P4 - dit/UPM

SEGURIDAD EN REDES IP
Lledó Aitana García Lacuesta
Temas Avanzados de Redes de Ordenadores
ÍNDICE
• Vulnerabilidades de los protocolos de la arquitectura TCP/IP
• IPSec
• Definición
• Formato paquetes
• Modos funcionamiento
• Ejemplos
• Security Association
• VPN
• Definición
• Beneficios
• Tunneling
• VPN basados en túneles de nivel 2: PPTP, L2TP
• Bibliografía
1
Amenazas a las que se
enfrentan los datos (I)
Pérdida de Confidencialidad
Amenazas a las que se
enfrentan los datos (II)
Pérdida de Integridad
2
Amenazas a las que se
enfrentan los datos (III)
Pérdida de Autenticación
Amenazas a las que se
enfrentan los datos (IV)
Pérdida de Disponibilidad
3
IPSec: Definición
• Extensión del protocolo IP
• Servicios criptográficos de seguridad basados en estándares
definidos por el IETF
• Encriptación y autenticación a nivel de red
• Transparente al usuario: no se tienen que modificar los
sistemas finales
• Los paquetes tienen la misma apariencia que un paquete IP
corriente
• Combina distintas tecnologías: Diffie Hellman, encriptación
clave pública, DES, funciones hash, certificados digitales...
IPSec: Formato paquetes
• Dos nuevas cabeceras:
• Cabecera autenticación AH: asegura la autenticidad y la
integridad de los datos incluyendo campos invariantes de
la cabecera (direcciones origen y destino, por ejemplo)
• Cabecera de encapsulado de seguridad ESP: protege la
autenticidad, confidencialidad e integridad de los datos (no
incluye cabecera)
• Diferencia: AH asegura partes de la cabecera IP del paquete
4
IPSec: Modos de
funcionamiento
• Modo transporte: es el host el que genera los paquetes
• Solo se encriptan los datos, la cabecera intacta
• Añade pocos bytes
• Permite ver las direcciones de origen y de destino
• Modo túnel: uno de los extremos de la comunicación es un
gateway
• Se encripta el paquete IP entero
• Para el sistema final es transparente
IPSec: Ejemplos AH
Cab. IP
Datos
Función
Hash
Modo transporte
Datos
AH
Cab. IP
Autentificado
Modo Túnel Nueva Cab. IP
AH
Cab. IP
Datos
Autentificado
5
IPSec: Ejemplos ESP
Cab. IP
Cab. IP
Datos
Modo
transporte
Datos
Cab. ESP
Encriptado
Autentificado
Nueva Cab. IP
Cab. ESP
Cab. IP
Datos
Modo
túnel
Encriptado
Autentificado
IPSec: Security Association (SA)
•
•
•
•
Métodos que usa IPSec para defini la conexión
Un SA para cada sentido de la comunicación
Todo el tráfico con la misma SA, se trata por igual
Una SA:
• Dirección destino
• SPI
• Protocolo de seguridad: ESP, AH
6
VPN: Definición
• Una Red Privada Virtual es
una red que ofrece una
conectividad segura sobre
una red pública.
• Como la infraestructura es
compartida, se puede
proporcionar la
conectividad a menor coste
que con redes privadas
dedicadas
VPN: Beneficios
•
•
•
•
•
•
•
•
Ahorro de costes directos
Reducción del tiempo de aprendizaje
Reducción de equipos
Reducción de soporte técnico necesario
Aumento de flexibilidad
Escalabilidad: extiende la red WAN a más usuarios remotos
Soporta más conexiones y ancho de banda
Basadas en rendimiento, fiabilidad de conexión, cantidad de
información y no en tiempo de conexión y en distancia
7
VPN: Tunneling
• Permite al transmisor encapsular sus datos en paquetes IP
protegiéndolos de posibles atacantes
• Dos tipos de extremos:
• ordenadores individuales
• LAN segura (firewall, router)
• Túneles LAN-LAN: un gateway seguro en cada uno de los
extremos sirve como interface entre el túnel y la LAN privada
• Túneles cliente: es la forma que tienen de acceder a los
recursos de su empresa, los usuarios "móviles"
VPN basadas en túneles de
nivel 2: PPTP
• Los usuarios de una red privada corporativa precisan de un
acceso a la red privada desde un lugar remoto
• Encapsula paquetes PPP usando una versión modificada del
GRE
• Flexibilidad para manejar paquetes no IP (p.e. IPX, NetBEUI)
al ser un protocolo de nivel 2
• Confía en mecanismos de autentificación PAP , CHAP y MSCHAP
• Cliente PPTP en plataforma Windows
• Microsoft ha incorporado un método de encriptación: MPPE
• No proporciona autentificación fuerte ni soporta métodos de
autentificación basados en tokens
8
VPN basadas en túneles de
nivel 2: PPTP (II)
VPN basadas en túneles de
nivel 2: L2TP
• Convergencia de PPTP y L2F (Cisco) como estándar IETF
• Flexibilidad para manejar paquetes no IP (p.e. IPX, NetBEUI)
al ser un protocolo de nivel 2
• Soporta mecanismos de autentificación PAP y CHAP y
protocolos como RADIUS
9
Bibliografía
• VPN
• Artículo del International Engineering Consortium (IEC):
Virtual Private Networks (VPNs)
• Artículo de Computer Networking: Introduction to VPN
• Artículo de Paul Ferguson de Cisco: What is a VPN?
• Artículo de Cisco: Virtual Private Networks (VPNs)
• IPSec
• Artículo de OpenBSD: Using IPSec (IP Security Protocol)
• White Paper de Cisco: IPSec
10