La descarga está en progreso. Por favor, espere

La descarga está en progreso. Por favor, espere

Código: HOL WIN55. Introducción Problemática del envío de datos Snnifing y Spoofing de Red IPSec IPSec en arquitecturas Windows IPSec con clave compartida.

Presentaciones similares


Presentación del tema: "Código: HOL WIN55. Introducción Problemática del envío de datos Snnifing y Spoofing de Red IPSec IPSec en arquitecturas Windows IPSec con clave compartida."— Transcripción de la presentación:

1 Código: HOL WIN55

2 Introducción Problemática del envío de datos Snnifing y Spoofing de Red IPSec IPSec en arquitecturas Windows IPSec con clave compartida IPSec con Kerberos Ipsec con certificados digitales Diseño de infraestructuras con IPSec Monitorización de IPSec IPSec en arquitecturas VPN

3

4

5 Gran cantidad de los datos que circulan por la red circulan en claro y pueden ser capturados e interpretados por un analizador de red. Estos datos además de ser interpretados pueden ser modificados y retransmitidos posteriormente a la red. Los sistemas no comprueban la autenticidad del origen de los datos.

6

7 Capturan tráfico de red. Necesitan que la señal física llegue al NIC. En redes de difusión mediante concentradores todas las señales llegan a todos los participantes de la comunicación. En redes conmutadas la comunicación se difunde en función de direcciones. Switches utilizan dirección MAC.

8 PC HACKER PC 1 PC 2 PC 3 PC 4 Sniffer Datos PC 4 filtrafiltra

9 Las técnicas de spoofing tienen como objetivo suplantar validadores estáticos. Un validador estático es un medio de autenticación que permanece invariable antes, durante y después de la concesión.

10 Spoofing ARP Envenenamiento de conexiones. Man in the Middle. Spoofing IP Rip Spoofing. Hijacking. Spoofing SMTP Spoofing DNS WebSpoofing

11 PC HACKER PC 1 PC 2 PC 3 PC 4 Sniffer Datos PC 4 MAC 1 MAC 2 MAC H MAC 3 MAC 4 Puerto 1 MAC 1 Puerto 2 MAC 2 Puerto 6 MAC H Puerto 11 MAC 3 Puerto 12 MAC 4

12 ¿Quien tiene ? esta en 99:88:77:66:55: esta en 00:11:22:33:44:55: esta en 99:88:77:66:55:44

13

14 IPv4 no ofrece cifrado de comunicaciones a nivel de red y transporte. Solo se puede garantizar la no interceptación de la información en líneas privadas. Los entornos son abiertos. Movilidad. La privacidad de la información es una necesidad

15 La elección de la protección debe cumplir: No anular otras defensas. Permitir autenticación integrada. No suponer un coste excesivo en: Rendimiento. Adquisición. Implantación. Mantenimiento.

16 Soluciones: Red : IPv6 -> IPSec. Transporte: TLS SSL Aplicación: HTTP-s FTP-s S/MIME SSH. Datos: Cifrado información.

17 IPSEC es un estándar que tiene como objetivo la verificación, autentificación y encriptación de datos en el nivel de red. IPSEC es controlado mediante una serie de reglas y filtros que determinan que tipo de tráfico va a necesitar la encriptación, la firma digital o ambos. El proceso del envío de información cifrada a través de la red es transparente para los usuarios y las aplicaciones que envían información a través de la red.

18 Autentificación mutua al inicio y durante la comunicación. Confidencialidad por autentificación digital y encriptación de paquetes. Integridad IP por rechazo de paquetes modificados. Prevención contra ataques de repetición de tramas.

19 Disminución del rendimiento que es proporcional al hardware del sistema. Tiempo de negociación IKE – aproximadamente 2-5 segundos inicialmente Session rekey < 1-2 segundos Pérdida de la capacidad de filtrado de paquetes. Recursos destinados a la solución de problemas. Concienciación técnica de su necesidad y su uso.

20 IPSEC trabaja en dos modos: Autentication Header (AH),que firma digitalmente el tráfico de red, pero no lo encripta. ESP (Encapsulation Security Payload), que proporciona encriptación de datos, mediante algoritmo.

21 Authentication Header (AH) ofrece: Autenticación. Integridad. Funcionalidades Kerberos, certificados o los secretos compartidos pueden ser utilizados para autenticar el tráfico. La integridad se calcula con algoritmos AES, SHA1 o MD5 que calculan el Integrity Check Value (ICV).

22 Autenticidad de los datos Integridad de los datos Protección contra la retransmisión Protección contra la suplantación Encab. IP AH Encab. TCP/UDP Datos de aplicaciones Firmado Encabezados de autenticación

23 Encapsulating Security Payload (ESP) ESP ofrece: Confidencialidad. ESP puede ser utilizada sola o combinada con AH. Multiples algoritmos de cifrado AES – claves de cifrado hasta 256-bit (solo compatible a partir de Vista SP1) DES – claves de cifrado de 56-bit 3DES – claves de cifrado de 168-bit Multiples algoritmos de firmado. SHA1 – 160-bit digest MD5 – 128-bit AES – 256-bit (solo compatible a partir de Vista SP1)

24 Nuevo encab. IP ESP Hdr Cifrado Firmado Autenticación del origen Cifrado de los datos Protección contra la retransmisión Protección contra la suplantación Carga de seguridad de encapsulación Encab. IP original Encab. TCP/UDP Datos de aplicaciones Fin. ESP Aut. ESP

25 IPSec se enruta como tráfico IPv4. En firewalls debe ser activado el reenvio IP para: IP Protocol ID 50 (ESP). IP Protocol ID 51 (AH). UDP Port 500 (IKE). El tráfico IPSec que pasa por un firewall no puede ser inspeccionado.

26 filters filters NIC TCPIP Application Server or Gateway IPSecDriver IPSecPolicyAgent IKE (ISAKMP) IPSecDriver IPSecPolicyAgent NIC TCPIP App or Service client IKE Responder IKE Initiator UDP port 500 negotiation 1 IKE SA 1 IKE SA 2 IPSec SAs IP protocol 50/51

27 El sistema IPSEC puede trabajar en dos modos: Modo de transporte: donde la encriptación se realiza de extremo a extremo. Modo túnel donde la encriptación se realiza únicamente entre los extremos del tunel.

28 Cifrado Modo de túnel Proporciona cifrado y autenticación sólo entre los puntos finales del túnel Cifrado Modo de transporte Proporciona cifrado y autenticación de extremo a extremo

29

30 Hay 3 maneras de implementar IPsec en entornos Windows Server 2008 R2 Consola de Firewall Avanzado de Windows MMC + Snap-In de Directivas de seguridad de IP GPO Se pueden crear usando las configuraciones anteriores o Exportando la configuración local o Importando la configuración en la GPO NOTA: En la MMC no se admiten todos los protocolos de cifrado y autenticación (retrocompatibilidad)

31 Reglas de seguridad de conexión Supervisión Asociaciones de seguridad Modo Principal Modo Rápido

32 Asistentes de configuración

33 Propiedades generales de IPsec

34 Métodos de autenticación Determinan el proceso inicial de la comunicación IPSEC. Existen 3 metodologías de autentificación: Kerberos. Certificado. Clave Compartida.

35 Kerberos. Requiere tiempo de sincronización. Solo dentro del bosque Certificados. Requiere la implementación de PKI. CRL está deshabilitado por defecto. Secretos Compartidos (shared secrets). Tan seguro como sea el secreto. En entornos grandes es dificil de mantener.

36 Métodos de seguridad Determina la seguridad de la transmisión de la información. Se pueden definir: Integridad AH (Algoritmos AES, SHA1, MD5). Integridad ESP (Algoritmos AES, SHA1, MD5). Confidencialidad ESP (Algoritmos AES, DES, 3DES). Confidencialidad AH + ESP (No atraviesa NAT)

37 IPSec en Windows Server 2008 se configura mediante políticas. Almacenadas en el Directorio Activo o en en Registro Local del Servidor. Controlan la entrada y salida de paquetes permitidos. Aplicables a clientes Windows 2000, Windows XP, Windows Server 2003, Windows Vista, Windows Server 2008 y Windows Server 2008 R2

38 Políticas de IPSec Podrán utilizarse políticas por defecto o las creadas manualmente. El sistema proporciona 3 políticas por defecto que van a determinar diferentes comportamientos de la máquina con respecto a IPSEC. Cliente. Servidor. Servidor seguro.

39 Política de cliente Modo de solo respuestas. Un sistema en modo cliente responde a peticiones que le realicen en IPSEC. No inicia conversaciones en modo IPSEC, solamente en claro.

40 Política de servidor Intenta establecer comunicaciones cifradas, pero si la otra máquina no tiene configurado IPSEC la comunicación se establece en claro. Este modo está definido por 3 reglas que determinan el comportamiento general del sistema a las peticiones: IP. ICMP. Tráfico dinámico.

41 Política de servidor seguro El equipo solo puede establecer comunicaciones seguras. La política establece 3 reglas, para el tráfico de peticiones: IP. ICMP. Tráfico dinámico.

42 Servidor B. de D. Resto del Personal Médico Servidor Seguro Servidor No IPSEC 3ecto elgtasp Texto claro Texto cifrado Conexión

43 Reglas de IPSec Las reglas IPSEC determinan el comportamiento del sistema en la transmisión de la información. Las reglas están compuestas por los siguientes objetos: Filtros. Acción de filtros. Método de autentificación.

44 En la configuración de las reglas hay que especificar las siguientes acciones: Determinar la posibilidad o no de establecer un túnel de comunicación. Qué redes se van a ver afectadas por la regla. El método de autentificación inicial para la transmisión. Métodos de seguridad. Los filtros y las acciones de filtrado.

45 En la configuración de los filtros hay que especificar los siguientes parámetros: Determinar la posibilidad o no de establecer un túnel de comunicación. Qué redes o equipos se van a ver afectados. El método de autentificación para la transmisión. Métodos de seguridad. Las acciones de filtrado.

46 Despliegue de políticas por GPOs Despliegue centralizado desde el directorio activo Configuración mediante plantillas Domain OU Site GPO

47

48 Escenarios recomendados Packet Filtering End-to-End Security Between Specific Hosts End-to-End Traffic Through an ISA-Secured NAT Secure Server Domain Isolation Server Isolation L2TP/IPsec for Remote Access and Site-to-Site VPN Connections Gateway-to-Gateway IPsec Tunneling with Third- Party IPsec Gateways

49 Escenarios no recomendados IPSec puede reducir el rendimiento de procesamiento e incrementar el consumo de ancho de banda IPSec puede conllevar problemas de compatibilidad para algunas aplicaciones, por lo tanto no se recomienda para: Tráfico entre controladores de dominio y miembros del dominio IPSec en modo túnel para el acceso remoto de conexiones VPN Además hay que tener especial cuidado en: Securizar todo el tráfico de la red Securizar tráfico sobre redes inalámbricas Securizar redes de casa

50 Consideraciones de despliegue IPSec puede reducir el rendimiento y aumentar el consumo de ancho de banda Las políticas de IPSec pueden llegar a ser complejas de configurar y gestionar La no posibilidad de acordar las credenciales IPSec puede bloquear toda la conectividad de red en un cliente Muchas aplicaciones esperan que el tráfico ICMP funcione siempre, por lo tanto debe estar exento de IPSec La inspección de paquetes TCP y UDP u otros encabezados, puede se menos efectiva o no funcionar debido al encapsulamiento IPSec y el cifrado Ipsec no securiza tráfico multicast y broadcast

51

52 Windows Server 2008, 2008R2, Windows 7, Windows Vista y Windows XP incorporan una consola de monitorización de sesiones IPsec. Se pueden observar los modos rápido y normal, así como el número de paquetes enviados o recibidos con seguridad Para acceder a la consola: Inicio > Ejecutar > MMC > Agregar complemento > Monitor de IPSec Desde la consola de Firewall Avanzado (Supervisión)

53

54

55 Las redes VPN (Red privada virtual) son conexiones de punto a punto a lo largo de redes públicas o compartidas como Internet. Se utilizan protocolos de tunneling para encapsular los paquetes y emular una conexión dedicada y privada Existen dos tipos de conexiones VPN Acceso remoto VPN Conexión VPN de sitio a sitio

56 Windows Server 2008 soporta 3 modos de conexión VPN por defecto PPTP L2TP/IPsec SSTP Se requiere instalar el rol Network Policy and Access Server Funcionalidad Routing and Remote Access Una vez instalado es necesario configurarlo como servidor VPN

57 Protocolos de tunneling (PPTP) Permite que el trafico se cifre y se encapsule en un encabezado IP PPTP encapsula paquetes PPP en datagramas IP El paquete PPP se cifra utilizando MPPE (Microsoft Point to Point Encryption) con claves generadas del proceso de autenticación MS-CHAPv2 o EAP-TLS

58 Protocolos de tunneling (L2TP) Cifra y encapsula tráfico multiprotocolo para su envío a través de redes IP L2TP no utiliza MPPE, sino que se apoya en IPSec en modo de transporte El encapsulamiento consiste en dos capas: 1. El paquete PPP se encapsula con un encabezado L2TP y un encabezado UDP 2. El mensaje resultante se encapsula con IPSec y ESP y finalmente se crea el encabezado IP para su envío. L2TP cifra con DES o 3DES con claves generadas en el proceso IKE de negociación

59 Protocolos de tunneling (SSTP) Nuevo protocolo que utiliza HTTP sobre TCP para pasar el tráfico a través de firewalls y proxies Encapsula paquetes PPP sobre SSL Solo se puede utilizar con equipos Windows Vista SP1 Windows Server 2008

60 L2TP/IPSec se puede implementar de dos modos: Clave previamente compartida (menos seguro) Certificados El modo de certificados requiere una infraestructura PKI y certificados de equipo en el cliente y servidor

61 Habilitar el log IKE. HKEY_LOCAL_MACHINE\System\CurrentControlSet \Services\PolicyAgent\Oakley\EnableLogging REG_DWORD con valor 1. En Windows 2003: netsh ipsec dynamic set config ikelogging 1 Parar e iniciar el servicio de seguridad IP: net stop policyagent net start policyagent Reproducir el problema y analizar el log systemroot\Debug\Oakley.log.

62 Habilitar la clave de registro HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Ikeext\Parameters\ EnableLogging DWORD con valor EnableLogging en 1. Parar e iniciar el servicio "IKE and AuthIP Ipsec Keying Modules" (IKEEXT) service. NET STOP IKEEXT NET START IKEEXT Reproducir el problema Parar el servicio IKEEXT Revisar el l"Event Trace Log" %SystemRoot%\System32\Ikeext.etl El formato ETL es binario, por lo que se requiere de una herramienta adicional incluida en el Windows XP Support Tools pack para su interpretaciónWindows XP Support Tools pack tracefmt.exe. Con privilegios administrativos ejecutar: tracefmt.exe %SystemRoot%\System32\Ikeext.etl -tmf %SystemRoot%\System32\wfp.tmf -o %TEMP%\wfpdiag.txt Se crea el archivo wfpdiag.txt que es similar a oakley.log en Windows 2000/XP

63 Microsoft IPSec Diagnostics Tool Herramienta gráfica de diagnóstico y revisión de logs 2 modos de diagnóstico Local Remoto Opción de Live Troubleshooting c7b457881&displaylang=en

64

65 Informática Ignacio Sánchez-Beato Paredes


Descargar ppt "Código: HOL WIN55. Introducción Problemática del envío de datos Snnifing y Spoofing de Red IPSec IPSec en arquitecturas Windows IPSec con clave compartida."

Presentaciones similares


Anuncios Google