Aislamiento de servidor y dominio mediante IPsec y Directiva de grupo
Apéndice B: Resumen de la directiva IPsec
Este apéndice proporciona un listado conciso de información referente a todas las configuraciones de la directiva para los grupos de aislamiento utilizados en esta solución.
En esta página
Configuración general de la directiva
La información siguiente se incluye en todas las directivas que se definen en esta solución.
Configuración general de la directiva:
| • | Actualización de la directiva: 5 minutos para la ejecución en entorno de prueba. Este valor deberá aumentarse a 60 minutos en entornos productivos. Después de 60 minutos, el host actualiza su directiva desde el servicio de directorio Active Directory®. Esta funcionalidad permite implementar cambios en una directiva IPsec ya asignada para toda la red de la organización en una hora (como máximo) y, por lo tanto, permite responder rápidamente ante cualquier amenaza. |
| • | Vigencia de modo principal IKE: 3 horas. |
| • | Sesiones por MM: 0, infinitas. |
| • | PFS principal: no se utiliza. Quedó obsoleta como característica en la asociación de claves de Internet (IKE) de Microsoft® Windows® debido a la falta de compatibilidad en otros productos y para eliminar funcionalidades duplicadas. La misma funcionalidad puede obtenerse estableciendo las sesiones por MM en 1. |
| • | Métodos de seguridad de intercambio de claves de modo principal IKE: 3DES/SHA1/High (2048), 3DES/SHA1/Medium (2), 3DES/MD5/Medium (2). |
Nota: High (2048) es compatible sólo con Microsoft Windows Server™ 2003 y Windows XP SP2, y queda omitido en Windows 2000 y versiones anteriores de Windows XP. Medium (2) garantiza la compatibilidad de IKE con Windows 2000, Windows XP SP1 y anteriores.
Regla de respuesta predeterminada = deshabilitada
Regla 1:
Lista de filtros: "IPSEC: lista de exenciones VIP de clúster"
Filtro: Mi <-> Dirección IP específica, reflejado: actualmente vacío
Descripción: "Direcciones IP para todos los VIP de clúster de la organización"
Acción de filtrado: permitir IPSEC
Autenticación: Kerberos
Túnel: no
Tipo de conexión: TODAS
Regla 2:
Lista de filtros: "IPSEC: DHCP, tráfico de negociación"
Filtro: Mi <-> Cualquiera, UDP, puerto de origen 68 a puerto de destino 67, reflejado
Descripción: "Permite tráfico de negociación DHCP"
Acción de filtrado: permitir IPSEC
Autenticación: Kerberos
Túnel: no
Tipo de conexión: TODAS
Regla 3:
Lista de filtros: "IPSEC: lista de exenciones de DNS"
Filtro: Cualquiera <-> 192.168.1.21, reflejado
Cualquiera <-> 192.168.1.22, reflejado
Descripción: "Direcciones IP para todos los servidores DNS de la organización"
Acción de filtrado: permitir IPSEC
Autenticación: Kerberos
Túnel: no
Tipo de conexión: TODAS
Regla 4:
Lista de filtros: "IPSEC: lista de exenciones de controlador de dominio"
Filtro: Cualquiera <-> 192.168.1.21, reflejado
Cualquiera <-> 192.168.1.22, reflejado
Descripción: "Direcciones IP para todos los DC de la organización"
Acción de filtrado: permitir IPSEC
Autenticación: Kerberos
Túnel: no
Tipo de conexión: TODAS
Regla 5:
Lista de filtros: "IPSEC: lista de exenciones de WINS"
Filtro: Cualquiera <-> 192.168.1.22, reflejado
Descripción: "Direcciones IP para todos los servidores WINS de la organización"
Acción de filtrado: permitir IPSEC
Autenticación: Kerberos
Túnel: no
Tipo de conexión: TODAS
Regla 6:
Lista de filtros: "IPSEC: lista de exenciones para los servidores de aplicaciones de la línea de negocios (LOB)"
Filtro: Cualquiera <-> 192.168.1.10, reflejado
Descripción: "Direcciones IP para todos los servidores de LOB de la organización"
Acción de filtrado: permitir IPSEC
Autenticación: Kerberos
Túnel: no
Tipo de conexión: TODAS
Regla 7:
Lista de filtros: "IPSEC: ICMP, todo el tráfico"
Filtro: Mi <-> Cualquiera, ICMP, reflejado
Descripción: "Permite tráfico ICMP"
Acción de filtrado: permitir IPSEC
Autenticación: Kerberos
Túnel: no
Tipo de conexión: TODAS
Regla 8:
Lista de filtros: "IPSEC: direcciones exentas"
Filtro: Cualquiera <-> Dirección IP específica, reflejado – actualmente vacío
Descripción: "Direcciones IP específicas que deben quedar exentas de la comunicación IPsec"
Acción de filtrado: permitir IPSEC
Autenticación: Kerberos
Túnel: no
Tipo de conexión: TODAS
Regla 9:
Lista de filtros: "IPSEC: subredes exentas"
Filtro: Mi <-> Subred IP específica, reflejado: actualmente vacío
Descripción: "Subredes que deben quedar exentas de la comunicación IPsec"
Acción de filtrado: permitir IPSEC
Autenticación: Kerberos
Túnel: no
Tipo de conexión: TODAS
Regla 10:
Lista de filtros: "IPSEC: versión de directiva (1.0.041001.1600)"
Filtro: 1.1.1.1 <-> 1.1.1.2, ICMP, reflejado
Descripción: "No es una lista de filtros real. Se utiliza para identificar la versión de directiva IPsec".
Acción de filtrado: permitir IPSEC
Autenticación: Kerberos
Túnel: no
Tipo de conexión: TODAS
Explicación del comportamiento de la regla
Regla 1. Esta regla es necesaria para excluir la comunicación saliente con los VIP de clúster. Esta regla no debe incluirse si este servidor no necesita comunicarse con los VIP de clúster.
Regla 2. Esta regla permite utilizar la negociación de protocolo de configuración dinámica de host (DHCP) no protegida por IPsec.
Regla 3. Esta regla permite la comunicación no protegida por IPsec con sistemas DNS (sistemas de nombres de dominio) de la lista de exenciones.
Regla 4. Esta regla permite la comunicación no protegida por IPsec con sistemas controladores de dominio de la lista de exenciones.
Regla 5. Esta regla permite la comunicación no protegida por IPsec con sistemas WINS (Servicio de nombres Internet de Windows) de la lista de exenciones.
Regla 6. Esta regla permite la comunicación no protegida por IPsec con hosts de la lista de exenciones. En Woodgrove Bank se creó esta lista de filtros para los servidores de aplicaciones de la línea de negocios.
Regla 7. Esta regla permite el uso de tráfico ICMP (Protocolo de mensajes de control de Internet) no protegido por IPsec.
Regla 8. Esta regla permite la comunicación no protegida por IPsec con hosts de la lista de exenciones. Esta regla no deberá incluirse en las directivas si la lista de filtros está vacía.
Regla 9. Esta regla permite la comunicación no protegida por IPsec con subredes de la lista de exenciones. Esta regla no deberá incluirse en las directivas si la lista de filtros está vacía.
Regla 10. Esta regla sólo se utiliza para realizar el seguimiento de la información de versión de la directiva. El filtro utilizado para implementar la lista de filtros es un filtro ficticio que consiste en dos direcciones IP específicas que permiten el tráfico ICMP. Este filtro ficticio es necesario porque no es posible agregar una lista de filtros vacía a una directiva.
Directiva del dominio de aislamiento
Esta sección proporciona información sobre los filtros, acciones de filtrado, directiva y objetos de directiva de grupo (GPO) utilizados para crear el dominio de aislamiento en la solución para Woodgrove Bank.
Regla 11:
Lista de filtros: IPSEC: subredes organizativas
Filtro: Cualquiera <-> subredes internas, todo el tráfico, reflejado
Acción de filtrado: "IPSEC – Modo de solicitud seguro (Ignorar entrante, Permitir saliente)"
Orden de preferencia de los métodos de seguridad: ESP-null/SHA1, ESP-null/MD5,
ESP-3DES/SHA1 y, a continuación, ESP-3DES/MD5
NO aceptar comunicaciones no seguras
Permitir comunicación no segura con hosts ajenos a IPsec
Autenticación: Kerberos
Túnel: no
Tipo de conexión: TODAS
El resto de configuraciones de directiva coinciden con las que aparecen en la sección "Configuración general de directiva" de este apéndice.
Explicación del comportamiento de la regla
Regla 11. Esta regla es la regla más general que se define en la directiva. Coincide con el tráfico destinado a subredes seguras y exige la negociación de IPsec. No aceptará la comunicación no protegida de clientes ajenos a IPsec, pero puede comunicarse con clientes ajenos a IPsec si inicia la comunicación.
Directiva de grupo de aislamiento Sin reserva
Esta sección proporciona información sobre los filtros, acciones de filtrado, directiva y objetos de directiva de grupo (GPO) utilizados para crear el grupo de aislamiento Sin reserva en la solución para Woodgrove Bank.
Regla 11:
Lista de filtros: IPSEC: subredes organizativas
Filtro: Cualquiera <-> subredes internas, todo el tráfico, reflejado
Acción de filtrado: "IPSEC – Modo de solicitud completo (Ignorar entrante, No permitir saliente)"
Orden de preferencia de los métodos de seguridad: ESP-null/SHA1, ESP-null/MD5,
ESP-3DES/SHA1 y, a continuación, ESP-3DES/MD5
NO aceptar comunicaciones no seguras
NO permitir comunicación no segura con hosts ajenos a IPsec
Autenticación: Kerberos
Túnel: no
Tipo de conexión: TODAS
El resto de configuraciones de directiva coinciden con las que aparecen en la sección "Configuración general de directiva" de este apéndice.
Explicación del comportamiento de la regla
Regla 11. Esta regla es la regla más general que se define en la directiva. Coincide con el tráfico destinado a subredes seguras y exige la negociación de IPsec. NO permite ninguna comunicación con clientes ajenos a IPsec.
Directiva del grupo de aislamiento Límite
Esta sección proporciona información sobre los filtros, acciones de filtrado, directiva y objetos de directiva de grupo (GPOs) utilizados para crear el grupo de aislamiento Límite en la solución para Woodgrove Bank.
En la guía de seguridad de Windows Server 2003 se asume que el host Límite no es móvil y, por lo tanto, que puede utilizar subredes para definir su red y debe protegerse casi como un host de baluarte. Debe protegerse bien contra ataques malintencionados. Por lo tanto, la directiva IPsec deberá combinarse con filtros que reduzcan la superficie de ataque en la medida en que sea posible.
Configuración general de la directiva:
Vigencia de modo principal IKE: 20 minutos
Regla 11:
Lista de filtros: IPSEC: subredes organizativas
Filtro: Cualquiera <-> subredes internas, todo el tráfico, reflejado
Acción de filtrado: "IPSEC – Modo de solicitud (Aceptar entrante, Permitir saliente)"
Orden de preferencia de los métodos de seguridad: ESP-null/SHA1, ESP-null/MD5,
ESP-3DES/SHA1 y, a continuación, ESP-3DES/MD5
Aceptar comunicaciones no seguras
Permitir comunicación no segura con hosts ajenos a IPsec
Autenticación: Kerberos
Túnel: no
Tipo de conexión: TODAS
El resto de configuraciones de directiva coinciden con las que aparecen en la sección "Configuración general de directiva" de este apéndice.
Explicación del comportamiento de la regla
Regla 11. Esta regla es la regla más general que se define en la directiva. Coincide con el tráfico destinado a subredes seguras y exige la negociación de IPsec. Aceptará tráfico de clientes ajenos a IPsec e iniciará la comunicación con estos clientes.
Directiva del grupo de aislamiento Cifrado
Esta sección proporciona información sobre los filtros, acciones de filtrado, directiva y objetos de directiva de grupo (GPOs) utilizados para crear el grupo de aislamiento Cifrado en la solución para Woodgrove Bank.
Regla 11:
Lista de filtros: IPSEC: subredes organizativas
Filtro: Cualquiera <-> subredes internas, todo el tráfico, reflejado
Acción de filtrado: "IPSEC – Solicitar modo de cifrado (Ignorar entrante, No permitir
saliente)"
Orden de preferencia de los métodos de seguridad: ESP-3DES/SHA1 y, a continuación, ESP-3DES/MD5
NO aceptar comunicaciones no seguras
NO permitir comunicación no segura con hosts ajenos a IPsec
Autenticación: Kerberos
Túnel: no
Tipo de conexión: TODAS
El resto de configuraciones de directiva coinciden con las que aparecen en la sección "Configuración general de directiva" de este apéndice.
Explicación del comportamiento de la regla
Regla 11. Esta regla es la regla más general que se define en la directiva. Coincide con el tráfico destinado a subredes seguras y exige la negociación de IPsec cifrado. NO permite ninguna comunicación con clientes ajenos a IPsec.