Tres iniciativas principales para resolver rápidamente las fallas de IPsec en Win2003

Los usuarios que usan IPsec generalmente se usan para asegurar la comunicación dentro de la LAN, pero a veces los usuarios no saben cómo determinar la protección exacta del tráfico de la red, así que aquí se les enseña cómo diagnosticar IPsec y garantizar la seguridad de la comunicación.

1. Compruebe si IPsec se está ejecutando

Incluso si ha implementado IPsec correctamente, todavía hay muchos problemas. Cuando está molesto por la pérdida de una conexión de red típica en una máquina con Windows Server 2003 o Windows XP, el sistema operativo garantiza que estará al tanto del problema. Desafortunadamente, no existe una manera similar de mantenerlo informado sobre el estado de IPsec. Dependiendo de la implementación de IPsec, cuando tiene problemas, libere todas las conexiones de red o es más probable que la mdash sea más segura y secreta. La comunicación de red puede continuar, pero ya no está cifrada. Imagínese lo sorprendido que está cuando cree que está protegido y descubra que la comunicación de su red no es segura en absoluto.

La forma más rápida de verificar si IPsec se está ejecutando es usar el Monitor de red para capturar los paquetes que entran y salen de su computadora y verificar si están cifrados. El Monitor de red se incluye con Windows Server 2003. Puede instalarlo abriendo el " Panel de control " * " Agregar o quitar programas >, Agregar o quitar componentes de Windows. Después de la instalación, puede iniciar la captura del paquete seleccionando " Iniciar " en el menú " Capture " Luego, cree un comportamiento de red, genere algunos datos y realice acciones comunes, como buscar una carpeta compartida en otra computadora. Finalmente, en el menú " Capture ", seleccione " Detener y ver ".

La Figura 1 muestra los resultados de dos capturas de paquetes. A la izquierda está la captura de paquetes que se realiza cuando la computadora no está configurada para usar IPsec, y verá múltiples protocolos listados en la columna Protocolos. A la derecha está la captura de paquetes que se realiza cuando la computadora está configurada para usar IPsec. Verá que solo se enumera un protocolo: el protocolo de carga de seguridad de encapsulación (ESP). Cuando una computadora con Windows Server 2003 está configurada para usar la política IPsec predeterminada, solo aparecerán ESP y el Protocolo de mensajes de control de Internet (ICMP) en la captura de paquetes. El Protocolo de mensajes de control de Internet aparecerá porque la política IPsec predeterminada permite la comunicación ICMP. Por lo tanto, si ve varios protocolos cuando captura tráfico de red, tiene motivos para pensar que IPsec no está funcionando correctamente.

Casi todos los problemas de IPsec se produce porque Internet Key Exchange (Internet Key Exchange, IKE) la verificación fase difícil. Cuando dos computadoras intentan establecer una asociación de seguridad (SA), pasan por un proceso de verificación de las identidades de cada uno. IKE es un algoritmo para negociar una asociación de seguridad. La autenticación se basa en claves precompartidas, certificados digitales o Kerberos. La política IPsec predeterminada de Windows Server 2003 usa Kerberos. En la mayoría de los casos, la solución de problemas de IPsec significa la solución de problemas del proceso de verificación.

2. Reinicie el servicio IPsec

Una vez que haya determinado que IPsec no se está ejecutando, primero debe intentar reiniciar el servicio IPsec. El reinicio del servicio IPsec borrará completamente el estado de negociación IKE. Este enfoque generalmente hace que vuelva a funcionar cuando IPsec deja de ser efectivo después de un cambio importante en la política. Las dos ventajas de esta solución son que no requiere un reinicio del servidor y su implementación requiere menos tiempo. Puede reiniciar el servicio IPsec ejecutando el siguiente comando de red desde un indicador de comandos en una computadora con Windows Server 2003:

Ahora, realice nuevamente la prueba de captura de paquetes de la red, o ejecute el comando Netsh del que hablaré más adelante. Prueba

3. Diagnóstico de problemas de IKE en el registro de eventos

Si reiniciar IPsec no resuelve el problema, puede verificar el registro de eventos de seguridad. El acto de crear y eliminar asociaciones de seguridad se audita como un evento de inicio de sesión de red. Estos eventos se registran si habilita la auditoría para el éxito y el fracaso en la política de eventos de inicio de sesión de auditoría. Cuando todo funciona, los códigos de éxito que aparecen son 541, 542 y 543. Sin embargo, este artículo describe lo que debe hacer cuando IPsec no se está ejecutando, por lo que en nuestro caso, debe prestar especial atención al código de falla. La figura 2 muestra el evento de falla 547.

un problema de seguridad asociado con el registro de eventos que el evento será pronto llenar su registro. Si audita específicamente el evento de inicio de sesión pero no quiere que su registro de eventos de seguridad se llene con entradas IKE, puede crear una subclave <; HKEY_LOCAL_MACHINE \\ SYSTEM \\ CurrentControlSet \\ Control \\ Lsa \\ Audit \\ DisableIKE Audits " y establecer su valor clave en 1 para prohibir la auditoría IKE.

Para los usuarios que normalmente usan computadoras, IPsec puede que no tenga mucho sentido para ellos, pero para una empresa o un administrador de red, IPsec es una característica técnica importante que puede proteger la LAN. La comunicación es segura y no es escuchada.