el símbolo del sistema y, a continuación, escriba el comando siguiente:
    netdiag/test: IPSec /debug
    Si se asignan directivas para el tráfico saliente tanto inboundand como en estos ejemplos, recibirá el siguiente mensaje:
    Prueba de seguridad IP........ . :
    Ha pasado la política LocalIPSec activo: 'Bloquear UDP 1434 filtro' seguridad IP directiva ruta: SOFTWARE\Policies\Microsoft\Windows\IPSec\Policy\Local\ipsecPolicy {D239C599-F945-47A3-A4E3-B37BC12826B9}

    Hay 2 filtros
    Sin nombre
    Id. de filtro: {5EC1FD53-EA98-4C1B-A99F-6D2A0FF94592}
    Id. de directiva: {509492EA-1214-4F50-BF43-9CAC2B538518}
    Dir Orig: 0.0.0.0 Máscara Orig: 0.0.0.0
    Dir dest: 192.168.1.1 Dest Mask: 255.255.255.255
    TunnelAddr: 0.0.0.0 Puerto Orig: 0 Puerto Dest: 1434
    Protocolo: 17 TunnelFilter:No
    Indicadores: Bloque de entrada
    Sin nombre
    Id. de filtro: {9B4144A6-774F-4AE5-B23A-51331E67BAB2}
    Id. de directiva: {2DEB01BD-9830-4067-B58A-AADFC8659BE5}
    Dir Orig: 192.168.1.1 Máscara Orig: 255.255.255.255
    Dir dest: 0.0.0.0 máscara Dest: 0.0.0.0
    Dirección de túnel: 0.0.0.0 Puerto Orig: 0 Puerto Dest: 1434
    Protocolo: 17 TunnelFilter: No
    Indicadores: Bloqueo de salida
    Nota: Las direcciones IP y números de (GUID) de la interfaz gráfica de usuario será diferentes dependiendo del equipo basado en Windows XP o Windows Server 2003.

Equipos basados en Windows 2000

Para sistemas sin una directiva IPSec definida localmente habilitado, siga estos pasos para crear una nueva directiva estática local para bloquear el tráfico que se dirige a un protocolo específico y un puerto en un equipo basado en Windows 2000 sin una directiva IPSec existente asignado:
  1. Compruebe que el servicio Agente de directivas IPSec está habilitado andstarted en el complemento Servicios de MMC.
  2. Visite el siguiente sitio Web de Microsoft para descargar 1eInstalar Ipsecpol.exe:
  3. Abra un símbolo del sistema y establezca la carpeta de trabajo en thefolder donde instaló Ipsecpol.exe.

    Nota: La carpeta predeterminada para Ipsecpol.exe es C:\Program Files\ResourceKit.
  4. Para crear una nueva directiva IPSec local y filtrado thatapplies de regla al tráfico de red desde cualquier dirección IP a la dirección IP del equipo basado en Windows 2000 que está configurando, utilice el comando siguiente, dondeProtocolo y NúmeroDePuerto arevariables:
    ipsecpol -w REG -p "Block ProtocoloNúmeroDePuerto Filtrar"- r"Block Inbound ProtocoloNúmeroDePuerto La regla"-f * = 0:NúmeroDePuerto:Protocolo -n BLOCK-x
    Por ejemplo, para bloquear el tráfico de red desde cualquier dirección IP y cualquier puerto de origen al puerto de destino UDP 1434 en un equipo basado en Windows 2000, escriba lo siguiente. Esta directiva es suficiente para ayudar a protectcomputers que ejecutan Microsoft SQL Server 2000 desde el gusano "Slammer".
    ipsecpol -w REG -p "Filtro de bloqueo UDP1434" - r "Block Inbound UDP 1434 Rule" -f * = 0:1434:UDP - n BLOCK-x
    El siguiente ejemplo se bloquea acceso entrante a 80 TCPport, pero permite el acceso TCP 80 de salida. Esta directiva es suficiente sienta proteger equipos que ejecutan servicios de Microsoft Internet Information Services (IIS) 5.0from los gusanos "Código rojo" y "Nimda".
    ipsecpol -w REG -p "Filtro de bloqueo TCP 80" - r "Block Inbound TCP80 Rule" -f * = 0:80:TCP - n BLOCK - x
    Nota: El modificador - x asigna la directiva inmediatamente. Si escribe este comando, está asignada la directiva "Filtro de bloque UDP 1434", y se asigna el "bloque TCP 80 filtro". Para agregar pero no asignar la directiva, escriba el comando sin el modificador - x al final.
  5. Para agregar una regla de filtrado adicional a la directiva "Filtro de BlockUDP 1434" existente que bloquea el tráfico que se origina desde un equipo basado en Windows 2000 a cualquier dirección IP de red, utilice el comando thefollowing, donde Protocolo yNúmeroDePuerto son variables:
    ipsecpol -w REG -p "Block ProtocoloNúmeroDePuertoFiltrar"- r"Block saliente ProtocoloNúmeroDePuerto La regla"-f * 0 =:NúmeroDePuerto:Protocolo -n BLOCK
    Por ejemplo bloquear cualquier thatoriginates de tráfico de red desde un equipo basado en Windows 2000 que dirige a UDP 1434on cualquier otro host, escriba lo siguiente. Esta directiva es suficiente para preventcomputers que ejecutan SQL Server 2000 desde extendiendo el gusano "Slammer".
    ipsecpol -w REG -p "Filtro de bloqueo UDP1434" - r "Block saliente UDP 1434 Rule" -f 0 = * 1434 - nBLOCK
    Nota: Puede agregar tantas reglas de filtrado a una directiva como desee utilizando este comando (por ejemplo, para bloquear varios puertos mediante el samepolicy).
  6. La directiva en el paso 5 ahora estará en efecto y le persistevery el tiempo que se reinicie el equipo. Sin embargo, si una basada en dominio IPSec directiva isassigned en el equipo más adelante, esta directiva local que se va a reemplazar y aplicar más willno. Para comprobar la asignación correcta de la regla de filtrado, en el símbolo del sistema, establezca la carpeta de trabajo en C:\Program archivos de programa\Support Tools y, a continuación, escriba el comando siguiente:
    netdiag/test: IPSec /debug
    Si, como en estos ejemplos, se asignan directivas para ambos inboundand el tráfico saliente, recibirá el siguiente mensaje:
    Prueba de seguridad IP........ . :
    Ha pasado la política LocalIPSec activo: 'Bloquear UDP 1434 filtro' seguridad IP directiva ruta: SOFTWARE\Policies\Microsoft\Windows\IPSec\Policy\Local\ipsecPolicy {D239C599-F945-47A3-A4E3-B37BC12826B9}

    Hay 2 filtros
    Sin nombre
    Id. de filtro: {5EC1FD53-EA98-4C1B-A99F-6D2A0FF94592}
    Id. de directiva: {509492EA-1214-4F50-BF43-9CAC2B538518}
    Dir Orig: 0.0.0.0 Máscara Orig: 0.0.0.0
    Dir dest: 192.168.1.1 Dest Mask: 255.255.255.255
    TunnelAddr: 0.0.0.0 Puerto Orig: 0 Puerto Dest: 1434
    Protocolo: 17 TunnelFilter:No
    Indicadores: Bloque de entrada
    Sin nombre
    Id. de filtro: {9B4144A6-774F-4AE5-B23A-51331E67BAB2}
    Id. de directiva: {2DEB01BD-9830-4067-B58A-AADFC8659BE5}
    Dir Orig: 192.168.1.1 Máscara Orig: 255.255.255.255
    Dir dest: 0.0.0.0 máscara Dest: 0.0.0.0
    Dirección de túnel: 0.0.0.0 Puerto Orig: 0 Puerto Dest: 1434
    Protocolo: 17 TunnelFilter: No
    Indicadores: Bloqueo de salida
    Nota: Las direcciones IP y números de (GUID) de la interfaz gráfica de usuario será diferentes. Se reflejan las del equipo basado en Windows 2000.

Agregar una regla de bloque para un protocolo específico y un puerto

Los equipos basados en Windows XP y Server 2003-based Windows

Para agregar una regla de bloqueo para un protocolo específico y un puerto en un equipo basado en Windows XP o Windows Server 2003 que tiene una asignada localmente estática directiva IPSec existente, siga estos pasos:
  1. Instalar IPSeccmd.exe. IPSeccmd.exe forma parte de las herramientas de soporte técnico del SP2 de Windows XP.

    Para obtener más información acerca de cómo descargar e instalar las herramientas de soporte técnico de Windows XP Service Pack 2, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
    838079 Herramientas de soporte de Windows XP Service Pack 2
  2. Identificar el nombre de la directiva IPSec asignada actualmente. Para ello, escriba lo siguiente en un símbolo del sistema:
    netdiag/test: IPSec
    Si se asigna una directiva, recibirá un messagethat es similar al siguiente:
    Prueba de seguridad IP... más... . : Pasa
    Directiva IPSec local activa: 'Bloquear UDP 1434Filter'
  3. Si hay una directiva IPSec ya asignada a thecomputer (local o dominio), utilice el siguiente comando para agregar una regla de filtro de bloque adicional a la directiva IPSec existente.

    Nota: En este comando, Existing_IPSec_Policy_Name,Protocolo, y NúmeroDePuerto arevariables.
    IPSeccmd.exe -p "Existing_IPSec_Policy_Name"-w REG - r"BlockProtocoloNúmeroDePuerto La regla"-f * = 0:NúmeroDePuerto:Protocolo -nBLOCK
    Por ejemplo, para agregar una regla de filtro para bloquear inboundaccess al puerto TCP 80 para el filtro de bloque UDP 1434 existente, escriba la followingcommand:
    IPSeccmd.exe -p "Filtro de bloque UDP 1434" -w REG - r "bloquear entrante TCP 80 regla" -f * = 0:80:TCP - nBLOCK

Equipos basados en Windows 2000

Para agregar una regla de bloqueo para un protocolo específico y un puerto en un equipo basado en Windows 2000 con una asignada localmente estática directiva IPSec existente, siga estos pasos:
  1. Visite el siguiente sitio Web de Microsoft para descargar 1eInstalar Ipsecpol.exe:
  2. Identificar el nombre de la directiva IPSec asignada actualmente. Para ello, escriba lo siguiente en un símbolo del sistema:
    netdiag/test: IPSec
    Si se asigna una directiva, recibirá un messagethat es similar al siguiente:
    Prueba de seguridad IP... más... . : Pasa
    Directiva IPSec local activa: 'Bloquear UDP 1434Filter'
  3. Si hay una directiva IPSec ya asignada a thecomputer (local o dominio), utilice el siguiente comando para agregar una regla de BLOCKfiltering adicional para la directiva IPSec existente, dondeExisting_IPSec_Policy_Name,Protocolo, y NúmeroDePuerto arevariables:
    ipsecpol -p "Existing_IPSec_Policy_Name"-w REG - r"BlockProtocoloNúmeroDePuerto La regla"-f * = 0:NúmeroDePuerto:Protocolo -nBLOCK
    Por ejemplo, para agregar una regla de filtro para bloquear inboundaccess al puerto TCP 80 para el filtro de bloque UDP 1434 existente, escriba la followingcommand:
    ipsecpol -p "Filtro de bloque UDP 1434" -w REG - r "Block Inbound TCP 80 Rule" -f * = 0:80:TCP - nBLOCK

Agregar una directiva de bloqueo dinámico para un protocolo específico y un puerto

Equipos basados en Windows XP y Windows Server 2003

Es aconsejable bloquear temporalmente el acceso a un puerto específico. Por ejemplo, desea bloquear un puerto específico hasta que pueda instalar una revisión o si una directiva de IPSec basada en dominio ya está asignada al equipo. Para bloquear temporalmente el acceso a un puerto en un equipo basado en Windows XP o Windows Server 2003 utilizando la directiva IPSec, siga estos pasos:
  1. Instalar IPSeccmd.exe. IPSeccmd.exe forma parte de las herramientas de soporte técnico de Windows XP Service Pack 2.

    Nota: IPSeccmd.exe se ejecutará en Windows XP y sistemas operativos Windows Server 2003, pero la herramienta sólo está disponible en el paquete de herramientas de soporte técnico del SP2 de Windows XP.

    Para obtener más información acerca de cómo descargar e instalar las herramientas de soporte técnico de Windows XP Service Pack 2, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
    838079 Herramientas de soporte de Windows XP Service Pack 2
  2. Para agregar un filtro dinámico de bloque bloquea todos los paquetes fromany dirección IP dirección IP de su sistema y puerto destino, tipo siguientes en un símbolo del sistema.

    Nota: En el siguiente comando, Protocolo yNúmeroDePuerto son variables.
    IPSeccmd.exe -f [* = 0:NúmeroDePuerto:Protocolo]
    Nota: Este comando crea dinámicamente el filtro de bloqueo. La directiva permanecerá asignada siempre y cuando se ejecuta el servicio Agente de directivas IPSec. Servicio Agente de directivas IPSec Siel se reinicia o se reinicia el equipo, esta directiva se pierde. Si desea reasignar dinámicamente la regla de filtrado de IPSec cada vez que se reinicie el sistema, cree una secuencia de comandos de inicio para volver a aplicar el filtro. Si desea aplicar este filtro de forma permanente, configure el filtro como directiva IPSec astatic. El complemento Administración de directivas IPSec de MMC proporciona la interfaz de usuario de agraphical para administrar la configuración de directivas IPSec. Si ya se ha aplicado la directiva IPSec basada en adomain, el netdiag/test: IPSec /debug comando puede mostrar solo los detalles del filtro si el isexecuted de comando por un usuario que tenga credenciales de administrador de dominio.

Equipos basados en Windows 2000

Puede que desee bloquear temporalmente un puerto específico (por ejemplo, hasta que se puede instalar una revisión o una directiva de IPSec basada en dominio ya está asignada al equipo). Para bloquear temporalmente el acceso a un puerto en un equipo basado en Windows 2000 mediante directivas de IPSec, siga estos pasos:
  1. Visite el siguiente sitio Web de Microsoft para descargar 1eInstalar Ipsecpol.exe:
  2. Para agregar un filtro dinámico de bloque que bloquea todos los paquetes fromany dirección IP dirección IP y el puerto destino del sistema, escriba thefollowing en el símbolo del sistema, donde Protocolo yNúmeroDePuerto son variables:
    ipsecpol -f [* = 0:NúmeroDePuerto:Protocolo]
    Nota: Este comando crea el filtro de bloque dinámicamente, y el policywill seguirán asignados mientras se ejecuta el servicio Agente de directivas IPSec. Se reinicia el servicio Ifthe IPSec o se reinicie el equipo, esta configuración se perderá. Si desea reasignar dinámicamente la regla de filtrado de IPSec cada vez que se reinicie el sistema, cree una secuencia de comandos de inicio para volver a aplicar el filtro. Si desea aplicar este filtro de forma permanente, configure el filtro como directiva IPSec astatic. El complemento Administración de directivas IPSec de MMC proporciona la interfaz de usuario de agraphical para administrar la configuración de directivas IPSec. Si ya se ha aplicado la directiva IPSec basada en adomain, el netdiag/test: IPSec /debug comando puede mostrar solo los detalles del filtro si el isexecuted de comando por un usuario con credenciales de administrador de dominio. Una versión actualizada de ofNetdiag.exe estarán disponibles en Windows 2000 Service Pack 4 que se allowlocal a los administradores ver directiva IPSec basada en dominio.

Las reglas de filtrado de IPSec y directiva de grupo

Para entornos donde se asignan las directivas IPSec mediante una configuración de directiva de grupo, deberá actualizar la directiva del dominio entero para bloquear el protocolo y el puerto. Después de configurar correctamente la configuración de IPSec de la directiva de grupo, se debe aplicar una actualización de la configuración de directiva de grupo en todos los equipos basados en Windows Server 2003, basado en Windows XP y con Windows 2000 en el dominio. Para ello, utilice el comando siguiente:
secedit /refreshpolicy machine_policy
El cambio de directiva IPSec se detectarán dentro de uno de dos intervalos distintos de sondeo. Para una directiva de IPSec recién asignada que se aplican a un GPO, la directiva IPSec se aplicará a los clientes dentro del tiempo establecido para el intervalo de sondeo de directiva de grupo o cuando el secedit /refreshpolicy machine_policy comando se ejecuta en los equipos cliente. Si ya está asignada la directiva IPSec a un GPO y filtros IPSec nueva o se agregan las reglas a una directiva existente, el secedit comando no hará que IPSec reconocen los cambios. En este escenario, las modificaciones existente IPSec basados en GPO Directiva se detectarán dentro de esa directiva IPSec propia intervalo de sondeo. Este intervalo se especifica en el General ficha de esa directiva de IPSec. También puede forzar una actualización de la configuración de directiva IPSec reiniciando el servicio Agente de directivas IPSec. Si se detiene o se reinicia el servicio IPSec, comunicaciones protegidas por IPSec se interrumpirá y tardará algunos segundos para reanudar. Esto puede causar que las conexiones de programas desconectar, especialmente para las conexiones que están transfiriendo activamente grandes volúmenes de datos. En situaciones donde se aplica la directiva IPSec sólo en el equipo local, no es necesario reiniciar el servicio.

Desasignar y eliminar una directiva IPSec

Los equipos basados en Windows XP y Server 2003-based Windows

  • Equipos que tienen una directiva estática definido localmente
    1. Abra un símbolo del sistema y, a continuación, establezca la carpeta de trabajo a la carpeta donde instaló Ipsecpol.exe.
    2. Para cancelar el filtro que creó anteriormente, utilice el comando siguiente:
      IPSeccmd.exe -w REG -p "Block ProtocoloNúmeroDePuerto – Y filtrar"
      Por ejemplo, para cancelar el filtro de bloque UDP 1434 que creó anteriormente, utilice el comando siguiente:
      IPSeccmd.exe -w REG -p "Filtro de bloque UDP 1434" -y
    3. Para eliminar el filtro que ha creado, utilice el siguiente comando:
      IPSeccmd.exe -w REG -p "Block ProtocoloNúmeroDePuerto Filtrar"- r"Block ProtocoloNúmeroDePuerto Regla": o
      Por ejemplo, para eliminar el filtro "Filtro de bloque UDP 1434" y los dos reglas que ha creado, utilice el comando siguiente:
      IPSeccmd.exe -w REG -p "Filtro de bloque UDP 1434" - r "Regla de bloqueo entrante UDP 1434" - r "Block UDP saliente 1434 Rule" -o
  • Equipos que tienen una directiva dinámica definido localmente
    Directiva IPSec dinámica es no aplica si se detiene el servicio del agente IPSecPolicy mediante la net stop policyagent comando. Para eliminar los comandos específicos que se utilizaron sin detener el servicio Agente de directivas IPSec, siga estos pasos:
    1. Abra un símbolo del sistema y, a continuación, establezca la carpeta de trabajo a la carpeta donde ha instalado herramientas de soporte técnico de Windows XP Service Pack 2.
    2. Escriba el siguiente comando:
      IPSeccmd.exe – u
      Nota: También puede reiniciar el servicio Agente de directivas IPSec para desactivar todas las directivas asignadas dinámicamente.

Equipos basados en Windows 2000

  • Equipos con una directiva estática definido localmente
    1. Abra un símbolo del sistema y, a continuación, establezca la carpeta de trabajo a la carpeta donde instaló Ipsecpol.exe.
    2. Para cancelar el filtro que creó anteriormente, utilice el comando siguiente:
      ipsecpol -w REG -p "Block ProtocoloNúmeroDePuerto – Y filtrar"
      Por ejemplo, para cancelar el filtro de bloque UDP 1434 que creó anteriormente, utilice el comando siguiente:
      ipsecpol -w REG -p "Filtro de bloque UDP 1434" -y
    3. Para eliminar el filtro que ha creado, utilice el siguiente comando:
      ipsecpol -w REG -p "Block ProtocoloNúmeroDePuerto Filtrar"- r"Block ProtocoloNúmeroDePuerto Regla": o
      Por ejemplo, para eliminar el filtro "Filtro de bloque UDP 1434" y ambas reglas que creó anteriormente, utilice el comando siguiente:
      ipsecpol -w REG -p "Filtro de bloque UDP 1434" - r "Block Inbound UDP 1434 Rule" - r "Block saliente UDP 1434 Rule" -o
  • Equipos con una directiva dinámico definido localmente

    Directiva IPSec dinámica se desaplicarán si se detiene el servicio del agente IPSecPolicy (utilizando el net stop policyagent comando). Sin embargo eliminar los específicos de comandos se han usedearlier sin detener el servicio Agente de directivas IPSec, siga estos pasos:
    1. Abra un símbolo del sistema y, a continuación, establezca la carpeta de trabajo a la carpeta donde instaló Ipsecpol.exe.
    2. Escriba el siguiente comando:
      Ipsecpol – u
      Nota: También puede reiniciar el servicio Agente de directivas IPSec para desactivar todas las directivas asignadas dinámicamente.

La nueva regla de filtro se aplican a todos los puertos y protocolos

De forma predeterminada en Microsoft Windows 2000 y Microsoft Windows XP, IPSec excluye tráfico de difusión, multidifusión, RSVP, IKE y Kerberos de todas las restricciones de filtro y la autenticación. Para obtener información adicional acerca de estas excepciones, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
253169 Tráfico que puede--y no--protegido por IPSec
Cuando IPSec se utiliza sólo para permitir y bloquear el tráfico, quitar las exenciones para los protocolos Kerberos y RSVP cambiando un valor del registro. Para obtener instrucciones completas acerca de cómo hacerlo, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
254728 IPSec no protege el tráfico de Kerberos entre controladores de dominio
Siguiendo estas instrucciones, puede ayudar a proteger el puerto UDP 1434 incluso en casos donde los atacantes pueden establecer su puerto de origen a los puertos de Kerberos de TCP/UDP 88. Al quitar las exenciones de Kerberos, paquetes de Kerberos ahora coincidirá con todos los filtros en la directiva IPSec. Por lo tanto, Kerberos puede ser protegida dentro de IPSec, bloqueada o permitida. Por lo tanto, si los filtros IPSec coincida con el tráfico de Kerberos que se va a las direcciones IP de controlador de dominio, tendrá que cambiar el diseño de directiva IPSec para agregar nuevos filtros para permitir el tráfico de Kerberos a cada dirección IP de controlador de dominio (si no está usando IPSec para proteger todo el tráfico entre los controladores de dominio como se describe en el artículo 254728 de Knowledge Base).

Reinicie la aplicación de las reglas de filtrado de IPSec en el equipo

Todas las directivas IPSec se basan en el servicio Agente de directivas IPSec para asignarse. Cuando un equipo basado en Windows 2000 está en proceso de puesta en marcha, el servicio Agente de directivas IPSec no es necesariamente el primer servicio para iniciar. Por lo tanto, puede haber un breve momento cuando la conexión de red del equipo es vulnerable a los ataques de virus o un gusano. Esta situación sólo se aplica en el caso de un servicio potencialmente vulnerable se inició correctamente y está aceptando conexión antes de que el servicio Agente de directivas IPSec completamente ha iniciado y se asigna a todas las directivas.
IPSec filtro regla bloque gusano troyano nimda codered de slammer

Propiedades

Id. de artículo: 813878 - Última revisión: 03/20/2016 08:02:00 - Revisión: 8.0

Microsoft Windows 2000 Professional Edition, Microsoft Windows 2000 Server, Microsoft Windows 2000 Advanced Server, Microsoft Windows Server 2003, Datacenter Edition (32-bit x86), Microsoft Windows Server 2003, Enterprise Edition (32-bit x86), Microsoft Windows Server 2003, Standard Edition (32-bit x86), Microsoft Windows Server 2003, Web Edition, Microsoft Windows XP Home Edition, Microsoft Windows XP Professional

  • kbhowto kbmt KB813878 KbMtes
Comentarios