Microsoft TechNet Latinoamérica

Paso a Paso - Configurar IPSec en un escenario MS Exchange Server 2003 Front End - Back End con MS Windows Server 2003 R2

Este documento describe cómo configurar IPSec en un escenario MS Exchange Server 2003 Front End - Back End con MS Windows 2003 R2 teniendo en cuenta que ambos servidores están en distintos segmentos de red y que se configurara IPSec en modo túnel encriptando de este manera la información entre estos dos servidores.

Imprimir Documento

Guardar Documento

1. Introducción.

Este documento describe los pasos involucrados en la configuración de IPSec utilizando MS Windows Server 2003 R2 en una topología de Front End - Back End con MS Exchange Server 2003. Se entiende por IPSec (IP Security) a una estrategia de seguridad que involucra distintos protocolos, configuraciones y niveles de encripcion de datos.

Muchas organizaciones tienen configurados sus servidores MS Exchange Server en una topología Front End-Back End asegurada por MS ISA Server 2000/2004, otras organizaciones tienen sus servidores Front End en la DMZ y su servidores Back End en la LAN con un firewall de capa 3 que permite el acceso de un segmento al otro, este ultimo escenario supone el abrir varios puertos entre la red (DMZ) y la red (LAN), adicionalmente si el firewall es de capa 3 los paquetes que transiten entre las dos redes no van a ser inspeccionados ni encriptados, lo cual deja varias vulnerabilidades de seguridad para ser explotadas por un ataque.

Para reforzar la seguridad en estos escenarios se propone utilizar un túnel IPSec entre las dos redes, esto tiene como ventaja el abrir muy pocos puertos en el firewall (IP Protocol ID 50 ESP; UDP Port 500 ISAKMP) y que el tráfico que transite entre las dos redes este encriptado.

Si bien hay muchas discusiones respecto del escenario ideal para la implementación de MS Exchange Server 2003 Front End - Back End este documento se focaliza en como asegurar la comunicación entre un servidor MS Exchange Server 2003 en la red (DMZ) como Front End y otro servidor MS Exchange Server 2003 en la red (LAN) como servidor Back End utilizando IPSec en MS Windows Server 2003 R2.

En el siguiente esquema se ve representado el escenario: (Figura 1)

Figura 1

Requisitos:

Un Servidor con hardware compatible con Windows Server 2003 y una interfase de red, configurada con una dirección IP estática en el segmento de red (DMZ) con MS Exchange Server 2003 configurado como servidor de Front End.
Un Servidor con hardware compatible con Windows Server 2003 y una interfase de red, configurada con una dirección IP estática en el segmento de red (LAN) con MS Exchange Server 2003 configurado como servidor de Back End.

Windows Catalog y Hardware Compatibility List (HCL)
http://www.microsoft.com/whdc/hcl/default.mspx

subir

2. Conceptos.

Antes de comenzar con la configuración de IPSec, se realizaran algunas aclaraciones respecto de la configuración IPSec que se detallara en este documento. El protocolo de IPSec puede ser configurado de varias maneras distintas para que se adapte a las necesidades de seguridad que se deben satisfacer, en este escenario se tiene por objetivo: Asegurar la comunicación entre el servidor de MS Exchange Server 2003 de Back End en la red LAN y el servidor MS Exchange Server 2003 de Front End en la DMZ. Encriptar los datos entre el servidor de MS Exchange Server 2003 de Back End en la red LAN y el servidor MS Exchange Server 2003 de Front End en la DMZ Para satisfacer estas necesidades debemos configurar IPSec en modo Túnel, en este modo IPSec cifra el encabezado IP y la carga, adicionalmente el modo túnel protege los paquetes IP completos, ya que los trata como una carga AH o ESP. De esta manera todo el paquete IP se encapsula con un encabezado AH o ESP y un encabezado IP adicional. Las direcciones IP del encabezado IP externo son los extremos del túnel, y las direcciones IP del encabezado IP encapsulado son las direcciones últimas de origen y de destino. Para realizar la configuración de IPSec es necesario tener en cuenta los siguientes pasos de alto nivel. Crear una directiva de seguridad IP. Definir reglas de seguridad. Crear filtros IP. Crear acciones de filtrado. Al no ser posible reflejar filtros para el tráfico que pasa por el túnel, se deben configurar dos reglas. Una regla se utilizará para el tráfico saliente y la otra para el tráfico entrante. Para la regla de tráfico saliente, el extremo del túnel es la dirección IP en el otro extremo del túnel. Para la regla de tráfico entrante, el extremo del túnel es una dirección IP configurada en el equipo local.

subir

3. ¿Como configurar IPSec?

La configuración que se detalla a continuación debe ser realizada tanto en el servidor de MS Exchange Server 2003 de Back End como en el servidor MS Exchange Server 2003 de Front End.

El primer paso consiste en configurar una consola de administración desde donde realizaremos la configuración de las reglas IPSec, esta consola de administración va a ser configurada a traves de una MMC (Microsoft Management Console).

	3.0.1 Hacer clic en Inicio.
	3.0.2 Hacer clic en Ejecutar.
	3.0.3 Ingresar MMC y hacer clic en Aceptar. (Ver Figura 2)


	Figura 2

	Una vez dentro de la MMC debemos agregar el complemento correspondiente.

	3.0.4 Hacer clic en Archivo.
	3.0.5 Hacer clic en Agregar o quitar complemento.
	3.0.6 Hacer clic en Agregar.
	3.0.7 De la lista de complementos seleccionar Administrador de las directivas de seguridad de IP y hacer clic en Agregar.
	3.0.8 Seleccionar Computadora local y hacer clic en Finalizar.
	3.0.9 Hacer clic en Cerrar.
	3.0.10 Hacer clic en Aceptar. (Ver Figura 3)


	Figura 3 Configurada la consola de administración vamos a proceder a generar las reglas IPSec.

	3.0.11 Hacer clic en Directivas de seguridad de IP en Equipo local.
	3.0.12 Hacer clic con el botón derecho y seleccionar Crear directiva de seguridad IP.
	3.0.13 Una vez en el Asistente debemos ingresar un nombre para la nueva directiva, en este caso la llamaremos túnel IPSec BE - FE.
	3.0.14 Hacer clic en Siguiente. (Ver Figura 4)

Figura 4

	3.0.15 Deseleccionar la opción Activar la regla de respuesta predeterminada.
	3.0.16 Hacer clic en Siguiente. (Ver Figura 5)

	Figura 5

	3.0.17 Dejar seleccionada la opción Editar propiedades.
	3.0.18 Hacer clic en Finalizar. (Ver Figura 6)

	Figura 6

	3.0.19 Hacer clic en Agregar. (Ver Figura 7)

	Figura 7

	3.0.20 Un nuevo Asistente se presenta para realizar la configuración de las reglas de seguridad IP, hacer un clic en Siguiente.
	3.0.21 Seleccionar la opción El extremo del túnel esta especificado mediante la siguiente dirección IP e ingresar la dirección IP 192.168.1.2
	3.0.22 Hacer clic en Siguiente. (Ver Figura 8)

	Figura 8

	3.0.23 Seleccionar Red de área local (LAN).
	3.0.24 Hacer clic en Siguiente. (Ver Figura 9)

	Figura 9

	3.0.25 En la lista de filtros, hacer clic en Agregar.
	3.0.26 Una nueva Consola se presenta, ingresar un nombre para el filtro IP, en este caso BE - FE.
	3.0.27 Hacer clic en Agregar. (Ver Figura 10)

	Figura 10

	3.0.28 Un nuevo Asistente se presenta, hacer clic en Siguiente.
	3.0.29 Deseleccionar la opción Reflejado… y hacer clic en Siguiente. (Ver Figura 11)

	Figura 11

	3.0.30 En la lista desplegable seleccionar Dirección IP especifica e ingresar la dirección IP 192.168.2.2.
	3.0.31 Hacer clic en Siguiente. (Ver Figura 12)

	Figura 12

	3.0.32 En la lista desplegable seleccionar Dirección IP especifica e ingresar la dirección IP 192.168.1.2.
	3.0.33 Hacer clic en Siguiente. (Ver Figura 13)

	Figura 13

	3.0.34 En la lista desplegable de protocolos, seleccionar Cualquiera.
	3.0.35 Hacer un clic en Siguiente. (Ver Figura 14)

	Figura 14

	3.0.36 Hacer clic en Finalizar.
	3.0.37 Repetir los pasos desde el punto 2.0.28 al punto 2.0.36 teniendo en cuenta que es necesario invertir las direcciones IP de origen y destino, de tal manera que la lista de filtros quede como se ve a continuación. (Ver Figura 15)

	Figura 15

	3.0.38 En la Lista de filtros IP hacer clic en Agregar. (Ver Figura 16)

	Figura 16

	3.0.39 Ingresar un nombre para el nuevo filtro, en este caso FE - BE.
	3.0.40 Hacer clic en Agregar. (Ver Figura 17)

	Figura 17 Repetir los pasos desde el punto 2.0.28 al punto 2.0.36 teniendo en cuenta que es necesario invertir las direcciones IP de origen y destino, de tal manera que la lista de filtros quede como se ve a continuación. (Ver Figura 18) Figura 18 Configurados los filtros IP, es necesario configurar las acciones de filtrado. (Ver Figura 19) Figura 19

	3.0.41 De la lista de filtros, seleccionar BE - FE.
	3.0.42 Hacer clic en Siguiente.
	3.0.43 Hacer clic en Agregar. (Ver Figura 20)

	Figura 20

	3.0.44 Un nuevo Asistente se presenta, hacer clic en Siguiente.
	3.0.45 Ingresar un nombre para la acción de filtrado, en este ejemplo utilizaremos Seguridad BE - FE.
	3.0.46 Hacer clic en Siguiente. (Ver Figura 21)

	Figura 21

	3.0.47 En las opciones generales de la acción de filtrado, hacer clic en Negociar la seguridad.
	3.0.48 Hacer clic en Siguiente. (Ver Figura 22)

	Figura 22

	3.0.49 Hacer clic en No comunicar equipos que no son compatibles con IPSec.
	3.0.50 Hacer clic en Siguiente. (Ver Figura 23)

	Figura 23

	3.0.51 En seguridad del trafico IP, hacer clic en Integridad y cifrado.
	3.0.52 Hacer clic en Siguiente. (Ver Figura 24)

	Figura 24

	3.0.53 Hacer clic en Finalizar.

	El asistente para reglas de seguridad, debería quedar como se muestra a continuación. (Ver Figura 25)
	Figura 25

	3.0.54 Hacer clic en Seguridad BE - FE.
	3.0.55 Hacer clic en Siguiente.
	3.0.56 En método de autenticación, hacer clic en Valor predeterminado de Active Directory (protocolo Kerberos V5).
	3.0.57 Hacer clic en Siguiente. (Ver Figura 26)

	Figura 26 Las propiedades de Túnel IPSec BE - FE deberían quedar como se ve a continuación. (Ver Figura 27) Figura 27

	3.0.58 Hacer clic en Finalizar.
	3.0.59 Hacer clic en Agregar.
	3.0.60 Hacer clic en Siguiente.
	3.0.61 En Punto final del túnel, ingresar la dirección IP del servidor Back End, en este caso IP 192.168.2.2
	3.0.62 Hacer clic en Siguiente. (Ver Figura 28)

	Figura 28

	3.0.63 En Tipo de red, seleccionar Red de área local (LAN).
	3.0.64 Hacer clic en Siguiente. (Ver figura 29).

	Figura 29

	3.0.65 En la lista de filtros IP, hacer clic en FE - BE.
	3.0.66 Hacer clic en Siguiente. (Ver Figura 30)

	Figura 30

	3.0.67 En las acciones de filtrado, hacer clic en Seguridad BE - FE.
	3.0.68 Hacer clic en Siguiente. (Ver Figura 31)

	Figura 31

	3.0.69 En método de autenticación, seleccionar Valor predeterminado de Active Directory (protocolo Kerberos V5).
	3.0.70 Hacer clic en Siguiente. (Ver Figura 32)
	3.0.71 Hacer clic en Finalizar.

	Figura 32 Las propiedades del túnel IPSec BE - FE deberían quedar como se muestra a continuación. (Ver Figura 33) Figura 33

subir

4. ¿Como monitorear IPSec?

La configuración que se detalla a continuación debe ser realizada tanto en el servidor de MS Exchange Server 2003 de Back End como en el servidor MS Exchange Server 2003 de Front End.

Previamente se detallo como configurar una consola de administración MMC (Microsoft Management Console), para realizar el monitoreo de IPSec agregaremos un complemento adicional a esta MMC.

	4.1 Dentro de la MMC.
	4.2 Hacer clic en Archivo.
	4.3 Hacer clic en Agregar o quitar complemento.
	4.4 Hacer clic en Agregar.
	4.5 Seleccionar de la lista de complementos Monitor de Seguridad IP. (Ver Figura 34)


	Figura 34

	4.6 Hacer clic en Agregar.
	4.7 Hacer clic en Aceptar. (Ver Figura 35)


	Figura 35

subir

Conclusión
A lo largo del documento se demostró cómo configurar IPSec en MS Windows Server 2003, en un entorno Microsoft Exchange Server 2003 Front End - Back End, como así también la forma de monitorear esta comunicación.

Referencias
En el sitio Microsoft Windows 2003 TechCenter:
http://support.microsoft.com/default.aspx?scid=kb;en-us;300429

En el sitio Technet Latinoamérica:
http://www.microsoft.com/latam/technet/recursos/howto/default.asp

Autor
Emiliano Gastón Estevez, socio y consultor de Algeiba S.A. (eestevez@algeiba.com.ar). Es el encargado de proyectos en infraestructura de IT. Tiene más de 9 años de experiencia como profesional de IT. Ha trabajado en diferentes empresas nacionales y multinacionales, contribuyendo a incrementar la disponibilidad, seguridad y performance de sus centros de datos. Es MCSA (Microsoft Certified Systems Administrator) en MS Windows 2000/2003 y MCSE (Microsoft Certified Systems Engineer) en MS Windows 2000/2003, ambas certificaciones con especialización en Messaging, Microsoft Certified Trainer (MCT) y recientemente fue reconocido por Microsoft como Most Valuable Professional (MVP) en Windows Server - Management Infrastructure. Certificó como Cisco CRS (Customer Response Solutions) y Cisco UCSE (Unified Communications System Engineer).

subir


	Volver