Orden de los filtros IPsec: The Cable Guy - Febrero de 2005
Orden de los filtros IPsec
Publicado: febrero 2, 2005
.gif)
Por The Cable Guy
Para obtener una lista e información adicional acerca de todas las columnas de The Cable Guy, haga clic aquí
En esta página
.gif){kind=icon}
Introducción
Calcular el valor de ponderación de los filtros IPsec
Ejemplo de filtros IPsec
Para obtener más información
Introducción
Seguridad de Protocolo Internet (IPsec) es un marco de estándares abiertos que garantiza las comunicaciones privadas y seguras a través de las redes IP (Protocolo Internet) mediante el uso de servicios de seguridad criptográficos. Para obtener información general sobre IPsec y su compatibilidad con Microsoft® Windows Server™ 2003, consulte el documento Seguridad de Protocolo Internet para Microsoft Windows Server 2003 (en inglés).
Para IPsec de Windows®, debe configurar y asignar una directiva IPsec que especifique cómo debe administrarse el tráfico IP. Una directiva IPsec es un conjunto de reglas configuradas. Cada regla especifica lo siguiente:
Una lista de filtros IP, que define un conjunto de tráfico IP. Por ejemplo, una lista de filtros IP puede estar formada por un único filtro que especifique todos los tipos de tráfico, o puede estar integrada por un conjunto de filtros para, por ejemplo, el tráfico de un grupo específico de servidores.
Una acción de filtrado, que define cómo se administra el tráfico. Con IPsec de Windows, puede especificar que se permita el tráfico (sin necesidad de servicios criptográficos), que se bloquee (se descarte sin previo aviso, a modo de un servidor de seguridad) o que se proteja (mediante servicios criptográficos de IPsec).
Si se protege el tráfico, también debe especificar de qué modo se va a proteger, un método de autenticación, si va a utilizar o no túneles IPsec y el tipo de conexión al que se aplica el tráfico protegido.
Cada regla asocia una lista de filtros IP (un conjunto de tráfico relevante) a una acción de filtrado (qué se hace con ese tráfico). Por ejemplo, puede configurar una directiva IPsec con tres reglas que especifiquen:
Regla A: Bloquear el tráfico enviado y recibido desde cualquier dirección IP.
Regla B: Permitir el tráfico que coincida con el prefijo de dirección utilizado en mi intranet.
Regla C: Proteger el tráfico que coincida con las direcciones IP de mis tres servidores de recursos.
Esta directiva simplificada permite que un equipo de una intranet:
Proteja las comunicaciones con los servidores de recursos
Permita las comunicaciones con otros equipos de la intranet
Bloquee todo el tráfico restante
Las reglas de una directiva IPsec no tienen un orden definido. En nuestra directiva de ejemplo, las designaciones de Regla A, Regla B y Regla C son sólo nombres prácticos utilizados en este artículo. Sin embargo, debe haber un método de determinar cómo se administra el tráfico que coincide con varias reglas. En nuestra directiva de ejemplo, un paquete entrante de un equipo en una subred del mismo nivel de IPsec coincide con la Regla A (procedente de cualquier dirección IP) y con la Regla B (procedente de una dirección que coincide con el prefijo de dirección de la intranet). IPsec no puede bloquear (Regla A) y permitir (Regla B) al mismo tiempo el paquete entrante.
Para determinar cuál es la mejor regla que debe aplicarse al tráfico entrante y saliente y, de ese modo, determinar la acción adecuada que debe realizarse, el componente Agente de directivas IPsec obtiene una lista de filtros IPsec de las reglas de la directiva IPsec asignada. La lista de filtros IPsec, que se obtiene pero difiere de las listas de filtros IP configuradas en la directiva IPsec, es el resultado final de la configuración de directivas, en la que se especifica el conjunto exacto de tráfico relevante y el modo en que éste se administra.
Por ejemplo, para la Regla C de nuestra directiva IPsec simplificada, el componente Agente de directivas IPsec de un equipo con un sola dirección IP obtiene seis entradas diferentes en la lista de filtros IPsec:
Tráfico de mi dirección IP a la dirección IP del servidor de recursos 1, acción: proteger
Tráfico de la dirección IP del servidor de recursos 1 a mi dirección IP, acción: proteger
Tráfico de mi dirección IP a la dirección IP del servidor de recursos 2, acción: proteger
Tráfico de la dirección IP del servidor de recursos 2 a mi dirección IP, acción: proteger
Tráfico de mi dirección IP a la dirección IP del servidor de recursos 3, acción: proteger
Tráfico de la dirección IP del servidor de recursos 3 a mi dirección IP, acción: proteger
Después de que el Agente de directivas IPsec crea la lista completa de filtros IPsec, envía la lista al Controlador de IPsec, el componente de IPsec que procesa el tráfico entrante y saliente.
Puede ver la lista de filtros IPsec con el complemento Monitor de seguridad IP incluido con Windows XP y Windows Server 2003. Para agregar el complemento Monitor de seguridad IP, realice el siguiente procedimiento:
Haga clic en Inicio y en Ejecutar, escriba MMC y, a continuación, haga clic en Aceptar.
Haga clic en Archivo, en Agregar o quitar complemento y, a continuación en Agregar.
Haga clic en Monitor de seguridad IP y, después, en Agregar.
Haga clic en Cerrar y luego en Aceptar.
Para ver la lista de filtros IPsec, debe abrir las carpetas Modo principal y Modo rápido en el árbol de la consola. En la carpeta Modo principal, haga clic en Filtros específicos para ver los filtros de la lista de filtros IPsec que requieren seguridad. En la carpeta Modo rápido, haga clic en Filtros específicos para ver todos los filtros de la lista de filtros IPsec. En la figura siguiente se muestra un ejemplo.
.gif)
Hay también una carpeta Filtros genéricos debajo de las carpetas Modo principal y Modo rápido. Los filtros genéricos se obtienen de los filtros IP que se configuran para utilizar la opción Mi dirección IP como una dirección de origen o de destino. Los filtros genéricos se expanden en filtros específicos en función de las direcciones IP asignadas al equipo.
Calcular el valor de ponderación de los filtros IPsec
La lista de filtros IPsec se ordena a partir de un valor de ponderación calculado por el componente Agente de directivas IPsec, con el valor de ponderación más alto en primer lugar. Cuando se procesa un paquete entrante o saliente, el componente Controlador de IPsec busca en la lista de filtros IPsec el filtro que coincide con los valores de las direcciones, los puertos y el campo Protocolo IP del paquete. Al primer filtro IPsec que coincide con el paquete se le aplica la acción (permitir, bloquear o proteger) del filtro IPsec coincidente.
Los parámetros principales para determinar el valor de ponderación de un filtro IPsec son los siguientes:
La dirección IP de origen
La máscara de subred de la dirección IP de origen
La dirección IP de destino
La máscara de subred de la dirección IP de destino
El valor del campo Protocolo IP
Para el tráfico UDP y TCP, el número del puerto de origen
Para el tráfico UDP y TCP, el número del puerto de destino
Todos estos parámetros se pueden especificar cuando se crea un filtro IP como parte de una lista de filtros IP durante la configuración de una directiva IPsec.
El valor de ponderación se basa en el grado de especificidad del filtro IP originalmente definido; los filtros IP más específicos producirán filtros IPsec con un valor de ponderación más alto. El filtro IPsec con la ponderación más alta tiene los siete parámetros de tráfico IP especificados. El filtro IPsec con la ponderación más baja no tiene ninguno de los siete parámetros de tráfico IP especificados.
Volvamos a nuestra directiva de ejemplo, en la que un paquete entrante de un equipo conectado a la subred de un homólogo IPsec coincide con la Regla A (procedente de cualquier dirección IP) y con la Regla B (procedente de una dirección que coincide con el prefijo de dirección de la intranet). Pero puesto que el filtro IPsec derivado de la Regla B es más específico que el filtro IPsec derivado de la Regla A, el paquete entrante coincide en primer lugar con el filtro IPsec derivado de la Regla B y el componente Controlador de IPsec aplica la acción de la Regla B (se permite el paquete).
En la tabla siguiente se muestra el orden de ponderación de los filtros IPsec para los siete parámetros de tráfico IP calculados por el componente Agente de directivas de IPsec.
Dirección IP de origen |
Máscara de subred de origen |
Dirección IP de destino |
Máscara de subred de destino |
Protocolo |
Puerto de origen |
Puerto de destino |
|---|---|---|---|---|---|---|
Dirección IP específica |
255.255.255.255 (máscara de subred de 32 bits) |
Dirección IP específica |
255.255.255.255 |
Protocolo IP específico |
Puerto de origen específico |
Puerto de destino específico |
Dirección IP específica |
255.255.255.255 |
Dirección IP específica |
255.255.255.255 |
Protocolo IP específico |
Cualquiera |
Puerto de destino específico |
Dirección IP específica |
255.255.255.255 |
Dirección IP específica |
255.255.255.255 |
Protocolo IP específico |
Puerto de origen específico |
Cualquiera |
Dirección IP específica |
255.255.255.255 |
Dirección IP específica |
255.255.255.255 |
Protocolo IP específico |
Cualquiera |
Cualquiera |
Dirección IP específica |
255.255.255.255 |
Dirección IP específica |
255.255.255.255 |
Cualquiera |
Cualquiera |
Cualquiera |
Intervalo de direcciones IP |
Menor que una máscara de subred de 32 bits (como 255.255.255.254) |
Dirección IP específica |
255.255.255.255 |
Protocolo IP específico |
Puerto de origen específico |
Puerto de destino específico |
Intervalo de direcciones IP |
Menor que una máscara de subred de 32 bits |
Dirección IP específica |
255.255.255.255 |
Protocolo IP específico |
Cualquiera |
Puerto de destino específico |
Intervalo de direcciones IP |
Menor que una máscara de subred de 32 bits |
Dirección IP específica |
255.255.255.255 |
Protocolo IP específico |
Puerto de origen específico |
Cualquiera |
Intervalo de direcciones IP |
Menor que una máscara de subred de 32 bits |
Dirección IP específica |
255.255.255.255 |
Protocolo IP específico |
Cualquiera |
Cualquiera |
Intervalo de direcciones IP |
Menor que una máscara de subred de 32 bits |
Dirección IP específica |
255.255.255.255 |
Cualquiera |
Cualquiera |
Cualquiera |
Dirección IP específica |
255.255.255.255 |
Intervalo de direcciones IP |
Menor que una máscara de subred de 32 bits |
Protocolo IP específico |
Puerto de origen específico |
Puerto de destino específico |
Dirección IP específica |
255.255.255.255 |
Intervalo de direcciones IP |
Menor que una máscara de subred de 32 bits |
Protocolo IP específico |
Cualquiera |
Puerto de destino específico |
Dirección IP específica |
255.255.255.255 |
Intervalo de direcciones IP |
Menor que una máscara de subred de 32 bits |
Protocolo IP específico |
Puerto de origen específico |
Cualquiera |
Dirección IP específica |
255.255.255.255 |
Intervalo de direcciones IP |
Menor que una máscara de subred de 32 bits |
Protocolo IP específico |
Cualquiera |
Cualquiera |
Dirección IP específica |
255.255.255.255 |
Intervalo de direcciones IP |
Menor que una máscara de subred de 32 bits |
Cualquiera |
Cualquiera |
Cualquiera |
Intervalo de direcciones IP |
Menor que una máscara de subred de 32 bits |
Intervalo de direcciones IP |
Menor que una máscara de subred de 32 bits |
Protocolo IP específico |
Puerto de origen específico |
Puerto de destino específico |
Intervalo de direcciones IP |
Menor que una máscara de subred de 32 bits |
Intervalo de direcciones IP |
Menor que una máscara de subred de 32 bits |
Protocolo IP específico |
Cualquiera |
Puerto de destino específico |
Intervalo de direcciones IP |
Menor que una máscara de subred de 32 bits |
Intervalo de direcciones IP |
Menor que una máscara de subred de 32 bits |
Protocolo IP específico |
Puerto de origen específico |
Cualquiera |
Intervalo de direcciones IP |
Menor que una máscara de subred de 32 bits |
Intervalo de direcciones IP |
Menor que una máscara de subred de 32 bits |
Protocolo IP específico |
Cualquiera |
Cualquiera |
Intervalo de direcciones IP |
Menor que una máscara de subred de 32 bits |
Intervalo de direcciones IP |
Menor que una máscara de subred de 32 bits |
Cualquiera |
Cualquiera |
Cualquiera |
Cualquiera |
0.0.0.0 |
Dirección IP específica |
255.255.255.255 |
Protocolo IP específico |
Puerto de origen específico |
Puerto de destino específico |
Cualquiera |
0.0.0.0 |
Dirección IP específica |
255.255.255.255 |
Protocolo IP específico |
Cualquiera |
Puerto de destino específico |
Cualquiera |
0.0.0.0 |
Dirección IP específica |
255.255.255.255 |
Protocolo IP específico |
Puerto de origen específico |
Cualquiera |
Cualquiera |
0.0.0.0 |
Dirección IP específica |
255.255.255.255 |
Protocolo IP específico |
Cualquiera |
Cualquiera |
Cualquiera |
0.0.0.0 |
Dirección IP específica |
255.255.255.255 |
Cualquiera |
Cualquiera |
Cualquiera |
Dirección IP específica |
255.255.255.255 |
Cualquiera |
0.0.0.0 |
Protocolo IP específico |
Puerto de origen específico |
Puerto de destino específico |
Dirección IP específica |
255.255.255.255 |
Cualquiera |
0.0.0.0 |
Protocolo IP específico |
Cualquiera |
Puerto de destino específico |
Dirección IP específica |
255.255.255.255 |
Cualquiera |
0.0.0.0 |
Protocolo IP específico |
Puerto de origen específico |
Cualquiera |
Dirección IP específica |
255.255.255.255 |
Cualquiera |
0.0.0.0 |
Protocolo IP específico |
Cualquiera |
Cualquiera |
Dirección IP específica |
255.255.255.255 |
Cualquiera |
0.0.0.0 |
Cualquiera |
Cualquiera |
Cualquiera |
Cualquiera |
0.0.0.0 |
Intervalo de direcciones IP |
Menor que una máscara de subred de 32 bits |
Protocolo IP específico |
Puerto de origen específico |
Puerto de destino específico |
Cualquiera |
0.0.0.0 |
Intervalo de direcciones IP |
Menor que una máscara de subred de 32 bits |
Protocolo IP específico |
Cualquiera |
Puerto de destino específico |
Cualquiera |
0.0.0.0 |
Intervalo de direcciones IP |
Menor que una máscara de subred de 32 bits |
Protocolo IP específico |
Puerto de origen específico |
Cualquiera |
Cualquiera |
0.0.0.0 |
Intervalo de direcciones IP |
Menor que una máscara de subred de 32 bits |
Protocolo IP específico |
Cualquiera |
Cualquiera |
Cualquiera |
0.0.0.0 |
Intervalo de direcciones IP |
Menor que una máscara de subred de 32 bits |
Cualquiera |
Cualquiera |
Cualquiera |
Intervalo de direcciones IP |
Menor que una máscara de subred de 32 bits |
Cualquiera |
0.0.0.0 |
Protocolo IP específico |
Puerto de origen específico |
Puerto de destino específico |
Intervalo de direcciones IP |
Menor que una máscara de subred de 32 bits |
Cualquiera |
0.0.0.0 |
Protocolo IP específico |
Cualquiera |
Puerto de destino específico |
Intervalo de direcciones IP |
Menor que una máscara de subred de 32 bits |
Cualquiera |
0.0.0.0 |
Protocolo IP específico |
Puerto de origen específico |
Cualquiera |
Intervalo de direcciones IP |
Menor que una máscara de subred de 32 bits |
Cualquiera |
0.0.0.0 |
Protocolo IP específico |
Cualquiera |
Cualquiera |
Intervalo de direcciones IP |
Menor que una máscara de subred de 32 bits |
Cualquiera |
0.0.0.0 |
Cualquiera |
Cualquiera |
Cualquiera |
Cualquiera |
0.0.0.0 |
Cualquiera |
0.0.0.0 |
Protocolo IP específico |
Puerto de origen específico |
Puerto de destino específico |
Cualquiera |
0.0.0.0 |
Cualquiera |
0.0.0.0 |
Protocolo IP específico |
Cualquiera |
Puerto de destino específico |
Cualquiera |
0.0.0.0 |
Cualquiera |
0.0.0.0 |
Protocolo IP específico |
Puerto de origen específico |
Cualquiera |
Cualquiera |
0.0.0.0 |
Cualquiera |
0.0.0.0 |
Protocolo IP específico |
Cualquiera |
Cualquiera |
Cualquiera |
0.0.0.0 |
Cualquiera |
0.0.0.0 |
Cualquiera |
Cualquiera |
Cualquiera |
Los valores de ponderación resultan también afectados por los siguientes factores:
Los intervalos de direcciones con un número mayor de bits definidos en la máscara de subred son más específicos y tienen un valor de ponderación mayor que los intervalos de direcciones con un número menor de bits definidos en la máscara de subred.
Los filtros IPsec derivados de reglas en las que se utilizan túneles IPsec tiene una ponderación mayor que los filtros IPsec derivados de reglas en las que no se utilizan túneles IPsec.
El comportamiento de IPsec de Windows (cotejar el tráfico con el filtro IPsec más específico) es similar al comportamiento del reenvío IP y de la tabla de enrutamiento IP. La tabla de enrutamiento IP contiene un conjunto de entradas para los destinos. Algunos destinos son más específicos que otros. Una ruta de host es una ruta a una dirección IP específica. Una ruta predeterminada es una ruta a cualquier dirección IP. Cuando se envía o se reenvía un paquete, el componente IP de TCP/IP busca en la tabla de enrutamiento de IP la ruta que más se ajusta a la dirección IP de destino del paquete.
Valores de ponderación de los filtros duplicados
En algunos casos, varios filtros IPsec diferentes tienen los mismos valores de ponderación calculados. Esto suele ocurrir cuando dos o más filtros IPsec tienen el mismo nivel de especificidad pero definen tráfico diferente. En la mayoría de los casos, aunque haya varios filtros con el mismo valor de ponderación, un paquete sólo coincide con un filtro IPsec.
Filtros IPsec en conflicto
Los filtros IPsec en conflicto contienen el mismo valor para la dirección, los puertos y el valor del campo Protocolo IP, pero tienen acciones de filtrado diferentes. Por ejemplo, un filtro puede permitir el tráfico y el otro puede bloquearlo. Cuando hay filtros en conflicto, el filtro con la acción de filtrado más restrictiva se agrega a la lista de filtros. La acción de filtrado bloquear es más restrictiva que la acción de filtrado proteger que, a su vez, es más restrictiva que la acción de filtrado permitir.
Ejemplo de filtros IPsec
Para mostrar un ejemplo de cómo se determina la lista de filtros IPsec, vamos a ampliar la directiva de ejemplo descrita anteriormente en este artículo con la siguiente información:
La configuración de dirección IP del equipo al que se aplica la directiva es 131.107.21.17/24
El prefijo de dirección de la intranet es 131.107.0.0/16
Las direcciones IP de los tres servidores de recursos son 131.107.1.1, 131.107.2.2 y 131.107.3.3
Todos los filtros IP están reflejados
A partir de esta configuración, el Agente de directivas IPsec calcula la lista de filtros IPsec como se muestra en la tabla siguiente. Los nombres de columnas son los mismos que aparecen en el panel de detalles del complemento Monitor de seguridad IP cuando se selecciona la carpeta Modo rápido\Filtros específicos en el árbol de la consola.
Origen |
Destino |
Marca |
Dirección |
Directiva de negociación |
Peso |
|---|---|---|---|---|---|
131.107.3.3 |
131.107.21.17 |
Negociar la seguridad |
Entrante |
Proteger |
69206017 |
131.107.2.2 |
131.107.21.17 |
Negociar la seguridad |
Entrante |
Proteger |
69206017 |
131.107.1.1 |
131.107.21.17 |
Negociar la seguridad |
Entrante |
Proteger |
69206017 |
131.107.21.17 |
131.107.2.2 |
Negociar la seguridad |
Saliente |
Proteger |
69206017 |
131.107.21.17 |
131.107.3.3 |
Negociar la seguridad |
Saliente |
Proteger |
69206017 |
131.107.21.17 |
131.107.1.1 |
Negociar la seguridad |
Saliente |
Proteger |
69206017 |
131.107.0.0 (255.255.0.0) |
131.107.21.17 |
Permitir |
Entrante |
|
69203121 |
131.107.21.17 |
131.107.0.0 (255.255.0.0) |
Permitir |
Saliente |
|
69203120 |
Cualquiera |
131.107.21.17 |
Bloquear |
Entrante |
|
34603009 |
131.107.21.17 |
Cualquiera |
Bloquear |
Saliente |
|
34603008 |
En esta directiva de ejemplo simplificada se observan los siguientes comportamientos:
Los filtros IPsec que son más específicos tienen un valor de ponderación mayor
Los seis primeros filtros con un origen y un destino específicos tienen el mismo valor de ponderación
En el caso de los filtros IPsec reflejados que utilizan un intervalo de direcciones, a los filtros IPsec con un destino más específico se les asigna un valor de ponderación ligeramente superior que el que se asigna a los filtros IPsec con un origen más específico.
Para obtener más información
Para obtener más información sobre los detalles de IPsec en Windows, consulte los siguientes recursos:
Documento Seguridad de Protocolo Internet para Microsoft Windows Server 2003 (en inglés)
Sección Referencia técnica de IPsec de la Referencia técnica de Windows Server 2003 (en inglés)
Sección Implementación de IPsec de la Guía de implementación de Windows Server 2003 (en inglés)
Para enviar opiniones relativas al contenido de esta columna, escriba a Microsoft TechNet. Tenga en cuenta que no se trata de un alias de soporte técnico y que no se garantiza la respuesta.
Para obtener una lista e información adicional acerca de todas las columnas de The Cable Guy, haga clic aquí.