La descarga está en progreso. Por favor, espere

La descarga está en progreso. Por favor, espere

8.6-1 Capítulo 8, Sección 8.6: IPsec Material basado en el Texto: Computer Networking: A Top Down Approach Featuring the Internet, Jim Kurose, Keith Ross.

Publicada porFidel Mondragon Modificado hace 10 años

Presentaciones similares

Presentación del tema: "8.6-1 Capítulo 8, Sección 8.6: IPsec Material basado en el Texto: Computer Networking: A Top Down Approach Featuring the Internet, Jim Kurose, Keith Ross."— Transcripción de la presentación:

1 8.6-1 Capítulo 8, Sección 8.6: IPsec Material basado en el Texto: Computer Networking: A Top Down Approach Featuring the Internet, Jim Kurose, Keith Ross.

2 8.6-2Network Security Capítulo 8 contenidos 8.1 ¿Qué es la seguridad en la red? 8.2 Principios de criptografía 8.3 Integridad de mensajes 8.4 Dando seguridad a e-mail 8.5 Conexiones TCP seguras: SSL 8.6 Seguridad en capa de Red: IPsec 8.7 Seguridad en redes locales inalámbricas 8.8 Cortafuegos y Sistemas de detección de intrusión (IDS)

3 8.6-3Network Security ¿Qué es confidencialidad en la capa de red ? Entre la capa de red de dos nodos:  Quien envía encripta los datos del datagrama (no su encabezado), posibles tipos de datos  Segmento TCP o UDP, mensajes ICMP, OSPF ….  Los datos enviados de un nodo a otro se ocultan:  Páginas web, e-mail, archivos P2P, paquetes SYN de TCP SYN …

4 8.6-4Network Security Virtual Private Networks (VPNs) motivación:  Las instituciones requieren a menudo redes privadas por seguridad.  Son costosas: se debe contar con routers, links, DNS.  Con VPN: el tráfico entre oficinas de la institución es enviado a través de Internet pública.  Se encripta antes de ingresar a la red pública  Hay una separación lógica, no física, de otros tráficos.

5 8.6-5Network Security IP header IPsec header Secure payload IP header IPsec header Secure payload IP header IPsec header Secure payload IP header payload IP header payload Oficinas centrales (headquarters) Sucursal Vendedor en hotel laptop w/ IPsec router w/ IPv4 and IPsec router w/ IPv4 and IPsec public Internet Virtual Private Networks (VPNs) No todo el tráfico Internet va con IPsec. Ej. acceso a google

6 8.6-6Network Security Servicios IPsec  Integridad de datos  Autenticación de origen  Prevención de ataque de reproducción  confidencialidad  Características:  Datagrama IPsec es emitido y recibido por sistemas extremos  Protege protocolos de capas superiores  Apropiado para VPNs  Dos protocolos con modelos de servicio diferentes:  AH (Authentication Header)  ESP (Encapsulation Security Protocol)

7 8.6-7Network Security Modos en IPsec: túnel y transporte  Túnel: IPsec en routers de borde IPsec  Transporte: IPsec en Hosts

8 8.6-8Network Security Dos Protocolos IPsec  Protocolo Authentication Header (AH)  Provee: autenticación de fuente e integridad de datos, pero no confidencialidad.  Encapsulation Security Protocol (ESP)  Provee: autenticación de fuente, integridad de datos y confidencialidad  ESP es más usado que AH

9 8.6-9Network Security Asociaciones de Seguridad (SAs)  Antes de enviar datos, se establece una “asociación de seguridad (security association SA)” desde la fuente al destino IPsec  SAs son simplex: en una dirección  Si hay datos de regreso, la otra fuente arma otra asociación  Los nodos entremos en IPsec mantienen información de estado sobre la SA.  Recordar: extremos en TCP también mantienen estado  IP es sin conexión; pero IPsec es orientado a la conexión!  ¿Cuántas SAs hay en la VPN que interconecta la oficina central, una sucursal y n vendedores en terreno?

10 8.6-10Network Security Ejemplo de SA de R1 a R2 En base de datos, R1 almacena para cada SA:  Identificador de SA de 32-bit: Security Parameter Index (SPI)  Interfaz SA origen (200.168.1.100)  Interfaz SA destino (193.68.2.23)  Tipo de encriptación usada (e.g., 3DES con CBC)  Clave de encriptación  Tipo de chequeo de integridad usado (e.g., HMAC con MD5)  Clave de autenticación 193.68.2.23 200.168.1.100 172.16.1/24 172.16.2/24 security association (SA) Internet Oficina central sucursal R1 R2

11 8.6-11Network Security Datagrama IPsec Caso modo túnel con ESP Header IP nuevo ESP hdr Header IP original Datos del datagrama IP original ESP trl ESP auth encriptado Autenticado padding pad length next header SPI Seq #

12 8.6-12Network Security ¿Cómo R1 arma el datagrama? Header IP nuevo ESP hdr Header IP original Datos del datagrama IP original ESP trl ESP auth encriptado Autenticado padding pad length next header SPI Seq # 193.68.2.23 200.168.1.100 172.16.1/24 172.16.2/24 security association (SA) Internet Oficina central sucursal R1 R2 Código de Autenticación de Mensaje Header IP con dirección origen R1 y destino R2 Parra reconocer ataque de reproducción Para que R2 busque en DB datos de esa SA

13 8.6-13Network Security Resumen: servicio IPsec  Si el atacante se ubica entre R1 y R2. Éste no conoce las claves.  ¿Será capaz de ver el contenido del datagrama original? Verá dirección fuente y destino? Protocolo de transporte? Puerto de la aplicación?  ¿Podrá cambiar los bits sin ser detectado?  ¿repetir un datagrama antiguo sin ser detectado?

14 8.6-14Network Security IKE: Internet Key Exchange  Ejemplos previos: supusimos establecimiento manual de IPsec SAs en puntos extremos: Ejemplo SA SPI: 12345 Source IP: 200.168.1.100 Dest IP: 193.68.2.23 Protocol: ESP Encryption algorithm: 3DES-cbc HMAC algorithm: MD5 Encryption key: 0x7aeaca… HMAC key:0xc0291f…  Configuración manual no es práctico para VPN con centenas de puntos de llegada.  En su lugar se usa IPsec IKE (Internet Key Exchange)

15 8.6-15Network Security Resumen IPsec  Se intercambian mensajes IKE para definir algoritmos, claves secretas, números SPI.  Se usa protocolo AH o ESP (o ambos)  AH provee integridad, autenticación de fuente  ESP (con AH) provee adicionalmente encriptación  Pares IPsec pueden ser dos sistemas terminales, dos routers/cortafuegos, o un router/cortafuegos y un sistema terminal

16 8.6-16Network Security Capítulo 8 contenidos 8.1 ¿Qué es la seguridad en la red? 8.2 Principios de criptografía 8.3 Integridad de mensajes 8.4 Dando seguridad a e-mail 8.5 Conexiones TCP seguras: SSL 8.6 Seguridad en capa de Red: IPsec 8.7 Seguridad en redes locales inalámbricas 8.8 Cortafuegos y Sistemas de detección de intrusión (IDS)

Descargar ppt "8.6-1 Capítulo 8, Sección 8.6: IPsec Material basado en el Texto: Computer Networking: A Top Down Approach Featuring the Internet, Jim Kurose, Keith Ross."

Presentaciones similares

Protocolos TCP/IP.

Protocolos TCP/IP.
TEMA1. Servicios de Red e Internet

TEMA1. Servicios de Red e Internet
PROTOCOLO SEGURO HTTPS

PROTOCOLO SEGURO HTTPS
VPN Virtual Private Network Red Privada Virtual.

VPN Virtual Private Network Red Privada Virtual.
OSI TCP/IP MODELO Ing. Camilo Jaramillo Ing. Wilmer Onofre García

OSI TCP/IP MODELO Ing. Camilo Jaramillo Ing. Wilmer Onofre García
CAPA DE RED DEL MODELO DE REFERENCIA OSI

CAPA DE RED DEL MODELO DE REFERENCIA OSI
Ingeniería en Automática Industrial Software para Aplicaciones Industriales I Ingeniería en Automática Industrial Software para Aplicaciones Industriales.

Ingeniería en Automática Industrial Software para Aplicaciones Industriales I Ingeniería en Automática Industrial Software para Aplicaciones Industriales.
IPSEC Seguridad en IP.

IPSEC Seguridad en IP.
MODELO TCP/IP Conectividad de extremo a extremo especificando como los datos deberian ser formateados,direccionados,transmitidos,enrutados y recibidos.

MODELO TCP/IP Conectividad de extremo a extremo especificando como los datos deberian ser formateados,direccionados,transmitidos,enrutados y recibidos.
Pablo Suau/Ramón Rizo - Seguridad en Entornos Web 1 VPNs con PGP Introducción Definiciones Instalación de PGPnet Añadir un host PGPnet.

Pablo Suau/Ramón Rizo - Seguridad en Entornos Web 1 VPNs con PGP Introducción Definiciones Instalación de PGPnet Añadir un host PGPnet.
MODELO TCP/IP.

MODELO TCP/IP.
Capítulo 8 Seguridad en Redes WEP, FW, IDS

Capítulo 8 Seguridad en Redes WEP, FW, IDS
(VIRTUAL PRIVATE NETWORK)

(VIRTUAL PRIVATE NETWORK)
VPN Red privada virtual.

VPN Red privada virtual.
Virtual Private Network CaFeLUG Briefing Trimestral Bco. Credicoop Abril 2003 Conceptos e Implementación.

Virtual Private Network CaFeLUG Briefing Trimestral Bco. Credicoop Abril 2003 Conceptos e Implementación.
PRESENTADO POR: ROBINSON JIMENEZ. DEFINICIÓN VPN VPN es una tecnología de red que permite una extensión de la red local sobre una red pública o no controlada,

PRESENTADO POR: ROBINSON JIMENEZ. DEFINICIÓN VPN VPN es una tecnología de red que permite una extensión de la red local sobre una red pública o no controlada,
Existen dos tipos básicos de redes VPN:

Existen dos tipos básicos de redes VPN:
1 Capítulo 14. IP: Direcciones en Internet Protocol ICD-327: Redes de Computadores Agustín J. González.

1 Capítulo 14. IP: Direcciones en Internet Protocol ICD-327: Redes de Computadores Agustín J. González.
Network Layer4-1 Del Capítulo 4 Ruteo Broadcast y Multicast Agustín J. González Tomado de: Computer Networking: A Top Down Approach Featuring the Internet,

Network Layer4-1 Del Capítulo 4 Ruteo Broadcast y Multicast Agustín J. González Tomado de: Computer Networking: A Top Down Approach Featuring the Internet,
6: Redes Inalámbricas y Móviles6-1 Capítulo 6 redes inalámbricas y móviles Computer Networking: A Top Down Approach Featuring the Internet, 3 rd edition.

6: Redes Inalámbricas y Móviles6-1 Capítulo 6 redes inalámbricas y móviles Computer Networking: A Top Down Approach Featuring the Internet, 3 rd edition.

Presentaciones similares

Anuncios Google