presentacion seguridad en ipv6 ceet
Post on 20-Feb-2016
227 Views
Preview:
DESCRIPTION
TRANSCRIPT
Redes seguras bajo IPV6
RAUL BAREÑO GUTIERREZ
Objetivos• Describir los beneficios de la tecnología VPN.• Describir una VPN de sitio a sitio y de acceso remoto.
• Describir el propósito y los beneficios de túneles GRE.• Configurar un túnel GRE de sitio a sitio.
• Describir las características de IPsec.• Explicar cómo IPsec se implementa utilizando el marco del protocolo IPsec.
• Comparar VPNs de IPsec y SSL de acceso remoto.
Introducción• La seguridad es una preocupación cuando se utiliza Internet para realizar
negocios.
• Las Redes privadas virtuales (VPN) se utilizan para garantizar la seguridad de los datos a través de Internet.
• Una VPN se utiliza para crear un túnel privado en una red pública.
• Los datos pueden ser asegurados mediante cifrado en este túnel a través de Internet y mediante el uso de autenticación para proteger los datos contra el acceso no autorizado.
Introducción a VPNs• VPN se utiliza para crear una conexión de red privada de extremo a extremo en redes de terceros,
tales como el Internet o extranets.
• Para implementar VPN, es necesario una puerta de enlace: podría ser un router, un firewall o un dispositivo Cisco de seguridad adaptable (ASA).
Beneficios de las VPNs• Ahorro de costes: permiten a las organizaciones utilizar
Internet y transportar trafico mediante terceros para conectar oficinas remotas y usuarios remotos
• Escalabilidad: permiten utilizar la infraestructura de Internet dentro del ISP y sus dispositivos, además puede añadir nuevos usuarios.
• Compatibilidad con tecnología de banda ancha: permite a los trabajadores móviles y tele trabajadores usar la conectividad de alta velocidad, para acceder a las redes de su organización, brindando eficiencia y flexibilidad de los trabajadores.
Beneficios de las VPNs• Seguridad: puede incluir mecanismos seguros que
proporcionan mayor nivel de seguridad mediante el uso de encriptación avanzada y protocolos de autenticación que protegen los datos contra acceso no autorizado.
VPN de sitio a sitio• Se conectan redes enteras entre sí, en el pasado, se estaba obligado a
conectar una conexión mediante Frame Relay o línea arrendada, hoy la mayoría de las corporaciones ahora tienen acceso a Internet, estas conexiones pueden reemplazarse con VPNs sitio a sitio.
• Los Hosts internos no tienen conocimiento que existe una VPN.
• Cuando los dispositivos en ambos lados de la conexión VPN son conscientes de la configuración VPN es avanzada y segura
VPN de sitio a sitio• Los host de los extremos envían y reciban tráfico de TCP/IP normal a través de un
Gateway VPN.
• El Gateway VPN es responsable para encapsular y encriptar tráfico saliente para todo el tráfico de la VPN desde un sitio en particular
VPN de Acceso Remoto• Soporta las necesidades de tráfico de extranet, tele trabajadores y usuarios
móviles, y demás necesidades de la compañía
• Maneja una arquitectura cliente/servidor, donde el cliente VPN (remoto host) adquiere un acceso seguro a la red de la empresa a través de un dispositivo de servidor VPN a la red de borde.
• Utilizado para conectar hosts individuales que deben tener acceso a su red segura sobre Internet.
• Puede necesitar un software cliente VPN para ser instalada en el móvil dispositivo del usuario final .
• Cuando el host intenta enviar todo el tráfico, el software de cliente VPN encapsula y cifra este tráfico y envía por Internet a la puerta de enlace de la VPN en el borde de la red de destino.
VPN de Acceso Remoto
Introducción a tunnel GRE Básico, no seguro, de
sitio a sitio VPN desarrollado por Cisco
Encapsula una amplia variedad de tipos de paquetes IP dentro del tunnel
Crea un enlace virtual punto a punto entre routers remotos, a través de una red IP
Características de tunnel GRE
GRE se define como un estándar IETF.
El Protocolo IP 47 se utiliza para identificar paquetes GRE.
GRE encapsulado utiliza un campo de protocolo en la cabecera GRE para cualquier protocolo OSI Layer 3.
GRE no incluye mecanismos de seguridad fuertes.
Configuración de tunnel GRE
Configuracion de tunnel GRE
Verificación del túnel GRE
Verifique que la interfaz del túnel este arriba
Verifique OSPF Adyacencia
Internet Protocol Security
IPsec VPNs
Información de una VPN segura se transporta sobre una red pública.
Forma una red virtual en lugar de utilizar una conexión dedicada de capa 2.
Funciones IPsec Define cómo configurar la VPN en forma segura usando IP.
Marco de estándares abiertos con reglas para comunicaciones seguras.
No limitado a cualquier cifrado, autenticación, algoritmos de seguridad o tecnologías clave.
Se basa en algoritmos existentes para implementar comunicaciones seguras.
Opera en la capa de red, protegiendo y autenticando paquetes IP entre los dispositivos.
Asegura un camino entre las puertas de entrada, o pares de hosts, o entre la puerta de entrada y el host.
Servicios de seguridad de IPsec
Confidencialidad (encripta) – los datos antes de transmitir
Integridad de los datos, verifica que los datos no ha sido cambiados mientras están en tránsito
Autenticación: verifica la identidad de la fuente que envía, asegura que la conexión se realiza con el par deseado, utiliza Internet Key Exchange (IKE) para autenticar usuarios y dispositivos que pueden llevar a cabo comunicación.
Protección anti-Replay – detectar y rechazar paquetes reproducidos y ayuda a prevenir la falsificación
CIA: confidencialidad, integridad y autenticación
Confidencialidad con Encriptamiento
Para que el cifrado, tanto el emisor como el receptor deben saber las reglas usadas para transformar el mensaje original en su forma codificada.
Las reglas se basan en algoritmos y claves compartidas.
El descifrado es extremadamente difícil (o imposible) sin la clave correcta.
Algoritmos de encriptamiento A medida que aumenta la longitud de clave, se hace más difícil de romper
el cifrado. Sin embargo, una clave más larga requiere más recursos del procesador al cifrar y descifrar datos.
Dos tipos principales de cifrado son:
Cifrado simétrico
Cifrado asimétrico
Cifrado simétrico El cifrado y descifrado utilizan la misma clave.
Cada dispositivo de red debe conocer la clave para descifrar la información.
Además encriptan la información antes de enviarla a través de la red.
Normalmente se utiliza para cifrar el contenido del mensaje.
Ejemplos: DES y 3DES (ya no se considera seguro) y AES (256 bits recomendada para el cifrado IPsec).
Cifrado asimétrico Utiliza diferentes claves para el cifrado y descifrado.
Sabiendo una de las claves no permite al hacker deducir la segunda llave y decodificar la información.
Una de las claves cifra el mensaje, mientras que una segunda clave descifra el mensaje.
Cifrado de clave pública es una variante de la encriptación asimétrica que utiliza una combinación de una clave privada y una clave pública.
Normalmente se utiliza el certificado digital y la gestión de claves
Ejemplo: RSA
Intercambio de Clave con Diffie-Hellman
(DH) no es un mecanismo de cifrado.
Es un método para intercambiar de forma segura las claves que cifran los datos.
Los algoritmos DH permiten a las dos partes establecer una clave secreta compartida utilizando los algoritmos de cifrado y hash es parte del estandar IPsec.
Los algoritmos de cifrado, como DES, 3DES, AES, así como los algoritmos hash MD5 y SHA-1, requieren una clave simétrica secreta compartida para realizar el cifrado y descifrado.
DH es un método de intercambio de clave pública que proporciona una forma entre los dos pares para establecer una clave secreta compartida que sólo ellos conocen
Intercambio de Clave con Diffie-Hellman
Integridad con los algoritmos hash
El origen genera un hash en el mensaje y lo envía con el mensaje mismo.
El receptor analiza el mensaje y el hash, produciendo otro hash del mensaje recibido, y se comparan los dos hash.
Si son iguales, el destinatario puede estar seguro de la integridad del mensaje original.
Integridad con los algoritmos hash
El Código de autenticación de Mensaje basado en Hash(HMAC) es un mecanismo de autenticación de mensajes usando funciones hash.
HMAC tiene dos parámetros: Una entrada de mensaje y una clave secreta conocida sólo por el originador del mensaje y los receptores previstos.
El receptor calcula el código de autenticación del mensaje en el mensaje recibido utilizando la misma clave y la función HMAC enviado por el remitente.
Si los dos valores coinciden, el mensaje ha sido recibido correctamente y el receptor está seguro de que el remitente es un miembro de la comunidad de usuarios que comparten la clave.
Integridad con los algoritmos hash
Hay dos algoritmos HMAC comunes:
MD5 - clave secreta compartida de 128 bits. El mensaje de longitud variable y la clave secreta compartida se combinan y se ejecutan a través del algoritmo de hash HMAC-MD5. La salida es un hash de 128 bits.
SHA - SHA-1 utiliza una clave secreta de 160 bits. El mensaje de longitud variable y la clave secreta se combinan y se ejecutan a través del algoritmo de hash SHA1-HMAC. La salida es un hash de 160 bits.
Autenticación IPsec IPsec VPN soporta la autenticación.
El dispositivo en el otro extremo del túnel VPN debe ser autenticado antes de que el camino de comunicación se considera seguro.
Autenticación IPsecHay dos métodos de autenticación de los pares, firmas PSK y RSA:
Firma PSK: Utiliza una clave secreta compartida entre las dos partes mediante un canal seguro antes de que sea utilizado.
•Usa algoritmos criptográficos de clave simétrica.
•La PSK se introduce en cada par manualmente y se utiliza para autenticar los extremos.
Autenticación IPsec Firma RSA: Los certificados digitales se intercambian para autenticar los
puntos.
El PC origen genera un hash y lo cifra con su clave privada.
El cifrado Hash, o firma digital, se adjunta al mensaje y se remitirán al otro extremo.
En el otro extremo, el hash cifrado se descifra utilizando la clave pública del extremo de origen.
Si el hash descifrado coincide con el hash recalculado, la firma es auténtica.
Marco de trabajo del Protocolo IPsec
Encabezado de autenticación (AH): adecuado para utilizar cuando se requiere confidencialidad o no se requieren permisos.
Proporciona autenticación e integridad de datos en paquetes IP.
No proporciona confidencialidad de datos (cifrado) de paquetes.
Encapsula la carga Segura (ESP): proporciona confidencialidad y autenticación cifrando el paquete IP.
Autentica el interior de paquetes IP y el encabezado ESP.
Tanto el cifrado y la autenticación son opcionales en ESP, como mínimo, se debe seleccionar una de ellas.
Marco de trabajo del Protocolo IPsec
Marco de trabajo del Protocolo IPsec
Cuatro bloques de construcción se deben seleccionar:
Marco del protocolo- Una combinación de ESP y AH, ESP o las opciones ESP + AH casi siempre se seleccionan porque AH no proporciona cifrado.
Confidencialidad: (si IPsec se implementa con ESP) - DES, 3DES o AES, AES proporciona la mayor seguridad.
Integridad - Garantiza que el contenido no ha sido alterado durante el transito utilizando los algoritmos hash (MD5 o SHA).
Autenticación - Representa cómo los dispositivos en cada extremo del túnel VPN se autentican (PSK o RSA).
Algoritmo Grupo DH - cómo se establece una clave secreta compartida entre los pares, DH 24 proporciona la mayor seguridad.
Marco de trabajo del Protocolo IPsec
Tipos de VPN de acceso remoto
Hay dos métodos VPN de acceso remoto:
Secure Sockets Layer (SSL)
Seguridad IP (IPsec)
Son Tipos de VPN o métodos basados en los requisitos de acceso de los usuarios y procesos de TI de la organización.
Ambos tipos ofrecen acceso a cualquier aplicación de red o recurso.
SSL VPN Da acceso remoto mediante un navegador web y el cifrado SSL nativo del
navegador.
Puede proporcionar acceso remoto mediante el software Secure Mobility Client Cisco AnyConnect
IPsec Remote Access
IPsec Remote Access La solución Cisco Easy VPN consta de tres componentes:
VPN Servidor - Un router Cisco IOS o Cisco ASA el Firewall actúa como dispositivo de cabecera VPN de sitio a sitio o VPN de acceso remoto.
VPN remoto - Un router Cisco IOS o Cisco ASA Firewall actúa como cliente VPN remoto.
VPN Client - Una aplicación soportada en un PC se utiliza para acceder a un servidor VPN de Cisco.
La característica de la solución Easy VPN ofrece flexibilidad, escalabilidad y facilidad de uso tanto para el sitio a sitio y acceso remoto IPsec VPN.
Easy VPN Server and Remote
Comparing IPsec and SSL
Resumen • Las VPN se utilizan para crear una conexión de red privada segura de extremo
a extremo a través de Internet.
• Una VPN de sitio a sitio utiliza un dispositivo de puerta de enlace VPN en el borde de ambos extremos. Los PC finales no son conscientes de la VPN y no tienen el software de soporte adicional.
• Una VPN de acceso remoto requiere un software para ser instalado en el PC que accede a la red desde una ubicación remota.
• Los dos tipos de redes VPN de acceso remoto son SSL e IPsec.• La tecnología SSL puede proporcionar acceso remoto a través de navegador
web de un cliente y el cifrado SSL nativo del navegador.
Resumen • El túnel GRE es un protocolo básico, no seguro de sitio a sitio que encapsula
una amplia variedad de paquetes dentro de túneles a través de una WAN basada en IP.
• se utiliza para entregar multicast IP o tráfico IPv6 a través de una única conexión unicast-IPv4.
• IPsec, un estándar IETF, es un túnel seguro opera en la capa 3 de OSI puede proteger y autenticar los paquetes IP entre puntos IPsec.
• proporciona confidencialidad mediante el cifrado, integridad de datos, autenticación y protección anti-replay.
• Integridad de datos mediante el uso de un algoritmo de hash, como MD5 o SHA.
• Autenticación es proporcionada por PSK o RSA método de autenticación de pares.
Resumen• El nivel de confidencialidad proporcionado por el cifrado depende del
algoritmo utilizado y la longitud de la clave.
• El cifrado puede ser simétrica o asimétrica.
• DH es un método utilizado para intercambiar de forma segura las claves para cifrar los datos.
Practica de laboratorio y Preguntas?
45
46
top related