Seguridad en Sistemas Distribuidos José M. Sierra Tema 4: Seguridad en el nivel de Red. Arquitectura de seguridad IPSEC 1 Introducción Seguridad en Sistemas Distribuidos o Seguridad en Internet o ¿es posible? o Continuas noticias, virus, ataques, engaños, ... o Aprovechar sus ventajas sin perder privacidad o ¿qué diferencia a Ipsec? o Solución global o Aplicable a nodos finales e intermedios o Soluciones particulares sencillas que conforma un todo José M. Sierra 2 Elementos Seguridad en Sistemas Distribuidos o Host o Sistema que puede iniciar/recibir mensajes, pero que no puede actuar como intermediario de comunicaciones o Solo puede suministrar servicios IPsec a sí mismo. o Gateway (pasarela) o Sistema que puede iniciar/recibir mensajes, y puede actuar como intermediario de comunicaciones o Solo puede suministrar servicios IPsec a sí mismo. José M. Sierra 3 Seguridad en Sistemas Distribuidos o Paquete IPv4 José M. Sierra 4 TCP/IP Seguridad en Sistemas Distribuidos o Paquete IPv6 José M. Sierra 5 Arquitectura IPSEC en Sistemas Distribuidos Seguridad INTRODUCCIÓN o Arquitectura de seguridad IPsec o Servicios de seguridad opcionales en el nivel de red (IETF) o Incluido en IPv6 Draft Standard (1998) o IPsec incluye dos protocolos de seguridad o Cabecera de autenticación (AH) José M. Sierra o Servicios de Integridad y autenticación o Mecanismos de firma digital o funciones resumen con clave Encapsulación segura del campo de carga (ESP) o Servicios Confidencialidad, integridad y autenticación o Mecanismos de cifrado del campo de carga, firma digital o funciones resumen con clave 6 Seguridad en Sistemas Distribuidos Protocolos de IPSec o Protocolo para la gestión y negociación de parámetros de seguridad o Asociación de Seguridad (SA) o Una asociación de seguridad es una relación entre dos o más entidades y que describe cómo éstas utilizarán los servicios de seguridad para comunicarse de forma segura. o Internet Security Association and Key Management Protocol o Protocolo IKE e IKEv2 o Protocolo opcional José M. Sierra o IPCOMP 7 Modos de funcionamiento Seguridad en Sistemas Distribuidos o Transport mode o Protección primaria para las capas superiores , no modifica ni encapsula el protocolo IP. o Tunnel mode o Se aplica una protección al todo el paquete IP, modificandolo. José M. Sierra 8 Seguridad en Sistemas Distribuidos Encapsulado según modo José M. Sierra Original IP TCP DATOS Modo Túnel IPpub ESP IPpriv TCP DATOS ESP Protegido Modo Transporte IPpriv ESP TCP DATOS ESP Protegido 9 Seguridad en Sistemas Distribuidos Cabecera de Autenticación (AH) o Proporciona integridad y autenticación a los datagramas IP. o Ésto se realiza computando una función resumen sobre el datagrama, empleando una clave secreta en dicho cálculo. o La información de auntenticación se calcula utilizando todos los campos del datagrama que no van a cambiar durante el tránsito José M. Sierra ( f k& Datagrama IP & ) k 10 Seguridad en Sistemas Distribuidos Cabecera de Autenticación o Su uso aumentará los costes de procesamiento de protocolo IP y la latencia de las comunicaciones. o Este mecanismo proporciona una seguridad más fuerte que la existente en la mayoría de la actual Internet, y no debe afectar a la interoperatividad, ni aumentar el coste de implementación. o Las máquinas que soporten IPv6 tienen que implementar la Cabecera de Auntenticación con el algoritmo de MD5 y claves secretas de 128 bits. José M. Sierra 11 AH Seguridad en Sistemas Distribuidos o Formato Next Header Payload Length Reserved Security Parameter Index Sequence Number Field Authentication Data o Colocación IPv6 Header José M. Sierra AH TCP and Application header and Data 12 Encapsulación Segura del Campo de Carga Seguridad en Sistemas Distribuidos o Integridad, autenticación y confidencialidad o Encapsulación cifrada del datagrama IP (ESP) o Cabecera no cifrada o se utiliza para conducir los datos protegidos a través de la red. El receptor retira y descarta la cabecera y sus opciones no cifradas o La utilización de ESP puede provocar un decremento importante del rendimiento y la latencia de las comunicaciones de los sistemas de información. José M. Sierra 13 ESP Seguridad en Sistemas Distribuidos oEncapsulating Security Payload José M. Sierra Se cifra el datagrama y este se incluye en un paquete ESP. IPv6 Datagram Copy the header } ESP Cip. K 14 Seguridad en Sistemas Distribuidos ESP o Formato Security Parameter Index Sequence Number Field Encrypted Data and Parameters Authentication Data o Colocación IPv6 Header José M. Sierra ESP Header ESP Payload ESP Trailer Auth. Data 15 Seguridad en Sistemas Distribuidos IKE en general o Internet Key Exchange (IKE) permite que dos extremos se autentiquen mutuamente y establezcan un canal seguro. o A continuación, IKE permitirá negociar las asociaciones de seguridad (SA) del protocolo IPsec. José M. Sierra 16 Internet Key Exchange Seguridad en Sistemas Distribuidos o Alternativa al intercambio manual de claves o Su objetivo es la negociación de una Asociación de Seguridad (AS) IPsec o Se trata de un protocolo en dos fases o Fase I o Protección del canal de comunicación o AS ISAKMP o Modos de funcionamiento o Main (principal), Aggresive (acelerado) y Base o Fase II José M. Sierra o Negociación de un par de AS o AS IPSEC o Quick Mode (rápido) 17 IKE Seguridad en Sistemas Distribuidos o Fase I o Autenticación o Secreto compartido (PSK) o Firma digital o Cifrado de clave pública o Kerberos o Intercambio (Main Mode) José M. Sierra Initiator Responder ---------HDR, SA ------------> <-- HDR, KE, Ni --> <-HDR*, IDii, HASH_I HDR, SA HDR, KE, Nr --> <-- HDR*, IDir, HASH_R 18 IKE Seguridad en Sistemas Distribuidos o Fase II o Negociación de AS IPSEC (una o varias) o Quick Mode Initiator Responder ----------- ----------- HDR*, HASH(1), SA, Ni [, KE ] [, IDci, IDcr ] --> <-- HDR*, HASH(2), SA, Nr [, KE ] [, IDci, IDcr ] José M. Sierra HDR*, HASH(3) --> 19 Seguridad en Sistemas Distribuidos IKE o Esquema general para la negociación de parámetros de seguridad o Definición de Dominios de Interpretación (DoI) o Gestión común de la negociación o Nuevos protocolos de cualquier capa de la pila de red o Protocolos actuales de seguridad José M. Sierra 20 L2TP/IPSec Seguridad en Sistemas Distribuidos o Encapsulado L2TP de la trama PPP. o Encapsulado IPSec del mensaje L2TP. o Cifrado IPSEc del contenido de los paquetes L2TP. o De los protocolos de IPSec (AH y ESP) se utiliza ESP (Encapsulating Security Payload). José M. Sierra 21