IpSec en la Red

Para una introducción
http://www.microsoft.com/technet/ne...fault.mspx creo que Win2003
no tiene soporte para servicios IPv6 lo que sí tiene Longhorn (no estoy
seguro de esto con respecto a win2003)

Con respecto a IPSec va a depender mucho que tipo de tráfico querés
proteger. Ten en cuenta que existen dos tipos de conexiones IPSec que puedes
montar con Win2000/XP/2003... una son los paquetes firmados unicamente (o
Authentication Header) en donde solamente se firma el paquete para que el
destinatario reconozca que dicho paquete no fue modificado en tránsito. Si
quieres encriptar el paquete para que además no lo puedan ver, puedes
utilizar ESP.
Win2K/XP/2003 te permite crear conexiones IPsec basadas en varios filtros y
distintas condiciones que te permiten decidir si tal o cual tráfico entre
dos máquinas va a ser encriptado o no.
Estas operaciones de firma y/o encripción son realizadas por software con lo
que afectas más que nada la performance de tu microprocesador (y dependerá
nuevamente de la cantidad de información que encriptes o firmes entre dos
hosts dados)

http://www.microsoft.com/technet/ne...fault.mspx


Saludos

Rodrigo de los Santos
rodrigo at dlssolutions dot net
www.dlssolutions.net

"David" wrote in message
news:

Buenos dias a todos
Tengo una red en dominio, windows 2003 server y clientes Windows Xp Sp2.

Me gustaria poder aplicar IPSEC en la red , osea que todas las
comunicaciones, todas las tramas que pasen por la red sean ipsec.

Mis dudas son varias. Primero, el Servidor dhcp, como sirve direcciones
ipv6, es posible?. Me gustaria si puede ser, algun tipo de información
extensa de como aplicar ipsec en una red windows, si teneis algun site de
donde pueda coger información, y me explique bien las características y
funcionalidades y posibilidades en mi red. Es necesario cambiar mi
hardware
para usar ipsec?, hasta donde puedo llegar sin tener que cambiar hardware?

Perdonad si mis preguntas me hacen parecer bastante ignorante sobre tema.

Muchas Gracias

David

Ante todo muchas gracias por tu respuesta rodrigo..

Estonces... es posible cifrar todo el tráfico que corra por mi red??? , la
cual está compuesta de un servidor de dominio, y los clientes?

Podria incluso hacer que si viene alguien de fuera con un portatli, pdria
impedir que se asignara una ip de la red y puediera de alguna forma, snifar
tráfico?, porque impedir que esa ip sea válida sin haber sido asignada por el
servidor de dhcp no es posible no???

Muchas Gracias de nuevo


David




"Rodrigo de los Santos" wrote:

Para una introducción
http://www.microsoft.com/technet/ne...fault.mspx creo que Win2003
no tiene soporte para servicios IPv6 lo que sí tiene Longhorn (no estoy
seguro de esto con respecto a win2003)

Con respecto a IPSec va a depender mucho que tipo de tráfico querés
proteger. Ten en cuenta que existen dos tipos de conexiones IPSec que puedes
montar con Win2000/XP/2003... una son los paquetes firmados unicamente (o
Authentication Header) en donde solamente se firma el paquete para que el
destinatario reconozca que dicho paquete no fue modificado en tránsito. Si
quieres encriptar el paquete para que además no lo puedan ver, puedes
utilizar ESP.
Win2K/XP/2003 te permite crear conexiones IPsec basadas en varios filtros y
distintas condiciones que te permiten decidir si tal o cual tráfico entre
dos máquinas va a ser encriptado o no.
Estas operaciones de firma y/o encripción son realizadas por software con lo
que afectas más que nada la performance de tu microprocesador (y dependerá
nuevamente de la cantidad de información que encriptes o firmes entre dos
hosts dados)

http://www.microsoft.com/technet/ne...fault.mspx


Saludos

Rodrigo de los Santos
rodrigo at dlssolutions dot net
www.dlssolutions.net

"David" wrote in message
news:
> Buenos dias a todos
> Tengo una red en dominio, windows 2003 server y clientes Windows Xp Sp2.
>
> Me gustaria poder aplicar IPSEC en la red , osea que todas las
> comunicaciones, todas las tramas que pasen por la red sean ipsec.
>
> Mis dudas son varias. Primero, el Servidor dhcp, como sirve direcciones
> ipv6, es posible?. Me gustaria si puede ser, algun tipo de información
> extensa de como aplicar ipsec en una red windows, si teneis algun site de
> donde pueda coger información, y me explique bien las características y
> funcionalidades y posibilidades en mi red. Es necesario cambiar mi
> hardware
> para usar ipsec?, hasta donde puedo llegar sin tener que cambiar hardware?
>
> Perdonad si mis preguntas me hacen parecer bastante ignorante sobre tema.
>
> Muchas Gracias
>
> David

Exacto si utilizas el modo ESP de encriptación y no firmado AH (el firmado
no encripta solo verifica que los datos no fueron alterados)

Ahi me mataste con respecto al DHCP... habría que probarlo yo nunca encripte
desde y hacia el DHCP ... ya que ... si no tenes IP como armas el tunel?

Si podes armarte un vitual lab con un dhcp y un cliente y aplicar ipsec
entre los dos sería ideal. Ten cuidado de no aplicar IPSec a todas las
comunicaciones si tienes equipos que no soportan dicha configuración o no
soportarán el método de autenticación que elijas (por ej. un router o la
administración de algún switch, etc)

Tambien tené en cuenta lo siguiente, si alguien viene de afuera a sniffar y
tu red esta completamente switcheada o al menos hay swtiches en donde el
"attacker" podría sniffear, solo vería el tráfico generado por el, y
recibido por el más información de broadcast que pueda llegar a recibir.

Recuerda que a mayor cantidad de encripción mayor perdida de performance.
Trata de evaluar tus políticas con un grupo reducido de usuarios para ver
como se comportan.


Saludos

Rodrigo de los Santos
rodrigo at dlssolutions dot net
www.dlssolutions.net


"David" wrote in message
news:

Ante todo muchas gracias por tu respuesta rodrigo..

Estonces... es posible cifrar todo el tráfico que corra por mi red??? , la
cual está compuesta de un servidor de dominio, y los clientes?

Podria incluso hacer que si viene alguien de fuera con un portatli, pdria
impedir que se asignara una ip de la red y puediera de alguna forma,
snifar
tráfico?, porque impedir que esa ip sea válida sin haber sido asignada por
el
servidor de dhcp no es posible no???

Muchas Gracias de nuevo


David




"Rodrigo de los Santos" wrote:

Para una introducción
http://www.microsoft.com/technet/ne...fault.mspx creo que
Win2003
no tiene soporte para servicios IPv6 lo que sí tiene Longhorn (no estoy
seguro de esto con respecto a win2003)

Con respecto a IPSec va a depender mucho que tipo de tráfico querés
proteger. Ten en cuenta que existen dos tipos de conexiones IPSec que
puedes
montar con Win2000/XP/2003... una son los paquetes firmados unicamente (o
Authentication Header) en donde solamente se firma el paquete para que el
destinatario reconozca que dicho paquete no fue modificado en tránsito.
Si
quieres encriptar el paquete para que además no lo puedan ver, puedes
utilizar ESP.
Win2K/XP/2003 te permite crear conexiones IPsec basadas en varios filtros
y
distintas condiciones que te permiten decidir si tal o cual tráfico entre
dos máquinas va a ser encriptado o no.
Estas operaciones de firma y/o encripción son realizadas por software con
lo
que afectas más que nada la performance de tu microprocesador (y
dependerá
nuevamente de la cantidad de información que encriptes o firmes entre dos
hosts dados)

http://www.microsoft.com/technet/ne...fault.mspx


Saludos

Rodrigo de los Santos
rodrigo at dlssolutions dot net
www.dlssolutions.net

"David" wrote in message
news:
> Buenos dias a todos
> Tengo una red en dominio, windows 2003 server y clientes Windows Xp
> Sp2.
>
> Me gustaria poder aplicar IPSEC en la red , osea que todas las
> comunicaciones, todas las tramas que pasen por la red sean ipsec.
>
> Mis dudas son varias. Primero, el Servidor dhcp, como sirve direcciones
> ipv6, es posible?. Me gustaria si puede ser, algun tipo de información
> extensa de como aplicar ipsec en una red windows, si teneis algun site
> de
> donde pueda coger información, y me explique bien las características y
> funcionalidades y posibilidades en mi red. Es necesario cambiar mi
> hardware
> para usar ipsec?, hasta donde puedo llegar sin tener que cambiar
> hardware?
>
> Perdonad si mis preguntas me hacen parecer bastante ignorante sobre
> tema.
>
> Muchas Gracias
>
> David