La descarga está en progreso. Por favor, espere

La descarga está en progreso. Por favor, espere

ISA Server 2K6 VPNs Chema Alonso Microsoft MVP Windows Security

Presentaciones similares


Presentación del tema: "ISA Server 2K6 VPNs Chema Alonso Microsoft MVP Windows Security"— Transcripción de la presentación:

1 ISA Server 2K6 VPNs Chema Alonso Microsoft MVP Windows Security

2 Definición VPN = Virtual Private Network o Red Privada Virtual Utilizar una infraestructura pública compartida para ofrecerle a un cliente las facilidades y ventajas de una red privada

3 Topologías existentes Redes Virtuales VPN LAN Virtuales Redes Acopladas (Peer) VPNs con MPLS GRE VPNs nivel 3 IPSec Redes Superpuestas VPNs nivel 2 ATMF/RX.25

4 Características de las VPN Se requiere de un encapsulado capaz de proveernos de: –Autenticación Usuario Equipo Datos –Compresión de datos –Cifrado de datos –Direccionamiento dinámico –Resolución de nombres –Gestión de claves –Soporte Multiprotocolo (IP, IPX, etc…)

5 Encapsulado Poner un paquete dentro de otro Se encapsulan o envuelven los datos con otra cabecera con información de enrutamiento para que puedan atravesar una red publica hasta su destino. Puede encapsularse trafico a dos niveles del modelo OSI. –Nivel 2: encapsulan tramas al nivel de conexión PPTP L2F L2TP –Nivel 3: encapsulan paquetes al nivel de red IPSEC

6 Protocolos de encapsulado Nivel 2 Point to Point Tunneling Protocol (PPTP) –Microsoft, Ascend, otros.. Layer Two Forwarding (L2F) –Propuesto por Cisco Layer Two Tunneling Protocol (L2TP) –Unifica PPTP y L2F en un único estándar para VPN

7 VPN en el Modelo OSI 1.Físico 2. Conexión 3. Red 4. Transporte 5. Sesión SSL IPSEC PPTP L2TP Soluciones VPN

8 Microsoft y las VPN

9 PPP Diseñado para enviar datos a través de conexiones bajo demanda o punto a punto. Encapsula Paquetes IP Cuatro fases en la negociación de la conexión: 1.Establecimiento de la conexión (LCP) 2.Autenticación de usuario (PAP, CHAP, MS-CHAP, MS- CHAPv2, EAP) 3.Control de devolución de llamada (CBCP) 4.Protocolos de nivel de Red (IPCP, CCP, MPPC, MPPE) Fase de transmisión de Datos. Se encapsula los datos con una cabecera PPP y se comprimen y cifran según lo acordado en fase 1 y negociado en la fase 4

10 PPP en conexiones directas Conexión sobre una línea dedicada PPP Proporciona conexión Punto a Punto Trama PPP Servidor Cliente

11 Protocolos de túnel PPTP –Desarrollado por Microsoft, es un estándar de facto –Esta ampliamente implementado y existen varias implementaciones compatibles –Suficientemente seguro para casi todas las aplicaciones L2TP –Estándar de la Internet Engineering Task Force (IETF) –Unión –Algunos problemas de interoperabilidad. Tanto PPTP como L2TP utilizan PPP por debajo, lo que les proporciona gran parte de los requerimientos necesarios.

12 PPP en conexiones enrutadas Conexión sobre Internet Trama PPP PPP Limitado al primer enlace de la red Servidor Cliente Router

13 PPP en conexiones enrutadas Conexion sobre Internet Tunelizado: Tramas PPP Encapsuladas en Packetes IP Servidor Cliente Router Tunelizado Proporciona Tansmision de Tramas Punto a Punto Sobre Internet

14 PPTP Proporciona Tunelizado a las tramas PPP. Utiliza la seguridad de PPP para asegurar las comunicación sobre el túnel. –Autenticación de usuario PPP (PAP, CHAP, MS-CHAP, MS-CHAPv2, EAP) –Confidencialidad y cifrado PPP (MPPE). RC4 con claves de 40 o 128 bits

15 PPTP-Tipos de Tramas Control 1.Creación de un control de conexión PPTP Conexión lógica que representa el túnel PPTP. El servidor utiliza el puerto TCP 1723 y el cliente un puerto dinámico. Determina los ID de la cabecera GRE entre cliente y servidor que identifican el túnel PPTP específico. 2.Mantenimiento del control de conexión PPTP 3.Finalización del control de conexión PPTP Datos Encapsulado y transmisión de datos PPP mediante (GRE). Generic Routing Encapsulation

16 PPTP-Conexiones Servidor RAS PPTP ID Protocolo IP (GRE) Conexión de Datos Puerto TCP 1723 Control de Conexión Internet Pc Remoto

17 PPTP Interface Encapsulado PPP IP Interface IP Header TCP Header Payload Data PPP Header IP GRE Header IP Header TCP Header Payload Data PPP Header IP Header TCP Header Payload Data IP Header TCP Header Payload Data PPP Header IP GRE Header IP Header Paquete TCP/IP Ehernet

18 L2TP Combina PPTP y L2F en un único estándar para VPN propuesto por la IETF –Encapsula tramas PPP que pueden ser enviadas a través de IP, X.25, Frame Relay o ATM –El estándar permite que se pueda utilizar la seguridad de PPP para asegurar las comunicación sobre el túnel. Autenticación PPP Confidencialidad y cifrado PPP (MPPE) La Implementación de Microsoft, no utiliza PPP para asegurar las comunicaciones. Utiliza IPSEC, lo que da lugar a L2TP/IPSec

19 L2TP sobre IP L2TP Interface Encapsulado PPP UDP Interface IP Header TCP Header Payload Data PPP Header L2TP Header IP Header TCP Header Payload Data PPP Header IP Header TCP Header Payload Data IP Header TCP Header Payload Data PPP Header L2TP Header UDP Header Paquete TCP/IP Ehernet IP Header TCP Header Payload Data PPP Header L2TP Header UDP Header IP Header IP Inteface

20 L2TP/IPSec Encapsulado L2TP de la trama PPP Encapsualdo IPSec del mensaje L2TP Cifrado IPSEc del contenido de los paquetes L2TP De los protocolos de IPSec (AH y ESP) se utiliza ESP (Encapsulating Security Payload)

21 Encapsulado L2TP/IPSec sobre IP L2TP Interface Encapsulado PPP UDP Interface IP Header TCP Header Payload Data PPP Header L2TP Header IP Header TCP Header Payload Data PPP Header IP Header TCP Header Payload Data IP Header TCP Header Payload Data PPP Header L2TP Header UDP Header Paquete TCP/IP Ehernet IP Header TCP Header Payload Data PPP Header L2TP Header UDP Header IPSec ESP Header IPSec Inteface IP Inteface IP Header TCP Header Payload Data PPP Header L2TP Header UDP Header IPSec ESP Header IP Header IPSec ESP Trailer IPSec ESP Trailer IPSec AUTH Trailer IPSec AUTH Trailer

22 L2TP/IPSec: Fases 1.Negociación de las SA de IPSec para el trafico L2TP SA en modo principal Autenticación IPSec SA en modo secundario Se establece el nivel y modo de cifrado de los datos. 2.Negociación de la Conexión L2TP Se establece el control de conexión y la sesión L2TP 3.Negociación de la Conexión PPP Establecimiento de la conexión (LCP) Autenticación de usuario (PAP, CHAP, MS-CHAP, MS-CHAPv2, EAP) Protocolos de nivel de Red (IPCP, CCP, MPPC, MPPE)

23 L2TP / IPSec ESP Trailer IP Hdr UDPL2TPPayload ESP Hdr ESP Auth Normalmente Cifrado Cobertura del chequeo de Integridad AdjuntarAdjuntar PPP UDP Hdr L2TP Hdr PPP Payload PPP Hdr Trama PPP PPP Payload PPP Hdr El cifrado es con DES o 3DES con las claves que se obtienen de la negociación de las SA en modo secundario

24 Autenticación PPTP –Autenticación a nivel de Usuario proporcionada por PPP L2TP/IPSec –Autenticación a nivel de Usuario proporcionada por PPP –Autenticación a nivel de máquina proporcionada por IPSec Claves preestablecidas (No recomendado) Certificados Digitales de máquina.

25 Metodos de Autenticación NO RECOMENDADOS Password Authentication Protocol (PAP) –Envía la password en texto claro. –NO RECOMEDADO Shiva Password Authentication Protocol (SPAP) –Utiliza cifrado reversible –NO RECOMNDADO Challenge Handshake Authentication Protocol (CHAP) –Utiliza MD5 para proporcionar autenticación mediante desafio- respuesta –Requiere almacenar las contraseñas con cifrado reversible en el servidor (DC) –NO RECOMENDADO MS-CHAP –Existen debilidades conocidas NO RECOMENDADO

26 Metodos de Autenticación RECOMENDADO MS-CHAP v2 –Versión mejorada de MS-CHAP –Usada frecuentemente –Desde el punto de vista del cifrado es mas fuerte que PAP, CHAP, MS-CHAP –Recomendada cuando no es posible implementar EAP-TLS

27 Metodos de Autenticación RECOMENDADO EAP –Extensible Authentication Protocol –Soporta varios tipos de Autenticación EAP-MD5: Desafió/Respuesta. No muy seguro. EAP-TLS: Basado en cerificados; requiere pertenencia a un dominio; diseñado para ser utilizado con Smart Cards EAP-RADIUS: Mecanismo proxy de reenvió de datos en un formato EAP especifico a un servidor RADIUS –El tipo a utilizar se puede especificar en el servidor o mediante políticas a un grupo especifico de usuarios.

28 Metodos de Autenticación RECOMENDADO PEAP: Protected EAP –Proteje las negociaciones EAP envolviendolas con TLS –Se usa solo para conexiones wireless Soporta reconexiones rapidas para entornos grandes con roaming –Puede usar PEAP plus EAP-MS-CHAPv2: añade autenticación mutua; requie que el cliente confie en los certificados del servidor; facil de implementar. EAP-TLS: Muy seguro; requiere una infraestructura PKI –Hay documentación completa de como implementarlo en la Web de TechNet

29 VPN para acceso remoto de clientes

30 VPN conexión entre sedes

31 DEMOS VPN para acceso remoto de clientes VPN entre sedes

32 Intelligent Application Gateway Client High-Availability, Management, Logging, Reporting, Multiple Portals Authentication Authorization User Experience Tunneling Security Specific Applications Web Client/Server Java/Browser Embedded Exchange/ Outlook OWA SharePoint /Portals Citri x Generic Applications Application Aware Modules SSL VPN Gateway Applications Knowledge Centre OWA … ………... Citrix …….. Sharepoint. ……….... Devices Knowledge Centre PDA ….... Linux …….. Windows. ………... MAC …..... ISO7799 Corporate Governance SarbOx Basel2 Policy & Regulation Awareness Centre WHO? WHAT? WHERE? COMPLIANT?

33 Referencias Virtual Private Networks for Windows Server king/vpn/default.mspx king/vpn/default.mspx Layer Two Tunneling Protocol in Windows The Cable Guy mspx mspx PPTP Traffic Analysis - The Cable Guy mspx mspx VPN Quarantine Sample Scripts for Verifying Client Health Configurations 2ee-0b55-491e-bc4c b2462&displaylang=en 2ee-0b55-491e-bc4c b2462&displaylang=en

34 RFC 3947 : the official NAT-T standardRFC 3947 RFC 3715 : set the requirements for the NAT-T RFCRFC 3715 RFC 3948 : encapsulating IPsec ESP packets within UDPRFC 3948 Remote Access Quarantine Tool for ISA Server B2E-AB4D-1C44356CE37A&displaylang=en 4B2E-AB4D-1C44356CE37A&displaylang=en Windows98/ME/NT4 NAT-T Web download US/msl2tp.exe Referencias

35 TechNews Suscripción gratuita enviando un mail:

36

37 Contacto Chema Alonso Technews


Descargar ppt "ISA Server 2K6 VPNs Chema Alonso Microsoft MVP Windows Security"

Presentaciones similares


Anuncios Google