Aislamiento de servidor y dominio mediante IPsec y Directiva de grupo Apéndice B: Resumen de la directiva IPsec Actualizado: febrero 16, aaaa Este apéndice proporciona un listado conciso de información referente a todas las configuraciones de la directiva para los grupos de aislamiento utilizados en esta solución. En esta página Configuración general de la directiva Directiva del dominio de aislamiento Directiva de grupo de aislamiento Sin reserva Directiva del grupo de aislamiento Límite Directiva del grupo de aislamiento Cifrado Configuración general de la directiva La información siguiente se incluye en todas las directivas que se definen en esta solución. Configuración general de la directiva: Actualización de la directiva: 5 minutos para la ejecución en entorno de prueba. Este valor deberá aumentarse a 60 minutos en entornos productivos. Después de 60 minutos, el host actualiza su directiva desde el servicio de directorio Active Directory. Esta funcionalidad permite implementar cambios en una directiva IPsec ya asignada para toda la red de la organización en una hora (como máximo) y, por lo tanto, permite responder rápidamente ante cualquier amenaza. Vigencia de modo principal IKE: 3 horas. Sesiones por MM: 0, infinitas. PFS principal: no se utiliza. Quedó obsoleta como característica en la asociación de claves de Internet (IKE) de Microsoft Windows debido a la falta de compatibilidad en otros productos y para eliminar funcionalidades duplicadas. La misma funcionalidad puede obtenerse estableciendo las sesiones por MM en 1. Métodos de seguridad de intercambio de claves de modo principal IKE: 3DES/SHA1/High (2048), 3DES/SHA1/Medium (2), 3DES/MD5/Medium (2). Nota: High (2048) es compatible sólo con Microsoft Windows Server 2003 y Windows XP SP2, y queda omitido en Windows 2000 y versiones anteriores de Windows XP. Medium (2) garantiza la compatibilidad de IKE con Windows 2000, Windows XP SP1 y anteriores. Regla de respuesta predeterminada = deshabilitada Regla 1: Descargar la solución completa Aislamiento de servidor y dominio mediante IPsec y Directiva de grupo En esta guía Capítulo 0 - Información general Capítulo 1 - Introducción al aislamiento de servidor y dominio Capítulo 2 - Comprensión del aislamiento de servidor y dominio Capítulo 3 - Cómo determinar el estado actual de su infraestructura de TI Capítulo 4 - Diseño y planificación de grupos de aislamiento Capítulo 5 - Creación de directivas IPsec para grupos de aislamiento Capítulo 6 - Administración de un entorno de aislamiento de servidor y dominio Capítulo 7 - Solución de problemas de IPsec Apéndice A - Descripción general de los conceptos de la directiva IPsec Apéndice B - Resumen de la directiva IPsec Apéndice C - Guía de generación de laboratorio Apéndice D - Categorías de amenaza de TI Agradecimientos Lista de filtros: "IPSEC: lista de exenciones VIP de clúster" Mi <-> Dirección IP específica, reflejado: actualmente vacío Descripción: "Direcciones IP para todos los VIP de clúster de la organización"
Regla 2: Lista de filtros: "IPSEC: DHCP, tráfico de negociación" Mi <-> Cualquiera, UDP, puerto de origen 68 a puerto de destino 67, reflejado Descripción: "Permite tráfico de negociación DHCP" Regla 3: Lista de filtros: "IPSEC: lista de exenciones de DNS" Cualquiera <-> 192.168.1.21, reflejado Cualquiera <-> 192.168.1.22, reflejado Descripción: "Direcciones IP para todos los servidores DNS de la organización" Regla 4: Lista de filtros: "IPSEC: lista de exenciones de controlador de dominio" Cualquiera <-> 192.168.1.21, reflejado Cualquiera <-> 192.168.1.22, reflejado Descripción: "Direcciones IP para todos los DC de la organización" Regla 5: Lista de filtros: "IPSEC: lista de exenciones de WINS" Cualquiera <-> 192.168.1.22, reflejado Descripción: "Direcciones IP para todos los servidores WINS de la organización"
Regla 6: Lista de filtros: "IPSEC: lista de exenciones para los servidores de aplicaciones de la línea de negocios (LOB)" Cualquiera <-> 192.168.1.10, reflejado Descripción: "Direcciones IP para todos los servidores de LOB de la organización" Regla 7: Lista de filtros: "IPSEC: ICMP, todo el tráfico" Mi <-> Cualquiera, ICMP, reflejado Descripción: "Permite tráfico ICMP" Regla 8: Lista de filtros: "IPSEC: direcciones exentas" Cualquiera <-> Dirección IP específica, reflejado actualmente vacío Descripción: "Direcciones IP específicas que deben quedar exentas de la comunicación IPsec" Regla 9: Lista de filtros: "IPSEC: subredes exentas" Mi <-> Subred IP específica, reflejado: actualmente vacío Descripción: "Subredes que deben quedar exentas de la comunicación IPsec" Regla 10: Lista de filtros: "IPSEC: versión de directiva (1.0.041001.1600)" 1.1.1.1 <-> 1.1.1.2, ICMP, reflejado Descripción: "No es una lista de filtros real. Se utiliza para identificar la versión de directiva IPsec".
Regla 1. Esta regla es necesaria para excluir la comunicación saliente con los VIP de clúster. Esta regla no debe incluirse si este servidor no necesita comunicarse con los VIP de clúster. Regla 2. Esta regla permite utilizar la negociación de protocolo de configuración dinámica de host (DHCP) no protegida por IPsec. Regla 3. Esta regla permite la comunicación no protegida por IPsec con sistemas DNS (sistemas de nombres de dominio) de la lista de exenciones. Regla 4. Esta regla permite la comunicación no protegida por IPsec con sistemas controladores de dominio de la lista de exenciones. Regla 5. Esta regla permite la comunicación no protegida por IPsec con sistemas WINS (Servicio de nombres Internet de Windows) de la lista de exenciones. Regla 6. Esta regla permite la comunicación no protegida por IPsec con hosts de la lista de exenciones. En Woodgrove Bank se creó esta lista de filtros para los servidores de aplicaciones de la línea de negocios. Regla 7. Esta regla permite el uso de tráfico ICMP (Protocolo de mensajes de control de Internet) no protegido por IPsec. Regla 8. Esta regla permite la comunicación no protegida por IPsec con hosts de la lista de exenciones. Esta regla no deberá incluirse en las directivas si la lista de filtros está vacía. Regla 9. Esta regla permite la comunicación no protegida por IPsec con subredes de la lista de exenciones. Esta regla no deberá incluirse en las directivas si la lista de filtros está vacía. Regla 10. Esta regla sólo se utiliza para realizar el seguimiento de la información de versión de la directiva. El filtro utilizado para implementar la lista de filtros es un filtro ficticio que consiste en dos direcciones IP específicas que permiten el tráfico ICMP. Este filtro ficticio es necesario porque no es posible agregar una lista de filtros vacía a una directiva. Directiva del dominio de aislamiento Esta sección proporciona información sobre los filtros, acciones de filtrado, directiva y objetos de directiva de grupo (GPO) utilizados para crear el dominio de aislamiento en la solución para Woodgrove Bank. Cualquiera <-> subredes internas, todo el tráfico, reflejado Acción de filtrado: "IPSEC Modo de solicitud seguro (Ignorar entrante, Permitir saliente)" Orden de preferencia de los métodos de seguridad: ESP-null/SHA1, ESP-null/MD5, ESP-3DES/SHA1 y, a continuación, ESP-3DES/MD5 NO aceptar comunicaciones no seguras Permitir comunicación no segura con hosts ajenos a IPsec
este apéndice. seguras y exige la negociación de IPsec. No aceptará la comunicación no protegida de clientes ajenos a IPsec, pero puede comunicarse con clientes ajenos a IPsec si inicia la comunicación. Directiva de grupo de aislamiento Sin reserva Esta sección proporciona información sobre los filtros, acciones de filtrado, directiva y objetos de directiva de grupo (GPO) utilizados para crear el grupo de aislamiento Sin reserva en la solución para Woodgrove Bank. Cualquiera <-> subredes internas, todo el tráfico, reflejado Acción de filtrado: "IPSEC Modo de solicitud completo (Ignorar entrante, No permitir saliente)" Orden de preferencia de los métodos de seguridad: ESP-null/SHA1, ESP-null/MD5, ESP-3DES/SHA1 y, a continuación, ESP-3DES/MD5 NO aceptar comunicaciones no seguras NO permitir comunicación no segura con hosts ajenos a IPsec este apéndice. seguras y exige la negociación de IPsec. NO permite ninguna comunicación con clientes ajenos a IPsec. Directiva del grupo de aislamiento Límite Esta sección proporciona información sobre los filtros, acciones de filtrado, directiva y objetos de directiva de grupo (GPOs) utilizados para crear el grupo de aislamiento Límite en la solución para Woodgrove Bank. En la guía de seguridad de Windows Server 2003 se asume que el host Límite no es móvil y, por lo tanto, que puede utilizar subredes para definir su red y debe protegerse casi como un host de baluarte. Debe protegerse bien contra ataques malintencionados. Por lo tanto, la directiva IPsec deberá combinarse con filtros que reduzcan la superficie de ataque en la medida en que sea posible. Configuración general de la directiva: Vigencia de modo principal IKE: 20 minutos Cualquiera <-> subredes internas, todo el tráfico, reflejado Acción de filtrado: "IPSEC Modo de solicitud (Aceptar entrante, Permitir saliente)"
Orden de preferencia de los métodos de seguridad: ESP-null/SHA1, ESP-null/MD5, ESP-3DES/SHA1 y, a continuación, ESP-3DES/MD5 Aceptar comunicaciones no seguras Permitir comunicación no segura con hosts ajenos a IPsec este apéndice. seguras y exige la negociación de IPsec. Aceptará tráfico de clientes ajenos a IPsec e iniciará la comunicación con estos clientes. Directiva del grupo de aislamiento Cifrado Esta sección proporciona información sobre los filtros, acciones de filtrado, directiva y objetos de directiva de grupo (GPOs) utilizados para crear el grupo de aislamiento Cifrado en la solución para Woodgrove Bank. Cualquiera <-> subredes internas, todo el tráfico, reflejado Acción de filtrado: "IPSEC Solicitar modo de cifrado (Ignorar entrante, No permitir saliente)" Orden de preferencia de los métodos de seguridad: ESP-3DES/SHA1 y, a continuación, ESP-3DES/MD5 NO aceptar comunicaciones no seguras NO permitir comunicación no segura con hosts ajenos a IPsec este apéndice. seguras y exige la negociación de IPsec cifrado. NO permite ninguna comunicación con clientes ajenos a IPsec. Administre su perfil 2009 Microsoft Corporation. Todos los derechos reservados. Póngase en contacto con nosotros Aviso Legal Marcas registradas Privacidad