IPSec es un protocolo de encriptación de tráfico de red. En este procedimiento hago una prueba de cómo encriptar las comunicaciones entre un PC cliente (XP) y un servidor (2003). El servidor 2003 tiene la IP 192.168.0.3 y tiene habilitado el servidor FTP, la cosa es que el XP se le conecta al servidor FTP para bajarse unos ficheros, pero entre esos dos PC’s hay un ‘kapuyo’ con un sniffer, y como el trafico FTP y casi todo en la red es sin cifrar pues el ‘kapuyo’ nos ha sacado la contraseña con la que el XP se a auntenticado en el 2003, todo esto sucede en una misma red, en un mismo dominio (el XP y el 2003 por lo menos). Para que todo el trafico al servidor sea cifrado le habilitaré los servicios de IPSec y en el cliente también para que hablen entre ellos en 'IPSec'.

Empezemos:

Lo que os digo, un PC con Windows XP se va a conectar a un servidor FTP, es mi Windows 2003 con IIS & FTP habilitado, le pide usuario y contraseña y lo mete (usuario: nheobug; pasahitza: Pwd123456), le da a “Iniciar sesión” eta…

En ese momento hay un 'kapuyo’ en la LAN, o entre el XP y el FTP/2003 sniffando todo el trafico que pasa, y zamb!! el Ethereal le revela que alguién se ha conectado a un servidor FTP con la IP 192.168.0.3 con el USER: nheobug y la contraseña/PASS: Pwd123456!!! pues el tio nos la ha liado!! ya tiene un usuario y una pwd de nuestro server… vaya, lo que nos interesa es cifrar este trafico para que esto NO SE VUELVA A REPETIR. Para ello… IPSec.

Comenzamos:

Nos vamos al servidor que queremos proteger y que todo su frafico sea cifrado, en este caso es mi servidor FTP, para que las contraseñas no viajen por la red tan ligeritas. Desde el W2K3, “Hasi” > “Ejecutar” > “mmc” eta “Onartu”.

Nos sale una consola de estas, vamos a “Fitxategia” > “Agregar o quitar complemento…”

Le damos a “Agregar”, en los complementos, seleccionamos “Administrador de las directivas de seguridad IP” eta ematen diogu “Agregar”.

“Equipo local”, y Finalizar. Después a “Itxi” eta “Onartu”.

Y tendremos algo como esto, vale, vamos a editar la politica/directiva “Servidor seguro”, eskubiko botoia eta “Propiedades”.

Marcamos los checks SOLO de “Tódo el tráfico ICMP” eta “IP trafiko guztiak”; horietakoa “<Dinamikoa>” NO. ICMPkoa hautatzen dugu eta sakatzen dugu “Aldatu…”

Bere fitxa guztietan mugitzen gara, horietakoa “IP iragazki zerrenda”, horixe dagoela egiaztatzen dugu, horietakoa “ICMP trafiko guztia”,

Horretan “Iragazteko ekintza” indicamos “Segurtasuna eskatzea”,

Horietakoa markatzen dugu “Sareko konexio guztiak”

In “Tunel konfigurazioa” –> “Arazo honek ezin du IPSec tunelik zehaztu”,

Autentikazio metodoak –> Kerberos eta dena ondo badago bezala, sakatu gainean “Onartu”,

Vale, orain gauza bera egiaztatu zuzendaritzan “IP trafiko guztia”, ICMP trafikoarekin berdina egon behar du, eta onartzen du.

Hori guztia egiaztatu ondoren, araudia esleitzen dugu “Seguru zerbitzaria”, horretarako, eskubiko botoia eta “Asignar”.

Comprobamos que tiene el check en verde, cuando cerremos la consola no hace falta grabar los cambios.

Y esto… pues no pone que haya que hacerlo, pero yo lo hago, actualizo las directivas mediante una consola de MSDOS y escribo “gpupdate /force”. Vale, la parte del servidor ya está configurada. A partir de YA, el server no va a haceptar tráfico normal (edo, bestela, sin cifrar), así que el que intente comunicarse y no tenga la parte cliente configurada (esto que viene ahora) no podrá comunicar con él. Sólo habrá trafico seguro.

Vale, ahora, yo quiero que Mi PC con MS Windows XP se contecte a ese servidor, quiero volver a conectarme como antes por FTP. Hori egiteko nire zatia konfiguratu beharko dut, seguru hori zerbitzaria sartzeko eta nik trafiko enkriptatua izateko. Horretarako, MS Windows XP-tik, MMC kontsola bat irekitzen dugu –> “Hasi” > “Ejecutar” > “mmc” eta “Onartu”. orain, MMC-n, “Fitxategia” > “Osagarriak gehitu edo kendu…”

Le damos a “Agregar”, en los complementos, seleccionamos “Administrador de las directivas de seguridad IP” eta ematen diogu “Agregar”.

“Equipo local”, y Finalizar. Después a “Itxi” eta “Onartu”.

Eta orain eskuineko aldera joango gara eta politika hau esleituko diogu “Bezeroa (erantzun soilik)” > botón derecho > “Asignar”.

Ikusten dugu politikaren egiaztapen-koadroa berde bihurtzen dela eta dio “Politika esleitua”: “Bai”

Berdina zerbitzariaren aldean, Ez dakit politikak eguneratu behar diren ala ez, baina beti egiten dut, ez da inoiz gaizki etortzen. “Hasi” > “Ejecutar” > “cmd” eta “Onartu”, Sistemaren kontsolan: “gpupdate /force”.

Hau trafikoa enkriptatuta doala egiaztatzeko… si ahora probamos a conectarnos por FTP de la misma forma que lo hemos hecho antes o cualquier tipo de conexión al servidor seguro… metemos los mismos credenciales y le damos a “Iniciar sesión”

Y el 'kapuyo’ estaría esnifando la red como antes, sólo recibiria paquetes ESP y todo el trafico va cifrado y es IMPOSIBLE que nos descifren lo que pone. Onena, pues este ejemplo que he echo con un cliente y servidor FTP, que lo sepais que se aplica a todos los traficos de una red o de internet, exceptuando los que de por sí vayan cifrados como HTTPS, SSH… pero si copiamos un fichero por la red de un PC a otro, ese trafico va sin cifrar, imaginate que son datos MUY CONFIDENCIALES, o cualquier otra idea, PC arteko trafikoa bermatu nahi baduzu, erabili IPSec.