Aprende a configurar IPSec para Windows

1- Crear una directiva de seguridad

Internet Protocol Security (IPSec) es un conjunto de protocolos que permiten garantizar comunicaciones privadas y seguras a través de Internet. En este sentido, Windows ofrece la posibilidad de modificar las propiedades de la conexión TCP/IP aplicando una directiva de seguridad que protege el tráfico.

Para crear una directiva de IPSec, hay que abrir el Panel de Control, seleccionar las Herramientas administrativas y hacer doble clic sobre Directiva de seguridad local. A continuación, seleccionaremos el menú Acción y escogeremos la opción Crear Directiva de Seguridad IP.

Inmediatamente después aparecerá un asistente. Tendremos que hacer clic sobre Siguiente y, en la ventana posterior, escribir el nombre que deseamos darle a nuestra directiva (también es posible incluir una breve descripción). Una vez que hayamos terminado, seleccionaremos Siguiente y desactivaremos la casilla Activar la regla de respuesta predeterminada. Por último, pulsaremos Siguiente y Finalizar.

Necesitaremos crear dos reglas de seguridad IP, una para el tráfico saliente y otra para el entrante. Llegados a este punto, nos aseguraremos de que no está marcada la casilla Usar Asistente para agregar y pulsaremos Agregar para añadir una regla. A continuación, aparecerá la ventana Propiedades de Nueva regla, donde seleccionaremos la pestaña Lista de filtros IP y haremos clic sobre Agregar.

En el campo Dirección de origen, seleccionaremos la opción Mi dirección IP; mientras que en Dirección de destino escogeremos Dirección IP específica. Tras asegurarnos de que la casilla de comprobación Reflejado está sin seleccionar, haremos clic en Aceptar.

2- Crear otra lista de filtros

El siguiente paso comienza con la creación de otra lista de filtros IP. Tras darle el nombre que estimemos oportuno, pulsaremos Agregar y escribiremos la información opuesta a la utilizada anteriormente en la ventana Propiedades de Filtro.

De este modo, el valor de Dirección de destino en el caso anterior se convertirá en el valor de la Dirección de origen, y viceversa. Nos aseguraremos de que la casilla de comprobación Reflejado se encuentra sin seleccionar y pulsaremos Aceptar en dos ocasiones en la siguiente ventana.

A continuación, seleccionaremos el filtro que acabamos de crear en el cuadro de Listas de filtros IP pulsando la pestaña Acción de filtrado. Asimismo, activaremos la entrada Requerir seguridad y pulsaremos el botón Modificar.

El siguiente paso se centrará en desplazar las entradas del cuadro Métodos de seguridad para que las utilizadas por 3DES -para la confidencialidad ESP- y MD5 -para la integridad ESP- aparezcan como las primeras de la lista. Después cerraremos la ventana pulsando Aceptar, seleccionaremos Tipo de Conexión y elegiremos la opción Red de área local (LAN). Asimismo, pasaremos a la siguiente pestaña, Configuración del túnel, y escribiremos la dirección IP en la casilla dispuesta a tal efecto.

A continuación, es necesario seleccionar la pestaña Métodos de autenticación, mantener la configuración actual y pulsar Modificar. Acto seguido, escogemos Usar un certificado de esta entidad emisora de certificados (CA), seleccionamos el certificado importado previamente de Windows y pulsamos Aceptar en las tres ventanas que aparecerán sucesivamente.

Conviene recordar que es necesario definir reglas tanto para el tráfico entrante como para el saliente, por lo que tendremos que añadir otra regla de seguridad IP. El proceso es similar al seguido hasta ahora, excepción hecha de que en la ventana Propiedades de Filtro es necesario intercambiar las direcciones de origen y destino, y en la Configuración del túnel escribiremos la dirección IP del otro extremo de la red VPN.

3-Propiedades del túnel

El siguiente paso nos lleva directamente a la ventana de Propiedades del túnel, en la que tendremos que seleccionar la pestaña General y hacer clic sobre el botón Avanzadas.

Posteriormente, activaremos la Confidencialidad directa perfecta de clave de sesión seleccionando la casilla de comprobación correspondiente, haciendo clic sobre Métodos y estableciendo como primer método de seguridad para IKE el que utiliza 3DES para el cifrado y MD5 para la integridad.

Una vez hecho lo anterior, regresamos a la ventana Configuración de seguridad local y pulsamos el botón derecho del ratón sobre el túnel que acabamos de crear. Asimismo, seleccionaremos Todas las tareas y Asignar en el menú contextual que aparecerá en la pantalla.

A continuación, accederemos a Servicios en Herramientas administrativas, buscaremos la entrada Servicios IPSec y reiniciaremos el servicio. También tendremos que comprobar que IPSec está configurado para activarse automáticamente durante el arranque.

Por otra parte, para activar IPSec en una interfaz específica es necesario acceder al Panel de control para abrir la ventana Conexiones de red y reacceso telefónico. Una vez allí, pulsamos el botón derecho del ratón sobre el icono de Conexión de área local que se corresponda con el enlace inalámbrico y escogemos la opción Propiedades en el menú contextual.

En la siguiente ventana, bastará con seleccionar el Protocolo Internet (TCP/IP) y pulsar Propiedades. A continuación, escogeremos las pestañas Avanzada, Opciones, Seguridad IP y Propiedades, para seleccionar en última instancia la directiva que hemos creado haciendo clic sobre Aceptar y cerrando todas las ventanas anteriores. Si el proceso se ha desarrollado de forma correcta, Windows ya estará configurado para comenzar a utilizar IPSec.