La descarga está en progreso. Por favor, espere

La descarga está en progreso. Por favor, espere

Redes virtuales1 Tema 4: Redes Virtuales r 4.1 Seguridad en redes m 4.1.1 Introducción m 4.1.2 Criptografía m 4.1.3 Criptoanálisis m 4.1.4 Clave simétrica.

Publicada porMaría Isabel Casado Miranda Modificado hace 10 años

Presentaciones similares

Presentación del tema: "Redes virtuales1 Tema 4: Redes Virtuales r 4.1 Seguridad en redes m 4.1.1 Introducción m 4.1.2 Criptografía m 4.1.3 Criptoanálisis m 4.1.4 Clave simétrica."— Transcripción de la presentación:

1 Redes virtuales1 Tema 4: Redes Virtuales r 4.1 Seguridad en redes m 4.1.1 Introducción m 4.1.2 Criptografía m 4.1.3 Criptoanálisis m 4.1.4 Clave simétrica m 4.1.5 Clave asimétrica m 4.1.6 Sistema mixto r 4.2 Redes privadas virtuales m 4.2.1 Introducción m 4.2.2 PPTP m 4.2.3 L2TP m 4.2.4 IPsec m 4.2.5 SSL r 4.3 Redes de área local virtual

2 Redes virtuales2 Tema 4: Redes Virtuales r 4.1 Seguridad en redes m 4.1.1 Introducción m 4.1.2 Criptografía m 4.1.3 Criptoanálisis m 4.1.4 Clave simétrica m 4.1.5 Clave asimétrica m 4.1.6 sistema mixto r 4.2 Redes privadas virtuales m 4.2.1 Introducción m 4.2.2 PPTP m 4.2.3 L2TP m 4.2.4 IPsec m 4.2.5 SSL r 4.3 Redes de área local virtual

3 Redes virtuales3 Introducción Canal seguro: r Propiedades: m Confidencialidad m Integridad m Autenticidad (autenticación) m No repudio Emisor Receptor Canal seguro?

4 Redes virtuales4 Introducción Confidencialidad: r La información transmitida por el canal inseguro sólo podrá ser interpretada por elementos destinatarios acreditados r Debe permanecer ininteligible para el resto r Formas de protección: m Líneas física dedicadas  Alto coste  Difícil mantenimiento m Cifrado r Ejemplo: obtención de datos del emisor

5 Redes virtuales5 Introducción Integridad: r Asegura que la información transmitida no haya sido modificada durante su transcurso r El mensaje en el destino debe ser el mismo que el mensaje en el origen r Formas de protección: m Firmas digitales r Ejemplo: modificación de la dirección de envío de un producto comprado por Internet

6 Redes virtuales6 Introducción Autenticidad: r Asegurar el origen de una información r Evitar suplantaciones r Formas de protección: m Firmas digitales m Desafío m Autenticación humana  Biométrica (huella dactilar, retina, reconocimiento facial, etc.) r Ejemplo: suplantación de usuario en transacción bancaria

7 Redes virtuales7 Introducción No repudio: r Evitar negación de envío por parte de un emisor r Evitar negación de recepción por parte de un receptor r Formas de protección: m Firmas digitales r Ejemplo: pérdida de solicitud en proceso administrativo

8 Redes virtuales8 Introducción Canal inseguro: r Poco fiable r Ataques: Violación de seguridad del canal. m Tipos  Pasivos  Activos m Categorías  Interceptación  Interrupción  Modificación  Fabricación

9 Redes virtuales9 Introducción Ataques pasivos: r El intruso no altera el contenido de la información transmitida r Objetivos: m Identificación de entidades m Control del volumen de tráfico m Análisis del tráfico m Horario de intercambio habitual r Dificultad de detección r Fácil de evitar -> cifrado

10 Redes virtuales10 Introducción Ataques activos: r Implican alteración del contenido de la información transmitida r Tipos: m Enmascarados (impostor) m Repetitivo (mensaje interceptado y repetido posteriormente) m Modificación del mensaje m Denegación del servicio r Dificultad de prevención r Fácil de detectar -> detección y recuperación

11 Redes virtuales11 Introducción Interceptación: r Ataque de confidencialidad r Pasivo r Un elemento no autorizado consigue acceso a un recurso no compartido r Ejemplos: m Captura de tráfico de red m Copia ilícita de archivos o programas Emisor Receptor Intruso

12 Redes virtuales12 Introducción Interrupción: r Destrucción de un recurso compartido r Activo r Ejemplos: m Destrucción de hardware m Corte de línea de comunicación Emisor Receptor Intruso

13 Redes virtuales13 Introducción Modificación: r Un recurso no compartido es interceptado y manipulado por un elemento no autorizado antes de llegar al destino final r Activo r Ejemplos: m Alteración de los datos enviados a través de una red Emisor Receptor Intruso

14 Redes virtuales14 Introducción Fabricación: r Ataque de autenticidad r Activo r Elemento no autorizado (impostor) genera un recurso que llega al destinatario r Ejemplos: m Introducción de información fraudulenta Emisor Receptor Intruso

15 Redes virtuales15 Tema 4: Redes Virtuales r 4.1 Seguridad en redes m 4.1.1 Introducción m 4.1.2 Criptografía m 4.1.3 Criptoanálisis m 4.1.4 Clave simétrica m 4.1.5 Clave asimétrica m 4.1.6 sistema mixto r 4.2 Redes privadas virtuales m 4.2.1 Introducción m 4.2.2 PPTP m 4.2.3 L2TP m 4.2.4 IPsec m 4.2.5 SSL r 4.3 Redes de área local virtual

16 Redes virtuales16 Criptografía Introducción: r ¿Por qué? m Formas de protección contra intrusos basadas en la encriptación (cifrado y firmas digitales) r Definición m Ciencia de la escritura secreta, destinada a ocultar la información con el objetivo de que no pueda ser interpretada por otras personas r Principio m Mantener la privacidad de la comunicación entre dos o más elementos

17 Redes virtuales17 Criptografía Introducción: r Base de funcionamiento m Alteración del mensaje original para que sea incompatible con toda persona ajena al destinatario r Ejemplo m Mensaje original: “Mi profesor es un plasta” m Mensaje alterado: “Pl surihvru hv xq sñdvwd” m Cifrado de César con K=3

18 Redes virtuales18 Criptografía Cifrado: r Procedimiento que convierte un mensaje en claro en otro incomprensible r El algoritmo de cifrado requiere una clave Descifrado: r Procedimiento que convierte un mensaje incomprensible en el mensaje original r Es necesario conocer el algoritmo de cifrado empleado y la clave adecuada

19 Redes virtuales19 Criptografía Introducción: r Esquema de funcionamiento Emisor Receptor cifrado descifrado

20 Redes virtuales20 Tema 4: Redes Virtuales r 4.1 Seguridad en redes m 4.1.1 Introducción m 4.1.2 Criptografía m 4.1.3 Criptoanálisis m 4.1.4 Clave simétrica m 4.1.5 Clave asimétrica m 4.1.6 sistema mixto r 4.2 Redes privadas virtuales m 4.2.1 Introducción m 4.2.2 PPTP m 4.2.3 L2TP m 4.2.4 IPsec m 4.2.5 SSL r 4.3 Redes de área local virtual

21 Redes virtuales21 Criptoanálisis Introducción: r Definición m Conjunto de métodos destinados a averiguar la clave usada por las partes comunicantes r Objetivo m Desvelar el secreto de la correspondencia r Ataques m Ataque de fuerza bruta (más común) m Tipos:  Ataque de sólo texto cifrado  Ataque de texto claro conocido  Ataque de texto claro seleccionado

22 Redes virtuales22 Tema 4: Redes Virtuales r 4.1 Seguridad en redes m 4.1.1 Introducción m 4.1.2 Criptografía m 4.1.3 Criptoanálisis m 4.1.4 Clave simétrica m 4.1.5 Clave asimétrica m 4.1.6 sistema mixto r 4.2 Redes privadas virtuales m 4.2.1 Introducción m 4.2.2 PPTP m 4.2.3 L2TP m 4.2.4 IPsec m 4.2.5 SSL r 4.3 Redes de área local virtual

23 Redes virtuales23 Clave simétrica Características: r Clave privada r Emisor y receptor comparten la misma clave Emisor Receptor cifrado descifrado

24 Redes virtuales24 Clave simétrica Algoritmos: r DES, 3DES, RC5, IDEA, AES r Requisitos: m Del texto cifrado no podrá extraerse ni el mensaje en claro ni la clave m Conocidos el texto en claro y el texto cifrado debe ser más costoso en tiempo y dinero obtener la clave, que el valor derivado de la información sustraída r Fortaleza del algoritmo: m Complejidad interna m Longitud de la clave

25 Redes virtuales25 Clave simétrica Objetivos cumplidos: r Confidencialidad r Integridad r Autenticación r No repudio m Dependerá del número de participantes que compartan la clave secreta

26 Redes virtuales26 Clave simétrica Ventajas: r Velocidad de ejecución de algoritmos m Mejor método para cifrar grandes cantidades de información Inconvenientes: r Distribución de la clave privada r Administración y mantenimiento de claves m Número de claves usadas es proporcional al número de canales seguros empleados

27 Redes virtuales27 Tema 4: Redes Virtuales r 4.1 Seguridad en redes m 4.1.1 Introducción m 4.1.2 Criptografía m 4.1.3 Criptoanálisis m 4.1.4 Clave simétrica m 4.1.5 Clave asimétrica m 4.1.6 sistema mixto r 4.2 Redes privadas virtuales m 4.2.1 Introducción m 4.2.2 PPTP m 4.2.3 L2TP m 4.2.4 IPsec m 4.2.5 SSL r 4.3 Redes de área local virtual

28 Redes virtuales28 Clave asimétrica Características: r Clave pública r Cada participante posee una pareja de claves (privada-pública) Emisor Receptor cifrado descifrado Privada emisor Pública emisor Privada receptor Pública receptor

29 Redes virtuales29 Clave asimétrica Algoritmos: r Diffie-Hellman, RSA, DSA r Requisitos: m Del texto cifrado debe ser imposible extraer el mensaje en claro y la clave privada m Conocidos el texto en claro y el texto cifrado debe ser más costoso en tiempo y dinero obtener la clave privada, que el valor derivado de la información sustraída m Para un texto cifrado con clave pública, sólo debe existir una clave privada capaz desencriptarlo, y viceversa

30 Redes virtuales30 Clave asimétrica Objetivos cumplidos: r Confidencialidad r Integridad r Autenticación m Ofrece mecanismos muy buenos r No repudio m Ofrece mecanismos muy buenos

31 Redes virtuales31 Clave asimétrica Ventajas: r No presenta problemas de distribución de claves, ya que posee clave pública r En caso de robo de clave privada de un usuario, sólo se ven comprometidos los mensajes enviados a dicho usuario r Proporciona mecanismos de autenticación mejores que los ofrecidos por sistemas simétricos Inconvenientes: r Velocidad de ejecución de algoritmos

32 Redes virtuales32 Clave asimétrica Autenticación: r Desafio-respuesta r Firma digital r Certificado digital No repudio: r Firma digital r Certificado digital

33 Redes virtuales33 Clave asimétrica Desafio-respuesta: r Envío de un desafio en claro cuya solución conoce el emisor r El emisor envía respuesta cifrada con clave privada Emisor Receptor cifrado descifrado Privada emisor Pública emisor Privada receptor Pública receptor

34 Redes virtuales34 Clave asimétrica Firma digital: r Verificar autenticidad del origen r Partes m Proceso de firma (emisor) m Proceso de verificación de la firma (receptor) Emisor Receptor firma verificación Privada emisor Pública emisor Privada receptor Pública receptor

35 Redes virtuales35 Clave asimétrica Firma digital: r Problema: Lentitud del proceso r Empleo de huella Emisor Receptor Privada emisor Pública emisor Privada receptor Pública receptor

36 Redes virtuales36 Clave asimétrica Firma digital - Huella: r Redución del tiempo de encriptado r Función de hash m Convierte conjunto de datos de longitud variable en resumen o huella de longitud fija, ilegible y sin sentido m Irreversible r Algoritmos SHA-1, MD5 r Requisitos m Capacidad de convertir datos de longitud variable en bloque de longitud fija m Fácil de usar y sencillez de implementación m Imposibilidad de obtener texto original de la huella m Textos diferentes deben generar huellas distintas r Problema: Gestión de claves

37 Redes virtuales37 Clave asimétrica Certificado digital: r Unidad de información que contiene una pareja de claves públicas y privada junto con la información necesaria para capacitar a su propietario a realizar operaciones de comunicación segura con otros interlocutores r Contiene: m Clave pública m Clave privada (si es propietario) m Datos del propietario m Datos de uso (algoritmos, funciones permitidas,...) m Periodo de validez m Firmas de Autoridades de certificación r Es posible su revocación

38 Redes virtuales38 Tema 4: Redes Virtuales r 4.1 Seguridad en redes m 4.1.1 Introducción m 4.1.2 Criptografía m 4.1.3 Criptoanálisis m 4.1.4 Clave simétrica m 4.1.5 Clave asimétrica m 4.1.6 sistema mixto r 4.2 Redes privadas virtuales m 4.2.1 Introducción m 4.2.2 PPTP m 4.2.3 L2TP m 4.2.4 IPsec m 4.2.5 SSL r 4.3 Redes de área local virtual

39 Redes virtuales39 Sistema mixto Clave de sesión: r Partes m Distribución de clave de sesión (asimétrico) m Comunicación segura (simétrico) Emisor Receptor Privada emisor Pública emisor Privada receptor Pública receptor Clave de sesión

40 Redes virtuales40 Sistema mixto Clave de sesión: r Partes m Distribución de clave de sesión (asimétrico) m Comunicación segura (simétrico) Emisor Receptor Privada emisor Pública emisor Privada receptor Pública receptor Clave de sesión

41 Redes virtuales41 Sistema mixto Objetivos cumplidos: r Confidencialidad r Integridad r Autenticación r No repudio m Empleo de firmas y certificados digitales

42 Redes virtuales42 Sistema mixto Ventajas: r No presenta problemas de distribución de claves, ya que posee clave pública r Es improbable hacerse con la clave de sesión r Puede emplear mecanismos de autenticación y no repudio de clave pública r Velocidad de ejecución de algoritmos

43 Redes virtuales43 Tema 4: Redes Virtuales r 4.1 Seguridad en redes m 4.1.1 Introducción m 4.1.2 Criptografía m 4.1.3 Criptoanálisis m 4.1.4 Clave simétrica m 4.1.5 Clave asimétrica m 4.1.6 sistema mixto r 4.2 Redes privadas virtuales m 4.2.1 Introducción m 4.2.2 PPTP m 4.2.3 L2TP m 4.2.4 IPsec m 4.2.5 SSL r 4.3 Redes de área local virtual

44 Redes virtuales44 Redes privadas virtuales Introducción: r Interconexión de usuarios y entidades m Línea dedicada (intranets)  Coste elevado  Dificultad de mantenimiento m Uso de red de acceso público  Riesgos de seguridad LAN Red pública

45 Redes virtuales45 Redes privadas virtuales Concepto: r VPN: Canal de datos privado implementado sobre red de comunicaciones pública r Objetivos: m Enlazar subredes remotas m Enlazar subredes y usuarios remotos r Uso de túnel virtual con encriptación LAN Túnel virtual Red pública

46 Redes virtuales46 Redes privadas virtuales Requisitos: r Autenticación y verificación de identidad r Administración de rango de IPs virtuales r Cifrado de datos r Gestión de claves públicas, privadas, y certificados digitales r Soporte para múltiples protocolos

47 Redes virtuales47 Redes privadas virtuales Tipos: r Sistemas basados en hardware m Diseños específicos optimizados m Muy seguros y sencillos m Alto rendimiento m Coste elevado m Servicios añadidos (firewalls, detectores de intrusos, antivirus, etc.) m Cisco, Stonesoft, Juniper, Nokia, Panda Security r Sistemas basados en software

48 Redes virtuales48 Redes privadas virtuales Ventajas: r Seguridad y confidencialidad r Reducción de costes r Escalabilidad r Mantenimiento sencillo r Compatibilidad con los enlaces inalámbricos

49 Redes virtuales49 Redes privadas virtuales Elementos: r Redes privadas o locales m LAN de acceso restringido con rango de IPs privadas r Redes inseguras r Túneles VPN r Servidores r Routers r Usuarios remotos (road warriors) r Oficinas remotas (gateways)

50 Redes virtuales50 Redes privadas virtuales Escenarios: r Punto a punto r LAN - LAN r LAN – usuario remoto LAN

51 Redes virtuales51 Tema 4: Redes Virtuales r 4.1 Seguridad en redes m 4.1.1 Introducción m 4.1.2 Criptografía m 4.1.3 Criptoanálisis m 4.1.4 Clave simétrica m 4.1.5 Clave asimétrica m 4.1.6 sistema mixto r 4.2 Redes privadas virtuales m 4.2.1 Introducción m 4.2.2 PPTP m 4.2.3 L2TP m 4.2.4 IPsec m 4.2.5 SSL r 4.3 Redes de área local virtual

52 Redes virtuales52 PPTP Características: r Protocolo de túnel punto a punto (PPTP) r Protocolo diseñado y desarrollado por 3Com, Microsoft Corporation, Ascend Communications y ECI Telematics, y definido en IETF (RFC 2637) r Se emplea en acceso virtual seguro de usuarios remotos a red privada r Emplea mecanismo de túneles para envío de datos desde cliente a servidor r Usa red IP de carácter pública o privada

53 Redes virtuales53 PPTP Funcionamiento: r Servidor PPTP configurado para repartir IP de LAN privada r El servidor se comporta como un puente LAN Usuario remoto 67.187.11.25 Servidor PPTP 192.168.1.1 192.168.1.30192.168.1.31 192.168.1.32 192.168.1.100 - 120

54 Redes virtuales54 PPTP Fases: r Establecimiento de la conexión PPP con ISP r Control de la conexión PPTP m Conexión TCP m Intercambio de mensajes de control r Transmisión de datos m Protocolo GRE m Cifrado

55 Redes virtuales55 PPTP PPP: r Protocolo punto a punto (RFC 1661) m Nivel de enlace m Usado para conectar con ISP mediante una línea telefónica (modem) o RDSI m Versiones para banda ancha (PPPoE y PPPoA) m Funciones:  Establecer, mantener y finalizar conexión pto-pto  Autenticar usuarios (PAP y CHAP)  Crear tramas encriptadas IPDatosPPP

56 Redes virtuales56 PPTP Control conexión PPTP: r Especifica una serie de mensajes de control: m PPTP_START_SESSION_REQUEST: inicio de sesión m PPTP_START_SESSION_RESPLY: respuesta solicitud inicio m PPTP_ECHO_REQUEST: mantenimiento de la sesión m PPTP_ECHO_REPLY: respuesta solicitud mantenimiento m PPTP_WAN_ERROR_NOTIFY: notificación error m PPTP_SET_LINK_INFO: configurar conexión cliente- servidor m PPTP_STOP_SESSION_REQUEST: finalización sesión m PPTP_STOP_SESSION_REPLY: respuesta solicitud finalización

57 Redes virtuales57 PPTP Autenticación PPTP: r Emplea los mismos mecanismos que PPP: m PAP (Password Authentication Protocol)  Muy simple: envío de nombre y contraseña en claro m CHAP (Challenge Handshake Authentication Protocol)  Mecanismo desafio-respuesta  Cliente genera una huella a partir del desafio recibido (MD5)  Clave secreta compartida  Envíos de desafios para revalidar identidad

58 Redes virtuales58 PPTP Autenticación PPTP: r Añade dos nuevos: m SPAP (Shiva Password Authentication Protocol)  PAP con envío de contraseña cliente encriptada m MS-CHAP (Microsoft Challenge Handshake Authentication Protocol)  Algoritmo propietario de Microsoft basado en CHAP  Proceso de autenticación mutuo (cliente y servidor)  Debido a fallo de seguridad en Windows NT se creó MS-CHAP v2

59 Redes virtuales59 PPTP Transmisión de datos: r Emplea modificación del protocolo GRE (Generic Routing Encapsulation) RFC 1701 y 1702 m Establece división funcional en tres protocolos:  Protocolo pasajero  Protocolo portador  Protocolo de transporte Pasajero Portador Transporte

60 Redes virtuales60 PPTP Transmisión de datos: r Envío de tramas PPP encapsuladas en datagramas IP GRE Datos PPP IP Medio TCPDatos IP

61 Redes virtuales61 PPTP Encriptación: r MPPE (Microsoft Point-To-Point Encryption) m RFC 3078 m Usa algoritmo RSA RC4 -> Clave de sesión a partir de clave privada de cliente m Sólo con CHAP o MS-CHAP r Permite túneles sin cifrado (PAP o SPAP) -> No VPN

62 Redes virtuales62 PPTP Ventajas: r Bajo coste de implementación (emplea red pública) r No limitación del número de túneles debido a interfaces físicas del servidor (aumento de recursos necesarios en servidor por túnel) Inconvenientes: r Altamente vulnerable m Control de la conexión TCP no autenticado m Debilidad del protocolo MS-CHAP en sistemas NT m Debilidad del protocolo MPPE r Empleo de contraseña privada

63 Redes virtuales63 Tema 4: Redes Virtuales r 4.1 Seguridad en redes m 4.1.1 Introducción m 4.1.2 Criptografía m 4.1.3 Criptoanálisis m 4.1.4 Clave simétrica m 4.1.5 Clave asimétrica m 4.1.6 sistema mixto r 4.2 Redes privadas virtuales m 4.2.1 Introducción m 4.2.2 PPTP m 4.2.3 L2TP m 4.2.4 IPsec m 4.2.5 SSL r 4.3 Redes de área local virtual

64 Redes virtuales64 L2TP Características: r Protocolo de túnel de nivel 2 (RFC 2661) - PPP r L2TP v3 (RFC 3931) - multiprotocolo r Basado en 2 protocolos de red para transportar tramas PPP: m PPTP m L2F (Layer Two Forwarding) r Se emplea junto a IPSec para ofrecer mayor seguridad (L2TP/IPSec, RFC 3193)

65 Redes virtuales65 L2TP Funcionamiento: r LAC: Concentrador de acceso L2TP r LNS: Servidor de red L2TP r El servidor se comporta como un puente LAN Usuario remoto 67.187.11.25 Servidor L2TP (LNS) 192.168.1.1 192.168.1.31 192.168.1.32 192.168.1.100 - 120 ISP LAC Voluntario Obligatorio

66 Redes virtuales66 L2TP Tipos de túneles: r Obligatorio: 1) El usuario inicia conexión PPP con ISP 2) ISP acepta conexión y enlace PPP 3) ISP solicita autenticación 4) LAC inicia túnel L2TP al LNS 5) Si LNS acepta, LAC encapsula PPP con L2TP y envía tramas 6) LNS acepta tramas y procesa como si fuesen PPP 7) LNS autentifica PPP validar usuario -> asigna IP r Voluntario: 1) Usuario remoto posee conexión con ISP 2) Cliente L2TP inicia túnel L2TP al LNS 3) Si LNS acepta, LAC encapsula con PPP y L2TP, y envía a través del túnel 4) LNS acepta tramas y procesa como si fuesen PPP 5) LNS autentifica PPP validar usuario -> asigna IP

67 Redes virtuales67 L2TP Mensajes: r Dos tipos: m Control  Empleados durante fase de establecimiento, mantenimiento y finalización del túnel  Canal de control confiable (garantiza su entrega) m Datos  Encapsular la información en tramas PPP  Intercambiados usando UDP puerto 1701

68 Redes virtuales68 L2TP Mensajes de control: r Mantenimiento de conexión: m Start-Control-Connection-Request: inicio de sesión m Start-Control-Connectio-Reply: respuesta solicitud inicio m Start-Control-Connection-Connected: sesión establecida m Start-Control-Connection-Notification: finalización de sesión m Hello: mensaje enviado durante periodos de inactividad

69 Redes virtuales69 L2TP Mensajes de control: r Mantenimiento de llamada: m Outgoing-Call-Request: inicio de la llamada saliente m Outgoing-Call-Reply: respuesta solicitud inicio llamada saliente m Outgoing-Call-Connected: llamada saliente establecida m Incoming-Call-Request: inicio de la llamada entrante m Incoming-Call-Reply: respuesta solicitud inicio llamada entrante m Incoming-Call-Connected: llamada entrante establecida m Call-Disconnect-Notify: finalización de llamada

70 Redes virtuales70 L2TP Mensajes de control: r Informe de errores: m WAN-Error-Notify: notificación de error r Sesión de control PPP: m Set-Link-Info: configurar la conexión cliente-servidor

71 Redes virtuales71 L2TP Ventajas: r Bajo coste de implementación r Soporte multiprotocolo Inconvenientes: r Únicamente se identifican los dos extremos participantes en el túnel (Posibles ataques de suplantación de identidad) r No ofrece soporte para integridad (Posible ataque de denegación de servicio) r No desarrolla confidencialidad -> No garantiza privacidad r No ofrece cifrado, aunque PPP pueden ser encriptado (no existe mecanismo de generación automática de claves)

72 Redes virtuales72 Tema 4: Redes Virtuales r 4.1 Seguridad en redes m 4.1.1 Introducción m 4.1.2 Criptografía m 4.1.3 Criptoanálisis m 4.1.4 Clave simétrica m 4.1.5 Clave asimétrica m 4.1.6 sistema mixto r 4.2 Redes privadas virtuales m 4.2.1 Introducción m 4.2.2 PPTP m 4.2.3 L2TP m 4.2.4 IPsec m 4.2.5 SSL r 4.3 Redes de área local virtual

73 Redes virtuales73 IPSec Caracteríticas: r Internet Protocol Security r Ofrece servicios de seguridad a capa IP r Permite enlazar redes distintas (oficinas remotas) r Permite acceso de un usuario remoto a recursos privados de una red r Estándares IETF (Internet Engineering Task Force) r Integrado en IPv4 e incluido por defecto en IPv6 r IPSec es orientado a la conexión

74 Redes virtuales74 IPSec Caracteríticas: r Servicios: m Integridad de datos m Autenticación del origen m Confidencialidad m Prevención de ataques por reproducción r Modos de funcionamiento: m Modo transporte m Modo túnel

75 Redes virtuales75 IPSec Asociación de seguridad: r Definición (SA): “Acuerdo unidireccional entre participantes de una conexión IPSec en cuanto a métodos y parámetros empleados en la estructura del túnel, destinados a garantizar la seguridad de los datos transmitidos” r Una entidad debe almacenar: m Claves y algoritmos de seguridad empleados m Modo de trabajo m Métodos de gestión de claves m Periodo de vigencia de la conexión establecida m Base de datos con SA

76 Redes virtuales76 IPSec Asociación de seguridad: r Ejemplo: SPI: 12345 Source IP: 200.168.1.100 Dest IP: 193.68.2.23 Protocol: ESP Encryption algorithm: 3DES-cbc HMAC algorithm: MD5 Encryption key: 0x7aeaca… HMAC key: 0xc0291f … r Métodos de distribución y administración de claves: m Manual: entrega personal m Automático: AutoKey IKE

77 Redes virtuales77 IPSec Protocolo IKE: r Protocolo de intercambio de claves en Internet (IKE) r Protocolo definido en IETF m Gestión y administración de claves m Establecimiento de SA r Estándar no limitado a IPSec (OSPF o RIP) r Protocolo híbrido: m ISAKMP (Internet Security Association and Key Management Protocol)  Define la sintaxis de los mensajes  Procedimientos necesarios para establecimiento, negociación, modificación y eliminación de SA m Oakley  Especifica lógica para el intercambio seguro de claves

78 Redes virtuales78 IPSec IKE – Negociación del túnel IPSec: r Posee dos fases: m Fase 1: Establemiciento de un canal bidireccional de comunicación seguro (IKE SA)  IKE SA distinta a IPSec SA  Se denomina ISAKMP SA m Fase 2: Acuerdos sobre algoritmos de cifrado y autenticación -> IPSec SA  Usa ISAKMP para generar IPSec SA  El precursor ofrece todas sus posibilidades al otro con prioridades  El otro acepta la primera configuración que se adecue a sus posibilidades  Se informan recíprocamente del tipo de tráfico

79 Redes virtuales79 IPSec Ventajas: r Permite acceso remoto de forma segura y transparente r Facilita el comercio electrónico (infraestructura segura para transacciones) r Posibilita la construcción de red corporativa segura (extranets) sobre redes públicas

80 Redes virtuales80 IPSec Protocolos: r Protocolo de cabecera de autenticación (AH) r Protocolo carga de seguridad encapsulada (ESP)

81 Redes virtuales81 IPSec Protocolo AH: r Campo Protocolo de la cabecera IP :51 r Servicios suministrados: m Integridad m Autenticación m No garantiza la confidencialidad (no emplea cifrado de datos) r HMAC (Hash Message Authentication Codes) m Generación de huella digital (SHA o MD5) m Cifrado de huella digital con clave secreta compartida

82 Redes virtuales82 IPSec Protocolo AH: r HMAC Emisor HMAC IPAHDATOS Receptor HMAC IPAHDATOS

83 Redes virtuales83 IPSec Protocolo AH: r Formato Next header Payload length Reserved Security Parameters Index (SPI) Sequence number Authentication data Cabecera IP Datos Cabecera AH 32 bits

84 Redes virtuales84 IPSec Protocolo AH: r Formato: m Next header: protocolo del nivel superior m Payload length: longitud del campo de datos (32 bits) m Security Parameters Index (SPI): identificador SA m Sequence number: Número de secuencia m Authentication data: HMAC de longitud variable

85 Redes virtuales85 IPSec Protocolo ESP: r Campo Protocolo de la cabecera IP :50 r Servicios suministrados: m Integridad (opcional) m Autenticación (opcional) m Confidencialidad (cifrado de datos) r Algoritmo de cifrado de clave simétrica (DES, 3DES, Blowfish) m Normalmente cifrado por bloques (relleno) m Requiere un mecanismo seguro de distribución de claves (IKE)

86 Redes virtuales86 IPSec Protocolo ESP: Emisor IPESPDATOS Receptor IPESPDATOSESP

87 Redes virtuales87 IPSec Protocolo ESP: r Formato Padding Security Parameters Index (SPI) Sequence number Cabecera IP Datos ESP 32 bits Next header Pad length Authentication data Encriptado

88 Redes virtuales88 IPSec Protocolo ESP: r Formato: m Security Parameters Index (SPI): identificador SA m Sequence number: Número de secuencia m Padding: Relleno m Pad length: longitud del relleno en bytes m Next header: protocolo del nivel superior m Authentication data: HMAC de longitud variable

89 Redes virtuales89 IPSec Modos de funcionamiento: r Aplicables tanto a AH como ESP Modo transporte con AH Modo transporte con ESP Modo túnel con AH Modo túnel con ESP Más usado

90 Redes virtuales90 IPSec Modo transporte: r Los datos se encapsulan en un datagrama AH o ESP r Asegura la comunicación extremo a extremo r Esquema cliente-cliente (ambos extremos deben entender IPSec) r Se emplea para conectar usuarios remotos IP 1 DatosIPSecIP 2 IP 1 IP 2 Host con IPSec

91 Redes virtuales91 IPSec Modo transporte:  AH: Next header = Protocol de cabecera IP  ESP: Next header = Protocol de cabecera IP Encab. AH Datos Encab. IP original Autenticado Encab. ESP Datos Encab. IP original Cifrado Autenticado

92 Redes virtuales92 IPSec Modo túnel: r Los datos se encapsulan en un datagrama IP completo r Genera nueva cabecera IP r Se emplea cuando el destino final del mensaje y el extremo IPSec no coinciden (gateways) IP A DatosIPSecIP B Host sin IPSec gateway con IPSec Host sin IPSec IP 1 IP 2 IP B IP A IP 1 IP 2

93 Redes virtuales93 IPSec Modo túnel:  AH: Protocol nueva cabecera IP = 51 y Next header = 4  ESP: Protocol nueva cabecera IP = 50 y Next header = 4 Encab. AH Datos Encab. IP nuevo Autenticado Encab. ESP Datos Encab. IP original Cifrado Autenticado Encab. IP original Encab. IP original

94 Redes virtuales94 Tema 4: Redes Virtuales r 4.1 Seguridad en redes m 4.1.1 Introducción m 4.1.2 Criptografía m 4.1.3 Criptoanálisis m 4.1.4 Clave simétrica m 4.1.5 Clave asimétrica m 4.1.6 sistema mixto r 4.2 Redes privadas virtuales m 4.2.1 Introducción m 4.2.2 PPTP m 4.2.3 L2TP m 4.2.4 IPsec m 4.2.5 SSL r 4.3 Redes de área local virtual

95 Redes virtuales95 SSL El proyecto OpenVPN: r Implementación de VPN basada en SSL (OpenSSL) r Software libre (GPL) r Razones: Limitaciones de IPSec r Características: m Driver tun encargado de levantar túnel y encapsular los paquetes a través del enlace virtual m Posee autenticación y encriptación m Todas comunicaciones a través de un puerto TCP o UDP (1194 por defecto) m Multiplataforma m Permite usar compresión

96 Redes virtuales96 SSL El proyecto OpenVPN: r Características: m Modelo cliente-servidor (versión 2.0) m Existen paquetes con instaladores y administradores gráficos m Permite administración remota de la aplicación m Alta flexibilidad (multitud formatos de scripts)

97 Redes virtuales97 Tema 4: Redes Virtuales r 4.1 Seguridad en redes m 4.1.1 Introducción m 4.1.2 Criptografía m 4.1.3 Criptoanálisis m 4.1.4 Clave simétrica m 4.1.5 Clave asimétrica m 4.1.6 sistema mixto r 4.2 Redes privadas virtuales m 4.2.1 Introducción m 4.2.2 PPTP m 4.2.3 L2TP m 4.2.4 IPsec m 4.2.5 SSL r 4.3 Redes de área local virtual

98 Redes virtuales98 VLAN Introducción: r Las LANs institucionales modernas suelen presentar topología jerárquica r Cada grupo de trabajo posee su propia LAN conmutada r Las LANs conmutadas pueden interconectarse entre sí mediante una jerarquía de conmutadores A B S1S1 C D E F S2S2 S4S4 S3S3 H I G

99 Redes virtuales99 VLAN Inconvenientes: r Falta de aislamiento del tráfico m Tráfico de difusión m Limitar tráfico por razones de seguridad y confidencialidad r Uso ineficiente de los conmutadores r Gestión de los usuarios

100 Redes virtuales100 VLAN VLAN: r VLAN basada en puertos m División de puertos del conmutador en grupos m Cada grupo constituye una VLAN m Cada VLAN es un dominio de difusión m Gestión de usuario -> Cambio de configuración del conmutador ABCDEF G HI

101 Redes virtuales101 VLAN VLAN: r ¿Cómo enviar información entre grupos? m Conectar puerto del conmutador VLAN a router externo m Configurar dicho puerto como miembro de ambos grupos m Configuración lógica -> conmutadores separados conectados mediante un router m Normalmente los fabricantes incluyen en un único dispositivo conmutador VLAN y router ABCDEF G HI

102 Redes virtuales102 VLAN VLAN: r Localización diferente m Miembros de un grupo se encuentran en edificios diferentes m Necesario varios conmutadores m Conectar puertos de grupos entre conmutadores -> No escalable AB C DE FG HI

103 Redes virtuales103 VLAN VLAN: r Localización diferente m Troncalización VLAN (VLAN Trunking) m Puerto troncal pertenece a todas las VLANs m ¿VLAN Destino de la trama? -> formato de trama 802.1Q AB C DE FG HI Enlace troncal

104 Redes virtuales104 VLAN IEEE 802.1Q:  IEEE 802.3 (Ethernet)  IEEE 802.1Q Dir. Destino DatosPreambulo Dir. Origen Tipo CRC Dir. Destino DatosPreambulo Dir. Origen Tipo CRC nuevo TPID TCI Información de control de etiquetado Identificador de protocolo de etiquetado

105 Redes virtuales105 VLAN VLAN: r VLAN basada en MAC (nivel 2) m El administrador de red crea grupos VLAN basados en rangos de direcciones MAC m El puerto del conmutador se conecta a la VLAN correspondiente con la dirección MAC del equipo asociado r VLAN nivel 3 m Basada en direcciones de red IPv4 o IPv6 m Basada en protocolos de red (Appletalk, IPX, TCP/IP)

Descargar ppt "Redes virtuales1 Tema 4: Redes Virtuales r 4.1 Seguridad en redes m 4.1.1 Introducción m 4.1.2 Criptografía m 4.1.3 Criptoanálisis m 4.1.4 Clave simétrica."

Presentaciones similares

METODOS DE AUTENTICACIÓN

METODOS DE AUTENTICACIÓN
© 2006 Cisco Systems, Inc. Todos los derechos reservados. Información pública de Cisco 1 Descripción de cómo la tecnología VPN presta servicios seguros.

© 2006 Cisco Systems, Inc. Todos los derechos reservados. Información pública de Cisco 1 Descripción de cómo la tecnología VPN presta servicios seguros.
SEGURIDAD EN REDES DE DATOS

SEGURIDAD EN REDES DE DATOS
Jorge de Nova Segundo UD4: Instalación y administración de servicios Web Seguridad del protocolo HTTP.

Jorge de Nova Segundo UD4: Instalación y administración de servicios Web Seguridad del protocolo HTTP.
SEGURIDAD EN INTERNET EQUIPO No. 1 TELECOMUNICACIONES II Seguridad de Redes Seguridad de Redes Protección al proceso mediante el cual la información es.

SEGURIDAD EN INTERNET EQUIPO No. 1 TELECOMUNICACIONES II Seguridad de Redes Seguridad de Redes Protección al proceso mediante el cual la información es.
PROTOCOLO SEGURO HTTPS

PROTOCOLO SEGURO HTTPS
- Firma digital y cifrado de mensajes.

- Firma digital y cifrado de mensajes.
Red vpn Mayerli Arismendi Edwin Alvarado María Alejandra acosta

Red vpn Mayerli Arismendi Edwin Alvarado María Alejandra acosta
VPN Virtual Private Network Red Privada Virtual.

VPN Virtual Private Network Red Privada Virtual.
DIRECT ACCESS.

DIRECT ACCESS.
PROTOCOLOS Y ESTANDARES DE RED

PROTOCOLOS Y ESTANDARES DE RED
Que es el protocolo “SSL”

Que es el protocolo “SSL”
Trabajo de redes Inma Gómez Durán

Trabajo de redes Inma Gómez Durán
PROTOCOLOS Un protocolo es un conjunto de reglas que hacen que la comunicación en una red sea más eficiente.

PROTOCOLOS Un protocolo es un conjunto de reglas que hacen que la comunicación en una red sea más eficiente.
Johanna Lizeth Rodríguez Lorena Fda. Chávarro Ramos

Johanna Lizeth Rodríguez Lorena Fda. Chávarro Ramos
Seguridad del protocolo HTTP

Seguridad del protocolo HTTP
Tema 3 – Técnicas de Acceso Remoto y Seguridad Perimetral

Tema 3 – Técnicas de Acceso Remoto y Seguridad Perimetral
(VIRTUAL PRIVATE NETWORK)

(VIRTUAL PRIVATE NETWORK)
Capítulo 1: Introducción a redes conmutadas

Capítulo 1: Introducción a redes conmutadas
HOL – FOR07. ► VPN define una “Virtual Private Network” o Red Privada Virtual. ► Básicamente una VPN establece una conexión segura a través de un medio.

HOL – FOR07. ► VPN define una “Virtual Private Network” o Red Privada Virtual. ► Básicamente una VPN establece una conexión segura a través de un medio.

Presentaciones similares

Anuncios Google