La descarga está en progreso. Por favor, espere

La descarga está en progreso. Por favor, espere

David Bayo VPN Ciclos Formación Cisco.

Presentaciones similares


Presentación del tema: "David Bayo VPN Ciclos Formación Cisco."— Transcripción de la presentación:

1 David Bayo VPN Ciclos Formación Cisco

2 ¿Cómo hacer ahorrar costes a vuestros clientes, y que a la vez, contraten vuestros servicios adquiriendo nuevo equipamiento e ingeniería?Pregunta

3 Tecnología VPN

4 Agenda Introducción IPSec Encriptación Hashing / Firmas digitales IKE Certificados digitales Familia VPN 3000 Preguntas

5 Las redes del futuro Campus/WAN Backbone Campus LAN Mainframe ISDN PSTN Multiservice WAN (Sonet, IP, ATM, Frame Relay) International Sales Offices Suppliers Telecommuters Mobile Users Common Infrastructure Common Infrastructure Multi-Gigabit Ethernet Multi-Gigabit Ethernet VPN Storage Video Conferencing Video Conferencing IP Telephony Enterprise Mobility Enterprise Mobility Content Networking Content Networking Security/VPN

6 Evolución de las redes Acceso telefónico RDSI Analógico Frame Relay Internet RAS Cable Banda ancha DSL

7 Evolución de las redes Internet Servidor Usuario móvil Ubicación remota Analógico RDSI Cable Ahorro de costes $$

8 The SAFE Blueprint ManagementBuildingDistribution Core Edge ServerE-Commerce Corporate Internet VPN/Remote Access WAN ISP PSTN FR/ATM

9 Software Access Option ISP Edge Module ISP Remote Site Firewall Option VPN Software Client w/ Personal Firewall Broadband Access Device Home Office Firewall w/VPN Remote Site Router Option Router w/ firewall & VPN Hardware VPN Client Option Broadband Access Device Hardware VPN Client Broadband Access Device (optional) Solución SAFE para el acceso remoto

10 Central Site Site-to-Site Oficina remota Extranet Business Partner POP DSL Cable Usuarios móviles Teletrabajadores VPN Internet

11

12

13 ¿Qué es IPSec? Es un conjuto de protocolos de seguridad que proveen: – Privacidad (Encriptación) – Integridad (Hash) – Autenticidad (Certificados digitales) durante la transferencia de datos en las redes IP.

14 ¿Por qué necesitamos IPSec? Pérdida de privacidad.

15 ¿Por qué necesitamos IPSec? Pérdida de integridad

16 ¿Por qué necesitamos IPSec? Robo de identidad

17 Implementación en niveles Network-Layer (IPSec) Application-Layer (SSL, PGP, S-HTTP) Link-Layer Encryption Application Layers (5-7) Transport/ Network Layers (3-4) Link/Physical Layers (1-2)

18 Separación de tráfico El tráfico IPSec es tratado por los routers como tráfico IP normal. Para enrutar este tráfico, podemos usar routers tradicionales. Los routers A y B encriptan los datos entre Joe y el servidor HR, dejando el resto de tráfico igual. Los routers A y B encriptan los datos entre Joe y el servidor HR, dejando el resto de tráfico igual. AB

19 ¿De qué se compone IPSec? EncriptaciónAutenticación PrivacidadVerificación intercambio DES Data Encryption Standard 3DES Triple Data Encryption Standard AES Advanded Encryption Standard IKE Internet Key Exchange RSA / DSS Rivest, Shamir, Adelman / Digital Signature Standard X.509v3 Digital Certificates MD5 / SHA Message Digest 5 / Secure Hash Algorithm Modos Transporte AH / ESP Authentication Header / Encapsulating Security Payload Tunnel / Transport Network to Network / Host to Host

20 EncriptaciónAgenda

21 ¿De qué protege la encriptación? La encriptación protege a los datos que se transmiten por redes de datos públicas o redes no seguras. Pérdida de privacidad m-y-p-a-s-s-w-o-r-d d-a-n Bob Alice Robo de datos Bob Alice Corporate Business Plan: Expand into Mallets core area

22 Claves simétricas La misma clave sirve para el proceso de encriptación y de desencriptación KEY (A) Bloqueado KEY (A) Desbloqueado Encriptación Desencriptacion

23 Claves asimétricas La clave usada para el proceso de encriptación es diferente a la usada en el proceso de desencriptación. La consecución de estas claves se explica en IKE. KEY (A) Bloqueado KEY (B) Desbloqueado Encriptación Desencriptacion

24 ¿Qué es DES / 3DES? Data Encryption Standard DES Es el algoritmo de encriptación. Usa claves de 56 bits para encriptar los datagramas. 3DES Es el algoritmo DES aplicado 3 veces El resultado de ejecutar 3 veces DES, ofrece claves de 168 bits.

25 Vulnerabilidad de DES / 3DES Se puede romper una clave DES en tiempo real. Para romper una clave 3DES en cuestión de semanas.

26 Para solventar la falta de fiabilidad de DES, se desarrolló AES (Advanded Encryption Standard) Permite definir claves de 128 (defecto), 192 o 256 bits. Soportado a partir de la release 12.2(13) de IOS.

27 Hashing / Firmas digitales Agenda

28 ¿De qué protegen las firmas y hash? Hashes y firmas garatizan la identidad de los extremos y la integridad del mensaje durante su viaje por la red pública. Robo de identidad Im Bob. Send Me all Corporate Correspondence with Cisco. Bob Alice Pérdida de integridad BankCustomer Deposit $1000Deposit $ 100 Alice Bob

29 ¿Qué es Hash? El texto plano es transformado en texto hash mediante una función (función de hash), y sin la que el texto no puede ser reconstruido. Esto garantiza que el mensaje que se ha enviado es el que se recibe. Función de Hash MessageHash Text plano Texto Hash

30 Algoritmos de Hash MD5 (Message Digest V5): Es el algoritmo más viejo, pero más soportado por los fabricantes. SHA (Secure Hash Algorithm): Más nuevo y seguro que MD5. HMAC (Hash-based Message Authentication Code): Mecanismo que junto al algoritmo de hash permite comprobar la integridad. IPSec usa HMAC-MD5 y HMAC-SHA.

31 Generación de firmas HMAC HMAC garantiza la autenticidad de hash. HMAC usa claves asimétricas: – La clave privada encripta Hash – La clave pública desencripta hash. Message Copy Hash Function Hash Encrypted Key PRI Copia del Message Algoritmo de Hash (MD5, SHA) Salida de Hash Mensaje Hash con la clave privada

32 Algoritmos de generación de firmas RSA (Rivest, Shamir, Adelman) – Es el más extendido y popular. DSA (Digital Signature Algorithm) – La validación de la firma es más lenta que RSA con claves de 512 o 1024 bits.

33 IKEAgenda

34 ¿Cuál es el propósito de IKE? Usando pares de claves públicas y privadas, IKE crea una sesión con datos encriptados usando el algoritmo de Diffie-Hellman. IKE negocia los parámetros IPSec que van a ser usados (SA: Security Association) sobre la sesión creada. Key PRI Key PUB Key PRI Key PUB Key SSN ¿Quieres usar? : DES Encryption, MD5 hash, and RSA Signatures? ¿Quieres usar? : DES Encryption, MD5 hash, and RSA Signatures? No, prefiero usar: 3DES Encryption, SHA Hash with RSA Signatures. No, prefiero usar: 3DES Encryption, SHA Hash with RSA Signatures. 1 2 SECRET SHARED SECRET SHARED

35 SA (Security Association) SA es el conjunto de protocolos usados en IPSec comunes entre dos dispositivos, y que van a ser usados en la creación del túnel. TS (Transformation Set): es una lista preconfigurada de protocolos IPSec que van a ser soportadas por los dispositivos. IKE SA Negotiation IPSec Protocols Used: DES 3DES SHA MD5 DSS Transform Sets: DES, HMAC-MD5, DSS 3DES, HMAC-SHA, DSS IPSec Protocols Used: DES 3DES SHA RSA DSS Transform Sets: DES, HMAC-SHA, RSA 3DES, HMAC-SHA, DSS Common Transform Set = SA 3DES, HMAC-SHA, DSS

36 ¿Cómo usa IPSec a IKE? Alices Laptop Bobs Laptop 1. Paquete de salida desde Alice a Bob. No SA 2. El ISAKMP de Alice Negocia con Bob 3. Acabada la negociación, Alice y Bob tienen completas las SA ISAKMP IPSecIPSec AliceBob 4. El paquete se manda desde Alice a Bob protegido por el SA de IPSec ISAKMP Tunnel AliceBob

37 Uso de las claves Cada dispositivo tiene 3 claves: – Clave privada: se mantiene en secreto y nunca se comparte. Se usa para firmar los mensajes. – Clave pública: se usa para verificar la firma. – Shared secret: es la usada para encriptar los datos usando algoritmos como DES.... DES DES Pri Pub Pri WAN

38 Algoritmo de Diffie-Hellman X A Valor Privado, X A Y A Valor Público, Y A Mensaje, m X B Valor Privado, X B Y B Valor Público, Y B Mensaje, m (shared secret) AliceBob Y B Y A Y B mod p = m mod p = Y A mod p XB XB XB XB XA XBXA XBXA XBXA XB YAYAYAYA YBYBYBYB Y B Y B = m mod p XBXBXBXB Y A Y A = m mod p XAXAXAXA XA XA XA XA

39 ¿Cómo se inician las sesiones? 1.- Establecer una IKE SA: Main mode. 2.- Establecer una IPSec SA: Quick Mode. 3.- Enviar los datos protegidos. IKE IPSec Datos

40 Creación de una IKE SA Se negocian los parámetros IKE Se intercambian claves públicas Se intercambian certificados Se intercambia la información para la autenticacíon DESMD5 RSA Sig DH1DESMD5 DH1DESSHAPre-sharedDH1 YBYBYBYB YAYAYAYA Home-gw Pent-gw

41 Creación de una IPSec SA Requiere una IKE SA creada Se negocian los parámetros IPSec Se transmiten las claves públicas IKE SA DESMD5DH1DESMD5DH1DESSHADH1 YAYAYAYA YBYBYBYB Datos

42 Certificados digitales

43 ¿Qué es un Certificado Digital? Es un documento digital que autentifica a un extremo de la conexión y provee de la clave de encriptación pública. X.509v3 Estos certificados son emitidos por entidades seguras, como Verisign (www.verisign.com)

44 Proceso de alta de un certificado 1.- El candidato se registra su identidad en CA (Certificate Authority) 2.- CA genera y firma el certificado con una CA Public Key 3.- CA envía por mail la URL para que recoja el certificado 4.- El candidato se baja el certificado y la CA Public Key Internet Distribución del certificado CA Candidato Certificate/CRL Database

45 Proceso de validación Internet Certificado de Alice Alice Bob Certificado de Bob Certificate/CRL Database CA LDAP 2. 2.Chequea en la base de datos el certificado de Joe CA Public Key Key PUB 1. 1.Verifica el certificado de Bob con la CA Public Key 1 2

46 Familia VPN 3000

47 Gama de producto ACCESO REMOTO UBICACIÓN A UBICACIÓN BASADO EN FIREWALL MEDIANA EMPRESA Concentrador 3030 Routers 7100, 3600, 3700 PIX 515E PEQUEÑA EMPRESA Concentrador 3005, 3015 Routers 3600, PIX 506E, 515E Cliente VPN Cliente hardware 3002 MERCADO SOHO PIX 501 Cisco ofrece el conjunto más amplio de soluciones VPN GRAN EMPRESA Concentrador 3060, 3080 Routers 7100, 7200 PIX 525, 535 Router 800

48 Serie de concentradores Cisco VPN 3000 Gestión basada en HTML/HTTPS Serie 3000

49 Serie 3000

50 Cliente Cisco VPN Windows 9x, Me, XP, NT4.0 & Linux, Solaris y MAC OS X. Interfaz personalizable Administración centralizada de directivas Firewall personal integrado (dinámico)

51 VPN 3000 Client Secuencia de conexión Llamada al ISP (Conexión a Internet) Se inicia el cliente VPN (se introduce password) ¡¡ Ya tenemos una conexión segura vía VPN !!

52 Clientes Cisco VPN 3000 Cliente Cisco VPN 3002 Módem Cable 3002 DSL 3002 Usuario individual Oficina en casa Pequeña oficina Internet Cisco VPN 30xx

53 Cliente de hardware Cisco VPN 3002 Frontal Switch Básico 3002 Unidad 3002 con switch 10/100 de 8 puertos 3002 incluye un Cliente/Servidor DHCP: Servidor DHCP 3002 para un máximo de 253 estaciones. Solo empieza túneles a la familia 3000 Configuración rápida a través de Web o puerto de consola

54 ¿Cómo identificar productos seguros? El software de los routers tiene una nomenclatura como: CD26-AL =Cisco 2600 Enterprise Plus IPSEC 56 Feature Pack CD26-AHK =Cisco 2600 Enterprise/FW Plus IPSEC 3DES Feature Pack CD17-CHK =Cisco 1700 IP/FW PLUS IPSEC 3DES ADSL Feature Pack CD17-CHL =Cisco 1700 IP/FW PLUS IPSEC 56 ADSL Feature Pack Terminaciones de los Part Numbers: – K8: equipos equipados con DES – K9: equipos equipados con 3DES PIX BUN-K9PIX DES Bundle (Chassis, SW, 50 Users, 3DES) PIX BUN-K8PIX DES Bundle (Chassis, SW, 50 Users, DES)

55

56 Próximas formaciones División de networking: – Valor añadido de los switches – Formación básica de configuración de routers Cisco: Febrero/Marzo 2003 División de hardware: Marzo 2003

57 Soporte preventa networking

58 Soporte preventa servidores

59


Descargar ppt "David Bayo VPN Ciclos Formación Cisco."

Presentaciones similares


Anuncios Google