Aislamiento de servidor y dominio mediante IPsec y Directiva de grupo
Apéndice B: Resumen de la directiva IPsec
Este apéndice proporciona un listado conciso de información referente a todas las configuraciones de la directiva para los grupos de aislamiento utilizados en esta solución. En esta páginaConfiguración general de la directivaLa información siguiente se incluye en todas las directivas que se definen en esta solución. Configuración general de la directiva:
Nota: High (2048) es compatible sólo con Microsoft Windows Server™ 2003 y Windows XP SP2, y queda omitido en Windows 2000 y versiones anteriores de Windows XP. Medium (2) garantiza la compatibilidad de IKE con Windows 2000, Windows XP SP1 y anteriores. Regla de respuesta predeterminada = deshabilitada Regla 1: Lista de filtros: "IPSEC: lista de exenciones VIP de clúster" Filtro: Mi <-> Dirección IP específica, reflejado: actualmente vacío Descripción: "Direcciones IP para todos los VIP de clúster de la organización" Acción de filtrado: permitir IPSEC Autenticación: Kerberos Túnel: no Tipo de conexión: TODAS Regla 2: Lista de filtros: "IPSEC: DHCP, tráfico de negociación" Filtro: Mi <-> Cualquiera, UDP, puerto de origen 68 a puerto de destino 67, reflejado Descripción: "Permite tráfico de negociación DHCP" Acción de filtrado: permitir IPSEC Autenticación: Kerberos Túnel: no Tipo de conexión: TODAS Regla 3: Lista de filtros: "IPSEC: lista de exenciones de DNS" Filtro: Cualquiera <-> 192.168.1.21, reflejado Cualquiera <-> 192.168.1.22, reflejado Descripción: "Direcciones IP para todos los servidores DNS de la organización" Acción de filtrado: permitir IPSEC Autenticación: Kerberos Túnel: no Tipo de conexión: TODAS Regla 4: Lista de filtros: "IPSEC: lista de exenciones de controlador de dominio" Filtro: Cualquiera <-> 192.168.1.21, reflejado Cualquiera <-> 192.168.1.22, reflejado Descripción: "Direcciones IP para todos los DC de la organización" Acción de filtrado: permitir IPSEC Autenticación: Kerberos Túnel: no Tipo de conexión: TODAS Regla 5: Lista de filtros: "IPSEC: lista de exenciones de WINS" Filtro: Cualquiera <-> 192.168.1.22, reflejado Descripción: "Direcciones IP para todos los servidores WINS de la organización" Acción de filtrado: permitir IPSEC Autenticación: Kerberos Túnel: no Tipo de conexión: TODAS Regla 6: Lista de filtros: "IPSEC: lista de exenciones para los servidores de aplicaciones de la línea de negocios (LOB)" Filtro: Cualquiera <-> 192.168.1.10, reflejado Descripción: "Direcciones IP para todos los servidores de LOB de la organización" Acción de filtrado: permitir IPSEC Autenticación: Kerberos Túnel: no Tipo de conexión: TODAS Regla 7: Lista de filtros: "IPSEC: ICMP, todo el tráfico" Filtro: Mi <-> Cualquiera, ICMP, reflejado Descripción: "Permite tráfico ICMP" Acción de filtrado: permitir IPSEC Autenticación: Kerberos Túnel: no Tipo de conexión: TODAS Regla 8: Lista de filtros: "IPSEC: direcciones exentas" Filtro: Cualquiera <-> Dirección IP específica, reflejado – actualmente vacío Descripción: "Direcciones IP específicas que deben quedar exentas de la comunicación IPsec" Acción de filtrado: permitir IPSEC Autenticación: Kerberos Túnel: no Tipo de conexión: TODAS Regla 9: Lista de filtros: "IPSEC: subredes exentas" Filtro: Mi <-> Subred IP específica, reflejado: actualmente vacío Descripción: "Subredes que deben quedar exentas de la comunicación IPsec" Acción de filtrado: permitir IPSEC Autenticación: Kerberos Túnel: no Tipo de conexión: TODAS Regla 10: Lista de filtros: "IPSEC: versión de directiva (1.0.041001.1600)" Filtro: 1.1.1.1 <-> 1.1.1.2, ICMP, reflejado Descripción: "No es una lista de filtros real. Se utiliza para identificar la versión de directiva IPsec". Acción de filtrado: permitir IPSEC Autenticación: Kerberos Túnel: no Tipo de conexión: TODAS Explicación del comportamiento de la reglaRegla 1. Esta regla es necesaria para excluir la comunicación saliente con los VIP de clúster. Esta regla no debe incluirse si este servidor no necesita comunicarse con los VIP de clúster. Regla 2. Esta regla permite utilizar la negociación de protocolo de configuración dinámica de host (DHCP) no protegida por IPsec. Regla 3. Esta regla permite la comunicación no protegida por IPsec con sistemas DNS (sistemas de nombres de dominio) de la lista de exenciones. Regla 4. Esta regla permite la comunicación no protegida por IPsec con sistemas controladores de dominio de la lista de exenciones. Regla 5. Esta regla permite la comunicación no protegida por IPsec con sistemas WINS (Servicio de nombres Internet de Windows) de la lista de exenciones. Regla 6. Esta regla permite la comunicación no protegida por IPsec con hosts de la lista de exenciones. En Woodgrove Bank se creó esta lista de filtros para los servidores de aplicaciones de la línea de negocios. Regla 7. Esta regla permite el uso de tráfico ICMP (Protocolo de mensajes de control de Internet) no protegido por IPsec. Regla 8. Esta regla permite la comunicación no protegida por IPsec con hosts de la lista de exenciones. Esta regla no deberá incluirse en las directivas si la lista de filtros está vacía. Regla 9. Esta regla permite la comunicación no protegida por IPsec con subredes de la lista de exenciones. Esta regla no deberá incluirse en las directivas si la lista de filtros está vacía. Regla 10. Esta regla sólo se utiliza para realizar el seguimiento de la información de versión de la directiva. El filtro utilizado para implementar la lista de filtros es un filtro ficticio que consiste en dos direcciones IP específicas que permiten el tráfico ICMP. Este filtro ficticio es necesario porque no es posible agregar una lista de filtros vacía a una directiva. Directiva del dominio de aislamientoEsta sección proporciona información sobre los filtros, acciones de filtrado, directiva y objetos de directiva de grupo (GPO) utilizados para crear el dominio de aislamiento en la solución para Woodgrove Bank. Regla 11: Lista de filtros: IPSEC: subredes organizativas Filtro: Cualquiera <-> subredes internas, todo el tráfico, reflejado Acción de filtrado: "IPSEC – Modo de solicitud seguro (Ignorar entrante, Permitir saliente)" Orden de preferencia de los métodos de seguridad: ESP-null/SHA1, ESP-null/MD5, NO aceptar comunicaciones no seguras Permitir comunicación no segura con hosts ajenos a IPsec Autenticación: Kerberos Túnel: no Tipo de conexión: TODAS El resto de configuraciones de directiva coinciden con las que aparecen en la sección "Configuración general de directiva" de este apéndice. Explicación del comportamiento de la reglaRegla 11. Esta regla es la regla más general que se define en la directiva. Coincide con el tráfico destinado a subredes seguras y exige la negociación de IPsec. No aceptará la comunicación no protegida de clientes ajenos a IPsec, pero puede comunicarse con clientes ajenos a IPsec si inicia la comunicación. Directiva de grupo de aislamiento Sin reservaEsta sección proporciona información sobre los filtros, acciones de filtrado, directiva y objetos de directiva de grupo (GPO) utilizados para crear el grupo de aislamiento Sin reserva en la solución para Woodgrove Bank. Regla 11: Lista de filtros: IPSEC: subredes organizativas Filtro: Cualquiera <-> subredes internas, todo el tráfico, reflejado Acción de filtrado: "IPSEC – Modo de solicitud completo (Ignorar entrante, No permitir saliente)" Orden de preferencia de los métodos de seguridad: ESP-null/SHA1, ESP-null/MD5, ESP-3DES/SHA1 y, a continuación, ESP-3DES/MD5 NO aceptar comunicaciones no seguras NO permitir comunicación no segura con hosts ajenos a IPsec Autenticación: Kerberos Túnel: no Tipo de conexión: TODAS El resto de configuraciones de directiva coinciden con las que aparecen en la sección "Configuración general de directiva" de este apéndice. Explicación del comportamiento de la reglaRegla 11. Esta regla es la regla más general que se define en la directiva. Coincide con el tráfico destinado a subredes seguras y exige la negociación de IPsec. NO permite ninguna comunicación con clientes ajenos a IPsec. Directiva del grupo de aislamiento LímiteEsta sección proporciona información sobre los filtros, acciones de filtrado, directiva y objetos de directiva de grupo (GPOs) utilizados para crear el grupo de aislamiento Límite en la solución para Woodgrove Bank. En la guía de seguridad de Windows Server 2003 se asume que el host Límite no es móvil y, por lo tanto, que puede utilizar subredes para definir su red y debe protegerse casi como un host de baluarte. Debe protegerse bien contra ataques malintencionados. Por lo tanto, la directiva IPsec deberá combinarse con filtros que reduzcan la superficie de ataque en la medida en que sea posible. Configuración general de la directiva: Vigencia de modo principal IKE: 20 minutos Regla 11: Lista de filtros: IPSEC: subredes organizativas Filtro: Cualquiera <-> subredes internas, todo el tráfico, reflejado Acción de filtrado: "IPSEC – Modo de solicitud (Aceptar entrante, Permitir saliente)" Orden de preferencia de los métodos de seguridad: ESP-null/SHA1, ESP-null/MD5, ESP-3DES/SHA1 y, a continuación, ESP-3DES/MD5 Aceptar comunicaciones no seguras Permitir comunicación no segura con hosts ajenos a IPsec Autenticación: Kerberos Túnel: no Tipo de conexión: TODAS El resto de configuraciones de directiva coinciden con las que aparecen en la sección "Configuración general de directiva" de este apéndice. Explicación del comportamiento de la reglaRegla 11. Esta regla es la regla más general que se define en la directiva. Coincide con el tráfico destinado a subredes seguras y exige la negociación de IPsec. Aceptará tráfico de clientes ajenos a IPsec e iniciará la comunicación con estos clientes. Directiva del grupo de aislamiento CifradoEsta sección proporciona información sobre los filtros, acciones de filtrado, directiva y objetos de directiva de grupo (GPOs) utilizados para crear el grupo de aislamiento Cifrado en la solución para Woodgrove Bank. Regla 11: Lista de filtros: IPSEC: subredes organizativas Filtro: Cualquiera <-> subredes internas, todo el tráfico, reflejado Acción de filtrado: "IPSEC – Solicitar modo de cifrado (Ignorar entrante, No permitir saliente)" Orden de preferencia de los métodos de seguridad: ESP-3DES/SHA1 y, a continuación, ESP-3DES/MD5 NO aceptar comunicaciones no seguras NO permitir comunicación no segura con hosts ajenos a IPsec Autenticación: Kerberos Túnel: no Tipo de conexión: TODAS El resto de configuraciones de directiva coinciden con las que aparecen en la sección "Configuración general de directiva" de este apéndice. Explicación del comportamiento de la reglaRegla 11. Esta regla es la regla más general que se define en la directiva. Coincide con el tráfico destinado a subredes seguras y exige la negociación de IPsec cifrado. NO permite ninguna comunicación con clientes ajenos a IPsec.
|
En este artículo
|
