Post on 14-Apr-2015
IPSEC
Código: HOL-WIN11
Juan Luis García Rambla
jlrambla@informatica64.com
Agenda
• Problemática de las redes de datos.
• IPSEC: Autentificación y cifrado.
• Políticas de IPSEC.
• Reglas y Filtros de IPSEC.
• Implantación de IPSEC con PKI.
Problemática de las redes de datos
Problemáticas de la comunicación
• Gran cantidad de los datos que circulan por la red circulan en claro y pueden ser capturados e interpretados por un analizador de red.
• Estos datos además de ser interpretados pueden ser modificados y retransmitidos posteriormente a la red.
• Los sistemas no comprueban la autenticidad del origen de los datos.
Técnicas de Sniffing
• Capturan tráfico de red.
• Necesitan que la señal física llegue al NIC.
• En redes de difusión mediante concentradores todas las señales llegan a todos los participantes de la comunicación.
• En redes conmutadas la comunicación se difunde en función de direcciones.• Switches utilizan dirección MAC.
PC HACKERPC HACKER
PC 1PC 1
PC 2PC 2 PC 3PC 3
PC 4PC 4
SnifferSniffer
Datos PC 4
Datos PC 4
filtrafiltra filtrafiltra
Sniffing en redes de difusión
Técnicas de Spoofing
• Las técnicas de spoofing tienen como objetivo suplantar validadores estáticos.
Un Un validador estáticovalidador estático es un medio de es un medio de autenticación que permanece invariable autenticación que permanece invariable antes, durante y después de la concesión.antes, durante y después de la concesión.
Tipos de técnicas de Spoofing• Spoofing ARP
• Envenenamiento de conexiones.• Man in the Middle.
• Spoofing IP • Rip Spoofing.• Hijacking.
• Spoofing SMTP
• Spoofing DNS• WebSpoofing.
PC HACKERPC HACKER
PC 1PC 1
PC 2PC 2 PC 3PC 3
PC 4PC 4
SnifferSniffer
Datos PC 4
Datos PC 4MAC 1MAC 1
MAC 2MAC 2 MAC HMAC H MAC 3MAC 3
MAC 4MAC 4
Puerto 1 MAC 1Puerto 1 MAC 1
Puerto 2 MAC 2Puerto 2 MAC 2
Puerto 6 MAC HPuerto 6 MAC H
Puerto 11 MAC 3Puerto 11 MAC 3
Puerto 12 MAC 4Puerto 12 MAC 4
Sniffing en redes conmutadas
Ataque ARP Man In The Middle
¿Quien tiene
1.1.1.2?
1.1.
1.2
esta
en
99:8
8:77
:66:
55:4
4
1.1.1.2 esta en 00:11:22:33:44:55:66
1.1.1.1
1.1.1.2
1.1
.1.1
esta
en
99:8
8:7
7:6
6:5
5:4
4
Sniffing + SpoofingSniffing + Spoofing
Hijacking (Secuestro) Y Hijacking (Secuestro) Y EnvenenamientoEnvenenamiento
Técnicas Combinadas
IPSEC Autentificación y cifrado
Cifrado de Comunicaciones
• IPv4 no ofrece cifrado de comunicaciones a nivel de red y transporte.
• Solo se puede garantizar la no interceptación de la información en líneas privadas.
• Los entornos son abiertos. Movilidad.
• La privacidad de la información es una necesidad
Cifrado de Comunicaciones
• La elección de la protección debe cumplir:
– No anular otras defensas.
– Permitir autenticación integrada.
– No suponer un coste excesivo en:– Rendimiento.– Adquisición.– Implantación.– Mantenimiento.
Cifrado de Comunicaciones
• Soluciones:– Red : IPv6 -> IPSec.– Transporte:
– TLS
– SSL
– Aplicación: – HTTP-s
– FTP-s
– S/MIME
– SSH.
– Datos: Cifrado información.
Objetivos de IPSEC
• IPSEC es un estándar que tiene como objetivo la verificación, autentificación y encriptación de datos en el nivel de red.
• IPSEC es controlado mediante una serie de reglas y filtros que determinan que tipo de tráfico va a necesitar la encriptación, la firma digital o ambos.
• El proceso del envío de información encriptada a través de la red es transparente para los usuarios y las aplicaciones que envían información a través de la red.
Beneficios de IPSEC
• Autentificación mutua al inicio y durante la comunicación.
• Confidencialidad por autentificación digital y encriptación de paquetes.
• Integridad IP por rechazo de paquetes modificados.
• Prevención contra ataques de repetición de tramas.
IPSEC - Coste de cifrado
• Disminución del rendimiento que es proporcional al hardware del sistema.– Tiempo de negociación IKE – aproximadamente 2-5 segundos
inicialmente– Session rekey < 1-2 segundos
• Pérdida de la capacidad de filtrado de paquetes.
• Recursos destinados a la solución de problemas.
• Concienciación técnica de su necesidad y su uso.
Modos IPSEC
• IPSEC trabaja en dos modos:– Autentication Header (AH),que firma digitalmente el
tráfico de red, pero no lo encripta.
– ESP (Encapsulation Security Payload), que proporciona encriptación de datos, mediante algoritmo.
Cabecera de Autenticación
• Authentication Header (AH) ofrece:– Autenticación.– Integridad.
• Funcionalidades– Kerberos, certificados o los secretos compartidos pueden ser
utilizados para autenticar el tráfico. – La integridad se calcula con algoritmos SHA1 o MD5 que
calculan el Integrity Check Value (ICV).
IPSec – Cabecera AH.
• Autenticidad de los datos
• Integridad de los datos
• Contra la retransmisión
• Protección contra la suplantación
Encab. IPEncab. IPEncab. IPEncab. IP AHAH Encab. Encab. TCP/UDPTCP/UDP
Encab. Encab. TCP/UDPTCP/UDP
Datos de Datos de aplicacionesaplicaciones
Datos de Datos de aplicacionesaplicaciones
Firmado
Encabezados de autenticación
Cabecera ESP
• Encapsulating Security Payload (ESP)• ESP ofrece:
– Confidencialidad.
• ESP puede ser utilizada sola o combinada con AH. • Multiples algoritmos de cifrado
– DES – claves de cifrado de 56-bit – 3DES – claves de cifrado de 168-bit
• Multiples algoritmos de firmado.– SHA1 – 160-bit digest– MD5 – 128-bit
Cabecera ESP
Nuevo Nuevo encab. IPencab. IP
Nuevo Nuevo encab. IPencab. IP
ESPESPHdrHdr
ESPESPHdrHdr
Cifrado
Firmado
Autenticación del origen
Cifrado de los datos
Contra la retransmisión
Protección contra la suplantación
Carga de seguridad de encapsulación
Encab. IP Encab. IP originaloriginal
Encab. IP Encab. IP originaloriginal
Encab.Encab.TCP/UDPTCP/UDP
Encab.Encab.TCP/UDPTCP/UDP
Datos de Datos de aplicacionesaplicaciones
Datos de Datos de aplicacionesaplicaciones
Fin.Fin.ESPESP
Fin.Fin.ESPESP
Aut.ESP
Aut.ESP
IPSec - Firewalls
• IPSec se enruta como tráfico IPv4.
• En firewalls debe ser activado el reenvio IP para:– IP Protocol ID 50 (ESP).– IP Protocol ID 51 (AH).– UDP Port 500 (IKE).
• El tráfico IPSec que pasa por un firewall no puede ser inspeccionado.
filtersfiltersfiltersfilters
SA Establishment
NICNIC
TCPIPTCPIP
ApplicationApplicationServer or GatewayServer or Gateway
IPSecIPSecDriverDriver
IPSecIPSecPolicyAgentPolicyAgent
IKE (ISAKMP)IKE (ISAKMP)
IPSecIPSecDriverDriver
IPSecIPSecPolicyAgentPolicyAgent
IKE (ISAKMP)IKE (ISAKMP)
NICNIC
TCPIPTCPIP
App or ServiceApp or Serviceclientclient
““IKE Responder”IKE Responder”““IKE Initiator”IKE Initiator”
UDP port 500 UDP port 500 negotiationnegotiation
1 IKE SA1 IKE SA
2 IPSec SAs2 IPSec SAs
IP protocol 50/51IP protocol 50/51
Modos de trabajo
• El sistema IPSEC puede trabajar en dos modos:– Modo de transporte: donde la encriptación se realiza
de extremo a extremo.
– Modo túnel donde la encriptación se realiza únicamente entre los extremos del tunel.
Modos IPSEC
Cifrado
Modo de túnelProporciona cifrado y autenticación sólo entre los puntos finales del túnel
Cifrado
Modo de transporte
Proporciona cifrado y autenticación de extremo a extremo
Políticas de IPSEC
IPSec en Windows 2000- 2003
• Se configura mediante políticas.
– Almacenadas en el Directorio Activo o en en Registro Local del Servidor.
– Controlan la entrada y salida de paquetes permitidos.
IPSec - Política de cliente
• Modo de solo respuestas.
• Un sistema en modo cliente responde a peticiones que le realicen en IPSEC.
• No inicia conversaciones en modo IPSEC, solamente en claro.
IPSec - Políticas
• Podrán utilizarse políticas por defecto o las creadas manualmente.
• El sistema proporciona 3 políticas por defecto que van a determinar diferentes comportamientos de la máquina con respecto a IPSEC.– Cliente.– Servidor.– Servidor seguro.
Política de cliente
• Modo de solo respuestas.
• Un sistema en modo cliente responde a peticiones que le realicen en IPSEC.
• No inicia conversaciones en modo IPSEC, solamente en claro.
Política de servidor
• Intenta establecer comunicaciones encriptadas, pero si la otra máquina no tiene configurado IPSEC la comunicación se establece en claro.
• Este modo está definido por 3 reglas que determinan el comportamiento general del sistema a las peticiones:– IP.– ICMP.– Tráfico dinámico.
Política de Servidor Seguro
• El equipo solo puede establecer comunicaciones seguras.
• La política establece 3 reglas, para el tráfico de peticiones:– IP.– ICMP.– Tráfico dinámico.
Implementación IPSEC en un Implementación IPSEC en un HospitalHospital
Servidor B. de D.
Resto del Personal
Médico
Servidor SeguroServidor
No IPSEC
3ecto elgtasp3ecto elgtasp Texto claroTexto claroTexto Texto cifradocifrado
ConexiónConexión
IPSec - Despliegue
GPO
Domain
OU
Site
GPOGPO
• Despliegue centralizado desde el directorio activo.
• Configuración posible mediante plantillas.
Políticas de Grupo
Reglas IPSEC
• Las reglas IPSEC determinan el comportamiento del sistema en la transmisión de la información.
• Las reglas están compuestas por los siguientes objetos:– Filtros.– Acción de filtros.– Método de autentificación.
Configuración de Reglas IPSEC
• En la configuración de las reglas hay que especificar las siguientes acciones:– Determinar la posibilidad o no de establecer un túnel de
comunicación.
– Qué redes se van a ver afectadas por la regla.
– El método de autentificación inicial para la transmisión.
– Métodos de seguridad.
– Los filtros y las acciones de filtrado.
IPSec - Filtros
• En la configuración de los filtros hay que especificar los siguientes parámetros:– Determinar la posibilidad o no de establecer un túnel de
comunicación.
– Qué redes o equipos se van a ver afectados.
– El método de autentificación para la transmisión.
– Métodos de seguridad.
– Las acciones de filtrado.
Métodos de autentificación
• Determinan el proceso inicial de la comunicación IPSEC.
• Existen 3 metodologías de autentificación:– Clave Compartida.
– Kerberos.
– Certificado.
IPSec - Autenticación
• Kerberos– Requiere tiempo de sincronización.– Solo dentro del bosque.
• Certificados – Requiere la implementación de PKI.– CRL está deshabilitado por defecto.
• Secretos Compartidos.– Tan seguro como sea el secreto.– En entornos grandes es dificil de mantener.
Métodos de seguridad
• Determina la seguridad de la transmisión de la información.
• Se pueden definir:– Integridad AH (Algoritmos SHA1, MD5).
– Integridad ESP (Algoritmos SHA1, MD5).
– Confidencialidad ESP (Algoritmos DES, 3DES).
Boletín quincenal TechNews
Contactos
• Informática 64– http://www.informatica64.com– i64@informatica64.com– +34 91 665 99 98
• Profesor– juanluis@informatica64.com