paso a paso - configurar ipsec fe - be exchange 2003 y server 2003 r2
TRANSCRIPT
8/14/2019 Paso a Paso - Configurar IPSec FE - BE Exchange 2003 y Server 2003 R2
http://slidepdf.com/reader/full/paso-a-paso-configurar-ipsec-fe-be-exchange-2003-y-server-2003-r2 1/36
Paso a Paso - Configurar IPSec en un escenario MSExchange Server 2003 Front End – Back End conMS Windows Server 2003 R2
Este documento describe cómo configurar IPSec en un escenario MS Exchange Server 2003 Front End – Back End con MS Windows 2003 R2 teniendo en cuenta que ambos
servidores están en distintos segmentos de red y que se configurara IPSec en modo túnel
encriptando de este manera la información entre estos dos servidores..
Expandir / Comprimir Todo Imprimir Documento Guardar Documento
1. Introducción.
Este documento describe los pasos involucrados en la configuración de IPSecutilizando MS Windows Server 2003 R2 en una topología de Front End – Back End con
MS Exchange Server 2003.
Se entiende por IPSec (IP Security) a una estrategia de seguridad que involucra
distintos protocolos, configuraciones y niveles de encripcion de datos.
Muchas organizaciones no tienen configurados sus servidores MS Exchange Server en
una topología Front End – Back End asegurada por MS ISA Server 2000/2004, si no que
tienen un diseño clásico donde el servidor Front End esta ubicado en la red DMZ y el
servidor Back End en la red LAN, esto implica que en el Firewall debe existir una regla
que permita el trafico desde la red (LAN) hacia la red (DMZ) y viceversa con losrespectivos puertos habilitados.
Si bien hay muchas discusiones respecto del escenario ideal para la implementación de
MS Exchange Server 2003 Front End – Back End este documento se focaliza en como
asegurar la comunicación entre un servidor MS Exchange Server 2003 en la red (DMZ)
como Front End y otro servidor MS Exchange Server 2003 en la red (LAN) como
servidor Back End utilizando IPSec en MS Windows Server 2003 R2.
En el siguiente esquema se ve representado el escenario: (Figura 1)
8/14/2019 Paso a Paso - Configurar IPSec FE - BE Exchange 2003 y Server 2003 R2
http://slidepdf.com/reader/full/paso-a-paso-configurar-ipsec-fe-be-exchange-2003-y-server-2003-r2 2/36
Figura 1
Requisitos:
1. Un Servidor con hardware compatible con Windows Server 2003 y una interfase de red,
configurada con una dirección IP estática en el segmento de red (DMZ) con MS ExchangeServer 2003 configurado como servidor de Front End.
2. Un Servidor con hardware compatible con Windows Server 2003 y una interfase de red,
configurada con una dirección IP estática en el segmento de red (LAN) con MS ExchangeServer 2003 configurado como servidor de Back End.
2. Conceptos.
Antes de comenzar con la configuración de IPSec, se realizaran algunas aclaraciones
respecto de la configuración IPSec que se detallara en este documento.
El protocolo de IPSec puede ser configurado de varias maneras distintas para que se
adapte a las necesidades de seguridad que se deben satisfacer, en este escenario se tiene
por objetivo:
Asegurar la comunicación entre el servidor de MS Exchange Server 2003 de
Back End en la red LAN y el servidor MS Exchange Server 2003 de Front End
en la DMZ.
Encriptar los datos entre el servidor de MS Exchange Server 2003 de Back End
en la red LAN y el servidor MS Exchange Server 2003 de Front End en la DMZ
Para satisfacer estas necesidades debemos configurar IPSec en modo Túnel, en este
modo IPSec cifra el encabezado IP y la carga, adicionalmente el modo túnel protege los
paquetes IP completos, ya que los trata como una carga AH o ESP. De esta manera todo
el paquete IP se encapsula con un encabezado AH o ESP y un encabezado IP adicional.
8/14/2019 Paso a Paso - Configurar IPSec FE - BE Exchange 2003 y Server 2003 R2
http://slidepdf.com/reader/full/paso-a-paso-configurar-ipsec-fe-be-exchange-2003-y-server-2003-r2 3/36
Las direcciones IP del encabezado IP externo son los extremos del túnel, y las
direcciones IP del encabezado IP encapsulado son las direcciones últimas de origen y
de destino.
Para realizar la configuración de IPSec es necesario tener en cuenta los siguientes pasos
de alto nivel.
Crear una directiva de seguridad IP.
Definir reglas de seguridad.
Crear filtros IP.
Crear acciones de filtrado.
Al no ser posible reflejar filtros para el tráfico que pasa por el túnel, se deben
configurar dos reglas. Una regla se utilizará para el tráfico saliente y la otra para el
tráfico entrante. Para la regla de tráfico saliente, el extremo del túnel es la dirección IP
en el otro extremo del túnel. Para la regla de tráfico entrante, el extremo del túnel es
una dirección IP configurada en el equipo local.
3. ¿Como configurar IPSec?
La configuración que se detalla a continuación debe ser realizada tanto en el servidor
de MS Exchange Server 2003 de Back End como en el servidor MS Exchange Server
2003 de Front End.
El primer paso consiste en configurar una consola de administración desde donde
realizaremos la configuración de las reglas IPSec, esta consola de administración va a
ser configurada a traves de una MMC (Microsoft Management Console).
3.0.1 Hacer clic en Inicio.
3.0.2 Hacer clic en Ejecutar.
3.0.3 Ingresar MMC y hacer clic en Aceptar. (Ver Figura 2)
Figura 2
8/14/2019 Paso a Paso - Configurar IPSec FE - BE Exchange 2003 y Server 2003 R2
http://slidepdf.com/reader/full/paso-a-paso-configurar-ipsec-fe-be-exchange-2003-y-server-2003-r2 4/36
Una vez dentro de la MMC debemos agregar el complemento correspondiente.
3.0.4 Hacer clic en Archivo.
3.0.5 Hacer clic en Agregar o quitar complemento.
3.0.6Hacer clic en Agregar.
3.0.7 De la lista de complementos seleccionar Administrador de las directivas
de seguridad de IP y hacer clic en Agregar.
3.0.8 Seleccionar Computadora local y hacer clic en Finalizar.
3.0.9 Hacer clic en Cerrar.
3.0.10 Hacer clic en Aceptar. (Ver Figura 3)
Figura 3
Configurada la consola de administración vamos a proceder a generar las reglas IPSec.
3.0.11 Hacer clic en Directivas de seguridad de IP en Equipo local.3.0.12 Hacer clic con el botón derecho y seleccionar Crear directiva de seguridad
IP.
3.0.13 Una vez en el Asistente debemos ingresar un nombre para la nueva
directiva, en este caso la llamaremos túnel IPSec BE – FE.
3.0.14 Hacer clic en Siguiente. (Ver Figura 4)
8/14/2019 Paso a Paso - Configurar IPSec FE - BE Exchange 2003 y Server 2003 R2
http://slidepdf.com/reader/full/paso-a-paso-configurar-ipsec-fe-be-exchange-2003-y-server-2003-r2 5/36
Figura 4
3.0.15 Deseleccionar la opción Activar la regla de respuesta predeterminada.
3.0.16 Hacer clic en Siguiente. (Ver Figura 5)
8/14/2019 Paso a Paso - Configurar IPSec FE - BE Exchange 2003 y Server 2003 R2
http://slidepdf.com/reader/full/paso-a-paso-configurar-ipsec-fe-be-exchange-2003-y-server-2003-r2 6/36
Figura 5
3.0.17 Dejar seleccionada la opción Editar propiedades.
3.0.18 Hacer clic en Finalizar. (Ver Figura 6)
8/14/2019 Paso a Paso - Configurar IPSec FE - BE Exchange 2003 y Server 2003 R2
http://slidepdf.com/reader/full/paso-a-paso-configurar-ipsec-fe-be-exchange-2003-y-server-2003-r2 7/36
Figura 6
3.0.19 Hacer clic en Agregar. (Ver Figura 7)
8/14/2019 Paso a Paso - Configurar IPSec FE - BE Exchange 2003 y Server 2003 R2
http://slidepdf.com/reader/full/paso-a-paso-configurar-ipsec-fe-be-exchange-2003-y-server-2003-r2 8/36
Figura 7
3.0.20 Un nuevo Asistente se presenta para realizar la configuración de las reglas
de seguridad IP, hacer un clic en Siguiente.
3.0.21 Seleccionar la opción El extremo del túnel esta especificado mediante la
siguiente dirección IP e ingresar la dirección IP 192.168.1.2
3.0.22 Hacer clic en Siguiente. (Ver Figura 8)
8/14/2019 Paso a Paso - Configurar IPSec FE - BE Exchange 2003 y Server 2003 R2
http://slidepdf.com/reader/full/paso-a-paso-configurar-ipsec-fe-be-exchange-2003-y-server-2003-r2 9/36
Figura 8
3.0.23 Seleccionar Red de área local (LAN).
3.0.24 Hacer clic en Siguiente. (Ver Figura 9)
8/14/2019 Paso a Paso - Configurar IPSec FE - BE Exchange 2003 y Server 2003 R2
http://slidepdf.com/reader/full/paso-a-paso-configurar-ipsec-fe-be-exchange-2003-y-server-2003-r2 10/36
Figura 9
3.0.25 En la lista de filtros, hacer clic en Agregar.
3.0.26 Una nueva Consola se presenta, ingresar un nombre para el filtro IP, en
este caso BE – FE.
3.0.27Hacer clic en Agregar. (Ver Figura 10)
8/14/2019 Paso a Paso - Configurar IPSec FE - BE Exchange 2003 y Server 2003 R2
http://slidepdf.com/reader/full/paso-a-paso-configurar-ipsec-fe-be-exchange-2003-y-server-2003-r2 11/36
Figura 10
3.0.28 Un nuevo Asistente se presenta, hacer clic en Siguiente.
3.0.29 Deseleccionar la opción Reflejado… y hacer clic en Siguiente. (Ver Figura
11)
8/14/2019 Paso a Paso - Configurar IPSec FE - BE Exchange 2003 y Server 2003 R2
http://slidepdf.com/reader/full/paso-a-paso-configurar-ipsec-fe-be-exchange-2003-y-server-2003-r2 12/36
Figura 11
3.0.30 En la lista desplegable seleccionar Dirección IP especifica e ingresar la
dirección IP 192.168.2.2.
3.0.31 Hacer clic en Siguiente. (Ver Figura 12)
8/14/2019 Paso a Paso - Configurar IPSec FE - BE Exchange 2003 y Server 2003 R2
http://slidepdf.com/reader/full/paso-a-paso-configurar-ipsec-fe-be-exchange-2003-y-server-2003-r2 13/36
Figura 12
3.0.32 En la lista desplegable seleccionar Dirección IP especifica e ingresar la
dirección IP 192.168.1.2.
3.0.33 Hacer clic en Siguiente. (Ver Figura 13)
8/14/2019 Paso a Paso - Configurar IPSec FE - BE Exchange 2003 y Server 2003 R2
http://slidepdf.com/reader/full/paso-a-paso-configurar-ipsec-fe-be-exchange-2003-y-server-2003-r2 14/36
Figura 13
3.0.34 En la lista desplegable de protocolos, seleccionar Cualquiera.
3.0.35 Hacer un clic en Siguiente. (Ver Figura 14)
8/14/2019 Paso a Paso - Configurar IPSec FE - BE Exchange 2003 y Server 2003 R2
http://slidepdf.com/reader/full/paso-a-paso-configurar-ipsec-fe-be-exchange-2003-y-server-2003-r2 15/36
Figura 14
3.0.36 Hacer clic en Finalizar.
3.0.37 Repetir los pasos desde el punto 2.0.28 al punto 2.0.36 teniendo en cuenta
que es necesario invertir las direcciones IP de origen y destino, de tal
manera que la lista de filtros quede como se ve a continuación. (Ver Figura
15)
8/14/2019 Paso a Paso - Configurar IPSec FE - BE Exchange 2003 y Server 2003 R2
http://slidepdf.com/reader/full/paso-a-paso-configurar-ipsec-fe-be-exchange-2003-y-server-2003-r2 16/36
Figura 15
3.0.37 En la Lista de filtros IP hacer clic en Agregar. (Ver Figura 16)
8/14/2019 Paso a Paso - Configurar IPSec FE - BE Exchange 2003 y Server 2003 R2
http://slidepdf.com/reader/full/paso-a-paso-configurar-ipsec-fe-be-exchange-2003-y-server-2003-r2 17/36
Figura 16
3.0.38 Ingresar un nombre para el nuevo filtro, en este caso FE – BE.
3.0.39 Hacer clic en Agregar. (Ver Figura 17)
8/14/2019 Paso a Paso - Configurar IPSec FE - BE Exchange 2003 y Server 2003 R2
http://slidepdf.com/reader/full/paso-a-paso-configurar-ipsec-fe-be-exchange-2003-y-server-2003-r2 18/36
Figura 17
Repetir los pasos desde el punto 2.0.28 al punto 2.0.36 teniendo en cuenta que es
necesario invertir las direcciones IP de origen y destino, de tal manera que la lista de
filtros quede como se ve a continuación. (Ver Figura 18)
8/14/2019 Paso a Paso - Configurar IPSec FE - BE Exchange 2003 y Server 2003 R2
http://slidepdf.com/reader/full/paso-a-paso-configurar-ipsec-fe-be-exchange-2003-y-server-2003-r2 19/36
Figura 18
Configurados los filtros IP, es necesario configurar las acciones de filtrado. (Ver Figura
19)
8/14/2019 Paso a Paso - Configurar IPSec FE - BE Exchange 2003 y Server 2003 R2
http://slidepdf.com/reader/full/paso-a-paso-configurar-ipsec-fe-be-exchange-2003-y-server-2003-r2 20/36
Figura 19
3.0.40 De la lista de filtros, seleccionar BE – FE.
3.0.41 Hacer clic en Siguiente.
3.0.42 Hacer clic en Agregar. (Ver Figura 20)
8/14/2019 Paso a Paso - Configurar IPSec FE - BE Exchange 2003 y Server 2003 R2
http://slidepdf.com/reader/full/paso-a-paso-configurar-ipsec-fe-be-exchange-2003-y-server-2003-r2 21/36
Figura 20
3.0.37 Un nuevo Asistente se presenta, hacer clic en Siguiente.
3.0.38 Ingresar un nombre para la acción de filtrado, en este ejemplo utilizaremos
Seguridad BE – FE.
3.0.39 Hacer clic en Siguiente. (Ver Figura 21)
8/14/2019 Paso a Paso - Configurar IPSec FE - BE Exchange 2003 y Server 2003 R2
http://slidepdf.com/reader/full/paso-a-paso-configurar-ipsec-fe-be-exchange-2003-y-server-2003-r2 22/36
Figura 21
3.0.40 En las opciones generales de la acción de filtrado, hacer clic en Negociar la
seguridad.
3.0.41 Hacer clic en Siguiente. (Ver Figura 22)
8/14/2019 Paso a Paso - Configurar IPSec FE - BE Exchange 2003 y Server 2003 R2
http://slidepdf.com/reader/full/paso-a-paso-configurar-ipsec-fe-be-exchange-2003-y-server-2003-r2 23/36
Figura 22
3.0.42 Hacer clic en No comunicar equipos que no son compatibles con IPSec.
3.0.43 Hacer clic en Siguiente. (Ver Figura 23)
8/14/2019 Paso a Paso - Configurar IPSec FE - BE Exchange 2003 y Server 2003 R2
http://slidepdf.com/reader/full/paso-a-paso-configurar-ipsec-fe-be-exchange-2003-y-server-2003-r2 24/36
Figura 23
3.0.44 En seguridad del trafico IP, hacer clic en Integridad y cifrado.
3.0.45 Hacer clic en Siguiente. (Ver Figura 24)
8/14/2019 Paso a Paso - Configurar IPSec FE - BE Exchange 2003 y Server 2003 R2
http://slidepdf.com/reader/full/paso-a-paso-configurar-ipsec-fe-be-exchange-2003-y-server-2003-r2 25/36
Figura 24
3.0.46 Hacer clic en Finalizar.
El asistente para reglas de seguridad, debería quedar como se muestra a continuación.
(Ver Figura 25)
8/14/2019 Paso a Paso - Configurar IPSec FE - BE Exchange 2003 y Server 2003 R2
http://slidepdf.com/reader/full/paso-a-paso-configurar-ipsec-fe-be-exchange-2003-y-server-2003-r2 26/36
Figura 25
3.0.47 Hacer clic en Seguridad BE – FE.
3.0.48 Hacer clic en Siguiente.
3.0.49 En método de autenticación, hacer clic en Valor predeterminado de Active
Directory (protocolo Kerberos V5).3.0.50 Hacer clic en Siguiente. (Ver Figura 26)
3.0.51 Hacer clic en Finalizar.
8/14/2019 Paso a Paso - Configurar IPSec FE - BE Exchange 2003 y Server 2003 R2
http://slidepdf.com/reader/full/paso-a-paso-configurar-ipsec-fe-be-exchange-2003-y-server-2003-r2 27/36
Figura 26
Las propiedades de Túnel IPSec BE – FE deberían quedar como se ve a continuación.
(Ver Figura 27)
8/14/2019 Paso a Paso - Configurar IPSec FE - BE Exchange 2003 y Server 2003 R2
http://slidepdf.com/reader/full/paso-a-paso-configurar-ipsec-fe-be-exchange-2003-y-server-2003-r2 28/36
Figura 27
3.0.52 Hacer clic en Agregar.
3.0.53 Hacer clic en Siguiente.
3.0.54 En Punto final del túnel , ingresar la dirección IP del servidor Back End, en
este caso IP 192.168.2.23.0.55 Hacer clic en Siguiente. (Ver Figura 28)
8/14/2019 Paso a Paso - Configurar IPSec FE - BE Exchange 2003 y Server 2003 R2
http://slidepdf.com/reader/full/paso-a-paso-configurar-ipsec-fe-be-exchange-2003-y-server-2003-r2 29/36
Figura 28
3.0.56 En Tipo de red, seleccionar Red de área local (LAN).
3.0.57 Hacer clic en Siguiente. (Ver figura 29).
8/14/2019 Paso a Paso - Configurar IPSec FE - BE Exchange 2003 y Server 2003 R2
http://slidepdf.com/reader/full/paso-a-paso-configurar-ipsec-fe-be-exchange-2003-y-server-2003-r2 30/36
Figura 29
3.0.58 En la lista de filtros IP, hacer clic en FE – BE.
3.0.59 Hacer clic en Siguiente. (Ver Figura 30)
8/14/2019 Paso a Paso - Configurar IPSec FE - BE Exchange 2003 y Server 2003 R2
http://slidepdf.com/reader/full/paso-a-paso-configurar-ipsec-fe-be-exchange-2003-y-server-2003-r2 31/36
Figura 30
3.0.60 En las acciones de filtrado, hacer clic en Seguridad BE – FE.
3.0.61 Hacer clic en Siguiente. (Ver Figura 31)
8/14/2019 Paso a Paso - Configurar IPSec FE - BE Exchange 2003 y Server 2003 R2
http://slidepdf.com/reader/full/paso-a-paso-configurar-ipsec-fe-be-exchange-2003-y-server-2003-r2 32/36
Figura 31
3.0.62 En método de autenticación, seleccionar Valor predeterminado de Active
Directory (protocolo Kerberos V5).
3.0.63 Hacer clic en Siguiente. (Ver Figura 32)
3.0.64 Hacer clic en Finalizar.
8/14/2019 Paso a Paso - Configurar IPSec FE - BE Exchange 2003 y Server 2003 R2
http://slidepdf.com/reader/full/paso-a-paso-configurar-ipsec-fe-be-exchange-2003-y-server-2003-r2 33/36
Figura 32
Las propiedades del túnel IPSec BE – FE deberían quedar como se muestra a
continuación. (Ver Figura 33)
8/14/2019 Paso a Paso - Configurar IPSec FE - BE Exchange 2003 y Server 2003 R2
http://slidepdf.com/reader/full/paso-a-paso-configurar-ipsec-fe-be-exchange-2003-y-server-2003-r2 34/36
Figura 33
4. ¿Como monitorear IPSec?
La configuración que se detalla a continuación debe ser realizada tanto en el servidor
de MS Exchange Server 2003 de Back End como en el servidor MS Exchange Server
2003 de Front End.
Previamente se detallo como configurar una consola de administración MMC
(Microsoft Management Console), para realizar el monitoreo de IPSec agregaremos un
complemento adicional a esta MMC.
8/14/2019 Paso a Paso - Configurar IPSec FE - BE Exchange 2003 y Server 2003 R2
http://slidepdf.com/reader/full/paso-a-paso-configurar-ipsec-fe-be-exchange-2003-y-server-2003-r2 35/36
4.1 Dentro de la MMC.
4.2 Hacer clic en Archivo.
4.3 Hacer clic en Agregar o quitar complemento.
4.4 Hacer clic en Agregar.
4.5 Seleccionar de la lista de complementos Monitor de Seguridad IP. (Ver
Figura 34)
Figura 34
4.6 Hacer clic en Agregar.
4.7 Hacer clic en Aceptar. (Ver Figura 35)
8/14/2019 Paso a Paso - Configurar IPSec FE - BE Exchange 2003 y Server 2003 R2
http://slidepdf.com/reader/full/paso-a-paso-configurar-ipsec-fe-be-exchange-2003-y-server-2003-r2 36/36
Figura 35
Conclusión.
A lo largo del documento se demostró cómo configurar IPSec en MS Windows Server 2003, en
un entorno Microsoft Exchange Server 2003 Front End – Back End, como así también la formade monitorear esta comunicación.
Referencias.
En el sitio Microsoft Windows 2003 TechCenter:http://support.microsoft.com/default.aspx?scid=kb;en-us;300429En el sitio Technet Latinoamérica:http://www.microsoft.com/latam/technet/recursos/howto/default.asp
Autor.
Emiliano Gastón Estevez, socio y consultor de Algeiba S.A. ([email protected]). Es el
encargado de proyectos en infraestructura de IT. Tiene más de 9 años de experiencia comoprofesional de IT. Ha trabajado en diferentes empresas nacionales y multinacionales,contribuyendo a incrementar la disponibilidad, seguridad y performance de sus centros dedatos. Es MCSA (Microsoft Certified Systems Administrator) en MS Windows 2000/2003 yMCSE (Microsoft Certified Systems Engineer) en MS Windows 2000/2003, ambascertificaciones con especialización en Messaging. Certificó como Cisco CRS (CustomerResponse Solutions) y Cisco UCSE (Unified Communications System Engineer). Se desempeñócomo instructor de la carrera de MCSA/MCSE en MS Windows 2000 en Executrain.