1 / 37

ISA Server 2K6 VPN’s

ISA Server 2K6 VPN’s. Chema Alonso Microsoft MVP Windows Security chema@informatica64.com www.informatica64.com www.elladodelmal.com. Definición. VPN = “Virtual Private Network” o Red Privada Virtual

neona
Télécharger la présentation

ISA Server 2K6 VPN’s

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. ISA Server 2K6 VPN’s Chema Alonso Microsoft MVP Windows Security chema@informatica64.com www.informatica64.com www.elladodelmal.com

  2. Definición • VPN = “Virtual Private Network” o Red Privada Virtual • Utilizar una infraestructura pública compartida para ofrecerle a un cliente las facilidades y ventajas de una red privada

  3. Topologías existentes Redes Acopladas (Peer) Redes Superpuestas VPNs nivel 2 VPNs nivel 3 VPNs con MPLS X.25 F/R ATM GRE IPSec Redes Virtuales LAN Virtuales VPN

  4. Características de las VPN • Se requiere de un encapsulado capaz de proveernos de: • Autenticación • Usuario • Equipo • Datos • Compresión de datos • Cifrado de datos • Direccionamiento dinámico • Resolución de nombres • Gestión de claves • Soporte Multiprotocolo (IP, IPX, etc…)

  5. Encapsulado • Poner un paquete dentro de otro • Se encapsulan o envuelven los datos con otra cabecera con información de enrutamiento para que puedan atravesar una red publica hasta su destino. • Puede encapsularse trafico a dos niveles del modelo OSI. • Nivel 2: encapsulan tramas al nivel de conexión • PPTP • L2F • L2TP • Nivel 3: encapsulan paquetes al nivel de red • IPSEC

  6. Protocolos de encapsulado Nivel 2 • Point to Point Tunneling Protocol (PPTP) • Microsoft, Ascend, otros.. • Layer Two Forwarding (L2F) • Propuesto por Cisco • Layer Two Tunneling Protocol (L2TP) • Unifica PPTP y L2F en un único estándar para VPN

  7. VPN en el Modelo OSI Soluciones VPN 5. Sesión 4. Transporte SSL 3. Red IPSEC 2. Conexión PPTP L2TP 1.Físico

  8. Microsoft y las VPN

  9. PPP • Diseñado para enviar datos a través de conexiones bajo demanda o punto a punto. • Encapsula Paquetes IP • Cuatro fases en la negociación de la conexión: • Establecimiento de la conexión (LCP) • Autenticación de usuario (PAP, CHAP, MS-CHAP, MS-CHAPv2, EAP) • Control de devolución de llamada (CBCP) • Protocolos de nivel de Red (IPCP, CCP, MPPC, MPPE) • Fase de transmisión de Datos. Se encapsula los datos con una cabecera PPP y se comprimen y cifran según lo acordado en fase 1 y negociado en la fase 4

  10. PPP en conexiones directas Trama PPP Conexión sobre una línea dedicada PPP Proporciona conexión Punto a Punto Cliente Servidor

  11. Protocolos de túnel • PPTP • Desarrollado por Microsoft, es un estándar de facto • Esta ampliamente implementado y existen varias implementaciones compatibles • Suficientemente seguro para casi todas las aplicaciones • L2TP • Estándar de la “Internet Engineering Task Force” (IETF) • Unión • Algunos problemas de interoperabilidad. • Tanto PPTP como L2TP utilizan PPP por debajo, lo que les proporciona gran parte de los requerimientos necesarios.

  12. PPP en conexiones enrutadas Trama PPP Conexión sobre Internet Router Router PPP Limitado al primer enlace de la red Cliente Servidor

  13. PPP en conexiones enrutadas Tunelizado Proporciona Tansmision de Tramas Punto a Punto Sobre Internet Tunelizado: Tramas PPP Encapsuladas en Packetes IP Conexion sobre Internet Router Router Cliente Servidor

  14. PPTP • Proporciona Tunelizado a las tramas PPP. • Utiliza la seguridad de PPP para asegurar las comunicación sobre el túnel. • Autenticación de usuario PPP (PAP, CHAP, MS-CHAP, MS-CHAPv2, EAP) • Confidencialidad y cifrado PPP (MPPE). RC4 con claves de 40 o 128 bits

  15. PPTP-Tipos de Tramas Control • Creación de un control de conexión PPTP • Conexión lógica que representa el túnel PPTP. • El servidor utiliza el puerto TCP 1723 y el cliente un puerto dinámico. • Determina los ID de la cabecera GRE entre cliente y servidor que identifican el túnel PPTP específico. • Mantenimiento del control de conexión PPTP • Finalización del control de conexión PPTP Datos • Encapsulado y transmisión de datos PPP mediante (GRE). Generic Routing Encapsulation

  16. PPTP-Conexiones ID Protocolo IP (GRE) Conexión de Datos Internet Pc Remoto Servidor RAS PPTP Puerto TCP 1723 Control de Conexión

  17. PPTP Paquete TCP/IP IP Header TCP Header Payload Data Encapsulado PPP PPP Header IP Header TCP Header Payload Data PPTP Interface IP GRE Header PPP Header IP Header TCP Header Payload Data IP Interface IP Header IP GRE Header PPP Header IP Header TCP Header Payload Data Ehernet

  18. L2TP • Combina PPTP y L2F en un único estándar para VPN propuesto por la IETF • Encapsula tramas PPP que pueden ser enviadas a través de IP, X.25, Frame Relay o ATM • El estándar permite que se pueda utilizar la seguridad de PPP para asegurar las comunicación sobre el túnel. • Autenticación PPP • Confidencialidad y cifrado PPP (MPPE) • La Implementación de Microsoft, no utiliza PPP para asegurar las comunicaciones. Utiliza IPSEC, lo que da lugar a L2TP/IPSec

  19. L2TP sobre IP Paquete TCP/IP IP Header TCP Header Payload Data Encapsulado PPP PPP Header IP Header TCP Header Payload Data L2TP Interface L2TP Header PPP Header IP Header TCP Header Payload Data UDP Interface UDP Header L2TP Header PPP Header IP Header TCP Header Payload Data IP Inteface IP Header UDP Header L2TP Header PPP Header IP Header TCP Header Payload Data Ehernet

  20. L2TP/IPSec • Encapsulado L2TP de la trama PPP • Encapsualdo IPSec del mensaje L2TP • Cifrado IPSEc del contenido de los paquetes L2TP • De los protocolos de IPSec (AH y ESP) se utiliza ESP (Encapsulating Security Payload)

  21. Encapsulado L2TP/IPSec sobre IP Paquete TCP/IP IP Header TCP Header Payload Data Encapsulado PPP PPP Header IP Header TCP Header Payload Data L2TP Interface L2TP Header PPP Header IP Header TCP Header Payload Data UDP Interface UDP Header L2TP Header PPP Header IP Header TCP Header Payload Data IPSec Inteface IPSec ESP Header UDP Header L2TP Header PPP Header IP Header TCP Header Payload Data IPSec ESP Trailer IPSec AUTH Trailer IP Inteface IP Header IPSec ESP Header UDP Header L2TP Header PPP Header IP Header TCP Header Payload Data IPSec ESP Trailer IPSec AUTH Trailer Ehernet

  22. L2TP/IPSec: Fases • Negociación de las SA de IPSec para el trafico L2TP • SA en modo principal • Autenticación IPSec • SA en modo secundario • Se establece el nivel y modo de cifrado de los datos. • Negociación de la Conexión L2TP • Se establece el control de conexión y la sesión L2TP • Negociación de la Conexión PPP • Establecimiento de la conexión (LCP) • Autenticación de usuario (PAP, CHAP, MS-CHAP, MS-CHAPv2, EAP) • Protocolos de nivel de Red (IPCP, CCP, MPPC, MPPE)

  23. L2TP / IPSec ESP Auth Trama PPP PPP Hdr PPP Payload UDP Hdr L2TP Hdr PPP Hdr PPP Payload Adjuntar Adjuntar IP Hdr ESP Hdr UDP L2TP PPP Payload ESP Trailer Normalmente Cifrado Cobertura del chequeo de Integridad • El cifrado es con DES o 3DES con las claves que se obtienen de la negociación de las SA en modo secundario

  24. Autenticación • PPTP • Autenticación a nivel de Usuario proporcionada por PPP • L2TP/IPSec • Autenticación a nivel de Usuario proporcionada por PPP • Autenticación a nivel de máquina proporcionada por IPSec • Claves preestablecidas (No recomendado) • Certificados Digitales de máquina.

  25. Metodos de AutenticaciónNO RECOMENDADOS • Password Authentication Protocol (PAP) • Envía la password en texto claro. • NO RECOMEDADO • Shiva Password Authentication Protocol (SPAP) • Utiliza cifrado reversible • NO RECOMNDADO • Challenge Handshake Authentication Protocol (CHAP) • Utiliza MD5 para proporcionar autenticación mediante desafio-respuesta • Requiere almacenar las contraseñas con cifrado reversible en el servidor (DC) • NO RECOMENDADO • MS-CHAP • Existen debilidades conocidas NO RECOMENDADO

  26. Metodos de AutenticaciónRECOMENDADO • MS-CHAP v2 • Versión mejorada de MS-CHAP • Usada frecuentemente • Desde el punto de vista del cifrado es mas fuerte que PAP, CHAP, MS-CHAP • Recomendada cuando no es posible implementar EAP-TLS

  27. Metodos de AutenticaciónRECOMENDADO • EAP • Extensible Authentication Protocol • Soporta varios tipos de Autenticación • EAP-MD5: Desafió/Respuesta. No muy seguro. • EAP-TLS: Basado en cerificados; requiere pertenencia a un dominio; diseñado para ser utilizado con Smart Cards • EAP-RADIUS: Mecanismo proxy de reenvió de datos en un formato EAP especifico a un servidor RADIUS • El tipo a utilizar se puede especificar en el servidor o mediante políticas a un grupo especifico de usuarios.

  28. Metodos de AutenticaciónRECOMENDADO • PEAP: Protected EAP • Proteje las negociaciones EAP envolviendolas con TLS • Se usa solo para conexiones wireless 802.11 • Soporta reconexiones rapidas para entornos grandes con roaming • Puede usar PEAP plus • EAP-MS-CHAPv2: añade autenticación mutua; requie que el cliente confie en los certificados del servidor; facil de implementar. • EAP-TLS: Muy seguro; requiere una infraestructura PKI • Hay documentación completa de como implementarlo en la Web de TechNet

  29. VPN para acceso remoto de clientes

  30. VPN conexión entre sedes

  31. DEMOS VPN para acceso remoto de clientes VPN entre sedes

  32. Intelligent Application Gateway Applications Knowledge Centre Policy & Regulation Awareness Centre Citrix …….. Corporate Governance OWA … ………... ISO7799 Sharepoint . ……….... Basel2 SarbOx Devices Knowledge Centre PDA ….... Linux …….. MAC …..... Windows . ………... Generic Applications WHAT? Web COMPLIANT? Java/Browser Embedded Tunneling Authentication Application Aware Modules Client/Server SSL VPN Gateway Security Authorization User Experience Specific Applications WHO? High-Availability, Management, Logging, Reporting, Multiple Portals Client Exchange/ Outlook OWA WHERE? SharePoint/Portals Citrix

  33. Referencias • Virtual Private Networks for Windows Server 2003http://www.microsoft.com/windowsserver2003/technologies/networking/vpn/default.mspx • Layer Two Tunneling Protocol in Windows 2000 - The Cable Guy http://www.microsoft.com/technet/community/columns/cableguy/cg0801.mspx • PPTP Traffic Analysis - The Cable Guy http://www.microsoft.com/technet/community/columns/cableguy/cg0103.mspx • VPN Quarantine Sample Scripts for Verifying Client Health Configurations http://www.microsoft.com/downloads/details.aspx?FamilyID=a290f2ee-0b55-491e-bc4c-8161671b2462&displaylang=en

  34. Referencias • RFC 3947 : the official NAT-T standard • RFC 3715 : set the requirements for the NAT-T RFC • RFC 3948 : encapsulating IPsec ESP packets within UDP • Remote Access Quarantine Tool for ISA Server 2004 http://www.microsoft.com/downloads/details.aspx?FamilyId=3396C852-717F-4B2E-AB4D-1C44356CE37A&displaylang=en • Windows98/ME/NT4 NAT-T Web download http://download.microsoft.com/download/win98/Install/1.0/W9XNT4Me/EN-US/msl2tp.exe

  35. TechNews • Suscripción gratuita enviando un mail: • mailto:technews@informatica64.com

  36. http://www.elladodelmal.com

  37. Contacto • Chema Alonso • chema@informatica64.com • http://www.elladodelmal.com • Technews • http://www.informatica64.com

More Related