SEGURIDAD EN REDES IP Lledó Aitana García Lacuesta Temas Avanzados de Redes de Ordenadores ÍNDICE Vulnerabilidades de los protocolos de la arquitectura TCP/IP IPSec Definición Formato paquetes Modos funcionamiento Ejemplos Security Association VPN Definición Beneficios Tunneling VPN basados en túneles de nivel 2: PPTP, L2TP Bibliografía 1
Amenazas a las que se enfrentan los datos (I) Pérdida de Confidencialidad Amenazas a las que se enfrentan los datos (II) Pérdida de Integridad 2
Amenazas a las que se enfrentan los datos (III) Pérdida de Autenticación Amenazas a las que se enfrentan los datos (IV) Pérdida de Disponibilidad 3
IPSec: Definición Extensión del protocolo IP Servicios criptográficos de seguridad basados en estándares definidos por el IETF Encriptación y autenticación a nivel de red Transparente al usuario: no se tienen que modificar los sistemas finales Los paquetes tienen la misma apariencia que un paquete IP corriente Combina distintas tecnologías: Diffie Hellman, encriptación clave pública, DES, funciones hash, certificados digitales... IPSec: Formato paquetes Dos nuevas cabeceras: Cabecera autenticación AH: asegura la autenticidad y la integridad de los datos incluyendo campos invariantes de la cabecera (direcciones origen y destino, por ejemplo) Cabecera de encapsulado de seguridad ESP: protege la autenticidad, confidencialidad e integridad de los datos (no incluye cabecera) Diferencia: AH asegura partes de la cabecera IP del paquete 4
IPSec: Modos de funcionamiento Modo transporte: es el host el que genera los paquetes Solo se encriptan los datos, la cabecera intacta Añade pocos bytes Permite ver las direcciones de origen y de destino Modo túnel: uno de los extremos de la comunicación es un gateway Se encripta el paquete IP entero Para el sistema final es transparente IPSec: Ejemplos AH Función Hash Modo transporte AH Autentificado Modo Túnel Nueva AH Autentificado 5
IPSec: Ejemplos ESP Cab. ESP Modo transporte Encriptado Autentificado Nueva Cab. ESP Encriptado Modo túnel Autentificado IPSec: Security Association (SA) Métodos que usa IPSec para defini la conexión Un SA para cada sentido de la comunicación Todo el tráfico con la misma SA, se trata por igual Una SA: Dirección destino SPI Protocolo de seguridad: ESP, AH 6
VPN: Definición Una Red Privada Virtual es una red que ofrece una conectividad segura sobre una red pública. Como la infraestructura es compartida, se puede proporcionar la conectividad a menor coste que con redes privadas dedicadas VPN: Beneficios Ahorro de costes directos Reducción del tiempo de aprendizaje Reducción de equipos Reducción de soporte técnico necesario Aumento de flexibilidad Escalabilidad: extiende la red WAN a más usuarios remotos Soporta más conexiones y ancho de banda Basadas en rendimiento, fiabilidad de conexión, cantidad de información y no en tiempo de conexión y en distancia 7
VPN: Tunneling Permite al transmisor encapsular sus datos en paquetes IP protegiéndolos de posibles atacantes Dos tipos de extremos: ordenadores individuales LAN segura (firewall, router) Túneles LAN-LAN: un gateway seguro en cada uno de los extremos sirve como interface entre el túnel y la LAN privada Túneles cliente: es la forma que tienen de acceder a los recursos de su empresa, los usuarios "móviles" VPN basadas en túneles de nivel 2: PPTP Los usuarios de una red privada corporativa precisan de un acceso a la red privada desde un lugar remoto Encapsula paquetes PPP usando una versión modificada del GRE Flexibilidad para manejar paquetes no IP (p.e. IPX, NetBEUI) al ser un protocolo de nivel 2 Confía en mecanismos de autentificación PAP, CHAP y MS- CHAP Cliente PPTP en plataforma Windows Microsoft ha incorporado un método de encriptación: MPPE No proporciona autentificación fuerte ni soporta métodos de autentificación basados en tokens 8
VPN basadas en túneles de nivel 2: PPTP (II) VPN basadas en túneles de nivel 2: L2TP Convergencia de PPTP y L2F (Cisco) como estándar IETF Flexibilidad para manejar paquetes no IP (p.e. IPX, NetBEUI) al ser un protocolo de nivel 2 Soporta mecanismos de autentificación PAP y CHAP y protocolos como RADIUS 9
Bibliografía VPN Artículo del International Engineering Consortium (IEC): Virtual Private Networks (VPNs) Artículo de Computer Networking: Introduction to VPN Artículo de Paul Ferguson de Cisco: What is a VPN? Artículo de Cisco: Virtual Private Networks (VPNs) IPSec Artículo de OpenBSD: Using IPSec (IP Security Protocol) White Paper de Cisco: IPSec 10