paso a paso - configurar ipsec fe - be exchange 2003 y server 2003 r2

8/14/2019 Paso a Paso - Configurar IPSec FE - BE Exchange 2003 y Server 2003 R2

http://slidepdf.com/reader/full/paso-a-paso-configurar-ipsec-fe-be-exchange-2003-y-server-2003-r2 1/36

Paso a Paso - Configurar IPSec en un escenario MSExchange Server 2003 Front End – Back End conMS Windows Server 2003 R2

Este documento describe cómo configurar IPSec en un escenario MS Exchange Server 2003 Front End – Back End con MS Windows 2003 R2 teniendo en cuenta que ambos

servidores están en distintos segmentos de red y que se configurara IPSec en modo túnel

encriptando de este manera la información entre estos dos servidores..

Expandir / Comprimir Todo Imprimir Documento Guardar Documento

1. Introducción.

Este documento describe los pasos involucrados en la configuración de IPSecutilizando MS Windows Server 2003 R2 en una topología de Front End – Back End con

MS Exchange Server 2003.

Se entiende por IPSec (IP Security) a una estrategia de seguridad que involucra

distintos protocolos, configuraciones y niveles de encripcion de datos.

Muchas organizaciones no tienen configurados sus servidores MS Exchange Server en

una topología Front End – Back End asegurada por MS ISA Server 2000/2004, si no que

tienen un diseño clásico donde el servidor Front End esta ubicado en la red DMZ y el

servidor Back End en la red LAN, esto implica que en el Firewall debe existir una regla

que permita el trafico desde la red (LAN) hacia la red (DMZ) y viceversa con losrespectivos puertos habilitados.

Si bien hay muchas discusiones respecto del escenario ideal para la implementación de

MS Exchange Server 2003 Front End – Back End este documento se focaliza en como

asegurar la comunicación entre un servidor MS Exchange Server 2003 en la red (DMZ)

como Front End y otro servidor MS Exchange Server 2003 en la red (LAN) como

servidor Back End utilizando IPSec en MS Windows Server 2003 R2.

En el siguiente esquema se ve representado el escenario: (Figura 1)



Figura 1

Requisitos:

1. Un Servidor con hardware compatible con Windows Server 2003 y una interfase de red,

configurada con una dirección IP estática en el segmento de red (DMZ) con MS ExchangeServer 2003 configurado como servidor de Front End.

2. Un Servidor con hardware compatible con Windows Server 2003 y una interfase de red,

configurada con una dirección IP estática en el segmento de red (LAN) con MS ExchangeServer 2003 configurado como servidor de Back End.

2. Conceptos.

Antes de comenzar con la configuración de IPSec, se realizaran algunas aclaraciones

respecto de la configuración IPSec que se detallara en este documento.

El protocolo de IPSec puede ser configurado de varias maneras distintas para que se

adapte a las necesidades de seguridad que se deben satisfacer, en este escenario se tiene

por objetivo:

Asegurar la comunicación entre el servidor de MS Exchange Server 2003 de

Back End en la red LAN y el servidor MS Exchange Server 2003 de Front End

en la DMZ.

Encriptar los datos entre el servidor de MS Exchange Server 2003 de Back End

en la red LAN y el servidor MS Exchange Server 2003 de Front End en la DMZ

Para satisfacer estas necesidades debemos configurar IPSec en modo Túnel, en este

modo IPSec cifra el encabezado IP y la carga, adicionalmente el modo túnel protege los

paquetes IP completos, ya que los trata como una carga AH o ESP. De esta manera todo

el paquete IP se encapsula con un encabezado AH o ESP y un encabezado IP adicional.



Las direcciones IP del encabezado IP externo son los extremos del túnel, y las

direcciones IP del encabezado IP encapsulado son las direcciones últimas de origen y

de destino.

Para realizar la configuración de IPSec es necesario tener en cuenta los siguientes pasos

de alto nivel.

Crear una directiva de seguridad IP.

Definir reglas de seguridad.

Crear filtros IP.

Crear acciones de filtrado.

Al no ser posible reflejar filtros para el tráfico que pasa por el túnel, se deben

configurar dos reglas. Una regla se utilizará para el tráfico saliente y la otra para el

tráfico entrante. Para la regla de tráfico saliente, el extremo del túnel es la dirección IP

en el otro extremo del túnel. Para la regla de tráfico entrante, el extremo del túnel es

una dirección IP configurada en el equipo local.

3. ¿Como configurar IPSec?

La configuración que se detalla a continuación debe ser realizada tanto en el servidor

de MS Exchange Server 2003 de Back End como en el servidor MS Exchange Server

2003 de Front End.

El primer paso consiste en configurar una consola de administración desde donde

realizaremos la configuración de las reglas IPSec, esta consola de administración va a

ser configurada a traves de una MMC (Microsoft Management Console).

3.0.1 Hacer clic en Inicio.

3.0.2 Hacer clic en Ejecutar.

3.0.3 Ingresar MMC y hacer clic en Aceptar. (Ver Figura 2)

Figura 2



Una vez dentro de la MMC debemos agregar el complemento correspondiente.

3.0.4 Hacer clic en Archivo.

3.0.5 Hacer clic en Agregar o quitar complemento.

3.0.6Hacer clic en Agregar.

3.0.7 De la lista de complementos seleccionar Administrador de las directivas

de seguridad de IP y hacer clic en Agregar.

3.0.8 Seleccionar Computadora local y hacer clic en Finalizar.

3.0.9 Hacer clic en Cerrar.

3.0.10 Hacer clic en Aceptar. (Ver Figura 3)

Figura 3

Configurada la consola de administración vamos a proceder a generar las reglas IPSec.

3.0.11 Hacer clic en Directivas de seguridad de IP en Equipo local.3.0.12 Hacer clic con el botón derecho y seleccionar Crear directiva de seguridad

IP.

3.0.13 Una vez en el Asistente debemos ingresar un nombre para la nueva

directiva, en este caso la llamaremos túnel IPSec BE – FE.

3.0.14 Hacer clic en Siguiente. (Ver Figura 4)



Figura 4

3.0.15 Deseleccionar la opción Activar la regla de respuesta predeterminada.




Figura 5

3.0.17 Dejar seleccionada la opción Editar propiedades.

3.0.18 Hacer clic en Finalizar. (Ver Figura 6)



Figura 6

3.0.19 Hacer clic en Agregar. (Ver Figura 7)



Figura 7

3.0.20 Un nuevo Asistente se presenta para realizar la configuración de las reglas

de seguridad IP, hacer un clic en Siguiente.

3.0.21 Seleccionar la opción El extremo del túnel esta especificado mediante la

siguiente dirección IP e ingresar la dirección IP 192.168.1.2




Figura 8

3.0.23 Seleccionar Red de área local (LAN).




Figura 9

3.0.25 En la lista de filtros, hacer clic en Agregar.

3.0.26 Una nueva Consola se presenta, ingresar un nombre para el filtro IP, en

este caso BE – FE.

3.0.27Hacer clic en Agregar. (Ver Figura 10)



Figura 10

3.0.28 Un nuevo Asistente se presenta, hacer clic en Siguiente.

3.0.29 Deseleccionar la opción Reflejado… y hacer clic en Siguiente. (Ver Figura

11)



Figura 11

3.0.30 En la lista desplegable seleccionar Dirección IP especifica e ingresar la

dirección IP 192.168.2.2.




Figura 12

3.0.32 En la lista desplegable seleccionar Dirección IP especifica e ingresar la

dirección IP 192.168.1.2.




Figura 13

3.0.34 En la lista desplegable de protocolos, seleccionar Cualquiera.

3.0.35 Hacer un clic en Siguiente. (Ver Figura 14)



Figura 14

3.0.36 Hacer clic en Finalizar.

3.0.37 Repetir los pasos desde el punto 2.0.28 al punto 2.0.36 teniendo en cuenta

que es necesario invertir las direcciones IP de origen y destino, de tal

manera que la lista de filtros quede como se ve a continuación. (Ver Figura

15)



Figura 15

3.0.37 En la Lista de filtros IP hacer clic en Agregar. (Ver Figura 16)



Figura 16

3.0.38 Ingresar un nombre para el nuevo filtro, en este caso FE – BE.




Figura 17

Repetir los pasos desde el punto 2.0.28 al punto 2.0.36 teniendo en cuenta que es

necesario invertir las direcciones IP de origen y destino, de tal manera que la lista de

filtros quede como se ve a continuación. (Ver Figura 18)



Figura 18

Configurados los filtros IP, es necesario configurar las acciones de filtrado. (Ver Figura

19)



Figura 19

3.0.40 De la lista de filtros, seleccionar BE – FE.

3.0.41 Hacer clic en Siguiente.




Figura 20

3.0.37 Un nuevo Asistente se presenta, hacer clic en Siguiente.

3.0.38 Ingresar un nombre para la acción de filtrado, en este ejemplo utilizaremos

Seguridad BE – FE.




Figura 21

3.0.40 En las opciones generales de la acción de filtrado, hacer clic en Negociar la

seguridad.




Figura 22

3.0.42 Hacer clic en No comunicar equipos que no son compatibles con IPSec.




Figura 23

3.0.44 En seguridad del trafico IP, hacer clic en Integridad y cifrado.




Figura 24


El asistente para reglas de seguridad, debería quedar como se muestra a continuación.

(Ver Figura 25)



Figura 25

3.0.47 Hacer clic en Seguridad BE – FE.


3.0.49 En método de autenticación, hacer clic en Valor predeterminado de Active

Directory (protocolo Kerberos V5).3.0.50 Hacer clic en Siguiente. (Ver Figura 26)




Figura 26

Las propiedades de Túnel IPSec BE – FE deberían quedar como se ve a continuación.

(Ver Figura 27)



Figura 27

3.0.52 Hacer clic en Agregar.


3.0.54 En Punto final del túnel , ingresar la dirección IP del servidor Back End, en

este caso IP 192.168.2.23.0.55 Hacer clic en Siguiente. (Ver Figura 28)



Figura 28

3.0.56 En Tipo de red, seleccionar Red de área local (LAN).

3.0.57 Hacer clic en Siguiente. (Ver figura 29).



Figura 29

3.0.58 En la lista de filtros IP, hacer clic en FE – BE.




Figura 30

3.0.60 En las acciones de filtrado, hacer clic en Seguridad BE – FE.




Figura 31

3.0.62 En método de autenticación, seleccionar Valor predeterminado de Active

Directory (protocolo Kerberos V5).





Figura 32

Las propiedades del túnel IPSec BE – FE deberían quedar como se muestra a

continuación. (Ver Figura 33)



Figura 33

4. ¿Como monitorear IPSec?

La configuración que se detalla a continuación debe ser realizada tanto en el servidor

de MS Exchange Server 2003 de Back End como en el servidor MS Exchange Server

2003 de Front End.

Previamente se detallo como configurar una consola de administración MMC

(Microsoft Management Console), para realizar el monitoreo de IPSec agregaremos un

complemento adicional a esta MMC.



4.1 Dentro de la MMC.

4.2 Hacer clic en Archivo.

4.3 Hacer clic en Agregar o quitar complemento.

4.4 Hacer clic en Agregar.

4.5 Seleccionar de la lista de complementos Monitor de Seguridad IP. (Ver

Figura 34)

Figura 34

4.6 Hacer clic en Agregar.

4.7 Hacer clic en Aceptar. (Ver Figura 35)



Figura 35

Conclusión.

A lo largo del documento se demostró cómo configurar IPSec en MS Windows Server 2003, en

un entorno Microsoft Exchange Server 2003 Front End – Back End, como así también la formade monitorear esta comunicación.

Referencias.

En el sitio Microsoft Windows 2003 TechCenter:http://support.microsoft.com/default.aspx?scid=kb;en-us;300429En el sitio Technet Latinoamérica:http://www.microsoft.com/latam/technet/recursos/howto/default.asp

Autor.

Emiliano Gastón Estevez, socio y consultor de Algeiba S.A. ([email protected]). Es el

encargado de proyectos en infraestructura de IT. Tiene más de 9 años de experiencia comoprofesional de IT. Ha trabajado en diferentes empresas nacionales y multinacionales,contribuyendo a incrementar la disponibilidad, seguridad y performance de sus centros dedatos. Es MCSA (Microsoft Certified Systems Administrator) en MS Windows 2000/2003 yMCSE (Microsoft Certified Systems Engineer) en MS Windows 2000/2003, ambascertificaciones con especialización en Messaging. Certificó como Cisco CRS (CustomerResponse Solutions) y Cisco UCSE (Unified Communications System Engineer). Se desempeñócomo instructor de la carrera de MCSA/MCSE en MS Windows 2000 en Executrain.

http://support.microsoft.com/default.aspx?scid=kb;en-us;300429

http://www.microsoft.com/latam/technet/recursos/howto/default.asp

http://support.microsoft.com/default.aspx?scid=kb;en-us;300429

http://www.microsoft.com/latam/technet/recursos/howto/default.asp

paso a paso - configurar ipsec fe - be exchange 2003 y server 2003 r2

Documents