L2TP / IPsec VPNにNAT-Tを使用すると、現実的なセキュリティリスクが発生しますか?
古いWindowsのアップグレードに取り組んでいますRASホストするサーバーPPTPVPN。L2TP/ IPsec VPNに移行したい。
私たちが使用するファイアウォールアプライアンスのため、VPNサーバーはNATの背後にある必要があります。つまり、L2TP/IPsecが機能するためには、クライアントとサーバーでNAT-Tを有効化/構成する必要があります。
ただし、XP SP2以降のWindowsバージョンではNAT-T機能が無効になっています。これは明らかにMicrosoftのセキュリティ上の問題によるものです。NAT-Tを使用して送信されたトラフィックが最終的に間違った目的地。
IPSec NAT-Tは、ネットワークアドレストランスレータの背後にあるWindows Server 2003コンピュータにはお勧めしません
ここでは、セキュリティの影響についてさらに説明しますが、利益とリスクの実際の結論はありません。
私の質問:
- L2TP/IPsec VPN over NAT-Tの使用は実際には安全ではありませんか、それとも理論上のリスクだけですか?
- PPTP VPNの代わりにL2TP/IPsec + NAT-Tを使用しない理由はありますか?
L2TP/IPsec VPN over NAT-Tの使用は実際には安全ではありませんか、それとも理論上のリスクだけですか?
Microsoftは「はい」と「いいえ」を言います。
はいこのシナリオ の場合:
- ネットワークアドレス変換は、IKEおよびIPSec NAT-TトラフィックをNAT構成ネットワーク上のサーバーにマップするように構成されています。 (このサーバーはサーバー1です。)ネットワークアドレス変換器のマッピングは、この記事で推奨するものです。
- NAT構成ネットワークの外部からのクライアントは、IPSec NAT-Tを使用して、サーバー1との双方向セキュリティアソシエーションを確立します(このクライアントはクライアント1です)。
- NAT構成ネットワーク上のクライアントは、IPSec NAT-Tを使用して、クライアント1との双方向セキュリティアソシエーションを確立します(このクライアントはクライアント2です)。
- IKEとIPSec NAT-Tトラフィックをサーバー1にマップする静的ネットワークアドレストランスレータマッピングにより、クライアント1がクライアント2とのセキュリティアソシエーションを再確立する条件が発生します。この条件により、IPSecセキュリティアソシエーションネゴシエーショントラフィックが送信され、クライアント1で、クライアント2がサーバー1に誤ってルーティングされることを予定している
これはまれな状況ですが、Windowsのデフォルトの動作XP SP2ベースのコンピューターは、ネットワークアドレストランスレーターの背後にあるサーバーへのIPSec NAT-Tベースのセキュリティアソシエーションを防ぎ、この状況は発生しません。
この推奨事項は、最近のMircrosoft Windowsオペレーティングシステムのバージョン(Windows 7、8、10)にも存在します。
いいえ、このシナリオが該当しない場合。
PPTP VPNの代わりにL2TP/IPsec + NAT-Tを使用しない理由はありますか?
IPSecトンネリングを選択する場合は、データの機密性と整合性を保護するだけでなく、送信者の信頼性を保証する必要があることを意味します。これをNATプロトコルと組み合わせることは、NATが応答/要求を誤ったIPアドレスに転送する可能性があるため、目標に矛盾します。
その他の技術的な問題は次のとおりです。
NATは、TCPおよびUDPヘッダーのポート番号を使用して、それらのヘッダーがESPによって暗号化されている場合、パケットを複数の内部コンピューターに多重化できません。