Protegendo nossa LAN usando IPSec, entre Microsoft Windows 2003 e Microsoft Windows XP

Impressão amigável, PDF & E-mail

IPSec es un protocolo de encriptación de tráfico de red. En este procedimiento hago una prueba de cómo encriptar las comunicaciones entre un PC cliente (XP) e um servidor (2003). O servidor 2003 tem o IP 192.168.0.3 y tiene habilitado el servidor FTP, la cosa es que el XP se le conecta al servidor FTP para bajarse unos ficheros, mas entre esses dois PCs há um 'kapuyo'’ con un sniffer, y como el trafico FTP y casi todo en la red es sin cifrar pues el ‘kapuyonos ha sacado la contraseña con la que el XP se a auntenticado en el 2003, Tudo isso acontece na mesma rede, no mesmo domínio (el XP y el 2003 Pelo menos). Para que todo el trafico al servidor sea cifrado le habilitaré los servicios de IPSec y en el cliente también para que hablen entre ellos en ‘IPSec’.

Empezemos:

Lo que os digo, un PC con Windows XP se va a conectar a un servidor FTP, es mi Windows 2003 con IIS & FTP habilitado, le pide usuario y contraseña y lo mete (utilizador: nheobug; senha: Pwd123456), le da aIniciar sesión” e…

En ese momento hay un ‘kapuyo’ na LAN, o entre el XP y el FTP/2003 sniffando todo el trafico que pasa, y zamb!! el Ethereal le revela que alguién se ha conectado a un servidor FTP con la IP 192.168.0.3 con el USER: nheobug y la contraseña/PASS: Pwd123456!!! pues el tio nos la ha liado!! ya tiene un usuario y una pwd de nuestro server… ir, lo que nos interesa es cifrar este trafico para que esto NO SE VUELVA A REPETIR. Para fazer isso,… IPSec.

Início:

Nos vamos al servidor que queremos proteger y que todo su frafico sea cifrado, en este caso es mi servidor FTP, para que las contraseñas no viajen por la red tan ligeritas. Desde el W2K3, “Princípio” > “Executar” > “Mmc” e “Aceitar”.

Nos sale una consola de estas, Nós vamos “Arquivo” > “Agregar o quitar complemento…”

Le damos a “Adicionar”, en los complementos, Selecionar “Administrador de las directivas de seguridad IP” e nós damos “Adicionar”.

“Equipo local”, e Acabamento. Depois a “Fechar” e “Aceitar”.

Y tendremos algo como esto, ok, vamos a editar la política/directiva “Servidor seguro”, botão direito e “Propriedades”.

Marcamos los checks SOLO de “Tódo el tráfico ICMP” e “Todo el tráfico de IP”; el de “<Dinámico>” NÃO. Selecionamos el de ICMP e damos a “Modificar…”

Nos movemos por todas as suas pestañas, por “Lista de filtros IP”, comprovamos que está eso, la de “Todo tráfico ICMP”,

En la de “Acción de filtrado” Indicar “Requerir seguridad”,

Marcamos el de “Todas las conexiones de red”

Em “Configuración de túnel” –> “Esta regla no especifica un túnel IPSec”,

Métodos de autenticación –> Kerberos y como está todo OK, pinchamos en “Aceitar”,

Okey, agora comprueba lo mismo en la directiva de “Todo el tráfico IP”, está que estar igual que la del trafico ICMP, y Aceptas.

Una vez checkeado todo eso, Asignamos la directiva de “Servidor seguro”, por isso, botão direito e “Asignar”.

Confirmamos que tiene el check en verde, quando cerremos la consola no hace falta grabar los cambios.

Y esto… pues no pone que haya que hacerlo, pero yo lo hago, actualizo las directivas mediante una consola de MSDOS y escribo “gpupdate /force”. Okey, a parte do servidor já está configurada. A partir de AGORA, o servidor não vai aceitar tráfego normal (Isto é, sem encriptação), portanto quem tentar comunicar e não tiver a parte cliente configurada (isto que vem agora) não poderá comunicar com ele. Só haverá tráfego seguro.

Okey, agora, eu quero que o meu PC com MS Windows XP se conecte a esse servidor, quero voltar a conectar-me como antes por FTP. Para isso terei de configurar a minha parte, para que entre esse servidor seguro e eu haja tráfego encriptado. Para ello, desde o MS Windows XP, abrimos uma consola MMC –> “Princípio” > “Executar” > “Mmc” e “Aceitar”. Agora, na MMC, “Arquivo” > “Agregar o quitar complemento…”

Le damos a “Adicionar”, en los complementos, Selecionar “Administrador de las directivas de seguridad IP” e nós damos “Adicionar”.

“Equipo local”, e Acabamento. Depois a “Fechar” e “Aceitar”.

E agora vamos para a parte da direita e atribuimos a política de “Cliente (apenas responder)” > Botão direito > “Asignar”.

Vemos que el check de la directiva se pone verde y poneDirectiva asignada”: “Sim”

Lo mismo que en la parte del servidor, no se exactamente si hay que actualizar las políticas, pero siempre lo hago pq nunca viene mal. “Princípio” > “Executar” > “cmd” e “Aceitar”, en la consola del sistema: “gpupdate /force”.

Esto ya para comprobar que el trafico va encriptadosi ahora probamos a conectarnos por FTP de la misma forma que lo hemos hecho antes o cualquier tipo de conexión al servidor segurometemos los mismos credenciales y le damos aIniciar sesión

Y el ‘kapuyoestaría esnifando la red como antes, sólo recibiria paquetes ESP y todo el trafico va cifrado y es IMPOSIBLE que nos descifren lo que pone. Poço, pues este exemplo que he echo com um cliente y servidor FTP, que o sepais que se aplica a todos os traficos de uma red ou de internet, exceptuando los que por sí vayan cifrados como HTTPS, SSH… mas si copiamos um ficheiro por la red de um PC a outro, esse tráfico va sin cifrar, imaginate que são dados MUY CONFIDENCIALES, o qualquer outra ideia, si queres garantir o tráfico entre PC's, usa IPSec.


Postagens recomendadas

Novas equipes na Citrix
Ler
Livro do Windows Server 2022 Em espanhol
Ler
Conectando um Linux a uma VPN IPSEC Fortigate
Ler
Monitorando o SQL Server com o Centreon
Ler

Autor

por Héctor Herrero 
nheobug@bujarra.com
Autor del blog Bujarra.com Cualquier necesidad que tengas, Não hesite em contactar-me, Vou tentar ajudá-lo sempre que puder, Compartilhar é viver ;) . Desfrute de documentos!!!

Actualizar a Microsoft Windows 2003 R2

21 Outubro 2008

Configurando iSCSI en Microsoft Windows

21 Outubro 2008