DE COMUNICACIONESArquitectura de redes de comunicaciones. Tema I: Arquitectura TCP/IP. en Internet. C. F. del Val. Seguridad-L3

Transcripción

1 Arquitectura de redes de comunicaciones Tema I: Arquitectura TCP/IP Tema II: Servicios i y tecnologías de seguridad d en Internet 1

2 REDESLección 3. Protección de comunicaciones ARQUITECTURA DE 3.1 Firewall (Cortafuegos de Internet) 3.2 Redes corporativas. RPV IPSec túneles de N2 ( L2TP) Bibliografía TCP/IP Tutorial and Technical Overview. Cap. 22. Apartados 22.3; 22.4; 22.5; 22.10; y Criptography and Network Security. Cap. 16 y 20. 2

3 Firewall-cortafuegos Internet Red empresa Un firewall ó cortafuegos es un sistema o conjunto de sistemas que implementan una política de seguridad entre la red de una organización e Internet» O.P; Router, Estación de trabajo, O.C. etc. Separa una red confiable de Internet La política de seguridad define el comportamiento del firewall» Todo lo no específicamente permitido es prohibido» Todo lo no específicamente prohibido es permitido 3

4 REDESTipos de Firewall por funcionalidad ARQUITECTURA DE Filtros de paquetes Filtro de paquetes sin estados (Stateless)» Filtrado de paquetes independientes Filtro de paquetes con estados (Stateful)» Nivel de red y transporte asociando cada paquete a su correspondiente flujo Filtro de paquetes con estados e inspección del nivel de aplicación» Comportamiento del protocolo: CBAC (content Based Access Control): Protocolos más comunes (RFCs)» Inspección del contenido (firmas de ataques): Deep Inspection Pasarela de nivel de aplicación (o servidor proxy) Nivel de aplicación Pasarela de nivel de circuito Nivel de transporte (TCP-UDP) 4

5 REDESOpciones p de diseño de un Firewall ARQUITECTURA DE Funcionalidad del S.O. Firewall de Windows Routers Funcionalidad incluida Software Aplicación para un S.O. de propósito general. El vendedor del Firewall incluye parches del S.O. para securizar la máquina. Hardware Se utilizan dispositivos específicos optimizados (Appliance) y con S.O. al efecto. Integrado con otras funcionalidades d de seguridad d RPV (VPN) SDI SPI 5

6 Filtro de paquetes. Internet Filtrado de paquetes en base a: Contenido t cabecera IP Tipos de mensajes ICMP Implementación LCA: listas de Control de Acceso IP Tables 6 Contenido cabecera TCP/UDP

7 Firewall de filtrado con estados / Internet Protoc D. Origen P. Orig D. Desti P. destino Acción Protoc D. Orig P. Origen D. Destino P. destino Conexión Acción TCP >1023 Establecida Allow.. 7 Regla Temporal creada a partir del segmento SYN

8 Pasarela (Proxy) de aplicación. (Host Bastion) ARQUITECTURA DE REDES TELNET HTTP INTERNET FTP 8 Red confiable Permite implantar una política de seguridad más estricta que un firewall Una comunicación está constituida por dos conexiones No hay flujo directo de paquetes entre la red confiable e Internet Se implementa un código de propósito especial (servidor Proxy) por cada aplicación (http; FTP; Telnet; etc.) Cualquier usuario que quiera acceder a un servicio i se tiene que conectarse primero al servidor proxy Cada aplicación del Proxy se configura en función de la política de seguridad Los terminales de la red confiable solamente pueden utilizar los servicios implementados en el proxy

9 Pasarela de nivel de circuito INTERNET Red confiable Actúa como un dispositivo intermedio a todas las conexiones TCP. Similar a los Proxy No realiza procesamiento ni filtrado, simplemente retransmite segmentos de una conexión a otra. El cliente se conecta con el servidor y se autentica. Se analiza la conexión en base a número de puerto, origen, destino, clave de usuario En el caso, que sea admisible, puentea la conexión directamente La seguridad se basa en permitir o no las conexiones TCP. Pasarela de nivel de circuito estandarizada: SOCKS (v4; v5- RFC 1928) 9

10 DMZ con firewall de estados LCA básicas Internet Servidores Web públicos El firewall no comprueba el táfi tráfico de la DMZ 10

11 DMZ DMZ y firewall de estados con tres interfaces Todo el tráfico pasa por el firewall Internet Servidores Web públicos 11

12 Esquema con dos Firewall Intern et 12

13 Firewall con varias DMZs Internet Servidores Web públicos en DMZ diferentes 13

14 Múltiples Firewall SPNC SPC Internet SPSC 14

15 Proxy en la red Interna Proxy El administrador controla los usuarios que acceden a Internet Red confiable INTERNET 15

16 Proxy conectado al firewall INTERNET Red confiable 16

17 Proxy en la DMZ Socks v5 INTERNET Red confiable 17

18 Redes corporativas-intranets Interconexión del material informático de la organización en red» Hoy mediante tecnología TCP/IP» Conexión de dependencias remotas y acceso remoto de empleados Servicios de comunicaciones de Operadores Internet y Tecnología de RPV» Intranet Interconexión con Colaboradores, Suministradores, etc.» Extranet Tecnología de RPV Implementación» Servicios de comunicaciones de Operadores Servicios de RPV» Internet + Tecnología de RPV 18

19 Tecnologías de RPV (VPN) Nivel 2: Protegen tramas PPP PPTP (Point-to-Point Tunneling Protocol): Desarrollado por Microsoft L2F (Layer 2 Forwarding), Desarrollado por Cisco L2TP (Layer Two Tunnel protocol) Norma IETF» Mezcla de PPTP y de L2F Nivel 3: Protegen paquetes IP IPSec: desarrollado para comunicaciones seguras a nivel IP Nivel transporte: SSL/TLS: desarrollado por Netscape y estándar IETF Aplicación SSH desarrollado por Tatu Ylonen» Putty (Windows)» WinSCP» SFTP 19

20 Utilización de tecnologías de RPV Tecnología que utilizando Internet permite (O-O) Constituir la red corporativa interconectando las oficinas (Ipsec) (AR) Utilizar la red corporativa desde localizaciones remotas (sede, casa, hotel, etc.) ( SSL, L2TP) Extranet INTERNET Oficina de Otra empresa OFICINA B OFICINA A 20 OFICINAS CENTRALES DOMICILIO VIAJE

21 IPsec 21 Proporciona comunicaciones seguras a nivel IP Es una ampliación ió de la funcionalidad d de IP Opcional en IPv4» Protocolos AH (Authentication ) y ESP (Encapsulation Security Payload) Obligatorio en IPv6? Cabeceras de extensión (AH y ESP) Servicios de seguridad Confidencialidad Autenticación» Integridad d» Autenticación de origen Control de acceso Protección contra repeticiones Gestión de claves Configuración Automático (IKE)

22 Componentes de IPsec INTRANET OFICINA A RA INTERNET RB INTRANET OFICINA B B de D de Política de seguridad B de D de Asociacio nes de seguridad 22

23 Operativa del protocolo AH Paquete original Datos y campos de la cabecera inmutables y predecibles Paquete recibido Clave CAM Hash IP AH Datos INTERNET IP AH Datos Hash Clave CAM MAC MD5-HMAC-96 SHA-HMAC-96HMAC AES-XCBD-MAC-96 CAM recibido CAM calculado Si son iguales Paquete autenticado Si no son iguales Paquete alterado 23

24 Estructura del protocolo AH (Autentication ) Añade al paquete IP una cabecera de autenticación (Nº 51) Garantiza que el datagrama fue enviado por el terminal origen y que no ha sido alterado durante el trayecto Cabecera sig. Long. Datos Reservado SPI (Security Parameters Index) Número de secuencia Datos de autenticación (longitud variable) Datos D t de autenticación: ti ió CAM calculado l con alguno de los algoritmos KMD5; KSHA-1; HMAC-MD5-96, HMAC-SHA-1-96, AES-XCBD-MAC-96 24

25 Operativa del protocolo ESP (confidencialidad) Paquete original Paquete recibido Clave ESP Algoritmo IP ESP Datos IP Algoritmo Clave ESP INTERNET ESP Datos criptográfico criptográfico Paquete cifrado Paquete descifrado DES 3DES AES 25

26 Estructura del protocolo ESP (Ecapsulating Security Payload) (nº 50) ARQUITECTURA DE REDES Cifra el paquete Garantiza que el contenido no pueda ser examinado por terceros (o que si lo es no pueda ser interpretado). Incluye una cabecera (SPI y Nº seq) y una cola Opcionalmente puede incluir la función de autentificación (AUT) Primero se cifra y después se autentica Los datos AUT se añaden después de la cola ESP BITS SPI (Security Parameters Index) Número de secuencia Carga de Datos (Payload data): Longitud variable Relleno (padding): 0 a 255 octetos Long. relleno Cabecera Sig. Datos de autenticación (longitud variable) AUTENTIC CADO CIF RADO

27 Asociación de Seguridad Definición Relación unidireccional y para cada protocolo entre un emisor y un receptor que liga los servicios de seguridad al tráfico llevado sobre la misma Identificación AS SPI (Índice de Parámetros de Seguridad) Dirección IP destino Protocolo Parámetros AS En cada implementación IPsec debe haber una Base de Datos de Asociaciones de Seguridad que define los parámetros asociados con cada SA. 27

28 28 Parámetros de Asociación de seguridad (SA) Nº de secuencia Un valor de 32 bit utilizado para generar el Número de Secuencia en las cabeceras AH o ESP. Flag de desbordamiento de nº de secuencia Indica si es evento auditable y prevenir transmisiones i bajo esta AS. Ventana de anti-replay Activado no permite repeticiones por rotación Algoritmo para AH y sus claves Algoritmo, claves, tiempo de duración de los mismos, y parámetros relacionados. Algoritmo para ESP y sus claves Algoritmos, claves, valores de inicialización, tiempo de duración de las claves, etc.. Tiempo de vida de la asociación Intervalo de tiempo ó contador, para acabar y/o reemplazar una AS Modo del protocolo MTU Transporte o túnel Máximo tamaño que puede ser transmitido sin fragmentación

29 Proceso de cada paquete Proceso independiente en entrada y salida consultando las SPD, SAD y la propia AS Salida Tirar el paquete No aplicar IPsec Aplicar IPsec Entrada Existe cabecera IPsec» Se procesa la cabecera» Se consulta la SPD para ver si se puede admitir. No existe cabecera IPsec» Se consulta la SPD» Si debía tener cabecera IPsec se tira 29

30 Gestión de claves Automático El protocolo de gestión de claves es IKE: Internet Key Interchange (ISAKMP/Oakley) OaKley: Protocolo de Intercambio de claves basado en el método de distribución de claves de Diffie-Hellman con seguridad añadida ISAKMP (Internet Security Association and Key Management Protocol) IKEv1 IKEv2» Define procedimientos y formato de paquetes para establecer, negociar, modificar y borrar asociaciones de seguridad» Utilización de UDP como protocolo de transporte (puerto 500) Mejora la eficiencia 30

31 IKE IKE Establecer una Asociación AS IKE IPSec-IKEIKE Establecer dos asociaciones de seguridad AS IPSec Datos Dos Comunicaciones seguras 31

32 IKEv2 En claro Protegido con IPsec AS-IKE Protegido con IPsec AS-IKE 32

33 Túneles IP RED CORPORATIVA Destino: Destino: Origen: Origen: INTERNET RED CORPORATIVA Dest: Src: Destino: Dest: Origen: Src: Destino: Origen:

34 Modos de utilización IPsec Modo transporte: t Comunicación segura extremo a extremo. Requiere implementación de IPSec en ambos terminales. Modo túnel: Comunicación segura entre routers únicamente.» Permite incorporar IPSec sin tener que modificar los terminales Comunicación segura entre terminal y router (servidor de túneles 34

35 Direcciones IP Modos de utilización IPsec (II) Cab.externa Cab.interna 1 B ESP ó AH 1 3 Datos Direcciones IP Router A Cab.externa Cab.interna A B ESP ó AH 1 2 Datos Router B Terminal 3 MODO TÚNEL INTERNET MODO TRANSPORTE Terminal 1 Terminal ESP ó AH Datos Direcciones IP Origen-Destino 35

36 REDESFormato del paquete AH (IPv4). ARQUITECTURA DE Modo transporte Cabecera IP Datos Cabecera IP Cabecera AH Datos 36 Cabecera IP (excepto campos variables impredecibles) TOS TTL CRC Desplazamiento Flags Datos Se puede fragmentar el paquete. El destino ensambla los fragmentos antes de aplicar AH.

37 Formato del paquete AH (IPv4). Modo túnel Cabecera IP Datos Cabecera IP Túnel Cabecera AH Cabecera IP Datos Paquete original Cabecera y datos Cabecera IP túnel (excepto campos variables impredecibles) TOS TTL CRC Desplazamiento Flags 37

38 Formato del paquete AH (IPV6) MODO TRANSPORTE CABECERA IP SALTO CABECERA DEST., A SALTO... AH OPT.(1) TCP DATOS (1)PUEDEN IR ANTES Y/O DESPUÉSDE AH MODO TÚNEL CABECERA IP EXTERNA CABECERAS DE EXTENS. CABECERA AH CAB.IP ORIGINAL CABECERAS DE EXTENS. TCP DATOS. 38

39 Formato del paquete ESP (Pv4). Modo transporte ARQUITECTURA DE REDES Cabecera IP Datos Cabecera IP Cabecera ESP Datos Cola ESP ESP aut 39

40 Formato del paquete ESP (Pv4). Modo túnel Cabecera IP Datos Cabecera IP Túnel Cabecera ESP Cabecera IP Datos Cola ESP ESP aut 40

41 Formato del paquete ESP (IPv6) MODO TRANSPORTE CABECERA SALTO CABECERA DEST., TCP DATOS COLA AUTENTIC. IP A SALTO... ESP OPT.(1) ESP ESP (1) PUEDEN IR ANTES Y/O DESPUÉSDE ESP MODO TÚNEL CABECERA CABECERAS CABECERA CABECERA CABECERAS TCP DATOS COLA AUTENTIC. IP EXTERNA DE EXTENS. ESP IP INTERNA DE EXTENS. ESP ESP. 41

42 OFICINA 1 IPsec NAT-Transversal Los puertos TCP y UDP van autenticados y cifrados por lo que no se pueden cambiar en el router OFICINA 4 INTERNET Solución : se encapsula IPsec en OFICINA 2 UDP (puerto 4500) OFICINA 3 42

43 Entorno Norma IETF Sucesor del PPTP y del L2F Características: L2TP Encapsula /túnel) tramas PPP en paquetes IP y utiliza UDP como protocolo de encapsulado. Permite cifrado PPP (MPPE/ECP) o IPsec (L2TP/Ipsec) Permite conexiones PPP multienlace Se pueden utilizar los esquemas de autenticación de PPP o de IPsec» PAP y CHAP El control del túnel se realiza mediante UDP (puerto 1701) Implementación L2TPv2 para PPP L2TPv3,,para cualquier protocolo Clientes L2TP/IPsec en los S.O. más comunes 43

44 L2TP sobre IP Paquete TCP/IP IP TCP Payload Data Encapsulado PPP PPP IP TCP Payload Data L2TP Interface L2TP PPP IP TCP Payload Data UDP Interface UDP L2TP PPP IP TCP Payload Data IP Inteface IP UDP L2TP PPP IP TCP Payload Data Ehernet 44

45 Encapsulado Encapsulado L2TP/IPSec sobre IP Paquete TCP/IP IP TCP Payload Data Encapsulado PPP IP TCP Payload PPP Data L2TP Interface L2TP PPP IP TCP Payload Data UDP Interface UDP L2TP PPP IP TCP Payload Data IPSec Inteface IPSec ESP UDP L2TP PPP IP TCP Payload Data IPSec IPSec ESP AUTH Trailer Trailer IP Inteface IP IPSec ESP UDP L2TP PPP IP TCP Payload Data IPSec IPSec ESP AUTH Trailer Trailer Ehernet et 45

46 Protocolos de autenticación PPP La fase de establecimiento del enlace puede ser seguida de una fase opcional de autenticación ti ió 46 PAP (Password Authentication Protocol)» Envía el nombre de usuario y la contraseña en claro CHAP (Challenge Handshake Authentication Protocol)» Se comparte una clave secreta que se utiliza como entrada a la función Hash junto con la información de prueba de identidad» Las contraseñas se envían cifradas pero se almacena en claro MS-CHAPv1/v2(Microsoft Challenge Handshake Authentication Protocol).» Variante de Microsoft de CHAP Almacena las claves cifradas EAP (Extensible Authentication Protocol).» Soporta múltiples métodos y mecanismos (tarjetas inteligentes, etc.) de autenticación que se seleccionan en la fase de autenticación

47 RADIUS (Remote Access Dial-In User Service) PROTOCOLO PPP NAS (CLIENTE RADIUS) PROTOCOLO UDP NAS (SERVIDOR RADIUS) RTC/RDSI GSM INTERNET RED IP 47 APLICACIONES Solución de autenticación escalable Define dos cosas, en primer lugar un conjunto de funcionalidades que deberían ser comunes a los servidores de autenticación y un protocolo para acceder a dicha funcionalidad. El motivo de su desarrollo fue tener un servidor centralizado de autenticación que tiene toda la información sobre los usuarios y permitir realizar ar el control de acceso de forma remota en la entrada a la red (Pool de modems, servidores de acceso, etc).

48 Bibliografía (I) t /C t h / 48

49 Bibliografía (II) Capítulo