La descarga está en progreso. Por favor, espere

La descarga está en progreso. Por favor, espere

IPSEC Código: HOL-WIN11 Juan Luis García Rambla

Presentaciones similares


Presentación del tema: "IPSEC Código: HOL-WIN11 Juan Luis García Rambla"— Transcripción de la presentación:

1 IPSEC Código: HOL-WIN11 Juan Luis García Rambla

2 Agenda Problemática de las redes de datos. IPSEC: Autentificación y cifrado. Políticas de IPSEC. Reglas y Filtros de IPSEC. Implantación de IPSEC con PKI.

3 Problemática de las redes de datos

4 Problemáticas de la comunicación Gran cantidad de los datos que circulan por la red circulan en claro y pueden ser capturados e interpretados por un analizador de red. Estos datos además de ser interpretados pueden ser modificados y retransmitidos posteriormente a la red. Los sistemas no comprueban la autenticidad del origen de los datos.

5 Técnicas de Sniffing Capturan tráfico de red. Necesitan que la señal física llegue al NIC. En redes de difusión mediante concentradores todas las señales llegan a todos los participantes de la comunicación. En redes conmutadas la comunicación se difunde en función de direcciones. Switches utilizan dirección MAC.

6 PC HACKER PC 1 PC 2 PC 3 PC 4 Sniffer Datos PC 4 filtrafiltra Sniffing en redes de difusión

7 Técnicas de Spoofing Las técnicas de spoofing tienen como objetivo suplantar validadores estáticos. Un validador estático es un medio de autenticación que permanece invariable antes, durante y después de la concesión.

8 Tipos de técnicas de Spoofing Spoofing ARP Envenenamiento de conexiones. Man in the Middle. Spoofing IP Rip Spoofing. Hijacking. Spoofing SMTP Spoofing DNS WebSpoofing.

9 PC HACKER PC 1 PC 2 PC 3 PC 4 Sniffer Datos PC 4 MAC 1 MAC 2 MAC H MAC 3 MAC 4 Puerto 1 MAC 1 Puerto 2 MAC 2 Puerto 6 MAC H Puerto 11 MAC 3 Puerto 12 MAC 4 Sniffing en redes conmutadas

10 Ataque ARP M an I n T he M iddle ¿Quien tiene ? esta en 99:88:77:66:55: esta en 00:11:22:33:44:55: esta en 99:88:77:66:55:4 4

11 Sniffing + Spoofing Hijacking (Secuestro) Y Envenenamiento Técnicas Combinadas

12 IPSEC Autentificación y cifrado

13 Cifrado de Comunicaciones IPv4 no ofrece cifrado de comunicaciones a nivel de red y transporte. Solo se puede garantizar la no interceptación de la información en líneas privadas. Los entornos son abiertos. Movilidad. La privacidad de la información es una necesidad

14 Cifrado de Comunicaciones La elección de la protección debe cumplir: –No anular otras defensas. –Permitir autenticación integrada. –No suponer un coste excesivo en: –Rendimiento. –Adquisición. –Implantación. –Mantenimiento.

15 Cifrado de Comunicaciones Soluciones: –Red : IPv6 -> IPSec. –Transporte: –TLS –SSL –Aplicación: –HTTP-s –FTP-s –S/MIME –SSH. –Datos: Cifrado información.

16 Objetivos de IPSEC IPSEC es un estándar que tiene como objetivo la verificación, autentificación y encriptación de datos en el nivel de red. IPSEC es controlado mediante una serie de reglas y filtros que determinan que tipo de tráfico va a necesitar la encriptación, la firma digital o ambos. El proceso del envío de información encriptada a través de la red es transparente para los usuarios y las aplicaciones que envían información a través de la red.

17 Beneficios de IPSEC Autentificación mutua al inicio y durante la comunicación. Confidencialidad por autentificación digital y encriptación de paquetes. Integridad IP por rechazo de paquetes modificados. Prevención contra ataques de repetición de tramas.

18 IPSEC - Coste de cifrado Disminución del rendimiento que es proporcional al hardware del sistema. –Tiempo de negociación IKE – aproximadamente 2-5 segundos inicialmente –Session rekey < 1-2 segundos Pérdida de la capacidad de filtrado de paquetes. Recursos destinados a la solución de problemas. Concienciación técnica de su necesidad y su uso.

19 Modos IPSEC IPSEC trabaja en dos modos: –Autentication Header (AH),que firma digitalmente el tráfico de red, pero no lo encripta. –ESP (Encapsulation Security Payload), que proporciona encriptación de datos, mediante algoritmo.

20 Cabecera de Autenticación Authentication Header (AH) ofrece: –Autenticación. –Integridad. Funcionalidades –Kerberos, certificados o los secretos compartidos pueden ser utilizados para autenticar el tráfico. –La integridad se calcula con algoritmos SHA1 o MD5 que calculan el Integrity Check Value (ICV).

21 IPSec – Cabecera AH. Autenticidad de los datos Integridad de los datos Contra la retransmisión Protección contra la suplantación Encab. IP AH Encab. TCP/UDP Datos de aplicaciones Firmado Encabezados de autenticación

22 Cabecera ESP Encapsulating Security Payload (ESP) ESP ofrece: –Confidencialidad. ESP puede ser utilizada sola o combinada con AH. Multiples algoritmos de cifrado –DES – claves de cifrado de 56-bit –3DES – claves de cifrado de 168-bit Multiples algoritmos de firmado. –SHA1 – 160-bit digest –MD5 – 128-bit

23 Cabecera ESP Nuevo encab. IP ESP Hdr Cifrado Firmado Autenticación del origen Cifrado de los datos Contra la retransmisión Protección contra la suplantación Carga de seguridad de encapsulación Encab. IP original Encab. TCP/UDP Datos de aplicaciones Fin. ESP Aut. ESP

24 IPSec - Firewalls IPSec se enruta como tráfico IPv4. En firewalls debe ser activado el reenvio IP para: –IP Protocol ID 50 (ESP). –IP Protocol ID 51 (AH). –UDP Port 500 (IKE). El tráfico IPSec que pasa por un firewall no puede ser inspeccionado.

25 filters filters SA Establishment NIC TCPIP Application Server or Gateway IPSecDriver IPSecPolicyAgent IKE (ISAKMP) IPSecDriver IPSecPolicyAgent NIC TCPIP App or Service client IKE Responder IKE Initiator UDP port 500 negotiation 1 IKE SA 1 IKE SA 2 IPSec SAs IP protocol 50/51

26 Modos de trabajo El sistema IPSEC puede trabajar en dos modos: –Modo de transporte: donde la encriptación se realiza de extremo a extremo. –Modo túnel donde la encriptación se realiza únicamente entre los extremos del tunel.

27 Modos IPSEC Cifrado Modo de túnel Proporciona cifrado y autenticación sólo entre los puntos finales del túnel Cifrado Modo de transporte Proporciona cifrado y autenticación de extremo a extremo

28 Políticas de IPSEC

29 IPSec en Windows Se configura mediante políticas. –Almacenadas en el Directorio Activo o en en Registro Local del Servidor. –Controlan la entrada y salida de paquetes permitidos.

30 IPSec - Política de cliente Modo de solo respuestas. Un sistema en modo cliente responde a peticiones que le realicen en IPSEC. No inicia conversaciones en modo IPSEC, solamente en claro.

31 IPSec - Políticas Podrán utilizarse políticas por defecto o las creadas manualmente. El sistema proporciona 3 políticas por defecto que van a determinar diferentes comportamientos de la máquina con respecto a IPSEC. –Cliente. –Servidor. –Servidor seguro.

32 Política de cliente Modo de solo respuestas. Un sistema en modo cliente responde a peticiones que le realicen en IPSEC. No inicia conversaciones en modo IPSEC, solamente en claro.

33 Política de servidor Intenta establecer comunicaciones encriptadas, pero si la otra máquina no tiene configurado IPSEC la comunicación se establece en claro. Este modo está definido por 3 reglas que determinan el comportamiento general del sistema a las peticiones: –IP. –ICMP. –Tráfico dinámico.

34 Política de Servidor Seguro El equipo solo puede establecer comunicaciones seguras. La política establece 3 reglas, para el tráfico de peticiones: –IP. –ICMP. –Tráfico dinámico.

35 Implementación IPSEC en un Hospital Servidor B. de D. Resto del Personal Médico Servidor Seguro Servidor No IPSEC 3ecto elgtasp Texto claro Texto cifrado Conexión

36 IPSec - Despliegue GPO Domain OU Site GPO Despliegue centralizado desde el directorio activo. Configuración posible mediante plantillas.

37 Políticas de Grupo

38 Reglas IPSEC Las reglas IPSEC determinan el comportamiento del sistema en la transmisión de la información. Las reglas están compuestas por los siguientes objetos: –Filtros. –Acción de filtros. –Método de autentificación.

39 Configuración de Reglas IPSEC En la configuración de las reglas hay que especificar las siguientes acciones: –Determinar la posibilidad o no de establecer un túnel de comunicación. –Qué redes se van a ver afectadas por la regla. –El método de autentificación inicial para la transmisión. –Métodos de seguridad. –Los filtros y las acciones de filtrado.

40 IPSec - Filtros En la configuración de los filtros hay que especificar los siguientes parámetros: –Determinar la posibilidad o no de establecer un túnel de comunicación. –Qué redes o equipos se van a ver afectados. –El método de autentificación para la transmisión. –Métodos de seguridad. –Las acciones de filtrado.

41 Métodos de autentificación Determinan el proceso inicial de la comunicación IPSEC. Existen 3 metodologías de autentificación: –Clave Compartida. –Kerberos. –Certificado.

42 IPSec - Autenticación Kerberos –Requiere tiempo de sincronización. –Solo dentro del bosque. Certificados –Requiere la implementación de PKI. –CRL está deshabilitado por defecto. Secretos Compartidos. –Tan seguro como sea el secreto. –En entornos grandes es dificil de mantener.

43 Métodos de seguridad Determina la seguridad de la transmisión de la información. Se pueden definir: –Integridad AH (Algoritmos SHA1, MD5). –Integridad ESP (Algoritmos SHA1, MD5). –Confidencialidad ESP (Algoritmos DES, 3DES).

44 Boletín quincenal TechNews

45 Contactos Informática 64 –http://www.informatica64.comhttp://www.informatica64.com – Profesor


Descargar ppt "IPSEC Código: HOL-WIN11 Juan Luis García Rambla"

Presentaciones similares


Anuncios Google