VPNs

Antonio Ibaez Meca

Support Specialist

Jos Parada
IT Pro Evangelist

Agenda
Conceptos bsicos de VPN

Microsoft y las VPN

Soluciones Protocolos
Tneles Autenticacin NAT-T Cuarentena

Definicin Evolucin y tipos

Caractersticas Adicionales.

DEMOS

VPN para acceso remoto de clientes VPN para conexin entre sedes Control de Cuarentena

Definicin o Indefinicin?
VPN = Virtual Private Network o Red Privada Virtual Utilizar una infraestructura pblica compartida para ofrecerle a un cliente las facilidades y ventajas de una red privada

Cualquier red IP puede considerarse una VPN

Clasificacin
Segn el punto de terminacin
Segn el trfico de cliente transportado Segn el tipo de red del proveedor
VPN de nivel 3 VPN de nivel 2 Basadas en el CE (overlay) Basadas en el PE (peer-to-peer)

Segn la tecnologa de tneles

Nmero de sedes conectadas
Punto a punto: 2 sedes Multipunto: ms de dos sedes

IP, IP/MPLS, ATM, Frame Relay, SONET/SDH, red telefnica, etc. Tneles IPSec, L2TP, PPTP, MPLS-LSP, ATM-VP/VC, Frame Relay VC, SONET/SDH VT, PPP/Dial-up

Evolucin
1 Generacin: Terminadas en el CE y basadas en lneas dedicadas que se alquilaban al proveedor 2 Generacin: Terminadas en el CE a base de circuitos virtuales ATM/Frame Relay sobre una red de conmutacin de paquetes del proveedor 3 Generacin: Los proveedores ofrecen servicios para gestionar los routers del cliente usados en las terminaciones en el CE 4 Generacin: VPNs de nivel 3 terminadas en el PE y basadas en IP/MPLS 5 Generacin: VPNs de nivel 2 terminadas en el PE y basadas en IP/MPLS

Topologas existentes
Redes Virtuales

VPN

LAN Virtuales

Redes Superpuestas

Redes Acopladas (Peer)

VPNs nivel 2

VPNs nivel 3

VPNs con MPLS

IPSec

X.25

F/R

ATM

GRE

Topologas N2. FR y ATM

VPN de Nivel 2
Frame Relay y ATM Definicin esttica de Circuitos Virtuales (PVCs) Encaminamiento basado en DLCI No proporcionan ni autenticacion ni cifrado Escalabilidad y Flexibilidad Limitadas

IP
X.25 ATM
Frame Relay

Topologas basadas en tneles N2

Establecimiento y validacin previo a la consecucin del tnel Aparecen diversos procesos de encapsulamiento que introducen un mayor overhead dentro de la red IP No existe QoS
PPP
Layer-2 Transport Protocol (L2TP) Layer-2 Forwarding (L2F) Point-to-Point Tunneling Protocol (PPTP)

IP

Topologas basadas en tneles N3

VPN de Nivel 3. IPSec
Tneles GRE y sobre todo IPSec Autenticacin y cifrado de los datos en Internet

Encaminamiento basado en IP del tnel

Aceleracin de cifrado por HW y SW IP
Generic Routing Encapsulation (GRE)

IP Security (IPSec)

IP

Caractersticas de las VPN

Se requiere de un encapsulado capaz de proveernos de:
Autenticacin
Usuario Equipo Datos

Compresin de datos Cifrado de datos Direccionamiento dinmico Resolucin de nombres Gestin de claves Soporte Multiprotocolo (IP, IPX, etc)

Encapsulado
Poner un paquete dentro de otro Se encapsulan o envuelven los datos con otra cabecera con informacin de enrutamiento para que puedan atravesar una red publica hasta su destino. Puede encapsularse trafico a dos niveles del modelo OSI.
Nivel 2: encapsulan tramas al nivel de conexin
PPTP L2F L2TP

Nivel 3: encapsulan paquetes al nivel de red

IPSEC

Protocolos de encapsulado Nivel 2

Point to Point Tunneling Protocol (PPTP)
Microsoft, Ascend, otros..

Layer Two Forwarding (L2F)

Propuesto por Cisco

Layer Two Tunneling Protocol (L2TP)

Unifica PPTP y L2F en un nico estndar para VPN

VPN en el Modelo OSI

7. Aplicacin 6. Presentacin

Soluciones VPN
5. Sesin 4. Transporte 3. Red 2. Conexin 1.Fsico

SSL IPSEC PPTP

L2TP

Microsoft y las VPN

Soluciones Protocolos
Tneles Autenticacin NAT-T Cuarentena

Caractersticas Adicionales.

Soluciones de servidor
Microsoft tiene tecnologa VPN de nivel 2 y las implementa va software mediante los siguientes productos
Familia de Servidores Windows
NT 4.0. Instalado SP3 y Option Pack Windows 2000. Con RRAS + IAS (RADIUS) Windows 2003. Con RRAS + IAS (RADIUS)

ISA Server 2000/2004

Soluciones de clientes
Windows Windows Windows Windows Windows 98 Milenium NT 4.0 2000 XP

Windows 98, NT y Milenium necesitan un cliente para VPN con L2TP/IPSec

http://www.microsoft.com/windows2000/server/ evaluation/news/bulletins/l2tpclient.asp

Enrutamiento y acceso remoto

Enrutamiento y acceso remoto combina los servicios de enrutamiento IP y de redes privadas virtuales (VPN) Enrutamiento IP

VPN

Esttico, Routing Information Protocol (RIP) v1, RIP v2, Open Shortest Path First (OSPF) Asignacin de IP mediante DHCP a los clientes de VPN Conexiones de marcado bajo demanda a sedes remotas Point-to-Point Tunneling Protocol (PPTP) Layer 2 Tunneling Protocol (L2TP)

Introduccin a IAS
Internet Authentication Service (IAS) es la implementacin del servidor RADIUS de Microsoft Principales caractersticas
Interoperabilidad RADIUS con Juniper, Cisco, Linux, etc. Integracin con Active Directory para autenticacin y autorizacin. Soporta EAP (Extensible Authentication Protocol) Soporta polticas de acceso remoto Depende de una clave compartida

Introduccin a RADIUS

RADIUS esta definido en las RFC 2865 y 2866 de la IETF Protocolo Simple
1. 2.

El cliente enva una peticin de inicio de sesin al servidor RRAS El servidor RRAS enva una solicitud de acceso RADIUS al servidor IAS.
El IAS puede actuar de proxy y reenviar la solicitud El IAS puede usar las credenciales para solicitar una autenticacin local o a un controlador de dominio.

3. 4.

El IAS devuelve un mensaje de Acceso-Permitido o Acceso-Denegado a el servidor RRAS. El servidor RRAS acepta o deniega la conexin del cliente

Protocolos de tnel
PPTP
Desarrollado por Microsoft, es un estndar de facto Esta ampliamente implementado y existen varias implementaciones compatibles Suficientemente seguro para casi todas las aplicaciones

L2TP
Estndar de la Internet Engineering Task Force (IETF) Unin Algunos problemas de interoperabilidad.

Tanto PPTP como L2TP utilizan PPP por debajo, lo que les proporciona gran parte de los requerimientos necesarios.

PPP
Diseado para enviar datos a travs de conexiones bajo demanda o punto a punto. Encapsula Paquetes IP Cuatro fases en la negociacin de la conexin:
1. 2. 3. 4.

Fase de transmisin de Datos. Se encapsula los datos con una cabecera PPP y se comprimen y cifran segn lo acordado en fase 1 y negociado en la fase 4

Establecimiento de la conexin (LCP) Autenticacin de usuario (PAP, CHAP, MS-CHAP, MS-CHAPv2, EAP) Control de devolucin de llamada (CBCP) Protocolos de nivel de Red (IPCP, CCP, MPPC, MPPE)

PPP en conexiones directas o enrutadas

Trama PPP Conexin sobre una lnea dedicada PPP Proporciona conexin Punto a Punto Cliente Servidor

PPP en conexiones directas o enrutadas

Trama PPP Conexin sobre Internet

Cliente

PPP Limitado al primer enlace de la red

Router

Router Servidor

PPP en conexiones directas o enrutadas

Tunelizado Proporciona Tunelizado: Tansmision de Tramas Tramas PPP Punto a Punto Encapsuladas en Sobre Internet Packetes IP Conexion sobre Internet

Cliente

Router

Router Servidor

PPTP
Proporciona Tunelizado a las tramas PPP. Utiliza la seguridad de PPP para asegurar las comunicacin sobre el tnel.
Autenticacin de usuario PPP (PAP, CHAP, MS-CHAP, MS-CHAPv2, EAP) Confidencialidad y cifrado PPP (MPPE). RC4 con claves de 40 o 128 bits

PPTP-Tipos de Tramas
Control

1. Creacin de un control de conexin PPTP

Datos

2. Mantenimiento del control de conexin PPTP 3. Finalizacin del control de conexin PPTP
Encapsulado y transmisin de datos PPP mediante (GRE). Generic Routing Encapsulation

Conexin lgica que representa el tnel PPTP. El servidor utiliza el puerto TCP 1723 y el cliente un puerto dinmico. Determina los ID de la cabecera GRE entre cliente y servidor que identifican el tnel PPTP especfico.

PPTP-Conexiones
ID Protocolo IP (GRE) Conexin de Datos

Servidor RAS PPTP

Internet Puerto TCP 1723 Control de Conexin

Pc Remoto

PPTP
Paquete TCP/IP
IP TCP Payload Header Header Data
Encapsulado PPP PPTP Interface IP Interface PPP IP TCP Payload Header Header Header Data IP GRE PPP IP TCP Payload Header Header Header Header Data IP IP GRE PPP IP TCP Payload Header Header Header Header Header Data

Ehernet

L2TP
Combina PPTP y L2F en un nico estndar para VPN propuesto por la IETF
Encapsula tramas PPP que pueden ser enviadas a travs de IP, X.25, Frame Relay o ATM El estndar permite que se pueda utilizar la seguridad de PPP para asegurar las comunicacin sobre el tnel.
Autenticacin PPP Confidencialidad y cifrado PPP (MPPE)

La Implementacin de Microsoft, no utiliza PPP para asegurar las comunicaciones. Utiliza IPSEC, lo que da lugar a L2TP/IPSec

L2TP- Canales
Canal de Control
Establecimiento, mantenimiento y terminacin del tnel. Conexin UDP fiable

Canal de Sesin o Datos

Encapsular tramas PPP Conexin UDP no fiable

L2TP sobre IP
Paquete TCP/IP
IP TCP Payload Header Header Data Encapsulado PPP L2TP Interface UDP Interface IP Inteface PPP IP TCP Payload Header Header Header Data L2TP PPP IP TCP Payload Header Header Header Header Data UDP L2TP PPP IP TCP Payload Header Header Header Header Header Data

IP UDP L2TP PPP IP TCP Payload Header Header Header Header Header Header Data

Ehernet

L2TP/IPSec
Encapsulado L2TP de la trama PPP Encapsualdo IPSec del mensaje L2TP Cifrado IPSEc del contenido de los paquetes L2TP De los protocolos de IPSec (AH y ESP) se utiliza ESP (Encapsulating Security Payload)

Encapsulado L2TP/IPSec sobre IP

Paquete TCP/IP
IP TCP Payload Header Header Data Encapsulado PPP L2TP Interface UDP Interface IPSec Inteface
IPSec ESP Header

PPP IP TCP Payload Header Header Header Data L2TP PPP IP TCP Payload Header Header Header Header Data UDP L2TP PPP IP TCP Payload Header Header Header Header Header Data UDP L2TP PPP IP TCP Payload IPSec ESP IPSec AUTH Trailer Header Header Header Header Header Data Trailer

IP Inteface

IP UDP L2TP PPP IP TCP Payload IPSec ESP IPSec IPSec ESP AUTH Trailer Header Header Header Header Header Header Header Data Trailer

Ehernet

L2TP/IPSec: Fases
1.

Negociacin de las SA de IPSec para el trafico L2TP

SA en modo principal
Autenticacin IPSec Se establece el nivel y modo de cifrado de los datos.

SA en modo secundario

2.

Negociacin de la Conexin L2TP

Se establece el control de conexin y la sesin L2TP

3.

Negociacin de la Conexin PPP

Establecimiento de la conexin (LCP) Autenticacin de usuario (PAP, CHAP, MS-CHAP, MSCHAPv2, EAP) Protocolos de nivel de Red (IPCP, CCP, MPPC, MPPE)

L2TP / IPSec

Trama PPP

PPP Hdr PPP Payload UDP Hdr L2TP Hdr PPP Hdr PPP Payload
Adjuntar Adjuntar

IP Hdr ESP Hdr UDP L2TP PPP Payload ESP Trailer ESP Auth
Normalmente Cifrado Cobertura del chequeo de Integridad

El cifrado es con DES o 3DES con las claves que se obtienen de la negociacin de las SA en modo secundario

Autenticacin
PPTP
Autenticacin a nivel de Usuario proporcionada por PPP

L2TP/IPSec
Autenticacin a nivel de Usuario proporcionada por PPP Autenticacin a nivel de mquina proporcionada por IPSec
Claves preestablecidas (No recomendado) Certificados Digitales de mquina.

Mtodos de Autenticacin
NO RECOMENDADOS
Password Authentication Protocol (PAP)
Enva la password en texto claro. NO RECOMEDADO Utiliza cifrado reversible NO RECOMNDADO

Shiva Password Authentication Protocol (SPAP)

Challenge Handshake Authentication Protocol (CHAP)

MS-CHAP

Utiliza MD5 para proporcionar autenticacin mediante desafio-respuesta Requiere almacenar las contraseas con cifrado reversible en el servidor (DC) NO RECOMENDADO Existen debilidades conocidas NO RECOMENDADO

Mtodos de Autenticacin
RECOMENDADO

MS-CHAP v2
Versin mejorada de MS-CHAP Usada frecuentemente Desde el punto de vista del cifrado es mas fuerte que PAP, CHAP, MS-CHAP Recomendada cuando no es posible implementar EAP-TLS

Mtodos de Autenticacin
RECOMENDADO EAP
Extensible Authentication Protocol Soporta varios tipos de Autenticacin
EAP-MD5: Desafi/Respuesta. No muy seguro. EAP-TLS: Basado en cerificados; requiere pertenencia a un dominio; diseado para ser utilizado con Smart Cards EAP-RADIUS: Mecanismo proxy de reenvi de datos en un formato EAP especifico a un servidor RADIUS

El tipo a utilizar se puede especificar en el servidor o mediante polticas a un grupo especifico de usuarios.

Mtodos de Autenticacin
RECOMENDADO PEAP: Protected EAP
Protege las negociaciones EAP envolvindolas con TLS Se usa solo para conexiones wireless 802.11 Puede usar PEAP plus

Soporta reconexiones rpidas para entornos grandes con roaming EAP-MS-CHAPv2: aade autenticacin mutua; requiere que el cliente confi en los certificados del servidor; fcil de implementar. EAP-TLS: Muy seguro; requiere una infraestructura PKI

Hay documentacin completa de como implementarlo en la Web de TechNet

Comparacin PPTP L2TP/IPSec

El cifrado con PPTP se realiza despus del proceso de conexin PPP, con L2TP/IPSec desde el principio PPTP cifra con MPPE (RC4- 40,56 128 bits). L2TP cifra con IPSec (DES o 3DES 56 bits) PPTP solo requiere autenticacin a nivel de cliente y L2TP/IPSec, requiere autenticacin a nivel de cliente y de maquina.

Ventajas L2TP/IPSEc - PPTP

L2TP/IPSec proporciona:
Autenticacin del origen de cada paquete. Integridad de datos Proteccin contra reenvo

Autenticacin a nivel usuario y mquina Cifrado de los paquetes de autenticacin

Ventajas PPTP L2TP /IPSec

No requiere el despliegue de una infraestructura de certificados. PPTP se puede montar detras de un dispositivo con NAT (Network Address Translation)

NAT - Funcionamiento
PROTO TCP SADDR 10.0.0.3 DADDR128.32.32.68 SPORT 1049 DPORT 80 FLAGS SYN CKSUM 0x1636

1. El cliente intenta conectarse al servidor Web 128.32.32.68. enva un paquete SYN usando su direccin IP interna, 10.0.0.3.

PROTO TCP SADDR 24.1.70.210 DADDR128.32.32.68 SPORT 40960 DPORT 80 FLAGS SYN CKSUM 0x2436

2. El dispositivo NAT ve la configuracin del paquete, aade una nueva entrada en su tabla de translacin . Luego reescribe el paquete usando su direccin IP externa, 24.1.70.210 y cambia el puerto. Actualiza el chequeo de integridad del paquete

10.0.0.1
Disp NAT

2
Servidor

Internet

10.0.0.3
PROTO TCP SADDR 128.32.32.68 DADDR10.0.0.3 SPORT 80 DPORT 1049 FLAGS SYN, ACK CKSUM 0x7841

24.1.70.210 Tabla de Traslacin NAT

Cliente IPAddr Port 10.0.0.3 1049 ... .. Servidor IPAddr Port NATPort 128.32.32.68 80 40960 ... .. ..

128.32.32.68

PROTO TCP SADDR 128.32.32.68 DADDR24.1.70.210 SPORT 80 DPORT 40960 FLAGS SYN, ACK CKSUM 0x8041

4.El dispositivo NAT gateway mira su tabla de traslacin, y encuentra la que corresponde a las direccin y puertos de origen y destino. Reescribe el paquete usando los puertos y direcciones internas.

3. El Servidor responde al paquete SYN con un SYN,ACK. El paquete se enva a la direccin IP externa del dispositivo NAT

L2TP/IPSec y NAPT
NAPT rompe el trfico IPSEC-L2TP IKE
El cliente IKE en modo rpido indica al otro que IP tiene. Cifrado NAT cambia el puerto origen. Es necesario el 500 NAT resetea el mapeo de los puertos UDP (500) despus de entre ~10sec-5 min, por lo que no se pueden volver a renegociar las claves

ESP cifra las cabeceras TCP y UDP

NAPT necesita modificar los puertos TCP o UDP La cabecera ESP no tiene puertos que puedan ser modificados por NAPT NAT necesita modificar la integridad de la cabecera TCP o UDP

NAT Traversal (NAT-T)

Solucin:
Se determina si el hosts soporta NAT-T
Detecta los dispositivos NAT
Enva el hash que identifica al fabricante draft-ietf-ipsec-nat-t-ike-xx

IETF RFC 3947

El emisor encapsula el paquete IPSEC en un paquete UDP El paquete UDP se enva al puerto 4500 (UDP funciona con NAT) El receptor extrae el paquete IPSEC del paquete UDP y lo procesa normalmente

Utiliza el IKE payload NAT-D para detectarlo.

NAT-T
Nueva Cabecera UDP Port 4500
Trama en modo Transporte

IP Hdr UDP Hdr ESP Hdr TCP Hdr

Data ESP Trailer ESP Auth

Normalmente Cifrado

Cobertura del chequeo de Integridad

Si no o hay trafico IKE/IPSec, el cliente envia paquetes de mantenimiento de sesin cada 20 segundos para que no se resetee el mapeo UDP

Servicio de Cuarentena
Permite al los administradores restringir el acceso a la red hasta que un script o comando se ejecute en la maquina cliente
Red de Cuarentena

Red Interna Cliente VPN

Cuarentena Paso a Paso

Cliente :Conecta Servidor: Nuevo cliente agregado a la red de cuarentena

Cliente :Ejecuta scripts para comprobar que la mquina es segura

SI

Cliente: Securizado?

NO

Cliente :Enva Clear Quarantine al servidor

Cliente : Notifica al usuario que acciones debe realizar

Servidor: Mover el cliente a la red VPN clients

Cuarentena - Objetivos
Mquinas clientes fortificadas
Todas las mquinas deben ser seguras antes de acceder a la red corporativa
Ej: Tener Antivirus actualizado

No fortificadas Hazlas seguras

Si la mquina cliente no es segura puede acceder a la red corporativa?
SI pero nicamente a los recursos necesarios para hacerla segura (servidor Anti Virus)

Cuarentena - Requerimientos
Servidor
Windows Server 2003 Routing and Remote Access Listener that receives script messages
Rqs.exe del Kit de Recursos de Windows Server 2003 o directamente con el SP1 Se pueden escribir scripts personalizados.

ISA Server 2004

Cliente
Microsoft Windows 98 Second Edition o posterior Connection Manager Admin Kit (CMAK) profile Script con los requerimientos de la Poltica

White Paper

http://www.microsoft.com/windowsserver2003

Cuarentena Mdulos cliente y servidor

FW / VPN Gateway
Red de clientes cuarentena Espera que el cliente sealice que est securizado Comprueba que el cliente est securizado Sealiza al servidor que el cliente es seguro o Notifica al usuario que el cliente no est securizado

Cliente

No protege contra usuarios maliciosos

Cuarentena Paquete cliente

Basado en CMAK de Windows Server 2003 Ejemplos en ISA Server 2004 SDK:
Paquete cliente
Durante la conexin, descargar nuevos scripts del servidor Ejecutar scripts en el cliente Enviar notificacin clear quarantine al servidor

Scripts: Comprobar AV, configurar ICF

DEMOS
VPN para acceso remoto de clientes VPN conexin entre sedes Control de Cuarentena

VPN para acceso remoto de clientes

Internet

Cliente VPN

FW / VPN Gateway

Red Interna

VPN conexin entre sedes

FW / VPN Gateway Internet

Sede A

FW / VPN Gateway

Sede B

Cuarentena
Red de Cuarentena

IIS Cuarentena

IIS File

Cliente VPN
ISA 2004

Red Interna

Escenario de las DEMOS

Cuarentena 192.168.0.3 192.168.0.1
W2K3 IIS

Internet
192.168.20.1

192.168.20.20

192.168.0.2

ISA 2004

ISA 2004

10.0.0.1

10.0.0.2

W2K3

Sede B Sede A
W2K3 IIS

Referencias
Virtual Private Networks for Windows Server 2003 http://www.microsoft.com/windowsserver2003/technologie s/networking/vpn/default.mspx Layer Two Tunneling Protocol in Windows 2000 - The Cable Guy http://www.microsoft.com/technet/community/columns/ca bleguy/cg0801.mspx PPTP Traffic Analysis - The Cable Guy http://www.microsoft.com/technet/community/columns/ca bleguy/cg0103.mspx

VPN Quarantine Sample Scripts for Verifying Client Health Configurations http://www.microsoft.com/downloads/details.aspx?FamilyI D=a290f2ee-0b55-491e-bc4c8161671b2462&displaylang=en

Referencias
RFC 3947 : the official NAT-T standard

RFC 3715 : set the requirements for the NAT-T RFC

RFC 3948 : encapsulating IPsec ESP packets within UDP
Remote Access Quarantine Tool for ISA Server 2004 http://www.microsoft.com/downloads/details.aspx?FamilyId= 3396C852-717F-4B2E-AB4D-1C44356CE37A&displaylang=en Windows98/ME/NT4 NAT-T Web download
http://download.microsoft.com/download/win98/Install/1.0/W9XNT4Me/ENUS/msl2tp.exe

Contacto
Antonio Ibaez Meca ameca@microsof.com Jos Parada jparada@microsoft.com