Tema4

560 views

Published on

Published in: Education
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
560
On SlideShare
0
From Embeds
0
Number of Embeds
1
Actions
Shares
0
Downloads
24
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Tema4

  1. 1. Redes virtuales 1 Tema 4: Redes Virtuales 4.1 Seguridad en redes 4.1.1 Introducción 4.1.2 Criptografía 4.1.3 Criptoanálisis 4.1.4 Clave simétrica 4.1.5 Clave asimétrica 4.1.6 Sistema mixto 4.2 Redes privadas virtuales 4.2.1 Introducción 4.2.2 PPTP 4.2.3 L2TP 4.2.4 IPsec 4.2.5 SSL 4.3 Redes de área local virtual
  2. 2. Redes virtuales 2 Tema 4: Redes Virtuales 4.1 Seguridad en redes 4.1.1 Introducción 4.1.2 Criptografía 4.1.3 Criptoanálisis 4.1.4 Clave simétrica 4.1.5 Clave asimétrica 4.1.6 sistema mixto 4.2 Redes privadas virtuales 4.2.1 Introducción 4.2.2 PPTP 4.2.3 L2TP 4.2.4 IPsec 4.2.5 SSL 4.3 Redes de área local virtual
  3. 3. Redes virtuales 3 Introducción Canal seguro: Propiedades: Confidencialidad Integridad Autenticidad (autenticación) No repudio Emisor Receptor Canal seguro?
  4. 4. Redes virtuales 4 Introducción Confidencialidad: La información transmitida por el canal inseguro sólo podrá ser interpretada por elementos destinatarios acreditados Debe permanecer ininteligible para el resto Formas de protección: Líneas física dedicadas Alto coste Difícil mantenimiento Cifrado Ejemplo: obtención de datos del emisor
  5. 5. Redes virtuales 5 Introducción Integridad: Asegura que la información transmitida no haya sido modificada durante su transcurso El mensaje en el destino debe ser el mismo que el mensaje en el origen Formas de protección: Firmas digitales Ejemplo: modificación de la dirección de envío de un producto comprado por Internet
  6. 6. Redes virtuales 6 Introducción Autenticidad: Asegurar el origen de una información Evitar suplantaciones Formas de protección: Firmas digitales Desafío Autenticación humana Biométrica (huella dactilar, retina, reconocimiento facial, etc.) Ejemplo: suplantación de usuario en transacción bancaria
  7. 7. Redes virtuales 7 Introducción No repudio: Evitar negación de envío por parte de un emisor Evitar negación de recepción por parte de un receptor Formas de protección: Firmas digitales Ejemplo: pérdida de solicitud en proceso administrativo
  8. 8. Redes virtuales 8 Introducción Canal inseguro: Poco fiable Ataques: Violación de seguridad del canal. Tipos Pasivos Activos Categorías Interceptación Interrupción Modificación Fabricación
  9. 9. Redes virtuales 9 Introducción Ataques pasivos: El intruso no altera el contenido de la información transmitida Objetivos: Identificación de entidades Control del volumen de tráfico Análisis del tráfico Horario de intercambio habitual Dificultad de detección Fácil de evitar -> cifrado
  10. 10. Redes virtuales 10 Introducción Ataques activos: Implican alteración del contenido de la información transmitida Tipos: Enmascarados (impostor) Repetitivo (mensaje interceptado y repetido posteriormente) Modificación del mensaje Denegación del servicio Dificultad de prevención Fácil de detectar -> detección y recuperación
  11. 11. Redes virtuales 11 Introducción Interceptación: Ataque de confidencialidad Pasivo Un elemento no autorizado consigue acceso a un recurso no compartido Ejemplos: Captura de tráfico de red Copia ilícita de archivos o programas Emisor Receptor Intruso
  12. 12. Redes virtuales 12 Introducción Interrupción: Destrucción de un recurso compartido Activo Ejemplos: Destrucción de hardware Corte de línea de comunicación Emisor Receptor Intruso
  13. 13. Redes virtuales 13 Introducción Modificación: Un recurso no compartido es interceptado y manipulado por un elemento no autorizado antes de llegar al destino final Activo Ejemplos: Alteración de los datos enviados a través de una red Emisor Receptor Intruso
  14. 14. Redes virtuales 14 Introducción Fabricación: Ataque de autenticidad Activo Elemento no autorizado (impostor) genera un recurso que llega al destinatario Ejemplos: Introducción de información fraudulenta Emisor Receptor Intruso
  15. 15. Redes virtuales 15 Tema 4: Redes Virtuales 4.1 Seguridad en redes 4.1.1 Introducción 4.1.2 Criptografía 4.1.3 Criptoanálisis 4.1.4 Clave simétrica 4.1.5 Clave asimétrica 4.1.6 sistema mixto 4.2 Redes privadas virtuales 4.2.1 Introducción 4.2.2 PPTP 4.2.3 L2TP 4.2.4 IPsec 4.2.5 SSL 4.3 Redes de área local virtual
  16. 16. Redes virtuales 16 Criptografía Introducción: ¿Por qué? Formas de protección contra intrusos basadas en la encriptación (cifrado y firmas digitales) Definición Ciencia de la escritura secreta, destinada a ocultar la información con el objetivo de que no pueda ser interpretada por otras personas Principio Mantener la privacidad de la comunicación entre dos o más elementos
  17. 17. Redes virtuales 17 Criptografía Introducción: Base de funcionamiento Alteración del mensaje original para que sea incompatible con toda persona ajena al destinatario Ejemplo Mensaje original: “Mi profesor es un plasta” Mensaje alterado: “Pl surihvru hv xq sñdvwd” Cifrado de César con K=3
  18. 18. Redes virtuales 18 Criptografía Cifrado: Procedimiento que convierte un mensaje en claro en otro incomprensible El algoritmo de cifrado requiere una clave Descifrado: Procedimiento que convierte un mensaje incomprensible en el mensaje original Es necesario conocer el algoritmo de cifrado empleado y la clave adecuada
  19. 19. Redes virtuales 19 Criptografía Introducción: Esquema de funcionamiento Emisor Receptor cifrado descifrado
  20. 20. Redes virtuales 20 Tema 4: Redes Virtuales 4.1 Seguridad en redes 4.1.1 Introducción 4.1.2 Criptografía 4.1.3 Criptoanálisis 4.1.4 Clave simétrica 4.1.5 Clave asimétrica 4.1.6 sistema mixto 4.2 Redes privadas virtuales 4.2.1 Introducción 4.2.2 PPTP 4.2.3 L2TP 4.2.4 IPsec 4.2.5 SSL 4.3 Redes de área local virtual
  21. 21. Redes virtuales 21 Criptoanálisis Introducción: Definición Conjunto de métodos destinados a averiguar la clave usada por las partes comunicantes Objetivo Desvelar el secreto de la correspondencia Ataques Ataque de fuerza bruta (más común) Tipos: Ataque de sólo texto cifrado Ataque de texto claro conocido Ataque de texto claro seleccionado
  22. 22. Redes virtuales 22 Tema 4: Redes Virtuales 4.1 Seguridad en redes 4.1.1 Introducción 4.1.2 Criptografía 4.1.3 Criptoanálisis 4.1.4 Clave simétrica 4.1.5 Clave asimétrica 4.1.6 sistema mixto 4.2 Redes privadas virtuales 4.2.1 Introducción 4.2.2 PPTP 4.2.3 L2TP 4.2.4 IPsec 4.2.5 SSL 4.3 Redes de área local virtual
  23. 23. Redes virtuales 23 Clave simétrica Características: Clave privada Emisor y receptor comparten la misma clave Emisor Receptor cifrado descifrado
  24. 24. Redes virtuales 24 Clave simétrica Algoritmos: DES, 3DES, RC5, IDEA, AES Requisitos: Del texto cifrado no podrá extraerse ni el mensaje en claro ni la clave Conocidos el texto en claro y el texto cifrado debe ser más costoso en tiempo y dinero obtener la clave, que el valor derivado de la información sustraída Fortaleza del algoritmo: Complejidad interna Longitud de la clave
  25. 25. Redes virtuales 25 Clave simétrica Objetivos cumplidos: Confidencialidad Integridad Autenticación No repudio Dependerá del número de participantes que compartan la clave secreta
  26. 26. Redes virtuales 26 Clave simétrica Ventajas: Velocidad de ejecución de algoritmos Mejor método para cifrar grandes cantidades de información Inconvenientes: Distribución de la clave privada Administración y mantenimiento de claves Número de claves usadas es proporcional al número de canales seguros empleados
  27. 27. Redes virtuales 27 Tema 4: Redes Virtuales 4.1 Seguridad en redes 4.1.1 Introducción 4.1.2 Criptografía 4.1.3 Criptoanálisis 4.1.4 Clave simétrica 4.1.5 Clave asimétrica 4.1.6 sistema mixto 4.2 Redes privadas virtuales 4.2.1 Introducción 4.2.2 PPTP 4.2.3 L2TP 4.2.4 IPsec 4.2.5 SSL 4.3 Redes de área local virtual
  28. 28. Redes virtuales 28 Clave asimétrica Características: Clave pública Cada participante posee una pareja de claves (privada-pública) Emisor Receptor cifrado descifrado Privada emisor Pública emisor Privada receptor Pública receptor
  29. 29. Redes virtuales 29 Clave asimétrica Algoritmos: Diffie-Hellman, RSA, DSA Requisitos: Del texto cifrado debe ser imposible extraer el mensaje en claro y la clave privada Conocidos el texto en claro y el texto cifrado debe ser más costoso en tiempo y dinero obtener la clave privada, que el valor derivado de la información sustraída Para un texto cifrado con clave pública, sólo debe existir una clave privada capaz desencriptarlo, y viceversa
  30. 30. Redes virtuales 30 Clave asimétrica Objetivos cumplidos: Confidencialidad Integridad Autenticación Ofrece mecanismos muy buenos No repudio Ofrece mecanismos muy buenos
  31. 31. Redes virtuales 31 Clave asimétrica Ventajas: No presenta problemas de distribución de claves, ya que posee clave pública En caso de robo de clave privada de un usuario, sólo se ven comprometidos los mensajes enviados a dicho usuario Proporciona mecanismos de autenticación mejores que los ofrecidos por sistemas simétricos Inconvenientes: Velocidad de ejecución de algoritmos
  32. 32. Redes virtuales 32 Clave asimétrica Autenticación: Desafio-respuesta Firma digital Certificado digital No repudio: Firma digital Certificado digital
  33. 33. Redes virtuales 33 Clave asimétrica Desafio-respuesta: Envío de un desafio en claro cuya solución conoce el emisor El emisor envía respuesta cifrada con clave privada Emisor Receptor cifrado descifrado Privada emisor Pública emisor Privada receptor Pública receptor
  34. 34. Redes virtuales 34 Clave asimétrica Firma digital: Verificar autenticidad del origen Partes Proceso de firma (emisor) Proceso de verificación de la firma (receptor) Emisor Receptor firma verificación Privada emisor Pública emisor Privada receptor Pública receptor
  35. 35. Redes virtuales 35 Clave asimétrica Firma digital: Problema: Lentitud del proceso Empleo de huella Emisor Receptor Privada emisor Pública emisor Privada receptor Pública receptor
  36. 36. Redes virtuales 36 Clave asimétrica Firma digital - Huella: Redución del tiempo de encriptado Función de hash Convierte conjunto de datos de longitud variable en resumen o huella de longitud fija, ilegible y sin sentido Irreversible Algoritmos SHA-1, MD5 Requisitos Capacidad de convertir datos de longitud variable en bloque de longitud fija Fácil de usar y sencillez de implementación Imposibilidad de obtener texto original de la huella Textos diferentes deben generar huellas distintas Problema: Gestión de claves
  37. 37. Redes virtuales 37 Clave asimétrica Certificado digital: Unidad de información que contiene una pareja de claves públicas y privada junto con la información necesaria para capacitar a su propietario a realizar operaciones de comunicación segura con otros interlocutores Contiene: Clave pública Clave privada (si es propietario) Datos del propietario Datos de uso (algoritmos, funciones permitidas, ...) Periodo de validez Firmas de Autoridades de certificación Es posible su revocación
  38. 38. Redes virtuales 38 Tema 4: Redes Virtuales 4.1 Seguridad en redes 4.1.1 Introducción 4.1.2 Criptografía 4.1.3 Criptoanálisis 4.1.4 Clave simétrica 4.1.5 Clave asimétrica 4.1.6 sistema mixto 4.2 Redes privadas virtuales 4.2.1 Introducción 4.2.2 PPTP 4.2.3 L2TP 4.2.4 IPsec 4.2.5 SSL 4.3 Redes de área local virtual
  39. 39. Redes virtuales 39 Sistema mixto Clave de sesión: Partes Distribución de clave de sesión (asimétrico) Comunicación segura (simétrico) Emisor Receptor Privada emisor Pública emisor Privada receptor Pública receptor Clave de sesión
  40. 40. Redes virtuales 40 Sistema mixto Clave de sesión: Partes Distribución de clave de sesión (asimétrico) Comunicación segura (simétrico) Emisor Receptor Privada emisor Pública emisor Privada receptor Pública receptor Clave de sesión
  41. 41. Redes virtuales 41 Sistema mixto Objetivos cumplidos: Confidencialidad Integridad Autenticación No repudio Empleo de firmas y certificados digitales
  42. 42. Redes virtuales 42 Sistema mixto Ventajas: No presenta problemas de distribución de claves, ya que posee clave pública Es improbable hacerse con la clave de sesión Puede emplear mecanismos de autenticación y no repudio de clave pública Velocidad de ejecución de algoritmos
  43. 43. Redes virtuales 43 Tema 4: Redes Virtuales 4.1 Seguridad en redes 4.1.1 Introducción 4.1.2 Criptografía 4.1.3 Criptoanálisis 4.1.4 Clave simétrica 4.1.5 Clave asimétrica 4.1.6 sistema mixto 4.2 Redes privadas virtuales 4.2.1 Introducción 4.2.2 PPTP 4.2.3 L2TP 4.2.4 IPsec 4.2.5 SSL 4.3 Redes de área local virtual
  44. 44. Redes virtuales 44 Redes privadas virtuales Introducción: Interconexión de usuarios y entidades Línea dedicada (intranets) Coste elevado Dificultad de mantenimiento Uso de red de acceso público Riesgos de seguridad LAN Red pública
  45. 45. Redes virtuales 45 Redes privadas virtuales Concepto: VPN: Canal de datos privado implementado sobre red de comunicaciones pública Objetivos: Enlazar subredes remotas Enlazar subredes y usuarios remotos Uso de túnel virtual con encriptación LAN Túnel virtual Red pública
  46. 46. Redes virtuales 46 Redes privadas virtuales Requisitos: Autenticación y verificación de identidad Administración de rango de IPs virtuales Cifrado de datos Gestión de claves públicas, privadas, y certificados digitales Soporte para múltiples protocolos
  47. 47. Redes virtuales 47 Redes privadas virtuales Tipos: Sistemas basados en hardware Diseños específicos optimizados Muy seguros y sencillos Alto rendimiento Coste elevado Servicios añadidos (firewalls, detectores de intrusos, antivirus, etc.) Cisco, Stonesoft, Juniper, Nokia, Panda Security Sistemas basados en software
  48. 48. Redes virtuales 48 Redes privadas virtuales Ventajas: Seguridad y confidencialidad Reducción de costes Escalabilidad Mantenimiento sencillo Compatibilidad con los enlaces inalámbricos
  49. 49. Redes virtuales 49 Redes privadas virtuales Elementos: Redes privadas o locales LAN de acceso restringido con rango de IPs privadas Redes inseguras Túneles VPN Servidores Routers Usuarios remotos (road warriors) Oficinas remotas (gateways)
  50. 50. Redes virtuales 50 Redes privadas virtuales Escenarios: Punto a punto LAN - LAN LAN – usuario remoto LAN LAN LAN
  51. 51. Redes virtuales 51 Tema 4: Redes Virtuales 4.1 Seguridad en redes 4.1.1 Introducción 4.1.2 Criptografía 4.1.3 Criptoanálisis 4.1.4 Clave simétrica 4.1.5 Clave asimétrica 4.1.6 sistema mixto 4.2 Redes privadas virtuales 4.2.1 Introducción 4.2.2 PPTP 4.2.3 L2TP 4.2.4 IPsec 4.2.5 SSL 4.3 Redes de área local virtual
  52. 52. Redes virtuales 52 PPTP Características: Protocolo de túnel punto a punto (PPTP) Protocolo diseñado y desarrollado por 3Com, Microsoft Corporation, Ascend Communications y ECI Telematics, y definido en IETF (RFC 2637) Se emplea en acceso virtual seguro de usuarios remotos a red privada Emplea mecanismo de túneles para envío de datos desde cliente a servidor Usa red IP de carácter pública o privada
  53. 53. Redes virtuales 53 PPTP Funcionamiento: Servidor PPTP configurado para repartir IP de LAN privada El servidor se comporta como un puente LAN Usuario remoto 67.187.11.25 Servidor PPTP 192.168.1.1 192.168.1.30 192.168.1.31 192.168.1.32 192.168.1.100 - 120
  54. 54. Redes virtuales 54 PPTP Fases: Establecimiento de la conexión PPP con ISP Control de la conexión PPTP Conexión TCP Intercambio de mensajes de control Transmisión de datos Protocolo GRE Cifrado
  55. 55. Redes virtuales 55 PPTP PPP: Protocolo punto a punto (RFC 1661) Nivel de enlace Usado para conectar con ISP mediante una línea telefónica (modem) o RDSI Versiones para banda ancha (PPPoE y PPPoA) Funciones: Establecer, mantener y finalizar conexión pto-pto Autenticar usuarios (PAP y CHAP) Crear tramas encriptadas IP DatosPPP
  56. 56. Redes virtuales 56 PPTP Control conexión PPTP: Especifica una serie de mensajes de control: PPTP_START_SESSION_REQUEST: inicio de sesión PPTP_START_SESSION_RESPLY: respuesta solicitud inicio PPTP_ECHO_REQUEST: mantenimiento de la sesión PPTP_ECHO_REPLY: respuesta solicitud mantenimiento PPTP_WAN_ERROR_NOTIFY: notificación error PPTP_SET_LINK_INFO: configurar conexión cliente- servidor PPTP_STOP_SESSION_REQUEST: finalización sesión PPTP_STOP_SESSION_REPLY: respuesta solicitud finalización
  57. 57. Redes virtuales 57 PPTP Autenticación PPTP: Emplea los mismos mecanismos que PPP: PAP (Password Authentication Protocol) Muy simple: envío de nombre y contraseña en claro CHAP (Challenge Handshake Authentication Protocol) Mecanismo desafio-respuesta Cliente genera una huella a partir del desafio recibido (MD5) Clave secreta compartida Envíos de desafios para revalidar identidad
  58. 58. Redes virtuales 58 PPTP Autenticación PPTP: Añade dos nuevos: SPAP (Shiva Password Authentication Protocol) PAP con envío de contraseña cliente encriptada MS-CHAP (Microsoft Challenge Handshake Authentication Protocol) Algoritmo propietario de Microsoft basado en CHAP Proceso de autenticación mutuo (cliente y servidor) Debido a fallo de seguridad en Windows NT se creó MS-CHAP v2
  59. 59. Redes virtuales 59 PPTP Transmisión de datos: Emplea modificación del protocolo GRE (Generic Routing Encapsulation) RFC 1701 y 1702 Establece división funcional en tres protocolos: Protocolo pasajero Protocolo portador Protocolo de transporte Pasajero Portador Transporte
  60. 60. Redes virtuales 60 PPTP Transmisión de datos: Envío de tramas PPP encapsuladas en datagramas IP GRE DatosPPPIPMedio TCP DatosIP
  61. 61. Redes virtuales 61 PPTP Encriptación: MPPE (Microsoft Point-To-Point Encryption) RFC 3078 Usa algoritmo RSA RC4 -> Clave de sesión a partir de clave privada de cliente Sólo con CHAP o MS-CHAP Permite túneles sin cifrado (PAP o SPAP) -> No VPN
  62. 62. Redes virtuales 62 PPTP Ventajas: Bajo coste de implementación (emplea red pública) No limitación del número de túneles debido a interfaces físicas del servidor (aumento de recursos necesarios en servidor por túnel) Inconvenientes: Altamente vulnerable Control de la conexión TCP no autenticado Debilidad del protocolo MS-CHAP en sistemas NT Debilidad del protocolo MPPE Empleo de contraseña privada
  63. 63. Redes virtuales 63 Tema 4: Redes Virtuales 4.1 Seguridad en redes 4.1.1 Introducción 4.1.2 Criptografía 4.1.3 Criptoanálisis 4.1.4 Clave simétrica 4.1.5 Clave asimétrica 4.1.6 sistema mixto 4.2 Redes privadas virtuales 4.2.1 Introducción 4.2.2 PPTP 4.2.3 L2TP 4.2.4 IPsec 4.2.5 SSL 4.3 Redes de área local virtual
  64. 64. Redes virtuales 64 L2TP Características: Protocolo de túnel de nivel 2 (RFC 2661) - PPP L2TP v3 (RFC 3931) - multiprotocolo Basado en 2 protocolos de red para transportar tramas PPP: PPTP L2F (Layer Two Forwarding) Se emplea junto a IPSec para ofrecer mayor seguridad (L2TP/IPSec, RFC 3193)
  65. 65. Redes virtuales 65 L2TP Funcionamiento: LAC: Concentrador de acceso L2TP LNS: Servidor de red L2TP El servidor se comporta como un puente LAN Usuario remoto 67.187.11.25 Servidor L2TP (LNS) 192.168.1.1 192.168.1.31 192.168.1.32 192.168.1.100 - 120 ISP LAC Voluntario Obligatorio
  66. 66. Redes virtuales 66 L2TP Tipos de túneles: Obligatorio: 1) El usuario inicia conexión PPP con ISP 2) ISP acepta conexión y enlace PPP 3) ISP solicita autenticación 4) LAC inicia túnel L2TP al LNS 5) Si LNS acepta, LAC encapsula PPP con L2TP y envía tramas 6) LNS acepta tramas y procesa como si fuesen PPP 7) LNS autentifica PPP validar usuario -> asigna IP Voluntario: 1) Usuario remoto posee conexión con ISP 2) Cliente L2TP inicia túnel L2TP al LNS 3) Si LNS acepta, LAC encapsula con PPP y L2TP, y envía a través del túnel 4) LNS acepta tramas y procesa como si fuesen PPP 5) LNS autentifica PPP validar usuario -> asigna IP
  67. 67. Redes virtuales 67 L2TP Mensajes: Dos tipos: Control Empleados durante fase de establecimiento, mantenimiento y finalización del túnel Canal de control confiable (garantiza su entrega) Datos Encapsular la información en tramas PPP Intercambiados usando UDP puerto 1701
  68. 68. Redes virtuales 68 L2TP Mensajes de control: Mantenimiento de conexión: Start-Control-Connection-Request: inicio de sesión Start-Control-Connectio-Reply: respuesta solicitud inicio Start-Control-Connection-Connected: sesión establecida Start-Control-Connection-Notification: finalización de sesión Hello: mensaje enviado durante periodos de inactividad
  69. 69. Redes virtuales 69 L2TP Mensajes de control: Mantenimiento de llamada: Outgoing-Call-Request: inicio de la llamada saliente Outgoing-Call-Reply: respuesta solicitud inicio llamada saliente Outgoing-Call-Connected: llamada saliente establecida Incoming-Call-Request: inicio de la llamada entrante Incoming-Call-Reply: respuesta solicitud inicio llamada entrante Incoming-Call-Connected: llamada entrante establecida Call-Disconnect-Notify: finalización de llamada
  70. 70. Redes virtuales 70 L2TP Mensajes de control: Informe de errores: WAN-Error-Notify: notificación de error Sesión de control PPP: Set-Link-Info: configurar la conexión cliente-servidor
  71. 71. Redes virtuales 71 L2TP Ventajas: Bajo coste de implementación Soporte multiprotocolo Inconvenientes: Únicamente se identifican los dos extremos participantes en el túnel (Posibles ataques de suplantación de identidad) No ofrece soporte para integridad (Posible ataque de denegación de servicio) No desarrolla confidencialidad -> No garantiza privacidad No ofrece cifrado, aunque PPP pueden ser encriptado (no existe mecanismo de generación automática de claves)
  72. 72. Redes virtuales 72 Tema 4: Redes Virtuales 4.1 Seguridad en redes 4.1.1 Introducción 4.1.2 Criptografía 4.1.3 Criptoanálisis 4.1.4 Clave simétrica 4.1.5 Clave asimétrica 4.1.6 sistema mixto 4.2 Redes privadas virtuales 4.2.1 Introducción 4.2.2 PPTP 4.2.3 L2TP 4.2.4 IPsec 4.2.5 SSL 4.3 Redes de área local virtual
  73. 73. Redes virtuales 73 IPSec Caracteríticas: Internet Protocol Security Ofrece servicios de seguridad a capa IP Permite enlazar redes distintas (oficinas remotas) Permite acceso de un usuario remoto a recursos privados de una red Estándares IETF (Internet Engineering Task Force) Integrado en IPv4 e incluido por defecto en IPv6 IPSec es orientado a la conexión
  74. 74. Redes virtuales 74 IPSec Caracteríticas: Servicios: Integridad de datos Autenticación del origen Confidencialidad Prevención de ataques por reproducción Modos de funcionamiento: Modo transporte Modo túnel
  75. 75. Redes virtuales 75 IPSec Asociación de seguridad: Definición (SA): “Acuerdo unidireccional entre participantes de una conexión IPSec en cuanto a métodos y parámetros empleados en la estructura del túnel, destinados a garantizar la seguridad de los datos transmitidos” Una entidad debe almacenar: Claves y algoritmos de seguridad empleados Modo de trabajo Métodos de gestión de claves Periodo de vigencia de la conexión establecida Base de datos con SA
  76. 76. Redes virtuales 76 IPSec Asociación de seguridad: Ejemplo: SPI: 12345 Source IP: 200.168.1.100 Dest IP: 193.68.2.23 Protocol: ESP Encryption algorithm: 3DES-cbc HMAC algorithm: MD5 Encryption key: 0x7aeaca… HMAC key:0xc0291f… Métodos de distribución y administración de claves: Manual: entrega personal Automático: AutoKey IKE
  77. 77. Redes virtuales 77 IPSec Protocolo IKE: Protocolo de intercambio de claves en Internet (IKE) Protocolo definido en IETF Gestión y administración de claves Establecimiento de SA Estándar no limitado a IPSec (OSPF o RIP) Protocolo híbrido: ISAKMP (Internet Security Association and Key Management Protocol) Define la sintaxis de los mensajes Procedimientos necesarios para establecimiento, negociación, modificación y eliminación de SA Oakley Especifica lógica para el intercambio seguro de claves
  78. 78. Redes virtuales 78 IPSec IKE – Negociación del túnel IPSec: Posee dos fases: Fase 1: Establemiciento de un canal bidireccional de comunicación seguro (IKE SA) IKE SA distinta a IPSec SA Se denomina ISAKMP SA Fase 2: Acuerdos sobre algoritmos de cifrado y autenticación -> IPSec SA Usa ISAKMP para generar IPSec SA El precursor ofrece todas sus posibilidades al otro con prioridades El otro acepta la primera configuración que se adecue a sus posibilidades Se informan recíprocamente del tipo de tráfico
  79. 79. Redes virtuales 79 IPSec Ventajas: Permite acceso remoto de forma segura y transparente Facilita el comercio electrónico (infraestructura segura para transacciones) Posibilita la construcción de red corporativa segura (extranets) sobre redes públicas
  80. 80. Redes virtuales 80 IPSec Protocolos: Protocolo de cabecera de autenticación (AH) Protocolo carga de seguridad encapsulada (ESP)
  81. 81. Redes virtuales 81 IPSec Protocolo AH: Campo Protocolo de la cabecera IP :51 Servicios suministrados: Integridad Autenticación No garantiza la confidencialidad (no emplea cifrado de datos) HMAC (Hash Message Authentication Codes) Generación de huella digital (SHA o MD5) Cifrado de huella digital con clave secreta compartida
  82. 82. Redes virtuales 82 IPSec Protocolo AH: HMAC Emisor HMAC IP AH DATOS Receptor HMAC IP AH DATOS
  83. 83. Redes virtuales 83 IPSec Protocolo AH: Formato Next header Payload length Reserved Security Parameters Index (SPI) Sequence number Authentication data Cabecera IP Datos Cabecera AH 32 bits
  84. 84. Redes virtuales 84 IPSec Protocolo AH: Formato: Next header: protocolo del nivel superior Payload length: longitud del campo de datos (32 bits) Security Parameters Index (SPI): identificador SA Sequence number: Número de secuencia Authentication data: HMAC de longitud variable
  85. 85. Redes virtuales 85 IPSec Protocolo ESP: Campo Protocolo de la cabecera IP :50 Servicios suministrados: Integridad (opcional) Autenticación (opcional) Confidencialidad (cifrado de datos) Algoritmo de cifrado de clave simétrica (DES, 3DES, Blowfish) Normalmente cifrado por bloques (relleno) Requiere un mecanismo seguro de distribución de claves (IKE)
  86. 86. Redes virtuales 86 IPSec Protocolo ESP: Emisor IP ESP DATOS Receptor IP ESP DATOSESP ESP
  87. 87. Redes virtuales 87 IPSec Protocolo ESP: Formato Padding Security Parameters Index (SPI) Sequence number Cabecera IP Datos ESP 32 bits Next header Pad length Authentication data Encriptad o
  88. 88. Redes virtuales 88 IPSec Protocolo ESP: Formato: Security Parameters Index (SPI): identificador SA Sequence number: Número de secuencia Padding: Relleno Pad length: longitud del relleno en bytes Next header: protocolo del nivel superior Authentication data: HMAC de longitud variable
  89. 89. Redes virtuales 89 IPSec Modos de funcionamiento: Aplicables tanto a AH como ESP Modo transporte con AH Modo transporte con ESP Modo túnel con AH Modo túnel con ESP Más usado
  90. 90. Redes virtuales 90 IPSec Modo transporte: Los datos se encapsulan en un datagrama AH o ESP Asegura la comunicación extremo a extremo Esquema cliente-cliente (ambos extremos deben entender IPSec) Se emplea para conectar usuarios remotos IP 1 DatosIPSecIP 2 IP 1 IP 2 Host con IPSec Host con IPSec
  91. 91. Redes virtuales 91 IPSec Modo transporte:  AH: Next header = Protocol de cabecera IP  ESP: Next header = Protocol de cabecera IP Encab. AH DatosEncab. IP original Autenticado Encab. ESP DatosEncab. IP original Cifrado Autenticado
  92. 92. Redes virtuales 92 IPSec Modo túnel: Los datos se encapsulan en un datagrama IP completo Genera nueva cabecera IP Se emplea cuando el destino final del mensaje y el extremo IPSec no coinciden (gateways) IP A DatosIPSecIP B Host sin IPSec gateway con IPSec gateway con IPSec Host sin IPSec IP 1 IP 2 IP BIP A IP 1IP 2
  93. 93. Redes virtuales 93 IPSec Modo túnel:  AH: Protocol nueva cabecera IP = 51 y Next header = 4  ESP: Protocol nueva cabecera IP = 50 y Next header = 4 Encab. AH DatosEncab. IP nuevo Autenticado Encab. ESP DatosEncab. IP original Cifrado Autenticado Encab. IP original Encab. IP original
  94. 94. Redes virtuales 94 Tema 4: Redes Virtuales 4.1 Seguridad en redes 4.1.1 Introducción 4.1.2 Criptografía 4.1.3 Criptoanálisis 4.1.4 Clave simétrica 4.1.5 Clave asimétrica 4.1.6 sistema mixto 4.2 Redes privadas virtuales 4.2.1 Introducción 4.2.2 PPTP 4.2.3 L2TP 4.2.4 IPsec 4.2.5 SSL 4.3 Redes de área local virtual
  95. 95. Redes virtuales 95 SSL El proyecto OpenVPN: Implementación de VPN basada en SSL (OpenSSL) Software libre (GPL) Razones: Limitaciones de IPSec Características: Driver tun encargado de levantar túnel y encapsular los paquetes a través del enlace virtual Posee autenticación y encriptación Todas comunicaciones a través de un puerto TCP o UDP (1194 por defecto) Multiplataforma Permite usar compresión
  96. 96. Redes virtuales 96 SSL El proyecto OpenVPN: Características: Modelo cliente-servidor (versión 2.0) Existen paquetes con instaladores y administradores gráficos Permite administración remota de la aplicación Alta flexibilidad (multitud formatos de scripts)
  97. 97. Redes virtuales 97 Tema 4: Redes Virtuales 4.1 Seguridad en redes 4.1.1 Introducción 4.1.2 Criptografía 4.1.3 Criptoanálisis 4.1.4 Clave simétrica 4.1.5 Clave asimétrica 4.1.6 sistema mixto 4.2 Redes privadas virtuales 4.2.1 Introducción 4.2.2 PPTP 4.2.3 L2TP 4.2.4 IPsec 4.2.5 SSL 4.3 Redes de área local virtual
  98. 98. Redes virtuales 98 VLAN Introducción: Las LANs institucionales modernas suelen presentar topología jerárquica Cada grupo de trabajo posee su propia LAN conmutada Las LANs conmutadas pueden interconectarse entre sí mediante una jerarquía de conmutadores A B S1 C D E F S2 S4 S3 H I G
  99. 99. Redes virtuales 99 VLAN Inconvenientes: Falta de aislamiento del tráfico Tráfico de difusión Limitar tráfico por razones de seguridad y confidencialidad Uso ineficiente de los conmutadores Gestión de los usuarios
  100. 100. Redes virtuales 100 VLAN VLAN: VLAN basada en puertos División de puertos del conmutador en grupos Cada grupo constituye una VLAN Cada VLAN es un dominio de difusión Gestión de usuario -> Cambio de configuración del conmutador A B C D E F G H I
  101. 101. Redes virtuales 101 VLAN VLAN: ¿Cómo enviar información entre grupos? Conectar puerto del conmutador VLAN a router externo Configurar dicho puerto como miembro de ambos grupos Configuración lógica -> conmutadores separados conectados mediante un router Normalmente los fabricantes incluyen en un único dispositivo conmutador VLAN y router A B C D E F G H I
  102. 102. Redes virtuales 102 VLAN VLAN: Localización diferente Miembros de un grupo se encuentran en edificios diferentes Necesario varios conmutadores Conectar puertos de grupos entre conmutadores -> No escalable A B C D E FG HI
  103. 103. Redes virtuales 103 VLAN VLAN: Localización diferente Troncalización VLAN (VLAN Trunking) Puerto troncal pertenece a todas las VLANs ¿VLAN Destino de la trama? -> formato de trama 802.1Q A B C D E FG HI Enlace troncal
  104. 104. Redes virtuales 104 VLAN IEEE 802.1Q:  IEEE 802.3 (Ethernet)  IEEE 802.1Q Dir. Destino DatosPreambulo Dir. Origen Tipo CRC Dir. Destino DatosPreambulo Dir. Origen Tipo CRC nuevoTPID TCI Información de control de etiquetado Identificador de protocolo de etiquetado
  105. 105. Redes virtuales 105 VLAN VLAN: VLAN basada en MAC (nivel 2) El administrador de red crea grupos VLAN basados en rangos de direcciones MAC El puerto del conmutador se conecta a la VLAN correspondiente con la dirección MAC del equipo asociado VLAN nivel 3 Basada en direcciones de red IPv4 o IPv6 Basada en protocolos de red (Appletalk, IPX, TCP/IP)

×