Presentación de PowerPoint

Anuncio
Seguridad en Sistemas Distribuidos
José M. Sierra
Tema 4:
Seguridad en el nivel de Red.
Arquitectura de seguridad IPSEC
1
Introducción
Seguridad en Sistemas Distribuidos
o Seguridad en Internet
o ¿es posible?
o Continuas noticias, virus, ataques, engaños, ...
o Aprovechar sus ventajas sin perder privacidad
o ¿qué diferencia a Ipsec?
o Solución global
o Aplicable a nodos finales e intermedios
o Soluciones particulares sencillas que conforma
un todo
José M. Sierra
2
Elementos
Seguridad en Sistemas Distribuidos
o Host
o Sistema que puede iniciar/recibir mensajes, pero que
no puede actuar como intermediario de comunicaciones
o Solo puede suministrar servicios IPsec a sí mismo.
o Gateway (pasarela)
o Sistema que puede iniciar/recibir mensajes, y puede
actuar como intermediario de comunicaciones
o Solo puede suministrar servicios IPsec a sí mismo.
José M. Sierra
3
Seguridad en Sistemas Distribuidos
o Paquete IPv4
José M. Sierra
4
TCP/IP
Seguridad en Sistemas Distribuidos
o Paquete IPv6
José M. Sierra
5
Arquitectura IPSEC
en Sistemas Distribuidos
Seguridad
INTRODUCCIÓN
o Arquitectura de seguridad IPsec
o Servicios de seguridad opcionales en el nivel de red (IETF)
o Incluido en IPv6 Draft Standard (1998)
o IPsec incluye dos protocolos de seguridad
o Cabecera de autenticación (AH)
José M. Sierra
o Servicios de Integridad y autenticación
o Mecanismos de firma digital o funciones resumen con clave
Encapsulación segura del campo de carga (ESP)
o Servicios Confidencialidad, integridad y autenticación
o Mecanismos de cifrado del campo de carga, firma digital o
funciones resumen con clave
6
Seguridad en Sistemas Distribuidos
Protocolos de IPSec
o Protocolo para la gestión y negociación de
parámetros de seguridad
o Asociación de Seguridad (SA)
o Una asociación de seguridad es una relación entre
dos o más entidades y que describe cómo éstas
utilizarán los servicios de seguridad para
comunicarse de forma segura.
o Internet Security Association and Key Management
Protocol
o Protocolo IKE e IKEv2
o Protocolo opcional
José M. Sierra
o IPCOMP
7
Modos de funcionamiento
Seguridad en Sistemas Distribuidos
o Transport mode
o Protección primaria para las capas superiores ,
no modifica ni encapsula el protocolo IP.
o Tunnel mode
o Se aplica una protección al todo el paquete IP,
modificandolo.
José M. Sierra
8
Seguridad en Sistemas Distribuidos
Encapsulado según modo
José M. Sierra
Original
IP
TCP
DATOS
Modo Túnel
IPpub
ESP
IPpriv
TCP
DATOS
ESP
Protegido
Modo Transporte
IPpriv
ESP
TCP
DATOS
ESP
Protegido
9
Seguridad en Sistemas Distribuidos
Cabecera de Autenticación (AH)
o Proporciona integridad y autenticación a los datagramas
IP.
o Ésto se realiza computando una función resumen
sobre el datagrama, empleando una clave secreta en
dicho cálculo.
o La información de auntenticación se calcula utilizando
todos los campos del datagrama que no van a cambiar
durante el tránsito
José M. Sierra
(
f k&
Datagrama IP
&
)
k
10
Seguridad en Sistemas Distribuidos
Cabecera de Autenticación
o Su uso aumentará los costes de procesamiento de
protocolo IP y la latencia de las comunicaciones.
o Este mecanismo proporciona una seguridad más fuerte
que la existente en la mayoría de la actual Internet, y
no debe afectar a la interoperatividad, ni aumentar el
coste de implementación.
o Las máquinas que soporten IPv6 tienen que implementar
la Cabecera de Auntenticación con el algoritmo de MD5
y claves secretas de 128 bits.
José M. Sierra
11
AH
Seguridad en Sistemas Distribuidos
o Formato
Next Header
Payload Length
Reserved
Security Parameter Index
Sequence Number Field
Authentication Data
o Colocación
IPv6 Header
José M. Sierra
AH
TCP and Application header and Data
12
Encapsulación Segura del Campo de Carga
Seguridad en Sistemas Distribuidos
o Integridad, autenticación y confidencialidad
o Encapsulación cifrada del datagrama IP (ESP)
o Cabecera no cifrada
o se utiliza para conducir los datos protegidos a través
de la red. El receptor retira y descarta la cabecera y
sus opciones no cifradas
o La utilización de ESP puede provocar un
decremento importante del rendimiento y la
latencia de las comunicaciones de los sistemas
de información.
José M. Sierra
13
ESP
Seguridad en Sistemas Distribuidos
oEncapsulating Security Payload
José M. Sierra
Se cifra el datagrama y este se incluye en
un paquete ESP.
IPv6 Datagram
Copy the header
}
ESP
Cip.
K
14
Seguridad en Sistemas Distribuidos
ESP
o Formato
Security Parameter Index
Sequence Number Field
Encrypted Data and Parameters
Authentication Data
o Colocación
IPv6 Header
José M. Sierra
ESP Header
ESP Payload
ESP Trailer
Auth. Data
15
Seguridad en Sistemas Distribuidos
IKE en general
o Internet Key Exchange (IKE) permite que
dos extremos se autentiquen mutuamente y
establezcan un canal seguro.
o A continuación, IKE permitirá negociar las
asociaciones de seguridad (SA) del
protocolo IPsec.
José M. Sierra
16
Internet Key Exchange
Seguridad en Sistemas Distribuidos
o Alternativa al intercambio manual de claves
o Su objetivo es la negociación de una Asociación
de Seguridad (AS) IPsec
o Se trata de un protocolo en dos fases
o Fase I
o Protección del canal de comunicación
o AS ISAKMP
o Modos de funcionamiento
o Main (principal), Aggresive (acelerado) y Base
o Fase II
José M. Sierra
o Negociación de un par de AS
o AS IPSEC
o Quick Mode (rápido)
17
IKE
Seguridad en Sistemas Distribuidos
o Fase I
o Autenticación
o Secreto compartido (PSK)
o Firma digital
o Cifrado de clave pública
o Kerberos
o Intercambio (Main Mode)
José M. Sierra
Initiator
Responder
---------HDR, SA
------------>
<--
HDR, KE, Ni
-->
<-HDR*, IDii, HASH_I
HDR, SA
HDR, KE, Nr
-->
<--
HDR*, IDir, HASH_R
18
IKE
Seguridad en Sistemas Distribuidos
o Fase II
o Negociación de AS IPSEC (una o varias)
o Quick Mode
Initiator
Responder
-----------
-----------
HDR*, HASH(1), SA, Ni
[, KE ] [, IDci, IDcr ] -->
<--
HDR*, HASH(2), SA, Nr
[, KE ] [, IDci, IDcr
]
José M. Sierra
HDR*, HASH(3)
-->
19
Seguridad en Sistemas Distribuidos
IKE
o Esquema general para la negociación de
parámetros de seguridad
o Definición de Dominios de Interpretación
(DoI)
o Gestión común de la negociación
o Nuevos protocolos de cualquier capa de la pila
de red
o Protocolos actuales de seguridad
José M. Sierra
20
L2TP/IPSec
Seguridad en Sistemas Distribuidos
o Encapsulado L2TP de la trama PPP.
o Encapsulado IPSec del mensaje L2TP.
o Cifrado IPSEc del contenido de los paquetes
L2TP.
o De los protocolos de IPSec (AH y ESP) se
utiliza ESP (Encapsulating Security Payload).
José M. Sierra
21
Descargar