Uploaded on

 

More in: Education
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Be the first to comment
    Be the first to like this
No Downloads

Views

Total Views
80
On Slideshare
0
From Embeds
0
Number of Embeds
0

Actions

Shares
Downloads
8
Comments
0
Likes
0

Embeds 0

No embeds

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
    No notes for slide

Transcript

  • 1. Redes virtuales 1 Tema 4: Redes Virtuales 4.1 Seguridad en redes 4.1.1 Introducción 4.1.2 Criptografía 4.1.3 Criptoanálisis 4.1.4 Clave simétrica 4.1.5 Clave asimétrica 4.1.6 Sistema mixto 4.2 Redes privadas virtuales 4.2.1 Introducción 4.2.2 PPTP 4.2.3 L2TP 4.2.4 IPsec 4.2.5 SSL 4.3 Redes de área local virtual
  • 2. Redes virtuales 2 Tema 4: Redes Virtuales 4.1 Seguridad en redes 4.1.1 Introducción 4.1.2 Criptografía 4.1.3 Criptoanálisis 4.1.4 Clave simétrica 4.1.5 Clave asimétrica 4.1.6 sistema mixto 4.2 Redes privadas virtuales 4.2.1 Introducción 4.2.2 PPTP 4.2.3 L2TP 4.2.4 IPsec 4.2.5 SSL 4.3 Redes de área local virtual
  • 3. Redes virtuales 3 Introducción Canal seguro: Propiedades: Confidencialidad Integridad Autenticidad (autenticación) No repudio Emisor Receptor Canal seguro?
  • 4. Redes virtuales 4 Introducción Confidencialidad: La información transmitida por el canal inseguro sólo podrá ser interpretada por elementos destinatarios acreditados Debe permanecer ininteligible para el resto Formas de protección: Líneas física dedicadas Alto coste Difícil mantenimiento Cifrado Ejemplo: obtención de datos del emisor
  • 5. Redes virtuales 5 Introducción Integridad: Asegura que la información transmitida no haya sido modificada durante su transcurso El mensaje en el destino debe ser el mismo que el mensaje en el origen Formas de protección: Firmas digitales Ejemplo: modificación de la dirección de envío de un producto comprado por Internet
  • 6. Redes virtuales 6 Introducción Autenticidad: Asegurar el origen de una información Evitar suplantaciones Formas de protección: Firmas digitales Desafío Autenticación humana Biométrica (huella dactilar, retina, reconocimiento facial, etc.) Ejemplo: suplantación de usuario en transacción bancaria
  • 7. Redes virtuales 7 Introducción No repudio: Evitar negación de envío por parte de un emisor Evitar negación de recepción por parte de un receptor Formas de protección: Firmas digitales Ejemplo: pérdida de solicitud en proceso administrativo
  • 8. Redes virtuales 8 Introducción Canal inseguro: Poco fiable Ataques: Violación de seguridad del canal. Tipos Pasivos Activos Categorías Interceptación Interrupción Modificación Fabricación
  • 9. Redes virtuales 9 Introducción Ataques pasivos: El intruso no altera el contenido de la información transmitida Objetivos: Identificación de entidades Control del volumen de tráfico Análisis del tráfico Horario de intercambio habitual Dificultad de detección Fácil de evitar -> cifrado
  • 10. Redes virtuales 10 Introducción Ataques activos: Implican alteración del contenido de la información transmitida Tipos: Enmascarados (impostor) Repetitivo (mensaje interceptado y repetido posteriormente) Modificación del mensaje Denegación del servicio Dificultad de prevención Fácil de detectar -> detección y recuperación
  • 11. Redes virtuales 11 Introducción Interceptación: Ataque de confidencialidad Pasivo Un elemento no autorizado consigue acceso a un recurso no compartido Ejemplos: Captura de tráfico de red Copia ilícita de archivos o programas Emisor Receptor Intruso
  • 12. Redes virtuales 12 Introducción Interrupción: Destrucción de un recurso compartido Activo Ejemplos: Destrucción de hardware Corte de línea de comunicación Emisor Receptor Intruso
  • 13. Redes virtuales 13 Introducción Modificación: Un recurso no compartido es interceptado y manipulado por un elemento no autorizado antes de llegar al destino final Activo Ejemplos: Alteración de los datos enviados a través de una red Emisor Receptor Intruso
  • 14. Redes virtuales 14 Introducción Fabricación: Ataque de autenticidad Activo Elemento no autorizado (impostor) genera un recurso que llega al destinatario Ejemplos: Introducción de información fraudulenta Emisor Receptor Intruso
  • 15. Redes virtuales 15 Tema 4: Redes Virtuales 4.1 Seguridad en redes 4.1.1 Introducción 4.1.2 Criptografía 4.1.3 Criptoanálisis 4.1.4 Clave simétrica 4.1.5 Clave asimétrica 4.1.6 sistema mixto 4.2 Redes privadas virtuales 4.2.1 Introducción 4.2.2 PPTP 4.2.3 L2TP 4.2.4 IPsec 4.2.5 SSL 4.3 Redes de área local virtual
  • 16. Redes virtuales 16 Criptografía Introducción: ¿Por qué? Formas de protección contra intrusos basadas en la encriptación (cifrado y firmas digitales) Definición Ciencia de la escritura secreta, destinada a ocultar la información con el objetivo de que no pueda ser interpretada por otras personas Principio Mantener la privacidad de la comunicación entre dos o más elementos
  • 17. Redes virtuales 17 Criptografía Introducción: Base de funcionamiento Alteración del mensaje original para que sea incompatible con toda persona ajena al destinatario Ejemplo Mensaje original: “Mi profesor es un plasta” Mensaje alterado: “Pl surihvru hv xq sñdvwd” Cifrado de César con K=3
  • 18. Redes virtuales 18 Criptografía Cifrado: Procedimiento que convierte un mensaje en claro en otro incomprensible El algoritmo de cifrado requiere una clave Descifrado: Procedimiento que convierte un mensaje incomprensible en el mensaje original Es necesario conocer el algoritmo de cifrado empleado y la clave adecuada
  • 19. Redes virtuales 19 Criptografía Introducción: Esquema de funcionamiento Emisor Receptor cifrado descifrado
  • 20. Redes virtuales 20 Tema 4: Redes Virtuales 4.1 Seguridad en redes 4.1.1 Introducción 4.1.2 Criptografía 4.1.3 Criptoanálisis 4.1.4 Clave simétrica 4.1.5 Clave asimétrica 4.1.6 sistema mixto 4.2 Redes privadas virtuales 4.2.1 Introducción 4.2.2 PPTP 4.2.3 L2TP 4.2.4 IPsec 4.2.5 SSL 4.3 Redes de área local virtual
  • 21. Redes virtuales 21 Criptoanálisis Introducción: Definición Conjunto de métodos destinados a averiguar la clave usada por las partes comunicantes Objetivo Desvelar el secreto de la correspondencia Ataques Ataque de fuerza bruta (más común) Tipos: Ataque de sólo texto cifrado Ataque de texto claro conocido Ataque de texto claro seleccionado
  • 22. Redes virtuales 22 Tema 4: Redes Virtuales 4.1 Seguridad en redes 4.1.1 Introducción 4.1.2 Criptografía 4.1.3 Criptoanálisis 4.1.4 Clave simétrica 4.1.5 Clave asimétrica 4.1.6 sistema mixto 4.2 Redes privadas virtuales 4.2.1 Introducción 4.2.2 PPTP 4.2.3 L2TP 4.2.4 IPsec 4.2.5 SSL 4.3 Redes de área local virtual
  • 23. Redes virtuales 23 Clave simétrica Características: Clave privada Emisor y receptor comparten la misma clave Emisor Receptor cifrado descifrado
  • 24. Redes virtuales 24 Clave simétrica Algoritmos: DES, 3DES, RC5, IDEA, AES Requisitos: Del texto cifrado no podrá extraerse ni el mensaje en claro ni la clave Conocidos el texto en claro y el texto cifrado debe ser más costoso en tiempo y dinero obtener la clave, que el valor derivado de la información sustraída Fortaleza del algoritmo: Complejidad interna Longitud de la clave
  • 25. Redes virtuales 25 Clave simétrica Objetivos cumplidos: Confidencialidad Integridad Autenticación No repudio Dependerá del número de participantes que compartan la clave secreta
  • 26. Redes virtuales 26 Clave simétrica Ventajas: Velocidad de ejecución de algoritmos Mejor método para cifrar grandes cantidades de información Inconvenientes: Distribución de la clave privada Administración y mantenimiento de claves Número de claves usadas es proporcional al número de canales seguros empleados
  • 27. Redes virtuales 27 Tema 4: Redes Virtuales 4.1 Seguridad en redes 4.1.1 Introducción 4.1.2 Criptografía 4.1.3 Criptoanálisis 4.1.4 Clave simétrica 4.1.5 Clave asimétrica 4.1.6 sistema mixto 4.2 Redes privadas virtuales 4.2.1 Introducción 4.2.2 PPTP 4.2.3 L2TP 4.2.4 IPsec 4.2.5 SSL 4.3 Redes de área local virtual
  • 28. Redes virtuales 28 Clave asimétrica Características: Clave pública Cada participante posee una pareja de claves (privada-pública) Emisor Receptor cifrado descifrado Privada emisor Pública emisor Privada receptor Pública receptor
  • 29. Redes virtuales 29 Clave asimétrica Algoritmos: Diffie-Hellman, RSA, DSA Requisitos: Del texto cifrado debe ser imposible extraer el mensaje en claro y la clave privada Conocidos el texto en claro y el texto cifrado debe ser más costoso en tiempo y dinero obtener la clave privada, que el valor derivado de la información sustraída Para un texto cifrado con clave pública, sólo debe existir una clave privada capaz desencriptarlo, y viceversa
  • 30. Redes virtuales 30 Clave asimétrica Objetivos cumplidos: Confidencialidad Integridad Autenticación Ofrece mecanismos muy buenos No repudio Ofrece mecanismos muy buenos
  • 31. Redes virtuales 31 Clave asimétrica Ventajas: No presenta problemas de distribución de claves, ya que posee clave pública En caso de robo de clave privada de un usuario, sólo se ven comprometidos los mensajes enviados a dicho usuario Proporciona mecanismos de autenticación mejores que los ofrecidos por sistemas simétricos Inconvenientes: Velocidad de ejecución de algoritmos
  • 32. Redes virtuales 32 Clave asimétrica Autenticación: Desafio-respuesta Firma digital Certificado digital No repudio: Firma digital Certificado digital
  • 33. Redes virtuales 33 Clave asimétrica Desafio-respuesta: Envío de un desafio en claro cuya solución conoce el emisor El emisor envía respuesta cifrada con clave privada Emisor Receptor cifrado descifrado Privada emisor Pública emisor Privada receptor Pública receptor
  • 34. Redes virtuales 34 Clave asimétrica Firma digital: Verificar autenticidad del origen Partes Proceso de firma (emisor) Proceso de verificación de la firma (receptor) Emisor Receptor firma verificación Privada emisor Pública emisor Privada receptor Pública receptor
  • 35. Redes virtuales 35 Clave asimétrica Firma digital: Problema: Lentitud del proceso Empleo de huella Emisor Receptor Privada emisor Pública emisor Privada receptor Pública receptor
  • 36. Redes virtuales 36 Clave asimétrica Firma digital - Huella: Redución del tiempo de encriptado Función de hash Convierte conjunto de datos de longitud variable en resumen o huella de longitud fija, ilegible y sin sentido Irreversible Algoritmos SHA-1, MD5 Requisitos Capacidad de convertir datos de longitud variable en bloque de longitud fija Fácil de usar y sencillez de implementación Imposibilidad de obtener texto original de la huella Textos diferentes deben generar huellas distintas Problema: Gestión de claves
  • 37. Redes virtuales 37 Clave asimétrica Certificado digital: Unidad de información que contiene una pareja de claves públicas y privada junto con la información necesaria para capacitar a su propietario a realizar operaciones de comunicación segura con otros interlocutores Contiene: Clave pública Clave privada (si es propietario) Datos del propietario Datos de uso (algoritmos, funciones permitidas, ...) Periodo de validez Firmas de Autoridades de certificación Es posible su revocación
  • 38. Redes virtuales 38 Tema 4: Redes Virtuales 4.1 Seguridad en redes 4.1.1 Introducción 4.1.2 Criptografía 4.1.3 Criptoanálisis 4.1.4 Clave simétrica 4.1.5 Clave asimétrica 4.1.6 sistema mixto 4.2 Redes privadas virtuales 4.2.1 Introducción 4.2.2 PPTP 4.2.3 L2TP 4.2.4 IPsec 4.2.5 SSL 4.3 Redes de área local virtual
  • 39. Redes virtuales 39 Sistema mixto Clave de sesión: Partes Distribución de clave de sesión (asimétrico) Comunicación segura (simétrico) Emisor Receptor Privada emisor Pública emisor Privada receptor Pública receptor Clave de sesión
  • 40. Redes virtuales 40 Sistema mixto Clave de sesión: Partes Distribución de clave de sesión (asimétrico) Comunicación segura (simétrico) Emisor Receptor Privada emisor Pública emisor Privada receptor Pública receptor Clave de sesión
  • 41. Redes virtuales 41 Sistema mixto Objetivos cumplidos: Confidencialidad Integridad Autenticación No repudio Empleo de firmas y certificados digitales
  • 42. Redes virtuales 42 Sistema mixto Ventajas: No presenta problemas de distribución de claves, ya que posee clave pública Es improbable hacerse con la clave de sesión Puede emplear mecanismos de autenticación y no repudio de clave pública Velocidad de ejecución de algoritmos
  • 43. Redes virtuales 43 Tema 4: Redes Virtuales 4.1 Seguridad en redes 4.1.1 Introducción 4.1.2 Criptografía 4.1.3 Criptoanálisis 4.1.4 Clave simétrica 4.1.5 Clave asimétrica 4.1.6 sistema mixto 4.2 Redes privadas virtuales 4.2.1 Introducción 4.2.2 PPTP 4.2.3 L2TP 4.2.4 IPsec 4.2.5 SSL 4.3 Redes de área local virtual
  • 44. Redes virtuales 44 Redes privadas virtuales Introducción: Interconexión de usuarios y entidades Línea dedicada (intranets) Coste elevado Dificultad de mantenimiento Uso de red de acceso público Riesgos de seguridad LAN Red pública
  • 45. Redes virtuales 45 Redes privadas virtuales Concepto: VPN: Canal de datos privado implementado sobre red de comunicaciones pública Objetivos: Enlazar subredes remotas Enlazar subredes y usuarios remotos Uso de túnel virtual con encriptación LAN Túnel virtual Red pública
  • 46. Redes virtuales 46 Redes privadas virtuales Requisitos: Autenticación y verificación de identidad Administración de rango de IPs virtuales Cifrado de datos Gestión de claves públicas, privadas, y certificados digitales Soporte para múltiples protocolos
  • 47. Redes virtuales 47 Redes privadas virtuales Tipos: Sistemas basados en hardware Diseños específicos optimizados Muy seguros y sencillos Alto rendimiento Coste elevado Servicios añadidos (firewalls, detectores de intrusos, antivirus, etc.) Cisco, Stonesoft, Juniper, Nokia, Panda Security Sistemas basados en software
  • 48. Redes virtuales 48 Redes privadas virtuales Ventajas: Seguridad y confidencialidad Reducción de costes Escalabilidad Mantenimiento sencillo Compatibilidad con los enlaces inalámbricos
  • 49. Redes virtuales 49 Redes privadas virtuales Elementos: Redes privadas o locales LAN de acceso restringido con rango de IPs privadas Redes inseguras Túneles VPN Servidores Routers Usuarios remotos (road warriors) Oficinas remotas (gateways)
  • 50. Redes virtuales 50 Redes privadas virtuales Escenarios: Punto a punto LAN - LAN LAN – usuario remoto LAN LAN LAN
  • 51. Redes virtuales 51 Tema 4: Redes Virtuales 4.1 Seguridad en redes 4.1.1 Introducción 4.1.2 Criptografía 4.1.3 Criptoanálisis 4.1.4 Clave simétrica 4.1.5 Clave asimétrica 4.1.6 sistema mixto 4.2 Redes privadas virtuales 4.2.1 Introducción 4.2.2 PPTP 4.2.3 L2TP 4.2.4 IPsec 4.2.5 SSL 4.3 Redes de área local virtual
  • 52. Redes virtuales 52 PPTP Características: Protocolo de túnel punto a punto (PPTP) Protocolo diseñado y desarrollado por 3Com, Microsoft Corporation, Ascend Communications y ECI Telematics, y definido en IETF (RFC 2637) Se emplea en acceso virtual seguro de usuarios remotos a red privada Emplea mecanismo de túneles para envío de datos desde cliente a servidor Usa red IP de carácter pública o privada
  • 53. Redes virtuales 53 PPTP Funcionamiento: Servidor PPTP configurado para repartir IP de LAN privada El servidor se comporta como un puente LAN Usuario remoto 67.187.11.25 Servidor PPTP 192.168.1.1 192.168.1.30 192.168.1.31 192.168.1.32 192.168.1.100 - 120
  • 54. Redes virtuales 54 PPTP Fases: Establecimiento de la conexión PPP con ISP Control de la conexión PPTP Conexión TCP Intercambio de mensajes de control Transmisión de datos Protocolo GRE Cifrado
  • 55. Redes virtuales 55 PPTP PPP: Protocolo punto a punto (RFC 1661) Nivel de enlace Usado para conectar con ISP mediante una línea telefónica (modem) o RDSI Versiones para banda ancha (PPPoE y PPPoA) Funciones: Establecer, mantener y finalizar conexión pto-pto Autenticar usuarios (PAP y CHAP) Crear tramas encriptadas IP DatosPPP
  • 56. Redes virtuales 56 PPTP Control conexión PPTP: Especifica una serie de mensajes de control: PPTP_START_SESSION_REQUEST: inicio de sesión PPTP_START_SESSION_RESPLY: respuesta solicitud inicio PPTP_ECHO_REQUEST: mantenimiento de la sesión PPTP_ECHO_REPLY: respuesta solicitud mantenimiento PPTP_WAN_ERROR_NOTIFY: notificación error PPTP_SET_LINK_INFO: configurar conexión cliente- servidor PPTP_STOP_SESSION_REQUEST: finalización sesión PPTP_STOP_SESSION_REPLY: respuesta solicitud finalización
  • 57. Redes virtuales 57 PPTP Autenticación PPTP: Emplea los mismos mecanismos que PPP: PAP (Password Authentication Protocol) Muy simple: envío de nombre y contraseña en claro CHAP (Challenge Handshake Authentication Protocol) Mecanismo desafio-respuesta Cliente genera una huella a partir del desafio recibido (MD5) Clave secreta compartida Envíos de desafios para revalidar identidad
  • 58. Redes virtuales 58 PPTP Autenticación PPTP: Añade dos nuevos: SPAP (Shiva Password Authentication Protocol) PAP con envío de contraseña cliente encriptada MS-CHAP (Microsoft Challenge Handshake Authentication Protocol) Algoritmo propietario de Microsoft basado en CHAP Proceso de autenticación mutuo (cliente y servidor) Debido a fallo de seguridad en Windows NT se creó MS-CHAP v2
  • 59. Redes virtuales 59 PPTP Transmisión de datos: Emplea modificación del protocolo GRE (Generic Routing Encapsulation) RFC 1701 y 1702 Establece división funcional en tres protocolos: Protocolo pasajero Protocolo portador Protocolo de transporte Pasajero Portador Transporte
  • 60. Redes virtuales 60 PPTP Transmisión de datos: Envío de tramas PPP encapsuladas en datagramas IP GRE DatosPPPIPMedio TCP DatosIP
  • 61. Redes virtuales 61 PPTP Encriptación: MPPE (Microsoft Point-To-Point Encryption) RFC 3078 Usa algoritmo RSA RC4 -> Clave de sesión a partir de clave privada de cliente Sólo con CHAP o MS-CHAP Permite túneles sin cifrado (PAP o SPAP) -> No VPN
  • 62. Redes virtuales 62 PPTP Ventajas: Bajo coste de implementación (emplea red pública) No limitación del número de túneles debido a interfaces físicas del servidor (aumento de recursos necesarios en servidor por túnel) Inconvenientes: Altamente vulnerable Control de la conexión TCP no autenticado Debilidad del protocolo MS-CHAP en sistemas NT Debilidad del protocolo MPPE Empleo de contraseña privada
  • 63. Redes virtuales 63 Tema 4: Redes Virtuales 4.1 Seguridad en redes 4.1.1 Introducción 4.1.2 Criptografía 4.1.3 Criptoanálisis 4.1.4 Clave simétrica 4.1.5 Clave asimétrica 4.1.6 sistema mixto 4.2 Redes privadas virtuales 4.2.1 Introducción 4.2.2 PPTP 4.2.3 L2TP 4.2.4 IPsec 4.2.5 SSL 4.3 Redes de área local virtual
  • 64. Redes virtuales 64 L2TP Características: Protocolo de túnel de nivel 2 (RFC 2661) - PPP L2TP v3 (RFC 3931) - multiprotocolo Basado en 2 protocolos de red para transportar tramas PPP: PPTP L2F (Layer Two Forwarding) Se emplea junto a IPSec para ofrecer mayor seguridad (L2TP/IPSec, RFC 3193)
  • 65. Redes virtuales 65 L2TP Funcionamiento: LAC: Concentrador de acceso L2TP LNS: Servidor de red L2TP El servidor se comporta como un puente LAN Usuario remoto 67.187.11.25 Servidor L2TP (LNS) 192.168.1.1 192.168.1.31 192.168.1.32 192.168.1.100 - 120 ISP LAC Voluntario Obligatorio
  • 66. Redes virtuales 66 L2TP Tipos de túneles: Obligatorio: 1) El usuario inicia conexión PPP con ISP 2) ISP acepta conexión y enlace PPP 3) ISP solicita autenticación 4) LAC inicia túnel L2TP al LNS 5) Si LNS acepta, LAC encapsula PPP con L2TP y envía tramas 6) LNS acepta tramas y procesa como si fuesen PPP 7) LNS autentifica PPP validar usuario -> asigna IP Voluntario: 1) Usuario remoto posee conexión con ISP 2) Cliente L2TP inicia túnel L2TP al LNS 3) Si LNS acepta, LAC encapsula con PPP y L2TP, y envía a través del túnel 4) LNS acepta tramas y procesa como si fuesen PPP 5) LNS autentifica PPP validar usuario -> asigna IP
  • 67. Redes virtuales 67 L2TP Mensajes: Dos tipos: Control Empleados durante fase de establecimiento, mantenimiento y finalización del túnel Canal de control confiable (garantiza su entrega) Datos Encapsular la información en tramas PPP Intercambiados usando UDP puerto 1701
  • 68. Redes virtuales 68 L2TP Mensajes de control: Mantenimiento de conexión: Start-Control-Connection-Request: inicio de sesión Start-Control-Connectio-Reply: respuesta solicitud inicio Start-Control-Connection-Connected: sesión establecida Start-Control-Connection-Notification: finalización de sesión Hello: mensaje enviado durante periodos de inactividad
  • 69. Redes virtuales 69 L2TP Mensajes de control: Mantenimiento de llamada: Outgoing-Call-Request: inicio de la llamada saliente Outgoing-Call-Reply: respuesta solicitud inicio llamada saliente Outgoing-Call-Connected: llamada saliente establecida Incoming-Call-Request: inicio de la llamada entrante Incoming-Call-Reply: respuesta solicitud inicio llamada entrante Incoming-Call-Connected: llamada entrante establecida Call-Disconnect-Notify: finalización de llamada
  • 70. Redes virtuales 70 L2TP Mensajes de control: Informe de errores: WAN-Error-Notify: notificación de error Sesión de control PPP: Set-Link-Info: configurar la conexión cliente-servidor
  • 71. Redes virtuales 71 L2TP Ventajas: Bajo coste de implementación Soporte multiprotocolo Inconvenientes: Únicamente se identifican los dos extremos participantes en el túnel (Posibles ataques de suplantación de identidad) No ofrece soporte para integridad (Posible ataque de denegación de servicio) No desarrolla confidencialidad -> No garantiza privacidad No ofrece cifrado, aunque PPP pueden ser encriptado (no existe mecanismo de generación automática de claves)
  • 72. Redes virtuales 72 Tema 4: Redes Virtuales 4.1 Seguridad en redes 4.1.1 Introducción 4.1.2 Criptografía 4.1.3 Criptoanálisis 4.1.4 Clave simétrica 4.1.5 Clave asimétrica 4.1.6 sistema mixto 4.2 Redes privadas virtuales 4.2.1 Introducción 4.2.2 PPTP 4.2.3 L2TP 4.2.4 IPsec 4.2.5 SSL 4.3 Redes de área local virtual
  • 73. Redes virtuales 73 IPSec Caracteríticas: Internet Protocol Security Ofrece servicios de seguridad a capa IP Permite enlazar redes distintas (oficinas remotas) Permite acceso de un usuario remoto a recursos privados de una red Estándares IETF (Internet Engineering Task Force) Integrado en IPv4 e incluido por defecto en IPv6 IPSec es orientado a la conexión
  • 74. Redes virtuales 74 IPSec Caracteríticas: Servicios: Integridad de datos Autenticación del origen Confidencialidad Prevención de ataques por reproducción Modos de funcionamiento: Modo transporte Modo túnel
  • 75. Redes virtuales 75 IPSec Asociación de seguridad: Definición (SA): “Acuerdo unidireccional entre participantes de una conexión IPSec en cuanto a métodos y parámetros empleados en la estructura del túnel, destinados a garantizar la seguridad de los datos transmitidos” Una entidad debe almacenar: Claves y algoritmos de seguridad empleados Modo de trabajo Métodos de gestión de claves Periodo de vigencia de la conexión establecida Base de datos con SA
  • 76. Redes virtuales 76 IPSec Asociación de seguridad: Ejemplo: SPI: 12345 Source IP: 200.168.1.100 Dest IP: 193.68.2.23 Protocol: ESP Encryption algorithm: 3DES-cbc HMAC algorithm: MD5 Encryption key: 0x7aeaca… HMAC key:0xc0291f… Métodos de distribución y administración de claves: Manual: entrega personal Automático: AutoKey IKE
  • 77. Redes virtuales 77 IPSec Protocolo IKE: Protocolo de intercambio de claves en Internet (IKE) Protocolo definido en IETF Gestión y administración de claves Establecimiento de SA Estándar no limitado a IPSec (OSPF o RIP) Protocolo híbrido: ISAKMP (Internet Security Association and Key Management Protocol) Define la sintaxis de los mensajes Procedimientos necesarios para establecimiento, negociación, modificación y eliminación de SA Oakley Especifica lógica para el intercambio seguro de claves
  • 78. Redes virtuales 78 IPSec IKE – Negociación del túnel IPSec: Posee dos fases: Fase 1: Establemiciento de un canal bidireccional de comunicación seguro (IKE SA) IKE SA distinta a IPSec SA Se denomina ISAKMP SA Fase 2: Acuerdos sobre algoritmos de cifrado y autenticación -> IPSec SA Usa ISAKMP para generar IPSec SA El precursor ofrece todas sus posibilidades al otro con prioridades El otro acepta la primera configuración que se adecue a sus posibilidades Se informan recíprocamente del tipo de tráfico
  • 79. Redes virtuales 79 IPSec Ventajas: Permite acceso remoto de forma segura y transparente Facilita el comercio electrónico (infraestructura segura para transacciones) Posibilita la construcción de red corporativa segura (extranets) sobre redes públicas
  • 80. Redes virtuales 80 IPSec Protocolos: Protocolo de cabecera de autenticación (AH) Protocolo carga de seguridad encapsulada (ESP)
  • 81. Redes virtuales 81 IPSec Protocolo AH: Campo Protocolo de la cabecera IP :51 Servicios suministrados: Integridad Autenticación No garantiza la confidencialidad (no emplea cifrado de datos) HMAC (Hash Message Authentication Codes) Generación de huella digital (SHA o MD5) Cifrado de huella digital con clave secreta compartida
  • 82. Redes virtuales 82 IPSec Protocolo AH: HMAC Emisor HMAC IP AH DATOS Receptor HMAC IP AH DATOS
  • 83. Redes virtuales 83 IPSec Protocolo AH: Formato Next header Payload length Reserved Security Parameters Index (SPI) Sequence number Authentication data Cabecera IP Datos Cabecera AH 32 bits
  • 84. Redes virtuales 84 IPSec Protocolo AH: Formato: Next header: protocolo del nivel superior Payload length: longitud del campo de datos (32 bits) Security Parameters Index (SPI): identificador SA Sequence number: Número de secuencia Authentication data: HMAC de longitud variable
  • 85. Redes virtuales 85 IPSec Protocolo ESP: Campo Protocolo de la cabecera IP :50 Servicios suministrados: Integridad (opcional) Autenticación (opcional) Confidencialidad (cifrado de datos) Algoritmo de cifrado de clave simétrica (DES, 3DES, Blowfish) Normalmente cifrado por bloques (relleno) Requiere un mecanismo seguro de distribución de claves (IKE)
  • 86. Redes virtuales 86 IPSec Protocolo ESP: Emisor IP ESP DATOS Receptor IP ESP DATOSESP ESP
  • 87. Redes virtuales 87 IPSec Protocolo ESP: Formato Padding Security Parameters Index (SPI) Sequence number Cabecera IP Datos ESP 32 bits Next header Pad length Authentication data Encriptad o
  • 88. Redes virtuales 88 IPSec Protocolo ESP: Formato: Security Parameters Index (SPI): identificador SA Sequence number: Número de secuencia Padding: Relleno Pad length: longitud del relleno en bytes Next header: protocolo del nivel superior Authentication data: HMAC de longitud variable
  • 89. Redes virtuales 89 IPSec Modos de funcionamiento: Aplicables tanto a AH como ESP Modo transporte con AH Modo transporte con ESP Modo túnel con AH Modo túnel con ESP Más usado
  • 90. Redes virtuales 90 IPSec Modo transporte: Los datos se encapsulan en un datagrama AH o ESP Asegura la comunicación extremo a extremo Esquema cliente-cliente (ambos extremos deben entender IPSec) Se emplea para conectar usuarios remotos IP 1 DatosIPSecIP 2 IP 1 IP 2 Host con IPSec Host con IPSec
  • 91. Redes virtuales 91 IPSec Modo transporte:  AH: Next header = Protocol de cabecera IP  ESP: Next header = Protocol de cabecera IP Encab. AH DatosEncab. IP original Autenticado Encab. ESP DatosEncab. IP original Cifrado Autenticado
  • 92. Redes virtuales 92 IPSec Modo túnel: Los datos se encapsulan en un datagrama IP completo Genera nueva cabecera IP Se emplea cuando el destino final del mensaje y el extremo IPSec no coinciden (gateways) IP A DatosIPSecIP B Host sin IPSec gateway con IPSec gateway con IPSec Host sin IPSec IP 1 IP 2 IP BIP A IP 1IP 2
  • 93. Redes virtuales 93 IPSec Modo túnel:  AH: Protocol nueva cabecera IP = 51 y Next header = 4  ESP: Protocol nueva cabecera IP = 50 y Next header = 4 Encab. AH DatosEncab. IP nuevo Autenticado Encab. ESP DatosEncab. IP original Cifrado Autenticado Encab. IP original Encab. IP original
  • 94. Redes virtuales 94 Tema 4: Redes Virtuales 4.1 Seguridad en redes 4.1.1 Introducción 4.1.2 Criptografía 4.1.3 Criptoanálisis 4.1.4 Clave simétrica 4.1.5 Clave asimétrica 4.1.6 sistema mixto 4.2 Redes privadas virtuales 4.2.1 Introducción 4.2.2 PPTP 4.2.3 L2TP 4.2.4 IPsec 4.2.5 SSL 4.3 Redes de área local virtual
  • 95. Redes virtuales 95 SSL El proyecto OpenVPN: Implementación de VPN basada en SSL (OpenSSL) Software libre (GPL) Razones: Limitaciones de IPSec Características: Driver tun encargado de levantar túnel y encapsular los paquetes a través del enlace virtual Posee autenticación y encriptación Todas comunicaciones a través de un puerto TCP o UDP (1194 por defecto) Multiplataforma Permite usar compresión
  • 96. Redes virtuales 96 SSL El proyecto OpenVPN: Características: Modelo cliente-servidor (versión 2.0) Existen paquetes con instaladores y administradores gráficos Permite administración remota de la aplicación Alta flexibilidad (multitud formatos de scripts)
  • 97. Redes virtuales 97 Tema 4: Redes Virtuales 4.1 Seguridad en redes 4.1.1 Introducción 4.1.2 Criptografía 4.1.3 Criptoanálisis 4.1.4 Clave simétrica 4.1.5 Clave asimétrica 4.1.6 sistema mixto 4.2 Redes privadas virtuales 4.2.1 Introducción 4.2.2 PPTP 4.2.3 L2TP 4.2.4 IPsec 4.2.5 SSL 4.3 Redes de área local virtual
  • 98. Redes virtuales 98 VLAN Introducción: Las LANs institucionales modernas suelen presentar topología jerárquica Cada grupo de trabajo posee su propia LAN conmutada Las LANs conmutadas pueden interconectarse entre sí mediante una jerarquía de conmutadores A B S1 C D E F S2 S4 S3 H I G
  • 99. Redes virtuales 99 VLAN Inconvenientes: Falta de aislamiento del tráfico Tráfico de difusión Limitar tráfico por razones de seguridad y confidencialidad Uso ineficiente de los conmutadores Gestión de los usuarios
  • 100. Redes virtuales 100 VLAN VLAN: VLAN basada en puertos División de puertos del conmutador en grupos Cada grupo constituye una VLAN Cada VLAN es un dominio de difusión Gestión de usuario -> Cambio de configuración del conmutador A B C D E F G H I
  • 101. Redes virtuales 101 VLAN VLAN: ¿Cómo enviar información entre grupos? Conectar puerto del conmutador VLAN a router externo Configurar dicho puerto como miembro de ambos grupos Configuración lógica -> conmutadores separados conectados mediante un router Normalmente los fabricantes incluyen en un único dispositivo conmutador VLAN y router A B C D E F G H I
  • 102. Redes virtuales 102 VLAN VLAN: Localización diferente Miembros de un grupo se encuentran en edificios diferentes Necesario varios conmutadores Conectar puertos de grupos entre conmutadores -> No escalable A B C D E FG HI
  • 103. Redes virtuales 103 VLAN VLAN: Localización diferente Troncalización VLAN (VLAN Trunking) Puerto troncal pertenece a todas las VLANs ¿VLAN Destino de la trama? -> formato de trama 802.1Q A B C D E FG HI Enlace troncal
  • 104. Redes virtuales 104 VLAN IEEE 802.1Q:  IEEE 802.3 (Ethernet)  IEEE 802.1Q Dir. Destino DatosPreambulo Dir. Origen Tipo CRC Dir. Destino DatosPreambulo Dir. Origen Tipo CRC nuevoTPID TCI Información de control de etiquetado Identificador de protocolo de etiquetado
  • 105. Redes virtuales 105 VLAN VLAN: VLAN basada en MAC (nivel 2) El administrador de red crea grupos VLAN basados en rangos de direcciones MAC El puerto del conmutador se conecta a la VLAN correspondiente con la dirección MAC del equipo asociado VLAN nivel 3 Basada en direcciones de red IPv4 o IPv6 Basada en protocolos de red (Appletalk, IPX, TCP/IP)