VIRTUAL PRIVATE NETWORK

Algoritmos de Encriptacin Autentificacin Tecnolog a VPN !ite to !ite

VIRTUAL PRIVATE NETWORK

INTERNET

VPN - Algoritmos de encriptacin

Los primeros algoritmos fueron de sustitucin de cifra" Encriptacin# $usca con%ertir un te&to plano en un cdigo cifrado 'Ilegi(le)" *es encriptacin# $usca con%ertir un cdigo cifrado 'Ilegi(le) en un te&to plano +aranti,a la -onfidencialidad" Actualmente estos algoritmos son de dominio p.(lico" !e (asan en lla%es /ue son las /ue generan la encriptacin

VPN Encriptacin

odelo O!I

-apa de Red# IP!E -apa !esin# !!L 0!ecure !oc1et La2er 3 2 TL! 0 transport La2er !ecurit2 3 -apa Aplicacin# Encriptacin para E4mail5 data(ase 2 mensa6es"

VPN Algoritmos !im"tricos # Asim"tricos

Asim7tricos utili,an distintas lla%es de 'encr2pt) como de 'decr2pt)" !im7tricos son 8"999 %eces m:s r:pidos /ue Asim7tricos 0 funciones matem:ticas comple6as 3

VPN Algoritmos !im"tricos

;< a=os de prue(a

e6"# AE! # Tama=o de lla%e se encuentra # > ><? @ 85< A 89 BB

VPN T"cnicas de encriptacin Algoritmos !im"tricos

!tream -ipCer# Encriptado (it a (it $loc1 -ipCer# Encriptado por $lo/ue 0 e6" <8> (itDs 3

VPN $ata Encr#ption Est%ndar & $E! '

Ampliamente utili,ado 0 menor seguridad 3 opera en modo (loc1 de ?E (its" Utili,a funciones matem:ticas simples F:cil de implementar 2 acelerar por GardHare 0 mdulos espec ficos en FireHall3" $E! KE(# Lla%e es de ?E (its5 <? de encripcin 2 I de paridad" Jodo de Operacin )loc* +ip,er Electronic -ode $ooc1 0E-$3# Lla%e de ?E (its 2 $lo/ues de ?E (itDs -ipCer $loc1 -Caining 0-$-3# Encr2pt de cada (lo/ue depende del anterior0 -I!-O 3 Jodo de Encriptacin !tream +ip,er Utili,a Te&to anterior 2 una lla%e /ue genera un 'pseudorandom) de stream de (its" -ipCer Feed(ac10 -F$ 3# !imilar a -$-5 puede encriptar un n.mero de (its" Output Feed(ac1 0OF$ 3# -ifrado es generado desde un (lo/ue de (its5 desde el te&to plano anterior"

VPN Triple $ata Encr#ption Est%ndar & - $E! '

!imilar a *E! E*E# Encripta K desencripta 4 Encripta -ada pasa utili,a una lla%e de <? (its diferente

VPN Ad.anced Encription !tandard & AE! '

Utili,a $lo/ue %aria(le 2 una lla%e %aria(le de encriptacin 0 8>I58L> 2 ><?3" F:cil implementacin GardHare 2 softHare" AE! m:s fuerte /ue ;*E! AE! es m:s r:pido de ;*E! AE! es m:s nue%o5 ;*E! lle%a ;9 a=os de prue(a"

VPN Algoritmos Asim"tricos

*iferente lla%e de encriptacin 2 desencripcin R!A EL+AJAL ELIPTI- -URVE! *IFFIE4GELLJAN *!A Principal uso# intercam(io de cla%es en medio no seguro5 para Algotirmos !im7tricos Lla%es de largo superiores a 89>E para este algoritmo se considera sergura"

VPN Algoritmos Asim"tricos

VPN /A!/E!

Pro%ee Integridad Una % a de funcin matem:tica GasC m:s utili,ado es J*< -GE-K!UJ Utili,a para integridad de la autenticacin como del mensa6e Los GasC son 'deterministicos) no se de(en duplicar" Pro%ee 'efecto A%alancCa)5 un pe/ue=o cam(io en la entrada5 genera un gran cam(io en el GasC de salida"

VPN *e#ed /as,-)ased & / A+ '

essage A0t,entication +ode

essage a0t,entication code5 es una porcin de informacin utili,ada para autenticar un mensa6e" Los %alores JA- se calculan mediante la aplicacin de una 10ncin ,as, criptogr%1ica con lla%e secreta K5 /ue slo conocen el remitente 2 destinatario5 pero no los atacantes" Jatem:ticamente la funcin CasC criptogr:fica toma dos argumentos# una lla%e K de tama=o fi6o 2 un mensa6e M de longitud ar(itraria" El resultado es un cdigo JA- de longitud fi6a# MAC @ CK0M3 donde# M es un mensa6e de longitud ar(itraria CK es la funcin /ue transforma el mensa6e en un %alor MAC 2 /ue utili,a una lla%e secreta K como par:metro MAC es el %alor JA- calculado de longitud fi6a

VPN *e#ed /as,-)ased & / A+ '

essage A0t,entication +ode

GJA- usa entonces una funcin CasC 0J*<5 !GA 4835 una cla%e K5 una funcin xor 2 Operaciones de relleno de (its"

VPN

essage $igest Algorit,m &

$2 '

-om.nmente Utili,ado para %erificar integridad de arcCi%os Utili,ado por -I!-O para almacenar passHord E&presa en Ge&adecimal5 8>I (its Varia(le entradas siempre generan 8>I (tis" !e Can detectado ' coliciones)5 mismo output para distintos input Rain(oH Ta(le# Las ta(las rain(oH son una estructura de datos 0mapas3 /ue pro%een informacin acerca de la recuperacin de contrase=as en te&to plano generadas con ciertas funciones CasC conocidas" !alt # !erie aleatoria de (its /ue se agregan en la informacin de entrada5 Cacen m:s seguro J*4<

VPN !ec0re /as, Algorit,m & !/A-3 '

!ucesor al J*< Utili,ado en # TL!5 !!L5 P+P5 !!G5 IP!E Varia(les entradas generan 8?9 (its de salida -olisiones Cas sido detectadas *e(ilidades en las operaciones matem:ticas E&isten %ariante !GA4>

VPN $igital !ignat0re

-rean Pu(lic Ke2 Infrastrure 0 PKI 3 Lla%es pu(licas se pueden distri(uir a cual/uiera" Re/uiere /ue un entidad 'firme) las lla%es p.(licas en un sistema PKI5 esto se conoce como un -ertificate AutCorit2 0 -A 3" Una %e, registradas la lla%e p.(lica se entrega un certificado 5 /ue %erifica la /ue la lla%e pertenece efecti%amente a /uien la emite" El encademaniemto del certificado 2 la lla%e es un Registration AutCorit2 0RA3 Una %es CecCo esto es usuario puede mandar su certificado 2 Lla%e p.(lica5 'firmado) por su lla%e pri%ada" El usuario en% a un mensa6e firmado por su lla%e pri%ada5 los /ue reci(en pueden %alidar la autor a del mensa6e con la lla%e p.(lica"

VPN R!A !ignat0re

Primer algoritmo de firmas digitales 2 encriptacin" Utili,a un lla%e P.(lica 2 una Pri%ada 0 Asim7trico3" Utili,a Encripcin5 *esencripcin 2 Firma"

Ata/ues E&istentes# Timing Attac1 $rancC Prediction analis2s 0$PA3 attac1

VPN $i11ie /ellman Ke# E4c,ange Algorit,m & $/ '

Intercam(ia lla%es de una manera segura so(re canales inseguros" Algoritmo Asim7trico" Pro%ee de lla%es a los algoritmos !im7tricos" Intercam(ia lla%es cuando se crea un t.nel" Luego pasa a !im7trico"

VPN Tecnolog5as de VPN

IP!E4 -onfidencialidad 4 Integridad 4 Autentificacion username 2 passHord One Time PassHord 0 to1en 3 PresCared 1e2s !igned *igital -ertificates 4 La2er ; 4 T.nel encriptado I!AKJP +RE L>TP L>F

VPN Internet Ke# E4c,ange &IKE'

IP!E- utili,a IKE IKE opera so(re tres modos# O$E Mui7n responde reci(e una propuesta del /ue inicia" *G asegura el esta(lecimiento de las lla%es secretas compartidas Esta(le t.nel I!AKJP 0Internet securit2 association 1e2 management Protocol3 A66RE!!IVE O$E Mui7n inicia en% a la informacin para esta(lecer una !ecurit2 Association 0!A3 Mui7n responde en% a los par:metros seleccionados" el /ue inicia finali,a la autentificacin de la session I!AKJP" 7UI+K O$E Negocia par:metros de IP!EAIN

VPN AUT/ENTI+ATION /EA$ER & A/ ' EN+AP!ULATIN6 !E+URIT( PA(LOA$ & E!P '

E!P encripta todo el pa/uete original5 AG no E!P utili,a protocolo IP <95 AG utili,a protocolo <8 Puede operar en modo 'transparent) o modo 'tunnel) 0En modo t.nel el pa/uete es modificado en un nue%o IP Geader 3

VPN +onsideraciones para dise8ar VPN

VPN +onstr0ccin T9nel IP!E+ !ite to !ite

TR:;I+O INTERE!ANTE *efinir tr:fico /ue ser: encriptado dentro del t.nel " 0 A-L 3 ;A!E - 3 P:rametros IKE I!AKJP Polic2 ;A!E - < P:rametros IKE Transform !et +R(PTO AP Asocia los par:metros de la fases 8 2 > Aplica a una interfa, 5 por donde se reci(e el t.nel

VPN +onstr0ccin T9nel IP!E+ !ite to !ite

cr2pto isa1mp polic2 10 CasC md< autCentication pre4sCare cr2pto isa1mp 1e2 ? vpnuser address 3=>=>=>< cr2pto ipsec transform4set myset esp4des esp4md<4Cmac N cr2pto map mymap 89 ipsec4isa1mp set peer 10.0.0.2 set transform4set myset matcC address 899 interface FastEtCernet9O8 ip address 8B>"8?"8"8 ><<"><<"><<"><> cr2pto map m2map ;A!E -3

;A!E -<

T?NEL !O)RE INTER;A@

access4list 899 permit ip 89"8IE"8>E"9 9"9"9"><< 8L>"8?I";B"9 9"9"9"><< TR:;I+O INTERE!ANTE