PowerPoint Presentation

Anti Hacking y Seguridad de RedesAbril 2015

@UPCeduUPCedu Unidad 04Redes Privadas Virtuales1Logro

Al finalizar la unidad, el alumno Identificara las tecnologas y arquitecturas de firewall existentes para configurarlas adecuadamente y Verificar control completo del trfico de entrada y salida de una red de datos.

Definicin

Una VPN, es una tecnologa de red que permite una extensin de la red local (LAN) sobre una red pblica o no controlada o insegura, como por ejemplo la Internet.

Definicin

Algunos ejemplos del uso de una VPN son:Conectar dos o ms sucursales de una empresa utilizando la internet.Brindar soporte tcnico de software a usuarios remotos.Acceso desde una PC remota a la PC personal (generalmente domstica)

Ventajas

Desventajas

Comparativa de trabajo

Principios

Requerimientos bsicos

Tipos de conexin

Conexin de acceso remotoEs realizada por un usuario de una computadora remota que se conecta a una red privada, los paquetes enviados a travs de la VPN se dirigen y se autentican frente al servidor y viceversa.

Tipos de conexin

Conexin VPN router a routerEs realizada por un router, y este a su vez se conecta a una red privada. En este tipo de conexin, el router que realiza la conexin se autentifica ante el router que responde y este a su vez se autentica ante el router transmisor. Tiene aplicacin directa en la implementacin de Intranets.

Tipos de conexin

Conexin VPN firewall a firewallEs realizada por un firewall, y ste a su vez se conecta a una red privada. En este tipo de conexin, los paquetes son enviados desde cualquier usuario en Internet. Los firewalls transmisores y receptores se autentican mutuamente.

Tipos de VPN

VPN de acceso remotoConsiste en usuarios o proveedores que se conectan con la empresa desde sitios remotos (oficinas comerciales, domicilios, hoteles, aviones, etc.) utilizando Internet como vnculo de acceso.Una vez autenticado, el usuario tienen el mismo nivel de acceso que en la red local de la empresa.Se utiliza en tecnologas dial-up y lneas telefnicas.

Tipos de VPN

VPN over LANEs uno de los ms eficientes para usarse dentro de una empresa.Se le conoce comnmente como VLAN.Es una variante del tipo "acceso remoto" pero, en vez de utilizar Internet como medio de conexin, emplea la misma red local de la empresa.

Tipos de VPN

VPN over LANSirve para aislar zonas y servicios de la red interna.Es ideal para la seguridad en redes Wi-Fi.Permite la utilizacin de tneles IPSec; adems de brindar los mtodos tradicionales de autenticacin (WEP, WAP, MACAddress, etc.).

Tipos de VPN

VPN punto a puntoSe utiliza para conectar oficinas remotas con la sede central de la organizacin.El servidor VPN, que est conectado permanentemente a Internet, acepta las conexiones va Internet provenientes de los sitios y establece el tnel VPN.

Tipos de VPN

VPN punto a puntoLos servidores de las sucursales se conectan a Internet utilizando los servicios de su ISP mediante conexiones de banda ancha.Provee un sistema transparente para la red LAN utilizando la Internet. Para ello utiliza el mecanismo de tnel o tunneling.

Tunneling

Consiste en encapsular un protocolo de red sobre otro (protocolo de red encapsulador) creando un tnel dentro de una red de computadoras.Se coloca un PDU dentro de otro PDU para transmitir la informacin desde un extremo al otro del tnel.

Tunneling

Los routers intermedios no leen el contenido del paquete tunelizado.Los protocolos que proporcionan este mecanismo son SSH, e IPSec.

Funcionamiento bsico

Implementaciones VPN por hardware

Ofrecen mayor rendimiento que las soluciones por softwareSon ms fciles de configurar. Implican un mayor gasto de parte del usuario.

Implementaciones VPN por hardware

Manejan software propietario por lo que no son muy flexibles.Las lneas de producto ms conocidas son: Cisco, Nortel, Symantec, Nokia, Linksys, Netscreen, SonicWall, etc.

Implementaciones VPN por software

Su configuracin es ms compleja pero las soluciones que pueden brindar son ms flexibles que las soluciones por hardwareResultan ideales para implementaciones que requieren interoperatividad con VPN de diferentes fabricantes y/o plataformas.

Implementaciones VPN por software

Posee un rendimiento menor que las VPN por hardware. Ejemplos de lneas de producto son: Las soluciones nativas de Windows, Linux y los Unix; y productos de cdigo abierto como Open SSH, OpenVPN y FreeNet, I2P, etc.

Internet Protocol Security

IPSec es un conjunto de protocolos cuya funcin es asegurar las comunicaciones en redes IP proporcionando autenticacin y cifrado.IPSec acta en capa 3 de OSI y trabajan conjuntamente con otros protocolos de capa 4 hacia arriba como SSL, SSH, TLS, etc.IPSec puede ser utilizado con TCP y con UDP.

Elementos Bsicos de IPSec

IPSec es una parte obligatoria de IPv6 y es opcional en IPv4.En la actualidad, su estndar est especificado en la RFC4301 y RFC4309.Estos estndares introducen el estndar para Internet Key Exchange (IKE).Para decidir qu proteccin se va a proporcionar, IPSec utiliza un ndice de Parmetro de Seguridad (SPI) y las Asociaciones de Seguridad (SA), que junto con la direccin IP identifican de forma nica una asociacin de seguridad para dicho paquete.

Aplicaciones de IPSec

IPSec es una parte obligatoria de IPv6 y es opcional en IPv4.En la actualidad, su estndar est especificado en la RFC4301 y RFC4309.Estos estndares introducen el estndar para Internet Key Exchange (IKE).Para decidir qu proteccin se va a proporcionar, IPSec utiliza un ndice de Parmetro de Seguridad (SPI) y las Asociaciones de Seguridad (SA), que junto con la direccin IP identifican de forma nica una asociacin de seguridad para dicho paquete.

Algoritmos de Seguridad en IPsec

Para IPSec, se suelen utilizar varios algoritmos de encriptacin, autenticacin:El algoritmo DES-CBS (Algoritmo de Cifrado en Bloques Simtrico) es un algoritmo que codifica bloques de 64 bits con claves de 56 bits utilizado para la encriptacin de mensajes.

Algoritmos de Seguridad en IPsec

El algoritmo MD5 (Message-Digest Algorithm 5, Algoritmo de Resumen del Mensaje 5) es un algoritmo de reduccin criptogrfico de 128 bits.El algoritmo de Diffie-Hellman basa su funcionamiento en la generacin de claves pblicas y claves privadas con tres niveles de seguridad: bajo, medio y alto.

Cabeceras para IPSec

Cabecera de Autenticacin (AH)

Es una cabecera especfica con el valor de 51 en el campo Next Header.Se situa justo antes de los datos, de forma que los proteje de posibles atacantes.AH no modifica el funcionamiento de los protocolos de nivel superior (TCP, ICMP, etc.) ni el de los routers intermedios.Se realiza mediante la aplicacin de una funcin hash (MD2 o MD5) para procesar el mensaje.Payload LengthNHLimit HopSource AddressDestination AddressToCVerFlow Label51Cabecera de AutenticacinIPv6Formato del AH

ndice de Parmetros de Seguridad (ISP)12 Bytes0 7 16 31Nmero de SecuenciaDatos AutenticadosReservedCabeceraSiguienteLongitudde los datosCabecera SiguienteEs el campo que indica qu cabecera contina despus de la Cabecera de Autenticacin (opciones, encaminamiento, fragmentacin, etc.)Longitud de los DatosEspecifica la longitud de los datos de la cabecera de autenticacin en mltiplos de 32 bits.ndice de Parmetros de SeguridadEl ISP es un nmero de 32 bits que define la cantidad SA (Asociaciones de Seguridad) que se pueden mantener en un ordenador; es decir el nmero de conexiones con AH.Nmero de SecuenciaIdentifica el nmero del datagrama en la comunicacin, estableciendo un orden y evitando problemas de entrega de datagramas fuera de orden o ataques externos.Datos de Autenticacin (variable)Contiene los datos de autenticacin, cuya codificacin depende del algoritmo de autenticacin. Actualmente se sugiere la implementacin del algoritmo MD5.Cabecera de Cifrado de Autenticacin (SEP)

A diferencia de AH, SEP no aade autenticidad; sino que se emplea en el caso de necesitar confidencialidad en la comunicacin.ESP siempre es la ltima cabecera en cadena debido a que a partir de ella todo los datos vienen cifrados, con lo que los routers intermedios no podran procesar las cabeceras posteriores.Payload LengthNHLimit HopSource AddressDestination AddressToCVerFlow LabelCabecera ESPDATOS CIFRADOSCabeceraIPv650Datos enTexto ClaroModos IPSec para ESP

Modo Transporte (extremo a extremo): Solo datos cifrados. Modo Tnel (puerta a puerta):Datos y cabeceras cifradas.

Modos IPSec para ESP

ESP modo transporte.

ESP modo tnel.Head IPCarga til IPHead IPCarga ltil IPHead ESPEnd ESPAlgoritmo de Cifrado(Clave Pblica)Head IPCarga til IPHead IPHead ESPEnd ESPAlgoritmo de Cifrado(Clave Pblica)Head IPCarga til IPFormato de ESP

Nmero de Secuencia0 16 31Datos y parmetros CifradosDatos Autenticadosndice de Parmetros de Seguridad (ISP)ndice de Parmetros de Seguridad y Nmero de SecuenciaLos campos ndice de Parmetros de Seguridad y Nmero de Sencuencia tienen el mismo significado que en el formato de la Cabecera de Autenticacin).Datos y Parmetros de CifradoContiene los datos referentes a los cdigos de cifrado. Este campo depende del algoritmo de cifrado. Actualmente se sugiere el algoritmo DES-CBCDatos Autenticados (variable)Estos datos aseguran que el mensaje cifrado no ha sido modificado. Se sugiere la utilizacin de algoritmos MD5.Consideraciones Finales en IPSec

La autenticidad y el cifrado de datos (o datagramas) requiere que tanto el emisor como el receptor, antes de utilizar AH o ESP, compartan una clave, un algoritmo de cifrado/descifrado; un tiempo de validez de clave y otros parmetros. El conjunto de estos parmetros se denomina Asociacin de Seguridad (SA).

Consideraciones Finales en IPSec

La informacin del SA se enva por un canal seguro utilizando un Protocolo de Administracin de Llaves.Uno de esto protocolos es ISAKMP/Oakley que despus fue renombrado como IKE (Intercambio de Claves por Internet)IKE se encarga de combinar el intercambio de llaves Diffie-Hellman con una autenticacin subsiguiente de los parmetros de Diffie-Hellman.

Consideraciones Finales en IPSec

ESP y AH permite crear lneas seguras entre dos firewalls distantes.ESP y AH permite establecer un tnel seguro entre un equipo mvil y el firewall de la red.ESP y AH evita que los intrusos en la red puedan acceder a las actualizaciones de las tablas de enrutamiento.ESP y AH permite una comunicacin segura end-to-end as sea entre LANs diferentes.

Anti Hacking y Seguridad de RedesAbril 2015

@UPCeduUPCedu Unidad 04Redes Privadas Virtuales42