Redes virtuales1 Tema 4: Redes Virtuales r 4.1 Seguridad en redes m 4.1.1 Introducción m 4.1.2 Criptografía m 4.1.3 Criptoanálisis m 4.1.4 Clave simétrica

Redes virtuales 1

Tema 4: Redes Virtuales

4.1 Seguridad en redes 4.1.1 Introducción 4.1.2 Criptografía 4.1.3 Criptoanálisis 4.1.4 Clave simétrica 4.1.5 Clave asimétrica 4.1.6 Sistema mixto

4.2 Redes privadas virtuales 4.2.1 Introducción 4.2.2 PPTP 4.2.3 L2TP 4.2.4 IPsec 4.2.5 SSL

4.3 Redes de área local virtual

Redes virtuales 2


4.1 Seguridad en redes 4.1.1 Introducción 4.1.2 Criptografía 4.1.3 Criptoanálisis 4.1.4 Clave simétrica 4.1.5 Clave asimétrica 4.1.6 sistema mixto



Redes virtuales 3

Introducción

Canal seguro: Propiedades:

Confidencialidad Integridad Autenticidad (autenticación) No repudio

Emisor Receptor

Canal seguro?

Redes virtuales 4

Introducción

Confidencialidad: La información transmitida por el canal

inseguro sólo podrá ser interpretada por elementos destinatarios acreditados

Debe permanecer ininteligible para el resto Formas de protección:

Líneas física dedicadas Alto costeDifícil mantenimiento

Cifrado

Ejemplo: obtención de datos del emisor

Redes virtuales 5

Introducción

Integridad: Asegura que la información transmitida no

haya sido modificada durante su transcurso El mensaje en el destino debe ser el mismo

que el mensaje en el origen Formas de protección:

Firmas digitales

Ejemplo: modificación de la dirección de envío de un producto comprado por Internet

Redes virtuales 6

Introducción

Autenticidad: Asegurar el origen de una información Evitar suplantaciones Formas de protección:

Firmas digitales Desafío Autenticación humana

Biométrica (huella dactilar, retina, reconocimiento facial, etc.)

Ejemplo: suplantación de usuario en transacción bancaria

Redes virtuales 7

Introducción

No repudio: Evitar negación de envío por parte de un emisor Evitar negación de recepción por parte de un

receptor Formas de protección:

Firmas digitales

Ejemplo: pérdida de solicitud en proceso administrativo

Redes virtuales 8

Introducción

Canal inseguro: Poco fiable Ataques: Violación de seguridad del canal.

TiposPasivos Activos

CategoríasInterceptaciónInterrupciónModificaciónFabricación

Redes virtuales 9

Introducción

Ataques pasivos: El intruso no altera el contenido de la

información transmitida Objetivos:

Identificación de entidades Control del volumen de tráfico Análisis del tráfico Horario de intercambio habitual

Dificultad de detección Fácil de evitar -> cifrado

Redes virtuales 10

Introducción

Ataques activos: Implican alteración del contenido de la información

transmitida Tipos:

Enmascarados (impostor) Repetitivo (mensaje interceptado y repetido

posteriormente) Modificación del mensaje Denegación del servicio

Dificultad de prevención Fácil de detectar -> detección y recuperación

Redes virtuales 11

IntroducciónInterceptación: Ataque de confidencialidad Pasivo Un elemento no autorizado consigue acceso a un recurso no

compartido Ejemplos:

Captura de tráfico de red Copia ilícita de archivos o programas

Emisor Receptor

Intruso

Redes virtuales 12

Introducción

Interrupción: Destrucción de un recurso compartido Activo Ejemplos:

Destrucción de hardware Corte de línea de comunicación

Emisor Receptor

Intruso

Redes virtuales 13

Introducción

Modificación: Un recurso no compartido es interceptado y manipulado por

un elemento no autorizado antes de llegar al destino final Activo Ejemplos:

Alteración de los datos enviados a través de una red

Emisor Receptor

Intruso

Redes virtuales 14

IntroducciónFabricación: Ataque de autenticidad Activo Elemento no autorizado (impostor) genera un recurso que

llega al destinatario Ejemplos:

Introducción de información fraudulenta

Emisor Receptor

Intruso

Redes virtuales 15





Redes virtuales 16

Criptografía

Introducción: ¿Por qué?

Formas de protección contra intrusos basadas en la encriptación (cifrado y firmas digitales)

Definición Ciencia de la escritura secreta, destinada a

ocultar la información con el objetivo de que no pueda ser interpretada por otras personas

Principio Mantener la privacidad de la comunicación entre

dos o más elementos

Redes virtuales 17

Criptografía

Introducción: Base de funcionamiento

Alteración del mensaje original para que sea incompatible con toda persona ajena al destinatario

Ejemplo Mensaje original: “Mi profesor es un plasta” Mensaje alterado: “Pl surihvru hv xq sñdvwd” Cifrado de César con K=3

Redes virtuales 18

Criptografía

Cifrado: Procedimiento que

convierte un mensaje en claro en otro incomprensible

El algoritmo de cifrado requiere una clave

Descifrado: Procedimiento que

convierte un mensaje incomprensible en el mensaje original

Es necesario conocer el algoritmo de cifrado empleado y la clave adecuada

Redes virtuales 19

Criptografía

Introducción: Esquema de funcionamiento

Emisor Receptor

cifrado descifrado

Redes virtuales 20





Redes virtuales 21

Criptoanálisis

Introducción: Definición

Conjunto de métodos destinados a averiguar la clave usada por las partes comunicantes

Objetivo Desvelar el secreto de la correspondencia

Ataques Ataque de fuerza bruta (más común) Tipos:

Ataque de sólo texto cifradoAtaque de texto claro conocidoAtaque de texto claro seleccionado

Redes virtuales 22





Redes virtuales 23

Clave simétrica

Características: Clave privada Emisor y receptor comparten la misma

clave

Emisor Receptor

cifrado descifrado

Redes virtuales 24

Clave simétrica

Algoritmos: DES, 3DES, RC5, IDEA, AES Requisitos:

Del texto cifrado no podrá extraerse ni el mensaje en claro ni la clave

Conocidos el texto en claro y el texto cifrado debe ser más costoso en tiempo y dinero obtener la clave, que el valor derivado de la información sustraída

Fortaleza del algoritmo: Complejidad interna Longitud de la clave

Redes virtuales 25

Clave simétrica

Objetivos cumplidos: Confidencialidad Integridad Autenticación No repudio

Dependerá del número de participantes que compartan la clave secreta

Redes virtuales 26

Clave simétrica

Ventajas: Velocidad de ejecución de algoritmos

Mejor método para cifrar grandes cantidades de información

Inconvenientes: Distribución de la clave privada Administración y mantenimiento de claves

Número de claves usadas es proporcional al número de canales seguros empleados

Redes virtuales 27





Redes virtuales 28

Clave asimétrica

Características: Clave pública Cada participante posee una pareja de claves

(privada-pública)

Emisor Receptor

cifrado descifrado

Privada emisor

Pública emisor

Privada receptor

Pública receptor

Redes virtuales 29

Clave asimétrica

Algoritmos: Diffie-Hellman, RSA, DSA Requisitos:

Del texto cifrado debe ser imposible extraer el mensaje en claro y la clave privada

Conocidos el texto en claro y el texto cifrado debe ser más costoso en tiempo y dinero obtener la clave privada, que el valor derivado de la información sustraída

Para un texto cifrado con clave pública, sólo debe existir una clave privada capaz desencriptarlo, y viceversa

Redes virtuales 30

Clave asimétrica

Objetivos cumplidos: Confidencialidad Integridad Autenticación

Ofrece mecanismos muy buenos

No repudio Ofrece mecanismos muy buenos

Redes virtuales 31

Clave asimétrica

Ventajas: No presenta problemas de distribución de

claves, ya que posee clave pública En caso de robo de clave privada de un

usuario, sólo se ven comprometidos los mensajes enviados a dicho usuario

Proporciona mecanismos de autenticación mejores que los ofrecidos por sistemas simétricos

Inconvenientes: Velocidad de ejecución de algoritmos

Redes virtuales 32

Clave asimétrica

Autenticación: Desafio-respuesta Firma digital Certificado digital

No repudio: Firma digital Certificado digital

Redes virtuales 33

Clave asimétrica

Desafio-respuesta: Envío de un desafio en claro cuya solución conoce el emisor El emisor envía respuesta cifrada con clave privada

Emisor Receptor

cifrado descifrado

Privada emisor

Pública emisor

Privada receptor

Pública receptor

Redes virtuales 34

Clave asimétrica

Firma digital: Verificar autenticidad del origen Partes

Proceso de firma (emisor) Proceso de verificación de la firma (receptor)

Emisor Receptor

firma verificación

Privada emisor

Pública emisor

Privada receptor

Pública receptor

Redes virtuales 35

Clave asimétrica

Firma digital: Problema: Lentitud del proceso Empleo de huella

Emisor Receptor

Privada emisor

Pública emisor

Privada receptor

Pública receptor

Redes virtuales 36

Clave asimétricaFirma digital - Huella: Redución del tiempo de encriptado Función de hash

Convierte conjunto de datos de longitud variable en resumen o huella de longitud fija, ilegible y sin sentido

Irreversible Algoritmos SHA-1, MD5 Requisitos

Capacidad de convertir datos de longitud variable en bloque de longitud fija

Fácil de usar y sencillez de implementación Imposibilidad de obtener texto original de la huella Textos diferentes deben generar huellas distintas

Problema: Gestión de claves

Redes virtuales 37

Clave asimétrica

Certificado digital: Unidad de información que contiene una pareja de

claves públicas y privada junto con la información necesaria para capacitar a su propietario a realizar operaciones de comunicación segura con otros interlocutores

Contiene: Clave pública Clave privada (si es propietario) Datos del propietario Datos de uso (algoritmos, funciones permitidas, ...) Periodo de validez Firmas de Autoridades de certificación

Es posible su revocación

Redes virtuales 38





Redes virtuales 39

Sistema mixto

Clave de sesión: Partes

Distribución de clave de sesión (asimétrico) Comunicación segura (simétrico)

Emisor Receptor

Privada emisor

Pública emisor

Privada receptor

Pública receptorClave de sesión

Redes virtuales 40

Sistema mixto

Clave de sesión: Partes

Distribución de clave de sesión (asimétrico) Comunicación segura (simétrico)

Emisor Receptor

Privada emisor

Pública emisor

Privada receptor

Pública receptorClave de sesión

Redes virtuales 41

Sistema mixto

Objetivos cumplidos: Confidencialidad Integridad Autenticación No repudio

Empleo de firmas y certificados digitales

Redes virtuales 42

Sistema mixto

Ventajas: No presenta problemas de distribución de

claves, ya que posee clave pública Es improbable hacerse con la clave de

sesión Puede emplear mecanismos de

autenticación y no repudio de clave pública Velocidad de ejecución de algoritmos

Redes virtuales 43





Redes virtuales 44

Redes privadas virtuales

Introducción: Interconexión de usuarios y entidades

Línea dedicada (intranets)Coste elevadoDificultad de mantenimiento

Uso de red de acceso públicoRiesgos de seguridad

LAN

Red pública

Redes virtuales 45


Concepto: VPN: Canal de datos privado implementado

sobre red de comunicaciones pública Objetivos:

Enlazar subredes remotas Enlazar subredes y usuarios remotos

Uso de túnel virtual con encriptación

LANTúnel virtual

Red pública

Redes virtuales 46


Requisitos: Autenticación y verificación de identidad Administración de rango de IPs virtuales Cifrado de datos Gestión de claves públicas, privadas, y

certificados digitales Soporte para múltiples protocolos

Redes virtuales 47


Tipos: Sistemas basados en hardware

Diseños específicos optimizados Muy seguros y sencillos Alto rendimiento Coste elevado Servicios añadidos (firewalls, detectores de

intrusos, antivirus, etc.) Cisco, Stonesoft, Juniper, Nokia, Panda Security

Sistemas basados en software

Redes virtuales 48


Ventajas: Seguridad y confidencialidad Reducción de costes Escalabilidad Mantenimiento sencillo Compatibilidad con los enlaces inalámbricos

Redes virtuales 49


Elementos: Redes privadas o locales

LAN de acceso restringido con rango de IPs privadas

Redes inseguras Túneles VPN Servidores Routers Usuarios remotos (road warriors) Oficinas remotas (gateways)

Redes virtuales 50


Escenarios: Punto a punto LAN - LAN LAN – usuario remoto

LAN

LAN LAN

Redes virtuales 51





Redes virtuales 52

PPTP

Características: Protocolo de túnel punto a punto (PPTP) Protocolo diseñado y desarrollado por 3Com,

Microsoft Corporation, Ascend Communications y ECI Telematics, y definido en IETF (RFC 2637)

Se emplea en acceso virtual seguro de usuarios remotos a red privada

Emplea mecanismo de túneles para envío de datos desde cliente a servidor

Usa red IP de carácter pública o privada

Redes virtuales 53

PPTP

Funcionamiento: Servidor PPTP configurado para repartir IP de

LAN privada El servidor se comporta como un puente

LANUsuario remoto

67.187.11.25

Servidor PPTP192.168.1.1

192.168.1.30

192.168.1.31

192.168.1.32192.168.1.100 -

120

Redes virtuales 54

PPTP

Fases: Establecimiento de la conexión PPP con ISP Control de la conexión PPTP

Conexión TCP Intercambio de mensajes de control

Transmisión de datos Protocolo GRE Cifrado

Redes virtuales 55

PPTP

PPP: Protocolo punto a punto (RFC 1661)

Nivel de enlace Usado para conectar con ISP mediante una línea

telefónica (modem) o RDSI Versiones para banda ancha (PPPoE y PPPoA) Funciones:

Establecer, mantener y finalizar conexión pto-ptoAutenticar usuarios (PAP y CHAP)Crear tramas encriptadas

IP DatosPPP

Redes virtuales 56

PPTP

Control conexión PPTP: Especifica una serie de mensajes de control:

PPTP_START_SESSION_REQUEST: inicio de sesión PPTP_START_SESSION_RESPLY: respuesta solicitud inicio PPTP_ECHO_REQUEST: mantenimiento de la sesión PPTP_ECHO_REPLY: respuesta solicitud mantenimiento PPTP_WAN_ERROR_NOTIFY: notificación error PPTP_SET_LINK_INFO: configurar conexión cliente-

servidor PPTP_STOP_SESSION_REQUEST: finalización sesión PPTP_STOP_SESSION_REPLY: respuesta solicitud

finalización

Redes virtuales 57

PPTP

Autenticación PPTP: Emplea los mismos mecanismos que PPP:

PAP (Password Authentication Protocol)Muy simple: envío de nombre y contraseña en claro

CHAP (Challenge Handshake Authentication Protocol)Mecanismo desafio-respuestaCliente genera una huella a partir del desafio recibido

(MD5)Clave secreta compartidaEnvíos de desafios para revalidar identidad

Redes virtuales 58

PPTP

Autenticación PPTP: Añade dos nuevos:

SPAP (Shiva Password Authentication Protocol)PAP con envío de contraseña cliente encriptada

MS-CHAP (Microsoft Challenge Handshake Authentication Protocol)

Algoritmo propietario de Microsoft basado en CHAPProceso de autenticación mutuo (cliente y servidor)Debido a fallo de seguridad en Windows NT se creó

MS-CHAP v2

Redes virtuales 59

PPTP

Transmisión de datos: Emplea modificación del protocolo GRE (Generic

Routing Encapsulation) RFC 1701 y 1702 Establece división funcional en tres protocolos:

Protocolo pasajeroProtocolo portadorProtocolo de transporte

Pasajero

PortadorTransporte

Redes virtuales 60

PPTP

Transmisión de datos: Envío de tramas PPP encapsuladas en

datagramas IP

GRE DatosPPPIPMedio

TCP DatosIP

Redes virtuales 61

PPTP

Encriptación: MPPE (Microsoft Point-To-Point Encryption)

RFC 3078 Usa algoritmo RSA RC4 -> Clave de sesión a partir de

clave privada de cliente Sólo con CHAP o MS-CHAP

Permite túneles sin cifrado (PAP o SPAP) -> No VPN

Redes virtuales 62

PPTP

Ventajas: Bajo coste de implementación (emplea red

pública) No limitación del número de túneles debido a

interfaces físicas del servidor (aumento de recursos necesarios en servidor por túnel)

Inconvenientes: Altamente vulnerable

Control de la conexión TCP no autenticado Debilidad del protocolo MS-CHAP en sistemas NT Debilidad del protocolo MPPE

Empleo de contraseña privada

Redes virtuales 63





Redes virtuales 64

L2TP

Características: Protocolo de túnel de nivel 2 (RFC 2661) - PPP L2TP v3 (RFC 3931) - multiprotocolo Basado en 2 protocolos de red para transportar

tramas PPP: PPTP L2F (Layer Two Forwarding)

Se emplea junto a IPSec para ofrecer mayor seguridad (L2TP/IPSec, RFC 3193)

Redes virtuales 65

L2TP

Funcionamiento: LAC: Concentrador de acceso L2TP LNS: Servidor de red L2TP El servidor se comporta como un puente

LAN

Usuario remoto

67.187.11.25

Servidor L2TP(LNS)192.168.1.1

192.168.1.31

192.168.1.32

192.168.1.100 - 120

ISP

LAC

Voluntario

Obligatorio

Redes virtuales 66

L2TP

Tipos de túneles: Obligatorio:

1) El usuario inicia conexión PPP con ISP

2) ISP acepta conexión y enlace PPP

3) ISP solicita autenticación 4) LAC inicia túnel L2TP al LNS5) Si LNS acepta, LAC

encapsula PPP con L2TP y envía tramas

6) LNS acepta tramas y procesa como si fuesen PPP

7) LNS autentifica PPP validar usuario -> asigna IP

Voluntario:1) Usuario remoto posee

conexión con ISP2) Cliente L2TP inicia túnel

L2TP al LNS3) Si LNS acepta, LAC

encapsula con PPP y L2TP, y envía a través del túnel

4) LNS acepta tramas y procesa como si fuesen PPP

5) LNS autentifica PPP validar usuario -> asigna IP

Redes virtuales 67

L2TP

Mensajes: Dos tipos:

ControlEmpleados durante fase de establecimiento,

mantenimiento y finalización del túnelCanal de control confiable (garantiza su entrega)

DatosEncapsular la información en tramas PPPIntercambiados usando UDP puerto 1701

Redes virtuales 68

L2TP

Mensajes de control: Mantenimiento de conexión:

Start-Control-Connection-Request: inicio de sesión Start-Control-Connectio-Reply: respuesta solicitud inicio Start-Control-Connection-Connected: sesión establecida Start-Control-Connection-Notification: finalización de

sesión Hello: mensaje enviado durante periodos de inactividad

Redes virtuales 69

L2TP

Mensajes de control: Mantenimiento de llamada:

Outgoing-Call-Request: inicio de la llamada saliente Outgoing-Call-Reply: respuesta solicitud inicio llamada

saliente Outgoing-Call-Connected: llamada saliente establecida Incoming-Call-Request: inicio de la llamada entrante Incoming-Call-Reply: respuesta solicitud inicio llamada

entrante Incoming-Call-Connected: llamada entrante establecida Call-Disconnect-Notify: finalización de llamada

Redes virtuales 70

L2TP

Mensajes de control: Informe de errores:

WAN-Error-Notify: notificación de error

Sesión de control PPP: Set-Link-Info: configurar la conexión cliente-servidor

Redes virtuales 71

L2TP

Ventajas: Bajo coste de implementación Soporte multiprotocoloInconvenientes: Únicamente se identifican los dos extremos participantes

en el túnel (Posibles ataques de suplantación de identidad) No ofrece soporte para integridad (Posible ataque de

denegación de servicio) No desarrolla confidencialidad -> No garantiza privacidad No ofrece cifrado, aunque PPP pueden ser encriptado (no

existe mecanismo de generación automática de claves)

Redes virtuales 72





Redes virtuales 73

IPSec

Caracteríticas: Internet Protocol Security Ofrece servicios de seguridad a capa IP Permite enlazar redes distintas (oficinas remotas) Permite acceso de un usuario remoto a recursos

privados de una red Estándares IETF (Internet Engineering Task Force) Integrado en IPv4 e incluido por defecto en IPv6 IPSec es orientado a la conexión

Redes virtuales 74

IPSec

Caracteríticas: Servicios:

Integridad de datos Autenticación del origen Confidencialidad Prevención de ataques por reproducción

Modos de funcionamiento: Modo transporte Modo túnel

Redes virtuales 75

IPSec

Asociación de seguridad: Definición (SA):

“Acuerdo unidireccional entre participantes de una conexión IPSec en cuanto a métodos y parámetros empleados en la estructura del túnel, destinados a garantizar la seguridad de los datos transmitidos”

Una entidad debe almacenar: Claves y algoritmos de seguridad empleados Modo de trabajo Métodos de gestión de claves Periodo de vigencia de la conexión establecida Base de datos con SA

Redes virtuales 76

IPSec

Asociación de seguridad: Ejemplo:

SPI: 12345Source IP: 200.168.1.100Dest IP: 193.68.2.23 Protocol: ESPEncryption algorithm: 3DES-cbcHMAC algorithm: MD5Encryption key: 0x7aeaca…HMAC key:0xc0291f…

Métodos de distribución y administración de claves: Manual: entrega personal Automático: AutoKey IKE

Redes virtuales 77

IPSec

Protocolo IKE: Protocolo de intercambio de claves en Internet

(IKE) Protocolo definido en IETF

Gestión y administración de claves Establecimiento de SA

Estándar no limitado a IPSec (OSPF o RIP) Protocolo híbrido:

ISAKMP (Internet Security Association and Key Management Protocol)

Define la sintaxis de los mensajesProcedimientos necesarios para establecimiento,

negociación, modificación y eliminación de SA Oakley

Especifica lógica para el intercambio seguro de claves

Redes virtuales 78

IPSec

IKE – Negociación del túnel IPSec: Posee dos fases:

Fase 1: Establemiciento de un canal bidireccional de comunicación seguro (IKE SA)

IKE SA distinta a IPSec SASe denomina ISAKMP SA

Fase 2: Acuerdos sobre algoritmos de cifrado y autenticación -> IPSec SA

Usa ISAKMP para generar IPSec SAEl precursor ofrece todas sus posibilidades al otro con

prioridadesEl otro acepta la primera configuración que se adecue a

sus posibilidadesSe informan recíprocamente del tipo de tráfico

Redes virtuales 79

IPSec

Ventajas: Permite acceso remoto de forma segura y

transparente Facilita el comercio electrónico (infraestructura

segura para transacciones) Posibilita la construcción de red corporativa

segura (extranets) sobre redes públicas

Redes virtuales 80

IPSec

Protocolos: Protocolo de cabecera de autenticación (AH) Protocolo carga de seguridad encapsulada (ESP)

Redes virtuales 81

IPSec

Protocolo AH: Campo Protocolo de la cabecera IP :51 Servicios suministrados:

Integridad Autenticación No garantiza la confidencialidad (no emplea cifrado de

datos)

HMAC (Hash Message Authentication Codes) Generación de huella digital (SHA o MD5) Cifrado de huella digital con clave secreta compartida

Redes virtuales 82

IPSec

Protocolo AH: HMAC

Emisor

HMACIP AH DATOS

Receptor

HMACIP AH DATOS

Redes virtuales 83

IPSec

Protocolo AH: Formato

Next header

Payloadlength

Reserved

Security Parameters Index (SPI)

Sequence number

Authentication data

Cabecera IP

Datos

Cabecera AH

32 bits

Redes virtuales 84

IPSec

Protocolo AH: Formato:

Next header: protocolo del nivel superior Payload length: longitud del campo de datos (32 bits) Security Parameters Index (SPI): identificador SA Sequence number: Número de secuencia Authentication data: HMAC de longitud variable

Redes virtuales 85

IPSec

Protocolo ESP: Campo Protocolo de la cabecera IP :50 Servicios suministrados:

Integridad (opcional) Autenticación (opcional) Confidencialidad (cifrado de datos)

Algoritmo de cifrado de clave simétrica (DES, 3DES, Blowfish) Normalmente cifrado por bloques (relleno) Requiere un mecanismo seguro de distribución de

claves (IKE)

Redes virtuales 86

IPSec

Protocolo ESP:

Emisor

IP ESP DATOS

Receptor

IP ESP DATOSESP ESP

Redes virtuales 87

IPSec

Protocolo ESP: Formato

Padding

Security Parameters Index (SPI)

Sequence number

Cabecera IP

Datos ESP

32 bits

Next header

Padlength

Authentication data

Encriptado

Redes virtuales 88

IPSec

Protocolo ESP: Formato:

Security Parameters Index (SPI): identificador SA Sequence number: Número de secuencia Padding: Relleno Pad length: longitud del relleno en bytes Next header: protocolo del nivel superior Authentication data: HMAC de longitud variable

Redes virtuales 89

IPSec

Modos de funcionamiento: Aplicables tanto a AH como ESP

Modo transporte

con AH

Modotransportecon ESP

Modo túnel

con AH

Modotúnel

con ESP

Más usado

Redes virtuales 90

IPSec

Modo transporte: Los datos se encapsulan en un datagrama AH o

ESP Asegura la comunicación extremo a extremo Esquema cliente-cliente (ambos extremos deben

entender IPSec) Se emplea para conectar usuarios remotos

IP 1DatosIPSecIP 2

IP 1 IP 2

Host con IPSec Host con IPSec

Redes virtuales 91

IPSec

Modo transporte: AH: Next header = Protocol de cabecera IP

ESP: Next header = Protocol de cabecera IP

Encab.AH

DatosEncab.IP original

Autenticado

Encab.ESP


Cifrado

Autenticado

Redes virtuales 92

IPSec

Modo túnel: Los datos se encapsulan en un datagrama IP

completo Genera nueva cabecera IP Se emplea cuando el destino final del mensaje y

el extremo IPSec no coinciden (gateways)

IP ADatosIPSecIP B

Host sin IPSecgateway con IPSec gateway con IPSec

Host sin IPSec

IP 1

IP 2IP BIP A

IP 1IP 2

Redes virtuales 93

IPSec

Modo túnel: AH: Protocol nueva cabecera IP = 51 y Next header = 4

ESP: Protocol nueva cabecera IP = 50 y Next header = 4

Encab.AH

DatosEncab.IP nuevo

Autenticado

Encab.ESP


Cifrado

Autenticado

Encab.IP original

Encab.IP original

Redes virtuales 94





Redes virtuales 95

SSL

El proyecto OpenVPN: Implementación de VPN basada en SSL (OpenSSL) Software libre (GPL) Razones: Limitaciones de IPSec Características:

Driver tun encargado de levantar túnel y encapsular los paquetes a través del enlace virtual

Posee autenticación y encriptación Todas comunicaciones a través de un puerto TCP o UDP

(1194 por defecto) Multiplataforma Permite usar compresión

Redes virtuales 96

SSL

El proyecto OpenVPN: Características:

Modelo cliente-servidor (versión 2.0) Existen paquetes con instaladores y administradores

gráficos Permite administración remota de la aplicación Alta flexibilidad (multitud formatos de scripts)

Redes virtuales 97





Redes virtuales 98

VLAN

Introducción: Las LANs institucionales modernas suelen

presentar topología jerárquica Cada grupo de trabajo posee su propia LAN

conmutada Las LANs conmutadas pueden interconectarse

entre sí mediante una jerarquía de conmutadores

A

B

S1

C D

E

FS2

S4

S3

H

I

G

Redes virtuales 99

VLAN

Inconvenientes: Falta de aislamiento del tráfico

Tráfico de difusión Limitar tráfico por razones de seguridad y

confidencialidad

Uso ineficiente de los conmutadores Gestión de los usuarios

Redes virtuales 100

VLAN

VLAN: VLAN basada en puertos

División de puertos del conmutador en grupos Cada grupo constituye una VLAN Cada VLAN es un dominio de difusión Gestión de usuario -> Cambio de configuración del

conmutador

A B C D E F G H I

Redes virtuales 101

VLAN

VLAN: ¿Cómo enviar información entre grupos?

Conectar puerto del conmutador VLAN a router externo Configurar dicho puerto como miembro de ambos grupos Configuración lógica -> conmutadores separados conectados

mediante un router Normalmente los fabricantes incluyen en un único dispositivo

conmutador VLAN y router

A B C D E F G H I

Redes virtuales 102

VLAN

VLAN: Localización diferente

Miembros de un grupo se encuentran en edificios diferentes Necesario varios conmutadores Conectar puertos de grupos entre conmutadores -> No

escalable

A BC

D E FG HI

Redes virtuales 103

VLAN

VLAN: Localización diferente

Troncalización VLAN (VLAN Trunking) Puerto troncal pertenece a todas las VLANs ¿VLAN Destino de la trama? -> formato de trama 802.1Q

A BC

D E FG HI

Enlace

troncal

Redes virtuales 104

VLAN

IEEE 802.1Q: IEEE 802.3 (Ethernet)

IEEE 802.1Q

Dir.Destino

DatosPreambuloDir.Origen

Tipo CRC

Dir.Destino

DatosPreambuloDir.Origen

Tipo CRC nuevoTPID TCI

Información de control de etiquetado

Identificador de protocolo de etiquetado

Redes virtuales 105

VLAN

VLAN: VLAN basada en MAC (nivel 2)

El administrador de red crea grupos VLAN basados en rangos de direcciones MAC

El puerto del conmutador se conecta a la VLAN correspondiente con la dirección MAC del equipo asociado

VLAN nivel 3 Basada en direcciones de red IPv4 o IPv6 Basada en protocolos de red (Appletalk, IPX, TCP/IP)

Documents

Redes virtuales1 Tema 4: Redes Virtuales r 4.1 Seguridad en redes m 4.1.1 Introducción m 4.1.2 Criptografía m 4.1.3 Criptoanálisis m 4.1.4 Clave simétrica