Windows Server 2008 R2

Implantación de IPSec

AgendaIntroducción

Problemática del envío de datosSnnifing y Spoofing de Red

IPSecIPSec en arquitecturas WindowsIPSec con clave compartidaIPSec con KerberosIpsec con certificados digitales

Diseño de infraestructuras con IPSecMonitorización de IPSecIPSec en arquitecturas VPN

Problemáticas de la comunicaciónGran cantidad de los datos que circulan por la

red circulan en claro y pueden ser capturados e interpretados por un analizador de red.

Estos datos además de ser interpretados pueden ser modificados y retransmitidos posteriormente a la red.

Los sistemas no comprueban la autenticidad del origen de los datos.

Sniifing y Spoofing de Red

Técnicas de SniffingCapturan tráfico de red.Necesitan que la señal física llegue al NIC.En redes de difusión mediante

concentradores todas las señales llegan a todos los participantes de la comunicación.

En redes conmutadas la comunicación se difunde en función de direcciones.Switches utilizan dirección MAC.

PC HACKER

PC 1

PC 2 PC 3

PC 4

Sniffer

Datos PC 4

filtra filtra

Sniffing en redes de difusión

Técnicas de SpoofingLas técnicas de spoofing tienen como objetivo

suplantar validadores estáticos.

Un validador estático es un medio de autenticación que permanece invariable

antes, durante y después de la concession.

PC HACKER

PC 1

PC 2 PC 3

PC 4

Sniffer

Datos PC 4MAC 1

MAC 2 MAC H MAC 3

MAC 4

Puerto 1 MAC 1

Puerto 2 MAC 2

Puerto 6 MAC H

Puerto 11 MAC 3

Puerto 12 MAC 4

Sniffing en redes conmutadas

Ataque ARP Man In The Middle

¿Quien tiene

1.1.1.2?

1.1.

1.2

esta

en

99:8

8:77

:66:

55:4

4

1.1.1.2 esta en 00:11:22:33:44:55:66

1.1.1.1

1.1.1.2

1.1

.1.1

esta

en

99:8

8:7

7:6

6:5

5:

44

IPSec

Cifrado de Comunicaciones

IPv4 no ofrece cifrado de comunicaciones a nivel de red y transporte.

Solo se puede garantizar la no interceptación de la información en líneas privadas.

Los entornos son abiertos. Movilidad.

La privacidad de la información es una necesidad

Cifrado de ComunicacionesLa elección de la

protección debe cumplir:No anular otras

defensas.Permitir autenticación

integrada.No suponer un coste

excesivo en: Rendimiento. Adquisición. Implantación. Mantenimiento.

Cifrado de Comunicaciones

Soluciones:Red : IPv6 -> IPSec.Transporte:

TLS SSL

Aplicación: HTTP-s FTP-s SSH.

Datos: Cifrado información.

Objetivos de IPSEC

IPSEC es un estándar que tiene como objetivo la verificación, autentificación y encriptación de datos en el nivel de red.

IPSEC es controlado mediante una serie de reglas y filtros que determinan que tipo de tráfico va a necesitar la encriptación, la firma digital o ambos.

El proceso del envío de información cifrada a través de la red es transparente para los usuarios y las aplicaciones que envían información a través de la red.

Beneficios de IPSECAutentificación mutua al inicio y durante la

comunicación.

Confidencialidad por autentificación digital y encriptación de paquetes.

Integridad IP por rechazo de paquetes modificados.

Prevención contra ataques de repetición de tramas.

Modos IPSEC

IPSEC trabaja en dos modos:Autentication Header (AH),que firma

digitalmente el tráfico de red, pero no lo encripta.

ESP (Encapsulation Security Payload), que proporciona encriptación de datos, mediante algoritmo.

IPSec - Firewalls

IPSec se enruta como tráfico IPv4.

En firewalls debe ser activado el reenvio IP para:IP Protocol (ESP).IP Protocol (AH).UDP Port .

El tráfico IPSec que pasa por un firewall no puede ser inspeccionado.

Modos de trabajo

El sistema IPSEC puede trabajar en dos modos:Modo de transporte: donde la encriptación se

realiza de extremo a extremo.

Modo túnel donde la encriptación se realiza únicamente entre los extremos del tunel.

Modos IPSECModo de transporte

Proporciona cifrado y autenticación de extremo a extremo

Cifrado

Modo de túnelProporciona cifrado y autenticación sólo entre los puntos finales del túnel

Cifrado

IPSec en arquitecturas Windows

IPsec en Windows Server 2008 R2

Hay 3 maneras de implementar IPsec en entornos Windows Server 2008 R2Consola de Firewall Avanzado de WindowsMMC + Snap-In de Directivas de seguridad de IPGPO

Se pueden crear usando las configuraciones anteriores Exportando la configuración local Importando la configuración en la GPO

NOTA: En la MMC no se admiten todos los protocolos de cifrado y autenticación (retro compatibilidad)

Integración de IPsec en la Consola de FirewallReglas de seguridad de conexiónSupervisión

Asociaciones de seguridad Modo Principal Modo Rápido

Integración de IPsec en la Consola de FirewallAsistentes de configuración

Integración de IPsec en la Consola de Firewall

Propiedades generales de IPsec

IPSec en arquitecturas WindowsMétodos de autenticación

Determinan el proceso inicial de la comunicación IPSEC.

Existen 3 metodologías de autentificación: Kerberos. Certificado. Clave Compartida.

IPSec en arquitecturas WindowsKerberos.

Requiere tiempo de sincronización.Solo dentro del bosque

Certificados.Requiere la implementación de PKI.CRL está deshabilitado por defecto.

Secretos Compartidos (shared secrets).Tan seguro como sea el secreto.En entornos grandes es dificil de mantener.

IPSec en arquitecturas WindowsMétodos de seguridad

Determina la seguridad de la transmisión de la información.

Se pueden definir: Integridad AH (Algoritmos AES, SHA1, MD5). Integridad ESP (Algoritmos AES, SHA1, MD5). Confidencialidad ESP (Algoritmos AES, DES, 3DES). Confidencialidad AH + ESP (No atraviesa NAT)

IPSec en arquitecturas WindowsIPSec en Windows Server 2008 se configura

mediante políticas.

Almacenadas en el Directorio Activo o en en Registro Local del Servidor.

Controlan la entrada y salida de paquetes permitidos.

Aplicables a clientes Windows 2000, Windows XP, Windows Server 2003, Windows Vista, Windows Server 2008 y Windows Server 2008 R2

IPSec en arquitecturas WindowsPolíticas de IPSec

Podrán utilizarse políticas por defecto o las creadas manualmente.

El sistema proporciona 3 políticas por defecto que van a determinar diferentes comportamientos de la máquina con respecto a IPSEC. Cliente. Servidor. Servidor seguro.

IPSec en arquitecturas WindowsPolítica de cliente

Modo de solo respuestas.

Un sistema en modo cliente responde a peticiones que le realicen en IPSEC.

No inicia conversaciones en modo IPSEC, solamente en claro.

IPSec en arquitecturas WindowsPolítica de servidor

Intenta establecer comunicaciones cifradas, pero si la otra máquina no tiene configurado IPSEC la comunicación se establece en claro.

Este modo está definido por 3 reglas que determinan el comportamiento general del sistema a las peticiones: IP. ICMP. Tráfico dinámico.

IPSec en arquitecturas WindowsPolítica de servidor

seguroEl equipo solo puede

establecer comunicaciones seguras.

La política establece 3 reglas, para el tráfico de peticiones: IP. ICMP. Tráfico dinámico.

Servidor B. de D.

Resto del Personal

Médico

Servidor SeguroServidor

No IPSEC

Texto claro

Texto cifrado

Conexión

Ejemplo de implementación de IPSec en un Hospital

IPSec en arquitecturas WindowsReglas de IPSec

Las reglas IPSEC determinan el comportamiento del sistema en la transmisión de la información.

Las reglas están compuestas por los siguientes objetos: Filtros. Acción de filtros. Método de autentificación.

IPSec en arquitecturas WindowsEn la configuración de las reglas hay que

especificar las siguientes acciones:Determinar la posibilidad o no de establecer un

túnel de comunicación.Qué redes se van a ver afectadas por la regla.El método de autentificación inicial para la

transmisión.Métodos de seguridad.Los filtros y las acciones de filtrado.

IPSec en arquitecturas WindowsEn la configuración de los filtros hay que

especificar los siguientes parámetros:Determinar la posibilidad o no de establecer un

túnel de comunicación.Qué redes o equipos se van a ver afectados.El método de autentificación para la

transmisión.Métodos de seguridad.Las acciones de filtrado.

IPSec en arquitecturas Windows Despliegue de políticas por GPOs

Despliegue centralizado desde el directorio activo

Configuración mediante plantillas

Domain

OU

Site

GPOGPO

Monitorización de IPSecWindows Server 2008, 2008R2, Windows 7,

Windows Vista y Windows XP incorporan una consola de monitorización de sesiones IPsec.

Se pueden observar los modos rápido y normal, así como el número de paquetes enviados o recibidos con seguridad

Para acceder a la consola:Inicio > Ejecutar > MMC >

Agregar complemento >Monitor de IPSec

Desde la consola de Firewall Avanzado (Supervisión)

Monitorización de IPSec

! Gracias !