VPN Ciclos Formación Cisco David Bayo dbayo@ingrammicro.es.

Presentación del tema: "VPN Ciclos Formación Cisco David Bayo dbayo@ingrammicro.es."— Transcripción de la presentación:

1 VPN Ciclos Formación Cisco David Bayo

2 Pregunta ¿Cómo hacer ahorrar costes a vuestros clientes, y que a la vez, contraten vuestros servicios adquiriendo nuevo equipamiento e ingeniería?

3 Respuesta Tecnología VPN

4 Agenda Introducción IPSec Encriptación Hashing / Firmas digitales IKE
Certificados digitales Familia VPN 3000 Preguntas

5 Multiservice WAN (Sonet, IP, ATM, Frame Relay)
Las redes del futuro Campus/WAN Backbone Campus LAN Mainframe ISDN PSTN Multiservice WAN (Sonet, IP, ATM, Frame Relay) International Sales Offices Suppliers Telecommuters Mobile Users Common Infrastructure Multi-Gigabit Ethernet VPN Storage Video Conferencing IP Telephony Enterprise Mobility Content Networking Security/VPN

6 Evolución de las redes Acceso telefónico RAS RAS Internet RAS
RDSI Analógico Acceso telefónico RAS RAS Internet Frame Relay RAS Cable Banda ancha DSL

7 Evolución de las redes Ahorro de costes $$ Servidor Internet Usuario
móvil Analógico RDSI Cable Ubicación remota Servidor Internet Ubicación remota Ahorro de costes $$

8 The SAFE Blueprint Management Building Distribution Core Edge Server
E-Commerce Corporate Internet VPN/Remote Access WAN ISP PSTN FR/ATM That’s`why we created the SAFE blueprint for Secure E-Business To show you how to build Security into Cisco AVVID networks The foundation of the SAFE blueprint is understanding the security threats and responses appropriate for each functional area in the network And figuring out how to meet these requirements with Performance, Scalability, and Resiliency The unique aspect of this blueprint is that it is Lab Tested and fully documented – with specific design and configuration guidelines for each element – including both Cisco products and those of our Security Partners in our Avvid Ecosystem.

9 Solución SAFE para el acceso remoto
ISP Edge Module ISP Broadband Access Device (optional) Broadband Access Device Broadband Access Device VPN Software Client w/ Personal Firewall Home Office Firewall w/VPN Hardware VPN Client Router w/ firewall & VPN Software Access Option Remote Site Firewall Option Hardware VPN Client Option Remote Site Router Option

10 Escenario Internet VPN Extranet Usuarios móviles POP Central Site
Business Partner Central Site Usuarios móviles POP Internet VPN DSL Cable Teletrabajadores Site-to-Site Oficina remota

11 Túneles

12 Agenda IPSec

13 ¿Qué es IPSec? Es un conjuto de protocolos de seguridad que proveen:
Privacidad (Encriptación) Integridad (Hash) Autenticidad (Certificados digitales) durante la transferencia de datos en las redes IP.

14 ¿Por qué necesitamos IPSec?
Pérdida de privacidad.

15 ¿Por qué necesitamos IPSec?
Pérdida de integridad

16 ¿Por qué necesitamos IPSec?
Robo de identidad

17 Implementación en niveles
Network-Layer (IPSec) Application-Layer (SSL, PGP, S-HTTP) Link-Layer Encryption Application Layers (5-7) Transport/ Network Layers (3-4) Link/Physical Layers (1-2) En el nivel de link, los datos deben ser encriptados por todos los dispositivos por los que pasa.

18 Separación de tráfico A B
El tráfico IPSec es tratado por los routers como tráfico IP normal. Para enrutar este tráfico, podemos usar routers tradicionales. Los routers A y B encriptan los datos entre Joe y el servidor HR, dejando el resto de tráfico igual. A B

19 ¿De qué se compone IPSec?
Encriptación Autenticación Modos Privacidad Verificación intercambio Transporte DES Data Encryption Standard 3DES Triple Data Encryption Standard AES Advanded Encryption Standard IKE Internet Key Exchange RSA / DSS Rivest, Shamir, Adelman / Digital Signature Standard X.509v3 Digital Certificates MD5 / SHA Message Digest 5 / Secure Hash Algorithm AH / ESP Authentication Header / Encapsulating Security Payload Tunnel / Transport Network to Network / Host to Host

20 Agenda Encriptación

21 ¿De qué protege la encriptación?
Pérdida de privacidad m-y-p-a-s-s-w-o-r-d d-a-n Bob Alice Robo de datos Corporate Business Plan: Expand into Mallet’s core area La encriptación protege a los datos que se transmiten por redes de datos públicas o redes “no seguras”.

22 Claves simétricas La misma clave sirve para el proceso de encriptación y de desencriptación Encriptación Desencriptacion KEY (A) Bloqueado KEY (A) Desbloqueado

23 Claves asimétricas La clave usada para el proceso de encriptación es diferente a la usada en el proceso de desencriptación. La consecución de estas claves se explica en IKE. Encriptación Desencriptacion KEY (A) Bloqueado KEY (B) Desbloqueado

24 Data Encryption Standard
¿Qué es DES / 3DES? Data Encryption Standard DES Es el algoritmo de encriptación. Usa claves de 56 bits para encriptar los datagramas. 3DES Es el algoritmo DES aplicado 3 veces El resultado de ejecutar 3 veces DES, ofrece claves de 168 bits.

25 Vulnerabilidad de DES / 3DES
Se puede “romper” una clave DES en tiempo real. Para “romper” una clave 3DES en cuestión de semanas.

26 AES Para solventar la falta de fiabilidad de DES, se desarrolló AES (Advanded Encryption Standard) Permite definir claves de 128 (defecto), 192 o 256 bits. Soportado a partir de la release 12.2(13) de IOS.

27 Hashing / Firmas digitales
Agenda Hashing / Firmas digitales

28 ¿De qué protegen las firmas y hash?
Robo de identidad I’m Bob. Send Me all Corporate Correspondence with Cisco. Bob Alice Pérdida de integridad Bank Customer Deposit $1000 Deposit $ 100 Hashes y firmas garatizan la identidad de los extremos y la integridad del mensaje durante su viaje por la red pública.

29 ¿Qué es Hash? El “texto plano” es transformado en texto hash mediante una función (función de hash), y sin la que el texto no puede ser reconstruido. Esto garantiza que el mensaje que se ha enviado es el que se recibe. Función de Hash Message Hash Text plano Texto Hash

30 Algoritmos de Hash MD5 (Message Digest V5): Es el algoritmo más “viejo”, pero más soportado por los fabricantes. SHA (Secure Hash Algorithm): Más nuevo y seguro que MD5. HMAC (Hash-based Message Authentication Code): Mecanismo que junto al algoritmo de hash permite comprobar la integridad. IPSec usa HMAC-MD5 y HMAC-SHA.

31 Generación de firmas HMAC
Message Copy Hash Function Encrypted Key PRI Copia del Message Algoritmo de Hash (MD5, SHA) Salida de Hash Mensaje Hash con la clave privada HMAC garantiza la autenticidad de hash. HMAC usa claves asimétricas: La clave privada encripta Hash La clave pública desencripta hash.

32 Algoritmos de generación de firmas
RSA (Rivest, Shamir, Adelman) Es el más extendido y popular. DSA (Digital Signature Algorithm) La validación de la firma es más lenta que RSA con claves de 512 o 1024 bits.

33 Agenda IKE

34 ¿Cuál es el propósito de IKE?
Usando pares de claves públicas y privadas , IKE crea una sesión con datos encriptados usando el algoritmo de Diffie-Hellman. IKE negocia los parámetros IPSec que van a ser usados (SA: Security Association) sobre la sesión creada. Key PRI PUB SSN ¿Quieres usar? : DES Encryption, MD5 hash, and RSA Signatures? No, prefiero usar: 3DES Encryption, SHA Hash with RSA Signatures. 1 2 SECRET SHARED

35 SA (Security Association)
SA es el conjunto de protocolos usados en IPSec comunes entre dos dispositivos, y que van a ser usados en la creación del túnel. TS (Transformation Set): es una lista preconfigurada de protocolos IPSec que van a ser soportadas por los dispositivos. IKE SA Negotiation IPSec Protocols Used: DES 3DES SHA MD5 DSS Transform Sets: DES, HMAC-MD5, DSS 3DES, HMAC-SHA, DSS RSA DES, HMAC-SHA, RSA Common Transform Set = SA

36 ¿Cómo usa IPSec a IKE? 1. Paquete de salida desde Alice a Bob. No SA
Alice’s Laptop Bob’s Laptop 1. Paquete de salida desde Alice a Bob. No SA 2. El ISAKMP de Alice Negocia con Bob 3. Acabada la negociación, Alice y Bob tienen completas las SA ISAKMP IPSec Alice Bob 4. El paquete se manda desde Alice a Bob protegido por el SA de IPSec ISAKMP Tunnel

37 Uso de las claves Cada dispositivo tiene 3 claves:
DES Pri Pub WAN Cada dispositivo tiene 3 claves: Clave privada: se mantiene en secreto y nunca se comparte. Se usa para firmar los mensajes. Clave pública: se usa para verificar la firma. Shared secret: es la usada para encriptar los datos usando algoritmos como DES....

38 Algoritmo de Diffie-Hellman
Valor Privado, XA Valor Público, YA Mensaje, m Valor Privado, XB Valor Público, YB (shared secret) Alice Bob YB mod p = m mod p = YA mod p XB XA XB YA YB YB = m mod p YA = m mod p XA

39 ¿Cómo se inician las sesiones?
IKE IPSec Datos 1.- Establecer una IKE SA: “Main mode”. 2.- Establecer una IPSec SA: “Quick Mode”. 3.- Enviar los datos protegidos.

40 Creación de una IKE SA Se negocian los parámetros IKE
DES MD5 RSA Sig DH1 SHA Pre-shared YB YA Home-gw Pent-gw Se negocian los parámetros IKE Se intercambian claves públicas Se intercambian certificados Se intercambia la información para la autenticacíon

41 Creación de una IPSec SA
IKE SA DES MD5 DH1 SHA YA YB Datos Requiere una IKE SA creada Se negocian los parámetros IPSec Se transmiten las claves públicas

42 Certificados digitales
Agenda Certificados digitales

43 ¿Qué es un Certificado Digital?
Es un documento digital que autentifica a un extremo de la conexión y provee de la clave de encriptación pública. X.509v3 Estos certificados son emitidos por entidades seguras, como Verisign (

44 Proceso de alta de un certificado
1.- El candidato se registra su identidad en CA (Certificate Authority) 2.- CA genera y firma el certificado con una CA Public Key 3.- CA envía por mail la URL para que recoja el certificado 4.- El candidato se baja el certificado y la CA Public Key Internet Distribución del certificado CA Candidato Certificate/CRL Database

45 Proceso de validación 2 1 Internet CA Alice Bob LDAP Certificate/CRL
Certificado de Alice Alice Bob Certificado de Bob Certificate/CRL Database CA LDAP Chequea en la base de datos el certificado de Joe CA Public Key Key PUB Verifica el certificado de Bob con la CA Public Key 2 1

46 Agenda Familia VPN 3000

47 Cisco ofrece el conjunto más amplio de soluciones VPN
Gama de producto ACCESO REMOTO UBICACIÓN A UBICACIÓN BASADO EN FIREWALL MEDIANA EMPRESA Concentrador 3030 Routers 7100, 3600, 3700 PIX 515E PEQUEÑA EMPRESA Concentrador 3005, 3015 Routers 3600, PIX 506E, 515E Cliente VPN Cliente hardware 3002 MERCADO SOHO PIX 501 Cisco ofrece el conjunto más amplio de soluciones VPN GRAN EMPRESA Concentrador 3060, 3080 Routers 7100, 7200 PIX 525, 535 Router 800

48 Serie de concentradores Cisco VPN 3000
Gestión basada en HTML/HTTPS

49 Serie 3000

50 Cliente Cisco VPN Windows 9x, Me, XP, NT4.0 & Linux, Solaris y MAC OS X. Interfaz personalizable Administración centralizada de directivas Firewall personal integrado (dinámico)

51 VPN 3000 Client Secuencia de conexión
Llamada al ISP (Conexión a Internet) Se inicia el cliente VPN (se introduce password) ¡¡ Ya tenemos una conexión segura vía VPN !!

52 Clientes Cisco VPN 3000 Internet Cliente Cisco VPN 3002 Módem Cable
DSL Usuario individual Oficina en casa Pequeña oficina Internet Cisco VPN 30xx

53 Cliente de hardware Cisco VPN 3002
Frontal Switch Básico Unidad 3002 con switch 10/100 de 8 puertos 3002 incluye un Cliente/Servidor DHCP: Servidor DHCP 3002 para un máximo de 253 estaciones. Solo empieza túneles a la familia 3000 Configuración rápida a través de Web o puerto de consola

54 ¿Cómo identificar productos “seguros”?
El software de los routers tiene una nomenclatura como: CD26-AL = Cisco 2600 Enterprise Plus IPSEC 56 Feature Pack CD26-AHK = Cisco 2600 Enterprise/FW Plus IPSEC 3DES Feature Pack CD17-CHK = Cisco 1700 IP/FW PLUS IPSEC 3DES ADSL Feature Pack CD17-CHL = Cisco 1700 IP/FW PLUS IPSEC 56 ADSL Feature Pack Terminaciones de los Part Numbers: K8: equipos equipados con DES K9: equipos equipados con 3DES PIX BUN-K9 PIX DES Bundle (Chassis, SW, 50 Users, 3DES) PIX BUN-K8 PIX DES Bundle (Chassis, SW, 50 Users, DES)

55 Preguntas.....

56 División de networking:
Próximas formaciones División de networking: Valor añadido de los switches Formación básica de configuración de routers Cisco: Febrero/Marzo 2003 División de hardware: Marzo 2003

57 Soporte preventa networking

58 Soporte preventa servidores

59 ¡¡ MUCHAS GRACIAS !!