web-dev-qa-db-ja.com

L2TP / IPsec VPNにNAT-Tを使用すると、現実的なセキュリティリスクが発生しますか?

古いWindowsのアップグレードに取り組んでいますRASホストするサーバーPPTPVPN。L2TP/ IPsec VPNに移行したい。

私たちが使用するファイアウォールアプライアンスのため、VPNサーバーはNATの背後にある必要があります。つまり、L2TP/IPsecが機能するためには、クライアントとサーバーでNAT-Tを有効化/構成する必要があります。

ただし、XP SP2以降のWindowsバージョンではNAT-T機能が無効になっています。これは明らかにMicrosoftのセキュリティ上の問題によるものです。NAT-Tを使用して送信されたトラフィックが最終的に間違った目的地。

IPSec NAT-Tは、ネットワークアドレストランスレータの背後にあるWindows Server 2003コンピュータにはお勧めしません

ここでは、セキュリティの影響についてさらに説明しますが、利益とリスクの実際の結論はありません。

NATトラバーサル(NAT-T)セキュリティ問題

私の質問:

  1. L2TP/IPsec VPN over NAT-Tの使用は実際には安全ではありませんか、それとも理論上のリスクだけですか?
  2. PPTP VPNの代わりにL2TP/IPsec + NAT-Tを使用しない理由はありますか?
5
jlehtinen

L2TP/IPsec VPN over NAT-Tの使用は実際には安全ではありませんか、それとも理論上のリスクだけですか?

Microsoftは「はい」と「いいえ」を言います。

はいこのシナリオ の場合:

  1. ネットワークアドレス変換は、IKEおよびIPSec NAT-TトラフィックをNAT構成ネットワーク上のサーバーにマップするように構成されています。 (このサーバーはサーバー1です。)ネットワークアドレス変換器のマッピングは、この記事で推奨するものです。
  2. NAT構成ネットワークの外部からのクライアントは、IPSec NAT-Tを使用して、サーバー1との双方向セキュリティアソシエーションを確立します(このクライアントはクライアント1です)。
  3. NAT構成ネットワーク上のクライアントは、IPSec NAT-Tを使用して、クライアント1との双方向セキュリティアソシエーションを確立します(このクライアントはクライアント2です)。
  4. IKEとIPSec NAT-Tトラフィックをサーバー1にマップする静的ネットワークアドレストランスレータマッピングにより、クライアント1がクライアント2とのセキュリティアソシエーションを再確立する条件が発生します。この条件により、IPSecセキュリティアソシエーションネゴシエーショントラフィックが送信され、クライアント1で、クライアント2がサーバー1に誤ってルーティングされることを予定している

これはまれな状況ですが、Windowsのデフォルトの動作XP SP2ベースのコンピューターは、ネットワークアドレストランスレーターの背後にあるサーバーへのIPSec NAT-Tベースのセキュリティアソシエーションを防ぎ、この状況は発生しません。

この推奨事項は、最近のMircrosoft Windowsオペレーティングシステムのバージョン(Windows 7、8、10)にも存在します。

いいえ、このシナリオが該当しない場合。

PPTP VPNの代わりにL2TP/IPsec + NAT-Tを使用しない理由はありますか?

IPSecトンネリングを選択する場合は、データの機密性と整合性を保護するだけでなく、送信者の信頼性を保証する必要があることを意味します。これをNATプロトコルと組み合わせることは、NATが応答/要求を誤ったIPアドレスに転送する可能性があるため、目標に矛盾します。

その他の技術的な問題は次のとおりです。

NATは、TCPおよびUDPヘッダーのポート番号を使用して、それらのヘッダーがESPによって暗号化されている場合、パケットを複数の内部コンピューターに多重化できません。

2
user45139