La descarga está en progreso. Por favor, espere

La descarga está en progreso. Por favor, espere

Servicio de VPN VPN de cuarentena Juan Luis García Rambla Código: HOL-ISA02.

Presentaciones similares


Presentación del tema: "Servicio de VPN VPN de cuarentena Juan Luis García Rambla Código: HOL-ISA02."— Transcripción de la presentación:

1 Servicio de VPN VPN de cuarentena Juan Luis García Rambla Código: HOL-ISA02

2 Agenda Introducción. Servicios VPN. RRAS. Soluciones VPN con ISA Server VPN de cuarentena.

3 Introducción

4 VPN define una Virtual Private Network o Red Privada Virtual. Básicamente una VPN establece una conexión segura a través de un medio inseguro como pueda ser Internet. Cualquier red que utilice conexiones IP puede considerarse una VPN.

5 Clasificación Según el punto de terminación. –Basadas en el CE (overlay). –Basadas en el PE (peer-to-peer). Según el tráfico de cliente transportado. –VPN de nivel 3. –VPN de nivel 2. Según el tipo de red del proveedor. –IP, IP/MPLS, ATM, Frame Relay, SONET/SDH, red telefónica, etc. Según la tecnología de túneles. –Túneles IPSec, L2TP, PPTP, MPLS-LSP, ATM-VP/VC. –Frame Relay VC, SONET/SDH VT, PPP/Dial-up. Número de sedes conectadas. –Punto a punto: 2 sedes. –Multipunto: más de dos sedes.

6 Evolución 1ª Generación: Terminadas en el CE y basadas en líneas dedicadas que se alquilaban al proveedor. 2ª Generación: Terminadas en el CE a base de circuitos virtuales ATM/Frame Relay sobre una red de conmutación de paquetes del proveedor. 3ª Generación: Los proveedores ofrecen servicios para gestionar los routers del cliente usados en las terminaciones en el CE. 4ª Generación: VPNs de nivel 3 terminadas en el PE y basadas en IP/MPLS. 5ª Generación: VPNs de nivel 2 terminadas en el PE y basadas en IP/MPLS.

7 Topologías N2. FR y ATM IP X.25ATM Frame Relay VPN de Nivel 2 Frame Relay y ATM. Definición estática de Circuitos Virtuales (PVCs). Encaminamiento basado en DLCI. No proporcionan ni autenticación ni cifrado. Escalabilidad y Flexibilidad Limitadas. Frame Relay y ATM. Definición estática de Circuitos Virtuales (PVCs). Encaminamiento basado en DLCI. No proporcionan ni autenticación ni cifrado. Escalabilidad y Flexibilidad Limitadas.

8 Topologías basadas en túneles N2 –Establecimiento y validación previo a la consecución del túnel. –Aparecen diversos procesos de encapsulamiento que introducen un mayor overhead dentro de la red. –No existe QoS. PPP IP Layer-2 Transport Protocol (L2TP) Layer-2 Forwarding (L2F) Point-to-Point Tunneling Protocol (PPTP) IP

9 Topologías basadas en túneles N3 VPN de Nivel 3. IPSec Túneles GRE y sobre todo IPSec. Autenticación y cifrado de los datos en Internet. Encaminamiento basado en IP del túnel. Aceleración de cifrado por HW y SW. Túneles GRE y sobre todo IPSec. Autenticación y cifrado de los datos en Internet. Encaminamiento basado en IP del túnel. Aceleración de cifrado por HW y SW. Generic Routing Encapsulation (GRE) IP Security (IPSec) IP

10 Servicio de VPN

11 Características de las VPN Se requiere de un encapsulado capaz de proveernos de: –Autenticación. Usuario. Equipo. Datos. –Compresión de datos. –Cifrado de datos. –Direccionamiento dinámico. –Resolución de nombres. –Gestión de claves. –Soporte Multiprotocolo (IP, IPX, etc…).

12 Encapsulado Poner un paquete dentro de otro. Se encapsulan o envuelven los datos con otra cabecera con información de enrutamiento para que puedan atravesar una red publica hasta su destino. Puede encapsularse trafico a dos niveles del modelo OSI. –Nivel 2: encapsulan tramas al nivel de conexión. PPTP. L2F. L2TP. –Nivel 3: encapsulan paquetes al nivel de red. IPSEC.

13 Protocolos de encapsulado Nivel 2 Point to Point Tunneling Protocol (PPTP). –Microsoft, Ascend, otros.. Layer Two Forwarding (L2F). –Propuesto por Cisco. Layer Two Tunneling Protocol (L2TP). –Unifica PPTP y L2F en un único estándar para VPN.

14 Protocolos de túnel PPTP. –Desarrollado por Microsoft, es un estándar de facto. –Esta ampliamente implementado y existen varias implementaciones compatibles. –Suficientemente seguro para casi todas las aplicaciones. L2TP. –Estándar de la Internet Engineering Task Force (IETF). –Unión. –Algunos problemas de interoperabilidad. Tanto PPTP como L2TP utilizan PPP por debajo, lo que les proporciona gran parte de los requerimientos necesarios.

15 PPP Diseñado para enviar datos a través de conexiones bajo demanda o punto a punto. Encapsula Paquetes IP. Cuatro fases en la negociación de la conexión: 1.Establecimiento de la conexión (LCP). 2.Autenticación de usuario (PAP, CHAP, MS-CHAP, MS-CHAPv2, EAP). 3.Control de devolución de llamada (CBCP). 4.Protocolos de nivel de Red (IPCP, CCP, MPPC, MPPE). Fase de transmisión de Datos. Se encapsula los datos con una cabecera PPP y se comprimen y cifran según lo acordado en fase 1 y negociado en la fase 4.

16 PPTP Proporciona tunelación a las tramas PPP. Utiliza la seguridad de PPP para asegurar las comunicación sobre el túnel. –Autenticación de usuario PPP (PAP, CHAP, MS-CHAP, MS-CHAPv2, EAP). –Confidencialidad y cifrado PPP (MPPE). RC4 con claves de 40 o 128 bits.

17 PPTP-Tipos de Tramas Control 1.Creación de un control de conexión PPTP Conexión lógica que representa el túnel PPTP. El servidor utiliza el puerto TCP 1723 y el cliente un puerto dinámico. Determina los ID de la cabecera GRE entre cliente y servidor que identifican el túnel PPTP específico. 2.Mantenimiento del control de conexión PPTP 3.Finalización del control de conexión PPTP Datos Encapsulado y transmisión de datos PPP mediante (GRE). Generic Routing Encapsulation

18 PPTP-Conexiones Servidor RAS PPTP ID Protocolo IP (GRE) Conexión de Datos Puerto TCP 1723 Control de Conexión Internet Pc Remoto

19 L2TP Combina PPTP y L2F en un único estándar para VPN propuesto por la IETF. –Encapsula tramas PPP que pueden ser enviadas a través de IP, X.25, Frame Relay o ATM. –El estándar permite que se pueda utilizar la seguridad de PPP para asegurar las comunicación sobre el túnel. Autenticación PPP. Confidencialidad y cifrado PPP (MPPE). La Implementación de Microsoft, no utiliza PPP para asegurar las comunicaciones. Utiliza IPSEC, lo que da lugar a L2TP/IPSec.

20 L2TP/IPSec Encapsulado L2TP de la trama PPP. Encapsulado IPSec del mensaje L2TP. Cifrado IPSEc del contenido de los paquetes L2TP. De los protocolos de IPSec (AH y ESP) se utiliza ESP (Encapsulating Security Payload).

21 Encapsulado L2TP/IPSec sobre IP L2TP Interface Encapsulado PPP UDP Interface IP Header TCP Header Payload Data PPP Header L2TP Header IP Header TCP Header Payload Data PPP Header IP Header TCP Header Payload Data IP Header TCP Header Payload Data PPP Header L2TP Header UDP Header Paquete TCP/IP Ehernet IP Header TCP Header Payload Data PPP Header L2TP Header UDP Header IPSec ESP Header IPSec Inteface IP Inteface IP Header TCP Header Payload Data PPP Header L2TP Header UDP Header IPSec ESP Header IP Header IPSec ESP Trailer IPSec ESP Trailer IPSec AUTH Trailer IPSec AUTH Trailer

22 L2TP/IPSec: Fases 1.Negociación de las SA de IPSec para el trafico L2TP SA en modo principal: Autenticación IPSec. SA en modo secundario: Se establece el nivel y modo de cifrado de los datos. 2.Negociación de la Conexión L2TP. Se establece el control de conexión y la sesión L2TP. 3.Negociación de la Conexión PPP. Establecimiento de la conexión (LCP). Autenticación de usuario (PAP, CHAP, MS-CHAP, MS-CHAPv2, EAP). Protocolos de nivel de Red (IPCP, CCP, MPPC, MPPE).

23 Autenticación PPTP –Autenticación a nivel de Usuario proporcionada por PPP. L2TP/IPSec –Autenticación a nivel de Usuario proporcionada por PPP. –Autenticación a nivel de máquina proporcionada por IPSec. Claves preestablecidas. Certificados Digitales de máquina.

24 Metodos de Autenticación Password Authentication Protocol (PAP). –Envía la password en texto claro. Shiva Password Authentication Protocol (SPAP). –Utiliza cifrado reversible. Challenge Handshake Authentication Protocol (CHAP). –Utiliza MD5 para proporcionar autenticación mediante desafío-respuesta. –Requiere almacenar las contraseñas con cifrado reversible en el servidor (DC). MS-CHAP. –Existen debilidades conocidas.

25 Metodos de Autenticación MS-CHAP v2. –Versión mejorada de MS-CHAP. –Usada frecuentemente. –Desde el punto de vista del cifrado es mas fuerte que PAP, CHAP, MS-CHAP. –Recomendada cuando no es posible implementar EAP- TLS.

26 Metodos de Autenticación EAP –Extensible Authentication Protocol –Soporta varios tipos de Autenticación EAP-MD5: Desafió/Respuesta. No muy seguro. EAP-TLS: Basado en cerificados; requiere pertenencia a un dominio; diseñado para ser utilizado con Smart Cards EAP-RADIUS: Mecanismo proxy de reenvió de datos en un formato EAP especifico a un servidor RADIUS –El tipo a utilizar se puede especificar en el servidor o mediante políticas a un grupo especifico de usuarios.

27 Metodos de Autenticación PEAP: Protected EAP –Proteje las negociaciones EAP envolviéndolas con TLS. –Se usa solo para conexiones wireless Soporta reconexiones rpáidas para entornos grandes con roaming. –Puede usar PEAP plus EAP-MS-CHAPv2: añade autenticación mutua; requiere que el cliente confíe en los certificados del servidor; fácil de implementar. EAP-TLS: muy seguro; requiere una infraestructura PKI.

28 Enrutamiento y acceso remoto

29 Soluciones de VPN microsoft. Microsoft presenta tecnología VPN de nivel 2 y las implementa vía software mediante los siguientes productos. –Familia de Servidores Windows. NT 4.0. Instalado SP3 y Option Pack. Windows Con RRAS + IAS (RADIUS). Windows Con RRAS + IAS (RADIUS). –ISA Server 2000/2004.

30 RRAS Este servicio multipropósito presenta diferentes soluciones relativas a comunicaciones: –Acceso remoto mediante marcado. –Soluciones VPN. –Enrutamiento. –NAT.

31 Enrutamiento y acceso remoto Enrutamiento y acceso remoto combina los servicios de enrutamiento IP y de redes privadas virtuales (VPN). Enrutamiento IP. –Estático, Routing Information Protocol (RIP) v1, RIP v2, Open Shortest Path First (OSPF). –Asignación de IP mediante DHCP a los clientes de VPN. –Conexiones de marcado bajo demanda a sedes remotas. VPN. –Point-to-Point Tunneling Protocol (PPTP). –Layer 2 Tunneling Protocol (L2TP).

32 Soluciones de clientes Windows 98. Windows Milenium. Windows NT 4.0. Windows Windows XP. Windows 98, NT y Milenium necesitan un cliente para VPN con L2TP/IPSec. etins/l2tpclient.asp

33 Autentificación y conexión El servicio de RRAS permite la conexión de clientes mediante un sistema de políticas. La política por defecto deniega cualquier tipo de conexión a todos los usuarios. El sistema permite la autentificación mediante el servicio de Radius.

34 RADIUS RADIUS esta definido en las RFC 2865 y 2866 de la IETF. Protocolo Simple. 1.El cliente envía una petición de inicio de sesión al servidor RRAS. 2.El servidor RRAS envía una solicitud de acceso RADIUS al servidor IAS. El IAS puede actuar de proxy y reenviar la solicitud. El IAS puede usar las credenciales para solicitar una autenticación local o a un controlador de dominio. 3.El IAS devuelve un mensaje de Acceso-Permitido o Acceso-Denegado a el servidor RRAS. 4.El servidor RRAS acepta o deniega la conexión del cliente.

35 Introducción a IAS Internet Authentication Service (IAS) es la implementación del servidor RADIUS de Microsoft. Principales características. –Interoperabilidad RADIUS con Juniper, Cisco, Linux, etc. –Integración con Active Directory® para autenticación y autorización. –Soporta EAP (Extensible Authentication Protocol). –Soporta políticas de acceso remoto. –Depende de una clave compartida.

36 Soluciones de VPN en ISA Server 2004

37 VPN Establece un nivel de seguridad para asegurar la comunicación a través de un sistema inseguro. ISA Server permite una integración de las conexiones remotas con la solución firewall. Las VPN están sujetas a las reglas de la red.

38 Consola de administración VPN

39 Conexiones VPN Túneles VPN. –Conexión de redes mediante VPN. –Gestión como red integrada. Conexiones clientes VPN. –Soporte multiprotocolo. –Soporte extendido de autenticación. Soporte de red de cuarentena. –Integrada con Isa Server –Integrada con IAS mediante políticas.

40 Características VPN Control de la conexión y seguridad. Establecimiento de reglas y clientes. Balanceo de carga con VPN en ISA Puesta en cuarentena de las conexiones de VPN hasta el cumplimiento de las condiciones que se establecen.

41 Clientes VPN Pueden establecerse como cliente cualquier S.O. de la familia Windows. Hay soporte para los protocolos de comunicaciones PPTP y L2TP. Se pueden establecer diferentes sistemas de autentificación para clientes remotos: PAP, CHAP, MS- CHAP, MS-CHAP v2, SPAP y EAP

42 Conexión de Sitios mediante VPN Establece una conexión entre dos sedes mediante una conexión VPN. La conexión puede establecerse mediante: –PPTP. –L2TP/IPSEC. –Túnel IPSEC. Se deben establecer las credenciales que garanticen el inicio de sesión para cada sitio correspondiente.

43 VPN de cuarentena

44 Introducción Permite a los administradores restringir el acceso a la red de VPN hasta que un script o comando se ejecute en la maquina cliente. El sistema diferencia las redes VPN de los clientes de cuarentena.

45 Cliente :Conecta Servidor: Nuevo cliente agregado a la red de cuarentena Cliente :Ejecuta scripts para comprobar que la máquina es segura Cliente: Securizado? Cliente :Envía Clear Quarantine al servidor Servidor: Mover el cliente a la red VPN clients Cliente : Notifica al usuario que acciones debe realizar SI NO Cuarentena – Paso a Paso

46 Máquinas clientes fortificadas. –Todas las máquinas deben ser seguras antes de acceder a la red corporativa. Ej: Tener Antivirus actualizado. No fortificadas – Hazlas seguras. –Si la máquina cliente no es segura – puede acceder a la red corporativa? SI – pero únicamente a los recursos necesarios para hacerla segura (servidor Anti Virus…). Cuarentena - Objetivos

47 Cuarentena - Requerimientos Servidor. –Windows Server 2003 Routing and Remote Access Listener that receives script messages. Rqs.exe del Kit de Recursos de Windows Server 2003 o directamente con el SP1. Se pueden escribir scripts personalizados. –ISA Server Cliente. –Microsoft® Windows® 98 Second Edition o posterior. –Connection Manager Admin Kit (CMAK) profile. –Script con los requerimientos de la Política.

48 FW / VPN Gateway. Red de clientes cuarentena. Espera que el cliente señalice que está securizado. Cliente. Comprueba que el cliente está securizado. Señaliza al servidor que el cliente es seguro o no. Notifica al usuario que el cliente no está securizado. No protege contra usuarios maliciosos. Cuarentena – Módulos cliente y servidor

49 Servidor ISA Server 2004 Controla el acceso: –Políticas Radius. –Políticas ISA. Delimita el tiempo máximo de conexión. Establece excepciones.

50 Basado en CMAK de Windows Server Ejemplos en ISA Server 2004 SDK: –Paquete cliente. Durante la conexión, descargar nuevos scripts del servidor. Ejecutar scripts en el cliente. Enviar notificación clear quarantine al servidor. –Scripts: Comprobar AV, configurar ICF. Cuarentena – Paquete cliente

51 Boletín quincenal TechNews

52 Contactos Informática 64 –http://www.informatica64.comhttp://www.informatica64.com – Profesor


Descargar ppt "Servicio de VPN VPN de cuarentena Juan Luis García Rambla Código: HOL-ISA02."

Presentaciones similares


Anuncios Google