Professional Documents
Culture Documents
1. Introducción.
Se entiende por IPSec (IP Security) a una estrategia de seguridad que involucra
distintos protocolos, configuraciones y niveles de encripcion de datos.
Si bien hay muchas discusiones respecto del escenario ideal para la implementación de
MS Exchange Server 2003 Front End – Back End este documento se focaliza en como
asegurar la comunicación entre un servidor MS Exchange Server 2003 en la red (DMZ)
como Front End y otro servidor MS Exchange Server 2003 en la red (LAN) como
servidor Back End utilizando IPSec en MS Windows Server 2003 R2.
Requisitos:
1. Un Servidor con hardware compatible con Windows Server 2003 y una interfase de red,
configurada con una dirección IP estática en el segmento de red (DMZ) con MS Exchange
Server 2003 configurado como servidor de Front End.
2. Un Servidor con hardware compatible con Windows Server 2003 y una interfase de red,
configurada con una dirección IP estática en el segmento de red (LAN) con MS Exchange
Server 2003 configurado como servidor de Back End.
2. Conceptos.
El protocolo de IPSec puede ser configurado de varias maneras distintas para que se
adapte a las necesidades de seguridad que se deben satisfacer, en este escenario se tiene
por objetivo:
Para satisfacer estas necesidades debemos configurar IPSec en modo Túnel, en este
modo IPSec cifra el encabezado IP y la carga, adicionalmente el modo túnel protege los
paquetes IP completos, ya que los trata como una carga AH o ESP. De esta manera todo
el paquete IP se encapsula con un encabezado AH o ESP y un encabezado IP adicional.
Las direcciones IP del encabezado IP externo son los extremos del túnel, y las
direcciones IP del encabezado IP encapsulado son las direcciones últimas de origen y
de destino.
Para realizar la configuración de IPSec es necesario tener en cuenta los siguientes pasos
de alto nivel.
Al no ser posible reflejar filtros para el tráfico que pasa por el túnel, se deben
configurar dos reglas. Una regla se utilizará para el tráfico saliente y la otra para el
tráfico entrante. Para la regla de tráfico saliente, el extremo del túnel es la dirección IP
en el otro extremo del túnel. Para la regla de tráfico entrante, el extremo del túnel es
una dirección IP configurada en el equipo local.
Figura 2
Una vez dentro de la MMC debemos agregar el complemento correspondiente.
Figura 3
Repetir los pasos desde el punto 2.0.28 al punto 2.0.36 teniendo en cuenta que es
necesario invertir las direcciones IP de origen y destino, de tal manera que la lista de
filtros quede como se ve a continuación. (Ver Figura 18)
Figura 18
Configurados los filtros IP, es necesario configurar las acciones de filtrado. (Ver Figura
19)
Figura 19
3.0.42 Hacer clic en No comunicar equipos que no son compatibles con IPSec.
3.0.43 Hacer clic en Siguiente. (Ver Figura 23)
Figura 23
Figura 34
Conclusión.
A lo largo del documento se demostró cómo configurar IPSec en MS Windows Server 2003, en
un entorno Microsoft Exchange Server 2003 Front End – Back End, como así también la forma
de monitorear esta comunicación.
Referencias.
Autor.