DEC Seguridad y VPN

CURSO SEGURIDAD INTERNET Y REDES PRIVADAS VIRTUALES
Expositor:
Carlos Cervantes Garcs Trinnig Manager D-Link Latinamerica
Contenido
1. Introduccin 2. Acceso Internet 3. Redes Privadas Virtuales 4. Aplicaciones D-Link 5. Laboratorio Final
1. Introduccin
Redes WAN Internet
1. Introduccin Redes WAN

Conexiones remotas (geogrficamente distantes) a una red: LAN LAN PC LAN

Tipos de redes WAN ms comunes:
Dedicados Clear Channel Frame Relay ATM Conmutados Analgicos Digitales

Enlaces Dedicados: Clear Channel
- Slo interviene la red del proveedor - Va desde los 64 Kbps hasta los 2 Mbps - Saltos en Nx64 - Configuraciones robustas y estticas - Ideal para transporte de voz

Enlaces Dedicados: Frame Relay
- Es la evolucin de las redes X.25 - Red de conmutacin de paquetes - Comparte dinmicamente el ancho de banda - Emplea tcnicas de multiplexacin estadstica - Se emplean DTE (propiedad del cliente) y DCE (propiedad del carrier) - Emplea circuitos virtuales (SVC y PVC) y son identificados por los DLCI
DTE
DLCI 12
Packet Switch
DLCI 12
DTE DLCI 41
DCE DCE DLCI 18 DLCI 23 DTE DLCI 23 DCE DCE DTE
DTE

Enlaces Dedicados: ATM
- ATM: Asynchronous Transfer Mode - Especialmente diseado para la transmitir mltiples tipos de servicios - Multiplexacin y conmutacin de celdas de tamao fijo (53 byte) - Red formada por switches ATM y equipos ATM de borde - Creacin de un enlace: Virtual Path (VP) y Virtual Channel (VC). - VP = Mltiples VC
Estacin de Trabajo
ATM Switch
ATM Switch
Router
ATM Switch
Servidor de Video
ATM Switch
DTE
Switch LAN

Enlaces Conmutados: Anlogos
- Hasta 56 Kbps de transmisin - Emplea la red pblica telefnica (PSTN) - En lado central se usa los sistemas RAS y en el usuario un modem
Enlace Anlogo Conversin D/A < 33.6 Kbps Conversin A/D Enlace Digital Conversin D/A Enlace Anlogo Conversin A/D < 33.6 Kbps
Enlace Anlogo - Anlogo

Modem Generador de La llamada Central Telefnica
PSTN
Central Telefnica
Receptor de La llamada
Conversin D/A < 56 Kbps
Conversin A/D
Enlace Anlogo - Digital

Modem Generador de La llamada Enlace Anlogo Central Telefnica
PSTN
PRI
Central Telefnica Enlace Digital

Enlaces Conmutados: Digitales
- Nombre comn: ISDN o RDSI - Hasta 128 Kbps de transmisin - Permite transmisin de voz y datos simultneamente sobre canales B de 64 Kbps - Un tercer canal (D) se emplea para sealizacin - Servicios: BRI (2 canales B + D) y PRI (segn ITU-T, 30 canales B + 2 D)
128 Kbps NT-1 Generador de La llamada Central Telefnica
PSTN
PRI
Central Telefnica
Enlace Digital
2. Acceso Internet
2. Acceso Internet
Introduccin Medios de accesos Seguridad (corta fuegos) Filtros Servicios Virtuales
2. Acceso Internet
Introduccin
Aos 70: ARPANET: Advanced Research Projects Agency, (Departamento de Defensa USA). 1985: NSFNET: National Science Foundation, se abre al mundo investigador y la Universidad. Se conectan redes como la de Sprint y MCI, constituyendo la base de la actual Internet. 1989 Tim Berners-Lee propone un sistema de Hipertexto en red para el CERN 1990: Se acua el nombre World Wide Web 1992: Primer navegador freeware y no grfico del CERN, 50 servidores en el mundo 1993: Aparece Mosaic, primer navegador grfico 1994: Jim Clark (SGI) funda MCC, que dar lugar a Netscape. 1995 Sun presenta Java y comienza la apuesta de Microsoft por Internet. Hoy existen ms de 2.000.000 de servidores.
2. Acceso Internet
Introduccin
Dos tecnologas de uso comn:
Conjunto de protocolos de comunicacin TCP/IP: HTTP FTP TELNET Lenguaje de pginas HTML (en el WWW)
Back End: Servidores web:

- Escuchan, esperando conexiones de clientes. - Envan va HTTP la informacin que compone las pginas. - Dan a los navegadores las instrucciones precisas para presentar la informacin va HTML
Front End: Navegadores o Browsers:

- Usan HTTP para conectar con los servidores. - Piden y presentan la informacin recibida
2. Acceso Internet
Introduccin
Direcciones IP
Formadas por 4 grupos de 8 octetos (ejemplo: 159.27.122.3) Asignadas por la IANA (Internet Assigner Number Authority) que delega en: - El RIPE NCC (Rsaux IP Europens Network Coordination Centre), - El APNIC (Asia-Pacific Network Information Centre). - El ARIN (American Registry for Internet Numbers).
2. Acceso Internet
Introduccin
DNS: Domain Name System, o Sistema de Nombres de Dominio:
Forma de designar servidores en Internet, a travs de una enorme base de datos de correspondencias con IP s. Existen servidores DNS con tablas de correspondencias entre nombres y direcciones IP, que son gestionados por los NIC (Network Information Center) de cada pas, Sistema jerrquico con tantos TLD s (Top Level Domains) como pases, ms 5 genricos gestionados por Internic (COM, EDU, ORG, INT y NET) y 2 por el gobierno USA (GOV y MIL).
2. Acceso Internet
Introduccin
Direcciones URL
URL: Universal Resource Locators. Definen: Nombre del recurso (nombre de archivo). Nodo de Internet en que se encuentra. Protocolo de acceso al recurso. Ejemplos: http://www.ie.edu/ie_ingles/index.htm Protocolo HTTP Direccin: www.ie.edu Nodo con IP 195.53.226.130 Archivo index.htm ftp://ftp.consulta.cl/LEEME Protocolo FTP Direccin tfp.consulta.cl Archivo LEEME
2. Acceso Internet
Introduccin
Resumen direccin IP:
http:// www. ie . cl
Protocolo de Transferencia de Hipertexto World Wide Web Dominio TLD
2. Acceso Internet
Medios de accesos
Workstation Satlite E-1 Mdem Analgico T-3 RDSI ATM Frame Relay ISDN Ethernet PC
Mini
2
Kiosco
INTERNET
Cable mdem xDSL Handheld
Mainframe
SERVIDORES
CLIENTES
2. Acceso Internet
Medios de accesos: Sesin www
El usuario requiere la pgina El navegador pide al DNS www.ie.cl/index.html la IP de www.ie.cl
DNS contesta 195.53.206.10
El navegador hace una conexin TCP con 195.53.206.10
El navegador enva un comando GET /index.html
El servidor enva el fichero Index.html
Se libera la conexin TCP.
El navegador muestra el texto de Index.html El navegador busca y muestra el resto de componentes de la pgina.
2. Acceso Internet
Seguridad
Qu proteger? Hardware Software Datos Seguridad De qu proteger? Personas Amenazas Lgicas Problemas fsicos Catstrofes
Qu conseguir? Autenticacin Autorizacin Disponibilidad Confidencialidad Integridad No repudio Cmo proteger? Prevencin Deteccin Recuperacin Auditora
2. Acceso Internet
Seguridad: De qu proteger:
Personas
Trabajadores Hackers, crackers
.....
Ex - empleados
Amenazas lgicas
Bugs Bombas lgicas gusanos virus Puertas de atrs Troyanos
Problemas fsicos
Elctricos
Condiciones ambientales
Memorias
CPU
Discos
2. Acceso Internet
Seguridad: Cmo proteger? Prevencin
Conectividad Perimetro Deteccin de intruso Identidad Administracin de Seguridad
VPN
Cortafuegos
IDS
Autenticacin Control de acceso PKI
Poltica de seguridad
2. Acceso Internet
Seguridad: Firewall
Dispositivos o sistemas que controlan el flujo de trfico entre dos o ms redes empleando ciertas polticas de seguridad. Bsicamente son dispositivos cuya funcionalidad se limita a permitir o bloquear el trfico entre dos redes en base a una serie de reglas. Su complejidad reside en las reglas que admiten y en cmo realizan la toma de decisiones en base a dichas reglas.
2. Acceso Internet
Seguridad: Firewall
Tipos bsicos de Firewall
Hardware Firewall: Normalmente es un router o equipo especializado, tiene ciertas reglas para dejar o no dejar pasar los paquetes.
Software Firewall: Es un programa que esta corriendo preferentemente en un host, que verifica los paquetes con diferentes criterios para dejarlos pasar o descartarlos.
2. Acceso Internet
Seguridad: Firewall
Red Privada Segura
Operacin bsica
Internet
Trfico restringido No Permitido
El trfico es detenido porque no cumple los criterios especificados A Internet
Trfico permitido
Permitido
Slo el trfico que cumple los criterios especificados son permitidos ingresar Acceso a recursos especficos
No permitido
Trfico desconocido
Permitido
Trfico permitido
2. Acceso Internet
Seguridad: Firewall
DMZ
DNS Mail Web Server Server Server
Internet
Firewall SW
SW
Area Segura
2. Acceso Internet
Seguridad: Firewall
Tipos de Firewalls
Packet filters Circuit Level Gateways Application Level Gateways Stateful Multilayer Inspection Firewall
2. Acceso Internet
Seguridad: Firewall
Tipos de Firewalls: Packet Filters
5 Aplicacin 4 Transport Control Protocol (TCP) 3 Internet Protocol (IP) 2 Data Link 1 Fsico
No Permitido
Permitido
Este tipo de firewall analiza cada paquete que entra a la red y, de acuerdo a sus polticas, permite o deniega esos paquetes. El trfico desconocido slo se permite hasta el nivel 3 del stack de Network
Trfico Entrante
Trfico Saliente
2. Acceso Internet
Seguridad: Firewall
Tipos de Firewalls: Circuit Level Gateway (Stateful Inspection Firewall)
5 Aplicacin 4 Transport Control Protocol (TCP) No Permitido Permitido
3 Internet Protocol (IP) 2 Data Link 1 Fsico
El trfico es filtrado de acuerdo a reglas de sesiones especficas, tales como cuando una sesin es iniciada por un computador reconocido. El trfico desconocido slo se permite hasta el nivel 4 del stack de Network
Trfico Entrante
Trfico Saliente
2. Acceso Internet
Seguridad: Firewall
Tipos de Firewalls: Application Level Gateways
5 Aplicacin 4 Transport Control Protocol (TCP) 3 Internet Protocol (IP) 2 Data Link 1 Fsico
No Permitido
Permitido
El trfico es filtrado de acuerdo a reglas de aplicaciones especficas, tales como un browser, un protocolo (FTP) o combinaciones. El trfico desconocido slo se permite hasta el nivel 5 del stack de Network
Trfico Entrante
Trfico Saliente
2. Acceso Internet
Seguridad: Firewall
Tipos de Firewalls: Statefull Multilayer Inspection Firewall
5 Aplicacin 4 Transport Control Protocol (TCP) No Permitido Permitido
3 Internet Protocol (IP) 2 Data Link 1 Fsico
El trfico es filtrado a 3 niveles de acuerdo a un amplio rango de reglas de aplicaciones, sesiones y filtros de paquetes especficos El trfico desconocido slo se permite hasta el nivel 3 del stack de Network
Trfico Entrante
Trfico Saliente
2. Acceso Internet
Seguridad: Firewall
Servicios Adicionales
NAT Protocolo de Configuracin Dinmica de Hots (DHCP) Administracin de Ancho de Banda Inspeccin de Contenido Autenticacin de Usuarios Alta disponibilidad y balanceo de carga Sistema de Deteccin de Intrusos Redes Privadas Virtuales (VPN)
2. Acceso Internet
Seguridad: Firewall
Servicios Adicionales: NAT
Request received and accepted.
Web server
a
10.0.0.2
Connection request from C forwarded to <web server> source 204.1.1.10, port 2000.
Internet
Response sent to 204.1.1.10, port 2000.
b b
Los servicios de NAT (Network Address Translation) resuelven dos de los principales problemas de seguridad e infraestructura de las redes actuales. En primer lugar, constituyen una herramienta muy efectiva para esconder las direcciones de red reales de nuestra red interna. En segundo lugar, y debido a la reduccin del espacio de direcciones IP disponibles, muchas organizaciones usan NAT para permitir la salida a Internet de sus equipos de la red interna con un mnimo de direcciones legalmente vlidas (ver RFC 1918).
10.0.0.3
10.0.0.1
10.0.0.4, port 1025 mapped to 204.1.1.10, port 2000 NAT NAT
204.1.1.10
Translate 204.1.1.10, port 2000 to 10.0.0.4 port 1025
10.0.0.4
Inside IP. 10.0.0.3 10.0.0.4 Inside Port 1034 1025 Out IP 204.1.1.10 204.1.1.10 Out Port 2005 2000
Connection request to port 80 from C to <web server> source 10.0.0.4, port 1025.
2. Acceso Internet
Seguridad: Firewall
Servicios Adicionales: DHCP (Protocolo de Configuracin Dinmica de Hosts )
Non-DHCP Client: static IP configuration
DHCP Client: IP configuration from DHCP server
IP Address1
DHCP Client: IP configuration from DHCP server
IP Address2
DHCP Database IP Address1 IP Address2 IP Address3 DHCP Server
DHCP, Dynamic Host Configuration Protocol, es un servicio de asignacin automtica de direcciones IP con importantes y evidentes ventajas administrativas a la hora de mantener redes de tamao medio / amplio que muchos Cortafuegos (sobre todo los que trabajan en las capas 2, 3 y/o 4) incluyen como valor aadido
2. Acceso Internet
Seguridad: Firewall
Servicios Adicionales: Administracin de Ancho de Banda
Un administrador del ancho de banda se emplaza entre la red interna y la salida a Internet (el mismo lugar del cortafuegos, de ah su inclusin en los mismos) y puede ser comparado con un guardia del trfico. Mediante reglas, se definen distintas colas, cada una de las cuales alberga un tipo distinto de trfico: e-mails, transferencias de ficheros, trfico http, archivos musicales o de video, etc. Cada una de las colas de trfico posee una prioridad distinta, de forma que podemos poner en primer lugar aquellas que correspondan al trfico ms crtico para nuestra organizacin. El administrador realiza la distincin entre los distintos tipos de trfico de formas muy diferentes: inspeccionando directamente las cabeceras en busca de identificar un determinado protocolo, en funcin de los puertos a los que son dirigidos los paquetes, etc. A veces esto no es suficiente. Un sistema bien conocido para intercambio de ficheros como edonkey usa el puerto 80 para asemejar trfico web. Otros, como KaZaa, desobedece los estndares y usa ms de un puerto simultneamente. Para estos casos los Shapers usan mtodos similares a los de los antivirus y buscan patrones (signatures) que identifican estos trficos.
2. Acceso Internet
Seguridad: Firewall
Servicios Adicionales: Inspeccin de Contenido
Es uno de los servicios adicionales ms interesantes que ofrecen los Cortafuegos a Nivel de Aplicacin: realizar una inspeccin de contenidos en el trfico HTTP y SMTP incluyendo los siguientes elementos: Applets de Java Cdigo ActiveX, JavaScript o CGI. Inspeccin del contenido de ciertos formatos Bloqueo de contenidos en base a URLs, direcciones IP y/o palabras clave. Bloqueo de comandos especficos de determinadas aplicaciones.
2. Acceso Internet
Seguridad: Firewall
Servicios Adicionales: Autenticacin de Usuarios
Otro servicio bsico en los cortafuegos a nivel de aplicacin es la autenticacin de usuarios que en los dispositivos a nivel de red debe limitarse a la direccin IP de procedencia de la peticin, con el consiguiente riesgo de suplantacin, mientras que en estos pueden habilitarse servicios clsicos de combinacin login / password.
2. Acceso Internet
Seguridad: Firewall
Servicios Adicionales: Alta Disponibilidad
Los cortafuegos empresariales de gama alta suelen ofrecer una solucin que ofrecen redundancia mediante el balanceo de carga entre dos o ms dispositivos cortafuegos. Logramos, de esta forma, mejorar el problema del rendimiento y ofrecer alta disponibilidad y tolerancia a fallos en nuestra poltica de seguridad.
2. Acceso Internet
Seguridad: Firewall
Servicios Adicionales: Sistema de Deteccin de Intrusos
DMZ Los sistemas de deteccin de Intrusos son herramientas o dispositivos que nos permiten inspeccionar nuestro sistema y generar alertas que nos permitan conocer cuando alguien ha tratado de penetrar en nuestro sistema o lo ha conseguido. Se trata de una tecnologa relativamente nueva y en un grado an bajo de madurez, pero que va ganando cada vez ms importancia y mejores resultados. Existen dos tipos de sistemas IDS los de hosts y los de redes. Los de redes se subdividen, a su vez, en distribuidos o no. Los IDS de hosts se basan en el anlisis de las estadsticas de uso o el uso indebido de ciertos recursos (comandos, archivos, etc.) del sistema. Los IDS de red buscan patrones sospechosos en los paquetes TCP, malformaciones en la estructura de los mismos, etc. Se trata, pues, de sniffers que poseen tablas (actualizables) con los patrones caractersticos usados en los intentos de entrar en un sistema.
Mail Web DNS Server Server Server
Internet
SW Firewall
IDS
SW
IDS
Area Segura
2. Acceso Internet
Seguridad: Firewall
Servicios Adicionales: Redes Privadas Virtuales (VPN)
Oficina Central Uno de los servicios adicionales ms valorados de los Cortafuegos actuales es la posibilidad de construccin de Redes privadas Virtuales (VPN o Virtual Private Networks) que permiten extender a las comunicaciones externas la seguridad del interior de nuestra red.
VPN
Firewall
Internet
VPN
Firewall
Sucursal
2. Acceso Internet
Filtros bsicos empleados en los sistemas D-Link
Port Filter Status
Permite especificar un rango de puertos para conexiones entre equipos de la WAN y los equipos de la LAN que sern controlados Variables Involucradas: Protocolo de Transporte: TCP, UDP, ICMP, IGMP, GRE, AH, IPCOMP y ESP Puerto Asociado al Protocolo Paquete de Entrada o Salida
IP Range Filter Status

Permite negar acceso a la WAN (Internet) a computadores de la LAN especificando las direcciones IP
MAC Filter Status

Permite negar acceso a la WAN (Internet) a computadores de la LAN especificando las direcciones MAC
Domain Filter Status

Permite negar acceso a dominios especificando nombre o palabra clave
2. Acceso Internet
Servicios Virtuales de los Sistemas D-Link
Virtual Server
La funcin NAT siempre se encuentra activa en los equipos D-Link de acceso a Internet. Esto significa que los equipos en la LAN no puede ser visto desde la Internet. La funcin Virtual Server permite a los usuarios remotos (de Internet) accesar servicios ubicados en la LAN, tales como FTP para transferencia de archivos o SMTP y POP3 para e-mail. El router o firewall aceptar requerimientos remotos para los servicios usando los protocolos TCP o UDP y puertos asociados en la definicin del virtual server. Los requerimientos aceptados son redirigidos al servidor ubicado en la LAN
Application Gateway
Algunas aplicaciones requieren mltiples puertos TCP o UDP para funcionar apropiadamente. Aplicaciones tales como juegos por Internet, video conferencia y telefona por Internet son algunos ejemplos de aplicaciones que requieren mltiples conexiones. Esta facilidad permite a los computadores de la LAN accesar servidores en la WAN que requieren mltiples conexiones TCP o UDP
3. Redes Privadas Virtuales

a. Introduccin concepto b. Tipos c. Autenticacin d. Cifrado (algoritmo y llave) e. Tipos de VPN i. IPSec ii. PPTP iii. L2TP

Introduccin
Una VPN es una conexin que tiene la apariencia y muchas de las ventajas de un enlace dedicado pero trabaja sobre una red pblica. Los paquetes de datos son enrutados por la red pblica, tal como Internet o alguna otra red comercial, en un tnel privado que simula una conexin punto a punto.
Oficina Central Sucursal
Internet
VPN VPN
Firewall
Firewall

Introduccin
Razones del creciente inters por las VPN:
El auge de la Internet, Menores costos para acceder a esta gran red Principal medio mundial de comunicacin, Estndares Seguridad

Introduccin
Caractersticas que deben garantizar todas las VPN:
- Confidencialidad: previene que los datos que viajan por la red sean ledos correctamente. - Integridad: asegura que los datos de origen corresponden a los de destino. - Autentificacin: asegura que quien solicita la informacin exista. - Control de acceso: restringe el acceso a usuarios no autorizados que quieran infiltrarse en la red.

Introduccin: Componentes
Dato Aislado Tnel Aumento Proteccin Encriptacin Prevencin Integridad
Origen Identidad Autenticacin

Introduccin: Los Tneles
Bsicamente la tcnica de tneles consiste en encapsular los paquetes de datos que salen de una LAN o del equipo del usuario remoto dentro de protocolos que trabajan a nivel 2 de la torre OSI. Los componentes bsicos de un tnel son: Generador del tnel Uno o varios dispositivos de enrutamiento Uno o varios terminadores de tneles El inicio y la terminacin del tnel pueden ser hechos por una amplia variedad de equipos o software. Un tnel puede ser empezado, por ejemplo, por un usuario remoto con un computador porttil equipado con un mdem anlogo y un software de conexin telefnica para hacer una VPN, tambin puede haber un ruteador de una extranet en una oficina remota o en una LAN pequea. Un tnel puede ser terminado por otro ruteador o por un software que haga tal fin.

Tipos de VPN (Aquitectura)
Intranet VPN (LAN - LAN) Acceso Remoto VPN (Usuario remoto LAN) Extranet VPN
Empresa Externa
Oficina Central
VPN
Sucursal
Internet
VPN VPN
Firewall
Firewall

Tipos de VPN: Intranet VPN (LAN - LAN)
Mltiples redes remotas de la misma compaa son conectadas entre si usando una red pblica, convirtindolas en una sola LAN corporativa lgica, y con todas las ventajas de la misma. Se emplea principalmente IPSec para crear el tnel
Oficina Central Sucursal
Internet
VPN VPN
Firewall
Firewall

Tipos de VPN: Acceso Remoto VPN
El host remoto crea un tnel para conectarse a la Intranet corporativa. El dispositivo remoto puede ser un computador personal con un software cliente para crear una VPN, y usar una conexin conmutada, o una conexin de banda ancha permanente.
Oficina Central
Internet
VPN
Firewall
Usuario Remoto

Tipos de VPN: Extranet VPN
Esta arquitectura permite que ciertos recursos de la red corporativa sean accesados por redes de otras compaas, tales como clientes o proveedores. En este escenario es fundamental el control de acceso. Implementar una topologa Extranet VPN implica incrementar la complejidad de los sistemas de control de acceso y de autenticacin
Oficina Central Empresa Externa
Internet
VPN VPN
Firewall

Autenticacin
La autenticacin es el acto de verificar la identidad de alguien o algo en un contexto definido. En un mundo de seis billones de personas no es suficiente declarar simplemente que se es quien se dice ser, se debe probarlo.

Autenticacin: Agentes
El objeto de la autenticacin (un usuario o un cliente) que afirma su identidad El autenticador realizando la verificacin de la identidad.
Usuario proporciona identidad y documentos que acreditan esto
El autenticador verifica la identificacin del usuario empleando una funcin. Si el resultado es el esperado, se acepta la identidad, sino es rechazada

Sistemas de Autenticacin
- Password tradicionales - Password nicas - PAP - CHAP - Radius

Sistemas de Autenticacin: Password Tradicional
Es la forma ms simple de autenticar pero es un mtodo inadecuado para garantizar la seguridad en el acceso a una red, dado que los passwords pueden ser adivinados e interceptados durante transmisiones en la red.
Usuario Clave

Sistemas de Autenticacin: Password Unicas
Los sistemas de Passwords nicos restringen el uso de un password a una sola sesin de comunicacin, es decir que se requiere un password nuevo para cada nueva sesin. Estos sistemas facilitan al usuario la eleccin de un nuevo password para la siguiente sesin generando automticamente una lista de posibles passwords para el usuario
Ejemplo de password nicas: S/KEY

Sistemas de Autenticacin: Password Unicas
El sistema S/KEY
Usa un password secreto encriptado generado por el usuario, para crear la secuencia de passwords nicos Emplea algoritmo (funcin de dispersin) HASH n veces, donde n es el nmero especificado por el usuario La siguiente clave es generada por HASH n-1 veces
Sin concordancia
Concordancia Solicitud de acceso a la red Server responde con un SEED Proceso HASH (SEED + clave usuario) Nueva Clave Proceso HASH (clave enviada por usuario)

Sistemas de Autenticacin: PAP
PAP: Password Authentication Protocol
PAP es un protocolo de dos vas, el host que se est conectando enva un nombre de usuario y un password al sistema destino con el cual trata de establecer su comunicacin, y el sistema destino (el autenticador) responde si es el caso, que el computador remoto est autenticado y aprueba su comunicacin
Sin concordancia
Concordancia Nombre Usuario Password

Sistemas de Autenticacin: CHAP
CHAP: Challenge Handshake Authentication Protocol
CHAP incorpora tres pasos para la autenticacin de un enlace, que son: 1. El autenticador enva un mensaje al nodo remoto. 2. El nodo calcula un valor usando una funcin HASH y lo enva de regreso al autenticador. 3. El autenticador avala la conexin si la respuesta concuerda con el valor esperado.
Sin concordancia
Mensaje Proceso HASH Autenticador
Valor Autenticador
Concordancia

Sistemas de Autenticacin: RADIUS
RADIUS: Remote Authentication Dial-In User Service
Arquitectura cliente servidor que incluye dos componentes: un servidor de autenticacin y un protocolo cliente. El servidor es instalado en un computador central, el protocolo cliente es implementado en el servidor de acceso a la red (NAS).

Sistemas de Autenticacin: RADIUS
Procesos de autenticacin con RADIUS
1. 2.
Servidor RADIUS
Red Privada 3 2 1 6 5
3. 4. 5.
6.
User Login
Usuario enva Nombre y Clave a RAS RAS crea paquete de autenticacin. Para evitar Hacker, el RAS acta como cliente del Radius Paquete de Autenticacin es enviado a Servidor RADIUS Servidor RADIUS valida paquete de autenticacin Si la informacin esta OK, el servidor enva un reconocimiento de autenticacin Si no tiene xito la autenticacin el servidor RADIUS enva una seal de desconexin
Hacker
Remote User

Cifrado
Cifrado: Proceso de encriptacin que en un extremo hace ilegible la informacin y en el otro vuelve a ser legible Mantener la confidencialidad del mensaje Garantizar la autenticidad tanto del mensaje como del par remitente/destinatario En la prctica la seguridad que ofrece un criptosistema consiste en mostrar que cualquier ataque que tiene una probabilidad de romper la llave requiere de una cantidad infinita de computacin.
Objetivos:
Texto Limpio
es Sergio pa un es
d h31& 8vyale 8743 w tr ktu.d 3h nP09 $Fie*
Texto Limpio
es Sergio pa un es
Encriptacin
Encriptacin
Texto Cifrado

Cifrado: Componentes
Componentes de un Cifrado: Algoritmo Criptogrfico y Llave Un Algoritmo Criptogrfico es una funcin matemtica que combina texto plano o cualquier otra informacin inteligible con una cadena de dgitos llamada key (llave) para producir un texto cifrado o no inteligible. Ventajas del cifrado basado en llave: El usuario puede utilizar el mismo algoritmo para comunicarse con diferentes usuarios remotos; y todo lo que se debe hacer es utilizar una diferente llave con cada uno de ellos. El nmero de posibles llaves viene dado por la frmula 2n, donde n es el nmero de bits de la llave. Por ejemplo, una llave de 64 bits permite 264 posibles combinaciones numricas o llaves. Es decir, 18446.744073.709551.616 claves.
Inversin (US$) US$ 100 mil US$ 1 milln US$ 100 millones US$ Mil millones US$ 100 mil millones 40 bits 2s 0,2 s 2 ms 0,2 ms 2 s 56 bits 35 h 3.5 h 2m 13 s 0,1 s 64 bits 1 ao 37 das 9h 1h 32 s 80 bits 70 mil aos 7 mil aos 70 aos 7 aos 24 das 128 bits 1019 aos 1018 aos 1016 aos 1015 aos 1013 aos

Cifrado por computadora
Convertir mensaje a ASCII Texto limpio: HELLO = 1001000 1000101 1001100 1001100 1001111 Transposicin: intercambiar las letras en un orden predeterminado Texto limpio: HELLO = 10010001000101100110010011001001111 Criptograma: LHOEL = 10011001001000100111110001011001100 La transposicin puede darse a nivel de bits Letra original: 1001000 Letra encriptada: 0010010

Cifrado utilizando una llave
Es posible utilizar una llave para transformar los bits. Por ejemplo supongamos el uso de la llave DAVID. DAVID = 1000100 1000001 1010110 1001001 1000100 Para encriptar/decriptar sumamos la llave al mensaje original, (suma binaria: xor) Texto limpio: HELLO Texto ASCII: 10010001000101100110010011001001111 Llave: 10001001000001101011010010011000100 Criptograma: 00011000000100001101000001010001011
Funciones HASH

Funciones Hash
El cdigo ASCII asigna un nmero a cada letra o signo de puntuacin
65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 A B C D E F G H I J K L M N O 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 a b c d e f g h i j k l m n o 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 ! " # $ % & ' ( ) * + , - . /
Es una clave simtrica estndar internacional. La utilizan, por ejemplo, todos los computadores.

Funciones Hash
Podemos substituir cada letra de un texto por su cdigo ASCII
E n u n r i n c n d e 69 110 32 117 110 32 114 105 110 99 243 110 32 100 101 32 l a M a n c h a d e c u y 108 97 32 77 97 110 99 104 97 32 100 101 32 99 117 121 o n o m b r e n o q u i e 111 32 110 111 109 98 114 101 32 110 111 32 113 117 105 101

Funciones Hash
Podemos utilizar los cdigos ASCII de un texto para hacer cualquier clculo
E n u n r i n c n d e 69 110 32 117 110 32 114 105 110 99 243 110 32 100 101 -1312 224 990 -15840 -6868 -22806 l a M a n c h a d e c 32 108 97 32 77 97 110 99 104 97 32 100 101 32 99 -7372 -4365 1144 6500 6831 u y o n o m b r e n o q 117 121 111 32 110 111 109 98 114 101 32 110 111 32 113 -444 -8658 1254 7590 8927
2738
8669 -11399
Aqu, cada tres caracteres, con sus cdigos ASCII, se opera
(1-2)*3
La suma de los resultados es una funcin HASH que identifica perfectamente el texto.

Funciones Hash
Cualquier modificacin en el texto provoca un cambio en el valor de la funcin HASH
E n u n r i n c o n d e 69 110 32 117 110 32 114 105 110 99 111 110 32 100 101 -1312 224 990 -1320 -6868 -8286 l a M a n c h a d e c 32 108 97 32 77 97 110 99 104 97 32 100 101 32 99 -7372 -4365 1144 6500 6831 u y o n o m b r e n o q 117 121 111 32 110 111 109 98 114 101 32 110 111 32 113 -444 -8658 1254 7590 8927
2738
8669 3121
Por ejemplo, al substituir rincn por rincon sin acento, el valor HASH ha pasado de -11.399 a 3.121

Funciones Hash
Ejemplo de uso
Ana enva un mensaje a Benito. Al final del mensaje le aade el valor HASH del texto segn una funcin en la que se han puesto previamente de acuerdo.
Benito recibe el mensaje y calcula el valor HASH. Si coincide con el que ha dicho Ana puede estar seguro de que el mensaje no ha sido modificado.

Funciones Hash
Los textos enviados electrnicamente pueden deformarse, bien por la intervencin de terceras personas, o bien por errores en la transmisin.
Las funciones HASH sirven para garantizar la integridad de los textos

Cifrado: Mtodos Criptogrficos
Mtodos simtricos llave encriptado coincide con la de descifrado la llave tiene que permanecer secreta emisor y receptor se han puesto de acuerdo previamente son propios de la criptografa clsica o criptografa de llave secreta Mtodos asimtrico llave encriptado es diferente a la de desencriptado llave encriptado es conocida por el pblico, la desencriptado solo por el usuario corresponden a la criptografa de la llave pblica, introducida por Diffie y Hellman en 1976

Cifrado: Esquema General Encripcin Llave Simtrica
B A
Llave simtrica Llave simtrica
Llave simtrica
Llave simtrica

Cifrado: Algoritmos llave simtrica
DES Twofish Blowfish IDEA RC2, RC4 y RC5 NewDES Feal SKIPJACK MMB GOST CRAB 342 AES CAST SAFER 3-WAY FEAL REDOC LOKI MADRYGA Lucifer Khufu and Khafre CA-1.1

Cifrado: Desventajas Llave Simtrica
Distribucin de llaves usuarios tienen que seleccionar llave en secreto antes de empezar a comunicarse Manejo de llaves red de n usuarios, cada pareja debe tener su llave secreta particular, i.e. n(n-1)/2 llaves

Cifrado: Llaves Pblicas
La criptografa de llaves pblicas se basa en el manejo de una pareja de llaves. Cada llave puede encriptar informacin que slo la otra puede desencriptar. La llave privada, nicamente es conocida por su propietario; la llave pblica, se pblica abiertamente, pero sigue asociada al propietario. Los pares de llaves tienen una caracterstica nica: los datos encriptados con una llave slo pueden desencriptarse con la otra llave del par. Para crear un mensaje confidencial, una persona necesita conocer primero la llave pblica de su receptor, despus deber usar la misma para encriptar el mensaje y enviarlo. Como el mensaje se encript con la llave pblica del receptor, slo ste con su llave privada puede desencriptar el mensaje.
Ventajas:
La llave pblica de la pareja de llaves se puede distribuir en un servidor sin temor de que esto comprometa el uso de la llave privada. Permite que el receptor autentifique al emisor del mensaje. El uso de la llave privada en un documento electrnico es similar a la firma en un documento de papel

Cifrado - Llaves Pblicas: Algoritmo Diffie-Hellman
El protocolo Diffie-Hellman permite a dos usuarios intercambiar una llave secreta sobre un medio inseguro sin tener acuerdos preestablecidos. Esto lo logra generando un secreto compartido, tambin llamado llave de cifrado de la llave entre las dos partes. Este secreto compartido luego encripta la llave simtrica (usando DES, 3DES, CAST, IDEA, Blowfish, etc.) que asegura la transmisin.
Llave original
Llave original
DH
Encriptacin
d h31& 8vyale 8743 w tr ktu.d 3h nP09 $Fie*
Desencriptacin
Llave Cifrada

Proceso Algoritmo DH:
1. Se tienen dos parmetros pblicos q y p, tal que ambos son primos y p<q 2. Dos partes quieren iniciar el cifrado de sus datos, y por lo tanto necesitan tener primero un secreto compartido, las dos partes son A y B. 3. A genera una llave privada Xa, tal que Xa es un valor aleatorio, menor que q. 4. B genera una llave privada Xb, tal que Xb es un valor aleatorio, menor que q. 5. A genera su llave pblica, Ya, a partir de su llave privada Xa, con la siguiente frmula: Ya = pXa mod q 6. De igual manera, B genera su llave pblica, Yb, a partir de su llave privada Xb, con la siguiente frmula: Yb = pXb mod q 7. A y B intercambian sus llaves pblicas, Ya y Yb, entre s. 8. Con Yb en su poder, A est en capacidad de calcular el secreto compartido K, con la siguiente frmula: K = (Yb)Xa mod q 9. De igual manera, B puede calcular K, con Ya en su poder: K = (Ya)Xb mod q

Ejemplo Proceso Algoritmo DH:
Carlos y Roberto, necesitan un secreto compartido para iniciar su sesin de comunicacin encriptada usando un sistema asimtrico. Los valores iniciales son: q = 11 y p =5 Carlos escoge su llave privada Xc = 9 Roberto escoge su llave privada Xr = 3 Carlos calcula su llave pblica Yc = pXc mod q Yc = 59 mod 11 = 9 Roberto calcula su llave pblica Yr = pXj mod q Yj = 53 mod 11 = 4 Carlos le enva su llave pblica Yc a Roberto, y Roberto le enva su llave pblica Yr a Carlos. Ahora, Carlos calcula el secreto compartido K = (Yr)Xc mod q K = 49 mod 11 K=3 Y Julin calcula el secreto compartido K = (Yc)Xr mod q K = 93 mod 11 K=3 Por tanto el secreto compartido es K = 3.

Cifrado Infraestructura de Llaves Pblicas (PKI)
Problema: cmo manejar y publicar las llaves pblicas para cada persona o entidad que las necesiten.
PKI
PKI:
Conjunto de servicios y polticas que rigen el esquema de vinculacin de una identidad con una llave pblica y la posterior redistribucin de ese vnculo.
Procesos Bsicos:
- Certificacin - Validacin - Revocacin de certificados Certificado: Documento digital que incluye la certificacin, identidad y atributos asociados a ella

Cifrado Infraestructura de Llaves Pblicas (PKI)
Procesos Bsicos:
Vinculacin de una identidad con una llave pblica. Un tercer participante confiable, la Autoridad de Certificacin (CA), firma el certificado digitalmente dando fe de la validez del contenido. Proceso de comprobar la autenticidad del certificado, por tanto de asegurar que el contenido del mismo es confiable. Esto requiere la verificacin de la firma de la CA usando la llave pblica del mismo y chequeando el certificado contra una lista de revocacin de certificados (CRL) Proceso de desconocer un certificado previamente emitido antes de su fecha de expiracin. Estos sucede cuando algunos aspectos de la informacin contenidos en el certificado cambian. El CA es responsable de emitir una CRL actualizada.
Certificacin:
Validacin:
Revocacin de Certificados:

Cifrado PKI: Arquitectura
Bsqueda de un certificado o CRL
Validador
Presentacin de un Certificado
Depsito de certificados y CRLs
Autenticacin
Entidades de usuario
CA: Autoridad de Certificacin RA: Autoridad de Registro CRL: Lista de Revocacin de Certificados
Usuario
Presentacin de credenciales Presentacin de Credenciales y solicitud de un certificado Carantizacin de un certificado
Publicacin del Certificado
RA
Solicitud de un certificado
Publicacin del certificado o CRL
CA
Entidades de administracin
Solicitud o garantizacin de un certificado Publicacin del certificado o CRL
CA

Cifrado Formato Certificados Digitales
Define los lineamientos de los certificados de llaves pblicas, incluyen una especificacin de los certificados usados para vincular un nombre con una llave pblica, y una especificacin de revocacin para los certificados emitidos que no sean confiables. El estndar X.509 no especifica una infraestructura de llaves pblicas (PKI) en su totalidad, solo provee las bases sobre las cuales una PKI puede ser construida. Garantiza el vnculo de un nombre y una llave pblica, por lo tanto, contiene al menos un nombre y una llave pblica.
Certificado X.509

Cifrado Formato Certificados Digitales
Un certificado PGP incluye la siguiente informacin: Versin PGP: versin de PGP usada para crear la llave asociada con el certificado. La llave pblica del portador del certificado y su algoritmo: RSA, DH (Diffie-Hellman) o DSA (Digital Signature Algorithm). Informacin del portador del certificado: nombre usuario, su identificacin (user ID), etc. La firma digital del propietario del certificado El periodo de validez del certificado El algoritmo de cifrado simtrico preferido para la llave: CAST, IDEA o 3DES.
Cerificados PGP

Cifrado Administracin de Certificados Digitales
Interaccin de todos los componentes de una PKI que manejan la creacin, renovacin, mantenimiento y revocacin de certificados digitales: Autoridad de certificacin Autoridad de registro Depsito de certificados y CRL Los tres componentes pueden residen en el mismo computador.
Sistema de Administracin de Certificados (Certificate Management System)

Autoridad de Certificacin (CA)
La CA es la entidad que emite y revoca los certificados, entre sus funciones estn: Creacin y administracin de las llaves pblicas y privadas de la propia CA Creacin de parejas de llaves pblicas y privadas para los usuarios que as las necesitan. Creacin de un certificado vinculando la llave pblica del usuario a la identidad del mismo. Revocacin de certificados. Creacin de la lista de certificados revocados. Administracin de una base de datos de informacin segura donde reside la historia de los certificados emitidos y revocados. Manejo de un completo registro (log) de mensajes para propsitos de auditora.

Autoridad de Registro (RA) Verifica la informacin del usuario y la emisin del certificado. La emisin de un certificado requiere acceso a la llave privada de la CA para que ella misma lo firme La CA puede emplear una o ms RA para verificar la informacin de un usuario, el requerimiento de un certificado, la generacin de la llave y el almacenamiento de la misma, sin requerir la llave privada del usuario.

Depsitos de Certificados y CRLs
La CA puede publicar una copia de certificado en un depsito en los siguientes casos: - Cuando un certificado vlido es emitido a un usuario - Cuando es necesario invalidar un certificado antes de su fecha de expiracin
Un certificado no puede ser declarado vlido hasta no ser chequeado contra la CRL

Clasificacin de las VPN de acuerdo a la capa OSI: Layer 2: PPTP y L2TP Layer 3: IPSec

VPN: PPTP
Es el protocolo ms sencillo de tneles de paquetes. Es usado, en general, por pequeas empresas para realizar sus VPNs LAN-to-LAN, y en topologas de acceso remoto, para trabajadores remotos (teleworkers), tales como vendedores externos o trabajadores que se mantienen en constante movimiento por fuera de sus oficinas.
Oficina Central
Internet
VPN
Firewall
Usuario Remoto

VPN: PPTP
PPTP se soporta sobre la funcionalidad que PPP le brinda a un acceso conmutado para construir sus tneles a travs de Internet. PPTP encapsula paquetes PPP usando una versin modificada del Protocolo de Encapsulamiento Ruteado Genrico (GRE Generic Routing Encapsulation). PPTP utiliza los mecanismos de autenticacin que generalmente estn asociados a PPP tales como PAP y CHAP, una versin mejorada de CHAP llamada MS-CHAP y desarrollada por Microsoft se encuentra en sus sistemas operativos Windows NT, 2000 y XP. Otra mejora que le ha hecho Microsoft al protocolo PPTP es la incorporacin del mtodo de cifrado MPPE (Microsoft Point-to-Point Encription).

VPN: PPTP
PPTP depende del protocolo PPP para crear la conexin conmutada entre el cliente y el servidor de acceso a la red. La conexin TCP es creada entre el cliente y el servidor PPTP. Esta conexin es usada para intercambiar mensajes de control. Los mensajes de control establecen, mantienen y finalizan un tnel PPTP. Despus de que el tnel PPTP se ha establecido, los datos del usuario son transmitidos entre el cliente y el servidor PPTP. Estos datos son transmitidos en datagramas IP contenidos dentro de los paquetes PPP. Los datagramas IP son creados usando una versin modificada del protocolo GRE (Generic Routing Encapsulation); esta modificacin consiste en incluir un identificador de los host que puede ser usado para controlar los privilegios de acceso y la capacidad de reconocimiento, la cual es usada para monitorear la tasa de transferencia a la cual los paquetes estn transmitindose en el tnel. VPN
Internet
Cliente RAS (ISP) Cabecera del medio de entrega Cabecera IP Cabecera PPP Cabecera GRE mejorada Carga til paquete PPP Datagramas IP, IPX y NETBeui Trama Ethernet Server PPTP LAN Corporativo

VPN: PPTP sus componentes
- Servidor PPTP - Cliente PPTP - Servidores de acceso - Estructura Protocolo - Conexin de control - Operacin del tnel

PPTP sus componentes: Servidor y Cliente PPTP
Acta como punto final del tnel PPTP y reenva los paquetes a y desde el computador en la red privada. Servidor PPTP Estn en las premisas de la red corporativa, o ubicados dentro de la red privada y estn protegido por el firewall (zona militarizada). Cuando esto ocurre, es necesario abrir el puerto TCP 1723, o si el firewall permite filtrar no por puerto sino por protocolo, se deber permitir el protocolo GRE.
El usuario remoto utiliza un software cliente PPTP en su computador para poder crear el tnel. Cliente PPTP Establece una conexin PPP al ISP, y luego una conexin PPTP usando un puerto virtual proporcionado por el software cliente PPTP. Windows cuenta con un software cliente nativo

Servidor de Acceso y PPTP sus componentes: Estructura de Protocolo
Encargados de soportar las conexiones PPP de una gran cantidad de clientes que se conectan a este por medio de enlaces telefnicos conmutados. Funciones: Servidor de Acceso (NAS) 1. Brindar una interfaz fsica entre la red telefnica pblica conmutada y los mdems. Esto incluye conversiones A/D y D/A, conversiones sncronas a asncronas y manipulaciones de flujos de datos. 2. Terminacin lgica de enlaces PPP. 3. Autenticacin de enlaces PPP. 4. Sumarizacin de canales (protocolo multilink PPP). 5. Terminacin lgica de protocolos de control de red (NCP). 6. Enrutamiento multiprotocolo y bridging.
PPTP define una conexin de control entre cada pareja PAC-PNS la cual opera sobre TCP Estructura de Protocolo Define un tnel IP operando sobre la misma pareja PAC-PNS el cual es usado para transportar paquetes PPP con encapsulamiento GRE. PAC: Concentrador de Acceso PPT PNS: Servidor de red PPTP

PPTP sus componentes: Conexin de Control
Sesin TCP que mantiene control sobre la llamada e intercambia mensajes de informacin. Por cada pareja PAC-PNS existe una conexin de control y un tnel. Responsable del establecimiento, manejo y liberacin de las sesiones que existen en el tnel. El PNS y el PAC establecen la conexin de control usando mensajes Start-Control-Connection-Request y Start-Control-Connection-Reply. Conexin de Control La conexin de control puede comunicar cambios entre las dos partes con un mensaje Set-Link-Info. Una sesin puede ser liberada por el PAC o por el PNS. Cada mensaje en la conexin de control PPTP comienza con una cabecera fija de ocho octetos que contiene la longitud total del mensaje, un indicador del tipo de mensaje PPTP y una magic cookie. La magic cookie es la constante 0x1A2B3C4D. Su funcin bsica es asegurar al receptor que est sincronizado con el flujo de datos TCP. La prdida de sincronizacin conlleva al cierre inmediato de la sesin TCP de la conexin de control.

PPTP sus componentes: Operacin del Tnel
El tnel se utiliza para transportar todos los paquetes PPP de las diferentes sesiones involucradas en la pareja PNS-PAC. Los paquetes PPP son multiplexados y desmultiplexados sobre un nico tnel existente entre una pareja PNS-PAC. El valor del campo Clave es definido dentro del proceso de establecimiento de la llamada. Operacin del Tnel La cabecera GRE tambin contiene informacin de reconocimiento y de secuencializacin con la cual se realiza control de congestin y deteccin de errores en el tnel. Los paquetes PPP son transportados entre el PAC y el PNS, encapsulados en paquetes GRE los cuales a su vez son transportados sobre IP. Los paquetes IP transmitidos sobre los tneles entre un PAC y un PNS tienen la siguiente estructura general: Medio IP GRE PPP Carga til PPP

VPN: L2TP (Layer 2 Tunneling Protocol)
Fue creado como el sucesor de PPTP y L2F Diseado como un protocolo de tnel usando para ello encapsulamiento de cabeceras. Utiliza la funcionalidad de PPP para proveer acceso conmutado que puede ser tunelizado a travs de Internet a un sitio destino. Define su propio protocolo de tnel basado en L2F permitiendo transporte sobre una amplia variedad de medios de empaquetamiento tales como X.25, Frame Relay y ATM Incluye mecanismos de autenticacin nativos de PPP como PAP y CHAP.
Oficina Central
Internet
VPN
Firewall
Usuario Remoto

L2TP Componentes
Es un nodo que se encuentra en un punto extremo de un tnel L2TP. El LAC se encuentra entre un LNS y un sistema remoto y reenva los paquetes a y desde cada uno. Los paquetes enviados desde el LAC hasta el LNS van tunelizados.
Concentrador de Acceso L2TP (LAC)
Servidor de Red L2TP (LNS)
Es un nodo que se encuentra en un punto extremo de un tnel L2TP y que interacta con el LAC, o punto final opuesto. El LNS es el punto lgico de terminacin de una sesin PPP que est siendo tunelizada desde un sistema remoto por el LAC
Tnel
Un Tnel existe entre una pareja LAC-LNS. El tnel consiste de una conexin de control y de ninguna o ms sesiones L2TP. El tnel transporta datagramas PPP encapsulados y mensajes de control entre el LAC y el LNS.

L2TP Estructura del Protocolo
Mensajes Mensajes de control usados en el establecimiento, mantenimiento y finalizacin de tneles y llamadas. Mensajes de datos usados para encapsular tramas PPP que est siendo transportadas sobre el tnel.
Tramas PPP Mensajes de datos L2TP Canal de datos L2TP (no confiable) Mensajes de Control L2TP Canal de control L2TP (confiable)
Transporte de paquetes (UDP, Frame Relay, ATM, etc.) Las tramas PPP son transportadas sobre un canal de datos no confiable y son encapsuladas primero por una cabecera L2TP y luego por una cabecera de transporte de paquetes que pueden ser UDP, Frame Relay o ATM. Los mensajes de control son enviados sobre un canal de control L2TP confiable, el cual transmite paquetes en banda sobre el mismo transporte de paquetes.

L2TP: Operacin de Protocolo
Para tunelizar una sesin PPP con L2TP se necesita establecer una conexin de control para el tnel y una sesin respondiendo al requerimiento de una llamada entrante o saliente. Una sesin L2TP debe ser establecida antes que L2TP pueda empezar a tunelizar tramas PPP. Mltiples sesiones pueden existir a travs de un tnel nico y mltiples tneles pueden existir entre el mismo LAC y LNS.
Establecimiento de la Conexin de Control Autenticacin del Tnel Establecimiento de la Sesin Operaciones Reenvo de Tramas PPP Uso de Nmeros de Secuencia en el Canal de Datos Keepalive (Hello) Terminacin de la Sesin Terminacin de la Conexin de Control

IPSec
IPSec es un conjunto de protocolos diseados para proveer una seguridad basada en criptografa robusta para IPv4 e IPv6, de hecho IPSec est incluido en IPv6.
Servicios de Seguridad IPSec
Control de acceso Integridad de datos Autenticacin del origen de los datos Proteccin antirepeticin Confidencialidad en los datos.
Ventaja:
Modularidad del protocolo, no depende de un algoritmo criptogrfico especfico.

IPSec: Componentes
Protocolos de Seguridad Asociaciones de Seguridad (SAs) Bases de Datos de Seguridad Authentication Header (AH) Encapsulating Security Payload - ESP Internet Key Exchange - IKE

Componentes IPSec: Protocolo de Seguridad
Los servicios de seguridad trabajan gracias a dos protocolos, el Authentication Header (AH) [REF5.6] y el Encapsulating Security Payload (ESP) y tambin al uso de protocolos y procedimientos para el manejo de llaves criptogrficas tales como IKE (Internet Key Exchange Protocol) AH es un protocolo que aade una nueva cabecera justo despus de la cabecera IP original. AH provee autenticacin del origen de los datos e integridad de los mismos, tambin provee integridad parcial para prevenir ataques de repeticin. Este protocolo es apropiado cuando se requiere autenticacin en vez de confidencialidad. ESP provee confidencialidad para el trfico IP, al igual que autenticacin tal cual como lo hace AH, pero solo uno de estos servicios puede ser proporcionado por ESP al mismo tiempo. IKE es un protocolo que permite a dos entidades IPSec negociar dinmicamente sus servicios de seguridad y sus llaves de cifrado al igual que la autenticacin de la sesin misma.

Componentes IPSec: Asociaciones de Seguridad (SA)
Definen las medidas de seguridad que deberan ser aplicadas a los paquetes IP basados en quin los enva, hacia donde van y qu tipo de carga til ellos transportan. Las SAs pueden ser negociadas entre dos entidades IPSec dinmicamente, para lo cual se basan en polticas de seguridad dadas por el administrador del sistema o estticamente especificadas por el administrador directamente. una direccin IP de destino. Identifica el punto final de la SA un identificador del protocolo de seguridad. 51 para AH o 50 para ESP un ndice del parmetro de seguridad (SPI) de 32 bit.
Identificacin de una SA:

Componentes IPSec: Bases Datos de Seguridad
SPD (Security Policy Database): Polticas de Seguridad. Son guardadas todas las polticas de seguridad a ser aplicadas en el trfico IP. SAD (Security Association Database): Asociaciones de Seguridad.. Registra todas las SAs
Bases de Daros de Seguridad

Componentes IPSec: Authentication Header
Asegura que los datos entregados dentro del paquete IP son autnticos, es decir, que han arribado a su destino sin ninguna modificacin. Provee de un mecanismo de proteccin opcional antirepeticin de paquetes IP. No protege la confidencialidad de los datos, es decir, no recurre a ningn tipo de cifrado de los mismos. El elemento fundamental usado por AH es una cabecera de autenticacin:

Componentes IPSec: Authentication Header
a. Next Header: campo de ocho bits que identifica el tipo de protocolo de la carga util del paquete IP original. b. Payload Len: campo de ocho bits que especifica la longitud de la cabecera de autenticacin (no confundir con la cabecera original del paquete IP). c. Reserved: reservado para uso futuro, actualmente debe ser puesto en 0. d. Security Parameter Index: un nmero arbitrario de 32 bits. Este valor es usado junto con la direccin IP de destino y el tipo de protocolo IPSec (en este caso, AH) nicamente para identificar la SA para este paquete IP. El valor SPI es escogido por el sistema destino cuando la SA es establecida. e. Sequence Number: campo de 32 bits que mantiene un incremento monotnico de la secuencia de paquetes IPSec. Comienza en 0 cuando la SA es establecida y se incrementa por cada paquete IP saliente que usa esta SA. Este campo se usa como un mecanismo de proteccin antirepeticin. f. Authentication Data: campo de longitud variable que contiene el valor de chequeo de integridad ICV (Integrity Check Value) para este paquete IP.

Componentes IPSec: Encapsulating Security Payload (ESP)
Provee autenticacin, confidencialidad de los datos por medio de cifrado y una proteccin opcional antirepeticin para los paquetes IP. La confidencialidad es lograda por medio de tcnicas de cifrado. Los algoritmos de cifrado empleados a los paquetes IP son definidos por la SA sobre la cual los paquetes son enviados. Al igual que con AH varios campos adicionales son insertados en el paquete IP para que presten los servicios mencionados anteriormente. Muchos de esos campos tienen el mismo significado que en AH, pero la diferencia es que stos se encuentran a lo largo del paquete IP

Componentes IPSec: Encapsulating Security Payload (ESP)
Problema Cuando la longitud del nuevo paquete IP, debido a la adicin de una cabecera ESP y de unos campos de relleno y de autenticacin, resulta ser mas grande que el tamao mximo definido para el paquete (MTU). Cuando esto pasa, los paquetes IP son fragmentados por el dispositivo emisor. Debido a que el procesamiento ESP debe ser aplicado nicamente a paquetes IP enteros y no fragmentados, si un paquete IP entrante ha llegado fragmentado, el gateway de seguridad que lo recibe debe reensamblar los fragmentos para formar de nuevo el paquete IP antes de que sean procesados por ESP.

Componentes IPSec: Internet Key Exchange (IKE)
Las SAs pueden ser configuradas manualmente por el administrador del sistema o pueden ser negociadas dinmicamente por medio de un protocolo de manejo de llaves tal como IKE. IKE est basado en el protocolo de manejo de llaves y de asociaciones de seguridad en Internet ISAKMP (Internet Security Association And Key Management Protocol) ISAKMP define un conjunto de procedimientos por medio de los cuales se asegura el canal de comunicacin entre dos puntos. En otras palabras, es el protocolo encargado de preparar el canal de transporte seguro que luego ser usado por las SAs para ser negociadas.
Razones de usar IKE: En una comunicacin de datos es imposible saber cuando una nueva SA se tiene que establecer y ms cuando los datos a asegurar provienen del exterior del sistema. Por motivos de seguridad las SAs no pueden tener un tiempo de vida muy largo, dado que se expone a que algn atacante rompa los cdigos de seguridad.

Formato de un mensaje ISAKMP Un mensaje ISAKMP consiste de una cabecera ISAKMP y de uno o ms campos de carga til encadenado uno al otro en un paquete UDP. Estos paquetes usan el puerto 500.

Fases de Negociacin Mensajes ISAKMP
Fase 1
Negociacin entre los dos nodos ISAKMP. En esta fase dos nodos se ponen de acuerdo en la forma de proteger las comunicaciones que se establecern luego entre ellos, se puede decir que en esta fase se crea una asociacin de seguridad ISAKMP.
Fase 2
Las asociaciones de seguridad propias de IPSec son negociadas entre los dos nodos ISAKMP. Dado que el canal se ha asegurado en la primera fase, las negociaciones dentro de esta segunda fase se desarrollan de una manera mas sencilla.

Fase 1 IKE, modo Principal
Existen tres pasos en este modo. 1. Un nodo ISAKMP (el que inicia) propone mltiples SAs al otro nodo (el que responde); este ltimo escoge una de las SAs propuestas y la retorna al emisor. Cada nodo enva sus parmetros de intercambio de llaves y un nmero aleatorio llamado nonce; el uso de los nonces tiene como objetivo proteger a la negociacin contra ataques de repeticin. Toda la informacin que se intercambia es autenticada usando uno de los siguientes mecanismos de autenticacin: secreto compartido, firmas digitales o cifrado de llaves pblicas
2.
3.

Fase 1 IKE, modo Agresivo
En el modo agresivo, la SA propuesta, los parmetros de intercambio de llaves, el nonce y la informacin de su identidad, son intercambiadas todas en un nico mensaje, tal como se muestra en la figura 5.26. Adicionalmente, la informacin de autenticacin intercambiada no va enc

Fase 2 IKE
Una vez se completa la negociacin en la fase 1, la ISAKMP SA queda establecida. A partir de este momento todas las negociaciones de las asociaciones de seguridad que se necesiten crear entre los dos nodos viajan en un canal asegurado. Durante la fase 2, se negocian las asociaciones de seguridad IPSec. Como se dijo anteriormente, la negociacin que se realiza en esta fase es mas rpida dado que el canal ya se ha asegurado, de aqu que el nombre que toma esta negociacin es el de modo rpido.
En esta fase las identidades que se pasan de un lado a otro no son las identidades de los nodos IKE sino de los nodos IPSec y ms especficamente, de los selectores a ser usados en esta SA y que se encuentra en la base de datos de polticas de seguridad que rige esta comunicacin.
4. Aplicaciones D-Link
a. Serie DI b. Serie DFL
Serie DI: Router DI-804HV Router DI-808HV Router DI-824VUP+
- Capacidades del equipo - Configuraciones
Serie DI: Router DI-804HV y DI-808HV
Capacidades:
Interfaces:
1 Puerta WAN 10/100 4 Puertas LAN 10/100 (DI-804HV) 8 puertas LAN 10/100 (DI-808HV)
Seguridad
Control Negacin de Servicios (DoS) Firewall tipo Stateful Packet Inspection (SPI) NAT DMZ Filtros VPN
Soporte VPN
IPSec , 40 tneles PPTP L2TP Hasta 32 tneles combinados PPTP y L2TP
Serie DI: Router DI-824VUP
Capacidades:
Interfaces:
1 Puerta WAN 10/100 4 Puertas LAN 10/100 1 Puerta COM (DB9) 1 Puerta USB para impresora 1 Puerta Paralela para impresora
Wireless
Access point IEEE 802.11g Seguridad wireless: WEP y WPA
Seguridad
Control Negacin de Servicios (DoS) Firewall tipo Stateful Packet Inspection (SPI) NAT DMZ Filtros VPN
Soporte VPN
IPSec , 40 tneles PPTP L2TP Hasta 32 tneles combinados PPTP y L2TP
Serie DI: Configuracin VPN
Serie DFL: Firewall DFL-600 Firewall DFL-700 Firewall DFL-900 Firewall DFL-1100 Firewall DFL-1500
- Capacidades del equipo - Configuraciones
Serie DFL: Firewall DFL-600
Capacidades:
Interfaces:
1 Puerta WAN 10/100 3 Puertas LAN 10/100 1 Puerta DMZ 10/100
Seguridad
Control Negacin de Servicios (DoS) Firewall tipo Stateful Packet Inspection (SPI) NAT PAT DMZ Filtros VPN
Routing
Ruta esttica RIP-1 y RIP-2
Soporte VPN
IPSec PPTP L2TP Hasta 60 tneles combinados IPSec, PPTP y L2TP
Capacidades:
Interfaces:
1 Puerta WAN 10/100 1 Puerta LAN 10/100 1 Puerta DMZ 10/100 1 Puerta de consola
Seguridad
Control Negacin de Servicios (DoS) Firewall tipo Stateful Packet Inspection (SPI) NAT PAT DMZ Filtros IDS VPN
Routing
Ruta esttica RIP-1 y RIP-2
Soporte VPN
Capacidades:
Interfaces:
1 Puerta WAN 10/100 1 Puerta LAN 10/100 1 Puerta DMZ 10/100 1 Puerta de consola
Seguridad
Routing
Ruta esttica RIP-1 y RIP-2 OSPF
Soporte VPN
Capacidades:
Interfaces:
1 Puerta WAN 10/100 1 Puerta LAN 10/100 1 Puerta DMZ 10/100 1 Puerta Syn 1 Puerta de consola
Seguridad
Routing
Soporte VPN
Capacidades:
Interfaces:
5 Puerta10/100 Combinadas LAN, WAN y DMZ 10/100
Seguridad
Routing
Soporte VPN
Serie DFL: Firewall
VPN Application
Vendor
ADSL Modem ADSL Modem
Branch Office
DFL-100 VPN Client VPN Client Software Software
DFL-600
Access Point
Internet
ADSL Modem
Tele-communicator Headquarters
DFL-1500 Web Server DMZ
Access Point
Finance Server
E-mail Server
Firewall Application
Remote Office DFL-100 DFL-600
Corporation Network
DFL-1500
Remote Office
00000000000000000000000 0000 00000000000000000000000 0000 00000000000000000000000 0000 000000000000000000000000000
Deny Traffic Deny Some Attacks 00000000000000000000000000000000000000000000000000000000000000000000 Allow Traffic

00000000000000000000000000000000000000000000000 000000000000000000000 00000000000000000000000000000 000000000000000000000000000 000000000000
DFL-1500 Firewall Provides Access Control
IDS Application
Corporation Network
Remote Office
DFL-100 DFL-600
DFL-1500
Attacks Reach the Victim !!!
Remote Office
00000000000000000000000 0000 00000000000000000000000 0000 00000000000000000000000 0000 000000000000000000000000000
Detected Attacks
False Alarms
Undetected Attacks
Deny Traffic Deny Some Attacks 00000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000 Allow Traffic

00000000000000000000000000000000000000000000000 00000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000 00000000000000000000000000000 000000000000000000000000000 00000000000000000000000000000000000000000000000000000000000000000000000000000000000000000
DFL-1500 Firewall provides access control
DFL-1500 IDS provides attack monitoring
Load Balance Application

Weighted load balance
For example: Bandwidth of T1 leased line (WAN1) is three times faster than 512K ADSL line (WAN2). We could assign load weight 3: 1 for WAN1 vs. WAN2.
DFL-1500
1 T1 Leased Line 1.5 MB

W W eig ht 1= 25 % eig ht
3= 75 %
2 xDSL/ Cable Modem 512 KB
ISP A ISP B
Internet
High Availability Application

High Availability for Firewall / VPN / Load Balance / Bandwidth Management
DFL-1500
Switch
Internet
Router
Intranet
DMZ
DFL-1500
Switch
Mail / Web / DNS Server

DEC Seguridad y VPN

Cargado por

Información del documento

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

DEC Seguridad y VPN

Cargado por

Copyright:

Formatos disponibles

CURSO SEGURIDAD INTERNET Y REDES PRIVADAS VIRTUALES

Carlos Cervantes Garcs Trinnig Manager D-Link Latinamerica

1. Introduccin Redes WAN

1. Introduccin Redes WAN

1. Introduccin Redes WAN

1. Introduccin Redes WAN

DCE DCE DLCI 18 DLCI 23 DTE DLCI 23 DCE DCE DTE

1. Introduccin Redes WAN

1. Introduccin Redes WAN

Enlace Anlogo - Anlogo

Conversin D/A < 56 Kbps

Enlace Anlogo - Digital

Central Telefnica Enlace Digital

1. Introduccin Redes WAN

128 Kbps NT-1 Generador de La llamada Central Telefnica

Back End: Servidores web:

Front End: Navegadores o Browsers:

El usuario requiere la pgina El navegador pide al DNS www.ie.cl/index.html la IP de www.ie.cl

DNS contesta 195.53.206.10

El navegador hace una conexin TCP con 195.53.206.10

El navegador enva un comando GET /index.html

El servidor enva el fichero Index.html

Se libera la conexin TCP.

Autenticacin Control de acceso PKI

Trfico restringido No Permitido

El trfico es detenido porque no cumple los criterios especificados A Internet

DNS Mail Web Server Server Server

3 Internet Protocol (IP) 2 Data Link 1 Fsico

3 Internet Protocol (IP) 2 Data Link 1 Fsico

Response sent to 204.1.1.10, port 2000.

Non-DHCP Client: static IP configuration

DHCP Client: IP configuration from DHCP server

Mail Web DNS Server Server Server

IP Range Filter Status

MAC Filter Status

Domain Filter Status

3. Redes Privadas Virtuales

3. Redes Privadas Virtuales

3. Redes Privadas Virtuales

Oficina Central Sucursal

3. Redes Privadas Virtuales

3. Redes Privadas Virtuales

3. Redes Privadas Virtuales

Origen Identidad Autenticacin

3. Redes Privadas Virtuales

3. Redes Privadas Virtuales

3. Redes Privadas Virtuales

Oficina Central Sucursal

3. Redes Privadas Virtuales

3. Redes Privadas Virtuales

3. Redes Privadas Virtuales

3. Redes Privadas Virtuales

Usuario proporciona identidad y documentos que acreditan esto

3. Redes Privadas Virtuales

3. Redes Privadas Virtuales

3. Redes Privadas Virtuales

Ejemplo de password nicas: S/KEY

3. Redes Privadas Virtuales

3. Redes Privadas Virtuales

Concordancia Nombre Usuario Password

3. Redes Privadas Virtuales

Mensaje Proceso HASH Autenticador

3. Redes Privadas Virtuales

3. Redes Privadas Virtuales