IPSec y Certificados IPSec y Certificados Digitales en Windows Digitales en Windows 2003 Server 2003 Server (Definición y (Definición y características)características)

Definición de IPSEC Definición de IPSEC Windows 2003 serverWindows 2003 server IPSec es un marco de estándares IPSec es un marco de estándares

abiertos para la encriptación de TCP / IP abiertos para la encriptación de TCP / IP en redes de tráfico dentro de entornos. en redes de tráfico dentro de entornos. IPSec funciona mediante la encriptación IPSec funciona mediante la encriptación de la información contenida en de la información contenida en datagramas IP a través de encapsular a datagramas IP a través de encapsular a proporcionar integridad de los datos, proporcionar integridad de los datos, confidencialidad de los datos, confidencialidad de los datos, autenticación de origen de datos, autenticación de origen de datos, reproducción y protección. reproducción y protección.

IPSec utiliza criptografía para IPSec utiliza criptografía para proporcionar autenticación, proporcionar autenticación, integridad de datos y la integridad de datos y la confidencialidad de datos de confidencialidad de datos de servicios. servicios. AutenticaciónAutenticación se ocupa se ocupa de verificar la identidad del de verificar la identidad del ordenador de enviar los datos, o la ordenador de enviar los datos, o la identidad de la computadora recibe identidad de la computadora recibe los datos. los datos.

Confidencialidad de los datosConfidencialidad de los datos asegura asegura que los datos se mantiene como privado que los datos se mantiene como privado mediante la aplicación de algoritmos de mediante la aplicación de algoritmos de cifrado de datos antes de que sea cifrado de datos antes de que sea enviada a través de la red. IPSec utiliza enviada a través de la red. IPSec utiliza algoritmos de cifrado de datos, como algoritmos de cifrado de datos, como Encryption Standard (DES), DEC triple Encryption Standard (DES), DEC triple (3DES), o 40-bit DES para proporcionar (3DES), o 40-bit DES para proporcionar confidencialidad de los datos. confidencialidad de los datos.

METODOSMETODOS

IPSec bloqueo del tráfico, para IPSec bloqueo del tráfico, para bloquear el tráfico especificado. bloquear el tráfico especificado.

Política IPSec puede filtrar listas Política IPSec puede filtrar listas para permitir que el tráfico sólo para permitir que el tráfico sólo de los remitentes de confianza de los remitentes de confianza más particular a particular, más particular a particular, protocolos y direcciones de protocolos y direcciones de puertos. puertos.

Documentos Documentos IntroductoriosIntroductorios

Internet Protocol Security for Microsoft Internet Protocol Security for Microsoft Windows Server 2003Windows Server 2003

Este Whitepaper contiene una Este Whitepaper contiene una introducción al soporte de IPSec en introducción al soporte de IPSec en Windows Server 2003, los beneficios Windows Server 2003, los beneficios derivados del uso de IPSec, escenarios derivados del uso de IPSec, escenarios comunes de uso de IPSec, los conceptos comunes de uso de IPSec, los conceptos básicos del proceso de implantación de básicos del proceso de implantación de IPSec y cómo funciona IPSec. IPSec y cómo funciona IPSec.

IPSec ArchitectureIPSec ArchitectureEste artículo de Technet es una Este artículo de Technet es una reedición del Capítulo 4 de "IPSec—The reedición del Capítulo 4 de "IPSec—The New Security Standard for the Internet, New Security Standard for the Internet, Intranets and Virtual Private Networks" Intranets and Virtual Private Networks" (Ed. Prentice Hall) escrito por Naganand (Ed. Prentice Hall) escrito por Naganand Doraswamy y Dan Harkins, donde se Doraswamy y Dan Harkins, donde se describen los detalles de la arquitectura describen los detalles de la arquitectura de IPSec así como la de diversos de IPSec así como la de diversos componentes internos, cómo interactúan componentes internos, cómo interactúan entre ellos, los protocolos de la familia entre ellos, los protocolos de la familia IPSec y los modos en que operan. IPSec y los modos en que operan.

IPSec ImplementationIPSec ImplementationEste artículo de Technet es una reedición del Este artículo de Technet es una reedición del Capítulo 9 de "IPSec—The New Security Capítulo 9 de "IPSec—The New Security Standard for the Internet, Intranets and Virtual Standard for the Internet, Intranets and Virtual Private Networks" (Ed Prentice Hall) escrito por Private Networks" (Ed Prentice Hall) escrito por Naganand Doraswamy y Dan Harkins, que Naganand Doraswamy y Dan Harkins, que describe detalles de los aspectos más describe detalles de los aspectos más importantes de la implantación de IPSec, como importantes de la implantación de IPSec, como la interacción de los componentes de IPSec, la interacción de los componentes de IPSec, interfaces que expone cada uno de esos interfaces que expone cada uno de esos componentes y un recorrido a través del componentes y un recorrido a través del procesamiento de paquetes de entrada y procesamiento de paquetes de entrada y salida. salida.

NOVEDADESNOVEDADES

IPSec proporciona nuevas características que IPSec proporciona nuevas características que mejoran la seguridad, escalabilidad, mejoran la seguridad, escalabilidad, disponibilidad, facilidad de despliegue y disponibilidad, facilidad de despliegue y administración. Aunque las adiciones a administración. Aunque las adiciones a Windows Server 2003 proporcionará una mayor Windows Server 2003 proporcionará una mayor seguridad, no siempre son compatibles con seguridad, no siempre son compatibles con versiones anteriores de Windows. Asegúrese de versiones anteriores de Windows. Asegúrese de que usted entiende que las tecnologías de que usted entiende que las tecnologías de trabajo con los clientes en su entorno y, a trabajo con los clientes en su entorno y, a continuación, determinar la posible continuación, determinar la posible actualización de clientes, aplazar el uso de actualización de clientes, aplazar el uso de determinadas tecnologías IPSec, o una determinadas tecnologías IPSec, o una combinación de ambos. Luego ponga a prueba combinación de ambos. Luego ponga a prueba su plan en un laboratorio antes de desplegar en su plan en un laboratorio antes de desplegar en su entorno de producción. su entorno de producción.

CaracterísticasCaracterísticas

Windows Server 2003 incluye el Windows Server 2003 incluye el nuevo PI de Seguridad Monitor nuevo PI de Seguridad Monitor herramienta que se ejecuta como herramienta que se ejecuta como una MMC snap-in. El Monitor de una MMC snap-in. El Monitor de Seguridad IP herramienta Seguridad IP herramienta proporciona una mayor vigilancia de proporciona una mayor vigilancia de la seguridad IPSec. Con el Monitor de la seguridad IPSec. Con el Monitor de Seguridad IP herramienta, puede Seguridad IP herramienta, puede realizar las siguientes actividades realizar las siguientes actividades administrativas: administrativas:

– Personalizar el período de investigación Personalizar el período de investigación de Seguridad Monitor pantalla de Seguridad Monitor pantalla

– Monitor IPSec información sobre el Monitor IPSec información sobre el ordenador local. ordenador local.

– Monitor IPSec información sobre Monitor IPSec información sobre ordenadores remotos. ordenadores remotos.

– Ver estadísticas de IPSec. Ver estadísticas de IPSec. – Ver información sobre las políticas Ver información sobre las políticas

IPSec IPSec

– Ver las asociaciones de seguridad de Ver las asociaciones de seguridad de información. información.

– Ver filtros genéricos Ver filtros genéricos – Ver los filtros específicos Ver los filtros específicos – Buscar específicas filtros basados en Buscar específicas filtros basados en

direcciones IP direcciones IP

IPSec apoya la nueva resultante Conjunto IPSec apoya la nueva resultante Conjunto de Políticas (RSoP) característica de de Políticas (RSoP) característica de Windows Server 2003. El resultado Windows Server 2003. El resultado conjunto de políticas (RSoP) calculadora conjunto de políticas (RSoP) calculadora se puede utilizar para determinar las se puede utilizar para determinar las políticas que se han aplicado a un políticas que se han aplicado a un determinado usuario o del ordenador. determinado usuario o del ordenador. Resultante Conjunto de Políticas (RSoP) Resultante Conjunto de Políticas (RSoP) resume todas las políticas de grupo que resume todas las políticas de grupo que se aplican a un usuario y el ordenador en se aplican a un usuario y el ordenador en un dominio. Esto incluye todos los filtros y un dominio. Esto incluye todos los filtros y excepciones. Puede utilizar la excepciones. Puede utilizar la característica, por la serie de Políticas característica, por la serie de Políticas (RSoP) o Asistente de la línea de (RSoP) o Asistente de la línea de comandos para ver la política de IPSec comandos para ver la política de IPSec que se aplica. que se aplica.

En Windows Server 2003 despliegues IPSec, En Windows Server 2003 despliegues IPSec, Internet sólo Key Exchange (IKE) está exento del Internet sólo Key Exchange (IKE) está exento del tráfico de IPSec. Anteriormente, el Protocolo de tráfico de IPSec. Anteriormente, el Protocolo de reserva de recursos (RSVP), tráfico, tráfico reserva de recursos (RSVP), tráfico, tráfico Kerberos, IKE y el tráfico estaba exento de IPSec. Kerberos, IKE y el tráfico estaba exento de IPSec.

IPSec en Windows Server 2003 incluye soporte IPSec en Windows Server 2003 incluye soporte para el Grupo 3 2048 bits Diffie-Hellman. El para el Grupo 3 2048 bits Diffie-Hellman. El Grupo 3 clave es mucho más fuerte y más Grupo 3 clave es mucho más fuerte y más complejo que el anterior Grupo 2 de 1.024 bits complejo que el anterior Grupo 2 de 1.024 bits Diffie-Hellman. No obstante, si usted necesita la Diffie-Hellman. No obstante, si usted necesita la compatibilidad con Windows 2000 y Windows XP, compatibilidad con Windows 2000 y Windows XP, entonces usted tiene que usar el Grupo 2 de entonces usted tiene que usar el Grupo 2 de 1.024 bits Diffie-Hellman. 1.024 bits Diffie-Hellman.

Otras CaracterísticasOtras Características

Las características de persistencia Las características de persistencia de políticas son los siguientes: de políticas son los siguientes: – La persistencia de políticas sólo puede La persistencia de políticas sólo puede

ser configurado a través de la Netsh ser configurado a través de la Netsh de línea de comandos de utilidad. de línea de comandos de utilidad.

– La persistencia de políticas son La persistencia de políticas son siempre positivos. siempre positivos.

La persistencia de políticas no La persistencia de políticas no puede ser anulado.puede ser anulado.

1.1. IPSec ESP paquetes pueden IPSec ESP paquetes pueden pasar por alto Network Address pasar por alto Network Address Translation Translation (NAT)(NAT) a través de a través de User Datagram Protocol-User Datagram Protocol-encapsulación de Seguridad de encapsulación de Seguridad de carga útil (UDP-ESP) carga útil (UDP-ESP) encapsulado en Windows Server encapsulado en Windows Server 2003 despliegues IPSec. 2003 despliegues IPSec.

IPSec integración con Active Directory IPSec integración con Active Directory le permite gestionar centralmente las le permite gestionar centralmente las políticas de seguridad. políticas de seguridad.

Autenticación Kerberos 5 es el método Autenticación Kerberos 5 es el método de autenticación por defecto utilizado de autenticación por defecto utilizado por las políticas IPSec para verificar la por las políticas IPSec para verificar la identidad de los ordenadores. identidad de los ordenadores.

IPSec es compatible hacia atrás con el IPSec es compatible hacia atrás con el Windows 2000 Marco de Seguridad. Windows 2000 Marco de Seguridad.

BENEFICIOSBENEFICIOS

Costes más bajos:Costes más bajos:

Esto resulta de los procesos Esto resulta de los procesos de administración de de administración de seguridad simplificados tales seguridad simplificados tales como las listas de control de como las listas de control de acceso y el Administrador de acceso y el Administrador de Credenciales.Credenciales.

Implementación de Implementación de Estándares Abiertos:Estándares Abiertos:

El protocolo IEEE 802.1X El protocolo IEEE 802.1X facilita la seguridad de las facilita la seguridad de las LANs inalámbricas frente a la LANs inalámbricas frente a la amenaza de espionaje dentro amenaza de espionaje dentro del entorno empresarial.del entorno empresarial.

Protección para Equipos Móviles y Protección para Equipos Móviles y otros dispositivos nuevos:otros dispositivos nuevos:

Las funcionalidades de seguridad Las funcionalidades de seguridad tales como el Sistema de Cifrado de tales como el Sistema de Cifrado de Ficheros (Encrypting File System, Ficheros (Encrypting File System, EFS), los servicios de certificación y EFS), los servicios de certificación y la inscripción automática de tarjetas la inscripción automática de tarjetas inteligentes, facilitan la seguridad inteligentes, facilitan la seguridad de una amplia gama de dispositivos.de una amplia gama de dispositivos.

Certificados DigitalesCertificados Digitales

Modos de IPSecModos de IPSec

MODO TUNEL:MODO TUNEL: el modo de túnel IPSec se puede el modo de túnel IPSec se puede

utilizar para garantizar la seguridad de utilizar para garantizar la seguridad de WAN y conexiones VPN que utilizan la WAN y conexiones VPN que utilizan la Internet como medio de la conexión. Internet como medio de la conexión.

Se utiliza las sgtes. configuracionesSe utiliza las sgtes. configuraciones -- Servidor a servidor Servidor a servidor -- Servidor de Gateway Servidor de Gateway -- Gateway a Gateway Gateway a Gateway

MODO TRANSPORTE:MODO TRANSPORTE:

Este es el modo por defecto de Este es el modo por defecto de funcionamiento utilizados por IPSec en funcionamiento utilizados por IPSec en el que sólo la carga útil IP se codifica a el que sólo la carga útil IP se codifica a través del protocolo AH o ESP través del protocolo AH o ESP protocolo. Modo de transporte se protocolo. Modo de transporte se utiliza para la de extremo a extremo la utiliza para la de extremo a extremo la seguridad de las comunicaciones entre seguridad de las comunicaciones entre dos computadoras en la red. dos computadoras en la red.