Este apéndice proporciona una guía completa para crear la infraestructura necesaria que permita grupos de aislamiento que utilicen IPsec. En esta guía se trata la instalación y configuración de Microsoft® Windows Server™ 2003, la preparación del servicio de directorio Active Directory® y la configuración de la directiva IPsec. Este apéndice también proporciona las instrucciones de implementación que se utilizaron para la ejecución de la directiva IPsec de línea de base en el escenario de Woodgrove Bank, descrito anteriormente en esta guía. Este apéndice ha sido diseñado para su utilización junto con el resto de los capítulos de esta guía, que explican el proceso de diseño y la lógica tras las decisiones de implementación que se utilizan en este apéndice. En este apéndice también se explican las tareas y procesos necesarios para crear e implementar satisfactoriamente una infraestructura de directiva IPsec. Si todavía no lo ha hecho, le recomendamos que lea los capítulos anteriores antes de seguir con este apéndice. También debería leer y entender las implicaciones de los requisitos de compatibilidad que se especifican en el capítulo 6, "Administración de un entorno de aislamiento de servidor y dominio", antes de implementar los pasos de este apéndice. En esta páginaRequisitos previosEsta sección contiene información que le ayudará a determinar la capacitación de su organización para implementar la solución. Requisitos previos de conocimientosDebe estar familiarizado con los conceptos de IPsec, redes y arquitectura de red. También debe estar familiarizado con Windows Server 2003 en las siguientes áreas: | • | Instalación del sistema operativo. | | • | Los conceptos de Active Directory® (incluidas la estructura y las herramientas de Active Directory, la manipulación de usuarios, grupos y otros objetos de Active Directory, y el uso de Directiva de grupo). | | • | La seguridad del sistema Windows, incluidos conceptos de seguridad tales como usuarios, grupos, auditoría y listas de control de acceso (ACL); el uso de plantillas de seguridad y la aplicación de plantillas de seguridad con herramientas de línea de comandos o Directiva de grupo. |
Antes de seguir con este apéndice, debería haber leído las instrucciones de planificación de esta guía y debería comprender bien los conceptos arquitectónicos y de diseño de la solución. Requisitos previos organizativosDebe consultar a otras personas de su organización que quizás necesiten implicarse en la planificación de la solución. Entre ellas podrían encontrarse las siguientes: | • | Patrocinadores empresariales. | | • | Personal de seguridad y auditoría. | | • | Personal de ingeniería, administración y operación de Active Directory. | | • | Personal de ingeniería, administración y operación del servicio de nombres de dominio (DNS), servidor Web y red. Nota: según la estructura de la organización de TI, estas funciones las puede desempeñar una serie de personas o unas pocas personas pueden abarcar varias funciones. |
Requisitos previos de la infraestructura de TIEl apéndice también asume que existe la infraestructura de TI siguiente: | • | Un dominio Windows Server 2003 Active Directory ejecutándose en modo mixto o nativo. Esta solución utiliza grupos universales para la aplicación de Objetos de directiva de grupo (GPO). Aunque la organización no utilice el modo mixto o el modo nativo, seguirá siendo posible aplicar los GPO utilizando configuraciones de grupo estándar globales y locales. No obstante, debido a que esta opción es más compleja, no se utiliza en la solución. Nota: Windows Server 2003 introdujo diversas mejoras que afectan a las directivas IPsec. Esta solución también podría implementarse con éxito en Windows 2000; no hay nada específico en Windows Server 2003 que lo impida. No obstante, la solución se ha probado únicamente con Active Directory sobre Windows Server 2003. Para obtener más información acerca de las mejoras para IPsec que introduce Windows Server 2003, consulte la página New features for IPsec (Funciones nuevas para IPsec) del sitio Web de Microsoft, en www.microsoft.com/resources/documentation/WindowsServ/
2003/standard/proddocs/en-us/ipsec_whatsnew.asp. | | • | Hardware de servidor adecuado para ejecutar Windows Server 2003. | | • | Licencias, medios de instalación y claves de producto de Windows Server 2003 Standard Edition y Windows Server 2003 Enterprise Edition. |
Requisitos previos para la implementación de la línea de baseAntes de llevar a cabo las tareas de este apéndice, deben comprobarse diversos elementos para garantizar una implementación satisfactoria. Requisitos de hardwareAntes de transferir la infraestructura IPsec de línea de base, asegúrese de que la infraestructura actual es capaz físicamente de admitir la carga de la implementación de IPsec. El proceso que le ayudará a comprobar esta capacidad se trata en el capítulo 3, "Cómo determinar el estado actual de su infraestructura de TI", incluido en esta guía. HerramientasPueden utilizarse cuatro herramientas primarias para configurar las directivas IPsec y habilitarlas mediante los GPO de Active Directory. Estas herramientas son las siguientes: | • | Netsh. Esta herramienta de línea de comandos se facilita con Windows Server 2003. Se utiliza para configurar la directiva local en un sistema Windows Server 2003 y la directiva de dominio. Esta solución utiliza secuencias de comandos Netsh para configurar las directivas de dominio. | | • | Consola de administración de directivas de grupo (GPMC). Se trata de un complemento para la administración de directivas de grupo que simplifica la administración de directivas de grupo en la organización. Puede descargarse de la página Consola de administración de directiva de grupo con Service Pack 1, en el Centro de descarga de Microsoft: www.microsoft.com/downloads/details.aspx?
FamilyId=0A6D4C24-8CBD-4B35-9272-DD3CBFC81887&displaylang=en. | | • | Consola de administración de directivas de seguridad IP. Esta herramienta permite al administrador crear, ver o modificar directivas IPsec, acciones de filtrado y listas de filtros. Aunque es un complemento de Microsoft Management Console (MMC), no aparece en el listado predeterminado de Herramientas administrativas del equipo. Para utilizar esta herramienta, ejecute mmc.exe en un símbolo del sistema y agregue el complemento manualmente. | | • | Consola de administración de monitor de seguridad IP. Esta herramienta permite al administrador ver las diversas reglas aplicadas a un equipo y las asociaciones de seguridad (SA) de modo principal y de modo rápido que se le han asociado. Al igual que la Consola de administración de seguridad IP, esta herramienta no aparece de forma predeterminada en el menú Herramientas administrativas, sino que debe cargarse manualmente con la ayuda del programa mmc.exe. |
Se recomienda obtener e instalar estas herramientas en las estaciones de trabajo del equipo de implementación, de modo que los miembros del equipo puedan dedicar algún tiempo a familiarizarse con la funcionalidad de cada herramienta antes de que se inicie la implementación. Implementación de la directiva de la línea de baseWoodgrove Bank optó por realizar su implementación desplazando en primer lugar todos los equipos al grupo de aislamiento Límite mediante el método de generación. Este método permitió a los administradores avanzar lentamente y resolver cualquier problema pendiente, sin que ello afectara de manera significativa a las comunicaciones entre todos los sistemas. Al implementar en primer lugar una directiva sin ninguna subred segura, el equipo de administración fue capaz de identificar todos los equipos que tenían asignada una directiva IPsec local y pudo aprovechar esa información. A medida que se iban agregando las subredes a la directiva, se iban resolviendo todos los conflictos que surgieron. Cuando los equipos estuvieron en funcionamiento bajo la directiva del grupo de aislamiento Límite, el equipo pasó a implementar los grupos de aislamiento Estándar, Texto no cifrado saliente permitido y Cifrado. Estos grupos de aislamiento se implementaron utilizando el método de implementación por grupo que se explica en el capítulo 4, "Diseño y planificación de grupos de aislamiento", de esta guía. Se seleccionó un conjunto de equipos para una prueba piloto y se agregó a los grupos apropiados que controlaban las directivas nuevas. A medida que surgían, los problemas se fueron resolviendo y se agregaron otros equipos a los grupos de aislamiento, hasta que éstos estuvieron completamente llenos. Implementación de las directivas IPsecEl proceso de conseguir la directiva IPsec adecuada para cada equipo de una organización voluminosa puede llegar a ser demasiado complejo rápidamente. El mecanismo de directivas disponible en Active Directory puede simplificar enormemente este proceso. Las siguientes secciones de este apéndice proporcionan la información necesaria para implementar las directivas IPsec. Copia de las secuencias de comandos de configuraciónPara configurar las directivas IPsec, la primera tarea consiste en copiar las secuencias de comandos de configuración requeridas en el controlador de dominio que se utilizará para almacenarlas. Para configurar el laboratorio de Woodgrove Bank, se utilizaron las secuencias de comandos de configuración facilitadas con la solución. En el escenario de Woodgrove Bank, se llevaron a cabo los pasos siguientes: Copia de las secuencias de comandos de configuración 1. | Inicie la sesión en IPS-CH-DC-01 como administrador del dominio para América. | 2. | Cree una carpeta llamada C:\IPsec Scripts. | 3. | Copie los archivos de secuencia de comandos de la carpeta Herramientas y plantillas de esta solución en la carpeta C:\IPsec Scripts. |
Instalación de la consola de administración de directivas de grupoLa GPMC se utiliza para instalar y configurar los GPO que utiliza la solución. La GPMC sólo debe instalarse en IPS-CH-DC-01; su instalación en otros servidores es opcional. Nota: la instalación de la GPMC modifica ligeramente la interfaz de usuario de Active Directory Users and Computers MMC para el equipo en el que se instala. Para obtener más información acerca de la utilización de la GPMC y descargar el archivo de instalación, consulte la página Consola de administración de directiva de grupo con Service Pack 1 del Centro de descarga de Microsoft en www.microsoft.com/downloads/details.aspx?
familyid=0a6d4c24-8cbd-4b35-9272-dd3cbfc81887&displaylang=en. Instalación de la consola de administración de directivas de grupo 1. | Descargue el archivo de instalación Gpmc.msi del Centro de descarga de Microsoft. | 2. | Asegúrese de que ha iniciado la sesión como miembro del grupo de administradores de dominio en IPS-CH-DC-01. | 3. | Desde el Explorador de Windows, haga doble clic en el archivo de instalación Gpmc.msi. | 4. | Siga las indicaciones del asistente de configuración para instalar la GPMC; acepte todos los valores predeterminados. Importante: debe instalar la GPMC en la carpeta Archivos de programa, no importa en qué controlador se encuentre la carpeta. También deberá utilizar la carpeta de instalación predeterminada (GPMC) dentro de la carpeta Archivos de programa. Si cambia el nombre de la carpeta, deberá actualizarlo en el archivo Constants.txt. Los últimos procedimientos utilizan algunas reglas instaladas por la GPMC y, si la instala en otro lugar, quizás no encuentren las herramientas de la GPMC hasta que se actualice este archivo. |
Implementación de listas de filtros IPsec y acciones de filtradoLa creación de las listas de filtros IPsec y las acciones de filtrado se lleva a cabo utilizando la herramienta Netsh o el complemento Administrador de las directivas de seguridad de IP para MMC. Aunque el complemento Administrador de las directivas de seguridad de IP para MMC proporciona una interfaz gráfica para IPsec, muchos administradores consideran más sencillo mantener y actualizar secuencias de comandos que utilicen la herramienta de línea de comando Netsh. Además, resulta sencillo transportar las secuencias de comandos a través de dominios o bosques. En esta solución, las secuencias de comandos Netsh se utilizaron para implementar las listas de filtros IPsec y las acciones de filtrado. Nota: contraste las secuencias de comandos con los almacenes de directivas locales de un equipo con Windows Server 2003 definiendo el enfoque del almacén como local. Tras depurar las secuencias de comandos, modifique la configuración del almacén para centrarse en el dominio para la importación final. Para crear listas de filtros IPsec y acciones de filtrado 1. | Inicie la sesión en el dominio IPS-CH-DC-01 como administrador del dominio para América. | 2. | Abra un símbolo del sistema, escriba
netsh –f "c:\IPsec Scripts\PacketFilters.txt" y presione Entrar. Nota: si con la secuencia de comandos se crean listas de filtros vacías, aparece el mensaje de error siguiente en la línea de comandos: ERR IPsec [05022]: No hay filtros en la lista de filtros denominada "<Nombre de lista de filtros>." Puede ignorar este mensaje sin problemas. | 3. | Inicie el complemento de MMC de administración de directivas de seguridad IP y confirme que se han creado las listas de filtros y las acciones de filtrado en Active Directory. Nota: para contrastarlo con la directiva local, asegúrese de que la secuencia de comandos que se ejecuta en el paso 2 se configura con set store location=local. En el paso 3, compruebe que el complemento de MMC está centrado en el equipo local y no en el dominio. |
Implementación de las directivas IPsecTras crear las listas de filtros y las acciones de filtrado, pueden ejecutarse las secuencias de comandos que crean las directivas IPsec. Nota: las directivas creadas mediante las secuencias de comandos se configuran con un intervalo de sondeo de cinco minutos con fines de prueba. En la tabla siguiente aparece el nombre de la directiva y el archivo de comandos que crea la directiva. El nombre del archivo de comandos se utilizará en el paso 2 del procedimiento siguiente. Tabla C.1: directiva IPsec para asignación de archivos de comandos IPSEC – Directiva IPsec de grupo de aislamiento Límite (1.0.041001.1600) | BoundaryIGPolicy.txt | IPSEC – Directiva IPsec de grupo de aislamiento Sin reserva (1.0.041001.1600) | NoFallbackIGPolicy.txt | IPSEC – Directiva IPsec de dominio de aislamiento (1.0.041001.1600) | IsolationDomainPolicy.txt | IPSEC – Directiva IPsec de grupo de aislamiento Cifrado (1.0.041001.1600) | EncryptionIGPolicy.txt |
Para crear las directivas IPsec 1. | Inicie la sesión en IPS-CH-DC-01 como administrador del dominio para América. | 2. | Abra un símbolo del sistema. Para cada directiva, escriba netsh –f "c:\IPsec Scripts\<Script Filename>"
and then press ENTER. Nota: si una lista de filtros está vacía, Netsh mostrará un error que empezará por "ERR IPsec [05022]..." Este mensaje puede pasarse por alto sin problemas. | 3. | Inicie el complemento de MMC de administración de directivas de seguridad IP y confirme que se han creado las directivas IP en Active Directory. Nota: para contrastarlo con la directiva local, asegúrese de que la secuencia de comandos que se ejecuta en el paso 2 se configura con set store location=local. En el paso 3, compruebe que el complemento de MMC está centrado en el equipo local y no en el dominio. |
Creación de GPO para directivas IPsecEn Woodgrove Bank se crearon cuatro GPO para directivas IPsec. Cada uno de estos GPO se denominó igual que la directiva IPsec asignada en el GPO. Hasta que las directivas no se vinculen en Active Directory, estos GPO no suministrarán ninguna directiva IPsec al entorno. En la tabla siguiente aparece el nombre de cada GPO y el nombre de la directiva IPsec que suministra dicho GPO. Tabla C.2: GPO de Woodgrove Bank para asignación de IPsec IPSEC – Directiva de grupo de aislamiento Límite | IPSEC – Directiva IPsec de grupo de aislamiento Límite (1.0.041001.1600) | IPSEC – Directiva de grupo de aislamiento Sin reserva | IPSEC – Directiva IPsec de grupo de aislamiento Sin reserva (1.0.041001.1600) | IPSEC – Directiva de dominio de aislamiento | IPSEC – Directiva IPsec de dominio de aislamiento (1.0.041001.1600) | IPSEC – Directiva de grupo de aislamiento Cifrado | IPSEC – Directiva IPsec de grupo de aislamiento Cifrado (1.0.041001.1600) |
Para crear los GPO para directivas IPsec 1. | Inicie la sesión en IPS-CH-DC-01 como administrador del dominio para América. | 2. | Inicie la GPMC. | 3. | Expanda el bosque: corp.woodgrovebank.com, luego el dominio y, a continuación, americas.corp.woodgrovebank.com. | 4. | Haga clic con el botón secundario en Objetos de directiva de grupo y haga clic en Nuevo. | 5. | En el cuadro de texto Nombre, escriba un <nombre de GPO> y haga clic en Aceptar. | 6. | Haga clic con el botón secundario en <nombre de GPO> y, a continuación, haga clic en Editar. | 7. | Expanda Configuración del equipo, Configuración de Windows, Configuración de seguridad y, a continuación, haga clic en Directivas de seguridad IP en Active Directory (corp.woodgrovebank.com). | 8. | En el panel derecho, haga clic con el botón secundario en <nombre de directiva IPsec> y, a continuación, en Asignar. | 9. | Asegúrese de que se ha asignado el <nombre de la directiva IPsec> y cierre el editor de GPO. | 10. | Repita los pasos 4-9 para cada combinación de <nombre de GPO> y <nombre de directiva IPsec> de la tabla anterior. |
Configuración de la seguridad en las directivas de grupo IPsecEn Woodgrove Bank se utilizaron ACL de seguridad en el GPO que contiene las directivas IPsec para controlar la aplicación de las directivas. La principal ventaja es que todas las directivas pudieron vincularse en el nivel de dominio, en lugar de utilizar múltiples unidades organizativas (OU), y ello ayudó a simplificar la administración de la aplicación de directivas. Además, se implementó una ejecución por fases sin desplazar ninguna cuenta de equipo a OU especiales. Por el contrario, las cuentas de equipo que participaron en la prueba piloto se agregaron a los grupos apropiados. El inconveniente es que la organización debe tener buenas herramientas de administración de grupos. Creación de gruposSe creó un conjunto de grupos para controlar el modo en que se aplicaba la directiva en la organización Woodgrove Bank. Puesto que el bosque de Woodgrove Bank se encontraba en modo Nativo, se utilizaron grupos universales para controlar la directiva en todos los dominios. Tabla C.3: Grupos universales de Woodgrove Bank CG_NoIPsec_computers | Un grupo universal de cuentas de equipos que no participan en el entorno IPsec, normalmente cuentas de equipos de infraestructura. | CG_BoundaryIG_computers | Un grupo universal de cuentas de equipos que pueden comunicarse con sistemas que no son de confianza. | CG_ EncryptionIG_computers | Un grupo universal de cuentas de equipos que se encuentran en el grupo de aislamiento Cifrado. | CG_ IsolationDomain_computers | Un grupo universal de cuentas de equipos que forman parte del dominio de aislamiento. | CG_NoFallbackIG_computers | Un grupo universal de cuentas de equipos que forman parte del grupo de aislamiento Sin reserva. |
Para crear los grupos universales de Woodgrove Bank 1. | Abra Usuarios y equipos de Active Directory en IPS-CH-DC-01. | 2. | Haga clic con el botón secundario en el contenedor Usuarios, haga clic en Nuevo y, a continuación, haga clic en Grupo. | 3. | En el cuadro de texto Nombre de grupo, escriba el primer <Nombre de grupo> de la tabla anterior. | 4. | Seleccione Grupo de seguridad universal y, a continuación, Aceptar. | 5. | Repita los pasos 2 y 4 para cada grupo. | 6. | Haga clic con el botón secundario en el primer <Nombre de grupo> y, a continuación, haga clic en Propiedades. | 7. | En el cuadro de texto Descripción, escriba la primera <Descripción> de la tabla anterior. | 8. | Haga clic en Aceptar. | 9. | Repita los pasos 6-8 para cada uno de los grupos enumerados en la tabla anterior. |
Configuración de la seguridad de GPOLos grupos se utilizan para controlar qué equipos obtienen qué directivas de participación IPsec. Es preciso configurar las ACL de seguridad en cada una de las directivas IPsec recién creadas para configurar los grupos apropiados. En la tabla siguiente se muestran las ACL que se agregan a cada GPO. Nota: si una organización delega derechos administrativos para las directivas IPsec usuarios ajenos al grupo de Administradores del dominio, el grupo administrativo delegado necesitará Control total en el contenedor Seguridad IP de Active Directory. Tabla C.4: Permisos de grupo de directiva para Woodgrove Bank IPSEC – Directiva de grupo de aislamiento Límite | CG_NoIPsec_computers | Denegar aplicación de directiva de grupo | | CG_BoundaryIG_computers | Permitir lectura y aplicación de directiva de grupo | IPSEC – Directiva de grupo de aislamiento Sin reserva | CG_NoIPsec_computers | Denegar aplicación de directiva de grupo | | CG_NoFallbackIG_computers | Permitir lectura y aplicación de directiva de grupo | IPSEC – Directiva de dominio de aislamiento | CG_NoIPsec_computers | Denegar aplicación de directiva de grupo | IPSEC – Directiva de dominio de aislamiento | CG_ IsolationDomain_computers | Permitir lectura y aplicación de directiva de grupo | IPSEC – Directiva de grupo de aislamiento Cifrado | CG_NoIPsec_computers | Denegar aplicación de directiva de grupo | | CG_ EncryptionIG_computers | Permitir lectura y aplicación de directiva de grupo |
Nota: la directiva del grupo de aislamiento Límite está configurada para permitir que el grupo de Equipos del dominio aplique la directiva para el proceso inicial de constitución colocando el grupo de Equipos del dominio en el grupo CG_BoundaryIG_computers. Tras desplazar todos los equipos a sus grupos respectivos, los equipos del dominio se eliminarán del grupo CG_BoundaryIG_computers. Para definir los permisos de grupo en el GPO 1. | Inicie la GPMC en IPS-CH-DC-01 como administrador del dominio para América. | 2. | Expanda el bosque: corp.woodgrovebank.com, el dominio, americas.corp.woodgrovebank.com y, a continuación, Objetos de directiva de grupo. | 3. | Haga clic en el primer <nombre de GPO> de la tabla anterior y, a continuación, en la ficha Delegación. | 4. | Haga clic en el botón Avanzadas. | 5. | En el cuadro de desplazamiento Nombre de grupo o usuario, haga clic en Usuarios autenticados y desactive la casilla Derecho de Permitir Aplicar directiva de grupos. | 6. | Haga clic en el botón Agregar. | 7. | En el cuadro de texto Escriba los nombres de objeto que desea seleccionar, especifique los <Nombres de grupo o cuenta> de la tabla anterior, separados por punto y coma, y haga clic en Aceptar. | 8. | En el cuadro de texto Nombres de grupos o usuarios, seleccione <Nombre de grupo o cuenta>, y especifique los <Derechos asignados> en las casillas de verificación Permisos. | 9. | Repita el paso 8 para cada <Nombre de grupo o cuenta> asociado con el <Nombre de directiva>. | 10. | Haga clic en Aceptar. | 11. | Si el derecho que se asigna es un derecho de Denegar, haga clic en Sí cuando aparezca el cuadro de mensaje; de lo contrario, siga con el paso 12. | 12. | Repita los pasos 3-11 para cada <Nombre de directiva>. Nota: compruebe que a la entrada Usuarios autenticados se le han otorgado sólo permisos de Lectura en la ACL de seguridad para cada directiva. Si también se le han otorgado permisos de Aplicar, la directiva se implementará en todos los equipos. |
Cómo impedir que los equipos del grupo de aislamiento Límite puedan establecer conexiones con equipos del grupo de aislamiento CifradoEn Woodgrove Bank era un requisito que ningún equipo del grupo de aislamiento Límite pudiera establecer comunicaciones con los equipos del grupo de aislamiento Cifrado. Para implementar esta restricción, se creó el grupo DNAG_EncryptionIG_computers para que sus miembros no pudieran tener acceso a los equipos del grupo de aislamiento Cifrado. La directiva del grupo de aislamiento Cifrado se configuró de forma que al grupo DNAG_EncryptionIG_computers se le concedió el derecho "Denegar acceso desde la red a este equipo", y el grupo CG_BoundaryIG_computers se colocó en el grupo DNAG_EncryptionIG_computers. Esta configuración se consiguió modificando el GPO IPSEC – Directiva de grupo de aislamiento Cifrado. Para crear el grupo DNAG_EncryptionIG_computers 1. | Abra Usuarios y equipos de Active Directory en IPS-CH-DC-01. | 2. | Haga clic con el botón secundario en el contenedor Usuarios, haga clic en Nuevo y, a continuación, haga clic en Grupo. | 3. | En el cuadro de texto Nombre de grupo, escriba DNAG_EncryptionIG_computers. | 4. | Seleccione el grupo de seguridad Dominio local y, a continuación, haga clic en Aceptar. | 5. | Haga clic con el botón secundario en DNAG_EncryptionIG_computers y haga clic en Propiedades. | 6. | En el cuadro de texto Descripción, escriba Utilizado para denegar el acceso al grupo de aislamiento Cifrado. | 7. | Haga clic en Aceptar. |
Para configurar IPSEC – Directiva de grupo de aislamiento Cifrado para bloquear a los miembros del grupo DNAG_EncryptionIG_computers 1. | Inicie la GPMC en IPS-CH-DC-01 como administrador del dominio para América. | 2. | Expanda el bosque: corp.woodgrovebank.com, el dominio, americas.corp.woodgrovebank.com y, a continuación, Objetos de directiva de grupo. | 3. | Haga clic con el botón secundario en IPSEC – Directiva del grupo de aislamiento Cifrado y, a continuación, haga clic en Editar. | 4. | Expanda Configuración del equipo, Configuración de Windows, Configuración de seguridad, Directivas locales y, a continuación, Asignación de derechos de usuario. | 5. | Haga clic con el botón secundario en Denegar el acceso desde la red a este equipo y, a continuación, haga clic en Propiedades. | 6. | Active la casilla de verificación Definir esta configuración de directiva. | 7. | Haga clic en el botón Agregar usuario o grupo. | 8. | Haga clic en el botón Examinar. | 9. | En el cuadro de texto, escriba DNAG_EncryptionIG_computers y, a continuación, haga clic en Aceptar. | 10. | Vuelva a hacer clic en OK. | 11. | Haga clic en Aceptar para cerrar la página de Propiedades. | 12. | Cierre el Editor de objetos de directiva de grupo. | 13. | Cierre la GPMC. |
Para rellenar el grupo DNAG_EncryptionIG_computers con el grupo CG_BoundaryIG_computers 1. | Inicie Active Directory Users and Computers en IPS-CH-DC-01 como administrador del dominio para América. | 2. | Expanda el dominio y haga clic en Usuarios. | 3. | En el panel de la derecha, haga clic con el botón secundario en el grupo de seguridad DNAG_EncryptionIG_computers y, a continuación, haga clic en Propiedades. | 4. | Haga clic en la ficha Miembros y, a continuación, en Agregar. | 5. | En el cuadro Escriba los nombres de objeto que desea seleccionar, escriba CG_BoundaryIG_computers y haga clic en Aceptar. | 6. | Haga clic en Aceptar. |
Cómo agregar equipos del dominio al grupo LímiteEn la implementación inicial, el grupo de aislamiento Límite se utiliza como el grupo de aislamiento predeterminado para los clientes basados en IPsec de la organización. El grupo Equipos del dominio se agrega al grupo CG_BoundaryIG_computers para implementar este plan. Para agregar equipos del dominio al grupo CG_BoundaryIG_computers 1. | Inicie Active Directory Users and Computers en IPS-CH-DC-01 como administrador del dominio para América. | 2. | Expanda el dominio y haga clic en Usuarios. | 3. | En el panel de la derecha, haga clic con el botón secundario en CG_BoundaryIG_computers y, a continuación, haga clic en Propiedades. | 4. | Haga clic en la ficha Miembros y, a continuación, en Agregar. | 5. | En el cuadro Escriba los nombres de objeto que desea seleccionar, escriba Equipos del dominio y haga clic en Aceptar. | 6. | Vuelva a hacer clic en OK. Nota: debido a los retrasos en la replicación y la frecuencia de sondeo de las directivas IPsec, habrá un retraso entre el momento en que se agrega el grupo Equipos del dominio al grupo CG_BoundaryIG_computers y el momento en que se aplica la directiva del grupo de aislamiento Límite. El equipo puede reiniciarse en este momento si es necesario aplicar la directiva IPsec inmediatamente. De lo contrario, la directiva se aplicará cuando se agote el tiempo del vale de sesión y se actualice con la nueva información de pertenencia a grupo local. |
Cómo agregar servidores de infraestructura al grupo CG_NoIPSec_ComputersPara garantizar que los servidores de infraestructura no reciben una directiva que pueda interrumpir la comunicación (por ejemplo, si cambia la dirección IP de un servidor), se agregaron las siguientes cuentas de equipo de servidores de infraestructura al grupo de seguridad CG_NoIPsec_computers. | • | IPS-RT-DC-01 | | • | IPS-CH-DC-01 |
Para agregar servidores de infraestructura al grupo CG_NoIPsec_computers. 1. | Inicie Active Directory Users and Computers en IPS-CH-DC-01 como administrador del dominio para América. | 2. | Expanda el dominio y haga clic en Usuarios. | 3. | En el panel de la derecha, haga clic con el botón secundario en CG_NoIPsec_computers y, a continuación, haga clic en Propiedades. | 4. | Haga clic en la ficha Miembros y, a continuación, en Agregar. | 5. | Haga clic en el botón Tipos de objeto, seleccione la casilla de verificación Equipos y haga clic en Aceptar. | 6. | En el cuadro de texto Escriba los nombres de objeto que desea seleccionar, especifique los nombres de los equipos de la lista anterior, separados por punto y coma, y haga clic en Aceptar. | 7. | Vuelva a hacer clic en OK. |
Cómo vincular directivas IPsec y GPO en un entorno de dominioAntes de poder distribuir las directivas IPsec, deben vincularse con ubicaciones del entorno del dominio. Puesto que en Woodgrove Bank se decidió administrar los GPO utilizando grupos de seguridad, la estructura de OU no es demasiado importante para la distribución de directivas. Sin embargo, si existen OU que bloquean la aplicación de directivas, los GPO para IPsec deberían vincularse directamente con las OU para que funcione la aplicación de directivas. Otra alternativa sería habilitar la obligatoriedad de la directiva en los GPO de la directiva IPsec del dominio. Para vincular las directivas IPsec con los GPO existentes 1. | Inicie la GPMC como administrador del dominio. | 2. | Expanda el dominio. | 3. | Haga clic con el botón secundario en el nombre del dominio y, a continuación, haga clic en Vincular un GPO existente. | 4. | En la lista Objetos de directiva de grupo, seleccione todas las directivas con el nombre IPSEC y, a continuación, haga clic en Aceptar. | 5. | En el panel derecho, utilice las flechas para ordenar las directivas tal como se muestra en la tabla siguiente. Tabla C.5: Orden de vinculación de objetos de directiva de grupo en el nivel de dominio 1 | IPSEC – Directiva de grupo de aislamiento Cifrado | 2 | IPSEC – Directiva de grupo de aislamiento Sin reserva | 3 | IPSEC – Directiva de dominio de aislamiento | 4 | IPSEC – Directiva de grupo de aislamiento Límite | 5 | Directiva del dominio predeterminada |
|
Utilización del método de constitución de directivas para habilitar la directiva IPsec de línea de baseLa primera tarea en la ejecución de la infraestructura IPsec consiste en implementar la directiva de grupo de aislamiento Límite utilizando el método de implementación de constitución de directiva. Aunque el grupo de aislamiento Límite no pretende ser el dominio de aislamiento para todos los equipos del entorno de Woodgrove Bank, está configurado de forma que se aplique a todos los equipos en la primera fase de la implementación. Puesto que la directiva de grupo de aislamiento Límite permite y acepta la comunicación con equipos ajenos a IPsec, se consideró la directiva más segura para la implementación gradual en el entorno. Inicialmente, la directiva se implementó sin definir subredes seguras. De este modo, los administradores de Woodgrove Bank pudieron corregir las directivas IPsec locales existentes. Seguidamente se agregaron subredes una a una y se probaron para comprobar que la negociación IPsec transcurría correctamente. Cómo agregar subredes a la lista de filtros de subredes segurasTras aplicar la directiva de grupo de aislamiento Límite vacía a los equipos de la organización y resolver todo conflicto con las directivas IPsec locales existentes, los administradores de Woodgrove Bank empezaron a constituir la directiva. La constitución de la directiva consistía en identificar las subredes organizativas que debían protegerse. Las subredes identificadas se agregaron a la directiva una a una. Tras agregar la primera entrada a la lista de filtros, la lista de filtros se agrega a la directiva. Cuando se hubieron agregado todas las subredes, se dejó tiempo para aplicar la directiva a los equipos de la organización y resolver los conflictos. Este proceso se repitió hasta implementar toda la lista de filtros de subredes seguras. En la tabla siguiente aparecen las subredes seguras identificadas que se utilizaron en el laboratorio de Woodgrove Bank para reflejar fielmente su red de producción: Tabla C.6: Lista de subredes seguras para el laboratorio de pruebas de Woodgrove Bank 192.168.1.0 | 255.255.255.0 | Subred LAN organizativa 192.168.1.0/24 | 172.10.1.0 | 255.255.255.0 | Subred LAN organizativa 172.10.1.0/24 |
Para crear la primera entrada en la lista de filtros de subredes seguras 1. | Inicie la sesión en IPS-CH-DC-01 como administrador del dominio para América. | 2. | Inicie el complemento de MMC para la administración de la directiva de seguridad IP. | 3. | Haga clic con el botón secundario en Directivas de seguridad IP en Active Directory y haga clic en Administrar listas de filtros IP y acciones de filtrado. | 4. | En la ficha Administrar listas de filtros IP, haga clic en IPSEC – Subredes seguras de la organización y, a continuación, en Editar. | 5. | Asegúrese de que no está marcada la casilla de verificación Usar Asistente para agregar. | 6. | Haga clic en Agregar. | 7. | En la ficha Direcciones, en la lista desplegable Dirección de origen, haga clic en Cualquier dirección IP. | 8. | En la lista desplegable Dirección de destino, haga clic en Una subred IP específica y, a continuación, rellene las casillas Dirección IP y máscara de subred utilizando la información de la tabla anterior. | 9. | Compruebe que se ha seleccionado la opción Reflejado. | 10. | En la ficha Descripción, escriba la descripción correspondiente de la tabla anterior. | 11. | Haga clic en Aceptar para cerrar el cuadro de diálogo Propiedades de filtros IP. | 12. | Haga clic en Aceptar para cerrar el cuadro de diálogo Lista de filtros IP. | 13. | Haga clic en Cerrar para cerrar el cuadro de diálogo Administrar listas de filtros IP y acciones de filtrado. |
Para agregar la lista de filtros de subredes seguras a la directiva de grupo de aislamiento Límite 1. | Inicie la sesión en IPS-CH-DC-01 como administrador del dominio para América. | 2. | Inicie el complemento de MMC para la administración de la directiva de seguridad IP. | 3. | Haga clic con el botón secundario en IPSEC – Directiva IPsec de grupo de aislamiento Límite (1.0.041001.1600) y, a continuación, haga clic en Propiedades. | 4. | En la ficha Reglas, asegúrese de que la casilla de verificación Usar Asistente para agregar no está seleccionada y haga clic en Agregar. | 5. | En la ficha Lista de filtros IP, haga clic en IPSEC – Subredes seguras de la organización. | 6. | En la ficha Acción de filtrado, haga clic en IPSEC – Modo de solicitud (Aceptar entrante, Permitir saliente). | 7. | En la ficha Tipo de conexión, compruebe que se ha seleccionado la casilla de verificación Todas las conexiones de red. | 8. | En la ficha Configuración de túnel, compruebe que se ha seleccionado la casilla Esta regla no especifica un túnel IPsec. | 9. | En la ficha Métodos de autenticación, compruebe que el método Kerberos es el único método listado. | 10. | Haga clic en Aceptar para cerrar el cuadro de diálogo Editar propiedades de reglas. | 11. | Haga clic en Aceptar para cerrar el cuadro de diálogo IPSEC – Propiedades de directiva IPsec de grupo de aislamiento Límite (1.0.041001.1600). | 12. | Deje que se aplique la directiva y ejecute los pasos de verificación que aparecen en la sección "Verificar la implementación básica", incluida más adelante en este apéndice. |
Para agregar las subredes restantes a la lista de filtros de subredes seguras 1. | Inicie la sesión en IPS-CH-DC-01 como administrador del dominio para América. | 2. | Inicie el complemento de MMC para la administración de la directiva de seguridad IP. | 3. | Haga clic con el botón secundario en Directivas de seguridad IP en Active Directory y haga clic en Administrar listas de filtros IP y acciones de filtrado. | 4. | En la ficha Administrar listas de filtros IP, haga clic en IPSEC – Redes seguras de la organización y, a continuación, en Editar. | 5. | Asegúrese de que no está marcada la casilla de verificación Usar Asistente para agregar. | 6. | Haga clic en Agregar. | 7. | En la ficha Direcciones, en la lista desplegable Dirección de origen, haga clic en Cualquier dirección IP. | 8. | En la lista desplegable Dirección de destino, haga clic en Una subred IP específica y, a continuación, rellene las casillas Dirección IP y máscara de subred utilizando la información de la tabla anterior. | 9. | Compruebe que se ha seleccionado la opción Reflejado. | 10. | En la ficha Descripción, escriba la descripción correspondiente de la tabla anterior. | 11. | Haga clic en Aceptar para cerrar el cuadro de diálogo Propiedades de filtros IP. | 12. | Haga clic en Aceptar para cerrar el cuadro de diálogo Lista de filtros IP. | 13. | Haga clic en Cerrar para cerrar el cuadro de diálogo Administrar listas de filtros IP y acciones de filtrado. | 14. | Deje que se aplique la directiva y ejecute los pasos de verificación que aparecen en la sección "Verificar la implementación básica", incluida más adelante en este apéndice. | 15. | Repita los pasos 2-14 para cada subred. |
Verificación de la implementación básicaTras crear los objetos de directiva e implementarlos en Active Directory en un estado inactivo, deberá iniciarse un proceso de verificación antes de configurar la directiva base para aplicar el grupo de aislamiento Base a todos los equipos de la organización. La verificación puede ayudar a minimizar cualquier interrupción potencial para los hosts participantes en caso de error en la configuración base. Pruebas de implementación funcionalesLa prueba más sencilla que puede llevarse a cabo para confirmar la funcionalidad de IPsec es intentar la ejecución de los comandos net view para los equipos de la red organizativa segura y para los equipos que no se encuentran en las subredes de la red organizativa segura. Los equipos de una subred segura deberían negociar una SA por hardware que esté visible en el complemento de MMC Monitor de seguridad IP. Deberá crearse una SA por software entre un participante IPsec y un equipo que no esté en una subred de la red organizativa segura. Para comprobar la funcionalidad de las directivas IPsec que se aplican 1. | Desde un equipo de subred segura, abra un símbolo del sistema y escriba
net view \\<nombre de equipo> y presione Entrar. Como <nombre de equipo>, utilice los nombres de otros equipos de subred segura y de equipos que no formen parte de subredes seguras. | 2. | Inicie el complemento de MMC Monitor de seguridad IP en el equipo que inició los comandos net view. | 3. | Expanda Monitor de seguridad IP, <nombre de equipo>, Modo rápido y, a continuación, haga clic en Asociaciones de seguridad. | 4. | Confirme lo siguiente para cada equipo para el que se haya iniciado un comando net view: | • | Los participantes de la red organizativa segura negociaron una SA por hardware. La columna Integridad ESPno debería establecerse en <Ninguna>. | | • | Los no participantes negociaron una SA por software. La columna Integridad ESP debería establecerse en <Ninguna>. |
|
Secuencias y herramientas de prueba para las pruebas de funcionalidadDurante las pruebas de funcionalidad, deben supervisarse diversos valores de configuración. Aunque la mayoría de estos valores pueden supervisarse con herramientas estándar, hay dos tareas que requieren herramientas con las que el administrador estándar podría no estar familiarizado. Estas tareas implican la identificación de la directiva IPsec actualmente activa en el equipo y la identificación del tipo de SA que se negoció. Comprobación de la aplicación de la directiva IPsecLa identificación de la directiva IPsec activa en un equipo supone un reto, ya que no existe ningún método consistente para todas las plataformas. En algunos casos, se puede identificar la directiva IPsec a través de la interfaz de usuario gráfica (GUI), mientras que otras situaciones requieren una herramienta de línea de comandos que puede o no instalarse con el sistema operativo. Windows 2000Para equipos con Windows 2000 Server, el administrador puede identificar la directiva IPsec aplicada actualmente utilizando el comando Netdiag. Para recuperar la información y nombre de la directiva, el administrador inicia la sesión en el equipo, inicia un símbolo del sistema y escribe lo siguiente: Netdiag /test:IPsec Ejemplo de salida de este comando: IP Security test . . . . . . . . . : Passed
Directory IPsec Policy Active: ' IPSEC – Isolation
Domain IPsec Policy (1.0.041001.1600)' Windows XPPara equipos con Windows XP, el administrador puede identificar la directiva IPsec aplicada actualmente utilizando la herramienta de línea de comandos IPseccmd.exe. Para recuperar la información y nombre de la directiva, el administrador inicia la sesión en el equipo, inicia un símbolo del sistema y escribe lo siguiente: IPseccmd show gpo Ejemplo de salida de este comando: Active Directory Policy
-----------------------
Directory Policy Name: IPSEC – Isolation Domain IPsec
Policy (1.0.041001.1600)
Description: Isolation Domain Policy (Allow Outbound)
Last Change: Fri Sep 03 15:20:29 2004
Group Policy Object: IPSEC – Isolation Domain Policy
Organizational Unit:
LDAP://DC=americas,DC=woodgrovebank,DC=com
Policy Path: LDAP://CN=IPsecPolicy{efa2185d-1a1d-40f6-
b977-314f152643ca},CN=IP
Security,CN=System,DC=americas,DC=woodgrovebank,DC=comWindows Server 2003Para equipos con Windows Server 2003, el administrador puede identificar la directiva IPsec aplicada actualmente utilizando la herramienta de línea de comandos Netsh. Para recuperar la información y nombre de la directiva, el administrador inicia la sesión en el equipo, inicia un símbolo del sistema y escribe lo siguiente: netsh IPsec static show gpoassignedpolicy Ejemplo de salida de este comando: Source Machine : Local Computer GPO
for <IPS-TZ-W2K-02>
GPO Name : IPSEC – Isolation Domain Policy
Local IPsec Policy Name : NONE
AD IPsec Policy Name : IPSEC – Isolation
Domain IPsec Policy
(1.0.041001.1600)
AD Policy DN : LDAP://CN=IPsecPolicy
{efa2185d-1a1d-40f6-b977-314f152643ca},CN=IP
Security,CN=System,DC=americas,DC=woodgrovebank,DC=com
Local IPsec Policy Assigned: Yes, but AD Policy is
OverridingUtilización del Monitor de seguridad IP para determinar el tipo de SAEl complemento de MMC Monitor de seguridad IP se utiliza para examinar las SA de modo principal y modo rápido, los filtros asociados, las directivas de intercambio de claves de Internet (IKE) y las directivas de negociación. Durante la resolución de problemas, puede utilizarse el complemento de MMC Monitor de seguridad IP para determinar qué tipo de SA se ha negociado entre principales. Mediante la inspección de las SA bajo el árbol Modo rápido, un administrador del sistema puede identificar principales IPsec para el equipo en el que se está ejecutando la herramienta. Cuando un equipo negocia una conexión IPsec, se crea una SA por hardware. Esta SA tendrá un valor distinto a <Ninguno> en uno o varios de los campos Autenticación, Confidencialidad ESP o Integridad ESP. Por ejemplo, ESP con SHA1 y sin autenticación tendría HMAC-SHA1 bajo el campo Integridad ESP y <Ninguno> para los otros dos campos. Si la SA por hardware también incluye la negociación del cifrado, el campo Confidencial ESP incluirá DES o bien 3DES. Una SA por software tendrá <Ninguno> bajo los tres campos, indicando que el contestador efectuó un retroceso a texto no cifrado. Habilitación de la lista de filtros de subredes seguras de la organización en las directivas restantesAntes de habilitar las directivas IPsec que quedan, deberá agregarse a cada directiva la lista de filtros de la red organizativa segura. Esta tarea es necesaria porque en el momento de crear la directiva, la lista de filtros de la red organizativa segura estaba vacía y no pudo agregarse a la directiva. Anteriormente, en este mismo apéndice, se implementó la lista de filtros de la red organizativa segura y ahora puede agregarse a las directivas restantes. La tabla siguiente muestra los nombres de directiva y la acción de filtrado asociada que se ha asignado a la lista de filtros de la red organizativa segura. Tabla C.7: Asignación de directiva y acciones de filtrado IPSEC – Directiva IPsec de grupo de aislamiento Sin reserva (1.0.041001.1600) | IPsec – Modo de solicitud completo (Ignorar entrante, No permitir saliente) | IPSEC – Directiva IPsec de dominio de aislamiento (1.0.041001.1600) | IPsec – Modo de solicitud seguro (Ignorar entrante, Permitir saliente) | IPSEC – Directiva IPsec de grupo de aislamiento Cifrado (1.0.041001.1600) | IPSEC – Solicitar modo de cifrado (Ignorar entrante, No permitir saliente) |
Para agregar la lista de filtros de la red organizativa segura a las directivas IPsec 1. | Inicie la sesión en IPS-CH-DC-01 como administrador del dominio para América. | 2. | Inicie el complemento de MMC para la administración de la directiva de seguridad IP. | 3. | Haga clic con el botón secundario en <Nombre de directiva> y, a continuación, haga clic en Propiedades. | 4. | En la ficha Reglas, haga clic en Agregar. | 5. | En la ficha Lista de filtros IP, haga clic en IPSEC – Subredes seguras de la organización. | 6. | En la ficha Acción de filtrado, haga clic en la <Acción de filtrado> correspondiente de la tabla C.7. | 7. | En la ficha Tipo de conexión, compruebe que se ha seleccionado la casilla de verificación Todas las conexiones de red. | 8. | En la ficha Configuración de túnel, compruebe que se ha seleccionado la casilla Esta regla no especifica un túnel IPsec. | 9. | En la ficha Métodos de autenticación, compruebe que el método Kerberos es el único método listado. | 10. | Haga clic en Aceptar para cerrar el cuadro de diálogo Editar propiedades de reglas. | 11. | Haga clic en Aceptar para cerrar el cuadro de diálogo Propiedades de <Nombre de directiva>. | 12. | Repita los pasos 3-11 para cada directiva de la tabla anterior. |
Cómo habilitar la configuración del grupo de acceso de redLos grupos de acceso de red se utilizan para que el contestador IPsec acepte sólo conexiones de un grupo seleccionado de equipos iniciadores y usuarios identificados. Por ejemplo, mediante grupos de acceso de red, los administradores pueden configurar los equipos cliente ejecutivos de forma que sólo acepten el tráfico entrante iniciado por los equipos ejecutivos pero mantengan su habilidad de iniciar tráfico dirigido a otros recursos. Nota: debe definir esta opción con cuidado, pues los equipos que necesitan iniciar una comunicación con equipos del grupo de acceso de red (por ejemplo, sistemas de supervisión que emplean sondeo) darán error si no están incluidos en el grupo de acceso de red. Implementación de grupos de acceso de redLos diseñadores de Woodgrove Bank decidieron implementar los grupos de acceso de red utilizando grupos locales de dominio. Estos grupos se utilizaron para definir los iniciadores. Otorgaron al grupo de iniciadores derecho de "Tener acceso a este equipo desde la red" para los contestadores y denegaron este derecho al grupo de Usuarios autenticados. En Woodgrove Bank se implementó el grupo de acceso de red utilizando grupos locales de dominio porque estos grupos se guardan en el vale de sesión, que se actualiza cada 60 minutos. Si se hubieran utilizado grupos globales o universales, el grupo de acceso de red se habría guardado en el vale de concesión de vales (TGT), que tiene una duración de 8 horas. Utilizando grupos locales de dominio, los cambios entran en vigor mucho antes. Nota: aunque esta solución utiliza grupos locales de dominio con el derecho de "Tener acceso a este equipo desde la red" para implementar el grupo de acceso de red, podrían utilizarse claves previamente compartidas o certificados para implementar grupos de acceso de red individuales. Los diseñadores de Woodgrove Bank identificaron un grupo de red, que se utiliza para controlar el acceso en el grupo de aislamiento Cifrado. Creación de grupos de seguridad para controlar el accesoTabla C.8: Grupos de seguridad del grupo de acceso de red de Woodgrove Bank ANAG _EncryptedResourceAccess_computers | Un grupo local de dominio que se utiliza para limitar los equipos que pueden acceder a recursos cifrados | ANAG _EncryptedResourceAccess_users | Un grupo local de dominio que se utiliza para limitar los usuarios que pueden iniciar una comunicación con el recurso cifrado restringido |
Para crear los grupos que aparecen en la tabla anterior 1. | Abra Usuarios y equipos de Active Directory en IPS-CH-DC-01. | 2. | Haga clic con el botón secundario en el contenedor Usuarios, haga clic en Nuevo y, a continuación, haga clic en Grupo. | 3. | En el cuadro de texto Nombre de grupo, escriba el <Nombre de grupo> de la tabla anterior. | 4. | En Ámbito de grupo, seleccione Dominio local y haga clic en Aceptar. | 5. | Repita los pasos 2 y 4 para cada grupo de la lista. | 6. | Haga clic con el botón secundario en el <Nombre de grupo> y, a continuación, haga clic en Propiedades. | 7. | En el cuadro de texto Descripción, escriba la <Descripción> de la tabla anterior. | 8. | Haga clic en Aceptar. | 9. | Repita los pasos 6-8 para cada grupo de la tabla anterior. |
Cómo agregar cuentas a los grupos de seguridad del grupo de acceso de redWoodgrove Bank agregó los equipos identificados que actúan como iniciadores de tráfico en el grupo de acceso de red a los grupos locales de dominio apropiados que se utilizan para implementar el grupo de acceso de red. En la tabla siguiente aparece la pertenencia al grupo de acceso de red identificado por Woodgrove Bank. Tabla C.9: Pertenencia al grupo de aislamiento para Woodgrove Bank ANAG _EncryptedResourceAccess_computers | IPS-SQL-DFS-01 IPS-SQL-DFS-02 IPS-ST-XP-05 |
Para rellenar los grupos que aparecen en la tabla anterior 1. | Inicie Active Directory Users and Computers en IPS-CH-DC-01 como administrador del dominio para América. | 2. | Expanda el dominio y haga clic en Usuarios. | 3. | En el panel de la derecha, haga clic con el botón secundario en el grupo de seguridad <Nombre del grupo> y, a continuación, haga clic en Propiedades. | 4. | Haga clic en la ficha Miembros y, a continuación, en Agregar. | 5. | Haga clic en el botón Tipos de objeto, seleccione la casilla de verificación Equipos y haga clic en Aceptar. | 6. | En el cuadro de texto Escriba los nombres de objeto que desea seleccionar, escriba el nombre de los equipos en la columna Miembros de la tabla anterior y separe cada miembro con un punto y coma. Haga clic en Aceptar. | 7. | Haga clic en Aceptar. |
Cómo agregar cuentas de usuario a los grupos de seguridad del grupo de acceso de redWoodgrove Bank identificó las cuentas de usuario autorizadas para iniciar tráfico en el grupo de acceso de red y las agregó a los grupos locales de dominio apropiados que se utilizan para implementar el grupo de acceso de red. En la tabla siguiente aparece la pertenencia al grupo de acceso de red identificado por Woodgrove Bank. Tabla C.10: Pertenencia al grupo de acceso de red de Woodgrove Bank ANAG _EncryptedResourceAccess_users | User7 |
Para rellenar los grupos que aparecen en la tabla anterior 1. | Inicie Active Directory Users and Computers en IPS-CH-DC-01 como administrador del dominio para América. | 2. | Expanda el dominio y haga clic en Usuarios. | 3. | En el panel de la derecha, haga clic con el botón secundario en el grupo de seguridad <Nombre del grupo> y, a continuación, haga clic en Propiedades. | 4. | Haga clic en la ficha Miembros y, a continuación, en Agregar. | 5. | En el cuadro de texto Escriba los nombres de objeto que desea seleccionar, escriba el nombre de los equipos de la columna Miembros de la tabla anterior. Si hay múltiples usuarios, sepárelos con un punto y coma. Haga clic en OK. | 6. | Haga clic en Aceptar. |
Creación de un objeto de directiva de grupo para otorgar el derecho "Tener acceso a este equipo desde la red"En Woodgrove Bank se creó un GPO para implantar el grupo de acceso de red definido. En concreto, el GPO asignó a los grupos de seguridad del grupo de acceso de red apropiado el derecho de "Tener acceso a este equipo desde la red" para los equipos apropiados que actúan como contestadores. Los administradores crearon la tabla siguiente, que muestra el nombre del GPO y los nombres de grupo asociados utilizados para implementar el grupo de acceso de red. Tabla C.11: Definición de directiva de grupo de aislamiento para Woodgrove Bank Directiva de grupo de aislamiento de acceso a recursos cifrados | ANAG_EncryptedResourceAccess_computers ANAG_EncryptedResourceAccess_users Administradores Operadores de copia de seguridad |
Nota: como mínimo, deben agregarse los grupos enumerados. El administrador deberá determinar si es preciso otorgar este derecho a otros grupos. Para asignar el derecho "Tener acceso a este equipo desde la red" 1. | Inicie la sesión en IPS-CH-DC-01 como administrador del dominio para América. | 2. | Inicie la GPMC. | 3. | Expanda el bosque: corp.woodgrovebank.com, el dominio y, a continuación, americas.corp.woodgrovebank.com. | 4. | Haga clic con el botón secundario en Objetos de directiva de grupo y haga clic en Nuevo. | 5. | En el cuadro de texto Nombre, escriba un <nombre de GPO> y haga clic en Aceptar. | 6. | Haga clic con el botón secundario en <nombre de GPO> y, a continuación, haga clic en Editar. | 7. | Expanda Configuración de equipo, Configuración de Windows, Configuración de seguridad, Directivas locales y haga clic en Asignación de derechos de usuario. | 8. | En el panel derecho, haga clic con el botón secundario en Tener acceso a este equipo desde la red y, a continuación, haga clic en Propiedades. | 9. | Active la casilla de verificación Definir esta configuración de directiva. | 10. | Haga clic en el botón Agregar usuario o grupo. | 11. | Haga clic en el botón Examinar. | 12. | En el cuadro de texto Escriba los nombres de objeto que desea seleccionar, escriba el <Nombre de grupo> para los grupos de la tabla anterior, separándolos con un punto y coma. Haga clic en Aceptar. | 13. | Vuelva a hacer clic en Aceptar. | 14. | Cierre la GPMC. |
Cómo vincular los objetos de directiva de grupo de acceso de redAntes de distribuir las directivas de grupo de acceso de red, es preciso vincular los GPO con una ubicación dentro del entorno del dominio. En Woodgrove Bank se distribuyó el GPO enlazándolo con la OU apropiada de Active Directory, tal como se muestra en la tabla siguiente. Tabla C.12: Nombre de GPO del grupo de acceso de red y OU de destino Directiva de grupo de acceso de red cifrada | Servidores de bases de datos |
Para vincular una directiva GPO con una OU de destino 1. | Inicie la sesión en IPS-CH-DC-01 como administrador del dominio para América. | 2. | Inicie la GPMC. | 3. | Expanda el bosque: corp.woodgrovebank.com, el dominio, americas.corp.woodgrovebank.com y, a continuación, localice la <OU de destino>. | 4. | Haga clic con el botón secundario en <OU de destino> y, a continuación, haga clic en Vincular un GPO existente. | 5. | En la lista Objetos de directiva de grupo, haga clic en <Nombre de GPO de grupo de acceso de red> y, a continuación, en Aceptar. |
Comprobación de la implementación de grupos de acceso de redTras crear e implementar los objetos de directiva y los grupos de acceso de red, los administradores comprobaron la funcionalidad de los equipos en los grupos de acceso de red. Pruebas de implementación de requisitos previosAntes de probar la funcionalidad de los equipos en el grupo de acceso de red, Woodgrove Bank confirmó que las asignaciones de los derechos de usuario se estaban actualizando correctamente. Tras dejar tiempo suficiente para la replicación y la actualización de directivas, se llevaron a cabo los pasos siguientes en los equipos que aparecen en la tabla siguiente. Tabla C.13: Pertenencia al grupo de acceso de red IPS-SQL-DFS-01 | ANAG_EncryptedResourceAccess_computers ANAG_EncryptedResourceAccess_users | IPS-SQL-DFS-02 | ANAG_EncryptedResourceAccess_computers ANAG_EncryptedResourceAccess_users |
Para confirmar la pertenencia al grupo adecuado en el grupo de acceso de red 1. | Inicie la sesión en <Nombre de equipo> como administrador del dominio para América. | 2. | Inicie la herramienta Directiva de seguridad local. | 3. | Expanda Directivas locales, Asignación de derechos de usuario y, a continuación, en el panel derecho, haga doble clic en Acceder a este equipo desde la red. | 4. | Confirme que el grupo de Usuarios autenticados no está presente. | 5. | Confirme que el grupo <Grupo que aparece en el derecho de usuario> está presente. | 6. | Cierra la herramienta Directiva de seguridad local. | 7. | Repita los pasos 1-6 para cada <Nombre de equipo> de la tabla anterior. |
Pruebas de implementación funcionalesTras confirmar en Woodgrove Bank que a los grupos de seguridad se les otorgaba el derecho de usuario adecuado, se contrastaron los equipos que pertenecían a los grupos de acceso de red entre sí. Woodgrove Bank utilizó esta información para confirmar que las restricciones de derecho de acceso existían y estaban en funcionamiento. Woodgrove intentó ejecutar comandos net view para varias combinaciones de iniciador y contestador. Además de esta prueba, se utilizó el complemento de MMC Monitor de seguridad IP para confirmar que se creaban las SA adecuadas. En la tabla siguiente aparece el iniciador y contestador para cada ejecución de net view y se indica si debe tener éxito o dar error, junto con el tipo de SA negociada. Tabla C.14: Resultados esperados de la prueba funcional del grupo de acceso de red IPS-TZ-XP-06 | IPS-SQL-DFS-01 | Error | Ninguno | IPS-TZ-XP-06 | IPS-SQL-DFS-02 | Error | Ninguno | IPS-TZ-XP-06 | IPS-ST-XP-05 | Satisfactoria | SA por hardware | IPS-SQL-DFS-01 | IPS-SQL-DFS-02 | Satisfactoria | SA por hardware | IPS-SQL-DFS-01 | IPS-ST-XP-05 | Satisfactoria | SA por hardware | IPS-SQL-DFS-02 | IPS-SQL-DFS-01 | Satisfactoria | SA por hardware | IPS-ST-XP-05 | IPS-SQL-DFS-01 | Satisfactoria | SA por hardware | IPS-ST-XP-05 | IPS-SQL-DFS-02 | Satisfactoria | SA por hardware |
Para completar la prueba funcional 1. | Inicie la sesión en <Iniciador> como administrador del dominio para América. | 2. | Inicie el complemento de MMC Monitor de seguridad IP. | 3. | Expanda Monitor de seguridad IP, <Iniciador>, Modo rápido y, a continuación, haga clic en Asociaciones de seguridad. | 4. | Inicie un símbolo del sistema y ejecute el comando siguiente: net view \\<Responder> | 5. | Utilice el complemento de MMC Monitor de seguridad IP para confirmar que se negoció la SA adecuada en cada conexión satisfactoria. | 6. | Repita los pasos 1-5 para cada <Iniciador> de la tabla anterior. |
Cómo habilitar el dominio de aislamientoAntes de transferir las directivas de dominio de aislamiento, el administrador debe identificar un grupo de equipos que se utilizarán para la prueba piloto. De forma ideal, este grupo de equipos debería ser una muestra representativa de la infraestructura de TI de la organización e incluir tanto clientes como servidores. Las cuentas de los equipos identificados se agregarán al grupo CG_IsolationDomain_computers. Tras dejar tiempo suficiente para la replicación, la directiva de dominio de aislamiento deberá aplicarse a los equipos de la prueba piloto y entrar en vigor. Implementación del dominio de aislamientoEn Woodgrove Bank se identificaron los equipos siguientes para su utilización en la prueba piloto: | • | IPS-TZ-XP-01 | | • | IPS-TZ-W2K-02 | | • | IPS-TZ-XP-06 | | • | IPS-WEB-DFS-01 |
Para agregar equipos piloto al grupo CG_IsolationDomain_computers 1. | Inicie Active Directory Users and Computers en IPS-CH-DC-01 como administrador del dominio para América. | 2. | Expanda el dominioy haga clic en Usuarios. | 3. | En el panel de la derecha, haga clic con el botón secundario en CG_IsolationDomain_computers y, a continuación, haga clic en Propiedades. | 4. | Haga clic en la ficha Miembros y, a continuación, en Agregar. | 5. | Haga clic en el botón Tipos de objeto, seleccione la casilla de verificación Equipos y haga clic en Aceptar. | 6. | En el cuadro de texto Escriba los nombres de objeto que desea seleccionar, especifique los nombres de los equipos de la lista anterior, separados por punto y coma, y haga clic en Aceptar. | 7. | Vuelva a hacer clic en OK. Nota: tras agregar los equipos al grupo universal CG_IsolationDomain_computers, deberá dejarse tiempo suficiente para la replicación de los cambios de pertenencia a grupo en el bosque, así como para aplicar la directiva a los hosts. |
Comprobación de la implementación del dominio de aislamiento Tras crear e implementar los objetos de directiva en Active Directory en el estado activo, deberá llevarse a cabo un proceso de comprobación para confirmar que el equipo funciona correctamente en el grupo de aislamiento. Pruebas de implementación de requisitos previosAntes de ejecutar pruebas de funcionamiento para los equipos del dominio de aislamiento, en Woodgrove Bank se confirmó que había transcurrido tiempo suficiente para la replicación y la actualización de directivas y que se aplicaba la directiva IPsec correcta. Para confirmar que se ha aplicado la directiva IPsec correcta en IPS-TZ-XP-06 1. | Inicie la sesión en IPS-TZ-XP-06 como administrador del dominio para América. | 2. | Inicie un símbolo del sistema y ejecute el comando siguiente: IPseccmd show gpo | 3. | Confirme que la salida muestra que el nombre de la directiva del directorio es "IPSEC – Directiva IPsec de dominio de aislamiento (1.0.041001.1600)." |
Pruebas de implementación funcionalesTras confirmar en Woodgrove Bank que la directiva se había aplicado a IPS-TZ-XP-06, el paso siguiente fue realizar algunas pruebas funcionales básicas para asegurarse de que la directiva estaba funcionando del modo esperado. Woodgrove Bank intentó llevar a cabo comandos net view desde IPS-TZ-XP-06 a varios equipos de otros grupos de aislamiento. Además, se utilizó el complemento de MMC Monitor de seguridad IP para confirmar que se creaban las SA adecuadas. En la tabla siguiente aparecen los equipos de destino para cada ejecución de net view y se indica si debe tener éxito o dar error, junto con el tipo de SA negociada. Nota: cuando se intenta un comando net view para un equipo que no es de confianza, deben pasarse las credenciales del administrador local del equipo de destino. Tabla C.15: Resultados esperados de la prueba funcional del dominio de aislamiento IPS-TZ-W2K-02 | Satisfactoria | SA por hardware | IPS-WEB-DFS-01 | Satisfactoria | SA por hardware | IPS-UT-XP-03 | Satisfactoria | SA por software | IPS-PRINTS-01 | Satisfactoria | SA por hardware |
Para llevar a cabo la prueba funcional para cada equipo de destino 1. | Inicie la sesión en IPS-TZ-XP-06 como administrador del dominio para América. | 2. | Inicie el complemento de MMC Monitor de seguridad IP, expanda Monitor de seguridad IP, IPS-TX-XP-06, Modo rápido y haga clic en Asociaciones de seguridad. | 3. | Inicie un símbolo del sistema y ejecute el comando siguiente: net view \\<Target Computer> Nota: para IPS-UT-XP-03, asegúrese de que pasa las credenciales del administrador local con el comando net view. | 4. | Utilice el complemento de MMC Monitor de seguridad IP para comprobar el campo Asociaciones de seguridad para cada conexión satisfactoria y confirmar que se ha negociado la SA apropiada. | 5. | Repita los pasos 3-4 para cada <Equipo de destino> de la tabla anterior. |
Cómo habilitar el grupo de aislamiento Sin reservaLos equipos del grupo de aislamiento Sin reserva no pueden iniciar tráfico sin autenticar con equipos que no son de confianza. Implementación del grupo de aislamiento Sin reserva En Woodgrove Bank, los equipos que no pueden iniciar una comunicación sin autenticar con equipos que no son de confianza se colocaron en el grupo universal CG_NoFallbackIG_computers. Para rellenar el grupo CG_NoFallbackIG_computers 1. | Inicie la sesión en IPS-CH-DC-01 como administrador del dominio para América y, a continuación, inicie Active Directory Users and Computers. | 2. | Expanda el dominio y haga clic en Usuarios. | 3. | En el panel de la derecha, haga clic con el botón secundario en CG_NoFallbackIG_computers y, a continuación, haga clic en Propiedades. | 4. | Haga clic en la ficha Miembros y, a continuación, en Agregar. | 5. | Haga clic en el botón Tipos de objeto, seleccione la casilla de verificación Equipos y haga clic en Aceptar. | 6. | En el cuadro de texto Escriba los nombres de objeto que desea seleccionar, escriba IPS-LT-XP-01 y haga clic en Aceptar. | 7. | Haga clic en Aceptar y, de nuevo, en Aceptar. Nota: debido a los retrasos en la replicación y la frecuencia de sondeo de las directivas IPsec, habrá un retraso entre el momento en que el equipo se agrega al grupo CG_NoFallbackIG_computers y el momento en que se aplica la directiva del grupo de aislamiento Sin reserva. El equipo puede reiniciarse en este momento si es necesario aplicar la directiva IPsec inmediatamente. De lo contrario, la directiva se aplicará cuando se agote el tiempo del vale de sesión y se actualice con la nueva información de pertenencia a grupo local. |
Comprobación de la implementación del grupo de aislamiento Sin reserva Tras crear e implementar los objetos de directiva en Active Directory en el estado activo, deberá llevarse a cabo un proceso de comprobación para confirmar que el equipo funciona correctamente en el grupo de aislamiento. Pruebas de implementación de requisitos previosAntes de ejecutar pruebas de funcionamiento para los equipos del grupo de aislamiento Sin reserva, en Woodgrove Bank se confirmó que había transcurrido tiempo suficiente para la replicación y la actualización de directivas y que se aplicaba la directiva IPsec correcta. Para confirmar que se ha aplicado la directiva IPsec correcta en IPS-LT-XP-01 1. | Inicie la sesión en IPS-LT-XP-01 como administrador del dominio para América. | 2. | Inicie un símbolo del sistema y ejecute el comando siguiente: IPseccmd show gpo | 3. | Confirme que la salida muestra que el nombre de la directiva del directorio es "Texto no cifrado saliente permitido." |
Pruebas de implementación funcionalesTras confirmar en Woodgrove Bank que la directiva se había aplicado a IPS-LT-XP-01, el paso siguiente fue realizar algunas pruebas funcionales básicas para asegurarse de que la directiva estaba funcionando del modo esperado. Woodgrove Bank intentó llevar a cabo comandos net view desde IPS-LT-XP-01 a varios equipos de otros grupos de aislamiento. Además, se utilizó el complemento de MMC Monitor de seguridad IP para confirmar que se creaban las SA adecuadas. En la tabla siguiente aparecen los equipos de destino para cada ejecución de net view y se indica si debe tener éxito o dar error, junto con el tipo de SA negociada. Nota: cuando se intenta un comando net view para un equipo que no es de confianza, deben pasarse las credenciales del administrador local del equipo de destino. Tabla C.16: Resultados esperados de la prueba funcional de texto no cifrado saliente permitido IPS-PRINTS-01 | Satisfactoria | SA por hardware | IPS-TZ-XP-01 | Satisfactoria | SA por hardware | IPS-UT-XP-03 | Error | Ninguno |
Para llevar a cabo la prueba funcional para cada equipo de destino 1. | Inicie la sesión en IPS-LT-XP-01 como administrador del dominio para América. | 2. | Inicie el complemento de MMC Monitor de seguridad IP, expanda Monitor de seguridad IP, IPS-LT-XP-01, Modo rápido y haga clic en Asociaciones de seguridad. | 3. | Inicie un símbolo del sistema y ejecute el comando siguiente: net view \\<Target Computer> Nota: para IPS-UT-XP-03, asegúrese de que pasa las credenciales del administrador local con el comando net view. | 4. | Utilice el complemento de MMC Monitor de seguridad IP para comprobar el campo Asociaciones de seguridad para cada conexión satisfactoria y confirmar que se ha negociado la SA apropiada. | 5. | Repita los pasos 3-4 para cada <Equipo de destino> de la tabla anterior. |
Cómo habilitar el grupo de aislamiento CifradoLos equipos del grupo de aislamiento Cifrado requieren tráfico cifrado. Además, los servidores que alojan los datos están configurados para |
