La descarga está en progreso. Por favor, espere

La descarga está en progreso. Por favor, espere

Juan Luis García Rambla

Presentaciones similares


Presentación del tema: "Juan Luis García Rambla"— Transcripción de la presentación:

1 Juan Luis García Rambla
Código: HOL-WIN11 IPSEC Juan Luis García Rambla

2 Agenda Problemática de las redes de datos.
IPSEC: Autentificación y cifrado. Políticas de IPSEC. Reglas y Filtros de IPSEC. Implantación de IPSEC con PKI.

3 Problemática de las redes de datos

4 Problemáticas de la comunicación
Gran cantidad de los datos que circulan por la red circulan en claro y pueden ser capturados e interpretados por un analizador de red. Estos datos además de ser interpretados pueden ser modificados y retransmitidos posteriormente a la red. Los sistemas no comprueban la autenticidad del origen de los datos.

5 Técnicas de Sniffing Capturan tráfico de red.
Necesitan que la señal física llegue al NIC. En redes de difusión mediante concentradores todas las señales llegan a todos los participantes de la comunicación. En redes conmutadas la comunicación se difunde en función de direcciones. Switches utilizan dirección MAC.

6 Sniffing en redes de difusión
PC 2 PC HACKER PC 3 Sniffer PC 1 PC 4 filtra Datos PC 4

7 Técnicas de Spoofing Las técnicas de spoofing tienen como objetivo suplantar validadores estáticos. Un validador estático es un medio de autenticación que permanece invariable antes, durante y después de la concesión.

8 Tipos de técnicas de Spoofing
Spoofing ARP Envenenamiento de conexiones. Man in the Middle. Spoofing IP Rip Spoofing. Hijacking. Spoofing SMTP Spoofing DNS WebSpoofing.

9 Sniffing en redes conmutadas
Sniffer PC 2 PC HACKER PC 3 PC 1 PC 4 MAC 2 MAC H MAC 3 Datos PC 4 MAC 1 MAC 4 Puerto 1 MAC 1 Puerto 2 MAC 2 Puerto 6 MAC H Puerto 11 MAC 3 Puerto 12 MAC 4

10 Ataque ARP Man In The Middle
esta en 99:88:77:66:55:44 esta en 99:88:77:66:55:44 ¿Quien tiene ? esta en 00:11:22:33:44:55:66

11 Hijacking (Secuestro) Y Envenenamiento
Técnicas Combinadas Sniffing + Spoofing Hijacking (Secuestro) Y Envenenamiento

12 IPSEC Autentificación y cifrado

13 Cifrado de Comunicaciones
IPv4 no ofrece cifrado de comunicaciones a nivel de red y transporte. Solo se puede garantizar la no interceptación de la información en líneas privadas. Los entornos son abiertos. Movilidad. La privacidad de la información es una necesidad

14 Cifrado de Comunicaciones
La elección de la protección debe cumplir: No anular otras defensas. Permitir autenticación integrada. No suponer un coste excesivo en: Rendimiento. Adquisición. Implantación. Mantenimiento.

15 Cifrado de Comunicaciones
Soluciones: Red : IPv6 -> IPSec. Transporte: TLS SSL Aplicación: HTTP-s FTP-s S/MIME SSH. Datos: Cifrado información.

16 Objetivos de IPSEC IPSEC es un estándar que tiene como objetivo la verificación, autentificación y encriptación de datos en el nivel de red. IPSEC es controlado mediante una serie de reglas y filtros que determinan que tipo de tráfico va a necesitar la encriptación, la firma digital o ambos. El proceso del envío de información encriptada a través de la red es transparente para los usuarios y las aplicaciones que envían información a través de la red.

17 Beneficios de IPSEC Autentificación mutua al inicio y durante la comunicación. Confidencialidad por autentificación digital y encriptación de paquetes. Integridad IP por rechazo de paquetes modificados. Prevención contra ataques de repetición de tramas.

18 IPSEC - Coste de cifrado
Disminución del rendimiento que es proporcional al hardware del sistema. Tiempo de negociación IKE – aproximadamente 2-5 segundos inicialmente Session rekey < 1-2 segundos Pérdida de la capacidad de filtrado de paquetes. Recursos destinados a la solución de problemas. Concienciación técnica de su necesidad y su uso.

19 Modos IPSEC IPSEC trabaja en dos modos:
Autentication Header (AH),que firma digitalmente el tráfico de red, pero no lo encripta. ESP (Encapsulation Security Payload), que proporciona encriptación de datos, mediante algoritmo.

20 Cabecera de Autenticación
Authentication Header (AH) ofrece: Autenticación. Integridad. Funcionalidades Kerberos, certificados o los secretos compartidos pueden ser utilizados para autenticar el tráfico. La integridad se calcula con algoritmos SHA1 o MD5 que calculan el Integrity Check Value (ICV). IPSec AH provides authentication, integrity, and anti-replay protection for the entire packet, including the IP header and the payload. AH does not provide confidentiality. When packets are secured with AH, the IPSec driver computes an Integrity Check Value (ICV) after the packet has been constructed but before it is sent to the computer. With Windows 2000 and Windows XP, you can use either the HMAC SHA1 or HMAC MD5 algorithm to compute the ICV. Figure 9-3 shows how AH modifies an IP packet.

21 IPSec – Cabecera AH. Autenticidad de los datos Integridad de los datos
Contra la retransmisión Protección contra la suplantación Encab. IP AH Encab. TCP/UDP Datos de aplicaciones Firmado Encabezados de autenticación The fields in an AH packet include these: Next Header Indicates the protocol ID for the header that follows the AH header. For example, if the encrypted data is transmitted using TCP, the next header value would be 6, which is the protocol ID for TCP. Length Contains the total length of the AH. Security Parameters Index (SPI) Identifies the security association (the IPSec agreement between two computers) that was negotiated in the Internet Key Exchange (IKE) protocol exchange between the source computer and the destination computer. Sequence Number Protects the AH-protected packet from replay attacks in which an attacker attempts to resend a packet that he has previously intercepted, such as an authentication packet, to another computer. For each packet issued for a specific security association (SA), the sequence number is incremented by 1 to ensure that each packet is assigned a unique sequence number. The recipient computer verifies each packet to ensure that a sequence number has not been reused. The sequence number prevents an attacker from capturing packets, modifying them, and then retransmitting them later. Authentication Data Contains the ICV created against the signed portion of the AH packet by using either HMAC SHA1 or HMAC MD5. The recipient performs the same integrity algorithm and compares the result of the hash algorithm with the result stored within the Authentication Data field to ensure that the signed portion of the AH packet has not been altered in transit. Because the TTL, Type of Service (TOS), Flags, Fragment Offset, and Header Checksum fields are not used in the ICV, packets secured with IPSec AH can cross routers, which can change these fields. Using ESP

22 Cabecera ESP Encapsulating Security Payload (ESP) ESP ofrece:
Confidencialidad. ESP puede ser utilizada sola o combinada con AH. Multiples algoritmos de cifrado DES – claves de cifrado de 56-bit 3DES – claves de cifrado de 168-bit Multiples algoritmos de firmado. SHA1 – 160-bit digest MD5 – 128-bit ESP packets are used to provide encryption services to transmitted data. In addition, ESP provides authentication, integrity, and antireplay services. When packets are sent using ESP, the payload of the packet is encrypted and authenticated. In Windows 2000 and Windows XP, the encryption is done with either Data Encryption Standard (DES) or 3DES, and the ICV calculation is done with either HMAC SHA1 or HMAC MD5. TIP When designing an IPSec solution, you can combine AH and ESP protocols in a single IPSec SA. Although both AH and ESP provide integrity protection to transmitted data, AH protects the entire packet from modification, while ESP protects only the IP payload from modification.

23 Cabecera ESP Carga de seguridad de encapsulación Cifrado Firmado
Nuevo encab. IP ESP Hdr Cifrado Firmado Autenticación del origen Cifrado de los datos Contra la retransmisión Protección contra la suplantación Carga de seguridad de encapsulación Encab. IP original Encab. TCP/UDP Datos de aplicaciones Fin. ESP Aut. ESP

24 IPSec - Firewalls IPSec se enruta como tráfico IPv4.
En firewalls debe ser activado el reenvio IP para: IP Protocol ID 50 (ESP). IP Protocol ID 51 (AH). UDP Port 500 (IKE). El tráfico IPSec que pasa por un firewall no puede ser inspeccionado. IP Security (IPSec) is implemented at the Networking layer (Layer 3) of the Open Systems Interconnection (OSI) model. This provides protection for all IP and upper-layer protocols in the TCP/IP protocol suite. The primary benefit of securing information at Layer 3 is that all programs and services using IP for data transport can be protected. IPSec does not disturb the original IP header and can be routed as normal IP traffic. Routers and switches in the data path between the communicating hosts simply forward the packets to their destination. However, when there is a firewall or gateway in the data path, IP forwarding must be enabled at the firewall for the following IP protocols and UDP ports: IP Protocol ID 50: For both inbound and outbound filters. Should be set to allow Encapsulating Security Protocol (ESP) traffic to be forwarded. IP Protocol ID 51: For both inbound and outbound filters. Should be set to allow Authentication Header (AH) traffic to be forwarded. UDP Port 500: For both inbound and outbound filters. Should be set to allow ISAKMP traffic to be forwarded. L2TP/IPSec traffic looks just like IPSec traffic on the wire. The firewall just has to allow IKE (UDP 500) and IPSec ESP formatted packets (IP protocol = 50). It may be necessary to allow Kerberos traffic through the firewall, if so then UDP port 88 and TCP port 88 would also need to be forwarded. For more information, view the following articles in the Microsoft Knowledge Base: Traffic That Can--and Cannot--Be Secured by IPSec ( Overview of Secure IP Communication with IPSec in Windows 2000 (

25 SA Establishment TCPIP TCPIP App or Service Application client
Server or Gateway UDP port 500 negotiation 1 IKE SA IPSec PolicyAgent IPSec PolicyAgent IKE (ISAKMP) IKE (ISAKMP) 2 IPSec SAs IPSec Driver IPSec Driver TCPIP TCPIP IP protocol 50/51 filters NIC filters NIC “IKE Responder” “IKE Initiator”

26 Modos de trabajo El sistema IPSEC puede trabajar en dos modos:
Modo de transporte: donde la encriptación se realiza de extremo a extremo. Modo túnel donde la encriptación se realiza únicamente entre los extremos del tunel.

27 Modos IPSEC Modo de transporte
Proporciona cifrado y autenticación de extremo a extremo Cifrado Modo de túnel Proporciona cifrado y autenticación sólo entre los puntos finales del túnel Cifrado

28 Políticas de IPSEC

29 IPSec en Windows 2000- 2003 Se configura mediante políticas.
Almacenadas en el Directorio Activo o en en Registro Local del Servidor. Controlan la entrada y salida de paquetes permitidos. IPSec policies, rather than applications, are used to configure IPSec services. The policies provide variable levels of protection for most traffic types in most existing networks. IPSec policies are based on your organization's guidelines for secure operations. There are two storage locations for IPSec policies: Active Directory The registry on a local computer You can configure IPSec policies to meet the security requirements of a domain, site, or organizational unit for an Active Directory domain. IPSec policy can also be implemented in a non-Active Directory domain environment by using local IPSec policies. IPSec policies are based on IP filter lists and IP filter actions. An IP filter list is a list of protocols and folders. For example, you can create a filter list entry that allows all computers to gain access to TCP port 80 on the local interface. Another entry in the same filter list might allow access to TCP port 25 on the local interface, and a third filter list entry might allow access to User Datagram Protocol (UDP) port 53 on the local interface. If a packet that arrives on the computer interface has a matching entry on the filter list, IPSec Policy Agent applies a filter action that you assign to the filter list. For example, if you assign a Block filter action to the above filter list. When you do this, any packet that is destined for TCP port 80, TCP port 25, or UDP port 53 is blocked. However, if you assign a Permit filter action to the above filter list, the packets that are destined for TCP port 80, TCP port 25, or UDP port 53 is allowed. You can use IPSec filter lists and filter actions as an effective method of access control on all interfaces. Note that IPSec policies are applied to all interfaces on a multiple-homed computer. There is no procedure that you can use to allow selective application of IPSec policies to a particular interface. Note For information on how to create IPSec policies, go to Filter Actions For each filter rule, you must choose a filter action. The filter action defines how the traffic defined in the IP filter will be handled by the filter rule. Permit Allows packets to be transmitted without IPSec protection. For example, Simple Network Management Protocol (SNMP) includes support for devices that might not be IPSec aware. Enabling IPSec for SNMP would cause a loss of network management capabilities for these devices. In a highly secure network, you could create an IPSec filter for SNMP and set the IPSec action to Permit to allow SNMP packets to be transmitted without IPSec protection. Block Discards packets. If the associated IPSec filter is matched, all packets with the block action defined are discarded. Negotiate Security Allows an administrator to define the desired encryption and integrity algorithms to secure data transmissions if an IPSec filter is matched.

30 IPSec - Política de cliente
Modo de solo respuestas. Un sistema en modo cliente responde a peticiones que le realicen en IPSEC. No inicia conversaciones en modo IPSEC, solamente en claro.

31 IPSec - Políticas Podrán utilizarse políticas por defecto o las creadas manualmente. El sistema proporciona 3 políticas por defecto que van a determinar diferentes comportamientos de la máquina con respecto a IPSEC. Cliente. Servidor. Servidor seguro.

32 Política de cliente Modo de solo respuestas.
Un sistema en modo cliente responde a peticiones que le realicen en IPSEC. No inicia conversaciones en modo IPSEC, solamente en claro.

33 Política de servidor Intenta establecer comunicaciones encriptadas, pero si la otra máquina no tiene configurado IPSEC la comunicación se establece en claro. Este modo está definido por 3 reglas que determinan el comportamiento general del sistema a las peticiones: IP. ICMP. Tráfico dinámico.

34 Política de Servidor Seguro
El equipo solo puede establecer comunicaciones seguras. La política establece 3 reglas, para el tráfico de peticiones: IP. ICMP. Tráfico dinámico.

35 Implementación IPSEC en un Hospital
Texto claro 3ecto elgtasp Texto cifrado Médico Servidor B. de D. Servidor Servidor Seguro Resto del Personal No IPSEC Conexión

36 IPSec - Despliegue GPO GPO Site Despliegue centralizado desde el directorio activo. Configuración posible mediante plantillas. Domain OU

37 Políticas de Grupo Introduction
Implementing Group Policy on a domain provides the network administrator with control over computer configurations throughout the network.

38 Reglas IPSEC Las reglas IPSEC determinan el comportamiento del sistema en la transmisión de la información. Las reglas están compuestas por los siguientes objetos: Filtros. Acción de filtros. Método de autentificación.

39 Configuración de Reglas IPSEC
En la configuración de las reglas hay que especificar las siguientes acciones: Determinar la posibilidad o no de establecer un túnel de comunicación. Qué redes se van a ver afectadas por la regla. El método de autentificación inicial para la transmisión. Métodos de seguridad. Los filtros y las acciones de filtrado.

40 IPSec - Filtros En la configuración de los filtros hay que especificar los siguientes parámetros: Determinar la posibilidad o no de establecer un túnel de comunicación. Qué redes o equipos se van a ver afectados. El método de autentificación para la transmisión. Métodos de seguridad. Las acciones de filtrado.

41 Métodos de autentificación
Determinan el proceso inicial de la comunicación IPSEC. Existen 3 metodologías de autentificación: Clave Compartida. Kerberos. Certificado.

42 IPSec - Autenticación Kerberos Certificados Secretos Compartidos.
Requiere tiempo de sincronización. Solo dentro del bosque. Certificados Requiere la implementación de PKI. CRL está deshabilitado por defecto. Secretos Compartidos. Tan seguro como sea el secreto. En entornos grandes es dificil de mantener. Selecting an IPSec Authentication Method During the initial construction of the IPSec session—also known as the Internet Key Exchange, or IKE—each host or endpoint authenticates the other host or endpoint. When configuring IPSec, you must ensure that each host or endpoint supports the same authentication methods. IPSec supports three authentication methods: Kerberos X.509 certificates Preshared key Authenticating with Kerberos In Windows 2000 and Windows XP, Kerberos is used for the IPSec mutual authentication by default. For Kerberos to be used as the authentication protocol, both hosts or endpoints must receive Kerberos tickets from the same Active Directory directory service forest. Thus, you should choose Kerberos for IPSec authentication only when both hosts or endpoints are within you own organization. Kerberos is an excellent authentication method for IPSec because it requires no additional configuration or network infrastructure. IMPORTANT Some types of traffic are exempted by default from being secured by IPSec, even when the IPSec policy specifies that all IP traffic should be secured. The IPSec exemptions apply to Broadcast, Multicast, Resource Reservation Setup Protocol (RSVP), IKE, and Kerberos traffic. Kerberos is a security protocol itself, can be used by IPSec for IKE authentication, and was not originally designed to be secured by IPSec. Therefore, Kerberos is exempt from IPSec filtering. To remove the exemption for Kerberos and RSVP, set the value NoDefaultExempt to 1 in the registry key HKEY_LOCAL_ MACHINE\SYSTEM\CurrentControlSet\Services\IPSEC, or use the Nodefaultexempt.vbs script located in the Tools\Scripts folder on the CD included with this book. Authenticating with X.509 Certificates You can use X.509 certificates for IPSec mutual authentication of hosts or endpoints. Certificates allow you to create IPSec secured sessions with hosts or endpoints outside your Active Directory forests, such as business partners in extranet scenarios. You also must use certificates when using IPSec to secure VPN connections made by using Layer Two Tunneling Protocol (L2TP). To use certificates, the hosts must be able to validate that the other’s certificate is valid. Authenticating with Preshared Key You can use a preshared key, which is a simple, case-sensitive text string, to authenticate hosts or endpoints. Preshared key authentication should be used only when testing or troubleshooting IPSec connectivity because the preshared key is not stored in a secure fashion by hosts or endpoints.

43 Métodos de seguridad Determina la seguridad de la transmisión de la información. Se pueden definir: Integridad AH (Algoritmos SHA1, MD5). Integridad ESP (Algoritmos SHA1, MD5). Confidencialidad ESP (Algoritmos DES, 3DES).

44 Boletín quincenal TechNews

45 Contactos Informática 64 Profesor http://www.informatica64.com
Profesor


Descargar ppt "Juan Luis García Rambla"

Presentaciones similares


Anuncios Google