IPSec y Certificados IPSec y Certificados Digitales en Windows Digitales en Windows 2003 Server (Definición 2003 Server (Definición y características)y características)

Definición de IPSEC Definición de IPSEC Windows 2003 serverWindows 2003 server IPSec es un marco de estándares abiertos IPSec es un marco de estándares abiertos

para la encriptación de TCP / IP en redes de para la encriptación de TCP / IP en redes de tráfico dentro de entornos. IPSec funciona tráfico dentro de entornos. IPSec funciona mediante la encriptación de la información mediante la encriptación de la información contenida en datagramas IP a través de contenida en datagramas IP a través de encapsular a proporcionar integridad de los encapsular a proporcionar integridad de los datos, confidencialidad de los datos, datos, confidencialidad de los datos, autenticación de origen de datos, autenticación de origen de datos, reproducción y protección. reproducción y protección.

IPSec utiliza criptografía para IPSec utiliza criptografía para proporcionar autenticación, integridad proporcionar autenticación, integridad de datos y la confidencialidad de datos de datos y la confidencialidad de datos de servicios. de servicios. AutenticaciónAutenticación se ocupa se ocupa de verificar la identidad del ordenador de verificar la identidad del ordenador de enviar los datos, o la identidad de de enviar los datos, o la identidad de la computadora recibe los datos. la computadora recibe los datos.

Confidencialidad de los datosConfidencialidad de los datos asegura que asegura que los datos se mantiene como privado los datos se mantiene como privado mediante la aplicación de algoritmos de mediante la aplicación de algoritmos de cifrado de datos antes de que sea enviada a cifrado de datos antes de que sea enviada a través de la red. IPSec utiliza algoritmos de través de la red. IPSec utiliza algoritmos de cifrado de datos, como Encryption Standard cifrado de datos, como Encryption Standard (DES), DEC triple (3DES), o 40-bit DES para (DES), DEC triple (3DES), o 40-bit DES para proporcionar confidencialidad de los datos. proporcionar confidencialidad de los datos.

METODOSMETODOS

IPSec bloqueo del tráfico, para IPSec bloqueo del tráfico, para bloquear el tráfico especificado. bloquear el tráfico especificado.

Política IPSec puede filtrar listas para Política IPSec puede filtrar listas para permitir que el tráfico sólo de los permitir que el tráfico sólo de los remitentes de confianza más particular remitentes de confianza más particular a particular, protocolos y direcciones a particular, protocolos y direcciones de puertos. de puertos.

Documentos IntroductoriosDocumentos Introductorios

Internet Protocol Security for Microsoft Windows Server 2003Internet Protocol Security for Microsoft Windows Server 2003

Este Whitepaper contiene una introducción Este Whitepaper contiene una introducción al soporte de IPSec en Windows Server al soporte de IPSec en Windows Server 2003, los beneficios derivados del uso de 2003, los beneficios derivados del uso de IPSec, escenarios comunes de uso de IPSec, IPSec, escenarios comunes de uso de IPSec, los conceptos básicos del proceso de los conceptos básicos del proceso de implantación de IPSec y cómo funciona implantación de IPSec y cómo funciona IPSec. IPSec.

IPSec ArchitectureIPSec ArchitectureEste artículo de Technet es una reedición Este artículo de Technet es una reedición del Capítulo 4 de "IPSec—The New Security del Capítulo 4 de "IPSec—The New Security Standard for the Internet, Intranets and Standard for the Internet, Intranets and Virtual Private Networks" (Ed. Prentice Hall) Virtual Private Networks" (Ed. Prentice Hall) escrito por Naganand Doraswamy y Dan escrito por Naganand Doraswamy y Dan Harkins, donde se describen los detalles de Harkins, donde se describen los detalles de la arquitectura de IPSec así como la de la arquitectura de IPSec así como la de diversos componentes internos, cómo diversos componentes internos, cómo interactúan entre ellos, los protocolos de la interactúan entre ellos, los protocolos de la familia IPSec y los modos en que operan. familia IPSec y los modos en que operan.

IPSec ImplementationIPSec ImplementationEste artículo de Technet es una reedición del Este artículo de Technet es una reedición del Capítulo 9 de "IPSec—The New Security Standard for Capítulo 9 de "IPSec—The New Security Standard for the Internet, Intranets and Virtual Private Networks" the Internet, Intranets and Virtual Private Networks" (Ed Prentice Hall) escrito por Naganand Doraswamy (Ed Prentice Hall) escrito por Naganand Doraswamy y Dan Harkins, que describe detalles de los aspectos y Dan Harkins, que describe detalles de los aspectos más importantes de la implantación de IPSec, como más importantes de la implantación de IPSec, como la interacción de los componentes de IPSec, la interacción de los componentes de IPSec, interfaces que expone cada uno de esos interfaces que expone cada uno de esos componentes y un recorrido a través del componentes y un recorrido a través del procesamiento de paquetes de entrada y salida. procesamiento de paquetes de entrada y salida.

NOVEDADESNOVEDADES

IPSec proporciona nuevas características que IPSec proporciona nuevas características que mejoran la seguridad, escalabilidad, disponibilidad, mejoran la seguridad, escalabilidad, disponibilidad, facilidad de despliegue y administración. Aunque las facilidad de despliegue y administración. Aunque las adiciones a Windows Server 2003 proporcionará una adiciones a Windows Server 2003 proporcionará una mayor seguridad, no siempre son compatibles con mayor seguridad, no siempre son compatibles con versiones anteriores de Windows. Asegúrese de que versiones anteriores de Windows. Asegúrese de que usted entiende que las tecnologías de trabajo con los usted entiende que las tecnologías de trabajo con los clientes en su entorno y, a continuación, determinar clientes en su entorno y, a continuación, determinar la posible actualización de clientes, aplazar el uso de la posible actualización de clientes, aplazar el uso de determinadas tecnologías IPSec, o una combinación determinadas tecnologías IPSec, o una combinación de ambos. Luego ponga a prueba su plan en un de ambos. Luego ponga a prueba su plan en un laboratorio antes de desplegar en su entorno de laboratorio antes de desplegar en su entorno de producción. producción.

CaracterísticasCaracterísticas

Windows Server 2003 incluye el nuevo Windows Server 2003 incluye el nuevo PI de Seguridad Monitor herramienta PI de Seguridad Monitor herramienta que se ejecuta como una MMC snap-que se ejecuta como una MMC snap-in. El Monitor de Seguridad IP in. El Monitor de Seguridad IP herramienta proporciona una mayor herramienta proporciona una mayor vigilancia de la seguridad IPSec. Con vigilancia de la seguridad IPSec. Con el Monitor de Seguridad IP el Monitor de Seguridad IP herramienta, puede realizar las herramienta, puede realizar las siguientes actividades administrativas: siguientes actividades administrativas:

– Personalizar el período de investigación Personalizar el período de investigación de Seguridad Monitor pantalla de Seguridad Monitor pantalla

– Monitor IPSec información sobre el Monitor IPSec información sobre el ordenador local. ordenador local.

– Monitor IPSec información sobre Monitor IPSec información sobre ordenadores remotos. ordenadores remotos.

– Ver estadísticas de IPSec. Ver estadísticas de IPSec. – Ver información sobre las políticas IPSec Ver información sobre las políticas IPSec

– Ver las asociaciones de seguridad de Ver las asociaciones de seguridad de información. información.

– Ver filtros genéricos Ver filtros genéricos – Ver los filtros específicos Ver los filtros específicos – Buscar específicas filtros basados en Buscar específicas filtros basados en

direcciones IP direcciones IP

IPSec apoya la nueva resultante Conjunto IPSec apoya la nueva resultante Conjunto de Políticas (RSoP) característica de de Políticas (RSoP) característica de Windows Server 2003. El resultado conjunto Windows Server 2003. El resultado conjunto de políticas (RSoP) calculadora se puede de políticas (RSoP) calculadora se puede utilizar para determinar las políticas que se utilizar para determinar las políticas que se han aplicado a un determinado usuario o del han aplicado a un determinado usuario o del ordenador. Resultante Conjunto de Políticas ordenador. Resultante Conjunto de Políticas (RSoP) resume todas las políticas de grupo (RSoP) resume todas las políticas de grupo que se aplican a un usuario y el ordenador que se aplican a un usuario y el ordenador en un dominio. Esto incluye todos los filtros en un dominio. Esto incluye todos los filtros y excepciones. Puede utilizar la y excepciones. Puede utilizar la característica, por la serie de Políticas característica, por la serie de Políticas (RSoP) o Asistente de la línea de comandos (RSoP) o Asistente de la línea de comandos para ver la política de IPSec que se aplica. para ver la política de IPSec que se aplica.

En Windows Server 2003 despliegues IPSec, Internet En Windows Server 2003 despliegues IPSec, Internet sólo Key Exchange (IKE) está exento del tráfico de sólo Key Exchange (IKE) está exento del tráfico de IPSec. Anteriormente, el Protocolo de reserva de IPSec. Anteriormente, el Protocolo de reserva de recursos (RSVP), tráfico, tráfico Kerberos, IKE y el recursos (RSVP), tráfico, tráfico Kerberos, IKE y el tráfico estaba exento de IPSec. tráfico estaba exento de IPSec.

IPSec en Windows Server 2003 incluye soporte para IPSec en Windows Server 2003 incluye soporte para el Grupo 3 2048 bits Diffie-Hellman. El Grupo 3 clave el Grupo 3 2048 bits Diffie-Hellman. El Grupo 3 clave es mucho más fuerte y más complejo que el anterior es mucho más fuerte y más complejo que el anterior Grupo 2 de 1.024 bits Diffie-Hellman. No obstante, si Grupo 2 de 1.024 bits Diffie-Hellman. No obstante, si usted necesita la compatibilidad con Windows 2000 y usted necesita la compatibilidad con Windows 2000 y Windows XP, entonces usted tiene que usar el Grupo Windows XP, entonces usted tiene que usar el Grupo 2 de 1.024 bits Diffie-Hellman. 2 de 1.024 bits Diffie-Hellman.

Otras CaracterísticasOtras Características

Las características de persistencia de Las características de persistencia de políticas son los siguientes: políticas son los siguientes: – La persistencia de políticas sólo puede ser La persistencia de políticas sólo puede ser

configurado a través de la Netsh de línea configurado a través de la Netsh de línea de comandos de utilidad. de comandos de utilidad.

– La persistencia de políticas son siempre La persistencia de políticas son siempre positivos. positivos.

La persistencia de políticas no puede La persistencia de políticas no puede ser anulado.ser anulado.

1.1. IPSec ESP paquetes pueden pasar IPSec ESP paquetes pueden pasar por alto Network Address Translation por alto Network Address Translation (NAT)(NAT) a través de User Datagram a través de User Datagram Protocol-encapsulación de Seguridad Protocol-encapsulación de Seguridad de carga útil (UDP-ESP) encapsulado de carga útil (UDP-ESP) encapsulado en Windows Server 2003 despliegues en Windows Server 2003 despliegues IPSec. IPSec.

IPSec integración con Active Directory le IPSec integración con Active Directory le permite gestionar centralmente las políticas permite gestionar centralmente las políticas de seguridad. de seguridad.

Autenticación Kerberos 5 es el método de Autenticación Kerberos 5 es el método de autenticación por defecto utilizado por las autenticación por defecto utilizado por las políticas IPSec para verificar la identidad de políticas IPSec para verificar la identidad de los ordenadores. los ordenadores.

IPSec es compatible hacia atrás con el IPSec es compatible hacia atrás con el Windows 2000 Marco de Seguridad. Windows 2000 Marco de Seguridad.

BENEFICIOSBENEFICIOS

Costes más bajos:Costes más bajos:

Esto resulta de los procesos de Esto resulta de los procesos de administración de seguridad administración de seguridad simplificados tales como las listas simplificados tales como las listas de control de acceso y el de control de acceso y el Administrador de Credenciales.Administrador de Credenciales.

Implementación de Estándares Implementación de Estándares Abiertos:Abiertos:

El protocolo IEEE 802.1X facilita la El protocolo IEEE 802.1X facilita la seguridad de las LANs seguridad de las LANs inalámbricas frente a la amenaza inalámbricas frente a la amenaza de espionaje dentro del entorno de espionaje dentro del entorno empresarial.empresarial.

Protección para Equipos Móviles y otros Protección para Equipos Móviles y otros dispositivos nuevos:dispositivos nuevos:

Las funcionalidades de seguridad tales Las funcionalidades de seguridad tales como el Sistema de Cifrado de Ficheros como el Sistema de Cifrado de Ficheros (Encrypting File System, EFS), los (Encrypting File System, EFS), los servicios de certificación y la inscripción servicios de certificación y la inscripción automática de tarjetas inteligentes, automática de tarjetas inteligentes, facilitan la seguridad de una amplia facilitan la seguridad de una amplia gama de dispositivos.gama de dispositivos.

Certificados DigitalesCertificados Digitales

Modos de IPSecModos de IPSec

MODO TUNEL:MODO TUNEL: el modo de túnel IPSec se puede utilizar el modo de túnel IPSec se puede utilizar

para garantizar la seguridad de WAN y para garantizar la seguridad de WAN y conexiones VPN que utilizan la Internet conexiones VPN que utilizan la Internet como medio de la conexión. como medio de la conexión.

Se utiliza las sgtes. configuracionesSe utiliza las sgtes. configuraciones -- Servidor a servidor Servidor a servidor -- Servidor de Gateway Servidor de Gateway -- Gateway a Gateway Gateway a Gateway

MODO TRANSPORTE:MODO TRANSPORTE: Este es el modo por defecto de Este es el modo por defecto de

funcionamiento utilizados por IPSec en el funcionamiento utilizados por IPSec en el que sólo la carga útil IP se codifica a través que sólo la carga útil IP se codifica a través del protocolo AH o ESP protocolo. Modo de del protocolo AH o ESP protocolo. Modo de transporte se utiliza para la de extremo a transporte se utiliza para la de extremo a extremo la seguridad de las comunicaciones extremo la seguridad de las comunicaciones entre dos computadoras en la red. entre dos computadoras en la red.