Upload
chema-alonso
View
4.744
Download
0
Tags:
Embed Size (px)
DESCRIPTION
Charla impartida por José "el abuelo" Parada de Microsoft Technet en el Asegúr@IT V que tuvo lugar en Zaragoza el 3 de Marzo de 2009 en las instalaciones del ITA.
Citation preview
José Parada GimenoIng. Preventa Sector Público
Introducción a las VPN’sIntroducción a las VPN’s
Microsoft y las VPN’sMicrosoft y las VPN’s
PasadoPasado
Presente Presente
FuturoFuturo
ConclusionesConclusiones
VPN = “Virtual Private Network” o Red VPN = “Virtual Private Network” o Red Privada VirtualPrivada Virtual
Utilizar una infraestructura pública Utilizar una infraestructura pública compartida para ofrecerle a un cliente compartida para ofrecerle a un cliente las facilidades y ventajas de una red las facilidades y ventajas de una red privadaprivada
Cualquier red IP puede considerarse Cualquier red IP puede considerarse una VPNuna VPN
Según el punto de terminaciónSegún el punto de terminaciónBasadas en el CE (overlay)Basadas en el CE (overlay)Basadas en el PE (peer-to-peer)Basadas en el PE (peer-to-peer)
Según el tráfico de cliente transportadoSegún el tráfico de cliente transportadoVPN de nivel 3VPN de nivel 3VPN de nivel 2VPN de nivel 2
Según el tipo de red del proveedorSegún el tipo de red del proveedorIP, IP/MPLS, ATM, Frame Relay, SONET/SDH, red IP, IP/MPLS, ATM, Frame Relay, SONET/SDH, red telefónica, etc.telefónica, etc.
Según la tecnología de túnelesSegún la tecnología de túnelesTúneles IPSec, L2TP, PPTP, MPLS-LSP, ATM-VP/VC, Túneles IPSec, L2TP, PPTP, MPLS-LSP, ATM-VP/VC, Frame Relay VC, SONET/SDH VT, PPP/Dial-upFrame Relay VC, SONET/SDH VT, PPP/Dial-up
Número de sedes conectadasNúmero de sedes conectadasPunto a punto: 2 sedesPunto a punto: 2 sedesMultipunto: más de dos sedesMultipunto: más de dos sedes
1ª Generación:1ª Generación: Terminadas en el CE y Terminadas en el CE y basadas en líneas dedicadas que se basadas en líneas dedicadas que se alquilaban al proveedoralquilaban al proveedor2ª Generación:2ª Generación: Terminadas en el CE a Terminadas en el CE a base de circuitos virtuales ATM/Frame base de circuitos virtuales ATM/Frame Relay sobre una red de conmutación de Relay sobre una red de conmutación de paquetes del proveedorpaquetes del proveedor3ª Generación:3ª Generación: Los proveedores ofrecen Los proveedores ofrecen servicios para gestionar los routers del servicios para gestionar los routers del cliente usados en las terminaciones en el cliente usados en las terminaciones en el CECE4ª Generación:4ª Generación: VPNs de nivel 3 VPNs de nivel 3 terminadas en el PE y basadas en IP/MPLS terminadas en el PE y basadas en IP/MPLS 5ª Generación:5ª Generación: VPNs de nivel 2 VPNs de nivel 2 terminadas en el PE y basadas en IP/MPLSterminadas en el PE y basadas en IP/MPLS
Topologías existentesTopologías existentesRedes Virtuales
VPN LAN Virtuales
Redes Acopladas (Peer)
VPNs con MPLS
GRE
VPNs nivel 3
IPSec
Redes Superpuestas
VPNs nivel 2
ATMF/RX.25
1.Físico
2. Conexión
3. Red
4. Transporte
5. Sesión
6. Presentación
7. Aplicación
SSL
IPSEC
PPTP
L2TP
Soluciones VPN
PasadoPasado PPTPPPTP L2TP/IPSecL2TP/IPSec
Microsoft tiene tecnología VPN de Microsoft tiene tecnología VPN de nivel 2 y las implementa vía nivel 2 y las implementa vía software mediante los siguientes software mediante los siguientes productosproductos
Familia de Servidores WindowsFamilia de Servidores WindowsNT 4.0. Instalado SP3 y Option Pack NT 4.0. Instalado SP3 y Option Pack
Windows 2000. Con RRAS + IAS Windows 2000. Con RRAS + IAS (RADIUS)(RADIUS)
Windows 2003. Con RRAS + IAS Windows 2003. Con RRAS + IAS (RADIUS)(RADIUS)
ISA Server 2000/2004ISA Server 2000/2004
Windows 98Windows 98Windows MileniumWindows MileniumWindows NT 4.0Windows NT 4.0Windows 2000Windows 2000Windows XPWindows XP
Windows 98, NT y Milenium Windows 98, NT y Milenium necesitan un cliente para VPN con necesitan un cliente para VPN con L2TP/IPSec L2TP/IPSec http://www.microsoft.com/windows2http://www.microsoft.com/windows2000/server/evaluation/news/bulletins000/server/evaluation/news/bulletins/l2tpclient.asp/l2tpclient.asp
Enrutamiento y acceso remoto combina los Enrutamiento y acceso remoto combina los servicios de enrutamiento IP y de redes servicios de enrutamiento IP y de redes privadas virtuales (VPN)privadas virtuales (VPN)Enrutamiento IPEnrutamiento IP
Estático, Routing Information Protocol (RIP) v1, Estático, Routing Information Protocol (RIP) v1, RIP v2, Open Shortest Path First (OSPF)RIP v2, Open Shortest Path First (OSPF)Asignación de IP mediante DHCP a los clientes Asignación de IP mediante DHCP a los clientes de VPNde VPNConexiones de marcado bajo demanda a sedes Conexiones de marcado bajo demanda a sedes remotasremotas
VPNVPNPoint-to-Point Tunneling Protocol (PPTP) Point-to-Point Tunneling Protocol (PPTP) Layer 2 Tunneling Protocol (L2TP)Layer 2 Tunneling Protocol (L2TP)
Internet Authentication Service (IAS) es la Internet Authentication Service (IAS) es la implementación del servidor RADIUS de implementación del servidor RADIUS de MicrosoftMicrosoft
Principales característicasPrincipales característicasInteroperabilidad RADIUS con Juniper, Cisco, Interoperabilidad RADIUS con Juniper, Cisco, Linux, etc.Linux, etc.
Integración con Active DirectoryIntegración con Active Directory®® para para autenticación y autorización.autenticación y autorización.
Soporta EAP (Extensible Authentication Soporta EAP (Extensible Authentication Protocol)Protocol)
Soporta políticas de acceso remotoSoporta políticas de acceso remoto
Depende de una clave compartidaDepende de una clave compartida
PPTPPPTPDesarrollado por Microsoft, es un estándar de factoDesarrollado por Microsoft, es un estándar de facto
Esta ampliamente desplegado y existen varias Esta ampliamente desplegado y existen varias implementaciones compatiblesimplementaciones compatibles
Suficientemente seguro para casi todas las aplicacionesSuficientemente seguro para casi todas las aplicaciones
L2TPL2TPEstándar de la “Internet Engineering Task Force” (IETF) Estándar de la “Internet Engineering Task Force” (IETF)
Solo un protocolo de tuneles-Unión con IPSec para Solo un protocolo de tuneles-Unión con IPSec para Autenticación y CifradoAutenticación y Cifrado
Algunos problemas de interoperabilidad.Algunos problemas de interoperabilidad.
Tanto PPTP como L2TP utilizan PPP por debajo, lo Tanto PPTP como L2TP utilizan PPP por debajo, lo que les proporciona gran parte de los que les proporciona gran parte de los requerimientos necesarios.requerimientos necesarios.
El ProblemaNecesidad creciente de tener acceso desde cualquier sitio al contenido y aplicaciones de nuestra red interna
Soluciones•Conexiones de Acceso Telefónico (Nivel de Enlace)
•Túneles VPN con IPSec (Nivel IP)
•Proxys inversos o publicación de Aplicaciones
•Servicios de Terminal
Ninguna de las soluciones carece de inconvenientes y surge la necesidad de crear un tipo mas “inteligente” de VPN
Seguridad al extender TODA la red a Seguridad al extender TODA la red a un equipo externo.un equipo externo.
Necesidad de Conectar diferentes Necesidad de Conectar diferentes tipos de dispositivos.tipos de dispositivos.
Problemas de conectividad de Problemas de conectividad de Firewalls y routers con NAT.Firewalls y routers con NAT.
Dificultades para instalar y mantener Dificultades para instalar y mantener los clientes.los clientes.
Alto TCO debido al mantenimiento.Alto TCO debido al mantenimiento.
PresentePresente VPN con SSL -SSTPVPN con SSL -SSTP IAG 2007IAG 2007
SSTP= Secure Socket Tunneling SSTP= Secure Socket Tunneling ProtocolProtocol
Una nuevo tunel VPN que permite Una nuevo tunel VPN que permite pasar trafico por firewalls y proxy que pasar trafico por firewalls y proxy que bloquean trafico PPTP y L2TP/IPsec.bloquean trafico PPTP y L2TP/IPsec.
Un mecanismo para encapsular Un mecanismo para encapsular trafico PPP por el canal SSL del trafico PPP por el canal SSL del protocolo HTTPS.protocolo HTTPS.
Al usar trafico HTTPS el trafico va por Al usar trafico HTTPS el trafico va por el puerto 443.el puerto 443.
Solo soportado por Windows 2008 y Solo soportado por Windows 2008 y Windows Vista Service Pack 1Windows Vista Service Pack 1
La configuración no es trivial:La configuración no es trivial:Necesitamos infraestructura PKINecesitamos infraestructura PKI
El servidor necesita un certificado.El servidor necesita un certificado.
El cliente necesita consultar la CLR para El cliente necesita consultar la CLR para saber si el certificado del servidor esta al saber si el certificado del servidor esta al día y por tanto la CRL debe de estar día y por tanto la CRL debe de estar publicado y accesible para el cliente.publicado y accesible para el cliente.
Opción de OCSPOpción de OCSP
Si se cambia el certificado en el servidor Si se cambia el certificado en el servidor SSTP hay que realizar el cambio mediante SSTP hay que realizar el cambio mediante el comando netsh.el comando netsh.
Bloqueo de ataques y tráfico malicioso para garantizar la
integridad de las aplicaciones y la
red
Imposición de políticas para
acceder a información
sensible
IAG es una solución de acceso seguro a aplicaciones a través de SSL que permite el control de acceso, autorización e inspección de contenidos para una amplia variedad de aplicaciones, gestionando además la seguridad del punto desde el que se accede.
Controlde
acceso
Salvaguardade la
información
Protecciónde
activos
Basado en explorador,
desde cualquier sitio y cualquier dispositivo sin necesidad de instalación en
cliente
• No llega tráfico de dispositivos no autorizados• Cada aplicación se maneja de manera
independiente• SSO • Acceso granular a aplicación, incluso a
características de la misma. Firewall de aplicación
• Todos los datos llegan a la red privada• No existe SSO de cara a las aplicaciones• Se necesita un firewall de aplicación y/o cliente
adicional
Cliente Gestión
Autenticación
Autorización
Experiencia Usuario
Tunelizado
Seguridad
Web
Aplicaciones
TCP Simple
Otras no WEB
SSL VPN Gateway
Tunel: Transferir Trafico de aplicaciones con SSL
Seguridad en el Cliente: Chequeo de Salud, borrado caches, etc..
Autenticación: Segura contra directorio Activo, SSO.
Autorización: Permitir o denegar el acceso de los usuarios a las aplicaciones
Experiencia de Usuario: Facilidad, portal de conexión, GUI..
Soporta VPNS mediante SSL para cualquier aplicaciónSoporta VPNS mediante SSL para cualquier aplicaciónWeb-Cliente Servidor-Acceso a FicherosWeb-Cliente Servidor-Acceso a Ficheros
Desarrolos personalesDesarrolos personales
De terceros (IBM, Lotus, Sap, PeopleSoft, etc…)De terceros (IBM, Lotus, Sap, PeopleSoft, etc…)
Diseñado para dispositivos Gestionados y No GestionadosDiseñado para dispositivos Gestionados y No GestionadosDetección automática del sistema del usuario, software y Detección automática del sistema del usuario, software y configuracionesconfiguraciones
Políticas de acceso dependientes del estado de seguridad del Políticas de acceso dependientes del estado de seguridad del ClienteCliente
Elimina ficheros temporales y todos los rastros en equipos no Elimina ficheros temporales y todos los rastros en equipos no gestionadosgestionados
Mejora la productividad mediante empleando las Mejora la productividad mediante empleando las aplicaciones de manera Inteligenteaplicaciones de manera InteligenteAplica políticas de aplicación granularmente según las Aplica políticas de aplicación granularmente según las funcionalidades de estafuncionalidades de esta
Controla dinámicamente los datos de la aplicación para la Controla dinámicamente los datos de la aplicación para la funcionalidad deseadafuncionalidad deseada
SSO con múltiples directorios, protocolos y formatosSSO con múltiples directorios, protocolos y formatos
Portal e interfaz de usuario totalmente configurable.Portal e interfaz de usuario totalmente configurable.
Cliente Alta Disponibilidad, Gestión, Logging, Informes, Portales Multiples
Autenticación
Autorización
Experiencia Usuario
Tunelizado
Seguridad
Aplicaciones específicas
Web
Cliente/Servidor
Java/Browser Embedded
Exchange/ Outlook
OWA
Portales SharePoint
Citrix
Aplicación Generica
Modulos
para la indentificación
de aplicaciónes
SSL VPN Gateway
Identificación de aplicaciones
OWA …………...
Citrix……..
Sharepoint. ………....
Identifiación plataforma
PDA….... Linux
……..Windows. ………...
MAC….....
ISO7799Corporate Governance
SarbOx Basel2
Regulaciones y políticas
¿QUIE
N?
¿QUE?
¿DONDE?
¿CUM
PLE?
Web proxySoporte aplicaciones webAcceso navegador y motor de traslación de contenidos
Client/Server ConnectorAplicaciones no web (Outlook, FTP, Telnet)Basado en el conocimiento de la aplicaciónJava Applet/ActiveX para encapsulado SSLPort Forwarding
Aplicaciones: puertos TCP estáticos o aplicaciones HTTP ó SOCKS proxyTecnología: Simple reenvío TCP
Socket ForwardingAplicaciones: cualquier aplicación WinSock, TCP y puertos dinámicosTecnología: proveedor LSP/NSP
Network ConnectorSimilar a VPN IPSec. Puntos de acceso de confianzaCualquier aplicación/protocoloAdaptador virtual en el cliente
Breadth of Locations“Anywhere” level
Web Proxy
Port/Socket Forwarder
Corporate laptop
Home PC
Customer/Partner PC
Internet kiosk
Network Connection
Breadth of Locations“Anywhere” level
Web Proxy
Port/Socket Forwarder
Corporate laptop
Home PC
Customer/Partner PC
Internet kiosk
Network Connection
Se teclea la URL en el browser
Se descarga un control Active-X que contiene:
Por defecto:
Component manager
Endpoint detection
Attachment Wiper
Client trace
Bajo demanda:
SSL Wrapper
Socket Forwarder
Network Connector
Acceso basado en política -> Acceso condicionado a la ubicaciónControl de acceso al portal
Punto de acceso estándarPunto de acceso privilegiadoPunto de acceso certificado
Control de acceso a aplicacionesControl de acceso a funciones (sólo web)
Upload/DownloadCheck-in/Check-outZonas privadas/restringidas
Trabaja tanto en el lado del cliente como del servidor
En cliente notifica al usuario la causa del bloqueoEn servidor impone restricciones si el cliente se las saltara
Profundo conocimiento del comportamiento de las aplicaciones se puede prevenir intentos de ataqueBloqueo de peticiones potencialmente maliciosas utilizando reglas de lógica positiva o negativa que identifican comandos o sintaxis no esperadaImposición de políticas de filtrado pre-construidas para aplicaciones soportadasReducción de la inmediatez de aplicación de parches. Prevención ataques de día cero
Borrado de la cachéEstándar DOD 5220.22-MRestauración del estado incial
04/13/2304/13/23
Acceso Remoto Seguro
Protección de aplicaciones
Imposición de políticas
• Validación de protocolo e inspección de contenido con reglas de lógica positiva o negativa
• Funcionalidad completa por medio de reescritura dinámica de URL y filtrado de parámetros HTTP
• Optimizadores de aplicación preconstruidos para aplicaciones de negocio (OWA, SharePoint, SAP y WebSphere)
• Herramientas de monitorización y reporting
• Personalización para publicación y scripting de aplicaciones internas
• Políticas de autorización granulares basadas en identidad y rol y punto de acceso
• Verificación de seguridad del punto de acceso ligado a políticas de cliente y gestión de la sesión
• Eliminación de ficheros y páginas descargados, URLSs, caché específica de aplicación, historial, cookies y credenciales de usuario
• Colaboración más segura y efectiva por medio de políticas específicas dirigidas a empleados, clientes, vendedores
• Acceso desde diversos puntos a aplicaciones web y no web, carpetas de ficheros y recursos de red a través de una conexión que trabaja a nivel de aplicación
• Diversos mecanismos de autenticación basados en Active Directory, RADIUS, LDAP y SecurID
• Web single -sign-on • Manejo de aplicaciones
embebidas en browser • Conectividad y control
para aplicaciones cliente/servidor
DEMODEMO
FuturoFuturo DirectAccessDirectAccess UAGUAG
Conexión a la red corporativa siempre Conexión a la red corporativa siempre que tenga acceso a Internet, sin que tenga acceso a Internet, sin necesidad de establecer una VPNnecesidad de establecer una VPN
Necesidades:Necesidades:Windows Server 2008 R2Windows Server 2008 R2
Clientes con Win7Clientes con Win7
Infraestructura:Infraestructura:
DC, Active DirectoryDC, Active Directory
DNS ,DNS ,
PKI,PKI,
Application ServersApplication ServersNecesita red IPv6Necesita red IPv6
DirectAccess Server
Cliente Cliente
IPsec/IPv6
Centro de Datos y Recursos Críticos del negocio
InternetInternet
Usuario Intranet
Red CorporativaRed Corporativa
Usuario Interno
IPsec/I
Pv6
IPsec
/IPv6
Asume que la Red por debajo es siempre inseguraAsume que la Red por debajo es siempre insegura
Redefine el perímetro de la red corporativa para aislar Redefine el perímetro de la red corporativa para aislar el centro de datos y los recursos críticos del negocioel centro de datos y los recursos críticos del negocio
Tunnel sobre IPv4 UDP, TLS, etc.Tunnel sobre IPv4 UDP, TLS, etc.
DirectAccessDirectAccess
Detalles TécnicosDetalles Técnicos
NAP / NPS Servers
Para el Administrador de SistemasPara el Administrador de Sistemas
Mejora la gestión de los usuarios remotosMejora la gestión de los usuarios remotosSimplificación y reducción del costo de ITSimplificación y reducción del costo de ITSeguridad consistente para todos los Seguridad consistente para todos los escenarios de accesoescenarios de acceso
Acceso seguro y transparente a los recursos Acceso seguro y transparente a los recursos coporativoscoporativosExperiencia de conectividad consistente dentro Experiencia de conectividad consistente dentro y fuera de la oficinay fuera de la oficinaCombinado con otras funcionalidades de Combinado con otras funcionalidades de Windows 7 mejora la experiencia de Windows 7 mejora la experiencia de conectividad del usuarioconectividad del usuario
Beneficios de DirectAccessBeneficios de DirectAccess
Para el Usuario FinalPara el Usuario Final
Protección completa e integrada contra las
amenazas de Internet
HoyHoy MañanaMañana
Plataforma unificada para todas las necesidades
empresariales de acceso remoto
ProtecciProtecciónón
AccesoAcceso
Los productos Forefront Edge Security and Access proporcionan protección mejorada a nivel de perímetro, y acceso orientado a aplicaciones y basado en políticas a la infraestructura corporativa de IT
Acceso a AplicacionesAcceso a Aplicaciones GestiónGestión
Configuración basada en asistente Configuración basada en asistente para los escenarios básicos, para los escenarios básicos,
permitiendo una sencilla gestión de permitiendo una sencilla gestión de las políticas. Monitorización basada las políticas. Monitorización basada
en Web y control de arrays.en Web y control de arrays.
Proxy InversoProxy InversoMotor para Motor para
reescritura y reescritura y manipulación de manipulación de
URLs para simplificar URLs para simplificar la publicaciónla publicación
SSL VPN SSL VPN TunnelingTunneling
Múltiples túneles que Múltiples túneles que proporcionan acceso proporcionan acceso para aplicaciones no para aplicaciones no
webweb
Políticas y SeguridadPolíticas y Seguridad
Inteligencia de Inteligencia de AplicaciónAplicación
Optimizadores para Optimizadores para escenarios comunes, escenarios comunes,
habilitando habilitando seguridad y seguridad y
funcionalidadfuncionalidad
Detección del Detección del punto de accesopunto de accesoPolíticas de cliente Políticas de cliente para medir el nivel para medir el nivel
de seguridadde seguridad
Basado en la plataforma Windows Server 2008
Gateways Gateways consolidadosconsolidados
TS Gateway, ADFS TS Gateway, ADFS Proxy, RRASProxy, RRAS
Generales
http://www.microsoft.es/todocontrolado
http://www.microsoft.com/forefront/default.mspx
Técnicos
http://www.microsoft.com/technet/clientsecurity/default.mspx
http://www.microsoft.com/technet/forefront/serversecurity/exchange/
http://www.microsoft.com/technet/forefront/serversecurity/sharepoint/
http://www.microsoft.com/technet/forefront/edgesecurity/iag/default.mspx
Laboratorios Virtuales
http://www.microsoft.com/technet/traincert/virtuallab/forefront.mspx