IPsec es un marco de estándares abiertos para garantizar la privacidad y seguridad de las comunicaciones a través de redes IP mediante el uso de servicios de seguridad de cifrado. La implementación de IPsec en Microsoft Windows se basa en los estándares desarrollados por el Grupo de trabajo de ingeniería de Internet (IETF) de IPsec.
IPsec establece confianza y seguridad de una dirección IP de origen a una dirección IP de destino. Los únicos equipos que deben conocer que el tráfico está protegido son los equipos remitente y receptor. Cada equipo trata la seguridad en su extremo respectivo y supone que el medio a través del cual tiene lugar la comunicación no es seguro. Los equipos que se limitan a enrutar datos desde el origen hasta el destino no necesitan ser compatibles con IPsec, salvo en el caso de que se filtren paquetes de tipo firewall o se realice una traducción de direcciones de red (NAT) entre los dos equipos.
Puede usar el complemento Directivas de seguridad IP para crear, editar y asignar directivas IPsec a este equipo y a equipos remotos.
 | Nota |
Con esta documentación se pretende ofrecer suficiente información como para entender y usar el complemento Directivas de seguridad IP. No se pretende ofrecer información acerca del diseño y la implementación de directivas. |
Acerca de las directivas IPsec
Las directivas IPsec se usan para configurar servicios de seguridad de IPsec. Las directivas proporcionan niveles de protección variables para la mayor parte de los tipos de tráfico, en la mayoría de las redes existentes. Puede configurar directivas IPsec para satisfacer los requisitos de seguridad de un equipo, una unidad organizativa (OU), un dominio, un sitio o toda la empresa. Puede usar el complemento Directivas de seguridad IP que se incluye en esta versión de Windows para definir directivas IPsec para equipos mediante objetos de directiva de grupo (para miembros de dominio), en el equipo local o para equipos remotos.
 | Importante |
El complemento Directivas de seguridad IP se puede usar para crear directivas IPsec que pueden aplicarse a equipos con Windows Vista y versiones posteriores de Windows, pero este complemento no usa los nuevos algoritmos de seguridad ni otras características nuevas que están disponibles en Windows Vista y en versiones posteriores de Windows. Para crear directivas IPsec para esos equipos, use el complemento Firewall de Windows con seguridad avanzada. El complemento Firewall de Windows con seguridad avanzada no crea directivas que puedan aplicarse a versiones anteriores de Windows. |
Una directiva IPsec consiste en una serie de reglas y opciones generales de la directiva IPsec. Estas opciones generales de la directiva IPsec se aplican independientemente de las reglas configuradas. Estas opciones determinan el nombre de la directiva, su descripción para fines administrativos, la configuración del intercambio de claves y los métodos de intercambio de claves. Una o varias reglas IPsec determinan los tipos de tráfico que IPsec debe examinar, cómo se trata el tráfico, cómo se autentica un equipo del mismo nivel con IPsec y otras opciones.
Una vez creadas las directivas, pueden aplicarse a un dominio, a un sitio, a una unidad organizativa o a un equipo local. Sólo puede haber una directiva activa en un equipo al mismo tiempo. Las directivas que se distribuyen y se aplican mediante objetos de directiva de grupo invalidan las directivas locales.
Tareas del complemento Directivas de seguridad IP
En esta sección se incluyen algunas de las tareas más habituales que puede realizar con el complemento Directivas de seguridad IP.
Creación de una directiva
Salvo que esté creando directivas en un único equipo y el equipo del mismo nivel IPsec, es probable que tenga que crear un conjunto de directivas IPsec que se ajusten a su entorno de TI. El proceso de diseño, creación e implementación de directivas puede ser complejo, en función del tamaño del dominio, la homogeneidad de los equipos del dominio y otros factores.
El proceso suele ser tal y como se muestra a continuación:
- Cree listas de filtros IP que se ajusten a los equipos, las subredes y las condiciones del entorno.
- Cree acciones de filtrado que se correspondan con la forma en que desea autenticar las conexiones, aplicar la integridad de datos y cifrar los datos. La acción de filtrado también puede ser Bloquear o Permitir, independientemente de otros criterios. La acción Bloquear tiene prioridad sobre el resto de las acciones.
- Cree un conjunto de directivas que se ajusten a los requisitos de filtrado y acción de filtrado (seguridad) que necesita.
- Primero, implemente directivas que usen las acciones de filtrado Permitir y Bloquear y, después, supervise el entorno de IPsec para buscar problemas que puedan requerir el ajuste de estas directivas.
- Implemente las directivas mediante la acción de filtrado Negociar la seguridad con la opción de retroceso para borrar comunicaciones de texto. Esto le permite probar el funcionamiento de IPsec en su entorno sin interrumpir las comunicaciones.
- Cuando haya realizado los ajustes de refinamiento necesarios en las directivas, quite el retroceso para borrar la acción de comunicaciones de texto, donde corresponda. Esto hará que las directivas requieran autenticación y seguridad antes de poder crear una conexión.
- Supervise el entorno en busca de comunicaciones que no estén teniendo lugar, lo que puede verse reflejado en un aumento repentino de la estadística de errores de negociación del modo principal.
 | Para crear una nueva directiva IPsec |
Haga clic con el botón secundario en el nodo Directivas de seguridad IP y, a continuación, haga clic en Crear directiva de seguridad IP.
En el Asistente para directivas de seguridad IP, haga clic en Siguiente.
Escriba el nombre y la descripción (opcional) de la directiva y haga clic en Siguiente.
Active la casilla Activar la regla de respuesta predeterminada, o déjela desactivada, y haga clic en Siguiente.
Nota La regla de respuesta predeterminada sólo puede usarse para directivas que se aplican a Windows XP, Windows Server 2003 y versiones anteriores. Las versiones posteriores de Windows no pueden usar la regla de respuesta predeterminada.
Si está utilizando la regla de respuesta predeterminada, seleccione un método de autenticación y haga clic en Siguiente.
Para obtener más información acerca de la regla de respuesta predeterminada, vea Reglas IPsec.
Mantenga la casilla Modificar propiedades seleccionada y, a continuación, haga clic en Siguiente. Puede agregar reglas a la directiva si es necesario.
Agregar una regla a una directiva o cambiarla
| Para agregar una regla de directiva |
Haga clic con el botón secundario en la directiva IPsec y, a continuación, haga clic en Propiedades.
Si desea crear la regla en el cuadro de diálogo de propiedades, desactive la casilla Usar Asistente para agregar. Para utilizar el asistente, mantenga activada la casilla. Haga clic en Agregar. Las siguientes instrucciones sirven para crear una regla con el cuadro de diálogo.
En el cuadro de diálogo Propiedades de Nueva regla, en la ficha Lista de filtros IP, seleccione la lista de filtros apropiada o haga clic en Agregar para agregar una nueva lista de filtros. En caso de que ya haya creado listas de filtros, aparecerán en la lista Listas de filtros IP. Para obtener más información acerca de la forma de crear y usar listas de filtros, vea Listas de filtros.
Nota Sólo se puede usar una lista de filtros por regla.
En la ficha Acción de filtrado, seleccione la acción de filtrado adecuada o haga clic en Agregar para agregar una nueva acción de filtrado. Para obtener más información acerca de la forma de crear y usar acciones de filtrado, consulte Acciones de filtrado.
Nota Sólo se puede usar una acción de filtrado por regla.
En la ficha Métodos de autenticación, seleccione el método adecuado, o haga clic en Agregar para agregar un nuevo método. Para obtener más información acerca de la forma de crear y usar métodos de autenticación, vea Autenticación IPsec.
Nota Puede usar varios métodos por regla. Los métodos se intentan usar en el orden en que aparecen en la lista. Si especifica que se utilicen certificados, póngalos todos juntos en la lista, en el orden en que desea que se utilicen.
En la ficha Tipo de conexión, seleccione el tipo de conexión al que se aplica la regla. Para obtener más información acerca de los tipos de conexión, vea Tipo de conexión IPsec.
Si está utilizando un túnel, especifique los extremos en la ficha Configuración del túnel. De forma predeterminada, no se utiliza ningún túnel. Para obtener más información acerca del uso de túneles, vea Configuración de túnel de IPsec. Las reglas de túnel no pueden reflejarse.
Cuando estén configuradas todas las opciones, haga clic en Aceptar.
| Para cambiar una regla de directiva |
Haga clic con el botón secundario en la directiva IPsec y, a continuación, haga clic en Propiedades.
En el cuadro de diálogo Propiedades de directiva, seleccione la regla y, a continuación, haga clic en Editar.
En el cuadro de diálogo Propiedades de Editar regla, en la ficha Lista de filtros IP, seleccione la lista de filtros apropiada o haga clic en Agregar para agregar una nueva lista de filtros. Para obtener más información acerca de la forma de crear y usar listas de filtros, vea Listas de filtros.
Nota Sólo se puede usar una lista de filtros por regla.
En la ficha Acción de filtrado, seleccione la acción de filtrado adecuada o haga clic en Agregar para agregar una nueva lista de filtros. Para obtener más información acerca de la forma de crear y usar acciones de filtrado, vea Acciones de filtrado.
Nota Sólo se puede usar una acción de filtrado por regla.
En la ficha Métodos de autenticación, seleccione el método adecuado, o haga clic en Agregar para agregar un nuevo método. Para obtener más información acerca de la forma de crear y usar métodos de autenticación, vea Autenticación IPsec.
Nota Puede usar varios métodos por regla. Los métodos se intentan usar en el orden en que aparecen en la lista.
En la pestaña Tipo de conexión, seleccione el tipo de conexión al que se aplica la regla. Para obtener más información acerca de los tipos de conexión, vea Tipo de conexión IPsec.
Si está usando un túnel, especifique los extremos en la pestaña Configuración del túnel. De forma predeterminada, no se usa ningún túnel. Para obtener más información acerca del uso de túneles, vea Configuración de túnel de IPsec.
Cuando estén configuradas todas las opciones, haga clic en Aceptar.
Asignación de una directiva
| Para asignar una directiva a este equipo |
Haga clic con el botón secundario en la directiva y, a continuación, haga clic en Asignar.
Notas - Sólo puede haber una directiva asignada a un equipo al mismo tiempo. Si se asigna otra directiva, se quitará automáticamente la asignación de la directiva actualmente asignada. La directiva de grupo del dominio puede asignar otra directiva a este equipo y omitir la directiva local.
- Para que una directiva IPsec de equipo a equipo sea correcta, deberá crear una directiva reflejada en el otro equipo y asignársela a dicho equipo.
- Para asignar esta directiva a varios equipos, utilice la directiva de grupo.