Virtual Private Network CaFeLUG Briefing Trimestral Bco. Credicoop Abril 2003 Conceptos e Implementación

Introducción Qué es una VPN? Túneles para VPN (Protocolos) SSH y PPP PPTP (Point-to-Point Tunneling Protocol ) L2TP (Layer Two Tunneling Protocol) L2TP / IPsec CIPE (Crypto IP Encapsulation) IPSec (IP security)

Ventajas y Limitaciones de IPSec Ventajas Protege servicios de más alto nivel No se necesita cambiar las aplicaciones A Bajo nivel provee alto nivel de encriptación Limitaciones No puede ser seguro si su sistema no lo es No Provee seguridad a nivel End-To- End (PGP, SSL, SSH) Autentifica máquinas no Usuarios No Detiene ataques DOS No puede evitar el análisis de tráfico

Ipsec - IP security Qué hace IPSec? Provee Encriptación y Autentificación a nivel de IP Protección de cualquier tráfico sobre IP Integridad de los datos Cómo Trabaja? Protocolos AH (Authentication Header) ESP (Encapsulating Security Payload) IKE (Internet Key Exchange)

IKE - AH – ESP IKE – Setup IPSec (AH – ESP) Usa UDP en Puerto 500 ISAKMP (RFC 2408) Internet Security Asociation and Key Management Protocol Negocia las conexiones y define un SA (Security Asociations) Obtenido IPSec SA realiza la encriptación de AH y/o ESP AH – ESP Algoritmos de Autentificación HMAC (Hashed Message Authentication Code) MD5 (Message Diget Algorithm) SHA (Secure Hash Algorithm) Algoritmos de Encriptación DES, 3DES (Data Encryption Standard)

Modos de IPSec Tunel Mode Actúa como Gateway Transport Mode Host-to-Host

Implementación en Linux FreeS/WAN (Desarrollado en Canadá ) Partes de FreeS/WAN KLIPS (KerneL IP SEC Support) Encriptación Cálculos de Autentificación Creación de ESP y AH para paquetes salientes Interpretación de los paquetes entrantes Pluto daemon que implementa IKE Crea IPsec SAs y pasa los datos requeridos por KLIPS Ajusta el setup de ruteo y firewall requeridos por IPSec

Tipos de Conexión IPSec VPN Comunicación entre sitios Road Warriors Conexiones móviles o desde la casa hacia la oficina

IPSec y Firewall Puertos requeridos UDP port 500 para IKE Negociación 50 Si se usa encriptación y/o autentificación (Caso Típico) 51 Si se usa AH (autentificación a nivel de paquete AH)

Conjunto Simple de reglas # Permitir conexión Psec # Negociación IKE iptables -A INPUT -p udp --sport dport 500 -j ACCEPT iptables -A OUTPUT -p udp --sport dport 500 -j ACCEPT # Encriptación y autentificación ESP iptables -A INPUT -p 50 -j ACCEPT iptables -A OUTPUT -p 50 -j ACCEPT # Descomentar si se desea autentificación AH # iptables -A INPUT -p 51 -j ACCEPT # iptables -A OUTPUT -p 51 -j ACCEPT

NAT Complicación Cualquier intento de hacer operaciones de NAT sobre paquetes IPSec entre Gateways crea conflictos IPsec desea autentificar paquetes y asegurar que ellos no han sido alterados en la conexión Gategay-to-Gateway NAT reescribe los headers de los paquetes La autentificación IPsec falla si el paquete es reescrito

Consideraciones generales Interoperabilidad (VMPC) Perfomance Wireless (WEP) Cada Work Station deberá tener un túnel Reducción de costos (uso de Banda ancha cable o Adsl) Escalabilidad Disponibilidad Distribuciones Linux Debian Redhat SuSE Slackware Caldera