IPSec es un protocolo de encriptación de tráfico de red. En este procedimiento hago una prueba de cómo encriptar las comunicaciones entre un PC cliente (XP) e un server (2003). Il server 2003 ha l'IP 192.168.0.3 y tiene habilitado el servidor FTP, la cosa es que el XP se le conecta al servidor FTP para bajarse unos ficheros, ma tra questi due PG c'è un 'kapuyo'’ con un sniffer, y como el trafico FTP y casi todo en la red es sin cifrar pues el ‘kapuyo’ nos ha sacado la contraseña con la que el XP se a auntenticado en el 2003, Tutto questo avviene nella stessa rete, nello stesso dominio (el XP y el 2003 Almeno). Para que todo el trafico al servidor sea cifrado le habilitaré los servicios de IPSec y en el cliente también para que hablen entre ellos en ‘IPSec’.

Empezemos:

Lo que os digo, un PC con Windows XP se va a conectar a un servidor FTP, es mi Windows 2003 con IIS & FTP habilitado, le pide usuario y contraseña y lo mete (utente: nheobug; parola d’ordine: Pwd123456), le da a “Iniciar sesión” e…

En ese momento hay un ‘kapuyo’ nella LAN, o entre el XP y el FTP/2003 sniffando todo el trafico que pasa, y zamb!! el Ethereal le revela que alguién se ha conectado a un servidor FTP con la IP 192.168.0.3 con el USER: nheobug y la contraseña/PASS: Pwd123456!!! pues el tio nos la ha liado!! ya tiene un usuario y una pwd de nuestro server… andare, lo que nos interesa es cifrar este trafico para que esto NO SE VUELVA A REPETIR. Per fare ciò,… IPSec.

Avviato:

Nos vamos al servidor que queremos proteger y que todo su frafico sea cifrado, en este caso es mi servidor FTP, para que las contraseñas no viajen por la red tan ligeritas. Desde el W2K3, “Inizio” > “Eseguire” > “Mmc” e “Accettare”.

Nos sale una consola de estas, Stiamo per “File” > “Agregar o quitar complemento…”

Le damos a “Aggiungere”, en los complementos, Selezionare “Administrador de las directivas de seguridad IP” e noi diamo “Aggiungere”.

“Equipo local”, y Finalizar. Dopo a “Chiudere” e “Accettare”.

Y tendiamo qualcosa come questo, Ok, Vamos a editar la politica/directiva “Servidor seguro”, pulsante destro e “Proprietà”.

Marcamos los checks SOLO de “Tódo el tráfico ICMP” e “Todo el tráfico de IP”; quello di “<Dinámico>” NO. Selezionamos el de ICMP y damos a “Modificare…”

Ci movemos per tutte sus pestañas, presso “Lista de filtros IP”, comprobamos que está eso, quello di “Todo tráfico ICMP”,

In the of “Filtering action” Indicare “Require security”,

We check the of “All network connections”

In “Tunnel configuration” –> “This rule does not specify an IPSec tunnel”,

Authentication methods –> Kerberos and as everything is OK, we click on “Accettare”,

Ok, now check the same in the policy of “All IP traffic”, has to be the same as the ICMP traffic, and Accept.

Once all that is checked, we Assign the policy of “Secure server”, per questo, pulsante destro e “Assegnare”.

We check that it has the green check, when we close the console there is no need to save the changes.

And this… well it does not say that it has to be done, but I do it, I update the policies through an MSDOS console and I write “gpupdate /force”. Ok, la parte del servidor ya está configurada. A partir de YA, el server no va a haccettar tráfico normal (Cioè, sin cifrar), así que el que intente comunicarse y no tenga la parte cliente configurada (esto que viene ahora) no podrá comunicare con él. Solo habrá trafico seguro.

Ok, ora, quiero che Mi PC con MS Windows XP se contecte a ese servidor, quiero volver a conectarme come antes por FTP. para ello tendre que configurar mi parte, para che entre ese servidor sicuro y io abbia traffico encriptado. Para ello, da el MS Windows XP, abrimos una consola MMC –> “Inizio” > “Eseguire” > “Mmc” e “Accettare”. Ora, en la MMC, “File” > “Aggiungere o rimuovere un componente aggiuntivo…”

Le damos a “Aggiungere”, en los complementos, Selezionare “Administrador de las directivas de seguridad IP” e noi diamo “Aggiungere”.

“Equipo local”, y Finalizar. Dopo a “Chiudere” e “Accettare”.

Y ora ci andiamo a la parte della derecha y ci assegnamos la politica de “Cliente (sólo responder)” > Pulsante destro > “Assegnare”.

Vemos que el check de la directiva se pone verde y pone “Directiva asignada”: “Sì”

Lo mismo que en la parte del servidor, no se exactamente si hay que actualizar las politiche, pero siempre lo hago pq nunca viene mal. “Inizio” > “Eseguire” > “Cmd” e “Accettare”, en la consola del sistema: “gpupdate /force”.

Esto ya para comprobar que el trafico va encriptado… si now probamos a conectarnos por FTP de la misma forma che lo hemos hecho antes o qualsiasi tipo di connessione al servidor seguro… metemos los mismos credenciales y le damos a “Iniciar sesión”

Y el 'kapuyo’ estaría esnifando la red como antes, sólo recibiria paquetes ESP y todo el trafico va cifrado y es IMPOSIBLE que nos descifren lo que pone. Bene, pues este esempio che he echo con un cliente y servidor FTP, que lo sepais que se applica a tutti los trafficos de una red o de internet, exceptuando los que de por sí vayan cifrados come HTTPS, Ssh… pero si copiamos un fichero por la red de un PC a otro, ese traffico va sin cifrar, imaginate que son datos MUY CONFIDENCIALES, o qualsiasi altra idea, si vuoi assicurare il traffico tra PC's, usa IPSec.