Windows Server 2008 R2 Implantación de IPSec

Windows Server 2008 R2 Implantación de IPSec
Código: HOL WIN55 Windows Server 2008 R2 Implantación de IPSec Ignacio Sánchez-Beato Paredes

Agenda Introducción Problemática del envío de datos
Snnifing y Spoofing de Red IPSec IPSec en arquitecturas Windows IPSec con clave compartida IPSec con Kerberos Ipsec con certificados digitales Diseño de infraestructuras con IPSec Monitorización de IPSec IPSec en arquitecturas VPN

Introducción

Problemática del envío de datos

Problemáticas de la comunicación
Gran cantidad de los datos que circulan por la red circulan en claro y pueden ser capturados e interpretados por un analizador de red. Estos datos además de ser interpretados pueden ser modificados y retransmitidos posteriormente a la red. Los sistemas no comprueban la autenticidad del origen de los datos.

Sniifing y Spoofing de Red

Técnicas de Sniffing Capturan tráfico de red.
Necesitan que la señal física llegue al NIC. En redes de difusión mediante concentradores todas las señales llegan a todos los participantes de la comunicación. En redes conmutadas la comunicación se difunde en función de direcciones. Switches utilizan dirección MAC.

Sniffing en redes de difusión
PC 2 PC HACKER PC 3 Sniffer PC 1 PC 4 filtra Datos PC 4

Técnicas de Spoofing Las técnicas de spoofing tienen como objetivo suplantar validadores estáticos. Un validador estático es un medio de autenticación que permanece invariable antes, durante y después de la concesión.

Tipos de técnicas de Spoofing
Spoofing ARP Envenenamiento de conexiones. Man in the Middle. Spoofing IP Rip Spoofing. Hijacking. Spoofing SMTP Spoofing DNS WebSpoofing

Sniffing en redes conmutadas
PC HACKER PC 2 Sniffer PC 3 PC 1 PC 4 MAC 2 MAC H MAC 3 Datos PC 4 MAC 1 MAC 4 Puerto 1 MAC 1 Puerto 2 MAC 2 Puerto 6 MAC H Puerto 11 MAC 3 Puerto 12 MAC 4

Ataque ARP Man In The Middle
esta en 99:88:77:66:55:44 esta en 99:88:77:66:55:44 ¿Quien tiene ? esta en 00:11:22:33:44:55:66

Cifrado de Comunicaciones
IPv4 no ofrece cifrado de comunicaciones a nivel de red y transporte. Solo se puede garantizar la no interceptación de la información en líneas privadas. Los entornos son abiertos. Movilidad. La privacidad de la información es una necesidad

La elección de la protección debe cumplir: No anular otras defensas. Permitir autenticación integrada. No suponer un coste excesivo en: Rendimiento. Adquisición. Implantación. Mantenimiento.

Soluciones: Red : IPv6 -> IPSec. Transporte: TLS SSL Aplicación: HTTP-s FTP-s S/MIME SSH. Datos: Cifrado información.

Objetivos de IPSEC IPSEC es un estándar que tiene como objetivo la verificación, autentificación y encriptación de datos en el nivel de red. IPSEC es controlado mediante una serie de reglas y filtros que determinan que tipo de tráfico va a necesitar la encriptación, la firma digital o ambos. El proceso del envío de información cifrada a través de la red es transparente para los usuarios y las aplicaciones que envían información a través de la red.

Beneficios de IPSEC Autentificación mutua al inicio y durante la comunicación. Confidencialidad por autentificación digital y encriptación de paquetes. Integridad IP por rechazo de paquetes modificados. Prevención contra ataques de repetición de tramas.

IPSEC - Coste de cifrado
Disminución del rendimiento que es proporcional al hardware del sistema. Tiempo de negociación IKE – aproximadamente 2-5 segundos inicialmente Session rekey < 1-2 segundos Pérdida de la capacidad de filtrado de paquetes. Recursos destinados a la solución de problemas. Concienciación técnica de su necesidad y su uso.

Modos IPSEC IPSEC trabaja en dos modos:
Autentication Header (AH),que firma digitalmente el tráfico de red, pero no lo encripta. ESP (Encapsulation Security Payload), que proporciona encriptación de datos, mediante algoritmo.

Cabecera de Autenticación
Authentication Header (AH) ofrece: Autenticación. Integridad. Funcionalidades Kerberos, certificados o los secretos compartidos pueden ser utilizados para autenticar el tráfico. La integridad se calcula con algoritmos AES, SHA1 o MD5 que calculan el Integrity Check Value (ICV). IPSec AH provides authentication, integrity, and anti-replay protection for the entire packet, including the IP header and the payload. AH does not provide confidentiality. When packets are secured with AH, the IPSec driver computes an Integrity Check Value (ICV) after the packet has been constructed but before it is sent to the computer. With Windows 2000 and Windows XP, you can use either the HMAC SHA1 or HMAC MD5 algorithm to compute the ICV. Figure 9-3 shows how AH modifies an IP packet.

Encabezados de autenticación
IPSec – Cabecera AH. Autenticidad de los datos Integridad de los datos Protección contra la retransmisión Protección contra la suplantación Encab. IP AH Encab. TCP/UDP Datos de aplicaciones Firmado Encabezados de autenticación The fields in an AH packet include these: Next Header Indicates the protocol ID for the header that follows the AH header. For example, if the encrypted data is transmitted using TCP, the next header value would be 6, which is the protocol ID for TCP. Length Contains the total length of the AH. Security Parameters Index (SPI) Identifies the security association (the IPSec agreement between two computers) that was negotiated in the Internet Key Exchange (IKE) protocol exchange between the source computer and the destination computer. Sequence Number Protects the AH-protected packet from replay attacks in which an attacker attempts to resend a packet that he has previously intercepted, such as an authentication packet, to another computer. For each packet issued for a specific security association (SA), the sequence number is incremented by 1 to ensure that each packet is assigned a unique sequence number. The recipient computer verifies each packet to ensure that a sequence number has not been reused. The sequence number prevents an attacker from capturing packets, modifying them, and then retransmitting them later. Authentication Data Contains the ICV created against the signed portion of the AH packet by using either HMAC SHA1 or HMAC MD5. The recipient performs the same integrity algorithm and compares the result of the hash algorithm with the result stored within the Authentication Data field to ensure that the signed portion of the AH packet has not been altered in transit. Because the TTL, Type of Service (TOS), Flags, Fragment Offset, and Header Checksum fields are not used in the ICV, packets secured with IPSec AH can cross routers, which can change these fields. Using ESP

Cabecera ESP Encapsulating Security Payload (ESP) ESP ofrece:
Confidencialidad. ESP puede ser utilizada sola o combinada con AH. Multiples algoritmos de cifrado AES – claves de cifrado hasta 256-bit (solo compatible a partir de Vista SP1) DES – claves de cifrado de 56-bit 3DES – claves de cifrado de 168-bit Multiples algoritmos de firmado. SHA1 – 160-bit digest MD5 – 128-bit AES – 256-bit (solo compatible a partir de Vista SP1) ESP packets are used to provide encryption services to transmitted data. In addition, ESP provides authentication, integrity, and antireplay services. When packets are sent using ESP, the payload of the packet is encrypted and authenticated. In Windows 2000 and Windows XP, the encryption is done with either Data Encryption Standard (DES) or 3DES, and the ICV calculation is done with either HMAC SHA1 or HMAC MD5. TIP When designing an IPSec solution, you can combine AH and ESP protocols in a single IPSec SA. Although both AH and ESP provide integrity protection to transmitted data, AH protects the entire packet from modification, while ESP protects only the IP payload from modification.

Carga de seguridad de encapsulación
Cabecera ESP Nuevo encab. IP ESP Hdr Cifrado Firmado Autenticación del origen Cifrado de los datos Protección contra la retransmisión Protección contra la suplantación Carga de seguridad de encapsulación Encab. IP original Encab. TCP/UDP Datos de aplicaciones Fin. ESP Aut. ESP

IPSec - Firewalls IPSec se enruta como tráfico IPv4.
En firewalls debe ser activado el reenvio IP para: IP Protocol ID 50 (ESP). IP Protocol ID 51 (AH). UDP Port 500 (IKE). El tráfico IPSec que pasa por un firewall no puede ser inspeccionado. IP Security (IPSec) is implemented at the Networking layer (Layer 3) of the Open Systems Interconnection (OSI) model. This provides protection for all IP and upper-layer protocols in the TCP/IP protocol suite. The primary benefit of securing information at Layer 3 is that all programs and services using IP for data transport can be protected. IPSec does not disturb the original IP header and can be routed as normal IP traffic. Routers and switches in the data path between the communicating hosts simply forward the packets to their destination. However, when there is a firewall or gateway in the data path, IP forwarding must be enabled at the firewall for the following IP protocols and UDP ports: IP Protocol ID 50: For both inbound and outbound filters. Should be set to allow Encapsulating Security Protocol (ESP) traffic to be forwarded. IP Protocol ID 51: For both inbound and outbound filters. Should be set to allow Authentication Header (AH) traffic to be forwarded. UDP Port 500: For both inbound and outbound filters. Should be set to allow ISAKMP traffic to be forwarded. L2TP/IPSec traffic looks just like IPSec traffic on the wire. The firewall just has to allow IKE (UDP 500) and IPSec ESP formatted packets (IP protocol = 50). It may be necessary to allow Kerberos traffic through the firewall, if so then UDP port 88 and TCP port 88 would also need to be forwarded. For more information, view the following articles in the Microsoft Knowledge Base: Traffic That Can--and Cannot--Be Secured by IPSec ( Overview of Secure IP Communication with IPSec in Windows 2000 (

SA Establishment TCPIP TCPIP App or Service Application client
Server or Gateway UDP port 500 negotiation 1 IKE SA IPSec PolicyAgent IPSec PolicyAgent IKE (ISAKMP) IKE (ISAKMP) 2 IPSec SAs IPSec Driver IPSec Driver TCPIP TCPIP IP protocol 50/51 filters NIC filters NIC “IKE Responder” “IKE Initiator”

Modos de trabajo El sistema IPSEC puede trabajar en dos modos:
Modo de transporte: donde la encriptación se realiza de extremo a extremo. Modo túnel donde la encriptación se realiza únicamente entre los extremos del tunel.

Modos IPSEC Modo de transporte
Proporciona cifrado y autenticación de extremo a extremo Cifrado Modo de túnel Proporciona cifrado y autenticación sólo entre los puntos finales del túnel Cifrado

IPSec en arquitecturas Windows

IPsec en Windows Server 2008 R2
Hay 3 maneras de implementar IPsec en entornos Windows Server 2008 R2 Consola de Firewall Avanzado de Windows MMC + Snap-In de Directivas de seguridad de IP GPO Se pueden crear usando las configuraciones anteriores Exportando la configuración local Importando la configuración en la GPO NOTA: En la MMC no se admiten todos los protocolos de cifrado y autenticación (retrocompatibilidad)

Integración de IPsec en la Consola de Firewall
Reglas de seguridad de conexión Supervisión Asociaciones de seguridad Modo Principal Modo Rápido

Asistentes de configuración

Propiedades generales de IPsec

Métodos de autenticación Determinan el proceso inicial de la comunicación IPSEC. Existen 3 metodologías de autentificación: Kerberos. Certificado. Clave Compartida.

Kerberos. Requiere tiempo de sincronización. Solo dentro del bosque Certificados. Requiere la implementación de PKI. CRL está deshabilitado por defecto. Secretos Compartidos (shared secrets). Tan seguro como sea el secreto. En entornos grandes es dificil de mantener. Selecting an IPSec Authentication Method During the initial construction of the IPSec session—also known as the Internet Key Exchange, or IKE—each host or endpoint authenticates the other host or endpoint. When configuring IPSec, you must ensure that each host or endpoint supports the same authentication methods. IPSec supports three authentication methods: Kerberos X.509 certificates Preshared key Authenticating with Kerberos In Windows 2000 and Windows XP, Kerberos is used for the IPSec mutual authentication by default. For Kerberos to be used as the authentication protocol, both hosts or endpoints must receive Kerberos tickets from the same Active Directory directory service forest. Thus, you should choose Kerberos for IPSec authentication only when both hosts or endpoints are within you own organization. Kerberos is an excellent authentication method for IPSec because it requires no additional configuration or network infrastructure. IMPORTANT Some types of traffic are exempted by default from being secured by IPSec, even when the IPSec policy specifies that all IP traffic should be secured. The IPSec exemptions apply to Broadcast, Multicast, Resource Reservation Setup Protocol (RSVP), IKE, and Kerberos traffic. Kerberos is a security protocol itself, can be used by IPSec for IKE authentication, and was not originally designed to be secured by IPSec. Therefore, Kerberos is exempt from IPSec filtering. To remove the exemption for Kerberos and RSVP, set the value NoDefaultExempt to 1 in the registry key HKEY_LOCAL_ MACHINE\SYSTEM\CurrentControlSet\Services\IPSEC, or use the Nodefaultexempt.vbs script located in the Tools\Scripts folder on the CD included with this book. Authenticating with X.509 Certificates You can use X.509 certificates for IPSec mutual authentication of hosts or endpoints. Certificates allow you to create IPSec secured sessions with hosts or endpoints outside your Active Directory forests, such as business partners in extranet scenarios. You also must use certificates when using IPSec to secure VPN connections made by using Layer Two Tunneling Protocol (L2TP). To use certificates, the hosts must be able to validate that the other’s certificate is valid. Authenticating with Preshared Key You can use a preshared key, which is a simple, case-sensitive text string, to authenticate hosts or endpoints. Preshared key authentication should be used only when testing or troubleshooting IPSec connectivity because the preshared key is not stored in a secure fashion by hosts or endpoints.

Métodos de seguridad Determina la seguridad de la transmisión de la información. Se pueden definir: Integridad AH (Algoritmos AES, SHA1, MD5). Integridad ESP (Algoritmos AES, SHA1, MD5). Confidencialidad ESP (Algoritmos AES, DES, 3DES). Confidencialidad AH + ESP (No atraviesa NAT)

IPSec en Windows Server 2008 se configura mediante políticas. Almacenadas en el Directorio Activo o en en Registro Local del Servidor. Controlan la entrada y salida de paquetes permitidos. Aplicables a clientes Windows 2000, Windows XP, Windows Server 2003, Windows Vista, Windows Server 2008 y Windows Server 2008 R2 IPSec policies, rather than applications, are used to configure IPSec services. The policies provide variable levels of protection for most traffic types in most existing networks. IPSec policies are based on your organization's guidelines for secure operations. There are two storage locations for IPSec policies: Active Directory The registry on a local computer You can configure IPSec policies to meet the security requirements of a domain, site, or organizational unit for an Active Directory domain. IPSec policy can also be implemented in a non-Active Directory domain environment by using local IPSec policies. IPSec policies are based on IP filter lists and IP filter actions. An IP filter list is a list of protocols and folders. For example, you can create a filter list entry that allows all computers to gain access to TCP port 80 on the local interface. Another entry in the same filter list might allow access to TCP port 25 on the local interface, and a third filter list entry might allow access to User Datagram Protocol (UDP) port 53 on the local interface. If a packet that arrives on the computer interface has a matching entry on the filter list, IPSec Policy Agent applies a filter action that you assign to the filter list. For example, if you assign a Block filter action to the above filter list. When you do this, any packet that is destined for TCP port 80, TCP port 25, or UDP port 53 is blocked. However, if you assign a Permit filter action to the above filter list, the packets that are destined for TCP port 80, TCP port 25, or UDP port 53 is allowed. You can use IPSec filter lists and filter actions as an effective method of access control on all interfaces. Note that IPSec policies are applied to all interfaces on a multiple-homed computer. There is no procedure that you can use to allow selective application of IPSec policies to a particular interface. Note For information on how to create IPSec policies, go to Filter Actions For each filter rule, you must choose a filter action. The filter action defines how the traffic defined in the IP filter will be handled by the filter rule. Permit Allows packets to be transmitted without IPSec protection. For example, Simple Network Management Protocol (SNMP) includes support for devices that might not be IPSec aware. Enabling IPSec for SNMP would cause a loss of network management capabilities for these devices. In a highly secure network, you could create an IPSec filter for SNMP and set the IPSec action to Permit to allow SNMP packets to be transmitted without IPSec protection. Block Discards packets. If the associated IPSec filter is matched, all packets with the block action defined are discarded. Negotiate Security Allows an administrator to define the desired encryption and integrity algorithms to secure data transmissions if an IPSec filter is matched.

Políticas de IPSec Podrán utilizarse políticas por defecto o las creadas manualmente. El sistema proporciona 3 políticas por defecto que van a determinar diferentes comportamientos de la máquina con respecto a IPSEC. Cliente. Servidor. Servidor seguro.

Política de cliente Modo de solo respuestas. Un sistema en modo cliente responde a peticiones que le realicen en IPSEC. No inicia conversaciones en modo IPSEC, solamente en claro.

Política de servidor Intenta establecer comunicaciones cifradas, pero si la otra máquina no tiene configurado IPSEC la comunicación se establece en claro. Este modo está definido por 3 reglas que determinan el comportamiento general del sistema a las peticiones: IP. ICMP. Tráfico dinámico.

Política de servidor seguro El equipo solo puede establecer comunicaciones seguras. La política establece 3 reglas, para el tráfico de peticiones: IP. ICMP. Tráfico dinámico.

Ejemplo de implementación de IPSec en un Hospital
Texto claro 3ecto elgtasp Texto cifrado Médico Servidor B. de D. Servidor Servidor Seguro Resto del Personal No IPSEC Conexión

Reglas de IPSec Las reglas IPSEC determinan el comportamiento del sistema en la transmisión de la información. Las reglas están compuestas por los siguientes objetos: Filtros. Acción de filtros. Método de autentificación.

En la configuración de las reglas hay que especificar las siguientes acciones: Determinar la posibilidad o no de establecer un túnel de comunicación. Qué redes se van a ver afectadas por la regla. El método de autentificación inicial para la transmisión. Métodos de seguridad. Los filtros y las acciones de filtrado.

En la configuración de los filtros hay que especificar los siguientes parámetros: Determinar la posibilidad o no de establecer un túnel de comunicación. Qué redes o equipos se van a ver afectados. El método de autentificación para la transmisión. Métodos de seguridad. Las acciones de filtrado.

Despliegue de políticas por GPOs Despliegue centralizado desde el directorio activo Configuración mediante plantillas GPO Site Domain OU

Diseño de infraestructuras con IPSec

Escenarios recomendados Packet Filtering End-to-End Security Between Specific Hosts End-to-End Traffic Through an ISA-Secured NAT Secure Server Domain Isolation Server Isolation L2TP/IPsec for Remote Access and Site-to-Site VPN Connections Gateway-to-Gateway IPsec Tunneling with Third-Party IPsec Gateways

Escenarios no recomendados IPSec puede reducir el rendimiento de procesamiento e incrementar el consumo de ancho de banda IPSec puede conllevar problemas de compatibilidad para algunas aplicaciones, por lo tanto no se recomienda para: Tráfico entre controladores de dominio y miembros del dominio IPSec en modo túnel para el acceso remoto de conexiones VPN Además hay que tener especial cuidado en: Securizar todo el tráfico de la red Securizar tráfico sobre redes inalámbricas Securizar redes de casa

Consideraciones de despliegue IPSec puede reducir el rendimiento y aumentar el consumo de ancho de banda Las políticas de IPSec pueden llegar a ser complejas de configurar y gestionar La no posibilidad de acordar las credenciales IPSec puede bloquear toda la conectividad de red en un cliente Muchas aplicaciones esperan que el tráfico ICMP funcione siempre, por lo tanto debe estar exento de IPSec La inspección de paquetes TCP y UDP u otros encabezados, puede se menos efectiva o no funcionar debido al encapsulamiento IPSec y el cifrado Ipsec no securiza tráfico multicast y broadcast

Monitorización de IPSec

Windows Server 2008, 2008R2, Windows 7, Windows Vista y Windows XP incorporan una consola de monitorización de sesiones IPsec. Se pueden observar los modos rápido y normal, así como el número de paquetes enviados o recibidos con seguridad Para acceder a la consola: Inicio > Ejecutar > MMC > Agregar complemento > Monitor de IPSec Desde la consola de Firewall Avanzado (Supervisión)

IPSec en arquitecturas VPN

Las redes VPN (Red privada virtual) son conexiones de punto a punto a lo largo de redes públicas o compartidas como Internet. Se utilizan protocolos de tunneling para encapsular los paquetes y emular una conexión dedicada y privada Existen dos tipos de conexiones VPN Acceso remoto VPN Conexión VPN de sitio a sitio

Windows Server 2008 soporta 3 modos de conexión VPN por defecto PPTP L2TP/IPsec SSTP Se requiere instalar el rol Network Policy and Access Server Funcionalidad Routing and Remote Access Una vez instalado es necesario configurarlo como servidor VPN

Protocolos de tunneling (PPTP) Permite que el trafico se cifre y se encapsule en un encabezado IP PPTP encapsula paquetes PPP en datagramas IP El paquete PPP se cifra utilizando MPPE (Microsoft Point to Point Encryption) con claves generadas del proceso de autenticación MS-CHAPv2 o EAP-TLS

Protocolos de tunneling (L2TP) Cifra y encapsula tráfico multiprotocolo para su envío a través de redes IP L2TP no utiliza MPPE, sino que se apoya en IPSec en modo de transporte El encapsulamiento consiste en dos capas: 1. El paquete PPP se encapsula con un encabezado L2TP y un encabezado UDP 2. El mensaje resultante se encapsula con IPSec y ESP y finalmente se crea el encabezado IP para su envío. L2TP cifra con DES o 3DES con claves generadas en el proceso IKE de negociación

Protocolos de tunneling (SSTP) Nuevo protocolo que utiliza HTTP sobre TCP para pasar el tráfico a través de firewalls y proxies Encapsula paquetes PPP sobre SSL Solo se puede utilizar con equipos Windows Vista SP1 Windows Server 2008

L2TP/IPSec se puede implementar de dos modos: Clave previamente compartida (menos seguro) Certificados El modo de certificados requiere una infraestructura PKI y certificados de equipo en el cliente y servidor

Troubleshooting (Windows 2003 / XP)
Habilitar el log IKE. HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\PolicyAgent\Oakley\EnableLogging REG_DWORD con valor 1. En Windows 2003: netsh ipsec dynamic set config ikelogging 1 Parar e iniciar el servicio de seguridad IP: net stop policyagent net start policyagent Reproducir el problema y analizar el log systemroot\Debug\Oakley.log.

Troubleshooting (Windows 2008 / Vista)
Habilitar la clave de registro HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Ikeext\Parameters\EnableLogging DWORD con valor EnableLogging en 1. Parar e iniciar el servicio "IKE and AuthIP Ipsec Keying Modules" (IKEEXT) service. NET STOP IKEEXT NET START IKEEXT Reproducir el problema Parar el servicio IKEEXT Revisar el l"Event Trace Log" %SystemRoot%\System32\Ikeext.etl El formato ETL es binario, por lo que se requiere de una herramienta adicional incluida en el Windows XP Support Tools pack para su interpretación tracefmt.exe. Con privilegios administrativos ejecutar: tracefmt.exe %SystemRoot%\System32\Ikeext.etl -tmf %SystemRoot%\System32\wfp.tmf -o %TEMP%\wfpdiag.txt Se crea el archivo wfpdiag.txt que es similar a oakley.log en Windows 2000/XP

Troubleshooting Microsoft IPSec Diagnostics Tool
Herramienta gráfica de diagnóstico y revisión de logs 2 modos de diagnóstico Local Remoto Opción de Live Troubleshooting

Boletín quincenal TechNews

Contactos Informática 64 http://www.informatica64.com
Ignacio Sánchez-Beato Paredes

Windows Server 2008 R2 Implantación de IPSec

Presentaciones similares

Presentación del tema: "Windows Server 2008 R2 Implantación de IPSec"— Transcripción de la presentación:

Presentaciones similares

Sobre el proyecto

Feedback

Iniciar la sesión

Autorizarse a través de una red social:

Windows Server 2008 R2 Implantación de IPSec

Presentaciones similares

Presentación del tema: "Windows Server 2008 R2 Implantación de IPSec"— Transcripción de la presentación:

Presentaciones similares

Sobre el proyecto

Feedback