VPN / OPENVPN Tecnologías Avanzadas de la Información v.16.7
Welcome message from author
This document is posted to help you gain knowledge. Please leave a comment to let me know what you think about it! Share it to your friends and learn new things together.
Transcript
VPN / OPENVPN
Tecnologías Avanzadas de la Información
v.16.7
Bibliografía
• Markus Feilner, OpenVPN Building and Integrating Virtual Private Networks. Packt Publishing. ISBN 1-904811-85-X
• Stephen A. Thomas, SSL and TLS Essentials, Wiley, ISBN 0-471-38354-6
Índice
• Introducción y conceptos básicos
• Túneles y VPN en diferentes capas
• Privacidad y criptografía
• Certificados digitales
• OpenVPN
• TINC
Introducción
• Objetivo: Interconexión segura de equipos► Solución 1: Líneas dedicadas
► Solución 2: Uso de red pública con cifrado
• Definición: VPN, Red de datos privada sobre red pública► Virtual
► Private
► Network
Introducción
• Virtual: No es una línea dedicada, opera sobre una conexión ya existente
• Privada: Aunque los datos se transmiten por canales compartidos/públicos, serán visibles/capturables pero no se deben poder descifrar
• Network: Se debe comportar de forma transparente para los equipos de red independiente de su ubicación
Introducción
•Requisitos VPN:► Privacidad: Sólo los equipos autorizados
están conectados.
► Integridad: La información intercambiada no puede ser alterada.
► Disponibilidad: La conexión debe estar disponible cuando se necesite.
Introducción
• Escenarios de uso:
► Interconexión de varias localizaciones remotas usando una red pública
► Conexión de equipos remotos a red interna
► Conexión de proveedores
• Se dispone de una red IP propia distribuida geográficamente
Conceptos básicos
• Privacidad = Criptografía: Se consigue cifrando el tráfico
• Criptografía: disciplina amplia (investigación, desarrollo, etc.) con fuerte componente matemático
• Criptografía en T.A.I:► Clave simétrica
► Clave asimétrica
► Certificados digitales
Túneles
• Túnel: Canal de comunicación usado encapsulando un protocolo en otro.
► Los datos se pueden cifrar antes de enviarse por un túnel.
► El paquete original de red se encapsula dentro de un nuevo paquete, pero cifrado.
► El paquete que se envía sólo tiene «visible» el destino y el origen del mismo
Túneles
• Encapsulación: Consistente en empaquetar una trama como datos en otra una trama de nivel superior.
• Ejemplos:► PPPoE / PPPoA: ADSL
► MLPS: Relacionada con QoS (próximo tema)
► Etc.
• Desventaja: La envoltura produce sobrecarga en el tráfico (50% en muchas implementaciones)
Túneles
Datos
Cabecera
Datos
Cabecera
Datos
Cabecera
InformaciónAdicionalDel túnel
PA
QU
ET
E
OR
IGIN
AL
PA
QU
ET
E
EN
VIA
DO
Túneles
• Nos centraremos en túneles IP
• Existen estándares para implementación de túneles:► IPIP: IP in IP [RFC 1853]
► GRE: General Routing Encapsulation: Desarrollado por Cisco y estandarizado [RFC 1701]
• Un túnel puede ser hecho en diferentes capas del modelo OSI► Curiosidad IPoAC [RFC2549] (redes MAN)
VPN en OSI capa 2
• Encapsular en la capa 2 permite transferir protocolos no-IP dentro protocolo IP.
• Tecnologías VPN en la capa 2:► Point to Point (PPTP)
► Layer 2 Forwarding (L2F)
► Layer 2 Tunneling Protocol (L2TP)
► Layer 2 Security Protocol (L2Sec)
VPN en OSI capa 2PPTP
• PPTP: Protocolo de túnel punto a punto (PPTP)
► Protocolo diseñado y desarrollado por 3Com, Microsoft Corporation, Ascend Communications y ECI Telematics, y definido en IETF [RFC 2637]
► Se emplea en acceso virtual seguro de usuarios remotos a red privada
► Emplea mecanismo de túneles para envío de datos desde cliente a servidor
► Es una expansión de PPP, encapsula las tramas del PPP en datagramas del IP
► Usa GRE para encapsular
► Desventaja: sólo se permite un túnel simultáneamente
► Vulnerabilidades: No se recomienda su uso bajo ciertas condiciones [Microsoft Security Advisory – 2743314]
VPN en OSI capa 2PPTP
• PPTP:► El servidor posee una IP real
► El servidor es un puente para los clientes remotos
Oficina
RED
PÚBLICA
VPN en OSI capa 2PPTP
• Trama PPTP:► Incluye una trama PPP encapsulada en un paquete IP
usando GRE
► GRE se define en la cabecera IP (protocolo 47)
Trama PPPCabecera
IPCabecera
PPPTrama IP
Trama PPTP
CabeceraGRE
VPN en OSI capa 2PPTP
• PPP: Protocolo punto a punto [RFC 1661]► Capaz de transportar múltiples protocolos
► Usado para conectar con ISP mediante una línea telefónica (modem) o RDSI
► Versiones para banda ancha (PPPoE y PPPoA)
► Establecer, mantener y finalizar conexión pto-pto
► Mecanismos de autenticación de usuarios: PAP y CHAP
► Crear tramas cifradas
VPN en OSI capa 2PPTP
• Autenticación PPTP, emplea los mismos mecanismos que PPP:► PAP (Password Authentication Protocol)
● Muy simple: envío de nombre y contraseña en claro
► CHAP (Challenge Handshake Authentication Protocol)● Mecanismo desafío-respuesta
● Cliente genera una huella a partir del desafío recibido (MD5)
● Clave secreta compartida
● Envíos de varios desafíos para revalidar identidad
VPN en OSI Capa 2
• Características de estas tecnologías:► Disponen de métodos de autenticación
► Disponen de NAT
► Asignación de IP dinámica en los extremos del túnel
► Soporte para PKI (Public Key Infrastructures)
VPN en OSI Capa 2Layer 2 Forwarding (L2F)
• Layer 2 Forwarding (L2F) desarrollado por varias compañías como Cisco [RFC2341]
• Ofrece más posibilidades que PPTP:
► No depende del protocolo IP puede trabajar sobre otros como ATM
► Los túneles pueden tener mas de una conexión
VPN en OSI Capa 2L2PT
Layer 2 Tunneling Protocol (L2TP): aprobado por IETF ante el protocolo propietario de Microsoft PPTP.
Aceptado como estándar y ampliamente usado por todos los fabricantes.
Combina ventajas de L2F y PPTP eliminando las desventajas de PPTP
No proporciona mecanismos propios de autenticación se pueden usar: CHAP, EAP
VPN en OSI Capa 3
IPsec: Una de las tecnologías más usadas Estandarizado por IETF (1995) No es un simple protocolo Es un conjunto de protocolos y estándares Protocolo IP 50 y 51
IPsec funciona principalmente en modo túnel o en modo transporte
Desventajas IPsec: Muy complejo Existen muchas implementaciones diferentes No se pueden encapsular protocolos de bajo nivel
VPN en OSI Capa 3
Cabecera IP
Cabecera IPSec
Datos cifrados
Trama IP
DatosCabecera
IP
Trama IP
DatosCabecera
IP
Trama IPRouter con IPsec
Router con IPsec
VPN en OSI Capa 3
Open VPN: Es una solución basada en SSL/TLS Implementa conexiones en la capa 2 o capa 3 Se estudiará posteriormente y se utilizará en el
laboratorio TINC
VPN Distribuida frente a OpenVPN
Utiliza cifrado asimétrico y simétrico simultaneamente
VPN en OSI Capa 4
Es posible establecer un túnel VPN en el nivel de aplicación: SSL y TLS
Ventajas: Solución simple para el usuario, la conexión
comienza entrando con el navegador en una página web segura https://...
Ejemplo: TINC sobre HTTP o HTTPS o DNS
Privacidad en VPN
Privacidad
• Privacidad: Una VPN sin seguridad no es privada
• La privacidad en VPN se consigue mediante técnicas criptográficas
• Utilizaremos técnicas criptográficas ampliamente utilizadas y estudiadas:► Clave simétrica
► Clave asimétrica
PrivacidadCifrado simétrico
Cifrado simétrico: Emisor y receptor utilizan la misma clave. Ambos se ponen de acuerdo en la clave usada. En caso de N ordenadores en una VPN todos
tienen la misma clave. Desventajas:
Si un equipo está comprometido se tiene acceso a todas la comunicaciones VPN.
Las claves precompartidas se pueden atacar por fuerza bruta (ejemplo claves WEP).
PrivacidadCifrado simétrico
Algoritmos de clave simétrica: DES, IDEA, AES, RC5, Blowfish, etc… Aunque se conozca el mensaje original enviado y
el cifrado, obtener la clave debe ser costoso La fortaleza depende de la complejidad del
algoritmo y de la longitud de la clave Ventaja: Gran velocidad de ejecución
PrivacidadCifrado simétrico
Soluciones: IPSec cambia la clave cada cierto periodo de tiempo
(tiempo de vida) El tiempo de vida debe ser menor que el tiempo
requerido/estimado para descifrar la clave Se requiere un método de intercambio de claves
seguro: Complejo Eslabón débil Ejemplo: Algoritmo Diffie-Hellman
PrivacidadCifrado simétrico
• Esquema de autenticación en VPN clásicas en tres pasos
• Se negocian parámetros entre cliente y servidor:► Algoritmos de cifrado
► Compresión
► Dirección IP
► …
PrivacidadCifrado asimétrico
Cifrado asimétrico: Basada en clave pública y privada Cada parte tiene dos claves
Algoritmos: RSA, DSA, ElGamal, Diffie-Hellmanm Basado en números primos y el problema de la
factorización
PrivacidadCifrado asimétrico
Ventaja: No hay problemas de distribución de claves, sólo se intercambian las públicas
Inconveniente: Algoritmos lentos y costosos Para asegurar el intercambio de claves
aparecen las autoridades de certificación (CA) y certificados digitales.
Certificados digitales
Objetivo: Asegurar la identidad de las partes cliente y servidor
Firma electrónica: Se aplica una clave secreta al contenido Asegura que el documento no sufre cambios Esta firma puede ser comprobada por cualquier
persona que disponga de la clave pública del autor.
Certificados digitalesFirma electrónica
Certificados digitales
Certificado digital: Archivo firmado con la clave privada de una autoridad de certificación
Autoridad de certificación: Evita la suplantación, con su firma
certifica que alguien es quien dice ser
Ambas partes confían en la autoridad. Todos conocen la clave pública de la
autoridad
Autoridad certificadora
Autoridad certificadora
ServicioServicioUsuarioUsuario
Certificados digitales
• Autoridades de certificación:► Emiten y revocan certificados.
► Forman una Jerarquía .
► La raíz es un certificado autofirmado.
► CRL: Listado de revocación de certificados gestionado por la CA.
► Cada país tiene una lista de CA.
► Ejemplos: VeriSign, FNMT, CAcert.
Certificados digitales
Ordenamiento jurídico: Ley 59/2003 firma electrónica, certificado
electrónico, DNI-e, etc. Elimina barreras legales de la firma electrónica Potencia del desarrollo de Internet
Conceptos regulados: Firma electrónica Certificado digital Autoridad de certificación DNI-e
Certificados digitales
Existen diversos formatos, X.509 muy utilizado
Además de la clave pública y firma de la CA contienen muchos campos adicionales
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
Certificado X.509 codificado PEM
OPENVPN
http://openvpn.net
OpenVPN
Es una solución basada en SSL/TLS Implementa conexiones en la capa 2 o capa
3 Ventajas: Despliegue rápido e infraestructura
simple, bajo coste. Desventajas: Existen pocas soluciones
hardware
SSL/TLS
SSL: Secure Sockets Layer TLS: no es más que una nueva versión de
SSL Es un protocolo para dar seguridad a la capa
de transporte Fácil de utilizar a nivel de programación (API) StartTLS: Utilizado para iniciar comunicación
segura a partir de una comunicación plana de texto inicial
SSL/TLS
SSL 3: Protocolo con 18 años de antigüedad Buscar «POODLE Vulnerability» (sept. 2014) Se recomienda eliminar el soporte SSL v3 de
todos las aplicaciones/sistemas
OpenVPN
Requisitos: TUN/TAP drivers OpenSSL LZO: Compresión en tiempo real
Soportado: Linux Mac Windows Android
OpenVPN
Modos de funcionamiento: Sobre TCP Sobre UDP Soporte para proxy
Tipo de seguridad: Clave simétrica (no recomendado) Clave asimétrica (RSA)
Tipos de túneles Túnel IP Puente ethernet
OpenVPN
Túnel IP: Uso habitual Usado para tráfico IP punto-a-punto sin broadcast Bastante más eficiente que un puente ethernet Más fácil de configurar
OpenVPN
• Puente ethernet: ► Aplicaciones específicas
► Se pueden usar para encapsular tanto protocolos IP como no-IP.
► Apropiado para aplicaciones que se comunican utilizando difusión (broadcast), red de Windows y juegos de área local (LAN).
► Son bastante más difíciles de configurar.
OpenVPN
Esquema OPENVPN con cifrado asimétrico
Esquema OPENVPN con cifrado asimétrico
TINC
http://tinc-vpn.org/
TINC
• Mesh VPN: Sistema distribuido
• No hay un servidor central
• Sólo es necesario configurar puntos de entrada que actúan como nodos maestros
• Usa TCP y UDP:
• Aplicaciones específicas► TCP: Intercambio de metadatos
► UDP: Intercambio de datos
TINC
• TINC Intenta salvar las siguientes barreras:► Equipos detrás de NAT:
● Usa STUN si es posible
● Si no puede hace relay
► Nodos maestros caídos
► Limitación de conexión: puede hacer túneles sobre HTTP, HTTPS, ICMP y DNS.
TINCConexión de nodos
Red pública
NATNAT
NAT
NAT
M MMetadatos
Met
adat
os
Meta
dato
s
Met
ad
atos
Meta
dato
s
TINCTransferencia de datos
Red pública
NATNAT
NAT
NAT
M MMetadatos
Met
adat
os
Meta
dato
s
Met
ad
atos
Meta
dato
s
Túnel directo
Túnel
dir
ecto
TINCTransferencia de datos
Red pública
NATNAT
NAT
NAT
M MMetadatos
Met
adat
os
Meta
dato
s
Met
ad
atos
Meta
dato
s
Túnel directo
Túnel
dir
ecto
Túne
l con
rel
ay
TINCAutenticación
• Cada nodo:► Indica quien és
► Y quien está permitido a conectarse a él (nodo maestro)
• Método:► Certificados digitales X.509
► Claves PGP
1
VPN / OPENVPN
Tecnologías Avanzadas de la Información
v.16.7Haga clic para agregar notas
2
Bibliografía
• Markus Feilner, OpenVPN Building and Integrating Virtual Private Networks. Packt Publishing. ISBN 1-904811-85-X
• Stephen A. Thomas, SSL and TLS Essentials, Wiley, ISBN 0-471-38354-6
3
Índice
• Introducción y conceptos básicos
• Túneles y VPN en diferentes capas
• Privacidad y criptografía
• Certificados digitales
• OpenVPN
• TINC
Introducción
• Objetivo: Interconexión segura de equipos► Solución 1: Líneas dedicadas
► Solución 2: Uso de red pública con cifrado
• Definición: VPN, Red de datos privada sobre red pública► Virtual
► Private
► Network
4
Introducción
• Virtual: No es una línea dedicada, opera sobre una conexión ya existente
• Privada: Aunque los datos se transmiten por canales compartidos/públicos, serán visibles/capturables pero no se deben poder descifrar
• Network: Se debe comportar de forma transparente para los equipos de red independiente de su ubicación
Introducción
•Requisitos VPN:► Privacidad: Sólo los equipos autorizados
están conectados.
► Integridad: La información intercambiada no puede ser alterada.
► Disponibilidad: La conexión debe estar disponible cuando se necesite.
6
Introducción
• Escenarios de uso:
► Interconexión de varias localizaciones remotas usando una red pública
► Conexión de equipos remotos a red interna
► Conexión de proveedores
• Se dispone de una red IP propia distribuida geográficamente
7
Conceptos básicos
• Privacidad = Criptografía: Se consigue cifrando el tráfico
• Criptografía: disciplina amplia (investigación, desarrollo, etc.) con fuerte componente matemático
• Criptografía en T.A.I:► Clave simétrica
► Clave asimétrica
► Certificados digitales
La criptografía en esta asignatura la reducimos a su uso a nivel práctico, ya hay otras asignaturas que la estudian en profundidad.
Posteriormente se detallan estos conceptos criptográficos básicos
8
Túneles
• Túnel: Canal de comunicación usado encapsulando un protocolo en otro.
► Los datos se pueden cifrar antes de enviarse por un túnel.
► El paquete original de red se encapsula dentro de un nuevo paquete, pero cifrado.
► El paquete que se envía sólo tiene «visible» el destino y el origen del mismo
Se realiza transportando un protocolo dentro de otro
9
Túneles
• Encapsulación: Consistente en empaquetar una trama como datos en otra una trama de nivel superior.
• Ejemplos:► PPPoE / PPPoA: ADSL
► MLPS: Relacionada con QoS (próximo tema)
► Etc.
• Desventaja: La envoltura produce sobrecarga en el tráfico (50% en muchas implementaciones)
Túneles
Datos
Cabecera
Datos
Cabecera
Datos
Cabecera
InformaciónAdicionalDel túnel
PA
QU
ET
E
OR
IGIN
AL
PA
QU
ET
E
EN
VIA
DO
Ejemplo Para enviar 1MByte por el túnel se envían 1.5MBytesDepende del software VPN que se utilice
11
Túneles
• Nos centraremos en túneles IP
• Existen estándares para implementación de túneles:► IPIP: IP in IP [RFC 1853]
► GRE: General Routing Encapsulation: Desarrollado por Cisco y estandarizado [RFC 1701]
• Un túnel puede ser hecho en diferentes capas del modelo OSI► Curiosidad IPoAC [RFC2549] (redes MAN)
IPIP: Es muy simple …GRE: Va más allá y generaliza IPIP. Además de RFC 1701 está en RFC 2784 y actualizado en 2890, pero no merece la pena tanto detalle…
• Es prácticamente IPIP pero más general, añade campos que son opcionales y no es solo para IP
• Definido en 1994 en RFCs 1701 y 1702• No es una implementación de un protocolo solo define como encapsular
• Fue desarrollado por Cisco
Acceder al enlace RFC y ver la cabecera del paquete, ver como GRE tienen campos opcionales que IPIP no posee (los documentos son muy pequeños se pueden mostrar en clase)
Sobre GRE se debe contar algo más: Corresponde a un protocolo IP (número 47), se puede buscar en la red números de protocolos IP
IPIP es el 94
http://www.iana.org/assignments/protocolnumbers/protocolnumbers.xhtml
12
VPN en OSI capa 2
• Encapsular en la capa 2 permite transferir protocolos no-IP dentro protocolo IP.
• Tecnologías VPN en la capa 2:► Point to Point (PPTP)
► Layer 2 Forwarding (L2F)
► Layer 2 Tunneling Protocol (L2TP)
► Layer 2 Security Protocol (L2Sec)
• The Point to Point Tunneling Protocol (PPTP), which was developed with the help of Microsoft, is an expansion of the PPP and is integrated in all newer Microsoft Operating Systems. PPTP uses GRE for encapsulation and can tunnel IP, IPX, and other packages over the Internet. The main disadvantage is the restriction that there can only be one tunnel at a time between communication partners.
• The Layer 2 Forwarding (L2F) was developed almost at the same time by companies like Cisco and others and offers more possibilities than PPTP, especially regarding tunneling of network frames and multiple simultaneous tunnels.
• The Layer 2 Tunneling Protocol (L2TP) is accepted as an industry standard and is being used widely by Cisco and other manufacturers. Its success is based on the fact that it combines the advantages of L2F and PPTP without suffering from their disadvantages. Even though it provides no own security mechanisms, it can be combined with technologies offering such mechanisms like IPsec (see the section Protocols Implemented on OSI Layer 3).
● The Layer 2 Security Protocol (L2Sec) was developed to provide a solution to the security flaws of IPsec. Even though its overhead is rather big, the security mechanisms used are secure, because mainly SSL/TLS is used.
13
VPN en OSI capa 2PPTP
• PPTP: Protocolo de túnel punto a punto (PPTP)
► Protocolo diseñado y desarrollado por 3Com, Microsoft Corporation, Ascend Communications y ECI Telematics, y definido en IETF [RFC 2637]
► Se emplea en acceso virtual seguro de usuarios remotos a red privada
► Emplea mecanismo de túneles para envío de datos desde cliente a servidor
► Es una expansión de PPP, encapsula las tramas del PPP en datagramas del IP
► Usa GRE para encapsular
► Desventaja: sólo se permite un túnel simultáneamente
► Vulnerabilidades: No se recomienda su uso bajo ciertas condiciones [Microsoft Security Advisory – 2743314]
El PPTP es un protocolo de Nivel 2 que encapsula las tramas del PPP en datagramas de IP para transmisión sobre una red IP, como la de Internet. También se puede utilizar en una red privada de LAN a LAN.
La vulnerabilidad Microsoft Security Advisory – 2743314 está en MSCHAP que es muy antiguo (desde NT 4.0)
14
VPN en OSI capa 2PPTP
• PPTP:► El servidor posee una IP real
► El servidor es un puente para los clientes remotos
Oficina
RED
PÚBLICA
El servidor ofrece IPS de la red a la que está conectado el servidor, por ejemplo:
La oficina tiene la red 192.168.1.0/24, debe tener IPS disponibles y el servidor las usa por ejemplo 192.168.1.200220, pero utiliza 2 IPS para crear cada túnel, si un cliente se conecta:
• El servidor usa la IP 192.168.1.200 y al cliente le ofrece la 192.168.1.201.
• Por tanto con las 20 ips solo admitimos 10 clientes.
No tengo claro si se pueden compartir, pero he visto en el servidor linux pptd que se puede hacer cosas extrañas, hay que comprobarlo
15
VPN en OSI capa 2PPTP
• Trama PPTP:► Incluye una trama PPP encapsulada en un paquete IP
usando GRE
► GRE se define en la cabecera IP (protocolo 47)
Trama PPPCabecera
IPCabecera
PPPTrama IP
Trama PPTP
CabeceraGRE
En la cabecera IP del paquete aparece en el campo protocolo el número 47=GRE. Entonces ya se sabe que viene una cabecera GRE.
La trama encapsulada en PPP puede ser otro protocolo como IP, IPX etc.
EL candado esta mal puesto, GRE tiene flag de cifrado, se cifra la trama PPP (incluyendo cabecera)
The GRE packet header[1] has the following format:
0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ |C| Reserved0 | Ver | Protocol Type | +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | Checksum (optional) | Reserved1 (Optional) | +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
The proposed GRE header will have the following format:
0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ |C| |K|S| Reserved0 | Ver | Protocol Type | +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | Checksum (optional) | Reserved1 (Optional) | +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | Key (optional) | +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | Sequence Number (Optional) | +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
16
VPN en OSI capa 2PPTP
• PPP: Protocolo punto a punto [RFC 1661]► Capaz de transportar múltiples protocolos
► Usado para conectar con ISP mediante una línea telefónica (modem) o RDSI
► Versiones para banda ancha (PPPoE y PPPoA)
► Establecer, mantener y finalizar conexión pto-pto
► Mecanismos de autenticación de usuarios: PAP y CHAP
► Crear tramas cifradas
PPP Es complejo … comentar que se negocian tanto los protocolos, como la configuración de estos, tras establecer la conexión.
17
VPN en OSI capa 2PPTP
• Autenticación PPTP, emplea los mismos mecanismos que PPP:► PAP (Password Authentication Protocol)
● Muy simple: envío de nombre y contraseña en claro
► CHAP (Challenge Handshake Authentication Protocol)● Mecanismo desafío-respuesta
● Cliente genera una huella a partir del desafío recibido (MD5)
● Clave secreta compartida
● Envíos de varios desafíos para revalidar identidad
Protocolo PAP (Password Authentication Protocol):
• PAP utiliza un protocolo de reconocimiento de dos vías que ofrece al sistema igual un sencillo método de establecer su identidad. El reconocimiento se realiza al establecer un enlace. Después de establecer el enlace, el dispositivo remoto envía el ID de usuario y la contraseña al sistema de autenticación. Dependiendo de si los valores son correctos o no, el sistema de autenticación continúa o finaliza la conexión.
• Con PAP el ID de usuario y la contraseña nunca se cifran, lo que permite capturarlos si se rastrean. Esta es la razón por la que debe utilizarse CHAP siempre que sea posible.
Protocolo CHAP (Challenge Handshake Authentication Protocol):
• CHAP utiliza un algoritmo (MD5) para calcular un valor que sólo conocen el sistema de autenticación y el dispositivo remoto. Con CHAP, el ID de usuario y la contraseña siempre se envían cifrados, lo que lo convierte en un protocolo más seguro que PAP. Este protocolo es efectivo contra los intentos de acceder reproduciendo el establecimiento de conexión o mediante ensayo y error. La autenticación CHAP puede realizar más de una petición de identificación durante una misma conexión.
• El sistema de autenticación envía una petición de identificación al dispositivo remoto que intenta conectarse a la red. El dispositivo remoto responde enviando un valor calculado mediante un algoritmo (MD5) que conocen ambos dispositivos. El sistema de autenticación compara la respuesta con la que ha calculado él. Se reconoce la autenticidad si los valores coinciden; en caso contrario, se finaliza la conexión.
18
VPN en OSI Capa 2
• Características de estas tecnologías:► Disponen de métodos de autenticación
► Disponen de NAT
► Asignación de IP dinámica en los extremos del túnel
► Soporte para PKI (Public Key Infrastructures)
Infraestructura de clave pública (o, en inglés, PKI, Public Key Infrastructure) es una combinación de hardware y software, políticas y procedimientos de seguridad que permiten la ejecución con garantías de operaciones criptográficas como el cifrado, la firma digital o el no repudio de transacciones electrónicas.
El término PKI se utiliza para referirse tanto a la autoridad de certificación y al resto de componentes
¿Esta diapositiva ponerla antes de PPTP?
19
VPN en OSI Capa 2Layer 2 Forwarding (L2F)
• Layer 2 Forwarding (L2F) desarrollado por varias compañías como Cisco [RFC2341]
• Ofrece más posibilidades que PPTP:
► No depende del protocolo IP puede trabajar sobre otros como ATM
► Los túneles pueden tener mas de una conexión
20
VPN en OSI Capa 2L2PT
Layer 2 Tunneling Protocol (L2TP): aprobado por IETF ante el protocolo propietario de Microsoft PPTP.
Aceptado como estándar y ampliamente usado por todos los fabricantes.
Combina ventajas de L2F y PPTP eliminando las desventajas de PPTP
No proporciona mecanismos propios de autenticación se pueden usar: CHAP, EAP
PPTP COMPARADO CON L2TP
Tanto el PPTP como L2TP utilizan el PPP para proporcionar una envoltura inicial de los datos, y luego incluir encabezados adicionales a fin de transportarlos a través de la red. Aunque ambos protocolos son muy similares, existen diferencias entre ellos:
• PPTP requiere que la red sea de tipo IP, y L2TP requiere sólo que los medios del túnel proporcionen una conectividad de punto a punto orientada a paquetes. Se puede utilizar L2TP sobre IP (utilizando UDP), circuitos virtuales permanentes (PVC), circuitos virtuales X25 (VC) o VC ATM.
• PPTP sólo puede soportar un túnel único entre puntos terminales, y el L2TP permite el uso de varios túneles entre puntos terminales. Con el L2TP es posible crear diferentes túneles para diferentes calidades de servicio.
• L2TP proporciona la compresión de encabezados. Cuando se activa la compresión de encabezado, L2TP opera sólo con 4 bytes adicionales, comparado con los 6 bytes para PPTP.
• L2TP proporciona la autenticación de túnel, no así PPTP. Sin embargo, cuando se utiliza cualquiera de los protocolos sobre IPSec, se proporciona la autenticación de túnel por el IPSec, de manera que no sea necesaria la autenticación del túnel Nivel 2.
21
VPN en OSI Capa 3
IPsec: Una de las tecnologías más usadas Estandarizado por IETF (1995) No es un simple protocolo Es un conjunto de protocolos y estándares Protocolo IP 50 y 51
IPsec funciona principalmente en modo túnel o en modo transporte
Desventajas IPsec: Muy complejo Existen muchas implementaciones diferentes No se pueden encapsular protocolos de bajo nivel
[Ampliar información sobre IPSEC a partir de http://www.ipsechowto.org/spanish/x161.html]
La UPM tiene una buena página con dokuwiki sobre IPSeC, http://laurel.datsi.fi.upm.es/proyectos/teldatsi/teldatsi/protocolos_de_comunicaciones/protocolo_ipsec
Objetivos IPSEC
• Cifrar el tráfico (de forma que no pueda ser leído por nadie más que las partes a las que está dirigido)
• Validación de integridad (asegurar que el tráfico no ha sido modificado a lo largo de su trayecto)
• Autenticar a los extremos (asegurar que el tráfico proviene de un extremo de confianza)
• Antirepetición (proteger contra la repetición de la sesión segura).
IPSec: Internet Engineering Task Force (IETF)
• Tunnel Mode: The tunnel mode works like the examples listed above; the whole IP packets are encapsulated in a new packet and sent to the other tunnel endpoint, where the VPN software unpacks them and forwards them to the recipient. In this way the IP addresses of sender and recipient, and all other metadata are protected as well.
• Transport Mode: In transport mode, only the payload of the data section is encrypted and encapsulated. By doing so, the overhead is significantly smaller than in tunnel mode, but an attacker can easily read the metadata and find out who is communicating with whom. However, the data is encrypted and therefore protected, which makes IPsec a real "private" VPN solution.
22
VPN en OSI Capa 3
Cabecera IP
Cabecera IPSec
Datos cifrados
Trama IP
DatosCabecera
IP
Trama IP
DatosCabecera
IP
Trama IPRouter con IPsec
Router con IPsec
En este ejemplo está trabajando en modo túnel ¿Cómo sería en modo transporte?
El datagrama Ipsec tiene una cabecera IP normal, por Internet se trata como una trama IP pero en los datos tiene constan de una cabecera Ipsec y los datos reales cifrados. Los routers queanalizan las tramas recibidas y detectan que tramas IP contienen cabeceras Ipsec.
IpSec no tiene que estar en el router, también un equipo en su implementación de protocolo TCP lo puede soportar.
23
VPN en OSI Capa 3
Open VPN: Es una solución basada en SSL/TLS Implementa conexiones en la capa 2 o capa 3 Se estudiará posteriormente y se utilizará en el
laboratorio TINC
VPN Distribuida frente a OpenVPN
Utiliza cifrado asimétrico y simétrico simultaneamente
VPN en OSI Capa 4
Es posible establecer un túnel VPN en el nivel de aplicación: SSL y TLS
Ventajas: Solución simple para el usuario, la conexión
comienza entrando con el navegador en una página web segura https://...
Ejemplo: TINC sobre HTTP o HTTPS o DNS
25
Privacidad en VPN
Privacidad
• Privacidad: Una VPN sin seguridad no es privada
• La privacidad en VPN se consigue mediante técnicas criptográficas
• Utilizaremos técnicas criptográficas ampliamente utilizadas y estudiadas:► Clave simétrica
► Clave asimétrica
27
PrivacidadCifrado simétrico
Cifrado simétrico: Emisor y receptor utilizan la misma clave. Ambos se ponen de acuerdo en la clave usada. En caso de N ordenadores en una VPN todos
tienen la misma clave. Desventajas:
Si un equipo está comprometido se tiene acceso a todas la comunicaciones VPN.
Las claves precompartidas se pueden atacar por fuerza bruta (ejemplo claves WEP).
PrivacidadCifrado simétrico
Algoritmos de clave simétrica: DES, IDEA, AES, RC5, Blowfish, etc… Aunque se conozca el mensaje original enviado y
el cifrado, obtener la clave debe ser costoso La fortaleza depende de la complejidad del
algoritmo y de la longitud de la clave Ventaja: Gran velocidad de ejecución
Hacer ejemplo de cifrado blowfish en linux
29
PrivacidadCifrado simétrico
Soluciones: IPSec cambia la clave cada cierto periodo de tiempo
(tiempo de vida) El tiempo de vida debe ser menor que el tiempo
requerido/estimado para descifrar la clave Se requiere un método de intercambio de claves
seguro: Complejo Eslabón débil Ejemplo: Algoritmo Diffie-Hellman
Algoritmo DiffieHellman: Proporciona intercambio seguro de clavesDiffieHellman: La dificultad de computar logaritmos discretos hace que el algoritmo sea efectivo.
30
PrivacidadCifrado simétrico
• Esquema de autenticación en VPN clásicas en tres pasos
• Se negocian parámetros entre cliente y servidor:► Algoritmos de cifrado
► Compresión
► Dirección IP
► …
PrivacidadCifrado asimétrico
Cifrado asimétrico: Basada en clave pública y privada Cada parte tiene dos claves
Algoritmos: RSA, DSA, ElGamal, Diffie-Hellmanm Basado en números primos y el problema de la
factorización
Mirar en Internet como curiosidad «Competición de factorización RSA» aunque fue cancelado en 2007
ElGamal se utiliza en PGP, contar un poco que es PGP y ver los servidores de claves: www.openpgp.net y gung.
GPG es de GNU y es una implementación de OpenPGP, Probar obtener mi clave pública desde rediris
PKI distribuida y anillo de confianza OTRO AÑO > ejemplo de anillo de confianza de debian http://www.debian.org/events/keysigningPKI con CA
Obtener la clave desde https://pgp.mit.edu/
32
PrivacidadCifrado asimétrico
Ventaja: No hay problemas de distribución de claves, sólo se intercambian las públicas
Inconveniente: Algoritmos lentos y costosos Para asegurar el intercambio de claves
aparecen las autoridades de certificación (CA) y certificados digitales.
Aquí surge la firma electrónica
33
Certificados digitales
Objetivo: Asegurar la identidad de las partes cliente y servidor
Firma electrónica: Se aplica una clave secreta al contenido Asegura que el documento no sufre cambios Esta firma puede ser comprobada por cualquier
persona que disponga de la clave pública del autor.
El usuario debe demostrar quien es y que tiene derecho de accesoEl servidor debe demostrar que es realmente y no ha sido falsificado
34
Certificados digitalesFirma electrónica
La firma digital no es mas que aplicar un cifrado al mensaje con una clave privada, al estar la clave pública disponible cualquiera puede descifrar el mensaje.
Esta técnica tiene inconvenientes: El mensaje firmado no es legible mientras no se descifre con la clave publica
La solución aplicada para mantener el mensaje legible es:● Calcular una huella del original (SHA1 recomendado)● Se cifra con la clave privada el HASH, con la clave pública que
comprueba la firma
Ya no se debe utilizad MD5 al ser vulnerable., Mostrar un certificado con openssl x509 in ArtyCA.crt noout text
35
Certificados digitales
Certificado digital: Archivo firmado con la clave privada de una autoridad de certificación
Autoridad de certificación: Evita la suplantación, con su firma
certifica que alguien es quien dice ser
Ambas partes confían en la autoridad. Todos conocen la clave pública de la
autoridad
Autoridad certificadora
Autoridad certificadora
ServicioServicioUsuarioUsuario
36
Certificados digitales
• Autoridades de certificación:► Emiten y revocan certificados.
► Forman una Jerarquía .
► La raíz es un certificado autofirmado.
► CRL: Listado de revocación de certificados gestionado por la CA.
► Cada país tiene una lista de CA.
► Ejemplos: VeriSign, FNMT, CAcert.
37
Certificados digitales
Ordenamiento jurídico: Ley 59/2003 firma electrónica, certificado
electrónico, DNI-e, etc. Elimina barreras legales de la firma electrónica Potencia del desarrollo de Internet
Conceptos regulados: Firma electrónica Certificado digital Autoridad de certificación DNI-e
• Firma electrónica: Se utiliza una clave secreta al documento, asegura que el documento no sufre cambios
• Esta firma puede ser comprobada por cualquier persona que disponga de la clave pública del autor.
38
Certificados digitales
Existen diversos formatos, X.509 muy utilizado
Además de la clave pública y firma de la CA contienen muchos campos adicionales
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
Certificado X.509 codificado PEM
Campos comunes:• Nombre, dirección y domicilio del suscriptor.• Identificación del suscriptor nombrado en el certificado.• El nombre, la dirección y el lugar donde realiza actividades la
entidad de certificación.• La clave pública del usuario.• La metodología para verificar la firma digital del suscriptor
impuesta en el mensaje de datos.• El número de serie del certificado.• Fecha de emisión y expiración del certificado.
Los certificados PEM en Base64: objetivo caracteres imprimibles > MIME usado en los correos
Se puede ver con openssl x509 in artyvpn.crt noout –text
x.509 define la estructura de los certificados pero no como deben almacenarse en un fichero
39
OPENVPN
http://openvpn.net
OpenVPN
Es una solución basada en SSL/TLS Implementa conexiones en la capa 2 o capa
3 Ventajas: Despliegue rápido e infraestructura
simple, bajo coste. Desventajas: Existen pocas soluciones
hardware
SSL/TLS
SSL: Secure Sockets Layer TLS: no es más que una nueva versión de
SSL Es un protocolo para dar seguridad a la capa
de transporte Fácil de utilizar a nivel de programación (API) StartTLS: Utilizado para iniciar comunicación
segura a partir de una comunicación plana de texto inicial
De hecho hay menos cambios de SSL 3.0 a TLS 1.0 que de SSL 2.0 a SSL 3.0
42
SSL/TLS
SSL 3: Protocolo con 18 años de antigüedad Buscar «POODLE Vulnerability» (sept. 2014) Se recomienda eliminar el soporte SSL v3 de
todos las aplicaciones/sistemas
De hecho hay menos cambios de SSL 3.0 a TLS 1.0 que de SSL 2.0 a SSL 3.0
43
OpenVPN
Requisitos: TUN/TAP drivers OpenSSL LZO: Compresión en tiempo real
Soportado: Linux Mac Windows Android
OpenVPN
Modos de funcionamiento: Sobre TCP Sobre UDP Soporte para proxy
Tipo de seguridad: Clave simétrica (no recomendado) Clave asimétrica (RSA)
Tipos de túneles Túnel IP Puente ethernet
45
OpenVPN
Túnel IP: Uso habitual Usado para tráfico IP punto-a-punto sin broadcast Bastante más eficiente que un puente ethernet Más fácil de configurar
46
OpenVPN
• Puente ethernet: ► Aplicaciones específicas
► Se pueden usar para encapsular tanto protocolos IP como no-IP.
► Apropiado para aplicaciones que se comunican utilizando difusión (broadcast), red de Windows y juegos de área local (LAN).
► Son bastante más difíciles de configurar.
47
OpenVPN
Esquema OPENVPN con cifrado asimétrico
Esquema OPENVPN con cifrado asimétrico
Cada cliente cifra la comunicación son su par de claves con el servidorLos clientes puede comunicarse entre sí aunque no tengan las claves del resto de clientes, no necesitan conocerlasEn el tramo naranja de la comunicación se cifra con las claves de AC y el servidor descifra y cifrado nuevo con la clave publica de JC (tramo C)
Entrar en esta página y preguntar que es esto: http://openvpn.net/index.php/opensource/documentation/sig.html
48
TINC
http://tinc-vpn.org/
TINC
• Mesh VPN: Sistema distribuido
• No hay un servidor central
• Sólo es necesario configurar puntos de entrada que actúan como nodos maestros
• Usa TCP y UDP:
• Aplicaciones específicas► TCP: Intercambio de metadatos
► UDP: Intercambio de datos
TINC
• TINC Intenta salvar las siguientes barreras:► Equipos detrás de NAT:
● Usa STUN si es posible● Si no puede hace relay
► Nodos maestros caídos
► Limitación de conexión: puede hacer túneles sobre HTTP, HTTPS, ICMP y DNS.
TINCConexión de nodos
Red pública
NATNAT
NAT
NAT
M MMetadatos
Met
adat
os
Meta
dato
s
Met
adato
s
Meta
dat
os
TINCTransferencia de datos
Red pública
NATNAT
NAT
NAT
M MMetadatos
Met
adat
os
Meta
dato
s
Met
adato
s
Meta
dat
os
Túnel directo
Túnel
dir
ecto
TINCTransferencia de datos
Red pública
NATNAT
NAT
NAT
M MMetadatos
Met
adat
os
Meta
dato
s
Met
adato
s
Meta
dat
os
Túnel directo
Túnel
dir
ecto
Túne
l con
rel
ay
TINCAutenticación
• Cada nodo:► Indica quien és
► Y quien está permitido a conectarse a él (nodo maestro)
• Método:► Certificados digitales X.509
► Claves PGP
Related Documents
![KORUS업무포털사용자등록및로그인가이드 - Kangwon · II - 2 SSL VPN 계정신청(최초1회) - 서식참조 I. SSL VPN 접속 [ SSL VPN 사용자ID 신청리스트]](https://static.cupdf.com/doc/110x72/5f06912d7e708231d418a10a/koruseeeeeoeeeeoe-kangwon-ii-2-ssl-vpn-eoe1oe.jpg)
