Usar IPSec en Windows 2000 y XP
Transcripción
Usar IPSec en Windows 2000 y XP
Usar IPSec en Windows 2000 y XP Usar IPSec en Windows 2000 y XP: Parte Tres Version Original Using IPSec in Windows 2000 and XP, Part 1 Using IPSec in Windows 2000 and XP, Part 2 Using IPSec in Windows 2000 and XP, Part 3 Ésta es la tercera y final instalación en una serie dedicada a explorar IPSec en Win2K y XP. La primera instalación de esta serie ofreció una breve descripción de IPSec, tan bien como una mirada en la estructura y el interfaz para IPSec en Windows y una mirada en los dos diversos modos de los métodos de la autentificación de IPSec para IKE en Windows. La segunda instalación discutió asociaciones de la seguridad, autentificación principal del modo e IKE, los jefes rápidos de la autentificación del modo y ESPECIALMENTE, y algunos de las herramientas disponibles en 2000 y XP. Introducción Ésta es la tercera y final instalación en una serie dedicada a explorar IPSec en Win2K y XP. La primera instalación de esta serie ofreció una breve descripción de IPSec, tan bien como una mirada en la estructura y el interfaz para IPSec en Windows y una mirada en los dos diversos modos de los métodos de la autentificación de IPSec para IKE en Windows. La segunda instalación discutió asociaciones de la seguridad, autentificación principal del modo e IKE, los jefes rápidos de la autentificación del modo y ESPECIALMENTE, y algunos de las herramientas disponibles en 2000 y XP. Este artículo mirará la integración de las políticas de IPSec en directorio activo, de los ataques contra IPSec y de otras preocupaciones de la seguridad, así como algunas características de IPSec. Integración Activa Del Directorio La intención del comienzo era que las políticas de IPSec se podrían integrar en el directorio activo. Esto significa que su 2000 y los dominios de XP puede almacenar y distribuir las configuraciones de IPSec con la política del grupo. De este punto encendido, las reglas de la política del grupo asumen el control. Esto significa eso que aplica las políticas de IPSec a los dominios, unidades de organización, o las máquinas y los usuarios individuales, depende de cuáles son sus necesidades y de cómo la política del grupo se utiliza en su organización. Usted puede instalar tan las políticas de IPSec para las unidades de organización que usted ha definido en su base de datos activa del directorio, usando los usuarios y las computadoras activos del directorio snap−in para el derecho−tecleo de MMC. Simply en el OU usted desea crear la política para y seleccionar características. Después navegue a la lengüeta de la política del grupo y chasque el botón de la adición. Navegue a las políticas de la seguridad de Configuration\Windows Settings\Security Settings\IP de la computadora, donde usted puede crear y modificar las políticas de IPSec para su OU. usted puede también utilizar la política del grupo snap−in para localizar averías las ediciones de la precedencia de la política que pudieron presentarse de herencia de la política del grupo. Ataques contra IPSec y otras preocupaciones de la seguridad 1 Usar IPSec en Windows 2000 y XP Hay algunas consideraciones importantes de la seguridad a tener presente sobre IPSec en Windows: 1. Preshared llaves son texto claro almacenado en el registro, accesible por los administradores 2. El directorio activo almacena políticas de la configuración de IPSec, y preshared llaves en el claro, con controles de acceso relajados. 3. Las exenciones permiten que cierto tráfico pase desprotegido. 4. Ataques del DOS 5. Todavía baje las capas vulnerables. 6. Todavía capas superiores vulnerables Tocaremos brevemente en cada uno de éstos. Las llaves de Preshared se exhiben en texto claro a través del GUI, y texto claro almacenado en el registro, ambos accesibles de los administradores. Compruebe los subkeys de la llave siguiente del registro para saber si hay detalles: HKLM\Software\Policies\Microsoft\Windows\IPSec\Policy Nota importante: Microsoft ha estado diciendo público a gente toda adelante no utilizar preshared llaves en los ambientes de Microsoft IPSec de la producción. Preshared la funcionalidad dominante se incluye solamente para resolver conformidad del RFC, y para los propósitos de prueba. El directorio activo almacena políticas de la configuración de IPSec en un envase central. Todo comenta, preshared llaves, y la otra información de la configuración se almacena aquí, en una combinación del texto y de la tuerca hexagonal claros, que se puede descifrar con tiempo mínimo. ¿Los defectos siguientes del envase a permitir todos?Authenticated a usuarios? acceso leído a esta información. Mientras que esto puede ser necesario para la política del grupo que despliega, usted puede desear fino−templa estos permisos del directorio de caber sus necesidades. LDAP://abc.forest.com/CN=IP Security,CN=System,DC=forest,DC=com Las excepciones del defecto serán la sección más grande aquí, porque merecen algunas de las preocupaciones más altas. Por el defecto, cierto tráfico no es protegido por los filtros de IPSec en Windows 2000. Estos tipos desprotegidos del tráfico se conocen como las exenciones del defecto, y, (menos la difusión y el multicast) aplíquese solamente a los filtros de modo del transporte de IPSec: A. Broadcast .−El tráfico de la difusión se considera ser tráfico que va a partir de un remitente a muchos receptores en el mismo subnet. Las aplicaciones de Windows difundieron incluyendo el tráfico para muchas funciones, preguntas del nombre de NetBIOS y los avisos. Como un ejemplo, un subnet de la clase C usando 172,16,2,0 y subnet mask 255,255,255,0 (la clase C) tiene una dirección de la difusión de 172,16,2,255. Esta exención se puede inhabilitar en Windows XP. B. Multicast.− Similar difundir el tráfico, tráfico del multicast es cuando un remitente envía un paquete del IP a los receptores múltiples en la gama de dirección 224,0,0,0 a 239,255,255,255. Esta exención se puede inhabilitar en Windows XP. 2 Usar IPSec en Windows 2000 y XP C. Resource Reservation Protocol (RSVP).− El tráfico de RSVP es el protocolo 46 del IP, y se utiliza para la calidad del servicio (QoS) del tráfico del IP. Esta exención se requiere para QoS para trabajar con Windows 2000. Esta exención se puede inhabilitar en Windows 2000 y XP. D. Internet Key Exchange (IKE) − IKE utiliza la fuente y el puerto 500 del UDP de la destinación. Es supremo recordar esto como usted puede necesitar configurar un cortafuego deja este tráfico a través para que ocurran las negociaciones de IKE. E. Kerberos ? El Kerberos es el protocolo de la autentificación de la base usado en Windows 2000 y el tráfico del Kerberos de XP. utiliza una fuente del TCP y del UDP y el puerto 88 de la destinación. Es importante tener presente que la exención de IPSec para el tráfico del Kerberos es tan simple como: si un paquete es TCP o UDP, y tiene una fuente o el igual portuario de la destinación a 88, después permita el paquete desprotegido. Esta exención se puede inhabilitar en Windows 2000 y XP. Solamente el tráfico de Unicast se puede proteger por IPSec en Windows 2000 y la filtración del tráfico de la difusión y del multicast de XP. no es apoyada, y por lo tanto no es protegida por IPSec. Los filtros de modo del túnel de IPSec también no pueden procesar el multicast y difundir tráfico. El tráfico sin embargo de RSVP, de IKE, y del Kerberos se puede asegurar por un túnel de IPSec. La cosa a tener presente sobre las exenciones es que apenas porque usted fija un refrán de la regla que todo el tráfico del IP debe ser protegido, medio del doesn?t que . Éstas son las únicas exenciones enumeradas arriba, así que tenga éstos presente. También recuerde que el conductor de IPSec no hace el contenido que se filtra, pero se filtra solamente en jefes del IP. Nota importante: Microsoft ha proporcionado los medios para quitar estas exenciones del defecto. Hay un valor del registro que usted puede fijar, lo comprueba hacia fuera: HKLM\SYSTEM\CurrentControlSet\Services\IPSec\NoDefaultExempt Esta llave necesita ser agregada al registro como un valor de DWORD. Puede ser fijada a 0 o 1 en Windows 2000, o 0.1, o 2 en Windows XP: 0 = default exemptions are still active 1 = disable the exemption for RSVP and Kerberos 2 = disable the exemption for broadcast and multicast (Windows XP only!) Un atacante podía potencialmente utilizar estas exenciones para forzar tráfico desautorizado a través de sus filtros de IPSec. IPSec fue construido con la defensa contra la negación de los ataques del servicio en mente. ¿Sin embargo, IKE todavía tiene algunas vulnerabilidades sabidas a los ataques del DOS? friegue la tela para las referencias y usted verá. Básicamente, el flooding la computadora con iniciaciones del intercambio de IKE llenará para arriba la tabla del estado 3 Usar IPSec en Windows 2000 y XP de IKE, y consume ciclos de la CPU y la memoria. Mientras que las conexiones establecidas seguirán conectadas, las nuevas conexiones serán prevenidas. Esto no es específico a la puesta en práctica de Microsoft IPSec, sino a un defecto natural de la arquitectura de IPSec. Ataques más bajos de la capa siguen siendo posibles. El envenenamiento y otro del escondrijo del ARP acodan 2 ataques todavía ocurren antes de que IPSec incluso despierte. Esto no es específico a la puesta en práctica de Microsoft IPSec, sino un defecto natural de la arquitectura de IPSec. Los hechos de IPSec en Windows • La puesta en práctica se basa en los estándares del IETF para la interoperabilidad y la seguridad de comunicaciones. • IPSec se puede utilizar con los servicios que balancean de la carga el arracimar y de la red (NLB) del servidor avanzado de Windows 2000. Al menos habrá una pérdida temporal de la conectividad durante failover como las conexiones stateful deben ser reestablecidas. • la autentificación Certificado−basada se apoya para los certificados que resuelven ciertos criterios. Este criterio incluye las cosas tales como RSA (no DSA), el tamaño de 512 pedacitos o más grande dominante, y una firma digital incluida en el certificado. • La política de IPSec requiere privilegios administrativos de manejar y de funcionar. Si usted no quisiera que los usuarios del extremo que tienen acceso manejen y controlaran las políticas de IPSec, entonces no les dé las derechas administrativas. • No hay actualmente API?s en el lugar para la gerencia y las funciones connection−oriented de IPSec. IPSec se proporciona solamente como interfaz administrativo. Esto puede cambiar en el futuro mientras que Microsoft amplía la funcionalidad a los reveladores de los terceros. • RFCs 2401 y 2409 es importante, sea seguro leerlos. • IPSec protected traffic will not work with Network Address Translation (NAT). NAT needs to modify packets in transit, but IPSec is designed to be tamper resistant, preventing packet modification. The IETF is currently working toward specifying a NAT and IPSec interoperability standard. • El modo del túnel en IPSec trabaja solamente para la entrada−a−entrada, la servidor−a−entrada, o las comunicaciones del servidor−a−servidor. Por sí mismo, IPsec no es una solución para el acceso alejado del cliente VPN. • ¿Usted desea tan una solución segura del acceso alejado de VPN para los viajeros eh? La única manera que es posible bajo Windows 2000 y XP (o la mayoría de las otras puestas en práctica de IPSec) es utilizar IPSec y L2TP junto. Chascar el botón del modo del túnel en la política de IPSec no es lo que usted desea hacer aquí. Usted necesita utilizar modo del transporte de IPSec para asegurar el L2TP fluye. La derecha de That?s, it?s L2TP adentro de y protegido por IPSec. Enlaces Relevantes • Using IPSec in Windows 2000 and XP, Part One • Using IPSec in Windows and XP, Part Two • How to Configure IPSec Tunneling in Windows 2000 4 Usar IPSec en Windows 2000 y XP • IETF home page for the IP Security Protocol • RFC 2401 ? Security Architecture for the Internet Protocol • RFC 2402 ? IP Authentication Header • RFC 2406 ? IP Encapsulating Security Protocol • RFC 2408 ? Internet Security Association and Key Management Protocol (ISAKMP) • RFC 2409 ? The Internet Key Exchange (IKE) • Client−to−Domain Controller and Domain Controller−to−Domain Controller IPSec • Traffic That Can−−and Cannot−−Be Secured by IPSec • Step−by−Step Guide to Internet Protocol Security (IPSec) • Configuring IPSec to Handle Trusted and Untrusted Domain Authentication • How to Enable IPSec Traffic Through a Firewall 5