ccnp2 - 3 Ipsec Vpns

Download ccnp2 - 3 Ipsec Vpns

Post on 11-Jun-2015

2.967 views

Category:

Documents

2 download

Embed Size (px)

DESCRIPTION

Resumen del mdulo 3 de vpn del ccnp medio resumen medio traduccin

TRANSCRIPT

<p>3 IPsec VPNs3.1 Introducing VPN Technology 3.1.1 What is Needed to Build a VPN Una VPN es un concepto que describe cmo crear una red privada sobre la infraestructura de red pblica manteniendo la confidencialidad y seguridad. Las VPN utilizan protocolos de tunneling criptogrfico para dar autenticacin, integridad de los mensajes y confidencialidad, pretejiendo del sniffing de paquetes Claves: Encapsulacintambin referida a los tneles porque la encapsulacin transmite datos transparentemente de red a red a travs de una estructura de red compartida. Encriptacincodifica los datos en otro formato. Desencriptacin descodifica los datos en su formato original. 3.1.2 Overlay and Peer-to-Peer VPN Architecture Overlay VPNs Los proveedores de servicios son los usuarios ms comunes de las overlay vpn. El diseo y provisin de vc a travs del backbone es previo a cualquier flujo de trfico. En el caso de una red IP esto significa que a pesar de que la tecnologa subyacente es no orientada a conexin, requiere un enfoque orientado a conexin para poder dar el servicio. Incluye dos tipos: L2 Overlay VPNson independientes del protocolo de red utilizado por el cliente. L3 Overlay VPNsuelen usar una combinacin de tneles IP TO IP usando PPTP(Point to Point Tunneling Protocol), L2TP (Layer 2 Tunneling Protocol) e IPsec.</p> <p>CPE-Based VPN (Peer-To-Peer) Es otro nombre par alas L3 Overlay VPN. El cliente crea una VPN a travs de su conexin a Internet sin conocimiento del proveedor de servicios. El cliente gana en privacidad utilizando una conexin barata de Internet. SP-Provisioned VPN La introduccin de MPLS combina los beneficios de las Overlay VPN con los beneficios del routing simplificado de las Peer-To-Peer. MPLS VPN brinda un routing ms simple al cliente, ms simplicidad de la provisin del servicio y un nmero de topologas difciles de implementar en los otros tipos de VPN. Tambin aade los beneficios de una topologa orientada a conexin. 3.1.3 VPN Topologies</p> <p>Remote Access VPNdan al usuario remoto acceso a una intranet o extranet sobre una infraestructura compartida. Utilizan un nico Gateway vpn. El grupo negocia una conexin segura con el Gateway utilizando un software vpn que permite a los teletrabajadores comunicarse con su sede central y acceder a sus servidores. Se crean los tneles mediante IPsec, PPTP, L2TP y L2F. Reducen los costes de las largas distancias y ayudan a aumentar la productividad. Site-to-Site Intranet VPNune las oficinas centrales con las sedes remotas sobre una infraestructura compartida utilizando conexiones dedicadas. La intranet VPN se diferencian de las Extranet VPN en que las intranet permiten el acceso solo a trabajadores de confianza. Los usuarios a cada extremo del tnel pueden comunicarse con el resto como si la red fuera una nica red. Necesitan fuertes polticas de encriptada. Se suelen utilizar tneles IPsec o IPsec/GRE. Ofrecen reduccin de costes sobre las tradicionales lneas dedicadas. Site-To-Site Extranet VPNune a los clientes externos, Partners, etc a la red empresarial del cliente utilizando una infraestructura compartida con conexiones dedicadas. La diferencia con las intranet es que permiten el acceso a usuarios que son de fuera de la empresa. Utilizan firewalls junto con tneles vpn con lo que los Partners solo tienen acceso a los contenidos permitidos y no a toda la informacin corporativa.</p> <p>3.1.4 Characterstics of a Secure VPN Autenticacinasegura que el mensaje llega de una fuente vlida y llega a un destino vlido. La identificacin de usuarios brinda la funcin de que cada miembro de la comunicacin sepa exactamente con quin est hblando. Passwords, certificados digitales Data confidentialityuna de las inquietudes tradicionales de la seguridad es proteger los datos de fisgones. Como una caracterstica de diseo, la confidencialita de los datos hace que los contenidos del mensaje estn protegidos de ser interceptados por desconocidos. Data integritydesde que no hay control sobre la manera en que viajan los datos, siempre existe la posibilidad que los datos sean modificados. La integridad de los datos garantiza que no haya falsificaciones o alteraciones mientras la informacin viaja del origen al destino. One-way hash functions, message authentication codes (MAC), o firmas digitales. 3.1.5 VPN Security: Encapsulation Tunneling es la transmisin de datos a travs de la red publica pero los nodos de la red publica no son consientes de que la transmisin es parte de una red privada. Las vpn construyen tneles encapsulando la informacin de la red privada y la informacin de protocolos dentro del protocolo de red publico por lo que la informacin tunelada no esta disponible para que alguien la examine. Tunelling mete un paquete dentro de un paquete y manda ese paquete compuesto por la red. Tipos de protocolos usados: Carrier protocolel protocolo por el que viaja la informacin. ATM, FR, MPLS Encapsulating protocolel protocolo que envuelve la informacin original. GRE, IPsec, L2F, PPTP, L2TP. Passenger protocollos datos originales. 3.1.6 VPN Security: IPsec and GRE Cuando se usa slo, IPsec provee una red privada y fuerte para uso exclusivo con IP unicast. IPsec utilizado conjuntamente con GRE da soporte a multicast y protocolos IGP. Hay dos modos: Tunnel modeencripta el encabezado y la carga de cada paquete mientras que el modo transporte solo encripta la carga. Solo los sistemas que soportan IPsec pueden aprovechar las ventajas del transport mode. Adicionalmente todos los dispositivos deben usar una llave comn y los firewalls de cada red deben tener polticas parecidas. IPsec puede encriptar datos entre varios dispositivos, router a router, firewall a router, pc a router y pc a servidor. GRE cubre el encabezado ip y la carga de los paquetes con un encabezado GRE. Tunneling in Site-to-Site VPNs GRE da el marco de trabajo para empaquetar el protocolo pasajero para transporte sobre el protocolo portador. Este transporte incluye informacin de que tipo de paquete es encapsulado e informacin sobre la conexin entre el cliente y servidor. Pueden utilizar tambin IPsec en tnel mode como protocolo de encapsulacin. IPsec trabaja bien el las remote-access y las site-to-site. Tunneling: Remote-Access</p> <p>En las remote-access se suele utilizar PPP y sus protocolos asociados. Cuando la comunicacin es establecida sobre la red entre el host y el sistema remoto, PPP es el protocolo portador.</p> <p>L2FLayer 2 forwarding. Propietario de Cisco. Utiliza una autenticacin soportada por PPP. No soporta encriptacin. PPTPSoporta encriptacin de 40 y 128 bit y autenticacin soportada por PPP. L2TPCombinacin del L2F y el PPTP.</p> <p>3.1.7 VPN Security: Symmetric and Asymetric Encryption Algorithms Symmetric-key encryptionLa criptografa utiliza una clave secreta compartida, que es la misma para encriptar y desencriptar. Se utiliza generalmente para encriptar el contenido de un mensaje. DES, 3DES, AES Asymmetric EncryptionLa criptografa utiliza una clave pblica. Se utilizan claves diferentes para encriptar y desencriptar. Se suele utilizar en certificados digitales y administracin de claves. RSA</p> <p>3.1.8 Symmetric Encryption Algorithms Se pueden dividir en stream cyphers y block cyphers. Los primeros encriptan el mensaje bit a bit, mientras que los segundos encriptan el mensaje en bloques. DES Es un algoritmo que encripta por bloques. Encripta un bloque fijo de texto plano y lo transforma a travs de una serie de operaciones en otro bloque del mismo tamao. Tiene 2^64 combinaciones. DES simplemente reorganiza los bits de forma que se requiere la operacin inversa para decodificar los datos. Utiliza una clave para cambiar los datos, por lo que solo podrn utilizar esos datos quienes tengan esa clave. La clave consiste en 64 bits, pero solo 56 de esos bits se utilizan. 8 bits se utilizan solo para chequear la paridad. Se ha quedado obsoleto ya que no se considera seguro. Ha sido sustituido por 3DES aunque recientemente se ha sustituido tambin por AES. 3DES Utiliza tres veces DES (encripta, desencripta y encripta). 168 bits AES El tamao del bloque es de 128 bits y la contrasea es de 128, 192 o 256 bits. 3.1.9 Asymetric Encryption Se utilizan dos algoritmos para IPsec, DH y RSA. RSA autentica el dispositivo remoto mientras que DH intercambia las claves que se usan para encriptar. RSA es un algoritmo para encriptacin pblica. Su seguridad se basa en dos problemas matemticos: factorizar nmeros muy largos y el algoritmo RSA en si mismo. Las claves RSA suelen ser de 1024 o 2048 bits. DH combina las claves pblicas con las claves secretas. DH es un sistema de encriptacin publico que da la posibilidad a dos vecinos establecer una clave secreta que solo ellos conocen aunque los peers estn comunicndose a travs de un canal no seguro. Clave publicaintercambiada entre usuarios Clave privadaguardad bajo secreto por los propietarios</p> <p>3.1.10 Diffie-Hellman Key Exchange 3.1.11 Data Integrity One-way hash functionsgeneran un valor de salida de tamao fijo basndose en un archivo de tamao arbitrario. La idea es que es fcil calcular el hash de un fichero, pero matemticamente es difcil generar un fichero a partir de un hash. Para validar la integridad de un fichero, el receptor calcula un hash del fichero recibido y lo compara con el valor del hash recibido. MD5, SHA-1 y RIPE-MD-160 Message-authentication codes (MACs)aaden una clave a los hash. Un remitente crea un fichero, calcula una Mac basndose en una clave compartida con el receptor, y despus enva esa mac junto con el fichero. Cuando el receptor recibe la informacin, calcula una nueva MAC y la compara con la recibida. Digital signaturasesencialmente son claves pblicas. El remitente firma digitalmente un documento con su clave privada y el receptor puede verificar la firma usando la calve publica del remitente. 3.1.12 VPN Security: Autehntication Username and password One time password (OTP) (PIN/TAN) Biometric Pre-shared keys Digital Certificates AAAAuthentication, authorization and accounting</p> <p>3.2 Understanding IPsec Components and IPsec VPN Features 3.2.1 Ipsec Security Features IPsec provee de un mecanismo para la transmisin segura de datos sobre redes ip, asegurando confidencialidad, integridad y autenticidad de las comunicaciones de datos sobre redes desprotegidas. Data confidentialityAsegura la confidencialidad usando encriptacin. DES, 3DES y AES. Data Integrityasegura que los datos lleguen sin ser manipulados. Para esto utiliza hashes. HMAC (Hash-based Message Authentication Code) con funciones MD5 y SHA-1. Data origin authenticationel receptor puede autenticar el origen de un paquete IPsec. Esto permite asegurarse que la conexin se realiza con el compaero deseado. Anti-replayverifica que cada paquete es nico, no duplicado. Los paquetes IPsec se protegen comparando los nmeros de secuencia de los paquetes recibidos en una ventana deslizante en el host destino, o un servidor de seguridad. Los paquetes con nmeros de secuencia no validos se consideran tardos o duplicados y son descartados. 3.2.2 Ipsec Protocols and Headers El estndar IPsec provee de un mtodo para administrar la autenticacin y la proteccin de datos entre pares. El remitente define qu paquetes necesitan proteccin y sern enviados por los tneles, tambin los parmetros que son necesarios para proteger esos paquetes. Los tneles son conjuntos de Security Associatons establecidas entre dos pares IPsec. Las SA definen qu protocolos y algoritmos debern ser aplicados a la informacin sensible as como las claves necesarias a aplicar. IKEbrinda un entorno de trabajo para la negociacin de los parmetros de seguridad y establecimiento de claves de autenticacin. IPsec utiliza algoritmos de encriptacin simtricos para la proteccin de datos, que son ms eficientes que otros tipos de algoritmos. AHIP Authentication Header. Brinda integridad y autenticacin de origen (sin conexin), de datagramas y proteccin frente a repeticiones. En DESUSO. ESPEncapsulating Security Payload. Brinda un entorno de trabajo para encriptar, autenticar y asegurar los datos. Da servicio de privacidad de datos, autenticacin y anti repeticiones.</p> <p>3.2.3 Internet Key Exchange Para implementar soluciones VPN con encriptacin, es necesario cambiar peridicamente las claves de encriptacin. Fallos en los cambios de las claves hacen a la red ser susceptible de ataques de fuerza bruta. IPsec resuelve el problema con IKE, que utiliza otros dos protocolos para autenticar a los pares y generar las claves. IKE utiliza DH para generar claves simtricas. Tambin gestiona la negociacin de otros parmetros de seguridad, como los datos a proteger, fuerza de las claves, los mtodos de hash y proteccin contra replays. Utiliza el UDP 500. IKE negocia las SA, que son acuerdos entre dos peers en un intercambio IPsec, y consiste en todos los parmetros requeridos para establecer una comunicacin satisfactoria. Funciones IKE: Negociacin de las caractersticas de las SA</p> <p>Generacin automtica e las claves Refresco automtico de las claves Configuracin manual razonable</p> <p>Las SA requieren: Internet Security Association and Key Management Protocol (ISAKMP)es un protocolo que define los mecanismos para implementar IKE y negociar las polticas de seguridad. ISAKMP se puede implementar sobre cualquier protocolo de transporte. SKEMEes un protocolo de intercambio de claves que define como derivar material de claves de autenticacin con un refresco rpido de claves. OAKLEYun protocolo de intercambio de claves que define con adquirir las claves de autenticacin. El mecanismo bsico es el algoritmo DH. IKE negocia automticamente las SA IPsec y establece comunicaciones IPsec seguras sin configuracin manual previa. Incluye estas caractersticas: Elimina la necesidad de especificar manualmente todos los parmetros de seguridad en los dos peers Permite especificar un tiempo de vida para las SA IPsec</p> <p>Permite el cambio de las claves durante las sesiones IPsec Permite soporte a las Certification Authority para hacer escalable la implementacin Permite autenticacin dinmica a los peers</p> <p>3.2.4 IKE Phases and Modes IKE fase 1Es la negociacin inicial de las SAs entre dos peers IPsec, puede incluir autenticacin. Esta conversacin entre dos peers puede ser susceptible de espionaje sin comprometer significativamente el intercambio de claves. Las SAs de fase uno son bidireccionales, los datos pueden ser enviados y recibidos usando las mismas claves generadas. Ocurre en dos modos: modo principal y modo agresivo. IKE fase 1.5 (opcional)a fin de autenticar a los participantes clientes de la VPN, se puede utilizar un protocolo llamado Extender Authenticaton (Xauth), que provee autenticacin de usuarios en los tneles IPsec dentro del protocolo IKE. Adicionalmente se pueden intercambiar otros parmetros entre los peers, DNS, IP address IKE fase 2Esta fase la negocia el ISAKMP. Como las SA que son utilizadas por IPsec son unidireccionales, se necesitan claves separadas para los diferentes flujos. Los dos peers estn entonces de acuerdo en los transform sets, ha...</p>

Recommended

View more >