1 / 59

David Bayo dbayo@ingrammicro.es

VPN. C iclos F ormación C isco. David Bayo dbayo@ingrammicro.es. Pregunta. ¿Cómo hacer ahorrar costes a vuestros clientes, y que a la vez, contraten vuestros servicios adquiriendo nuevo equipamiento e ingeniería?. Respuesta. Tecnología VPN. Agenda. Introducción IPSec

redford
Download Presentation

David Bayo dbayo@ingrammicro.es

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. VPN Ciclos Formación Cisco David Bayo dbayo@ingrammicro.es

  2. Pregunta ¿Cómo hacer ahorrar costes a vuestros clientes, y que a la vez, contraten vuestros servicios adquiriendo nuevo equipamiento e ingeniería?

  3. Respuesta Tecnología VPN

  4. Agenda • Introducción • IPSec • Encriptación • Hashing / Firmas digitales • IKE • Certificados digitales • Familia VPN 3000 • Preguntas

  5. Las redes del futuro IP Telephony Enterprise Mobility Security/VPN Campus LAN InternationalSales Offices MultiserviceWAN (Sonet, IP,ATM, FrameRelay) Common Infrastructure Suppliers Campus/WANBackbone Video Conferencing Mainframe Multi-Gigabit Ethernet Telecommuters ISDN VPN Mobile Users Content Networking PSTN Storage

  6. Evolución de las redes RDSIAnalógico Acceso telefónico Internet Frame Relay RAS RAS RAS CableBanda anchaDSL

  7. Evolución de las redes Internet Usuario móvil Analógico RDSI Cable Ubicaciónremota Servidor Ubicaciónremota Ahorro de costes $$

  8. The SAFE Blueprint Management Building E-Commerce ISP Distribution Corporate Internet Edge Core Server VPN/Remote Access PSTN FR/ATM WAN

  9. Solución SAFE para el acceso remoto ISP Edge Module ISP Broadband Access Device (optional) Broadband Access Device Broadband Access Device VPN Software Client w/ Personal Firewall Home Office Firewall w/VPN Hardware VPN Client Router w/ firewall & VPN Software Access Option Remote Site Firewall Option Hardware VPN Client Option Remote Site Router Option

  10. Escenario POP Central Site Extranet Business Partner Usuarios móviles Internet VPN DSL Cable Teletrabajadores Site-to-SiteOficina remota

  11. Túneles

  12. Agenda IPSec

  13. ¿Qué es IPSec? • Es un conjuto de protocolos de seguridad que proveen: • Privacidad (Encriptación) • Integridad (Hash) • Autenticidad (Certificados digitales) durante la transferencia de datos en las redes IP.

  14. ¿Por qué necesitamos IPSec? • Pérdida de privacidad.

  15. ¿Por qué necesitamos IPSec? • Pérdida de integridad

  16. ¿Por qué necesitamos IPSec? • Robo de identidad

  17. Implementación en niveles Application-Layer (SSL, PGP, S-HTTP) Application Layers (5-7) Network-Layer (IPSec) Transport/Network Layers (3-4) Link/Physical Layers (1-2) Link-Layer Encryption

  18. Separación de tráfico • El tráfico IPSec es tratado por los routers como tráfico IP normal. • Para enrutar este tráfico, podemos usar routers tradicionales. Los routers A y B encriptan los datos entre Joe y el servidor HR, dejando el resto de tráfico igual. A B

  19. ¿De qué se compone IPSec? Encriptación Autenticación Modos Privacidad Verificación intercambio Transporte • DES Data Encryption Standard • 3DES Triple Data Encryption Standard • AES Advanded Encryption Standard • IKE Internet Key Exchange • RSA / DSS Rivest, Shamir, Adelman / Digital Signature Standard • X.509v3 Digital Certificates • MD5 / SHA Message Digest 5 / Secure Hash Algorithm • AH / ESP Authentication Header / Encapsulating Security Payload • Tunnel / Transport Network to Network / Host to Host

  20. Agenda Encriptación

  21. ¿De qué protege la encriptación? Pérdida de privacidad Robo de datos Bob Alice Corporate Business Plan: Expand into Mallet’s core area Alice Bob m-y-p-a-s-s-w-o-r-d d-a-n • La encriptación protege a los datos que se transmiten por redes de datos públicas o redes “no seguras”.

  22. Claves simétricas KEY (A) KEY (A) Bloqueado Desbloqueado • La misma clave sirve para el proceso de encriptación y de desencriptación Desencriptacion Encriptación

  23. Claves asimétricas KEY (B) KEY (A) Bloqueado Desbloqueado • La clave usada para el proceso de encriptación es diferente a la usada en el proceso de desencriptación. • La consecución de estas claves se explica en IKE. Desencriptacion Encriptación

  24. ¿Qué es DES / 3DES? DataEncryptionStandard • DES • Es el algoritmo de encriptación. • Usa claves de 56 bits para encriptar los datagramas. • 3DES • Es el algoritmo DES aplicado 3 veces • El resultado de ejecutar 3 veces DES, ofrece claves de 168 bits.

  25. Vulnerabilidad de DES / 3DES • Se puede “romper” una clave DES en tiempo real. • Para “romper” una clave 3DES en cuestión de semanas.

  26. AES • Para solventar la falta de fiabilidad de DES, se desarrolló AES (Advanded Encryption Standard) • Permite definir claves de 128 (defecto), 192 o 256 bits. • Soportado a partir de la release 12.2(13) de IOS.

  27. Agenda Hashing / Firmas digitales

  28. ¿De qué protegen las firmas y hash? Robo de identidad Pérdida de integridad Bob Bob Alice I’m Bob. Send Me all Corporate Correspondencewith Cisco. Deposit $1000 Deposit $ 100 Alice Customer Bank • Hashes y firmas garatizan la identidad de los extremos y la integridad del mensaje durante su viaje por la red pública.

  29. ¿Qué es Hash? Hash Message Text plano Función de Hash Texto Hash • El “texto plano” es transformado en texto hash mediante una función (función de hash), y sin la que el texto no puede ser reconstruido. Esto garantiza que el mensaje que se ha enviado es el que se recibe.

  30. Algoritmos de Hash • MD5 (Message Digest V5): Es el algoritmo más “viejo”, pero más soportado por los fabricantes. • SHA (Secure Hash Algorithm): Más nuevo y seguro que MD5. • HMAC (Hash-based Message Authentication Code): Mecanismo que junto al algoritmo de hash permite comprobar la integridad. • IPSec usa HMAC-MD5 y HMAC-SHA.

  31. Generación de firmas HMAC Message Copy Copia del Message Algoritmo de Hash (MD5, SHA) Salida de Hash Mensaje Hash con la clave privada Hash Key PRI Hash Function Encrypted • HMAC garantiza la autenticidad de hash. • HMAC usa claves asimétricas: • La clave privada encripta Hash • La clave pública desencripta hash.

  32. Algoritmos de generación de firmas • RSA (Rivest, Shamir, Adelman) • Es el más extendido y popular. • DSA (Digital Signature Algorithm) • La validación de la firma es más lenta que RSA con claves de 512 o 1024 bits.

  33. Agenda IKE

  34. ¿Cuál es el propósito de IKE? Key PRI Key PRI Key PUB Key SSN No, prefiero usar: 3DES Encryption, SHA Hash with RSA Signatures. Key PUB ¿Quieres usar? : DES Encryption, MD5 hash, and RSA Signatures? 2 1 • Usando pares de claves públicas y privadas , IKE crea una sesión con datos encriptados usando el algoritmo de Diffie-Hellman. • IKE negocia los parámetros IPSec que van a ser usados (SA: Security Association) sobre la sesión creada. SECRET SHARED

  35. SA (Security Association) IPSec Protocols Used: DES 3DES SHA MD5 DSS Transform Sets: DES, HMAC-MD5, DSS 3DES, HMAC-SHA, DSS IPSec Protocols Used: DES 3DES SHA RSA DSS Transform Sets: DES, HMAC-SHA, RSA 3DES, HMAC-SHA, DSS Common Transform Set = SA 3DES, HMAC-SHA, DSS IKE SA Negotiation • SA es el conjunto de protocolos usados en IPSec comunes entre dos dispositivos, y que van a ser usados en la creación del túnel. • TS (Transformation Set): es una lista preconfigurada de protocolos IPSec que van a ser soportadas por los dispositivos.

  36. ¿Cómo usa IPSec a IKE? 1. Paquete de salida desde Alice a Bob. No SA 4. El paquete se manda desde Alice a Bob protegido por el SA de IPSec IPSec IPSec Alice Bob Alice’s Laptop Bob’s Laptop ISAKMP ISAKMP ISAKMP Tunnel Alice Bob 3. Acabada la negociación, Alice y Bob tienen completas las SA 2. El ISAKMP de Alice Negocia con Bob

  37. Uso de las claves Pub Pub Pri Pri WAN DES DES • Cada dispositivo tiene 3 claves: • Clave privada: se mantiene en secreto y nunca se comparte. Se usa para firmar los mensajes. • Clave pública: se usa para verificar la firma. • Shared secret: es la usada para encriptar los datos usando algoritmos como DES....

  38. Algoritmo de Diffie-Hellman Valor Privado, XA Valor Público, YA Mensaje, m Valor Privado, XB Valor Público, YB Mensaje, m Alice Bob XA XB YA = m mod p YB= mmod p YA YB XA XAXB XB YBmod p = m mod p = YAmod p (shared secret)

  39. ¿Cómo se inician las sesiones? IKE IPSec Datos 1.- Establecer una IKE SA: “Main mode”. 2.- Establecer una IPSec SA: “Quick Mode”. 3.- Enviar los datos protegidos.

  40. Creación de una IKE SA DES MD5 RSA Sig DH1 DES SHA Pre-shared DH1 DES MD5 RSA Sig DH1 Home-gw 10.1.2.3 Pent-gw 26.9.0.26 • Se negocian los parámetros IKE • Se intercambian claves públicas • Se intercambian certificados • Se intercambia la información para la autenticacíon YB YA

  41. Creación de una IPSec SA IKE SA DES MD5 DH1 DES SHA DH1 DES MD5 DH1 YA YB Datos • Requiere una IKE SA creada • Se negocian los parámetros IPSec • Se transmiten las claves públicas

  42. Agenda Certificados digitales

  43. ¿Qué es un Certificado Digital? • Es un documento digital que autentifica a un extremo de la conexión y provee de la clave de encriptación pública. • X.509v3 • Estos certificados son emitidos por entidades seguras, como Verisign (www.verisign.com)

  44. Proceso de alta de un certificado Internet Certificate/CRL Database CA Distribución del certificado Candidato 1.- El candidato se registra su identidad en CA (Certificate Authority) 2.- CA genera y firma el certificado con una CA Public Key 3.- CA envía por mail la URL para que recoja el certificado 4.- El candidato se baja el certificado y la CA Public Key

  45. Proceso de validación LDAP Certificate/CRL Database CA • Chequea en la base de datos el certificado de Joe Key PUB Certificado de Bob • Verifica el certificado de Bob con la CA Public Key Internet CA Public Key Certificado de Alice Alice Bob 2 1

  46. Agenda Familia VPN 3000

  47. Gama de producto Cisco ofrece el conjunto más amplio de soluciones VPN BASADO EN FIREWALL ACCESO REMOTO UBICACIÓN A UBICACIÓN GRAN EMPRESA Concentrador 3060, 3080 Routers 7100, 7200 PIX 525, 535 MEDIANA EMPRESA Routers 7100, 3600, 3700 Concentrador 3030 PIX 515E Concentrador 3005, 3015 Routers 3600, 2600 1700 PEQUEÑA EMPRESA PIX 506E, 515E MERCADOSOHO Cliente VPN Cliente hardware 3002 Router 800 PIX 501

  48. Serie 3000 Serie de concentradores Cisco VPN 3000 Gestión basada en HTML/HTTPS

  49. Serie 3000

  50. Cliente Cisco VPN • Windows 9x, Me, XP, NT4.0 & 2000. Linux, Solaris y MAC OS X. • Interfaz personalizable • Administración centralizada de directivas • Firewall personal integrado (dinámico)

More Related