ISA Server 2K6VPN’s

Chema Alonso

Microsoft MVP Windows Security

chema@informatica64.com

www.informatica64.com

www.elladodelmal.com

Definición

• VPN = “Virtual Private Network” o Red Privada Virtual

• Utilizar una infraestructura pública compartida para ofrecerle a un cliente las facilidades y ventajas de una red privada

Topologías existentesRedes Virtuales

VPN LAN Virtuales

Redes Acopladas (Peer)

VPNs con MPLS

GRE

VPNs nivel 3

IPSec

Redes Superpuestas

VPNs nivel 2

ATMF/RX.25

Características de las VPN

• Se requiere de un encapsulado capaz de proveernos de:

–Autenticación• Usuario• Equipo• Datos

–Compresión de datos–Cifrado de datos–Direccionamiento dinámico–Resolución de nombres–Gestión de claves–Soporte Multiprotocolo (IP, IPX, etc…)

Encapsulado

• Poner un paquete dentro de otro• Se encapsulan o envuelven los datos con otra cabecera

con información de enrutamiento para que puedan atravesar una red publica hasta su destino.

• Puede encapsularse trafico a dos niveles del modelo OSI.

–Nivel 2: encapsulan tramas al nivel de conexión• PPTP• L2F• L2TP

–Nivel 3: encapsulan paquetes al nivel de red• IPSEC

Protocolos de encapsulado Nivel 2

• Point to Point Tunneling Protocol (PPTP)

–Microsoft, Ascend, otros..

• Layer Two Forwarding (L2F)–Propuesto por Cisco

• Layer Two Tunneling Protocol (L2TP)–Unifica PPTP y L2F en un único estándar para VPN

VPN en el Modelo OSI

1.Físico

2. Conexión

3. Red

4. Transporte

5. Sesión

SSL

IPSEC

PPTP

L2TP

Soluciones VPN

Microsoft y las VPN

PPP

• Diseñado para enviar datos a través de conexiones bajo demanda o punto a punto.

• Encapsula Paquetes IP• Cuatro fases en la negociación de la conexión:

1. Establecimiento de la conexión (LCP)2. Autenticación de usuario (PAP, CHAP, MS-CHAP, MS-

CHAPv2, EAP)3. Control de devolución de llamada (CBCP)4. Protocolos de nivel de Red (IPCP, CCP, MPPC, MPPE)

• Fase de transmisión de Datos. Se encapsula los datos con una cabecera PPP y se comprimen y cifran según lo acordado en fase 1 y negociado en la fase 4

PPP en conexiones directas

Conexión sobre una línea dedicada

PPP Proporciona conexión Punto a Punto

Trama PPP

ServidorCliente

Protocolos de túnel

• PPTP–Desarrollado por Microsoft, es un estándar de facto–Esta ampliamente implementado y existen varias implementaciones compatibles

–Suficientemente seguro para casi todas las aplicaciones

• L2TP–Estándar de la “Internet Engineering Task Force” (IETF) –Unión –Algunos problemas de interoperabilidad.

• Tanto PPTP como L2TP utilizan PPP por debajo, lo que les proporciona gran parte de los requerimientos necesarios.

PPP en conexiones enrutadas

Conexión sobre Internet

Trama PPP

PPPLimitado al primerenlace de la red

ServidorCliente RouterRouter

PPP en conexiones enrutadas

Conexion sobre Internet

Tunelizado:Tramas PPP

Encapsuladas enPacketes IP

ServidorCliente RouterRouter

TunelizadoProporciona

Tansmision de TramasPunto a PuntoSobre Internet

PPTP

• Proporciona Tunelizado a las tramas PPP.• Utiliza la seguridad de PPP para asegurar las

comunicación sobre el túnel.–Autenticación de usuario PPP (PAP, CHAP, MS-CHAP, MS-CHAPv2, EAP)

–Confidencialidad y cifrado PPP (MPPE). RC4 con claves de 40 o 128 bits

PPTP-Tipos de Tramas

Control1.Creación de un control de conexión PPTP

• Conexión lógica que representa el túnel PPTP.• El servidor utiliza el puerto TCP 1723 y el cliente un puerto

dinámico.• Determina los ID de la cabecera GRE entre cliente y

servidor que identifican el túnel PPTP específico.

2.Mantenimiento del control de conexión PPTP3.Finalización del control de conexión PPTP

Datos• Encapsulado y transmisión de datos PPP mediante

(GRE). Generic Routing Encapsulation

PPTP-Conexiones

Servidor RASPPTP

ID Protocolo IP (GRE) Conexión de Datos

Puerto TCP 1723Control de Conexión

InternetPc

Remoto

PPTP

PPTPInterface

EncapsuladoPPP

IPInterface

IPHeader

TCPHeader

PayloadData

PPPHeader

IP GREHeader

IPHeader

TCPHeader

PayloadData

PPPHeader

IPHeader

TCPHeader

PayloadData

IPHeader

TCPHeader

PayloadData

PPPHeader

IP GREHeader

IPHeader

Paquete TCP/IP

Ehernet

L2TP• Combina PPTP y L2F en un único estándar para VPN

propuesto por la IETF–Encapsula tramas PPP que pueden ser enviadas a través de IP, X.25, Frame Relay o ATM

–El estándar permite que se pueda utilizar la seguridad de PPP para asegurar las comunicación sobre el túnel.• Autenticación PPP• Confidencialidad y cifrado PPP (MPPE)

• La Implementación de Microsoft, no utiliza PPP para asegurar las comunicaciones. Utiliza IPSEC, lo que da lugar a L2TP/IPSec

L2TP sobre IP

L2TPInterface

EncapsuladoPPP

UDPInterface

IPHeader

TCPHeader

PayloadData

PPPHeader

L2TPHeader

IPHeader

TCPHeader

PayloadData

PPPHeader

IPHeader

TCPHeader

PayloadData

IPHeader

TCPHeader

PayloadData

PPPHeader

L2TPHeader

UDPHeader

Paquete TCP/IP

Ehernet

IPHeader

TCPHeader

PayloadData

PPPHeader

L2TPHeader

UDPHeader

IPHeader

IPInteface

L2TP/IPSec

• Encapsulado L2TP de la trama PPP

• Encapsualdo IPSec del mensaje L2TP

• Cifrado IPSEc del contenido de los paquetes L2TP

• De los protocolos de IPSec (AH y ESP) se utiliza ESP (Encapsulating Security Payload)

Encapsulado L2TP/IPSec sobre IP

L2TPInterface

EncapsuladoPPP

UDPInterface

IPHeader

TCPHeader

PayloadData

PPPHeader

L2TPHeader

IPHeader

TCPHeader

PayloadData

PPPHeader

IPHeader

TCPHeader

PayloadData

IPHeader

TCPHeader

PayloadData

PPPHeader

L2TPHeader

UDPHeader

Paquete TCP/IP

Ehernet

IPHeader

TCPHeader

PayloadData

PPPHeader

L2TPHeader

UDPHeader

IPSec ESPHeader

IPSecInteface

IPInteface

IPHeader

TCPHeader

PayloadData

PPPHeader

L2TPHeader

UDPHeader

IPSec ESPHeader

IPHeader

IPSec ESPTrailer

IPSec ESPTrailer

IPSecAUTHTrailer

IPSecAUTHTrailer

L2TP/IPSec: Fases1. Negociación de las SA de IPSec para el trafico L2TP

• SA en modo principal• Autenticación IPSec

• SA en modo secundario• Se establece el nivel y modo de cifrado de los datos.

2. Negociación de la Conexión L2TP• Se establece el control de conexión y la sesión L2TP

3. Negociación de la Conexión PPP• Establecimiento de la conexión (LCP)• Autenticación de usuario (PAP, CHAP, MS-CHAP, MS-CHAPv2, EAP)• Protocolos de nivel de Red (IPCP, CCP, MPPC, MPPE)

L2TP / IPSec

ESP TrailerESP TrailerIP HdrIP Hdr UDPUDP L2TPL2TP PayloadPayloadESP HdrESP Hdr ESP AuthESP Auth

Normalmente CifradoNormalmente Cifrado

Cobertura del chequeo de IntegridadCobertura del chequeo de Integridad

AdjuntaAdjuntarr

AdjuntaAdjuntarr

PPPPPP

UDP HdrUDP Hdr L2TP HdrL2TP Hdr

PPP PayloadPPP PayloadPPP HdrPPP Hdr

Trama PPPTrama PPP

PPP PayloadPPP PayloadPPP HdrPPP Hdr

• El cifrado es con DES o 3DES con las claves que se obtienen de la negociación de las SA en modo secundario

Autenticación

• PPTP–Autenticación a nivel de Usuario proporcionada por PPP

• L2TP/IPSec–Autenticación a nivel de Usuario proporcionada por PPP–Autenticación a nivel de máquina proporcionada por IPSec

• Claves preestablecidas (No recomendado)• Certificados Digitales de máquina.

Metodos de AutenticaciónNO RECOMENDADOS

• Password Authentication Protocol (PAP)–Envía la password en texto claro.–NO RECOMEDADO

• Shiva Password Authentication Protocol (SPAP)–Utiliza cifrado reversible–NO RECOMNDADO

• Challenge Handshake Authentication Protocol (CHAP)

–Utiliza MD5 para proporcionar autenticación mediante desafio-respuesta

–Requiere almacenar las contraseñas con cifrado reversible en el servidor (DC)

–NO RECOMENDADO

• MS-CHAP –Existen debilidades conocidas NO RECOMENDADO

Metodos de AutenticaciónRECOMENDADO

• MS-CHAP v2–Versión mejorada de MS-CHAP–Usada frecuentemente–Desde el punto de vista del cifrado es mas fuerte que PAP, CHAP, MS-CHAP

–Recomendada cuando no es posible implementar EAP-TLS

Metodos de AutenticaciónRECOMENDADO

• EAP–Extensible Authentication Protocol–Soporta varios tipos de Autenticación

• EAP-MD5: Desafió/Respuesta. No muy seguro.• EAP-TLS: Basado en cerificados; requiere pertenencia a un

dominio; diseñado para ser utilizado con Smart Cards• EAP-RADIUS: Mecanismo proxy de reenvió de datos en un

formato EAP especifico a un servidor RADIUS

–El tipo a utilizar se puede especificar en el servidor o mediante políticas a un grupo especifico de usuarios.

Metodos de AutenticaciónRECOMENDADO

• PEAP: Protected EAP–Proteje las negociaciones EAP envolviendolas con TLS

–Se usa solo para conexiones wireless 802.11• Soporta reconexiones rapidas para entornos grandes con

roaming–Puede usar PEAP plus

• EAP-MS-CHAPv2: añade autenticación mutua; requie que el cliente confie en los certificados del servidor; facil de implementar.

• EAP-TLS: Muy seguro; requiere una infraestructura PKI–Hay documentación completa de como implementarlo en la Web de TechNet

VPN para acceso remoto de clientes

Cliente VPN`

Red Interna

Internet

FW / VPN Gateway

VPN conexión entre sedes

`

Sede B

Internet

FW / VPN Gateway

`

Sede A

FW / VPN Gateway

DEMOS

VPN para acceso remoto de clientes

VPN entre sedes

Intelligent Application Gateway

Client High-Availability, Management, Logging, Reporting, Multiple Portals

Authentication

Authorization

User Experience

Tunneling

Security

Specific Application

s

Web

Client/Server

Java/Browser Embedded

Exchange/ Outlook

OWA

SharePoint/Portals

Citrix

Generic Application

s

Application

Aware

Modules

SSL VPN Gateway

Applications Knowledge Centre

OWA …………...

Citrix……..

Sharepoint. ………....

Devices Knowledge Centre

PDA…....

Linux……..

Windows. ………...

MAC….....

ISO7799 Corporate Governance

SarbOx Basel2

Policy & Regulation

Awareness Centre

WHO?

WHAT?

WHER

E?

COM

PLIA

NT?

Referencias• Virtual Private Networks for Windows Server 2003

http://www.microsoft.com/windowsserver2003/technologies/networking/vpn/default.mspx

• Layer Two Tunneling Protocol in Windows 2000 - The Cable Guy http://www.microsoft.com/technet/community/columns/cableguy/cg0801.mspx

• PPTP Traffic Analysis - The Cable Guy http://www.microsoft.com/technet/community/columns/cableguy/cg0103.mspx

• VPN Quarantine Sample Scripts for Verifying Client Health Configurations http://www.microsoft.com/downloads/details.aspx?FamilyID=a290f2ee-0b55-491e-bc4c-8161671b2462&displaylang=en

• RFC 3947 : the official NAT-T standard

• RFC 3715 : set the requirements for the NAT-T RFC

• RFC 3948 : encapsulating IPsec ESP packets within UDP

• Remote Access Quarantine Tool for ISA Server 2004 http://www.microsoft.com/downloads/details.aspx?FamilyId=3396C852-717F-4B2E-AB4D-1C44356CE37A&displaylang=en

• Windows98/ME/NT4 NAT-T Web download

http://download.microsoft.com/download/win98/Install/1.0/W9XNT4Me/EN-US/msl2tp.exe

Referencias

TechNews

• Suscripción gratuita enviando un mail:

–mailto:technews@informatica64.com

http://www.elladodelmal.com

Contacto

• Chema Alonso

• chema@informatica64.com

• http://www.elladodelmal.com

• Technews

• http://www.informatica64.com