Tema 4

Tema 4: Redes Virtuales
4.1 Seguridad en redes 4.1.1 Introduccin 4.1.2 Criptografa 4.1.3 Criptoanlisis 4.1.4 Clave simtrica 4.1.5 Clave asimtrica 4.1.6 Sistema mixto 4.2 Redes privadas
virtuales
4.2.1 Introduccin 4.2.2 PPTP 4.2.3 L2TP 4.2.4 IPsec 4.2.5 SSL
4.3 Redes de rea local
virtual
Redes virtuales

4.1 Seguridad en redes 4.1.1 Introduccin 4.1.2 Criptografa 4.1.3 Criptoanlisis 4.1.4 Clave simtrica 4.1.5 Clave asimtrica 4.1.6 sistema mixto 4.2 Redes privadas
virtuales
virtual
Redes virtuales
Introduccin
Canal seguro: Propiedades:

Confidencialidad Integridad Autenticidad (autenticacin) No repudio Canal seguro?
Emisor
Redes virtuales
Receptor
Introduccin
Confidencialidad: La informacin transmitida por el canal inseguro slo podr ser interpretada por elementos destinatarios acreditados Debe permanecer ininteligible para el resto Formas de proteccin:
Lneas fsica dedicadas

Alto coste Difcil mantenimiento
Cifrado
Ejemplo: obtencin de datos del emisor
Redes virtuales
Introduccin
Integridad: Asegura que la informacin transmitida no haya sido modificada durante su transcurso El mensaje en el destino debe ser el mismo que el mensaje en el origen Formas de proteccin:
Firmas digitales
Ejemplo: modificacin de la direccin de envo
de un producto comprado por Internet
Redes virtuales
Introduccin
Autenticidad: Asegurar el origen de una informacin Evitar suplantaciones Formas de proteccin:

Firmas digitales Desafo Autenticacin humana

Biomtrica (huella dactilar, retina, reconocimiento facial, etc.)
Ejemplo: suplantacin de usuario en transaccin
bancaria
Redes virtuales
Introduccin
No repudio: Evitar negacin de envo por parte de un emisor Evitar negacin de recepcin por parte de un receptor Formas de proteccin:
Firmas digitales
Ejemplo: prdida de solicitud en proceso
administrativo
Redes virtuales
Introduccin
Canal inseguro: Poco fiable Ataques: Violacin de seguridad del canal.
Tipos
Pasivos Activos
Categoras
Interceptacin Interrupcin Modificacin Fabricacin
Redes virtuales
Introduccin
Ataques pasivos: El intruso no altera el contenido de la informacin transmitida Objetivos:

Identificacin de entidades Control del volumen de trfico Anlisis del trfico Horario de intercambio habitual
Dificultad de deteccin Fcil de evitar -> cifrado
Redes virtuales
Introduccin
Ataques activos: Implican alteracin del contenido de la informacin transmitida Tipos:

Enmascarados (impostor) Repetitivo (mensaje interceptado y repetido posteriormente) Modificacin del mensaje Denegacin del servicio
Dificultad de prevencin Fcil de detectar -> deteccin y recuperacin
Redes virtuales
10
Introduccin
Interceptacin: Ataque de confidencialidad Pasivo Un elemento no autorizado consigue acceso a un recurso no compartido Ejemplos:

Captura de trfico de red Copia ilcita de archivos o programas
Emisor Intruso
Redes virtuales
Receptor
11
Introduccin
Interrupcin: Destruccin de un recurso compartido Activo Ejemplos:

Destruccin de hardware Corte de lnea de comunicacin
Emisor Intruso
Redes virtuales
Receptor
12
Introduccin
Modificacin: Un recurso no compartido es interceptado y manipulado por un elemento no autorizado antes de llegar al destino final Activo Ejemplos:
Alteracin de los datos enviados a travs de una red
Emisor Intruso
Redes virtuales
Receptor
13
Introduccin
Fabricacin: Ataque de autenticidad Activo Elemento no autorizado (impostor) genera un recurso que llega al destinatario Ejemplos:
Introduccin de informacin fraudulenta
Emisor Intruso
Redes virtuales
Receptor
14

virtuales
virtual
Redes virtuales
15
Criptografa
Introduccin: Por qu?
Formas de proteccin contra intrusos basadas en la encriptacin (cifrado y firmas digitales)
Definicin Ciencia de la escritura secreta, destinada a ocultar la informacin con el objetivo de que no pueda ser interpretada por otras personas Principio Mantener la privacidad de la comunicacin entre dos o ms elementos
Redes virtuales
16
Criptografa
Introduccin: Base de funcionamiento
Alteracin del mensaje original para que sea incompatible con toda persona ajena al destinatario
Ejemplo Mensaje original: Mi profesor es un plasta Mensaje alterado: Pl surihvru hv xq sdvwd Cifrado de Csar con K=3
Redes virtuales
17
Criptografa
Cifrado: Procedimiento que convierte un mensaje en claro en otro incomprensible El algoritmo de cifrado requiere una clave
Descifrado: Procedimiento que convierte un mensaje incomprensible en el mensaje original Es necesario conocer el algoritmo de cifrado empleado y la clave adecuada
Redes virtuales
18
Criptografa
Introduccin: Esquema de funcionamiento
Emisor
Receptor
cifrado
descifrado
Redes virtuales
19

virtuales
virtual
Redes virtuales
20
Criptoanlisis
Introduccin: Definicin
Conjunto de mtodos destinados a averiguar la clave usada por las partes comunicantes
Objetivo Desvelar el secreto de la correspondencia

Ataques Ataque de fuerza bruta (ms comn) Tipos:
Ataque de slo texto cifrado Ataque de texto claro conocido Ataque de texto claro seleccionado
Redes virtuales 21

virtuales
virtual
Redes virtuales
22
Clave simtrica
Caractersticas: Clave privada Emisor y receptor comparten la misma clave
Emisor
Receptor
cifrado
Redes virtuales
descifrado
23
Clave simtrica
Algoritmos: DES, 3DES, RC5, IDEA, AES Requisitos:

Del texto cifrado no podr extraerse ni el mensaje en claro ni la clave Conocidos el texto en claro y el texto cifrado debe ser ms costoso en tiempo y dinero obtener la clave, que el valor derivado de la informacin sustrada
Fortaleza del algoritmo: Complejidad interna Longitud de la clave
Redes virtuales
24
Clave simtrica
Objetivos cumplidos: Confidencialidad Integridad Autenticacin No repudio
Depender del nmero de participantes que compartan la clave secreta
Redes virtuales
25
Clave simtrica
Ventajas: Velocidad de ejecucin de algoritmos
Mejor mtodo para cifrar grandes cantidades de informacin
Inconvenientes: Distribucin de la clave privada Administracin y mantenimiento de claves
Nmero de claves usadas es proporcional al nmero de canales seguros empleados
Redes virtuales
26

virtuales
virtual
Redes virtuales
27
Clave asimtrica
Privada emisor
Pblica emisor Privada receptor
Caractersticas: Pblica receptor Clave pblica Cada participante posee una pareja de claves (privada-pblica)
Emisor
Receptor
cifrado
Redes virtuales
descifrado
28
Clave asimtrica
Algoritmos: Diffie-Hellman, RSA, DSA Requisitos:

Del texto cifrado debe ser imposible extraer el mensaje en claro y la clave privada Conocidos el texto en claro y el texto cifrado debe ser ms costoso en tiempo y dinero obtener la clave privada, que el valor derivado de la informacin sustrada Para un texto cifrado con clave pblica, slo debe existir una clave privada capaz desencriptarlo, y viceversa
Redes virtuales
29
Clave asimtrica
Objetivos cumplidos: Confidencialidad Integridad Autenticacin
Ofrece mecanismos muy buenos
No repudio Ofrece mecanismos muy buenos
Redes virtuales
30
Clave asimtrica
Ventajas: No presenta problemas de distribucin de claves, ya que posee clave pblica En caso de robo de clave privada de un usuario, slo se ven comprometidos los mensajes enviados a dicho usuario Proporciona mecanismos de autenticacin mejores que los ofrecidos por sistemas simtricos Inconvenientes: Velocidad de ejecucin de algoritmos
Redes virtuales 31
Clave asimtrica
Autenticacin: Desafio-respuesta Firma digital Certificado digital
No repudio: Firma digital Certificado digital
Redes virtuales
32
Clave asimtrica
Desafio-respuesta:
El emisor enva respuesta cifrada con clave privada
Privada emisor Pblica emisor
Privada receptor Pblica receptor
Envo de un desafio en claro cuya solucin conoce el emisor
Emisor
Receptor
cifrado
Redes virtuales
descifrado
33
Clave asimtrica
Firma digital:
Verificar autenticidad del origen
Partes

Privada emisor
Pblica emisor Privada receptor Pblica receptor
Proceso de firma (emisor) Proceso de verificacin de la firma (receptor)
Emisor
Receptor
firma
Redes virtuales
verificacin
34
Clave asimtrica
Firma digital: Problema: Lentitud del proceso Empleo de huella
Privada emisor
Pblica emisor Privada receptor Pblica receptor
Emisor
Receptor
Redes virtuales
35
Clave asimtrica
Firma digital - Huella: Reducin del tiempo de encriptado Funcin de hash
Algoritmos SHA-1, MD5 Requisitos

Convierte conjunto de datos de longitud variable en resumen o huella de longitud fija, ilegible y sin sentido Irreversible
Problema: Gestin de claves
Capacidad de convertir datos de longitud variable en bloque de longitud fija Fcil de usar y sencillez de implementacin Imposibilidad de obtener texto original de la huella Textos diferentes deben generar huellas distintas
Redes virtuales
36
Clave asimtrica
Certificado digital:
Unidad de informacin que contiene una pareja de claves
Contiene: Clave pblica Clave privada (si es propietario) Datos del propietario Datos de uso (algoritmos, funciones permitidas, ...) Periodo de validez Firmas de Autoridades de certificacin
Es posible su revocacin
pblicas y privada junto con la informacin necesaria para capacitar a su propietario a realizar operaciones de comunicacin segura con otros interlocutores
Redes virtuales
37

virtuales
virtual
Redes virtuales
38
Sistema mixto
Clave de sesin:
Partes

Privada emisor Pblica emisor Privada receptor Pblica receptor Clave de sesin
Distribucin de clave de sesin (asimtrico) Comunicacin segura (simtrico)
Emisor
Receptor
Redes virtuales
39
Sistema mixto
Clave de sesin:
Partes

Privada emisor Pblica emisor Privada receptor Pblica receptor Clave de sesin
Distribucin de clave de sesin (asimtrico) Comunicacin segura (simtrico)
Emisor
Receptor
Redes virtuales
40
Sistema mixto
Objetivos cumplidos: Confidencialidad Integridad Autenticacin No repudio
Empleo de firmas y certificados digitales
Redes virtuales
41
Sistema mixto
Ventajas: No presenta problemas de distribucin de claves, ya que posee clave pblica Es improbable hacerse con la clave de sesin Puede emplear mecanismos de autenticacin y no repudio de clave pblica Velocidad de ejecucin de algoritmos
Redes virtuales
42

virtuales
virtual
Redes virtuales
43
Redes privadas virtuales

Introduccin: Interconexin de usuarios y entidades
Lnea dedicada (intranets)

Coste elevado Dificultad de mantenimiento
Uso de red de acceso pblico

Riesgos de seguridad
LAN Red pblica

Redes virtuales 44

Concepto: VPN: Canal de datos privado implementado sobre red de comunicaciones pblica Objetivos:

Enlazar subredes remotas Enlazar subredes y usuarios remotos
Uso de tnel virtual con encriptacin
Tnel virtual
LAN
Redes virtuales 45
Red pblica

Requisitos: Autenticacin y verificacin de identidad Administracin de rango de IPs virtuales Cifrado de datos Gestin de claves pblicas, privadas, y certificados digitales Soporte para mltiples protocolos
Redes virtuales
46

Tipos: Sistemas basados en hardware

Diseos especficos optimizados Muy seguros y sencillos Alto rendimiento Coste elevado Servicios aadidos (firewalls, detectores de intrusos, antivirus, etc.) Cisco, Stonesoft, Juniper, Nokia, Panda Security
Sistemas basados en software
Redes virtuales
47

Ventajas: Seguridad y confidencialidad Reduccin de costes Escalabilidad Mantenimiento sencillo Compatibilidad con los enlaces inalmbricos
Redes virtuales
48

Elementos: Redes privadas o locales
LAN de acceso restringido con rango de IPs privadas
Redes inseguras Tneles VPN Servidores Routers
Usuarios remotos (road warriors)

Oficinas remotas (gateways)
Redes virtuales
49

Escenarios: Punto a punto LAN - LAN LAN usuario remoto
LAN
LAN
LAN
Redes virtuales 50

virtuales
virtual
Redes virtuales
51
PPTP
Caractersticas: Protocolo de tnel punto a punto (PPTP) Protocolo diseado y desarrollado por 3Com, Microsoft Corporation, Ascend Communications y ECI Telematics, y definido en IETF (RFC 2637) Se emplea en acceso virtual seguro de usuarios remotos a red privada Emplea mecanismo de tneles para envo de datos desde cliente a servidor Usa red IP de carcter pblica o privada
Redes virtuales
52
PPTP
Funcionamiento: Servidor PPTP configurado para repartir IP de LAN privada El servidor se comporta como un puente
192.168.1.30 192.168.1.31
Servidor PPTP 192.168.1.1
67.187.11.25
LAN
Usuario remoto
192.168.1.100 - 120
Redes virtuales
192.168.1.32
53
PPTP
Fases: Establecimiento de la conexin PPP con ISP Control de la conexin PPTP

Conexin TCP Intercambio de mensajes de control
Transmisin de datos Protocolo GRE Cifrado
Redes virtuales
54
PPTP
PPP: Protocolo punto a punto (RFC 1661)

Nivel de enlace Usado para conectar con ISP mediante una lnea telefnica (modem) o RDSI Versiones para banda ancha (PPPoE y PPPoA) Funciones:
Establecer, mantener y finalizar conexin pto-pto Autenticar usuarios (PAP y CHAP) Crear tramas encriptadas
PPP
IP
Datos
Redes virtuales 55
PPTP
Control conexin PPTP: Especifica una serie de mensajes de control:

PPTP_START_SESSION_REQUEST: inicio de sesin PPTP_START_SESSION_RESPLY: respuesta solicitud inicio PPTP_ECHO_REQUEST: mantenimiento de la sesin PPTP_ECHO_REPLY: respuesta solicitud mantenimiento PPTP_WAN_ERROR_NOTIFY: notificacin error PPTP_SET_LINK_INFO: configurar conexin clienteservidor PPTP_STOP_SESSION_REQUEST: finalizacin sesin PPTP_STOP_SESSION_REPLY: respuesta solicitud finalizacin
Redes virtuales 56
PPTP
Autenticacin PPTP: Emplea los mismos mecanismos que PPP:
PAP (Password Authentication Protocol)

Muy simple: envo de nombre y contrasea en claro
CHAP (Challenge Handshake Authentication Protocol)

Mecanismo desafio-respuesta Cliente genera una huella a partir del desafio recibido (MD5) Clave secreta compartida Envos de desafios para revalidar identidad
Redes virtuales
57
PPTP
Autenticacin PPTP: Aade dos nuevos:
SPAP (Shiva Password Authentication Protocol)

PAP con envo de contrasea cliente encriptada
MS-CHAP (Microsoft Challenge Handshake Authentication Protocol)

Algoritmo propietario de Microsoft basado en CHAP Proceso de autenticacin mutuo (cliente y servidor) Debido a fallo de seguridad en Windows NT se cre MS-CHAP v2
Redes virtuales
58
PPTP
Transmisin de datos: Emplea modificacin del protocolo GRE (Generic Routing Encapsulation) RFC 1701 y 1702
Establece divisin funcional en tres protocolos:

Protocolo pasajero Protocolo portador Protocolo de transporte
Transporte Portador Pasajero
Redes virtuales
59
PPTP
Transmisin de datos: Envo de tramas PPP encapsuladas en datagramas IP
IP
TCP
Datos
Medio
IP
GRE
PPP
Datos
Redes virtuales
60
PPTP
Encriptacin: MPPE (Microsoft Point-To-Point Encryption)

RFC 3078 Usa algoritmo RSA RC4 -> Clave de sesin a partir de clave privada de cliente Slo con CHAP o MS-CHAP
Permite tneles sin cifrado (PAP o SPAP) -> No VPN
Redes virtuales
61
PPTP
Ventajas: Bajo coste de implementacin (emplea red pblica) No limitacin del nmero de tneles debido a interfaces fsicas del servidor (aumento de recursos necesarios en servidor por tnel) Inconvenientes: Altamente vulnerable
Control de la conexin TCP no autenticado Debilidad del protocolo MS-CHAP en sistemas NT Debilidad del protocolo MPPE
Empleo de contrasea privada

Redes virtuales 62

virtuales
virtual
Redes virtuales
63
L2TP
Caractersticas: Protocolo de tnel de nivel 2 (RFC 2661) - PPP L2TP v3 (RFC 3931) - multiprotocolo Basado en 2 protocolos de red para transportar tramas PPP:

PPTP L2F (Layer Two Forwarding)
Se emplea junto a IPSec para ofrecer mayor
seguridad (L2TP/IPSec, RFC 3193)
Redes virtuales
64
L2TP
Funcionamiento: LAC: Concentrador de acceso L2TP LNS: Servidor de red L2TP El servidor se comporta como un puente
67.187.11.25
Servidor L2TP (LNS) 192.168.1.1
192.168.1.31
ISP
Usuario remoto
Obligatorio
192.168.1.100 - 120
LAN
192.168.1.32
LAC Voluntario
Redes virtuales 65
L2TP
Tipos de tneles: Obligatorio:
1) 2) 3) 4) 5)
6) 7)
El usuario inicia conexin PPP con ISP ISP acepta conexin y enlace PPP ISP solicita autenticacin LAC inicia tnel L2TP al LNS Si LNS acepta, LAC encapsula PPP con L2TP y enva tramas LNS acepta tramas y procesa como si fuesen PPP LNS autentifica PPP validar usuario -> asigna IP
Voluntario: 1) Usuario remoto posee conexin con ISP 2) Cliente L2TP inicia tnel L2TP al LNS 3) Si LNS acepta, LAC encapsula con PPP y L2TP, y enva a travs del tnel 4) LNS acepta tramas y procesa como si fuesen PPP 5) LNS autentifica PPP validar usuario -> asigna IP
66
Redes virtuales
L2TP
Mensajes: Dos tipos:
Control
Empleados durante fase de establecimiento, mantenimiento y finalizacin del tnel Canal de control confiable (garantiza su entrega)
Datos
Encapsular la informacin en tramas PPP Intercambiados usando UDP puerto 1701
Redes virtuales
67
L2TP
Mensajes de control: Mantenimiento de conexin:

Start-Control-Connection-Request: inicio de sesin Start-Control-Connectio-Reply: respuesta solicitud inicio Start-Control-Connection-Connected: sesin establecida Start-Control-Connection-Notification: finalizacin de sesin Hello: mensaje enviado durante periodos de inactividad
Redes virtuales
68
L2TP
Mensajes de control: Mantenimiento de llamada:

Outgoing-Call-Request: inicio de la llamada saliente Outgoing-Call-Reply: respuesta solicitud inicio llamada saliente Outgoing-Call-Connected: llamada saliente establecida Incoming-Call-Request: inicio de la llamada entrante Incoming-Call-Reply: respuesta solicitud inicio llamada entrante Incoming-Call-Connected: llamada entrante establecida Call-Disconnect-Notify: finalizacin de llamada
Redes virtuales
69
L2TP
Mensajes de control: Informe de errores:
WAN-Error-Notify: notificacin de error
Sesin de control PPP: Set-Link-Info: configurar la conexin cliente-servidor
Redes virtuales
70
L2TP
Ventajas: Bajo coste de implementacin Soporte multiprotocolo Inconvenientes: nicamente se identifican los dos extremos participantes en el tnel (Posibles ataques de suplantacin de identidad) No ofrece soporte para integridad (Posible ataque de denegacin de servicio) No desarrolla confidencialidad -> No garantiza privacidad No ofrece cifrado, aunque PPP pueden ser encriptado (no existe mecanismo de generacin automtica de claves)
Redes virtuales
71

virtuales
virtual
Redes virtuales
72
IPSec
Caracterticas: Internet Protocol Security Ofrece servicios de seguridad a capa IP Permite enlazar redes distintas (oficinas remotas) Permite acceso de un usuario remoto a recursos privados de una red Estndares IETF (Internet Engineering Task Force) Integrado en IPv4 e incluido por defecto en IPv6 IPSec es orientado a la conexin
Redes virtuales
73
IPSec
Caracterticas: Servicios:

Integridad de datos Autenticacin del origen Confidencialidad Prevencin de ataques por reproduccin
Modos de funcionamiento: Modo transporte Modo tnel
Redes virtuales
74
IPSec
Asociacin de seguridad: Definicin (SA):
Acuerdo unidireccional entre participantes de una conexin
IPSec en cuanto a mtodos y parmetros empleados en la estructura del tnel, destinados a garantizar la seguridad de los datos transmitidos
Una entidad debe almacenar: Claves y algoritmos de seguridad empleados Modo de trabajo Mtodos de gestin de claves Periodo de vigencia de la conexin establecida Base de datos con SA
Redes virtuales 75
IPSec
Asociacin de seguridad: Ejemplo:
SPI: 12345 Source IP: 200.168.1.100 Dest IP: 193.68.2.23 Protocol: ESP Encryption algorithm: 3DES-cbc HMAC algorithm: MD5 Encryption key: 0x7aeaca HMAC key:0xc0291f
Mtodos de distribucin y administracin de claves: Manual: entrega personal Automtico: AutoKey IKE
Redes virtuales 76
IPSec
Protocolo IKE: Protocolo de intercambio de claves en Internet (IKE) Protocolo definido en IETF
Estndar no limitado a IPSec (OSPF o RIP)
Gestin y administracin de claves Establecimiento de SA
Protocolo hbrido: ISAKMP (Internet Security Association and Key Management Protocol)
Oakley
Define la sintaxis de los mensajes Procedimientos necesarios para establecimiento, negociacin, modificacin y eliminacin de SA
Especifica lgica para el intercambio seguro de claves

Redes virtuales 77
IPSec
IKE Negociacin del tnel IPSec: Posee dos fases:
Fase 1: Establemiciento de un canal bidireccional de comunicacin seguro (IKE SA)

IKE SA distinta a IPSec SA Se denomina ISAKMP SA
Fase 2: Acuerdos sobre algoritmos de cifrado y autenticacin -> IPSec SA

Usa ISAKMP para generar IPSec SA El precursor ofrece todas sus posibilidades al otro con prioridades El otro acepta la primera configuracin que se adecue a sus posibilidades Se informan recprocamente del tipo de trfico
Redes virtuales 78
IPSec
Ventajas: Permite acceso remoto de forma segura y transparente Facilita el comercio electrnico (infraestructura segura para transacciones) Posibilita la construccin de red corporativa segura (extranets) sobre redes pblicas
Redes virtuales
79
IPSec
Protocolos: Protocolo de cabecera de autenticacin (AH) Protocolo carga de seguridad encapsulada (ESP)
Redes virtuales
80
IPSec
Protocolo AH: Campo Protocolo de la cabecera IP :51 Servicios suministrados:

Integridad Autenticacin No garantiza la confidencialidad (no emplea cifrado de datos)
HMAC (Hash Message Authentication Codes) Generacin de huella digital (SHA o MD5) Cifrado de huella digital con clave secreta compartida
Redes virtuales
81
IPSec
Protocolo AH: HMAC
Emisor Receptor
HMAC
IP
AH
DATOS
IP
AH
DATOS
HMAC
Redes virtuales
82
IPSec
Protocolo AH: Formato
32 bits
Cabecera IP
Payload Next Reserved header length Security Parameters Index (SPI) Sequence number Authentication data
Cabecera AH
Datos
Redes virtuales
83
IPSec
Protocolo AH: Formato:

Next header: protocolo del nivel superior Payload length: longitud del campo de datos (32 bits) Security Parameters Index (SPI): identificador SA Sequence number: Nmero de secuencia Authentication data: HMAC de longitud variable
Redes virtuales
84
IPSec
Protocolo ESP: Campo Protocolo de la cabecera IP :50 Servicios suministrados:

Integridad (opcional) Autenticacin (opcional) Confidencialidad (cifrado de datos)
Algoritmo de cifrado de clave simtrica (DES, 3DES,
Blowfish)

Normalmente cifrado por bloques (relleno) Requiere un mecanismo seguro de distribucin de claves (IKE)
Redes virtuales
85
IPSec
Protocolo ESP:
Emisor Receptor
IP
ESP
DATOS
ESP
IP
ESP
DATOS
ESP
Redes virtuales
86
IPSec
Protocolo ESP: Formato
32 bits
Cabecera IP
Security Parameters Index (SPI) Sequence number
Datos
ESP
Next header
Encriptado
Pad length Authentication data Padding
Redes virtuales
87
IPSec
Protocolo ESP: Formato:

Security Parameters Index (SPI): identificador SA Sequence number: Nmero de secuencia Padding: Relleno Pad length: longitud del relleno en bytes Next header: protocolo del nivel superior Authentication data: HMAC de longitud variable
Redes virtuales
88
IPSec
Modos de funcionamiento: Aplicables tanto a AH como ESP Modo transporte con AH
Modo tnel con AH
Modo transporte con ESP

Modo tnel con ESP
Ms usado
Redes virtuales 89
IPSec
Modo transporte: Los datos se encapsulan en un datagrama AH o ESP Asegura la comunicacin extremo a extremo Esquema cliente-cliente (ambos extremos deben entender IPSec) Se emplea para conectar usuarios remotos
Host con IPSec Host con IPSec
IP 1 IP 2 IP 1 IPSec Datos
IP 2
Redes virtuales
90
IPSec
Modo transporte:
AH: Next header = Protocol de cabecera IP

Encab. Encab. IP original AH Datos
Autenticado
ESP: Next header = Protocol de cabecera IP

Encab. Encab. IP original ESP Datos
Cifrado Autenticado
Redes virtuales 91
IPSec
Modo tnel: Los datos se encapsulan en un datagrama IP completo Genera nueva cabecera IP Se emplea cuando el destino final del mensaje y el extremo IPSec no coinciden (gateways)
Host sin IPSec IP 1 IP A IP B IP 2 Host sin IPSec IP B IP A IPSec IP 2 IP 1 Datos
92
gateway con IPSec
gateway con IPSec
Redes virtuales
IPSec
Modo tnel:
AH: Protocol nueva cabecera IP = 51 y Next header = 4

Encab. IP nuevo Encab. AH Encab. IP original Datos
Autenticado
ESP: Protocol nueva cabecera IP = 50 y Next header = 4

Encab. Encab. IP original ESP Encab. IP original Datos
Cifrado Autenticado
Redes virtuales 93

virtuales
virtual
Redes virtuales
94
SSL
El proyecto OpenVPN: Implementacin de VPN basada en SSL (OpenSSL) Software libre (GPL) Razones: Limitaciones de IPSec Caractersticas:

Driver tun encargado de levantar tnel y encapsular los paquetes a travs del enlace virtual Posee autenticacin y encriptacin Todas comunicaciones a travs de un puerto TCP o UDP (1194 por defecto) Multiplataforma Permite usar compresin
Redes virtuales 95
SSL
El proyecto OpenVPN: Caractersticas:

Modelo cliente-servidor (versin 2.0) Existen paquetes con instaladores y administradores grficos Permite administracin remota de la aplicacin Alta flexibilidad (multitud formatos de scripts)
Redes virtuales
96

virtuales
virtual
Redes virtuales
97
VLAN
Introduccin: Las LANs institucionales modernas suelen presentar topologa jerrquica Cada grupo de trabajo posee su propia LAN conmutada Las LANs conmutadas pueden interconectarse entre s mediante una jerarqua de conmutadores
S4 S1 A B C S2 D E S3 F G H
98
Redes virtuales
VLAN
Inconvenientes: Falta de aislamiento del trfico

Trfico de difusin Limitar trfico por razones de seguridad y confidencialidad
Uso ineficiente de los conmutadores Gestin de los usuarios
Redes virtuales
99
VLAN
VLAN: VLAN basada en puertos

Divisin de puertos del conmutador en grupos Cada grupo constituye una VLAN Cada VLAN es un dominio de difusin Gestin de usuario -> Cambio de configuracin del conmutador
Redes virtuales
100
VLAN
VLAN: Cmo enviar informacin entre grupos?

Conectar puerto del conmutador VLAN a router externo Configurar dicho puerto como miembro de ambos grupos Configuracin lgica -> conmutadores separados conectados mediante un router Normalmente los fabricantes incluyen en un nico dispositivo conmutador VLAN y router
Redes virtuales
101
VLAN
VLAN: Localizacin diferente

Miembros de un grupo se encuentran en edificios diferentes Necesario varios conmutadores Conectar puertos de grupos entre conmutadores -> No escalable
Redes virtuales
102
VLAN
VLAN: Localizacin diferente

Troncalizacin VLAN (VLAN Trunking) Puerto troncal pertenece a todas las VLANs VLAN Destino de la trama? -> formato de trama 802.1Q
Enlace troncal
Redes virtuales
103
VLAN
IEEE 802.1Q:
IEEE 802.3 (Ethernet)

Dir. Destino
Preambulo
Dir. Origen
Tipo
Datos
CRC
IEEE 802.1Q
Dir. Destino Dir. Origen
TPID TCI Tipo
Preambulo
Datos
CRC nuevo
Informacin de control de etiquetado Identificador de protocolo de etiquetado
Redes virtuales
104
VLAN
VLAN: VLAN basada en MAC (nivel 2)
El administrador de red crea grupos VLAN basados en rangos de direcciones MAC El puerto del conmutador se conecta a la VLAN correspondiente con la direccin MAC del equipo asociado
VLAN nivel 3 Basada en direcciones de red IPv4 o IPv6 Basada en protocolos de red (Appletalk, IPX, TCP/IP)
Redes virtuales
105

Tema 4

Uploaded by

Document Information

Original Title

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Tema 4

Uploaded by

Copyright:

Available Formats

Tema 4: Redes Virtuales

4.3 Redes de rea local

Tema 4: Redes Virtuales

4.3 Redes de rea local

Confidencialidad Integridad Autenticidad (autenticacin) No repudio Canal seguro?

Lneas fsica dedicadas

Ejemplo: obtencin de datos del emisor

Ejemplo: modificacin de la direccin de envo

de un producto comprado por Internet

Firmas digitales Desafo Autenticacin humana

Ejemplo: suplantacin de usuario en transaccin

Ejemplo: prdida de solicitud en proceso

Dificultad de deteccin Fcil de evitar -> cifrado

Dificultad de prevencin Fcil de detectar -> deteccin y recuperacin

Captura de trfico de red Copia ilcita de archivos o programas

Destruccin de hardware Corte de lnea de comunicacin

Alteracin de los datos enviados a travs de una red

Introduccin de informacin fraudulenta

Tema 4: Redes Virtuales

4.3 Redes de rea local

Formas de proteccin contra intrusos basadas en la encriptacin (cifrado y firmas digitales)

Tema 4: Redes Virtuales

4.3 Redes de rea local

Objetivo Desvelar el secreto de la correspondencia

Tema 4: Redes Virtuales

4.3 Redes de rea local

Fortaleza del algoritmo: Complejidad interna Longitud de la clave

Depender del nmero de participantes que compartan la clave secreta

Mejor mtodo para cifrar grandes cantidades de informacin

Inconvenientes: Distribucin de la clave privada Administracin y mantenimiento de claves

Nmero de claves usadas es proporcional al nmero de canales seguros empleados

Tema 4: Redes Virtuales

4.3 Redes de rea local

Ofrece mecanismos muy buenos

No repudio Ofrece mecanismos muy buenos

Privada emisor Pblica emisor

Privada receptor Pblica receptor

Envo de un desafio en claro cuya solucin conoce el emisor

Proceso de firma (emisor) Proceso de verificacin de la firma (receptor)

Algoritmos SHA-1, MD5 Requisitos

Problema: Gestin de claves

Tema 4: Redes Virtuales

4.3 Redes de rea local

Distribucin de clave de sesin (asimtrico) Comunicacin segura (simtrico)

Distribucin de clave de sesin (asimtrico) Comunicacin segura (simtrico)

Empleo de firmas y certificados digitales

Tema 4: Redes Virtuales

4.3 Redes de rea local

Redes privadas virtuales

Lnea dedicada (intranets)

Uso de red de acceso pblico

LAN Red pblica

Redes privadas virtuales

Enlazar subredes remotas Enlazar subredes y usuarios remotos

Uso de tnel virtual con encriptacin

Redes privadas virtuales

Redes privadas virtuales

Sistemas basados en software

Redes privadas virtuales

Redes privadas virtuales

LAN de acceso restringido con rango de IPs privadas

Redes inseguras Tneles VPN Servidores Routers

Usuarios remotos (road warriors)