L'utilizzo di NAT-T per VPN L2TP / IPsec pone un rischio di sicurezza realistico?

5

Sto lavorando per aggiornare un vecchio server Windows RAS che ospita VPN PPTP. Voglio passare a una VPN L2TP / IPsec.

A causa del firewall che usiamo, il server VPN deve essere dietro un NAT. Ciò significa che per far funzionare L2TP / IPsec, devo abilitare / configurare NAT-T sul client e sul server.

Tuttavia, la funzionalità NAT-T è disabilitata nelle versioni di Windows successive a XP SP2. Ciò è apparentemente dovuto a problemi di sicurezza di Microsoft. Sembra che il traffico inviato utilizzando NAT-T possa finire per essere inviato a una destinazione errata.

IPSec NAT-T non è raccomandato per i computer Windows Server 2003 che si trovano dietro i traduttori di indirizzi di rete

Vi sono ulteriori discussioni sull'impatto della sicurezza qui, senza una vera conclusione sul rapporto beneficio / rischio.

Problemi di sicurezza NAT Traversal (NAT-T)

Le mie domande:

  1. L'utilizzo di VPN L2TP / IPsec su NAT-T non è sicuro, o si tratta solo di un rischio teorico?
  2. C'è qualche ragione per NON usare L2TP / IPsec + NAT-T come sostituto di una VPN PPTP?
posta jlehtinen 09.04.2014 - 15:54
fonte

1 risposta

2

Is using L2TP/IPsec VPN over NAT-T actually insecure, or is this only a theoretical risk?

Microsoft dice sì e no:

nel caso in cui questo scenario si applichi a te:

  1. A network address translator is configured to map IKE and IPSec NAT-T traffic to a server on a NAT-configured network. (This server is Server 1.) The network address translator mappings are the ones that we recommend in this article.
  2. A client from outside the NAT-configured network uses IPSec NAT-T to establish bidirectional security associations with Server 1. (This client is Client 1.)
  3. A client on the NAT-configured network uses IPSec NAT-T to establish bidirectional security associations with Client 1. (This client is Client 2.)
  4. A condition occurs that causes Client 1 to reestablish the security associations with Client 2 because of the static network address translator mappings that map IKE and IPSec NAT-T traffic to Server 1. This condition may cause the IPSec security association negotiation traffic that is sent by Client 1 and that is destined for Client 2 to be misrouted to Server 1

Although this is an uncommon situation, the default behavior on Windows XP SP2-based computers prevents any IPSec NAT-T-based security associations to servers that are located behind a network address translator to make sure that this situation never occurs.

Si noti che questa raccomandazione esiste ancora nelle versioni recenti del sistema operativo Windows Mircrosoft (Windows 7, 8, 10)

No , se sei sicuro che questo scenario non si applica al tuo caso.

Is there any reason to NOT use L2TP/IPsec+NAT-T as a replacement for a PPTP VPN?

Se scegli il tunneling IPSec significa che devi proteggere la riservatezza e l'integrità dei dati, ma anche assicurare l'autenticità del mittente. Combinare questo con il protocollo NAT è in qualche modo in contraddizione con il tuo obiettivo in quanto il NAT può inoltrare le risposte / richieste all'indirizzo IP sbagliato.

Un altro problema tecnico è questo:

NAT isn’t able to use the port numbers in TCP and UDP headers to multiplex packets to multiple internal computers when those headers have been encrypted by ESP

    
risposta data 09.08.2015 - 09:56
fonte

Leggi altre domande sui tag