Aislamiento de servidor y dominio mediante IPsec y...
Transcript of Aislamiento de servidor y dominio mediante IPsec y...
Aislamiento de servidor y dominio mediante IPsec y Directiva de grupo Apéndice C: Guía de generación de laboratorio
Actualizado: febrero 16, aaaa
Este apéndice proporciona una guía completa para crear la infraestructura necesaria que
permita grupos de aislamiento que utilicen IPsec. En esta guía se trata la instalación y
configuración de Microsoft® Windows Server™ 2003, la preparación del servicio de
directorio Active Directory® y la configuración de la directiva IPsec.
Este apéndice también proporciona las instrucciones de implementación que se utilizaron
para la ejecución de la directiva IPsec de línea de base en el escenario de Woodgrove Bank,
descrito anteriormente en esta guía.
Este apéndice ha sido diseñado para su utilización junto con el resto de los capítulos de
esta guía, que explican el proceso de diseño y la lógica tras las decisiones de
implementación que se utilizan en este apéndice. En este apéndice también se explican las
tareas y procesos necesarios para crear e implementar satisfactoriamente una
infraestructura de directiva IPsec. Si todavía no lo ha hecho, le recomendamos que lea los
capítulos anteriores antes de seguir con este apéndice. También debería leer y entender las
implicaciones de los requisitos de compatibilidad que se especifican en el capítulo 6,
"Administración de un entorno de aislamiento de servidor y dominio", antes de
implementar los pasos de este apéndice.
En esta página
Requisitos previos Esta sección contiene información que le ayudará a determinar la capacitación de su organización para implementar la
solución.
Requisitos previos de conocimientos Debe estar familiarizado con los conceptos de IPsec, redes y arquitectura de red. También debe estar familiarizado con
Windows Server 2003 en las siguientes áreas:
Descargar la solución completa
Aislamiento de servidor y
dominio mediante IPsec y
Directiva de grupo
• En esta guía
• Capítulo 0 - Información
general
• Capítulo 1 - Introducción
al aislamiento de servidor
y dominio
• Capítulo 2 - Comprensión
del aislamiento de
servidor y dominio
• Capítulo 3 - Cómo
determinar el estado
actual de su
infraestructura de TI
• Capítulo 4 - Diseño y
planificación de grupos de
aislamiento
• Capítulo 5 - Creación de
directivas IPsec para
grupos de aislamiento
• Capítulo 6 -
Administración de un
entorno de aislamiento de
servidor y dominio
• Capítulo 7 - Solución de
problemas de IPsec
• Apéndice A - Descripción
general de los conceptos
de la directiva IPsec
• Apéndice B - Resumen de
la directiva IPsec
• Apéndice C - Guía de
generación de laboratorio
• Apéndice D - Categorías
de amenaza de TI
• Agradecimientos
Requisitos previos
Implementación de la directiva de la línea de base
Implementación de las directivas IPsec
Utilización del método de constitución de directivas para habilitar la directiva IPsec de línea de base
Secuencias y herramientas de prueba para las pruebas de funcionalidad
Habilitación de la lista de filtros de subredes seguras de la organización en las directivas restantes
Cómo habilitar la configuración del grupo de acceso de red
Cómo habilitar el dominio de aislamiento
Cómo habilitar el grupo de aislamiento Sin reserva
Cómo habilitar el grupo de aislamiento Cifrado
Cómo habilitar el grupo de aislamiento Límite
Configuración del dominio de aislamiento como grupo de aislamiento predeterminado
Pruebas funcionales definitivas: habilitación de todos los grupos de aislamiento
Resumen
Antes de seguir con este apéndice, debería haber leído las instrucciones de planificación de esta guía y debería comprender
bien los conceptos arquitectónicos y de diseño de la solución.
Requisitos previos organizativos Debe consultar a otras personas de su organización que quizás necesiten implicarse en la planificación de la solución. Entre
ellas podrían encontrarse las siguientes:
Requisitos previos de la infraestructura de TI El apéndice también asume que existe la infraestructura de TI siguiente:
Requisitos previos para la implementación de la línea de base Antes de llevar a cabo las tareas de este apéndice, deben comprobarse diversos elementos para garantizar una
implementación satisfactoria.
Requisitos de hardware Antes de transferir la infraestructura IPsec de línea de base, asegúrese de que la infraestructura actual es capaz
físicamente de admitir la carga de la implementación de IPsec. El proceso que le ayudará a comprobar esta capacidad se
trata en el capítulo 3, "Cómo determinar el estado actual de su infraestructura de TI", incluido en esta guía.
Herramientas Pueden utilizarse cuatro herramientas primarias para configurar las directivas IPsec y habilitarlas mediante los GPO de
Active Directory. Estas herramientas son las siguientes:
• Instalación del sistema operativo.
• Los conceptos de Active Directory® (incluidas la estructura y las herramientas de Active Directory, la manipulación de
usuarios, grupos y otros objetos de Active Directory, y el uso de Directiva de grupo).
• La seguridad del sistema Windows, incluidos conceptos de seguridad tales como usuarios, grupos, auditoría y listas de
control de acceso (ACL); el uso de plantillas de seguridad y la aplicación de plantillas de seguridad con herramientas de
línea de comandos o Directiva de grupo.
• Patrocinadores empresariales.
• Personal de seguridad y auditoría.
• Personal de ingeniería, administración y operación de Active Directory.
• Personal de ingeniería, administración y operación del servicio de nombres de dominio (DNS), servidor Web y red.
Nota: según la estructura de la organización de TI, estas funciones las puede desempeñar una serie de personas o unas
pocas personas pueden abarcar varias funciones.
• Un dominio Windows Server 2003 Active Directory ejecutándose en modo mixto o nativo. Esta solución utiliza grupos
universales para la aplicación de Objetos de directiva de grupo (GPO). Aunque la organización no utilice el modo mixto o
el modo nativo, seguirá siendo posible aplicar los GPO utilizando configuraciones de grupo estándar globales y locales.
No obstante, debido a que esta opción es más compleja, no se utiliza en la solución.
Nota: Windows Server 2003 introdujo diversas mejoras que afectan a las directivas IPsec. Esta solución también podría
implementarse con éxito en Windows 2000; no hay nada específico en Windows Server 2003 que lo impida. No
obstante, la solución se ha probado únicamente con Active Directory sobre Windows Server 2003. Para obtener más
información acerca de las mejoras para IPsec que introduce Windows Server 2003, consulte la página New features for
IPsec (Funciones nuevas para IPsec) del sitio Web de Microsoft, en
www.microsoft.com/resources/documentation/WindowsServ/
2003/standard/proddocs/en-us/ipsec_whatsnew.asp.
• Hardware de servidor adecuado para ejecutar Windows Server 2003.
• Licencias, medios de instalación y claves de producto de Windows Server 2003 Standard Edition y Windows Server 2003
Enterprise Edition.
• Netsh. Esta herramienta de línea de comandos se facilita con Windows Server 2003. Se utiliza para configurar la
directiva local en un sistema Windows Server 2003 y la directiva de dominio. Esta solución utiliza secuencias de
comandos Netsh para configurar las directivas de dominio.
Se recomienda obtener e instalar estas herramientas en las estaciones de trabajo del equipo de implementación, de modo
que los miembros del equipo puedan dedicar algún tiempo a familiarizarse con la funcionalidad de cada herramienta antes
de que se inicie la implementación.
Principio de la página
Implementación de la directiva de la línea de base Woodgrove Bank optó por realizar su implementación desplazando en primer lugar todos los equipos al grupo de
aislamiento Límite mediante el método de generación. Este método permitió a los administradores avanzar lentamente y
resolver cualquier problema pendiente, sin que ello afectara de manera significativa a las comunicaciones entre todos los
sistemas. Al implementar en primer lugar una directiva sin ninguna subred segura, el equipo de administración fue capaz
de identificar todos los equipos que tenían asignada una directiva IPsec local y pudo aprovechar esa información. A medida
que se iban agregando las subredes a la directiva, se iban resolviendo todos los conflictos que surgieron.
Cuando los equipos estuvieron en funcionamiento bajo la directiva del grupo de aislamiento Límite, el equipo pasó a
implementar los grupos de aislamiento Estándar, Texto no cifrado saliente permitido y Cifrado. Estos grupos de aislamiento
se implementaron utilizando el método de implementación por grupo que se explica en el capítulo 4, "Diseño y planificación
de grupos de aislamiento", de esta guía. Se seleccionó un conjunto de equipos para una prueba piloto y se agregó a los
grupos apropiados que controlaban las directivas nuevas. A medida que surgían, los problemas se fueron resolviendo y se
agregaron otros equipos a los grupos de aislamiento, hasta que éstos estuvieron completamente llenos.
Principio de la página
Implementación de las directivas IPsec El proceso de conseguir la directiva IPsec adecuada para cada equipo de una organización voluminosa puede llegar a ser
demasiado complejo rápidamente. El mecanismo de directivas disponible en Active Directory puede simplificar
enormemente este proceso. Las siguientes secciones de este apéndice proporcionan la información necesaria para
implementar las directivas IPsec.
Copia de las secuencias de comandos de configuración Para configurar las directivas IPsec, la primera tarea consiste en copiar las secuencias de comandos de configuración
requeridas en el controlador de dominio que se utilizará para almacenarlas. Para configurar el laboratorio de Woodgrove
Bank, se utilizaron las secuencias de comandos de configuración facilitadas con la solución. En el escenario de Woodgrove
Bank, se llevaron a cabo los pasos siguientes:
Copia de las secuencias de comandos de configuración
Instalación de la consola de administración de directivas de grupo
• Consola de administración de directivas de grupo (GPMC). Se trata de un complemento para la administración de
directivas de grupo que simplifica la administración de directivas de grupo en la organización. Puede descargarse de la
página Consola de administración de directiva de grupo con Service Pack 1, en el Centro de descarga de Microsoft:
www.microsoft.com/downloads/details.aspx?
FamilyId=0A6D4C24-8CBD-4B35-9272-DD3CBFC81887&displaylang=en.
• Consola de administración de directivas de seguridad IP. Esta herramienta permite al administrador crear, ver o
modificar directivas IPsec, acciones de filtrado y listas de filtros. Aunque es un complemento de Microsoft Management
Console (MMC), no aparece en el listado predeterminado de Herramientas administrativas del equipo. Para utilizar esta
herramienta, ejecute mmc.exe en un símbolo del sistema y agregue el complemento manualmente.
• Consola de administración de monitor de seguridad IP. Esta herramienta permite al administrador ver las diversas
reglas aplicadas a un equipo y las asociaciones de seguridad (SA) de modo principal y de modo rápido que se le han
asociado. Al igual que la Consola de administración de seguridad IP, esta herramienta no aparece de forma
predeterminada en el menú Herramientas administrativas, sino que debe cargarse manualmente con la ayuda del
programa mmc.exe.
1. Inicie la sesión en IPS-CH-DC-01 como administrador del dominio para América.
2. Cree una carpeta llamada C:\IPsec Scripts.
3. Copie los archivos de secuencia de comandos de la carpeta Herramientas y plantillas de esta solución en la
carpeta C:\IPsec Scripts.
La GPMC se utiliza para instalar y configurar los GPO que utiliza la solución. La GPMC sólo debe instalarse en IPS-CH-DC-
01; su instalación en otros servidores es opcional.
Nota: la instalación de la GPMC modifica ligeramente la interfaz de usuario de Active Directory Users and Computers MMC
para el equipo en el que se instala. Para obtener más información acerca de la utilización de la GPMC y descargar el archivo
de instalación, consulte la página Consola de administración de directiva de grupo con Service Pack 1 del Centro de
descarga de Microsoft en www.microsoft.com/downloads/details.aspx?
familyid=0a6d4c24-8cbd-4b35-9272-dd3cbfc81887&displaylang=en.
Instalación de la consola de administración de directivas de grupo
Implementación de listas de filtros IPsec y acciones de filtrado La creación de las listas de filtros IPsec y las acciones de filtrado se lleva a cabo utilizando la herramienta Netsh o el
complemento Administrador de las directivas de seguridad de IP para MMC.
Aunque el complemento Administrador de las directivas de seguridad de IP para MMC proporciona una interfaz gráfica para
IPsec, muchos administradores consideran más sencillo mantener y actualizar secuencias de comandos que utilicen la
herramienta de línea de comando Netsh. Además, resulta sencillo transportar las secuencias de comandos a través de
dominios o bosques. En esta solución, las secuencias de comandos Netsh se utilizaron para implementar las listas de filtros
IPsec y las acciones de filtrado.
Nota: contraste las secuencias de comandos con los almacenes de directivas locales de un equipo con
Windows Server 2003 definiendo el enfoque del almacén como local. Tras depurar las secuencias de comandos, modifique
la configuración del almacén para centrarse en el dominio para la importación final.
Para crear listas de filtros IPsec y acciones de filtrado
Implementación de las directivas IPsec Tras crear las listas de filtros y las acciones de filtrado, pueden ejecutarse las secuencias de comandos que crean las
directivas IPsec.
Nota: las directivas creadas mediante las secuencias de comandos se configuran con un intervalo de sondeo de cinco
minutos con fines de prueba.
En la tabla siguiente aparece el nombre de la directiva y el archivo de comandos que crea la directiva. El nombre del
1. Descargue el archivo de instalación Gpmc.msi del Centro de descarga de Microsoft.
2. Asegúrese de que ha iniciado la sesión como miembro del grupo de administradores de dominio en IPS-CH-DC-01.
3. Desde el Explorador de Windows, haga doble clic en el archivo de instalación Gpmc.msi.
4. Siga las indicaciones del asistente de configuración para instalar la GPMC; acepte todos los valores predeterminados.
Importante: debe instalar la GPMC en la carpeta Archivos de programa, no importa en qué controlador se
encuentre la carpeta. También deberá utilizar la carpeta de instalación predeterminada (GPMC) dentro de la carpeta
Archivos de programa. Si cambia el nombre de la carpeta, deberá actualizarlo en el archivo Constants.txt. Los últimos procedimientos utilizan algunas reglas instaladas por la GPMC y, si la instala en otro lugar, quizás no
encuentren las herramientas de la GPMC hasta que se actualice este archivo.
1. Inicie la sesión en el dominio IPS-CH-DC-01 como administrador del dominio para América.
2. Abra un símbolo del sistema, escriba
netsh –f "c:\IPsec Scripts\PacketFilters.txt" y presione Entrar.
Nota: si con la secuencia de comandos se crean listas de filtros vacías, aparece el mensaje de error siguiente en la
línea de comandos: ERR IPsec [05022]: No hay filtros en la lista de filtros denominada "<Nombre de lista de filtros>." Puede ignorar este mensaje sin problemas.
3. Inicie el complemento de MMC de administración de directivas de seguridad IP y confirme que se han creado las
listas de filtros y las acciones de filtrado en Active Directory.
Nota: para contrastarlo con la directiva local, asegúrese de que la secuencia de comandos que se ejecuta en el paso
2 se configura con set store location=local. En el paso 3, compruebe que el complemento de MMC está centrado
en el equipo local y no en el dominio.
archivo de comandos se utilizará en el paso 2 del procedimiento siguiente.
Tabla C.1: directiva IPsec para asignación de archivos de comandos
Para crear las directivas IPsec
Creación de GPO para directivas IPsec En Woodgrove Bank se crearon cuatro GPO para directivas IPsec. Cada uno de estos GPO se denominó igual que la
directiva IPsec asignada en el GPO. Hasta que las directivas no se vinculen en Active Directory, estos GPO no suministrarán
ninguna directiva IPsec al entorno.
En la tabla siguiente aparece el nombre de cada GPO y el nombre de la directiva IPsec que suministra dicho GPO.
Tabla C.2: GPO de Woodgrove Bank para asignación de IPsec
Nombre de directiva IPsec Nombre de archivo de comandos
IPSEC – Directiva IPsec de grupo de aislamiento Límite
(1.0.041001.1600)
BoundaryIGPolicy.txt
IPSEC – Directiva IPsec de grupo de aislamiento Sin
reserva (1.0.041001.1600)
NoFallbackIGPolicy.txt
IPSEC – Directiva IPsec de dominio de aislamiento
(1.0.041001.1600)
IsolationDomainPolicy.txt
IPSEC – Directiva IPsec de grupo de aislamiento Cifrado
(1.0.041001.1600)
EncryptionIGPolicy.txt
1. Inicie la sesión en IPS-CH-DC-01 como administrador del dominio para América.
2. Abra un símbolo del sistema. Para cada directiva, escriba
netsh –f "c:\IPsec Scripts\<Script Filename>" and then press ENTER.
Nota: si una lista de filtros está vacía, Netsh mostrará un error que empezará por "ERR IPsec [05022]..." Este
mensaje puede pasarse por alto sin problemas.
3. Inicie el complemento de MMC de administración de directivas de seguridad IP y confirme que se han creado las
directivas IP en Active Directory.
Nota: para contrastarlo con la directiva local, asegúrese de que la secuencia de comandos que se ejecuta en el paso
2 se configura con set store location=local. En el paso 3, compruebe que el complemento de MMC está centrado
en el equipo local y no en el dominio.
Nombre de GPO Nombre de directiva IPsec
IPSEC – Directiva de grupo de aislamiento Límite IPSEC – Directiva IPsec de grupo de aislamiento Límite
(1.0.041001.1600)
IPSEC – Directiva de grupo de aislamiento Sin reserva IPSEC – Directiva IPsec de grupo de aislamiento Sin
reserva (1.0.041001.1600)
IPSEC – Directiva de dominio de aislamiento IPSEC – Directiva IPsec de dominio de aislamiento
(1.0.041001.1600)
IPSEC – Directiva de grupo de aislamiento Cifrado IPSEC – Directiva IPsec de grupo de aislamiento Cifrado
(1.0.041001.1600)
Para crear los GPO para directivas IPsec
Configuración de la seguridad en las directivas de grupo IPsec En Woodgrove Bank se utilizaron ACL de seguridad en el GPO que contiene las directivas IPsec para controlar la aplicación
de las directivas. La principal ventaja es que todas las directivas pudieron vincularse en el nivel de dominio, en lugar de
utilizar múltiples unidades organizativas (OU), y ello ayudó a simplificar la administración de la aplicación de directivas.
Además, se implementó una ejecución por fases sin desplazar ninguna cuenta de equipo a OU especiales. Por el contrario,
las cuentas de equipo que participaron en la prueba piloto se agregaron a los grupos apropiados. El inconveniente es que la
organización debe tener buenas herramientas de administración de grupos.
Creación de grupos Se creó un conjunto de grupos para controlar el modo en que se aplicaba la directiva en la organización Woodgrove Bank.
Puesto que el bosque de Woodgrove Bank se encontraba en modo Nativo, se utilizaron grupos universales para controlar la
directiva en todos los dominios.
Tabla C.3: Grupos universales de Woodgrove Bank
Para crear los grupos universales de Woodgrove Bank
1. Inicie la sesión en IPS-CH-DC-01 como administrador del dominio para América.
2. Inicie la GPMC.
3. Expanda el bosque: corp.woodgrovebank.com, luego el dominio y, a continuación,
americas.corp.woodgrovebank.com.
4. Haga clic con el botón secundario en Objetos de directiva de grupo y haga clic en Nuevo.
5. En el cuadro de texto Nombre, escriba un <nombre de GPO> y haga clic en Aceptar.
6. Haga clic con el botón secundario en <nombre de GPO> y, a continuación, haga clic en Editar.
7. Expanda Configuración del equipo, Configuración de Windows, Configuración de seguridad y, a continuación, haga clic en Directivas de seguridad IP en Active Directory (corp.woodgrovebank.com).
8. En el panel derecho, haga clic con el botón secundario en <nombre de directiva IPsec> y, a continuación, en
Asignar.
9. Asegúrese de que se ha asignado el <nombre de la directiva IPsec> y cierre el editor de GPO.
10. Repita los pasos 4-9 para cada combinación de <nombre de GPO> y <nombre de directiva IPsec> de la tabla
anterior.
Nombre de grupo Descripción
CG_NoIPsec_computers Un grupo universal de cuentas de equipos que no participan en el
entorno IPsec, normalmente cuentas de equipos de infraestructura.
CG_BoundaryIG_computers Un grupo universal de cuentas de equipos que pueden comunicarse
con sistemas que no son de confianza.
CG_ EncryptionIG_computers Un grupo universal de cuentas de equipos que se encuentran en el
grupo de aislamiento Cifrado.
CG_ IsolationDomain_computers Un grupo universal de cuentas de equipos que forman parte del
dominio de aislamiento.
CG_NoFallbackIG_computers Un grupo universal de cuentas de equipos que forman parte del
grupo de aislamiento Sin reserva.
1. Abra Usuarios y equipos de Active Directory en IPS-CH-DC-01.
2. Haga clic con el botón secundario en el contenedor Usuarios, haga clic en Nuevo y, a continuación, haga clic en
Grupo.
3. En el cuadro de texto Nombre de grupo, escriba el primer <Nombre de grupo> de la tabla anterior.
4. Seleccione Grupo de seguridad universal y, a continuación, Aceptar.
5. Repita los pasos 2 y 4 para cada grupo.
6. Haga clic con el botón secundario en el primer <Nombre de grupo> y, a continuación, haga clic en Propiedades.
7. En el cuadro de texto Descripción, escriba la primera <Descripción> de la tabla anterior.
8. Haga clic en Aceptar.
9. Repita los pasos 6-8 para cada uno de los grupos enumerados en la tabla anterior.
Configuración de la seguridad de GPO Los grupos se utilizan para controlar qué equipos obtienen qué directivas de participación IPsec. Es preciso configurar las
ACL de seguridad en cada una de las directivas IPsec recién creadas para configurar los grupos apropiados. En la tabla
siguiente se muestran las ACL que se agregan a cada GPO.
Nota: si una organización delega derechos administrativos para las directivas IPsec usuarios ajenos al grupo de
Administradores del dominio, el grupo administrativo delegado necesitará Control total en el contenedor Seguridad IP de
Active Directory.
Tabla C.4: Permisos de grupo de directiva para Woodgrove Bank
Nota: la directiva del grupo de aislamiento Límite está configurada para permitir que el grupo de Equipos del dominio
aplique la directiva para el proceso inicial de constitución colocando el grupo de Equipos del dominio en el grupo
CG_BoundaryIG_computers. Tras desplazar todos los equipos a sus grupos respectivos, los equipos del dominio se
eliminarán del grupo CG_BoundaryIG_computers.
Para definir los permisos de grupo en el GPO
Nombre de GPO Nombre de cuenta o grupo Derechos asignados
IPSEC – Directiva de grupo de
aislamiento Límite
CG_NoIPsec_computers Denegar aplicación de directiva de
grupo
CG_BoundaryIG_computers Permitir lectura y aplicación de
directiva de grupo
IPSEC – Directiva de grupo de
aislamiento Sin reserva
CG_NoIPsec_computers Denegar aplicación de directiva de
grupo
CG_NoFallbackIG_computers Permitir lectura y aplicación de
directiva de grupo
IPSEC – Directiva de dominio de
aislamiento
CG_NoIPsec_computers Denegar aplicación de directiva de
grupo
IPSEC – Directiva de dominio de
aislamiento
CG_ IsolationDomain_computers Permitir lectura y aplicación de
directiva de grupo
IPSEC – Directiva de grupo de
aislamiento Cifrado
CG_NoIPsec_computers Denegar aplicación de directiva de
grupo
CG_ EncryptionIG_computers Permitir lectura y aplicación de
directiva de grupo
1. Inicie la GPMC en IPS-CH-DC-01 como administrador del dominio para América.
2. Expanda el bosque: corp.woodgrovebank.com, el dominio, americas.corp.woodgrovebank.com y, a
Cómo impedir que los equipos del grupo de aislamiento Límite puedan establecer conexiones con equipos del grupo de aislamiento Cifrado En Woodgrove Bank era un requisito que ningún equipo del grupo de aislamiento Límite pudiera establecer comunicaciones
con los equipos del grupo de aislamiento Cifrado. Para implementar esta restricción, se creó el grupo
DNAG_EncryptionIG_computers para que sus miembros no pudieran tener acceso a los equipos del grupo de aislamiento
Cifrado. La directiva del grupo de aislamiento Cifrado se configuró de forma que al grupo DNAG_EncryptionIG_computers
se le concedió el derecho "Denegar acceso desde la red a este equipo", y el grupo CG_BoundaryIG_computers se colocó en
el grupo DNAG_EncryptionIG_computers. Esta configuración se consiguió modificando el GPO IPSEC – Directiva de grupo
de aislamiento Cifrado.
Para crear el grupo DNAG_EncryptionIG_computers
continuación, Objetos de directiva de grupo.
3. Haga clic en el primer <nombre de GPO> de la tabla anterior y, a continuación, en la ficha Delegación.
4. Haga clic en el botón Avanzadas.
5. En el cuadro de desplazamiento Nombre de grupo o usuario, haga clic en Usuarios autenticados y desactive
la casilla Derecho de Permitir Aplicar directiva de grupos.
6. Haga clic en el botón Agregar.
7. En el cuadro de texto Escriba los nombres de objeto que desea seleccionar, especifique los <Nombres de
grupo o cuenta> de la tabla anterior, separados por punto y coma, y haga clic en Aceptar.
8. En el cuadro de texto Nombres de grupos o usuarios, seleccione <Nombre de grupo o cuenta>, y especifique
los <Derechos asignados> en las casillas de verificación Permisos.
9. Repita el paso 8 para cada <Nombre de grupo o cuenta> asociado con el <Nombre de directiva>.
10. Haga clic en Aceptar.
11. Si el derecho que se asigna es un derecho de Denegar, haga clic en Sí cuando aparezca el cuadro de mensaje; de
lo contrario, siga con el paso 12.
12. Repita los pasos 3-11 para cada <Nombre de directiva>.
Nota: compruebe que a la entrada Usuarios autenticados se le han otorgado sólo permisos de Lectura en la ACL de
seguridad para cada directiva. Si también se le han otorgado permisos de Aplicar, la directiva se implementará en
todos los equipos.
1. Abra Usuarios y equipos de Active Directory en IPS-CH-DC-01.
2. Haga clic con el botón secundario en el contenedor Usuarios, haga clic en Nuevo y, a continuación, haga clic en
Grupo.
3. En el cuadro de texto Nombre de grupo, escriba DNAG_EncryptionIG_computers.
4. Seleccione el grupo de seguridad Dominio local y, a continuación, haga clic en Aceptar.
5. Haga clic con el botón secundario en DNAG_EncryptionIG_computers y haga clic en Propiedades.
6. En el cuadro de texto Descripción, escriba Utilizado para denegar el acceso al grupo de aislamiento Cifrado.
7. Haga clic en Aceptar.
Para configurar IPSEC – Directiva de grupo de aislamiento Cifrado para bloquear a los miembros del grupo DNAG_EncryptionIG_computers
1. Inicie la GPMC en IPS-CH-DC-01 como administrador del dominio para América.
2. Expanda el bosque: corp.woodgrovebank.com, el dominio, americas.corp.woodgrovebank.com y, a
continuación, Objetos de directiva de grupo.
Haga clic con el botón secundario en IPSEC – Directiva del grupo de aislamiento Cifrado y, a continuación,
3. haga clic en Editar.
4. Expanda Configuración del equipo, Configuración de Windows, Configuración de seguridad, Directivas locales y, a continuación, Asignación de derechos de usuario.
5. Haga clic con el botón secundario en Denegar el acceso desde la red a este equipo y, a continuación, haga clic
en Propiedades.
6. Active la casilla de verificación Definir esta configuración de directiva.
7. Haga clic en el botón Agregar usuario o grupo.
8. Haga clic en el botón Examinar.
9. En el cuadro de texto, escriba DNAG_EncryptionIG_computers y, a continuación, haga clic en Aceptar.
10. Vuelva a hacer clic en OK.
11. Haga clic en Aceptar para cerrar la página de Propiedades.
12. Cierre el Editor de objetos de directiva de grupo.
13. Cierre la GPMC.
Para rellenar el grupo DNAG_EncryptionIG_computers con el grupo CG_BoundaryIG_computers
Cómo agregar equipos del dominio al grupo Límite En la implementación inicial, el grupo de aislamiento Límite se utiliza como el grupo de aislamiento predeterminado para los
clientes basados en IPsec de la organización. El grupo Equipos del dominio se agrega al grupo CG_BoundaryIG_computers
para implementar este plan.
Para agregar equipos del dominio al grupo CG_BoundaryIG_computers
1. Inicie Active Directory Users and Computers en IPS-CH-DC-01 como administrador del dominio para América.
2. Expanda el dominio y haga clic en Usuarios.
3. En el panel de la derecha, haga clic con el botón secundario en el grupo de seguridad
DNAG_EncryptionIG_computers y, a continuación, haga clic en Propiedades.
4. Haga clic en la ficha Miembros y, a continuación, en Agregar.
5. En el cuadro Escriba los nombres de objeto que desea seleccionar, escriba CG_BoundaryIG_computers y haga
clic en Aceptar.
6. Haga clic en Aceptar.
1. Inicie Active Directory Users and Computers en IPS-CH-DC-01 como administrador del dominio para América.
2. Expanda el dominio y haga clic en Usuarios.
3. En el panel de la derecha, haga clic con el botón secundario en CG_BoundaryIG_computers y, a continuación,
haga clic en Propiedades.
4. Haga clic en la ficha Miembros y, a continuación, en Agregar.
5. En el cuadro Escriba los nombres de objeto que desea seleccionar, escriba Equipos del dominio y haga clic en
Aceptar.
6. Vuelva a hacer clic en OK.
Nota: debido a los retrasos en la replicación y la frecuencia de sondeo de las directivas IPsec, habrá un retraso
entre el momento en que se agrega el grupo Equipos del dominio al grupo CG_BoundaryIG_computers y el
momento en que se aplica la directiva del grupo de aislamiento Límite. El equipo puede reiniciarse en este momento
si es necesario aplicar la directiva IPsec inmediatamente. De lo contrario, la directiva se aplicará cuando se agote el
tiempo del vale de sesión y se actualice con la nueva información de pertenencia a grupo local.
Cómo agregar servidores de infraestructura al grupo CG_NoIPSec_Computers Para garantizar que los servidores de infraestructura no reciben una directiva que pueda interrumpir la comunicación (por
ejemplo, si cambia la dirección IP de un servidor), se agregaron las siguientes cuentas de equipo de servidores de
infraestructura al grupo de seguridad CG_NoIPsec_computers.
Para agregar servidores de infraestructura al grupo CG_NoIPsec_computers.
Cómo vincular directivas IPsec y GPO en un entorno de dominio Antes de poder distribuir las directivas IPsec, deben vincularse con ubicaciones del entorno del dominio. Puesto que en
Woodgrove Bank se decidió administrar los GPO utilizando grupos de seguridad, la estructura de OU no es demasiado
importante para la distribución de directivas. Sin embargo, si existen OU que bloquean la aplicación de directivas, los GPO
para IPsec deberían vincularse directamente con las OU para que funcione la aplicación de directivas. Otra alternativa sería
habilitar la obligatoriedad de la directiva en los GPO de la directiva IPsec del dominio.
Para vincular las directivas IPsec con los GPO existentes
Principio de la página
Utilización del método de constitución de directivas para habilitar la directiva
• IPS-RT-DC-01
• IPS-CH-DC-01
1. Inicie Active Directory Users and Computers en IPS-CH-DC-01 como administrador del dominio para América.
2. Expanda el dominio y haga clic en Usuarios.
3. En el panel de la derecha, haga clic con el botón secundario en CG_NoIPsec_computers y, a continuación, haga
clic en Propiedades.
4. Haga clic en la ficha Miembros y, a continuación, en Agregar.
5. Haga clic en el botón Tipos de objeto, seleccione la casilla de verificación Equipos y haga clic en Aceptar.
6. En el cuadro de texto Escriba los nombres de objeto que desea seleccionar, especifique los nombres de los
equipos de la lista anterior, separados por punto y coma, y haga clic en Aceptar.
7. Vuelva a hacer clic en OK.
1. Inicie la GPMC como administrador del dominio.
2. Expanda el dominio.
3. Haga clic con el botón secundario en el nombre del dominio y, a continuación, haga clic en Vincular un GPO existente.
4. En la lista Objetos de directiva de grupo, seleccione todas las directivas con el nombre IPSEC y, a continuación,
haga clic en Aceptar.
5. En el panel derecho, utilice las flechas para ordenar las directivas tal como se muestra en la tabla siguiente.
Tabla C.5: Orden de vinculación de objetos de directiva de grupo en el nivel de dominio
Orden de vinculación Nombre de objeto de directiva de grupo
1 IPSEC – Directiva de grupo de aislamiento Cifrado
2 IPSEC – Directiva de grupo de aislamiento Sin reserva
3 IPSEC – Directiva de dominio de aislamiento
4 IPSEC – Directiva de grupo de aislamiento Límite
5 Directiva del dominio predeterminada
IPsec de línea de base La primera tarea en la ejecución de la infraestructura IPsec consiste en implementar la directiva de grupo de aislamiento
Límite utilizando el método de implementación de constitución de directiva. Aunque el grupo de aislamiento Límite no
pretende ser el dominio de aislamiento para todos los equipos del entorno de Woodgrove Bank, está configurado de forma
que se aplique a todos los equipos en la primera fase de la implementación.
Puesto que la directiva de grupo de aislamiento Límite permite y acepta la comunicación con equipos ajenos a IPsec, se
consideró la directiva más segura para la implementación gradual en el entorno. Inicialmente, la directiva se implementó
sin definir subredes seguras. De este modo, los administradores de Woodgrove Bank pudieron corregir las directivas IPsec
locales existentes. Seguidamente se agregaron subredes una a una y se probaron para comprobar que la negociación IPsec
transcurría correctamente.
Cómo agregar subredes a la lista de filtros de subredes seguras Tras aplicar la directiva de grupo de aislamiento Límite vacía a los equipos de la organización y resolver todo conflicto con
las directivas IPsec locales existentes, los administradores de Woodgrove Bank empezaron a constituir la directiva.
La constitución de la directiva consistía en identificar las subredes organizativas que debían protegerse. Las subredes
identificadas se agregaron a la directiva una a una. Tras agregar la primera entrada a la lista de filtros, la lista de filtros se
agrega a la directiva.
Cuando se hubieron agregado todas las subredes, se dejó tiempo para aplicar la directiva a los equipos de la organización y
resolver los conflictos. Este proceso se repitió hasta implementar toda la lista de filtros de subredes seguras.
En la tabla siguiente aparecen las subredes seguras identificadas que se utilizaron en el laboratorio de Woodgrove Bank
para reflejar fielmente su red de producción:
Tabla C.6: Lista de subredes seguras para el laboratorio de pruebas de Woodgrove Bank
Para crear la primera entrada en la lista de filtros de subredes seguras
Subred Máscara de red Descripción
192.168.1.0 255.255.255.0 Subred LAN organizativa 192.168.1.0/24
172.10.1.0 255.255.255.0 Subred LAN organizativa 172.10.1.0/24
1. Inicie la sesión en IPS-CH-DC-01 como administrador del dominio para América.
2. Inicie el complemento de MMC para la administración de la directiva de seguridad IP.
3. Haga clic con el botón secundario en Directivas de seguridad IP en Active Directory y haga clic en
Administrar listas de filtros IP y acciones de filtrado.
4. En la ficha Administrar listas de filtros IP, haga clic en IPSEC – Subredes seguras de la organización y, a continuación, en Editar.
5. Asegúrese de que no está marcada la casilla de verificación Usar Asistente para agregar.
6. Haga clic en Agregar.
7. En la ficha Direcciones, en la lista desplegable Dirección de origen, haga clic en Cualquier dirección IP.
8. En la lista desplegable Dirección de destino, haga clic en Una subred IP específica y, a continuación, rellene
las casillas Dirección IP y máscara de subred utilizando la información de la tabla anterior.
9. Compruebe que se ha seleccionado la opción Reflejado.
10. En la ficha Descripción, escriba la descripción correspondiente de la tabla anterior.
11. Haga clic en Aceptar para cerrar el cuadro de diálogo Propiedades de filtros IP.
12. Haga clic en Aceptar para cerrar el cuadro de diálogo Lista de filtros IP.
13. Haga clic en Cerrar para cerrar el cuadro de diálogo Administrar listas de filtros IP y acciones de filtrado.
Para agregar la lista de filtros de subredes seguras a la directiva de grupo de aislamiento Límite
1. Inicie la sesión en IPS-CH-DC-01 como administrador del dominio para América.
2. Inicie el complemento de MMC para la administración de la directiva de seguridad IP.
3. Haga clic con el botón secundario en IPSEC – Directiva IPsec de grupo de aislamiento Límite (1.0.041001.1600) y, a continuación, haga clic en Propiedades.
4. En la ficha Reglas, asegúrese de que la casilla de verificación Usar Asistente para agregar no está seleccionada
y haga clic en Agregar.
5. En la ficha Lista de filtros IP, haga clic en IPSEC – Subredes seguras de la organización.
6. En la ficha Acción de filtrado, haga clic en IPSEC – Modo de solicitud (Aceptar entrante, Permitir saliente).
7. En la ficha Tipo de conexión, compruebe que se ha seleccionado la casilla de verificación Todas las conexiones de red.
8. En la ficha Configuración de túnel, compruebe que se ha seleccionado la casilla Esta regla no especifica un túnel IPsec.
9. En la ficha Métodos de autenticación, compruebe que el método Kerberos es el único método listado.
10. Haga clic en Aceptar para cerrar el cuadro de diálogo Editar propiedades de reglas.
11. Haga clic en Aceptar para cerrar el cuadro de diálogo IPSEC – Propiedades de directiva IPsec de grupo de aislamiento Límite (1.0.041001.1600).
12. Deje que se aplique la directiva y ejecute los pasos de verificación que aparecen en la sección "Verificar la
implementación básica", incluida más adelante en este apéndice.
Para agregar las subredes restantes a la lista de filtros de subredes seguras
1. Inicie la sesión en IPS-CH-DC-01 como administrador del dominio para América.
2. Inicie el complemento de MMC para la administración de la directiva de seguridad IP.
3. Haga clic con el botón secundario en Directivas de seguridad IP en Active Directory y haga clic en
Administrar listas de filtros IP y acciones de filtrado.
4. En la ficha Administrar listas de filtros IP, haga clic en IPSEC – Redes seguras de la organización y, a
continuación, en Editar.
5. Asegúrese de que no está marcada la casilla de verificación Usar Asistente para agregar.
6. Haga clic en Agregar.
7. En la ficha Direcciones, en la lista desplegable Dirección de origen, haga clic en Cualquier dirección IP.
8. En la lista desplegable Dirección de destino, haga clic en Una subred IP específica y, a continuación, rellene
las casillas Dirección IP y máscara de subred utilizando la información de la tabla anterior.
9. Compruebe que se ha seleccionado la opción Reflejado.
10. En la ficha Descripción, escriba la descripción correspondiente de la tabla anterior.
11. Haga clic en Aceptar para cerrar el cuadro de diálogo Propiedades de filtros IP.
12. Haga clic en Aceptar para cerrar el cuadro de diálogo Lista de filtros IP.
13. Haga clic en Cerrar para cerrar el cuadro de diálogo Administrar listas de filtros IP y acciones de filtrado.
14. Deje que se aplique la directiva y ejecute los pasos de verificación que aparecen en la sección "Verificar la
Verificación de la implementación básica Tras crear los objetos de directiva e implementarlos en Active Directory en un estado inactivo, deberá iniciarse un proceso
de verificación antes de configurar la directiva base para aplicar el grupo de aislamiento Base a todos los equipos de la
organización. La verificación puede ayudar a minimizar cualquier interrupción potencial para los hosts participantes en caso
de error en la configuración base.
Pruebas de implementación funcionales La prueba más sencilla que puede llevarse a cabo para confirmar la funcionalidad de IPsec es intentar la ejecución de los
comandos net view para los equipos de la red organizativa segura y para los equipos que no se encuentran en las
subredes de la red organizativa segura.
Los equipos de una subred segura deberían negociar una SA por hardware que esté visible en el complemento de MMC
Monitor de seguridad IP. Deberá crearse una SA por software entre un participante IPsec y un equipo que no esté en una
subred de la red organizativa segura.
Para comprobar la funcionalidad de las directivas IPsec que se aplican
Principio de la página
Secuencias y herramientas de prueba para las pruebas de funcionalidad Durante las pruebas de funcionalidad, deben supervisarse diversos valores de configuración. Aunque la mayoría de estos
valores pueden supervisarse con herramientas estándar, hay dos tareas que requieren herramientas con las que el
administrador estándar podría no estar familiarizado. Estas tareas implican la identificación de la directiva IPsec
actualmente activa en el equipo y la identificación del tipo de SA que se negoció.
Comprobación de la aplicación de la directiva IPsec La identificación de la directiva IPsec activa en un equipo supone un reto, ya que no existe ningún método consistente para
todas las plataformas. En algunos casos, se puede identificar la directiva IPsec a través de la interfaz de usuario gráfica
(GUI), mientras que otras situaciones requieren una herramienta de línea de comandos que puede o no instalarse con el
sistema operativo.
Windows 2000 Para equipos con Windows 2000 Server, el administrador puede identificar la directiva IPsec aplicada actualmente
utilizando el comando Netdiag. Para recuperar la información y nombre de la directiva, el administrador inicia la sesión en
el equipo, inicia un símbolo del sistema y escribe lo siguiente:
Netdiag /test:IPsec
Ejemplo de salida de este comando:
implementación básica", incluida más adelante en este apéndice.
15. Repita los pasos 2-14 para cada subred.
1. Desde un equipo de subred segura, abra un símbolo del sistema y escriba
net view \\<nombre de equipo> y presione Entrar. Como <nombre de equipo>, utilice los nombres de otros equipos
de subred segura y de equipos que no formen parte de subredes seguras.
2. Inicie el complemento de MMC Monitor de seguridad IP en el equipo que inició los comandos net view.
3. Expanda Monitor de seguridad IP, <nombre de equipo>, Modo rápido y, a continuación, haga clic en
Asociaciones de seguridad.
4. Confirme lo siguiente para cada equipo para el que se haya iniciado un comando net view:
• Los participantes de la red organizativa segura negociaron una SA por hardware. La columna Integridad ESPno debería establecerse en <Ninguna>.
• Los no participantes negociaron una SA por software. La columna Integridad ESP debería establecerse en
<Ninguna>.
IP Security test . . . . . . . . . : Passed Directory IPsec Policy Active: ' IPSEC – Isolation Domain IPsec Policy (1.0.041001.1600)'
Windows XP Para equipos con Windows XP, el administrador puede identificar la directiva IPsec aplicada actualmente utilizando la
herramienta de línea de comandos IPseccmd.exe. Para recuperar la información y nombre de la directiva, el
administrador inicia la sesión en el equipo, inicia un símbolo del sistema y escribe lo siguiente:
IPseccmd show gpo
Ejemplo de salida de este comando:
Active Directory Policy ----------------------- Directory Policy Name: IPSEC – Isolation Domain IPsec Policy (1.0.041001.1600) Description: Isolation Domain Policy (Allow Outbound) Last Change: Fri Sep 03 15:20:29 2004 Group Policy Object: IPSEC – Isolation Domain Policy Organizational Unit: LDAP://DC=americas,DC=woodgrovebank,DC=com Policy Path: LDAP://CN=IPsecPolicy{efa2185d-1a1d-40f6- b977-314f152643ca},CN=IP Security,CN=System,DC=americas,DC=woodgrovebank,DC=com
Windows Server 2003 Para equipos con Windows Server 2003, el administrador puede identificar la directiva IPsec aplicada actualmente
utilizando la herramienta de línea de comandos Netsh. Para recuperar la información y nombre de la directiva, el
administrador inicia la sesión en el equipo, inicia un símbolo del sistema y escribe lo siguiente:
netsh IPsec static show gpoassignedpolicy
Ejemplo de salida de este comando:
Source Machine : Local Computer GPO for <IPS-TZ-W2K-02> GPO Name : IPSEC – Isolation Domain Policy Local IPsec Policy Name : NONE AD IPsec Policy Name : IPSEC – Isolation Domain IPsec Policy (1.0.041001.1600) AD Policy DN : LDAP://CN=IPsecPolicy {efa2185d-1a1d-40f6-b977-314f152643ca},CN=IP Security,CN=System,DC=americas,DC=woodgrovebank,DC=com Local IPsec Policy Assigned: Yes, but AD Policy is Overriding
Utilización del Monitor de seguridad IP para determinar el tipo de SA El complemento de MMC Monitor de seguridad IP se utiliza para examinar las SA de modo principal y modo rápido, los
filtros asociados, las directivas de intercambio de claves de Internet (IKE) y las directivas de negociación. Durante la
resolución de problemas, puede utilizarse el complemento de MMC Monitor de seguridad IP para determinar qué tipo de SA
se ha negociado entre principales. Mediante la inspección de las SA bajo el árbol Modo rápido, un administrador del
sistema puede identificar principales IPsec para el equipo en el que se está ejecutando la herramienta.
Cuando un equipo negocia una conexión IPsec, se crea una SA por hardware. Esta SA tendrá un valor distinto a <Ninguno>
en uno o varios de los campos Autenticación, Confidencialidad ESP o Integridad ESP. Por ejemplo, ESP con SHA1 y
sin autenticación tendría HMAC-SHA1 bajo el campo Integridad ESP y <Ninguno> para los otros dos campos. Si la SA por
hardware también incluye la negociación del cifrado, el campo Confidencial ESP incluirá DES o bien 3DES.
Una SA por software tendrá <Ninguno> bajo los tres campos, indicando que el contestador efectuó un retroceso a texto no
cifrado.
Principio de la página
Habilitación de la lista de filtros de subredes seguras de la organización en las directivas restantes Antes de habilitar las directivas IPsec que quedan, deberá agregarse a cada directiva la lista de filtros de la red organizativa
segura. Esta tarea es necesaria porque en el momento de crear la directiva, la lista de filtros de la red organizativa segura
estaba vacía y no pudo agregarse a la directiva.
Anteriormente, en este mismo apéndice, se implementó la lista de filtros de la red organizativa segura y ahora puede
agregarse a las directivas restantes. La tabla siguiente muestra los nombres de directiva y la acción de filtrado asociada
que se ha asignado a la lista de filtros de la red organizativa segura.
Tabla C.7: Asignación de directiva y acciones de filtrado
Para agregar la lista de filtros de la red organizativa segura a las directivas IPsec
Principio de la página
Cómo habilitar la configuración del grupo de acceso de red Los grupos de acceso de red se utilizan para que el contestador IPsec acepte sólo conexiones de un grupo seleccionado de
equipos iniciadores y usuarios identificados. Por ejemplo, mediante grupos de acceso de red, los administradores pueden
configurar los equipos cliente ejecutivos de forma que sólo acepten el tráfico entrante iniciado por los equipos ejecutivos
Nombre de la directiva Acción de filtrado
IPSEC – Directiva IPsec de grupo de aislamiento Sin
reserva (1.0.041001.1600)
IPsec – Modo de solicitud completo (Ignorar entrante, No
permitir saliente)
IPSEC – Directiva IPsec de dominio de aislamiento
(1.0.041001.1600)
IPsec – Modo de solicitud seguro (Ignorar entrante,
Permitir saliente)
IPSEC – Directiva IPsec de grupo de aislamiento Cifrado
(1.0.041001.1600)
IPSEC – Solicitar modo de cifrado (Ignorar entrante, No
permitir saliente)
1. Inicie la sesión en IPS-CH-DC-01 como administrador del dominio para América.
2. Inicie el complemento de MMC para la administración de la directiva de seguridad IP.
3. Haga clic con el botón secundario en <Nombre de directiva> y, a continuación, haga clic en Propiedades.
4. En la ficha Reglas, haga clic en Agregar.
5. En la ficha Lista de filtros IP, haga clic en IPSEC – Subredes seguras de la organización.
6. En la ficha Acción de filtrado, haga clic en la <Acción de filtrado> correspondiente de la tabla C.7.
7. En la ficha Tipo de conexión, compruebe que se ha seleccionado la casilla de verificación Todas las conexiones de red.
8. En la ficha Configuración de túnel, compruebe que se ha seleccionado la casilla Esta regla no especifica un túnel IPsec.
9. En la ficha Métodos de autenticación, compruebe que el método Kerberos es el único método listado.
10. Haga clic en Aceptar para cerrar el cuadro de diálogo Editar propiedades de reglas.
11. Haga clic en Aceptar para cerrar el cuadro de diálogo Propiedades de <Nombre de directiva>.
12. Repita los pasos 3-11 para cada directiva de la tabla anterior.
pero mantengan su habilidad de iniciar tráfico dirigido a otros recursos.
Nota: debe definir esta opción con cuidado, pues los equipos que necesitan iniciar una comunicación con equipos del grupo
de acceso de red (por ejemplo, sistemas de supervisión que emplean sondeo) darán error si no están incluidos en el grupo
de acceso de red.
Implementación de grupos de acceso de red Los diseñadores de Woodgrove Bank decidieron implementar los grupos de acceso de red utilizando grupos locales de
dominio. Estos grupos se utilizaron para definir los iniciadores. Otorgaron al grupo de iniciadores derecho de "Tener acceso
a este equipo desde la red" para los contestadores y denegaron este derecho al grupo de Usuarios autenticados. En
Woodgrove Bank se implementó el grupo de acceso de red utilizando grupos locales de dominio porque estos grupos se
guardan en el vale de sesión, que se actualiza cada 60 minutos. Si se hubieran utilizado grupos globales o universales, el
grupo de acceso de red se habría guardado en el vale de concesión de vales (TGT), que tiene una duración de 8 horas.
Utilizando grupos locales de dominio, los cambios entran en vigor mucho antes.
Nota: aunque esta solución utiliza grupos locales de dominio con el derecho de "Tener acceso a este equipo desde la red"
para implementar el grupo de acceso de red, podrían utilizarse claves previamente compartidas o certificados para
implementar grupos de acceso de red individuales.
Los diseñadores de Woodgrove Bank identificaron un grupo de red, que se utiliza para controlar el acceso en el grupo de
aislamiento Cifrado.
Creación de grupos de seguridad para controlar el acceso Tabla C.8: Grupos de seguridad del grupo de acceso de red de Woodgrove Bank
Para crear los grupos que aparecen en la tabla anterior
Nombre de grupo Descripción
ANAG _EncryptedResourceAccess_computers Un grupo local de dominio que se utiliza para limitar
los equipos que pueden acceder a recursos cifrados
ANAG _EncryptedResourceAccess_users Un grupo local de dominio que se utiliza para limitar
los usuarios que pueden iniciar una comunicación con
el recurso cifrado restringido
1. Abra Usuarios y equipos de Active Directory en IPS-CH-DC-01.
2. Haga clic con el botón secundario en el contenedor Usuarios, haga clic en Nuevo y, a continuación, haga clic en
Grupo.
3. En el cuadro de texto Nombre de grupo, escriba el <Nombre de grupo> de la tabla anterior.
4. En Ámbito de grupo, seleccione Dominio local y haga clic en Aceptar.
5. Repita los pasos 2 y 4 para cada grupo de la lista.
6. Haga clic con el botón secundario en el <Nombre de grupo> y, a continuación, haga clic en Propiedades.
7. En el cuadro de texto Descripción, escriba la <Descripción> de la tabla anterior.
8. Haga clic en Aceptar.
9. Repita los pasos 6-8 para cada grupo de la tabla anterior.
Cómo agregar cuentas a los grupos de seguridad del grupo de acceso de red Woodgrove Bank agregó los equipos identificados que actúan como iniciadores de tráfico en el grupo de acceso de red a los
grupos locales de dominio apropiados que se utilizan para implementar el grupo de acceso de red.
En la tabla siguiente aparece la pertenencia al grupo de acceso de red identificado por Woodgrove Bank.
Tabla C.9: Pertenencia al grupo de aislamiento para Woodgrove Bank
Nombre de grupo Miembros
Para rellenar los grupos que aparecen en la tabla anterior
ANAG _EncryptedResourceAccess_computers IPS-SQL-DFS-01
IPS-SQL-DFS-02
IPS-ST-XP-05
1. Inicie Active Directory Users and Computers en IPS-CH-DC-01 como administrador del dominio para América.
2. Expanda el dominio y haga clic en Usuarios.
3. En el panel de la derecha, haga clic con el botón secundario en el grupo de seguridad <Nombre del grupo> y, a
continuación, haga clic en Propiedades.
4. Haga clic en la ficha Miembros y, a continuación, en Agregar.
5. Haga clic en el botón Tipos de objeto, seleccione la casilla de verificación Equipos y haga clic en Aceptar.
6. En el cuadro de texto Escriba los nombres de objeto que desea seleccionar, escriba el nombre de los equipos
en la columna Miembros de la tabla anterior y separe cada miembro con un punto y coma. Haga clic en Aceptar.
7. Haga clic en Aceptar.
Cómo agregar cuentas de usuario a los grupos de seguridad del grupo de acceso de red Woodgrove Bank identificó las cuentas de usuario autorizadas para iniciar tráfico en el grupo de acceso de red y las agregó
a los grupos locales de dominio apropiados que se utilizan para implementar el grupo de acceso de red.
En la tabla siguiente aparece la pertenencia al grupo de acceso de red identificado por Woodgrove Bank.
Tabla C.10: Pertenencia al grupo de acceso de red de Woodgrove Bank
Para rellenar los grupos que aparecen en la tabla anterior
Nombre de grupo Miembros
ANAG _EncryptedResourceAccess_users User7
1. Inicie Active Directory Users and Computers en IPS-CH-DC-01 como administrador del dominio para América.
2. Expanda el dominio y haga clic en Usuarios.
3. En el panel de la derecha, haga clic con el botón secundario en el grupo de seguridad <Nombre del grupo> y, a
continuación, haga clic en Propiedades.
4. Haga clic en la ficha Miembros y, a continuación, en Agregar.
5. En el cuadro de texto Escriba los nombres de objeto que desea seleccionar, escriba el nombre de los equipos
de la columna Miembros de la tabla anterior. Si hay múltiples usuarios, sepárelos con un punto y coma. Haga clic en
OK.
6. Haga clic en Aceptar.
Creación de un objeto de directiva de grupo para otorgar el derecho "Tener acceso a este equipo desde la red" En Woodgrove Bank se creó un GPO para implantar el grupo de acceso de red definido. En concreto, el GPO asignó a los
grupos de seguridad del grupo de acceso de red apropiado el derecho de "Tener acceso a este equipo desde la red" para los
equipos apropiados que actúan como contestadores.
Los administradores crearon la tabla siguiente, que muestra el nombre del GPO y los nombres de grupo asociados utilizados
para implementar el grupo de acceso de red.
Tabla C.11: Definición de directiva de grupo de aislamiento para Woodgrove Bank
Nota: como mínimo, deben agregarse los grupos enumerados. El administrador deberá determinar si es preciso otorgar
este derecho a otros grupos.
Para asignar el derecho "Tener acceso a este equipo desde la red"
Nombre de GPO Nombre de grupo
Directiva de grupo de aislamiento de acceso a
recursos cifrados
ANAG_EncryptedResourceAccess_computers
ANAG_EncryptedResourceAccess_users
Administradores
Operadores de copia de seguridad
1. Inicie la sesión en IPS-CH-DC-01 como administrador del dominio para América.
2. Inicie la GPMC.
3. Expanda el bosque: corp.woodgrovebank.com, el dominio y, a continuación,
americas.corp.woodgrovebank.com.
4. Haga clic con el botón secundario en Objetos de directiva de grupo y haga clic en Nuevo.
5. En el cuadro de texto Nombre, escriba un <nombre de GPO> y haga clic en Aceptar.
6. Haga clic con el botón secundario en <nombre de GPO> y, a continuación, haga clic en Editar.
7. Expanda Configuración de equipo, Configuración de Windows, Configuración de seguridad, Directivas locales y haga clic en Asignación de derechos de usuario.
8. En el panel derecho, haga clic con el botón secundario en Tener acceso a este equipo desde la red y, a continuación, haga clic en Propiedades.
9. Active la casilla de verificación Definir esta configuración de directiva.
10. Haga clic en el botón Agregar usuario o grupo.
11. Haga clic en el botón Examinar.
12. En el cuadro de texto Escriba los nombres de objeto que desea seleccionar, escriba el <Nombre de grupo>
para los grupos de la tabla anterior, separándolos con un punto y coma. Haga clic en Aceptar.
13. Vuelva a hacer clic en Aceptar.
14. Cierre la GPMC.
Cómo vincular los objetos de directiva de grupo de acceso de red Antes de distribuir las directivas de grupo de acceso de red, es preciso vincular los GPO con una ubicación dentro del
entorno del dominio. En Woodgrove Bank se distribuyó el GPO enlazándolo con la OU apropiada de Active Directory, tal
como se muestra en la tabla siguiente.
Tabla C.12: Nombre de GPO del grupo de acceso de red y OU de destino
Para vincular una directiva GPO con una OU de destino
Nombre de GPO del grupo de acceso de red OU de destino
Directiva de grupo de acceso de red cifrada Servidores de bases de datos
Comprobación de la implementación de grupos de acceso de red Tras crear e implementar los objetos de directiva y los grupos de acceso de red, los administradores comprobaron la
funcionalidad de los equipos en los grupos de acceso de red.
Pruebas de implementación de requisitos previos Antes de probar la funcionalidad de los equipos en el grupo de acceso de red, Woodgrove Bank confirmó que las
asignaciones de los derechos de usuario se estaban actualizando correctamente. Tras dejar tiempo suficiente para la
replicación y la actualización de directivas, se llevaron a cabo los pasos siguientes en los equipos que aparecen en la tabla
siguiente.
Tabla C.13: Pertenencia al grupo de acceso de red
Para confirmar la pertenencia al grupo adecuado en el grupo de acceso de red
1. Inicie la sesión en IPS-CH-DC-01 como administrador del dominio para América.
2. Inicie la GPMC.
3. Expanda el bosque: corp.woodgrovebank.com, el dominio, americas.corp.woodgrovebank.com y, a
continuación, localice la <OU de destino>.
4. Haga clic con el botón secundario en <OU de destino> y, a continuación, haga clic en Vincular un GPO existente.
5. En la lista Objetos de directiva de grupo, haga clic en <Nombre de GPO de grupo de acceso de red> y, a
continuación, en Aceptar.
Nombre del equipo Grupo que aparece en el derecho de usuario
IPS-SQL-DFS-01 ANAG_EncryptedResourceAccess_computers
ANAG_EncryptedResourceAccess_users
IPS-SQL-DFS-02 ANAG_EncryptedResourceAccess_computers
ANAG_EncryptedResourceAccess_users
1. Inicie la sesión en <Nombre de equipo> como administrador del dominio para América.
2. Inicie la herramienta Directiva de seguridad local.
3. Expanda Directivas locales, Asignación de derechos de usuario y, a continuación, en el panel derecho, haga
doble clic en Acceder a este equipo desde la red.
4. Confirme que el grupo de Usuarios autenticados no está presente.
5. Confirme que el grupo <Grupo que aparece en el derecho de usuario> está presente.
6. Cierra la herramienta Directiva de seguridad local.
7. Repita los pasos 1-6 para cada <Nombre de equipo> de la tabla anterior.
Pruebas de implementación funcionales Tras confirmar en Woodgrove Bank que a los grupos de seguridad se les otorgaba el derecho de usuario adecuado, se
contrastaron los equipos que pertenecían a los grupos de acceso de red entre sí. Woodgrove Bank utilizó esta información
para confirmar que las restricciones de derecho de acceso existían y estaban en funcionamiento. Woodgrove intentó
ejecutar comandos net view para varias combinaciones de iniciador y contestador. Además de esta prueba, se utilizó el
complemento de MMC Monitor de seguridad IP para confirmar que se creaban las SA adecuadas. En la tabla siguiente
aparece el iniciador y contestador para cada ejecución de net view y se indica si debe tener éxito o dar error, junto con el
tipo de SA negociada.
Tabla C.14: Resultados esperados de la prueba funcional del grupo de acceso de red
Para completar la prueba funcional
Principio de la página
Cómo habilitar el dominio de aislamiento Antes de transferir las directivas de dominio de aislamiento, el administrador debe identificar un grupo de equipos que se
utilizarán para la prueba piloto. De forma ideal, este grupo de equipos debería ser una muestra representativa de la
infraestructura de TI de la organización e incluir tanto clientes como servidores.
Las cuentas de los equipos identificados se agregarán al grupo CG_IsolationDomain_computers. Tras dejar tiempo
suficiente para la replicación, la directiva de dominio de aislamiento deberá aplicarse a los equipos de la prueba piloto y
entrar en vigor.
Implementación del dominio de aislamiento En Woodgrove Bank se identificaron los equipos siguientes para su utilización en la prueba piloto:
Para agregar equipos piloto al grupo CG_IsolationDomain_computers
Iniciador Contestador Resultado SA negociada
IPS-TZ-XP-06 IPS-SQL-DFS-01 Error Ninguno
IPS-TZ-XP-06 IPS-SQL-DFS-02 Error Ninguno
IPS-TZ-XP-06 IPS-ST-XP-05 Satisfactoria SA por hardware
IPS-SQL-DFS-01 IPS-SQL-DFS-02 Satisfactoria SA por hardware
IPS-SQL-DFS-01 IPS-ST-XP-05 Satisfactoria SA por hardware
IPS-SQL-DFS-02 IPS-SQL-DFS-01 Satisfactoria SA por hardware
IPS-ST-XP-05 IPS-SQL-DFS-01 Satisfactoria SA por hardware
IPS-ST-XP-05 IPS-SQL-DFS-02 Satisfactoria SA por hardware
1. Inicie la sesión en <Iniciador> como administrador del dominio para América.
2. Inicie el complemento de MMC Monitor de seguridad IP.
3. Expanda Monitor de seguridad IP, <Iniciador>, Modo rápido y, a continuación, haga clic en Asociaciones de seguridad.
4. Inicie un símbolo del sistema y ejecute el comando siguiente:
net view \\<Responder>
5. Utilice el complemento de MMC Monitor de seguridad IP para confirmar que se negoció la SA adecuada en cada
conexión satisfactoria.
6. Repita los pasos 1-5 para cada <Iniciador> de la tabla anterior.
• IPS-TZ-XP-01
• IPS-TZ-W2K-02
• IPS-TZ-XP-06
• IPS-WEB-DFS-01
1. Inicie Active Directory Users and Computers en IPS-CH-DC-01 como administrador del dominio para América.
2. Expanda el dominioy haga clic en Usuarios.
Comprobación de la implementación del dominio de aislamiento Tras crear e implementar los objetos de directiva en Active Directory en el estado activo, deberá llevarse a cabo un proceso
de comprobación para confirmar que el equipo funciona correctamente en el grupo de aislamiento.
Pruebas de implementación de requisitos previos Antes de ejecutar pruebas de funcionamiento para los equipos del dominio de aislamiento, en Woodgrove Bank se confirmó
que había transcurrido tiempo suficiente para la replicación y la actualización de directivas y que se aplicaba la directiva
IPsec correcta.
Para confirmar que se ha aplicado la directiva IPsec correcta en IPS-TZ-XP-06
3. En el panel de la derecha, haga clic con el botón secundario en CG_IsolationDomain_computers y, a continuación, haga clic en Propiedades.
4. Haga clic en la ficha Miembros y, a continuación, en Agregar.
5. Haga clic en el botón Tipos de objeto, seleccione la casilla de verificación Equipos y haga clic en Aceptar.
6. En el cuadro de texto Escriba los nombres de objeto que desea seleccionar, especifique los nombres de los
equipos de la lista anterior, separados por punto y coma, y haga clic en Aceptar.
7. Vuelva a hacer clic en OK.
Nota: tras agregar los equipos al grupo universal CG_IsolationDomain_computers, deberá dejarse tiempo suficiente
para la replicación de los cambios de pertenencia a grupo en el bosque, así como para aplicar la directiva a los
hosts.
1. Inicie la sesión en IPS-TZ-XP-06 como administrador del dominio para América.
2. Inicie un símbolo del sistema y ejecute el comando siguiente:
IPseccmd show gpo
3. Confirme que la salida muestra que el nombre de la directiva del directorio es "IPSEC – Directiva IPsec de dominio
de aislamiento (1.0.041001.1600)."
Pruebas de implementación funcionales Tras confirmar en Woodgrove Bank que la directiva se había aplicado a IPS-TZ-XP-06, el paso siguiente fue realizar algunas
pruebas funcionales básicas para asegurarse de que la directiva estaba funcionando del modo esperado. Woodgrove Bank
intentó llevar a cabo comandos net view desde IPS-TZ-XP-06 a varios equipos de otros grupos de aislamiento. Además, se
utilizó el complemento de MMC Monitor de seguridad IP para confirmar que se creaban las SA adecuadas. En la tabla
siguiente aparecen los equipos de destino para cada ejecución de net view y se indica si debe tener éxito o dar error,
junto con el tipo de SA negociada.
Nota: cuando se intenta un comando net view para un equipo que no es de confianza, deben pasarse las credenciales del
administrador local del equipo de destino.
Tabla C.15: Resultados esperados de la prueba funcional del dominio de aislamiento
Para llevar a cabo la prueba funcional para cada equipo de destino
Equipo de destino Resultado SA negociada
IPS-TZ-W2K-02 Satisfactoria SA por hardware
IPS-WEB-DFS-01 Satisfactoria SA por hardware
IPS-UT-XP-03 Satisfactoria SA por software
IPS-PRINTS-01 Satisfactoria SA por hardware
1. Inicie la sesión en IPS-TZ-XP-06 como administrador del dominio para América.
Principio de la página
Cómo habilitar el grupo de aislamiento Sin reserva Los equipos del grupo de aislamiento Sin reserva no pueden iniciar tráfico sin autenticar con equipos que no son de
confianza.
Implementación del grupo de aislamiento Sin reserva En Woodgrove Bank, los equipos que no pueden iniciar una comunicación sin autenticar con equipos que no son de
confianza se colocaron en el grupo universal CG_NoFallbackIG_computers.
Para rellenar el grupo CG_NoFallbackIG_computers
Comprobación de la implementación del grupo de aislamiento Sin reserva Tras crear e implementar los objetos de directiva en Active Directory en el estado activo, deberá llevarse a cabo un proceso
de comprobación para confirmar que el equipo funciona correctamente en el grupo de aislamiento.
Pruebas de implementación de requisitos previos Antes de ejecutar pruebas de funcionamiento para los equipos del grupo de aislamiento Sin reserva, en Woodgrove Bank se
confirmó que había transcurrido tiempo suficiente para la replicación y la actualización de directivas y que se aplicaba la
directiva IPsec correcta.
Para confirmar que se ha aplicado la directiva IPsec correcta en IPS-LT-XP-01
2. Inicie el complemento de MMC Monitor de seguridad IP, expanda Monitor de seguridad IP, IPS-TX-XP-06, Modo rápido y haga clic en Asociaciones de seguridad.
3. Inicie un símbolo del sistema y ejecute el comando siguiente:
net view \\<Target Computer>
Nota: para IPS-UT-XP-03, asegúrese de que pasa las credenciales del administrador local con el comando net view.
4. Utilice el complemento de MMC Monitor de seguridad IP para comprobar el campo Asociaciones de seguridad para cada conexión satisfactoria y confirmar que se ha negociado la SA apropiada.
5. Repita los pasos 3-4 para cada <Equipo de destino> de la tabla anterior.
1. Inicie la sesión en IPS-CH-DC-01 como administrador del dominio para América y, a continuación, inicie
Active Directory Users and Computers.
2. Expanda el dominio y haga clic en Usuarios.
3. En el panel de la derecha, haga clic con el botón secundario en CG_NoFallbackIG_computers y, a continuación,
haga clic en Propiedades.
4. Haga clic en la ficha Miembros y, a continuación, en Agregar.
5. Haga clic en el botón Tipos de objeto, seleccione la casilla de verificación Equipos y haga clic en Aceptar.
6. En el cuadro de texto Escriba los nombres de objeto que desea seleccionar, escriba IPS-LT-XP-01 y haga clic
en Aceptar.
7. Haga clic en Aceptar y, de nuevo, en Aceptar.
Nota: debido a los retrasos en la replicación y la frecuencia de sondeo de las directivas IPsec, habrá un retraso
entre el momento en que el equipo se agrega al grupo CG_NoFallbackIG_computers y el momento en que se aplica
la directiva del grupo de aislamiento Sin reserva. El equipo puede reiniciarse en este momento si es necesario
aplicar la directiva IPsec inmediatamente. De lo contrario, la directiva se aplicará cuando se agote el tiempo del vale
de sesión y se actualice con la nueva información de pertenencia a grupo local.
1. Inicie la sesión en IPS-LT-XP-01 como administrador del dominio para América.
2. Inicie un símbolo del sistema y ejecute el comando siguiente:
IPseccmd show gpo
3. Confirme que la salida muestra que el nombre de la directiva del directorio es "Texto no cifrado saliente permitido."
Pruebas de implementación funcionales Tras confirmar en Woodgrove Bank que la directiva se había aplicado a IPS-LT-XP-01, el paso siguiente fue realizar algunas
pruebas funcionales básicas para asegurarse de que la directiva estaba funcionando del modo esperado. Woodgrove Bank
intentó llevar a cabo comandos net view desde IPS-LT-XP-01 a varios equipos de otros grupos de aislamiento. Además, se
utilizó el complemento de MMC Monitor de seguridad IP para confirmar que se creaban las SA adecuadas. En la tabla
siguiente aparecen los equipos de destino para cada ejecución de net view y se indica si debe tener éxito o dar error,
junto con el tipo de SA negociada.
Nota: cuando se intenta un comando net view para un equipo que no es de confianza, deben pasarse las credenciales del
administrador local del equipo de destino.
Tabla C.16: Resultados esperados de la prueba funcional de texto no cifrado saliente permitido
Para llevar a cabo la prueba funcional para cada equipo de destino
Principio de la página
Cómo habilitar el grupo de aislamiento Cifrado Los equipos del grupo de aislamiento Cifrado requieren tráfico cifrado. Además, los servidores que alojan los datos están
configurados para restringir quién puede acceder a ellos a través de la red mediante la implementación de un grupo de
aislamiento para los servidores seleccionados.
Mediante el uso de una directiva de grupo adicional y un grupo de seguridad, puede controlarse el acceso al servidor
modificando el derecho "Tener acceso a este equipo desde la red". Debe prestar atención al cambiar los derechos de un
servidor para asegurarse de no bloquear el acceso a los usuarios legítimos.
Nota: el grupo de aislamiento utilizado en esta sección se implementó anteriormente en la sección "Cómo habilitar la
Equipo de destino Resultado SA negociada
IPS-PRINTS-01 Satisfactoria SA por hardware
IPS-TZ-XP-01 Satisfactoria SA por hardware
IPS-UT-XP-03 Error Ninguno
1. Inicie la sesión en IPS-LT-XP-01 como administrador del dominio para América.
2. Inicie el complemento de MMC Monitor de seguridad IP, expanda Monitor de seguridad IP, IPS-LT-XP-01, Modo rápido y haga clic en Asociaciones de seguridad.
3. Inicie un símbolo del sistema y ejecute el comando siguiente:
net view \\<Target Computer>
Nota: para IPS-UT-XP-03, asegúrese de que pasa las credenciales del administrador local con el comando net view.
4. Utilice el complemento de MMC Monitor de seguridad IP para comprobar el campo Asociaciones de seguridad para cada conexión satisfactoria y confirmar que se ha negociado la SA apropiada.
5. Repita los pasos 3-4 para cada <Equipo de destino> de la tabla anterior.
configuración del grupo de aislamiento" de este documento.
Implementación del grupo de aislamiento Cifrado El equipo de implementación de Woodgrove Bank identificó los equipos que necesitaban cifrado IPsec y los colocó en el
grupo universal Requerir cifrado.
Para rellenar el grupo Requerir cifrado
Comprobación de la implementación del grupo de aislamiento Cifrado Tras crear e implementar los objetos de directiva en Active Directory en el estado activo, deberá llevarse a cabo un proceso
de comprobación para confirmar que el equipo funciona correctamente en el grupo de aislamiento.
Pruebas de implementación de requisitos previos Antes de ejecutar pruebas de funcionamiento para el equipo del grupo de aislamiento Cifrado, en Woodgrove Bank se
confirmó que había transcurrido tiempo suficiente para la replicación y la actualización de directivas y que se aplicaba la
directiva IPsec correcta a los equipos IPS-SQL-DFS-01 e IPS-SQL-DFS-02.
Para confirmar que se ha aplicado la directiva IPsec correcta
1. Inicie la sesión en IPS-CH-DC-01 como administrador del dominio para América y, a continuación, inicie
Active Directory Users and Computers.
2. Expanda el dominio y haga clic en Usuarios.
3. En el panel de la derecha, haga clic con el botón secundario en el grupo de seguridad
CG_EncryptionIG_computers y, a continuación, haga clic en Propiedades.
4. Haga clic en la ficha Miembros y, a continuación, en Agregar.
5. Haga clic en el botón Tipos de objeto, seleccione la casilla de verificación Equipos y haga clic en Aceptar.
6. En el cuadro de texto Escriba los nombres de objeto que desea seleccionar, escriba IPS-SQL-DFS-01; IPS-
SQL-DFS-02 y haga clic en Aceptar.
7. Haga clic en Aceptar.
Nota: debido a los retrasos en la replicación y la frecuencia de sondeo de las directivas IPsec, habrá un retraso
entre el momento en que el equipo se agrega al grupo CG_EncryptionIG_computers y el momento en que se aplica
la directiva del grupo de aislamiento Cifrado. El equipo puede reiniciarse en este momento si es necesario aplicar la
directiva IPsec inmediatamente. De lo contrario, la directiva se aplicará cuando se agote el tiempo del vale de sesión
y se actualice con la nueva información de pertenencia a grupo local.
1. Inicie la sesión en IPS-SQL-DFS-01 como administrador del dominio para América.
2. Inicie un símbolo del sistema y ejecute el comando siguiente:
netsh IPsec static show gpoassignedpolicy
3. Confirme que la salida muestra que el nombre de la directiva del directorio es "IPSEC – Directiva IPsec de grupo de
aislamiento Cifrado (1.0.041001.1600)."
4. Inicie la herramienta Directiva de seguridad local.
5. Expanda Directivas locales, Asignación de derechos de usuario y, a continuación, en el panel derecho, haga
doble clic en Acceder a este equipo desde la red.
6. Confirme que el grupo de Usuarios autenticados no está presente.
7. Confirme que los grupos ANAG_EncryptedResourceAccess_computers y ANAG_EncryptedResourceAccess_users
están presentes.
8. Cierre la herramienta Directiva de seguridad local.
9. Repita los pasos 1-8 para IPS-SQL-DFS-02.
Pruebas de implementación funcionales Tras confirmar en Woodgrove Bank que la directiva se había aplicado a IPS-SQL-DFS-01 e IPS-SQL-DFS-02, el paso
siguiente fue realizar algunas pruebas funcionales básicas para asegurarse de que la directiva estaba funcionando del modo
esperado. Woodgrove intentó ejecutar comandos net view para IPS-SQL-DFS-01 e IPS-SQL-DFS-02. Además, se utilizó el
complemento de MMC Monitor de seguridad IP para confirmar que se creaban las SA adecuadas. En las tablas siguientes
aparecen los equipos de destino para cada ejecución de net view y se indica si debe tener éxito o dar error, junto con el
tipo de SA negociada.
Nota: cuando se intenta un comando net view para un equipo que no es de confianza, deben pasarse las credenciales del
administrador local al equipo.
Tabla C.17: Resultados esperados de la prueba funcional IPS-SQL-DFS-01
Para probar la funcionalidad de la implementación en equipos de destino
Principio de la página
Cómo habilitar el grupo de aislamiento Límite En Woodgrove Bank, los equipos que deben iniciar o recibir comunicaciones sin autenticar con equipos que no son de
confianza se colocaron en el grupo universal CG_BoundaryIG_computers.
Implementación del grupo de aislamiento Límite El equipo de implementación de Woodgrove Bank identificó los equipos que pertenecían al grupo de aislamiento Límite y los
colocó en el grupo universal CG_BoundaryIG_computers.
Para rellenar el grupo CG_BoundaryIG_computers
Equipo de destino Resultado SA negociada
IPS-SQL-DFS-02 Satisfactoria SA por hardware
IPS-TZ-XP-01 Satisfactoria SA por hardware
IPS-PRINTS-01 Satisfactoria SA por hardware
IPS-UT-XP-03 Error Ninguno
1. Inicie la sesión en IPS-SQL-DFS-01 como administrador del dominio para América.
2. Inicie el complemento de MMC Monitor de seguridad IP, expanda Monitor de seguridad IP, IPS-SQL-DFS-01, Modo rápido y haga clic en Asociaciones de seguridad.
3. Inicie un símbolo del sistema y ejecute el comando siguiente:
net view \\<Target Computer>
Nota: para IPS-UT-XP-03, asegúrese de que pasa las credenciales del administrador local con el comando net view.
4. Utilice el complemento de MMC Monitor de seguridad IP para comprobar el campo Asociaciones de seguridad para cada conexión satisfactoria y confirmar que se ha negociado la SA apropiada.
5. Repita los pasos 3-4 para cada <Equipo de destino> de la tabla anterior.
1. Inicie la sesión en IPS-CH-DC-01 como administrador del dominio para América y, a continuación, inicie
Active Directory Users and Computers.
2. Expanda el dominio y haga clic en Usuarios.
Comprobación de la implementación del grupo de aislamiento Límite Tras crear e implementar los objetos de directiva en Active Directory en el estado activo, deberá llevarse a cabo un proceso
de comprobación para confirmar que el equipo funciona correctamente en el grupo de aislamiento.
Pruebas de implementación de requisitos previos Antes de ejecutar pruebas de funcionamiento para el equipo del grupo de aislamiento Límite, en Woodgrove Bank se
confirmó que había transcurrido tiempo suficiente para la replicación y la actualización de directivas y que se aplicaba la
directiva IPsec correcta.
Para confirmar que se ha aplicado la directiva IPsec correcta para IPS-PRINTS-01
3. En el panel de la derecha, haga clic con el botón secundario en CG_BoundaryIG_computers y, a continuación,
haga clic en Propiedades.
4. Haga clic en la ficha Miembros y, a continuación, en Agregar.
5. Haga clic en el botón Tipos de objeto, seleccione la casilla de verificación Equipos y haga clic en Aceptar.
6. En el cuadro de texto Escriba los nombres de objeto que desea seleccionar, escriba IPS-PRINTS-01 y haga clic
en Aceptar.
7. Haga clic en Aceptar.
Nota: debido a los retrasos en la replicación y la frecuencia de sondeo de las directivas IPsec, habrá un retraso
entre el momento en que se agrega el grupo CG_BoundaryIG_computers y el momento en que se aplica la directiva
del grupo de aislamiento Límite. El equipo puede reiniciarse en este momento si es necesario aplicar la directiva
IPsec inmediatamente. De lo contrario, la directiva se aplicará cuando se agote el tiempo del vale de sesión y se
actualice con la nueva información de pertenencia a grupo local.
1. Inicie la sesión en IPS-PRINTS-01 como administrador del dominio para América.
2. Inicie un símbolo del sistema y ejecute el comando siguiente:
netsh IPsec static show gpoassignedpolicy
3. Confirme que la salida muestra que el nombre de la directiva del directorio es "IPSEC – Directiva IPsec de grupo de
aislamiento Límite (1.0.041001.1600)."
Pruebas de implementación funcionales Tras confirmar en Woodgrove Bank que la directiva se había aplicado a IPS-PRINTS-01, el paso siguiente fue realizar
algunas pruebas funcionales básicas para asegurarse de que la directiva estaba funcionando del modo esperado. Se intentó
ejecutar comandos net view para los equipos de la tabla siguiente. Además, se utilizó el complemento de MMC Monitor de
seguridad IP para confirmar que se creaban las SA adecuadas. En la tabla siguiente aparecen los equipos de destino para
cada ejecución de net view y se indica si debe tener éxito o dar error, junto con el tipo de SA negociada para cada equipo
que participa en el grupo de Acceso a recursos cifrados.
Nota: cuando se intenta un comando net view para un equipo que no es de confianza, deben pasarse las credenciales del
administrador local al equipo.
Tabla C.18: Resultados esperados de la prueba funcional IPS-PRINTS-01
Para probar la funcionalidad de la implementación en equipos de destino
Equipo de destino Resultado SA negociada
IPS-UT-XP-03 Satisfactoria SA por software
IPS-TZ-XP-01 Satisfactoria SA por hardware
IPS-SQL-DFS-01 Error Ninguno
1. Inicie la sesión en IPS-PRINTS-01 como administrador del dominio para América.
Principio de la página
Configuración del dominio de aislamiento como grupo de aislamiento predeterminado Antes de llevar a cabo las pruebas funcionales definitivas, los administradores de Woodgrove Bank configuraron la
seguridad en el dominio de aislamiento de forma que se aplique a todos los equipos del dominio. Este enfoque garantiza
que todos los equipos nuevos que se agreguen al dominio se agregarán automáticamente al dominio de aislamiento, a
menos que tengan requisitos que los ubiquen en otro grupo de aislamiento.
Además, el grupo de equipos del dominio se retiró del grupo CG_BoundaryIG_computers.
Para retirar equipos del dominio del grupo CG_BoundaryIG_computers.
2. Inicie el complemento de MMC Monitor de seguridad IP, expanda Monitor de seguridad IP, IPS-PRINTS-01,
Modo rápido y haga clic en Asociaciones de seguridad.
3. Abra un símbolo del sistema y ejecute el comando siguiente:
net view \\<Target Computer>
Nota: para IPS-UT-XP-03, asegúrese de que pasa las credenciales del administrador local con el comando net view.
4. Utilice el complemento de MMC Monitor de seguridad IP para comprobar el campo Asociaciones de seguridad para cada conexión satisfactoria y confirmar que se ha negociado la SA apropiada.
5. Repita los pasos 3-4 para cada <Equipo de destino> de la tabla anterior.
1. Inicie Active Directory Users and Computers en IPS-CH-DC-01 como administrador del dominio para América.
2. Expanda el dominio y haga clic en Usuarios.
3. En el panel de la derecha, haga clic con el botón secundario en CG_BoundaryIG_computers y, a continuación,
haga clic en Propiedades.
4. Haga clic en la ficha Miembros, haga clic en el grupo Equipos del dominio y, a continuación, en Eliminar.
5. Haga clic en Sí para eliminar el grupo.
6. Haga clic en Aceptar.
Nota: debido a los retrasos en la replicación y la frecuencia de sondeo de las directivas IPsec, habrá un retraso
entre el momento en que se elimina del grupo CG_BoundaryIG_computers y el momento en que se elimina la
directiva del grupo de aislamiento Límite. El equipo puede reiniciarse en este momento si es necesario aplicar la
directiva IPsec inmediatamente. De lo contrario, la directiva se aplicará cuando se agote el tiempo del vale de sesión
y se actualice con la nueva información de pertenencia a grupo local.
Para agregar equipos del dominio al grupo CG_IsolationDomain_computers.
1. Inicie Active Directory Users and Computers en IPS-CH-DC-01 como administrador del dominio para América.
2. Expanda el dominio y haga clic en Usuarios.
3. En el panel de la derecha, haga clic con el botón secundario en el grupo de seguridad
CG_IsolationDomain_computers y, a continuación, haga clic en Propiedades.
4. Haga clic en la ficha Miembros y, a continuación, en Agregar.
5. En el cuadro Escriba los nombres de objeto que desea seleccionar, escriba Equipos del dominio y haga clic en
Aceptar.
6. Vuelva a hacer clic en OK.
Nota: debido a los retrasos en la replicación y la frecuencia de sondeo de las directivas IPsec, habrá un retraso
Reordenación del orden de vinculación de directivas IPsec Para asegurarse de que se aplican las directivas correctas a los hosts, es preciso actualizar el orden de vinculación de las
directivas IPsec. Esta tarea está relacionada con el hecho de que la directiva del grupo de aislamiento estándar se expresa
como directiva predeterminada, en lugar de la directiva de grupo de aislamiento Límite, que se utilizó como directiva
predeterminada durante la implementación inicial.
Para vincular las directivas IPsec con los GPO existentes
Principio de la página
Pruebas funcionales definitivas: habilitación de todos los grupos de aislamiento Tras habilitar todos los grupos de aislamiento de Woodgrove Bank, el paso siguiente fue llevar a cabo algunas pruebas
funcionales básicas para asegurarse de que las directivas funcionaban tal como se deseaba. Aunque se realizaron algunas
pruebas funcionales básicas a medida que se implementaba cada directiva, los administradores de Woodgrove Bank no
pudieron llevar a cabo una prueba funcional completa porque los grupos de aislamiento se habilitaron de uno en uno. Los
administradores intentaron ejecutar comandos net view con uno o varios equipos en cada grupo de aislamiento frente a
los equipos de otros grupos de aislamiento para comprobar que la conectividad establecida era apropiada. Se seleccionaron
varios equipos en algunos grupos de aislamiento porque presentan modelos de tráfico distintos, según su actuación como
contestador o como iniciador. Además, los administradores utilizaron el complemento de MMC Monitor de seguridad IP para
confirmar que se creaban las SA adecuadas.
En las tablas siguientes aparecen los equipos de destino para cada ejecución de net view y se indica si debe tener éxito o
dar error, junto con el tipo de SA negociada para cada equipo seleccionado para la prueba.
Nota: cuando se intenta un comando net view para un equipo que no es de confianza, deben pasarse las credenciales del
administrador local al equipo.
El procedimiento siguiente evalúa la conectividad de IPS-SQL-DFS-01 (que actúa como iniciador) con diversos equipos del
resto de grupos de acceso de red y aislamiento.
Tabla C.20: Resultados esperados de la prueba funcional IPS-SQL-DFS-01
entre el momento en que se agrega el grupo Equipos del dominio al grupo CG_IsolationDomain_computers y el
momento en que se aplica la directiva del grupo de dominio de aislamiento. El equipo puede reiniciarse en este
momento si es necesario aplicar la directiva IPsec inmediatamente. De lo contrario, la directiva se aplicará cuando
se agote el tiempo del vale de sesión y se actualice con la nueva información de pertenencia a grupo local.
1. Inicie la GPMC como administrador del dominio.
2. Expanda el dominio.
3. Haga clic en el nombre del dominio.
4. En la lista Objetos de directiva de grupo vinculados, utilice las flechas para ordenar las directivas tal como se
muestra en la tabla siguiente.
Tabla C.19: Orden de vinculación de objetos de directiva de grupo en el nivel de dominio
Orden de vinculación Nombre de objeto de directiva de grupo
1 IPSEC – Directiva de grupo de aislamiento Cifrado
2 IPSEC – Directiva de grupo de aislamiento Sin reserva
3 IPSEC – Directiva de grupo de aislamiento Límite
4 IPSEC – Directiva de dominio de aislamiento
5 Directiva del dominio predeterminada
Equipo de destino Resultado Motivo SA negociada
IPS-ST-XP-05 Satisfactoria Los equipos pueden negociar
satisfactoriamente IPsec.
SA por hardware con cifrado
Para probar la conectividad desde equipos de destino
IPS-TZ-XP-01 Satisfactoria Los equipos pueden negociar
satisfactoriamente IPsec.
SA por hardware con cifrado
IPS-PRINTS-01 Satisfactoria El equipo puede negociar
satisfactoriamente IPsec.
SA por hardware con cifrado
IPS-UT-XP-03 Error El iniciador no admite el Retroceso a
texto no cifrado.
Ninguno
1. Inicie la sesión en IPS-SQL-DFS-01 como administrador del dominio para América.
2. Inicie el complemento de MMC Monitor de seguridad IP, expanda Monitor de seguridad IP, IPS-SQL-DFS-01, Modo rápido y haga clic en Asociaciones de seguridad.
3. Inicie un símbolo del sistema y ejecute el comando siguiente:
net view \\<Target Computer>
Nota: para IPS-UT-XP-03, asegúrese de que pasa las credenciales del administrador local con el comando net view.
4. Utilice el complemento de MMC Monitor de seguridad IP para comprobar el campo Asociaciones de seguridad para cada conexión satisfactoria y confirmar que se ha negociado la SA apropiada.
5. Repita los pasos 3-4 para cada <Equipo de destino> de la tabla anterior.
El procedimiento siguiente evalúa la conectividad de IPS-TX-XP-06 (que actúa como iniciador) con diversos equipos del
resto de grupos de acceso de red y aislamiento.
Tabla C.21: Resultados esperados de la prueba funcional IPS-TZ-XP-06
Para probar la conectividad desde equipos de destino
Equipo de destino Resultado Motivo SA negociada
IPS-SQL-DFS-01 Error El contestador forma parte del Acceso
a recursos cifrados.
Ninguno
IPS-ST-XP-05 Satisfactoria Los equipos pueden negociar
satisfactoriamente IPsec.
SA por hardware
IPS-TZ-XP-01 Satisfactoria Los equipos pueden negociar
satisfactoriamente IPsec.
SA por hardware
IPS-PRINTS-01 Satisfactoria Los equipos pueden negociar
satisfactoriamente IPsec.
SA por hardware
IPS-UT-XP-03 Satisfactoria Los equipos pueden negociar
satisfactoriamente IPsec.
SA por software
1. Inicie la sesión en IPS-TZ-XP-06 como administrador del dominio para América.
2. Inicie el complemento de MMC Monitor de seguridad IP, expanda Monitor de seguridad IP, IPS-TZ-XP-06, Modo rápido y haga clic en Asociaciones de seguridad.
3. Inicie un símbolo del sistema y ejecute el comando siguiente:
net view \\<Target Computer>
Nota: para IPS-UT-XP-03, asegúrese de que pasa las credenciales del administrador local con el comando net view.
4. Utilice el complemento de MMC Monitor de seguridad IP para comprobar el campo Asociaciones de seguridad para cada conexión satisfactoria y confirmar que se ha negociado la SA apropiada.
5. Repita los pasos 3-4 para cada <Equipo de destino> de la tabla anterior.
El procedimiento siguiente evalúa la conectividad de IPS-ST-XP-06 (que actúa como iniciador) con diversos equipos del
resto de grupos de aislamiento.
Tabla C.22: Resultados esperados de la prueba funcional IPS-ST-XP-05
Para probar la conectividad desde equipos de destino
Equipo de destino Resultado Motivo SA negociada
IPS-SQL-DFS-01 Satisfactoria El iniciador forma parte del grupo
Acceso a recursos cifrados.
SA por hardware con cifrado
IPS-TZ-XP-01 Satisfactoria Los equipos pueden negociar
satisfactoriamente IPsec.
SA por hardware
IPS-PRINTS-01 Satisfactoria Los equipos pueden negociar
satisfactoriamente IPsec.
SA por hardware
IPS-UT-XP-03 Satisfactoria Los equipos pueden negociar
satisfactoriamente IPsec.
SA por software
1. Inicie la sesión en IPS-ST-XP-05 como administrador del dominio para América.
2. Inicie el complemento de MMC Monitor de seguridad IP, expanda Monitor de seguridad IP, IPS-ST-XP-05, Modo rápido y haga clic en Asociaciones de seguridad.
3. Inicie un símbolo del sistema y ejecute el comando siguiente:
net view \\<Target Computer>
Nota: para IPS-UT-XP-03, asegúrese de que pasa las credenciales del administrador local con el comando net view.
4. Utilice el complemento de MMC Monitor de seguridad IP para comprobar el campo Asociaciones de seguridad para cada conexión satisfactoria y confirmar que se ha negociado la SA apropiada.
5. Repita los pasos 3-4 para cada <Equipo de destino> de la tabla anterior.
El procedimiento siguiente evalúa la conectividad de IPS-TZ-XP-01 (que actúa como iniciador) con diversos equipos del
resto de grupos de acceso de red y aislamiento.
Tabla C.23: Resultados esperados de la prueba funcional IPS-TZ-XP-01
Equipo de destino Resultado Motivo SA negociada
IPS-SQL-DFS-01 Error El contestador forma parte del grupo
Acceso a recursos cifrados.
Ninguno
IPS-ST-XP-05 Satisfactoria Los equipos pueden negociar
satisfactoriamente IPsec.
SA por hardware
IPS-PRINTS-01 Satisfactoria Los equipos pueden negociar SA por hardware
Para probar la conectividad desde equipos de destino
satisfactoriamente IPsec.
IPS-UT-XP-03 Satisfactoria El iniciador admite el Retroceso a
texto no cifrado.
SA por software
1. Inicie la sesión en IPS-TZ-XP-01 como administrador del dominio para América.
2. Inicie la herramienta Monitor de seguridad IP, expanda Monitor de seguridad IP, IPS-TZ-XP-01, Modo rápido y haga clic en Asociaciones de seguridad.
3. Inicie un símbolo del sistema y ejecute el comando siguiente:
net view \\<Target Computer>
Nota: para IPS-UT-XP-03, asegúrese de que pasa las credenciales del administrador local con el comando net view.
4. Utilice el complemento de MMC Monitor de seguridad IP para comprobar el campo Asociaciones de seguridad para cada conexión satisfactoria y confirmar que se ha negociado la SA apropiada.
5. Repita los pasos 3-4 para cada <Equipo de destino> de la tabla anterior.
El procedimiento siguiente evalúa la conectividad de IPS-LT_XP-01 (que actúa como iniciador) con diversos equipos del
resto de grupos de acceso de red y aislamiento.
Tabla C.24: Resultados esperados de la prueba funcional de IPS-LT-XP-01
Para probar la conectividad desde equipos de destino
Equipo de destino Resultado Motivo SA negociada
IPS-SQL-DFS-01 Error El contestador forma parte del grupo
Acceso a recursos cifrados.
Ninguno
IPS-ST-XP-05 Satisfactoria Los equipos pueden negociar
satisfactoriamente IPsec.
SA por hardware
IPS-TZ-XP-01 Satisfactoria Los equipos pueden negociar
satisfactoriamente IPsec.
SA por hardware
IPS-UT-XP-03 Error El iniciador no admite el Retroceso a
texto no cifrado.
Ninguno
1. Inicie la sesión en IPS-LT-XP-01 como administrador del dominio para América.
2. Inicie el complemento de MMC Monitor de seguridad IP, expanda Monitor de seguridad IP, IPS-LT-XP-01, Modo rápido y haga clic en Asociaciones de seguridad.
3. Inicie un símbolo del sistema y ejecute el comando siguiente:
net view \\<Target Computer>
Nota: para IPS-UT-XP-03, asegúrese de que pasa las credenciales del administrador local con el comando net view.
4. Utilice el complemento de MMC Monitor de seguridad IP para comprobar el campo Asociaciones de seguridad
para cada conexión satisfactoria y confirmar que se ha negociado la SA apropiada.
5. Repita los pasos 3-4 para cada <Equipo de destino> de la tabla anterior.
El procedimiento siguiente evalúa la conectividad de IPS-PRINTS-01 (que actúa como iniciador) con diversos equipos del
resto de grupos de aislamiento.
Tabla C.25: Resultados esperados de la prueba funcional IPS-PRINTS-01
Para probar la conectividad desde equipos de destino
Equipo de destino Resultado Motivo SA negociada
IPS-SQL-DFS-01 Error El contestador deniega explícitamente
el acceso a hosts de límite. El
contestador forma parte del grupo
Acceso a recursos cifrados.
Ninguno
IPS-ST-XP-05 Satisfactoria Los equipos pueden negociar
satisfactoriamente IPsec.
SA por hardware
IPS-TZ-XP-01 Satisfactoria Los equipos pueden negociar
satisfactoriamente IPsec.
SA por hardware
IPS-UT-XP-03 Satisfactoria El iniciador admite el Retroceso a
texto no cifrado.
SA por software
1. Inicie la sesión en IPS-PRINTS-01 como administrador del dominio para América.
2. Inicie el complemento de MMC Monitor de seguridad IP, expanda Monitor de seguridad IP, IPS-PRINTS-01,
Modo rápido y haga clic en Asociaciones de seguridad.
3. Inicie un símbolo del sistema y ejecute el comando siguiente:
net view \\<Target Computer>
Nota: para IPS-UT-XP-03, asegúrese de que pasa las credenciales del administrador local con el comando net view.
4. Utilice el complemento de MMC Monitor de seguridad IP para comprobar el campo Asociaciones de seguridad para cada conexión satisfactoria y confirmar que se ha negociado la SA apropiada.
5. Repita los pasos 3-4 para cada <Equipo de destino> de la tabla anterior.
El procedimiento siguiente evalúa la conectividad de IPS-UT-XP-03 (que actúa como iniciador) con diversos equipos del
resto de grupos de acceso de red y aislamiento.
Tabla C.26: Resultados esperados de la prueba funcional IPS-UT-XP-03
Equipo de destino
Resultado Motivo SA negociada
IPS-SQL-DFS-01 Error El contestador no admite el Retroceso a texto no cifrado y Paso
de sucesos entrante. El contestador forma parte del grupo Acceso
a recursos cifrados.
Ninguno
IPS-ST-XP-05 Error El contestador no admite el Retroceso a texto no cifrado y Paso
de sucesos entrante.
Ninguno
IPS-TZ-XP-01 Error El contestador no admite el Retroceso a texto no cifrado y Paso
de sucesos entrante.
Ninguno
IPS-PRINTS-01 Satisfactoria El contestador admite el Retroceso a texto no cifrado y Paso de SA por software
Para probar la conectividad desde equipos de destino
Principio de la página
Resumen Tras completar las tareas de este apéndice, habrá:
sucesos entrante.
1. Inicie la sesión en IPS-UT-XP-03 como administrador del dominio para América.
2. Inicie el complemento de MMC Monitor de seguridad IP, expanda Monitor de seguridad IP, IPS-UT-XP-03, Modo rápido y haga clic en Asociaciones de seguridad.
3. Inicie un símbolo del sistema y ejecute el comando siguiente:
net view \\<Target Computer>
Nota: para todos los equipos basados en el dominio, asegúrese de que pasa las credenciales del administrador del
dominio con el comando net view.
4. Utilice el complemento de MMC Monitor de seguridad IP para comprobar el campo Asociaciones de seguridad para cada conexión satisfactoria y confirmar que se ha negociado la SA apropiada.
5. Repita los pasos 3-4 para cada <Equipo de destino> de la tabla anterior.
• creado las listas de filtros, acciones de filtrado, reglas y directivas IPsec en Active Directory.
• configurado los GPO en Active Directory para aplicar correctamente las directivas IPsec.
• realizado una ejecución por fases del grupo de aislamiento Límite y el dominio de aislamiento para toda la organización.
• configurado varios grupos de aislamiento para controlar el acceso de contestador.
• habilitado y probado el dominio de aislamiento.
• habilitado y probado el grupo de aislamiento Sin reserva.
• habilitado y probado el grupo de aislamiento Cifrado.
• habilitado y probado el grupo de aislamiento Límite.
Principio de la página
Administre su perfil
©2009 Microsoft Corporation. Todos los derechos reservados. Póngase en contacto con nosotros | Aviso Legal | Marcas registradas | Privacidad