1 / 65

Windows Server 2008 R2 Implantación de IPSec

Código: HOL WIN55. Windows Server 2008 R2 Implantación de IPSec. Ignacio Sánchez-Beato Paredes isanchezbeato@informatica64.com. Agenda. Introducción Problemática del envío de datos Snnifing y Spoofing de Red IPSec IPSec en arquitecturas Windows IPSec con clave compartida

cade
Download Presentation

Windows Server 2008 R2 Implantación de IPSec

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Código: HOL WIN55 Windows Server 2008 R2Implantación de IPSec Ignacio Sánchez-Beato Paredes isanchezbeato@informatica64.com

  2. Agenda • Introducción • Problemática del envío de datos • Snnifing y Spoofing de Red • IPSec • IPSec en arquitecturas Windows • IPSec con clave compartida • IPSec con Kerberos • Ipsec con certificados digitales • Diseño de infraestructuras con IPSec • Monitorización de IPSec • IPSec en arquitecturas VPN

  3. Introducción

  4. Problemática del envío de datos

  5. Problemáticas de la comunicación • Gran cantidad de los datos que circulan por la red circulan en claro y pueden ser capturados e interpretados por un analizador de red. • Estos datos además de ser interpretados pueden ser modificados y retransmitidos posteriormente a la red. • Los sistemas no comprueban la autenticidad del origen de los datos.

  6. Sniifing y Spoofing de Red

  7. Técnicas de Sniffing • Capturan tráfico de red. • Necesitan que la señal física llegue al NIC. • En redes de difusión mediante concentradores todas las señales llegan a todos los participantes de la comunicación. • En redes conmutadas la comunicación se difunde en función de direcciones. • Switches utilizan dirección MAC.

  8. Sniffing en redes de difusión filtra filtra Datos PC 4 PC 2 PC HACKER PC 3 Sniffer PC 1 PC 4

  9. Técnicas de Spoofing • Las técnicas de spoofing tienen como objetivo suplantar validadores estáticos. Un validadorestáticoes un medio de autenticaciónquepermanece invariable antes, durante y después de la concesión.

  10. Tipos de técnicas de Spoofing • Spoofing ARP • Envenenamiento de conexiones. • Man in theMiddle. • Spoofing IP • RipSpoofing. • Hijacking. • Spoofing SMTP • Spoofing DNS • WebSpoofing

  11. Sniffing en redes conmutadas Datos PC 4 PC HACKER PC 2 PC 3 Sniffer PC 1 PC 4 MAC 2 MAC H MAC 3 MAC 1 MAC 4 Puerto 1 MAC 1 Puerto 2 MAC 2 Puerto 6 MAC H Puerto 11 MAC 3 Puerto 12 MAC 4

  12. Ataque ARP Man In The Middle 1.1.1.2 esta en99:88:77:66:55:44 1.1.1.1 esta en 99:88:77:66:55:44 1.1.1.1 ¿Quien tiene 1.1.1.2? 1.1.1.2 esta en 00:11:22:33:44:55:66 1.1.1.2

  13. IPSec

  14. Cifrado de Comunicaciones • IPv4 no ofrece cifrado de comunicaciones a nivel de red y transporte. • Solo se puede garantizar la no interceptación de la información en líneas privadas. • Los entornos son abiertos. Movilidad. • La privacidad de la información es una necesidad

  15. Cifrado de Comunicaciones • La elección de la protección debe cumplir: • No anular otras defensas. • Permitir autenticación integrada. • No suponer un coste excesivo en: • Rendimiento. • Adquisición. • Implantación. • Mantenimiento.

  16. Cifrado de Comunicaciones • Soluciones: • Red : IPv6 -> IPSec. • Transporte: • TLS • SSL • Aplicación: • HTTP-s • FTP-s • S/MIME • SSH. • Datos: Cifrado información.

  17. Objetivos de IPSEC • IPSEC es un estándar que tiene como objetivo la verificación, autentificación y encriptación de datos en el nivel de red. • IPSEC es controlado mediante una serie de reglas y filtros que determinan que tipo de tráfico va a necesitar la encriptación, la firma digital o ambos. • El proceso del envío de información cifrada a través de la red es transparente para los usuarios y las aplicaciones que envían información a través de la red.

  18. Beneficios de IPSEC • Autentificación mutua al inicio y durante la comunicación. • Confidencialidad por autentificación digital y encriptación de paquetes. • Integridad IP por rechazo de paquetes modificados. • Prevención contra ataques de repetición de tramas.

  19. IPSEC - Coste de cifrado • Disminución del rendimiento que es proporcional al hardware del sistema. • Tiempo de negociación IKE – aproximadamente 2-5 segundosinicialmente • Session rekey < 1-2 segundos • Pérdida de la capacidad de filtrado de paquetes. • Recursos destinados a la solución de problemas. • Concienciación técnica de su necesidad y su uso.

  20. Modos IPSEC • IPSEC trabaja en dos modos: • Autentication Header (AH),que firma digitalmente el tráfico de red, pero no lo encripta. • ESP (Encapsulation Security Payload), que proporciona encriptación de datos, mediante algoritmo.

  21. Cabecera de Autenticación • AuthenticationHeader (AH) ofrece: • Autenticación. • Integridad. • Funcionalidades • Kerberos, certificados o los secretos compartidos pueden ser utilizados para autenticar el tráfico. • La integridad se calcula con algoritmos AES, SHA1 o MD5 que calculan el IntegrityCheckValue (ICV).

  22. IPSec – Cabecera AH. Encabezados de autenticación • Autenticidad de los datos • Integridad de los datos • Protección contra la retransmisión • Protección contra la suplantación Firmado Encab. IP AH Encab. TCP/UDP Datos de aplicaciones

  23. Cabecera ESP • Encapsulating Security Payload (ESP) • ESP ofrece: • Confidencialidad. • ESP puedeserutilizada sola o combinada con AH. • Multiples algoritmos de cifrado • AES – claves de cifrado hasta 256-bit (solo compatible a partir de Vista SP1) • DES – claves de cifrado de 56-bit • 3DES – claves de cifrado de 168-bit • Multiples algoritmos de firmado. • SHA1 – 160-bit digest • MD5 – 128-bit • AES – 256-bit (solo compatible a partir de Vista SP1)

  24. Cabecera ESP Carga de seguridad de encapsulación • Autenticación del origen • Cifrado de los datos • Protección contra la retransmisión • Protección contra la suplantación Cifrado Nuevo encab. IP ESPHdr Encab. IP original Encab.TCP/UDP Datos de aplicaciones Fin.ESP Aut.ESP Firmado

  25. IPSec - Firewalls • IPSec se enruta como tráfico IPv4. • En firewalls debe ser activado el reenvio IP para: • IP Protocol ID 50 (ESP). • IP Protocol ID 51 (AH). • UDP Port 500 (IKE). • El tráfico IPSec que pasa por un firewall no puede ser inspeccionado.

  26. SA Establishment UDP port 500 negotiation 1 IKE SA 2 IPSec SAs filters filters IP protocol 50/51 “IKE Responder” “IKE Initiator” Application Server or Gateway App or Service client IPSec PolicyAgent IPSec PolicyAgent IKE (ISAKMP) IKE (ISAKMP) IPSec Driver IPSec Driver TCPIP TCPIP NIC NIC

  27. Modos de trabajo • El sistema IPSEC puede trabajar en dos modos: • Modo de transporte: donde la encriptación se realiza de extremo a extremo. • Modo túnel donde la encriptación se realiza únicamente entre los extremos del tunel.

  28. Modos IPSEC Modo de transporte Proporciona cifrado y autenticación de extremo a extremo Cifrado Modo de túnel Proporciona cifrado y autenticación sólo entre los puntos finales del túnel Cifrado

  29. IPSec en arquitecturas Windows

  30. IPsec en Windows Server 2008 R2 • Hay 3 maneras de implementar IPsec en entornos Windows Server 2008 R2 • Consola de Firewall Avanzado de Windows • MMC + Snap-In de Directivas de seguridad de IP • GPO • Se pueden crear usando las configuraciones anteriores • Exportando la configuración local • Importando la configuración en la GPO • NOTA: En la MMC no se admiten todos los protocolos de cifrado y autenticación (retrocompatibilidad)

  31. Integración de IPsec en la Consola de Firewall • Reglas de seguridad de conexión • Supervisión • Asociaciones de seguridad • Modo Principal • Modo Rápido

  32. Integración de IPsec en la Consola de Firewall • Asistentes de configuración

  33. Integración de IPsec en la Consola de Firewall • Propiedades generales de IPsec

  34. IPSec en arquitecturas Windows • Métodos de autenticación • Determinan el proceso inicial de la comunicación IPSEC. • Existen 3 metodologías de autentificación: • Kerberos. • Certificado. • Clave Compartida.

  35. IPSec en arquitecturas Windows • Kerberos. • Requiere tiempo de sincronización. • Solo dentro del bosque • Certificados. • Requiere la implementación de PKI. • CRL está deshabilitado por defecto. • Secretos Compartidos (shared secrets). • Tan seguro como sea el secreto. • En entornos grandes es dificil de mantener.

  36. IPSec en arquitecturas Windows • Métodos de seguridad • Determina la seguridad de la transmisión de la información. • Se pueden definir: • Integridad AH (Algoritmos AES, SHA1, MD5). • Integridad ESP (Algoritmos AES, SHA1, MD5). • Confidencialidad ESP (Algoritmos AES, DES, 3DES). • Confidencialidad AH + ESP (No atraviesa NAT)

  37. IPSec en arquitecturas Windows • IPSec en Windows Server 2008 se configura mediante políticas. • Almacenadas en el Directorio Activo o en en Registro Local del Servidor. • Controlan la entrada y salida de paquetes permitidos. • Aplicables a clientes Windows 2000, Windows XP, Windows Server 2003, Windows Vista, Windows Server 2008 y Windows Server 2008 R2

  38. IPSec en arquitecturas Windows • Políticas de IPSec • Podrán utilizarse políticas por defecto o las creadas manualmente. • El sistema proporciona 3 políticas por defecto que van a determinar diferentes comportamientos de la máquina con respecto a IPSEC. • Cliente. • Servidor. • Servidor seguro.

  39. IPSec en arquitecturas Windows • Política de cliente • Modo de solo respuestas. • Un sistema en modo cliente responde a peticiones que le realicen en IPSEC. • No inicia conversaciones en modo IPSEC, solamente en claro.

  40. IPSec en arquitecturas Windows • Política de servidor • Intenta establecer comunicaciones cifradas, pero si la otra máquina no tiene configurado IPSEC la comunicación se establece en claro. • Este modo está definido por 3 reglas que determinan el comportamiento general del sistema a las peticiones: • IP. • ICMP. • Tráfico dinámico.

  41. IPSec en arquitecturas Windows • Política de servidor seguro • El equipo solo puede establecer comunicaciones seguras. • La política establece 3 reglas, para el tráfico de peticiones: • IP. • ICMP. • Tráfico dinámico.

  42. Ejemplo de implementación de IPSec en un Hospital Texto claro 3ecto elgtasp Texto cifrado Médico Servidor B. de D. Servidor Servidor Seguro Resto del Personal No IPSEC Conexión

  43. IPSec en arquitecturas Windows • Reglas de IPSec • Las reglas IPSEC determinan el comportamiento del sistema en la transmisión de la información. • Las reglas están compuestas por los siguientes objetos: • Filtros. • Acción de filtros. • Método de autentificación.

  44. IPSec en arquitecturas Windows • En la configuración de las reglas hay que especificar las siguientes acciones: • Determinar la posibilidad o no de establecer un túnel de comunicación. • Qué redes se van a ver afectadas por la regla. • El método de autentificación inicial para la transmisión. • Métodos de seguridad. • Los filtros y las acciones de filtrado.

  45. IPSec en arquitecturas Windows • En la configuración de los filtros hay que especificar los siguientes parámetros: • Determinar la posibilidad o no de establecer un túnel de comunicación. • Qué redes o equipos se van a ver afectados. • El método de autentificación para la transmisión. • Métodos de seguridad. • Las acciones de filtrado.

  46. IPSec en arquitecturas Windows Site Domain OU • Despliegue de políticas por GPOs • Despliegue centralizado desde el directorio activo • Configuración mediante plantillas GPO

  47. Diseño de infraestructuras con IPSec

  48. Diseño de infraestructuras con IPSec • Escenariosrecomendados • Packet Filtering • End-to-End Security Between Specific Hosts • End-to-End Traffic Through an ISA-Secured NAT • Secure Server • Domain Isolation • Server Isolation • L2TP/IPsec for Remote Access and Site-to-Site VPN Connections • Gateway-to-Gateway IPsec Tunneling with Third-Party IPsec Gateways

  49. Diseño de infraestructuras con IPSec • Escenarios no recomendados • IPSec puede reducir el rendimiento de procesamiento e incrementar el consumo de ancho de banda • IPSec puede conllevar problemas de compatibilidad para algunas aplicaciones, por lo tanto no se recomienda para: • Tráfico entre controladores de dominio y miembros del dominio • IPSec en modo túnel para el acceso remoto de conexiones VPN • Además hay que tener especial cuidado en: • Securizar todo el tráfico de la red • Securizar tráfico sobre redes inalámbricas • Securizar redes de casa

  50. Diseño de infraestructuras con IPSec • Consideraciones de despliegue • IPSec puede reducir el rendimiento y aumentar el consumo de ancho de banda • Las políticas de IPSec pueden llegar a ser complejas de configurar y gestionar • La no posibilidad de acordar las credenciales IPSec puede bloquear toda la conectividad de red en un cliente • Muchas aplicaciones esperan que el tráfico ICMP funcione siempre, por lo tanto debe estar exento de IPSec • La inspección de paquetes TCP y UDP u otros encabezados, puede se menos efectiva o no funcionar debido al encapsulamiento IPSec y el cifrado • Ipsec no securiza tráfico multicast y broadcast

More Related