Click here to load reader

Agenda Introducción Problemática del envío de datos Snnifing y Spoofing de Red IPSec IPSec en arquitecturas Windows IPSec con clave compartida IPSec con

  • View
    213

  • Download
    1

Embed Size (px)

Text of Agenda Introducción Problemática del envío de datos Snnifing y Spoofing de Red...

Windows Server 2008 R2 Implantacin de IPSec

Windows Server 2008 R2Implantacin de IPSecAgendaIntroduccinProblemtica del envo de datosSnnifing y Spoofing de RedIPSecIPSec en arquitecturas WindowsIPSec con clave compartidaIPSec con KerberosIpsec con certificados digitalesDiseo de infraestructuras con IPSecMonitorizacin de IPSecIPSec en arquitecturas VPNProblemticas de la comunicacinGran cantidad de los datos que circulan por la red circulan en claro y pueden ser capturados e interpretados por un analizador de red.

Estos datos adems de ser interpretados pueden ser modificados y retransmitidos posteriormente a la red.

Los sistemas no comprueban la autenticidad del origen de los datos.Sniifing y Spoofing de RedTcnicas de SniffingCapturan trfico de red.Necesitan que la seal fsica llegue al NIC.En redes de difusin mediante concentradores todas las seales llegan a todos los participantes de la comunicacin. En redes conmutadas la comunicacin se difunde en funcin de direcciones.Switches utilizan direccin MAC.

PC HACKERPC 1PC 2PC 3PC 4SnifferDatos PC 4filtrafiltraSniffing en redes de difusin

Tcnicas de SpoofingLas tcnicas de spoofing tienen como objetivo suplantar validadores estticos.Un validador esttico es un medio de autenticacin que permanece invariable antes, durante y despus de la concession.

PC HACKERPC 1PC 2PC 3PC 4SnifferDatos PC 4MAC 1MAC 2MAC HMAC 3MAC 4Puerto 1 MAC 1Puerto 2 MAC 2Puerto 6 MAC HPuerto 11 MAC 3Puerto 12 MAC 4Sniffing en redes conmutadas

Ataque ARP Man In The Middle

Quien tiene 1.1.1.2?1.1.1.2 esta en99:88:77:66:55:441.1.1.2 esta en 00:11:22:33:44:55:661.1.1.11.1.1.21.1.1.1 esta en 99:88:77:66:55:44

9IPSecCifrado de ComunicacionesIPv4 no ofrece cifrado de comunicaciones a nivel de red y transporte.

Solo se puede garantizar la no interceptacin de la informacin en lneas privadas.

Los entornos son abiertos. Movilidad.

La privacidad de la informacin es una necesidadCifrado de ComunicacionesLa eleccin de la proteccin debe cumplir:No anular otras defensas.Permitir autenticacin integrada.No suponer un coste excesivo en:Rendimiento.Adquisicin.Implantacin.Mantenimiento.

Cifrado de ComunicacionesSoluciones:Red : IPv6 -> IPSec.Transporte:TLSSSLAplicacin: HTTP-sFTP-sSSH.Datos: Cifrado informacin.Objetivos de IPSECIPSEC es un estndar que tiene como objetivo la verificacin, autentificacin y encriptacin de datos en el nivel de red.IPSEC es controlado mediante una serie de reglas y filtros que determinan que tipo de trfico va a necesitar la encriptacin, la firma digital o ambos.El proceso del envo de informacin cifrada a travs de la red es transparente para los usuarios y las aplicaciones que envan informacin a travs de la red.Beneficios de IPSECAutentificacin mutua al inicio y durante la comunicacin.

Confidencialidad por autentificacin digital y encriptacin de paquetes.

Integridad IP por rechazo de paquetes modificados.

Prevencin contra ataques de repeticin de tramas.Modos IPSECIPSEC trabaja en dos modos:Autentication Header (AH),que firma digitalmente el trfico de red, pero no lo encripta.

ESP (Encapsulation Security Payload), que proporciona encriptacin de datos, mediante algoritmo.

IPSec - FirewallsIPSec se enruta como trfico IPv4.

En firewalls debe ser activado el reenvio IP para:IP Protocol (ESP).IP Protocol (AH).UDP Port .

El trfico IPSec que pasa por un firewall no puede ser inspeccionado.17IP Security (IPSec) is implemented at the Networking layer (Layer 3) of the Open Systems Interconnection (OSI) model. This provides protection for all IP and upper-layer protocols in the TCP/IP protocol suite. The primary benefit of securing information at Layer 3 is that all programs and services using IP for data transport can be protected.

IPSec does not disturb the original IP header and can be routed as normal IP traffic. Routers and switches in the data path between the communicating hosts simply forward the packets to their destination. However, when there is a firewall or gateway in the data path, IP forwarding must be enabled at the firewall for the following IP protocols and UDP ports: IP Protocol ID 50:For both inbound and outbound filters. Should be set to allow Encapsulating Security Protocol (ESP) traffic to be forwarded. IP Protocol ID 51:For both inbound and outbound filters. Should be set to allow Authentication Header (AH) traffic to be forwarded. UDP Port 500:For both inbound and outbound filters. Should be set to allow ISAKMP traffic to be forwarded.

L2TP/IPSec traffic looks just like IPSec traffic on the wire. The firewall just has to allow IKE (UDP 500) and IPSec ESP formatted packets (IP protocol = 50).

It may be necessary to allow Kerberos traffic through the firewall, if so then UDP port 88 and TCP port 88 would also need to be forwarded.

For more information, view the following articles in the Microsoft Knowledge Base: Traffic That Can--and Cannot--Be Secured by IPSec (http://support.microsoft.com/default.aspx?scid=kb;EN-US;253169)Overview of Secure IP Communication with IPSec in Windows 2000 (http://support.microsoft.com/default.aspx?scid=kb;en-us;231585)Modos de trabajoEl sistema IPSEC puede trabajar en dos modos:Modo de transporte: donde la encriptacin se realiza de extremo a extremo.

Modo tnel donde la encriptacin se realiza nicamente entre los extremos del tunel.Modos IPSECModo de transporteProporciona cifrado y autenticacin de extremo a extremoCifradoModo de tnelProporciona cifrado y autenticacin slo entre los puntos finales del tnelCifradoIPSec en arquitecturas WindowsIPsec en Windows Server 2008 R2Hay 3 maneras de implementar IPsec en entornos Windows Server 2008 R2Consola de Firewall Avanzado de WindowsMMC + Snap-In de Directivas de seguridad de IPGPOSe pueden crear usando las configuraciones anterioresExportando la configuracin localImportando la configuracin en la GPO

NOTA: En la MMC no se admiten todos los protocolos de cifrado y autenticacin (retro compatibilidad)Integracin de IPsec en la Consola de FirewallReglas de seguridad de conexinSupervisinAsociaciones de seguridadModo PrincipalModo Rpido

Integracin de IPsec en la Consola de FirewallAsistentes de configuracin

Integracin de IPsec en la Consola de FirewallPropiedades generales de IPsec

IPSec en arquitecturas WindowsMtodos de autenticacinDeterminan el proceso inicial de la comunicacin IPSEC.Existen 3 metodologas de autentificacin:Kerberos.Certificado. Clave Compartida.IPSec en arquitecturas WindowsKerberos.Requiere tiempo de sincronizacin.Solo dentro del bosqueCertificados.Requiere la implementacin de PKI.CRL est deshabilitado por defecto.Secretos Compartidos (shared secrets).Tan seguro como sea el secreto.En entornos grandes es dificil de mantener.26Selecting an IPSec Authentication Method During the initial construction of the IPSec sessionalso known as the Internet Key Exchange, or IKEeach host or endpoint authenticates the other host or endpoint. When configuring IPSec, you must ensure that each host or endpoint supports the same authentication methods. IPSec supports three authentication methods:

Kerberos

X.509 certificates

Preshared key

Authenticating with Kerberos In Windows 2000 and Windows XP, Kerberos is used for the IPSec mutual authentication by default. For Kerberos to be used as the authentication protocol, both hosts or endpoints must receive Kerberos tickets from the same Active Directory directory service forest. Thus, you should choose Kerberos for IPSec authentication only when both hosts or endpoints are within you own organization. Kerberos is an excellent authentication method for IPSec because it requires no additional configuration or network infrastructure.

IMPORTANT--------------------------------------------------------------------------------

Some types of traffic are exempted by default from being secured by IPSec, even when the IPSec policy specifies that all IP traffic should be secured. The IPSec exemptions apply to Broadcast, Multicast, Resource Reservation Setup Protocol (RSVP), IKE, and Kerberos traffic. Kerberos is a security protocol itself, can be used by IPSec for IKE authentication, and was not originally designed to be secured by IPSec. Therefore, Kerberos is exempt from IPSec filtering.To remove the exemption for Kerberos and RSVP, set the value NoDefaultExempt to 1 in the registry key HKEY_LOCAL_ MACHINE\SYSTEM\CurrentControlSet\Services\IPSEC, or use the Nodefaultexempt.vbs script located in the Tools\Scripts folder on the CD included with this book.

Authenticating with X.509 Certificates You can use X.509 certificates for IPSec mutual authentication of hosts or endpoints. Certificates allow you to create IPSec secured sessions with hosts or endpoints outside your Active Directory forests, such as business partners in extranet scenarios. You also must use certificates when using IPSec to secure VPN connections made by using Layer Two Tunneling Protocol (L2TP). To use certificates, the hosts must be able to validate that the others certificate is valid.

Authenticating with Preshared Key You can use a preshared key, which is a simple, case-sensitive text string, to authenticate hosts or endpoints. Preshared key authentication should be used only when testing or troubleshooting IPSec connectivity because the preshared key is not stored in a secure fashion by hosts or endpoints.

IPSec en arquitecturas WindowsMtodos de seguridadDetermina la seguridad de la transmisin de la informacin.Se pueden definir:Integridad AH (Algoritmos AES, SHA1, MD5).Integridad ESP (Algoritmos AES, SHA1, MD5).Confidencialidad ESP (Algoritmos AES, DES, 3DES).Confidencialidad AH + ESP (No atraviesa NAT)IPSec en arquitecturas WindowsIPSec en Windows Server 2008 se configura mediante polticas.

Almac