Consejos Prácticos en la detección de Intrusos

Anuncio
Consejos Prácticos en la detección de Intrusos
Establecimiento de una red Privado Virtual
La mayoría de documentos VPN−relacionados típicos define VPN, como
la extensión de una red privada. No obstante este tipo de definición
significa nada y caracteriza solamente el concepto de VPN como factor
de la determinación de una red privada, que sigue siendo algo confusa.
VPN es una abreviatura para la red privada virtual.
¿Qué es el VPN?
La mayoría de documentos VPN−relacionados típicos define VPN,
como la extensión de una red privada. No obstante este tipo de
definición significa nada y caracteriza solamente el concepto de VPN
como factor de la determinación de una red privada, que sigue siendo
algo confusa. VPN es una abreviatura para la red privada virtual.
¿Todos sabe lo que un?network? está haciendo explicaciones
insustanciales. Una red privada es una donde están secretas todas las
trayectorias de datos hasta cierto punto, con todo se abre en un grupo
limitado de personas, por ejemplo, en los empleados de una compañía
específica. En teoría, la manera más simple de crear tal red sería aislar
esta red del Internet. Sin embargo en el caso de un negocio con algunos
ramas alejados no es tan simple. Las líneas arrendadas podrían ser una
solución, pero costosa, que no aseguraría necesariamente el grado
requerido de seguridad. ¿Además, los circuitos arrendados sufren de un
solo síndrome culpable del acoplamiento? la conexión que va abajo a
partir de tiempo al tiempo puede crear un desastre importante o de
menor importancia para una compañía. Además, hay a veces una
necesidad de dar el acceso a una parte de los recursos de una red
privada a los usuarios externos, y eso no sería posible sobre una red
físicamente separada. Por supuesto, una solución pudo ser emplear un
servidor alejado sin embargo que implicaría los honorarios adicionales
para las sesiones del teléfono que pueden también ser interurbanas.
¿Qué sobre la palabra del zumbido?virtual?? Actualmente, VPN está
lejos de ser una estructura físicamente separada. Utiliza la
infraestructura existente que abarca LANs y wANs, y donde una espina
dorsal IPv6 puede ser apoyada tan bien como cualquier establecimiento
de una red, a condición de que puede seamlessly ser integrado con
tecnologías de los today?s. La transferencia de datos sobre una red
pública se logra usando una de las tecnologías disponibles el hacer un
túnel y todos los datos se pueden cifrar para alzar seguridad.
Después de esta introducción, la definición de un VPN como red
privada dedicada basada en la infraestructura existente de la red pública
y las técnicas del cifrado y el hacer un túnel de datos que incorporan
para proporcionar seguridad de datos, es bastante directas.
¿Cuáles son las ventajas de usar VPN?
1
Consejos Prácticos en la detección de Intrusos
Hay varias razones de utilizar seguridad de datos sensible de VPNs. es
indudablemente una edición importante, así como otras materias tales
como contraseñas perdidosas, que contrariamente a la creencia popular
no es el sino posible peor.
Por ejemplo, si una compañía de desarrollo del software del
multi−rama almacena sus archivos de fuente del software en un
depósito central de CVS, y un rival que compañía maneja interceptar el
tráfico entre el rama y el CVS, de la red puede robar algunas ideas
brillantes incorporadas en los programas del software. La cantidad de
daños implicados en tal caso puede ser millones de pleitos posibles de
los dólares sin embargo es raramente tan rápida y directa como
esperado.
Desde el punto de vista económico, la creación de un VPN puede ser
menos costosa que líneas arrendadas el mantener, aunque el coste de
soportes lógico inalterable de VPN puede aparecer ser enorme. En
hecho, los datos perdidos pueden resultar ser más costosos lejano. El
equipo costoso se necesita raramente para poner un VPN en ejecucio'n.
En la práctica, cualquier máquina de Microsoft Windows se puede
utilizar como el cliente de VPN y la computadora de cualquier NET De
Windows 2000 o de Windows se puede configurar para ser el servidor
de VPN.
¿Qué protocolos se pueden utilizar sobre una conexión de VPN?
El concepto del establecimiento de una red de VPN se basa, hasta
cierto punto, en punto para señalar acoplamientos. En redes de VPN se
emulan usando la encapsulación de datos y hacer un túnel es decir los
datos se envuelve con un jefe que proporcione la información de
encaminamiento necesaria. Para realzar confianza e integridad de los
datos, los paquetes que son enviados se pueden cifrar antes de entrar en
el túnel e incluso si están interceptados (que no es difícil pues él se
envía sobre una red pública), siguen siendo indescifrables sin llaves del
cifrado. Las conexiones de VPN permiten a usuarios que trabajan de
hogar o lejos en un viaje de negocios obtener un telecontrol, instaló
dinámicamente la conexión de VPN con su Intranet de los company?s.
De la perspectiva de los user?s, el VPN es un punto para señalar la
conexión dentro del servidor de los organisation?s, que funciona
lógicamente a un cierto grado como línea arrendada o proporciona la
ayuda para dial−en la conectividad de VPN.
El engranaje de VPN se puede construir alrededor de varios protocolos
dependiendo de las capacidades del hardware y del software. Para el
uso general VPNs de Windows 2000, los protocolos comúnmente
reconocidos son PPTP y L2TP, combinados con IPSec.
Entre estos dos protocolos, PPTP es más viejo. Es un protocolo el hacer
un túnel de la capa 2 (OSI) que encapsula marcos del PPP como
2
Consejos Prácticos en la detección de Intrusos
datagramas del IP. Para la creación y el mantenimiento del túnel, PPTP
utiliza el protocolo del TCP. La encapsulación utiliza un puerto (al
azar) efímero del cliente−lado mientras que el servidor de PPTP se
asocia al puerto 1723. Se encapsulan los paquetes usando la
encapsulación genérica de la encaminamiento (GRE). La encapsulación
de PPTP para las cargas útiles es como sigue:
• la carga útil se encapsula con un marco del PPP.
• el marco del PPP se encapsula con un jefe y el acoplado de
GRE.
• el marco de GRE se envía como carga útil nueva para un nuevo
IP DATAGRAM entre el cliente y el servidor de PPTP.
• El cifrado de datos es una parte vital de mecanismos de VPN.
PPTP de un PPP de las aplicaciones para proporcionar secreto
de los datos. En Microsoft Windows 2000 puestas en práctica,
el marco del PPP se cifran con MPPE. Las llaves para el
cifrado se generan de Ms−agrietan o proceso de la
autentificación de Eap−tls, por lo tanto el cliente debe utilizar
cualquier protocolo para las comunicaciones con el servidor de
VPN que se cifrará, si no todas las cargas útiles serán enviadas
en plaintext sobre el túnel.
PPTP se documenta en RFC 2637.
El protocolo de L2TP es del una combinación la capa 2 de Cisco®
Systems Inc. la expedición y PPTP usando el mejor de ambos. L2TP es
más flexible que PPTP, su uso, sin embargo, implica que una
computadora más de gran alcance es necesaria que para una puesta en
práctica de PPTP. L2TP funciona en protocolo el hacer un túnel de la
capa 2 (OSI). Encapsula marcos del PPP para enviarlos entre el
servidor y el cliente. Se ha diseñado para funcionar directamente con
varias tecnologías de no−IP WAN. Como PPTP, L2TP encapsula
datagramas originales del IP sobre la red. ¿Puesto que el cifrado para
L2TP se proporciona IPSec, la encapsulación se divide en dos capas? la
encapsulación inicial de L2TP y la encapsulación de IPSec. El proceso
es como sigue:
• la carga útil inicial se encapsula con un marco del PPP.
• el marco del PPP con se coloca en un nuevo IP DATAGRAM
encapsulado un jefe del UDP y un jefe de L2TP.
• La carga útil encapsulada TheL2TP es IPSec es decir que se
agrega con un IPSec que encapsula la carga útil de la seguridad
(ESPECIALMENTE) y un acoplado de la autentificación de
IPSec (AUTH). De esta manera, la integridad y la
autentificación de mensajes se proporcionan en el camino. En
esta etapa, los mensajes hechos un túnel todavía no se cifran.
IPSecESP es el mecanismo para proporcionar llaves del cifrado
a los datos de L2TP. Es posible tener una conexión
non−encrypted de L2TP donde el marco del PPP se envía en
plaintext. Sin embargo, una solución tan insegura es absurda y
3
Consejos Prácticos en la detección de Intrusos
no se recomienda definitivamente.
L2TP se documenta en RFC 2661.
Las diferencias principales entre PPTP y L2TP son como sigue:
• PPTP requiere una capa de transporte basada IP de la red
mientras que L2TP requiere solamente que los medios
proporcionen el punto a la conectividad del punto. El protocolo
de L2TP se puede utilizar tan directamente sobre el relais del
capítulo del IP, X.25 y ATM. PPTP no puede apoyar los
medios no−IP directamente.
• PPTP apoya solamente un solo túnel entre el servidor de VPN
y el cliente. Con L2TP, los túneles múltiples se pueden apoyar
para transportar las cargas útiles end−to−end. Por lo tanto, las
operaciones del multi−tu'nel son posibles con L2TP que
corresponde a los varios niveles de la calidad del servicio
(QoS) y de la seguridad.
• el protocolo de L2TP proporciona mecanismos de la
compresión del jefe. Cuando se permite esta función, el jefe de
L2TP es más pequeño que el jefe de PPTP, y dará lugar a
pocas sesiones simultáneas de RTP que son requeridas para
producir eficacias de la anchura de banda.
PPTP sigue siendo más popular que L2TP, y se utiliza en los sistemas
de Microsoft Windows 95, de Windows 98, de Windows NT 4,0, de
Windows 2000 y de Windows XP/.NET. L2TP se apoya de Windows
2000 hacia adelante. Las puestas en práctica de L2TP para más viejas
versiones de Windows pueden estar disponibles como productos de los
terceros. Puede ser que sea en la práctica difícil encontrar tales
soluciones mientras que por razones económicas, aumentando un OSes
más viejo a Windows 2000 o XP podría ser menos costoso que las
extensiones igual.
¿Aunque L2TP y PPTP son los protocolos principales el hacer un túnel
usados en Windows 2000, cierta puesta en práctica de VPN se puede
construir usando el protocolo de IPSec mencionado ya en la discusión
encendido tunneled la confianza de la carga útil asegurada por L2TP.
IPSec existe pues el modelo el hacer un túnel de los datos de la capa 3
(OSI) que utiliza un modo específico? ESPECIALMENTE el modo del
túnel que encapsulación fuerte y cifrado del IP DATAGRAM de las
ofertas que es enviado sobre una red del IP del público. Con este modo,
se encapsulan los datagramas enteros del IP y el usar cifrado
ESPECIALMENTE. El IP DATAGRAM finalmente se encapsula con
un jefe nuevo del IP y el datagrama nuevo obtenido se envía sobre una
red. Sobre el recibo del datagrama de L2TP, el recipiente procesa el
marco del dato−acoplamiento para authenticar el contenido y envía los
datos al sitio de la destinación.
4
Consejos Prácticos en la detección de Intrusos
¿Qué mecanismos de la seguridad están disponibles con VPN?
¿Autorización ? Las conexiones de VPN se crean solamente para los
usuarios y las rebajadoras se han autorizado que. Para Windows 2000,
la autorización de las conexiones de VPN se determina cerca dial−en
características en las políticas de la cuenta del usuario y del acceso
alejado. Si no autorizan a un usuario o una rebajadora para tales
conexiones, el servidor las inhabilitará.
Authentication This is a vital security concern. Authentication takes
place at two levels:
1. Machine−level authentication when IPSec protocol is used for
a VPN connection, machine−level authentication is performed
through the exchange of machine certificates during the
establishment of the IPSec connection.
2. User−level authentication before data can be sent over the
PPTP or L2TP tunnel, the user must be authenticated. This is
done through the use of a PPP authentication method.
Cifrado de datos− los protocolos creaban conexiones de VPN permiten
que los datos cifrados sean enviados sobre una red. Aunque es posible
tener una conexión non−encrypted, esto no se recomienda. Observe
que el cifrado de datos para las conexiones de VPN no proporciona la
seguridad end−to−end (cifrado), pero solamente seguridad entre el
cliente y el servidor de VPN. Para proporcionar una conexión
end−to−end segura, el protocolo de IPSec puede ser utilizado una vez
que se haya establecido una conexión de VPN.
Filtración del paquete− para realzar la seguridad del servidor de VPN,
la filtración del paquete debe ser configurada de modo que el servidor
realice solamente la encaminamiento de VPN. Con este fin, los filtros
apropiados de RRAS se deben utilizar (para Windows 2000) en el
interfaz del Internet del VPN.
Conectando a el servido VPN en Windows 0S
Crear la conexión de VPN para el cliente es tan simple como
establecimiento de una red de marcado manual de configuración. Por lo
tanto, el papel del administrador de sistema se reduce a configurar el
servidor de VPN y a hacer la información disponible de la
configuración de la conexión, mientras que los usuarios pueden realizar
los procedimientos restantes.
IPSec tunneling in Windows 2000
Sabiendo utilizar marcas de VPN más fácil para crear un IPSec seguro
basó el túnel entre dos redes alejadas. Ésta es una solución muy simple
5
Consejos Prácticos en la detección de Intrusos
que requiere dos computadoras corriendo Windows 2000.
Considar el siguiente esenario:
Hay dos redes que utilizan la dirección privada, una se llama el NetA, y
el otro NetB. Windows 2000 apoya IPSec que hace un túnel para las
situaciones donde ambas puntos finales del túnel tienen direcciones
estáticas del IP. Por lo tanto, esto se apropia del uso de IPSec que hace
un túnel para los panoramas de la entrada−a−entrada aunque es posible
crear los túneles entre el servidor y la rebajadora. Sin embargo es
interesante observar que Windows 2000 no apoya protocolo y los
túneles puerto−especi'ficos. Esto vale el tener presente, porque el
interfaz de la consola de la gerencia de Microsoft (MMC) es muy
genérico y permite la asociación de cualquier tipo de filtro de IPSec
con un túnel. Uno debe recordar utilizar solamente la información de la
dirección en la creación de un túnel, porque el túnel de IPSec asegura
solamente el tráfico especificado en los filtros de IPSec. Es también
esencial configurar los filtros en el servicio de la encaminamiento y del
acceso alejado (RRAS) para evitar que el tráfico fuera del túnel sea
remitido. Dos reglas de IPSec se deben crear, puesto que dos túneles
deben ser establecidos, uno de NetA a NetB y otro de NetB a NetA.
¿Cada túnel es representado por una regla, así que dos reglas se
requieren para configurar una política de IPSec para las computadoras
de red internas de la entrada, y más particularmente, dos filtros deben
ser construidos? uno para emparejar los paquetes que van de NetA a
NetB, y uno a los paquetes del fósforo que van de NetB a NetA.
Típicamente, una entrada 2000 de Windows no es un miembro de un
dominio, así que se crean las políticas locales de IPSec. Si la entrada
2000 de Windows es un miembro de un dominio que exista ya, una
política local de IPSec puede evitar que la entrada tenga sus ajustes
locales de IPSec. En este caso, la creación de una unidad de
organización (OU) en directorio activo es necesaria hacer la entrada a
un miembro de este OU, seguido asignando los ajustes apropiados de
IPSec.
La primera fase en crear un túnel consiste en establecer los contornos
de la política de IPSec. Para hacer esto, siga estos pasos:
• Activate the MMC to work on the IP Security Policy
Management,
• Right−click IP Security Policies on Local Machine, and then
select Create IP Security Policy,
• Click to clear the Activate the default response rule check box.
Es generalmente una buena idea dar un nombre sensible a la regla y
llenar check box para saltar otros pasos relacionados con las ediciones
de la regla. Un esquema general de la regla se ha creado una vez, usted
debe construir los filtros que corresponden al tráfico de NetA a la red B
y de NetB a NetA. Para hacer esto, siga estos pasos:
6
Consejos Prácticos en la detección de Intrusos
• Click to clear the Use Add Wizard check box and then click
Add, to create a new rule,
• On the IP Filter List tab, select Add,
• While defining the Source address select A specific IP Subnet,
and then insert the data for NetA (assuming that the tunnel
from NetA to NetB is to be created first),
• While defining the Destination address click also A specific IP
Subnet and fill in the boxes for NetB's address and mask,
• Click to clear the pole Mirrored, so the rule is not associated
with the packets sent from NetB to NetA,
• On the Protocol tab, make sure that the protocol type is set to
Any.
La construcción de una lista del filtro para el tráfico de NetB a NetA
sigue los mismos pasos, excepto que es necesario definir las
direcciones apropiadas de las redes, es decir NetB como fuente y NetA
como blanco respectivamente.
Una vez que se hayan configurado los filtros, cree el túnel. Si es el caso
del tráfico de NetA a NetB siga de la forma siguiente:
• On the IP Filter List tab, click the filter from NetA to NetB.
• On the Tunnel Setting tab, insert the IP address assigned to the
gateway internal network adapter for NetB.
• On the Filter Action tab, click to clear the Use Add Wizard
check box, and then click Add to create a new filter action.
• Keep the Negotiate security option enabled and click to clear
the Accept unsecured communication, but always respond
using IPSec check box.
• Click Add and keep the High (ESP) option selected; or you can
select Custom, (but only if you know what you are targeting).
• Once the new filter action has been configured, on the
Authentication Methods tab set up the authentication methods
to be used. Use preshared keys for testing, otherwise use
certificates for product authentication. Kerberos is technically
possible, but rarely used. (Kerberos is the perfect solution to
deploy secure communications across trusted domains).
Los mismos pasos que arriba debe ser hecho para el tráfico de NetB a
NetA, recordando cambiar la dirección del punto final del túnel del IP
de la computadora de NetA.
Para verificar el funcionamiento del túnel, utilice los programas del IP
Security Monitor programs. Para supervisar − usted puede probar
además el tráfico usando el IPSec los paquetes ajustados a formato con
un succionador de paquete para verificar si el tráfico realmente está
cifrado.
La lectura sobre VPN puede crear un sentido falso de la seguridad, que
puede ser peligroso. Obviamente, VPN asegura entre el tráfico las
7
Consejos Prácticos en la detección de Intrusos
redes pero restos del tráfico interno desencriptado y vulnerable a los
ataques de los succionadores de la red que pueden interceptar datos
sensibles. Puede parecerse que los intrusos no podrían acceder a la red
interna pero esto sería una asunción errónea. ¡Recuerde que, desde un
punto de vista estadístico, más los de 80% de tentativas de la violación
de la seguridad de la red son dentro de la red! Con frecuencia, las redes
que se aseguran bien de intrusiones exteriores están careciendo
dolorido en seguridad interna de la red. IPSec puede ser una opción
para realzar seguridad corporativa protegiendo tráfico interno de la red.
Si éste debe ser una red dominio−basada de Windows 2000 combinada
con el directorio activo, la creación de reglas apropiadas y los
requisitos de clientes de la computadora no es una tarea compleja y no
mejora perceptiblemente seguridad interna de la red.
¿Una puesta en práctica de VPN solucionará todos los problemas
relacionados con la salvaguardia de datos sensibles? No,
definitivamente no. La seguridad es grande y la edición desafiadora y
allí no es ninguna panacea para todas las necesidades de la seguridad.
Sin embargo, VPN es un componente vital de una red corporativa
segura.
8
Descargar