Documente Academic
Documente Profesional
Documente Cultură
virtuales
4.2.1 Introduccin
4.2.2 PPTP
4.2.3 L2TP
4.2.4 IPsec
4.2.5 SSL
virtual
Redes virtuales
virtuales
4.2.1 Introduccin
4.2.2 PPTP
4.2.3 L2TP
4.2.4 IPsec
4.2.5 SSL
virtual
Redes virtuales
Introduccin
Canal seguro:
Propiedades:
Confidencialidad
Integridad
Autenticidad (autenticacin)
No repudio
Canal seguro?
Emisor
Receptor
Redes virtuales
Introduccin
Confidencialidad:
La informacin transmitida por el canal inseguro
slo podr ser interpretada por elementos
destinatarios acreditados
Debe permanecer ininteligible para el resto
Formas de proteccin:
Cifrado
Introduccin
Integridad:
Asegura que la informacin transmitida no haya
sido modificada durante su transcurso
El mensaje en el destino debe ser el mismo que
el mensaje en el origen
Formas de proteccin:
Firmas digitales
Redes virtuales
Introduccin
Autenticidad:
Asegurar el origen de una informacin
Evitar suplantaciones
Formas de proteccin:
Firmas digitales
Desafo
Autenticacin humana
Biomtrica (huella dactilar, retina, reconocimiento facial, etc.)
bancaria
Redes virtuales
Introduccin
No repudio:
Evitar negacin de envo por parte de un emisor
Evitar negacin de recepcin por parte de un
receptor
Formas de proteccin:
Firmas digitales
administrativo
Redes virtuales
Introduccin
Canal inseguro:
Poco fiable
Ataques: Violacin de seguridad del canal.
Tipos
Pasivos
Activos
Categoras
Interceptacin
Interrupcin
Modificacin
Fabricacin
Redes virtuales
Introduccin
Ataques pasivos:
El intruso no altera el contenido de la informacin
transmitida
Objetivos:
Identificacin de entidades
Control del volumen de trfico
Anlisis del trfico
Horario de intercambio habitual
Dificultad de deteccin
Fcil de evitar -> cifrado
Redes virtuales
Introduccin
Ataques activos:
Implican alteracin del contenido de la informacin
transmitida
Tipos:
Enmascarados (impostor)
Repetitivo (mensaje interceptado y repetido posteriormente)
Modificacin del mensaje
Denegacin del servicio
Dificultad de prevencin
Fcil de detectar -> deteccin y recuperacin
Redes virtuales
10
Introduccin
Interceptacin:
Ataque de confidencialidad
Pasivo
Un elemento no autorizado consigue acceso a un recurso no
compartido
Ejemplos:
Receptor
Emisor
Intruso
Redes virtuales
11
Introduccin
Interrupcin:
Destruccin de un recurso compartido
Activo
Ejemplos:
Destruccin de hardware
Corte de lnea de comunicacin
Receptor
Emisor
Intruso
Redes virtuales
12
Introduccin
Modificacin:
Un recurso no compartido es interceptado y manipulado por un
elemento no autorizado antes de llegar al destino final
Activo
Ejemplos:
Receptor
Emisor
Intruso
Redes virtuales
13
Introduccin
Fabricacin:
Ataque de autenticidad
Activo
Elemento no autorizado (impostor) genera un recurso que llega al
destinatario
Ejemplos:
Receptor
Emisor
Intruso
Redes virtuales
14
virtuales
4.2.1 Introduccin
4.2.2 PPTP
4.2.3 L2TP
4.2.4 IPsec
4.2.5 SSL
virtual
Redes virtuales
15
Criptografa
Introduccin:
Por qu?
Definicin
Ciencia de la escritura secreta, destinada a ocultar la
informacin con el objetivo de que no pueda ser
interpretada por otras personas
Principio
Mantener la privacidad de la comunicacin entre dos o
ms elementos
Redes virtuales
16
Criptografa
Introduccin:
Base de funcionamiento
Ejemplo
Mensaje original: Mi profesor es un plasta
Mensaje alterado: Pl surihvru hv xq sdvwd
Cifrado de Csar con K=3
Redes virtuales
17
Criptografa
Cifrado:
Procedimiento que
convierte un mensaje en
claro en otro
incomprensible
El algoritmo de cifrado
requiere una clave
Descifrado:
Procedimiento que
convierte un mensaje
incomprensible en el
mensaje original
Es necesario conocer el
algoritmo de cifrado
empleado y la clave
adecuada
Redes virtuales
18
Criptografa
Introduccin:
Esquema de funcionamiento
Emisor
cifrado
Receptor
descifrado
Redes virtuales
19
virtuales
4.2.1 Introduccin
4.2.2 PPTP
4.2.3 L2TP
4.2.4 IPsec
4.2.5 SSL
virtual
Redes virtuales
20
Criptoanlisis
Introduccin:
Definicin
Objetivo
Desvelar el secreto de la correspondencia
Ataques
Ataque de fuerza bruta (ms comn)
Tipos:
Ataque de slo texto cifrado
Ataque de texto claro conocido
Ataque de texto claro seleccionado
Redes virtuales
21
virtuales
4.2.1 Introduccin
4.2.2 PPTP
4.2.3 L2TP
4.2.4 IPsec
4.2.5 SSL
virtual
Redes virtuales
22
Clave simtrica
Caractersticas:
Clave privada
Emisor y receptor comparten la misma clave
Emisor
cifrado
Receptor
descifrado
Redes virtuales
23
Clave simtrica
Algoritmos:
DES, 3DES, RC5, IDEA, AES
Requisitos:
Redes virtuales
24
Clave simtrica
Objetivos cumplidos:
Confidencialidad
Integridad
Autenticacin
No repudio
Redes virtuales
25
Clave simtrica
Ventajas:
Velocidad de ejecucin de algoritmos
Inconvenientes:
Distribucin de la clave privada
Administracin y mantenimiento de claves
Redes virtuales
26
virtuales
4.2.1 Introduccin
4.2.2 PPTP
4.2.3 L2TP
4.2.4 IPsec
4.2.5 SSL
virtual
Redes virtuales
27
Clave asimtrica
Privada emisor
Pblica emisor
Privada receptor
Caractersticas:
Pblica receptor
Clave pblica
Cada participante posee una pareja de claves
(privada-pblica)
Emisor
cifrado
Receptor
descifrado
Redes virtuales
28
Clave asimtrica
Algoritmos:
Diffie-Hellman, RSA, DSA
Requisitos:
Redes virtuales
29
Clave asimtrica
Objetivos cumplidos:
Confidencialidad
Integridad
Autenticacin
No repudio
Ofrece mecanismos muy buenos
Redes virtuales
30
Clave asimtrica
Ventajas:
No presenta problemas de distribucin de
claves, ya que posee clave pblica
En caso de robo de clave privada de un usuario,
slo se ven comprometidos los mensajes
enviados a dicho usuario
Proporciona mecanismos de autenticacin
mejores que los ofrecidos por sistemas
simtricos
Inconvenientes:
Velocidad de ejecucin de algoritmos
Redes virtuales
31
Clave asimtrica
Autenticacin:
Desafio-respuesta
Firma digital
Certificado digital
No repudio:
Firma digital
Certificado digital
Redes virtuales
32
Privada emisor
Clave asimtrica
Pblica emisor
Privada receptor
Pblica receptor
Desafio-respuesta:
Emisor
cifrado
Receptor
descifrado
Redes virtuales
33
Clave asimtrica
Privada emisor
Pblica emisor
Privada receptor
Firma digital:
Pblica receptor
Emisor
firma
Receptor
verificacin
Redes virtuales
34
Clave asimtrica
Firma digital:
Problema: Lentitud del proceso
Empleo de huella
Emisor
Privada emisor
Pblica emisor
Privada receptor
Pblica receptor
Receptor
Redes virtuales
35
Clave asimtrica
Firma digital - Huella:
Reducin del tiempo de encriptado
Funcin de hash
Redes virtuales
36
Clave asimtrica
Certificado digital:
Contiene:
Clave pblica
Clave privada (si es propietario)
Datos del propietario
Datos de uso (algoritmos, funciones permitidas, ...)
Periodo de validez
Firmas de Autoridades de certificacin
Es posible su revocacin
Redes virtuales
37
virtuales
4.2.1 Introduccin
4.2.2 PPTP
4.2.3 L2TP
4.2.4 IPsec
4.2.5 SSL
virtual
Redes virtuales
38
Privada emisor
Sistema mixto
Pblica emisor
Privada receptor
Pblica receptor
Clave de sesin
Clave de sesin:
Partes
Emisor
Receptor
Redes virtuales
39
Privada emisor
Sistema mixto
Pblica emisor
Privada receptor
Pblica receptor
Clave de sesin
Clave de sesin:
Partes
Emisor
Receptor
Redes virtuales
40
Sistema mixto
Objetivos cumplidos:
Confidencialidad
Integridad
Autenticacin
No repudio
Redes virtuales
41
Sistema mixto
Ventajas:
No presenta problemas de distribucin de
claves, ya que posee clave pblica
Es improbable hacerse con la clave de sesin
Puede emplear mecanismos de autenticacin y
no repudio de clave pblica
Velocidad de ejecucin de algoritmos
Redes virtuales
42
virtuales
4.2.1 Introduccin
4.2.2 PPTP
4.2.3 L2TP
4.2.4 IPsec
4.2.5 SSL
virtual
Redes virtuales
43
LAN
Red pblica
Redes virtuales
44
Tnel virtual
Red pblica
LAN
Redes virtuales
45
Redes virtuales
46
Redes virtuales
47
Redes virtuales
48
Redes inseguras
Tneles VPN
Servidores
Routers
Usuarios remotos (road warriors)
Oficinas remotas (gateways)
Redes virtuales
49
LAN
LAN
LAN
Redes virtuales
50
virtuales
4.2.1 Introduccin
4.2.2 PPTP
4.2.3 L2TP
4.2.4 IPsec
4.2.5 SSL
virtual
Redes virtuales
51
PPTP
Caractersticas:
Protocolo de tnel punto a punto (PPTP)
Protocolo diseado y desarrollado por 3Com,
Microsoft Corporation, Ascend Communications y ECI
Telematics, y definido en IETF (RFC 2637)
Se emplea en acceso virtual seguro de usuarios
remotos a red privada
Emplea mecanismo de tneles para envo de datos
desde cliente a servidor
Usa red IP de carcter pblica o privada
Redes virtuales
52
PPTP
Funcionamiento:
Servidor PPTP configurado para repartir IP de LAN
privada
El servidor se comporta como un puente
192.168.1.30 192.168.1.31
67.187.11.25
Servidor PPTP
192.168.1.1
LAN
Usuario
remoto
192.168.1.100 - 120
Redes virtuales
192.168.1.32
53
PPTP
Fases:
Establecimiento de la conexin PPP con ISP
Control de la conexin PPTP
Conexin TCP
Intercambio de mensajes de control
Transmisin de datos
Protocolo GRE
Cifrado
Redes virtuales
54
PPTP
PPP:
Protocolo punto a punto (RFC 1661)
Nivel de enlace
Usado para conectar con ISP mediante una lnea telefnica
(modem) o RDSI
Versiones para banda ancha (PPPoE y PPPoA)
Funciones:
Establecer, mantener y finalizar conexin pto-pto
Autenticar usuarios (PAP y CHAP)
Crear tramas encriptadas
PPP
IP
Datos
Redes virtuales
55
PPTP
Control conexin PPTP:
Especifica una serie de mensajes de control:
56
PPTP
Autenticacin PPTP:
Emplea los mismos mecanismos que PPP:
Redes virtuales
57
PPTP
Autenticacin PPTP:
Aade dos nuevos:
Redes virtuales
58
PPTP
Transmisin de datos:
Emplea modificacin del protocolo GRE (Generic
Routing Encapsulation) RFC 1701 y 1702
Transporte
Portador
Pasajero
Redes virtuales
59
PPTP
Transmisin de datos:
Envo de tramas PPP encapsuladas en datagramas IP
TCP
IP
Medio
IP
GRE
PPP
Datos
Datos
Redes virtuales
60
PPTP
Encriptacin:
MPPE (Microsoft Point-To-Point Encryption)
RFC 3078
Usa algoritmo RSA RC4 -> Clave de sesin a partir de clave
privada de cliente
Slo con CHAP o MS-CHAP
Redes virtuales
61
PPTP
Ventajas:
Bajo coste de implementacin (emplea red pblica)
No limitacin del nmero de tneles debido a
interfaces fsicas del servidor (aumento de recursos
necesarios en servidor por tnel)
Inconvenientes:
Altamente vulnerable
62
virtuales
4.2.1 Introduccin
4.2.2 PPTP
4.2.3 L2TP
4.2.4 IPsec
4.2.5 SSL
virtual
Redes virtuales
63
L2TP
Caractersticas:
Protocolo de tnel de nivel 2 (RFC 2661) - PPP
L2TP v3 (RFC 3931) - multiprotocolo
Basado en 2 protocolos de red para transportar
tramas PPP:
PPTP
L2F (Layer Two Forwarding)
Redes virtuales
64
L2TP
Funcionamiento:
LAC: Concentrador de acceso L2TP
LNS: Servidor de red L2TP
El servidor se comporta como un puente
Servidor L2TP
(LNS)
192.168.1.1
67.187.11.25
ISP
Usuario
remoto
192.168.1.31
Obligatorio
LAN
192.168.1.32
192.168.1.100 - 120
LAC
Voluntario
Redes virtuales
65
L2TP
Tipos de tneles:
Obligatorio:
1)
2)
3)
4)
5)
6)
7)
Voluntario:
1)
2)
3)
4)
5)
66
L2TP
Mensajes:
Dos tipos:
Control
Empleados durante fase de establecimiento, mantenimiento y
finalizacin del tnel
Canal de control confiable (garantiza su entrega)
Datos
Encapsular la informacin en tramas PPP
Intercambiados usando UDP puerto 1701
Redes virtuales
67
L2TP
Mensajes de control:
Mantenimiento de conexin:
Redes virtuales
68
L2TP
Mensajes de control:
Mantenimiento de llamada:
Redes virtuales
69
L2TP
Mensajes de control:
Informe de errores:
Redes virtuales
70
L2TP
Ventajas:
Bajo coste de implementacin
Soporte multiprotocolo
Inconvenientes:
nicamente se identifican los dos extremos participantes en el
tnel (Posibles ataques de suplantacin de identidad)
No ofrece soporte para integridad (Posible ataque de
denegacin de servicio)
No desarrolla confidencialidad -> No garantiza privacidad
No ofrece cifrado, aunque PPP pueden ser encriptado (no existe
mecanismo de generacin automtica de claves)
Redes virtuales
71
virtuales
4.2.1 Introduccin
4.2.2 PPTP
4.2.3 L2TP
4.2.4 IPsec
4.2.5 SSL
virtual
Redes virtuales
72
IPSec
Caracterticas:
Internet Protocol Security
Ofrece servicios de seguridad a capa IP
Permite enlazar redes distintas (oficinas remotas)
Permite acceso de un usuario remoto a recursos
privados de una red
Estndares IETF (Internet Engineering Task Force)
Integrado en IPv4 e incluido por defecto en IPv6
IPSec es orientado a la conexin
Redes virtuales
73
IPSec
Caracterticas:
Servicios:
Integridad de datos
Autenticacin del origen
Confidencialidad
Prevencin de ataques por reproduccin
Modos de funcionamiento:
Modo transporte
Modo tnel
Redes virtuales
74
IPSec
Asociacin de seguridad:
Definicin (SA):
Acuerdo unidireccional entre participantes de una conexin
IPSec en cuanto a mtodos y parmetros empleados en la
estructura del tnel, destinados a garantizar la seguridad de
los datos transmitidos
75
IPSec
Asociacin de seguridad:
Ejemplo:
SPI: 12345
Source IP: 200.168.1.100
Dest IP: 193.68.2.23
Protocol: ESP
Encryption algorithm: 3DES-cbc
HMAC algorithm: MD5
Encryption key: 0x7aeaca
HMAC key:0xc0291f
76
IPSec
Protocolo IKE:
Protocolo de intercambio de claves en Internet (IKE)
Protocolo definido en IETF
Oakley
77
IPSec
IKE Negociacin del tnel IPSec:
Posee dos fases:
78
IPSec
Ventajas:
Permite acceso remoto de forma segura y
transparente
Facilita el comercio electrnico (infraestructura
segura para transacciones)
Posibilita la construccin de red corporativa segura
(extranets) sobre redes pblicas
Redes virtuales
79
IPSec
Protocolos:
Protocolo de cabecera de autenticacin (AH)
Protocolo carga de seguridad encapsulada (ESP)
Redes virtuales
80
IPSec
Protocolo AH:
Campo Protocolo de la cabecera IP :51
Servicios suministrados:
Integridad
Autenticacin
No garantiza la confidencialidad (no emplea cifrado de
datos)
Redes virtuales
81
IPSec
Protocolo AH:
HMAC
Receptor
Emisor
HMAC
IP
AH
DATOS
IP
AH
DATOS
Redes virtuales
HMAC
82
IPSec
Protocolo AH:
Formato
32 bits
Cabecera IP
Payload
Next
Reserved
header length
Security Parameters Index (SPI)
Sequence number
Cabecera AH
Authentication data
Datos
Redes virtuales
83
IPSec
Protocolo AH:
Formato:
Redes virtuales
84
IPSec
Protocolo ESP:
Campo Protocolo de la cabecera IP :50
Servicios suministrados:
Integridad (opcional)
Autenticacin (opcional)
Confidencialidad (cifrado de datos)
Blowfish)
Redes virtuales
85
IPSec
Protocolo ESP:
Receptor
Emisor
IP
ESP
DATOS
ESP
IP
ESP
DATOS
ESP
Redes virtuales
86
IPSec
Protocolo ESP:
Formato
32 bits
Cabecera IP
Encriptad
o
ESP
Datos
Pad
length
Authentication data
Padding
Next
header
Redes virtuales
87
IPSec
Protocolo ESP:
Formato:
Redes virtuales
88
IPSec
Modos de funcionamiento:
Aplicables tanto a AH como ESP
Modo
Modo
transporte
transporte
con AH
con ESP
Modo
Modo
tnel
tnel
con AH
con ESP
Ms usado
Redes virtuales
89
IPSec
Modo transporte:
Los datos se encapsulan en un datagrama AH o ESP
Asegura la comunicacin extremo a extremo
Esquema cliente-cliente (ambos extremos deben
entender IPSec)
Se emplea para conectar usuarios remotos
Host con IPSec
IP 1
IP 2
IP 2
IP 1
IPSec
Datos
Redes virtuales
90
IPSec
Modo transporte:
Datos
Autenticado
Datos
Cifrado
Autenticado
Redes virtuales
91
IPSec
Modo tnel:
Los datos se encapsulan en un datagrama IP completo
Genera nueva cabecera IP
Se emplea cuando el destino final del mensaje y el
extremo IPSec no coinciden (gateways)
Host sin IPSec
IP 1
IP A
IP B
IP 2
Host sin IPSec
IP B
IP A
IPSec
IP 2
IP 1
Datos
Redes virtuales
92
IPSec
Modo tnel:
Encab.
AH
Encab.
IP original
Datos
Autenticado
Encab.
IP original
Datos
Cifrado
Autenticado
Redes virtuales
93
virtuales
4.2.1 Introduccin
4.2.2 PPTP
4.2.3 L2TP
4.2.4 IPsec
4.2.5 SSL
virtual
Redes virtuales
94
SSL
El proyecto OpenVPN:
Implementacin de VPN basada en SSL (OpenSSL)
Software libre (GPL)
Razones: Limitaciones de IPSec
Caractersticas:
95
SSL
El proyecto OpenVPN:
Caractersticas:
Redes virtuales
96
virtuales
4.2.1 Introduccin
4.2.2 PPTP
4.2.3 L2TP
4.2.4 IPsec
4.2.5 SSL
virtual
Redes virtuales
97
VLAN
Introduccin:
Las LANs institucionales modernas suelen presentar
topologa jerrquica
Cada grupo de trabajo posee su propia LAN
conmutada
Las LANs conmutadas pueden interconectarse entre
s mediante una jerarqua de conmutadores
S4
S1
S2
A
B
S3
D
E
I
G
H
Redes virtuales
98
VLAN
Inconvenientes:
Falta de aislamiento del trfico
Trfico de difusin
Limitar trfico por razones de seguridad y confidencialidad
Redes virtuales
99
VLAN
VLAN:
VLAN basada en puertos
Redes virtuales
100
VLAN
VLAN:
Cmo enviar informacin entre grupos?
Redes virtuales
101
VLAN
VLAN:
Localizacin diferente
Redes virtuales
102
VLAN
VLAN:
Localizacin diferente
Enlace
troncal
Redes virtuales
103
VLAN
IEEE 802.1Q:
Preambulo
Dir.
Destino
Dir.
Origen
Tipo
Datos
CRC
IEEE 802.1Q
Preambulo
Dir.
Destino
Dir.
Origen
Datos
CRC
nuevo
Redes virtuales
104
VLAN
VLAN:
VLAN basada en MAC (nivel 2)
VLAN nivel 3
Basada en direcciones de red IPv4 o IPv6
Basada en protocolos de red (Appletalk, IPX, TCP/IP)
Redes virtuales
105