Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Seguridad en Redes
Seguridad en Redes
Redes de Computadores
Capítulo 8: Seguridad en Redes
Capítulo 8 – Sesión 33
Sesión 33
8.1 Conceptos Generales
8.2 Principios de criptografia
8.3 Autenticación e Integridad de Mensajes
8.4 Conexiones TCP Seguras: SSL
8.5 Seguridad en la Capa de Red: IPsec
8.6 Seguridad en Redes Inalámbricas
8.7 Firewalls y ACLs
Capítulo 8 – Sesión 33
Conceptos Generales
Confidencialidad: Únicamente el Transmisor y el Receptor deberían
“comprender” el contenido de los mensajes intercambiados
Transmisor encripta los mensajes
Receptor desencripta los mensajes
Autenticación: Proceso efectuado por el Transmisor y Receptor para
confirmar la identidad de cada uno
Integridad de los Mensajes: Proceso mediante el cual el Tx y el Rx
verifican que los mensajes no han sido alterados
Acceso y disponibilidad: Define los servicios accesibles y disponibles
para los usuarios
Capítulo 8 – Sesión 33
Tranmisor, Receptor e Intrusos
Tx Rx
channel data, control
messages
Intruso
Capítulo 8 – Sesión 33
Transmisor y Receptor
Los elementos que actúan como Tx y Rx pueden ser:
Servidores DNS
Capítulo 8 – Sesión 33
Sesión 33
8.1 Conceptos Generales
8.2 Principios de criptografia
8.3 Autenticación e Integridad de Mensajes
8.4 Conexiones TCP Seguras: SSL
8.5 Seguridad en la Capa de Red: IPsec
8.6 Seguridad en Redes Inalámbricas
8.7 Firewalls y ACLs
Capítulo 8 – Sesión 33
Languaje Criptográfico
Alice’s Bob’s
K encryption K decryption
A
key B key
Alice’s Bob’s
K encryption K decryption
A
key B key
Capítulo 8 – Sesión 33
Languaje Criptográfico
Alice’s Bob’s
K encryption K decryption
A
key B key
Capítulo 8 – Sesión 33
Languaje Criptográfico
Alice’s Bob’s
K encryption K decryption
A
key B key
Capítulo 8 – Sesión 33
Clave Simétrica
KS KS
Capítulo 8 – Sesión 33
Esquema Simple de Encriptación
Cifrado basado en Sustitución: Se toma el texto plano y se
sustituye por un texto cifrado para generar el mensaje
encriptado
plaintext: abcdefghijklmnopqrstuvwxyz
ciphertext: mnbvcxzasdfghjklpoiuytrewq
Capítulo 8 – Sesión 33
Esquema Simple de Encriptación
Cifrado basado en Sustitución: Se toma el texto plano y se
sustituye por un texto cifrado para generar el mensaje
encriptado
plaintext: abcdefghijklmnopqrstuvwxyz
ciphertext: mnbvcxzasdfghjklpoiuytrewq
Capítulo 8 – Sesión 33
Esquemas de Encriptación en Bloques
El mensaje a ser encriptado se procesa en bloques de k bits
Capítulo 8 – Sesión 33
Esquemas de Encriptación en Bloques
Por ejemplo si k=3. Un posible mapeo para los bloques de
entradas es
• Finalmente se realizan
permutaciones de los sub-
bloques para generar la salida
Capítulo 8 – Sesión 33
Esquemas de Encriptación en Bloques
• Ejemplos de funciones o
mecanismos para cifrado de
bloques son:
Capítulo 8 – Sesión 33
Esquemas de Encriptación en Bloques
DES
• Bloques 64 bits
• Clave 56 bits
AES
Capítulo 8 – Sesión 33
Esquemas de Encriptación en Bloques
DES
• Bloques 64 bits
• Clave 56 bits
AES
Capítulo 8 – Sesión 33
Esquemas de Encriptación en Bloques
Capítulo 8 – Sesión 33
Actividad en Clase 12
Herramientas a emplear:
Capítulo 8 – Sesión 33
Actividad en Clase 12
Capítulo 8 – Sesión 33
Actividad en Clase 12
Capítulo 8 – Sesión 33
Sesión 34
8.1 Conceptos Generales
8.2 Principios de criptografia
8.3 Autenticación e Integridad de Mensajes
8.4 Conexiones TCP Seguras: SSL
8.5 Seguridad en la Capa de Red: IPsec
8.6 Seguridad en Redes Inalámbricas
8.7 Firewalls y ACLs
Capítulo 8 – Sesión 34
Autenticación
Objetivo: Comprobar la identidad entre los hosts
A B
“I am A”
¿Escenario Vulnerable?
X
Capítulo 8 – Sesión 34
Autenticación
Objetivo: Comprobar la identidad entre los hosts
A B
“I am A”
B no puede “ver” a A,
Por tanto X podría suplantar a A
X
Capítulo 8 – Sesión 34
Autenticación
Protocolo 2.0: A envía un mensaje “I am A” en un datagrama IP
A B
A’ s
IP address “I am A”
¿Escenario Vulnerable?
X
Capítulo 8 – Sesión 34
Autenticación
Protocolo 2.0: A envía un mensaje “I am A” en un datagrama IP
A’s
IP address “I am A”
X
Capítulo 8 – Sesión 34
Autenticación
Protocolo 3.0: A envía el mensaje “I am A” y envía su password
A A’s A’s
B
“I’m A”
IP addr password
A’s
OK
¿Escenario Vulnerable?
IP addr
X
Capítulo 8 – Sesión 34
Autenticación
Protocolo 3.0: A envía el mensaje “I am A” y envía su password
Playback Attack: X
captura y almacena el paquete de A.
Luego de un tiempo X envía el paquete a B
A A’s A’s
“I’m A” B
IP addr password
A’s
OK
IP addr
A’s A’s
“I’m A”
X
IP addr password
Capítulo 8 – Sesión 34
Autenticación
Protocolo 3.1: A envía el mensaje “I am A” junto con su
password encriptada
A’s encrypted
“I’m A”
IP addr password
Alice’s
OK
¿Escenario Vulnerable?
IP addr
X
Capítulo 8 – Sesión 34
Autenticación
Protocolo 3.1: A envía el mensaje “I am A” junto con su
password encriptada
La autenticación aún
es vulnerable al ataque
A’s encrypted
“I’m A” tipo playback
IP addr password
Alice’s
OK
IP addr
Alice’s encrypted
“I’m Alice”
X
IP addr password
Capítulo 8 – Sesión 34
Autenticación
Objetivo: Evitar el ataque tipo playback
nonce: Número (R) que un protocolo emplea solo una vez
Protocolo 4.0: Para comprobar la identidad, B envía a A un valor
nonce R. A debe retornar el valor de R encriptado con su
password
“I am A”
R
KA-B(R)
IP TABLES
Capítulo 8 – Sesión 34
Actividad en Clase 13
IP TABLES
Capítulo 8 – Sesión 34
Actividad en Clase 13
IP TABLES
Capítulo 8 – Sesión 34
Sesión 34
8.1 Conceptos Generales
8.2 Principios de criptografia
8.3 Autenticación e Integridad de Mensajes
8.4 Conexiones TCP Seguras: SSL
8.5 Seguridad en la Capa de Red: IPsec
8.6 Seguridad en Redes Inalámbricas
8.7 Firewalls y ACLs
Capítulo 8 – Sesión 34
SSL: Secure Sockets Layer
Mecanismo de seguridad muy
empleado
Soportado en la mayoría de
navegadores y sevidores web
Emplea el protocolo https
Proporciona
Confidencialidad
Integridad
Autenticación
Capítulo 8 – Sesión 34
SSL y TCP/IP
Application Application
SSL
TCP
TCP
IP IP
Handshake
Key Derivation
Data Transfer
Capítulo 8 – Sesión 34
Visión General de SSL: Handshake
B A
Capítulo 8 – Sesión 34
Visión General de SSL: Handshake
B A
B verifica la identidad de A
Capítulo 8 – Sesión 34
Visión General de SSL: Handshake
B A
Capítulo 8 – Sesión 34
Visión General de SSL: Key Derivation
Capítulo 8 – Sesión 34
Visión General de SSL: Data Transfer
Capítulo 8 – Sesión 34
Sesión 34
8.1 Conceptos Generales
8.2 Principios de criptografia
8.3 Autenticación e Integridad de Mensajes
8.4 Conexiones TCP Seguras: SSL
8.5 Seguridad en la Capa de Red: IPsec
8.6 Seguridad en Redes Inalámbricas
8.7 Firewalls y ACLs
Capítulo 8 – Sesión 34
Redes Privadas Virtuales (VPNs)
Motivación
Por razones de seguridad, las instituciones, empresas, etc,
prefieren una infraestructura de red propia (privada).
Infraestructura privada: links, routers, servers, dns, etc
Costos altos
Características
Una solución consiste en configurar Redes Privadas Virtuales
El tráfico se envía sobre Internet (Red pública)
Los datos se encriptan antes de ingresar a Internet
El tráfico enviado es separado del resto de tráfico en Internet
de forma lógica
Capítulo 8 – Sesión 34
Redes Privadas Virtuales (VPNs)
public laptop
Internet w/ IPsec
salesperson
in hotel
router w/ router w/
IPv4 and IPsec IPv4 and IPsec
branch office
headquarters Capítulo 8 – Sesión 34
Redes Privadas Virtuales (VPNs)
IPsec
RFC 430 (Arquitectura)
RFC 6071 (Operación)
Capítulo 8 – Sesión 34
Protocolo IPsec: Servicios
Integridad de datos
Autenticación de la fuente
Prevención de ataques tipo playback
Confidencialidad
AH (Authentication Header)
Capítulo 8 – Sesión 34
Protocolo IPsec: Servicios
Authentication Header (AH) Protocol
Autenticación de la Fuente
Integridad de datos
No confidencialidad
Encapsulation Security Protocol (ESP)
Autenticación de la Fuente
Integridad de datos
Confidencialidad
Preferido sobre AH
Capítulo 8 – Sesión 34
IPsec: Asociación
Los datagramas IPsec se intercambian entre entidades de red
(hosts, routers)
Antes del intercambio, la fuente y el destino crean una
conexión de red lógica (capa de red)
Dicha conexión se denomina Security Association (SA)
headquarters Internet
branch office
200.168.1.100 193.68.2.23
R1
172.16.1/24
R2
172.16.2/24
200.168.1.100 193.68.2.23
R1 security association
172.16.1/24
R2
172.16.2/24
Capítulo 8 – Sesión 34
Datagrama IPsec
IPsec, define dos formatos de datagrama
Capítulo 8 – Sesión 34
Datagrama IPsec
Modo Tunel
Protocolo ESP (Encapsulation Security Protocol)
authenticated
encrypted
new IP ESP original Original IP ESP ESP
header hdr IP hdr datagram payload trl auth
Capítulo 8 – Sesión 34
Datagrama IPsec
Modo Tunel
Protocolo ESP (Encapsulation Security Protocol)
authenticated
encrypted
new IP ESP original Original IP ESP ESP
header hdr IP hdr datagram payload trl auth
authenticated
encrypted
new IP ESP original Original IP ESP ESP
header hdr IP hdr datagram payload trl auth
200.168.1.100 193.68.2.23
R1 security association
172.16.1/24
R2
172.16.2/24
authenticated
encrypted
new IP ESP original Original IP ESP ESP
header hdr IP hdr datagram payload trl auth
IP IP IPsec Secure
payload header header payload
header
Capítulo 8 – Sesión 34
Operación IPsec
R1 convierte el datagrama IP original en un datagrama IPsec
Capítulo 8 – Sesión 34
IKE: Internet Key Exchange
Cuando una VPN, está conformada por pocas entidades de
red, la configuración de IPsec puede ser realizada de forma
manual por un administrador
Ejemplo:
SPI: 12345
Source IP: 200.168.1.100 La configuración
Dest IP: 193.68.2.23 manual no resulta
Protocol: ESP
práctica conforme es
Encryption algorithm: 3DES
HMAC algorithm: MD5 mayor el número de
Encryption key: 0x7aeaca… nodos en la VPN
HMAC key:0xc0291f…
Capítulo 8 – Sesión 34
IKE: Internet Key Exchange
Cuando una VPN, está conformada por pocas entidades de
red, la configuración de IPsec puede ser realizada de forma
manual por un administrador
Ejemplo:
SPI: 12345
Source IP: 200.168.1.100
Dest IP: 193.68.2.23 En esos casos se
Protocol: ESP emplea el mecanismo
Encryption algorithm: 3DES IPsec IKE (Internet
HMAC algorithm: MD5
Key Exchange)
Encryption key: 0x7aeaca…
HMAC key:0xc0291f… RFC 5996
Capítulo 8 – Sesión 34
IKE: Internet Key Exchange
Cuando una VPN, está conformada por pocas entidades de
red, la configuración de IPsec puede ser realizada de forma
manual por un administrador
Ejemplo:
SPI: 12345
Source IP: 200.168.1.100
Dest IP: 193.68.2.23 Los mensajes IKE se
Protocol: ESP emplean para el
Encryption algorithm: 3DES intercambio de
HMAC algorithm: MD5
algoritmos, claves,
Encryption key: 0x7aeaca…
HMAC key:0xc0291f… identificadores SPI
Capítulo 8 – Sesión 34
Sesión 34
8.1 Conceptos Generales
8.2 Principios de criptografia
8.3 Autenticación e Integridad de Mensajes
8.4 Conexiones TCP Seguras: SSL
8.5 Seguridad en la Capa de Red: IPsec
8.6 Seguridad en Redes Inalámbricas
8.7 Firewalls y ACLs
Capítulo 8 – Sesión 34
WEP (Wired Equivalent Privacy)
Encriptación mediante clave simétrica
Confidencialidad
Autorización end systems
Integridad de datos
Encriptación de cada paquete
Los paquetes pueden desencriptarse incluso cuando
existe pérdida de paquetes previos
Eficiencia
Mecanismo implementable en hardware y software
Capítulo 8 – Sesión 34
WEP: Encriptación
Tx calcula una valor denominado Integrity Check Value (ICV)
sobre los datos
Key
IV data ICV
ID
Key
IV data ICV
ID
MAC payload
Capítulo 8 – Sesión 34
WEP: Autenticación
authentication request
Capítulo 8 – Sesión 34
WEP: Inconvenientes de Seguridad
Vulnerabilidad:
Encrypted
Key
IV data ICV
ID
Capítulo 8 – Sesión 34
802.11i: Fases de Operación
AP: access point
STA: AS:
wired
client station Authentication
network
server
1 Discovery of
security capabilities
3 STA derives
3 AS derives
Pairwise Master
same PMK,
Key (PMK)
sends to AP
Capítulo 8 – Sesión 35
Firewalls
firewall
Aislar la red interna de la red pública (Internet,) estableciendo
reglas para el paso o bloqueo del tráfico (paquetes)
administered public
network Internet
Capítulo 8 – Sesión 35
Stateless Packet Filtering
El router firewall analiza los
paquetes
que llegan o salen de la red
Prevenir ataques DoS (Denial of Descartar todos los paquetes ICMP con
Service) dirección de broadcast
Prevenir que la red sea detectada via Descartar todos los paquetes ICMP con
traceroute el campo TTL a cero (expirado)
Capítulo 8 – Sesión 35
Access Control Lists
ACL: Tabla de reglas que pueden configurarse sobre un
router para definir las acciones a tomar sobre un paquete
source dest source dest flag
action protocol
address address port port bit
outside of any
allow 222.22/16 TCP > 1023 80
222.22/16
outside of
allow 222.22/16 UDP > 1023 53 ---
222.22/16
allow outside of 222.22/16
UDP 53 > 1023 ----
222.22/16
deny all all all all all all
Capítulo 8 – Sesión 35
Stateful Packet Filtering
Stateful Packet Filter: Realiza un seguimiento del estado de una
conexión TCP
Capítulo 8 – Sesión 35
Stateful Packet Filtering
En la configuración de las ACL’s se incluye el estado de la
conexión
source dest source dest flag check
action proto
address address port port bit conxion
outside of any
allow 222.22/16 TCP > 1023 80
222.22/16
outside of
allow 222.22/16 UDP > 1023 53 ---
222.22/16
Capítulo 8 – Sesión 35
Configuración de ACL’s:Routers Cisco
Dos tipos de ACL’s
Capítulo 8 – Sesión 35
Configuración de ACL’s:Routers Cisco
Formato ACL’s
• Verificación
R1(config)# show access-list
Capítulo 8 – Sesión 35
Configuración de ACL’s:Routers Cisco
Actividad en Clase 14
Capítulo 8 – Sesión 35
Configuración de ACL’s:Routers Cisco
Actividad en Clase 14
Capítulo 8 – Sesión 35
Configuración de ACL’s:Routers Cisco
Actividad en Clase 14
Capítulo 8 – Sesión 35
Configuración de ACL’s:Routers Cisco
Actividad en Clase 14
R1(config)#line vty 0 4
R1(config-line)#password nombre
R1(config-line)#login
R1(config-line)#exit
R1(config)#exit
Capítulo 8 – Sesión 35
Configuración de ACL’s:Routers Cisco
Actividad en Clase 14
R2(config)#line vty 0 4
R2(config-line)#password nombre
R2(config-line)#login
R2(config-line)#exit
R2(config)#exit
Capítulo 8 – Sesión 35
Configuración de ACL’s:Routers Cisco
Actividad en Clase 14
Capítulo 8 – Sesión 35
Configuración de ACL’s:Routers Cisco
Actividad en Clase 14
Capítulo 8 – Sesión 35
Configuración de ACL’s:Routers Cisco
Actividad en Clase 14
Actividad en Clase 14
Capítulo 8 – Sesión 35
EVALUACIÓN CAPÍTULOS 7 Y 8 (5 PUNTOS)
Capítulo 8 – Sesión 35
PLANIFICACIÓN REDES DE COMPUTADORES
Examen de Suspensión:
Examen Teórico: Capítulos 5, 6, 7 y 8
Preguntas sobre las practicas y trabajos en clase (Segundo interciclo)
Capítulo 8 – Sesión 35
Seguimiento: Asignatura (Sílabo) FACULTAD DE INGENIERÍA
Contenidos 8 Capítulos
• Los contenidos de cada sesión corresponden a la
planificación del sílabo
• Para cada sesión se ha proporcionado material (diapositivas),
especificando los contenidos
• Se puede verificar la relación entre los contenidos y el sílabo
• Se han abordado la totalidad de los contenidos
Bibliography
Redes de Computadores
Capítulo 8: Seguridad en Redes