Professional Documents
Culture Documents
Jos Parada
IT Pro Evangelist
Agenda
Conceptos bsicos de VPN
Caractersticas Adicionales.
DEMOS
VPN para acceso remoto de clientes VPN para conexin entre sedes Control de Cuarentena
Definicin o Indefinicin?
VPN = Virtual Private Network o Red Privada Virtual Utilizar una infraestructura pblica compartida para ofrecerle a un cliente las facilidades y ventajas de una red privada
Clasificacin
Segn el punto de terminacin
Segn el trfico de cliente transportado Segn el tipo de red del proveedor
VPN de nivel 3 VPN de nivel 2 Basadas en el CE (overlay) Basadas en el PE (peer-to-peer)
IP, IP/MPLS, ATM, Frame Relay, SONET/SDH, red telefnica, etc. Tneles IPSec, L2TP, PPTP, MPLS-LSP, ATM-VP/VC, Frame Relay VC, SONET/SDH VT, PPP/Dial-up
Evolucin
1 Generacin: Terminadas en el CE y basadas en lneas dedicadas que se alquilaban al proveedor 2 Generacin: Terminadas en el CE a base de circuitos virtuales ATM/Frame Relay sobre una red de conmutacin de paquetes del proveedor 3 Generacin: Los proveedores ofrecen servicios para gestionar los routers del cliente usados en las terminaciones en el CE 4 Generacin: VPNs de nivel 3 terminadas en el PE y basadas en IP/MPLS 5 Generacin: VPNs de nivel 2 terminadas en el PE y basadas en IP/MPLS
Topologas existentes
Redes Virtuales
VPN
LAN Virtuales
Redes Superpuestas
VPNs nivel 2
VPNs nivel 3
X.25
F/R
ATM
GRE
IP
X.25 ATM
Frame Relay
Establecimiento y validacin previo a la consecucin del tnel Aparecen diversos procesos de encapsulamiento que introducen un mayor overhead dentro de la red IP No existe QoS
PPP
Layer-2 Transport Protocol (L2TP) Layer-2 Forwarding (L2F) Point-to-Point Tunneling Protocol (PPTP)
IP
IP Security (IPSec)
IP
Compresin de datos Cifrado de datos Direccionamiento dinmico Resolucin de nombres Gestin de claves Soporte Multiprotocolo (IP, IPX, etc)
Encapsulado
Poner un paquete dentro de otro Se encapsulan o envuelven los datos con otra cabecera con informacin de enrutamiento para que puedan atravesar una red publica hasta su destino. Puede encapsularse trafico a dos niveles del modelo OSI.
Nivel 2: encapsulan tramas al nivel de conexin
PPTP L2F L2TP
Soluciones VPN
5. Sesin 4. Transporte 3. Red 2. Conexin 1.Fsico
L2TP
Caractersticas Adicionales.
Soluciones de servidor
Microsoft tiene tecnologa VPN de nivel 2 y las implementa va software mediante los siguientes productos
Familia de Servidores Windows
NT 4.0. Instalado SP3 y Option Pack Windows 2000. Con RRAS + IAS (RADIUS) Windows 2003. Con RRAS + IAS (RADIUS)
Soluciones de clientes
Windows Windows Windows Windows Windows 98 Milenium NT 4.0 2000 XP
VPN
Esttico, Routing Information Protocol (RIP) v1, RIP v2, Open Shortest Path First (OSPF) Asignacin de IP mediante DHCP a los clientes de VPN Conexiones de marcado bajo demanda a sedes remotas Point-to-Point Tunneling Protocol (PPTP) Layer 2 Tunneling Protocol (L2TP)
Introduccin a IAS
Internet Authentication Service (IAS) es la implementacin del servidor RADIUS de Microsoft Principales caractersticas
Interoperabilidad RADIUS con Juniper, Cisco, Linux, etc. Integracin con Active Directory para autenticacin y autorizacin. Soporta EAP (Extensible Authentication Protocol) Soporta polticas de acceso remoto Depende de una clave compartida
Introduccin a RADIUS
RADIUS esta definido en las RFC 2865 y 2866 de la IETF Protocolo Simple
1. 2.
El cliente enva una peticin de inicio de sesin al servidor RRAS El servidor RRAS enva una solicitud de acceso RADIUS al servidor IAS.
El IAS puede actuar de proxy y reenviar la solicitud El IAS puede usar las credenciales para solicitar una autenticacin local o a un controlador de dominio.
3. 4.
El IAS devuelve un mensaje de Acceso-Permitido o Acceso-Denegado a el servidor RRAS. El servidor RRAS acepta o deniega la conexin del cliente
Protocolos de tnel
PPTP
Desarrollado por Microsoft, es un estndar de facto Esta ampliamente implementado y existen varias implementaciones compatibles Suficientemente seguro para casi todas las aplicaciones
L2TP
Estndar de la Internet Engineering Task Force (IETF) Unin Algunos problemas de interoperabilidad.
Tanto PPTP como L2TP utilizan PPP por debajo, lo que les proporciona gran parte de los requerimientos necesarios.
PPP
Diseado para enviar datos a travs de conexiones bajo demanda o punto a punto. Encapsula Paquetes IP Cuatro fases en la negociacin de la conexin:
1. 2. 3. 4.
Fase de transmisin de Datos. Se encapsula los datos con una cabecera PPP y se comprimen y cifran segn lo acordado en fase 1 y negociado en la fase 4
Establecimiento de la conexin (LCP) Autenticacin de usuario (PAP, CHAP, MS-CHAP, MS-CHAPv2, EAP) Control de devolucin de llamada (CBCP) Protocolos de nivel de Red (IPCP, CCP, MPPC, MPPE)
Cliente
Router
Router Servidor
Cliente
Router
Router Servidor
PPTP
Proporciona Tunelizado a las tramas PPP. Utiliza la seguridad de PPP para asegurar las comunicacin sobre el tnel.
Autenticacin de usuario PPP (PAP, CHAP, MS-CHAP, MS-CHAPv2, EAP) Confidencialidad y cifrado PPP (MPPE). RC4 con claves de 40 o 128 bits
PPTP-Tipos de Tramas
Control
Datos
2. Mantenimiento del control de conexin PPTP 3. Finalizacin del control de conexin PPTP
Encapsulado y transmisin de datos PPP mediante (GRE). Generic Routing Encapsulation
Conexin lgica que representa el tnel PPTP. El servidor utiliza el puerto TCP 1723 y el cliente un puerto dinmico. Determina los ID de la cabecera GRE entre cliente y servidor que identifican el tnel PPTP especfico.
PPTP-Conexiones
ID Protocolo IP (GRE) Conexin de Datos
Pc Remoto
PPTP
Paquete TCP/IP
IP TCP Payload Header Header Data
Encapsulado PPP PPTP Interface IP Interface PPP IP TCP Payload Header Header Header Data IP GRE PPP IP TCP Payload Header Header Header Header Data IP IP GRE PPP IP TCP Payload Header Header Header Header Header Data
Ehernet
L2TP
Combina PPTP y L2F en un nico estndar para VPN propuesto por la IETF
Encapsula tramas PPP que pueden ser enviadas a travs de IP, X.25, Frame Relay o ATM El estndar permite que se pueda utilizar la seguridad de PPP para asegurar las comunicacin sobre el tnel.
Autenticacin PPP Confidencialidad y cifrado PPP (MPPE)
La Implementacin de Microsoft, no utiliza PPP para asegurar las comunicaciones. Utiliza IPSEC, lo que da lugar a L2TP/IPSec
L2TP- Canales
Canal de Control
Establecimiento, mantenimiento y terminacin del tnel. Conexin UDP fiable
L2TP sobre IP
Paquete TCP/IP
IP TCP Payload Header Header Data Encapsulado PPP L2TP Interface UDP Interface IP Inteface PPP IP TCP Payload Header Header Header Data L2TP PPP IP TCP Payload Header Header Header Header Data UDP L2TP PPP IP TCP Payload Header Header Header Header Header Data
IP UDP L2TP PPP IP TCP Payload Header Header Header Header Header Header Data
Ehernet
L2TP/IPSec
Encapsulado L2TP de la trama PPP Encapsualdo IPSec del mensaje L2TP Cifrado IPSEc del contenido de los paquetes L2TP De los protocolos de IPSec (AH y ESP) se utiliza ESP (Encapsulating Security Payload)
PPP IP TCP Payload Header Header Header Data L2TP PPP IP TCP Payload Header Header Header Header Data UDP L2TP PPP IP TCP Payload Header Header Header Header Header Data UDP L2TP PPP IP TCP Payload IPSec ESP IPSec AUTH Trailer Header Header Header Header Header Data Trailer
IP Inteface
IP UDP L2TP PPP IP TCP Payload IPSec ESP IPSec IPSec ESP AUTH Trailer Header Header Header Header Header Header Header Data Trailer
Ehernet
L2TP/IPSec: Fases
1.
SA en modo secundario
2.
3.
L2TP / IPSec
Trama PPP
PPP Hdr PPP Payload UDP Hdr L2TP Hdr PPP Hdr PPP Payload
Adjuntar Adjuntar
IP Hdr ESP Hdr UDP L2TP PPP Payload ESP Trailer ESP Auth
Normalmente Cifrado Cobertura del chequeo de Integridad
El cifrado es con DES o 3DES con las claves que se obtienen de la negociacin de las SA en modo secundario
Autenticacin
PPTP
Autenticacin a nivel de Usuario proporcionada por PPP
L2TP/IPSec
Autenticacin a nivel de Usuario proporcionada por PPP Autenticacin a nivel de mquina proporcionada por IPSec
Claves preestablecidas (No recomendado) Certificados Digitales de mquina.
Mtodos de Autenticacin
NO RECOMENDADOS
Password Authentication Protocol (PAP)
Enva la password en texto claro. NO RECOMEDADO Utiliza cifrado reversible NO RECOMNDADO
MS-CHAP
Utiliza MD5 para proporcionar autenticacin mediante desafio-respuesta Requiere almacenar las contraseas con cifrado reversible en el servidor (DC) NO RECOMENDADO Existen debilidades conocidas NO RECOMENDADO
Mtodos de Autenticacin
RECOMENDADO
MS-CHAP v2
Versin mejorada de MS-CHAP Usada frecuentemente Desde el punto de vista del cifrado es mas fuerte que PAP, CHAP, MS-CHAP Recomendada cuando no es posible implementar EAP-TLS
Mtodos de Autenticacin
RECOMENDADO EAP
Extensible Authentication Protocol Soporta varios tipos de Autenticacin
EAP-MD5: Desafi/Respuesta. No muy seguro. EAP-TLS: Basado en cerificados; requiere pertenencia a un dominio; diseado para ser utilizado con Smart Cards EAP-RADIUS: Mecanismo proxy de reenvi de datos en un formato EAP especifico a un servidor RADIUS
El tipo a utilizar se puede especificar en el servidor o mediante polticas a un grupo especifico de usuarios.
Mtodos de Autenticacin
RECOMENDADO PEAP: Protected EAP
Protege las negociaciones EAP envolvindolas con TLS Se usa solo para conexiones wireless 802.11 Puede usar PEAP plus
Soporta reconexiones rpidas para entornos grandes con roaming EAP-MS-CHAPv2: aade autenticacin mutua; requiere que el cliente confi en los certificados del servidor; fcil de implementar. EAP-TLS: Muy seguro; requiere una infraestructura PKI
NAT - Funcionamiento
PROTO TCP SADDR 10.0.0.3 DADDR128.32.32.68 SPORT 1049 DPORT 80 FLAGS SYN CKSUM 0x1636
1. El cliente intenta conectarse al servidor Web 128.32.32.68. enva un paquete SYN usando su direccin IP interna, 10.0.0.3.
PROTO TCP SADDR 24.1.70.210 DADDR128.32.32.68 SPORT 40960 DPORT 80 FLAGS SYN CKSUM 0x2436
2. El dispositivo NAT ve la configuracin del paquete, aade una nueva entrada en su tabla de translacin . Luego reescribe el paquete usando su direccin IP externa, 24.1.70.210 y cambia el puerto. Actualiza el chequeo de integridad del paquete
10.0.0.1
Disp NAT
2
Servidor
Internet
10.0.0.3
PROTO TCP SADDR 128.32.32.68 DADDR10.0.0.3 SPORT 80 DPORT 1049 FLAGS SYN, ACK CKSUM 0x7841
128.32.32.68
PROTO TCP SADDR 128.32.32.68 DADDR24.1.70.210 SPORT 80 DPORT 40960 FLAGS SYN, ACK CKSUM 0x8041
4.El dispositivo NAT gateway mira su tabla de traslacin, y encuentra la que corresponde a las direccin y puertos de origen y destino. Reescribe el paquete usando los puertos y direcciones internas.
3. El Servidor responde al paquete SYN con un SYN,ACK. El paquete se enva a la direccin IP externa del dispositivo NAT
L2TP/IPSec y NAPT
NAPT rompe el trfico IPSEC-L2TP IKE
El cliente IKE en modo rpido indica al otro que IP tiene. Cifrado NAT cambia el puerto origen. Es necesario el 500 NAT resetea el mapeo de los puertos UDP (500) despus de entre ~10sec-5 min, por lo que no se pueden volver a renegociar las claves
El emisor encapsula el paquete IPSEC en un paquete UDP El paquete UDP se enva al puerto 4500 (UDP funciona con NAT) El receptor extrae el paquete IPSEC del paquete UDP y lo procesa normalmente
NAT-T
Nueva Cabecera UDP Port 4500
Trama en modo Transporte
Normalmente Cifrado
Si no o hay trafico IKE/IPSec, el cliente envia paquetes de mantenimiento de sesin cada 20 segundos para que no se resetee el mapeo UDP
Servicio de Cuarentena
Permite al los administradores restringir el acceso a la red hasta que un script o comando se ejecute en la maquina cliente
Red de Cuarentena
SI
Cliente: Securizado?
NO
Cuarentena - Objetivos
Mquinas clientes fortificadas
Todas las mquinas deben ser seguras antes de acceder a la red corporativa
Ej: Tener Antivirus actualizado
Cuarentena - Requerimientos
Servidor
Windows Server 2003 Routing and Remote Access Listener that receives script messages
Rqs.exe del Kit de Recursos de Windows Server 2003 o directamente con el SP1 Se pueden escribir scripts personalizados.
Cliente
Microsoft Windows 98 Second Edition o posterior Connection Manager Admin Kit (CMAK) profile Script con los requerimientos de la Poltica
White Paper
http://www.microsoft.com/windowsserver2003
Cliente
DEMOS
VPN para acceso remoto de clientes VPN conexin entre sedes Control de Cuarentena
Cliente VPN
FW / VPN Gateway
Red Interna
Sede A
FW / VPN Gateway
Sede B
Cuarentena
Red de Cuarentena
IIS Cuarentena
IIS File
Cliente VPN
ISA 2004
Red Interna
Internet
192.168.20.1
192.168.20.20
192.168.0.2
ISA 2004
ISA 2004
10.0.0.1
10.0.0.2
W2K3
Sede B Sede A
W2K3 IIS
Referencias
Virtual Private Networks for Windows Server 2003 http://www.microsoft.com/windowsserver2003/technologie s/networking/vpn/default.mspx Layer Two Tunneling Protocol in Windows 2000 - The Cable Guy http://www.microsoft.com/technet/community/columns/ca bleguy/cg0801.mspx PPTP Traffic Analysis - The Cable Guy http://www.microsoft.com/technet/community/columns/ca bleguy/cg0103.mspx
VPN Quarantine Sample Scripts for Verifying Client Health Configurations http://www.microsoft.com/downloads/details.aspx?FamilyI D=a290f2ee-0b55-491e-bc4c8161671b2462&displaylang=en
Referencias
RFC 3947 : the official NAT-T standard
Contacto
Antonio Ibaez Meca ameca@microsof.com Jos Parada jparada@microsoft.com