VPN Ciclos Formación Cisco David Bayo dbayo@ingrammicro.es

Pregunta ¿Cómo hacer ahorrar costes a vuestros clientes, y que a la vez, contraten vuestros servicios adquiriendo nuevo equipamiento e ingeniería?

Respuesta Tecnología VPN

Agenda Introducción IPSec Encriptación Hashing / Firmas digitales IKE Certificados digitales Familia VPN 3000 Preguntas

Multiservice WAN (Sonet, IP, ATM, Frame Relay) Las redes del futuro Campus/WAN Backbone Campus LAN Mainframe ISDN PSTN Multiservice WAN (Sonet, IP, ATM, Frame Relay) International Sales Offices Suppliers Telecommuters Mobile Users Common Infrastructure Multi-Gigabit Ethernet VPN Storage Video Conferencing IP Telephony Enterprise Mobility Content Networking Security/VPN

Evolución de las redes Acceso telefónico RAS RAS Internet RAS RDSI Analógico Acceso telefónico RAS RAS Internet Frame Relay RAS Cable Banda ancha DSL

Evolución de las redes Ahorro de costes $$ Servidor Internet Usuario móvil Analógico RDSI Cable Ubicación remota Servidor Internet Ubicación remota Ahorro de costes $$

The SAFE Blueprint Management Building Distribution Core Edge Server E-Commerce Corporate Internet VPN/Remote Access WAN ISP PSTN FR/ATM That’s`why we created the SAFE blueprint for Secure E-Business To show you how to build Security into Cisco AVVID networks The foundation of the SAFE blueprint is understanding the security threats and responses appropriate for each functional area in the network And figuring out how to meet these requirements with Performance, Scalability, and Resiliency The unique aspect of this blueprint is that it is Lab Tested and fully documented – with specific design and configuration guidelines for each element – including both Cisco products and those of our Security Partners in our Avvid Ecosystem.

Solución SAFE para el acceso remoto ISP Edge Module ISP Broadband Access Device (optional) Broadband Access Device Broadband Access Device VPN Software Client w/ Personal Firewall Home Office Firewall w/VPN Hardware VPN Client Router w/ firewall & VPN Software Access Option Remote Site Firewall Option Hardware VPN Client Option Remote Site Router Option

Escenario Internet VPN Extranet Usuarios móviles POP Central Site Business Partner Central Site Usuarios móviles POP Internet VPN DSL Cable Teletrabajadores Site-to-Site Oficina remota

Túneles

Agenda IPSec

¿Qué es IPSec? Es un conjuto de protocolos de seguridad que proveen: Privacidad (Encriptación) Integridad (Hash) Autenticidad (Certificados digitales) durante la transferencia de datos en las redes IP.

¿Por qué necesitamos IPSec? Pérdida de privacidad.

¿Por qué necesitamos IPSec? Pérdida de integridad

¿Por qué necesitamos IPSec? Robo de identidad

Implementación en niveles Network-Layer (IPSec) Application-Layer (SSL, PGP, S-HTTP) Link-Layer Encryption Application Layers (5-7) Transport/ Network Layers (3-4) Link/Physical Layers (1-2) En el nivel de link, los datos deben ser encriptados por todos los dispositivos por los que pasa.

Separación de tráfico A B El tráfico IPSec es tratado por los routers como tráfico IP normal. Para enrutar este tráfico, podemos usar routers tradicionales. Los routers A y B encriptan los datos entre Joe y el servidor HR, dejando el resto de tráfico igual. A B

¿De qué se compone IPSec? Encriptación Autenticación Modos Privacidad Verificación intercambio Transporte DES Data Encryption Standard 3DES Triple Data Encryption Standard AES Advanded Encryption Standard IKE Internet Key Exchange RSA / DSS Rivest, Shamir, Adelman / Digital Signature Standard X.509v3 Digital Certificates MD5 / SHA Message Digest 5 / Secure Hash Algorithm AH / ESP Authentication Header / Encapsulating Security Payload Tunnel / Transport Network to Network / Host to Host

Agenda Encriptación

¿De qué protege la encriptación? Pérdida de privacidad m-y-p-a-s-s-w-o-r-d d-a-n Bob Alice Robo de datos Corporate Business Plan: Expand into Mallet’s core area La encriptación protege a los datos que se transmiten por redes de datos públicas o redes “no seguras”.

Claves simétricas La misma clave sirve para el proceso de encriptación y de desencriptación Encriptación Desencriptacion KEY (A) Bloqueado KEY (A) Desbloqueado

Claves asimétricas La clave usada para el proceso de encriptación es diferente a la usada en el proceso de desencriptación. La consecución de estas claves se explica en IKE. Encriptación Desencriptacion KEY (A) Bloqueado KEY (B) Desbloqueado

Data Encryption Standard ¿Qué es DES / 3DES? Data Encryption Standard DES Es el algoritmo de encriptación. Usa claves de 56 bits para encriptar los datagramas. 3DES Es el algoritmo DES aplicado 3 veces El resultado de ejecutar 3 veces DES, ofrece claves de 168 bits.

Vulnerabilidad de DES / 3DES Se puede “romper” una clave DES en tiempo real. Para “romper” una clave 3DES en cuestión de semanas.

AES Para solventar la falta de fiabilidad de DES, se desarrolló AES (Advanded Encryption Standard) Permite definir claves de 128 (defecto), 192 o 256 bits. Soportado a partir de la release 12.2(13) de IOS.

Hashing / Firmas digitales Agenda Hashing / Firmas digitales

¿De qué protegen las firmas y hash? Robo de identidad I’m Bob. Send Me all Corporate Correspondence with Cisco. Bob Alice Pérdida de integridad Bank Customer Deposit $1000 Deposit $ 100 Hashes y firmas garatizan la identidad de los extremos y la integridad del mensaje durante su viaje por la red pública.

¿Qué es Hash? El “texto plano” es transformado en texto hash mediante una función (función de hash), y sin la que el texto no puede ser reconstruido. Esto garantiza que el mensaje que se ha enviado es el que se recibe. Función de Hash Message Hash Text plano Texto Hash

Algoritmos de Hash MD5 (Message Digest V5): Es el algoritmo más “viejo”, pero más soportado por los fabricantes. SHA (Secure Hash Algorithm): Más nuevo y seguro que MD5. HMAC (Hash-based Message Authentication Code): Mecanismo que junto al algoritmo de hash permite comprobar la integridad. IPSec usa HMAC-MD5 y HMAC-SHA.

Generación de firmas HMAC Message Copy Hash Function Encrypted Key PRI Copia del Message Algoritmo de Hash (MD5, SHA) Salida de Hash Mensaje Hash con la clave privada HMAC garantiza la autenticidad de hash. HMAC usa claves asimétricas: La clave privada encripta Hash La clave pública desencripta hash.

Algoritmos de generación de firmas RSA (Rivest, Shamir, Adelman) Es el más extendido y popular. DSA (Digital Signature Algorithm) La validación de la firma es más lenta que RSA con claves de 512 o 1024 bits.

Agenda IKE

¿Cuál es el propósito de IKE? Usando pares de claves públicas y privadas , IKE crea una sesión con datos encriptados usando el algoritmo de Diffie-Hellman. IKE negocia los parámetros IPSec que van a ser usados (SA: Security Association) sobre la sesión creada. Key PRI PUB SSN ¿Quieres usar? : DES Encryption, MD5 hash, and RSA Signatures? No, prefiero usar: 3DES Encryption, SHA Hash with RSA Signatures. 1 2 SECRET SHARED

SA (Security Association) SA es el conjunto de protocolos usados en IPSec comunes entre dos dispositivos, y que van a ser usados en la creación del túnel. TS (Transformation Set): es una lista preconfigurada de protocolos IPSec que van a ser soportadas por los dispositivos. IKE SA Negotiation IPSec Protocols Used: DES 3DES SHA MD5 DSS Transform Sets: DES, HMAC-MD5, DSS 3DES, HMAC-SHA, DSS RSA DES, HMAC-SHA, RSA Common Transform Set = SA

¿Cómo usa IPSec a IKE? 1. Paquete de salida desde Alice a Bob. No SA Alice’s Laptop Bob’s Laptop 1. Paquete de salida desde Alice a Bob. No SA 2. El ISAKMP de Alice Negocia con Bob 3. Acabada la negociación, Alice y Bob tienen completas las SA ISAKMP IPSec Alice Bob 4. El paquete se manda desde Alice a Bob protegido por el SA de IPSec ISAKMP Tunnel

Uso de las claves Cada dispositivo tiene 3 claves: DES Pri Pub WAN Cada dispositivo tiene 3 claves: Clave privada: se mantiene en secreto y nunca se comparte. Se usa para firmar los mensajes. Clave pública: se usa para verificar la firma. Shared secret: es la usada para encriptar los datos usando algoritmos como DES....

Algoritmo de Diffie-Hellman Valor Privado, XA Valor Público, YA Mensaje, m Valor Privado, XB Valor Público, YB (shared secret) Alice Bob YB mod p = m mod p = YA mod p XB XA XB YA YB YB = m mod p YA = m mod p XA

¿Cómo se inician las sesiones? IKE IPSec Datos 1.- Establecer una IKE SA: “Main mode”. 2.- Establecer una IPSec SA: “Quick Mode”. 3.- Enviar los datos protegidos.

Creación de una IKE SA Se negocian los parámetros IKE DES MD5 RSA Sig DH1 SHA Pre-shared YB YA Home-gw 10.1.2.3 Pent-gw 26.9.0.26 Se negocian los parámetros IKE Se intercambian claves públicas Se intercambian certificados Se intercambia la información para la autenticacíon

Creación de una IPSec SA IKE SA DES MD5 DH1 SHA YA YB Datos Requiere una IKE SA creada Se negocian los parámetros IPSec Se transmiten las claves públicas

Certificados digitales Agenda Certificados digitales

¿Qué es un Certificado Digital? Es un documento digital que autentifica a un extremo de la conexión y provee de la clave de encriptación pública. X.509v3 Estos certificados son emitidos por entidades seguras, como Verisign (www.verisign.com)

Proceso de alta de un certificado 1.- El candidato se registra su identidad en CA (Certificate Authority) 2.- CA genera y firma el certificado con una CA Public Key 3.- CA envía por mail la URL para que recoja el certificado 4.- El candidato se baja el certificado y la CA Public Key Internet Distribución del certificado CA Candidato Certificate/CRL Database

Proceso de validación 2 1 Internet CA Alice Bob LDAP Certificate/CRL Certificado de Alice Alice Bob Certificado de Bob Certificate/CRL Database CA LDAP Chequea en la base de datos el certificado de Joe CA Public Key Key PUB Verifica el certificado de Bob con la CA Public Key 2 1

Agenda Familia VPN 3000

Cisco ofrece el conjunto más amplio de soluciones VPN Gama de producto ACCESO REMOTO UBICACIÓN A UBICACIÓN BASADO EN FIREWALL MEDIANA EMPRESA Concentrador 3030 Routers 7100, 3600, 3700 PIX 515E PEQUEÑA EMPRESA Concentrador 3005, 3015 Routers 3600, 2600 1700 PIX 506E, 515E Cliente VPN Cliente hardware 3002 MERCADO SOHO PIX 501 Cisco ofrece el conjunto más amplio de soluciones VPN GRAN EMPRESA Concentrador 3060, 3080 Routers 7100, 7200 PIX 525, 535 Router 800

Serie de concentradores Cisco VPN 3000 Gestión basada en HTML/HTTPS

Serie 3000

Cliente Cisco VPN Windows 9x, Me, XP, NT4.0 & 2000. Linux, Solaris y MAC OS X. Interfaz personalizable Administración centralizada de directivas Firewall personal integrado (dinámico)

VPN 3000 Client Secuencia de conexión Llamada al ISP (Conexión a Internet) Se inicia el cliente VPN (se introduce password) ¡¡ Ya tenemos una conexión segura vía VPN !!

Clientes Cisco VPN 3000 Internet Cliente Cisco VPN 3002 Módem Cable DSL Usuario individual Oficina en casa Pequeña oficina Internet Cisco VPN 30xx

Cliente de hardware Cisco VPN 3002 Frontal Switch Básico 3002 Unidad 3002 con switch 10/100 de 8 puertos 3002 incluye un Cliente/Servidor DHCP: Servidor DHCP 3002 para un máximo de 253 estaciones. Solo empieza túneles a la familia 3000 Configuración rápida a través de Web o puerto de consola

¿Cómo identificar productos “seguros”? El software de los routers tiene una nomenclatura como: CD26-AL-12.0.7= Cisco 2600 Enterprise Plus IPSEC 56 Feature Pack CD26-AHK2-12.0.7= Cisco 2600 Enterprise/FW Plus IPSEC 3DES Feature Pack CD17-CHK2-12.1.5= Cisco 1700 IP/FW PLUS IPSEC 3DES ADSL Feature Pack CD17-CHL-12.1.5= Cisco 1700 IP/FW PLUS IPSEC 56 ADSL Feature Pack Terminaciones de los Part Numbers: K8: equipos equipados con DES K9: equipos equipados con 3DES PIX-501-50-BUN-K9 PIX 501-50 3DES Bundle (Chassis, SW, 50 Users, 3DES) PIX-501-50-BUN-K8 PIX 501-50 DES Bundle (Chassis, SW, 50 Users, DES)

Preguntas.....

División de networking: Próximas formaciones División de networking: Valor añadido de los switches Formación básica de configuración de routers Cisco: Febrero/Marzo 2003 División de hardware: Marzo 2003

Soporte preventa networking 93 474 9223 soporte@ingrammicro.es

Soporte preventa servidores 93 474 9222 servidores@ingrammicro.es

¡¡ MUCHAS GRACIAS !!