Upload
informatica-bezmiliana
View
237
Download
0
Embed Size (px)
Citation preview
VPNsAntonio Ibaez MecaSupport Specialist
Jos ParadaIT Pro Evangelist
Agenda Conceptos bsicos de VPN
Microsoft y las VPN Soluciones Protocolos Tneles Autenticacin NAT-T Cuarentena
Definicin Evolucin y tipos
Caractersticas Adicionales.
DEMOS
VPN para acceso remoto de clientes VPN para conexin entre sedes Control de Cuarentena
Definicin o Indefinicin? VPN = Virtual Private Network o Red Privada Virtual Utilizar una infraestructura pblica compartida para ofrecerle a un cliente las facilidades y ventajas de una red privada
Cualquier red IP puede considerarse una VPN
Clasificacin Segn el punto de terminacin Segn el trfico de cliente transportado Segn el tipo de red del proveedor VPN de nivel 3 VPN de nivel 2 Basadas en el CE (overlay) Basadas en el PE (peer-to-peer)
Segn la tecnologa de tneles Nmero de sedes conectadas Punto a punto: 2 sedes Multipunto: ms de dos sedes
IP, IP/MPLS, ATM, Frame Relay, SONET/SDH, red telefnica, etc. Tneles IPSec, L2TP, PPTP, MPLS-LSP, ATM-VP/VC, Frame Relay VC, SONET/SDH VT, PPP/Dial-up
Evolucin 1 Generacin: Terminadas en el CE y basadas en lneas dedicadas que se alquilaban al proveedor 2 Generacin: Terminadas en el CE a base de circuitos virtuales ATM/Frame Relay sobre una red de conmutacin de paquetes del proveedor 3 Generacin: Los proveedores ofrecen servicios para gestionar los routers del cliente usados en las terminaciones en el CE 4 Generacin: VPNs de nivel 3 terminadas en el PE y basadas en IP/MPLS 5 Generacin: VPNs de nivel 2 terminadas en el PE y basadas en IP/MPLS
Topologas existentesRedes Virtuales
VPN
LAN Virtuales
Redes Superpuestas
Redes Acopladas (Peer)
VPNs nivel 2
VPNs nivel 3
VPNs con MPLSIPSec
X.25
F/R
ATM
GRE
Topologas N2. FR y ATMVPN de Nivel 2Frame Relay y ATM Definicin esttica de Circuitos Virtuales (PVCs) Encaminamiento basado en DLCI No proporcionan ni autenticacion ni cifrado Escalabilidad y Flexibilidad Limitadas
IPX.25 ATMFrame Relay
Topologas basadas en tneles N2
Establecimiento y validacin previo a la consecucin del tnel Aparecen diversos procesos de encapsulamiento que introducen un mayor overhead dentro de la red IP No existe QoSPPPLayer-2 Transport Protocol (L2TP) Layer-2 Forwarding (L2F) Point-to-Point Tunneling Protocol (PPTP)
IP
Topologas basadas en tneles N3VPN de Nivel 3. IPSecTneles GRE y sobre todo IPSec Autenticacin y cifrado de los datos en Internet
Encaminamiento basado en IP del tnelAceleracin de cifrado por HW y SW IPGeneric Routing Encapsulation (GRE)
IP Security (IPSec)
IP
Caractersticas de las VPN Se requiere de un encapsulado capaz de proveernos de: Autenticacin Usuario Equipo Datos
Compresin de datos Cifrado de datos Direccionamiento dinmico Resolucin de nombres Gestin de claves Soporte Multiprotocolo (IP, IPX, etc)
Encapsulado Poner un paquete dentro de otro Se encapsulan o envuelven los datos con otra cabecera con informacin de enrutamiento para que puedan atravesar una red publica hasta su destino. Puede encapsularse trafico a dos niveles del modelo OSI. Nivel 2: encapsulan tramas al nivel de conexin PPTP L2F L2TP
Nivel 3: encapsulan paquetes al nivel de red IPSEC
Protocolos de encapsulado Nivel 2 Point to Point Tunneling Protocol (PPTP) Microsoft, Ascend, otros..
Layer Two Forwarding (L2F) Propuesto por Cisco
Layer Two Tunneling Protocol (L2TP) Unifica PPTP y L2F en un nico estndar para VPN
VPN en el Modelo OSI7. Aplicacin 6. Presentacin
Soluciones VPN5. Sesin 4. Transporte 3. Red 2. Conexin 1.Fsico
SSL IPSEC PPTP
L2TP
Microsoft y las VPNSoluciones ProtocolosTneles Autenticacin NAT-T Cuarentena
Caractersticas Adicionales.
Soluciones de servidor Microsoft tiene tecnologa VPN de nivel 2 y las implementa va software mediante los siguientes productos Familia de Servidores Windows NT 4.0. Instalado SP3 y Option Pack Windows 2000. Con RRAS + IAS (RADIUS) Windows 2003. Con RRAS + IAS (RADIUS)
ISA Server 2000/2004
Soluciones de clientes Windows Windows Windows Windows Windows 98 Milenium NT 4.0 2000 XP
Windows 98, NT y Milenium necesitan un cliente para VPN con L2TP/IPSechttp://www.microsoft.com/windows2000/server/ evaluation/news/bulletins/l2tpclient.asp
Enrutamiento y acceso remoto Enrutamiento y acceso remoto combina los servicios de enrutamiento IP y de redes privadas virtuales (VPN) Enrutamiento IP
VPN
Esttico, Routing Information Protocol (RIP) v1, RIP v2, Open Shortest Path First (OSPF) Asignacin de IP mediante DHCP a los clientes de VPN Conexiones de marcado bajo demanda a sedes remotas Point-to-Point Tunneling Protocol (PPTP) Layer 2 Tunneling Protocol (L2TP)
Introduccin a IAS Internet Authentication Service (IAS) es la implementacin del servidor RADIUS de Microsoft Principales caractersticas Interoperabilidad RADIUS con Juniper, Cisco, Linux, etc. Integracin con Active Directory para autenticacin y autorizacin. Soporta EAP (Extensible Authentication Protocol) Soporta polticas de acceso remoto Depende de una clave compartida
Introduccin a RADIUS
RADIUS esta definido en las RFC 2865 y 2866 de la IETF Protocolo Simple1. 2.
El cliente enva una peticin de inicio de sesin al servidor RRAS El servidor RRAS enva una solicitud de acceso RADIUS al servidor IAS.El IAS puede actuar de proxy y reenviar la solicitud El IAS puede usar las credenciales para solicitar una autenticacin local o a un controlador de dominio.
3. 4.
El IAS devuelve un mensaje de Acceso-Permitido o Acceso-Denegado a el servidor RRAS. El servidor RRAS acepta o deniega la conexin del cliente
Protocolos de tnel PPTP Desarrollado por Microsoft, es un estndar de facto Esta ampliamente implementado y existen varias implementaciones compatibles Suficientemente seguro para casi todas las aplicaciones
L2TP Estndar de la Internet Engineering Task Force (IETF) Unin Algunos problemas de interoperabilidad.
Tanto PPTP como L2TP utilizan PPP por debajo, lo que les proporciona gran parte de los requerimientos necesarios.
PPP Diseado para enviar datos a travs de conexiones bajo demanda o punto a punto. Encapsula Paquetes IP Cuatro fases en la negociacin de la conexin:1. 2. 3. 4.
Fase de transmisin de Datos. Se encapsula los datos con una cabecera PPP y se comprimen y cifran segn lo acordado en fase 1 y negociado en la fase 4
Establecimiento de la conexin (LCP) Autenticacin de usuario (PAP, CHAP, MS-CHAP, MS-CHAPv2, EAP) Control de devolucin de llamada (CBCP) Protocolos de nivel de Red (IPCP, CCP, MPPC, MPPE)
PPP en conexiones directas o enrutadasTrama PPP Conexin sobre una lnea dedicada PPP Proporciona conexin Punto a Punto Cliente Servidor
PPP en conexiones directas o enrutadasTrama PPP Conexin sobre Internet
Cliente
PPP Limitado al primer enlace de la red
Router
Router Servidor
PPP en conexiones directas o enrutadasTunelizado Proporciona Tunelizado: Tansmision de Tramas Tramas PPP Punto a Punto Encapsuladas en Sobre Internet Packetes IP Conexion sobre Internet
Cliente
Router
Router Servidor
PPTP Proporciona Tunelizado a las tramas PPP. Utiliza la seguridad de PPP para asegurar las comunicacin sobre el tnel. Autenticacin de usuario PPP (PAP, CHAP, MS-CHAP, MS-CHAPv2, EAP) Confidencialidad y cifrado PPP (MPPE). RC4 con claves de 40 o 128 bits
PPTP-Tipos de TramasControl
1. Creacin de un control de conexin PPTP
Datos
2. Mantenimiento del control de conexin PPTP 3. Finalizacin del control de conexin PPTPEncapsulado y transmisin de datos PPP mediante (GRE). Generic Routing Encapsulation
Conexin lgica que representa el tnel PPTP. El servidor utiliza el puerto TCP 1723 y el cliente un puerto dinmico. Determina los ID de la cabecera GRE entre cliente y servidor que identifican el tnel PPTP especfico.
PPTP-ConexionesID Protocolo IP (GRE) Conexin de Datos
Servidor RAS PPTP
Internet Puerto TCP 1723 Control de Conexin
Pc Remoto
PPTPPaquete TCP/IPIP TCP Payload Header Header DataEncapsulado PPP PPTP Interface IP Interface PPP IP TCP Payload Header Header Header Data IP GRE PPP IP TCP Payload Header Header Header Header Data IP IP GRE PPP IP TCP Payload Header Header Header Header Header Data
Ehernet
L2TP Combina PPTP y L2F en un nico estndar para VPN propuesto por la IETF Encapsula tramas PPP que pueden ser enviadas a travs de IP, X.25, Frame Relay o ATM El estndar permite que se pueda utilizar la seguridad de PPP para asegurar las comunicacin sobre el tnel. Autenticacin PPP Confidencialidad y cifrado PPP (MPPE)
La Implementacin de Microsoft, no utiliza PPP para asegurar las comunicaciones. Utiliza IPSEC, lo que da lugar a L2TP/IPSec
L2TP- CanalesCanal de Control Establecimiento, mantenimiento y terminacin del tnel. Conexin UDP fiable
Canal de Sesin o Datos Encapsular tramas PPP Conexin UDP no fiable
L2TP sobre IPPaquete TCP/IPIP TCP Payload Header Header Data Encapsulado PPP L2TP Interface UDP Interface IP Inteface PPP IP TCP Payload Header Header Header Data L2TP PPP IP TCP Payload Header Header Header Header Data UDP L2TP PPP IP TCP Payload Header Header Header Header Header Data
IP UDP L2TP PPP IP TCP Payload Header Header Header Header Header Header Data
Ehernet
L2TP/IPSec Encapsulado L2TP de la trama PPP Encapsualdo IPSec del mensaje L2TP Cifrado IPSEc del contenido de los paquetes L2TP De los protocolos de IPSec (AH y ESP) se utiliza ESP (Encapsulating Security Payload)
Encapsulado L2TP/IPSec sobre IPPaquete TCP/IPIP TCP Payload Header Header Data Encapsulado PPP L2TP Interface UDP Interface IPSec IntefaceIPSec ESP Header
PPP IP TCP Payload Header Header Header Data L2TP PPP IP TCP Payload Header Header Header Header Data UDP L2TP PPP IP TCP Payload Header Header Header Header Header Data UDP L2TP PPP IP TCP Payload IPSec ESP IPSec AUTH Trailer Header Header Header Header Header Data Trailer
IP Inteface
IP UDP L2TP PPP IP TCP Payload IPSec ESP IPSec IPSec ESP AUTH Trailer Header Header Header Header Header Header Header Data Trailer
Ehernet
L2TP/IPSec: Fases1.
Negociacin de las SA de IPSec para el trafico L2TPSA en modo principal Autenticacin IPSec Se establece el nivel y modo de cifrado de los datos.
SA en modo secundario
2.
Negociacin de la Conexin L2TPSe establece el control de conexin y la sesin L2TP
3.
Negociacin de la Conexin PPPEstablecimiento de la conexin (LCP) Autenticacin de usuario (PAP, CHAP, MS-CHAP, MSCHAPv2, EAP) Protocolos de nivel de Red (IPCP, CCP, MPPC, MPPE)
L2TP / IPSec
Trama PPP
PPP Hdr PPP Payload UDP Hdr L2TP Hdr PPP Hdr PPP PayloadAdjuntar Adjuntar
IP Hdr ESP Hdr UDP L2TP PPP Payload ESP Trailer ESP AuthNormalmente Cifrado Cobertura del chequeo de Integridad
El cifrado es con DES o 3DES con las claves que se obtienen de la negociacin de las SA en modo secundario
Autenticacin PPTP Autenticacin a nivel de Usuario proporcionada por PPP
L2TP/IPSec Autenticacin a nivel de Usuario proporcionada por PPP Autenticacin a nivel de mquina proporcionada por IPSec Claves preestablecidas (No recomendado) Certificados Digitales de mquina.
Mtodos de AutenticacinNO RECOMENDADOS Password Authentication Protocol (PAP) Enva la password en texto claro. NO RECOMEDADO Utiliza cifrado reversible NO RECOMNDADO
Shiva Password Authentication Protocol (SPAP) Challenge Handshake Authentication Protocol (CHAP)
MS-CHAP
Utiliza MD5 para proporcionar autenticacin mediante desafio-respuesta Requiere almacenar las contraseas con cifrado reversible en el servidor (DC) NO RECOMENDADO Existen debilidades conocidas NO RECOMENDADO
Mtodos de AutenticacinRECOMENDADO
MS-CHAP v2 Versin mejorada de MS-CHAP Usada frecuentemente Desde el punto de vista del cifrado es mas fuerte que PAP, CHAP, MS-CHAP Recomendada cuando no es posible implementar EAP-TLS
Mtodos de AutenticacinRECOMENDADO EAP Extensible Authentication Protocol Soporta varios tipos de Autenticacin EAP-MD5: Desafi/Respuesta. No muy seguro. EAP-TLS: Basado en cerificados; requiere pertenencia a un dominio; diseado para ser utilizado con Smart Cards EAP-RADIUS: Mecanismo proxy de reenvi de datos en un formato EAP especifico a un servidor RADIUS
El tipo a utilizar se puede especificar en el servidor o mediante polticas a un grupo especifico de usuarios.
Mtodos de AutenticacinRECOMENDADO PEAP: Protected EAP Protege las negociaciones EAP envolvindolas con TLS Se usa solo para conexiones wireless 802.11 Puede usar PEAP plus
Soporta reconexiones rpidas para entornos grandes con roaming EAP-MS-CHAPv2: aade autenticacin mutua; requiere que el cliente confi en los certificados del servidor; fcil de implementar. EAP-TLS: Muy seguro; requiere una infraestructura PKI
Hay documentacin completa de como implementarlo en la Web de TechNet
Comparacin PPTP L2TP/IPSec El cifrado con PPTP se realiza despus del proceso de conexin PPP, con L2TP/IPSec desde el principio PPTP cifra con MPPE (RC4- 40,56 128 bits). L2TP cifra con IPSec (DES o 3DES 56 bits) PPTP solo requiere autenticacin a nivel de cliente y L2TP/IPSec, requiere autenticacin a nivel de cliente y de maquina.
Ventajas L2TP/IPSEc - PPTP L2TP/IPSec proporciona: Autenticacin del origen de cada paquete. Integridad de datos Proteccin contra reenvo
Autenticacin a nivel usuario y mquina Cifrado de los paquetes de autenticacin
Ventajas PPTP L2TP /IPSec No requiere el despliegue de una infraestructura de certificados. PPTP se puede montar detras de un dispositivo con NAT (Network Address Translation)
NAT - FuncionamientoPROTO TCP SADDR 10.0.0.3 DADDR128.32.32.68 SPORT 1049 DPORT 80 FLAGS SYN CKSUM 0x1636
1. El cliente intenta conectarse al servidor Web 128.32.32.68. enva un paquete SYN usando su direccin IP interna, 10.0.0.3.
PROTO TCP SADDR 24.1.70.210 DADDR128.32.32.68 SPORT 40960 DPORT 80 FLAGS SYN CKSUM 0x2436
2. El dispositivo NAT ve la configuracin del paquete, aade una nueva entrada en su tabla de translacin . Luego reescribe el paquete usando su direccin IP externa, 24.1.70.210 y cambia el puerto. Actualiza el chequeo de integridad del paquete
1
10.0.0.1Disp NAT
2Servidor
Internet
10.0.0.3PROTO TCP SADDR 128.32.32.68 DADDR10.0.0.3 SPORT 80 DPORT 1049 FLAGS SYN, ACK CKSUM 0x7841
4
24.1.70.210 Tabla de Traslacin NATCliente IPAddr Port 10.0.0.3 1049 ... .. Servidor IPAddr Port NATPort 128.32.32.68 80 40960 ... .. ..
3
128.32.32.68
PROTO TCP SADDR 128.32.32.68 DADDR24.1.70.210 SPORT 80 DPORT 40960 FLAGS SYN, ACK CKSUM 0x8041
4.El dispositivo NAT gateway mira su tabla de traslacin, y encuentra la que corresponde a las direccin y puertos de origen y destino. Reescribe el paquete usando los puertos y direcciones internas.
3. El Servidor responde al paquete SYN con un SYN,ACK. El paquete se enva a la direccin IP externa del dispositivo NAT
L2TP/IPSec y NAPT NAPT rompe el trfico IPSEC-L2TP IKE El cliente IKE en modo rpido indica al otro que IP tiene. Cifrado NAT cambia el puerto origen. Es necesario el 500 NAT resetea el mapeo de los puertos UDP (500) despus de entre ~10sec-5 min, por lo que no se pueden volver a renegociar las claves
ESP cifra las cabeceras TCP y UDP NAPT necesita modificar los puertos TCP o UDP La cabecera ESP no tiene puertos que puedan ser modificados por NAPT NAT necesita modificar la integridad de la cabecera TCP o UDP
NAT Traversal (NAT-T) Solucin: Se determina si el hosts soporta NAT-T Detecta los dispositivos NAT Enva el hash que identifica al fabricante draft-ietf-ipsec-nat-t-ike-xx
IETF RFC 3947
El emisor encapsula el paquete IPSEC en un paquete UDP El paquete UDP se enva al puerto 4500 (UDP funciona con NAT) El receptor extrae el paquete IPSEC del paquete UDP y lo procesa normalmente
Utiliza el IKE payload NAT-D para detectarlo.
NAT-TNueva Cabecera UDP Port 4500Trama en modo Transporte
IP Hdr UDP Hdr ESP Hdr TCP Hdr
Data ESP Trailer ESP Auth
Normalmente Cifrado
Cobertura del chequeo de Integridad
Si no o hay trafico IKE/IPSec, el cliente envia paquetes de mantenimiento de sesin cada 20 segundos para que no se resetee el mapeo UDP
Servicio de Cuarentena Permite al los administradores restringir el acceso a la red hasta que un script o comando se ejecute en la maquina clienteRed de Cuarentena
`
Red Interna Cliente VPN
Cuarentena Paso a PasoCliente :Conecta Servidor: Nuevo cliente agregado a la red de cuarentena
Cliente :Ejecuta scripts para comprobar que la mquina es segura
SI
Cliente: Securizado?
NO
Cliente :Enva Clear Quarantine al servidor
Cliente : Notifica al usuario que acciones debe realizar
Servidor: Mover el cliente a la red VPN clients
Cuarentena - Objetivos Mquinas clientes fortificadas Todas las mquinas deben ser seguras antes de acceder a la red corporativa Ej: Tener Antivirus actualizado
No fortificadas Hazlas seguras Si la mquina cliente no es segura puede acceder a la red corporativa? SI pero nicamente a los recursos necesarios para hacerla segura (servidor Anti Virus)
Cuarentena - Requerimientos Servidor Windows Server 2003 Routing and Remote Access Listener that receives script messages Rqs.exe del Kit de Recursos de Windows Server 2003 o directamente con el SP1 Se pueden escribir scripts personalizados.
ISA Server 2004
Cliente Microsoft Windows 98 Second Edition o posterior Connection Manager Admin Kit (CMAK) profile Script con los requerimientos de la Poltica
White Paper
http://www.microsoft.com/windowsserver2003
Cuarentena Mdulos cliente y servidor FW / VPN Gateway Red de clientes cuarentena Espera que el cliente sealice que est securizado Comprueba que el cliente est securizado Sealiza al servidor que el cliente es seguro o Notifica al usuario que el cliente no est securizado
Cliente
No protege contra usuarios maliciosos
Cuarentena Paquete cliente Basado en CMAK de Windows Server 2003 Ejemplos en ISA Server 2004 SDK: Paquete cliente Durante la conexin, descargar nuevos scripts del servidor Ejecutar scripts en el cliente Enviar notificacin clear quarantine al servidor
Scripts: Comprobar AV, configurar ICF
DEMOSVPN para acceso remoto de clientes VPN conexin entre sedes Control de Cuarentena
VPN para acceso remoto de clientesInternet
`
Cliente VPN
FW / VPN Gateway
Red Interna
VPN conexin entre sedesFW / VPN Gateway Internet
`
`
Sede A
FW / VPN Gateway
Sede B
CuarentenaRed de Cuarentena
IIS Cuarentena
IIS File
Cliente VPNISA 2004
Red Interna
Escenario de las DEMOSCuarentena 192.168.0.3 192.168.0.1W2K3 IIS
Internet192.168.20.1
192.168.20.20
192.168.0.2
ISA 2004
ISA 2004
10.0.0.1
10.0.0.2
W2K3
Sede B Sede AW2K3 IIS
Referencias Virtual Private Networks for Windows Server 2003 http://www.microsoft.com/windowsserver2003/technologie s/networking/vpn/default.mspx Layer Two Tunneling Protocol in Windows 2000 - The Cable Guy http://www.microsoft.com/technet/community/columns/ca bleguy/cg0801.mspx PPTP Traffic Analysis - The Cable Guy http://www.microsoft.com/technet/community/columns/ca bleguy/cg0103.mspx
VPN Quarantine Sample Scripts for Verifying Client Health Configurations http://www.microsoft.com/downloads/details.aspx?FamilyI D=a290f2ee-0b55-491e-bc4c8161671b2462&displaylang=en
Referencias RFC 3947 : the official NAT-T standard
RFC 3715 : set the requirements for the NAT-T RFC RFC 3948 : encapsulating IPsec ESP packets within UDP Remote Access Quarantine Tool for ISA Server 2004 http://www.microsoft.com/downloads/details.aspx?FamilyId= 3396C852-717F-4B2E-AB4D-1C44356CE37A&displaylang=en Windows98/ME/NT4 NAT-T Web downloadhttp://download.microsoft.com/download/win98/Install/1.0/W9XNT4Me/ENUS/msl2tp.exe
ContactoAntonio Ibaez Meca [email protected] Jos Parada [email protected]