Utilizar IPSec entre dos hosts del vínculo local (FE80) y local de sitio (FC80)

Mediante esta configuración se crea una asociación de seguridad SA (Security Association) de IPSec entre dos hosts de la misma subred. La asociación de seguridad lleva a cabo la autenticación mediante el Encabezado de autenticación AH ( Authentication Header) y el algoritmo hash de Síntesis del mensaje 5 MD5 ( Message Digest ). En este ejemplo, la configuración protege todo el tráfico entre dos hosts vecinos.

➢ Se protege el trafico entre dos equipos con sistema operativo Windows server 2003.

➢ Se protege el trafico entre dos equipos con sistema operativo Windows server 2003 y Windows xp.

Nombre del campo del archivo .spd Valor de ejemplo

Policy 2

RemoteIPAddr - fe80::20d:60ff:fe40:334a

ó

-fec0::20d:60ff:fe40:334a

LocalIPAddr - *

Protocol - *

RemotePort - *

LocalPort - *

IPSecProtocol AH

IPSecMode TRANSPORT

RemoteGWIPAddr *

SABundleIndex NONE

Direction BIDIRECT

Action APPLY

InterfaceIndex 0

Tabla 5. Archivo test.spd equipo A. Fuente: (Autor)

1. En el host A, se crean archivos en blanco de asociación de seguridad (.sad) y de directiva de seguridad (.spd) mediante el comando ipsec6 s. En este ejemplo, el comando Ipsec6.exe es ipsec6 s test. Así se crean dos archivos con entradas en blanco que permiten configurar manualmente las asociaciones de seguridad (Test.sad) y las directivas de seguridad (Test.spd).

122

2. En el host A, se modifica el archivo .spd y agregue una directiva de seguridad que proteja el tráfico entre el host A y el host B.

En la tabla siguiente se muestra la entrada de directiva de seguridad que se agrega a Test.spd antes de la primera entrada (la primera entrada de Test.spd no se modifica):

Escriba un punto y coma al final de la entrada en la que se configura esta directiva de seguridad. Las entradas de las directivas deben colocarse en orden numérico descendente.

3. En el host A, modifique el archivo .sad y agregue entradas de asociación de seguridad para proteger todo el tráfico entre el host A y el host B. Se deben crear dos asociaciones de seguridad, una para el tráfico dirigido al host 2 y otra para el tráfico proveniente del host B.

En la tabla siguiente se muestra la primera entrada de asociación de seguridad que se agrega al archivo Test.sad (para el tráfico dirigido al host B):

Tabla 6. Archivo test.sad saliente. Fuente: (Autor)

Escriba un punto y coma al final de la entrada en la que se configura esta asociación de seguridad.

Nombre del campo del archivo .sad Valor de ejemplo

SAEntry 2

SPI 3001

SADestIPAddr fe80::20d:60ff:fe40:334a

ó

fec0::20d:60ff:fe40:334a

DestIPAddr POLICY

SrcIPAddr POLICY

Protocol POLICY

DestPort POLICY

SrcPort POLICY

AuthAlg HMAC-MD5

KeyFile Test.key

Direction OUTBOUND

SecPolicyIndex 2

123

En la tabla siguiente se muestra la segunda entrada de asociación de seguridad que se agrega al archivo Test.sad (para el tráfico proveniente del host B):

Nombre del campo del archivo .sad Valor de ejemplo

SAEntry 1

SPI 3000

SADestIPAddr fe80::209:6Bff:fed5:7bb8

ó

fec0::209:6Bff:fed5:7bb8

DestIPAddr POLICY

SrcIPAddr POLICY

Protocol POLICY

DestPort POLICY

SrcPort POLICY

AuthAlg HMAC-MD5

KeyFile Test.key

Direction INBOUND

SecPolicyIndex 2

Tabla 7. Archivo test.sad entrante. Fuente: (Autor)

Escriba un punto y coma al final de la entrada en la que se configura esta asociación de seguridad. Las entradas de asociación de seguridad deben colocarse en orden numérico descendente.

4. En el host A, se crea un archivo que contenga datos utilizados para crear y validar el algoritmo hash escrito de Síntesis del mensaje 5 (MD5) en cada paquete protegido por IPSec que se intercambia con el host B. En este ejemplo se utiliza un archivo de texto. Se crea el archivo Test.key que contiene el texto Esto es una prueba. No puede haber caracteres adicionales, espacios ni líneas.

El protocolo IPv6 sólo admite claves configuradas manualmente para las asociaciones de seguridad de modo rápido (también denominadas asociaciones de seguridad de IPSec o Fase II), dado que no se lleva a cabo negociación de modo principal mediante Intercambio de claves de Internet IKE (Internet Key Exchange). Las claves manuales se configuran mediante la creación de archivos que contienen el texto o los datos binarios de la clave manual. En este ejemplo, se utiliza la misma clave para las asociaciones de seguridad en ambas direcciones. Se pueden utilizar claves diferentes para las asociaciones de seguridad entrantes y salientes si se crean archivos de claves diferentes y se hace

124

referencia a ellos mediante el campo KeyFile del archivo .sad.

5. En el host B, utilice el comando ipsec6 s para crear archivos en blanco de asociación de seguridad (.sad) y directiva de seguridad (.spd). En este ejemplo, el comando Ipsec6.exe es ipsec6 s test. Así se crean dos archivos con entradas en blanco que permiten configurar manualmente las asociaciones de seguridad (Test.sad) y las directivas de seguridad (Test.spd).

Para simplificar el ejemplo, se utilizan los mismos nombres de archivo para los archivos .sad y .spd en el host B. Se puede utilizar un nombre de archivo distinto en cada host.

6. En el host B, modifique el archivo .spd y agregue una directiva de seguridad que proteja el tráfico entre el host B y el host A.

En la tabla siguiente se muestra la entrada de directiva de seguridad que se agrega a Test.spd antes de la primera entrada (la primera entrada de Test.spd no se modifica):

Nombre del campo del archivo .spd Valor de ejemplo

Directiva 2

RemoteIPAddr - fe80::209:6bff:fed5:7bb8

ó

- fec0::209:6bff:fed5:7bb8

LocalIPAddr - *

Protocol - *

RemotePort - *

LocalPort - *

IPSecProtocol AH

IPSecMode TRANSPORT

RemoteGWIPAddr *

SABundleIndex NONE

Direction BIDIRECT

Action APPLY

InterfaceIndex 0

Tabla 8. Archivo test.spd equipo B. Fuente: (Autor)

Escriba un punto y coma al final de la entrada en la que se configura esta directiva de seguridad. Las entradas de las directivas deben colocarse en orden numérico descendente.

125

7. En el host B, modifique el archivo .sad y agregue entradas de asociación de seguridad que protejan el tráfico entre el host B y el host A. Se deben crear dos asociaciones de seguridad: una para el tráfico dirigido al host A y otra para el tráfico proveniente del host A.

En la tabla siguiente se muestra la primera entrada de asociación de seguridad que se agrega al archivo Test.sad (para el tráfico dirigido al host A):

Nombre del campo del archivo .sad Valor de ejemplo

SAEntry 2

SPI 3000

SADestIPAddr fe80::209:6bff:fed5:7bb8

ó

fec0::209:6bff:fed5:7bb8

DestIPAddr POLICY

SrcIPAddr POLICY

Protocol POLICY

DestPort POLICY

SrcPort POLICY

AuthAlg HMAC-MD5

KeyFile Test.key

Direction OUTBOUND

SecPolicyIndex 2

Tabla 9. Archivo test.sad saliente. Fuente: (Autor)

Escriba un punto y coma al final de la entrada en la que se configura esta asociación de seguridad.

En la tabla siguiente se muestra la segunda entrada de asociación de seguridad que se agrega al archivo Test.sad (para el tráfico proveniente del host A):

126

Nombre del campo del archivo .sad Valor de ejemplo

SAEntry 1

SPI 3001

SADestIPAddr fe80::20d:60ff:fe40:334a

ó

fec0::20d:60ff:fe40:334a

DestIPAddr POLICY

SrcIPAddr POLICY

Protocol POLICY

DestPort POLICY

SrcPort POLICY

AuthAlg HMAC-MD5

KeyFile Test.key

Direction INBOUND

SecPolicyIndex 2

Tabla 10. Archivo test.sad entrante. Fuente: (Autor)

Escriba un punto y coma al final de la entrada en la que se configura esta asociación de seguridad. Las entradas de asociación de seguridad deben colocarse en orden numérico descendente.

8. En el host B, cree un archivo de texto que contenga una cadena de texto que sirva para autenticar las asociaciones de seguridad creadas en el host A. En este ejemplo, se crea el archivo Test.key que contiene el texto Esto es una prueba. No puede haber caracteres adicionales, espacios ni líneas.

9. En el host 1, utilice el comando ipsec6 l para agregar las directivas de seguridad y las asociaciones de seguridad configuradas en los archivos .spd y .sad. En este ejemplo se ejecuta el comando ipsec6 l test en el host A.

10. En el host B, utilice el comando ipsec6 l para agregar las directivas de seguridad y las asociaciones de seguridad configuradas en los archivos .spd y .sad. En este ejemplo se ejecuta el comando ipsec6 l test en el host B.

11. En el host B, utilice el comando ping para hacer ping a la dirección local del vínculo del host A o viceversa.

127

4.4.3.4 Cómo configurar las políticas de seguridad IPSec y las asociaciones de seguridad para

In document DOCUMENTO FINAL (página 124-130)