Presentación de PowerPointocw.uc3m.es/ingenieria-informatica/seguridad-en... · Protocolos de...
Transcript of Presentación de PowerPointocw.uc3m.es/ingenieria-informatica/seguridad-en... · Protocolos de...
Se
gu
ridad e
n S
iste
mas D
istr
ibuid
os
José M. Sierra 1
Tema 4:
Seguridad en el nivel de Red.
Arquitectura de seguridad IPSEC
Se
gu
ridad e
n S
iste
mas D
istr
ibuid
os
José M. Sierra 2
Introducción
o Seguridad en Internet
o ¿es posible?
o Continuas noticias, virus, ataques, engaños, ...
o Aprovechar sus ventajas sin perder privacidad
o ¿qué diferencia a Ipsec?
o Solución global
o Aplicable a nodos finales e intermedios
o Soluciones particulares sencillas que conforma un todo
Se
gu
ridad e
n S
iste
mas D
istr
ibuid
os
José M. Sierra 3
Elementos
o Host
o Sistema que puede iniciar/recibir mensajes, pero que no puede actuar como intermediario de comunicaciones
o Solo puede suministrar servicios IPsec a sí mismo.
o Gateway (pasarela)
o Sistema que puede iniciar/recibir mensajes, y puede actuar como intermediario de comunicaciones
o Solo puede suministrar servicios IPsec a sí mismo.
Se
gu
ridad e
n S
iste
mas D
istr
ibuid
os
José M. Sierra 4
o Paquete IPv4
Se
gu
ridad e
n S
iste
mas D
istr
ibuid
os
José M. Sierra 5
TCP/IP
o Paquete IPv6
Se
gu
ridad e
n S
iste
mas D
istr
ibuid
os
José M. Sierra 6
o Arquitectura de seguridad IPsec
o Servicios de seguridad opcionales en el nivel de red (IETF)
o Incluido en IPv6 Draft Standard (1998)
o IPsec incluye dos protocolos de seguridad
o Cabecera de autenticación (AH)
o Servicios de Integridad y autenticación
o Mecanismos de firma digital o funciones resumen con clave
Encapsulación segura del campo de carga (ESP)
o Servicios Confidencialidad, integridad y autenticación
o Mecanismos de cifrado del campo de carga, firma digital o funciones resumen con clave
INT
RO
DU
CC
IÓN
Arquitectura IPSEC
Se
gu
ridad e
n S
iste
mas D
istr
ibuid
os
José M. Sierra 7
Protocolos de IPSec
o Protocolo para la gestión y negociación de parámetros de seguridad
o Asociación de Seguridad (SA)
o Una asociación de seguridad es una relación entre dos o más entidades y que describe cómo éstas utilizarán los servicios de seguridad para comunicarse de forma segura.
o Internet Security Association and Key Management Protocol
o Protocolo IKE e IKEv2
o Protocolo opcional
o IPCOMP
Se
gu
ridad e
n S
iste
mas D
istr
ibuid
os
José M. Sierra 8
Modos de funcionamiento
o Transport mode
o Protección primaria para las capas superiores , no modifica ni encapsula el protocolo IP.
o Tunnel mode
o Se aplica una protección al todo el paquete IP, modificandolo.
Se
gu
ridad e
n S
iste
mas D
istr
ibuid
os
José M. Sierra 9
Encapsulado según modo
IPpub ESP
IP TCP DATOS
IPpriv TCP DATOS ESP
Original
Modo Túnel
ESPIPpriv TCP DATOS ESP
Modo Transporte
Protegido
Protegido
Se
gu
ridad e
n S
iste
mas D
istr
ibuid
os
José M. Sierra 10
Cabecera de Autenticación (AH)
o Proporciona integridad y autenticación a los datagramas IP.
o Ésto se realiza computando una función resumen sobre el datagrama, empleando una clave secreta en dicho cálculo.
o La información de auntenticación se calcula utilizando todos los campos del datagrama que no van a cambiar durante el tránsito
(f k&
Datagrama IP
&k)
Se
gu
ridad e
n S
iste
mas D
istr
ibuid
os
José M. Sierra 11
Cabecera de Autenticación
o Su uso aumentará los costes de procesamiento de protocolo IP y la latencia de las comunicaciones.
o Este mecanismo proporciona una seguridad más fuerte que la existente en la mayoría de la actual Internet, y no debe afectar a la interoperatividad, ni aumentar el coste de implementación.
o Las máquinas que soporten IPv6 tienen que implementar la Cabecera de Auntenticación con el algoritmo de MD5 y claves secretas de 128 bits.
Se
gu
ridad e
n S
iste
mas D
istr
ibuid
os
José M. Sierra 12
AH
o Formato
o Colocación
Security Parameter Index
Sequence Number Field
Authentication Data
Next Header Payload Length Reserved
IPv6 Header AH TCP and Application header and Data
Se
gu
ridad e
n S
iste
mas D
istr
ibuid
os
José M. Sierra 13
Encapsulación Segura del Campo de Carga
o Integridad, autenticación y confidencialidad o Encapsulación cifrada del datagrama IP (ESP)
o Cabecera no cifrada o se utiliza para conducir los datos protegidos a través
de la red. El receptor retira y descarta la cabecera y sus opciones no cifradas
o La utilización de ESP puede provocar undecremento importante del rendimiento y lalatencia de las comunicaciones de los sistemasde información.
Se
gu
ridad e
n S
iste
mas D
istr
ibuid
os
José M. Sierra 14
ESP
oEncapsulating Security Payload
Se cifra el datagrama y este se incluye enun paquete ESP.
IPv6 Datagram ESPCopy the header
} Cip.
K
Se
gu
ridad e
n S
iste
mas D
istr
ibuid
os
José M. Sierra 15
ESP
o Formato
o Colocación
Sequence Number Field
Encrypted Data and Parameters
Authentication Data
IPv6 Header
Security Parameter Index
ESP Header ESP Payload ESP Trailer Auth. Data
Se
gu
ridad e
n S
iste
mas D
istr
ibuid
os
José M. Sierra 16
IKE en general
o Internet Key Exchange (IKE) permite que dos extremos se autentiquen mutuamente y establezcan un canal seguro.
o A continuación, IKE permitirá negociar las asociaciones de seguridad (SA) del protocolo IPsec.
Se
gu
ridad e
n S
iste
mas D
istr
ibuid
os
José M. Sierra 17
Internet Key Exchange
o Alternativa al intercambio manual de claves
o Su objetivo es la negociación de una Asociación de Seguridad (AS) IPsec
o Se trata de un protocolo en dos fases
o Fase I
o Protección del canal de comunicación
o AS ISAKMP
o Modos de funcionamiento
o Main (principal), Aggresive (acelerado) y Base
o Fase II
o Negociación de un par de AS
o AS IPSEC
o Quick Mode (rápido)
Se
gu
ridad e
n S
iste
mas D
istr
ibuid
os
José M. Sierra 18
IKEo Fase I
o Autenticación
o Secreto compartido (PSK)
o Firma digital
o Cifrado de clave pública
o Kerberos
o Intercambio (Main Mode)
Initiator Responder
---------- -----------
HDR, SA -->
<-- HDR, SA
HDR, KE, Ni -->
<-- HDR, KE, Nr
HDR*, IDii, HASH_I -->
<-- HDR*, IDir, HASH_R
Se
gu
ridad e
n S
iste
mas D
istr
ibuid
os
José M. Sierra 19
IKE
o Fase II
o Negociación de AS IPSEC (una o varias)
o Quick ModeInitiator Responder
----------- -----------
HDR*, HASH(1), SA, Ni
[, KE ] [, IDci, IDcr ] -->
<-- HDR*, HASH(2), SA, Nr
[, KE ] [, IDci, IDcr
]
HDR*, HASH(3) -->
Se
gu
ridad e
n S
iste
mas D
istr
ibuid
os
José M. Sierra 20
IKE
o Esquema general para la negociación de parámetros de seguridad
o Definición de Dominios de Interpretación (DoI)
o Gestión común de la negociación
o Nuevos protocolos de cualquier capa de la pila de red
o Protocolos actuales de seguridad
Se
gu
ridad e
n S
iste
mas D
istr
ibuid
os
José M. Sierra 21
L2TP/IPSec
o Encapsulado L2TP de la trama PPP.
o Encapsulado IPSec del mensaje L2TP.
o Cifrado IPSEc del contenido de los paquetes L2TP.
o De los protocolos de IPSec (AH y ESP) se utiliza ESP (Encapsulating Security Payload).