IPSEC

Código: HOL-WIN11

Juan Luis García Rambla

jlrambla@informatica64.com

Agenda

• Problemática de las redes de datos.

• IPSEC: Autentificación y cifrado.

• Políticas de IPSEC.

• Reglas y Filtros de IPSEC.

• Implantación de IPSEC con PKI.

Problemática de las redes de datos

Problemáticas de la comunicación

• Gran cantidad de los datos que circulan por la red circulan en claro y pueden ser capturados e interpretados por un analizador de red.

• Estos datos además de ser interpretados pueden ser modificados y retransmitidos posteriormente a la red.

• Los sistemas no comprueban la autenticidad del origen de los datos.

Técnicas de Sniffing

• Capturan tráfico de red.

• Necesitan que la señal física llegue al NIC.

• En redes de difusión mediante concentradores todas las señales llegan a todos los participantes de la comunicación.

• En redes conmutadas la comunicación se difunde en función de direcciones.• Switches utilizan dirección MAC.

PC HACKERPC HACKER

PC 1PC 1

PC 2PC 2 PC 3PC 3

PC 4PC 4

SnifferSniffer

Datos PC 4

Datos PC 4

filtrafiltra filtrafiltra

Sniffing en redes de difusión

Técnicas de Spoofing

• Las técnicas de spoofing tienen como objetivo suplantar validadores estáticos.

Un Un validador estáticovalidador estático es un medio de es un medio de autenticación que permanece invariable autenticación que permanece invariable antes, durante y después de la concesión.antes, durante y después de la concesión.

Tipos de técnicas de Spoofing• Spoofing ARP

• Envenenamiento de conexiones.• Man in the Middle.

• Spoofing IP • Rip Spoofing.• Hijacking.

• Spoofing SMTP

• Spoofing DNS• WebSpoofing.

PC HACKERPC HACKER

PC 1PC 1

PC 2PC 2 PC 3PC 3

PC 4PC 4

SnifferSniffer

Datos PC 4

Datos PC 4MAC 1MAC 1

MAC 2MAC 2 MAC HMAC H MAC 3MAC 3

MAC 4MAC 4

Puerto 1 MAC 1Puerto 1 MAC 1

Puerto 2 MAC 2Puerto 2 MAC 2

Puerto 6 MAC HPuerto 6 MAC H

Puerto 11 MAC 3Puerto 11 MAC 3

Puerto 12 MAC 4Puerto 12 MAC 4

Sniffing en redes conmutadas

Ataque ARP Man In The Middle

¿Quien tiene

1.1.1.2?

1.1.

1.2

esta

en

99:8

8:77

:66:

55:4

4

1.1.1.2 esta en 00:11:22:33:44:55:66

1.1.1.1

1.1.1.2

1.1

.1.1

esta

en

99:8

8:7

7:6

6:5

5:4

4

Sniffing + SpoofingSniffing + Spoofing

Hijacking (Secuestro) Y Hijacking (Secuestro) Y EnvenenamientoEnvenenamiento

Técnicas Combinadas

IPSEC Autentificación y cifrado

Cifrado de Comunicaciones

• IPv4 no ofrece cifrado de comunicaciones a nivel de red y transporte.

• Solo se puede garantizar la no interceptación de la información en líneas privadas.

• Los entornos son abiertos. Movilidad.

• La privacidad de la información es una necesidad

Cifrado de Comunicaciones

• La elección de la protección debe cumplir:

– No anular otras defensas.

– Permitir autenticación integrada.

– No suponer un coste excesivo en:– Rendimiento.– Adquisición.– Implantación.– Mantenimiento.

Cifrado de Comunicaciones

• Soluciones:– Red : IPv6 -> IPSec.– Transporte:

– TLS

– SSL

– Aplicación: – HTTP-s

– FTP-s

– S/MIME

– SSH.

– Datos: Cifrado información.

Objetivos de IPSEC

• IPSEC es un estándar que tiene como objetivo la verificación, autentificación y encriptación de datos en el nivel de red.

• IPSEC es controlado mediante una serie de reglas y filtros que determinan que tipo de tráfico va a necesitar la encriptación, la firma digital o ambos.

• El proceso del envío de información encriptada a través de la red es transparente para los usuarios y las aplicaciones que envían información a través de la red.

Beneficios de IPSEC

• Autentificación mutua al inicio y durante la comunicación.

• Confidencialidad por autentificación digital y encriptación de paquetes.

• Integridad IP por rechazo de paquetes modificados.

• Prevención contra ataques de repetición de tramas.

IPSEC - Coste de cifrado

• Disminución del rendimiento que es proporcional al hardware del sistema.– Tiempo de negociación IKE – aproximadamente 2-5 segundos

inicialmente– Session rekey < 1-2 segundos

• Pérdida de la capacidad de filtrado de paquetes.

• Recursos destinados a la solución de problemas.

• Concienciación técnica de su necesidad y su uso.

Modos IPSEC

• IPSEC trabaja en dos modos:– Autentication Header (AH),que firma digitalmente el

tráfico de red, pero no lo encripta.

– ESP (Encapsulation Security Payload), que proporciona encriptación de datos, mediante algoritmo.

Cabecera de Autenticación

• Authentication Header (AH) ofrece:– Autenticación.– Integridad.

• Funcionalidades– Kerberos, certificados o los secretos compartidos pueden ser

utilizados para autenticar el tráfico. – La integridad se calcula con algoritmos SHA1 o MD5 que

calculan el Integrity Check Value (ICV).

IPSec – Cabecera AH.

• Autenticidad de los datos

• Integridad de los datos

• Contra la retransmisión

• Protección contra la suplantación

Encab. IPEncab. IPEncab. IPEncab. IP AHAH Encab. Encab. TCP/UDPTCP/UDP

Encab. Encab. TCP/UDPTCP/UDP

Datos de Datos de aplicacionesaplicaciones

Datos de Datos de aplicacionesaplicaciones

Firmado

Encabezados de autenticación

Cabecera ESP

• Encapsulating Security Payload (ESP)• ESP ofrece:

– Confidencialidad.

• ESP puede ser utilizada sola o combinada con AH. • Multiples algoritmos de cifrado

– DES – claves de cifrado de 56-bit – 3DES – claves de cifrado de 168-bit

• Multiples algoritmos de firmado.– SHA1 – 160-bit digest– MD5 – 128-bit

Cabecera ESP

Nuevo Nuevo encab. IPencab. IP

Nuevo Nuevo encab. IPencab. IP

ESPESPHdrHdr

ESPESPHdrHdr

Cifrado

Firmado

Autenticación del origen

Cifrado de los datos

Contra la retransmisión

Protección contra la suplantación

Carga de seguridad de encapsulación

Encab. IP Encab. IP originaloriginal

Encab. IP Encab. IP originaloriginal

Encab.Encab.TCP/UDPTCP/UDP

Encab.Encab.TCP/UDPTCP/UDP

Datos de Datos de aplicacionesaplicaciones

Datos de Datos de aplicacionesaplicaciones

Fin.Fin.ESPESP

Fin.Fin.ESPESP

Aut.ESP

Aut.ESP

IPSec - Firewalls

• IPSec se enruta como tráfico IPv4.

• En firewalls debe ser activado el reenvio IP para:– IP Protocol ID 50 (ESP).– IP Protocol ID 51 (AH).– UDP Port 500 (IKE).

• El tráfico IPSec que pasa por un firewall no puede ser inspeccionado.

filtersfiltersfiltersfilters

SA Establishment

NICNIC

TCPIPTCPIP

ApplicationApplicationServer or GatewayServer or Gateway

IPSecIPSecDriverDriver

IPSecIPSecPolicyAgentPolicyAgent

IKE (ISAKMP)IKE (ISAKMP)

IPSecIPSecDriverDriver

IPSecIPSecPolicyAgentPolicyAgent

IKE (ISAKMP)IKE (ISAKMP)

NICNIC

TCPIPTCPIP

App or ServiceApp or Serviceclientclient

““IKE Responder”IKE Responder”““IKE Initiator”IKE Initiator”

UDP port 500 UDP port 500 negotiationnegotiation

1 IKE SA1 IKE SA

2 IPSec SAs2 IPSec SAs

IP protocol 50/51IP protocol 50/51

Modos de trabajo

• El sistema IPSEC puede trabajar en dos modos:– Modo de transporte: donde la encriptación se realiza

de extremo a extremo.

– Modo túnel donde la encriptación se realiza únicamente entre los extremos del tunel.

Modos IPSEC

Cifrado

Modo de túnelProporciona cifrado y autenticación sólo entre los puntos finales del túnel

Cifrado

Modo de transporte

Proporciona cifrado y autenticación de extremo a extremo

Políticas de IPSEC

IPSec en Windows 2000- 2003

• Se configura mediante políticas.

– Almacenadas en el Directorio Activo o en en Registro Local del Servidor.

– Controlan la entrada y salida de paquetes permitidos.

IPSec - Política de cliente

• Modo de solo respuestas.

• Un sistema en modo cliente responde a peticiones que le realicen en IPSEC.

• No inicia conversaciones en modo IPSEC, solamente en claro.

IPSec - Políticas

• Podrán utilizarse políticas por defecto o las creadas manualmente.

• El sistema proporciona 3 políticas por defecto que van a determinar diferentes comportamientos de la máquina con respecto a IPSEC.– Cliente.– Servidor.– Servidor seguro.

Política de cliente

• Modo de solo respuestas.

• Un sistema en modo cliente responde a peticiones que le realicen en IPSEC.

• No inicia conversaciones en modo IPSEC, solamente en claro.

Política de servidor

• Intenta establecer comunicaciones encriptadas, pero si la otra máquina no tiene configurado IPSEC la comunicación se establece en claro.

• Este modo está definido por 3 reglas que determinan el comportamiento general del sistema a las peticiones:– IP.– ICMP.– Tráfico dinámico.

Política de Servidor Seguro

• El equipo solo puede establecer comunicaciones seguras.

• La política establece 3 reglas, para el tráfico de peticiones:– IP.– ICMP.– Tráfico dinámico.

Implementación IPSEC en un Implementación IPSEC en un HospitalHospital

Servidor B. de D.

Resto del Personal

Médico

Servidor SeguroServidor

No IPSEC

3ecto elgtasp3ecto elgtasp Texto claroTexto claroTexto Texto cifradocifrado

ConexiónConexión

IPSec - Despliegue

GPO

Domain

OU

Site

GPOGPO

• Despliegue centralizado desde el directorio activo.

• Configuración posible mediante plantillas.

Políticas de Grupo

Reglas IPSEC

• Las reglas IPSEC determinan el comportamiento del sistema en la transmisión de la información.

• Las reglas están compuestas por los siguientes objetos:– Filtros.– Acción de filtros.– Método de autentificación.

Configuración de Reglas IPSEC

• En la configuración de las reglas hay que especificar las siguientes acciones:– Determinar la posibilidad o no de establecer un túnel de

comunicación.

– Qué redes se van a ver afectadas por la regla.

– El método de autentificación inicial para la transmisión.

– Métodos de seguridad.

– Los filtros y las acciones de filtrado.

IPSec - Filtros

• En la configuración de los filtros hay que especificar los siguientes parámetros:– Determinar la posibilidad o no de establecer un túnel de

comunicación.

– Qué redes o equipos se van a ver afectados.

– El método de autentificación para la transmisión.

– Métodos de seguridad.

– Las acciones de filtrado.

Métodos de autentificación

• Determinan el proceso inicial de la comunicación IPSEC.

• Existen 3 metodologías de autentificación:– Clave Compartida.

– Kerberos.

– Certificado.

IPSec - Autenticación

• Kerberos– Requiere tiempo de sincronización.– Solo dentro del bosque.

• Certificados – Requiere la implementación de PKI.– CRL está deshabilitado por defecto.

• Secretos Compartidos.– Tan seguro como sea el secreto.– En entornos grandes es dificil de mantener.

Métodos de seguridad

• Determina la seguridad de la transmisión de la información.

• Se pueden definir:– Integridad AH (Algoritmos SHA1, MD5).

– Integridad ESP (Algoritmos SHA1, MD5).

– Confidencialidad ESP (Algoritmos DES, 3DES).

Boletín quincenal TechNews

Contactos

• Informática 64– http://www.informatica64.com– i64@informatica64.com– +34 91 665 99 98

• Profesor– juanluis@informatica64.com