IPSEC. dit. Objetivo: proporcionar a IP (IPv4( IPv4, IPv6) ) mecanismos de seguridad. Servicios de Seguridad

Documentos relacionados
Semana 11: Fir Fir w e a w lls

Capítulo 8, Sección 8.6: IPsec

ipsec Qué es ipsec? IPSec: seguridad en Internet

Seguridad en el nivel de Red. Arquitectura de seguridad IPSEC. José María Sierra

Seguridad en Internet VPN IPSEC

Universidad de Buenos Aires Facultad De Ingeniería 2 do Cuatrimestre 2011 TP2: IPSEC. Parte 1 (RSA) INTEGRANTES

Mecanismos de protección. Xavier Perramon

Presentado a: Milton García. Presentado por: Paula Díaz Heidy solano Wilmar Albarracín

Seguridad en Redes Protocolos Seguros

Redes Privadas Virtuales Virtual Private Networks

Capítulo 5. Recomendaciones

El Protocolo IP. Tema 3. Servicio y Protocolo IP. Aplicaciones en Redes Locales 05/06

IPSec Internet Protocol Security

REDES PRIVADAS VIRTUALES VPN

CISCO Site-to-Site VPN

BREVE INTRODUCCIÓN A IPSEC

Redes (IS20) Ingeniería Técnica en Informática de Sistemas. CAPÍTULO 8: El nivel de transporte en Internet

Protocolos de Seguridad en Redes

CONFIGURACIÓN VPN SITE TO SITE YADFARY MONTOYA NATALIA HERNÁNDEZ SONIA DEYANIRA CARATAR BRENDA MARCELA TOVAR ADMINISTRACIÓN DE REDES DE COMPUTADORES

Guía de configuración de IPsec

Diseño de redes VPN seguras bajo Windows server 2008

Mikrotik User Meeting - Colombia LOGO

Protocolos de Interconexión de Redes

Redes Privadas Virtuales (VPN) S E G U R I D A D D E L A I N F O R M A C I O N

IP v6. :: Redes :: Redes : : IP v6. transporte. red. enlace. física. aplicación. Versión 28/02/11

Capa de TRANSPORTE. Ing. José Martín Calixto Cely Original: Galo Valencia P.

1. INTRODUCCION. -ATAQUES A LA SEGURIDAD: Qué acciones pueden comprometer la seguridad de la información que

Análisis del protocolo IPSec: el estándar de seguridad en IP Santiago Pérez Iglesias

Redes Privadas Virtuales

SEGURIDAD EN REDES IP

TELECOMUNICACIONES Y REDES

Introducción a la Seguridad con IP Seguro en Internet (IPSec)

Protocolos y técnicas alternativas al WEP. En este capítulo se presentan algunos protocolos y técnicas que ofrecen mayores

Aplicaciones. Ing. Camilo Zapata Universidad de Antioquia

Introducción Mensajes UDP. Asignación de puertos a procesos. Bibliografía [COM06] Internetworking with TCP/IP, Cap. 11.

La seguridad en la red: verdades, mentiras y consecuencias Aproximación práctica a la criptografía aplicada

Internet y su Arquitectura de Seguridad

access-list deny permit log

Introducción. Algoritmos

CRIPTOGRAFÍA SIMÉTRICA Y ASIMÉTRICA

Funciones Avanzadas de los Firewalls. Ing. Camilo Zapata Universidad de Antioquia

Una ACL es una lista secuencial de sentencias de permiso o denegación que se aplican a direcciones IP o protocolos de capa superior.

Capítulo 8 Seguridad en Redes Conexiones TCP Seguras: SSL

Howto: Cómo configurar el mapeo estático de puertos en el router/firewall corporativo para las redes VPN de Panda GateDefender Integra

REDES DE COMPUTADORES Laboratorio

Seguridad en comunicaciones TCP/IP

Conceptos básicos de redes TCP/IP

Seguridad en la capa IP IPSec

Universisdad de Los Andes Facultad de Ingeniería Escuela de Sistemas. Capa de Red. Mérida - Venezuela Prof. Gilberto Díaz

EL MODELO DE ESTRATIFICACIÓN POR CAPAS DE TCP/IP DE INTERNET

EL MODELO DE ESTRATIFICACIÓN POR CAPAS DE TCP/IP DE INTERNET

Necesidad de procesar y almacenar Información.

Técnicas de cifrado. Clave pública y clave privada:

Packet Tracer: Configuración de VPN (optativo)

Protocolos de Seguridad en la capa de Transporte. Secure Socket Layer SSL

CONTENIDO. 10. Protocolo RIPng 11. Direcciones IPv6

FUNDAMENTOS DE REDES CONCEPTOS DE LA CAPA DE RED

OBJETIVOS DE APRENDIZAJE

Bloque IV: El nivel de red. Tema 10: Enrutamiento IP básico

Introducción a la seguridad En redes de datos - 2

Redes Privadas. :: Redes :: transporte. red. enlace. física. aplicación. Versión 28/02/11

Clase 26 Soluciones al problema de direccionamiento Tema 7.- Ampliación de temas

IP Internet Protocol. Funcionalidades: Esquema global de direcciones Fragmentación / reensamblado Ruteo

Capitulo 6 VPN y Firewalls

VPN RED PRIVADA VIRTUAL INTEGRANTES: ALEXANDER BERNAL RAMIREZ CARLOS TRANCA JOSUE FLORES MIGUEL ANGEL VILLANUEVA

4. Protección del nivel de transporte: SSL/TLS/WTLS.

Redes Privadas Virtuales (VPN)

IP Internet Protocol. IP Dirección IP. Funcionalidades: Esquema global de direcciones Fragmentación / reensamblado Ruteo. Direccionamiento IP

Nota de aplicación Creando VPNs IPsec con un MRD-310

Configuración básica de VPN LAN-2-LAN con routers.

IPSec: Seguridad IP. Fernando Cano Espinosa Mayo de Fundamentos de SR. Aplicaciones y Estándares (William Stallings)

REDES DE COMPUTADORES Laboratorio

DE COMUNICACIONESArquitectura de redes de comunicaciones. Tema I: Arquitectura TCP/IP. en Internet. C. F. del Val. Seguridad-L3

Seguridad en Correo Electrónico

Redes WAN VPN. Esteban De La Fuente Rubio L A TEX. 13 may Universidad Andrés Bello

INGENIERÍA INFORMÁTICA LABORATORIO DE REDES

Red Privada Virtual. IPSec

Examen Cisco Online CCNA4 V4.0 - Capitulo 6. By Alen.-

Armando VPNs con FreeS/WAN

CRIPTOGRAFIA. Qué es, usos y beneficios de su utilización. Universidad Nacional del Comahue

Información sobre seguridad

Redes Privadas Virtuales

Nivel de transporte: UDP

Información sobre seguridad

Gran número de usuarios accediendo a un único servicio y con un único protocolo. Servidores y clientes con distintos protocolos.

Networks. Presentado por : Richart Rojas. routeros en entonos gubernamentales Caso de éxito VPNs. Ecuador MUM Ecuador 2013

C A P Í T U L O VI PROTOCOLOS SEGUROS

01/10/ Conjunto de protocolos TCP/IP. Contenido. a. TCP/IP Internet OSI. a. TCP/IP Internet OSI. b. Nivel de red Protocolo IP

Módulo Nº 7. Aspectos de Seguridad en Redes de Área Extendida

Redes de Computadoras El Protocolo PPP

Servidor FTP. Ing. Camilo Zapata Universidad de Antioquia

SEGURIDAD EN REDES IP

UNIVERSIDAD POLITECNICA SALESIANA SEDE CUENCA

Proyecto de Grado 2008 Anexo VII IP4JVM Glosario

SENTINEL REMOTE CONTROL (S.R.C)

UNIVERSIDAD DEL AZUAY

Universidad Interamericana de Puerto Rico Recinto de Bayamón Departamento de Informática

Capítulo 8 Seguridad en Redes WEP, FW, IDS. Basado en: Computer Networking: A Top Down Approach, Jim Kurose, Keith Ross.

PRACTICA CAPITULO 2 MODULO 1 PROTOCOLOS Y LA FUNCIONALIDAD DE LA CAPA DE APLICACIÓN

WALC2011 Track 2: Despliegue de IPv6 Día -5 Guayaquil - Ecuador Octubre 2011

Transcripción:

IPSEC Objetivo: proporcionar a IP (IPv4( IPv4, IPv6) ) mecanismos de seguridad Servicios de Seguridad Integridad sin conexión Control de Acceso Autenticación Mecanismos anti-replay Confidencialidad de datos Confidencialidad de flujo de tráfico limitada UPM IPSEC 1

IPSEC Modos de utilización de IPSEC Modo Transporte Directamente entre sistemas remotos Los sistemas remotos deben implantar IPSEC Modo Túnel Entre sistemas intermedios Se establece un túnel seguro para encapsular los datagramas IP inseguros UPM IPSEC 2

UPM IPSEC 3 Ámbito de IPSEC IPSEC ofrece tres funcionalidades principales: Sólo autenticación Conocida como Authentication Header (AH) Cifrado + Autenticación Conocida como Encapsulating Security Payload (ESP) Una función de gestión de claves IKE (ISAKMP / Oakley) IPSEC no define los algoritmos de seguridad que se usan. Marco para poder utilizar múltiples algoritmos a elección de los sistemas participantes.

Ámbito de IPSEC Cómo se transmite IPSEC? Una nueva cabecera en el datagrama IP entre la cabecera original y los datos Para ESP, los datos se cifran y se añade una terminación de datagrama Datagrama IP Cabecera IP original (IPv4 o IPv6) Datos: TCP/UDP/ IP tunelado, etc. IP Protocol: 17 (UDP), 6 (TCP), 47 (GRE), etc, Datagrama IPSEC Cabecera IP original (IPv4 o IPv6) Cabecera IPSEC Datos (quizás cifrados): TCP/UDP/IP tunelado, etc. Terminación IPSEC IP Protocol: IPSEC (50-ESP, 51-AH) UPM IPSEC 4 Next Header: 17 (UDP), 6 (TCP), 47 (GRE), etc

IPSEC Security Association (SA) Contexto de interoperabilidad usada en AH y ESP Relación uno a uno entre transmisor y receptor que define el conjunto de parámetros de seguridad utilizados Es necesario establecer una SA previamente a la comunicación: IKE Contenido de una SA: Security Parameter Index (SPI) IP Destination Address Security Protocol Identifier UPM IPSEC 5

UPM IPSEC 6 Security Association (SA) Security Parameter Index (SPI) Bitstring asignado a la SA con significado local sólo. Puntero a base de datos de SA (SPD: Security Policy Database). Se transmite en las cabeceras de AH y ESP para seleccionar la SA que procesará dicho mensaje IP Destination Address Solo se permiten direcciones unicast Security Protocol Identifier (SPI) Identifica que tipo de seguridad se usa AH (solo autenticación) ESP (cifrado y posiblemente autenticación)

UPM IPSEC 7 Qué define una SA (I)? Sequence Number Counter Valor de 32 bits para generar el numero de secuencia transmitido en las cabeceras AH y ESP Sequence Counter Overflow Indicador de acción ante un llenado del nº de secuencia Anti-Replay Window Ventana para limitar la aceptación de datagramas válidos AH Information Algoritmos de autenticación, claves, tiempos de vida, etc. usados en AH

UPM IPSEC 8 Qué define una SA (II)? ESP Information Algoritmos de cifrado y autenticación, claves, valores de inicio, tiempos de vida, etc. usados en ESP IPSEC Protocol Mode Modo transporte, túnel o wildcard SA Lifetime Intervalo de tiempo o bytes después del cual hay que sustituirla por una nueva SA Path MTU Máximo tamaño de paquetes transmitidos sin fragmentación

Modo de Autenticación: AH AH: Authentication Header Proporciona soporte para la autenticación e integridad de datagramas IP Los cambios en el contenido son detectados Los destinatarios pueden autenticar al origen Previene los ataques de IP-spoofing Protege el ataque de retransmisión UPM IPSEC 9

IPSEC Authentication Header (AH) Bit: 0 8 16 32 Next Header Payload Length RESERVED Security Parameter Index (SPI) Sequence Number Authentication Data (variable) UPM IPSEC 10

UPM IPSEC 11 IPSEC Authentication Header Next Header: : tipo de protocolo de datos que se transmite dentro de IP (p.e. TCP, UDP, GRE, etc.) Payload Length: : Longitud de la cabecera AH Security Parameter Index (SPI): identificación de la SA de este datagrama. Sequence Number: : contador que se incrementa monotónicamente con cada paquete Authentication Data: : contiene el Integrity Check Value (ICV)

UPM IPSEC 12 Authentication Header (AH) La autenticación se basa en el uso de un Integrity Check Value con un algoritmo especificado en la SA. Entrada: porción del mensaje y clave secreta Salida: ICV que se transmite en el campo Authentication Data de AH Se hace el calculo sobre: Todo el contenido del datagrama Los campos de la cabecera IP que no cambian en tránsito o son predecibles La cabecera AH expecto el campo Authentication Data Algoritmos: para interoperabilidad, al menos MD5 y SHA-1

Calculo de Authentication Data Datagrama IP Cabecera IP original (IPv4 o IPv6) Solo parámetros fijos o predecibles Datos: TCP/UDP/ IP tunelado, etc. Datagrama IPSEC Algoritmo ICV Cabecera IP original (IPv4 o IPv6) Campos fijos AH Auth. Data Datos: TCP/UDP/ IP tunelado, etc. Campos mutables de cabecera IPv4 TOS Flags Fragment Offset UPM IPSEC 13 TTL Header Checksum Campos predecibles de cabecera IPv4 Destination Address

Anti-Replay Ataque: retransmitir paquete válido Defensa: número de secuencia en cabecera AH Al establecer una SA, se inicializa a 0 Con cada paquete, se incrementa en 1 y se envía. Si se llega a 2 32-1, se termina la SA y se negocia otra Pero IP no asegura la entrega ni el orden El receptor tiene ventana deslizante de tamaño 64 Especifica los números de secuencia intermedios que el receptor es capaz de aceptar UPM IPSEC 14

Modo de cifrado: ESP ESP: Encapsulating Security Payload Proporciona: Confidencialidad de contenidos Confidencialidad limitada de flujo de tráfico Opcionalmente, servicio de autenticación como AH UPM IPSEC 15

UPM IPSEC 16 Campos de ESP Security Parameter Index (SPI): identificación de la SA de este datagrama. Sequence Number: : contador que se incrementa monotónicamente con cada paquete Payload Data: Datos cifrados del protocolo IP Padding: bytes extra necesarios si el algoritmo de cifrado requiere bloques completos de texto Pad Length: : Numero de bytes de pad en padding Next Header: : tipo de protocolo de datos en el payload data. Authentication Data: : ICV calculado sobre todo el datagrama (menos el campo Authentication Data)

Formato del datagrama ESP Bit: 0 16 24 32 Security Parameter Index (SPI) Sequence Number Payload Data (variable) Autenticado Cifrado Padding (0 256 bytes) Pad Length Next Header UPM IPSEC 17 Authentication Data (Variable)

Funcionamiento de ESP Datagrama IP Cabecera IP original (IPv4 o IPv6) Datos: TCP/UDP/ IP tunelado, etc. Datagrama IPSEC Algoritmo cifrado Padding Pad Length Next Header Cabecera IP original (IPv4 o IPv6) SPI Seq. Num. Payload Data Authentication Data UPM IPSEC 18

Algoritmos criptográficos Se especifica en la SA Para cifrado, se deben usar algoritmos de cifrado simétrico Para interoperabilidad, al menos se deben soportar: DES en modo CBC para cifrado MD5 y SHA-1 1 para autenticación Se pueden usar muchos otros (con identificador): Por ejemplo, triple DES, RC5, IDEA, CAST, Blowfish, etc. UPM IPSEC 19

Modo transporte y túnel Datagrama IP Datagrama IPSEC (modo transporte) Cabecera IP original (IPv4 o IPv6) Datos: TCP/UDP Cabecera IP original (IPv4 o IPv6) Cabecera ESP Datos cifrados (TCP/UDP) Terminación ESP Authentication Data Datagrama IPSEC (modo túnel) Nueva cabecera IP (IPv4 o IPv6) Cabecera ESP Cab. IP original Datos cifrados (TCP/UDP) Terminación ESP Authentication Data UPM IPSEC 20

Modo Transporte: IPSEC Modos de utilización Internet IPSEC IPSEC Modo Túnel (VPN): A IP R1 Internet IPSEC R2 IP B IP Fuente: A IP Destino: B UPM IPSEC 21 IP Fuente: R1 IP Destino: R2 IP Fuente: A IP Destino: B

Distribución manual Gestión de claves Se configura cada sistema con sus propias claves y con las claves del resto de sistemas Solo utilizable en entornos pequeños y estáticos Distribución automática Creación bajo demanda de claves para los SA Es más flexible... Pero necesita más esfuerzo para configurar y más software UPM IPSEC 22

Gestión de claves Protocolo por defecto de gestión de claves para IPSEC: IKE ( (Internet Key Exchange) Método estándar para: Autenticar dinámicamente extremos IPSEC Negociar servicios de seguridad Generar claves compartidas Tiene dos componentes: ISAKMP: procedimientos y formatos de paquete para establecer, negociar, modificar y eliminar SA. OAKLEY: protocolo de intercambio de claves. UPM IPSEC 23

UPM IPSEC 24 OAKLEY Protocolo de determinación de claves. Objetivo principal: generar una clave de sesión compartida entre ambos extremos Método: algoritmo de Diffie-Hellman (modificado) Acuerdo previo en dos factores Un número primo muy grande: q Una raiz primitiva de q: a (a mod q, a 2 mod q,.. a q-1 mod q son distintos) A selecciona X A (secreto) y transmite a B: Y A =a B selecciona X B (secreto) y transmite a A: Y B =a Ambos calculan K=(Y B ) X A mod q=(y A ) X B mod q Se amplía para autenticar las partes y evitar el ataque de man-in-the-middle. =a X A =a X B

ISAKMP Procedimientos y formatos para establecer, negociar, modificar y borrar SA. Tipos de intercambios ISAKMP: Base: se transmite a la vez el intercambio de claves y la autenticación Protección de Identidad: primero intercambio de claves y luego autenticación Solo Autenticación: sin intercambio de claves Agresivo: intercambio de claves y autenticación minimizando el número de transacciones Informativo: para transmitir status o errores. UPM IPSEC 25

2024 © DocPlayer.es Política de privacidad | Condiciones del servicio | Feedback