| Artículos | 01 OCT 2006

El protocolo IPSec: Casos prácticos en Windows

Tags: Histórico
José M. Alarcón.
En el artículo precedente hemos estudiado los fundamentos técnicos en los que se basa el protocolo de seguridad IPSec. Además hemos visto en qué situaciones podríamos aplicarlos en la empresa. Ahora aprenderemos a implementarlo en la realidad usando el sistema operativo Windows.

Las dos aplicaciones prácticas más importantes de IPSec son el bloqueo o autorización de las comunicaciones y la protección de éstas.
Por ejemplo, si nuestra organización dispone de servidores accesibles a través de Internet (un servidor de datos o para acceso remoto...) debemos disponer medidas de algún tipo para control del tráfico. De no ser así incurriríamos en un grave peligro, pudiendo extender sus consecuencias hacia el resto de la organización. Lo más habitual es instalar al menos un cortafuegos (firewall) corporativo entre nuestra máquina y la red pública. En muchos casos se coloca también otro cortafuegos entre los servidores y la red interna, constituyendo lo que se llama una zona desmilitarizada (DMZ).
Aunque esta es la arquitectura que deberíamos exigir para disfrutar de una cierta seguridad, no siempre tendremos la oportunidad de elegirla. Si los servidores no están en nuestras instalaciones sino en un centro de datos de un proveedor de servicios no siempre podremos hacer que nos instalen un sistema de seguridad, dejando las máquinas directamente conectadas a Internet con una IP pública. En otros casos este servicio de cortafuegos se ofrece a un coste adicional que no todo el mundo – sobre todo las PYME- está dispuesto a pagar sumándolo a los restantes costes asociados al servicio. En estos casos se hace indispensable el uso de alguna medida de seguridad alternativa que nos permita obtener unos mínimos de protección y no deje nuestros sistemas sin defensa.

Conceptos básicos de IPSec en Windows
Los sistemas operativos de Microsoft a partir de Windows 2000 (2000/XP/2003/Vista) ofrecen integrado de serie el soporte para IPSec, por lo que no tendremos que pagar un coste adicional por utilizarlo.
Antes de comenzar con la práctica conviene definir algunos conceptos que es necesario entender para poder utilizarlo:
· Lista de filtros: especifica un conjunto de filtros que se aplican al tráfico que circula por un adaptador de red. Estos filtros permiten tomar decisiones en función del protocolo, los puertos y el sentido del tráfico.
· Acción de filtrado: indica qué se debe hacer cuando un paquete coincide con alguna de las reglas de filtrado especificadas en las listas de filtros.
· Regla: es la relación entre una lista de filtros y una acción. Es la que define el comportamiento de las comunicaciones.
· Política: una colección o conjunto de reglas. Se pueden definir tantas políticas de IPSec como se desee pero sólo una de ellas puede estar activa en cada momento. Es útil definir diversas políticas en función del uso que se le quiera dar al servidor y luego activar cada una de ellas según las necesidades de cada momento.

Definición de directivas de bloqueo IPSec: listas de filtros
Las directivas IPSec se gestionan desde la consola de seguridad local del sistema, así que vaya a Inicio·Programas·Herramientas administrativas·Directiva de seguridad local (Figura 1). En el panel de la derecha se muestran las directivas preconfiguradas de Windows, que no están activadas por defecto y que tampoco vamos a utilizar.
Si mostramos el menú contextual del panel derecho pulsando con el botón secundario del ratón veremos que se nos ofrecen dos opciones: Crear directiva de seguridad IP y Administrar listas de filtros IP y acciones de filtrado. Si tiene en cuenta las definiciones que acabamos de ver está claro que deberemos escoger la segunda opción antes de poder crear directiva alguna, ya que éstas están constituidas por filtros y acciones de filtrado. En la ventana que aparece podemos observar dos pestañas que se utilizan para gestionar los filtros y las acciones respectivamente (Fig. 2).
Como ejemplo de uso vamos a crear una directiva útil para un servidor Web. Ésta permitirá únicamente el tráfico a través del puerto 80 del servidor. De este modo aunque no dispusiésemos de un cortafuegos la máquina sólo admitiría peticiones Web haciendo caso omiso de las demás.
Lo primero que debemos hacer es crear una lista de filtros para el tráfico Web. Esto implica describir cómo es dicho tráfico. Para ello pulsamos el botón Agregar dentro del diálogo de la figura 2. En la ventana que aparece disponemos de otro botón Agregar el cual lanza un asistente que nos ayudará en la creación de un filtro. Se nos irán preguntando los criterios que caracterizan al tráfico que queremos filtrar.
Es posible filtrar paquetes según el origen de éstos, el puerto en el que se reciben o el protocolo al que pertenecen. Dado que queremos crear una regla que permita peticiones a un servidor Web hechas por cualquiera debemos escoger para el origen la opción Cualquier dirección IP. En el siguiente paso se filtra por la dirección IP de destino, que en nuestro ejemplo será, obviamente, la dirección IP de nuestra máquina por lo que se escoge la opción Mi dirección IP. El siguiente criterio de filtrado es el protocolo IP que queremos interceptar. La lista desplegable nos ofrece múltiples opciones (Cualquiera, EGP, HMP, ICMP, RAW, TCP, UDP, etc…). En el ejemplo que nos ocupa debemos usar el protocolo TCP que es el utilizado como transporte por HTTP.
Finalmente se nos permite utilizar como criterio de filtrado los puertos de origen y de destino de los paquetes a gestionar. En el caso de un servidor Web los clientes pueden utilizar cualquier puerto de origen (se asignan dinámicamente) y el puerto de destino es siempre el 80 estándar para HTTP. Una vez establecidos estos parámetros ya dispondremos de un filtro que caracteriza al tráfico Web normal. Si nuestro servidor va a ofrecer conexiones seguras con SSL y certificados digitales (por ejemplo para recoger datos de tarjetas de crédito o algo similar), deberemos crear otra regla idéntica a la anterior pero en este caso filtrando a través del puerto 443. Con esto ya tendremos totalmente definida nuestra lista de filtrado, la cual tendrá un aspecto similar al de la figura 3.
Ya hemos definido el tráfico Web que es el que queremos permitir. Sin embargo todavía debemos definir el resto del tráfico que se puede encontrar y que es el que deseamos bloquear. Cree una nueva lista de filtrado con el nombre de Todo el tráfico entrante. En ella seleccione como único filtro aquel que identifique todo el tráfico (cualquier protocolo, cualquier puerto, cualquier dirección de origen) que va dirigido a nuestro equipo (dirección de destino Mi dirección IP). La lista predeterminada que viene con Windows de nombre Todo el tráfico IP no nos sirve porque se refiere al tráfico saliente (no entrante) de nuestra máquina.
Con estas dos listas recién creadas tendremos suficiente para nuestro caso. Si nuestra máquina en el futuro va a albergar también otro tipo de servicios (como correo electrónico o FTP) podemos crear en cualquier momento listas de filtros que gestionen esos tipos de tráfico o añadirlos a la lista que hemos creado.

Definición de acciones
Por defecto disponemos de tres acciones predefinidas: Permitir, Requerir seguridad y solicitar seguridad. De éstas sólo nos es útil en este

Contenidos recomendados...

Comentar
Para comentar, es necesario iniciar sesión
Se muestran 0 comentarios
X

Uso de cookies

Esta web utiliza cookies técnicas, de personalización y análisis, propias y de terceros, para facilitarle la navegación de forma anónima y analizar estadísticas del uso de la web. Consideramos que si continúa navegando, acepta su uso. Obtener más información