Upload
zacarias-ovando
View
3
Download
0
Embed Size (px)
Citation preview
ISA Server 2K6VPN’s
Chema Alonso
Microsoft MVP Windows Security
www.informatica64.com
www.elladodelmal.com
Definición
• VPN = “Virtual Private Network” o Red Privada Virtual
• Utilizar una infraestructura pública compartida para ofrecerle a un cliente las facilidades y ventajas de una red privada
Topologías existentesRedes Virtuales
VPN LAN Virtuales
Redes Acopladas (Peer)
VPNs con MPLS
GRE
VPNs nivel 3
IPSec
Redes Superpuestas
VPNs nivel 2
ATMF/RX.25
Características de las VPN
• Se requiere de un encapsulado capaz de proveernos de:
–Autenticación• Usuario• Equipo• Datos
–Compresión de datos–Cifrado de datos–Direccionamiento dinámico–Resolución de nombres–Gestión de claves–Soporte Multiprotocolo (IP, IPX, etc…)
Encapsulado
• Poner un paquete dentro de otro• Se encapsulan o envuelven los datos con otra cabecera
con información de enrutamiento para que puedan atravesar una red publica hasta su destino.
• Puede encapsularse trafico a dos niveles del modelo OSI.
–Nivel 2: encapsulan tramas al nivel de conexión• PPTP• L2F• L2TP
–Nivel 3: encapsulan paquetes al nivel de red• IPSEC
Protocolos de encapsulado Nivel 2
• Point to Point Tunneling Protocol (PPTP)
–Microsoft, Ascend, otros..
• Layer Two Forwarding (L2F)–Propuesto por Cisco
• Layer Two Tunneling Protocol (L2TP)–Unifica PPTP y L2F en un único estándar para VPN
VPN en el Modelo OSI
1.Físico
2. Conexión
3. Red
4. Transporte
5. Sesión
SSL
IPSEC
PPTP
L2TP
Soluciones VPN
Microsoft y las VPN
PPP
• Diseñado para enviar datos a través de conexiones bajo demanda o punto a punto.
• Encapsula Paquetes IP• Cuatro fases en la negociación de la conexión:
1. Establecimiento de la conexión (LCP)2. Autenticación de usuario (PAP, CHAP, MS-CHAP, MS-
CHAPv2, EAP)3. Control de devolución de llamada (CBCP)4. Protocolos de nivel de Red (IPCP, CCP, MPPC, MPPE)
• Fase de transmisión de Datos. Se encapsula los datos con una cabecera PPP y se comprimen y cifran según lo acordado en fase 1 y negociado en la fase 4
PPP en conexiones directas
Conexión sobre una línea dedicada
PPP Proporciona conexión Punto a Punto
Trama PPP
ServidorCliente
Protocolos de túnel
• PPTP–Desarrollado por Microsoft, es un estándar de facto–Esta ampliamente implementado y existen varias implementaciones compatibles
–Suficientemente seguro para casi todas las aplicaciones
• L2TP–Estándar de la “Internet Engineering Task Force” (IETF) –Unión –Algunos problemas de interoperabilidad.
• Tanto PPTP como L2TP utilizan PPP por debajo, lo que les proporciona gran parte de los requerimientos necesarios.
PPP en conexiones enrutadas
Conexión sobre Internet
Trama PPP
PPPLimitado al primerenlace de la red
ServidorCliente RouterRouter
PPP en conexiones enrutadas
Conexion sobre Internet
Tunelizado:Tramas PPP
Encapsuladas enPacketes IP
ServidorCliente RouterRouter
TunelizadoProporciona
Tansmision de TramasPunto a PuntoSobre Internet
PPTP
• Proporciona Tunelizado a las tramas PPP.• Utiliza la seguridad de PPP para asegurar las
comunicación sobre el túnel.–Autenticación de usuario PPP (PAP, CHAP, MS-CHAP, MS-CHAPv2, EAP)
–Confidencialidad y cifrado PPP (MPPE). RC4 con claves de 40 o 128 bits
PPTP-Tipos de Tramas
Control1.Creación de un control de conexión PPTP
• Conexión lógica que representa el túnel PPTP.• El servidor utiliza el puerto TCP 1723 y el cliente un puerto
dinámico.• Determina los ID de la cabecera GRE entre cliente y
servidor que identifican el túnel PPTP específico.
2.Mantenimiento del control de conexión PPTP3.Finalización del control de conexión PPTP
Datos• Encapsulado y transmisión de datos PPP mediante
(GRE). Generic Routing Encapsulation
PPTP-Conexiones
Servidor RASPPTP
ID Protocolo IP (GRE) Conexión de Datos
Puerto TCP 1723Control de Conexión
InternetPc
Remoto
PPTP
PPTPInterface
EncapsuladoPPP
IPInterface
IPHeader
TCPHeader
PayloadData
PPPHeader
IP GREHeader
IPHeader
TCPHeader
PayloadData
PPPHeader
IPHeader
TCPHeader
PayloadData
IPHeader
TCPHeader
PayloadData
PPPHeader
IP GREHeader
IPHeader
Paquete TCP/IP
Ehernet
L2TP• Combina PPTP y L2F en un único estándar para VPN
propuesto por la IETF–Encapsula tramas PPP que pueden ser enviadas a través de IP, X.25, Frame Relay o ATM
–El estándar permite que se pueda utilizar la seguridad de PPP para asegurar las comunicación sobre el túnel.• Autenticación PPP• Confidencialidad y cifrado PPP (MPPE)
• La Implementación de Microsoft, no utiliza PPP para asegurar las comunicaciones. Utiliza IPSEC, lo que da lugar a L2TP/IPSec
L2TP sobre IP
L2TPInterface
EncapsuladoPPP
UDPInterface
IPHeader
TCPHeader
PayloadData
PPPHeader
L2TPHeader
IPHeader
TCPHeader
PayloadData
PPPHeader
IPHeader
TCPHeader
PayloadData
IPHeader
TCPHeader
PayloadData
PPPHeader
L2TPHeader
UDPHeader
Paquete TCP/IP
Ehernet
IPHeader
TCPHeader
PayloadData
PPPHeader
L2TPHeader
UDPHeader
IPHeader
IPInteface
L2TP/IPSec
• Encapsulado L2TP de la trama PPP
• Encapsualdo IPSec del mensaje L2TP
• Cifrado IPSEc del contenido de los paquetes L2TP
• De los protocolos de IPSec (AH y ESP) se utiliza ESP (Encapsulating Security Payload)
Encapsulado L2TP/IPSec sobre IP
L2TPInterface
EncapsuladoPPP
UDPInterface
IPHeader
TCPHeader
PayloadData
PPPHeader
L2TPHeader
IPHeader
TCPHeader
PayloadData
PPPHeader
IPHeader
TCPHeader
PayloadData
IPHeader
TCPHeader
PayloadData
PPPHeader
L2TPHeader
UDPHeader
Paquete TCP/IP
Ehernet
IPHeader
TCPHeader
PayloadData
PPPHeader
L2TPHeader
UDPHeader
IPSec ESPHeader
IPSecInteface
IPInteface
IPHeader
TCPHeader
PayloadData
PPPHeader
L2TPHeader
UDPHeader
IPSec ESPHeader
IPHeader
IPSec ESPTrailer
IPSec ESPTrailer
IPSecAUTHTrailer
IPSecAUTHTrailer
L2TP/IPSec: Fases1. Negociación de las SA de IPSec para el trafico L2TP
• SA en modo principal• Autenticación IPSec
• SA en modo secundario• Se establece el nivel y modo de cifrado de los datos.
2. Negociación de la Conexión L2TP• Se establece el control de conexión y la sesión L2TP
3. Negociación de la Conexión PPP• Establecimiento de la conexión (LCP)• Autenticación de usuario (PAP, CHAP, MS-CHAP, MS-CHAPv2, EAP)• Protocolos de nivel de Red (IPCP, CCP, MPPC, MPPE)
L2TP / IPSec
ESP TrailerESP TrailerIP HdrIP Hdr UDPUDP L2TPL2TP PayloadPayloadESP HdrESP Hdr ESP AuthESP Auth
Normalmente CifradoNormalmente Cifrado
Cobertura del chequeo de IntegridadCobertura del chequeo de Integridad
AdjuntaAdjuntarr
AdjuntaAdjuntarr
PPPPPP
UDP HdrUDP Hdr L2TP HdrL2TP Hdr
PPP PayloadPPP PayloadPPP HdrPPP Hdr
Trama PPPTrama PPP
PPP PayloadPPP PayloadPPP HdrPPP Hdr
• El cifrado es con DES o 3DES con las claves que se obtienen de la negociación de las SA en modo secundario
Autenticación
• PPTP–Autenticación a nivel de Usuario proporcionada por PPP
• L2TP/IPSec–Autenticación a nivel de Usuario proporcionada por PPP–Autenticación a nivel de máquina proporcionada por IPSec
• Claves preestablecidas (No recomendado)• Certificados Digitales de máquina.
Metodos de AutenticaciónNO RECOMENDADOS
• Password Authentication Protocol (PAP)–Envía la password en texto claro.–NO RECOMEDADO
• Shiva Password Authentication Protocol (SPAP)–Utiliza cifrado reversible–NO RECOMNDADO
• Challenge Handshake Authentication Protocol (CHAP)
–Utiliza MD5 para proporcionar autenticación mediante desafio-respuesta
–Requiere almacenar las contraseñas con cifrado reversible en el servidor (DC)
–NO RECOMENDADO
• MS-CHAP –Existen debilidades conocidas NO RECOMENDADO
Metodos de AutenticaciónRECOMENDADO
• MS-CHAP v2–Versión mejorada de MS-CHAP–Usada frecuentemente–Desde el punto de vista del cifrado es mas fuerte que PAP, CHAP, MS-CHAP
–Recomendada cuando no es posible implementar EAP-TLS
Metodos de AutenticaciónRECOMENDADO
• EAP–Extensible Authentication Protocol–Soporta varios tipos de Autenticación
• EAP-MD5: Desafió/Respuesta. No muy seguro.• EAP-TLS: Basado en cerificados; requiere pertenencia a un
dominio; diseñado para ser utilizado con Smart Cards• EAP-RADIUS: Mecanismo proxy de reenvió de datos en un
formato EAP especifico a un servidor RADIUS
–El tipo a utilizar se puede especificar en el servidor o mediante políticas a un grupo especifico de usuarios.
Metodos de AutenticaciónRECOMENDADO
• PEAP: Protected EAP–Proteje las negociaciones EAP envolviendolas con TLS
–Se usa solo para conexiones wireless 802.11• Soporta reconexiones rapidas para entornos grandes con
roaming–Puede usar PEAP plus
• EAP-MS-CHAPv2: añade autenticación mutua; requie que el cliente confie en los certificados del servidor; facil de implementar.
• EAP-TLS: Muy seguro; requiere una infraestructura PKI–Hay documentación completa de como implementarlo en la Web de TechNet
VPN para acceso remoto de clientes
Cliente VPN`
Red Interna
Internet
FW / VPN Gateway
VPN conexión entre sedes
`
Sede B
Internet
FW / VPN Gateway
`
Sede A
FW / VPN Gateway
DEMOS
VPN para acceso remoto de clientes
VPN entre sedes
Intelligent Application Gateway
Client High-Availability, Management, Logging, Reporting, Multiple Portals
Authentication
Authorization
User Experience
Tunneling
Security
Specific Application
s
Web
Client/Server
Java/Browser Embedded
Exchange/ Outlook
OWA
SharePoint/Portals
Citrix
Generic Application
s
Application
Aware
Modules
SSL VPN Gateway
Applications Knowledge Centre
OWA …………...
Citrix……..
Sharepoint. ………....
Devices Knowledge Centre
PDA…....
Linux……..
Windows. ………...
MAC….....
ISO7799 Corporate Governance
SarbOx Basel2
Policy & Regulation
Awareness Centre
WHO?
WHAT?
WHER
E?
COM
PLIA
NT?
Referencias• Virtual Private Networks for Windows Server 2003
http://www.microsoft.com/windowsserver2003/technologies/networking/vpn/default.mspx
• Layer Two Tunneling Protocol in Windows 2000 - The Cable Guy http://www.microsoft.com/technet/community/columns/cableguy/cg0801.mspx
• PPTP Traffic Analysis - The Cable Guy http://www.microsoft.com/technet/community/columns/cableguy/cg0103.mspx
• VPN Quarantine Sample Scripts for Verifying Client Health Configurations http://www.microsoft.com/downloads/details.aspx?FamilyID=a290f2ee-0b55-491e-bc4c-8161671b2462&displaylang=en
• RFC 3947 : the official NAT-T standard
• RFC 3715 : set the requirements for the NAT-T RFC
• RFC 3948 : encapsulating IPsec ESP packets within UDP
• Remote Access Quarantine Tool for ISA Server 2004 http://www.microsoft.com/downloads/details.aspx?FamilyId=3396C852-717F-4B2E-AB4D-1C44356CE37A&displaylang=en
• Windows98/ME/NT4 NAT-T Web download
http://download.microsoft.com/download/win98/Install/1.0/W9XNT4Me/EN-US/msl2tp.exe
Referencias
http://www.elladodelmal.com
Contacto
• Chema Alonso
• http://www.elladodelmal.com
• Technews
• http://www.informatica64.com