Академический Документы
Профессиональный Документы
Культура Документы
DE COMUNICACIONES
Tema
I: Arquitectura TCP/IP
T
Tema
II Servicios
II:
S
i i y tecnologas
t
l de
d seguridad
id d
en Internet
C. F. del Val
Seguridad-L3
ARQUITECTURA DE REDES
DE COMUNICACIONES
Bibliografa
p 22.
TCP/IP Tutorial and Technical Overview. Cap.
Apartados 22.3; 22.4; 22.5; 22.10; 22.13 y 22.14
http://www.redbooks.ibm.com
C. F. del Val
Seguridad-L3
ARQUITECTURA DE REDES
DE COMUNICACIONES
Internet
Firewall-cortafuegos
Red
empresa
C. F. del Val
Seguridad-L3
ARQUITECTURA DE REDES
DE COMUNICACIONES
Filtros de paquetes
Filtro de paquetes sin estados (Stateless)
Filtrado de paquetes independientes
C. F. del Val
Seguridad-L3
ARQUITECTURA DE REDES
DE COMUNICACIONES
Opciones
p
de diseo de un Firewall
Routers
Funcionalidad incluida
Software
Aplicacin para un S.O. de propsito general.
El vendedor del Firewall incluye parches del S.O. para
securizar la mquina.
Hardware
Se utilizan dispositivos especficos optimizados (Appliance)
y con S.O. al efecto.
Integrado
I t
d con otras
t
funcionalidades
f
i
lid d de
d seguridad
id d
RPV (VPN)
SDI
SPI
5
C. F. del Val
Seguridad-L3
ARQUITECTURA DE REDES
DE COMUNICACIONES
Filtro de paquetes.
paquetes
Internet
Implementacin
C t id cabecera
Contenido
b
IP
LCA:
LCA li
listas
t de
d Control
C t l de
d Acceso
A
IP Tables
C. F. del Val
Seguridad-L3
ARQUITECTURA DE REDES
DE COMUNICACIONES
192.168.1.0/24
80.20.60.41
Internet
Protoc
D. Origen
Protoc
D. Orig
TCP
180.10.33.52
P. Orig
D. Desti
P. destino
Accin
P. Origen
D. Destino
P. destino
Conexin
Accin
80
80.20.64.41
>1023
Establecida
Allow
C. F. del Val
Seguridad-L3
ARQUITECTURA DE REDES
DE COMUNICACIONES
TELNET
HTTP
INTERNET
FTP
Red confiable
C. F. del Val
Seguridad-L3
ARQUITECTURA DE REDES
DE COMUNICACIONES
INTERNET
Red confiable
C. F. del Val
Seguridad-L3
ARQUITECTURA DE REDES
DE COMUNICACIONES
LCA
bsicas
Internet
El firewall no
comprueba el
Servidores Web trfico
t fi d
de la
l DMZ
pblicos
10
C. F. del Val
Seguridad-L3
ARQUITECTURA DE REDES
DE COMUNICACIONES
Servidores Web
pblicos
11
C. F. del Val
Seguridad-L3
ARQUITECTURA DE REDES
DE COMUNICACIONES
Intern
et
12
C. F. del Val
Seguridad-L3
ARQUITECTURA DE REDES
DE COMUNICACIONES
Internet
Servidores Web
pblicos en DMZ
diferentes
13
C. F. del Val
Seguridad-L3
ARQUITECTURA DE REDES
DE COMUNICACIONES
Mltiples Firewall
SPNC
SPC
Internet
SPSC
14
C. F. del Val
Seguridad-L3
ARQUITECTURA DE REDES
DE COMUNICACIONES
Proxy
El administrador
controla los
usuarios que
acceden a Internet
Red
confiable
INTERNET
15
C. F. del Val
Seguridad-L3
ARQUITECTURA DE REDES
DE COMUNICACIONES
INTERNET
Red
confiable
16
C. F. del Val
Seguridad-L3
Proxy en la DMZ
ARQUITECTURA DE REDES
DE COMUNICACIONES
Socks v5
INTERNET
Red
confiable
17
C. F. del Val
Seguridad-L3
ARQUITECTURA DE REDES
DE COMUNICACIONES
Redes corporativas-Intranets
corporativas Intranets
Implementacin
Servicios de comunicaciones de Operadores
Servicios de RPV
Internet + Tecnologa de RPV
18
C. F. del Val
Seguridad-L3
ARQUITECTURA DE REDES
DE COMUNICACIONES
Nivel transporte:
SSL/TLS: desarrollado por Netscape y estndar IETF
Aplicacin
SSH desarrollado por Tatu Ylonen
Putty (Windows)
WinSCP
SFTP
19
C. F. del Val
Seguridad-L3
ARQUITECTURA DE REDES
DE COMUNICACIONES
Otra empresa
INTERNET
OFICINA B
Extranet
OFICINA A
DOMICILIO
VIAJE
OFICINAS CENTRALES
20
C. F. del Val
Seguridad-L3
ARQUITECTURA DE REDES
DE COMUNICACIONES
IPsec
Servicios de seguridad
Confidencialidad
Autenticacin
Integridad
I t
id d
Autenticacin de origen
Control de acceso
Proteccin contra repeticiones
Gestin de claves
Configuracin
Automtico (IKE)
21
C. F. del Val
Seguridad-L3
ARQUITECTURA DE REDES
DE COMUNICACIONES
Componentes
p
de IPsec
RA
INTERNET
RB
INTRANET
INTRANET
OFICINA A
OFICINA B
B de D de
Poltica de
seguridad
B de D de
Asociacio
nes de
seguridad
22
C. F. del Val
Seguridad-L3
ARQUITECTURA DE REDES
DE COMUNICACIONES
Paquete
recibido
Paquete
original
Clave CAM
IP AH
Hash
Datos
INTERNET
IP AH
Datos
Hash
Clave CAM
MAC
MD5-HMAC-96
SHA HMAC 96
SHA-HMAC-96
CAM
recibido
CAM
calculado
AES-XCBD-MAC-96
23
C. F. del Val
Seguridad-L3
ARQUITECTURA DE REDES
DE COMUNICACIONES
7
Cabecera sig.
15
23
31
Long. Datos
Reservado
y Parameters Index))
SPI ((Security
Nmero de secuencia
Datos de autenticacin
(l
(longitud
it d variable)
i bl )
Datos
D t d
de autenticacin:
t ti
i CAM calculado
l l d con alguno
l
de
d los
l algoritmos
l
it
KMD5; KSHA-1; HMAC-MD5-96 , HMAC-SHA-1-96, AES-XCBD-MAC-96
24
C. F. del Val
Seguridad-L3
ARQUITECTURA DE REDES
DE COMUNICACIONES
Paquete
recibido
Paquete
original
IP ESP Datos
Paquete
descifrado
Paquete
cifrado
DES
3DES
AES
25
C. F. del Val
Seguridad-L3
ARQUITECTURA DE REDES
DE COMUNICACIONES
Cifra el paquete
Garantiza
Garantiza que el contenido no pueda ser examinado por terceros (o que si
lo es no pueda ser interpretado).
Incluye una cabecera (SPI y N seq) y una cola
Opcionalmente
Opcionalmente puede incluir la funcin de autentificacin (AUT)
Primero se cifra y despus se autentica
Los datos AUT se aaden despus de la cola ESP
BITS
15
23
31
Longitud variable
Relleno (padding): 0 a 255 octetos
Long. relleno
Cabecera Sig.
CIF RADO
AUTENTIC
CADO
Nmero de secuencia
Datos de autenticacin
(longitud variable)
26
C. F. del Val
Seguridad-L3
ARQUITECTURA DE REDES
DE COMUNICACIONES
Asociacin de Seguridad
Definicin
Relacin unidireccional y para cada protocolo entre un
emisor y un receptor que liga los servicios de seguridad
al trfico llevado sobre la misma
Identificacin AS
SPI (ndice de Parmetros de Seguridad)
Direccin IP destino
Protocolo
Parmetros AS
En cada implementacin IPsec debe haber una Base de
Datos de Asociaciones de Seguridad que define los
parmetros asociados con cada SA.
27
C. F. del Val
Seguridad-L3
ARQUITECTURA DE REDES
DE COMUNICACIONES
N de secuencia
Un valor de 32 bit utilizado para generar el Nmero de Secuencia en las cabeceras AH
o ESP.
Ventana de anti-replay
Activado no permite repeticiones por rotacin
MTU
Mximo tamao que puede ser transmitido sin fragmentacin
28
C. F. del Val
Seguridad-L3
ARQUITECTURA DE REDES
DE COMUNICACIONES
Salida
Tirar el paquete
No aplicar IPsec
Aplicar IPsec
Entrada
E t d
Existe cabecera IPsec
Se procesa la cabecera
Se consulta la SPD para ver si se puede admitir.
29
C. F. del Val
Seguridad-L3
ARQUITECTURA DE REDES
DE COMUNICACIONES
El p
protocolo de gestin
g
de claves es IKE: Internet Key
y
Interchange (ISAKMP/Oakley)
OaKley: Protocolo de Intercambio de claves basado en el mtodo
de distribucin de claves de Diffie-Hellman con seguridad
aadida
ISAKMP (Internet Security Association and Key Management
Protocol)
Define procedimientos y formato de paquetes para establecer,
negociar, modificar y borrar asociaciones de seguridad
Utilizacin de UDP como protocolo de transporte (puerto 500)
IKEv1
IKEv2
Mejora la eficiencia
30
C. F. del Val
Seguridad-L3
IKE
ARQUITECTURA DE REDES
DE COMUNICACIONES
IKE
Dos Comunicaciones
seguras
31
C. F. del Val
Seguridad-L3
ARQUITECTURA DE REDES
DE COMUNICACIONES
IKEv2
En claro
Protegido
con IPsec
AS-IKE
Protegido
con IPsec
AS IKE
AS-IKE
32
C. F. del Val
Seguridad-L3
ARQUITECTURA DE REDES
DE COMUNICACIONES
Tneles IP
10.20.1.120
10.100.10.1
RED CORPORATIVA
Destino: 10.20.1.120
Origen: 10.100.10.1
Destino: 10.100.10.1
Origen: 10.20.1.120
RED CORPORATIVA
INTERNET
152.22.58.5
Dest: 131.10.11.3
Src: 62.22.58.5
Dest: 172.20.1.120
Src: 172.24.1.253
33
C. F. del Val
132.10.11.3
Destino: 132.10.11.3
Origen: 152.22.58.5
Destino: 10
10.20.1.120
20 1 120
Origen: 10.100.10.1
Seguridad-L3
ARQUITECTURA DE REDES
DE COMUNICACIONES
Modo
M d transporte:
t
t
Comunicacin segura extremo a extremo. Requiere
implementacin
p
de IPSec en ambos terminales.
Modo tnel:
Comunicacin segura entre routers nicamente.
Permite incorporar IPSec sin tener que modificar los terminales
34
C. F. del Val
Seguridad-L3
ARQUITECTURA DE REDES
DE COMUNICACIONES
Direcciones IP
Cab.externa
Cab.interna
1 B ESP AH 1
3 Datos
Direcciones IP
Cab.externa
Router A
Cab.interna
A B ESP AH 1
2 Datos
Terminal 3
Router B
MODO TNEL
INTERNET
MODO TRANSPORTE
Terminal 1
1 2
ESP AH
Terminal 2
Datos
Direcciones IP
Origen-Destino
35
C. F. del Val
Seguridad-L3
ARQUITECTURA DE REDES
DE COMUNICACIONES
Cabecera IP
Cabecera IP
Datos
Cabecera
AH
Datos
Datos
Se puede fragmentar el paquete. El destino ensambla los fragmentos antes de
aplicar AH.
36
C. F. del Val
Seguridad-L3
ARQUITECTURA DE REDES
DE COMUNICACIONES
Cabecera
IP Tnel
Cabecera
AH
Cabecera
IP
Datos
Cabecera
IP
Datos
Paquete original
Cabecera y datos
Cabecera IP tnel (excepto campos variables impredecibles)
TOS
TTL
TTL
CRC
Desplazamiento
Flags
37
C. F. del Val
Seguridad-L3
ARQUITECTURA DE REDES
DE COMUNICACIONES
Formato del p
paquete
q
AH (IPV6)
(
)
MODO TRANSPORTE
CABECERA
IP
SALTO
...
A SALTO
CABECERA
AH
DEST.,
OPT (1)
OPT.(1)
TCP
DATOS
MODO TNEL
CABECERA
CABECERAS CABECERA
IP EXTERNA
DE EXTENS.
AH
CAB.IP
CABECERAS
ORIGINAL
DE EXTENS.
EXTENS
TCP
DATOS
.
38
C. F. del Val
Seguridad-L3
ARQUITECTURA DE REDES
DE COMUNICACIONES
Cabecera IP
39
C. F. del Val
Cabecera IP
Datos
Cabecera
ESP
Datos
Cola ESP
ESP aut
Seguridad-L3
ARQUITECTURA DE REDES
DE COMUNICACIONES
Cabecera
IP Tnel
40
C. F. del Val
Cabecera
ESP
Cabecera
IP
Datos
Cabecera
IP
Datos
Seguridad-L3
Cola ESP
ESP aut
ARQUITECTURA DE REDES
DE COMUNICACIONES
MODO TRANSPORTE
CABECERA SALTO
IP
CABECERA
DEST.,
ESP
OPT.(1)
A SALTO
...
TCP
DATOS
COLA
ESP
AUTENTIC.
ESP
MODO TNEL
ESP
IP INTERNA DE EXTENS.
EXTENS
TCP
DATOS
COLA
AUTENTIC.
ESP
ESP
.
41
C. F. del Val
Seguridad-L3
ARQUITECTURA DE REDES
DE COMUNICACIONES
OFICINA 1
IPsec NAT-Transversal
Los puertos TCP y UDP van
autenticados y cifrados por lo que no
se pueden cambiar en el router
OFICINA 4
INTERNET
OFICINA 2
42
C. F. del Val
Solucin : se
encapsula IPsec en
UDP (puerto 4500)
OFICINA 3
Seguridad-L3
ARQUITECTURA DE REDES
DE COMUNICACIONES
L2TP
Entorno
Norma IETF
Sucesor del PPTP y del L2F
Caractersticas:
Encapsula /tnel) tramas PPP en paquetes IP y utiliza
UDP como protocolo de encapsulado.
Permite cifrado PPP (MPPE/ECP) o IPsec (L2TP/Ipsec)
Permite conexiones PPP multienlace
Se pueden utilizar los esquemas de autenticacin de PPP
o de IPsec
PAP y CHAP
Implementacin
I l
t i
L2TPv2 para PPP
L2TPv3,, para
p
cualquier
q
protocolo
p
Clientes L2TP/IPsec en los S.O. ms comunes
43
C. F. del Val
Seguridad-L3
ARQUITECTURA DE REDES
DE COMUNICACIONES
L2TP sobre IP
Paquete TCP/IP
IP
TCP
Payload
Header Header Data
Encapsulado
PPP
PPP
IP
TCP
Payload
Header Header Header Data
L2TP
Interface
L2TP
PPP
IP
TCP
Payload
Header Header Header Header Data
UDP
Interface
UDP
L2TP
PPP
IP
TCP
Payload
Header Header Header Header Header Data
IP
Inteface
IP
UDP
L2TP
PPP
IP
TCP
Payload
Header Header Header Header Header Header Data
Ehernet
44
C. F. del Val
Seguridad-L3
ARQUITECTURA DE REDES
DE COMUNICACIONES
Paquete TCP/IP
IP
TCP
Payload
Header Header Data
Encapsulado
PPP
PPP
IP
TCP
Payload
Header Header Header Data
L2TP
Interface
L2TP
PPP
IP
TCP
Payload
Header Header Header Header Data
UDP
Interface
UDP
L2TP
PPP
IP
TCP
Payload
Header Header Header Header Header Data
IPSec
Inteface
IP
Inteface
L2TP
PPP
IP
TCP
Payload IPSec ESP IPSec
AUTH
Trailer
Header Header Header Header Data
Trailer
S
IP
L2TP
PPP
IP
TCP
Payload IPSec ESP IPSec
IPSec ESP UDP
AUTH
Trailer
Header Header
Header Header Header Header Header Data
Trailer
Ehernet
e et
45
C. F. del Val
Seguridad-L3
ARQUITECTURA DE REDES
DE COMUNICACIONES
46
p
mltiples
p
mtodos y mecanismos (tarjetas
( j
inteligentes,
g
,
Soporta
etc.) de autenticacin que se seleccionan en la fase de
autenticacin
Seguridad-L3
C. F. del Val
ARQUITECTURA DE REDES
DE COMUNICACIONES
PROTOCOLO PPP
RTC/RDSI
RED IP
GSM
INTERNET
APLICACIONES
Solucin
Solucin de autenticacin escalable
Define dos cosas, en primer lugar un conjunto de funcionalidades que
deberan ser comunes a los servidores de autenticacin y un protocolo
para acceder a dicha funcionalidad
funcionalidad.
El motivo de su desarrollo fue tener un servidor centralizado de
autenticacin que tiene toda la informacin sobre los usuarios y permitir
reali ar el control de acceso de forma remota en la entrada a la red (Pool
realizar
de modems, servidores de acceso, etc).
47
C. F. del Val
Seguridad-L3
ARQUITECTURA DE REDES
DE COMUNICACIONES
Bibliografa (I)
htt // illi
http://williamstallings.com/Cryptography/
t lli
/C
t
h /
48
C. F. del Val
Seguridad-L3
ARQUITECTURA DE REDES
DE COMUNICACIONES
Bibliografa (II)
Captulo 22
http://www.redbooks.ibm.com
49
C. F. del Val
Seguridad-L3