This document is posted to help you gain knowledge. Please leave a comment to let me know what you think about it! Share it to your friends and learn new things together.
Transcript
Redes virtuales 1
Tema 5: Redes Virtuales
5.1 Seguridad en redes 5.1.1 Introducción 5.1.2 Criptografía 5.1.3 Criptoanálisis 5.1.4 Clave simétrica 5.1.5 Clave asimétrica 5.1.6 Sistema mixto
Del texto cifrado no podrá extraerse ni el mensaje en claro ni la clave
Conocidos el texto en claro y el texto cifrado debe ser más costoso en tiempo y dinero obtener la clave, que el valor derivado de la información sustraída
Fortaleza del algoritmo: Complejidad interna Longitud de la clave
Redes virtuales 25
Clave simétrica
Objetivos cumplidos: Confidencialidad Integridad Autenticación No repudio
Dependerá del número de participantes que compartan la clave secreta
Redes virtuales 26
Clave simétricaVentajas: Velocidad de ejecución de algoritmos
Mejor método para cifrar grandes cantidades de información
Inconvenientes: Distribución de la clave privada Administración y mantenimiento de claves
Número de claves usadas es proporcional al número de canales seguros empleados
Redes virtuales 27
Tema 5: Redes Virtuales
5.1 Seguridad en redes 5.1.1 Introducción 5.1.2 Criptografía 5.1.3 Criptoanálisis 5.1.4 Clave simétrica 5.1.5 Clave asimétrica 5.1.6 sistema mixto
Del texto cifrado debe ser imposible extraer el mensaje en claro y la clave privada
Conocidos el texto en claro y el texto cifrado debe ser más costoso en tiempo y dinero obtener la clave privada, que el valor derivado de la información sustraída
Para un texto cifrado con clave pública, sólo debe existir una clave privada capaz desencriptarlo, y viceversa
Clave asimétricaVentajas: No presenta problemas de distribución de
claves, ya que posee clave pública En caso de robo de clave privada de un usuario,
sólo se ven comprometidos los mensajes enviados a dicho usuario
Proporciona mecanismos de autenticación mejores que los ofrecidos por sistemas simétricos
Inconvenientes: Velocidad de ejecución de algoritmos
Redes virtuales 32
Clave asimétricaAutenticación: Desafio-respuesta Firma digital Certificado digital
No repudio: Firma digital Certificado digital
Redes virtuales 33
Clave asimétrica
Desafio-respuesta: Envío de un desafio en claro cuya solución conoce el emisor El emisor envía respuesta cifrada con clave privada
Emisor Receptor
cifrado descifrado
Privada emisor
Pública emisor
Privada receptor
Pública receptor
Redes virtuales 34
Clave asimétrica
Firma digital: Verificar autenticidad del origen Partes
Proceso de firma (emisor) Proceso de verificación de la firma (receptor)
Emisor Receptor
firma verificación
Privada emisor
Pública emisor
Privada receptor
Pública receptor
Redes virtuales 35
Clave asimétrica
Firma digital: Problema: Lentitud del proceso Empleo de huella
Emisor Receptor
Privada emisor
Pública emisor
Privada receptor
Pública receptor
Redes virtuales 36
Clave asimétricaFirma digital - Huella: Redución del tiempo de encriptado Función de hash
Convierte conjunto de datos de longitud variable en resumen o huella de longitud fija, ilegible y sin sentido
Irreversible Algoritmos SHA-1, MD5 Requisitos
Capacidad de convertir datos de longitud variable en bloque de longitud fija
Fácil de usar y sencillez de implementación Imposibilidad de obtener texto original de la huella Textos diferentes deben generar huellas distintas
Problema: Gestión de claves
Redes virtuales 37
Clave asimétricaCertificado digital: Unidad de información que contiene una pareja de claves
públicas y privada junto con la información necesaria para capacitar a su propietario a realizar operaciones de comunicación segura con otros interlocutores
Contiene: Clave pública Clave privada (si es propietario) Datos del propietario Datos de uso (algoritmos, funciones permitidas, ...) Periodo de validez Firmas de Autoridades de certificación
Es posible su revocación
Redes virtuales 38
Tema 5: Redes Virtuales
5.1 Seguridad en redes 5.1.1 Introducción 5.1.2 Criptografía 5.1.3 Criptoanálisis 5.1.4 Clave simétrica 5.1.5 Clave asimétrica 5.1.6 sistema mixto
Redes privadas virtualesIntroducción: Interconexión de usuarios y entidades
Línea dedicada (intranets)Coste elevadoDificultad de mantenimiento
Uso de red de acceso públicoRiesgos de seguridad
LAN
Red pública
Redes virtuales 45
Redes privadas virtualesConcepto: VPN: Canal de datos privado implementado sobre red
de comunicaciones pública Objetivos:
Enlazar subredes remotas Enlazar subredes y usuarios remotos
Uso de túnel virtual con encriptación
LANTúnel virtual
Red pública
Redes virtuales 46
Redes privadas virtualesRequisitos: Autenticación y verificación de identidad Administración de rango de IPs virtuales Cifrado de datos Gestión de claves públicas, privadas, y
certificados digitales Soporte para múltiples protocolos
Redes virtuales 47
Redes privadas virtualesTipos: Sistemas basados en hardware
Diseños específicos optimizados Muy seguros y sencillos Alto rendimiento Coste elevado Servicios añadidos (firewalls, detectores de intrusos,
antivirus, etc.) Cisco, Stonesoft, Juniper, Nokia, Panda Security
Sistemas basados en software
Redes virtuales 48
Redes privadas virtualesVentajas: Seguridad y confidencialidad Reducción de costes Escalabilidad Mantenimiento sencillo Compatibilidad con los enlaces inalámbricos
Redes virtuales 49
Redes privadas virtualesElementos: Redes privadas o locales
LAN de acceso restringido con rango de IPs privadas Redes inseguras Túneles VPN Servidores Routers Usuarios remotos (road warriors) Oficinas remotas (gateways)
Redes virtuales 50
Redes privadas virtualesEscenarios: Punto a punto LAN - LAN LAN – usuario remoto
LAN
LAN LAN
Redes virtuales 51
Tema 5: Redes Virtuales
5.1 Seguridad en redes 5.1.1 Introducción 5.1.2 Criptografía 5.1.3 Criptoanálisis 5.1.4 Clave simétrica 5.1.5 Clave asimétrica 5.1.6 sistema mixto
PPTPAutenticación PPTP: Emplea los mismos mecanismos que PPP:
PAP (Password Authentication Protocol)Muy simple: envío de nombre y contraseña en claro
CHAP (Challenge Handshake Authentication Protocol)Mecanismo desafio-respuestaCliente genera una huella a partir del desafio recibido (MD5)Clave secreta compartidaEnvíos de desafios para revalidar identidad
Redes virtuales 58
PPTPAutenticación PPTP: Añade dos nuevos:
SPAP (Shiva Password Authentication Protocol)PAP con envío de contraseña cliente encriptada
IPSecCaracteríticas: Internet Protocol Security Ofrece servicios de seguridad a capa IP Permite enlazar redes distintas (oficinas remotas) Permite acceso de un usuario remoto a recursos
privados de una red Estándares IETF (Internet Engineering Task Force) Integrado en IPv4 e incluido por defecto en IPv6 IPSec es orientado a la conexión
Redes virtuales 74
IPSecCaracteríticas: Servicios:
Integridad de datos Autenticación del origen Confidencialidad Prevención de ataques por reproducción
Modos de funcionamiento: Modo transporte Modo túnel
Redes virtuales 75
IPSecAsociación de seguridad: Definición (SA):
“Acuerdo unidireccional entre participantes de una conexión IPSec en cuanto a métodos y parámetros empleados en la estructura del túnel, destinados a garantizar la seguridad de los datos transmitidos”
Una entidad debe almacenar: Claves y algoritmos de seguridad empleados Modo de trabajo Métodos de gestión de claves Periodo de vigencia de la conexión establecida Base de datos con SA
Métodos de distribución y administración de claves: Manual: entrega personal Automático: AutoKey IKE
Redes virtuales 77
IPSecProtocolo IKE: Protocolo de intercambio de claves en Internet (IKE) Protocolo definido en IETF
Gestión y administración de claves Establecimiento de SA
Estándar no limitado a IPSec (OSPF o RIP) Protocolo híbrido:
ISAKMP (Internet Security Association and Key Management Protocol)
Define la sintaxis de los mensajesProcedimientos necesarios para establecimiento, negociación,
modificación y eliminación de SA Oakley
Especifica lógica para el intercambio seguro de claves
Redes virtuales 78
IPSecIKE – Negociación del túnel IPSec: Posee dos fases:
Fase 1: Establemiciento de un canal bidireccional de comunicación seguro (IKE SA)
IKE SA distinta a IPSec SASe denomina ISAKMP SA
Fase 2: Acuerdos sobre algoritmos de cifrado y autenticación -> IPSec SA
Usa ISAKMP para generar IPSec SAEl precursor ofrece todas sus posibilidades al otro con
prioridadesEl otro acepta la primera configuración que se adecue a sus
posibilidadesSe informan recíprocamente del tipo de tráfico
Redes virtuales 79
IPSecVentajas: Permite acceso remoto de forma segura y
transparente Facilita el comercio electrónico (infraestructura
segura para transacciones) Posibilita la construcción de red corporativa segura
(extranets) sobre redes públicas
Redes virtuales 80
IPSecProtocolos: Protocolo de cabecera de autenticación (AH) Protocolo carga de seguridad encapsulada (ESP)
Redes virtuales 81
IPSecProtocolo AH: Campo Protocolo de la cabecera IP :51 Servicios suministrados:
Integridad Autenticación No garantiza la confidencialidad (no emplea cifrado de
datos) HMAC (Hash Message Authentication Codes)
Generación de huella digital (SHA o MD5) Cifrado de huella digital con clave secreta compartida
Redes virtuales 82
IPSecProtocolo AH: HMAC
Emisor
HMACIP AH DATOS
Receptor
HMACIP AH DATOS
Redes virtuales 83
IPSecProtocolo AH: Formato
Next header
Payloadlength
Reserved
Security Parameters Index (SPI)
Sequence number
Authentication data
Cabecera IP
Datos
Cabecera AH
32 bits
Redes virtuales 84
IPSecProtocolo AH: Formato:
Next header: protocolo del nivel superior Payload length: longitud del campo de datos (32 bits) Security Parameters Index (SPI): identificador SA Sequence number: Número de secuencia Authentication data: HMAC de longitud variable
Redes virtuales 85
IPSecProtocolo ESP: Campo Protocolo de la cabecera IP :50 Servicios suministrados:
Integridad (opcional) Autenticación (opcional) Confidencialidad (cifrado de datos)
Algoritmo de cifrado de clave simétrica (DES, 3DES, Blowfish) Normalmente cifrado por bloques (relleno) Requiere un mecanismo seguro de distribución de claves
(IKE)
Redes virtuales 86
IPSecProtocolo ESP:
Emisor
IP ESP DATOS
Receptor
IP ESP DATOSESP ESP
Redes virtuales 87
IPSecProtocolo ESP: Formato
Padding
Security Parameters Index (SPI)
Sequence number
Cabecera IP
Datos ESP
32 bits
Next header
Padlength
Authentication data
Encriptado
Redes virtuales 88
IPSecProtocolo ESP: Formato:
Security Parameters Index (SPI): identificador SA Sequence number: Número de secuencia Padding: Relleno Pad length: longitud del relleno en bytes Next header: protocolo del nivel superior Authentication data: HMAC de longitud variable
Redes virtuales 89
IPSecModos de funcionamiento: Aplicables tanto a AH como ESP
Modo transporte
con AH
Modotransporte
con ESP
Modo túnel
con AH
Modotúnel
con ESP
Más usado
Redes virtuales 90
IPSecModo transporte: Los datos se encapsulan en un datagrama AH o ESP Asegura la comunicación extremo a extremo Esquema cliente-cliente (ambos extremos deben
entender IPSec) Se emplea para conectar usuarios remotos
IP 1 DatosIPSecIP 2
IP 1 IP 2
Host con IPSec Host con IPSec
Redes virtuales 91
IPSecModo transporte:
AH: Next header = Protocol de cabecera IP
ESP: Next header = Protocol de cabecera IP
Encab.AH
DatosEncab.IP original
Autenticado
Encab.ESP
DatosEncab.IP original
Cifrado
Autenticado
Redes virtuales 92
IPSecModo túnel: Los datos se encapsulan en un datagrama IP completo Genera nueva cabecera IP Se emplea cuando el destino final del mensaje y el
extremo IPSec no coinciden (gateways)
IP A DatosIPSecIP B
Host sin IPSecgateway con IPSec gateway con IPSec
Host sin IPSec
IP 1
IP 2IP BIP A
IP 1IP 2
Redes virtuales 93
IPSecModo túnel:
AH: Protocol nueva cabecera IP = 51 y Next header = 4
ESP: Protocol nueva cabecera IP = 50 y Next header = 4
Encab.AH
DatosEncab.IP nuevo
Autenticado
Encab.ESP
DatosEncab.IP original
Cifrado
Autenticado
Encab.IP original
Encab.IP original
Redes virtuales 94
Tema 5: Redes Virtuales
5.1 Seguridad en redes 5.1.1 Introducción 5.1.2 Criptografía 5.1.3 Criptoanálisis 5.1.4 Clave simétrica 5.1.5 Clave asimétrica 5.1.6 sistema mixto
VLANIntroducción: Las LANs institucionales modernas suelen presentar
topología jerárquica Cada grupo de trabajo posee su propia LAN
conmutada Las LANs conmutadas pueden interconectarse entre
sí mediante una jerarquía de conmutadores
A
B
S1
C D
E
FS2
S4
S3
HI
G
Redes virtuales 106
VLANInconvenientes: Falta de aislamiento del tráfico
Tráfico de difusión Limitar tráfico por razones de seguridad y confidencialidad
Uso ineficiente de los conmutadores Gestión de los usuarios
Redes virtuales 107
VLANVLAN: VLAN basada en puertos
División de puertos del conmutador en grupos Cada grupo constituye una VLAN Cada VLAN es un dominio de difusión Gestión de usuario -> Cambio de configuración del
conmutador
A B C D E F G H I
Redes virtuales 108
VLANVLAN: ¿Cómo enviar información entre grupos?
Conectar puerto del conmutador VLAN a router externo Configurar dicho puerto como miembro de ambos grupos Configuración lógica -> conmutadores separados conectados
mediante un router Normalmente los fabricantes incluyen en un único dispositivo
conmutador VLAN y router
A B C D E F G H I
Redes virtuales 109
VLANVLAN: Localización diferente
Miembros de un grupo se encuentran en edificios diferentes Necesario varios conmutadores Conectar puertos de grupos entre conmutadores -> No escalable
A BC
D E FG HI
Redes virtuales 110
VLANVLAN: Localización diferente
Troncalización VLAN (VLAN Trunking) Puerto troncal pertenece a todas las VLANs ¿VLAN Destino de la trama? -> formato de trama 802.1Q
A BC
D E FG HI
Enlace
troncal
Redes virtuales 111
VLANIEEE 802.1Q:
IEEE 802.3 (Ethernet)
IEEE 802.1Q
Dir.Destino
DatosPreambuloDir.Origen
Tipo CRC
Dir.Destino
DatosPreambuloDir.Origen
Tipo CRC nuevoTPID TCI
Información de control de etiquetado
Identificador de protocolo de etiquetado
Redes virtuales 112
VLANVLAN: VLAN basada en MAC (nivel 2)
El administrador de red crea grupos VLAN basados en rangos de direcciones MAC
El puerto del conmutador se conecta a la VLAN correspondiente con la dirección MAC del equipo asociado
VLAN nivel 3 Basada en direcciones de red IPv4 o IPv6 Basada en protocolos de red (Appletalk, IPX, TCP/IP)