Está utilizando VPN L2TP / IPsec sobre NAT-T realmente inseguro, o esto es solo
¿Un riesgo teórico?
Microsoft dice sí y no:
Sí en caso de que este escenario se aplique a usted:
- Un traductor de direcciones de red está configurado para asignar el tráfico IKE e IPSec NAT-T a un servidor en una red configurada para NAT. (Este servidor es
Servidor 1.) Las asignaciones del traductor de direcciones de red son las que
Recomendamos en este artículo.
- Un cliente externo a la red configurada con NAT utiliza IPSec NAT-T para establecer asociaciones de seguridad bidireccionales con el Servidor 1. (Esto
cliente es cliente 1)
- Un cliente en la red configurada con NAT utiliza IPSec NAT-T para establecer asociaciones de seguridad bidireccionales con el Cliente 1. (Esto
cliente es cliente 2)
- Se produce una condición que hace que el Cliente 1 restablezca las asociaciones de seguridad con el Cliente 2 debido a la dirección de red estática
asignaciones de traductores que asignan el tráfico IKE e IPSec NAT-T al servidor 1.
Esta condición puede causar la negociación de la asociación de seguridad IPSec
el tráfico que es enviado por el Cliente 1 y que está destinado para el Cliente 2 a
estar mal dirigido al Servidor 1
Aunque esta es una situación poco común, el comportamiento predeterminado en
Los equipos basados en Windows XP SP2 evitan cualquier seguridad basada en IPSec NAT-T
Asociaciones a servidores que se encuentran detrás de una dirección de red.
traductor para asegurarse de que esta situación nunca ocurra.
Tenga en cuenta que esta recomendación aún existe en las versiones recientes del sistema operativo Windows de Mircrosoft (Windows 7, 8, 10)
No , en caso de que esté seguro de que este escenario no se aplica a su caso.
¿Hay alguna razón para NO usar L2TP / IPsec + NAT-T como reemplazo para un
PPTP VPN?
Si elige la tunelización IPSec, significa que debe proteger la confidencialidad e integridad de los datos, pero también garantizar la autenticidad del remitente. Combinar esto con el protocolo NAT contradice de alguna manera su objetivo, ya que el NAT puede enviar las respuestas / solicitudes a la dirección IP incorrecta.
Otro problema técnico es que:
NAT no puede usar los números de puerto en los encabezados TCP y UDP para
multiplexar paquetes a múltiples computadoras internas cuando esos encabezados
han sido cifrados por ESP