Método para diagnosticar problemas de IPsec en Win 2003

Ha implementado IPsec para proteger las comunicaciones dentro de su LAN corporativa. Aunque ha seguido atentamente toda la documentación técnica, no puede estar seguro de que las comunicaciones de red estén realmente protegidas contra escuchas ilegales. ¿Cómo puedo restablecer la confianza de que IPsec encripta las comunicaciones de red de su computadora?

Echemos un vistazo a cómo asegurarnos de que todo salga bien, luego 'mdash'; si encuentra el problema durante el proceso de verificación — — eche un vistazo a la situación general de la solución de problemas relacionados con la verificación de IPsec . Durante el proceso de verificación, le mostraré algunas herramientas integradas de Windows Server 2003. Si realmente descubre que la comunicación de la red no está cifrada, puede usar estas herramientas para diagnosticar problemas de IPsec (pero tenga en cuenta: estoy en este artículo Las técnicas analizadas pueden no ser aplicables a una aplicación IPsec en particular, como una tarjeta IPsec y una red privada virtual basada en IPsec.

1. Compruebe si IPsec se está ejecutando

Incluso si ha implementado IPsec correctamente, todavía hay muchos problemas. Cuando está molesto por la pérdida de una conexión de red típica en una máquina con Windows Server 2003 o Windows XP, el sistema operativo garantiza que estará al tanto del problema. Desafortunadamente, no existe una manera similar de mantenerlo informado sobre el estado de IPsec. Dependiendo de la implementación de IPsec, cuando tiene problemas, libere todas las conexiones de red o es más probable que la mdash sea más segura y secreta. La comunicación de red puede continuar, pero ya no está cifrada. Imagínese lo sorprendido que está cuando cree que está protegido y descubra que la comunicación de su red no es segura en absoluto.

La forma más rápida de verificar si IPsec se está ejecutando es usar el Monitor de red para capturar los paquetes que entran y salen de su computadora y verificar si están cifrados. El Monitor de red se incluye con Windows Server 2003. Puede instalarlo abriendo el " Panel de control " * " Agregar o quitar programas >, Agregar o quitar componentes de Windows. Después de la instalación, puede iniciar la captura del paquete seleccionando " Iniciar " en el menú " Capture " Luego, cree un comportamiento de red, genere algunos datos y realice acciones comunes, como buscar una carpeta compartida en otra computadora. Finalmente, en el menú " Capture ", seleccione " Detener y ver ".

La Figura 1 muestra los resultados de dos capturas de paquetes. A la izquierda está la captura de paquetes que se realiza cuando la computadora no está configurada para usar IPsec, y verá múltiples protocolos listados en la columna Protocolos. A la derecha está la captura de paquetes que se realiza cuando la computadora está configurada para usar IPsec. Verá que solo se enumera un protocolo: el protocolo de carga de seguridad de encapsulación (ESP). Cuando una computadora con Windows Server 2003 está configurada para usar la política IPsec predeterminada, solo aparecerán ESP y el Protocolo de mensajes de control de Internet (ICMP) en la captura de paquetes. El Protocolo de mensajes de control de Internet aparecerá porque la política IPsec predeterminada permite la comunicación ICMP. Por lo tanto, si ve varios protocolos cuando captura tráfico de red, tiene motivos para pensar que IPsec no está funcionando correctamente.
Figura 1: Comparación de la captura de paquetes

Casi todos problema IPsec se produce porque Internet Key Exchange (Internet Key Exchange, IKE) verificación fase difícil. Cuando dos computadoras intentan establecer una asociación de seguridad (SA), pasan por un proceso de verificación de las identidades de cada uno. IKE es un algoritmo para negociar una asociación de seguridad. La autenticación se basa en claves precompartidas, certificados digitales o Kerberos. La política IPsec predeterminada de Windows Server 2003 usa Kerberos. En la mayoría de los casos, la solución de problemas de IPsec significa la solución de problemas del proceso de verificación.

2. Reinicie el servicio IPsec

Una vez que haya determinado que IPsec no se está ejecutando, primero debe intentar reiniciar el servicio IPsec. El reinicio del servicio IPsec borrará completamente el estado de negociación IKE. Este enfoque generalmente hace que vuelva a funcionar cuando IPsec deja de ser efectivo después de un cambio importante en la política. Las dos ventajas de esta solución son que no requiere un reinicio del servidor y su implementación requiere menos tiempo. Puede reiniciar el servicio IPsec ejecutando el siguiente comando de red desde un símbolo del sistema en una computadora con Windows Server 2003:

El siguiente es un fragmento de código: net stop policyagent net start policyagent

Ahora, realice de nuevo la prueba de captura de paquetes de red, o ejecute el comando Netsh del que hablaré más adelante.

3. Diagnóstico de problemas de IKE en el registro de eventos

Si reiniciar IPsec no resuelve el problema, puede verificar el registro de eventos de seguridad. El acto de crear y eliminar asociaciones de seguridad se audita como un evento de inicio de sesión de red. Estos eventos se registran si habilita la auditoría para el éxito y el fracaso en la política de eventos de inicio de sesión de auditoría. Cuando todo funciona, los códigos de éxito que aparecen son 541, 542 y 543. Sin embargo, este artículo explica lo que debe hacer cuando IPsec no se está ejecutando, por lo que en nuestro caso, debe prestar especial atención al código de falla que se muestra en la Tabla 1. La figura 2 muestra el evento de falla 547.
Tabla 1: Código de Error de auditoría
Figura 2: Si no Evento 547

un problema de seguridad asociado con el registro de eventos que el evento será pronto llenar su registro. Si audita específicamente el evento de inicio de sesión pero no quiere que su registro de eventos de seguridad se llene con entradas IKE, puede crear una subclave <; HKEY_LOCAL_MACHINE \\ SYSTEM \\ CurrentControlSet \\ Control \\ Lsa \\ Audit \\ DisableIKE Audits " y establecer su valor clave en 1 para prohibir la auditoría IKE.