En entradas anteriores a este blolg, se explico que es IPsec por eso no lo explicare ahora y empezare rapido con la configuracion. Para los que no la han visto mira este link:
Ques es IPsec ??.Esta politica sera creada y aplicada, para que en el momento de hacer un
PING se ejecute utilizando IPsec y haga todo el procedimiento de negociacion.
Para instalar ipsec en windows debemos abrir una consola de administracion:
-->Inicio
-->Ejecutar mmc
Al darle mmc nos aparece una consola asi:
Ahora para poder agregat las funsiones de IPsec le daremos en:
-->Archivo (File)
-->Agregar o quitar complemento (Add/Remove span-in)
-->Agregar (Add)
-->Para monitorear IPsec afregamos IP Security Monitor.
-->Y tambien agregamos el Administrador de las directivas de seguridad IP (IP security Policy Management)
Al agregar esta opcion nos aparecera una ventana donde nos pregunta que si usaremos IPsec en el computador local o en Directorio Activo.
-->Computador Local (Computer Local)
-->Finish
Nos quedara algo asi:
Para empezar a crear nuestras reglas hacemos lo siguiente:
-->Clic en IP Security Polices on Local Computer.
-->En la parte derecha de esa opcion le damos clic derecho, Crear una politica de seguridad IP.
Al hacer esto nos aparece un aciste de instalacion para la nueva politica:
-->Siguiente
-->Esta es para ponerle el nombre a la politica y la descripcion.
-->Siguiente
-->Activamos que por defecto obtengamos una respuesta de esta politica al ser aplicada.
-->Siguiente
-->Como aplicaremos esta politica con una clave precompartida (sena) la digitaremos en esta opcion. Esta clave la debe tener igual configurada el equipo con el que se comunicara, porque de lo contrario no dara la comunicacion.
-->Siguiente
-->Finalizar y editar las opciones de la politica generada.
Al editarlas nos aparecen otras ventanas de configuracion. Como estamos haciendo una dependiendo de las necesidades que tenemos crearemos unas personalizadas.
-->Agregar
-->Siguiente
-->Al utilizar esta regla para cualquier conexion de red no ahi necesidad de crear un tunel, porque puede que la direccion IP del receptor cambie frecuentemente y no tenga una especificada.
-->Siguiente
-->Cualquier conexion de red o PING que hagamos, se le aplicara la politica.
-->Siguiente
-->Agregar una lista de Filtrado.
-->Agregar un filtro.
-->Siguiente
-->Hacemos una breve descripcion de l politica, por si tenemos varias sea facil reconocerla.
-->Siguiente
-->El trafico se iniciara desde mi direccion IP.
-->Siguiente
-->Direccion destino que sera cualquier IP en la red.
-->Siguiente
-->El protocolo. Como es una politica para que se aplique al mometo de hacer pings le daremos el protocolo
ICMP.
-->Siguiente
-->Finalizar y editar propiedades.
-->Aca podremos cambiar las reglas u opcines especificadas ateriormente. En caso de alguna correcion.
-->En caso de escojer un protocolo y le podamos especificar el puerto. Lo cambiamos por aca.
-->Listo (OK)
Regresamos a las opciones de configuracion anterior.
-->Seleccionamos el fltrado de lista que acabamos de crear.
-->Siguiente
-->Agregar una accion de filtrado
-->Siguiente
-->Siguiente
-->Esta sera la respuesta de la regla del ping.
-->Siguiente
-->Negociar la seguridad de la politica.
-->Siguiente
-->Aca ponemos que la comunicacion solo sea efectuada con computadores que tengan una regla como esta o que tenga IPsec funsionando.
-->Siguiente
-->Trafico de seguridad IP. Hacemos uno personalizado.
-->Escogemos el algoritmo de encriptacion y el
Hash que utilizaremos para la integridad.
-->Listo
-->Finalizar
-->Listo
-->Escogemos la regla de accion de filtrado que acabomos de crear (Respuesta ping)
-->Siguiente
-->Digitamos de nuevo la clave precompartida.
-->Siguiente
-->Finalizar.
La forma mas facil para mirar si nuestra regla si se aplica es haciendo un ping al equipo del otro extremo, que esta configurado de esta misma forma y nos debe mostrar lo siguiente.
En una consola CMD o simbolo del sistema realizamos el ping:
ping 10.3.9.143
Solo se puede asignar una regla a la vez:
-->Clic derecho sobre la regla que deseamos.
-->Asignar (Assign)
Para desasignarla es algo parecido:
-->Clic derecho sobre la regla que desasignaremos.
-->Desasignar (Un-assign)
Realizamos varias reglas una para trafico
ICMP,
HTTP,
FTP y para carpetas compartidas
SMBy nos quedo algo asi. En este ejemplo solo se explico una, pero las demas son casi lo mismo. Solo debemos cambiar el protocolo y agregar el puerto por el que trabaje dicho servicio.
La ultima imagen tomada con todas las reglas hechas queda asi: