none
IPSec en todo el dominio, ralentización y solicitar en vez de requerir RRS feed

  • Pregunta

  • Hola,

         Quería comentaros una duda que tengo sobre IPSec, el cual he implementado en escenarios muy puntuales , pero ahora quiero hacerlo de la siguiente manera:

    En la GPO Default Domain Policy en la rama: Config Equipo\Config Windows\Config Seguridad\Politicas de seguridad IP de Active Directory, he activado la política "Server(Request Security)" y más o menos viene a decir, traducido: Para todo el tráfico IP, solicitar seguridad usando confianza Kerberos. Permitir tráfico inseguro con clientes que no respondan a esta solicitud"

    Es decir, sólo va a solicitar IPSec o cifrado, y sino se consigue, pues de todas formas va a ver comunicación exitosa.

    El caso es que no he activado la política "client(Respond only" a nivel de dominio y creo que es por esto por lo que me pasa que , con un sniffer, he visto tráfico entre una estación y un servidor y dicho tráfico no lo veo como encriptado, como cliente IKE (UDP 500) o algo así, sino que veo los típicos protocolos SMB, TCP, Ping, etc.

    No entiendo porque está pasando y por otra parte he leido que ponerlo a nivel de dominio, es decir a todas las estaciones y servidores, puede notarse bajada de velocidad notable.

    Veo muy buena medida el poner IPSec porque he leido que el 80% de los robos de datos, contraseñas etc, para mi sorpresa, son de usuarios internos, así evitaríamos que los fisgones miraran con un sniffer tráfico entre un servidor de correos y el exterior con una tarjeta de red en modo promiscuo por ejemplo.

    No entiendo mucho de estas cosas aunque como comenté implementé IPSec hace tiempo en un servidor FTP pero obviamente no con kerberos, sino con un certificado que tenía la otra empresa y la nuestra, ya que ese servidor era para intercambios entre dos empresas sólo. También en algún servidor web, pero no a nivel de dominio con Kerberos, como ahora quiero hacer.

    Muchas gracias de antemano !

     

     


    Luis Olías Técnico/Admon Sistemas Sevilla (España)
    jueves, 20 de enero de 2011 20:59

Respuestas

  • Hola Luis:

    Primero que nada yo revisaría que se esté aplicando la política a los equipos, esto se puede hacer con el monitor de seguridad IP. http://technet.microsoft.com/es-es/library/cc783162(WS.10).aspx.

    Por otro lado si la aplicas a default domain policy se le aplicara a todos los equipos, clientes y servidores y como bien dices puede bajar el rendimiento de la red.

    Lo que te recomendó es hacer en la política Default Domain Controller Policy, le apliques la de server (request security), crees una unidad organizativa en la que pongas los equipos que quieras que envíen la información de forma segura y a esta unidad organizativa le apliques una GPO con client(only request).

    Saludos!

    Juan Valenzuela

    MCSA, MCSE, MCT, MCITP

    • Marcado como respuesta Luis Olias sábado, 30 de abril de 2011 18:04
    viernes, 21 de enero de 2011 12:42
  • Hola Luis:

    Por lo que me dices es un problema de DNS, tendríamos que saber que servidor de DNS está resolviendo los nombres para los equipos de la red perimetral, si no está configurado el servidor de DNS interno es totalmente normal, para solucionarlo lo que tendrías que hacer es configurar tu equipo de la red perimetral para que resuelva nombres con tu servidor de DNS interno. En teoría el tráfico de Netbios no debería pasar a través del servidor ISA. Con lo cual debe ser únicamente nombres DNS.

    De VMWare la verdad es que no controlo mucho, pero como apagas todos tu equipos, todos los días es muy importante el orden en que los enciendes. Primero el controlador de dominio que tenga las funciones de maestro de operaciones, ya que esta encendido con el sistema operativo completamente inciando vas encendiendo los demás equipos.

    Saludos!

    Juan Valenzuela

    MCSA, MCSE, MCITP, MCT

    • Marcado como respuesta Luis Olias sábado, 30 de abril de 2011 18:04
    viernes, 28 de enero de 2011 10:58

Todas las respuestas

  • Hola Luis:

    Primero que nada yo revisaría que se esté aplicando la política a los equipos, esto se puede hacer con el monitor de seguridad IP. http://technet.microsoft.com/es-es/library/cc783162(WS.10).aspx.

    Por otro lado si la aplicas a default domain policy se le aplicara a todos los equipos, clientes y servidores y como bien dices puede bajar el rendimiento de la red.

    Lo que te recomendó es hacer en la política Default Domain Controller Policy, le apliques la de server (request security), crees una unidad organizativa en la que pongas los equipos que quieras que envíen la información de forma segura y a esta unidad organizativa le apliques una GPO con client(only request).

    Saludos!

    Juan Valenzuela

    MCSA, MCSE, MCT, MCITP

    • Marcado como respuesta Luis Olias sábado, 30 de abril de 2011 18:04
    viernes, 21 de enero de 2011 12:42
  • Gracias Juan por responder,

        El caso es que me he explicado algo mal:

        En vez de poner las políticas de Server y cliente en Default Domain Policy, que, como bien dices , la aplica a todo equipo, he hecho dos GPO diferentes, una para Server y otra para Client, pero a nivel ambas de dominio, pero lo he hecho así para separarlas de la política Default Domain Policy.

       De todas maneras, lo que propones creo que es lo mismo, osea, en los DC´s poner la política de Request Security y en los demás equipos que se conecten de forma segura a dichos controladores de dominio. Bueno, no es lo mismo, pero encuentro un problema en tu planteamiento: En mi LAN tengo Servidores Exchange, ISA, Web, FTP... que también quiero que se securicen y con tu plantamiento de crear la OU de los demás equipos, y ahi poner IPSec (Client) no se securizarían sino me equivoco.

      De momento estoy teniendo problemas para acceder a muchos sitios en la red perimetral de ISA, me refiero, por ejemplo no puedo acceder a \\dc2 o a internet, y he comprado que tengo una regla que permite el tráfico bidireccional de cliente IKE (UDP 500), de ESP (UDP 50), creo que, como bien dices , quizás no he hecho a tiempo el gpupdate /force en ese equipo de la red perimetral, ahora justo estoy comprobando si es esa la razón.

    De todas formas una pregunta: Con tu planteamiento sólo creo que securizas los controladores del dominio, el tráfico entre los demás equipos y ellos, pero no securizaría el tráfico entre un equipo cualquiera y el exchange por ejemplo, sino me equiovoco.

    Muchas gracias por tu tiempo Juan, ahora revisaré el link que me indicas.

     


    Luis Olías Técnico/Admon Sistemas Sevilla (España)
    viernes, 21 de enero de 2011 13:27
  • Hola Luis:

    Así es, con el planteamiento que te hice solo se securiza el trafico entre tu dc y los clientes, si quieres securizar también el trafico entre los controladores de dominio y equipos cliente, puedes agregar a otro OU tus demás servidores y aplicar la de cliente.

    De lo que mencionas del ISA Server, te recomiendo que veas el visor para ver si es este el que te está bloqueando el acceso.

    Saludos!

    Juan Valenzuela

    MCSA, MCSE, MCT, MCITP

    viernes, 21 de enero de 2011 16:03
  • Hola Juan,

        Gracias por contestar y perdón por la tardanza de mi respuesta.

        Como planteaba , he hecho dos GPO´s a nivel de dominio, una llamada "Servers:Request IPSec" y la otra "Clients:Only Respond" , las he llamado así porque es realmente lo que hace cada una de esas GPO´s

    Están a nivel de dominio como hablábamos, por lo que como bien decias se aplica a todos los equipos, tanto la parte cliente como la servidora.

    Comenté ciertos problemas con un exchange en la red perimetral de ISA Server, eran problemas momentáneos debido creo yo a que apliqué muy pronto gpupdate /force y los síntomas eran que no había conectividad LAN ni WAN, no accedía a \\equipo_lan ni a internet, etc, pero se subsanó a los minutos.

    Era todo parece ir bien porque cuando pongo el sniffer veo siempre tráfico IPSec, y no veo problemas de replicación entre controladores, he hecho dcdiag y todo correcto, Exchgange recibe y envía perfectamente, ISA veo que todo bien, en fin, no he mirado todavía lo que me comentabas del monitor de seguridad, herramienta que por cierto no conocía y que agradezco me la hayas sugerido.

    Mi pregunta ahora va enfocada a la ralentizacion, porque yo lo estoy implementado en un entorno pequeño de pruebas, con sólo 5 equipos, pero no sé que respuesta tendría en una red de mediana empresa, 100 equipos todos enviando los paquetes cifrados. Ese impacto es el que me preocupa, y el monitorizar bien todo en el entorno de pruebas, aunque como solo es "request" siempre va a haber comunicación aunque el cliente no pueda aplicar IPSec, irá sin encriptar, sin IPSec, pero llegará a su destino, esto lo encuentro genial. Además al ser la confianza kerberos se queda en el dominio toda la seguridad, entre los equipos que lo componen.

    ¿Está obsoleto el uso de IPSec en las LAN o se muy recomendable? . En la WAN lo he usado para asegurar un servidor VPN con L2TP/IPSec, aunque por ahora con clave precompartida, no con certificados.

    Gracias de nuevo por tu tiempo !!

     

     


    Luis Olías Técnico/Admon Sistemas Sevilla (España)
    jueves, 27 de enero de 2011 13:25
  • Hola Luis:

    En lo personal no creo que sea obsoleto. El protocolo IPv6 lo tiene incorporado. Por otro lado con la bajada de rendimiento tendrías que probarlo no tengo información de porcentajes de bajada ó algo por el estilo, pero prueba, siempre puedes volver a atrás.

    Saludos!

    Juan Valenzuela

    MCSA, MCSE, MCITP, MCT

    viernes, 28 de enero de 2011 9:41
  • Gracias por tu tiempo Juan,

        Estoy teniendo algunas incidencias en cuanto a conexiones, me explico: De repente desde un pc de la red perimetral (creada con ISA 2004) hago ping a la ip de un equipo de la red-no-perimetral y perfecto, pero si hago ping al nombre netbios o dns no llega, pero al cabo de los minutos llega.

    Como dato he de añadir que es un entorno VMWare que apago y todas las noches y enciendo todas las mañanas, quizás eso pueda influir, a veces pasa al hacer todos los días esto que de vez en cuando tengo que reiniciar el servicio Firewall de ISA o reiniciar el servicio de Certificate Server del controlador de dominio que tiene los certificados, etc, esto me lo comentaron en un curso que hacíamos con máquinas virtuales, este tipo de incidencias.

    Por lo demás no noto mucha bajada de rendimiento, aunque es verdad que mi entorno es pequeño: un par de Controladores, un cluster Exchange con 2 nodos, un ISA, un XP y otro Web/FTP Server, como se ve no es un escenario de la realidad empresarial donde puedas tener 100 pc´s y puedas ver esos temas de bajada de rendimiento, pero bueno, como dices, con quitar la gpo o implementarla para sólo los controladores de dominio o algo parecido, se puede solventar e ir viendo resultados.

    Muchas gracias de nuevo !


    Luis Olías Técnico/Admon Sistemas Sevilla (España)
    viernes, 28 de enero de 2011 10:31
  • Hola Luis:

    Por lo que me dices es un problema de DNS, tendríamos que saber que servidor de DNS está resolviendo los nombres para los equipos de la red perimetral, si no está configurado el servidor de DNS interno es totalmente normal, para solucionarlo lo que tendrías que hacer es configurar tu equipo de la red perimetral para que resuelva nombres con tu servidor de DNS interno. En teoría el tráfico de Netbios no debería pasar a través del servidor ISA. Con lo cual debe ser únicamente nombres DNS.

    De VMWare la verdad es que no controlo mucho, pero como apagas todos tu equipos, todos los días es muy importante el orden en que los enciendes. Primero el controlador de dominio que tenga las funciones de maestro de operaciones, ya que esta encendido con el sistema operativo completamente inciando vas encendiendo los demás equipos.

    Saludos!

    Juan Valenzuela

    MCSA, MCSE, MCITP, MCT

    • Marcado como respuesta Luis Olias sábado, 30 de abril de 2011 18:04
    viernes, 28 de enero de 2011 10:58
  • Buenas Juan,

    Gracias por tu tiempo,

    NO es problema DNS, te comento porque: hace ping perfectamente a nombres netbios y a nombres dns, sólo que a veces, va algo más lento dicha resolución, quizás me expliqué mal.

    Estoy casi seguro del tema DNS porque es algo que tengo siempre muy controlado porque nos dijeron en el curso que era la piedra angular de Active Directory, y que si DNS iba mal, uff, malo !

    Otra cosa que tengo muy controlada es el tema de las horas en los equipos porque en cuanto desincronicen más de 5 minutos, kerberos ya no da tiquets, y se lía. Digo esto porque tengo un ISA que no hay manera de sincronizarlo , bueno, lo hago manualmente cada día cuando lo enciendo, y seguí unas pautas en una web muy reputada sobre ISA Server, pero bueno, esto sería otro hilo.

    Seguiré viendo como evoluciona IPSec en todo el dominio, aunque quiero insistir en que mi escenario no es real en tanto en cuanto no dejan de ser 6 máquinas, y en cualquier empresa serán 80 o 100 o más, en una mediana empresa, esto me preocupa, pero como dijiste, siempre se puede quitar la GPO.

    Muchas gracias !

     


    Luis Olías Técnico/Admon Sistemas Sevilla (España)
    lunes, 31 de enero de 2011 13:13