Filtros Ipsec para Wsus

quilloquepasa 5 marzo 2010 18:26

⋮

Las plantillas de GPO que administro me bloquean todo el tráfico IP por defecto para luego crear los filtros necesarios de los distintos servicios, sin embargo no consigo que las estaciones de trabajo conecten con el servidor WSUS. Para ello he abierto los puertos 80 y 443 en TCP tanto en los DC's como en el propio server que soporta WSUS, pero los resultados no son satisfactorios.

He seguido estas reglas desde la consola de administración de IPSEC: lackoftalent.org/michael/blog/2005/11/30…psec-script/

¿Qué se me está escapando?

Saludos ;)

BocaDePez 5 marzo 2010 18:39

⋮

Si las conexiones son seguras los puertos creo que son los 8530 y 8531, prueba, y sino podría ser que los puertos se hubieran cambiado y eso lo puedes ver en la configuración del WSUS.

✖

quilloquepasa 6 marzo 2010 06:29

⋮

Lo puertos que utiliza este Wsus son aquellos por defecto, no fueron modificados pues yo mismo realicé su instalación y configuración, así que el lunes probaré con ellos.

Muchas gracias.

Saludos ;)

JoeDalton 5 marzo 2010 19:18

⋮

En la GPO de IPSEC permites el tráfico HTTP/HTTPS entrante a cualquier máquina a los WSUS??

Cuando se usa NAP es algo habitual, dejar HTTP/HTTPS en los WSUS para que las máquinas se actualicen.

✖

quilloquepasa 6 marzo 2010 06:38

⋮

Sí, Joe, con respecto a la primera pregunta, no se aplican filtros Ipsec por GPO a los clientes, sólo el firewall de Windows que me consta se encuentra bien configurado. En cuanto a la segunda, la respuesta es afirmativa.

El fallo está localizado en las reglas de filtro asignado a los DC's, porque en el momento que desasigno dichas reglas o desmarco el filtro bloqueo de todo el tráfico Ip, existe comunicación entre el servidor Wsus y los clientes.

Intentaré el lunes lo recomendado por el compañero y os cuento.

Gracias Joe.

Saludos ;)

✖

BocaDePez 8 marzo 2010 12:35

⋮

instala un whireshark o similar y podras ver cual es la comunicación que estas filtrando y asi podras permitirla en los filtros ipsec

✖

quilloquepasa 9 marzo 2010 08:24

⋮

Gracias por tu interés, ya lo he solucionado.

Saludos ;)

quilloquepasa 9 marzo 2010 08:33

⋮

Me estaba yendo por los cerros de Úbeda, pues se trataba de un problema que ya me había ocurrido con anterioridad que pasé por alto, de tal manera que no se debía a los filtros Ipsec.

Comprobé que el servicio Actualizaciones automáticas no se hallaba iniciado aún al haberse establecido en automático por GPO. Al intentar iniciarlo de forma manual me devolvía el error de que el servicio no podía iniciarse en equipo local, así que todo apuntaba a problemas de permisos.

Para solucionarlo tiré del archivo de mis múltiples incursiones por Google. Por suerte en su día fotocopié la solución:

blog.expta.com/2008/03/fix-for-error-0x8…on-wsus.html

Muchas gracias por vuestra ayuda.

Saludos ;)

quilloquepasa 9 marzo 2010 21:38

⋮

De nuevo con los filtros Ipsec:

Entre las reglas de filtros Ipsec hemos configurado una general de bloqueo para todo el tráfico Ip, para luego añadir reglas específicas de no bloqueo para los distintos servicios de los DC's, sin embargo se me quejan los usuarios que demoran en completarse el inicio de sesión en las estaciones de trabajo. Me explico, si con las reglas de filtros Ipsec desasignadas los usuarios iniciaban sesión en cuestión de segundos, con los filtros Ipsec asignados el tiempo de inicio de sesión se alarga considerablemente. Ahí sí que me pierdo y desconozco por dónde meter mano.

¿Qué puede ser, Joe?

✖

JoeDalton 9 marzo 2010 22:47

⋮

Mejor siempre permitir el tráfico especifico y luego denegar el resto, a más reglas existentes más trabajo.

Es decir:

Si necesitas permitir el puerto 445 y el 80 a una serie de máquinas concretas, crea una regla que permita el puerto 445 y 80 a esas máquinas y que deniegue el resto de trafico. Eso es mucho mejor que crear una regla que permita el 445 y el 80 y que deniegue el trafico a esos puertos de cualquier máquina. No se si me explico.

También puede influir la negociación y que la encriptación conlleva trabajo, pero una buena prueba puede ser no hacer filtros y utilizar ipsec y luego aplicarlos y comprobarlo. De todas formas si hay problemas para hacer logon (probable, porque no se haya negociado correctamente) lo tienes que ver en el visor de eventos.

BocaDePez 10 marzo 2010 09:06

⋮

Acotas de alguna forma el rango de puertos para comunicaciones RPC?

Si no lo haces busca información sobre ello.

En un proyecto en el que participe que incluia Filtros IPsec (aunque al final se quedo en ACL's aplicadas en los switches) tuvimos que modificar el registro de windows para definir un rango para las comunicaciones RPC y despues permitir las comunicaciones por esos puertos.

✖

quilloquepasa 27 marzo 2010 13:23

⋮

Siento el retraso, otro problema de fuerza mayor me impidió continuar con el que nos ocupa.

Efectivamente, los puertos para comunicaciones RPC los tengo acotados (si la memoria no me falla creo que sobre alrededor de diez) con sus filtros permitir correspondientes.

Muchas gracias.