José Parada GimenoIng. Preventa Sector Público

jparada@microsoft.com

Introducción a las VPN’sIntroducción a las VPN’s

Microsoft y las VPN’sMicrosoft y las VPN’s

PasadoPasado

Presente Presente

FuturoFuturo

ConclusionesConclusiones

VPN = “Virtual Private Network” o Red VPN = “Virtual Private Network” o Red Privada VirtualPrivada Virtual

Utilizar una infraestructura pública Utilizar una infraestructura pública compartida para ofrecerle a un cliente compartida para ofrecerle a un cliente las facilidades y ventajas de una red las facilidades y ventajas de una red privadaprivada

Cualquier red IP puede considerarse Cualquier red IP puede considerarse una VPNuna VPN

Según el punto de terminaciónSegún el punto de terminaciónBasadas en el CE (overlay)Basadas en el CE (overlay)Basadas en el PE (peer-to-peer)Basadas en el PE (peer-to-peer)

Según el tráfico de cliente transportadoSegún el tráfico de cliente transportadoVPN de nivel 3VPN de nivel 3VPN de nivel 2VPN de nivel 2

Según el tipo de red del proveedorSegún el tipo de red del proveedorIP, IP/MPLS, ATM, Frame Relay, SONET/SDH, red IP, IP/MPLS, ATM, Frame Relay, SONET/SDH, red telefónica, etc.telefónica, etc.

Según la tecnología de túnelesSegún la tecnología de túnelesTúneles IPSec, L2TP, PPTP, MPLS-LSP, ATM-VP/VC, Túneles IPSec, L2TP, PPTP, MPLS-LSP, ATM-VP/VC, Frame Relay VC, SONET/SDH VT, PPP/Dial-upFrame Relay VC, SONET/SDH VT, PPP/Dial-up

Número de sedes conectadasNúmero de sedes conectadasPunto a punto: 2 sedesPunto a punto: 2 sedesMultipunto: más de dos sedesMultipunto: más de dos sedes

1ª Generación:1ª Generación: Terminadas en el CE y Terminadas en el CE y basadas en líneas dedicadas que se basadas en líneas dedicadas que se alquilaban al proveedoralquilaban al proveedor2ª Generación:2ª Generación: Terminadas en el CE a Terminadas en el CE a base de circuitos virtuales ATM/Frame base de circuitos virtuales ATM/Frame Relay sobre una red de conmutación de Relay sobre una red de conmutación de paquetes del proveedorpaquetes del proveedor3ª Generación:3ª Generación: Los proveedores ofrecen Los proveedores ofrecen servicios para gestionar los routers del servicios para gestionar los routers del cliente usados en las terminaciones en el cliente usados en las terminaciones en el CECE4ª Generación:4ª Generación: VPNs de nivel 3 VPNs de nivel 3 terminadas en el PE y basadas en IP/MPLS terminadas en el PE y basadas en IP/MPLS 5ª Generación:5ª Generación: VPNs de nivel 2 VPNs de nivel 2 terminadas en el PE y basadas en IP/MPLSterminadas en el PE y basadas en IP/MPLS

Topologías existentesTopologías existentesRedes Virtuales

VPN LAN Virtuales

Redes Acopladas (Peer)

VPNs con MPLS

GRE

VPNs nivel 3

IPSec

Redes Superpuestas

VPNs nivel 2

ATMF/RX.25

1.Físico

2. Conexión

3. Red

4. Transporte

5. Sesión

6. Presentación

7. Aplicación

SSL

IPSEC

PPTP

L2TP

Soluciones VPN

PasadoPasado PPTPPPTP L2TP/IPSecL2TP/IPSec

Microsoft tiene tecnología VPN de Microsoft tiene tecnología VPN de nivel 2 y las implementa vía nivel 2 y las implementa vía software mediante los siguientes software mediante los siguientes productosproductos

Familia de Servidores WindowsFamilia de Servidores WindowsNT 4.0. Instalado SP3 y Option Pack NT 4.0. Instalado SP3 y Option Pack

Windows 2000. Con RRAS + IAS Windows 2000. Con RRAS + IAS (RADIUS)(RADIUS)

Windows 2003. Con RRAS + IAS Windows 2003. Con RRAS + IAS (RADIUS)(RADIUS)

ISA Server 2000/2004ISA Server 2000/2004

Windows 98Windows 98Windows MileniumWindows MileniumWindows NT 4.0Windows NT 4.0Windows 2000Windows 2000Windows XPWindows XP

Windows 98, NT y Milenium Windows 98, NT y Milenium necesitan un cliente para VPN con necesitan un cliente para VPN con L2TP/IPSec L2TP/IPSec http://www.microsoft.com/windows2http://www.microsoft.com/windows2000/server/evaluation/news/bulletins000/server/evaluation/news/bulletins/l2tpclient.asp/l2tpclient.asp

Enrutamiento y acceso remoto combina los Enrutamiento y acceso remoto combina los servicios de enrutamiento IP y de redes servicios de enrutamiento IP y de redes privadas virtuales (VPN)privadas virtuales (VPN)Enrutamiento IPEnrutamiento IP

Estático, Routing Information Protocol (RIP) v1, Estático, Routing Information Protocol (RIP) v1, RIP v2, Open Shortest Path First (OSPF)RIP v2, Open Shortest Path First (OSPF)Asignación de IP mediante DHCP a los clientes Asignación de IP mediante DHCP a los clientes de VPNde VPNConexiones de marcado bajo demanda a sedes Conexiones de marcado bajo demanda a sedes remotasremotas

VPNVPNPoint-to-Point Tunneling Protocol (PPTP) Point-to-Point Tunneling Protocol (PPTP) Layer 2 Tunneling Protocol (L2TP)Layer 2 Tunneling Protocol (L2TP)

Internet Authentication Service (IAS) es la Internet Authentication Service (IAS) es la implementación del servidor RADIUS de implementación del servidor RADIUS de MicrosoftMicrosoft

Principales característicasPrincipales característicasInteroperabilidad RADIUS con Juniper, Cisco, Interoperabilidad RADIUS con Juniper, Cisco, Linux, etc.Linux, etc.

Integración con Active DirectoryIntegración con Active Directory®® para para autenticación y autorización.autenticación y autorización.

Soporta EAP (Extensible Authentication Soporta EAP (Extensible Authentication Protocol)Protocol)

Soporta políticas de acceso remotoSoporta políticas de acceso remoto

Depende de una clave compartidaDepende de una clave compartida

PPTPPPTPDesarrollado por Microsoft, es un estándar de factoDesarrollado por Microsoft, es un estándar de facto

Esta ampliamente desplegado y existen varias Esta ampliamente desplegado y existen varias implementaciones compatiblesimplementaciones compatibles

Suficientemente seguro para casi todas las aplicacionesSuficientemente seguro para casi todas las aplicaciones

L2TPL2TPEstándar de la “Internet Engineering Task Force” (IETF) Estándar de la “Internet Engineering Task Force” (IETF)

Solo un protocolo de tuneles-Unión con IPSec para Solo un protocolo de tuneles-Unión con IPSec para Autenticación y CifradoAutenticación y Cifrado

Algunos problemas de interoperabilidad.Algunos problemas de interoperabilidad.

Tanto PPTP como L2TP utilizan PPP por debajo, lo Tanto PPTP como L2TP utilizan PPP por debajo, lo que les proporciona gran parte de los que les proporciona gran parte de los requerimientos necesarios.requerimientos necesarios.

El ProblemaNecesidad creciente de tener acceso desde cualquier sitio al contenido y aplicaciones de nuestra red interna

Soluciones•Conexiones de Acceso Telefónico (Nivel de Enlace)

•Túneles VPN con IPSec (Nivel IP)

•Proxys inversos o publicación de Aplicaciones

•Servicios de Terminal

Ninguna de las soluciones carece de inconvenientes y surge la necesidad de crear un tipo mas “inteligente” de VPN

Seguridad al extender TODA la red a Seguridad al extender TODA la red a un equipo externo.un equipo externo.

Necesidad de Conectar diferentes Necesidad de Conectar diferentes tipos de dispositivos.tipos de dispositivos.

Problemas de conectividad de Problemas de conectividad de Firewalls y routers con NAT.Firewalls y routers con NAT.

Dificultades para instalar y mantener Dificultades para instalar y mantener los clientes.los clientes.

Alto TCO debido al mantenimiento.Alto TCO debido al mantenimiento.

PresentePresente VPN con SSL -SSTPVPN con SSL -SSTP IAG 2007IAG 2007

SSTP= Secure Socket Tunneling SSTP= Secure Socket Tunneling ProtocolProtocol

Una nuevo tunel VPN que permite Una nuevo tunel VPN que permite pasar trafico por firewalls y proxy que pasar trafico por firewalls y proxy que bloquean trafico PPTP y L2TP/IPsec.bloquean trafico PPTP y L2TP/IPsec.

Un mecanismo para encapsular Un mecanismo para encapsular trafico PPP por el canal SSL del trafico PPP por el canal SSL del protocolo HTTPS.protocolo HTTPS.

Al usar trafico HTTPS el trafico va por Al usar trafico HTTPS el trafico va por el puerto 443.el puerto 443.

Solo soportado por Windows 2008 y Solo soportado por Windows 2008 y Windows Vista Service Pack 1Windows Vista Service Pack 1

La configuración no es trivial:La configuración no es trivial:Necesitamos infraestructura PKINecesitamos infraestructura PKI

El servidor necesita un certificado.El servidor necesita un certificado.

El cliente necesita consultar la CLR para El cliente necesita consultar la CLR para saber si el certificado del servidor esta al saber si el certificado del servidor esta al día y por tanto la CRL debe de estar día y por tanto la CRL debe de estar publicado y accesible para el cliente.publicado y accesible para el cliente.

Opción de OCSPOpción de OCSP

Si se cambia el certificado en el servidor Si se cambia el certificado en el servidor SSTP hay que realizar el cambio mediante SSTP hay que realizar el cambio mediante el comando netsh.el comando netsh.

Bloqueo de ataques y tráfico malicioso para garantizar la

integridad de las aplicaciones y la

red

Imposición de políticas para

acceder a información

sensible

IAG es una solución de acceso seguro a aplicaciones a través de SSL que permite el control de acceso, autorización e inspección de contenidos para una amplia variedad de aplicaciones, gestionando además la seguridad del punto desde el que se accede.

Controlde

acceso

Salvaguardade la

información

Protecciónde

activos

Basado en explorador,

desde cualquier sitio y cualquier dispositivo sin necesidad de instalación en

cliente

• No llega tráfico de dispositivos no autorizados• Cada aplicación se maneja de manera

independiente• SSO • Acceso granular a aplicación, incluso a

características de la misma. Firewall de aplicación

• Todos los datos llegan a la red privada• No existe SSO de cara a las aplicaciones• Se necesita un firewall de aplicación y/o cliente

adicional

Cliente Gestión

Autenticación

Autorización

Experiencia Usuario

Tunelizado

Seguridad

Web

Aplicaciones

TCP Simple

Otras no WEB

SSL VPN Gateway

Tunel: Transferir Trafico de aplicaciones con SSL

Seguridad en el Cliente: Chequeo de Salud, borrado caches, etc..

Autenticación: Segura contra directorio Activo, SSO.

Autorización: Permitir o denegar el acceso de los usuarios a las aplicaciones

Experiencia de Usuario: Facilidad, portal de conexión, GUI..

Soporta VPNS mediante SSL para cualquier aplicaciónSoporta VPNS mediante SSL para cualquier aplicaciónWeb-Cliente Servidor-Acceso a FicherosWeb-Cliente Servidor-Acceso a Ficheros

Desarrolos personalesDesarrolos personales

De terceros (IBM, Lotus, Sap, PeopleSoft, etc…)De terceros (IBM, Lotus, Sap, PeopleSoft, etc…)

Diseñado para dispositivos Gestionados y No GestionadosDiseñado para dispositivos Gestionados y No GestionadosDetección automática del sistema del usuario, software y Detección automática del sistema del usuario, software y configuracionesconfiguraciones

Políticas de acceso dependientes del estado de seguridad del Políticas de acceso dependientes del estado de seguridad del ClienteCliente

Elimina ficheros temporales y todos los rastros en equipos no Elimina ficheros temporales y todos los rastros en equipos no gestionadosgestionados

Mejora la productividad mediante empleando las Mejora la productividad mediante empleando las aplicaciones de manera Inteligenteaplicaciones de manera InteligenteAplica políticas de aplicación granularmente según las Aplica políticas de aplicación granularmente según las funcionalidades de estafuncionalidades de esta

Controla dinámicamente los datos de la aplicación para la Controla dinámicamente los datos de la aplicación para la funcionalidad deseadafuncionalidad deseada

SSO con múltiples directorios, protocolos y formatosSSO con múltiples directorios, protocolos y formatos

Portal e interfaz de usuario totalmente configurable.Portal e interfaz de usuario totalmente configurable.

Cliente Alta Disponibilidad, Gestión, Logging, Informes, Portales Multiples

Autenticación

Autorización

Experiencia Usuario

Tunelizado

Seguridad

Aplicaciones específicas

Web

Cliente/Servidor

Java/Browser Embedded

Exchange/ Outlook

OWA

Portales SharePoint

Citrix

Aplicación Generica

Modulos

para la indentificación

de aplicaciónes

SSL VPN Gateway

Identificación de aplicaciones

OWA …………...

Citrix……..

Sharepoint. ………....

Identifiación plataforma

PDA….... Linux

……..Windows. ………...

MAC….....

ISO7799Corporate Governance

SarbOx Basel2

Regulaciones y políticas

¿QUIE

N?

¿QUE?

¿DONDE?

¿CUM

PLE?

Web proxySoporte aplicaciones webAcceso navegador y motor de traslación de contenidos

Client/Server ConnectorAplicaciones no web (Outlook, FTP, Telnet)Basado en el conocimiento de la aplicaciónJava Applet/ActiveX para encapsulado SSLPort Forwarding

Aplicaciones: puertos TCP estáticos o aplicaciones HTTP ó SOCKS proxyTecnología: Simple reenvío TCP

Socket ForwardingAplicaciones: cualquier aplicación WinSock, TCP y puertos dinámicosTecnología: proveedor LSP/NSP

Network ConnectorSimilar a VPN IPSec. Puntos de acceso de confianzaCualquier aplicación/protocoloAdaptador virtual en el cliente

Breadth of Locations“Anywhere” level

Web Proxy

Port/Socket Forwarder

Corporate laptop

Home PC

Customer/Partner PC

Internet kiosk

Network Connection

Breadth of Locations“Anywhere” level

Web Proxy

Port/Socket Forwarder

Corporate laptop

Home PC

Customer/Partner PC

Internet kiosk

Network Connection

Se teclea la URL en el browser

Se descarga un control Active-X que contiene:

Por defecto:

Component manager

Endpoint detection

Attachment Wiper

Client trace

Bajo demanda:

SSL Wrapper

Socket Forwarder

Network Connector

Acceso basado en política -> Acceso condicionado a la ubicaciónControl de acceso al portal

Punto de acceso estándarPunto de acceso privilegiadoPunto de acceso certificado

Control de acceso a aplicacionesControl de acceso a funciones (sólo web)

Upload/DownloadCheck-in/Check-outZonas privadas/restringidas

Trabaja tanto en el lado del cliente como del servidor

En cliente notifica al usuario la causa del bloqueoEn servidor impone restricciones si el cliente se las saltara

Profundo conocimiento del comportamiento de las aplicaciones se puede prevenir intentos de ataqueBloqueo de peticiones potencialmente maliciosas utilizando reglas de lógica positiva o negativa que identifican comandos o sintaxis no esperadaImposición de políticas de filtrado pre-construidas para aplicaciones soportadasReducción de la inmediatez de aplicación de parches. Prevención ataques de día cero

Borrado de la cachéEstándar DOD 5220.22-MRestauración del estado incial

04/13/2304/13/23

Acceso Remoto Seguro

Protección de aplicaciones

Imposición de políticas

• Validación de protocolo e inspección de contenido con reglas de lógica positiva o negativa

• Funcionalidad completa por medio de reescritura dinámica de URL y filtrado de parámetros HTTP

• Optimizadores de aplicación preconstruidos para aplicaciones de negocio (OWA, SharePoint, SAP y WebSphere)

• Herramientas de monitorización y reporting

• Personalización para publicación y scripting de aplicaciones internas

• Políticas de autorización granulares basadas en identidad y rol y punto de acceso

• Verificación de seguridad del punto de acceso ligado a políticas de cliente y gestión de la sesión

• Eliminación de ficheros y páginas descargados, URLSs, caché específica de aplicación, historial, cookies y credenciales de usuario

• Colaboración más segura y efectiva por medio de políticas específicas dirigidas a empleados, clientes, vendedores

• Acceso desde diversos puntos a aplicaciones web y no web, carpetas de ficheros y recursos de red a través de una conexión que trabaja a nivel de aplicación

• Diversos mecanismos de autenticación basados en Active Directory, RADIUS, LDAP y SecurID

• Web single -sign-on • Manejo de aplicaciones

embebidas en browser • Conectividad y control

para aplicaciones cliente/servidor

DEMODEMO

FuturoFuturo DirectAccessDirectAccess UAGUAG

Conexión a la red corporativa siempre Conexión a la red corporativa siempre que tenga acceso a Internet, sin que tenga acceso a Internet, sin necesidad de establecer una VPNnecesidad de establecer una VPN

Necesidades:Necesidades:Windows Server 2008 R2Windows Server 2008 R2

Clientes con Win7Clientes con Win7

Infraestructura:Infraestructura:

DC, Active DirectoryDC, Active Directory

DNS ,DNS ,

PKI,PKI,

Application ServersApplication ServersNecesita red IPv6Necesita red IPv6

DirectAccess Server

Cliente Cliente

IPsec/IPv6

Centro de Datos y Recursos Críticos del negocio

InternetInternet

Usuario Intranet

Red CorporativaRed Corporativa

Usuario Interno

IPsec/I

Pv6

IPsec

/IPv6

Asume que la Red por debajo es siempre inseguraAsume que la Red por debajo es siempre insegura

Redefine el perímetro de la red corporativa para aislar Redefine el perímetro de la red corporativa para aislar el centro de datos y los recursos críticos del negocioel centro de datos y los recursos críticos del negocio

Tunnel sobre IPv4 UDP, TLS, etc.Tunnel sobre IPv4 UDP, TLS, etc.

DirectAccessDirectAccess

Detalles TécnicosDetalles Técnicos

NAP / NPS Servers

Para el Administrador de SistemasPara el Administrador de Sistemas

Mejora la gestión de los usuarios remotosMejora la gestión de los usuarios remotosSimplificación y reducción del costo de ITSimplificación y reducción del costo de ITSeguridad consistente para todos los Seguridad consistente para todos los escenarios de accesoescenarios de acceso

Acceso seguro y transparente a los recursos Acceso seguro y transparente a los recursos coporativoscoporativosExperiencia de conectividad consistente dentro Experiencia de conectividad consistente dentro y fuera de la oficinay fuera de la oficinaCombinado con otras funcionalidades de Combinado con otras funcionalidades de Windows 7 mejora la experiencia de Windows 7 mejora la experiencia de conectividad del usuarioconectividad del usuario

Beneficios de DirectAccessBeneficios de DirectAccess

Para el Usuario FinalPara el Usuario Final

Protección completa e integrada contra las

amenazas de Internet

HoyHoy MañanaMañana

Plataforma unificada para todas las necesidades

empresariales de acceso remoto

ProtecciProtecciónón

AccesoAcceso

Los productos Forefront Edge Security and Access proporcionan protección mejorada a nivel de perímetro, y acceso orientado a aplicaciones y basado en políticas a la infraestructura corporativa de IT

Acceso a AplicacionesAcceso a Aplicaciones GestiónGestión

Configuración basada en asistente Configuración basada en asistente para los escenarios básicos, para los escenarios básicos,

permitiendo una sencilla gestión de permitiendo una sencilla gestión de las políticas. Monitorización basada las políticas. Monitorización basada

en Web y control de arrays.en Web y control de arrays.

Proxy InversoProxy InversoMotor para Motor para

reescritura y reescritura y manipulación de manipulación de

URLs para simplificar URLs para simplificar la publicaciónla publicación

SSL VPN SSL VPN TunnelingTunneling

Múltiples túneles que Múltiples túneles que proporcionan acceso proporcionan acceso para aplicaciones no para aplicaciones no

webweb

Políticas y SeguridadPolíticas y Seguridad

Inteligencia de Inteligencia de AplicaciónAplicación

Optimizadores para Optimizadores para escenarios comunes, escenarios comunes,

habilitando habilitando seguridad y seguridad y

funcionalidadfuncionalidad

Detección del Detección del punto de accesopunto de accesoPolíticas de cliente Políticas de cliente para medir el nivel para medir el nivel

de seguridadde seguridad

Basado en la plataforma Windows Server 2008

Gateways Gateways consolidadosconsolidados

TS Gateway, ADFS TS Gateway, ADFS Proxy, RRASProxy, RRAS

Generales

http://www.microsoft.es/todocontrolado

http://www.microsoft.com/forefront/default.mspx

Técnicos

http://www.microsoft.com/technet/clientsecurity/default.mspx

http://www.microsoft.com/technet/forefront/serversecurity/exchange/

http://www.microsoft.com/technet/forefront/serversecurity/sharepoint/

http://www.microsoft.com/technet/forefront/edgesecurity/iag/default.mspx

Laboratorios Virtuales

http://www.microsoft.com/technet/traincert/virtuallab/forefront.mspx