Windows Server 2008 R2
Implantación de IPSec
AgendaIntroducción
Problemática del envío de datosSnnifing y Spoofing de Red
IPSecIPSec en arquitecturas WindowsIPSec con clave compartidaIPSec con KerberosIpsec con certificados digitales
Diseño de infraestructuras con IPSecMonitorización de IPSecIPSec en arquitecturas VPN
Problemáticas de la comunicaciónGran cantidad de los datos que circulan por la
red circulan en claro y pueden ser capturados e interpretados por un analizador de red.
Estos datos además de ser interpretados pueden ser modificados y retransmitidos posteriormente a la red.
Los sistemas no comprueban la autenticidad del origen de los datos.
Sniifing y Spoofing de Red
Técnicas de SniffingCapturan tráfico de red.Necesitan que la señal física llegue al NIC.En redes de difusión mediante
concentradores todas las señales llegan a todos los participantes de la comunicación.
En redes conmutadas la comunicación se difunde en función de direcciones.Switches utilizan dirección MAC.
PC HACKER
PC 1
PC 2 PC 3
PC 4
Sniffer
Datos PC 4
filtra filtra
Sniffing en redes de difusión
Técnicas de SpoofingLas técnicas de spoofing tienen como objetivo
suplantar validadores estáticos.
Un validador estático es un medio de autenticación que permanece invariable
antes, durante y después de la concession.
PC HACKER
PC 1
PC 2 PC 3
PC 4
Sniffer
Datos PC 4MAC 1
MAC 2 MAC H MAC 3
MAC 4
Puerto 1 MAC 1
Puerto 2 MAC 2
Puerto 6 MAC H
Puerto 11 MAC 3
Puerto 12 MAC 4
Sniffing en redes conmutadas
Ataque ARP Man In The Middle
¿Quien tiene
1.1.1.2?
1.1.
1.2
esta
en
99:8
8:77
:66:
55:4
4
1.1.1.2 esta en 00:11:22:33:44:55:66
1.1.1.1
1.1.1.2
1.1
.1.1
esta
en
99:8
8:7
7:6
6:5
5:
44
IPSec
Cifrado de Comunicaciones
IPv4 no ofrece cifrado de comunicaciones a nivel de red y transporte.
Solo se puede garantizar la no interceptación de la información en líneas privadas.
Los entornos son abiertos. Movilidad.
La privacidad de la información es una necesidad
Cifrado de ComunicacionesLa elección de la
protección debe cumplir:No anular otras
defensas.Permitir autenticación
integrada.No suponer un coste
excesivo en: Rendimiento. Adquisición. Implantación. Mantenimiento.
Cifrado de Comunicaciones
Soluciones:Red : IPv6 -> IPSec.Transporte:
TLS SSL
Aplicación: HTTP-s FTP-s SSH.
Datos: Cifrado información.
Objetivos de IPSEC
IPSEC es un estándar que tiene como objetivo la verificación, autentificación y encriptación de datos en el nivel de red.
IPSEC es controlado mediante una serie de reglas y filtros que determinan que tipo de tráfico va a necesitar la encriptación, la firma digital o ambos.
El proceso del envío de información cifrada a través de la red es transparente para los usuarios y las aplicaciones que envían información a través de la red.
Beneficios de IPSECAutentificación mutua al inicio y durante la
comunicación.
Confidencialidad por autentificación digital y encriptación de paquetes.
Integridad IP por rechazo de paquetes modificados.
Prevención contra ataques de repetición de tramas.
Modos IPSEC
IPSEC trabaja en dos modos:Autentication Header (AH),que firma
digitalmente el tráfico de red, pero no lo encripta.
ESP (Encapsulation Security Payload), que proporciona encriptación de datos, mediante algoritmo.
IPSec - Firewalls
IPSec se enruta como tráfico IPv4.
En firewalls debe ser activado el reenvio IP para:IP Protocol (ESP).IP Protocol (AH).UDP Port .
El tráfico IPSec que pasa por un firewall no puede ser inspeccionado.
Modos de trabajo
El sistema IPSEC puede trabajar en dos modos:Modo de transporte: donde la encriptación se
realiza de extremo a extremo.
Modo túnel donde la encriptación se realiza únicamente entre los extremos del tunel.
Modos IPSECModo de transporte
Proporciona cifrado y autenticación de extremo a extremo
Cifrado
Modo de túnelProporciona cifrado y autenticación sólo entre los puntos finales del túnel
Cifrado
IPSec en arquitecturas Windows
IPsec en Windows Server 2008 R2
Hay 3 maneras de implementar IPsec en entornos Windows Server 2008 R2Consola de Firewall Avanzado de WindowsMMC + Snap-In de Directivas de seguridad de IPGPO
Se pueden crear usando las configuraciones anteriores Exportando la configuración local Importando la configuración en la GPO
NOTA: En la MMC no se admiten todos los protocolos de cifrado y autenticación (retro compatibilidad)
Integración de IPsec en la Consola de FirewallReglas de seguridad de conexiónSupervisión
Asociaciones de seguridad Modo Principal Modo Rápido
Integración de IPsec en la Consola de FirewallAsistentes de configuración
Integración de IPsec en la Consola de Firewall
Propiedades generales de IPsec
IPSec en arquitecturas WindowsMétodos de autenticación
Determinan el proceso inicial de la comunicación IPSEC.
Existen 3 metodologías de autentificación: Kerberos. Certificado. Clave Compartida.
IPSec en arquitecturas WindowsKerberos.
Requiere tiempo de sincronización.Solo dentro del bosque
Certificados.Requiere la implementación de PKI.CRL está deshabilitado por defecto.
Secretos Compartidos (shared secrets).Tan seguro como sea el secreto.En entornos grandes es dificil de mantener.
IPSec en arquitecturas WindowsMétodos de seguridad
Determina la seguridad de la transmisión de la información.
Se pueden definir: Integridad AH (Algoritmos AES, SHA1, MD5). Integridad ESP (Algoritmos AES, SHA1, MD5). Confidencialidad ESP (Algoritmos AES, DES, 3DES). Confidencialidad AH + ESP (No atraviesa NAT)
IPSec en arquitecturas WindowsIPSec en Windows Server 2008 se configura
mediante políticas.
Almacenadas en el Directorio Activo o en en Registro Local del Servidor.
Controlan la entrada y salida de paquetes permitidos.
Aplicables a clientes Windows 2000, Windows XP, Windows Server 2003, Windows Vista, Windows Server 2008 y Windows Server 2008 R2
IPSec en arquitecturas WindowsPolíticas de IPSec
Podrán utilizarse políticas por defecto o las creadas manualmente.
El sistema proporciona 3 políticas por defecto que van a determinar diferentes comportamientos de la máquina con respecto a IPSEC. Cliente. Servidor. Servidor seguro.
IPSec en arquitecturas WindowsPolítica de cliente
Modo de solo respuestas.
Un sistema en modo cliente responde a peticiones que le realicen en IPSEC.
No inicia conversaciones en modo IPSEC, solamente en claro.
IPSec en arquitecturas WindowsPolítica de servidor
Intenta establecer comunicaciones cifradas, pero si la otra máquina no tiene configurado IPSEC la comunicación se establece en claro.
Este modo está definido por 3 reglas que determinan el comportamiento general del sistema a las peticiones: IP. ICMP. Tráfico dinámico.
IPSec en arquitecturas WindowsPolítica de servidor
seguroEl equipo solo puede
establecer comunicaciones seguras.
La política establece 3 reglas, para el tráfico de peticiones: IP. ICMP. Tráfico dinámico.
Servidor B. de D.
Resto del Personal
Médico
Servidor SeguroServidor
No IPSEC
Texto claro
Texto cifrado
Conexión
Ejemplo de implementación de IPSec en un Hospital
IPSec en arquitecturas WindowsReglas de IPSec
Las reglas IPSEC determinan el comportamiento del sistema en la transmisión de la información.
Las reglas están compuestas por los siguientes objetos: Filtros. Acción de filtros. Método de autentificación.
IPSec en arquitecturas WindowsEn la configuración de las reglas hay que
especificar las siguientes acciones:Determinar la posibilidad o no de establecer un
túnel de comunicación.Qué redes se van a ver afectadas por la regla.El método de autentificación inicial para la
transmisión.Métodos de seguridad.Los filtros y las acciones de filtrado.
IPSec en arquitecturas WindowsEn la configuración de los filtros hay que
especificar los siguientes parámetros:Determinar la posibilidad o no de establecer un
túnel de comunicación.Qué redes o equipos se van a ver afectados.El método de autentificación para la
transmisión.Métodos de seguridad.Las acciones de filtrado.
IPSec en arquitecturas Windows Despliegue de políticas por GPOs
Despliegue centralizado desde el directorio activo
Configuración mediante plantillas
Domain
OU
Site
GPOGPO
Monitorización de IPSecWindows Server 2008, 2008R2, Windows 7,
Windows Vista y Windows XP incorporan una consola de monitorización de sesiones IPsec.
Se pueden observar los modos rápido y normal, así como el número de paquetes enviados o recibidos con seguridad
Para acceder a la consola:Inicio > Ejecutar > MMC >
Agregar complemento >Monitor de IPSec
Desde la consola de Firewall Avanzado (Supervisión)
Monitorización de IPSec
! Gracias !
Recommended
