VPN PDF

Redes Privadas Virtuales (VPN)
Introduccin
Situado por debajo de TCP/UDP. Ofrece servicios de seguridad transparente al usuario e independiente de la aplicacin. Implementado en router o Firewall ofrece seguridad en el acceso a la red que delimita dicho dispositivo. Puede ofrecer seguridad para un flujo concreto de un determinado usuario.
Tema 8. Redes Privadas Virtuales

Seguridad en Internet
B. Alarcos, E. de la Hoz
Introduccin
Una Red Privada Virual (VPN - Virtual Private Network) es una red IP privada y segura que pasa a travs de otra red IP pblica y no segura (normalmente Internet). Antes de la irrupcin de las VPNs las empresas contrataban caros circuitos dedicados entre sus sedes.
Al ser los circuitos dedicados se garantizaba la privacidad y la seguridad.
Con el crecimiento de Internet (en cuanto a BW y QoS) se plante realizar esas comunicaciones empleando dicha red.
Redes Privadas Virtuales

Si creamos una red privada sobre Internet:
Nuestro trfico emplear los mismos recursos que el resto de los usuarios as que no ser una red privada en el sentido de enlaces dedicados. Se consigue el efecto de red privada mediante el encapsulamiento y el cifrado. Por ello, se dice que son redes privadas pero VIRTUALES.

Caractersticas de las VPN

Una red privada virtual debe proporcionar:
Confidencialidad Autenticidad Integridad
Para proporcionar las caractersticas anteriores los paquetes se encapsulan y se cifran y autentican (firma digital, MAC).

Tipos de VPNS
VPN Seguras:
Emplean protocolos para la creacin de tneles criptogrficos para proporcionar confidencialidad, autenticacin e integridad de mensajes Implementacin compleja que lleva a que algunas de las tecnologas de VPN sean inseguras. Tecnologas:
IPSec PPTP (Microsoft) L2TP (Microsoft y CISCO) L2TPv3

Tipos de VPNs
VPNs de confianza:
No emplean protocolos criptogrficos Confan en la capacidad que tiene la red un proveedor para protoger nuestro trfico. Protocolos:
MPLS L2F (Layer 2 Forwarding) desarrollado por Cisco.

Tipos de VPN
En funcin de las arquitecturas de conexin podemos distinguir:
Acceso remoto: Punto a punto Interna

VPN de acceso remoto

Es, quiz, el modelo ms usado actualmente Usuarios o proveedores que se conectan con la empresa desde sitios remotos (domicilios, hotel, aviones, etc.) utilizando Internet como vnculo de acceso Se autentican y consiguen un nivel de acceso similar al que tienen en la red local de la empresa. Permite reemplazar la infraestructura de acceso por marcado (mdem y lneas telefnicas)
Ejemplo: Acceso remoto seguro a la Universidad de Cantabria: http://www.unican.es/WebUC/Unidades/SdeI/servicios/so porte/guias/acceso_remoto/acceso_vpn.htm
Seguridad en Internet B. Alarcos, E. de la Hoz
Ejemplo: VPN Acceso Remoto

VPN punto a punto

Sirve para conectar oficinas remotas con la sede de la organizacin El servidor VPN (en la sede principal) acepta las conexiones va Internet provenientes de los sitios y establece el tnel VPN Los servidores de las sucursales se conectan a Internet utilizando los servicios de su ISP Permite eliminar el coste de los enlaces punto a punto tradicionales A los clientes a veces se les denomina Road Warriors
VPN interna
El menos difundido de los tres. Es una variante del tipo acceso remoto pero en vez de utilizar Internet como medio de conexin emplea la propia LAN Permite aislar zonas y servicios de la red interna Es muy empleado para mejorar las prestaciones de seguridad de las redes WiFi
Wifi en la UCLM: http://alumnos.uclm.es/wifi/config.htm

Ejemplo VPN interna

Protocolo PPTP
Definido en el RFC 2637 pero no reconocido como estndar por el IETF Es una extensin de PPP. Encapsula paquetes PPP en datagramas IP para su transmisin bajo redes basadas en TCP/IP Suele involucrar tres actores:
Un cliente PPTP Un servidor de acceso de red (NAS) Un servidor PPTP

Funcionamiento PPTP
Un cliente quiere acceder a una red privada El cliente se conecta va PPP a su ISP. Empleando esta conexin encapsula paquetes PPP en datagramas IP y los enva al servidor PPTP que da acceso a la red privada de la compaa. sta ltima es la fase de tnel Gracias al tnel podemos acceder desde fuera a la red privada puesto que el cliente PPTP enruta esos paquetes hacia el tnel y el servidor PPTP lo enruta hacia su destinatario final
Funcionamiento PPTP(II)
El servidor PPTP procesa el paquete PPTP para obtener la direccin del destino que est encapsulada en el paquete PPP El paquete PP puede contener datos TCP/IP El protocolo PPTP encapsula el paquete PPP comprimido y cifrado en datagramas IP para la transmisin por Internet Son descifrados antes de entregarlo a la red destino

Seguridad PPTP
La autenticacin inicial puede ser la requerida por un ISP de acceso a la red. Adems los clientes tendrn que autenticarse ante el servidor PPTP Para ello emplean los mtodos de autentificacin PPP de Microsoft: MS-CHAP y MS-CHAPv2 El cifrado emplea un mecanismo de derivacin de claves a partir de secretos compartidos Con esta clave ciframos todos los datos intercambiados entre el servidor PPTP y el cliente El protocolo para cifrar los paquetes se llama MPPE y emplea el algoritmo RC4 de hasta 128 bits de clave.
Seguridad PPTP
La seguridad de PPTP ha sido completamente rota Se recomienda retirar o actualizar a otra tecnologa de VPN Podemos encontrar un anlisis de los problemas de seguridad en:
http://www.schneier.com/pptp.html

L2TP
Protocolo desarrollado por el IETF combinando PPTP y L2F (protocolo de tneles a nivel 2 desarrollado por Cisco) (RFC 2661) Permite crear tneles de nivel 2 sobre UDP
Podemos encapsular PPP ethernet
Los clientes pueden recibir fcilmente una IP interna No proporciona carctersticas de seguridad por lo que se suele utilizar para crear VPNs sobre tneles IPSec (L2TP/IPSec 3193)
Se establece una asociacin de seguridad con ESP en modo transporte Se tuneliza el trfico empleando L2TP
Tneles basados en SSL

Aunque se emplea SSL para crear tneles no existe un estndar especfico sino que hay distintas implementaciones que funcionan bastante bien Muy sencilla de configurar e implantar:
Evitamos problemas con cortafuegos
Una de las implementaciones ms extendidas es OpenVPN

Para windows, Linux y Mac Os

OpenVPN
Permite establecer tneles de nivel 2 o 3 sobre UDP (recomendado) o TCP Permite realizar balanceo de carga entre servidores Confidencialidad, autenticidad e integridad usando SSL (en concreto, la implementacin OpenSSL) Emplea interfaces tun o tap
Son conexiones punto a punto para el SO Un programa puede abrir la interfaz tun y leer y escribir paquetes IP en la interfaz La interfaz tap es similar pero a nivel Ethernet.

Introduccin
Componentes de la arquitectura general:
IPSEC (RFC 2401): Arquitectura. AH (RFC 2402): Authentication Header. ESP (RFC2406): Encapsulating Security Payload. IKE (RFC2409): Negociacin de parmetros y claves.
Servicios:

ISAKMP (RFC2408): gestiona la negociacin de conexiones y define sus propiedades mediante asociaciones de seguridad (SA). IPSEC DOI for ISAKMP (RFC2407): especfiica detalles de implementacin para aplicar ISAKMP. IKE (RFC2409): protocolo de intercambio de clave basado en Diffie-Hellman.
Control de acceso. Integridad no orientada a conexin. Autenticacin de origen. Proteccin contra repeticin de paquetes. Confidencialidad. Confidencialidad de flujo de trfico (limitada).

Componentes de la documentacin
Arquitectura
Protocolo ESP
Protocolo AH
Algoritmos de cifrado
Algoritmos de autenticacin
DOI Key Management

Asociacin
Asociacin de seguridad (SA): relacin de seguridad entre un emisor y receptor que aporta servicios de seguridad en el trfico. Un SA para cada sentido de la comunicacin. SA puede soportar AH o ESP.
AH: Control de acceso, integridad no orientada a conexin, autenticacin, antirepeticin. Algunos autores (Scheneier) discuten la utilidad de este protocolo y de hecho la implementacin de IPSec en Linux no lo soporta. ESP:
A c r o b a t D o c u m e n t
Parmetros que identifican una SA de forma nica:
Slo cifrado: control de acceso, anti-repeticin, confidencialidad, confidencialidad de flujo de trfico. No recomendado por seguridad. Con autenticacin: aade integridad y autenticacin.
Security parameter Index (SPI): secuencia de bits con significado local que va en la cabecera ESP o AH y permite seleccionar al SA en el receptor. Direccin IP destino: unicast, sistema final (host, router. firewall) o red. Security Protocol Identifier: indica si la asociacin es AH o ESP.
SPI
IPdest
Protocol Identifier
Parmetros asociados a los SAs

Contenido de la base de datos de SAs (SPD) de cada implementacin IPsec.
Nmero de secuencia (32 bits) Indicador de rebose del contador de nmero de secuencia. Ventana anti-repeticin: para saber si un paquete que llega es repetido. Informacin AH: algoritmo de autenticacin, clave, tiempo de vida. Informacin ESP: algoritmos de cifrado y autenticacin, claves, valores de inicializacin, tiempo de vida de las claves.. Tiempo de vida asignado al SA en segundos o bytes transmitidos. Modo del protocolo IPSec: tnel, transporte MTU del camino.

Security Policy Database SPD

Define la polticas de seguridad del trfico saliente. Tabla con varias filas; cada una contiene:
Selector: direcciones IP y valores de protocolos de niveles superiores. SA
Comportamiento ante la llegada de un paquete (saliente):

Se comprueba si cumple selectores de las filas y los SA a los que hace referencia. Determina el SA y su SPI (Security Parameters Index) asociado. Realiza el proceso requerido (AH, ESP...).

Campos que puede llevar el selector

Dir IP de destino o rango Dir IP de fuente o rango UserID del sistema operativo en el que est corriendo IPSec (disponible si el usuario se encuentra en el sistema con IPsec) Nivel de sensibilidad del dato (secret, unclassified) Protocolo de transporte Protocolo IPSec: AH o ESP o AH/ESP Puertos (TCP/UDP) fuente y destino IPv6 Class IPv6 etiqueta de flujo IPv4 TOS
Modos de uso
Modo Transporte:
Provee proteccin de los niveles superiores (payload de IP). Se utiliza en comunicaciones extremo a extremo entre hosts. ESP cifra y opcionalmente autentica el campo de datos de IP. AH autentica campo de datos de IP y parte de la cabecera.

Modos de uso
Modo Tnel:
Provee proteccin del paquete IP completo. Se trata criptogrficamente un paquete entero con cabecera IP y de seguridad. Se aade un cabecera IP exterior. Los routers no tienen acceso a la cabecera interior. La cabecera exterior puede tener direcciones fuente y destino diferentes a la interior (encapsulada). Se utiliza entre extremos SA que son routers o firewalls con IPSec. Los hosts detrs del firewall pueden implementar comunicaciones seguras sin tener IPSec (su firewall implementa el tnel seguro con el firewall de la red de destino). ESP cifra y opcionalmente autentica el paquete IP interno. AH autentica el paquete IP interno y parte de la cabecera IP externa.
AH - Cabecera de autenticacin
Tiene los siguientes campos:
Next header (8 bits): identifica tipo de cabecera que sigue. Payload Length (8 bits): Long de AH menos 2, en palabras de 32 bits. Reservado (16 bits): para usos futuros. Security Parameter Index SPI (32 bits): identifica una SA. Sequence Number (32 bits): valor de un contador monotnicamente creciente. Datos de Autenticacin: un campo con longitud variable mltiplo de 32 bits (96 bits por defecto) que contiene el valor de chequeo de integridad ICV.
NH8 PL8 Reservado16 SPI32 Authentication Datavariable SN32

AH - Proteccin contra rplica de mensajes

Se utiliza un contador de 32 bits que se incrementa antes de enviar un mensaje y pone su valor en Sequence Number. Si alcanza el valor final 232, hay que negociar un nuevo SA y clave. IP no garantiza llegada en orden ni ausencia de prdidas. El procedimiento usado por AH es:
El receptor implementa una ventana deslizante W=64 (por defecto), tamao fijo. Se comprueba la autenticacin de todos los paquetes recibidos. Paquetes a la izquierda de la ventana se descartan, evento auditable. Paquetes dentro de ventana o a la derecha se aceptan y se marca como recibido el bit correspondiente. Avance de la ventana: paquetes a la derecha hacen deslizar el borde derecho de la ventana hasta ese nmero.
AH - Integrity Check Value ICV

Es un MAC. Se utiliza el algoritmo HMAC con MD5 o SHA.
HMAC-MD5-96 HMAC-SHA-1-96
Del valor resultante se cogen los primeros 96 bits (long por defecto del campo de autenticacin). El MAC se calcula sobre:
Cabecera IP con los campos que no cambian de valor en el recorrido o cuyo valor de llegada es predecible (dir Ip destino), el resto de campos se pone a cero (TTL, Checksum o etiqueta de flujo en IPv6). Cabecera AH con el campo de autenticacin puesto a cero. El resto de cabeceras de alto nivel y datos.

AH - Ejemplos de implementacin
Ejemplo con protocolo TCP Modo transporte. Orden de las cabeceras.
IPv4: IP+AH+TCP+datos IPv6: IP+ext1+AH+ext2+TCP+datos
ext1: salto-a-salto, destino, routing, fragment ext2: destino (esta extensin puede ir despus de AH)
Modo tnel. Orden de las cabeceras.

IPv4: IPnueva+AH+IPoriginal+TCP+datos IPv6:IP nuevo+ext+AH+IP original+ext+TCP+datos

ESP- Encapsulating Security Payload

Formato.
Security Parameters Index SPI (32 bits): identifica SA. Sequence number (32 bits): para funcin anti-repeticin. Payload data: datos protegidos nivel de transporte o IP ( modo tnel). Padding (0-255 bytes): requerido por varios motivos:
Requisitos del algoritmo de cifrado sobre longitud de datos. ESP requiere alineacin a 32 bits de los campos: datos, pad length y next header. Puede ser requerido para aportar confidencialidad de flujo de trfico (basura de relleno).
Pad length (8 bits): longitud del campo relleno. Next Header (8 bits): tipo de cabecera a continuacin. Authentication data (variable): nmero de palabras de 32 bits que contiene ICV calculado sobre el paquete ESP menos el campo de autenticacin de datos (este mismo).
ESP - Algoritmos
Cifra los campos en el rango [Payload Data-Next Header].
Utiliza DES en modo CBC (cipher block chaining) Otros algoritmos soportados.
Triple DES con tres claves. RC5. Triple IDEA con tres claves. CAST Blowfish.
Autentica campos en el rango [SPI - Next Header].

Utiliza el algoritmo HMAC con MD5 o SHA.
HMAC-MD5-96 HMAC-SHA-1-96

ESP - Ejemplos de implementacin

Modo transporte: entre hosts finales. IPv4 IPv6
orig IP hdr ESP hdr TCP Data ESP trlr ESP auth
cifrado autenticado
orig IP hdr ext ESP hdrc Dest TCP Data ESP trlr ESP auth
cifrado autenticado
Modo tnel: estableciendo una red privada virtual con tneles entre redes corporativas. New IP hdr ESP hdr orig IP hdr TCP Data ESP trlr ESP auth IPv4
cifrado autenticado
IPv6
New IP hdr ext ESP hdrc orig IP hdr ext
TCP
Data
ESP trlr ESP auth
cifrado autenticado
ESP - Ejemplos de implementacin

sesin TCP cifrada
red interna
red externa
Modo transporte
red corporativa red corporativa
Internet
red corporativa red corporativa
tnel transportando trfico IP cifrado
Modo tnel: Red Privada Virtual

Gestin de claves
Distribucin de claves secretas. Normalmente son necesarias 4 claves para comunicacin entre dos aplicaciones: transmite y recibe en modos ESP y AH. Tipos de gestin:
Manual: ambientes pequeos y estticos. Automtica: generacin de claves bajo demanda y distribucin.
Protocolo de gestin automtica de claves: ISAKMP/IKE:

IKE: protocolo de intercambio de clave. ISAKMP: Internet Security Association and Key Management Protocol. Proporciona un entorno para gestin de clave Internet, define el formato de mensajes para intercambio de clave, pero no define el algoritmo de intercambio de claves aunque s dice los requisitos que debe cumplir. IKE es un algoritmo de intercambio de clave que satisface dichos requisitos.
ISAKMP
Define procedimientos y formatos de paquete para operar sobre SA (operaciones para establecer, negociar, modificar o borrar SAs). Debe soportar el uso de UDP como protocolo de transporte. La PDU puede estar formada por:
Una cabecera. Uno o ms campos de datos (payload). Hay 12 tipos de campos:
Todos los campos tienen una cabecera genrica de 32 bits:
Next payload (8): 0 (ltima); otro valor (tipo de siguiente). Reserved (8): reservado. Payload Length (16): en octetos, incluye la cabecera.

Cabecera ISAKMP
Initiator Cookie (64): cookie de la entidad que inicia establecimiento, borrado o modificacin de SA. Responder Cookie (64): cookie de entidad que responde. Nulo en el primer mensaje. Next payload(8): tipo del primer campo de datos. Major version (4): mayor versin de ISAKMP en uso. Minor version (4): menor versin de ISAKMP en uso. Exchange type (8): tipo de intercambio. Flags (8): hay definidos dos bits.
Message ID (32): identificador nico para este mensaje. Length(32): longitud del mensaje completo en octetos.
Encryption: si todo el campo de datos es cifrado. Commit: asegura que no se enva cosas cifradas antes de completar el establecimiento. Authetication: informacin con integridad pero no cifrado.
ISAKMP: tipos de payload

SA: negocia atributos de seguridad, indica DOI y ambiente. Proposal: fase de negociacin, protocolo y n de transformaciones. Transform: fase de negociacin, transformacin y atributos usados. Key Exchange: soporta varias de tcnicas de intercambio de clave. Identification: intercambio de informacin de identificacin. Certificate: transporte de certificados y otra informacin relativa. Certificate Request: pide certificado, tipo de certificado y CA aceptadas. Hash: contenedor de datos generados por una funcin hash. Signature: contenedor de datos generados por una funcin de firma. Nonce: contenedor de un reto (n aleatorio de un slo uso). Notification: datos de notificacin como:
errores (hay una lista definida). notificaciones especficas DOI (mensajes de estado).
Delete: indica que un SA ya no es vlida.

ISAKMP: tipos de intercambios

Intercambio Base: intercambio de autenticacin con intercambio de clave. Minimiza mensajes (4) pero no provee proteccin de identidad. Intercambio de proteccin de identificacin: expande el anterior (6 mensajes) aportando proteccin de identidad. Intercambio de slo autorizacin: intercambio de autenticacin mutua sin intercambio de clave. Tres mensajes. Intercambio agresivo: minimiza n de mensajes, no provee proteccin de identidad. Intercambio de informacin: usado para transmitir informacin en un sentido.

IKE
Como hemos dicho ISAKMP estableca los requisitos que deba cumplir un protocolo de intercambio de claves en IPSec y defina el formato de paquetes que deba utilizar pero no especificaba ninguno en concreto. IKE es un protocolo de intercambio de claves que cumple los requisitos establecidos por ISAKMP. IKE funciona en dos fases. En la primera los dos interlocutores IKE establecen un canal seguro (que se llama ISAKMP SA) por donde realizarn el resto de la negociacin. En la segunda fase negocian y establecen el SA para la conexin, utilizando el ISAKMP SA. Un interlocutor IKE es cualquier ordenador con IPSec instalado, capaz de establecer canales IKE y negociar SAs. Puede ser cualquier ordenador de sobremesa, porttil, etc.., o puede ser un nodo especial de acceso IPSec, que se llaman Security Gateways o IPSec Gateways.

IKE: Modos de funcionamiento

El IKE proporciona dos modos (en realidad tres) para intercambiar informacin de claves y establecer SAs:
Main Mode: para realizar una primera fase donde se establecer una asociacin de seguridad BIDIRECCIONAL denominada ISAKMP SA mediante la cual llevar a cabo el resto de la negociacin. Quick Mode: para, utilizando la ISAKMP SA negociada en la primera fase, negociar una SA de propsito general que ser utilizada durante la conexin. El tercer modo llamado Agressive Mode sirve para realizar tambin el establecimiento de una ISAKMP SA pero utilizando menos mensajes (slo 3 frente a los 5 de Main Mode) Se arranca una conexin ISAKMP SA usando el Main Mode (o el Agressive Mode) Se utiliza el Quick Mode para negociar una SA utilizando el IKESA establecido Se utilizan los mtodos, algoritmos y claves establecidos en el SA para la transmisin de datos entre los dos puntos, hasta que el SA expira.
El proceso general de una conexin IPSec es el siguiente:

Main mode. Inicio de una conexin

En 1 y 2 intercambian (acuerdan) un SA para la conexin. En 3 y 4 intercambian los datos para la generacin de una clave secreta compartida por el mtodo de Diffie Hellman. En 5 y 6 verifican sus identidades mediante certificados firmados por CAs reconocidas (Autentican el intercambio de DiffieHellmann anterior)

Quick mode.
Es menos estricto que Main mode, ya que todos los datos viajan encriptados por el tnel del Main Mode. Cada paquete viene precedido de un hash firmado del resto del contenido, para asegurar la integridad. El iniciador propone un SA y el interlocutor lo acepta o propone otro ms genrico. Tambin se puede negociar opcionalmente una nueva clave utilizando Diffie-Hellmann (key). El iniciador enva una semilla (nonce) para el intercambio, el interlocutor le enva a su vez la suya y le devuelve la primera hasheada y firmada en el hash de cabecera como prueba de aceptacin. El iniciador devuelve un hash firmado de las dos semillas y finaliza el intercambio. A continuacin los dos calculan el SPI aplicando un hash a la concatenacin de las dos semillas, y la clave de intercambio aplicando el hash al SPI seguido de los parmetros de la SA acordada.

Configuracin de un modo tnel entre dos redes (Kernel 2.6)
#!setkey -f # Flush the SAD and SPD flush; spdflush; # ESP SAs doing encryption using 192 bit long keys (168 + 24 parity) # and authentication using 128 bit long keys add 192.168.1.100 192.168.2.100 esp 0x201 -m tunnel -E 3des-cbc 0x7aeaca3f87d060a12f4a4487d5a5c3355920fae69a96c831 -A hmac-md5 0xc0291ff014dccdd03874d9e8e4cdf3e6; add 192.168.2.100 192.168.1.100 esp 0x301 -m tunnel -E 3des-cbc \ 0xf6ddb555acfd9d77b03ea3843f2653255afe8eb5573965df \ -A hmac-md5 0x96358c90783bbfa3d7b196ceabe0536b; # Security policies spdadd 172.16.1.0/24 172.16.2.0/24 any -P out ipsec esp/tunnel/192.168.1.100192.168.2.100/require; spdadd 172.16.2.0/24 172.16.1.0/24 any -P in ipsec esp/tunnel/192.168.2.100192.168.1.100/require;

Bibliografa S.Kent, R.Atkinson. Security Architecture for the Internet Protocol. RFC 2401 S.Kent, R.Atkinson. IP Authentication Header. RFC 2402 S.Kent, R.Atkinson. IP Encapsulating Security Payload (ESP). RFC 2406 D. Maughan, M. Schertler, M. Schneider, J. Turner Internet Security Association and Key Management Protocol (ISAKMP) . RFC 2408 D. Harkins, D. Carrel. The Internet Key Exchange (IKE). RFC 2409

VPN PDF

Caricato da

Informazioni sul documento

Titolo originale

Copyright

Formati disponibili

Condividi questo documento

Condividi o incorpora il documento

Opzioni di condivisione

Hai trovato utile questo documento?

Questo contenuto è inappropriato?

Copyright:

Formati disponibili

VPN PDF

Caricato da

Copyright:

Formati disponibili

Redes Privadas Virtuales (VPN)

Tema 8. Redes Privadas Virtuales

Redes Privadas Virtuales

Tema 8. Redes Privadas Virtuales

Caractersticas de las VPN

Tema 8. Redes Privadas Virtuales

Tema 8. Redes Privadas Virtuales

Tema 8. Redes Privadas Virtuales

Tema 8. Redes Privadas Virtuales

VPN de acceso remoto

Ejemplo: VPN Acceso Remoto

Tema 8. Redes Privadas Virtuales

VPN punto a punto

Tema 8. Redes Privadas Virtuales

Ejemplo VPN interna

Tema 8. Redes Privadas Virtuales

Tema 8. Redes Privadas Virtuales

Tema 8. Redes Privadas Virtuales

Tema 8. Redes Privadas Virtuales

Tneles basados en SSL

Una de las implementaciones ms extendidas es OpenVPN

Tema 8. Redes Privadas Virtuales

Tema 8. Redes Privadas Virtuales

Tema 8. Redes Privadas Virtuales

DOI Key Management

Parmetros que identifican una SA de forma nica:

Tema 8. Redes Privadas Virtuales

Parmetros asociados a los SAs

Tema 8. Redes Privadas Virtuales

Security Policy Database SPD

Comportamiento ante la llegada de un paquete (saliente):

Tema 8. Redes Privadas Virtuales

Campos que puede llevar el selector

Tema 8. Redes Privadas Virtuales

Tema 8. Redes Privadas Virtuales

AH - Proteccin contra rplica de mensajes

AH - Integrity Check Value ICV

Tema 8. Redes Privadas Virtuales

Modo tnel. Orden de las cabeceras.

Tema 8. Redes Privadas Virtuales

ESP- Encapsulating Security Payload

Autentica campos en el rango [SPI - Next Header].

Tema 8. Redes Privadas Virtuales

ESP - Ejemplos de implementacin

New IP hdr ext ESP hdrc orig IP hdr ext

ESP trlr ESP auth

ESP - Ejemplos de implementacin

red corporativa red corporativa

tnel transportando trfico IP cifrado

Modo tnel: Red Privada Virtual

Protocolo de gestin automtica de claves: ISAKMP/IKE:

Tema 8. Redes Privadas Virtuales

ISAKMP: tipos de payload

Delete: indica que un SA ya no es vlida.

ISAKMP: tipos de intercambios

Tema 8. Redes Privadas Virtuales

Tema 8. Redes Privadas Virtuales

IKE: Modos de funcionamiento

El proceso general de una conexin IPSec es el siguiente:

Tema 8. Redes Privadas Virtuales

Main mode. Inicio de una conexin

Tema 8. Redes Privadas Virtuales

Tema 8. Redes Privadas Virtuales