SEGURIDAD INFORMATICA II IX. SEGURIDAD Y REDES PRIVADAS VIRTUALES. UNIVERSIDAD LATINA SEGURIDAD INFORMATICA II IX. SEGURIDAD Y REDES PRIVADAS VIRTUALES. E.I. L.E. Prof. Ramón Castro Liceaga
Las Redes Virtuales Privadas VPN’s son un concepto de tecnología que permite conectar varias LAN’s o estaciones remotas entre sí, de forma segura y confidencial, a través de un medio inseguro como INTERNET, mediante el uso de la autenticación, encriptación y túneles (canal) para las conexiones. E.I. L.E. Prof. Ramón Castro Liceaga
Que se puede hacer con una VPN ? E.I. L.E. Prof. Ramón Castro Liceaga
Que se puede hacer con una VPN ? E.I. L.E. Prof. Ramón Castro Liceaga
Que se puede hacer con una VPN ? E.I. L.E. Prof. Ramón Castro Liceaga
Tema 9: Redes Virtuales 9.1 Seguridad en redes 9.1.1 Introducción 9.1.2 Criptografía 9.1.3 Criptoanálisis 9.1.4 Clave simétrica 9.1.5 Clave asimétrica 9.1.6 Sistema mixto 9.2 Redes privadas virtuales 9.2.1 Introducción 9.2.2 PPTP 9.2.3 L2TP 9.2.4 IPsec 9.2.5 SSL 9.3 Redes de área local virtual Redes virtuales
Tema 9: Redes Virtuales 9.1 Seguridad en redes 9.1.1 Introducción 9.1.2 Criptografía 9.1.3 Criptoanálisis 9.1.4 Clave simétrica 9.1.5 Clave asimétrica 9.1.6 sistema mixto 9.2 Redes privadas virtuales 9.2.1 Introducción 9.2.2 PPTP 9.2.3 L2TP 9.2.4 IPsec 9.2.5 SSL 9.3 Redes de área local virtual Redes virtuales
Introducción (canal seguro vs. inseguro) Propiedades: Confidencialidad Integridad Autenticidad (autenticación) No repudio (evitar la negación de envio/recepción) Canal seguro? Emisor Receptor Redes virtuales
Introducción Confidencialidad: La información transmitida por el canal inseguro sólo podrá ser interpretada por elementos destinatarios acreditados Debe permanecer ininteligible para el resto Formas de protección: Líneas física dedicadas Alto coste Difícil mantenimiento Cifrado Ejemplo: obtención de datos del emisor Redes virtuales
Introducción Integridad: Asegura que la información transmitida no haya sido modificada durante su transcurso El mensaje en el destino debe ser el mismo que el mensaje en el origen Formas de protección: Firmas digitales Ejemplo: modificación de la dirección de envío de un producto comprado por Internet Redes virtuales
Introducción Autenticidad: Asegurar el origen de una información Evitar suplantaciones Formas de protección: Firmas digitales Desafío Autenticación humana Biométrica (huella dactilar, retina, reconocimiento facial, etc.) Ejemplo: suplantación de usuario en transacción bancaria Redes virtuales
Introducción No repudio: Evitar negación de envío por parte de un emisor Evitar negación de recepción por parte de un receptor Formas de protección: Firmas digitales Ejemplo: pérdida de solicitud en proceso administrativo Redes virtuales
Introducción Canal inseguro: Poco fiable Ataques: Violación de seguridad del canal. Tipos Pasivos Activos Categorías Interceptación Interrupción Modificación Fabricación Redes virtuales
Introducción Ataques pasivos: El intruso no altera el contenido de la información transmitida Como evitarlos: Identificación de entidades Control del volumen de tráfico Análisis del tráfico Horario de intercambio habitual Problemas : Dificultad de detección Es fácil de evitar -> cifrado Redes virtuales
Introducción Ataques activos: Implican alteración del contenido de la información transmitida Tipos de ataques: Enmascarados (impostor) Repetitivo (mensaje interceptado y repetido posteriormente) Modificación del mensaje Denegación del servicio Dificultad de prevención Fácil de detectar -> detección y recuperación Redes virtuales
Introducción Ataque de Interceptación: Ataque de confidencialidad Pasivo Un elemento no autorizado consigue acceso a un recurso no compartido Ejemplos: Captura de tráfico de red Copia ilícita de archivos o programas Emisor Receptor Intruso Redes virtuales
Introducción Ataque de Interrupción: Destrucción de un recurso compartido Activo Ejemplos: Destrucción de hardware Corte de línea de comunicación Emisor Receptor Intruso Redes virtuales
Introducción Ataque de Modificación: Un recurso no compartido es interceptado y manipulado por un elemento no autorizado antes de llegar al destino final Activo Ejemplos: Alteración de los datos enviados a través de una red Emisor Receptor Intruso Redes virtuales
Introducción Ataque de Fabricación: Ataque de autenticidad Activo Elemento no autorizado (impostor) genera un recurso que llega al destinatario Ejemplos: Introducción de información fraudulenta Emisor Receptor Intruso Redes virtuales
Tema 9: Redes Virtuales 9.1 Seguridad en redes 9.1.1 Introducción 9.1.2 Criptografía 9.1.3 Criptoanálisis 9.1.4 Clave simétrica 9.1.5 Clave asimétrica 9.1.6 sistema mixto 9.2 Redes privadas virtuales 9.2.1 Introducción 9.2.2 PPTP 9.2.3 L2TP 9.2.4 IPsec 9.2.5 SSL 9.3 Redes de área local virtual Redes virtuales
Criptografía Introducción: ¿Por qué? Definición Principio Formas de protección contra intrusos basadas en la encriptación (cifrado y firmas digitales) Definición Ciencia de la escritura secreta, destinada a ocultar la información con el objetivo de que no pueda ser interpretada por otras personas Principio Mantener la privacidad de la comunicación entre dos o más elementos Redes virtuales
Criptografía Introducción: Base de funcionamiento Ejemplo Alteración del mensaje original para que sea incompatible con toda persona ajena al destinatario Ejemplo Mensaje original: “Mi profesor es un plasta” Mensaje alterado: “Pl surihvru hv xq sñdvwd” Redes virtuales
Criptografía Cifrado: Descifrado: Procedimiento que convierte un mensaje en claro en otro incomprensible El algoritmo de cifrado requiere una clave Descifrado: Procedimiento que convierte un mensaje incomprensible en el mensaje original Es necesario conocer el algoritmo de cifrado empleado y la clave adecuada Redes virtuales
Criptografía Introducción: Esquema de funcionamiento Receptor Emisor cifrado descifrado Redes virtuales
Tema 9: Redes Virtuales 9.1 Seguridad en redes 9.1.1 Introducción 9.1.2 Criptografía 9.1.3 Criptoanálisis 9.1.4 Clave simétrica 9.1.5 Clave asimétrica 9.1.6 sistema mixto 9.2 Redes privadas virtuales 9.2.1 Introducción 9.2.2 PPTP 9.2.3 L2TP 9.2.4 IPsec 9.2.5 SSL 9.3 Redes de área local virtual Redes virtuales
Criptoanálisis Introducción: Definición Objetivo Ataques Conjunto de métodos destinados a averiguar la clave usada por las partes comunicantes Objetivo Desvelar el secreto de la correspondencia Ataques Ataque de fuerza bruta (o directos) Tipos: Ataque de sólo texto cifrado Ataque de texto claro conocido Ataque de texto claro seleccionado Redes virtuales
Tema 4: Redes Virtuales 4.1 Seguridad en redes 4.1.1 Introducción 4.1.2 Criptografía 4.1.3 Criptoanálisis 4.1.4 Clave simétrica 4.1.5 Clave asimétrica 4.1.6 sistema mixto 4.2 Redes privadas virtuales 4.2.1 Introducción 4.2.2 PPTP 4.2.3 L2TP 4.2.4 IPsec 4.2.5 SSL 4.3 Redes de área local virtual Redes virtuales
Clave simétrica Características: Clave privada Emisor y receptor comparten la misma clave Emisor Receptor cifrado descifrado Redes virtuales
Clave simétrica Algoritmos: DES, 3DES, RC5, IDEA, AES Requisitos: Del texto cifrado no podrá extraerse ni el mensaje en claro ni la clave Conocidos el texto en claro y el texto cifrado debe ser más costoso en tiempo y dinero obtener la clave, que el valor derivado de la información sustraída Fortaleza del algoritmo: Complejidad interna Longitud de la clave Redes virtuales
Clave simétrica Objetivos cumplidos: Confidencialidad Integridad Autenticación No repudio Dependerá del número de participantes que compartan la clave secreta Redes virtuales
Clave simétrica Ventajas: Velocidad de ejecución de algoritmos Mejor método para cifrar grandes cantidades de información Inconvenientes: Distribución de la clave privada Administración y mantenimiento de claves Número de claves usadas es proporcional al número de canales seguros empleados Redes virtuales
Tema 9: Redes Virtuales 9.1 Seguridad en redes 9.1.1 Introducción 9.1.2 Criptografía 9.1.3 Criptoanálisis 9.1.4 Clave simétrica 9.1.5 Clave asimétrica 9.1.6 sistema mixto 9.2 Redes privadas virtuales 9.2.1 Introducción 9.2.2 PPTP 9.2.3 L2TP 9.2.4 IPsec 9.2.5 SSL 9.3 Redes de área local virtual Redes virtuales
Clave asimétrica Características: Clave pública Privada emisor Pública emisor Privada receptor Características: Clave pública Cada participante posee una pareja de claves (privada-pública) Pública receptor Emisor Receptor cifrado descifrado Redes virtuales
Clave asimétrica Algoritmos: Diffie-Hellman, RSA, DSA Requisitos: Del texto cifrado debe ser imposible extraer el mensaje en claro y la clave privada Conocidos el texto en claro y el texto cifrado debe ser más costoso en tiempo y dinero obtener la clave privada, que el valor derivado de la información sustraída Para un texto cifrado con clave pública, sólo debe existir una clave privada capaz desencriptarlo, y viceversa Redes virtuales
Tema 9: Redes Virtuales 9.1 Seguridad en redes 9.1.1 Introducción 9.1.2 Criptografía 9.1.3 Criptoanálisis 9.1.4 Clave simétrica 9.1.5 Clave asimétrica 9.1.6 sistema mixto 9.2 Redes privadas virtuales 9.2.1 Introducción 9.2.2 PPTP 9.2.3 L2TP 9.2.4 IPsec 9.2.5 SSL 9.3 Redes de área local virtual Redes virtuales
Sistema mixto Clave de sesión: Privada emisor Pública emisor Privada receptor Pública receptor Clave de sesión: Partes Distribución de clave de sesión (asimétrico) Comunicación segura (simétrico) Clave de sesión Emisor Receptor Redes virtuales
Sistema mixto Clave de sesión: Privada emisor Pública emisor Privada receptor Pública receptor Clave de sesión: Partes Distribución de clave de sesión (asimétrico) Comunicación segura (simétrico) Clave de sesión Emisor Receptor Redes virtuales
Sistema mixto Ventajas: No presenta problemas de distribución de claves, ya que posee clave pública Es improbable hacerse con la clave de sesión Puede emplear mecanismos de autenticación y no repudio de clave pública Velocidad de ejecución de algoritmos Redes virtuales
Tema 9: Redes Virtuales 9.1 Seguridad en redes 9.1.1 Introducción 9.1.2 Criptografía 9.1.3 Criptoanálisis 9.1.4 Clave simétrica 9.1.5 Clave asimétrica 9.1.6 sistema mixto 9.2 Redes privadas virtuales 9.2.1 Introducción 9.2.2 PPTP 9.2.3 L2TP 9.2.4 IPsec 9.2.5 SSL 9.3 Redes de área local virtual Redes virtuales
Redes privadas virtuales Introducción: Permite la Interconexión de usuarios y entidades Línea dedicada (intranets) Coste elevado Dificultad de mantenimiento Uso de red de acceso público Riesgos de seguridad LAN Red pública Redes virtuales
Redes privadas virtuales Concepto: VPN: Canal de datos privado implementado sobre red de comunicaciones pública Objetivos: Enlazar subredes remotas Enlazar subredes y usuarios remotos Uso de túnel virtual con encriptación Túnel virtual LAN Red pública Redes virtuales
Redes privadas virtuales Ventajas: Autenticación y verificación de identidad Administración de rango de IPs virtuales Cifrado de datos Gestión de claves públicas, privadas, y certificados digitales Soporte para múltiples protocolos Redes virtuales
Redes privadas virtuales Tipos de VPNs: Sistemas basados en hardware Diseños específicos optimizados Muy seguros y sencillos Alto rendimiento Coste elevado Servicios añadidos (firewalls, detectores de intrusos, antivirus, etc.) Ejemplos: Cisco, Stonesoft, Juniper, Nokia, Panda Security Sistemas basados en software Redes virtuales
Redes privadas virtuales Ventajas: Seguridad y confidencialidad Reducción de costes Escalabilidad a mejorar la seguridad Mantenimiento sencillo Compatibilidad con los enlaces inalámbricos Redes virtuales
Redes privadas virtuales Elementos de las VPNs: Redes privadas o locales LAN de acceso restringido con rango de IPs privadas Redes seguras Túneles VPN Servidores Routers Usuarios remotos (road warriors) Oficinas remotas (gateways) Redes virtuales
Redes privadas virtuales Tipos o Configuraciones en VPNs: Punto a punto LAN - LAN LAN – usuario remoto LAN LAN LAN Redes virtuales
Tema 9: Redes Virtuales 9.1 Seguridad en redes 9.1.1 Introducción 9.1.2 Criptografía 9.1.3 Criptoanálisis 9.1.4 Clave simétrica 9.1.5 Clave asimétrica 9.1.6 sistema mixto 9.2 Redes privadas virtuales 9.2.1 Introducción 9.2.2 PPTP 9.2.3 L2TP 9.2.4 IPsec 9.2.5 SSL 9.3 Redes de área local virtual Redes virtuales
PPTP Significado y Características: Protocolo de túnel punto a punto (PPTP) Protocolo diseñado y desarrollado por 3Com, Microsoft Corporation, Ascend Communications y ECI Telematics, y definido en IETF (RFC 2637) Se emplea en acceso virtual seguro de usuarios remotos a red privada Emplea mecanismo de túneles para envío de datos desde cliente a servidor Usa red IP de carácter pública o privada Redes virtuales
PPTP Funcionamiento de PPTP: Servidor PPTP configurado para repartir IP de LAN privada El servidor se comporta como un puente 192.168.1.30 192.168.1.31 Servidor PPTP 192.168.1.1 67.187.11.25 LAN 192.168.1.32 Usuario remoto 192.168.1.30 - 120 Redes virtuales
Tema 4: Redes Virtuales 4.1 Seguridad en redes 4.1.1 Introducción 4.1.2 Criptografía 4.1.3 Criptoanálisis 4.1.4 Clave simétrica 4.1.5 Clave asimétrica 4.1.6 sistema mixto 4.2 Redes privadas virtuales 4.2.1 Introducción 4.2.2 PPTP 4.2.3 L2TP 4.2.4 IPsec 4.2.5 SSL 4.3 Redes de área local virtual Redes virtuales
L2TP Concepto y Características de L2TP: Protocolo de túnel de nivel 2 (RFC 2661) - PPP L2TP v3 (RFC 3931) - multiprotocolo Basado en 2 protocolos de red para transportar tramas PPP (punto a punto): PPTP L2F (Layer Two Forwarding) Se emplea junto a IPSec para ofrecer mayor seguridad (L2TP/IPSec, RFC 3193) Redes virtuales
L2TP Funcionamiento de L2TP: tiene… LAC: Concentrador de acceso L2TP LNS: Servidor de red L2TP El servidor se comporta como un puente 192.168.1.31 Servidor L2TP (LNS) 192.168.1.1 67.187.11.25 LAN ISP Obligatorio 192.168.1.32 Usuario remoto 192.168.1.100 - 120 LAC Voluntario Redes virtuales
Tema 9: Redes Virtuales 9.1 Seguridad en redes 9.1.1 Introducción 9.1.2 Criptografía 9.1.3 Criptoanálisis 9.1.4 Clave simétrica 9.1.5 Clave asimétrica 9.1.6 sistema mixto 9.2 Redes privadas virtuales 9.2.1 Introducción 9.2.2 PPTP 9.2.3 L2TP 9.2.4 IPsec 9.2.5 SSL 9.3 Redes de área local virtual Redes virtuales
IPSec Definición y Caracteríticas: IPSec= Internet Protocol Security Ofrece servicios de seguridad a capa IP Permite enlazar redes distintas (oficinas remotas) Permite acceso de un usuario remoto a recursos privados de una red Estándares IETF (Internet Engineering Task Force) Integrado en IPv4 e incluido por defecto en IPv6 IPSec es orientado a la conexión Redes virtuales
IPSec Caracteríticas: Servicios: Modos de funcionamiento: Integridad de datos Autenticación del origen Confidencialidad Prevención de ataques por reproducción Modos de funcionamiento: Modo transporte Modo túnel Redes virtuales
Tema 9: Redes Virtuales 9.1 Seguridad en redes 9.1.1 Introducción 9.1.2 Criptografía 9.1.3 Criptoanálisis 9.1.4 Clave simétrica 9.1.5 Clave asimétrica 9.1.6 sistema mixto 9.2 Redes privadas virtuales 9.2.1 Introducción 9.2.2 PPTP 9.2.3 L2TP 9.2.4 IPsec 9.2.5 SSL 9.3 Redes de área local virtual Redes virtuales
SSL El proyecto OpenVPN: Implementación de VPN basada en SSL (OpenSSL) Software libre (GPL) Razones: Limitaciones de IPSec Características SSL: Driver tun encargado de levantar túnel y encapsular los paquetes a través del enlace virtual Posee autenticación y encriptación Todas comunicaciones a través de un puerto TCP o UDP (1194 por defecto) Multiplataforma Permite usar compresión Redes virtuales
SSL El proyecto OpenVPN: Características: Modelo cliente-servidor (versión 2.0) Existen paquetes con instaladores y administradores gráficos Permite administración remota de la aplicación Alta flexibilidad (multitud formatos de scripts) Redes virtuales
Tema 9: Redes Virtuales 9.1 Seguridad en redes 9.1.1 Introducción 9.1.2 Criptografía 9.1.3 Criptoanálisis 9.1.4 Clave simétrica 9.1.5 Clave asimétrica 9.1.6 sistema mixto 9.2 Redes privadas virtuales 9.2.1 Introducción 9.2.2 PPTP 9.2.3 L2TP 9.2.4 IPsec 9.2.5 SSL 9.3 Redes de área local virtual Redes virtuales
VLAN Introducción Las LANs institucionales modernas suelen presentar topología jerárquica Cada grupo de trabajo posee su propia LAN conmutada Las LANs conmutadas pueden interconectarse entre sí mediante una jerarquía de conmutadores D E F S2 S4 S3 H I G S1 A B C Redes virtuales
VLAN Inconvenientes: Falta de aislamiento del tráfico Tráfico de difusión Limitar tráfico por razones de seguridad y confidencialidad Uso ineficiente de los conmutadores Gestión de los usuarios Redes virtuales
VLAN Que es una VLAN: Es un método que nos permite crear redes lógicas e independientes dentro de una misma red física. Es una subdivisión de una red de área local en la capa de vínculo de datos de la pila de protocolo TCP/IP. Puede crear redes VLAN para redes de área local que utilicen tecnología de nodo. Al asignar los grupos de usuarios en redes VLAN, puede mejorar la administración de red y la seguridad de toda la red local. También puede asignar interfaces del mismo sistema a redes VLAN diferentes Redes virtuales
VLAN VLAN: VLAN basada en puertos División de puertos del conmutador en grupos Cada grupo constituye una VLAN Cada VLAN es un dominio de difusión Gestión de usuario -> Cambio de configuración del conmutador G A B C D E F H I Redes virtuales