Aislamiento de servidor y dominio mediante IPsec y Directiva de grupo

Capítulo 6: Administración de un entorno de aislamiento de servidor y dominio

Actualizado: febrero 16, 2005

Este capítulo proporciona instrucciones para administrar una solución de aislamiento de servidor y dominio después de la implementación correcta en un entorno de producción.

Es importante que el personal de soporte técnico comprenda que la solución de aislamiento agrega una capa de seguridad adicional, y que se necesita más de una conexión de red y una dirección IP para que un host se conecte correctamente a un recurso. De modo similar, el personal responsable de las directivas IPsec y de Directiva de grupo debe comprender que una sola opción configurada incorrectamente puede restringir considerablemente la funcionalidad de los hosts que consumen las directivas. Por estos motivos, debe existir un conjunto de procesos y procedimientos de administración bien documentados y comunicados para que los usen los equipos de soporte técnico una vez que la solución esté operativa.

La información proporcionada en este capítulo se ha concebido para desarrollar estos procesos de administración de la solución. Lo ideal sería que esta información se personalice tanto como sea posible para que refleje las necesidades de su propia implementación. La clave del éxito en la administración de una solución de aislamiento de servidor y dominio es planificar con antelación.

En esta página

	Requisitos previos
	Administración de cambios
	Consideraciones acerca de la copia de seguridad y la restauración
	Mitigación de infecciones basadas en la red
	Resumen

Requisitos previos

Antes de utilizar la información proporcionada en este capítulo, debe familiarizarse con los conceptos usados en Microsoft® Operations Framework (MOF) y los conceptos de IPsec. También se precisa estar familiarizado con Microsoft Windows® 2000 Server (o posterior) en las siguientes áreas:

•	Funcionamiento básico y mantenimiento de Microsoft Windows Server™ 2003, incluido el uso de herramientas, como Visor de sucesos, Administración de equipos y NTBackup.
•	El servicio de directorio de Active Directory® (incluidas la estructura y las herramientas de Active Directory; manipulación de usuarios, grupos y otros objetos de Active Directory; y el uso de Directiva de grupo).
•	Los conceptos de seguridad del sistema Windows, como usuarios, grupos, auditorías y listas de control de acceso (ACL); el uso de plantillas de seguridad; y la aplicación de plantillas de seguridad mediante Directiva de grupo o herramientas de línea de comandos).
•	La comprensión de los conceptos principales de redes, particularmente en lo que se refiere a IPsec y TCP/IP.
•	La comprensión de Windows Scripting Host y conocimientos de Microsoft Visual Basic® Scripting Edition (VBScript) le ayudarán a sacar el máximo provecho de las secuencias de comandos que se proporcionan, aunque no es fundamental.

Antes de seguir con este capítulo, debería leer el resto de esta guía y comprender los conceptos arquitectónicos y de diseño de la solución.

Principio de la página

Administración de cambios

El objetivo clave de los procesos de administración de cambios es asegurarse de que todas las partes afectadas por un cambio inminente son conscientes de las repercusiones de éste y las comprenden. Debido a que la mayor parte de sistemas están estrechamente interrelacionados, cualquier cambio que se realice en una parte del sistema podría tener un profundo impacto en otra. Para mitigar o eliminar los efectos adversos, cambie los intentos de administración para identificar todos los sistemas y procesos afectados antes de que se implemente el cambio. Generalmente, el entorno administrado o de destino es el entorno de producción, pero también deben incluirse los entornos de integración de claves, prueba y almacenamiento temporal.

Todos los cambios realizados en un entorno IPsec deben seguir el proceso de administración de cambios de MOF estándar:

1.	Solicitud de cambio. La iniciación formal de un cambio a través del envío de una solicitud de cambio (RFC).
2.	Clasificación de cambio. La asignación de una prioridad y una categoría al cambio, utilizando como criterios su urgencia y consecuencias en la infraestructura o los usuarios. Esta asignación afecta a la ruta y la velocidad de implementación.
3.	Autorización de cambio. La consideración, aprobación y desaprobación del cambio por parte del administrador de cambios y la junta de aprobación de cambios (CAB), un grupo que incluye a los representantes de la organización y de TI.
4.	Desarrollo de cambio. La planificación y el desarrollo de cambios, un proceso que puede variar considerablemente de ámbito e incluye revisiones en etapas interinas importantes.
5.	Lanzamiento de cambio. El lanzamiento y la implementación del cambio en el entorno de producción.
6.	Revisión de cambio. Un proceso posterior a la implementación que revisa si el cambio ha logrado los objetivos establecidos para el mismo y determina si debe mantenerse en vigencia o desactivarse.

En la siguiente sección se describen los procedimientos de desarrollo de cambios para algunos de los cambios clave que podrían requerirse normalmente en el entorno IPsec. Cada procedimiento de desarrollo del cambio irá acompañado de un procedimiento de lanzamiento del cambio que describe cómo se debe implementar el cambio en la producción.

Cambio de la directiva IPsec

Es importante comprender cómo los cambios en la directiva IPsec afectan a la comunicación. Como en la ejecución inicial, la primera preocupación está relacionada con la programación de los cambios porque ésta afecta a la capacidad de implementar el cambio y el marco temporal para deshacer el cambio.

Retrasos de aplicación de directiva

Cuando se cambia la asignación de la directiva IPsec en un objeto de directiva de grupo (GPO) a una nueva directiva IPsec, se producen ciertos retrasos. Se trata del retraso de replicación de Active Directory del atributo GPO que contiene la asignación en el dominio, así como del retraso de sondeo de los clientes de Directiva de grupo miembros del dominio para detectar el cambio en el GPO. Estos retrasos pueden ser inferiores a un minuto en una ubicación pequeña o pueden representar varias horas en una organización global. Microsoft recomienda probar y documentar estos retrasos (mínimo, máximo y medio) para cada entorno en particular, de modo que cuando se introduzca un cambio, se pueda pronosticar el tiempo necesario de la primera repercusión y de la ejecución completa.

Cuando se cambian los contenidos de una directiva IPsec ya asignada, se producen retrasos similares. Hay un retraso de replicación de Active Directory de los objetos de directiva IPsec y también un retraso de sondeo del servicio de directiva IPsec en los equipos miembros. Se puede crear una condición en la que la replicación de la asignación de directiva en el GPO se produzca antes de la replicación de la directiva IPsec. Ello tendría como consecuencia que los clientes se comportaran como si tuvieran asignada una directiva IPsec basada en el dominio; sin embargo, no podrían recuperar dicha directiva. En ese caso, los hosts Windows 2000 y Windows XP simplemente no podrían aplicar la directiva basada en el dominio. Por otro lado, tampoco aplicarán ninguna directiva local que pueda estar asignada.

Para adaptar adecuadamente los retrasos de replicación de Active Directory, asegúrese de crear, en primer lugar, todos los objetos (GPO, directiva IPsec, etcétera) y, en segundo lugar, hacer la asignación de la directiva IPsec en el GPO.

Cambios que afectan a la conectividad de IPsec

Hay muchas áreas que pueden afectar a la conectividad dentro de las directivas y grupos que conforman una solución IPsec. Esta sección proporciona información acerca de cómo los cambios comunes pueden afectar a la conectividad de IPsec desde la perspectiva del cambio de una directiva de servidor cuando pueda darse el caso de que los clientes no dispongan de la actualización más reciente. Si el cambio provoca un error en el modo principal o el modo rápido del intercambio de claves de Internet (IKE), el flujo de tráfico se detendrá en cuanto las asociaciones de seguridad (SA) IPsec actuales estén inactivas o caduquen sus vigencias en bytes o segundos.

El análisis contempla las consecuencias de la mayoría de los tipos de cambio en la funcionalidad cliente-servidor de IPsec. No contempla los diseños de directiva IPsec de Woodgrove Bank. Para este análisis, los clientes pueden tener una directiva similar a la del diseño de Woodgrove Bank (en la cual los clientes tienen filtros para iniciar IKE en el servidor) o pueden utilizar la regla de respuesta predeterminada (no utilizada en el diseño de Woodgrove).

Cambios del modo principal

El cambio de un método de autenticación o un método de seguridad de modo principal provocará que IKE elimine los modos principales existentes, hecho que no afectará a las asociaciones de seguridad (SA) IPsec de modo rápido establecidas. Las nuevas SA de modo principal se generarán cuando se produzca el siguiente cambio de claves de modo rápido.

Normalmente, el cambio de directiva del servidor no afectará a la capacidad de los clientes existentes de efectuar el cambio de claves del modo principal. No obstante, algunos cambios en el lado del servidor pueden provocar errores en la negociación del modo principal de IKE, como son:

•	Cambio a un nuevo método de autenticación (sólo certificados), sin incluir los métodos de autenticación anteriores que puede utilizar el cliente.
•	Cambio a 3DES/SHA1/DH1 o DH2 como método de seguridad de modo principal, cuando los clientes se configuraron para utilizar sólo DES/SHA1/DH1.
•	Activación de la confidencialidad directa perfecta (PFS) de modo principal sin actualizar la directiva de cliente y la de servidor, de modo que ambas usen PFS de modo principal.
•	Activación de PFS de modo rápido sin actualizar la directiva de cliente y la de servidor, de manera que ambas usen PFS de modo rápido.

Los siguientes cambios de directiva del servidor no afectarán a la capacidad de un cliente para efectuar el cambio de claves en las SA de modo principal:

•	Intervalo de sondeo para cambios de directiva (porque no se trata de una configuración IKE de modo principal)
•	Claves de sesión que utilizan la misma clave maestra (por ejemplo, el número de modos rápidos IKE por cada modo principal)
•	Adición de un nuevo método de seguridad que los clientes no conocen
•	Cambio de la configuración avanzada de intercambio de claves de la directiva IPsec para los parámetros de vigencia de autenticar y generar una clave nueva para la SA de modo principal IKE

Cambios del modo rápido

Cualquier cambio en una acción de filtrado que se estuviera utilizando para una asociación de seguridad IPsec causará que se eliminen las asociaciones de seguridad IPSEC establecidas en esa configuración de directiva. Por ello, si el tráfico está fluyendo, se intentará un modo rápido nuevo. Durante el proceso de este cambio, puede perderse tráfico pero las conexiones TCP deberían recuperarse. No obstante, en el caso de las transferencias de datos de gran velocidad, la consecuencia de una eliminación inmediata de las asociaciones de seguridad IPsec es que se pierde el tráfico saliente hasta que se establece el modo rápido nuevo. Por ejemplo, una ráfaga de paquetes de una secuencia de datos de vídeo que TCP no ha podido recuperar provocará que la conexión se restablezca para la aplicación de vídeo.

Entre los cambios de directiva de servidor que afectarán a la capacidad de los clientes IPsec activos de efectuar el cambio de claves del modo rápido se incluyen los siguientes:

•	Cambio de un filtro más genérico a otro más específico. Un ejemplo de este tipo de cambio sería cuando un servidor inicia con un filtro para todo el tráfico y después lo quita y deja un filtro para sólo TCP. Para evitar problemas, deje activado el filtro más genérico cuando agregue el filtro más específico. Por ejemplo, si los clientes tienen la directiva de respuesta predeterminada y un servidor tiene la directiva de cambiar de "todo el tráfico" a "sólo TCP". El filtro más específico estará sujeto al tráfico saliente del servidor, que sólo establecerá una SA IPsec para TCP cuando los clientes tengan la respuesta predeterminada. Finalmente, después de dos horas, el filtro "todo el tráfico" se eliminará en todos los clientes y, a continuación, puede eliminarse con seguridad en la directiva del servidor. Si el servidor agrega un filtro más específico que tiene una acción de permiso, ese tráfico estará permitido de inmediato y el cliente lo podrá eliminar mediante un filtro de respuesta predetermina IPsec más genérico. Por ejemplo, un filtro de exención del protocolo de mensajes de control de Internet (ICMP) se agrega a un servidor, pero los clientes ya están protegidos frente a todo el tráfico respecto al servidor. En este caso, el cliente protegerá su ICMP saliente, recibirá como respuesta un ICMP de texto sin formato y eliminará el paquete, porque el filtro de respuesta predeterminada IPsec actual indica que todo el tráfico debe ser seguro. Este ejemplo en concreto no afectaría más que al tráfico distinto a ICMP entre el servidor y el cliente, y es un comportamiento previsto del diseño que siempre producirá pérdida de tráfico ICMP después de que el servidor solicite seguridad para todo el tráfico con el cliente. Esto podría representar un problema operativo significativo.
•	Cambio entre métodos de seguridad incompatibles o tipos de encapsulación. Por ejemplo, de sólo 3DES/SHA1 para el modo de transporte ESP a sólo 3DES/MD5 para el modo de transporte ESP. Puede evitar errores en la negociación IKE de modo rápido causados por este tipo de cambio incluyendo los métodos de seguridad o tipos de encapsulación anteriores como última opción del nuevo método de seguridad. Una vez haya comprobado que todas las SA IPsec utilizan el nuevo método de encapsulación, puede eliminar el método anterior en la parte inferior de la lista de métodos de seguridad.
•	Deshabilitación completa de una regla que los clientes precisaban para establecer IKE de modo principal o de modo rápido. En modo rápido, el filtro se eliminará, de manera que sea un filtro distinto el que controle la negociación IKE de modo principal y de modo rápido o no haya ningún filtro para hacerlo.
•	Cambio completo de una acción de filtrado de la negociación de seguridad para permitir o bloquear. El tráfico explícitamente permitido o bloqueado no requerirá un cambio de claves, puesto que ya no participará en un canal de comunicación protegido por IPsec.
•	Desactivación de la casilla de verificación de retroceso a texto no cifrado. Esta acción hará que los clientes actualmente conectados dispongan de conectividad mientras dure la SA por software. Después de que la SA caduque o quede inactiva, el tráfico saliente adicional del servidor causará que IKE intente una nueva negociación de modo principal y reconozca la configuración nueva para no retroceder a texto no cifrado. Los clientes que no puedan responder correctamente a la negociación IKE no podrán conectarse. Este puede ser el comportamiento previsto.
•	Desactivación de la casilla de verificación para permitir la comunicación no segura. Esta acción hará que se desconecten los clientes si no disponen de filtros IPsec para desencadenar una iniciación IKE saliente de modo principal. Los clientes con regla de respuesta predeterminada permanecerán conectados hasta que su filtro dinámico de respuesta predeterminada pase a inactividad después de dos horas sin tráfico hacia el servidor, después de lo cual ya no podrán volver a conectar.

Los siguientes cambios de directiva del servidor no afectarán a la capacidad de un cliente de efectuar el cambio de claves del modo rápido:

•	La adición de un filtro que no coincida con el tráfico que ya se encuentra en las SA IPsec actuales no afectará a ese tráfico. Por ejemplo, si se agregan filtros de permiso a la directiva de un servidor para una dirección IP nueva del controlador de dominio.
•	Un cambio en la vigencia de la asociación de seguridad IPsec de acción de filtrado, en bytes o tiempo.
•	Cambio de la acción de filtrado de Permitir a Negociar seguridad. Si los clientes pueden responder, podrán negociar una conexión segura para ese tráfico.

Procedimientos de cambio de directiva IPsec

En las siguientes secciones se indican pasos para modificar directivas IPsec que se entregan al utilizar los GPO. Aunque los pasos que se presentan para cada tarea utilizan el complemento Microsoft Management Console (MMC) de directiva de seguridad IP, cada una de las tareas también puede llevarse a cabo mediante la herramienta de línea de comandos Netsh en un sistema Windows Server 2003.

Microsoft recomienda la plataforma Windows Server 2003 como estación de administración de directivas porque proporciona las mejores capacidades existentes para las secuencias de comandos y para la supervisión.

La exportación e importación de directivas Windows IPsec se ha concebido con fines de copia de seguridad y restauración. La función de exportación copia todos los objetos de directiva IPsec de la ubicación de almacenamiento para garantizar que todos los objetos relacionados se recopilen en la copia de seguridad. La exportación es el método recomendado para mover todas las directivas del dominio actual a un almacenamiento local para probarlas. Debido a las probabilidades de que se produzcan errores, debe procurar eliminar cualquier objeto no deseado (incluidas las directivas, listas de filtros y acciones de filtrado) del almacén local antes de utilizar la función de exportación. Microsoft no recomienda el uso de un almacén local exportado para importarlo al dominio, debido a la posibilidad de que las versiones de objeto anteriores puedan sobrescribir versiones de dominio más recientes y romper así los vínculos entre los objetos.

Las secuencias de línea de comandos son el método recomendado para crear la directiva IPsec y para efectuar adiciones significativas a los objetos existentes, como la adición de filtros a una lista de filtros existente. Por lo general, cambios tan significativos en una directiva IPsec deben hacerse mediante la creación de una versión de directiva IPsec nueva.

Después de haber creado la directiva, puede utilizar secuencias de comandos o el complemento MMC de administración de directivas IPsec para realizar los cambios. Una vez que se ha creado la directiva IPsec y está en funcionamiento, se recomienda el complemento MMC de administración de directivas IPsec para realizar pequeños cambios.

Debido a que la herramienta de línea de comandos Ipsecpol.exe de Windows 2000 sólo admite la posibilidad de crear directivas, se puede utilizar el complemento MMC para administrar los cambios en Windows 2000 Active Directory. En los comandos de adición de Netsh no se admite agregar un objeto nuevo con el mismo nombre. Por esta razón y debido a que las secuencias de comandos se suelen ejecutar muchas veces, las secuencias de comandos Netsh deberían incluir unos pasos iniciales que eliminen los objetos de directiva ya existentes antes de agregar nuevos. La eliminación de un objeto inexistente devolverá un mensaje de error previsto que no detendrá la ejecución de la secuencia de comandos.

La eliminación de una directiva IPsec de dominio ya asignada a un GPO invalidará el vínculo al GPO. El GPO deberá editarse para volver a asignarle la última versión de la directiva IPsec.

Nota: aunque la siguiente sección analiza cómo modificar directivas IPsec directamente en Active Directory, se supone que todos los cambios se han probado en un sistema local o un entorno de prueba antes de implementarlos en el entorno de producción.

Cambio de asignación de directiva IPsec para un grupo de aislamiento

Para cambiar la directiva IPsec asignada a un grupo de aislamiento, puede reemplazar la directiva IPsec actual por la directiva IPsec nueva.

La consola de administración de directivas de grupo (GPMC) se utiliza para cambiar la directiva IPsec que distribuye un determinado GPO. Una vez identificada la directiva IPsec y el GPO que distribuye la directiva actual, lleve a cabo los siguientes pasos.

Para cambiar la directiva IPsec asignada a un grupo de aislamiento:

1.	Inicie la sesión en un controlador de dominio como administrador de dominio.
2.	Inicie la GPMC.
3.	Expanda el bosque: *<nombre de dominio>, Dominios* y, a continuación, *<nombre de dominio>*.
4.	Haga clic con el botón secundario en *Nombre de GPO* y haga clic en Editar.
5.	Expanda Configuración del equipo, Configuración de Windows, Configuración de seguridad y haga clic en *Directivas de seguridad IP en Active Directory (nombre de dominio***).
6.	En el panel de la derecha, haga clic con el botón secundario en *<nombre de directiva IPsec>* y haga clic en Asignar.
7.	Asegúrese de que está asignado el *<nombre de directiva IPsec>*, cierre el Editor de objetos de directiva de grupo y, a continuación, la GPMC.

Cambio de una directiva IPsec existente en el dominio

Debido a que la funcionalidad de IPsec se amplió en Windows XP y después de nuevo en Windows Server 2003, el formato de almacenamiento de las directivas IPsec se cambió para que incluyera la configuración de esas ampliaciones. Procure no utilizar una versión anterior del complemento MMC de administración de directivas IPsec para ver o editar directivas que contengan estas ampliaciones. Si hace clic en Aceptar cuando está mostrando el componente de una directiva, se sobrescribirá la configuración existente por la de la memoria actual, aunque no haya hecho ningún cambio. Se han realizado actualizaciones en los Service Packs de Windows XP y en el Service Pack 4 (SP4) de Windows 2000 para detectar las versiones más recientes de las directivas y evitar así este problema potencial. No obstante, el complemento MMC simplemente no puede guardar los cambios, como si se hubiera denegado el acceso de modificación, y utiliza los mensajes de error que existían en el momento en que se lanzó el producto. De manera parecida, si el usuario que ejecuta el complemento MMC sólo tiene permiso de lectura de los objetos de la directiva IPsec, se perderán todos los cambios al producirse un error de denegación de acceso. Utilice el modo de sólo lectura del complemento MMC de administración de directivas IPsec en Windows Server 2003 siempre que no vaya a realizar ningún cambio. Por último, el complemento MMC no proporciona la capacidad de indicar un ID y contraseña de usuario distintos cuando se conecta con un equipo o dominio remoto. El usuario debe haber iniciado la sesión en el escritorio como alguien con los permisos adecuados para hacer los cambios previstos.

Cambio de una lista de filtros de regla existente

A veces es necesario modificar una lista de filtros de regla existente para agregar, quitar o modificar un elemento de filtrado. Puede utilizar el complemento MMC de administración de directivas de seguridad IP para llevar a cabo esta modificación. Recuerde que el orden de los filtros de una lista de filtros no tiene efecto en el orden con el que el controlador IPsec procesará los paquetes. Los filtros de todas las listas de filtros de cualquier regla de una directiva IPsec están ordenados según un algoritmo interno de ponderación. Para realizar cualquier cambio, debe asegurar manualmente que no está creando un filtro duplicado para ninguno de los filtros que se usan en la directiva IPsec. Como parte del proceso de prueba del cambio, la directiva debe asignarse localmente a un equipo, de modo que se pueda utilizar el complemento MMC de monitor IPsec o la salida de línea de comandos para ver el orden exacto de los filtros y detectar filtros duplicados.

Para agregar un equipo a una lista de filtros:

1.	Inicie la sesión en un controlador de dominio como administrador de dominio.
2.	Inicie el complemento MMC de administración de directivas de seguridad IP y establezca el enfoque en el dominio.
3.	Haga clic con el botón secundario en Directivas de seguridad IP en Active Directory y haga clic en Administrar listas de filtros IP y acciones de filtrado.
4.	En la ficha Administrar listas de filtros IP de la ventana Administrar listas de filtros IP y acciones de filtrado, haga clic en la lista de filtros *Exenciones* y, a continuación, haga clic en Editar.
5.	Asegúrese de que no está marcada la casilla de verificación Usar Asistente para agregar.
6.	En el cuadro de diálogo Lista de filtros IP, haga clic en Agregar.
7.	En el cuadro de lista desplegable Dirección de origen, haga clic en Cualquier dirección IP.
8.	En el cuadro de lista desplegable Dirección de destino, haga clic en Dirección IP específica.
9.	En el cuadro de texto Dirección IP, escriba la dirección IP específica.
10.	Asegúrese de que está marcada la casilla de verificación Reflejado.
11.	En la ficha Descripción, escriba una descripción adecuada del elemento de filtrado.
12.	Haga clic en Aceptar y, a continuación, otra vez en Aceptar.
13.	Cierre el complemento MMC de administración de directivas de seguridad IP. Nota: después de que el sistema nuevo se haya agregado a una lista de filtros de exenciones, la cuenta del equipo debe agregarse al grupo de seguridad Sin IPsec.

Para editar la entrada de un equipo en una lista de filtros:

1.	Inicie la sesión en un controlador de dominio como administrador de dominio.
2.	Inicie el complemento MMC de administración de directivas de seguridad IP y establezca el enfoque en el dominio.
3.	Haga clic con el botón secundario en Directivas de seguridad IP en Active Directory y haga clic en Administrar listas de filtros IP y acciones de filtrado.
4.	En la ficha Administrar listas de filtros IP de la ventana Administrar listas de filtros IP y acciones de filtrado, haga clic en la lista de filtros *Exenciones* y, a continuación, haga clic en Editar.
5.	Asegúrese de que no está marcada la casilla de verificación Usar Asistente para agregar.
6.	En la lista Filtros IP, haga clic en el filtro que corresponde al sistema <nombre de equipo> y haga clic en Editar.
7.	En el cuadro de texto Dirección IP, cambie la entrada e indique la dirección IP nueva.
8.	Haga clic en Aceptar y, a continuación, haga clic de nuevo en Aceptar.
9.	Cierre el complemento MMC de administración de directivas de seguridad IP.

Para quitar una entrada de una lista de filtros:

1.	Inicie la sesión en un controlador de dominio como administrador de dominio.
2.	Inicie el complemento MMC de administración de directivas de seguridad IP y establezca el enfoque en el dominio.
3.	Haga clic con el botón secundario en Directivas de seguridad IP en Active Directory y haga clic en Administrar listas de filtros IP y acciones de filtrado.
4.	En la ficha Administrar listas de filtros IP de la ventana Administrar listas de filtros IP y acciones de filtrado, haga clic en la lista de filtros *Exenciones* y, a continuación, haga clic en Editar.
5.	En la lista Filtros IP, haga clic en el filtro que corresponde al sistema <nombre de equipo>.
6.	En el cuadro de diálogo Lista de filtros IP, haga clic en Quitar.
7.	Haga clic en Sí para quitar el elemento de filtrado.
8.	Haga clic en Aceptar y, a continuación, haga clic de nuevo en Aceptar.
9.	Cierre el complemento MMC de administración de directivas de seguridad IP. Nota: después de que el sistema se haya quitado de una lista de filtros de exenciones, la cuenta del equipo debe quitarse del grupo de seguridad Sin IPsec.

Cambio de una acción de filtrado de regla existente

Cada regla en una directiva IPsec tiene una acción de filtrado correspondiente que se lleva a cabo cuando coincide la regla. Aunque se puede asignar una directiva IPsec nueva a los equipos que tienen la combinación de regla y acción de filtrado nuevas, puede ser más adecuado cambiar en su lugar la acción de filtrado por una regla de una directiva IPsec ya existente. Por ejemplo, si existe una directiva IPsec personalizada para un conjunto de equipos, tendría sentido cambiar la acción de filtrado asignada a la regla en lugar de generar una directiva IPsec nueva.

Puede utilizar el complemento MMC de administración de directivas de seguridad IP para configurar una regla en la directiva IPsec, de modo que se use una acción de filtrado nueva.

Para cambiar una acción de filtrado de regla existente:

1.	Inicie la sesión en un controlador de dominio como administrador de dominio.
2.	Inicie el complemento MMC de administración de directivas de seguridad IP y establezca el enfoque en el dominio.
3.	En el panel de la derecha, haga clic con el botón secundario en *<nombre de directiva IPsec>* y haga clic en Propiedades.
4.	En la lista Reglas de seguridad IP, haga clic en *<nombre de regla>* y, a continuación, en Editar.
5.	En la ficha Acción de filtrado, en la lista Acciones de filtrado, haga clic en *<acción de filtrado nueva>* para seleccionar el botón adyacente.
6.	Haga clic en Aceptar y, a continuación, haga clic de nuevo en Aceptar.
7.	Cierre el complemento MMC de administración de directivas de seguridad IP.

Cambio de un método de autenticación de regla existente

El método de autenticación predeterminado en las directivas IPsec utiliza el protocolo de la versión 5 de Kerberos. A medida que transcurre el tiempo, puede resultar necesario cambiar un método de autenticación asociado a una regla existente. Por ejemplo, se podría ejecutar una infraestructura de claves públicas (PKI), de modo que se puedan usar los certificados para autenticar los equipos.

Aunque se precise información diferente para cada método de autenticación que se puede elegir, los pasos generales para agregar métodos de autenticación son similares. Por ejemplo, para utilizar una clave previamente compartida, es necesario identificar la clave y, para utilizar certificados, debe conocerse la entidad emisora de certificados (CA). Para agregar una opción de autenticación nueva a una regla IPsec existente, realice los pasos siguientes.

Para agregar una opción a una regla existente:

1.	Inicie la sesión en un controlador de dominio como administrador de dominio.
2.	Inicie el complemento MMC de administración de directivas de seguridad IP y establezca el enfoque en el dominio.
3.	En el panel de la derecha, haga clic con el botón secundario en *<nombre de directiva IPsec>* y haga clic en Propiedades.
4.	En la lista Reglas de seguridad IP, haga clic en *<nombre de regla>* y, a continuación, en Editar.
5.	En la ficha Métodos de autenticación, haga clic en Agregar.
6.	Haga clic en el botón que hay junto a la opción de autenticación que seleccionará y configure todas las opciones necesarias.
7.	Haga clic en Aceptar.
8.	En la lista Orden de preferencia de método de autenticación, utilice los botones Subir y Bajar para crear el orden de preferencia de los métodos de autenticación. Nota: para quitar un método de autenticación, haga clic en la lista Orden de preferencia de método de autenticación y haga clic en Quitar.
9.	Haga clic en Aceptar y, a continuación, haga clic de nuevo en Aceptar.
10.	Cierre el complemento MMC de administración de directivas de seguridad IP.

Adición de una regla nueva a una directiva IPsec existente

Las reglas se agregan a las directivas IPsec ya existentes para restringir o permitir la comunicación entre los equipos del entorno. Por ejemplo, si un sistema con compatibilidad IPsec precisa comunicarse con los sistemas de un grupo de aislamiento determinado pero no obtiene su directiva de la infraestructura de IPsec, puede realizar cambios en la directiva del grupo de aislamiento para permitir la comunicación.

En este ejemplo, el host IPsec no administrado precisa que se le aplique una directiva para que la comunicación tenga lugar. Además, debe elegirse un método de autenticación compartido; se podrían utilizar certificados o una clave previamente compartida. Se podría crear una regla nueva en la directiva IPsec existente para el grupo de aislamiento, con tal de permitir que el tráfico tenga lugar una vez que se haya acordado el método de autenticación apropiado.

Los pasos necesarios serían crear una lista de filtros nueva en el directorio, asociar la lista de filtros nueva con la directiva existente y, a continuación, configurar el mecanismo de autenticación para que incluya el método de autenticación nuevo que se ha elegido.

Para crear una lista de filtros nueva que permita que tenga lugar el tráfico con un determinado equipo:

1.	Inicie la sesión en un controlador de dominio como administrador de dominio.
2.	Inicie el complemento MMC de administración de directivas de seguridad IP y establezca el enfoque en el dominio.
3.	Haga clic con el botón secundario en Directivas de seguridad IP en Active Directory y haga clic en Administrar listas de filtros IP y acciones de filtrado.
4.	En la ficha Administrar listas de filtros IP, haga clic en Agregar.
5.	En el cuadro de texto Nombre, escriba un nombre adecuado para la lista de filtros.
6.	En el cuadro de texto Descripción, escriba una descripción adecuada para la lista de filtros.
7.	Asegúrese de que no está marcada la casilla de verificación Usar Asistente para agregar.
8.	En el cuadro de diálogo Lista de filtros IP, haga clic en Agregar.
9.	En el cuadro de lista desplegable Dirección de origen, haga clic en Cualquier dirección IP.
10.	En el cuadro de lista desplegable Dirección de destino, haga clic en Dirección IP específica.
11.	En el cuadro de texto Dirección IP, escriba la dirección IP del equipo específico.
12.	Asegúrese de que está marcada la casilla de verificación Reflejado. Nota: de forma predeterminada, este procedimiento crea una regla que coincide con todo el tráfico desde cualquier dirección IP a una dirección IP determinada. Si la coincidencia debiera realizarse sobre la base de un protocolo o puerto específico, se tendrá que configurar correspondientemente en la ficha Protocolo.
13.	En la ficha Descripción, escriba una descripción adecuada del elemento de filtrado.
14.	Haga clic en Aceptar y, a continuación, haga clic de nuevo en Aceptar.

Para modificar una directiva IPsec a fin de que utilice una lista de filtros y una acción de filtrado nuevas:

1.	Haga clic con el botón secundario en *<nombre de directiva IPsec>* y, después, haga clic en Propiedades.
2.	Asegúrese de que no está marcada la casilla de verificación Usar Asistente para agregar.
3.	Haga clic en Agregar.
4.	En la ficha Lista de filtros IP, en la lista Filtros IP, haga clic en el botón de opción Nueva lista de filtros.
5.	En la ficha Acción de filtrado, en la lista Acciones de filtrado, haga clic en el botón de opción Acción de filtrado.
6.	En la ficha Métodos de autenticación, haga clic en Agregar.
7.	Haga clic en el botón que hay junto al método de autenticación que seleccionará y configure todas las opciones necesarias. Nota: el método de autenticación que se elija debe ser uno que puedan negociar tanto el iniciador como el contestador, como una clave previamente compartida o certificados. Si fuera necesario, quite el protocolo de Kerberos de la lista seleccionándolo y, después, haciendo clic en el botón Quitar.
8.	Haga clic en Aceptar.
9.	En la lista Orden de preferencia de método de autenticación, utilice los botones Subir y Bajar para seleccionar el orden de preferencia de los métodos de autenticación si hay más de un método de autenticación.
10.	Haga clic en Aceptar y, a continuación, haga clic de nuevo en Aceptar.
11.	Cierre el complemento MMC de administración de directivas de seguridad IP.

Desplazamiento de hosts entre grupos de aislamiento

Por varios motivos, los hosts precisarán trasladarse periódicamente de un grupo a otro. Es importante comprender lo que implican los cambios de pertenencia a un grupo en cuanto a las comunicaciones de tráfico. Las secciones siguientes describen los pasos para agregar o quitar hosts de los grupos.

Adición o eliminación de un host en la lista de exenciones

Puede agregar un host a la lista de exenciones o quitarlo de ella modificando las listas de filtros de exención IPsec y el grupo de seguridad Sin IPsec. Para hacerlo, siga los pasos de la sección "Cambio de una lista de filtros de regla existente", incluida anteriormente en este capítulo.

La lista de filtros de exención, el nombre del host y su dirección IP deben conocerse para poder realizar esta tarea.

Adición o eliminación de hosts y usuarios en grupos existentes

Cuando se agrega un host a un grupo de acceso de red (NAG) o se quita de él, los pasos son específicos de la función que el host desempeña en el grupo. Si el host actúa únicamente como iniciador, es suficiente agregarlo al NAG asociado o quitarlo de él. No obstante, si el host actúa como contestador, la directiva que controla la actualización del derecho "Tener acceso a este equipo desde la red" debe aplicarse o quitarse. Si el sistema actúa como iniciador y contestador, se deben efectuar ambos pasos.

Adición o eliminación de iniciadores en un grupo de acceso de red existente

Puede agregar un iniciador a un grupo de acceso de red o quitarlo de él usando las herramientas estándar de administración de grupos para modificar el grupo de seguridad asociado.

Para modificar un NAG que concierne a un equipo específico:

Inicie la sesión en un controlador de dominio como administrador de dominio y, a continuación, inicie Active Directory Users and Computers.

Expanda el dominio y haga clic en Usuarios.

En el panel de la derecha, haga clic con el botón secundario en el <NAG> y haga clic en Propiedades.

Para agregar un equipo al grupo:

1.	Haga clic en la ficha Miembros y, a continuación, en Agregar.
2.	Haga clic en el botón Tipos de objeto, seleccione la casilla de verificación Equipos y haga clic en Aceptar.
3.	En el cuadro de texto Escriba los nombres de objeto que desea seleccionar, indique <nombre de equipo> y haga clic en Aceptar.
4.	Haga clic en Aceptar.

Para quitar un equipo del grupo:

1.	Haga clic en la ficha Miembros.
2.	En la lista Miembros, haga clic en *<nombre de equipo>* y, a continuación, en Quitar.
3.	Haga clic en Sí para quitar la cuenta *<nombre de equipo>*.
4.	Haga clic en Aceptar. Nota: habrá una demora entre el momento en que la cuenta del host se agrega al grupo y el momento en que el host puede acceder al recurso restringido. Esta demora la causan los retrasos de replicación y el tiempo entre actualizaciones del vale de sesión en el servidor que aloja el recurso restringido (si el vale está en caché).

Adición o eliminación de usuarios en un grupo de acceso de red existente

Aunque los grupos de aislamiento se crearon para restringir los hosts que pueden iniciar la comunicación con el recurso restringido, también pueden usarse para restringir los usuarios que tendrán acceso a un recurso. Si no hay ningún requisito para restringir un recurso de manera similar a un NAG, al grupo de usuarios del dominio se le concede el derecho "Tener acceso a este equipo desde la red" en los contestadores. Si hay algún requisito para restringir el recurso, se crea un grupo Usuarios de NAG.

Puede agregar un usuario restringido a un grupo Usuarios de NAG o quitarlo de él usando las herramientas estándar de administración de grupos para modificar el grupo de seguridad asociado. Este procedimiento sólo es necesario si se ha creado un grupo Usuarios de NAG y se ha asignado al NAG; si se utiliza el grupo Usuarios del dominio, no es necesario.

Para modificar un grupo Usuarios de NAG que concierne a un usuario específico:

Inicie la sesión en un controlador de dominio como administrador de dominio y, a continuación, inicie Active Directory Users and Computers.

Expanda el dominio y haga clic en Usuarios.

En el panel de la derecha, haga clic con el botón secundario en el grupo de seguridad Usuarios de NAG y haga clic en Propiedades.

Para agregar un usuario al NAG:

1.	Haga clic en la ficha Miembros y, a continuación, en Agregar.
2.	En el cuadro de texto Escriba los nombres de objeto que desea seleccionar, indique <nombre de usuario> y haga clic en Aceptar.
3.	Haga clic en Aceptar.

Para quitar un usuario del NAG:

1.	Haga clic en la ficha Miembros.
2.	En la lista Miembros, haga clic en el *<nombre de usuario>* específico y, a continuación, en Quitar.
3.	Haga clic en Sí para quitar la cuenta *<nombre de usuario>*.
4.	Haga clic en Aceptar. Nota: habrá una demora entre el momento en que la cuenta del usuario se agrega al grupo y el momento en que el usuario puede acceder al recurso restringido. Esta demora la causan los retrasos de replicación y el tiempo entre actualizaciones del vale de sesión en el servidor que aloja el recurso restringido (si el vale está en caché).

Adición o eliminación de contestadores en un grupo de acceso de red existente

Para quitar un host contestador (el contestador) de un NAG existente, puede quitar la asignación de GPO que configura el derecho "Tener acceso a este equipo desde la red" en el contestador. La aplicación del GPO puede controlarse mediante cualquiera de los medios estándar para garantizar la aplicación de directivas con Active Directory. No obstante, el método usado en esta guía ha asignado el GPO a una unidad organizativa (OU) que se creó para contener las cuentas de equipos de dominio de los contestadores. Si simplemente desplaza la cuenta de equipo fuera de la OU de los contestadores, dicha cuenta ya no recibirá el GPO asignado y el acceso ya no estará restringido. El equipo recurrirá a la directiva del dominio de aislamiento. (Si la cuenta de equipo también era miembro de un grupo de seguridad local de dominio consistente en grupos de acceso de red, también deberá quitarse de ese grupo.)

Es preciso asegurarse de que los hosts que son miembros de varios NAG puedan continuar comunicándose con otros NAG después de que se hayan quitado de uno de los NAG.

Adición de grupos de acceso de red nuevos

La creación de un NAG nuevo es un proceso bastante sencillo. En primer lugar, se debe crear un grupo local de dominio para controlar el acceso al recurso y un GPO para actualizar el derecho "Tener acceso a este equipo desde la red" en los hosts que actúan como servidores en el NAG. A continuación, se debe aplicar ese GPO a los servidores e identificar a los hosts que pertenecen al grupo.

Sólo los iniciadores precisan ser miembros del NAG. Dicho de otro modo, si dos servidores están en el mismo grupo de aislamiento y nunca iniciarán comunicaciones entre ellos mismos, no es necesario agregarlos al NAG para su grupo de aislamiento. No obstante, si estos dos servidores precisan comunicarse, será necesario agregarlos al NAG como todos los demás iniciadores.

Si un servidor actúa como contestador en varios NAG, es preciso asegurarse de que una vez aplicado el GPO, todos los grupos de seguridad de NAG en los que participa el servidor consten en el derecho "Tener acceso a este equipo desde la red" de ese sistema. Si fuera necesario, se precisarán GPO adicionales, de modo que los equipos específicos cumplan ese requisito.

Creación de un grupo de acceso de red nuevo para equipos iniciadores

Realice los pasos siguientes para crear un NAG nuevo.

Para crear un NAG nuevo para equipos iniciadores:

1.	Inicie la sesión en un controlador de dominio como administrador de dominio y, a continuación, inicie Active Directory Users and Computers.
2.	Haga clic con el botón secundario en el contenedor Usuarios, haga clic en Nuevo y, a continuación, haga clic en Grupo.
3.	En el cuadro de texto Nombre del grupo, escriba un nombre apropiado para el grupo.
4.	Haga clic en el grupo de seguridad dominio local y haga clic en Aceptar.
5.	Haga clic con el botón secundario en el grupo recién creado y haga clic en Propiedades.
6.	En el cuadro de texto Descripción, escriba una descripción adecuada para el grupo.
7.	Haga clic en Aceptar.

Adición de cuentas de equipos iniciadores a un grupo de acceso de red

Realice los pasos siguientes para rellenar un NAG nuevo con cuentas de iniciadores.

Para rellenar el NAG nuevo para iniciadores con las cuentas de iniciadores:

1.	Inicie la sesión en un controlador de dominio como administrador de dominio y, a continuación, inicie Active Directory Users and Computers.
2.	Expanda el dominio y haga clic en Usuarios.
3.	En el panel de la derecha, haga clic con el botón secundario en el grupo *Iniciadores de NAG* y haga clic en Propiedades.
4.	Haga clic en la ficha Miembros y, a continuación, en Agregar.
5.	Haga clic en el botón Tipos de objeto, seleccione la casilla de verificación Equipos y haga clic en Aceptar.
6.	En el cuadro de texto Escriba los nombres de objeto que desea seleccionar, indique <nombre de iniciador> y haga clic en Aceptar.
7.	Haga clic en Aceptar.

Si hay necesidad de restringir más indicando los usuarios del dominio que tienen permiso para acceder al recurso restringido, se deberá crear un grupo para los usuarios del NAG restringidos. De lo contrario, en su lugar puede utilizarse el grupo Usuarios del dominio.

Creación de un grupo de acceso de red nuevo para usuarios restringidos

Realice los pasos siguientes para crear un NAG para usuarios restringidos.

Para crear un NAG nuevo para cuentas de usuario:

1.	Inicie la sesión en un controlador de dominio como administrador de dominio y, a continuación, inicie Active Directory Users and Computers.
2.	Haga clic con el botón secundario en el contenedor Usuarios, haga clic en Nuevo y, a continuación, haga clic en Grupo.
3.	En el cuadro de texto Nombre del grupo, escriba un nombre apropiado para el grupo.
4.	Haga clic en el grupo de seguridad dominio local y haga clic en Aceptar.
5.	Haga clic con el botón secundario en el grupo recién creado y haga clic en Propiedades.
6.	En el cuadro de texto Descripción, escriba una descripción adecuada para el grupo.
7.	Haga clic en Aceptar.

Adición de cuentas de usuario restringido a un grupo de acceso de red

Realice los pasos siguientes para rellenar un NAG nuevo con usuarios restringidos.

Para rellenar el NAG nuevo con cuentas de usuario:

1.	Inicie la sesión en un controlador de dominio como administrador de dominio y, a continuación, inicie Active Directory Users and Computers.
2.	Expanda el dominio y haga clic en Usuarios.
3.	En el panel de la derecha, haga clic con el botón secundario en el grupo de seguridad *Usuarios de NAG* y haga clic en Propiedades.
4.	Haga clic en la ficha Miembros y, a continuación, en Agregar.
5.	En el cuadro de texto Escriba los nombres de objeto que desea seleccionar, indique <nombre de usuario> y haga clic en Aceptar.
6.	Haga clic en Aceptar.

Creación de un GPO para conceder el derecho "Tener acceso a este equipo desde la red"

Se utiliza un GPO para asignar el derecho "Tener acceso a este equipo desde la red" a los NAG adecuados.

La tabla siguiente aporta un ejemplo de un GPO que implementa un NAG y los nombres de grupo correspondientes a los que se debe conceder el derecho "Tener acceso a este equipo desde la red".

Tabla 6.1: Ejemplo de definición de directiva de NAG

Nombre de GPO

Nombre de grupo

<Nombre de directiva de implementación de NAG>

<Nombre de NAG>

Administradores

Operadores de copia de seguridad

Usuarios de NAG o usuarios del dominio

Nota: como mínimo, deben agregarse los grupos enumerados. El administrador tendrá que determinar si hay otros grupos adicionales a los que se deba conceder este derecho.
El grupo Usuarios del dominio se agrega como valor predeterminado. Si el administrador también desea restringir a los usuarios igual que a los equipos, se deberá crear un grupo Usuarios de NAG, igual que el que se creó para las cuentas de equipo, que contenga las cuentas de usuario seleccionadas.

Para crear un GPO que conceda el derecho "Tener acceso a este equipo desde la red":

1.	Inicie la sesión en un controlador de dominio como administrador de dominio.
2.	Inicie la GPMC.
3.	Expanda el bosque: *<nombre de dominio>, Dominios* y, a continuación, *<nombre de dominio>*.
4.	Haga clic con el botón secundario en Objetos de directiva de grupo y haga clic en Nuevo.
5.	En el cuadro de texto Nombre, escriba un <nombre de GPO> y haga clic en Aceptar.
6.	Haga clic con el botón secundario en *<nombre de GPO>* y haga clic en Editar.
7.	Expanda Configuración de equipo, Configuración de Windows, Configuración de seguridad, Directivas locales y haga clic en Asignación de derechos de usuario.
8.	En el panel de la derecha, haga clic con el botón secundario en "Tener acceso a este equipo desde la red" y haga clic en Propiedades.
9.	Active la casilla de verificación Definir esta configuración de directiva.
10.	Haga clic en el botón Agregar usuario o grupo.
11.	Haga clic en el botón Examinar.
12.	En el cuadro de texto Escriba los nombres de objeto que desea seleccionar, indique el nombre de cada grupo enumerado en la tabla anterior, separado por el carácter de punto y coma. Haga clic en OK.
13.	Haga clic en Aceptar.
14.	Cierre el Editor de objetos de directiva de grupo y, a continuación, la GPMC.

Implementación de GPO de grupo de acceso de red

Para implementar objetos de directiva de grupo (GPO) de grupo de acceso de red (NAG), primero deben vincularse a una ubicación dentro del entorno del dominio, de modo que se puedan aplicar a los contestadores adecuados en el NAG. La aplicación del GPO puede controlarse mediante cualquiera de los métodos estándar para garantizar la aplicación de directivas con Active Directory. La provisión de pasos específicos no entra en el ámbito de esta guía, porque dependerían de la estructura de la OU y de los métodos de administración empleados en la organización.

Deshabilitación de IPsec en un grupo de aislamiento

Puede deshabilitar una directiva IPsec modificando el GPO que proporciona la directiva. Para deshabilitar la directiva IPsec, el GPO se configura de manera que quede deshabilitada la configuración del equipo.

Para deshabilitar la configuración del equipo del GPO:

1.	Inicie la sesión en un controlador de dominio como administrador de dominio.
2.	Inicie la GPMC.
3.	Expanda el bosque: *<nombre de dominio>, Dominios, <nombre de dominio>* y, a continuación, Objetos de directiva de grupo.
4.	Haga clic con el botón secundario en *<nombre de GPO>, haga clic en Estado GPO* y en Parámetros de configuración de equipo deshabilitados.
5.	Cierre la GPMC.

Nueva habilitación de IPsec en un grupo de aislamiento

Puede volver a habilitar directivas IPsec que se hayan deshabilitado modificando el GPO que proporciona la directiva. Para volver a habilitar una directiva IPsec deshabilitada, el GPO se configura de manera que se habilite la configuración del equipo.

Para habilitar la configuración del equipo del GPO:

1.	Inicie la sesión en un controlador de dominio como administrador de dominio.
2.	Inicie la GPMC.
3.	Expanda el bosque: *<nombre de dominio>, Dominios, <nombre de dominio>* y, a continuación, Objetos de directiva de grupo.
4.	Haga clic con el botón secundario en *<nombre de GPO>, haga clic en Estado GPO* y en Habilitado.
5.	Cierre la GPMC.

Eliminación de IPsec de un grupo de aislamiento

Puede quitar una directiva IPsec modificando el GPO que proporciona la directiva. Para quitar la directiva IPsec, el GPO se configura de manera que la directiva IPsec ya no esté asignada.

Para anular la asignación de la directiva IPsec del GPO:

1.	Inicie la sesión en un controlador de dominio como administrador de dominio.
2.	Inicie la GPMC.
3.	Expanda el bosque: *<nombre de dominio>, Dominios* y, a continuación, *<nombre de dominio>*.
4.	Haga clic con el botón secundario en *<nombre de GPO>* y haga clic en Editar.
5.	Expanda Configuración del equipo, Configuración de Windows, Configuración de seguridad y haga clic en *Directivas de seguridad IP en Active Directory (nombre de dominio***).
6.	En el panel de la derecha, haga clic con el botón secundario en *<nombre de directiva IPsec>* y haga clic en Desasignar.
7.	Asegúrese de que el *<nombre de directiva IPsec>* está desasignado y, a continuación, cierre el Editor de objetos de directiva de grupo y, después, la GPMC.

Principio de la página

Consideraciones acerca de la copia de seguridad y la restauración

Esta sección proporciona información acerca del modo de evaluar los procesos relacionados específicamente con la copia de seguridad y restauración de los componentes de la solución de aislamiento de servidor y dominio.

Copia de seguridad de Active Directory

Las directivas IPsec no se almacenan en los objetos de Directiva de grupo que se utilizan para proporcionar las directivas. Las capacidades de copia de seguridad y restauración de Directiva de grupo solamente recopilarán información acerca de qué directivas IPsec están asignadas a los objetos de Directiva de grupo y no la información real de la directiva IPsec.

Aunque una copia de seguridad completa del estado del sistema de un controlador de dominio recopilará la información de la directiva IPsec, también pueden ser los comandos de menú Exportar directivas e Importar directivas del complemento MMC de administración de directivas de seguridad IP los que se encarguen de la copia de seguridad y restauración de las directivas IPsec.

Nota: es importante proteger las copias de seguridad de directivas IPsec. No obstante, la copia de seguridad es un archivo que hereda los permisos del sistema de archivos NTFS del directorio en el que se almacena, y los datos del archivo no están cifrados ni firmados. Debe proteger la información de la configuración IPsec de estos archivos mediante procedimientos de seguridad o permisos adecuados. Sólo los administradores de IPsec autorizados deben tener acceso a estos archivos de copia de seguridad.

Para obtener más información acerca de las copias de seguridad de los datos de estado del sistema en un equipo con Windows Server 2003, consulte la página To back up System State data de Microsoft.com en www.microsoft.com/resources/documentation/windowsserv/2003/standard/
proddocs/en-us/ntbackup_backup_sysstate.asp.

Restauración del host

En los equipos en los que la directiva IPsec se ha restaurado a partir de una copia de seguridad (una copia de seguridad en cinta o una copia de seguridad basada en imagen), la directiva IPsec que se aplica puede ser una copia en caché de la directiva IPsec basada en Active Directory o una directiva IPsec local.

Si se asigna al equipo una directiva IPsec basada en Active Directory, el servicio IPsec intenta recuperar de Active Directory la copia más reciente de la directiva IPsec asignada, antes de aplicar la copia en caché de la directiva basada en Active Directory. Al hacerlo, el servicio IPsec consulta primero el sistema de nombres de dominio (DNS) para la lista actual de las direcciones IP de todos los controladores de dominio. Si los objetos de la directiva IPsec se han eliminado de Active Directory, se aplica en su lugar la directiva basada en Active Directory.

La lista de direcciones IP del controlador de dominio de la copia en caché de la directiva IPsec basada en Active Directory puede haber cambiado considerablemente desde que se creó la copia de seguridad de la directiva IPsec (por ejemplo, si se han agregado controladores de dominio nuevos). En ese caso, la comunicación con los controladores de dominio actuales puede bloquearse. Por ello, la autenticación que utilizaba el protocolo de Kerberos fallará cuando se intente establecer de manera remota conexiones protegidas por IPsec. Además, puede que el equipo no sea capaz de recibir las actualizaciones de Directiva de grupo. Este problema se puede resolver de la siguiente manera:

1.	Acceda al equipo localmente y detenga el servicio IPsec en ese equipo.
2.	Reinicie el equipo en el Modo a prueba de errores con Conexiones de red y configure el servicio IPsec para iniciarlo manualmente o deshabilite el servicio IPsec para permitir la comunicación protegida por IPsec con las direcciones IP de los controladores de dominio nuevos.

Principio de la página

Mitigación de infecciones basadas en la red

Algunas circunstancias pueden requerir una interrupción inmediata de las comunicaciones para garantizar la seguridad del entorno, como es el caso de los ataques de virus o las intrusiones. La siguiente sección analiza varias formas de aislar a los hosts que participan en las comunicaciones autenticadas. Por su diseño, estos métodos no aíslan los servidores de infraestructura ni los excluidos, porque debe procurarse no aislar los servidores de infraestructura, a fin de que los sistemas no pierdan su capacidad de actualizar las directivas IPsec desde el dominio.

Nota: aunque estos métodos de aislamiento son técnicamente seguros, no se han probado en un entorno de laboratorio. Se recomienda encarecidamente probar estos métodos en un entorno de laboratorio antes de confiar en ellos.

Aislamiento del dominio de aislamiento

Los hosts del dominio de aislamiento tienen permiso para iniciar comunicaciones con los hosts que no son de confianza. Si hay necesidad de bloquear rápidamente este tipo de tráfico, la acción de filtrado IPSEC – Modo de solicitud seguro (Ignorar entrante, Permitir saliente) puede modificarse, de manera que quede deshabilitado el derecho "Permitir comunicación no segura con equipos ajenos a IPsec". Una vez transcurrido el período de sondeo de IPsec, todos los hosts del dominio de aislamiento quedarán bloqueados para comunicarse con los sistemas que no participan en el entorno IPsec.

Para modificar la acción de filtrado IPSEC – Modo de solicitud seguro (Ignorar entrante, Permitir saliente):

1.	Inicie la sesión en un controlador de dominio como administrador de dominio.
2.	Inicie el complemento MMC de administración de directivas de seguridad IP y establezca el enfoque en el dominio.
3.	Haga clic con el botón secundario en Directivas de seguridad IP en Active Directory y haga clic en Administrar listas de filtros IP y acciones de filtrado.
4.	En la ficha Administrar acciones de filtrado IP, haga clic en la acción de filtrado IPSEC – Modo de solicitud seguro (Ignorar entrante, Permitir saliente) y en Editar.
5.	Active o desactive la casilla de verificación Permitir comunicación no segura con clientes ajenos a IPsec.
6.	Haga clic en Aceptar.
7.	Haga clic en Aceptar.

Una vez configurada esta opción, la directiva bloqueará todo el tráfico de red destinado a los hosts que no son de confianza. Después de haber resuelto el problema, puede restablecerse la comunicación volviendo a habilitar la opción.

Bloqueo de puertos

Las directivas IPsec que se implementan en equipos internos de la red de área local (LAN) se configuran para permitir todas las comunicaciones en todos los puertos. Este método simplifica la configuración y administración del entorno. No obstante, si se infecta un host que usa IPsec con software malintencionado, como un virus o un gusano, es muy probable que el host propague la infección a otros equipos. Según las directivas que use el equipo, la infección puede propagarse tanto a los hosts de confianza como a los hosts que no son de confianza.

Se pueden utilizar directivas IPsec para reducir la propagación de software malintencionado, bloqueando explícitamente los puertos que utiliza ese tipo de software. La principal limitación de este método es la demora necesaria en todos los equipos para detectar el cambio de directiva que agrega los filtros de bloqueo. Además, algunos gusanos han inundado la red, por lo que resulta difícil recuperar los cambios de la directiva IPsec. Y algunos gusanos han utilizado puertos que también usan servicios fundamentales, como el DNS, aspecto que dificultará actualizar la directiva una vez que se hayan aplicado los filtros de bloqueo en el host. El bloqueo se puede efectuar creando una regla que bloquee el tráfico procedente de cualquier dirección IP a un determinado puerto, que es el que utiliza alguna de las formas del software malintencionado. La regla se agrega a todas las directivas del entorno. Después de haber eliminado el software malintencionado, se puede quitar la regla de las directivas.

Una vez identificados los puertos y protocolos utilizados por alguna de las formas del software malintencionado, cree una lista de filtros que coincida con los criterios de la comunicación del software malintencionado, siguiendo los pasos del procedimiento "Adición de una regla nueva a una directiva IPsec existente", en la sección "Cambio de la directiva IPsec", incluida anteriormente en este capítulo. El intervalo de sondeo de la directiva IPsec debe reducirse de inmediato, tan pronto como se tome la decisión de utilizar el bloqueo de puertos en la directiva del dominio. El intervalo de sondeo puede volver a aumentarse una vez que la amenaza se haya eliminado.

No obstante, en lugar de crear un filtro que utilice cualquier dirección IP hacia una dirección IP específica, cree uno que utilice "Mi dirección IP" hacia cualquier dirección IP. Normalmente, no se utilizan filtros reflejados. Se necesita una lista de filtros que contenga dos filtros unidireccionales, uno para el tráfico entrante hacia un puerto conocido y otro para el tráfico saliente hacia un puerto conocido. Por ejemplo, los siguientes filtros bloquean el puerto SQL 1433 que explota el gusano SQLSlammer:

Desde cualquier dirección IP -> Mi dirección IP, TCP, src *, dst 1433, no reflejado

Desde Mi dirección IP -> Cualquier dirección IP, TCP, src *, dst 1433, no reflejado

Estos filtros también bloquearán las conexiones de la aplicación SQL y deben quitarse cuando ya no exista la amenaza del gusano. Tenga cuidado de no bloquear el acceso a los puertos fundamentales de la infraestructura, como DNS, a no ser que sea absolutamente necesario. Estos filtros son más específicos que los filtros de subred de Woodgrove Bank que negocian IPsec para todo el tráfico de la red interna, puesto que tienen definida una dirección IP específica.

Después de haber creado el filtro, agregue una regla a todas las directivas IPsec del dominio y grupo de aislamiento para asociar la lista de filtros con la acción de filtrado IPsec – Bloquear. Si lo desea, puede incluir en el diseño de directiva una regla que ya asigne una lista de filtros IPsec vacía utilizada para los puertos bloqueados con la acción de bloqueo. Las reglas de las directivas IPsec podrían utilizar esta lista de filtros vacía, que podría habilitarse de modo que todos los miembros del dominio comprueben la lista de filtros en cada intervalo de sondeo. También podría deshabilitarse la regla, así el sondeo del servicio IPsec detectará si está habilitada la regla de cada directiva de grupo de aislamiento.

Si por algún motivo el bloqueo de puertos impide que IPsec acceda a Active Directory para obtener una directiva actualizada, puede detenerse administrativamente el servicio IPsec y reiniciarse en el equipo o se puede reiniciar el equipo. Al iniciarse el servicio IPsec, éste intentará descargar la versión más reciente de la directiva IPsec asignada, antes de aplicar la versión más antigua de la caché.

Aislamiento sólo en el dominio secundario

Si resulta necesario aislar la totalidad de un dominio del resto de los dominios del bosque, su directiva puede configurarse de modo que utilice una clave previamente compartida en lugar del protocolo de Kerberos. Este método permitirá que los equipos del dominio secundario mantengan comunicaciones con otros sistemas del mismo dominio, pero bloqueará la comunicación con los sistemas externos al dominio a los que normalmente tendría acceso.

Cada directiva del dominio secundario deberá modificarse, de modo que utilice únicamente una clave previamente compartida para la regla IPsec – Subredes de la organización seguras. Será necesario eliminar todos los métodos de autenticación existentes, como el protocolo de Kerberos. Para configurar los métodos de autenticación, siga los pasos de la sección "Cambio de un método de autenticación de regla existente", incluida anteriormente en este capítulo.

Si en la directiva existen reglas que lleven a cabo la autenticación, también deberán configurarse para que utilicen una clave previamente compartida. Será necesario configurar de este modo todas las directivas del dominio secundario que se va a aislar. Para reducir al mínimo la posibilidad de que se produzcan errores de autenticación del modo principal IKE al ejecutar la directiva, el método de autenticación mediante clave previamente compartida puede colocarse en primer lugar en la lista de métodos de autenticación, seguido del método de Kerberos. Después de que todos los equipos dispongan de la directiva actualizada, el método de autenticación de Kerberos puede quitarse. Se utiliza un método similar para restaurar la autenticación con el protocolo de Kerberos y quitar la clave previamente compartida, una vez que la amenaza ha desaparecido.

Aislamiento de grupos predefinidos

Aunque los grupos de acceso de red constituyen una implementación que se puede usar para aislar un grupo de equipos predefinido, también se pueden utilizar claves previamente compartidas o certificados para llevar a cabo el mismo aislamiento. La diferencia principal con los grupos de acceso de red es que deberán crearse directivas por separado para cada grupo de equipos con el fin de proteger el tráfico entre los equipos que tienen una clave previamente compartida o un certificado. Esta solución requiere una planificación adicional de las comunicaciones del tráfico, sobre todo si algún sistema pertenece a más de un grupo.

El inconveniente más significativo de las claves previamente compartidas es que se almacenan en texto sin formato en la directiva y, por ello, se descubren fácilmente (su confidencialidad está comprometida) desde un cliente del dominio. Este inconveniente no se convertirá en problema si el valor de la clave previamente compartida se utiliza simplemente para el aislamiento temporal durante un ataque de gusanos.

Debido a una limitación en el modo que tiene IKE de comprobar las restricciones del certificado en la entidad emisora raíz, en lugar de hacerlo en la entidad emisora que suministra el certificado, se deberá implementar una única entidad emisora raíz para cada grupo.

Principio de la página

Resumen

Este capítulo proporciona información, procesos y procedimientos para administrar, mantener y modificar una solución de aislamiento de servidor y dominio después de haberla implementado y puesto en funcionamiento correctamente.

Los procesos y procedimientos deben documentarse adecuadamente y comunicarse a todo el personal involucrado en la administración cotidiana de los hosts del entorno. Puesto que siempre existe la posibilidad de que debido a un pequeño cambio en una directiva IPsec se deshabilite una ruta de comunicación protegida, estos procesos y procedimientos deben diseñarse de manera que garanticen que no se introducirán errores como resultado de que alguien no haya comprendido las consecuencias de un cambio en la directiva.

Principio de la página

7 de 13

En este artículo

•	Información general
•	Capítulo 1: Introducción al aislamiento de servidor y dominio
•	Capítulo 2: Comprensión del aislamiento de servidor y dominio
•	Capítulo 3: Cómo determinar el estado actual de su infraestructura de TI
•	Capítulo 4: Diseño y planificación de grupos de aislamiento
•	Capítulo 5: Creación de directivas IPsec para grupos de aislamiento
•	Capítulo 6: Administración de un entorno de aislamiento de servidor y dominio
•	Capítulo 7: Solución de problemas de IPsec
•	Apéndice A: Descripción general de los conceptos de la directiva IPsec
•	Apéndice B: Resumen de la directiva IPsec
•	Apéndice C: Guía de generación de laboratorio
•	Apéndice D: Categorías de amenaza de TI
•	Agradecimientos

Descargar la solución completa

Aislamiento de servidor y dominio mediante IPsec y Directiva de grupo