IPSec en dominio con Kerberos (Request)

Hola,

Primero quería felicitar a los creadores, moderadores, mantenedores, etc, del foro, me parece un gran foro y una gran web !!

Ahí va la pregunta, relativa a IPSec en dominio:

Se me ocurre implementar la directiva "solicitar seguridad" (Request) en todos los pc´s del dominio con la autenticación kerberos, mediante una GPO a nivel de dominio .

De esta forma, al sólo solicitar seguridad, si una máquina que no tenga kerberos (que no esté dentro del dominio) quiera establecer comunicación con alguna otra del dominio, podrá hacerlo ya que "solicitamos" seguridad pero no "requerimos" seguridad.

Un portatil intentando escuchar con un sniffer comunicaciones entre la red LAN no verá nada porque todo el tráfico lan está encriptado y no podrá hacer arp spoofing o dhcp spoofing, osea, envenenamiento de tablas arp, suplantación de identidad de un servidor dhcp...

En realida la pregunta es saber si es acertado hacer esto, he escuchado problemas de ralentización de red por implementar IPSec en un entorno real de, digamos, 100 o 200 pc´s haciendo IPSec cada vez que envían un email al servidor de correos de la empresa o al acceder a un recurso compartido, al hacer ping, al... todo el tráfico.

Gracias de antemano !

Encriptar una red siempre es una buena idea desde el punto de vista de al seguridad (siempre que tengas la máquina servidora en un enotrno seguro).

Por supuesto, tendrás una ralentización asociada a los procesos de encriptar/desencriptar los paquetes que se envían y se reciben... Más que congestión de red tendrás algo más de congestión en los extremos de la comunicación.

Si tus máquinas servidoras son potentes y ves que actualmente van holgadas, dale caña y prueba.

Muchas gracias por contestar Moeb,

Lo probaré en un entorno real, pero poco a poco por OU del directorio activo o algo así.

No te he entendido cuando dices: Más que congestión de red tendrás algo más de congestión en los extremos de la comunicación.


Gracias !

El protocolo de red en caso de encriptación no tiene por qué ser necesariamente más pesado para la red (de hecho, muchos protocolos de encriptación de transmisiones permiten comprimir la información con lo que transmites incluso menos cantidad de paquetes = ahorro de ancho de banda).

El mayor grado de congestión (o posibilidad de saturación) lo tienes en "ambos extremos de la comunicación" (en este caso PCs, pero podría ser otro tipo de dispositivos como routers, por ejemplo)...

En cada uno de esos extremos (digamos ordenadores) deberás encriptar cada paquete antes de enviarlo, generar llaves cada X tiempo para negociarlas con el otro extremo, desencriptar lo que reciba, comprimir/descomprimir si es el caso, etc... Eso aumenta el consumo de recursos de la máquina. Esos son los puntos vulnerables de "congestion"... Sobre todo si tienes un servidor que recibe X conexiones de clientes deberá estar encriptando/desencriptando X comunicaciones (no es lo mismo que un PC que solo se encarga de su propia comunicacion con un servidor)...

A eso me refería. Espero haber sido más claro ahora...

Hola Moeb,

Muchas gracias por la aclaración, te has explicado bastante bien.

Al final es lo mismo, me refiero, no hay congestión en la red pero si en los extremos, por lo que, como dices, un servidor web o de correos, ftp, etc, con conexiones concurrentes, sufriría mucho......¿mucho o no tanto?

Quizás es cuestión de probarlo y ver si es un cuello de botella y encontrar el equilibrio seguridad-funcionalidad ?

Gracias !!

Pues efectivamente es cuestión de probarlo en tu ambiente real, o hacerte una batería de pruebas de estrés del servidor en función del servicio que des...

Hablando de ftp y web, es muy habitual la encriptación (sftp/ssh para ftp y ssl para web) de las comunicaciones. Claro que en ese caso, los retardos suelen estar asociados a más cosas (caudal de internet, sobre todo).

En una LAN, donde das servicios de ficheros más grandes y con protocolos poco eficientes (como SMB de Windows), es cuestión de que pruebes... La diferencia entre 100 y 200 PCs es enorme. Es decir, hablar de una red de 100 o 200 PCs es extremadamente ambiguo (200 es el doble que 100, y 100 PCs más son "mucho arroz pa un pollo").

Lo dicho. Si ves que tus servidores "se la están rascando" (como suele pasar con muchos servidores hoy en día, que están muy sobredimensionados), haz la prueba sin miedo. Si, por el contrario, tu hardware está muy justo y los servidores tardan en responder actualmente, NO estás en situación de encriptar toda tu red, realmente... Los procesos de encriptación/desencriptación tiran sobre todo de procesador.

Hola Moeb,

Muchas gracias !

1-Casualmente ahora estoy montando un ftps (no un sftp) , creo que ftps es ftp sobre SSL (igual que https, smtps,pops,imaps....). Me está dando problemas con el modo pasivo, pero ya me pasó la otra vez lo del error en modo pasivo, pero está controlado los puertos para dicho modo, el firewall de en medio, NAT... pero bueno, mañana me pelearé más con ello.

2.En cuanto a lo del sobredimensionamiento de los servidores (RAM es para mi lo que miro siempre), pues yo estoy virtualizando con VMWare, así que en una máquina física pongo dos o 3 máquinas virtuales dependiendo de dicha RAM.

Ya he probado , pero sólo con dos equipos para hacer pequeñas pruebas e ir entendiendo todos los conceptos antes de implementarlos "a lo loco". Ya que IPSec veo algunos parámetros que no entiendo y debo y quiero entenderlos.

De todas maneras, no sé si es mucho preguntar, pero, desde tu experiencia....¿se implemente mucho IPSec en entorno reales, de empresas?
Es que según leo TCP/IP no se pensó para la seguridad.

IPSec impide que un usuario interno vea con Wireshark u otro software de monitoreo información que le pueda valer para hacer cracking o hacking no ético.
¿Crees que IPSec es una gran medida de seguridad en una LAN?

Gracias de nuevo por tu tiempo !

Encriptar una red siempre es algo bastante paranoico... Y depende enormemente de la confidencialidad de los datos a tratar en esa red y lo departamentada que esté la información.

Obviamente lo que evitas es que la información viaje en claro entre dos puntos y no pueda ser "sniffada" (y aunque lo sea, sea difícil saber de que se trata).

Actualmente hay formas de evitar que las claves viajen en claro (SSL, TLS, SSH, Kerberos, etc)... Antes (y ahora en muchos casos tambien), era trivial pillar en una red las claves de correo de todo dios, por ejemplo.

Puedes tener la autenticación windows encriptada a nivel alto con Kerberos (y eso si es muy habitual) aunque no tengas encriptado todo el tráfico (que es menos habitual)... Eso no evitará que si alguien te hace un MiM pueda pillar correo, cookies u otro tipo de info no encriptada que estes transmitiendo, claro. La protección de contraseñas es eso, protección de contraseñas y no protege de nada más...

El tema con la seguridad siempre es el mismo: Llegar a un equilibrio entre seguridad y operatividad, en función de la confidencialidad de la información a tratar... No se puede hacer, por ejemplo, que por culpa de la seguridad un tio pierda una hora de trabajo al dia entre pitos y flautas... Salvo que la información que maneje sea mucho más cara y secreta que su sueldo y esté justificado.

Ese tema es algo que cada administrador debe valorar en función de la empresa, no hay una regla genérica, sorry.

Además, por mucho que encriptes la red, si tus usuarios no están muy concienciados con el tema, tu punto débil será el mismo que el de todos: Esos mismos usuarios. Un correo que no deberían haber abierto, un pdf que le mandó un colega con una coña y que está infectado, una página web troyanizada... Y los PCs acaban en manos de terceros... Por mucho que encriptes tu red.

Pues eso. Encriptar una red no es más que otra de las cosas que se pueden hacer en un intento de que tus sistemas sean algo más seguros y robustos... Siempre que tengas claro que la Seguridad, con mayúsculas, no existe.

Creo que es bastante mejor que nada, sin duda. Obviamente debes evaluar el coste en rendimiento, como te dije antes... Pero muchos de los ataques vía sniffing te los podrás evitar.

Y... sí. He visto redes (o más bien subredes, no toda la red en realidad) encriptadas con IPSeC y/o tunelizadas con SSH para aumentar la seguridad de una porción de la red... En empresas grandes con administradores de sistemas concienciados, es algo bastante habitual.

Hola,

Muchas gracias de nuevo por tu tiempo,

Cuando dices "Puedes tener la autenticación windows encriptada a nivel alto con Kerberos"... ¿Porque dices, a alto nivel?. Me explico: Yo tengo un dominio 2003 nativizado, y, hasta donde sé, los clientes se autentican contra los controladores con kerberos v5, el cual cifra las credenciales, me imagino te refieres a eso ?. En este escenario tengo Windows 2000, XP, Vista y 2003, con lo que creo todos se autentican con kerberos.

En cuanto a SSL/TLS, yo procuro ponerlo todo así, el servidor web está con https, el ftp por ftps, el correo electrónico lo tengo con SMTPS e IMAPS.

Ahora que lo estoy pensando, un ataque ARP Spoofing o de suplantación de identidad , tendría éxito porque la máquina maliciosa (pongamos un portatil que no está en el dominio) envenenará la tabla ARP de la víctima y se hará pasar por el router o por el pc que queramos, y no usará IPSec ya que esta máquina atacante, al no estar en el dominio, no usará kerberos con IPSec pereo habrá comunicación no segura ya que la regla o condición IPSec era "Soliticar seguridad" no "Requerir seguridad". La máquina víctima al comunicarse con la maliciosa le solicitará IPSec, el atacante no podrá por IPSec, pero aún así se comunicarán.

No sé si me estoy saltando u obviando algún paso, pero el ataque podría tener lugar perfectamente. Investigaré sobre ello !

Muchas gracias !!

Me refiero a que Kerberos no solo se utiliza en windows. Por supuesto encripta als contraseñas, pero el envío de tickets puede ser a su vez firmado, o firmado y cifrado (o sin firmar, incluso, aunque windows creo que no lo contempla, por eso las sincronizaciones de reloj son tan críticas)...

Si no "requieres" la autenticación fuerte, un equipo podría usar algun tipo de smbrelay usando un protocolo más débil, de forma que estando en medio de dos equipos (suplantando indentidad) y aunque ambos equipos puedan conectarse con autenticación fuerte, las credenciales pasarán a través del smbrelay con el protocolo débil... Si quieres forzar la seguridad alta debes hacer que sea obligatorio usar el nivel más alto de autenticación. Efectivamente es como dices... La maquina atacante dirá que no dispone de autenticación fuerte o de IPSEC, en tu caso, y podría realizar el MiM de todas formas.

En una red encriptada, si el router no puede integrarse, deberías utilizar una máquina que SI pueda como router o gateway... Si estás con windows, un ISA te hará la vida más fácil en ese sentido (los equipos saldrían a través del ISA, no del router que sólo estaría conectado a una segunda tarjeta del ISA).

Muchas gracias por tu tiempo !

Disculpa la tardanza en contestarte.

Pues efectivamente tengo un ISA que hace de (sino me equivoco):

-router (tengo puesto la típica LAN con los clientes del dominio en una subred y en la otra los servidores de correos, web, ftp, ...). Como es un router , pues los de la LAN podrán conectarse a la otra red para ir a Exchange o a la intranet, etc. No sé si ando muy equivocado, estoy relativamente empezando con ISA aunque ya me he peleado lo suyo con él). Es un ISA 2004 SP3.

-firewall (su principal función diría yo)

-proxy (opcional). En este sentido no le veo filtro por palabras claves, por si quieres que tus usuarios no naveguen a páginas con metatags con "sexo" o "pornografia" o "facebook" etc ... Esto lo hecho de menos , he mirado en foros y comentan que se necesitan productos de terceros.

¿Dirías que el ISA es robusto?

Hice un curso que tengo en mi pc y se habla de que tiene muchos filtros, una especie de IDS.

Ahora mismo por ejemplo veo que tiene protección contra los ataques más comunes (así se llama la pestaña "Ataques más comunes"): Ping of Death, UDP Bomb, IP Half Scan, WinNuke... . Y otra pestaña "Ataques DNS" en la que por defecto también vienen marcadas varias opciones.

No sé si aparte tendría que implementar en otr máquina un IDS , o por el contrario, esto que te acabo de comentar es un Intrusion Detection System (IDS)

No lo he comentado: Al poner la política IPSec en todo el dominio con "Request" (Soliticar), me ha dado problemas los dos servidores DHCP que tengo en el dominio, he hecho troubleshooting, he apagado uno de ellos, luego el otro, y muchas prubeas, finalmente quité la política de IPSec, luego GPUpdate /force en las máquinas y ya si daban los DHCP Server ip´s a las máquinas. Tengo que investigar esto, porque al fin y al cabo DHCP va por UDP 67 y 68 creo recordar y no sé porque no va con IPSec.

Muchas gracias de nuevo !

El ISA te debería servir.

¿Si diría que es robusto?... Diría que es... utilizado porque es el de Microsoft. Diría que no es malo. Diría que para hacer las cuatro cosillas básicas es simple de configurar... Diría que es menos robusto,flexible, potente y más caro en términos de rendimiento, recursos y, obviamente, licencias, que una solución basada en Linux u OpenBSD.

Pero si no dominas los sistemas *NIX, ni quieres meterte con ellos, tus opciones se reducen, la verdad...

Los ataques que comentas son propios del firewall. Lo que tratan es de parar ataques muy antiguos a nivel de pila TCP/IP, casi todos, o de icmp flooding, syn flooding, etc... Prácticamente todos los firewall full state, bien configurados, te protegerán de éstos (incluso muchos kernells ya viene protegidos "por defecto" contra muchos de estos ataques...

Un IDS es algo complejo de montar, configurar y administrar. Solo depurar falsos positivos te llevará tiempo... Además, dependerá del número de sensores que quieres tener (puedes tener varios, aunque los monitorices todos desde un punto). Si tienes un único sensor IDS, es algo más fácil, pero sigue teniendo su carga de trabajo y de afinamiento.

Generalmente, lo que consigues con un IDS es reconocer si alguien está intentando algún tipo de ataque conocido contra ti (la máquian en la que está el sensor)... Luego debes actuar usando otras herramientas (denegando su tráfico con un firewall, por ejemplo)... Vamos, lo que hace si está bien configurado es avisarte de que algo ocurre...

De todas formas, en una red grande tendrás cientos (o miles) de avisos, dado que hay miles de scans, po rejemplo, de puertos constantemente en Internet... Y un montón de intentos de ataque por diccionario, pro ejemplo, en cuanto ven un puerto abierto que permite autenticación... Y muchas más cosas.

Yo no me liaría con un IDS de momento, la verdad... Salvo que lo tengas muy claro.

En cuanto al tema del DHCP + IPSEC, es posible que requiera algo de "tweeking"... Vamos, de retocar... Sé que hay algunos problemas (en mi caso me encontré con que el DHCP no tenía claro por qué interfaz debía atender y/o enviar los broadcasts, si por eth0 o ipsec0... Pero no fué en un Windows :) ). Echa un ojo a lo que comenta Microsoft sobre el tema (creo que tiene varios)... Un acceso rápido a google arroja este, por ejemplo:
http://technet.microsoft.com/es-es/l...8WS.10%29.aspx

Gracias de nuevo !

Pues precisamente estoy pensando en montar un firewall en Linux, con iptables (sólo me suena la palabra) aunque al haber trabajado con ISA y tener los conceptos, será en linea de comando pero no sé si mucho más difícil, en cualquier caso, quiero implementarlo, no sé si con Ubuntu o con alguna otra Distro de Linux. Miraré por google.

En cuanto a lo del IDS, uff, suena que hay que currárselo mucho, pensaba que ISA era, de alguna manera, un pequeño o básico IDS entre otras cosas.

Curioso porque googleando he acabado en el mismo enlace que me indicas, gracias !. He hecho lo que se indica en el documento de Technet sin éxito.

No lo he comentado pero no es sólo DHCP el problema.
Si meto una nueva máquina en el dominio no se registra en DNS, aunque le ponga la ip estática, no hace ping ni a los nombres netbios ni a los dns (desde los clientes xp recién agregados al dominio)... En resumen , no es sólo que no de DHCP si implemento IPSec con Kerberos y con Solicitar Seguridad, sino que hay o estoy viendo otros añadidos, y en cuanto quito dicha GPO de IPSec todo funciona a la perfección.
No hay otros problemas, me refiero que hay conectividad a internet (a través de ISA), que funcionan los Exchange que tengo en cluster, el ftp.... pero claro, no está fino el tema !!

De todas formas tengo un documento bajado de Microsoft sobre IPSec no muy largo, asequible, donde básicamente dice los escenarios apropiados.

Por cierto, tus mensajes a veces son my densos, en el buen sentido, en el sentido de que se nota que sabes y que yo soy un newbie !!

Gracias !