¿El uso de NAT-T para L2TP / IPsec VPN representa un riesgo de seguridad realista?

5

Estoy trabajando en actualizar un antiguo servidor RAS de Windows que aloja PPTP VPN. Quiero pasar a una VPN L2TP / IPsec.

Debido al dispositivo de firewall que utilizamos, el servidor VPN tiene que estar detrás de un NAT. Esto significa que para que L2TP / IPsec funcione, necesito habilitar / configurar NAT-T en el cliente y el servidor.

Sin embargo, la funcionalidad NAT-T está deshabilitada en las versiones de Windows posteriores a XP SP2. Esto se debe aparentemente a las preocupaciones de seguridad de Microsoft. Parece indicar que el tráfico enviado mediante NAT-T puede terminar siendo enviado a un destino incorrecto.

IPSec NAT-T no se recomienda para computadoras con Windows Server 2003 que están detrás de traductores de direcciones de red

Aquí hay una discusión adicional sobre el impacto de la seguridad, sin una conclusión real sobre el beneficio frente al riesgo.

Problemas de seguridad de NAT Traversal (NAT-T)

Mis preguntas:

  1. ¿El uso de L2TP / IPsec VPN sobre NAT-T es realmente inseguro, o esto es solo un riesgo teórico?
  2. ¿Hay alguna razón para NO usar L2TP / IPsec + NAT-T como reemplazo de una VPN PPTP?
pregunta jlehtinen 09.04.2014 - 15:54
fuente

1 respuesta

2
  

Está utilizando VPN L2TP / IPsec sobre NAT-T realmente inseguro, o esto es solo   ¿Un riesgo teórico?

Microsoft dice sí y no:

Sí en caso de que este escenario se aplique a usted:

  
  1. Un traductor de direcciones de red está configurado para asignar el tráfico IKE e IPSec NAT-T a un servidor en una red configurada para NAT. (Este servidor es   Servidor 1.) Las asignaciones del traductor de direcciones de red son las que   Recomendamos en este artículo.
  2.   
  3. Un cliente externo a la red configurada con NAT utiliza IPSec NAT-T para establecer asociaciones de seguridad bidireccionales con el Servidor 1. (Esto   cliente es cliente 1)
  4.   
  5. Un cliente en la red configurada con NAT utiliza IPSec NAT-T para establecer asociaciones de seguridad bidireccionales con el Cliente 1. (Esto   cliente es cliente 2)
  6.   
  7. Se produce una condición que hace que el Cliente 1 restablezca las asociaciones de seguridad con el Cliente 2 debido a la dirección de red estática   asignaciones de traductores que asignan el tráfico IKE e IPSec NAT-T al servidor 1.   Esta condición puede causar la negociación de la asociación de seguridad IPSec   el tráfico que es enviado por el Cliente 1 y que está destinado para el Cliente 2 a   estar mal dirigido al Servidor 1
  8.   

Aunque esta es una situación poco común, el comportamiento predeterminado en   Los equipos basados en Windows XP SP2 evitan cualquier seguridad basada en IPSec NAT-T   Asociaciones a servidores que se encuentran detrás de una dirección de red.   traductor para asegurarse de que esta situación nunca ocurra.

Tenga en cuenta que esta recomendación aún existe en las versiones recientes del sistema operativo Windows de Mircrosoft (Windows 7, 8, 10)

No , en caso de que esté seguro de que este escenario no se aplica a su caso.

  

¿Hay alguna razón para NO usar L2TP / IPsec + NAT-T como reemplazo para un   PPTP VPN?

Si elige la tunelización IPSec, significa que debe proteger la confidencialidad e integridad de los datos, pero también garantizar la autenticidad del remitente. Combinar esto con el protocolo NAT contradice de alguna manera su objetivo, ya que el NAT puede enviar las respuestas / solicitudes a la dirección IP incorrecta.

Otro problema técnico es que:

  

NAT no puede usar los números de puerto en los encabezados TCP y UDP para   multiplexar paquetes a múltiples computadoras internas cuando esos encabezados   han sido cifrados por ESP

    
respondido por el user45139 09.08.2015 - 09:56
fuente

Lea otras preguntas en las etiquetas