IPSec es un protocolo de encriptación de tráfico de red. En este procedimiento hago una prueba de cómo encriptar las comunicaciones entre un PC cliente (XP) et un serveur (2003). Le serveur 2003 a l’adresse IP 192.168.0.3 y tiene habilitado el servidor FTP, la cosa es que el XP se le conecta al servidor FTP para bajarse unos ficheros, mais entre ces deux PJ, il y a un « kapuyo »’ con un sniffer, y como el trafico FTP y casi todo en la red es sin cifrar pues el ‘kapuyo’ nos ha sacado la contraseña con la que el XP se a auntenticado en el 2003, Tout cela se passe dans le même réseau, dans le même domaine (el XP y el 2003 Au moins). Para que todo el trafico al servidor sea cifrado le habilitaré los servicios de IPSec y en el cliente también para que hablen entre ellos en ‘IPSec’.

Empezemos:

Lo que os digo, un PC con Windows XP se va a conectar a un servidor FTP, es mi Windows 2003 con IIS & FTP habilitado, le pide usuario y contraseña y lo mete (utilisateur: nheobug; contraseña: Pwd123456), le da a “Iniciar sesión” et…

En ese momento hay un ‘kapuyo’ sur le réseau local, o entre el XP y el FTP/2003 sniffando todo el trafico que pasa, y zamb!! el Ethereal le revela que alguién se ha conectado a un servidor FTP con la IP 192.168.0.3 con el USER: nheobug y la contraseña/PASS: Pwd123456!!! pues el tio nos la ha liado!! ya tiene un usuario y una pwd de nuestro server… aller, lo que nos interesa es cifrar este trafico para que esto NO SE VUELVA A REPETIR. Pour ce faire,… IPSec.

Commencé:

Nos vamos al servidor que queremos proteger y que todo su frafico sea cifrado, en este caso es mi servidor FTP, para que las contraseñas no viajen por la red tan ligeritas. Desde el W2K3, “Commencement” > “Exécuter” > “mmc” et “Accepter”.

Nos sale una consola de estas, Nous allons “Lime” > “Agregar o quitar complemento…”

Le damos a “Ajouter”, en los complementos, Choisir “Administrador de las directivas de seguridad IP” et nous donnons “Ajouter”.

“Equipo local”, et Finition. Después a “Fermer” et “Accepter”.

Y tendremos algo como esto, D’accord, vamos a editar la politica/directiva “Servidor seguro”, bouton droit et “Propriétés”.

Marcamos los checks SOLO de “Tódo el tráfico ICMP” et “Todo el tráfico de IP”; celle de “<Dinámico>” NON. Seleccionamos el de ICMP y damos a “Modifier…”

Nos movemos por todas sus pestañas, par “Lista de filtros IP”, comprobamos que está eso, celle de “Todo tráfico ICMP”,

En la de “Filtrage d'action” Indiquer “Exiger la sécurité”,

Nous cocherons le de “Toutes les connexions réseau”

Dans “Configuration du tunnel” –> “Cette règle ne spécifie pas de tunnel IPSec”,

Méthodes d'authentification –> Kerberos et comme tout est OK, nous cliquons sur “Accepter”,

D’accord, maintenant vérifie la même chose dans la stratégie de “Tout le trafic IP”, doit être identique à celui du trafic ICMP, et Accepter.

Une fois tout cela vérifié, nous nous assignons la stratégie de “Serveur sécurisé”, pour cela, bouton droit et “Assigner”.

Vérifions qu'il a la coche en vert, lorsque nous fermerons la console, il n'est pas nécessaire d'enregistrer les changements.

Et cela… eh bien, il n'est pas indiqué qu'il faille le faire, mais je le fais, je mets à jour les stratégies via une console MSDOS et j'écris “gpupdate /force”. D’accord, la parte del servidor ya está configurada. A partir de YA, el server no va a haceptar tráfico normal (C’est, sin cifrar), así que el que intente comunicarse y no tenga la parte cliente configurada (esto que viene ahora) no podrá comunicar con él. Sólo habrá trafico seguro.

D’accord, Maintenant, yo quiero que Mi PC con MS Windows XP se contecte a ese servidor, quiero volver a conectarme como antes por FTP. Para ello tendre que configurar mi parte, para que entre ese servidor seguro y yo haya trafico encriptado. Para ello, desde el MS Windows XP, abrimos una consola MMC –> “Commencement” > “Exécuter” > “mmc” et “Accepter”. Maintenant, en la MMC, “Lime” > “Ajouter ou supprimer un complément…”

Le damos a “Ajouter”, en los complementos, Choisir “Administrador de las directivas de seguridad IP” et nous donnons “Ajouter”.

“Equipo local”, et Finition. Después a “Fermer” et “Accepter”.

Y ahora nos vamos a la parte de la derecha y nos asignamos la politica de “Client (sólo responder)” > Bouton droit > “Assigner”.

Vemos que el check de la directiva se pone verde y pone “Directiva asignada”: “Oui”

Lo mismo que en la parte del servidor, no se exactamente si hay que actualizar las políticas, pero siempre lo hago pq nunca viene mal. “Commencement” > “Exécuter” > “Cmd” et “Accepter”, en la consola del sistema: “gpupdate /force”.

Esto ya para comprobar que el trafico va encriptado… si ahora probamos a conectarnos por FTP de la misma forma que lo hemos hecho antes o cualquier tipo de conexión al servidor seguro… metemos los mismos credenciales y le damos a “Iniciar sesión”

Y el ‘kapuyo’ estaría esnifando la red como antes, sólo recibiria paquetes ESP y todo el trafico va cifrado y es IMPOSIBLE que nos descifren lo que pone. Puits, pues este ejemplo que he echo con un cliente y servidor FTP, que lo sepais que se aplica a todos los traficos de una red o de internet, exceptuando los que de por sí vayan cifrados como HTTPS, SSH… pero si copiamos un fichero por la red de un PC a otro, ese trafico va sin cifrar, imaginate que son datos MUY CONFIDENCIALES, o cualquier otra idea, si quieres asegurar trafico entre PC’s, usa IPSec.