1 / 48

ISA Server 2006 Branch Office

HOL-ISA22. ISA Server 2006 Branch Office. Juan Luis García Rambla jlrambla@informatica64.com. Agenda. Introducción. Servicios VPN. Cliente VPN con ISA Server 2006. Conexiones Sitio a Sitio. Introducción. Introducción. VPN define una “Virtual Private Network” o Red Privada Virtual.

tariq
Download Presentation

ISA Server 2006 Branch Office

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. HOL-ISA22 ISA Server 2006Branch Office Juan Luis García Rambla jlrambla@informatica64.com

  2. Agenda • Introducción. • Servicios VPN. • Cliente VPN con ISA Server 2006. • Conexiones Sitio a Sitio.

  3. Introducción

  4. Introducción • VPN define una “Virtual Private Network” o Red Privada Virtual. • Básicamente una VPN establece una conexión segura a través de un medio inseguro como pueda ser Internet. • Cualquier red que utilice conexiones IP puede considerarse una VPN.

  5. Clasificación • Según el punto de terminación. • Basadas en el CE (overlay). • Basadas en el PE (peer-to-peer). • Según el tráfico de cliente transportado. • VPN de nivel 3. • VPN de nivel 2. • Según el tipo de red del proveedor. • IP, IP/MPLS, ATM, Frame Relay, SONET/SDH, red telefónica, etc. • Según la tecnología de túneles. • Túneles IPSec, L2TP, PPTP, MPLS-LSP, ATM-VP/VC. • Frame Relay VC, SONET/SDH VT, PPP/Dial-up. • Número de sedes conectadas. • Punto a punto: 2 sedes. • Multipunto: más de dos sedes.

  6. Evolución • 1ª Generación: Terminadas en el CE y basadas en líneas dedicadas que se alquilaban al proveedor. • 2ª Generación: Terminadas en el CE a base de circuitos virtuales ATM/Frame Relay sobre una red de conmutación de paquetes del proveedor. • 3ª Generación: Los proveedores ofrecen servicios para gestionar los routers del cliente usados en las terminaciones en el CE. • 4ª Generación: VPNs de nivel 3 terminadas en el PE y basadas en IP/MPLS . • 5ª Generación: VPNs de nivel 2 terminadas en el PE y basadas en IP/MPLS.

  7. IP Frame Relay X.25 ATM Topologías N2. FR y ATM VPN de Nivel 2 • Frame Relay y ATM. • Definición estática de Circuitos Virtuales (PVCs). • Encaminamiento basado en DLCI. • No proporcionan ni autenticación ni cifrado. • Escalabilidad y Flexibilidad Limitadas.

  8. Establecimiento y validación previo a la consecución del túnel. Aparecen diversos procesos de encapsulamiento que introducen un mayor “overhead” dentro de la red. No existe QoS . IP PPP Layer-2 Transport Protocol (L2TP) Layer-2 Forwarding (L2F) Point-to-Point Tunneling Protocol (PPTP) IP Topologías basadas en túneles N2

  9. IP Generic Routing Encapsulation (GRE) IP Security (IPSec) IP Topologías basadas en túneles N3 VPN de Nivel 3. IPSec • Túneles GRE y sobre todo IPSec. • Autenticación y cifrado de los datos en Internet. • Encaminamiento basado en IP del túnel. • Aceleración de cifrado por HW y SW.

  10. Servicio de VPN

  11. Características de las VPN • Se requiere de un encapsulado capaz de proveernos de: • Autenticación. • Usuario. • Equipo. • Datos. • Compresión de datos. • Cifrado de datos. • Direccionamiento dinámico. • Resolución de nombres. • Gestión de claves. • Soporte Multiprotocolo (IP, IPX, etc…).

  12. Encapsulado • Poner un paquete dentro de otro. • Se encapsulan o envuelven los datos con otra cabecera con información de enrutamiento para que puedan atravesar una red publica hasta su destino. • Puede encapsularse trafico a dos niveles del modelo OSI. • Nivel 2: encapsulan tramas al nivel de conexión. • PPTP. • L2F. • L2TP. • Nivel 3: encapsulan paquetes al nivel de red. • IPSEC.

  13. Protocolos de encapsulado Nivel 2 • Point to Point Tunneling Protocol (PPTP). • Microsoft, Ascend, otros.. • Layer Two Forwarding (L2F). • Propuesto por Cisco. • Layer Two Tunneling Protocol (L2TP). • Unifica PPTP y L2F en un único estándar para VPN.

  14. Protocolos de túnel • PPTP. • Desarrollado por Microsoft, es un estándar de facto. • Esta ampliamente implementado y existen varias implementaciones compatibles. • Suficientemente seguro para casi todas las aplicaciones. • L2TP. • Estándar de la “Internet Engineering Task Force” (IETF) . • Unión. • Algunos problemas de interoperabilidad. • Tanto PPTP como L2TP utilizan PPP por debajo, lo que les proporciona gran parte de los requerimientos necesarios.

  15. PPP • Diseñado para enviar datos a través de conexiones bajo demanda o punto a punto. • Encapsula Paquetes IP. • Cuatro fases en la negociación de la conexión: • Establecimiento de la conexión (LCP). • Autenticación de usuario (PAP, CHAP, MS-CHAP, MS-CHAPv2, EAP). • Control de devolución de llamada (CBCP). • Protocolos de nivel de Red (IPCP, CCP, MPPC, MPPE). • Fase de transmisión de Datos. Se encapsula los datos con una cabecera PPP y se comprimen y cifran según lo acordado en fase 1 y negociado en la fase 4.

  16. PPTP • Proporciona tunelación a las tramas PPP. • Utiliza la seguridad de PPP para asegurar las comunicación sobre el túnel. • Autenticación de usuario PPP (PAP, CHAP, MS-CHAP, MS-CHAPv2, EAP). • Confidencialidad y cifrado PPP (MPPE). RC4 con claves de 40 o 128 bits.

  17. PPTP-Tipos de Tramas Control • Creación de un control de conexión PPTP • Conexión lógica que representa el túnel PPTP. • El servidor utiliza el puerto TCP 1723 y el cliente un puerto dinámico. • Determina los ID de la cabecera GRE entre cliente y servidor que identifican el túnel PPTP específico. • Mantenimiento del control de conexión PPTP • Finalización del control de conexión PPTP Datos • Encapsulado y transmisión de datos PPP mediante (GRE). Generic Routing Encapsulation

  18. PPTP-Conexiones ID Protocolo IP (GRE) Conexión de Datos Internet Pc Remoto Servidor RAS PPTP Puerto TCP 1723 Control de Conexión

  19. L2TP • Combina PPTP y L2F en un único estándar para VPN propuesto por la IETF. • Encapsula tramas PPP que pueden ser enviadas a través de IP, X.25, Frame Relay o ATM. • El estándar permite que se pueda utilizar la seguridad de PPP para asegurar las comunicación sobre el túnel. • Autenticación PPP. • Confidencialidad y cifrado PPP (MPPE). • La Implementación de Microsoft, no utiliza PPP para asegurar las comunicaciones. Utiliza IPSEC, lo que da lugar a L2TP/IPSec.

  20. L2TP/IPSec • Encapsulado L2TP de la trama PPP. • Encapsulado IPSec del mensaje L2TP. • Cifrado IPSEc del contenido de los paquetes L2TP. • De los protocolos de IPSec (AH y ESP) se utiliza ESP (Encapsulating Security Payload).

  21. Encapsulado L2TP/IPSec sobre IP IP Header TCP Header Payload Data Encapsulado PPP PPP Header IP Header TCP Header Payload Data L2TP Interface L2TP Header PPP Header IP Header TCP Header Payload Data UDP Interface UDP Header L2TP Header PPP Header IP Header TCP Header Payload Data IPSec Inteface IPSec ESP Header UDP Header L2TP Header PPP Header IP Header TCP Header Payload Data IPSec ESP Trailer IPSec AUTH Trailer IP Inteface IP Header IPSec ESP Header UDP Header L2TP Header PPP Header IP Header TCP Header Payload Data IPSec ESP Trailer IPSec AUTH Trailer Paquete TCP/IP Ehernet

  22. L2TP/IPSec: Fases • Negociación de las SA de IPSec para el trafico L2TP • SA en modo principal: Autenticación IPSec. • SA en modo secundario: Se establece el nivel y modo de cifrado de los datos. • Negociación de la Conexión L2TP. • Se establece el control de conexión y la sesión L2TP. • Negociación de la Conexión PPP. • Establecimiento de la conexión (LCP). • Autenticación de usuario (PAP, CHAP, MS-CHAP, MS-CHAPv2, EAP). • Protocolos de nivel de Red (IPCP, CCP, MPPC, MPPE).

  23. Autenticación • PPTP • Autenticación a nivel de Usuario proporcionada por PPP. • L2TP/IPSec • Autenticación a nivel de Usuario proporcionada por PPP. • Autenticación a nivel de máquina proporcionada por IPSec. • Claves preestablecidas. • Certificados Digitales de máquina.

  24. Metodos de Autenticación • Password Authentication Protocol (PAP). • Envía la password en texto claro. • Shiva Password Authentication Protocol (SPAP). • Utiliza cifrado reversible. • Challenge Handshake Authentication Protocol (CHAP). • Utiliza MD5 para proporcionar autenticación mediante desafío-respuesta. • Requiere almacenar las contraseñas con cifrado reversible en el servidor (DC). • MS-CHAP. • Existen debilidades conocidas.

  25. Metodos de Autenticación • MS-CHAP v2. • Versión mejorada de MS-CHAP. • Usada frecuentemente. • Desde el punto de vista del cifrado es mas fuerte que PAP, CHAP, MS-CHAP. • Recomendada cuando no es posible implementar EAP-TLS.

  26. Metodos de Autenticación • EAP • Extensible Authentication Protocol • Soporta varios tipos de Autenticación • EAP-MD5: Desafió/Respuesta. No muy seguro. • EAP-TLS: Basado en cerificados; requiere pertenencia a un dominio; diseñado para ser utilizado con Smart Cards • EAP-RADIUS: Mecanismo proxy de reenvió de datos en un formato EAP especifico a un servidor RADIUS • El tipo a utilizar se puede especificar en el servidor o mediante políticas a un grupo especifico de usuarios.

  27. Metodos de Autenticación • PEAP: Protected EAP • Proteje las negociaciones EAP envolviéndolas con TLS. • Se usa solo para conexiones wireless 802.11. • Soporta reconexiones rpáidas para entornos grandes con roaming. • Puede usar PEAP plus • EAP-MS-CHAPv2: añade autenticación mutua; requiere que el cliente confíe en los certificados del servidor; fácil de implementar. • EAP-TLS: muy seguro; requiere una infraestructura PKI.

  28. Clientes VPN en ISA Server 2006

  29. VPN • Establece un nivel de seguridad para asegurar la comunicación a través de un sistema inseguro. • ISA Server permite una integración de las conexiones remotas con la solución firewall. • Se integra con la solución RRAS de Windows. • Las VPN están sujetas a las reglas de la red.

  30. Consola de administración VPN

  31. Conexiones VPN • Túneles VPN. • Conexión de redes mediante VPN. • Gestión como red integrada. • Conexiones clientes VPN. • Soporte multiprotocolo. • Soporte extendido de autenticación. • Soporte de red de cuarentena. • Integrada con Isa Server 2006. • Integrada con IAS mediante políticas.

  32. Soluciones de VPN en ISA Server 2006

  33. Características VPN • Control de la conexión y seguridad. • Establecimiento de reglas y clientes, a través de las políticas del Firewall. • Puesta en cuarentena de las conexiones de VPN hasta el cumplimiento de las condiciones que se establecen.

  34. Configuración de cliente • La configuración del cliente estable: • Redes de conexión. • Asignación de direcciones IP. • Tipo de VPN. • Grupos de usuarios con permisos de conexión remota • Tipo de autenticación.

  35. Permisos de conexión remota • La conexión de un usuario puede establecerse: • Permisos de marcado en la cuenta del usuario. • Definición de la política a través del ISA Server. Solamente permite la definición de grupo de usuarios con permiso de marcado. • Definición de la política a través del servicio de RRAS. Permite una configuración más personalizada del permiso.

  36. Clientes VPN • Pueden establecerse como cliente cualquier S.O. de la familia Windows. • Hay soporte para los protocolos de comunicaciones PPTP y L2TP. • Se pueden establecer diferentes sistemas de autentificación para clientes remotos: PAP, CHAP, MS-CHAP, MS-CHAP v2, SPAP y EAP

  37. Clientes VPN

  38. Conexiones Sitio a Sitio

  39. Necesidades de conexión • Un problema frecuente de las empresas consiste en el envío de datos críticos para una organización a través de un medio inseguro como Internet. • La soluciones de comunicaciones deben permitir una integración en las infraestructuras, minimizando el impacto administrativo y el esfuerzo de los usuarios. • Ante un elevado número de usuarios, los clientes VPN, deben dar paso a conexiones entre sitios.

  40. Conexión de Sitios mediante VPN • Establece una conexión entre dos sedes mediante una conexión VPN. • La conexión puede establecerse mediante: • PPTP. • L2TP/IPSEC. • Túnel IPSEC. • ISA Server 2006 admite los mismos sistemas de autenticación para clientes VPN que para conexiones de sitios remotos.

  41. Características de la conexión • Para realizar una conexión de VPN Site to Site son necesarias una serie de condiciones: • Tener una cuenta de usuario con permisos de marcado. • El nombre de la red de conexión Sitio a Sitio deberá tener el mismo nombre de la cuenta con permisos de marcado. • Deberá establecerse un direccionamiento IP diferente para cada lado del túnel y diferente de todas las redes IP conocidas por los servidores involucrados en la conexión.

  42. Notificación de creación de cuenta

  43. Configuración de Sitios • Para la configuración de sitios, el sistema proporciona un asistente. • Dicho asistente además de ofrecer los procedimientos ya establecidos en ISA Server 2004 para las conexiones de sitios remotos, proporciona otro dos procedimientos necesarios adicionales: • Definir la relación entre las redes de sitios e internas. • Definir los protocolos que se permitirán a través de la conexión entre sitios.

  44. Asistente de configuración de Sitios • Para la configuración de sitios, el sistema proporciona un asistente. • Dicho asistente además de ofrecer los procedimientos ya establecidos en ISA Server 2004 para las conexiones de sitios remotos, proporciona otro dos procedimientos necesarios adicionales: • Definir la relación entre las redes de sitios e internas. • Definir los protocolos que se permitirán a través de la conexión entre sitios.

  45. Funciones adicionales del asistente

  46. Sitios remotos y clientes VPN • Determinadas configuraciones de VPN son compartidas por las dos soluciones ofrecidas por ISA Server 2006. • Direcciones IP asignables. • Mecanismos de autenticación. • Definición de servidores Radius para la autenticación. • Habrá que prever por lo tanto la necesidad de utilizar estas funciones compartidas en un único servidor o utilizar dos servidores diferenciados para configuraciones independientes.

  47. Boletín quincenal TechNews

  48. Contactos • Informática 64 • http://www.informatica64.com • i64@informatica64.com • +34 91 665 99 98 • Profesor • jlrambla@informatica64.com

More Related