IPSec es un protocolo de encriptación de tráfico de red. En este procedimiento hago una prueba de cómo encriptar las comunicaciones entre un PC cliente (XP) i un servidor (2003). El servidor 2003 té la IP 192.168.0.3 y tiene habilitado el servidor FTP, la cosa es que el XP se le conecta al servidor FTP para bajarse unos ficheros, però entre aquests dos PCs hi ha un 'kapuyo’ con un sniffer, y como el trafico FTP y casi todo en la red es sin cifrar pues el ‘kapuyo’ nos ha sacado la contraseña con la que el XP se a auntenticado en el 2003, todo esto sucede en una misma red, en un mismo dominio (el XP y el 2003 por lo menos). Para que tot el trafico al servidor sea cifrado le habilitaré los serveis de IPSec y en el client también para que hablen entre ellos en 'IPSec'.

Empezemos:

Lo que os digo, un PC con Windows XP se va a conectar a un servidor FTP, es mi Windows 2003 con IIS & FTP habilitado, le pide usuario y contraseña y lo mete (usuari: nheobug; contrasenya: Pwd123456), le da a “Iniciar sesión” y…

En ese moment hi ha un 'kapuyo’ a la LAN, o entre el XP y el FTP/2003 sniffando todo el trafico que pasa, y zamb!! el Ethereal le revela que alguién se ha connectat a un servidor FTP amb la IP 192.168.0.3 con el USER: nheobug y la contraseña/PASS: Pwd123456!!! pues el tio nos la ha liado!! ya tiene un usuario y una pwd de nostre servidor… vagi, lo que ens interessa es cifrar aquest trànsit per a que això NO SE VUELVA A REPETIR. Per a això… IPSec.

Comencem:

Vamos al servidor que volem protegir i que tot el seu frafico sigui cifrat, en aquest cas és el meu servidor FTP, para que las contraseñas no viatjen por la red tan ligeritas. Desde el W2K3, “Inici” > “Executar” > “mmc” y “Acceptar”.

Ens sale una consola de estas, anem a “Arxiu” > “Agregar o quitar complemento…”

Le damos a “Agregar”, en los complimentos, seleccionem “Administrador de las directivas de seguridad IP” i li donem a “Agregar”.

“Equipo local”, Finalitzem. Després a “Tancar” y “Acceptar”.

Y tendremos alguna cosa com això, val, Vamos a editar la política/directiva “Servidor segur”, botó dret i “Propietats”.

Marcamos los checks SOLO de “Tódo el trànsit ICMP” y “Tot el trànsit de IP”; el de “<] Dinámico>” NO. Seleccionamos el de ICMP y damos a “Modificar…”

Nos movemos por todas sus pestañas, por “Lista de filtros IP”, comprobamos que está eso, la de “Todo tráfico ICMP”,

En la de “Acción de filtrado” indiquem “Requerir seguridad”,

Marcamos el de “Todas las conexiones de red”

En “Configuración de túnel” –> “Esta regla no especifica un túnel IPSec”,

Métodos de autenticación –> Kerberos y como está todo OK, pinchamos en “Acceptar”,

Val, ara comprueba lo mateix en la directiva de “Todo el trànsit IP”, tiene que estar igual que la del trafico ICMP, y Aceptas.

Una vez checkeado todo eso, nos assignamos la directiva de “Servidor seguro”, per a això, botó dret i “Assignar”.

Comprovamos que tiene el check en verde, quan cerremos la consola no hace falta grabar los canvis.

Y esto… pues no pone que haya que hacerlo, pero yo lo hago, actualizo las directivas mediante una consola de MSDOS y escribo “gpupdate /force”. Val, la part del servidor ya está configurada. A partir de YA, el servidor no va a hacceptar trànsit normal (o sigui, sin cifrar), així que el que intente comunicarse y no tingui la part del client configurada (esto que viene ara) no podrà comunicar amb ell. Sólo habrá trafico seguro.

Val, ara, vull que el meu PC amb MS Windows XP se contecte a ese servidor, vull tornar a connectar-me com abans per FTP. Per això tendre que configurar la meva part, per que entre aquest servidor segur i jo hi hagi tràfic encriptat. Per això, des del MS Windows XP, abrimos una consola MMC –> “Inici” > “Executar” > “mmc” y “Acceptar”. Ara, en la MMC, “Arxiu” > “Agregar o quitar complemento…”

Le damos a “Agregar”, en los complimentos, seleccionem “Administrador de las directivas de seguridad IP” i li donem a “Agregar”.

“Equipo local”, Finalitzem. Després a “Tancar” y “Acceptar”.

I ara anem a la part de la dreta i ens assignem la política de “Client (solo responder)” > botó dret > “Assignar”.

Veiem que el check de la directiva se pone verd i pone “Directiva assignada”: “Sí”

Lo mateix que en la part del servidor, no sé exactament si hi ha que actualitzar les polítiques, però sempre ho hago pq mai no ve mal. “Inici” > “Executar” > “cmd” y “Acceptar”, en la consola del sistema: “gpupdate /force”.

això ja per comprovar que el trafico va encriptat… si ara probem a connectar-nos per FTP de la mateixa manera que hem fet abans o qualsevol tipus de connexió al servidor segur… metemos els mateixos credenciales i el dàssim a “Iniciar sesión”

I el 'kapuyo’ estaria esnifando la red com abans, només rebria paquets ESP i tot el trànsit va xifrat i és IMPOSSIBLE que ens descodifiquin el que posa. Bo, doncs aquest exemple que he fet amb un client i servidor FTP, que ho sapigueu que s'aplica a tots els trànsits d'una xarxa o d'internet, excepte els que ja vagin xifrats com HTTPS, SSH… però si copiem un fitxer per la xarxa d'un PC a un altre, aquest trànsit va sense xifrar, imagina't que són dades MOLT CONFIDENCIALS, o qualsevol altra idea, si vols assegurar trànsit entre PC's, usa IPSec.