Consejos Prácticos en la detección de Intrusos Establecimiento de una red Privado Virtual La mayoría de documentos VPN−relacionados típicos define VPN, como la extensión de una red privada. No obstante este tipo de definición significa nada y caracteriza solamente el concepto de VPN como factor de la determinación de una red privada, que sigue siendo algo confusa. VPN es una abreviatura para la red privada virtual. ¿Qué es el VPN? La mayoría de documentos VPN−relacionados típicos define VPN, como la extensión de una red privada. No obstante este tipo de definición significa nada y caracteriza solamente el concepto de VPN como factor de la determinación de una red privada, que sigue siendo algo confusa. VPN es una abreviatura para la red privada virtual. ¿Todos sabe lo que un?network? está haciendo explicaciones insustanciales. Una red privada es una donde están secretas todas las trayectorias de datos hasta cierto punto, con todo se abre en un grupo limitado de personas, por ejemplo, en los empleados de una compañía específica. En teoría, la manera más simple de crear tal red sería aislar esta red del Internet. Sin embargo en el caso de un negocio con algunos ramas alejados no es tan simple. Las líneas arrendadas podrían ser una solución, pero costosa, que no aseguraría necesariamente el grado requerido de seguridad. ¿Además, los circuitos arrendados sufren de un solo síndrome culpable del acoplamiento? la conexión que va abajo a partir de tiempo al tiempo puede crear un desastre importante o de menor importancia para una compañía. Además, hay a veces una necesidad de dar el acceso a una parte de los recursos de una red privada a los usuarios externos, y eso no sería posible sobre una red físicamente separada. Por supuesto, una solución pudo ser emplear un servidor alejado sin embargo que implicaría los honorarios adicionales para las sesiones del teléfono que pueden también ser interurbanas. ¿Qué sobre la palabra del zumbido?virtual?? Actualmente, VPN está lejos de ser una estructura físicamente separada. Utiliza la infraestructura existente que abarca LANs y wANs, y donde una espina dorsal IPv6 puede ser apoyada tan bien como cualquier establecimiento de una red, a condición de que puede seamlessly ser integrado con tecnologías de los today?s. La transferencia de datos sobre una red pública se logra usando una de las tecnologías disponibles el hacer un túnel y todos los datos se pueden cifrar para alzar seguridad. Después de esta introducción, la definición de un VPN como red privada dedicada basada en la infraestructura existente de la red pública y las técnicas del cifrado y el hacer un túnel de datos que incorporan para proporcionar seguridad de datos, es bastante directas. ¿Cuáles son las ventajas de usar VPN? 1 Consejos Prácticos en la detección de Intrusos Hay varias razones de utilizar seguridad de datos sensible de VPNs. es indudablemente una edición importante, así como otras materias tales como contraseñas perdidosas, que contrariamente a la creencia popular no es el sino posible peor. Por ejemplo, si una compañía de desarrollo del software del multi−rama almacena sus archivos de fuente del software en un depósito central de CVS, y un rival que compañía maneja interceptar el tráfico entre el rama y el CVS, de la red puede robar algunas ideas brillantes incorporadas en los programas del software. La cantidad de daños implicados en tal caso puede ser millones de pleitos posibles de los dólares sin embargo es raramente tan rápida y directa como esperado. Desde el punto de vista económico, la creación de un VPN puede ser menos costosa que líneas arrendadas el mantener, aunque el coste de soportes lógico inalterable de VPN puede aparecer ser enorme. En hecho, los datos perdidos pueden resultar ser más costosos lejano. El equipo costoso se necesita raramente para poner un VPN en ejecucio'n. En la práctica, cualquier máquina de Microsoft Windows se puede utilizar como el cliente de VPN y la computadora de cualquier NET De Windows 2000 o de Windows se puede configurar para ser el servidor de VPN. ¿Qué protocolos se pueden utilizar sobre una conexión de VPN? El concepto del establecimiento de una red de VPN se basa, hasta cierto punto, en punto para señalar acoplamientos. En redes de VPN se emulan usando la encapsulación de datos y hacer un túnel es decir los datos se envuelve con un jefe que proporcione la información de encaminamiento necesaria. Para realzar confianza e integridad de los datos, los paquetes que son enviados se pueden cifrar antes de entrar en el túnel e incluso si están interceptados (que no es difícil pues él se envía sobre una red pública), siguen siendo indescifrables sin llaves del cifrado. Las conexiones de VPN permiten a usuarios que trabajan de hogar o lejos en un viaje de negocios obtener un telecontrol, instaló dinámicamente la conexión de VPN con su Intranet de los company?s. De la perspectiva de los user?s, el VPN es un punto para señalar la conexión dentro del servidor de los organisation?s, que funciona lógicamente a un cierto grado como línea arrendada o proporciona la ayuda para dial−en la conectividad de VPN. El engranaje de VPN se puede construir alrededor de varios protocolos dependiendo de las capacidades del hardware y del software. Para el uso general VPNs de Windows 2000, los protocolos comúnmente reconocidos son PPTP y L2TP, combinados con IPSec. Entre estos dos protocolos, PPTP es más viejo. Es un protocolo el hacer un túnel de la capa 2 (OSI) que encapsula marcos del PPP como 2 Consejos Prácticos en la detección de Intrusos datagramas del IP. Para la creación y el mantenimiento del túnel, PPTP utiliza el protocolo del TCP. La encapsulación utiliza un puerto (al azar) efímero del cliente−lado mientras que el servidor de PPTP se asocia al puerto 1723. Se encapsulan los paquetes usando la encapsulación genérica de la encaminamiento (GRE). La encapsulación de PPTP para las cargas útiles es como sigue: • la carga útil se encapsula con un marco del PPP. • el marco del PPP se encapsula con un jefe y el acoplado de GRE. • el marco de GRE se envía como carga útil nueva para un nuevo IP DATAGRAM entre el cliente y el servidor de PPTP. • El cifrado de datos es una parte vital de mecanismos de VPN. PPTP de un PPP de las aplicaciones para proporcionar secreto de los datos. En Microsoft Windows 2000 puestas en práctica, el marco del PPP se cifran con MPPE. Las llaves para el cifrado se generan de Ms−agrietan o proceso de la autentificación de Eap−tls, por lo tanto el cliente debe utilizar cualquier protocolo para las comunicaciones con el servidor de VPN que se cifrará, si no todas las cargas útiles serán enviadas en plaintext sobre el túnel. PPTP se documenta en RFC 2637. El protocolo de L2TP es del una combinación la capa 2 de Cisco® Systems Inc. la expedición y PPTP usando el mejor de ambos. L2TP es más flexible que PPTP, su uso, sin embargo, implica que una computadora más de gran alcance es necesaria que para una puesta en práctica de PPTP. L2TP funciona en protocolo el hacer un túnel de la capa 2 (OSI). Encapsula marcos del PPP para enviarlos entre el servidor y el cliente. Se ha diseñado para funcionar directamente con varias tecnologías de no−IP WAN. Como PPTP, L2TP encapsula datagramas originales del IP sobre la red. ¿Puesto que el cifrado para L2TP se proporciona IPSec, la encapsulación se divide en dos capas? la encapsulación inicial de L2TP y la encapsulación de IPSec. El proceso es como sigue: • la carga útil inicial se encapsula con un marco del PPP. • el marco del PPP con se coloca en un nuevo IP DATAGRAM encapsulado un jefe del UDP y un jefe de L2TP. • La carga útil encapsulada TheL2TP es IPSec es decir que se agrega con un IPSec que encapsula la carga útil de la seguridad (ESPECIALMENTE) y un acoplado de la autentificación de IPSec (AUTH). De esta manera, la integridad y la autentificación de mensajes se proporcionan en el camino. En esta etapa, los mensajes hechos un túnel todavía no se cifran. IPSecESP es el mecanismo para proporcionar llaves del cifrado a los datos de L2TP. Es posible tener una conexión non−encrypted de L2TP donde el marco del PPP se envía en plaintext. Sin embargo, una solución tan insegura es absurda y 3 Consejos Prácticos en la detección de Intrusos no se recomienda definitivamente. L2TP se documenta en RFC 2661. Las diferencias principales entre PPTP y L2TP son como sigue: • PPTP requiere una capa de transporte basada IP de la red mientras que L2TP requiere solamente que los medios proporcionen el punto a la conectividad del punto. El protocolo de L2TP se puede utilizar tan directamente sobre el relais del capítulo del IP, X.25 y ATM. PPTP no puede apoyar los medios no−IP directamente. • PPTP apoya solamente un solo túnel entre el servidor de VPN y el cliente. Con L2TP, los túneles múltiples se pueden apoyar para transportar las cargas útiles end−to−end. Por lo tanto, las operaciones del multi−tu'nel son posibles con L2TP que corresponde a los varios niveles de la calidad del servicio (QoS) y de la seguridad. • el protocolo de L2TP proporciona mecanismos de la compresión del jefe. Cuando se permite esta función, el jefe de L2TP es más pequeño que el jefe de PPTP, y dará lugar a pocas sesiones simultáneas de RTP que son requeridas para producir eficacias de la anchura de banda. PPTP sigue siendo más popular que L2TP, y se utiliza en los sistemas de Microsoft Windows 95, de Windows 98, de Windows NT 4,0, de Windows 2000 y de Windows XP/.NET. L2TP se apoya de Windows 2000 hacia adelante. Las puestas en práctica de L2TP para más viejas versiones de Windows pueden estar disponibles como productos de los terceros. Puede ser que sea en la práctica difícil encontrar tales soluciones mientras que por razones económicas, aumentando un OSes más viejo a Windows 2000 o XP podría ser menos costoso que las extensiones igual. ¿Aunque L2TP y PPTP son los protocolos principales el hacer un túnel usados en Windows 2000, cierta puesta en práctica de VPN se puede construir usando el protocolo de IPSec mencionado ya en la discusión encendido tunneled la confianza de la carga útil asegurada por L2TP. IPSec existe pues el modelo el hacer un túnel de los datos de la capa 3 (OSI) que utiliza un modo específico? ESPECIALMENTE el modo del túnel que encapsulación fuerte y cifrado del IP DATAGRAM de las ofertas que es enviado sobre una red del IP del público. Con este modo, se encapsulan los datagramas enteros del IP y el usar cifrado ESPECIALMENTE. El IP DATAGRAM finalmente se encapsula con un jefe nuevo del IP y el datagrama nuevo obtenido se envía sobre una red. Sobre el recibo del datagrama de L2TP, el recipiente procesa el marco del dato−acoplamiento para authenticar el contenido y envía los datos al sitio de la destinación. 4 Consejos Prácticos en la detección de Intrusos ¿Qué mecanismos de la seguridad están disponibles con VPN? ¿Autorización ? Las conexiones de VPN se crean solamente para los usuarios y las rebajadoras se han autorizado que. Para Windows 2000, la autorización de las conexiones de VPN se determina cerca dial−en características en las políticas de la cuenta del usuario y del acceso alejado. Si no autorizan a un usuario o una rebajadora para tales conexiones, el servidor las inhabilitará. Authentication This is a vital security concern. Authentication takes place at two levels: 1. Machine−level authentication when IPSec protocol is used for a VPN connection, machine−level authentication is performed through the exchange of machine certificates during the establishment of the IPSec connection. 2. User−level authentication before data can be sent over the PPTP or L2TP tunnel, the user must be authenticated. This is done through the use of a PPP authentication method. Cifrado de datos− los protocolos creaban conexiones de VPN permiten que los datos cifrados sean enviados sobre una red. Aunque es posible tener una conexión non−encrypted, esto no se recomienda. Observe que el cifrado de datos para las conexiones de VPN no proporciona la seguridad end−to−end (cifrado), pero solamente seguridad entre el cliente y el servidor de VPN. Para proporcionar una conexión end−to−end segura, el protocolo de IPSec puede ser utilizado una vez que se haya establecido una conexión de VPN. Filtración del paquete− para realzar la seguridad del servidor de VPN, la filtración del paquete debe ser configurada de modo que el servidor realice solamente la encaminamiento de VPN. Con este fin, los filtros apropiados de RRAS se deben utilizar (para Windows 2000) en el interfaz del Internet del VPN. Conectando a el servido VPN en Windows 0S Crear la conexión de VPN para el cliente es tan simple como establecimiento de una red de marcado manual de configuración. Por lo tanto, el papel del administrador de sistema se reduce a configurar el servidor de VPN y a hacer la información disponible de la configuración de la conexión, mientras que los usuarios pueden realizar los procedimientos restantes. IPSec tunneling in Windows 2000 Sabiendo utilizar marcas de VPN más fácil para crear un IPSec seguro basó el túnel entre dos redes alejadas. Ésta es una solución muy simple 5 Consejos Prácticos en la detección de Intrusos que requiere dos computadoras corriendo Windows 2000. Considar el siguiente esenario: Hay dos redes que utilizan la dirección privada, una se llama el NetA, y el otro NetB. Windows 2000 apoya IPSec que hace un túnel para las situaciones donde ambas puntos finales del túnel tienen direcciones estáticas del IP. Por lo tanto, esto se apropia del uso de IPSec que hace un túnel para los panoramas de la entrada−a−entrada aunque es posible crear los túneles entre el servidor y la rebajadora. Sin embargo es interesante observar que Windows 2000 no apoya protocolo y los túneles puerto−especi'ficos. Esto vale el tener presente, porque el interfaz de la consola de la gerencia de Microsoft (MMC) es muy genérico y permite la asociación de cualquier tipo de filtro de IPSec con un túnel. Uno debe recordar utilizar solamente la información de la dirección en la creación de un túnel, porque el túnel de IPSec asegura solamente el tráfico especificado en los filtros de IPSec. Es también esencial configurar los filtros en el servicio de la encaminamiento y del acceso alejado (RRAS) para evitar que el tráfico fuera del túnel sea remitido. Dos reglas de IPSec se deben crear, puesto que dos túneles deben ser establecidos, uno de NetA a NetB y otro de NetB a NetA. ¿Cada túnel es representado por una regla, así que dos reglas se requieren para configurar una política de IPSec para las computadoras de red internas de la entrada, y más particularmente, dos filtros deben ser construidos? uno para emparejar los paquetes que van de NetA a NetB, y uno a los paquetes del fósforo que van de NetB a NetA. Típicamente, una entrada 2000 de Windows no es un miembro de un dominio, así que se crean las políticas locales de IPSec. Si la entrada 2000 de Windows es un miembro de un dominio que exista ya, una política local de IPSec puede evitar que la entrada tenga sus ajustes locales de IPSec. En este caso, la creación de una unidad de organización (OU) en directorio activo es necesaria hacer la entrada a un miembro de este OU, seguido asignando los ajustes apropiados de IPSec. La primera fase en crear un túnel consiste en establecer los contornos de la política de IPSec. Para hacer esto, siga estos pasos: • Activate the MMC to work on the IP Security Policy Management, • Right−click IP Security Policies on Local Machine, and then select Create IP Security Policy, • Click to clear the Activate the default response rule check box. Es generalmente una buena idea dar un nombre sensible a la regla y llenar check box para saltar otros pasos relacionados con las ediciones de la regla. Un esquema general de la regla se ha creado una vez, usted debe construir los filtros que corresponden al tráfico de NetA a la red B y de NetB a NetA. Para hacer esto, siga estos pasos: 6 Consejos Prácticos en la detección de Intrusos • Click to clear the Use Add Wizard check box and then click Add, to create a new rule, • On the IP Filter List tab, select Add, • While defining the Source address select A specific IP Subnet, and then insert the data for NetA (assuming that the tunnel from NetA to NetB is to be created first), • While defining the Destination address click also A specific IP Subnet and fill in the boxes for NetB's address and mask, • Click to clear the pole Mirrored, so the rule is not associated with the packets sent from NetB to NetA, • On the Protocol tab, make sure that the protocol type is set to Any. La construcción de una lista del filtro para el tráfico de NetB a NetA sigue los mismos pasos, excepto que es necesario definir las direcciones apropiadas de las redes, es decir NetB como fuente y NetA como blanco respectivamente. Una vez que se hayan configurado los filtros, cree el túnel. Si es el caso del tráfico de NetA a NetB siga de la forma siguiente: • On the IP Filter List tab, click the filter from NetA to NetB. • On the Tunnel Setting tab, insert the IP address assigned to the gateway internal network adapter for NetB. • On the Filter Action tab, click to clear the Use Add Wizard check box, and then click Add to create a new filter action. • Keep the Negotiate security option enabled and click to clear the Accept unsecured communication, but always respond using IPSec check box. • Click Add and keep the High (ESP) option selected; or you can select Custom, (but only if you know what you are targeting). • Once the new filter action has been configured, on the Authentication Methods tab set up the authentication methods to be used. Use preshared keys for testing, otherwise use certificates for product authentication. Kerberos is technically possible, but rarely used. (Kerberos is the perfect solution to deploy secure communications across trusted domains). Los mismos pasos que arriba debe ser hecho para el tráfico de NetB a NetA, recordando cambiar la dirección del punto final del túnel del IP de la computadora de NetA. Para verificar el funcionamiento del túnel, utilice los programas del IP Security Monitor programs. Para supervisar − usted puede probar además el tráfico usando el IPSec los paquetes ajustados a formato con un succionador de paquete para verificar si el tráfico realmente está cifrado. La lectura sobre VPN puede crear un sentido falso de la seguridad, que puede ser peligroso. Obviamente, VPN asegura entre el tráfico las 7 Consejos Prácticos en la detección de Intrusos redes pero restos del tráfico interno desencriptado y vulnerable a los ataques de los succionadores de la red que pueden interceptar datos sensibles. Puede parecerse que los intrusos no podrían acceder a la red interna pero esto sería una asunción errónea. ¡Recuerde que, desde un punto de vista estadístico, más los de 80% de tentativas de la violación de la seguridad de la red son dentro de la red! Con frecuencia, las redes que se aseguran bien de intrusiones exteriores están careciendo dolorido en seguridad interna de la red. IPSec puede ser una opción para realzar seguridad corporativa protegiendo tráfico interno de la red. Si éste debe ser una red dominio−basada de Windows 2000 combinada con el directorio activo, la creación de reglas apropiadas y los requisitos de clientes de la computadora no es una tarea compleja y no mejora perceptiblemente seguridad interna de la red. ¿Una puesta en práctica de VPN solucionará todos los problemas relacionados con la salvaguardia de datos sensibles? No, definitivamente no. La seguridad es grande y la edición desafiadora y allí no es ninguna panacea para todas las necesidades de la seguridad. Sin embargo, VPN es un componente vital de una red corporativa segura. 8