Asegurando nuestra LAN mediante IPSec, entre Microsoft Windows 2003 y Microsoft Windows XP

Print Friendly, PDF & Email

IPSec es un protocolo de encriptación de tráfico de red. En este procedimiento hago una prueba de cómo encriptar las comunicaciones entre un PC cliente (XP) y un servidor (2003). El servidor 2003 tiene la IP 192.168.0.3 y tiene habilitado el servidor FTP, la cosa es que el XP se le conecta al servidor FTP para bajarse unos ficheros, pero entre esos dos PC’s hay un ‘kapuyocon un sniffer, y como el trafico FTP y casi todo en la red es sin cifrar pues el ‘kapuyonos ha sacado la contraseña con la que el XP se a auntenticado en el 2003, todo esto sucede en una misma red, en un mismo dominio (el XP y el 2003 por lo menos). Para que todo el trafico al servidor sea cifrado le habilitaré los servicios de IPSec y en el cliente también para que hablen entre ellos en ‘IPSec’.

Empezemos:

Lo que os digo, un PC con Windows XP se va a conectar a un servidor FTP, es mi Windows 2003 con IIS & FTP habilitado, le pide usuario y contraseña y lo mete (usuario: nheobug; contraseña: Pwd123456), le da aIniciar sesióny

En ese momento hay un ‘kapuyoen la LAN, o entre el XP y el FTP/2003 sniffando todo el trafico que pasa, y zamb!! el Ethereal le revela que alguién se ha conectado a un servidor FTP con la IP 192.168.0.3 con el USER: nheobug y la contraseña/PASS: Pwd123456!!! pues el tio nos la ha liado!! ya tiene un usuario y una pwd de nuestro servervaya, lo que nos interesa es cifrar este trafico para que esto NO SE VUELVA A REPETIR. Para elloIPSec.

Comenzamos:

Nos vamos al servidor que queremos proteger y que todo su frafico sea cifrado, en este caso es mi servidor FTP, para que las contraseñas no viajen por la red tan ligeritas. Desde el W2K3, “Inicio” > “Ejecutar” > “mmcyAceptar”.

Nos sale una consola de estas, vamos aArchivo” > “Agregar o quitar complemento…”

Le damos aAgregar”, en los complementos, seleccionamosAdministrador de las directivas de seguridad IPy le damos aAgregar”.

Equipo local”, y Finalizar. Después aCerraryAceptar”.

Y tendremos algo como esto, vale, vamos a editar la politica/directivaServidor seguro”, botón derecho yPropiedades”.

Marcamos los checks SOLO deTódo el tráfico ICMPyTodo el tráfico de IP”; el de “<Dinámico>” NO. Seleccionamos el de ICMP y damos aModificar…”

Nos movemos por todas sus pestañas, porLista de filtros IP”, comprobamos que está eso, la deTodo tráfico ICMP”,

En la deAcción de filtradoindicamosRequerir seguridad”,

Marcamos el deTodas las conexiones de red

EnConfiguración de túnel” –> “Esta regla no especifica un túnel IPSec”,

Métodos de autenticación –> Kerberos y como está todo OK, pinchamos enAceptar”,

Vale, ahora comprueba lo mismo en la directiva deTodo el tráfico IP”, tiene que estar igual que la del trafico ICMP, y Aceptas.

Una vez checkeado todo eso, nos Asignamos la directiva deServidor seguro”, para ello, botón derecho yAsignar”.

Comprobamos que tiene el check en verde, cuando cerremos la consola no hace falta grabar los cambios.

Y estopues no pone que haya que hacerlo, pero yo lo hago, actualizo las directivas mediante una consola de MSDOS y escribogpupdate /force”. Vale, la parte del servidor ya está configurada. A partir de YA, el server no va a haceptar tráfico normal (o sea, sin cifrar), así que el que intente comunicarse y no tenga la parte cliente configurada (esto que viene ahora) no podrá comunicar con él. Sólo habrá trafico seguro.

Vale, ahora, yo quiero que Mi PC con MS Windows XP se contecte a ese servidor, quiero volver a conectarme como antes por FTP. Para ello tendre que configurar mi parte, para que entre ese servidor seguro y yo haya trafico encriptado. Para ello, desde el MS Windows XP, abrimos una consola MMC –> “Inicio” > “Ejecutar” > “mmcyAceptar”. Ahora, en la MMC, “Archivo” > “Agregar o quitar complemento…”

Le damos aAgregar”, en los complementos, seleccionamosAdministrador de las directivas de seguridad IPy le damos aAgregar”.

Equipo local”, y Finalizar. Después aCerraryAceptar”.

Y ahora nos vamos a la parte de la derecha y nos asignamos la politica deCliente (sólo responder)” > botón derecho > “Asignar”.

Vemos que el check de la directiva se pone verde y poneDirectiva asignada”: “

Lo mismo que en la parte del servidor, no se exactamente si hay que actualizar las políticas, pero siempre lo hago pq nunca viene mal. “Inicio” > “Ejecutar” > “cmdyAceptar”, en la consola del sistema: “gpupdate /force”.

Esto ya para comprobar que el trafico va encriptadosi ahora probamos a conectarnos por FTP de la misma forma que lo hemos hecho antes o cualquier tipo de conexión al servidor segurometemos los mismos credenciales y le damos aIniciar sesión

Y el ‘kapuyoestaría esnifando la red como antes, sólo recibiria paquetes ESP y todo el trafico va cifrado y es IMPOSIBLE que nos descifren lo que pone. Bueno, pues este ejemplo que he echo con un cliente y servidor FTP, que lo sepais que se aplica a todos los traficos de una red o de internet, exceptuando los que de por sí vayan cifrados como HTTPS, SSHpero si copiamos un fichero por la red de un PC a otro, ese trafico va sin cifrar, imaginate que son datos MUY CONFIDENCIALES, o cualquier otra idea, si quieres asegurar trafico entre PC’s, usa IPSec.


Posts recomendados

Libro Windows Server 2022 en español
Leer
Nuevo Teams en Citrix
Leer
Conectando un linux a una VPN IPSEC de Fortigate
Leer
Monitorizando SQL Server con Centreon
Leer

Autor

by Héctor Herrero 
nheobug@bujarra.com
Autor del blog Bujarra.com Cualquier necesidad que tengas, no dudes en contactar conmigo, os intentare ayudar siempre que pueda, compartir es vivir ;) . Disfrutar de los documentos!!!

Actualizar a Microsoft Windows 2003 R2

21 de October de 2008

Configurando iSCSI en Microsoft Windows

21 de October de 2008