Redes virtuales1 Tema 4: Redes Virtuales r 4.1 Seguridad en redes m 4.1.1 Introducción m 4.1.2 Criptografía m 4.1.3 Criptoanálisis m 4.1.4 Clave simétrica.

Slides:



Advertisements
Presentaciones similares
METODOS DE AUTENTICACIÓN
Advertisements

© 2006 Cisco Systems, Inc. Todos los derechos reservados. Información pública de Cisco 1 Descripción de cómo la tecnología VPN presta servicios seguros.
SEGURIDAD EN REDES DE DATOS
Jorge de Nova Segundo UD4: Instalación y administración de servicios Web Seguridad del protocolo HTTP.
SEGURIDAD EN INTERNET EQUIPO No. 1 TELECOMUNICACIONES II Seguridad de Redes Seguridad de Redes Protección al proceso mediante el cual la información es.
PROTOCOLO SEGURO HTTPS
- Firma digital y cifrado de mensajes.
Red vpn Mayerli Arismendi Edwin Alvarado María Alejandra acosta
VPN Virtual Private Network Red Privada Virtual.
DIRECT ACCESS.
PROTOCOLOS Y ESTANDARES DE RED
Que es el protocolo “SSL”
Trabajo de redes Inma Gómez Durán
PROTOCOLOS Un protocolo es un conjunto de reglas que hacen que la comunicación en una red sea más eficiente.
Johanna Lizeth Rodríguez Lorena Fda. Chávarro Ramos
Seguridad del protocolo HTTP
Tema 3 – Técnicas de Acceso Remoto y Seguridad Perimetral
(VIRTUAL PRIVATE NETWORK)
Capítulo 1: Introducción a redes conmutadas
HOL – FOR07. ► VPN define una “Virtual Private Network” o Red Privada Virtual. ► Básicamente una VPN establece una conexión segura a través de un medio.
Ing. Karen Torrealba de Oblitas
VPN Red privada virtual.
VPN - Red privada virtual
Diseño de Esquemas de Seguridad
Virtual Private Network CaFeLUG Briefing Trimestral Bco. Credicoop Abril 2003 Conceptos e Implementación.
PRESENTADO POR: ROBINSON JIMENEZ. DEFINICIÓN VPN VPN es una tecnología de red que permite una extensión de la red local sobre una red pública o no controlada,
Existen dos tipos básicos de redes VPN:
PROTOCOLO PUNTO A PUNTO (PPP)
SEGURIDAD EN SERVIDORES. 5 Perspectivas:  Prevención  Detección  Recuperación (Copias de Seguridad)  Análisis forense  Evaluación.
Sistemas de Comunicación Magistral Nro. 8 Capa 4: Transporte Las funciones principales de la capa de transporte son transportar y regular el flujo de información.
RED DE ÁREA LOCAL VIRTUAL
8.6-1 Capítulo 8, Sección 8.6: IPsec Material basado en el Texto: Computer Networking: A Top Down Approach Featuring the Internet, Jim Kurose, Keith Ross.
IPSec.
IPSEC By Jesús Patiño. IPsec es una extensión al protocolo IP que proporciona seguridad a IP. La arquitectura IPsec se describe en el RFC2401 IPsec emplea.
Tema 3 – Técnicas de Acceso Remoto y Seguridad Perimetral
Instituto Tecnológico Superior de Misantla.
Instituto Tecnológico Superior de Misantla.
Redes de Comunicaciones de Datos
Redes privadas virtuales. VPN.
Tema 2 – Implantación de mecanismos de seguridad activa
Modelo de Referencia OSI
Capítulo 7: Capa de transporte
Pasarelas (Gateways).
CAPA DE RED PROTOCOLOS.
Técnicas de cifrado. Clave pública y clave privada:
JUAN ANTONIO GARCIA ADRIAN RIOS HERNANDEZ
Seguridad del protocolo HTTP:
Certificación Digital
Técnicas de cifrado. Clave pública y clave privada Gabriel Montañés León.
Redes privadas virtuales. VPN
Redes virtuales.
PROTOCOLOS DE COMUNICACIÓN
REDES PRIVADAS VIRTUALES. VPN.
INFORME: PROTOCOLO PPTP. COMPARACIÓN CON OTROS PROTOCOLOS VPN. JOSE CARLOS RONCERO BLANCO.
Tecnologías WAN (MODULO ESPECIALIDAD) Instituto Tecnológico Superior de Misantla. INGENIERIA EN SISTEMAS COMPUTACIONALES Unidad II: Protocolos WAN 2.1.-
Protocolo ssl. Introducción El protocolo SSL (Secure Sockets Layer) fue diseñado con el objeto de proveer privacidad y confiabilidad a la comunicación.
Técnicas de cifrado. Clave pública y clave privada:
Firma Electrónica Eduardo Chiara Galván
SEGURIDAD INFORMATICA II IX. SEGURIDAD Y REDES PRIVADAS VIRTUALES.
Ing. Horacio sagredo tejerina
Unidad 4. Servicios de acceso remoto
Seguridad del Protocolo HTTP
SEGURIDAD EN LA CONEXIÓN CON REDES PÚBLICAS. Técnicas de Cifrado: El cifrado es un método que permite aumentar la seguridad de un mensaje o de un archivo.
FIRMA DIGITAL CUNSARO Criptografia Simetrica.
Agenda Introducción Problemática del envío de datos Snnifing y Spoofing de Red IPSec IPSec en arquitecturas Windows IPSec con clave compartida IPSec con.
El protocolo SSL (Secure Sockets Layer) fue diseñado con el objeto de proveer privacidad y confiabilidad a la comunicación entre dos aplicaciones. Este.
Comunicación a través de la red
María Guadalupe Moreno Rodríguez protocolo SSL María yessenia Ríos Duran 305.
1.Elementos de un sistema de comunicaciónElementos de un sistema de comunicación 2.Representación de la informaciónRepresentación de la información 3.Redes.
Para generar una transmisión segura de datos, debemos contar con un canal que sea seguro, esto es debemos emplear técnicas de forma que los datos que.
Transcripción de la presentación:

Redes virtuales1 Tema 4: Redes Virtuales r 4.1 Seguridad en redes m Introducción m Criptografía m Criptoanálisis m Clave simétrica m Clave asimétrica m Sistema mixto r 4.2 Redes privadas virtuales m Introducción m PPTP m L2TP m IPsec m SSL r 4.3 Redes de área local virtual

Redes virtuales2 Tema 4: Redes Virtuales r 4.1 Seguridad en redes m Introducción m Criptografía m Criptoanálisis m Clave simétrica m Clave asimétrica m sistema mixto r 4.2 Redes privadas virtuales m Introducción m PPTP m L2TP m IPsec m SSL r 4.3 Redes de área local virtual

Redes virtuales3 Introducción Canal seguro: r Propiedades: m Confidencialidad m Integridad m Autenticidad (autenticación) m No repudio Emisor Receptor Canal seguro?

Redes virtuales4 Introducción Confidencialidad: r La información transmitida por el canal inseguro sólo podrá ser interpretada por elementos destinatarios acreditados r Debe permanecer ininteligible para el resto r Formas de protección: m Líneas física dedicadas  Alto coste  Difícil mantenimiento m Cifrado r Ejemplo: obtención de datos del emisor

Redes virtuales5 Introducción Integridad: r Asegura que la información transmitida no haya sido modificada durante su transcurso r El mensaje en el destino debe ser el mismo que el mensaje en el origen r Formas de protección: m Firmas digitales r Ejemplo: modificación de la dirección de envío de un producto comprado por Internet

Redes virtuales6 Introducción Autenticidad: r Asegurar el origen de una información r Evitar suplantaciones r Formas de protección: m Firmas digitales m Desafío m Autenticación humana  Biométrica (huella dactilar, retina, reconocimiento facial, etc.) r Ejemplo: suplantación de usuario en transacción bancaria

Redes virtuales7 Introducción No repudio: r Evitar negación de envío por parte de un emisor r Evitar negación de recepción por parte de un receptor r Formas de protección: m Firmas digitales r Ejemplo: pérdida de solicitud en proceso administrativo

Redes virtuales8 Introducción Canal inseguro: r Poco fiable r Ataques: Violación de seguridad del canal. m Tipos  Pasivos  Activos m Categorías  Interceptación  Interrupción  Modificación  Fabricación

Redes virtuales9 Introducción Ataques pasivos: r El intruso no altera el contenido de la información transmitida r Objetivos: m Identificación de entidades m Control del volumen de tráfico m Análisis del tráfico m Horario de intercambio habitual r Dificultad de detección r Fácil de evitar -> cifrado

Redes virtuales10 Introducción Ataques activos: r Implican alteración del contenido de la información transmitida r Tipos: m Enmascarados (impostor) m Repetitivo (mensaje interceptado y repetido posteriormente) m Modificación del mensaje m Denegación del servicio r Dificultad de prevención r Fácil de detectar -> detección y recuperación

Redes virtuales11 Introducción Interceptación: r Ataque de confidencialidad r Pasivo r Un elemento no autorizado consigue acceso a un recurso no compartido r Ejemplos: m Captura de tráfico de red m Copia ilícita de archivos o programas Emisor Receptor Intruso

Redes virtuales12 Introducción Interrupción: r Destrucción de un recurso compartido r Activo r Ejemplos: m Destrucción de hardware m Corte de línea de comunicación Emisor Receptor Intruso

Redes virtuales13 Introducción Modificación: r Un recurso no compartido es interceptado y manipulado por un elemento no autorizado antes de llegar al destino final r Activo r Ejemplos: m Alteración de los datos enviados a través de una red Emisor Receptor Intruso

Redes virtuales14 Introducción Fabricación: r Ataque de autenticidad r Activo r Elemento no autorizado (impostor) genera un recurso que llega al destinatario r Ejemplos: m Introducción de información fraudulenta Emisor Receptor Intruso

Redes virtuales15 Tema 4: Redes Virtuales r 4.1 Seguridad en redes m Introducción m Criptografía m Criptoanálisis m Clave simétrica m Clave asimétrica m sistema mixto r 4.2 Redes privadas virtuales m Introducción m PPTP m L2TP m IPsec m SSL r 4.3 Redes de área local virtual

Redes virtuales16 Criptografía Introducción: r ¿Por qué? m Formas de protección contra intrusos basadas en la encriptación (cifrado y firmas digitales) r Definición m Ciencia de la escritura secreta, destinada a ocultar la información con el objetivo de que no pueda ser interpretada por otras personas r Principio m Mantener la privacidad de la comunicación entre dos o más elementos

Redes virtuales17 Criptografía Introducción: r Base de funcionamiento m Alteración del mensaje original para que sea incompatible con toda persona ajena al destinatario r Ejemplo m Mensaje original: “Mi profesor es un plasta” m Mensaje alterado: “Pl surihvru hv xq sñdvwd” m Cifrado de César con K=3

Redes virtuales18 Criptografía Cifrado: r Procedimiento que convierte un mensaje en claro en otro incomprensible r El algoritmo de cifrado requiere una clave Descifrado: r Procedimiento que convierte un mensaje incomprensible en el mensaje original r Es necesario conocer el algoritmo de cifrado empleado y la clave adecuada

Redes virtuales19 Criptografía Introducción: r Esquema de funcionamiento Emisor Receptor cifrado descifrado

Redes virtuales20 Tema 4: Redes Virtuales r 4.1 Seguridad en redes m Introducción m Criptografía m Criptoanálisis m Clave simétrica m Clave asimétrica m sistema mixto r 4.2 Redes privadas virtuales m Introducción m PPTP m L2TP m IPsec m SSL r 4.3 Redes de área local virtual

Redes virtuales21 Criptoanálisis Introducción: r Definición m Conjunto de métodos destinados a averiguar la clave usada por las partes comunicantes r Objetivo m Desvelar el secreto de la correspondencia r Ataques m Ataque de fuerza bruta (más común) m Tipos:  Ataque de sólo texto cifrado  Ataque de texto claro conocido  Ataque de texto claro seleccionado

Redes virtuales22 Tema 4: Redes Virtuales r 4.1 Seguridad en redes m Introducción m Criptografía m Criptoanálisis m Clave simétrica m Clave asimétrica m sistema mixto r 4.2 Redes privadas virtuales m Introducción m PPTP m L2TP m IPsec m SSL r 4.3 Redes de área local virtual

Redes virtuales23 Clave simétrica Características: r Clave privada r Emisor y receptor comparten la misma clave Emisor Receptor cifrado descifrado

Redes virtuales24 Clave simétrica Algoritmos: r DES, 3DES, RC5, IDEA, AES r Requisitos: m Del texto cifrado no podrá extraerse ni el mensaje en claro ni la clave m Conocidos el texto en claro y el texto cifrado debe ser más costoso en tiempo y dinero obtener la clave, que el valor derivado de la información sustraída r Fortaleza del algoritmo: m Complejidad interna m Longitud de la clave

Redes virtuales25 Clave simétrica Objetivos cumplidos: r Confidencialidad r Integridad r Autenticación r No repudio m Dependerá del número de participantes que compartan la clave secreta

Redes virtuales26 Clave simétrica Ventajas: r Velocidad de ejecución de algoritmos m Mejor método para cifrar grandes cantidades de información Inconvenientes: r Distribución de la clave privada r Administración y mantenimiento de claves m Número de claves usadas es proporcional al número de canales seguros empleados

Redes virtuales27 Tema 4: Redes Virtuales r 4.1 Seguridad en redes m Introducción m Criptografía m Criptoanálisis m Clave simétrica m Clave asimétrica m sistema mixto r 4.2 Redes privadas virtuales m Introducción m PPTP m L2TP m IPsec m SSL r 4.3 Redes de área local virtual

Redes virtuales28 Clave asimétrica Características: r Clave pública r Cada participante posee una pareja de claves (privada-pública) Emisor Receptor cifrado descifrado Privada emisor Pública emisor Privada receptor Pública receptor

Redes virtuales29 Clave asimétrica Algoritmos: r Diffie-Hellman, RSA, DSA r Requisitos: m Del texto cifrado debe ser imposible extraer el mensaje en claro y la clave privada m Conocidos el texto en claro y el texto cifrado debe ser más costoso en tiempo y dinero obtener la clave privada, que el valor derivado de la información sustraída m Para un texto cifrado con clave pública, sólo debe existir una clave privada capaz desencriptarlo, y viceversa

Redes virtuales30 Clave asimétrica Objetivos cumplidos: r Confidencialidad r Integridad r Autenticación m Ofrece mecanismos muy buenos r No repudio m Ofrece mecanismos muy buenos

Redes virtuales31 Clave asimétrica Ventajas: r No presenta problemas de distribución de claves, ya que posee clave pública r En caso de robo de clave privada de un usuario, sólo se ven comprometidos los mensajes enviados a dicho usuario r Proporciona mecanismos de autenticación mejores que los ofrecidos por sistemas simétricos Inconvenientes: r Velocidad de ejecución de algoritmos

Redes virtuales32 Clave asimétrica Autenticación: r Desafio-respuesta r Firma digital r Certificado digital No repudio: r Firma digital r Certificado digital

Redes virtuales33 Clave asimétrica Desafio-respuesta: r Envío de un desafio en claro cuya solución conoce el emisor r El emisor envía respuesta cifrada con clave privada Emisor Receptor cifrado descifrado Privada emisor Pública emisor Privada receptor Pública receptor

Redes virtuales34 Clave asimétrica Firma digital: r Verificar autenticidad del origen r Partes m Proceso de firma (emisor) m Proceso de verificación de la firma (receptor) Emisor Receptor firma verificación Privada emisor Pública emisor Privada receptor Pública receptor

Redes virtuales35 Clave asimétrica Firma digital: r Problema: Lentitud del proceso r Empleo de huella Emisor Receptor Privada emisor Pública emisor Privada receptor Pública receptor

Redes virtuales36 Clave asimétrica Firma digital - Huella: r Redución del tiempo de encriptado r Función de hash m Convierte conjunto de datos de longitud variable en resumen o huella de longitud fija, ilegible y sin sentido m Irreversible r Algoritmos SHA-1, MD5 r Requisitos m Capacidad de convertir datos de longitud variable en bloque de longitud fija m Fácil de usar y sencillez de implementación m Imposibilidad de obtener texto original de la huella m Textos diferentes deben generar huellas distintas r Problema: Gestión de claves

Redes virtuales37 Clave asimétrica Certificado digital: r Unidad de información que contiene una pareja de claves públicas y privada junto con la información necesaria para capacitar a su propietario a realizar operaciones de comunicación segura con otros interlocutores r Contiene: m Clave pública m Clave privada (si es propietario) m Datos del propietario m Datos de uso (algoritmos, funciones permitidas,...) m Periodo de validez m Firmas de Autoridades de certificación r Es posible su revocación

Redes virtuales38 Tema 4: Redes Virtuales r 4.1 Seguridad en redes m Introducción m Criptografía m Criptoanálisis m Clave simétrica m Clave asimétrica m sistema mixto r 4.2 Redes privadas virtuales m Introducción m PPTP m L2TP m IPsec m SSL r 4.3 Redes de área local virtual

Redes virtuales39 Sistema mixto Clave de sesión: r Partes m Distribución de clave de sesión (asimétrico) m Comunicación segura (simétrico) Emisor Receptor Privada emisor Pública emisor Privada receptor Pública receptor Clave de sesión

Redes virtuales40 Sistema mixto Clave de sesión: r Partes m Distribución de clave de sesión (asimétrico) m Comunicación segura (simétrico) Emisor Receptor Privada emisor Pública emisor Privada receptor Pública receptor Clave de sesión

Redes virtuales41 Sistema mixto Objetivos cumplidos: r Confidencialidad r Integridad r Autenticación r No repudio m Empleo de firmas y certificados digitales

Redes virtuales42 Sistema mixto Ventajas: r No presenta problemas de distribución de claves, ya que posee clave pública r Es improbable hacerse con la clave de sesión r Puede emplear mecanismos de autenticación y no repudio de clave pública r Velocidad de ejecución de algoritmos

Redes virtuales43 Tema 4: Redes Virtuales r 4.1 Seguridad en redes m Introducción m Criptografía m Criptoanálisis m Clave simétrica m Clave asimétrica m sistema mixto r 4.2 Redes privadas virtuales m Introducción m PPTP m L2TP m IPsec m SSL r 4.3 Redes de área local virtual

Redes virtuales44 Redes privadas virtuales Introducción: r Interconexión de usuarios y entidades m Línea dedicada (intranets)  Coste elevado  Dificultad de mantenimiento m Uso de red de acceso público  Riesgos de seguridad LAN Red pública

Redes virtuales45 Redes privadas virtuales Concepto: r VPN: Canal de datos privado implementado sobre red de comunicaciones pública r Objetivos: m Enlazar subredes remotas m Enlazar subredes y usuarios remotos r Uso de túnel virtual con encriptación LAN Túnel virtual Red pública

Redes virtuales46 Redes privadas virtuales Requisitos: r Autenticación y verificación de identidad r Administración de rango de IPs virtuales r Cifrado de datos r Gestión de claves públicas, privadas, y certificados digitales r Soporte para múltiples protocolos

Redes virtuales47 Redes privadas virtuales Tipos: r Sistemas basados en hardware m Diseños específicos optimizados m Muy seguros y sencillos m Alto rendimiento m Coste elevado m Servicios añadidos (firewalls, detectores de intrusos, antivirus, etc.) m Cisco, Stonesoft, Juniper, Nokia, Panda Security r Sistemas basados en software

Redes virtuales48 Redes privadas virtuales Ventajas: r Seguridad y confidencialidad r Reducción de costes r Escalabilidad r Mantenimiento sencillo r Compatibilidad con los enlaces inalámbricos

Redes virtuales49 Redes privadas virtuales Elementos: r Redes privadas o locales m LAN de acceso restringido con rango de IPs privadas r Redes inseguras r Túneles VPN r Servidores r Routers r Usuarios remotos (road warriors) r Oficinas remotas (gateways)

Redes virtuales50 Redes privadas virtuales Escenarios: r Punto a punto r LAN - LAN r LAN – usuario remoto LAN

Redes virtuales51 Tema 4: Redes Virtuales r 4.1 Seguridad en redes m Introducción m Criptografía m Criptoanálisis m Clave simétrica m Clave asimétrica m sistema mixto r 4.2 Redes privadas virtuales m Introducción m PPTP m L2TP m IPsec m SSL r 4.3 Redes de área local virtual

Redes virtuales52 PPTP Características: r Protocolo de túnel punto a punto (PPTP) r Protocolo diseñado y desarrollado por 3Com, Microsoft Corporation, Ascend Communications y ECI Telematics, y definido en IETF (RFC 2637) r Se emplea en acceso virtual seguro de usuarios remotos a red privada r Emplea mecanismo de túneles para envío de datos desde cliente a servidor r Usa red IP de carácter pública o privada

Redes virtuales53 PPTP Funcionamiento: r Servidor PPTP configurado para repartir IP de LAN privada r El servidor se comporta como un puente LAN Usuario remoto Servidor PPTP

Redes virtuales54 PPTP Fases: r Establecimiento de la conexión PPP con ISP r Control de la conexión PPTP m Conexión TCP m Intercambio de mensajes de control r Transmisión de datos m Protocolo GRE m Cifrado

Redes virtuales55 PPTP PPP: r Protocolo punto a punto (RFC 1661) m Nivel de enlace m Usado para conectar con ISP mediante una línea telefónica (modem) o RDSI m Versiones para banda ancha (PPPoE y PPPoA) m Funciones:  Establecer, mantener y finalizar conexión pto-pto  Autenticar usuarios (PAP y CHAP)  Crear tramas encriptadas IPDatosPPP

Redes virtuales56 PPTP Control conexión PPTP: r Especifica una serie de mensajes de control: m PPTP_START_SESSION_REQUEST: inicio de sesión m PPTP_START_SESSION_RESPLY: respuesta solicitud inicio m PPTP_ECHO_REQUEST: mantenimiento de la sesión m PPTP_ECHO_REPLY: respuesta solicitud mantenimiento m PPTP_WAN_ERROR_NOTIFY: notificación error m PPTP_SET_LINK_INFO: configurar conexión cliente- servidor m PPTP_STOP_SESSION_REQUEST: finalización sesión m PPTP_STOP_SESSION_REPLY: respuesta solicitud finalización

Redes virtuales57 PPTP Autenticación PPTP: r Emplea los mismos mecanismos que PPP: m PAP (Password Authentication Protocol)  Muy simple: envío de nombre y contraseña en claro m CHAP (Challenge Handshake Authentication Protocol)  Mecanismo desafio-respuesta  Cliente genera una huella a partir del desafio recibido (MD5)  Clave secreta compartida  Envíos de desafios para revalidar identidad

Redes virtuales58 PPTP Autenticación PPTP: r Añade dos nuevos: m SPAP (Shiva Password Authentication Protocol)  PAP con envío de contraseña cliente encriptada m MS-CHAP (Microsoft Challenge Handshake Authentication Protocol)  Algoritmo propietario de Microsoft basado en CHAP  Proceso de autenticación mutuo (cliente y servidor)  Debido a fallo de seguridad en Windows NT se creó MS-CHAP v2

Redes virtuales59 PPTP Transmisión de datos: r Emplea modificación del protocolo GRE (Generic Routing Encapsulation) RFC 1701 y 1702 m Establece división funcional en tres protocolos:  Protocolo pasajero  Protocolo portador  Protocolo de transporte Pasajero Portador Transporte

Redes virtuales60 PPTP Transmisión de datos: r Envío de tramas PPP encapsuladas en datagramas IP GRE Datos PPP IP Medio TCPDatos IP

Redes virtuales61 PPTP Encriptación: r MPPE (Microsoft Point-To-Point Encryption) m RFC 3078 m Usa algoritmo RSA RC4 -> Clave de sesión a partir de clave privada de cliente m Sólo con CHAP o MS-CHAP r Permite túneles sin cifrado (PAP o SPAP) -> No VPN

Redes virtuales62 PPTP Ventajas: r Bajo coste de implementación (emplea red pública) r No limitación del número de túneles debido a interfaces físicas del servidor (aumento de recursos necesarios en servidor por túnel) Inconvenientes: r Altamente vulnerable m Control de la conexión TCP no autenticado m Debilidad del protocolo MS-CHAP en sistemas NT m Debilidad del protocolo MPPE r Empleo de contraseña privada

Redes virtuales63 Tema 4: Redes Virtuales r 4.1 Seguridad en redes m Introducción m Criptografía m Criptoanálisis m Clave simétrica m Clave asimétrica m sistema mixto r 4.2 Redes privadas virtuales m Introducción m PPTP m L2TP m IPsec m SSL r 4.3 Redes de área local virtual

Redes virtuales64 L2TP Características: r Protocolo de túnel de nivel 2 (RFC 2661) - PPP r L2TP v3 (RFC 3931) - multiprotocolo r Basado en 2 protocolos de red para transportar tramas PPP: m PPTP m L2F (Layer Two Forwarding) r Se emplea junto a IPSec para ofrecer mayor seguridad (L2TP/IPSec, RFC 3193)

Redes virtuales65 L2TP Funcionamiento: r LAC: Concentrador de acceso L2TP r LNS: Servidor de red L2TP r El servidor se comporta como un puente LAN Usuario remoto Servidor L2TP (LNS) ISP LAC Voluntario Obligatorio

Redes virtuales66 L2TP Tipos de túneles: r Obligatorio: 1) El usuario inicia conexión PPP con ISP 2) ISP acepta conexión y enlace PPP 3) ISP solicita autenticación 4) LAC inicia túnel L2TP al LNS 5) Si LNS acepta, LAC encapsula PPP con L2TP y envía tramas 6) LNS acepta tramas y procesa como si fuesen PPP 7) LNS autentifica PPP validar usuario -> asigna IP r Voluntario: 1) Usuario remoto posee conexión con ISP 2) Cliente L2TP inicia túnel L2TP al LNS 3) Si LNS acepta, LAC encapsula con PPP y L2TP, y envía a través del túnel 4) LNS acepta tramas y procesa como si fuesen PPP 5) LNS autentifica PPP validar usuario -> asigna IP

Redes virtuales67 L2TP Mensajes: r Dos tipos: m Control  Empleados durante fase de establecimiento, mantenimiento y finalización del túnel  Canal de control confiable (garantiza su entrega) m Datos  Encapsular la información en tramas PPP  Intercambiados usando UDP puerto 1701

Redes virtuales68 L2TP Mensajes de control: r Mantenimiento de conexión: m Start-Control-Connection-Request: inicio de sesión m Start-Control-Connectio-Reply: respuesta solicitud inicio m Start-Control-Connection-Connected: sesión establecida m Start-Control-Connection-Notification: finalización de sesión m Hello: mensaje enviado durante periodos de inactividad

Redes virtuales69 L2TP Mensajes de control: r Mantenimiento de llamada: m Outgoing-Call-Request: inicio de la llamada saliente m Outgoing-Call-Reply: respuesta solicitud inicio llamada saliente m Outgoing-Call-Connected: llamada saliente establecida m Incoming-Call-Request: inicio de la llamada entrante m Incoming-Call-Reply: respuesta solicitud inicio llamada entrante m Incoming-Call-Connected: llamada entrante establecida m Call-Disconnect-Notify: finalización de llamada

Redes virtuales70 L2TP Mensajes de control: r Informe de errores: m WAN-Error-Notify: notificación de error r Sesión de control PPP: m Set-Link-Info: configurar la conexión cliente-servidor

Redes virtuales71 L2TP Ventajas: r Bajo coste de implementación r Soporte multiprotocolo Inconvenientes: r Únicamente se identifican los dos extremos participantes en el túnel (Posibles ataques de suplantación de identidad) r No ofrece soporte para integridad (Posible ataque de denegación de servicio) r No desarrolla confidencialidad -> No garantiza privacidad r No ofrece cifrado, aunque PPP pueden ser encriptado (no existe mecanismo de generación automática de claves)

Redes virtuales72 Tema 4: Redes Virtuales r 4.1 Seguridad en redes m Introducción m Criptografía m Criptoanálisis m Clave simétrica m Clave asimétrica m sistema mixto r 4.2 Redes privadas virtuales m Introducción m PPTP m L2TP m IPsec m SSL r 4.3 Redes de área local virtual

Redes virtuales73 IPSec Caracteríticas: r Internet Protocol Security r Ofrece servicios de seguridad a capa IP r Permite enlazar redes distintas (oficinas remotas) r Permite acceso de un usuario remoto a recursos privados de una red r Estándares IETF (Internet Engineering Task Force) r Integrado en IPv4 e incluido por defecto en IPv6 r IPSec es orientado a la conexión

Redes virtuales74 IPSec Caracteríticas: r Servicios: m Integridad de datos m Autenticación del origen m Confidencialidad m Prevención de ataques por reproducción r Modos de funcionamiento: m Modo transporte m Modo túnel

Redes virtuales75 IPSec Asociación de seguridad: r Definición (SA): “Acuerdo unidireccional entre participantes de una conexión IPSec en cuanto a métodos y parámetros empleados en la estructura del túnel, destinados a garantizar la seguridad de los datos transmitidos” r Una entidad debe almacenar: m Claves y algoritmos de seguridad empleados m Modo de trabajo m Métodos de gestión de claves m Periodo de vigencia de la conexión establecida m Base de datos con SA

Redes virtuales76 IPSec Asociación de seguridad: r Ejemplo: SPI: Source IP: Dest IP: Protocol: ESP Encryption algorithm: 3DES-cbc HMAC algorithm: MD5 Encryption key: 0x7aeaca… HMAC key: 0xc0291f … r Métodos de distribución y administración de claves: m Manual: entrega personal m Automático: AutoKey IKE

Redes virtuales77 IPSec Protocolo IKE: r Protocolo de intercambio de claves en Internet (IKE) r Protocolo definido en IETF m Gestión y administración de claves m Establecimiento de SA r Estándar no limitado a IPSec (OSPF o RIP) r Protocolo híbrido: m ISAKMP (Internet Security Association and Key Management Protocol)  Define la sintaxis de los mensajes  Procedimientos necesarios para establecimiento, negociación, modificación y eliminación de SA m Oakley  Especifica lógica para el intercambio seguro de claves

Redes virtuales78 IPSec IKE – Negociación del túnel IPSec: r Posee dos fases: m Fase 1: Establemiciento de un canal bidireccional de comunicación seguro (IKE SA)  IKE SA distinta a IPSec SA  Se denomina ISAKMP SA m Fase 2: Acuerdos sobre algoritmos de cifrado y autenticación -> IPSec SA  Usa ISAKMP para generar IPSec SA  El precursor ofrece todas sus posibilidades al otro con prioridades  El otro acepta la primera configuración que se adecue a sus posibilidades  Se informan recíprocamente del tipo de tráfico

Redes virtuales79 IPSec Ventajas: r Permite acceso remoto de forma segura y transparente r Facilita el comercio electrónico (infraestructura segura para transacciones) r Posibilita la construcción de red corporativa segura (extranets) sobre redes públicas

Redes virtuales80 IPSec Protocolos: r Protocolo de cabecera de autenticación (AH) r Protocolo carga de seguridad encapsulada (ESP)

Redes virtuales81 IPSec Protocolo AH: r Campo Protocolo de la cabecera IP :51 r Servicios suministrados: m Integridad m Autenticación m No garantiza la confidencialidad (no emplea cifrado de datos) r HMAC (Hash Message Authentication Codes) m Generación de huella digital (SHA o MD5) m Cifrado de huella digital con clave secreta compartida

Redes virtuales82 IPSec Protocolo AH: r HMAC Emisor HMAC IPAHDATOS Receptor HMAC IPAHDATOS

Redes virtuales83 IPSec Protocolo AH: r Formato Next header Payload length Reserved Security Parameters Index (SPI) Sequence number Authentication data Cabecera IP Datos Cabecera AH 32 bits

Redes virtuales84 IPSec Protocolo AH: r Formato: m Next header: protocolo del nivel superior m Payload length: longitud del campo de datos (32 bits) m Security Parameters Index (SPI): identificador SA m Sequence number: Número de secuencia m Authentication data: HMAC de longitud variable

Redes virtuales85 IPSec Protocolo ESP: r Campo Protocolo de la cabecera IP :50 r Servicios suministrados: m Integridad (opcional) m Autenticación (opcional) m Confidencialidad (cifrado de datos) r Algoritmo de cifrado de clave simétrica (DES, 3DES, Blowfish) m Normalmente cifrado por bloques (relleno) m Requiere un mecanismo seguro de distribución de claves (IKE)

Redes virtuales86 IPSec Protocolo ESP: Emisor IPESPDATOS Receptor IPESPDATOSESP

Redes virtuales87 IPSec Protocolo ESP: r Formato Padding Security Parameters Index (SPI) Sequence number Cabecera IP Datos ESP 32 bits Next header Pad length Authentication data Encriptado

Redes virtuales88 IPSec Protocolo ESP: r Formato: m Security Parameters Index (SPI): identificador SA m Sequence number: Número de secuencia m Padding: Relleno m Pad length: longitud del relleno en bytes m Next header: protocolo del nivel superior m Authentication data: HMAC de longitud variable

Redes virtuales89 IPSec Modos de funcionamiento: r Aplicables tanto a AH como ESP Modo transporte con AH Modo transporte con ESP Modo túnel con AH Modo túnel con ESP Más usado

Redes virtuales90 IPSec Modo transporte: r Los datos se encapsulan en un datagrama AH o ESP r Asegura la comunicación extremo a extremo r Esquema cliente-cliente (ambos extremos deben entender IPSec) r Se emplea para conectar usuarios remotos IP 1 DatosIPSecIP 2 IP 1 IP 2 Host con IPSec

Redes virtuales91 IPSec Modo transporte:  AH: Next header = Protocol de cabecera IP  ESP: Next header = Protocol de cabecera IP Encab. AH Datos Encab. IP original Autenticado Encab. ESP Datos Encab. IP original Cifrado Autenticado

Redes virtuales92 IPSec Modo túnel: r Los datos se encapsulan en un datagrama IP completo r Genera nueva cabecera IP r Se emplea cuando el destino final del mensaje y el extremo IPSec no coinciden (gateways) IP A DatosIPSecIP B Host sin IPSec gateway con IPSec Host sin IPSec IP 1 IP 2 IP B IP A IP 1 IP 2

Redes virtuales93 IPSec Modo túnel:  AH: Protocol nueva cabecera IP = 51 y Next header = 4  ESP: Protocol nueva cabecera IP = 50 y Next header = 4 Encab. AH Datos Encab. IP nuevo Autenticado Encab. ESP Datos Encab. IP original Cifrado Autenticado Encab. IP original Encab. IP original

Redes virtuales94 Tema 4: Redes Virtuales r 4.1 Seguridad en redes m Introducción m Criptografía m Criptoanálisis m Clave simétrica m Clave asimétrica m sistema mixto r 4.2 Redes privadas virtuales m Introducción m PPTP m L2TP m IPsec m SSL r 4.3 Redes de área local virtual

Redes virtuales95 SSL El proyecto OpenVPN: r Implementación de VPN basada en SSL (OpenSSL) r Software libre (GPL) r Razones: Limitaciones de IPSec r Características: m Driver tun encargado de levantar túnel y encapsular los paquetes a través del enlace virtual m Posee autenticación y encriptación m Todas comunicaciones a través de un puerto TCP o UDP (1194 por defecto) m Multiplataforma m Permite usar compresión

Redes virtuales96 SSL El proyecto OpenVPN: r Características: m Modelo cliente-servidor (versión 2.0) m Existen paquetes con instaladores y administradores gráficos m Permite administración remota de la aplicación m Alta flexibilidad (multitud formatos de scripts)

Redes virtuales97 Tema 4: Redes Virtuales r 4.1 Seguridad en redes m Introducción m Criptografía m Criptoanálisis m Clave simétrica m Clave asimétrica m sistema mixto r 4.2 Redes privadas virtuales m Introducción m PPTP m L2TP m IPsec m SSL r 4.3 Redes de área local virtual

Redes virtuales98 VLAN Introducción: r Las LANs institucionales modernas suelen presentar topología jerárquica r Cada grupo de trabajo posee su propia LAN conmutada r Las LANs conmutadas pueden interconectarse entre sí mediante una jerarquía de conmutadores A B S1S1 C D E F S2S2 S4S4 S3S3 H I G

Redes virtuales99 VLAN Inconvenientes: r Falta de aislamiento del tráfico m Tráfico de difusión m Limitar tráfico por razones de seguridad y confidencialidad r Uso ineficiente de los conmutadores r Gestión de los usuarios

Redes virtuales100 VLAN VLAN: r VLAN basada en puertos m División de puertos del conmutador en grupos m Cada grupo constituye una VLAN m Cada VLAN es un dominio de difusión m Gestión de usuario -> Cambio de configuración del conmutador ABCDEF G HI

Redes virtuales101 VLAN VLAN: r ¿Cómo enviar información entre grupos? m Conectar puerto del conmutador VLAN a router externo m Configurar dicho puerto como miembro de ambos grupos m Configuración lógica -> conmutadores separados conectados mediante un router m Normalmente los fabricantes incluyen en un único dispositivo conmutador VLAN y router ABCDEF G HI

Redes virtuales102 VLAN VLAN: r Localización diferente m Miembros de un grupo se encuentran en edificios diferentes m Necesario varios conmutadores m Conectar puertos de grupos entre conmutadores -> No escalable AB C DE FG HI

Redes virtuales103 VLAN VLAN: r Localización diferente m Troncalización VLAN (VLAN Trunking) m Puerto troncal pertenece a todas las VLANs m ¿VLAN Destino de la trama? -> formato de trama 802.1Q AB C DE FG HI Enlace troncal

Redes virtuales104 VLAN IEEE 802.1Q:  IEEE (Ethernet)  IEEE 802.1Q Dir. Destino DatosPreambulo Dir. Origen Tipo CRC Dir. Destino DatosPreambulo Dir. Origen Tipo CRC nuevo TPID TCI Información de control de etiquetado Identificador de protocolo de etiquetado

Redes virtuales105 VLAN VLAN: r VLAN basada en MAC (nivel 2) m El administrador de red crea grupos VLAN basados en rangos de direcciones MAC m El puerto del conmutador se conecta a la VLAN correspondiente con la dirección MAC del equipo asociado r VLAN nivel 3 m Basada en direcciones de red IPv4 o IPv6 m Basada en protocolos de red (Appletalk, IPX, TCP/IP)

Feedback: Política de privacidad Feedback
Do Not Sell My Personal Information
Sobre el proyecto: SlidePlayer Condiciones de uso

© 2025 SlidePlayer.es Inc. All rights reserved.