Aislamiento de servidor y dominio mediante IPsec y...

Aislamiento de servidor y dominio mediante IPsec y Directiva de grupo Apéndice C: Guía de generación de laboratorio

Actualizado: febrero 16, aaaa

Este apéndice proporciona una guía completa para crear la infraestructura necesaria que

permita grupos de aislamiento que utilicen IPsec. En esta guía se trata la instalación y

configuración de Microsoft® Windows Server™ 2003, la preparación del servicio de

directorio Active Directory® y la configuración de la directiva IPsec.

Este apéndice también proporciona las instrucciones de implementación que se utilizaron

para la ejecución de la directiva IPsec de línea de base en el escenario de Woodgrove Bank,

descrito anteriormente en esta guía.

Este apéndice ha sido diseñado para su utilización junto con el resto de los capítulos de

esta guía, que explican el proceso de diseño y la lógica tras las decisiones de

implementación que se utilizan en este apéndice. En este apéndice también se explican las

tareas y procesos necesarios para crear e implementar satisfactoriamente una

infraestructura de directiva IPsec. Si todavía no lo ha hecho, le recomendamos que lea los

capítulos anteriores antes de seguir con este apéndice. También debería leer y entender las

implicaciones de los requisitos de compatibilidad que se especifican en el capítulo 6,

"Administración de un entorno de aislamiento de servidor y dominio", antes de

implementar los pasos de este apéndice.

En esta página

Requisitos previos Esta sección contiene información que le ayudará a determinar la capacitación de su organización para implementar la

solución.

Requisitos previos de conocimientos Debe estar familiarizado con los conceptos de IPsec, redes y arquitectura de red. También debe estar familiarizado con

Windows Server 2003 en las siguientes áreas:

Descargar la solución completa

Aislamiento de servidor y

dominio mediante IPsec y

Directiva de grupo

• En esta guía

• Capítulo 0 - Información

general

• Capítulo 1 - Introducción

al aislamiento de servidor

y dominio

• Capítulo 2 - Comprensión

del aislamiento de

servidor y dominio

• Capítulo 3 - Cómo

determinar el estado

actual de su

infraestructura de TI

• Capítulo 4 - Diseño y

planificación de grupos de

aislamiento

• Capítulo 5 - Creación de

directivas IPsec para

grupos de aislamiento

• Capítulo 6 -

Administración de un

entorno de aislamiento de

servidor y dominio

• Capítulo 7 - Solución de

problemas de IPsec

• Apéndice A - Descripción

general de los conceptos

de la directiva IPsec

• Apéndice B - Resumen de

la directiva IPsec

• Apéndice C - Guía de

generación de laboratorio

• Apéndice D - Categorías

de amenaza de TI

• Agradecimientos

Requisitos previos

Implementación de la directiva de la línea de base

Implementación de las directivas IPsec

Utilización del método de constitución de directivas para habilitar la directiva IPsec de línea de base

Secuencias y herramientas de prueba para las pruebas de funcionalidad

Habilitación de la lista de filtros de subredes seguras de la organización en las directivas restantes

Cómo habilitar la configuración del grupo de acceso de red

Cómo habilitar el dominio de aislamiento

Cómo habilitar el grupo de aislamiento Sin reserva

Cómo habilitar el grupo de aislamiento Cifrado

Cómo habilitar el grupo de aislamiento Límite

Configuración del dominio de aislamiento como grupo de aislamiento predeterminado

Pruebas funcionales definitivas: habilitación de todos los grupos de aislamiento

Resumen

Antes de seguir con este apéndice, debería haber leído las instrucciones de planificación de esta guía y debería comprender

bien los conceptos arquitectónicos y de diseño de la solución.

Requisitos previos organizativos Debe consultar a otras personas de su organización que quizás necesiten implicarse en la planificación de la solución. Entre

ellas podrían encontrarse las siguientes:

Requisitos previos de la infraestructura de TI El apéndice también asume que existe la infraestructura de TI siguiente:

Requisitos previos para la implementación de la línea de base Antes de llevar a cabo las tareas de este apéndice, deben comprobarse diversos elementos para garantizar una

implementación satisfactoria.

Requisitos de hardware Antes de transferir la infraestructura IPsec de línea de base, asegúrese de que la infraestructura actual es capaz

físicamente de admitir la carga de la implementación de IPsec. El proceso que le ayudará a comprobar esta capacidad se

trata en el capítulo 3, "Cómo determinar el estado actual de su infraestructura de TI", incluido en esta guía.

Herramientas Pueden utilizarse cuatro herramientas primarias para configurar las directivas IPsec y habilitarlas mediante los GPO de

Active Directory. Estas herramientas son las siguientes:

• Instalación del sistema operativo.

• Los conceptos de Active Directory® (incluidas la estructura y las herramientas de Active Directory, la manipulación de

usuarios, grupos y otros objetos de Active Directory, y el uso de Directiva de grupo).

• La seguridad del sistema Windows, incluidos conceptos de seguridad tales como usuarios, grupos, auditoría y listas de

control de acceso (ACL); el uso de plantillas de seguridad y la aplicación de plantillas de seguridad con herramientas de

línea de comandos o Directiva de grupo.

• Patrocinadores empresariales.

• Personal de seguridad y auditoría.

• Personal de ingeniería, administración y operación de Active Directory.

• Personal de ingeniería, administración y operación del servicio de nombres de dominio (DNS), servidor Web y red.

Nota: según la estructura de la organización de TI, estas funciones las puede desempeñar una serie de personas o unas

pocas personas pueden abarcar varias funciones.

• Un dominio Windows Server 2003 Active Directory ejecutándose en modo mixto o nativo. Esta solución utiliza grupos

universales para la aplicación de Objetos de directiva de grupo (GPO). Aunque la organización no utilice el modo mixto o

el modo nativo, seguirá siendo posible aplicar los GPO utilizando configuraciones de grupo estándar globales y locales.

No obstante, debido a que esta opción es más compleja, no se utiliza en la solución.

Nota: Windows Server 2003 introdujo diversas mejoras que afectan a las directivas IPsec. Esta solución también podría

implementarse con éxito en Windows 2000; no hay nada específico en Windows Server 2003 que lo impida. No

obstante, la solución se ha probado únicamente con Active Directory sobre Windows Server 2003. Para obtener más

información acerca de las mejoras para IPsec que introduce Windows Server 2003, consulte la página New features for

IPsec (Funciones nuevas para IPsec) del sitio Web de Microsoft, en

www.microsoft.com/resources/documentation/WindowsServ/

2003/standard/proddocs/en-us/ipsec_whatsnew.asp.

• Hardware de servidor adecuado para ejecutar Windows Server 2003.

• Licencias, medios de instalación y claves de producto de Windows Server 2003 Standard Edition y Windows Server 2003

Enterprise Edition.

• Netsh. Esta herramienta de línea de comandos se facilita con Windows Server 2003. Se utiliza para configurar la

directiva local en un sistema Windows Server 2003 y la directiva de dominio. Esta solución utiliza secuencias de

comandos Netsh para configurar las directivas de dominio.

Se recomienda obtener e instalar estas herramientas en las estaciones de trabajo del equipo de implementación, de modo

que los miembros del equipo puedan dedicar algún tiempo a familiarizarse con la funcionalidad de cada herramienta antes

de que se inicie la implementación.

Principio de la página

Implementación de la directiva de la línea de base Woodgrove Bank optó por realizar su implementación desplazando en primer lugar todos los equipos al grupo de

aislamiento Límite mediante el método de generación. Este método permitió a los administradores avanzar lentamente y

resolver cualquier problema pendiente, sin que ello afectara de manera significativa a las comunicaciones entre todos los

sistemas. Al implementar en primer lugar una directiva sin ninguna subred segura, el equipo de administración fue capaz

de identificar todos los equipos que tenían asignada una directiva IPsec local y pudo aprovechar esa información. A medida

que se iban agregando las subredes a la directiva, se iban resolviendo todos los conflictos que surgieron.

Cuando los equipos estuvieron en funcionamiento bajo la directiva del grupo de aislamiento Límite, el equipo pasó a

implementar los grupos de aislamiento Estándar, Texto no cifrado saliente permitido y Cifrado. Estos grupos de aislamiento

se implementaron utilizando el método de implementación por grupo que se explica en el capítulo 4, "Diseño y planificación

de grupos de aislamiento", de esta guía. Se seleccionó un conjunto de equipos para una prueba piloto y se agregó a los

grupos apropiados que controlaban las directivas nuevas. A medida que surgían, los problemas se fueron resolviendo y se

agregaron otros equipos a los grupos de aislamiento, hasta que éstos estuvieron completamente llenos.


Implementación de las directivas IPsec El proceso de conseguir la directiva IPsec adecuada para cada equipo de una organización voluminosa puede llegar a ser

demasiado complejo rápidamente. El mecanismo de directivas disponible en Active Directory puede simplificar

enormemente este proceso. Las siguientes secciones de este apéndice proporcionan la información necesaria para

implementar las directivas IPsec.

Copia de las secuencias de comandos de configuración Para configurar las directivas IPsec, la primera tarea consiste en copiar las secuencias de comandos de configuración

requeridas en el controlador de dominio que se utilizará para almacenarlas. Para configurar el laboratorio de Woodgrove

Bank, se utilizaron las secuencias de comandos de configuración facilitadas con la solución. En el escenario de Woodgrove

Bank, se llevaron a cabo los pasos siguientes:

Copia de las secuencias de comandos de configuración

Instalación de la consola de administración de directivas de grupo

• Consola de administración de directivas de grupo (GPMC). Se trata de un complemento para la administración de

directivas de grupo que simplifica la administración de directivas de grupo en la organización. Puede descargarse de la

página Consola de administración de directiva de grupo con Service Pack 1, en el Centro de descarga de Microsoft:

www.microsoft.com/downloads/details.aspx?

FamilyId=0A6D4C24-8CBD-4B35-9272-DD3CBFC81887&displaylang=en.

• Consola de administración de directivas de seguridad IP. Esta herramienta permite al administrador crear, ver o

modificar directivas IPsec, acciones de filtrado y listas de filtros. Aunque es un complemento de Microsoft Management

Console (MMC), no aparece en el listado predeterminado de Herramientas administrativas del equipo. Para utilizar esta

herramienta, ejecute mmc.exe en un símbolo del sistema y agregue el complemento manualmente.

• Consola de administración de monitor de seguridad IP. Esta herramienta permite al administrador ver las diversas

reglas aplicadas a un equipo y las asociaciones de seguridad (SA) de modo principal y de modo rápido que se le han

asociado. Al igual que la Consola de administración de seguridad IP, esta herramienta no aparece de forma

predeterminada en el menú Herramientas administrativas, sino que debe cargarse manualmente con la ayuda del

programa mmc.exe.

1. Inicie la sesión en IPS-CH-DC-01 como administrador del dominio para América.

2. Cree una carpeta llamada C:\IPsec Scripts.

3. Copie los archivos de secuencia de comandos de la carpeta Herramientas y plantillas de esta solución en la

carpeta C:\IPsec Scripts.

La GPMC se utiliza para instalar y configurar los GPO que utiliza la solución. La GPMC sólo debe instalarse en IPS-CH-DC-

01; su instalación en otros servidores es opcional.

Nota: la instalación de la GPMC modifica ligeramente la interfaz de usuario de Active Directory Users and Computers MMC

para el equipo en el que se instala. Para obtener más información acerca de la utilización de la GPMC y descargar el archivo

de instalación, consulte la página Consola de administración de directiva de grupo con Service Pack 1 del Centro de

descarga de Microsoft en www.microsoft.com/downloads/details.aspx?

familyid=0a6d4c24-8cbd-4b35-9272-dd3cbfc81887&displaylang=en.

Instalación de la consola de administración de directivas de grupo

Implementación de listas de filtros IPsec y acciones de filtrado La creación de las listas de filtros IPsec y las acciones de filtrado se lleva a cabo utilizando la herramienta Netsh o el

complemento Administrador de las directivas de seguridad de IP para MMC.

Aunque el complemento Administrador de las directivas de seguridad de IP para MMC proporciona una interfaz gráfica para

IPsec, muchos administradores consideran más sencillo mantener y actualizar secuencias de comandos que utilicen la

herramienta de línea de comando Netsh. Además, resulta sencillo transportar las secuencias de comandos a través de

dominios o bosques. En esta solución, las secuencias de comandos Netsh se utilizaron para implementar las listas de filtros

IPsec y las acciones de filtrado.

Nota: contraste las secuencias de comandos con los almacenes de directivas locales de un equipo con

Windows Server 2003 definiendo el enfoque del almacén como local. Tras depurar las secuencias de comandos, modifique

la configuración del almacén para centrarse en el dominio para la importación final.

Para crear listas de filtros IPsec y acciones de filtrado

Implementación de las directivas IPsec Tras crear las listas de filtros y las acciones de filtrado, pueden ejecutarse las secuencias de comandos que crean las

directivas IPsec.

Nota: las directivas creadas mediante las secuencias de comandos se configuran con un intervalo de sondeo de cinco

minutos con fines de prueba.

En la tabla siguiente aparece el nombre de la directiva y el archivo de comandos que crea la directiva. El nombre del

1. Descargue el archivo de instalación Gpmc.msi del Centro de descarga de Microsoft.

2. Asegúrese de que ha iniciado la sesión como miembro del grupo de administradores de dominio en IPS-CH-DC-01.

3. Desde el Explorador de Windows, haga doble clic en el archivo de instalación Gpmc.msi.

4. Siga las indicaciones del asistente de configuración para instalar la GPMC; acepte todos los valores predeterminados.

Importante: debe instalar la GPMC en la carpeta Archivos de programa, no importa en qué controlador se

encuentre la carpeta. También deberá utilizar la carpeta de instalación predeterminada (GPMC) dentro de la carpeta

Archivos de programa. Si cambia el nombre de la carpeta, deberá actualizarlo en el archivo Constants.txt. Los últimos procedimientos utilizan algunas reglas instaladas por la GPMC y, si la instala en otro lugar, quizás no

encuentren las herramientas de la GPMC hasta que se actualice este archivo.

1. Inicie la sesión en el dominio IPS-CH-DC-01 como administrador del dominio para América.

2. Abra un símbolo del sistema, escriba

netsh –f "c:\IPsec Scripts\PacketFilters.txt" y presione Entrar.

Nota: si con la secuencia de comandos se crean listas de filtros vacías, aparece el mensaje de error siguiente en la

línea de comandos: ERR IPsec [05022]: No hay filtros en la lista de filtros denominada "<Nombre de lista de filtros>." Puede ignorar este mensaje sin problemas.

3. Inicie el complemento de MMC de administración de directivas de seguridad IP y confirme que se han creado las

listas de filtros y las acciones de filtrado en Active Directory.

Nota: para contrastarlo con la directiva local, asegúrese de que la secuencia de comandos que se ejecuta en el paso

2 se configura con set store location=local. En el paso 3, compruebe que el complemento de MMC está centrado

en el equipo local y no en el dominio.

archivo de comandos se utilizará en el paso 2 del procedimiento siguiente.

Tabla C.1: directiva IPsec para asignación de archivos de comandos

Para crear las directivas IPsec

Creación de GPO para directivas IPsec En Woodgrove Bank se crearon cuatro GPO para directivas IPsec. Cada uno de estos GPO se denominó igual que la

directiva IPsec asignada en el GPO. Hasta que las directivas no se vinculen en Active Directory, estos GPO no suministrarán

ninguna directiva IPsec al entorno.

En la tabla siguiente aparece el nombre de cada GPO y el nombre de la directiva IPsec que suministra dicho GPO.

Tabla C.2: GPO de Woodgrove Bank para asignación de IPsec

Nombre de directiva IPsec Nombre de archivo de comandos

IPSEC – Directiva IPsec de grupo de aislamiento Límite

(1.0.041001.1600)

BoundaryIGPolicy.txt

IPSEC – Directiva IPsec de grupo de aislamiento Sin

reserva (1.0.041001.1600)

NoFallbackIGPolicy.txt

IPSEC – Directiva IPsec de dominio de aislamiento

(1.0.041001.1600)

IsolationDomainPolicy.txt

IPSEC – Directiva IPsec de grupo de aislamiento Cifrado

(1.0.041001.1600)

EncryptionIGPolicy.txt


2. Abra un símbolo del sistema. Para cada directiva, escriba

netsh –f "c:\IPsec Scripts\<Script Filename>" and then press ENTER.

Nota: si una lista de filtros está vacía, Netsh mostrará un error que empezará por "ERR IPsec [05022]..." Este

mensaje puede pasarse por alto sin problemas.

3. Inicie el complemento de MMC de administración de directivas de seguridad IP y confirme que se han creado las

directivas IP en Active Directory.

Nota: para contrastarlo con la directiva local, asegúrese de que la secuencia de comandos que se ejecuta en el paso

2 se configura con set store location=local. En el paso 3, compruebe que el complemento de MMC está centrado

en el equipo local y no en el dominio.

Nombre de GPO Nombre de directiva IPsec

IPSEC – Directiva de grupo de aislamiento Límite IPSEC – Directiva IPsec de grupo de aislamiento Límite

(1.0.041001.1600)

IPSEC – Directiva de grupo de aislamiento Sin reserva IPSEC – Directiva IPsec de grupo de aislamiento Sin

reserva (1.0.041001.1600)

IPSEC – Directiva de dominio de aislamiento IPSEC – Directiva IPsec de dominio de aislamiento

(1.0.041001.1600)

IPSEC – Directiva de grupo de aislamiento Cifrado IPSEC – Directiva IPsec de grupo de aislamiento Cifrado

(1.0.041001.1600)

Para crear los GPO para directivas IPsec

Configuración de la seguridad en las directivas de grupo IPsec En Woodgrove Bank se utilizaron ACL de seguridad en el GPO que contiene las directivas IPsec para controlar la aplicación

de las directivas. La principal ventaja es que todas las directivas pudieron vincularse en el nivel de dominio, en lugar de

utilizar múltiples unidades organizativas (OU), y ello ayudó a simplificar la administración de la aplicación de directivas.

Además, se implementó una ejecución por fases sin desplazar ninguna cuenta de equipo a OU especiales. Por el contrario,

las cuentas de equipo que participaron en la prueba piloto se agregaron a los grupos apropiados. El inconveniente es que la

organización debe tener buenas herramientas de administración de grupos.

Creación de grupos Se creó un conjunto de grupos para controlar el modo en que se aplicaba la directiva en la organización Woodgrove Bank.

Puesto que el bosque de Woodgrove Bank se encontraba en modo Nativo, se utilizaron grupos universales para controlar la

directiva en todos los dominios.

Tabla C.3: Grupos universales de Woodgrove Bank

Para crear los grupos universales de Woodgrove Bank


2. Inicie la GPMC.

3. Expanda el bosque: corp.woodgrovebank.com, luego el dominio y, a continuación,

americas.corp.woodgrovebank.com.

4. Haga clic con el botón secundario en Objetos de directiva de grupo y haga clic en Nuevo.

5. En el cuadro de texto Nombre, escriba un <nombre de GPO> y haga clic en Aceptar.

6. Haga clic con el botón secundario en <nombre de GPO> y, a continuación, haga clic en Editar.

7. Expanda Configuración del equipo, Configuración de Windows, Configuración de seguridad y, a continuación, haga clic en Directivas de seguridad IP en Active Directory (corp.woodgrovebank.com).

8. En el panel derecho, haga clic con el botón secundario en <nombre de directiva IPsec> y, a continuación, en

Asignar.

9. Asegúrese de que se ha asignado el <nombre de la directiva IPsec> y cierre el editor de GPO.

10. Repita los pasos 4-9 para cada combinación de <nombre de GPO> y <nombre de directiva IPsec> de la tabla

anterior.

Nombre de grupo Descripción

CG_NoIPsec_computers Un grupo universal de cuentas de equipos que no participan en el

entorno IPsec, normalmente cuentas de equipos de infraestructura.

CG_BoundaryIG_computers Un grupo universal de cuentas de equipos que pueden comunicarse

con sistemas que no son de confianza.

CG_ EncryptionIG_computers Un grupo universal de cuentas de equipos que se encuentran en el

grupo de aislamiento Cifrado.

CG_ IsolationDomain_computers Un grupo universal de cuentas de equipos que forman parte del

dominio de aislamiento.

CG_NoFallbackIG_computers Un grupo universal de cuentas de equipos que forman parte del

grupo de aislamiento Sin reserva.

1. Abra Usuarios y equipos de Active Directory en IPS-CH-DC-01.

2. Haga clic con el botón secundario en el contenedor Usuarios, haga clic en Nuevo y, a continuación, haga clic en

Grupo.

3. En el cuadro de texto Nombre de grupo, escriba el primer <Nombre de grupo> de la tabla anterior.

4. Seleccione Grupo de seguridad universal y, a continuación, Aceptar.

5. Repita los pasos 2 y 4 para cada grupo.

6. Haga clic con el botón secundario en el primer <Nombre de grupo> y, a continuación, haga clic en Propiedades.

7. En el cuadro de texto Descripción, escriba la primera <Descripción> de la tabla anterior.

8. Haga clic en Aceptar.

9. Repita los pasos 6-8 para cada uno de los grupos enumerados en la tabla anterior.

Configuración de la seguridad de GPO Los grupos se utilizan para controlar qué equipos obtienen qué directivas de participación IPsec. Es preciso configurar las

ACL de seguridad en cada una de las directivas IPsec recién creadas para configurar los grupos apropiados. En la tabla

siguiente se muestran las ACL que se agregan a cada GPO.

Nota: si una organización delega derechos administrativos para las directivas IPsec usuarios ajenos al grupo de

Administradores del dominio, el grupo administrativo delegado necesitará Control total en el contenedor Seguridad IP de

Active Directory.

Tabla C.4: Permisos de grupo de directiva para Woodgrove Bank

Nota: la directiva del grupo de aislamiento Límite está configurada para permitir que el grupo de Equipos del dominio

aplique la directiva para el proceso inicial de constitución colocando el grupo de Equipos del dominio en el grupo

CG_BoundaryIG_computers. Tras desplazar todos los equipos a sus grupos respectivos, los equipos del dominio se

eliminarán del grupo CG_BoundaryIG_computers.

Para definir los permisos de grupo en el GPO

Nombre de GPO Nombre de cuenta o grupo Derechos asignados

IPSEC – Directiva de grupo de

aislamiento Límite

CG_NoIPsec_computers Denegar aplicación de directiva de

grupo

CG_BoundaryIG_computers Permitir lectura y aplicación de

directiva de grupo


aislamiento Sin reserva


grupo

CG_NoFallbackIG_computers Permitir lectura y aplicación de

directiva de grupo

IPSEC – Directiva de dominio de

aislamiento


grupo

IPSEC – Directiva de dominio de

aislamiento

CG_ IsolationDomain_computers Permitir lectura y aplicación de

directiva de grupo


aislamiento Cifrado


grupo

CG_ EncryptionIG_computers Permitir lectura y aplicación de

directiva de grupo

1. Inicie la GPMC en IPS-CH-DC-01 como administrador del dominio para América.

2. Expanda el bosque: corp.woodgrovebank.com, el dominio, americas.corp.woodgrovebank.com y, a

Cómo impedir que los equipos del grupo de aislamiento Límite puedan establecer conexiones con equipos del grupo de aislamiento Cifrado En Woodgrove Bank era un requisito que ningún equipo del grupo de aislamiento Límite pudiera establecer comunicaciones

con los equipos del grupo de aislamiento Cifrado. Para implementar esta restricción, se creó el grupo

DNAG_EncryptionIG_computers para que sus miembros no pudieran tener acceso a los equipos del grupo de aislamiento

Cifrado. La directiva del grupo de aislamiento Cifrado se configuró de forma que al grupo DNAG_EncryptionIG_computers

se le concedió el derecho "Denegar acceso desde la red a este equipo", y el grupo CG_BoundaryIG_computers se colocó en

el grupo DNAG_EncryptionIG_computers. Esta configuración se consiguió modificando el GPO IPSEC – Directiva de grupo

de aislamiento Cifrado.

Para crear el grupo DNAG_EncryptionIG_computers

continuación, Objetos de directiva de grupo.

3. Haga clic en el primer <nombre de GPO> de la tabla anterior y, a continuación, en la ficha Delegación.

4. Haga clic en el botón Avanzadas.

5. En el cuadro de desplazamiento Nombre de grupo o usuario, haga clic en Usuarios autenticados y desactive

la casilla Derecho de Permitir Aplicar directiva de grupos.

6. Haga clic en el botón Agregar.

7. En el cuadro de texto Escriba los nombres de objeto que desea seleccionar, especifique los <Nombres de

grupo o cuenta> de la tabla anterior, separados por punto y coma, y haga clic en Aceptar.

8. En el cuadro de texto Nombres de grupos o usuarios, seleccione <Nombre de grupo o cuenta>, y especifique

los <Derechos asignados> en las casillas de verificación Permisos.

9. Repita el paso 8 para cada <Nombre de grupo o cuenta> asociado con el <Nombre de directiva>.


11. Si el derecho que se asigna es un derecho de Denegar, haga clic en Sí cuando aparezca el cuadro de mensaje; de

lo contrario, siga con el paso 12.

12. Repita los pasos 3-11 para cada <Nombre de directiva>.

Nota: compruebe que a la entrada Usuarios autenticados se le han otorgado sólo permisos de Lectura en la ACL de

seguridad para cada directiva. Si también se le han otorgado permisos de Aplicar, la directiva se implementará en

todos los equipos.



Grupo.

3. En el cuadro de texto Nombre de grupo, escriba DNAG_EncryptionIG_computers.

4. Seleccione el grupo de seguridad Dominio local y, a continuación, haga clic en Aceptar.

5. Haga clic con el botón secundario en DNAG_EncryptionIG_computers y haga clic en Propiedades.

6. En el cuadro de texto Descripción, escriba Utilizado para denegar el acceso al grupo de aislamiento Cifrado.


Para configurar IPSEC – Directiva de grupo de aislamiento Cifrado para bloquear a los miembros del grupo DNAG_EncryptionIG_computers

1. Inicie la GPMC en IPS-CH-DC-01 como administrador del dominio para América.


continuación, Objetos de directiva de grupo.

Haga clic con el botón secundario en IPSEC – Directiva del grupo de aislamiento Cifrado y, a continuación,

3. haga clic en Editar.

4. Expanda Configuración del equipo, Configuración de Windows, Configuración de seguridad, Directivas locales y, a continuación, Asignación de derechos de usuario.

5. Haga clic con el botón secundario en Denegar el acceso desde la red a este equipo y, a continuación, haga clic

en Propiedades.

6. Active la casilla de verificación Definir esta configuración de directiva.

7. Haga clic en el botón Agregar usuario o grupo.

8. Haga clic en el botón Examinar.

9. En el cuadro de texto, escriba DNAG_EncryptionIG_computers y, a continuación, haga clic en Aceptar.

10. Vuelva a hacer clic en OK.

11. Haga clic en Aceptar para cerrar la página de Propiedades.

12. Cierre el Editor de objetos de directiva de grupo.

13. Cierre la GPMC.

Para rellenar el grupo DNAG_EncryptionIG_computers con el grupo CG_BoundaryIG_computers

Cómo agregar equipos del dominio al grupo Límite En la implementación inicial, el grupo de aislamiento Límite se utiliza como el grupo de aislamiento predeterminado para los

clientes basados en IPsec de la organización. El grupo Equipos del dominio se agrega al grupo CG_BoundaryIG_computers

para implementar este plan.

Para agregar equipos del dominio al grupo CG_BoundaryIG_computers

1. Inicie Active Directory Users and Computers en IPS-CH-DC-01 como administrador del dominio para América.

2. Expanda el dominio y haga clic en Usuarios.

3. En el panel de la derecha, haga clic con el botón secundario en el grupo de seguridad

DNAG_EncryptionIG_computers y, a continuación, haga clic en Propiedades.

4. Haga clic en la ficha Miembros y, a continuación, en Agregar.

5. En el cuadro Escriba los nombres de objeto que desea seleccionar, escriba CG_BoundaryIG_computers y haga

clic en Aceptar.




3. En el panel de la derecha, haga clic con el botón secundario en CG_BoundaryIG_computers y, a continuación,

haga clic en Propiedades.


5. En el cuadro Escriba los nombres de objeto que desea seleccionar, escriba Equipos del dominio y haga clic en

Aceptar.


Nota: debido a los retrasos en la replicación y la frecuencia de sondeo de las directivas IPsec, habrá un retraso

entre el momento en que se agrega el grupo Equipos del dominio al grupo CG_BoundaryIG_computers y el

momento en que se aplica la directiva del grupo de aislamiento Límite. El equipo puede reiniciarse en este momento

si es necesario aplicar la directiva IPsec inmediatamente. De lo contrario, la directiva se aplicará cuando se agote el

tiempo del vale de sesión y se actualice con la nueva información de pertenencia a grupo local.

Cómo agregar servidores de infraestructura al grupo CG_NoIPSec_Computers Para garantizar que los servidores de infraestructura no reciben una directiva que pueda interrumpir la comunicación (por

ejemplo, si cambia la dirección IP de un servidor), se agregaron las siguientes cuentas de equipo de servidores de

infraestructura al grupo de seguridad CG_NoIPsec_computers.

Para agregar servidores de infraestructura al grupo CG_NoIPsec_computers.

Cómo vincular directivas IPsec y GPO en un entorno de dominio Antes de poder distribuir las directivas IPsec, deben vincularse con ubicaciones del entorno del dominio. Puesto que en

Woodgrove Bank se decidió administrar los GPO utilizando grupos de seguridad, la estructura de OU no es demasiado

importante para la distribución de directivas. Sin embargo, si existen OU que bloquean la aplicación de directivas, los GPO

para IPsec deberían vincularse directamente con las OU para que funcione la aplicación de directivas. Otra alternativa sería

habilitar la obligatoriedad de la directiva en los GPO de la directiva IPsec del dominio.

Para vincular las directivas IPsec con los GPO existentes


Utilización del método de constitución de directivas para habilitar la directiva

• IPS-RT-DC-01

• IPS-CH-DC-01



3. En el panel de la derecha, haga clic con el botón secundario en CG_NoIPsec_computers y, a continuación, haga

clic en Propiedades.


5. Haga clic en el botón Tipos de objeto, seleccione la casilla de verificación Equipos y haga clic en Aceptar.

6. En el cuadro de texto Escriba los nombres de objeto que desea seleccionar, especifique los nombres de los

equipos de la lista anterior, separados por punto y coma, y haga clic en Aceptar.


1. Inicie la GPMC como administrador del dominio.

2. Expanda el dominio.

3. Haga clic con el botón secundario en el nombre del dominio y, a continuación, haga clic en Vincular un GPO existente.

4. En la lista Objetos de directiva de grupo, seleccione todas las directivas con el nombre IPSEC y, a continuación,

haga clic en Aceptar.

5. En el panel derecho, utilice las flechas para ordenar las directivas tal como se muestra en la tabla siguiente.

Tabla C.5: Orden de vinculación de objetos de directiva de grupo en el nivel de dominio

Orden de vinculación Nombre de objeto de directiva de grupo

1 IPSEC – Directiva de grupo de aislamiento Cifrado

2 IPSEC – Directiva de grupo de aislamiento Sin reserva

3 IPSEC – Directiva de dominio de aislamiento

4 IPSEC – Directiva de grupo de aislamiento Límite

5 Directiva del dominio predeterminada

IPsec de línea de base La primera tarea en la ejecución de la infraestructura IPsec consiste en implementar la directiva de grupo de aislamiento

Límite utilizando el método de implementación de constitución de directiva. Aunque el grupo de aislamiento Límite no

pretende ser el dominio de aislamiento para todos los equipos del entorno de Woodgrove Bank, está configurado de forma

que se aplique a todos los equipos en la primera fase de la implementación.

Puesto que la directiva de grupo de aislamiento Límite permite y acepta la comunicación con equipos ajenos a IPsec, se

consideró la directiva más segura para la implementación gradual en el entorno. Inicialmente, la directiva se implementó

sin definir subredes seguras. De este modo, los administradores de Woodgrove Bank pudieron corregir las directivas IPsec

locales existentes. Seguidamente se agregaron subredes una a una y se probaron para comprobar que la negociación IPsec

transcurría correctamente.

Cómo agregar subredes a la lista de filtros de subredes seguras Tras aplicar la directiva de grupo de aislamiento Límite vacía a los equipos de la organización y resolver todo conflicto con

las directivas IPsec locales existentes, los administradores de Woodgrove Bank empezaron a constituir la directiva.

La constitución de la directiva consistía en identificar las subredes organizativas que debían protegerse. Las subredes

identificadas se agregaron a la directiva una a una. Tras agregar la primera entrada a la lista de filtros, la lista de filtros se

agrega a la directiva.

Cuando se hubieron agregado todas las subredes, se dejó tiempo para aplicar la directiva a los equipos de la organización y

resolver los conflictos. Este proceso se repitió hasta implementar toda la lista de filtros de subredes seguras.

En la tabla siguiente aparecen las subredes seguras identificadas que se utilizaron en el laboratorio de Woodgrove Bank

para reflejar fielmente su red de producción:

Tabla C.6: Lista de subredes seguras para el laboratorio de pruebas de Woodgrove Bank

Para crear la primera entrada en la lista de filtros de subredes seguras

Subred Máscara de red Descripción

192.168.1.0 255.255.255.0 Subred LAN organizativa 192.168.1.0/24

172.10.1.0 255.255.255.0 Subred LAN organizativa 172.10.1.0/24


2. Inicie el complemento de MMC para la administración de la directiva de seguridad IP.

3. Haga clic con el botón secundario en Directivas de seguridad IP en Active Directory y haga clic en

Administrar listas de filtros IP y acciones de filtrado.

4. En la ficha Administrar listas de filtros IP, haga clic en IPSEC – Subredes seguras de la organización y, a continuación, en Editar.

5. Asegúrese de que no está marcada la casilla de verificación Usar Asistente para agregar.

6. Haga clic en Agregar.

7. En la ficha Direcciones, en la lista desplegable Dirección de origen, haga clic en Cualquier dirección IP.

8. En la lista desplegable Dirección de destino, haga clic en Una subred IP específica y, a continuación, rellene

las casillas Dirección IP y máscara de subred utilizando la información de la tabla anterior.

9. Compruebe que se ha seleccionado la opción Reflejado.

10. En la ficha Descripción, escriba la descripción correspondiente de la tabla anterior.

11. Haga clic en Aceptar para cerrar el cuadro de diálogo Propiedades de filtros IP.

12. Haga clic en Aceptar para cerrar el cuadro de diálogo Lista de filtros IP.

13. Haga clic en Cerrar para cerrar el cuadro de diálogo Administrar listas de filtros IP y acciones de filtrado.

Para agregar la lista de filtros de subredes seguras a la directiva de grupo de aislamiento Límite



3. Haga clic con el botón secundario en IPSEC – Directiva IPsec de grupo de aislamiento Límite (1.0.041001.1600) y, a continuación, haga clic en Propiedades.

4. En la ficha Reglas, asegúrese de que la casilla de verificación Usar Asistente para agregar no está seleccionada

y haga clic en Agregar.

5. En la ficha Lista de filtros IP, haga clic en IPSEC – Subredes seguras de la organización.

6. En la ficha Acción de filtrado, haga clic en IPSEC – Modo de solicitud (Aceptar entrante, Permitir saliente).

7. En la ficha Tipo de conexión, compruebe que se ha seleccionado la casilla de verificación Todas las conexiones de red.

8. En la ficha Configuración de túnel, compruebe que se ha seleccionado la casilla Esta regla no especifica un túnel IPsec.

9. En la ficha Métodos de autenticación, compruebe que el método Kerberos es el único método listado.

10. Haga clic en Aceptar para cerrar el cuadro de diálogo Editar propiedades de reglas.

11. Haga clic en Aceptar para cerrar el cuadro de diálogo IPSEC – Propiedades de directiva IPsec de grupo de aislamiento Límite (1.0.041001.1600).

12. Deje que se aplique la directiva y ejecute los pasos de verificación que aparecen en la sección "Verificar la

implementación básica", incluida más adelante en este apéndice.

Para agregar las subredes restantes a la lista de filtros de subredes seguras



3. Haga clic con el botón secundario en Directivas de seguridad IP en Active Directory y haga clic en

Administrar listas de filtros IP y acciones de filtrado.

4. En la ficha Administrar listas de filtros IP, haga clic en IPSEC – Redes seguras de la organización y, a

continuación, en Editar.

5. Asegúrese de que no está marcada la casilla de verificación Usar Asistente para agregar.

6. Haga clic en Agregar.

7. En la ficha Direcciones, en la lista desplegable Dirección de origen, haga clic en Cualquier dirección IP.

8. En la lista desplegable Dirección de destino, haga clic en Una subred IP específica y, a continuación, rellene

las casillas Dirección IP y máscara de subred utilizando la información de la tabla anterior.

9. Compruebe que se ha seleccionado la opción Reflejado.

10. En la ficha Descripción, escriba la descripción correspondiente de la tabla anterior.

11. Haga clic en Aceptar para cerrar el cuadro de diálogo Propiedades de filtros IP.

12. Haga clic en Aceptar para cerrar el cuadro de diálogo Lista de filtros IP.

13. Haga clic en Cerrar para cerrar el cuadro de diálogo Administrar listas de filtros IP y acciones de filtrado.

14. Deje que se aplique la directiva y ejecute los pasos de verificación que aparecen en la sección "Verificar la

Verificación de la implementación básica Tras crear los objetos de directiva e implementarlos en Active Directory en un estado inactivo, deberá iniciarse un proceso

de verificación antes de configurar la directiva base para aplicar el grupo de aislamiento Base a todos los equipos de la

organización. La verificación puede ayudar a minimizar cualquier interrupción potencial para los hosts participantes en caso

de error en la configuración base.

Pruebas de implementación funcionales La prueba más sencilla que puede llevarse a cabo para confirmar la funcionalidad de IPsec es intentar la ejecución de los

comandos net view para los equipos de la red organizativa segura y para los equipos que no se encuentran en las

subredes de la red organizativa segura.

Los equipos de una subred segura deberían negociar una SA por hardware que esté visible en el complemento de MMC

Monitor de seguridad IP. Deberá crearse una SA por software entre un participante IPsec y un equipo que no esté en una

subred de la red organizativa segura.

Para comprobar la funcionalidad de las directivas IPsec que se aplican


Secuencias y herramientas de prueba para las pruebas de funcionalidad Durante las pruebas de funcionalidad, deben supervisarse diversos valores de configuración. Aunque la mayoría de estos

valores pueden supervisarse con herramientas estándar, hay dos tareas que requieren herramientas con las que el

administrador estándar podría no estar familiarizado. Estas tareas implican la identificación de la directiva IPsec

actualmente activa en el equipo y la identificación del tipo de SA que se negoció.

Comprobación de la aplicación de la directiva IPsec La identificación de la directiva IPsec activa en un equipo supone un reto, ya que no existe ningún método consistente para

todas las plataformas. En algunos casos, se puede identificar la directiva IPsec a través de la interfaz de usuario gráfica

(GUI), mientras que otras situaciones requieren una herramienta de línea de comandos que puede o no instalarse con el

sistema operativo.

Windows 2000 Para equipos con Windows 2000 Server, el administrador puede identificar la directiva IPsec aplicada actualmente

utilizando el comando Netdiag. Para recuperar la información y nombre de la directiva, el administrador inicia la sesión en

el equipo, inicia un símbolo del sistema y escribe lo siguiente:

Netdiag /test:IPsec

Ejemplo de salida de este comando:

implementación básica", incluida más adelante en este apéndice.

15. Repita los pasos 2-14 para cada subred.

1. Desde un equipo de subred segura, abra un símbolo del sistema y escriba

net view \\<nombre de equipo> y presione Entrar. Como <nombre de equipo>, utilice los nombres de otros equipos

de subred segura y de equipos que no formen parte de subredes seguras.

2. Inicie el complemento de MMC Monitor de seguridad IP en el equipo que inició los comandos net view.

3. Expanda Monitor de seguridad IP, <nombre de equipo>, Modo rápido y, a continuación, haga clic en

Asociaciones de seguridad.

4. Confirme lo siguiente para cada equipo para el que se haya iniciado un comando net view:

• Los participantes de la red organizativa segura negociaron una SA por hardware. La columna Integridad ESPno debería establecerse en <Ninguna>.

• Los no participantes negociaron una SA por software. La columna Integridad ESP debería establecerse en

<Ninguna>.

IP Security test . . . . . . . . . : Passed Directory IPsec Policy Active: ' IPSEC – Isolation Domain IPsec Policy (1.0.041001.1600)'

Windows XP Para equipos con Windows XP, el administrador puede identificar la directiva IPsec aplicada actualmente utilizando la

herramienta de línea de comandos IPseccmd.exe. Para recuperar la información y nombre de la directiva, el

administrador inicia la sesión en el equipo, inicia un símbolo del sistema y escribe lo siguiente:

IPseccmd show gpo


Active Directory Policy ----------------------- Directory Policy Name: IPSEC – Isolation Domain IPsec Policy (1.0.041001.1600) Description: Isolation Domain Policy (Allow Outbound) Last Change: Fri Sep 03 15:20:29 2004 Group Policy Object: IPSEC – Isolation Domain Policy Organizational Unit: LDAP://DC=americas,DC=woodgrovebank,DC=com Policy Path: LDAP://CN=IPsecPolicy{efa2185d-1a1d-40f6- b977-314f152643ca},CN=IP Security,CN=System,DC=americas,DC=woodgrovebank,DC=com

Windows Server 2003 Para equipos con Windows Server 2003, el administrador puede identificar la directiva IPsec aplicada actualmente

utilizando la herramienta de línea de comandos Netsh. Para recuperar la información y nombre de la directiva, el

administrador inicia la sesión en el equipo, inicia un símbolo del sistema y escribe lo siguiente:

netsh IPsec static show gpoassignedpolicy


Source Machine : Local Computer GPO for <IPS-TZ-W2K-02> GPO Name : IPSEC – Isolation Domain Policy Local IPsec Policy Name : NONE AD IPsec Policy Name : IPSEC – Isolation Domain IPsec Policy (1.0.041001.1600) AD Policy DN : LDAP://CN=IPsecPolicy {efa2185d-1a1d-40f6-b977-314f152643ca},CN=IP Security,CN=System,DC=americas,DC=woodgrovebank,DC=com Local IPsec Policy Assigned: Yes, but AD Policy is Overriding

Utilización del Monitor de seguridad IP para determinar el tipo de SA El complemento de MMC Monitor de seguridad IP se utiliza para examinar las SA de modo principal y modo rápido, los

filtros asociados, las directivas de intercambio de claves de Internet (IKE) y las directivas de negociación. Durante la

resolución de problemas, puede utilizarse el complemento de MMC Monitor de seguridad IP para determinar qué tipo de SA

se ha negociado entre principales. Mediante la inspección de las SA bajo el árbol Modo rápido, un administrador del

sistema puede identificar principales IPsec para el equipo en el que se está ejecutando la herramienta.

Cuando un equipo negocia una conexión IPsec, se crea una SA por hardware. Esta SA tendrá un valor distinto a <Ninguno>

en uno o varios de los campos Autenticación, Confidencialidad ESP o Integridad ESP. Por ejemplo, ESP con SHA1 y

sin autenticación tendría HMAC-SHA1 bajo el campo Integridad ESP y <Ninguno> para los otros dos campos. Si la SA por

hardware también incluye la negociación del cifrado, el campo Confidencial ESP incluirá DES o bien 3DES.

Una SA por software tendrá <Ninguno> bajo los tres campos, indicando que el contestador efectuó un retroceso a texto no

cifrado.


Habilitación de la lista de filtros de subredes seguras de la organización en las directivas restantes Antes de habilitar las directivas IPsec que quedan, deberá agregarse a cada directiva la lista de filtros de la red organizativa

segura. Esta tarea es necesaria porque en el momento de crear la directiva, la lista de filtros de la red organizativa segura

estaba vacía y no pudo agregarse a la directiva.

Anteriormente, en este mismo apéndice, se implementó la lista de filtros de la red organizativa segura y ahora puede

agregarse a las directivas restantes. La tabla siguiente muestra los nombres de directiva y la acción de filtrado asociada

que se ha asignado a la lista de filtros de la red organizativa segura.

Tabla C.7: Asignación de directiva y acciones de filtrado

Para agregar la lista de filtros de la red organizativa segura a las directivas IPsec


Cómo habilitar la configuración del grupo de acceso de red Los grupos de acceso de red se utilizan para que el contestador IPsec acepte sólo conexiones de un grupo seleccionado de

equipos iniciadores y usuarios identificados. Por ejemplo, mediante grupos de acceso de red, los administradores pueden

configurar los equipos cliente ejecutivos de forma que sólo acepten el tráfico entrante iniciado por los equipos ejecutivos

Nombre de la directiva Acción de filtrado

IPSEC – Directiva IPsec de grupo de aislamiento Sin

reserva (1.0.041001.1600)

IPsec – Modo de solicitud completo (Ignorar entrante, No

permitir saliente)

IPSEC – Directiva IPsec de dominio de aislamiento

(1.0.041001.1600)

IPsec – Modo de solicitud seguro (Ignorar entrante,

Permitir saliente)

IPSEC – Directiva IPsec de grupo de aislamiento Cifrado

(1.0.041001.1600)

IPSEC – Solicitar modo de cifrado (Ignorar entrante, No

permitir saliente)



3. Haga clic con el botón secundario en <Nombre de directiva> y, a continuación, haga clic en Propiedades.

4. En la ficha Reglas, haga clic en Agregar.

5. En la ficha Lista de filtros IP, haga clic en IPSEC – Subredes seguras de la organización.

6. En la ficha Acción de filtrado, haga clic en la <Acción de filtrado> correspondiente de la tabla C.7.

7. En la ficha Tipo de conexión, compruebe que se ha seleccionado la casilla de verificación Todas las conexiones de red.

8. En la ficha Configuración de túnel, compruebe que se ha seleccionado la casilla Esta regla no especifica un túnel IPsec.

9. En la ficha Métodos de autenticación, compruebe que el método Kerberos es el único método listado.

10. Haga clic en Aceptar para cerrar el cuadro de diálogo Editar propiedades de reglas.

11. Haga clic en Aceptar para cerrar el cuadro de diálogo Propiedades de <Nombre de directiva>.

12. Repita los pasos 3-11 para cada directiva de la tabla anterior.

pero mantengan su habilidad de iniciar tráfico dirigido a otros recursos.

Nota: debe definir esta opción con cuidado, pues los equipos que necesitan iniciar una comunicación con equipos del grupo

de acceso de red (por ejemplo, sistemas de supervisión que emplean sondeo) darán error si no están incluidos en el grupo

de acceso de red.

Implementación de grupos de acceso de red Los diseñadores de Woodgrove Bank decidieron implementar los grupos de acceso de red utilizando grupos locales de

dominio. Estos grupos se utilizaron para definir los iniciadores. Otorgaron al grupo de iniciadores derecho de "Tener acceso

a este equipo desde la red" para los contestadores y denegaron este derecho al grupo de Usuarios autenticados. En

Woodgrove Bank se implementó el grupo de acceso de red utilizando grupos locales de dominio porque estos grupos se

guardan en el vale de sesión, que se actualiza cada 60 minutos. Si se hubieran utilizado grupos globales o universales, el

grupo de acceso de red se habría guardado en el vale de concesión de vales (TGT), que tiene una duración de 8 horas.

Utilizando grupos locales de dominio, los cambios entran en vigor mucho antes.

Nota: aunque esta solución utiliza grupos locales de dominio con el derecho de "Tener acceso a este equipo desde la red"

para implementar el grupo de acceso de red, podrían utilizarse claves previamente compartidas o certificados para

implementar grupos de acceso de red individuales.

Los diseñadores de Woodgrove Bank identificaron un grupo de red, que se utiliza para controlar el acceso en el grupo de

aislamiento Cifrado.

Creación de grupos de seguridad para controlar el acceso Tabla C.8: Grupos de seguridad del grupo de acceso de red de Woodgrove Bank

Para crear los grupos que aparecen en la tabla anterior

Nombre de grupo Descripción

ANAG _EncryptedResourceAccess_computers Un grupo local de dominio que se utiliza para limitar

los equipos que pueden acceder a recursos cifrados

ANAG _EncryptedResourceAccess_users Un grupo local de dominio que se utiliza para limitar

los usuarios que pueden iniciar una comunicación con

el recurso cifrado restringido



Grupo.

3. En el cuadro de texto Nombre de grupo, escriba el <Nombre de grupo> de la tabla anterior.

4. En Ámbito de grupo, seleccione Dominio local y haga clic en Aceptar.

5. Repita los pasos 2 y 4 para cada grupo de la lista.

6. Haga clic con el botón secundario en el <Nombre de grupo> y, a continuación, haga clic en Propiedades.

7. En el cuadro de texto Descripción, escriba la <Descripción> de la tabla anterior.


9. Repita los pasos 6-8 para cada grupo de la tabla anterior.

Cómo agregar cuentas a los grupos de seguridad del grupo de acceso de red Woodgrove Bank agregó los equipos identificados que actúan como iniciadores de tráfico en el grupo de acceso de red a los

grupos locales de dominio apropiados que se utilizan para implementar el grupo de acceso de red.

En la tabla siguiente aparece la pertenencia al grupo de acceso de red identificado por Woodgrove Bank.

Tabla C.9: Pertenencia al grupo de aislamiento para Woodgrove Bank

Nombre de grupo Miembros

Para rellenar los grupos que aparecen en la tabla anterior

ANAG _EncryptedResourceAccess_computers IPS-SQL-DFS-01

IPS-SQL-DFS-02

IPS-ST-XP-05



3. En el panel de la derecha, haga clic con el botón secundario en el grupo de seguridad <Nombre del grupo> y, a

continuación, haga clic en Propiedades.



6. En el cuadro de texto Escriba los nombres de objeto que desea seleccionar, escriba el nombre de los equipos

en la columna Miembros de la tabla anterior y separe cada miembro con un punto y coma. Haga clic en Aceptar.


Cómo agregar cuentas de usuario a los grupos de seguridad del grupo de acceso de red Woodgrove Bank identificó las cuentas de usuario autorizadas para iniciar tráfico en el grupo de acceso de red y las agregó

a los grupos locales de dominio apropiados que se utilizan para implementar el grupo de acceso de red.

En la tabla siguiente aparece la pertenencia al grupo de acceso de red identificado por Woodgrove Bank.

Tabla C.10: Pertenencia al grupo de acceso de red de Woodgrove Bank

Para rellenar los grupos que aparecen en la tabla anterior

Nombre de grupo Miembros

ANAG _EncryptedResourceAccess_users User7



3. En el panel de la derecha, haga clic con el botón secundario en el grupo de seguridad <Nombre del grupo> y, a

continuación, haga clic en Propiedades.


5. En el cuadro de texto Escriba los nombres de objeto que desea seleccionar, escriba el nombre de los equipos

de la columna Miembros de la tabla anterior. Si hay múltiples usuarios, sepárelos con un punto y coma. Haga clic en

OK.


Creación de un objeto de directiva de grupo para otorgar el derecho "Tener acceso a este equipo desde la red" En Woodgrove Bank se creó un GPO para implantar el grupo de acceso de red definido. En concreto, el GPO asignó a los

grupos de seguridad del grupo de acceso de red apropiado el derecho de "Tener acceso a este equipo desde la red" para los

equipos apropiados que actúan como contestadores.

Los administradores crearon la tabla siguiente, que muestra el nombre del GPO y los nombres de grupo asociados utilizados

para implementar el grupo de acceso de red.

Tabla C.11: Definición de directiva de grupo de aislamiento para Woodgrove Bank

Nota: como mínimo, deben agregarse los grupos enumerados. El administrador deberá determinar si es preciso otorgar

este derecho a otros grupos.

Para asignar el derecho "Tener acceso a este equipo desde la red"

Nombre de GPO Nombre de grupo

Directiva de grupo de aislamiento de acceso a

recursos cifrados

ANAG_EncryptedResourceAccess_computers

ANAG_EncryptedResourceAccess_users

Administradores

Operadores de copia de seguridad


2. Inicie la GPMC.

3. Expanda el bosque: corp.woodgrovebank.com, el dominio y, a continuación,

americas.corp.woodgrovebank.com.

4. Haga clic con el botón secundario en Objetos de directiva de grupo y haga clic en Nuevo.

5. En el cuadro de texto Nombre, escriba un <nombre de GPO> y haga clic en Aceptar.

6. Haga clic con el botón secundario en <nombre de GPO> y, a continuación, haga clic en Editar.

7. Expanda Configuración de equipo, Configuración de Windows, Configuración de seguridad, Directivas locales y haga clic en Asignación de derechos de usuario.

8. En el panel derecho, haga clic con el botón secundario en Tener acceso a este equipo desde la red y, a continuación, haga clic en Propiedades.

9. Active la casilla de verificación Definir esta configuración de directiva.

10. Haga clic en el botón Agregar usuario o grupo.

11. Haga clic en el botón Examinar.

12. En el cuadro de texto Escriba los nombres de objeto que desea seleccionar, escriba el <Nombre de grupo>

para los grupos de la tabla anterior, separándolos con un punto y coma. Haga clic en Aceptar.

13. Vuelva a hacer clic en Aceptar.

14. Cierre la GPMC.

Cómo vincular los objetos de directiva de grupo de acceso de red Antes de distribuir las directivas de grupo de acceso de red, es preciso vincular los GPO con una ubicación dentro del

entorno del dominio. En Woodgrove Bank se distribuyó el GPO enlazándolo con la OU apropiada de Active Directory, tal

como se muestra en la tabla siguiente.

Tabla C.12: Nombre de GPO del grupo de acceso de red y OU de destino

Para vincular una directiva GPO con una OU de destino

Nombre de GPO del grupo de acceso de red OU de destino

Directiva de grupo de acceso de red cifrada Servidores de bases de datos

Comprobación de la implementación de grupos de acceso de red Tras crear e implementar los objetos de directiva y los grupos de acceso de red, los administradores comprobaron la

funcionalidad de los equipos en los grupos de acceso de red.

Pruebas de implementación de requisitos previos Antes de probar la funcionalidad de los equipos en el grupo de acceso de red, Woodgrove Bank confirmó que las

asignaciones de los derechos de usuario se estaban actualizando correctamente. Tras dejar tiempo suficiente para la

replicación y la actualización de directivas, se llevaron a cabo los pasos siguientes en los equipos que aparecen en la tabla

siguiente.

Tabla C.13: Pertenencia al grupo de acceso de red

Para confirmar la pertenencia al grupo adecuado en el grupo de acceso de red


2. Inicie la GPMC.


continuación, localice la <OU de destino>.

4. Haga clic con el botón secundario en <OU de destino> y, a continuación, haga clic en Vincular un GPO existente.

5. En la lista Objetos de directiva de grupo, haga clic en <Nombre de GPO de grupo de acceso de red> y, a

continuación, en Aceptar.

Nombre del equipo Grupo que aparece en el derecho de usuario

IPS-SQL-DFS-01 ANAG_EncryptedResourceAccess_computers


IPS-SQL-DFS-02 ANAG_EncryptedResourceAccess_computers


1. Inicie la sesión en <Nombre de equipo> como administrador del dominio para América.

2. Inicie la herramienta Directiva de seguridad local.

3. Expanda Directivas locales, Asignación de derechos de usuario y, a continuación, en el panel derecho, haga

doble clic en Acceder a este equipo desde la red.

4. Confirme que el grupo de Usuarios autenticados no está presente.

5. Confirme que el grupo <Grupo que aparece en el derecho de usuario> está presente.

6. Cierra la herramienta Directiva de seguridad local.

7. Repita los pasos 1-6 para cada <Nombre de equipo> de la tabla anterior.

Pruebas de implementación funcionales Tras confirmar en Woodgrove Bank que a los grupos de seguridad se les otorgaba el derecho de usuario adecuado, se

contrastaron los equipos que pertenecían a los grupos de acceso de red entre sí. Woodgrove Bank utilizó esta información

para confirmar que las restricciones de derecho de acceso existían y estaban en funcionamiento. Woodgrove intentó

ejecutar comandos net view para varias combinaciones de iniciador y contestador. Además de esta prueba, se utilizó el

complemento de MMC Monitor de seguridad IP para confirmar que se creaban las SA adecuadas. En la tabla siguiente

aparece el iniciador y contestador para cada ejecución de net view y se indica si debe tener éxito o dar error, junto con el

tipo de SA negociada.

Tabla C.14: Resultados esperados de la prueba funcional del grupo de acceso de red

Para completar la prueba funcional


Cómo habilitar el dominio de aislamiento Antes de transferir las directivas de dominio de aislamiento, el administrador debe identificar un grupo de equipos que se

utilizarán para la prueba piloto. De forma ideal, este grupo de equipos debería ser una muestra representativa de la

infraestructura de TI de la organización e incluir tanto clientes como servidores.

Las cuentas de los equipos identificados se agregarán al grupo CG_IsolationDomain_computers. Tras dejar tiempo

suficiente para la replicación, la directiva de dominio de aislamiento deberá aplicarse a los equipos de la prueba piloto y

entrar en vigor.

Implementación del dominio de aislamiento En Woodgrove Bank se identificaron los equipos siguientes para su utilización en la prueba piloto:

Para agregar equipos piloto al grupo CG_IsolationDomain_computers

Iniciador Contestador Resultado SA negociada

IPS-TZ-XP-06 IPS-SQL-DFS-01 Error Ninguno

IPS-TZ-XP-06 IPS-SQL-DFS-02 Error Ninguno

IPS-TZ-XP-06 IPS-ST-XP-05 Satisfactoria SA por hardware

IPS-SQL-DFS-01 IPS-SQL-DFS-02 Satisfactoria SA por hardware

IPS-SQL-DFS-01 IPS-ST-XP-05 Satisfactoria SA por hardware

IPS-SQL-DFS-02 IPS-SQL-DFS-01 Satisfactoria SA por hardware

IPS-ST-XP-05 IPS-SQL-DFS-01 Satisfactoria SA por hardware

IPS-ST-XP-05 IPS-SQL-DFS-02 Satisfactoria SA por hardware

1. Inicie la sesión en <Iniciador> como administrador del dominio para América.

2. Inicie el complemento de MMC Monitor de seguridad IP.

3. Expanda Monitor de seguridad IP, <Iniciador>, Modo rápido y, a continuación, haga clic en Asociaciones de seguridad.

4. Inicie un símbolo del sistema y ejecute el comando siguiente:

net view \\<Responder>

5. Utilice el complemento de MMC Monitor de seguridad IP para confirmar que se negoció la SA adecuada en cada

conexión satisfactoria.

6. Repita los pasos 1-5 para cada <Iniciador> de la tabla anterior.

• IPS-TZ-XP-01

• IPS-TZ-W2K-02

• IPS-TZ-XP-06

• IPS-WEB-DFS-01


2. Expanda el dominioy haga clic en Usuarios.

Comprobación de la implementación del dominio de aislamiento Tras crear e implementar los objetos de directiva en Active Directory en el estado activo, deberá llevarse a cabo un proceso

de comprobación para confirmar que el equipo funciona correctamente en el grupo de aislamiento.

Pruebas de implementación de requisitos previos Antes de ejecutar pruebas de funcionamiento para los equipos del dominio de aislamiento, en Woodgrove Bank se confirmó

que había transcurrido tiempo suficiente para la replicación y la actualización de directivas y que se aplicaba la directiva

IPsec correcta.

Para confirmar que se ha aplicado la directiva IPsec correcta en IPS-TZ-XP-06

3. En el panel de la derecha, haga clic con el botón secundario en CG_IsolationDomain_computers y, a continuación, haga clic en Propiedades.



6. En el cuadro de texto Escriba los nombres de objeto que desea seleccionar, especifique los nombres de los

equipos de la lista anterior, separados por punto y coma, y haga clic en Aceptar.


Nota: tras agregar los equipos al grupo universal CG_IsolationDomain_computers, deberá dejarse tiempo suficiente

para la replicación de los cambios de pertenencia a grupo en el bosque, así como para aplicar la directiva a los

hosts.

1. Inicie la sesión en IPS-TZ-XP-06 como administrador del dominio para América.


IPseccmd show gpo

3. Confirme que la salida muestra que el nombre de la directiva del directorio es "IPSEC – Directiva IPsec de dominio

de aislamiento (1.0.041001.1600)."

Pruebas de implementación funcionales Tras confirmar en Woodgrove Bank que la directiva se había aplicado a IPS-TZ-XP-06, el paso siguiente fue realizar algunas

pruebas funcionales básicas para asegurarse de que la directiva estaba funcionando del modo esperado. Woodgrove Bank

intentó llevar a cabo comandos net view desde IPS-TZ-XP-06 a varios equipos de otros grupos de aislamiento. Además, se

utilizó el complemento de MMC Monitor de seguridad IP para confirmar que se creaban las SA adecuadas. En la tabla

siguiente aparecen los equipos de destino para cada ejecución de net view y se indica si debe tener éxito o dar error,

junto con el tipo de SA negociada.

Nota: cuando se intenta un comando net view para un equipo que no es de confianza, deben pasarse las credenciales del

administrador local del equipo de destino.

Tabla C.15: Resultados esperados de la prueba funcional del dominio de aislamiento

Para llevar a cabo la prueba funcional para cada equipo de destino

Equipo de destino Resultado SA negociada

IPS-TZ-W2K-02 Satisfactoria SA por hardware

IPS-WEB-DFS-01 Satisfactoria SA por hardware

IPS-UT-XP-03 Satisfactoria SA por software

IPS-PRINTS-01 Satisfactoria SA por hardware



Cómo habilitar el grupo de aislamiento Sin reserva Los equipos del grupo de aislamiento Sin reserva no pueden iniciar tráfico sin autenticar con equipos que no son de

confianza.

Implementación del grupo de aislamiento Sin reserva En Woodgrove Bank, los equipos que no pueden iniciar una comunicación sin autenticar con equipos que no son de

confianza se colocaron en el grupo universal CG_NoFallbackIG_computers.

Para rellenar el grupo CG_NoFallbackIG_computers

Comprobación de la implementación del grupo de aislamiento Sin reserva Tras crear e implementar los objetos de directiva en Active Directory en el estado activo, deberá llevarse a cabo un proceso


Pruebas de implementación de requisitos previos Antes de ejecutar pruebas de funcionamiento para los equipos del grupo de aislamiento Sin reserva, en Woodgrove Bank se

confirmó que había transcurrido tiempo suficiente para la replicación y la actualización de directivas y que se aplicaba la

directiva IPsec correcta.

Para confirmar que se ha aplicado la directiva IPsec correcta en IPS-LT-XP-01

2. Inicie el complemento de MMC Monitor de seguridad IP, expanda Monitor de seguridad IP, IPS-TX-XP-06, Modo rápido y haga clic en Asociaciones de seguridad.


net view \\<Target Computer>

Nota: para IPS-UT-XP-03, asegúrese de que pasa las credenciales del administrador local con el comando net view.

4. Utilice el complemento de MMC Monitor de seguridad IP para comprobar el campo Asociaciones de seguridad para cada conexión satisfactoria y confirmar que se ha negociado la SA apropiada.

5. Repita los pasos 3-4 para cada <Equipo de destino> de la tabla anterior.

1. Inicie la sesión en IPS-CH-DC-01 como administrador del dominio para América y, a continuación, inicie

Active Directory Users and Computers.


3. En el panel de la derecha, haga clic con el botón secundario en CG_NoFallbackIG_computers y, a continuación,




6. En el cuadro de texto Escriba los nombres de objeto que desea seleccionar, escriba IPS-LT-XP-01 y haga clic

en Aceptar.

7. Haga clic en Aceptar y, de nuevo, en Aceptar.


entre el momento en que el equipo se agrega al grupo CG_NoFallbackIG_computers y el momento en que se aplica

la directiva del grupo de aislamiento Sin reserva. El equipo puede reiniciarse en este momento si es necesario

aplicar la directiva IPsec inmediatamente. De lo contrario, la directiva se aplicará cuando se agote el tiempo del vale

de sesión y se actualice con la nueva información de pertenencia a grupo local.

1. Inicie la sesión en IPS-LT-XP-01 como administrador del dominio para América.


IPseccmd show gpo

3. Confirme que la salida muestra que el nombre de la directiva del directorio es "Texto no cifrado saliente permitido."

Pruebas de implementación funcionales Tras confirmar en Woodgrove Bank que la directiva se había aplicado a IPS-LT-XP-01, el paso siguiente fue realizar algunas

pruebas funcionales básicas para asegurarse de que la directiva estaba funcionando del modo esperado. Woodgrove Bank

intentó llevar a cabo comandos net view desde IPS-LT-XP-01 a varios equipos de otros grupos de aislamiento. Además, se

utilizó el complemento de MMC Monitor de seguridad IP para confirmar que se creaban las SA adecuadas. En la tabla

siguiente aparecen los equipos de destino para cada ejecución de net view y se indica si debe tener éxito o dar error,

junto con el tipo de SA negociada.


administrador local del equipo de destino.

Tabla C.16: Resultados esperados de la prueba funcional de texto no cifrado saliente permitido

Para llevar a cabo la prueba funcional para cada equipo de destino


Cómo habilitar el grupo de aislamiento Cifrado Los equipos del grupo de aislamiento Cifrado requieren tráfico cifrado. Además, los servidores que alojan los datos están

configurados para restringir quién puede acceder a ellos a través de la red mediante la implementación de un grupo de

aislamiento para los servidores seleccionados.

Mediante el uso de una directiva de grupo adicional y un grupo de seguridad, puede controlarse el acceso al servidor

modificando el derecho "Tener acceso a este equipo desde la red". Debe prestar atención al cambiar los derechos de un

servidor para asegurarse de no bloquear el acceso a los usuarios legítimos.

Nota: el grupo de aislamiento utilizado en esta sección se implementó anteriormente en la sección "Cómo habilitar la



IPS-TZ-XP-01 Satisfactoria SA por hardware

IPS-UT-XP-03 Error Ninguno


2. Inicie el complemento de MMC Monitor de seguridad IP, expanda Monitor de seguridad IP, IPS-LT-XP-01, Modo rápido y haga clic en Asociaciones de seguridad.






configuración del grupo de aislamiento" de este documento.

Implementación del grupo de aislamiento Cifrado El equipo de implementación de Woodgrove Bank identificó los equipos que necesitaban cifrado IPsec y los colocó en el

grupo universal Requerir cifrado.

Para rellenar el grupo Requerir cifrado

Comprobación de la implementación del grupo de aislamiento Cifrado Tras crear e implementar los objetos de directiva en Active Directory en el estado activo, deberá llevarse a cabo un proceso


Pruebas de implementación de requisitos previos Antes de ejecutar pruebas de funcionamiento para el equipo del grupo de aislamiento Cifrado, en Woodgrove Bank se


directiva IPsec correcta a los equipos IPS-SQL-DFS-01 e IPS-SQL-DFS-02.

Para confirmar que se ha aplicado la directiva IPsec correcta





CG_EncryptionIG_computers y, a continuación, haga clic en Propiedades.



6. En el cuadro de texto Escriba los nombres de objeto que desea seleccionar, escriba IPS-SQL-DFS-01; IPS-

SQL-DFS-02 y haga clic en Aceptar.



entre el momento en que el equipo se agrega al grupo CG_EncryptionIG_computers y el momento en que se aplica

la directiva del grupo de aislamiento Cifrado. El equipo puede reiniciarse en este momento si es necesario aplicar la

directiva IPsec inmediatamente. De lo contrario, la directiva se aplicará cuando se agote el tiempo del vale de sesión

y se actualice con la nueva información de pertenencia a grupo local.

1. Inicie la sesión en IPS-SQL-DFS-01 como administrador del dominio para América.



3. Confirme que la salida muestra que el nombre de la directiva del directorio es "IPSEC – Directiva IPsec de grupo de

aislamiento Cifrado (1.0.041001.1600)."

4. Inicie la herramienta Directiva de seguridad local.

5. Expanda Directivas locales, Asignación de derechos de usuario y, a continuación, en el panel derecho, haga

doble clic en Acceder a este equipo desde la red.

6. Confirme que el grupo de Usuarios autenticados no está presente.

7. Confirme que los grupos ANAG_EncryptedResourceAccess_computers y ANAG_EncryptedResourceAccess_users

están presentes.

8. Cierre la herramienta Directiva de seguridad local.

9. Repita los pasos 1-8 para IPS-SQL-DFS-02.

Pruebas de implementación funcionales Tras confirmar en Woodgrove Bank que la directiva se había aplicado a IPS-SQL-DFS-01 e IPS-SQL-DFS-02, el paso

siguiente fue realizar algunas pruebas funcionales básicas para asegurarse de que la directiva estaba funcionando del modo

esperado. Woodgrove intentó ejecutar comandos net view para IPS-SQL-DFS-01 e IPS-SQL-DFS-02. Además, se utilizó el

complemento de MMC Monitor de seguridad IP para confirmar que se creaban las SA adecuadas. En las tablas siguientes

aparecen los equipos de destino para cada ejecución de net view y se indica si debe tener éxito o dar error, junto con el

tipo de SA negociada.


administrador local al equipo.

Tabla C.17: Resultados esperados de la prueba funcional IPS-SQL-DFS-01

Para probar la funcionalidad de la implementación en equipos de destino


Cómo habilitar el grupo de aislamiento Límite En Woodgrove Bank, los equipos que deben iniciar o recibir comunicaciones sin autenticar con equipos que no son de

confianza se colocaron en el grupo universal CG_BoundaryIG_computers.

Implementación del grupo de aislamiento Límite El equipo de implementación de Woodgrove Bank identificó los equipos que pertenecían al grupo de aislamiento Límite y los

colocó en el grupo universal CG_BoundaryIG_computers.

Para rellenar el grupo CG_BoundaryIG_computers


IPS-SQL-DFS-02 Satisfactoria SA por hardware



IPS-UT-XP-03 Error Ninguno


2. Inicie el complemento de MMC Monitor de seguridad IP, expanda Monitor de seguridad IP, IPS-SQL-DFS-01, Modo rápido y haga clic en Asociaciones de seguridad.









Comprobación de la implementación del grupo de aislamiento Límite Tras crear e implementar los objetos de directiva en Active Directory en el estado activo, deberá llevarse a cabo un proceso


Pruebas de implementación de requisitos previos Antes de ejecutar pruebas de funcionamiento para el equipo del grupo de aislamiento Límite, en Woodgrove Bank se


directiva IPsec correcta.

Para confirmar que se ha aplicado la directiva IPsec correcta para IPS-PRINTS-01





6. En el cuadro de texto Escriba los nombres de objeto que desea seleccionar, escriba IPS-PRINTS-01 y haga clic

en Aceptar.



entre el momento en que se agrega el grupo CG_BoundaryIG_computers y el momento en que se aplica la directiva

del grupo de aislamiento Límite. El equipo puede reiniciarse en este momento si es necesario aplicar la directiva

IPsec inmediatamente. De lo contrario, la directiva se aplicará cuando se agote el tiempo del vale de sesión y se

actualice con la nueva información de pertenencia a grupo local.

1. Inicie la sesión en IPS-PRINTS-01 como administrador del dominio para América.



3. Confirme que la salida muestra que el nombre de la directiva del directorio es "IPSEC – Directiva IPsec de grupo de

aislamiento Límite (1.0.041001.1600)."

Pruebas de implementación funcionales Tras confirmar en Woodgrove Bank que la directiva se había aplicado a IPS-PRINTS-01, el paso siguiente fue realizar

algunas pruebas funcionales básicas para asegurarse de que la directiva estaba funcionando del modo esperado. Se intentó

ejecutar comandos net view para los equipos de la tabla siguiente. Además, se utilizó el complemento de MMC Monitor de

seguridad IP para confirmar que se creaban las SA adecuadas. En la tabla siguiente aparecen los equipos de destino para

cada ejecución de net view y se indica si debe tener éxito o dar error, junto con el tipo de SA negociada para cada equipo

que participa en el grupo de Acceso a recursos cifrados.



Tabla C.18: Resultados esperados de la prueba funcional IPS-PRINTS-01

Para probar la funcionalidad de la implementación en equipos de destino


IPS-UT-XP-03 Satisfactoria SA por software


IPS-SQL-DFS-01 Error Ninguno



Configuración del dominio de aislamiento como grupo de aislamiento predeterminado Antes de llevar a cabo las pruebas funcionales definitivas, los administradores de Woodgrove Bank configuraron la

seguridad en el dominio de aislamiento de forma que se aplique a todos los equipos del dominio. Este enfoque garantiza

que todos los equipos nuevos que se agreguen al dominio se agregarán automáticamente al dominio de aislamiento, a

menos que tengan requisitos que los ubiquen en otro grupo de aislamiento.

Además, el grupo de equipos del dominio se retiró del grupo CG_BoundaryIG_computers.

Para retirar equipos del dominio del grupo CG_BoundaryIG_computers.

2. Inicie el complemento de MMC Monitor de seguridad IP, expanda Monitor de seguridad IP, IPS-PRINTS-01,

Modo rápido y haga clic en Asociaciones de seguridad.

3. Abra un símbolo del sistema y ejecute el comando siguiente:









4. Haga clic en la ficha Miembros, haga clic en el grupo Equipos del dominio y, a continuación, en Eliminar.

5. Haga clic en Sí para eliminar el grupo.



entre el momento en que se elimina del grupo CG_BoundaryIG_computers y el momento en que se elimina la

directiva del grupo de aislamiento Límite. El equipo puede reiniciarse en este momento si es necesario aplicar la

directiva IPsec inmediatamente. De lo contrario, la directiva se aplicará cuando se agote el tiempo del vale de sesión

y se actualice con la nueva información de pertenencia a grupo local.

Para agregar equipos del dominio al grupo CG_IsolationDomain_computers.




CG_IsolationDomain_computers y, a continuación, haga clic en Propiedades.


5. En el cuadro Escriba los nombres de objeto que desea seleccionar, escriba Equipos del dominio y haga clic en

Aceptar.



Reordenación del orden de vinculación de directivas IPsec Para asegurarse de que se aplican las directivas correctas a los hosts, es preciso actualizar el orden de vinculación de las

directivas IPsec. Esta tarea está relacionada con el hecho de que la directiva del grupo de aislamiento estándar se expresa

como directiva predeterminada, en lugar de la directiva de grupo de aislamiento Límite, que se utilizó como directiva

predeterminada durante la implementación inicial.

Para vincular las directivas IPsec con los GPO existentes


Pruebas funcionales definitivas: habilitación de todos los grupos de aislamiento Tras habilitar todos los grupos de aislamiento de Woodgrove Bank, el paso siguiente fue llevar a cabo algunas pruebas

funcionales básicas para asegurarse de que las directivas funcionaban tal como se deseaba. Aunque se realizaron algunas

pruebas funcionales básicas a medida que se implementaba cada directiva, los administradores de Woodgrove Bank no

pudieron llevar a cabo una prueba funcional completa porque los grupos de aislamiento se habilitaron de uno en uno. Los

administradores intentaron ejecutar comandos net view con uno o varios equipos en cada grupo de aislamiento frente a

los equipos de otros grupos de aislamiento para comprobar que la conectividad establecida era apropiada. Se seleccionaron

varios equipos en algunos grupos de aislamiento porque presentan modelos de tráfico distintos, según su actuación como

contestador o como iniciador. Además, los administradores utilizaron el complemento de MMC Monitor de seguridad IP para

confirmar que se creaban las SA adecuadas.

En las tablas siguientes aparecen los equipos de destino para cada ejecución de net view y se indica si debe tener éxito o

dar error, junto con el tipo de SA negociada para cada equipo seleccionado para la prueba.



El procedimiento siguiente evalúa la conectividad de IPS-SQL-DFS-01 (que actúa como iniciador) con diversos equipos del

resto de grupos de acceso de red y aislamiento.

Tabla C.20: Resultados esperados de la prueba funcional IPS-SQL-DFS-01

entre el momento en que se agrega el grupo Equipos del dominio al grupo CG_IsolationDomain_computers y el

momento en que se aplica la directiva del grupo de dominio de aislamiento. El equipo puede reiniciarse en este

momento si es necesario aplicar la directiva IPsec inmediatamente. De lo contrario, la directiva se aplicará cuando

se agote el tiempo del vale de sesión y se actualice con la nueva información de pertenencia a grupo local.

1. Inicie la GPMC como administrador del dominio.

2. Expanda el dominio.

3. Haga clic en el nombre del dominio.

4. En la lista Objetos de directiva de grupo vinculados, utilice las flechas para ordenar las directivas tal como se

muestra en la tabla siguiente.

Tabla C.19: Orden de vinculación de objetos de directiva de grupo en el nivel de dominio

Orden de vinculación Nombre de objeto de directiva de grupo

1 IPSEC – Directiva de grupo de aislamiento Cifrado

2 IPSEC – Directiva de grupo de aislamiento Sin reserva

3 IPSEC – Directiva de grupo de aislamiento Límite

4 IPSEC – Directiva de dominio de aislamiento

5 Directiva del dominio predeterminada

Equipo de destino Resultado Motivo SA negociada

IPS-ST-XP-05 Satisfactoria Los equipos pueden negociar

satisfactoriamente IPsec.

SA por hardware con cifrado

Para probar la conectividad desde equipos de destino

IPS-TZ-XP-01 Satisfactoria Los equipos pueden negociar



IPS-PRINTS-01 Satisfactoria El equipo puede negociar



IPS-UT-XP-03 Error El iniciador no admite el Retroceso a

texto no cifrado.

Ninguno


2. Inicie el complemento de MMC Monitor de seguridad IP, expanda Monitor de seguridad IP, IPS-SQL-DFS-01, Modo rápido y haga clic en Asociaciones de seguridad.






El procedimiento siguiente evalúa la conectividad de IPS-TX-XP-06 (que actúa como iniciador) con diversos equipos del


Tabla C.21: Resultados esperados de la prueba funcional IPS-TZ-XP-06



IPS-SQL-DFS-01 Error El contestador forma parte del Acceso

a recursos cifrados.

Ninguno



SA por hardware



SA por hardware

IPS-PRINTS-01 Satisfactoria Los equipos pueden negociar


SA por hardware

IPS-UT-XP-03 Satisfactoria Los equipos pueden negociar


SA por software


2. Inicie el complemento de MMC Monitor de seguridad IP, expanda Monitor de seguridad IP, IPS-TZ-XP-06, Modo rápido y haga clic en Asociaciones de seguridad.






El procedimiento siguiente evalúa la conectividad de IPS-ST-XP-06 (que actúa como iniciador) con diversos equipos del

resto de grupos de aislamiento.

Tabla C.22: Resultados esperados de la prueba funcional IPS-ST-XP-05



IPS-SQL-DFS-01 Satisfactoria El iniciador forma parte del grupo

Acceso a recursos cifrados.




SA por hardware

IPS-PRINTS-01 Satisfactoria Los equipos pueden negociar


SA por hardware

IPS-UT-XP-03 Satisfactoria Los equipos pueden negociar


SA por software

1. Inicie la sesión en IPS-ST-XP-05 como administrador del dominio para América.

2. Inicie el complemento de MMC Monitor de seguridad IP, expanda Monitor de seguridad IP, IPS-ST-XP-05, Modo rápido y haga clic en Asociaciones de seguridad.






El procedimiento siguiente evalúa la conectividad de IPS-TZ-XP-01 (que actúa como iniciador) con diversos equipos del


Tabla C.23: Resultados esperados de la prueba funcional IPS-TZ-XP-01


IPS-SQL-DFS-01 Error El contestador forma parte del grupo


Ninguno



SA por hardware

IPS-PRINTS-01 Satisfactoria Los equipos pueden negociar SA por hardware



IPS-UT-XP-03 Satisfactoria El iniciador admite el Retroceso a

texto no cifrado.

SA por software


2. Inicie la herramienta Monitor de seguridad IP, expanda Monitor de seguridad IP, IPS-TZ-XP-01, Modo rápido y haga clic en Asociaciones de seguridad.






El procedimiento siguiente evalúa la conectividad de IPS-LT_XP-01 (que actúa como iniciador) con diversos equipos del


Tabla C.24: Resultados esperados de la prueba funcional de IPS-LT-XP-01



IPS-SQL-DFS-01 Error El contestador forma parte del grupo


Ninguno



SA por hardware



SA por hardware

IPS-UT-XP-03 Error El iniciador no admite el Retroceso a

texto no cifrado.

Ninguno


2. Inicie el complemento de MMC Monitor de seguridad IP, expanda Monitor de seguridad IP, IPS-LT-XP-01, Modo rápido y haga clic en Asociaciones de seguridad.




4. Utilice el complemento de MMC Monitor de seguridad IP para comprobar el campo Asociaciones de seguridad

para cada conexión satisfactoria y confirmar que se ha negociado la SA apropiada.


El procedimiento siguiente evalúa la conectividad de IPS-PRINTS-01 (que actúa como iniciador) con diversos equipos del

resto de grupos de aislamiento.

Tabla C.25: Resultados esperados de la prueba funcional IPS-PRINTS-01



IPS-SQL-DFS-01 Error El contestador deniega explícitamente

el acceso a hosts de límite. El

contestador forma parte del grupo


Ninguno



SA por hardware



SA por hardware

IPS-UT-XP-03 Satisfactoria El iniciador admite el Retroceso a

texto no cifrado.

SA por software


2. Inicie el complemento de MMC Monitor de seguridad IP, expanda Monitor de seguridad IP, IPS-PRINTS-01,

Modo rápido y haga clic en Asociaciones de seguridad.






El procedimiento siguiente evalúa la conectividad de IPS-UT-XP-03 (que actúa como iniciador) con diversos equipos del


Tabla C.26: Resultados esperados de la prueba funcional IPS-UT-XP-03

Equipo de destino

Resultado Motivo SA negociada

IPS-SQL-DFS-01 Error El contestador no admite el Retroceso a texto no cifrado y Paso

de sucesos entrante. El contestador forma parte del grupo Acceso

a recursos cifrados.

Ninguno

IPS-ST-XP-05 Error El contestador no admite el Retroceso a texto no cifrado y Paso

de sucesos entrante.

Ninguno

IPS-TZ-XP-01 Error El contestador no admite el Retroceso a texto no cifrado y Paso

de sucesos entrante.

Ninguno

IPS-PRINTS-01 Satisfactoria El contestador admite el Retroceso a texto no cifrado y Paso de SA por software



Resumen Tras completar las tareas de este apéndice, habrá:

sucesos entrante.

1. Inicie la sesión en IPS-UT-XP-03 como administrador del dominio para América.

2. Inicie el complemento de MMC Monitor de seguridad IP, expanda Monitor de seguridad IP, IPS-UT-XP-03, Modo rápido y haga clic en Asociaciones de seguridad.



Nota: para todos los equipos basados en el dominio, asegúrese de que pasa las credenciales del administrador del

dominio con el comando net view.



• creado las listas de filtros, acciones de filtrado, reglas y directivas IPsec en Active Directory.

• configurado los GPO en Active Directory para aplicar correctamente las directivas IPsec.

• realizado una ejecución por fases del grupo de aislamiento Límite y el dominio de aislamiento para toda la organización.

• configurado varios grupos de aislamiento para controlar el acceso de contestador.

• habilitado y probado el dominio de aislamiento.

• habilitado y probado el grupo de aislamiento Sin reserva.

• habilitado y probado el grupo de aislamiento Cifrado.

• habilitado y probado el grupo de aislamiento Límite.


Administre su perfil

©2009 Microsoft Corporation. Todos los derechos reservados. Póngase en contacto con nosotros | Aviso Legal | Marcas registradas | Privacidad

Aislamiento de servidor y dominio mediante IPsec y...

Documents

Transcript of Aislamiento de servidor y dominio mediante IPsec y...