Tema4
-
Upload
alex-silva -
Category
Education
-
view
142 -
download
4
Transcript of Tema4
Redes virtuales 1
Tema 4: Redes Virtuales
4.1 Seguridad en redes 4.1.1 Introducción 4.1.2 Criptografía 4.1.3 Criptoanálisis 4.1.4 Clave simétrica 4.1.5 Clave asimétrica 4.1.6 Sistema mixto
4.2 Redes privadas virtuales 4.2.1 Introducción 4.2.2 PPTP 4.2.3 L2TP 4.2.4 IPsec 4.2.5 SSL
4.3 Redes de área local virtual
Redes virtuales 2
Tema 4: Redes Virtuales
4.1 Seguridad en redes 4.1.1 Introducción 4.1.2 Criptografía 4.1.3 Criptoanálisis 4.1.4 Clave simétrica 4.1.5 Clave asimétrica 4.1.6 sistema mixto
4.2 Redes privadas virtuales 4.2.1 Introducción 4.2.2 PPTP 4.2.3 L2TP 4.2.4 IPsec 4.2.5 SSL
4.3 Redes de área local virtual
Redes virtuales 3
Introducción
Canal seguro: Propiedades:
Confidencialidad Integridad Autenticidad (autenticación) No repudio
Emisor Receptor
Canal seguro?
Redes virtuales 4
Introducción
Confidencialidad: La información transmitida por el canal
inseguro sólo podrá ser interpretada por elementos destinatarios acreditados
Debe permanecer ininteligible para el resto Formas de protección:
Líneas física dedicadas Alto costeDifícil mantenimiento
Cifrado
Ejemplo: obtención de datos del emisor
Redes virtuales 5
Introducción
Integridad: Asegura que la información transmitida no
haya sido modificada durante su transcurso El mensaje en el destino debe ser el mismo
que el mensaje en el origen Formas de protección:
Firmas digitales
Ejemplo: modificación de la dirección de envío de un producto comprado por Internet
Redes virtuales 6
Introducción
Autenticidad: Asegurar el origen de una información Evitar suplantaciones Formas de protección:
Firmas digitales Desafío Autenticación humana
Biométrica (huella dactilar, retina, reconocimiento facial, etc.)
Ejemplo: suplantación de usuario en transacción bancaria
Redes virtuales 7
Introducción
No repudio: Evitar negación de envío por parte de un emisor Evitar negación de recepción por parte de un
receptor Formas de protección:
Firmas digitales
Ejemplo: pérdida de solicitud en proceso administrativo
Redes virtuales 8
Introducción
Canal inseguro: Poco fiable Ataques: Violación de seguridad del canal.
TiposPasivos Activos
CategoríasInterceptaciónInterrupciónModificaciónFabricación
Redes virtuales 9
Introducción
Ataques pasivos: El intruso no altera el contenido de la
información transmitida Objetivos:
Identificación de entidades Control del volumen de tráfico Análisis del tráfico Horario de intercambio habitual
Dificultad de detección Fácil de evitar -> cifrado
Redes virtuales 10
Introducción
Ataques activos: Implican alteración del contenido de la información
transmitida Tipos:
Enmascarados (impostor) Repetitivo (mensaje interceptado y repetido
posteriormente) Modificación del mensaje Denegación del servicio
Dificultad de prevención Fácil de detectar -> detección y recuperación
Redes virtuales 11
IntroducciónInterceptación: Ataque de confidencialidad Pasivo Un elemento no autorizado consigue acceso a un recurso no
compartido Ejemplos:
Captura de tráfico de red Copia ilícita de archivos o programas
Emisor Receptor
Intruso
Redes virtuales 12
Introducción
Interrupción: Destrucción de un recurso compartido Activo Ejemplos:
Destrucción de hardware Corte de línea de comunicación
Emisor Receptor
Intruso
Redes virtuales 13
Introducción
Modificación: Un recurso no compartido es interceptado y manipulado por
un elemento no autorizado antes de llegar al destino final Activo Ejemplos:
Alteración de los datos enviados a través de una red
Emisor Receptor
Intruso
Redes virtuales 14
IntroducciónFabricación: Ataque de autenticidad Activo Elemento no autorizado (impostor) genera un recurso que
llega al destinatario Ejemplos:
Introducción de información fraudulenta
Emisor Receptor
Intruso
Redes virtuales 15
Tema 4: Redes Virtuales
4.1 Seguridad en redes 4.1.1 Introducción 4.1.2 Criptografía 4.1.3 Criptoanálisis 4.1.4 Clave simétrica 4.1.5 Clave asimétrica 4.1.6 sistema mixto
4.2 Redes privadas virtuales 4.2.1 Introducción 4.2.2 PPTP 4.2.3 L2TP 4.2.4 IPsec 4.2.5 SSL
4.3 Redes de área local virtual
Redes virtuales 16
Criptografía
Introducción: ¿Por qué?
Formas de protección contra intrusos basadas en la encriptación (cifrado y firmas digitales)
Definición Ciencia de la escritura secreta, destinada a
ocultar la información con el objetivo de que no pueda ser interpretada por otras personas
Principio Mantener la privacidad de la comunicación entre
dos o más elementos
Redes virtuales 17
Criptografía
Introducción: Base de funcionamiento
Alteración del mensaje original para que sea incompatible con toda persona ajena al destinatario
Ejemplo Mensaje original: “Mi profesor es un plasta” Mensaje alterado: “Pl surihvru hv xq sñdvwd” Cifrado de César con K=3
Redes virtuales 18
Criptografía
Cifrado: Procedimiento que
convierte un mensaje en claro en otro incomprensible
El algoritmo de cifrado requiere una clave
Descifrado: Procedimiento que
convierte un mensaje incomprensible en el mensaje original
Es necesario conocer el algoritmo de cifrado empleado y la clave adecuada
Redes virtuales 19
Criptografía
Introducción: Esquema de funcionamiento
Emisor Receptor
cifrado descifrado
Redes virtuales 20
Tema 4: Redes Virtuales
4.1 Seguridad en redes 4.1.1 Introducción 4.1.2 Criptografía 4.1.3 Criptoanálisis 4.1.4 Clave simétrica 4.1.5 Clave asimétrica 4.1.6 sistema mixto
4.2 Redes privadas virtuales 4.2.1 Introducción 4.2.2 PPTP 4.2.3 L2TP 4.2.4 IPsec 4.2.5 SSL
4.3 Redes de área local virtual
Redes virtuales 21
Criptoanálisis
Introducción: Definición
Conjunto de métodos destinados a averiguar la clave usada por las partes comunicantes
Objetivo Desvelar el secreto de la correspondencia
Ataques Ataque de fuerza bruta (más común) Tipos:
Ataque de sólo texto cifradoAtaque de texto claro conocidoAtaque de texto claro seleccionado
Redes virtuales 22
Tema 4: Redes Virtuales
4.1 Seguridad en redes 4.1.1 Introducción 4.1.2 Criptografía 4.1.3 Criptoanálisis 4.1.4 Clave simétrica 4.1.5 Clave asimétrica 4.1.6 sistema mixto
4.2 Redes privadas virtuales 4.2.1 Introducción 4.2.2 PPTP 4.2.3 L2TP 4.2.4 IPsec 4.2.5 SSL
4.3 Redes de área local virtual
Redes virtuales 23
Clave simétrica
Características: Clave privada Emisor y receptor comparten la misma
clave
Emisor Receptor
cifrado descifrado
Redes virtuales 24
Clave simétrica
Algoritmos: DES, 3DES, RC5, IDEA, AES Requisitos:
Del texto cifrado no podrá extraerse ni el mensaje en claro ni la clave
Conocidos el texto en claro y el texto cifrado debe ser más costoso en tiempo y dinero obtener la clave, que el valor derivado de la información sustraída
Fortaleza del algoritmo: Complejidad interna Longitud de la clave
Redes virtuales 25
Clave simétrica
Objetivos cumplidos: Confidencialidad Integridad Autenticación No repudio
Dependerá del número de participantes que compartan la clave secreta
Redes virtuales 26
Clave simétrica
Ventajas: Velocidad de ejecución de algoritmos
Mejor método para cifrar grandes cantidades de información
Inconvenientes: Distribución de la clave privada Administración y mantenimiento de claves
Número de claves usadas es proporcional al número de canales seguros empleados
Redes virtuales 27
Tema 4: Redes Virtuales
4.1 Seguridad en redes 4.1.1 Introducción 4.1.2 Criptografía 4.1.3 Criptoanálisis 4.1.4 Clave simétrica 4.1.5 Clave asimétrica 4.1.6 sistema mixto
4.2 Redes privadas virtuales 4.2.1 Introducción 4.2.2 PPTP 4.2.3 L2TP 4.2.4 IPsec 4.2.5 SSL
4.3 Redes de área local virtual
Redes virtuales 28
Clave asimétrica
Características: Clave pública Cada participante posee una pareja de claves
(privada-pública)
Emisor Receptor
cifrado descifrado
Privada emisor
Pública emisor
Privada receptor
Pública receptor
Redes virtuales 29
Clave asimétrica
Algoritmos: Diffie-Hellman, RSA, DSA Requisitos:
Del texto cifrado debe ser imposible extraer el mensaje en claro y la clave privada
Conocidos el texto en claro y el texto cifrado debe ser más costoso en tiempo y dinero obtener la clave privada, que el valor derivado de la información sustraída
Para un texto cifrado con clave pública, sólo debe existir una clave privada capaz desencriptarlo, y viceversa
Redes virtuales 30
Clave asimétrica
Objetivos cumplidos: Confidencialidad Integridad Autenticación
Ofrece mecanismos muy buenos
No repudio Ofrece mecanismos muy buenos
Redes virtuales 31
Clave asimétrica
Ventajas: No presenta problemas de distribución de
claves, ya que posee clave pública En caso de robo de clave privada de un
usuario, sólo se ven comprometidos los mensajes enviados a dicho usuario
Proporciona mecanismos de autenticación mejores que los ofrecidos por sistemas simétricos
Inconvenientes: Velocidad de ejecución de algoritmos
Redes virtuales 32
Clave asimétrica
Autenticación: Desafio-respuesta Firma digital Certificado digital
No repudio: Firma digital Certificado digital
Redes virtuales 33
Clave asimétrica
Desafio-respuesta: Envío de un desafio en claro cuya solución conoce el emisor El emisor envía respuesta cifrada con clave privada
Emisor Receptor
cifrado descifrado
Privada emisor
Pública emisor
Privada receptor
Pública receptor
Redes virtuales 34
Clave asimétrica
Firma digital: Verificar autenticidad del origen Partes
Proceso de firma (emisor) Proceso de verificación de la firma (receptor)
Emisor Receptor
firma verificación
Privada emisor
Pública emisor
Privada receptor
Pública receptor
Redes virtuales 35
Clave asimétrica
Firma digital: Problema: Lentitud del proceso Empleo de huella
Emisor Receptor
Privada emisor
Pública emisor
Privada receptor
Pública receptor
Redes virtuales 36
Clave asimétricaFirma digital - Huella: Redución del tiempo de encriptado Función de hash
Convierte conjunto de datos de longitud variable en resumen o huella de longitud fija, ilegible y sin sentido
Irreversible Algoritmos SHA-1, MD5 Requisitos
Capacidad de convertir datos de longitud variable en bloque de longitud fija
Fácil de usar y sencillez de implementación Imposibilidad de obtener texto original de la huella Textos diferentes deben generar huellas distintas
Problema: Gestión de claves
Redes virtuales 37
Clave asimétrica
Certificado digital: Unidad de información que contiene una pareja de
claves públicas y privada junto con la información necesaria para capacitar a su propietario a realizar operaciones de comunicación segura con otros interlocutores
Contiene: Clave pública Clave privada (si es propietario) Datos del propietario Datos de uso (algoritmos, funciones permitidas, ...) Periodo de validez Firmas de Autoridades de certificación
Es posible su revocación
Redes virtuales 38
Tema 4: Redes Virtuales
4.1 Seguridad en redes 4.1.1 Introducción 4.1.2 Criptografía 4.1.3 Criptoanálisis 4.1.4 Clave simétrica 4.1.5 Clave asimétrica 4.1.6 sistema mixto
4.2 Redes privadas virtuales 4.2.1 Introducción 4.2.2 PPTP 4.2.3 L2TP 4.2.4 IPsec 4.2.5 SSL
4.3 Redes de área local virtual
Redes virtuales 39
Sistema mixto
Clave de sesión: Partes
Distribución de clave de sesión (asimétrico) Comunicación segura (simétrico)
Emisor Receptor
Privada emisor
Pública emisor
Privada receptor
Pública receptorClave de sesión
Redes virtuales 40
Sistema mixto
Clave de sesión: Partes
Distribución de clave de sesión (asimétrico) Comunicación segura (simétrico)
Emisor Receptor
Privada emisor
Pública emisor
Privada receptor
Pública receptorClave de sesión
Redes virtuales 41
Sistema mixto
Objetivos cumplidos: Confidencialidad Integridad Autenticación No repudio
Empleo de firmas y certificados digitales
Redes virtuales 42
Sistema mixto
Ventajas: No presenta problemas de distribución de
claves, ya que posee clave pública Es improbable hacerse con la clave de
sesión Puede emplear mecanismos de
autenticación y no repudio de clave pública Velocidad de ejecución de algoritmos
Redes virtuales 43
Tema 4: Redes Virtuales
4.1 Seguridad en redes 4.1.1 Introducción 4.1.2 Criptografía 4.1.3 Criptoanálisis 4.1.4 Clave simétrica 4.1.5 Clave asimétrica 4.1.6 sistema mixto
4.2 Redes privadas virtuales 4.2.1 Introducción 4.2.2 PPTP 4.2.3 L2TP 4.2.4 IPsec 4.2.5 SSL
4.3 Redes de área local virtual
Redes virtuales 44
Redes privadas virtuales
Introducción: Interconexión de usuarios y entidades
Línea dedicada (intranets)Coste elevadoDificultad de mantenimiento
Uso de red de acceso públicoRiesgos de seguridad
LAN
Red pública
Redes virtuales 45
Redes privadas virtuales
Concepto: VPN: Canal de datos privado implementado
sobre red de comunicaciones pública Objetivos:
Enlazar subredes remotas Enlazar subredes y usuarios remotos
Uso de túnel virtual con encriptación
LANTúnel virtual
Red pública
Redes virtuales 46
Redes privadas virtuales
Requisitos: Autenticación y verificación de identidad Administración de rango de IPs virtuales Cifrado de datos Gestión de claves públicas, privadas, y
certificados digitales Soporte para múltiples protocolos
Redes virtuales 47
Redes privadas virtuales
Tipos: Sistemas basados en hardware
Diseños específicos optimizados Muy seguros y sencillos Alto rendimiento Coste elevado Servicios añadidos (firewalls, detectores de
intrusos, antivirus, etc.) Cisco, Stonesoft, Juniper, Nokia, Panda Security
Sistemas basados en software
Redes virtuales 48
Redes privadas virtuales
Ventajas: Seguridad y confidencialidad Reducción de costes Escalabilidad Mantenimiento sencillo Compatibilidad con los enlaces inalámbricos
Redes virtuales 49
Redes privadas virtuales
Elementos: Redes privadas o locales
LAN de acceso restringido con rango de IPs privadas
Redes inseguras Túneles VPN Servidores Routers Usuarios remotos (road warriors) Oficinas remotas (gateways)
Redes virtuales 50
Redes privadas virtuales
Escenarios: Punto a punto LAN - LAN LAN – usuario remoto
LAN
LAN LAN
Redes virtuales 51
Tema 4: Redes Virtuales
4.1 Seguridad en redes 4.1.1 Introducción 4.1.2 Criptografía 4.1.3 Criptoanálisis 4.1.4 Clave simétrica 4.1.5 Clave asimétrica 4.1.6 sistema mixto
4.2 Redes privadas virtuales 4.2.1 Introducción 4.2.2 PPTP 4.2.3 L2TP 4.2.4 IPsec 4.2.5 SSL
4.3 Redes de área local virtual
Redes virtuales 52
PPTP
Características: Protocolo de túnel punto a punto (PPTP) Protocolo diseñado y desarrollado por 3Com,
Microsoft Corporation, Ascend Communications y ECI Telematics, y definido en IETF (RFC 2637)
Se emplea en acceso virtual seguro de usuarios remotos a red privada
Emplea mecanismo de túneles para envío de datos desde cliente a servidor
Usa red IP de carácter pública o privada
Redes virtuales 53
PPTP
Funcionamiento: Servidor PPTP configurado para repartir IP de
LAN privada El servidor se comporta como un puente
LANUsuario remoto
67.187.11.25
Servidor PPTP192.168.1.1
192.168.1.30
192.168.1.31
192.168.1.32192.168.1.100 -
120
Redes virtuales 54
PPTP
Fases: Establecimiento de la conexión PPP con ISP Control de la conexión PPTP
Conexión TCP Intercambio de mensajes de control
Transmisión de datos Protocolo GRE Cifrado
Redes virtuales 55
PPTP
PPP: Protocolo punto a punto (RFC 1661)
Nivel de enlace Usado para conectar con ISP mediante una línea
telefónica (modem) o RDSI Versiones para banda ancha (PPPoE y PPPoA) Funciones:
Establecer, mantener y finalizar conexión pto-ptoAutenticar usuarios (PAP y CHAP)Crear tramas encriptadas
IP DatosPPP
Redes virtuales 56
PPTP
Control conexión PPTP: Especifica una serie de mensajes de control:
PPTP_START_SESSION_REQUEST: inicio de sesión PPTP_START_SESSION_RESPLY: respuesta solicitud inicio PPTP_ECHO_REQUEST: mantenimiento de la sesión PPTP_ECHO_REPLY: respuesta solicitud mantenimiento PPTP_WAN_ERROR_NOTIFY: notificación error PPTP_SET_LINK_INFO: configurar conexión cliente-
servidor PPTP_STOP_SESSION_REQUEST: finalización sesión PPTP_STOP_SESSION_REPLY: respuesta solicitud
finalización
Redes virtuales 57
PPTP
Autenticación PPTP: Emplea los mismos mecanismos que PPP:
PAP (Password Authentication Protocol)Muy simple: envío de nombre y contraseña en claro
CHAP (Challenge Handshake Authentication Protocol)Mecanismo desafio-respuestaCliente genera una huella a partir del desafio recibido
(MD5)Clave secreta compartidaEnvíos de desafios para revalidar identidad
Redes virtuales 58
PPTP
Autenticación PPTP: Añade dos nuevos:
SPAP (Shiva Password Authentication Protocol)PAP con envío de contraseña cliente encriptada
MS-CHAP (Microsoft Challenge Handshake Authentication Protocol)
Algoritmo propietario de Microsoft basado en CHAPProceso de autenticación mutuo (cliente y servidor)Debido a fallo de seguridad en Windows NT se creó
MS-CHAP v2
Redes virtuales 59
PPTP
Transmisión de datos: Emplea modificación del protocolo GRE (Generic
Routing Encapsulation) RFC 1701 y 1702 Establece división funcional en tres protocolos:
Protocolo pasajeroProtocolo portadorProtocolo de transporte
Pasajero
PortadorTransporte
Redes virtuales 60
PPTP
Transmisión de datos: Envío de tramas PPP encapsuladas en
datagramas IP
GRE DatosPPPIPMedio
TCP DatosIP
Redes virtuales 61
PPTP
Encriptación: MPPE (Microsoft Point-To-Point Encryption)
RFC 3078 Usa algoritmo RSA RC4 -> Clave de sesión a partir de
clave privada de cliente Sólo con CHAP o MS-CHAP
Permite túneles sin cifrado (PAP o SPAP) -> No VPN
Redes virtuales 62
PPTP
Ventajas: Bajo coste de implementación (emplea red
pública) No limitación del número de túneles debido a
interfaces físicas del servidor (aumento de recursos necesarios en servidor por túnel)
Inconvenientes: Altamente vulnerable
Control de la conexión TCP no autenticado Debilidad del protocolo MS-CHAP en sistemas NT Debilidad del protocolo MPPE
Empleo de contraseña privada
Redes virtuales 63
Tema 4: Redes Virtuales
4.1 Seguridad en redes 4.1.1 Introducción 4.1.2 Criptografía 4.1.3 Criptoanálisis 4.1.4 Clave simétrica 4.1.5 Clave asimétrica 4.1.6 sistema mixto
4.2 Redes privadas virtuales 4.2.1 Introducción 4.2.2 PPTP 4.2.3 L2TP 4.2.4 IPsec 4.2.5 SSL
4.3 Redes de área local virtual
Redes virtuales 64
L2TP
Características: Protocolo de túnel de nivel 2 (RFC 2661) - PPP L2TP v3 (RFC 3931) - multiprotocolo Basado en 2 protocolos de red para transportar
tramas PPP: PPTP L2F (Layer Two Forwarding)
Se emplea junto a IPSec para ofrecer mayor seguridad (L2TP/IPSec, RFC 3193)
Redes virtuales 65
L2TP
Funcionamiento: LAC: Concentrador de acceso L2TP LNS: Servidor de red L2TP El servidor se comporta como un puente
LAN
Usuario remoto
67.187.11.25
Servidor L2TP(LNS)192.168.1.1
192.168.1.31
192.168.1.32
192.168.1.100 - 120
ISP
LAC
Voluntario
Obligatorio
Redes virtuales 66
L2TP
Tipos de túneles: Obligatorio:
1) El usuario inicia conexión PPP con ISP
2) ISP acepta conexión y enlace PPP
3) ISP solicita autenticación 4) LAC inicia túnel L2TP al LNS5) Si LNS acepta, LAC
encapsula PPP con L2TP y envía tramas
6) LNS acepta tramas y procesa como si fuesen PPP
7) LNS autentifica PPP validar usuario -> asigna IP
Voluntario:1) Usuario remoto posee
conexión con ISP2) Cliente L2TP inicia túnel
L2TP al LNS3) Si LNS acepta, LAC
encapsula con PPP y L2TP, y envía a través del túnel
4) LNS acepta tramas y procesa como si fuesen PPP
5) LNS autentifica PPP validar usuario -> asigna IP
Redes virtuales 67
L2TP
Mensajes: Dos tipos:
ControlEmpleados durante fase de establecimiento,
mantenimiento y finalización del túnelCanal de control confiable (garantiza su entrega)
DatosEncapsular la información en tramas PPPIntercambiados usando UDP puerto 1701
Redes virtuales 68
L2TP
Mensajes de control: Mantenimiento de conexión:
Start-Control-Connection-Request: inicio de sesión Start-Control-Connectio-Reply: respuesta solicitud inicio Start-Control-Connection-Connected: sesión establecida Start-Control-Connection-Notification: finalización de
sesión Hello: mensaje enviado durante periodos de inactividad
Redes virtuales 69
L2TP
Mensajes de control: Mantenimiento de llamada:
Outgoing-Call-Request: inicio de la llamada saliente Outgoing-Call-Reply: respuesta solicitud inicio llamada
saliente Outgoing-Call-Connected: llamada saliente establecida Incoming-Call-Request: inicio de la llamada entrante Incoming-Call-Reply: respuesta solicitud inicio llamada
entrante Incoming-Call-Connected: llamada entrante establecida Call-Disconnect-Notify: finalización de llamada
Redes virtuales 70
L2TP
Mensajes de control: Informe de errores:
WAN-Error-Notify: notificación de error
Sesión de control PPP: Set-Link-Info: configurar la conexión cliente-servidor
Redes virtuales 71
L2TP
Ventajas: Bajo coste de implementación Soporte multiprotocoloInconvenientes: Únicamente se identifican los dos extremos participantes
en el túnel (Posibles ataques de suplantación de identidad) No ofrece soporte para integridad (Posible ataque de
denegación de servicio) No desarrolla confidencialidad -> No garantiza privacidad No ofrece cifrado, aunque PPP pueden ser encriptado (no
existe mecanismo de generación automática de claves)
Redes virtuales 72
Tema 4: Redes Virtuales
4.1 Seguridad en redes 4.1.1 Introducción 4.1.2 Criptografía 4.1.3 Criptoanálisis 4.1.4 Clave simétrica 4.1.5 Clave asimétrica 4.1.6 sistema mixto
4.2 Redes privadas virtuales 4.2.1 Introducción 4.2.2 PPTP 4.2.3 L2TP 4.2.4 IPsec 4.2.5 SSL
4.3 Redes de área local virtual
Redes virtuales 73
IPSec
Caracteríticas: Internet Protocol Security Ofrece servicios de seguridad a capa IP Permite enlazar redes distintas (oficinas remotas) Permite acceso de un usuario remoto a recursos
privados de una red Estándares IETF (Internet Engineering Task Force) Integrado en IPv4 e incluido por defecto en IPv6 IPSec es orientado a la conexión
Redes virtuales 74
IPSec
Caracteríticas: Servicios:
Integridad de datos Autenticación del origen Confidencialidad Prevención de ataques por reproducción
Modos de funcionamiento: Modo transporte Modo túnel
Redes virtuales 75
IPSec
Asociación de seguridad: Definición (SA):
“Acuerdo unidireccional entre participantes de una conexión IPSec en cuanto a métodos y parámetros empleados en la estructura del túnel, destinados a garantizar la seguridad de los datos transmitidos”
Una entidad debe almacenar: Claves y algoritmos de seguridad empleados Modo de trabajo Métodos de gestión de claves Periodo de vigencia de la conexión establecida Base de datos con SA
Redes virtuales 76
IPSec
Asociación de seguridad: Ejemplo:
SPI: 12345Source IP: 200.168.1.100Dest IP: 193.68.2.23 Protocol: ESPEncryption algorithm: 3DES-cbcHMAC algorithm: MD5Encryption key: 0x7aeaca…HMAC key:0xc0291f…
Métodos de distribución y administración de claves: Manual: entrega personal Automático: AutoKey IKE
Redes virtuales 77
IPSec
Protocolo IKE: Protocolo de intercambio de claves en Internet
(IKE) Protocolo definido en IETF
Gestión y administración de claves Establecimiento de SA
Estándar no limitado a IPSec (OSPF o RIP) Protocolo híbrido:
ISAKMP (Internet Security Association and Key Management Protocol)
Define la sintaxis de los mensajesProcedimientos necesarios para establecimiento,
negociación, modificación y eliminación de SA Oakley
Especifica lógica para el intercambio seguro de claves
Redes virtuales 78
IPSec
IKE – Negociación del túnel IPSec: Posee dos fases:
Fase 1: Establemiciento de un canal bidireccional de comunicación seguro (IKE SA)
IKE SA distinta a IPSec SASe denomina ISAKMP SA
Fase 2: Acuerdos sobre algoritmos de cifrado y autenticación -> IPSec SA
Usa ISAKMP para generar IPSec SAEl precursor ofrece todas sus posibilidades al otro con
prioridadesEl otro acepta la primera configuración que se adecue a
sus posibilidadesSe informan recíprocamente del tipo de tráfico
Redes virtuales 79
IPSec
Ventajas: Permite acceso remoto de forma segura y
transparente Facilita el comercio electrónico (infraestructura
segura para transacciones) Posibilita la construcción de red corporativa
segura (extranets) sobre redes públicas
Redes virtuales 80
IPSec
Protocolos: Protocolo de cabecera de autenticación (AH) Protocolo carga de seguridad encapsulada (ESP)
Redes virtuales 81
IPSec
Protocolo AH: Campo Protocolo de la cabecera IP :51 Servicios suministrados:
Integridad Autenticación No garantiza la confidencialidad (no emplea cifrado de
datos)
HMAC (Hash Message Authentication Codes) Generación de huella digital (SHA o MD5) Cifrado de huella digital con clave secreta compartida
Redes virtuales 82
IPSec
Protocolo AH: HMAC
Emisor
HMACIP AH DATOS
Receptor
HMACIP AH DATOS
Redes virtuales 83
IPSec
Protocolo AH: Formato
Next header
Payloadlength
Reserved
Security Parameters Index (SPI)
Sequence number
Authentication data
Cabecera IP
Datos
Cabecera AH
32 bits
Redes virtuales 84
IPSec
Protocolo AH: Formato:
Next header: protocolo del nivel superior Payload length: longitud del campo de datos (32 bits) Security Parameters Index (SPI): identificador SA Sequence number: Número de secuencia Authentication data: HMAC de longitud variable
Redes virtuales 85
IPSec
Protocolo ESP: Campo Protocolo de la cabecera IP :50 Servicios suministrados:
Integridad (opcional) Autenticación (opcional) Confidencialidad (cifrado de datos)
Algoritmo de cifrado de clave simétrica (DES, 3DES, Blowfish) Normalmente cifrado por bloques (relleno) Requiere un mecanismo seguro de distribución de
claves (IKE)
Redes virtuales 86
IPSec
Protocolo ESP:
Emisor
IP ESP DATOS
Receptor
IP ESP DATOSESP ESP
Redes virtuales 87
IPSec
Protocolo ESP: Formato
Padding
Security Parameters Index (SPI)
Sequence number
Cabecera IP
Datos ESP
32 bits
Next header
Padlength
Authentication data
Encriptado
Redes virtuales 88
IPSec
Protocolo ESP: Formato:
Security Parameters Index (SPI): identificador SA Sequence number: Número de secuencia Padding: Relleno Pad length: longitud del relleno en bytes Next header: protocolo del nivel superior Authentication data: HMAC de longitud variable
Redes virtuales 89
IPSec
Modos de funcionamiento: Aplicables tanto a AH como ESP
Modo transporte
con AH
Modotransportecon ESP
Modo túnel
con AH
Modotúnel
con ESP
Más usado
Redes virtuales 90
IPSec
Modo transporte: Los datos se encapsulan en un datagrama AH o
ESP Asegura la comunicación extremo a extremo Esquema cliente-cliente (ambos extremos deben
entender IPSec) Se emplea para conectar usuarios remotos
IP 1DatosIPSecIP 2
IP 1 IP 2
Host con IPSec Host con IPSec
Redes virtuales 91
IPSec
Modo transporte: AH: Next header = Protocol de cabecera IP
ESP: Next header = Protocol de cabecera IP
Encab.AH
DatosEncab.IP original
Autenticado
Encab.ESP
DatosEncab.IP original
Cifrado
Autenticado
Redes virtuales 92
IPSec
Modo túnel: Los datos se encapsulan en un datagrama IP
completo Genera nueva cabecera IP Se emplea cuando el destino final del mensaje y
el extremo IPSec no coinciden (gateways)
IP ADatosIPSecIP B
Host sin IPSecgateway con IPSec gateway con IPSec
Host sin IPSec
IP 1
IP 2IP BIP A
IP 1IP 2
Redes virtuales 93
IPSec
Modo túnel: AH: Protocol nueva cabecera IP = 51 y Next header = 4
ESP: Protocol nueva cabecera IP = 50 y Next header = 4
Encab.AH
DatosEncab.IP nuevo
Autenticado
Encab.ESP
DatosEncab.IP original
Cifrado
Autenticado
Encab.IP original
Encab.IP original
Redes virtuales 94
Tema 4: Redes Virtuales
4.1 Seguridad en redes 4.1.1 Introducción 4.1.2 Criptografía 4.1.3 Criptoanálisis 4.1.4 Clave simétrica 4.1.5 Clave asimétrica 4.1.6 sistema mixto
4.2 Redes privadas virtuales 4.2.1 Introducción 4.2.2 PPTP 4.2.3 L2TP 4.2.4 IPsec 4.2.5 SSL
4.3 Redes de área local virtual
Redes virtuales 95
SSL
El proyecto OpenVPN: Implementación de VPN basada en SSL (OpenSSL) Software libre (GPL) Razones: Limitaciones de IPSec Características:
Driver tun encargado de levantar túnel y encapsular los paquetes a través del enlace virtual
Posee autenticación y encriptación Todas comunicaciones a través de un puerto TCP o UDP
(1194 por defecto) Multiplataforma Permite usar compresión
Redes virtuales 96
SSL
El proyecto OpenVPN: Características:
Modelo cliente-servidor (versión 2.0) Existen paquetes con instaladores y administradores
gráficos Permite administración remota de la aplicación Alta flexibilidad (multitud formatos de scripts)
Redes virtuales 97
Tema 4: Redes Virtuales
4.1 Seguridad en redes 4.1.1 Introducción 4.1.2 Criptografía 4.1.3 Criptoanálisis 4.1.4 Clave simétrica 4.1.5 Clave asimétrica 4.1.6 sistema mixto
4.2 Redes privadas virtuales 4.2.1 Introducción 4.2.2 PPTP 4.2.3 L2TP 4.2.4 IPsec 4.2.5 SSL
4.3 Redes de área local virtual
Redes virtuales 98
VLAN
Introducción: Las LANs institucionales modernas suelen
presentar topología jerárquica Cada grupo de trabajo posee su propia LAN
conmutada Las LANs conmutadas pueden interconectarse
entre sí mediante una jerarquía de conmutadores
A
B
S1
C D
E
FS2
S4
S3
H
I
G
Redes virtuales 99
VLAN
Inconvenientes: Falta de aislamiento del tráfico
Tráfico de difusión Limitar tráfico por razones de seguridad y
confidencialidad
Uso ineficiente de los conmutadores Gestión de los usuarios
Redes virtuales 100
VLAN
VLAN: VLAN basada en puertos
División de puertos del conmutador en grupos Cada grupo constituye una VLAN Cada VLAN es un dominio de difusión Gestión de usuario -> Cambio de configuración del
conmutador
A B C D E F G H I
Redes virtuales 101
VLAN
VLAN: ¿Cómo enviar información entre grupos?
Conectar puerto del conmutador VLAN a router externo Configurar dicho puerto como miembro de ambos grupos Configuración lógica -> conmutadores separados conectados
mediante un router Normalmente los fabricantes incluyen en un único dispositivo
conmutador VLAN y router
A B C D E F G H I
Redes virtuales 102
VLAN
VLAN: Localización diferente
Miembros de un grupo se encuentran en edificios diferentes Necesario varios conmutadores Conectar puertos de grupos entre conmutadores -> No
escalable
A BC
D E FG HI
Redes virtuales 103
VLAN
VLAN: Localización diferente
Troncalización VLAN (VLAN Trunking) Puerto troncal pertenece a todas las VLANs ¿VLAN Destino de la trama? -> formato de trama 802.1Q
A BC
D E FG HI
Enlace
troncal
Redes virtuales 104
VLAN
IEEE 802.1Q: IEEE 802.3 (Ethernet)
IEEE 802.1Q
Dir.Destino
DatosPreambuloDir.Origen
Tipo CRC
Dir.Destino
DatosPreambuloDir.Origen
Tipo CRC nuevoTPID TCI
Información de control de etiquetado
Identificador de protocolo de etiquetado
Redes virtuales 105
VLAN
VLAN: VLAN basada en MAC (nivel 2)
El administrador de red crea grupos VLAN basados en rangos de direcciones MAC
El puerto del conmutador se conecta a la VLAN correspondiente con la dirección MAC del equipo asociado
VLAN nivel 3 Basada en direcciones de red IPv4 o IPv6 Basada en protocolos de red (Appletalk, IPX, TCP/IP)