Tema 4

Tema 4: Redes Virtuales
4.1 Seguridad en redes

4.1.1 Introduccin
4.1.2 Criptografa
4.1.3 Criptoanlisis
4.1.4 Clave simtrica
4.1.5 Clave asimtrica
4.1.6 Sistema mixto
4.2 Redes privadas
virtuales
4.2.1 Introduccin
4.2.2 PPTP
4.2.3 L2TP
4.2.4 IPsec
4.2.5 SSL
4.3 Redes de rea local
virtual
Redes virtuales

4.1.1 Introduccin
4.1.2 Criptografa
4.1.3 Criptoanlisis
4.1.6 sistema mixto
4.2 Redes privadas
virtuales
4.2.1 Introduccin
4.2.2 PPTP
4.2.3 L2TP
4.2.4 IPsec
4.2.5 SSL
virtual
Redes virtuales
Introduccin
Canal seguro:
Propiedades:
Confidencialidad
Integridad
Autenticidad (autenticacin)
No repudio
Canal seguro?
Emisor
Receptor
Redes virtuales
Introduccin
Confidencialidad:
La informacin transmitida por el canal inseguro
slo podr ser interpretada por elementos
destinatarios acreditados
Debe permanecer ininteligible para el resto
Formas de proteccin:
Lneas fsica dedicadas

Alto coste
Difcil mantenimiento
Cifrado
Ejemplo: obtencin de datos del emisor

Redes virtuales
Introduccin
Integridad:
Asegura que la informacin transmitida no haya
sido modificada durante su transcurso
El mensaje en el destino debe ser el mismo que
el mensaje en el origen
Firmas digitales
Ejemplo: modificacin de la direccin de envo
de un producto comprado por Internet
Redes virtuales
Introduccin
Autenticidad:
Asegurar el origen de una informacin
Evitar suplantaciones
Firmas digitales
Desafo
Autenticacin humana
Biomtrica (huella dactilar, retina, reconocimiento facial, etc.)
Ejemplo: suplantacin de usuario en transaccin
bancaria
Redes virtuales
Introduccin
No repudio:
Evitar negacin de envo por parte de un emisor
Evitar negacin de recepcin por parte de un
receptor
Firmas digitales
Ejemplo: prdida de solicitud en proceso
administrativo
Redes virtuales
Introduccin
Canal inseguro:
Poco fiable
Ataques: Violacin de seguridad del canal.
Tipos
Pasivos
Activos
Categoras
Interceptacin
Interrupcin
Modificacin
Fabricacin
Redes virtuales
Introduccin
Ataques pasivos:
El intruso no altera el contenido de la informacin
transmitida
Objetivos:
Identificacin de entidades
Control del volumen de trfico
Anlisis del trfico
Horario de intercambio habitual
Dificultad de deteccin
Fcil de evitar -> cifrado
Redes virtuales
Introduccin
Ataques activos:
Implican alteracin del contenido de la informacin
transmitida
Tipos:
Enmascarados (impostor)
Repetitivo (mensaje interceptado y repetido posteriormente)
Modificacin del mensaje
Denegacin del servicio
Dificultad de prevencin
Fcil de detectar -> deteccin y recuperacin
Redes virtuales
10
Introduccin
Interceptacin:
Ataque de confidencialidad
Pasivo
Un elemento no autorizado consigue acceso a un recurso no
compartido
Ejemplos:
Captura de trfico de red

Copia ilcita de archivos o programas
Receptor
Emisor
Intruso
Redes virtuales
11
Introduccin
Interrupcin:
Destruccin de un recurso compartido
Activo
Ejemplos:
Destruccin de hardware
Corte de lnea de comunicacin
Receptor
Emisor
Intruso
Redes virtuales
12
Introduccin
Modificacin:
Un recurso no compartido es interceptado y manipulado por un
elemento no autorizado antes de llegar al destino final
Activo
Ejemplos:
Alteracin de los datos enviados a travs de una red
Receptor
Emisor
Intruso
Redes virtuales
13
Introduccin
Fabricacin:
Ataque de autenticidad
Activo
Elemento no autorizado (impostor) genera un recurso que llega al
destinatario
Ejemplos:
Introduccin de informacin fraudulenta
Receptor
Emisor
Intruso
Redes virtuales
14

4.1.1 Introduccin
4.1.2 Criptografa
4.1.3 Criptoanlisis
4.1.6 sistema mixto
4.2 Redes privadas
virtuales
4.2.1 Introduccin
4.2.2 PPTP
4.2.3 L2TP
4.2.4 IPsec
4.2.5 SSL
virtual
Redes virtuales
15
Criptografa
Introduccin:
Por qu?
Formas de proteccin contra intrusos basadas en la

encriptacin (cifrado y firmas digitales)
Definicin
Ciencia de la escritura secreta, destinada a ocultar la
informacin con el objetivo de que no pueda ser
interpretada por otras personas
Principio
Mantener la privacidad de la comunicacin entre dos o
ms elementos
Redes virtuales
16
Criptografa
Introduccin:
Base de funcionamiento
Alteracin del mensaje original para que sea

incompatible con toda persona ajena al destinatario
Ejemplo
Mensaje original: Mi profesor es un plasta
Mensaje alterado: Pl surihvru hv xq sdvwd
Cifrado de Csar con K=3
Redes virtuales
17
Criptografa
Cifrado:
Procedimiento que
convierte un mensaje en
claro en otro
incomprensible
El algoritmo de cifrado
requiere una clave
Descifrado:
Procedimiento que
convierte un mensaje
incomprensible en el
mensaje original
Es necesario conocer el
algoritmo de cifrado
empleado y la clave
adecuada
Redes virtuales
18
Criptografa
Introduccin:
Esquema de funcionamiento
Emisor
cifrado
Receptor
descifrado
Redes virtuales
19

4.1.1 Introduccin
4.1.2 Criptografa
4.1.3 Criptoanlisis
4.1.6 sistema mixto
4.2 Redes privadas
virtuales
4.2.1 Introduccin
4.2.2 PPTP
4.2.3 L2TP
4.2.4 IPsec
4.2.5 SSL
virtual
Redes virtuales
20
Criptoanlisis
Introduccin:
Definicin
Conjunto de mtodos destinados a averiguar la clave

usada por las partes comunicantes
Objetivo
Desvelar el secreto de la correspondencia
Ataques
Ataque de fuerza bruta (ms comn)
Tipos:
Ataque de slo texto cifrado
Ataque de texto claro conocido
Ataque de texto claro seleccionado
Redes virtuales
21

4.1.1 Introduccin
4.1.2 Criptografa
4.1.3 Criptoanlisis
4.1.6 sistema mixto
4.2 Redes privadas
virtuales
4.2.1 Introduccin
4.2.2 PPTP
4.2.3 L2TP
4.2.4 IPsec
4.2.5 SSL
virtual
Redes virtuales
22
Clave simtrica
Caractersticas:
Clave privada
Emisor y receptor comparten la misma clave
Emisor
cifrado
Receptor
descifrado
Redes virtuales
23
Clave simtrica
Algoritmos:
DES, 3DES, RC5, IDEA, AES
Requisitos:
Del texto cifrado no podr extraerse ni el mensaje en

claro ni la clave
Conocidos el texto en claro y el texto cifrado debe
ser ms costoso en tiempo y dinero obtener la clave,
que el valor derivado de la informacin sustrada
Fortaleza del algoritmo:

Complejidad interna
Longitud de la clave
Redes virtuales
24
Clave simtrica
Objetivos cumplidos:
Confidencialidad
Integridad
Autenticacin
No repudio
Depender del nmero de participantes que compartan la

clave secreta
Redes virtuales
25
Clave simtrica
Ventajas:
Velocidad de ejecucin de algoritmos
Mejor mtodo para cifrar grandes cantidades de

informacin
Inconvenientes:
Distribucin de la clave privada
Administracin y mantenimiento de claves
Nmero de claves usadas es proporcional al nmero de

canales seguros empleados
Redes virtuales
26

4.1.1 Introduccin
4.1.2 Criptografa
4.1.3 Criptoanlisis
4.1.6 sistema mixto
4.2 Redes privadas
virtuales
4.2.1 Introduccin
4.2.2 PPTP
4.2.3 L2TP
4.2.4 IPsec
4.2.5 SSL
virtual
Redes virtuales
27
Clave asimtrica
Privada emisor
Pblica emisor
Privada receptor
Caractersticas:
Pblica receptor
Clave pblica
Cada participante posee una pareja de claves
(privada-pblica)
Emisor
cifrado
Receptor
descifrado
Redes virtuales
28
Clave asimtrica
Algoritmos:
Diffie-Hellman, RSA, DSA
Requisitos:
Del texto cifrado debe ser imposible extraer el

mensaje en claro y la clave privada
Conocidos el texto en claro y el texto cifrado debe
ser ms costoso en tiempo y dinero obtener la clave
privada, que el valor derivado de la informacin
sustrada
Para un texto cifrado con clave pblica, slo debe
existir una clave privada capaz desencriptarlo, y
viceversa
Redes virtuales
29
Clave asimtrica
Confidencialidad
Integridad
Autenticacin
Ofrece mecanismos muy buenos
No repudio
Ofrece mecanismos muy buenos
Redes virtuales
30
Clave asimtrica
Ventajas:
No presenta problemas de distribucin de
claves, ya que posee clave pblica
En caso de robo de clave privada de un usuario,
slo se ven comprometidos los mensajes
enviados a dicho usuario
Proporciona mecanismos de autenticacin
mejores que los ofrecidos por sistemas
simtricos
Inconvenientes:
Redes virtuales
31
Clave asimtrica
Autenticacin:
Desafio-respuesta
Firma digital
Certificado digital
No repudio:
Firma digital
Certificado digital
Redes virtuales
32
Privada emisor
Clave asimtrica
Pblica emisor
Privada receptor
Pblica receptor
Desafio-respuesta:
Envo de un desafio en claro cuya solucin conoce el emisor

El emisor enva respuesta cifrada con clave privada
Emisor
cifrado
Receptor
descifrado
Redes virtuales
33
Clave asimtrica
Privada emisor
Pblica emisor
Privada receptor
Firma digital:
Pblica receptor
Verificar autenticidad del origen

Partes
Proceso de firma (emisor)

Proceso de verificacin de la firma (receptor)
Emisor
firma
Receptor
verificacin
Redes virtuales
34
Clave asimtrica
Firma digital:
Problema: Lentitud del proceso
Empleo de huella
Emisor
Privada emisor
Pblica emisor
Privada receptor
Pblica receptor
Receptor
Redes virtuales
35
Clave asimtrica
Firma digital - Huella:
Reducin del tiempo de encriptado
Funcin de hash
Convierte conjunto de datos de longitud variable en resumen

o huella de longitud fija, ilegible y sin sentido
Irreversible
Algoritmos SHA-1, MD5

Requisitos
Capacidad de convertir datos de longitud variable en bloque

de longitud fija
Fcil de usar y sencillez de implementacin
Imposibilidad de obtener texto original de la huella
Textos diferentes deben generar huellas distintas
Problema: Gestin de claves
Redes virtuales
36
Clave asimtrica
Certificado digital:
Unidad de informacin que contiene una pareja de claves
pblicas y privada junto con la informacin necesaria para

capacitar a su propietario a realizar operaciones de
comunicacin segura con otros interlocutores
Contiene:
Clave pblica
Clave privada (si es propietario)
Datos del propietario
Datos de uso (algoritmos, funciones permitidas, ...)
Periodo de validez
Firmas de Autoridades de certificacin
Es posible su revocacin
Redes virtuales
37

4.1.1 Introduccin
4.1.2 Criptografa
4.1.3 Criptoanlisis
4.1.6 sistema mixto
4.2 Redes privadas
virtuales
4.2.1 Introduccin
4.2.2 PPTP
4.2.3 L2TP
4.2.4 IPsec
4.2.5 SSL
virtual
Redes virtuales
38
Privada emisor
Sistema mixto
Pblica emisor
Privada receptor
Pblica receptor
Clave de sesin
Clave de sesin:
Partes
Distribucin de clave de sesin (asimtrico)

Comunicacin segura (simtrico)
Emisor
Receptor
Redes virtuales
39
Privada emisor
Sistema mixto
Pblica emisor
Privada receptor
Pblica receptor
Clave de sesin
Clave de sesin:
Partes
Distribucin de clave de sesin (asimtrico)

Comunicacin segura (simtrico)
Emisor
Receptor
Redes virtuales
40
Sistema mixto
Confidencialidad
Integridad
Autenticacin
No repudio
Empleo de firmas y certificados digitales
Redes virtuales
41
Sistema mixto
Ventajas:
No presenta problemas de distribucin de
claves, ya que posee clave pblica
Es improbable hacerse con la clave de sesin
Puede emplear mecanismos de autenticacin y
no repudio de clave pblica
Redes virtuales
42

4.1.1 Introduccin
4.1.2 Criptografa
4.1.3 Criptoanlisis
4.1.6 sistema mixto
4.2 Redes privadas
virtuales
4.2.1 Introduccin
4.2.2 PPTP
4.2.3 L2TP
4.2.4 IPsec
4.2.5 SSL
virtual
Redes virtuales
43
Redes privadas virtuales

Introduccin:
Interconexin de usuarios y entidades
Lnea dedicada (intranets)

Coste elevado
Dificultad de mantenimiento
Uso de red de acceso pblico

Riesgos de seguridad
LAN
Red pblica
Redes virtuales
44

Concepto:
VPN: Canal de datos privado implementado sobre red
de comunicaciones pblica
Objetivos:
Enlazar subredes remotas

Enlazar subredes y usuarios remotos
Uso de tnel virtual con encriptacin
Tnel virtual
Red pblica
LAN
Redes virtuales
45

Requisitos:
Autenticacin y verificacin de identidad
Administracin de rango de IPs virtuales
Cifrado de datos
Gestin de claves pblicas, privadas, y
certificados digitales
Soporte para mltiples protocolos
Redes virtuales
46

Tipos:
Sistemas basados en hardware
Diseos especficos optimizados

Muy seguros y sencillos
Alto rendimiento
Coste elevado
Servicios aadidos (firewalls, detectores de intrusos,
antivirus, etc.)
Cisco, Stonesoft, Juniper, Nokia, Panda Security
Sistemas basados en software
Redes virtuales
47

Ventajas:
Seguridad y confidencialidad
Reduccin de costes
Escalabilidad
Mantenimiento sencillo
Compatibilidad con los enlaces inalmbricos
Redes virtuales
48

Elementos:
Redes privadas o locales
LAN de acceso restringido con rango de IPs privadas
Redes inseguras
Tneles VPN
Servidores
Routers
Usuarios remotos (road warriors)
Oficinas remotas (gateways)
Redes virtuales
49

Escenarios:
Punto a punto
LAN - LAN
LAN usuario remoto
LAN
LAN
LAN
Redes virtuales
50

4.1.1 Introduccin
4.1.2 Criptografa
4.1.3 Criptoanlisis
4.1.6 sistema mixto
4.2 Redes privadas
virtuales
4.2.1 Introduccin
4.2.2 PPTP
4.2.3 L2TP
4.2.4 IPsec
4.2.5 SSL
virtual
Redes virtuales
51
PPTP
Caractersticas:
Protocolo de tnel punto a punto (PPTP)
Protocolo diseado y desarrollado por 3Com,
Microsoft Corporation, Ascend Communications y ECI
Telematics, y definido en IETF (RFC 2637)
Se emplea en acceso virtual seguro de usuarios
remotos a red privada
Emplea mecanismo de tneles para envo de datos
desde cliente a servidor
Usa red IP de carcter pblica o privada
Redes virtuales
52
PPTP
Funcionamiento:
Servidor PPTP configurado para repartir IP de LAN
privada
El servidor se comporta como un puente
192.168.1.30 192.168.1.31
67.187.11.25
Servidor PPTP
192.168.1.1
LAN
Usuario
remoto
192.168.1.100 - 120
Redes virtuales
192.168.1.32
53
PPTP
Fases:
Establecimiento de la conexin PPP con ISP
Control de la conexin PPTP
Conexin TCP
Intercambio de mensajes de control
Transmisin de datos
Protocolo GRE
Cifrado
Redes virtuales
54
PPTP
PPP:
Protocolo punto a punto (RFC 1661)
Nivel de enlace
Usado para conectar con ISP mediante una lnea telefnica
(modem) o RDSI
Versiones para banda ancha (PPPoE y PPPoA)
Funciones:
Establecer, mantener y finalizar conexin pto-pto
Autenticar usuarios (PAP y CHAP)
Crear tramas encriptadas
PPP
IP
Datos
Redes virtuales
55
PPTP
Control conexin PPTP:
Especifica una serie de mensajes de control:
PPTP_START_SESSION_REQUEST: inicio de sesin

PPTP_START_SESSION_RESPLY: respuesta solicitud inicio
PPTP_ECHO_REQUEST: mantenimiento de la sesin
PPTP_ECHO_REPLY: respuesta solicitud mantenimiento
PPTP_WAN_ERROR_NOTIFY: notificacin error
PPTP_SET_LINK_INFO: configurar conexin clienteservidor
PPTP_STOP_SESSION_REQUEST: finalizacin sesin
PPTP_STOP_SESSION_REPLY: respuesta solicitud
finalizacin
Redes virtuales
56
PPTP
Autenticacin PPTP:
Emplea los mismos mecanismos que PPP:
PAP (Password Authentication Protocol)

Muy simple: envo de nombre y contrasea en claro
CHAP (Challenge Handshake Authentication Protocol)

Mecanismo desafio-respuesta
Cliente genera una huella a partir del desafio recibido (MD5)
Clave secreta compartida
Envos de desafios para revalidar identidad
Redes virtuales
57
PPTP
Autenticacin PPTP:
Aade dos nuevos:
SPAP (Shiva Password Authentication Protocol)

PAP con envo de contrasea cliente encriptada
MS-CHAP (Microsoft Challenge Handshake Authentication

Protocol)
Algoritmo propietario de Microsoft basado en CHAP
Proceso de autenticacin mutuo (cliente y servidor)
Debido a fallo de seguridad en Windows NT se cre
MS-CHAP v2
Redes virtuales
58
PPTP
Transmisin de datos:
Emplea modificacin del protocolo GRE (Generic
Routing Encapsulation) RFC 1701 y 1702
Establece divisin funcional en tres protocolos:

Protocolo pasajero
Protocolo portador
Protocolo de transporte
Transporte
Portador
Pasajero
Redes virtuales
59
PPTP
Transmisin de datos:
Envo de tramas PPP encapsuladas en datagramas IP
TCP
IP
Medio
IP
GRE
PPP
Datos
Datos
Redes virtuales
60
PPTP
Encriptacin:
MPPE (Microsoft Point-To-Point Encryption)
RFC 3078
Usa algoritmo RSA RC4 -> Clave de sesin a partir de clave
privada de cliente
Slo con CHAP o MS-CHAP
Permite tneles sin cifrado (PAP o SPAP) -> No VPN
Redes virtuales
61
PPTP
Ventajas:
Bajo coste de implementacin (emplea red pblica)
No limitacin del nmero de tneles debido a
interfaces fsicas del servidor (aumento de recursos
necesarios en servidor por tnel)
Inconvenientes:
Altamente vulnerable
Control de la conexin TCP no autenticado

Debilidad del protocolo MS-CHAP en sistemas NT
Debilidad del protocolo MPPE
Empleo de contrasea privada

Redes virtuales
62

4.1.1 Introduccin
4.1.2 Criptografa
4.1.3 Criptoanlisis
4.1.6 sistema mixto
4.2 Redes privadas
virtuales
4.2.1 Introduccin
4.2.2 PPTP
4.2.3 L2TP
4.2.4 IPsec
4.2.5 SSL
virtual
Redes virtuales
63
L2TP
Caractersticas:
Protocolo de tnel de nivel 2 (RFC 2661) - PPP
L2TP v3 (RFC 3931) - multiprotocolo
Basado en 2 protocolos de red para transportar
tramas PPP:
PPTP
L2F (Layer Two Forwarding)
Se emplea junto a IPSec para ofrecer mayor
seguridad (L2TP/IPSec, RFC 3193)
Redes virtuales
64
L2TP
Funcionamiento:
LAC: Concentrador de acceso L2TP
LNS: Servidor de red L2TP
El servidor se comporta como un puente
Servidor L2TP
(LNS)
192.168.1.1
67.187.11.25
ISP
Usuario
remoto
192.168.1.31
Obligatorio
LAN
192.168.1.32
192.168.1.100 - 120
LAC
Voluntario
Redes virtuales
65
L2TP
Tipos de tneles:
Obligatorio:
1)
2)
3)
4)
5)
6)
7)
El usuario inicia conexin PPP

con ISP
ISP acepta conexin y enlace
PPP
ISP solicita autenticacin
LAC inicia tnel L2TP al LNS
Si LNS acepta, LAC
encapsula PPP con L2TP y
enva tramas
LNS acepta tramas y procesa
como si fuesen PPP
LNS autentifica PPP validar
usuario -> asigna IP
Voluntario:
1)
2)
3)
4)
5)
Usuario remoto posee

conexin con ISP
Cliente L2TP inicia tnel
L2TP al LNS
Si LNS acepta, LAC
encapsula con PPP y L2TP,
y enva a travs del tnel
LNS acepta tramas y
procesa como si fuesen
PPP
LNS autentifica PPP
validar usuario -> asigna
IP
Redes virtuales
66
L2TP
Mensajes:
Dos tipos:
Control
Empleados durante fase de establecimiento, mantenimiento y
finalizacin del tnel
Canal de control confiable (garantiza su entrega)
Datos
Encapsular la informacin en tramas PPP
Intercambiados usando UDP puerto 1701
Redes virtuales
67
L2TP
Mensajes de control:
Mantenimiento de conexin:
Start-Control-Connection-Request: inicio de sesin

Start-Control-Connectio-Reply: respuesta solicitud inicio
Start-Control-Connection-Connected: sesin establecida
Start-Control-Connection-Notification: finalizacin de
sesin
Hello: mensaje enviado durante periodos de inactividad
Redes virtuales
68
L2TP
Mantenimiento de llamada:
Outgoing-Call-Request: inicio de la llamada saliente

Outgoing-Call-Reply: respuesta solicitud inicio llamada
saliente
Outgoing-Call-Connected: llamada saliente establecida
Incoming-Call-Request: inicio de la llamada entrante
Incoming-Call-Reply: respuesta solicitud inicio llamada
entrante
Incoming-Call-Connected: llamada entrante establecida
Call-Disconnect-Notify: finalizacin de llamada
Redes virtuales
69
L2TP
Informe de errores:
WAN-Error-Notify: notificacin de error
Sesin de control PPP:

Set-Link-Info: configurar la conexin cliente-servidor
Redes virtuales
70
L2TP
Ventajas:
Bajo coste de implementacin
Soporte multiprotocolo
Inconvenientes:
nicamente se identifican los dos extremos participantes en el
tnel (Posibles ataques de suplantacin de identidad)
No ofrece soporte para integridad (Posible ataque de
denegacin de servicio)
No desarrolla confidencialidad -> No garantiza privacidad
No ofrece cifrado, aunque PPP pueden ser encriptado (no existe
mecanismo de generacin automtica de claves)
Redes virtuales
71

4.1.1 Introduccin
4.1.2 Criptografa
4.1.3 Criptoanlisis
4.1.6 sistema mixto
4.2 Redes privadas
virtuales
4.2.1 Introduccin
4.2.2 PPTP
4.2.3 L2TP
4.2.4 IPsec
4.2.5 SSL
virtual
Redes virtuales
72
IPSec
Caracterticas:
Internet Protocol Security
Ofrece servicios de seguridad a capa IP
Permite enlazar redes distintas (oficinas remotas)
Permite acceso de un usuario remoto a recursos
privados de una red
Estndares IETF (Internet Engineering Task Force)
Integrado en IPv4 e incluido por defecto en IPv6
IPSec es orientado a la conexin
Redes virtuales
73
IPSec
Caracterticas:
Servicios:
Integridad de datos
Autenticacin del origen
Confidencialidad
Prevencin de ataques por reproduccin
Modos de funcionamiento:
Modo transporte
Modo tnel
Redes virtuales
74
IPSec
Asociacin de seguridad:
Definicin (SA):
Acuerdo unidireccional entre participantes de una conexin
IPSec en cuanto a mtodos y parmetros empleados en la
estructura del tnel, destinados a garantizar la seguridad de
los datos transmitidos
Una entidad debe almacenar:

Claves y algoritmos de seguridad empleados
Modo de trabajo
Mtodos de gestin de claves
Periodo de vigencia de la conexin establecida
Base de datos con SA
Redes virtuales
75
IPSec
Asociacin de seguridad:
Ejemplo:
SPI: 12345
Source IP: 200.168.1.100
Dest IP: 193.68.2.23
Protocol: ESP
Encryption algorithm: 3DES-cbc
HMAC algorithm: MD5
Encryption key: 0x7aeaca
HMAC key:0xc0291f
Mtodos de distribucin y administracin de claves:

Manual: entrega personal
Automtico: AutoKey IKE
Redes virtuales
76
IPSec
Protocolo IKE:
Protocolo de intercambio de claves en Internet (IKE)
Protocolo definido en IETF
Gestin y administracin de claves

Establecimiento de SA
Estndar no limitado a IPSec (OSPF o RIP)

Protocolo hbrido:
ISAKMP (Internet Security Association and Key
Management Protocol)
Define la sintaxis de los mensajes

Procedimientos necesarios para establecimiento, negociacin,
modificacin y eliminacin de SA
Oakley
Especifica lgica para el intercambio seguro de claves

Redes virtuales
77
IPSec
IKE Negociacin del tnel IPSec:
Posee dos fases:
Fase 1: Establemiciento de un canal bidireccional de

comunicacin seguro (IKE SA)
IKE SA distinta a IPSec SA
Se denomina ISAKMP SA
Fase 2: Acuerdos sobre algoritmos de cifrado y

autenticacin -> IPSec SA
Usa ISAKMP para generar IPSec SA
El precursor ofrece todas sus posibilidades al otro con
prioridades
El otro acepta la primera configuracin que se adecue a sus
posibilidades
Se informan recprocamente del tipo de trfico
Redes virtuales
78
IPSec
Ventajas:
Permite acceso remoto de forma segura y
transparente
Facilita el comercio electrnico (infraestructura
segura para transacciones)
Posibilita la construccin de red corporativa segura
(extranets) sobre redes pblicas
Redes virtuales
79
IPSec
Protocolos:
Protocolo de cabecera de autenticacin (AH)
Protocolo carga de seguridad encapsulada (ESP)
Redes virtuales
80
IPSec
Protocolo AH:
Campo Protocolo de la cabecera IP :51
Servicios suministrados:
Integridad
Autenticacin
No garantiza la confidencialidad (no emplea cifrado de
datos)
HMAC (Hash Message Authentication Codes)

Generacin de huella digital (SHA o MD5)
Cifrado de huella digital con clave secreta compartida
Redes virtuales
81
IPSec
Protocolo AH:
HMAC
Receptor
Emisor
HMAC
IP
AH
DATOS
IP
AH
DATOS
Redes virtuales
HMAC
82
IPSec
Protocolo AH:
Formato
32 bits
Cabecera IP
Payload
Next
Reserved
header length
Security Parameters Index (SPI)
Sequence number
Cabecera AH
Authentication data
Datos
Redes virtuales
83
IPSec
Protocolo AH:
Formato:
Next header: protocolo del nivel superior

Payload length: longitud del campo de datos (32 bits)
Security Parameters Index (SPI): identificador SA
Sequence number: Nmero de secuencia
Authentication data: HMAC de longitud variable
Redes virtuales
84
IPSec
Protocolo ESP:
Campo Protocolo de la cabecera IP :50
Servicios suministrados:
Integridad (opcional)
Autenticacin (opcional)
Confidencialidad (cifrado de datos)
Algoritmo de cifrado de clave simtrica (DES, 3DES,
Blowfish)
Normalmente cifrado por bloques (relleno)

Requiere un mecanismo seguro de distribucin de claves
(IKE)
Redes virtuales
85
IPSec
Protocolo ESP:
Receptor
Emisor
IP
ESP
DATOS
ESP
IP
ESP
DATOS
ESP
Redes virtuales
86
IPSec
Protocolo ESP:
Formato
32 bits
Cabecera IP
Security Parameters Index (SPI)

Sequence number
Encriptad
o
ESP
Datos
Pad
length
Authentication data
Padding
Next
header
Redes virtuales
87
IPSec
Protocolo ESP:
Formato:
Security Parameters Index (SPI): identificador SA

Sequence number: Nmero de secuencia
Padding: Relleno
Pad length: longitud del relleno en bytes
Next header: protocolo del nivel superior
Authentication data: HMAC de longitud variable
Redes virtuales
88
IPSec
Modos de funcionamiento:
Aplicables tanto a AH como ESP
Modo
Modo
transporte
transporte
con AH
con ESP
Modo
Modo
tnel
tnel
con AH
con ESP
Ms usado
Redes virtuales
89
IPSec
Modo transporte:
Los datos se encapsulan en un datagrama AH o ESP
Asegura la comunicacin extremo a extremo
Esquema cliente-cliente (ambos extremos deben
entender IPSec)
Se emplea para conectar usuarios remotos
Host con IPSec
Host con IPSec
IP 1
IP 2
IP 2
IP 1
IPSec
Datos
Redes virtuales
90
IPSec
Modo transporte:
AH: Next header = Protocol de cabecera IP

Encab.
Encab.
IP original AH
Datos
Autenticado
ESP: Next header = Protocol de cabecera IP

Encab.
Encab.
IP original ESP
Datos
Cifrado
Autenticado
Redes virtuales
91
IPSec
Modo tnel:
Los datos se encapsulan en un datagrama IP completo
Genera nueva cabecera IP
Se emplea cuando el destino final del mensaje y el
extremo IPSec no coinciden (gateways)
Host sin IPSec
gateway con IPSec
gateway con IPSec
IP 1
IP A
IP B
IP 2
Host sin IPSec
IP B
IP A
IPSec
IP 2
IP 1
Datos
Redes virtuales
92
IPSec
Modo tnel:
AH: Protocol nueva cabecera IP = 51 y Next header = 4

Encab.
IP nuevo
Encab.
AH
Encab.
IP original
Datos
Autenticado
ESP: Protocol nueva cabecera IP = 50 y Next header = 4

Encab.
Encab.
IP original ESP
Encab.
IP original
Datos
Cifrado
Autenticado
Redes virtuales
93

4.1.1 Introduccin
4.1.2 Criptografa
4.1.3 Criptoanlisis
4.1.6 sistema mixto
4.2 Redes privadas
virtuales
4.2.1 Introduccin
4.2.2 PPTP
4.2.3 L2TP
4.2.4 IPsec
4.2.5 SSL
virtual
Redes virtuales
94
SSL
El proyecto OpenVPN:
Implementacin de VPN basada en SSL (OpenSSL)
Software libre (GPL)
Razones: Limitaciones de IPSec
Caractersticas:
Driver tun encargado de levantar tnel y encapsular los

paquetes a travs del enlace virtual
Posee autenticacin y encriptacin
Todas comunicaciones a travs de un puerto TCP o UDP (1194
por defecto)
Multiplataforma
Permite usar compresin
Redes virtuales
95
SSL
El proyecto OpenVPN:
Caractersticas:
Modelo cliente-servidor (versin 2.0)

Existen paquetes con instaladores y administradores
grficos
Permite administracin remota de la aplicacin
Alta flexibilidad (multitud formatos de scripts)
Redes virtuales
96

4.1.1 Introduccin
4.1.2 Criptografa
4.1.3 Criptoanlisis
4.1.6 sistema mixto
4.2 Redes privadas
virtuales
4.2.1 Introduccin
4.2.2 PPTP
4.2.3 L2TP
4.2.4 IPsec
4.2.5 SSL
virtual
Redes virtuales
97
VLAN
Introduccin:
Las LANs institucionales modernas suelen presentar
topologa jerrquica
Cada grupo de trabajo posee su propia LAN
conmutada
Las LANs conmutadas pueden interconectarse entre
s mediante una jerarqua de conmutadores
S4
S1
S2
A
B
S3
D
E
I
G
H
Redes virtuales
98
VLAN
Inconvenientes:
Falta de aislamiento del trfico
Trfico de difusin
Limitar trfico por razones de seguridad y confidencialidad
Uso ineficiente de los conmutadores

Gestin de los usuarios
Redes virtuales
99
VLAN
VLAN:
VLAN basada en puertos
Divisin de puertos del conmutador en grupos

Cada grupo constituye una VLAN
Cada VLAN es un dominio de difusin
Gestin de usuario -> Cambio de configuracin del
conmutador
Redes virtuales
100
VLAN
VLAN:
Cmo enviar informacin entre grupos?
Conectar puerto del conmutador VLAN a router externo

Configurar dicho puerto como miembro de ambos grupos
Configuracin lgica -> conmutadores separados conectados
mediante un router
Normalmente los fabricantes incluyen en un nico dispositivo
conmutador VLAN y router
Redes virtuales
101
VLAN
VLAN:
Localizacin diferente
Miembros de un grupo se encuentran en edificios diferentes

Necesario varios conmutadores
Conectar puertos de grupos entre conmutadores -> No escalable
Redes virtuales
102
VLAN
VLAN:
Localizacin diferente
Troncalizacin VLAN (VLAN Trunking)

Puerto troncal pertenece a todas las VLANs
VLAN Destino de la trama? -> formato de trama 802.1Q
Enlace
troncal
Redes virtuales
103
VLAN
IEEE 802.1Q:
IEEE 802.3 (Ethernet)
Preambulo
Dir.
Destino
Dir.
Origen
Tipo
Datos
CRC
IEEE 802.1Q
Preambulo
Dir.
Destino
Dir.
Origen
TPID TCI Tipo
Datos
CRC
nuevo
Informacin de control de etiquetado

Identificador de protocolo de etiquetado
Redes virtuales
104
VLAN
VLAN:
VLAN basada en MAC (nivel 2)
El administrador de red crea grupos VLAN basados en

rangos de direcciones MAC
El puerto del conmutador se conecta a la VLAN
correspondiente con la direccin MAC del equipo asociado
VLAN nivel 3
Basada en direcciones de red IPv4 o IPv6
Basada en protocolos de red (Appletalk, IPX, TCP/IP)
Redes virtuales
105

Tema 4

Încărcat de

Informații document

Titlu original

Drepturi de autor

Formate disponibile

Partajați acest document

Partajați sau inserați document

Opțiuni de partajare

Vi se pare util acest document?

Este necorespunzător acest conținut?

Drepturi de autor:

Formate disponibile

Tema 4

Încărcat de

Drepturi de autor:

Formate disponibile

Tema 4: Redes Virtuales

4.1 Seguridad en redes

4.2 Redes privadas

4.3 Redes de rea local

Tema 4: Redes Virtuales

4.2 Redes privadas

4.3 Redes de rea local

Lneas fsica dedicadas

Ejemplo: obtencin de datos del emisor

Ejemplo: modificacin de la direccin de envo

de un producto comprado por Internet

Ejemplo: suplantacin de usuario en transaccin

Ejemplo: prdida de solicitud en proceso

Captura de trfico de red

Alteracin de los datos enviados a travs de una red

Introduccin de informacin fraudulenta

Tema 4: Redes Virtuales

4.2 Redes privadas

4.3 Redes de rea local

Formas de proteccin contra intrusos basadas en la

Alteracin del mensaje original para que sea

Tema 4: Redes Virtuales

4.2 Redes privadas

4.3 Redes de rea local

Conjunto de mtodos destinados a averiguar la clave

Tema 4: Redes Virtuales

4.2 Redes privadas

4.3 Redes de rea local

Del texto cifrado no podr extraerse ni el mensaje en

Fortaleza del algoritmo:

Depender del nmero de participantes que compartan la

Mejor mtodo para cifrar grandes cantidades de

Nmero de claves usadas es proporcional al nmero de

Tema 4: Redes Virtuales

4.2 Redes privadas

4.3 Redes de rea local

Del texto cifrado debe ser imposible extraer el

Ofrece mecanismos muy buenos

Envo de un desafio en claro cuya solucin conoce el emisor

Verificar autenticidad del origen

Proceso de firma (emisor)

Convierte conjunto de datos de longitud variable en resumen

Algoritmos SHA-1, MD5

Capacidad de convertir datos de longitud variable en bloque

Problema: Gestin de claves

Unidad de informacin que contiene una pareja de claves

pblicas y privada junto con la informacin necesaria para

Tema 4: Redes Virtuales

4.2 Redes privadas

4.3 Redes de rea local

Distribucin de clave de sesin (asimtrico)

Distribucin de clave de sesin (asimtrico)

Empleo de firmas y certificados digitales

Tema 4: Redes Virtuales

4.2 Redes privadas

4.3 Redes de rea local

Redes privadas virtuales

Lnea dedicada (intranets)

Uso de red de acceso pblico

Redes privadas virtuales

Enlazar subredes remotas

Uso de tnel virtual con encriptacin

Redes privadas virtuales