Protocolos seguros
Páginas: 5 (1021 palabras)
Publicado: 5 de abril de 2011
Seguridad en Redes Protocolos Seguros
junio de 2009
Protocolos Seguros
Índice
• ¿Dónde situar la seguridad? Podría ser en varias capas… Lo veremos con algunos ejemplos.
– – – – En la capa de Enlace: Seguridad inalámbrica. WEP y WPA En la capa de Red: IPSec En la capa de Transporte: SSL (TLS) En la capa de Aplciación: PGP
• Resumen.
junio de 2009
2
1
Protocolos SegurosSeguridad: ¿Dónde?(I)
Cámara Aplicación que cifra Micrófono Datos cifrados Aplicación que descifra Monitor Altavoz
Capa de Transporte
Protocolo de transporte
Capa de Transporte
Cámara Aplicación Micrófono a Capa de Transporte Datos sin cifrar Protocolo de transporte con cifrado de datos Capa de Transporte Aplicación
Monitor Altavoz
junio de 2009
3
Protocolos SegurosSeguridad: ¿Dónde? (y II)
SEDE A de la empresa Datos sin cifrar Red IP interna Capa IP Red IP Pública (insegura) Túnel IP seguro (datos cifrados) Router con IPsec Router con IPsec SEDE B de la empresa Datos sin cifrar Capa IP Red IP interna Capa IPsec Capa IP Capa IPsec Capa IP
Nodo A Módem Datos sin cifrar
RED TELEFÓNICA Módem
Nodo B
Datos sin cifrar
Datos cifrados
junio de 20094
2
Protocolos Seguros Seguridad inalámbrica
• Problema: La seguridad perimétrica no protege aquello que no está dentro del perímetro. Si existen nodos inalámbricos el aparcamiento no está protegido. • 802.11 definió WEP (Wired Equivalent Privacy) para proporcionar seguridad a nivel de enlace. Desafortunadamente es muy inseguro.
IV de 24 bits. Se repiten aprox. cada 5000 paquetes.junio de 2009
5
Protocolos Seguros
Wi-Fi Protected Access (WPA)
• Puede funcionar con un servidor de autentificación (RADIUS, generalmente) que distribuye claves diferentes a cada usuario o en modo de clave precompartida: PSK (pre-shared key). Utiliza RC-4, al igual que WEP. • Implementa un protocolo de Integridad de Clave Temporal (TKIP – Temporal Key Integrity Protocol) que cambialas claves de 128 bits dinámicamente. • Aumenta el tamaño del IV a 48 bits. Mejora el mecanismo de CRC y contador de tramas para evitar ataques de repetición. • WPA2 se basa en 802.11i e incluye el algoritmo AES (Rijndael) para cifrado.
junio de 2009
6
3
Protocolos Seguros IPsec (RFCs 2401, 2402 y 2406 entre otros).
• Problema: Hubo años de batallas dentro de la IETF para determinardónde colocar la seguridad de canal. La solución de compromiso fue incorporarla en la capa de red opcionalmente ya que podía aliviar el problema sin estorbar demasiado. • El resultado fue llamado IPsec, conjunto de protocolos para establecimiento de claves autentificación y encriptación de los paquetes IP en un flujo de datos. • Opera en la capa de Red del modelo OSI y se utiliza también en IPv6. Esindependiente de los algoritmos utilizados. • La arquitectura IPsec utiliza el concepto de asociación de seguridad (SA) que identifica los algoritmos y parámetros utilizados.
junio de 2009
7
Protocolos Seguros IPsec: Detalles Técnicos
• Intercambio de claves: ISAKMP/IKE (RFC 2408/2409), Internet Security Association and Key Management Protocol/Internet Key Exchange, basado enDiffieHellman. Utiliza UDP en el puerto 500 para establecer la SA negociando opciones e intercambiar una clave de sesión. Comprometido recientemente, se trabaja en la versión 2 (RFC 4306). • Encabezado de Autentificación (AH)
– Proporciona integridad de los datos y autentificación pero no confidencialidad.
• Carga Útil de Encabezamiento de Seguridad (ESP)
– Proporciona integridad, autentificación yconfidencialidad. Acabará por sustituir totalmente a AH, ya que puede funcionar sin cifrado.
junio de 2009
8
4
Protocolos Seguros
Autentication Header (AH)
Cabecera IP AH Cabecera TCP Carga útil y relleno
Cabecera Sgte
Long. Carga Número de secuencia
Reservado
Índice de parámetros de seguridad
Datos de autentificación (HMAC) 32 bits
junio de 2009 9
Protocolos...
junio de 2009
Protocolos Seguros
Índice
• ¿Dónde situar la seguridad? Podría ser en varias capas… Lo veremos con algunos ejemplos.
– – – – En la capa de Enlace: Seguridad inalámbrica. WEP y WPA En la capa de Red: IPSec En la capa de Transporte: SSL (TLS) En la capa de Aplciación: PGP
• Resumen.
junio de 2009
2
1
Protocolos SegurosSeguridad: ¿Dónde?(I)
Cámara Aplicación que cifra Micrófono Datos cifrados Aplicación que descifra Monitor Altavoz
Capa de Transporte
Protocolo de transporte
Capa de Transporte
Cámara Aplicación Micrófono a Capa de Transporte Datos sin cifrar Protocolo de transporte con cifrado de datos Capa de Transporte Aplicación
Monitor Altavoz
junio de 2009
3
Protocolos SegurosSeguridad: ¿Dónde? (y II)
SEDE A de la empresa Datos sin cifrar Red IP interna Capa IP Red IP Pública (insegura) Túnel IP seguro (datos cifrados) Router con IPsec Router con IPsec SEDE B de la empresa Datos sin cifrar Capa IP Red IP interna Capa IPsec Capa IP Capa IPsec Capa IP
Nodo A Módem Datos sin cifrar
RED TELEFÓNICA Módem
Nodo B
Datos sin cifrar
Datos cifrados
junio de 20094
2
Protocolos Seguros Seguridad inalámbrica
• Problema: La seguridad perimétrica no protege aquello que no está dentro del perímetro. Si existen nodos inalámbricos el aparcamiento no está protegido. • 802.11 definió WEP (Wired Equivalent Privacy) para proporcionar seguridad a nivel de enlace. Desafortunadamente es muy inseguro.
IV de 24 bits. Se repiten aprox. cada 5000 paquetes.junio de 2009
5
Protocolos Seguros
Wi-Fi Protected Access (WPA)
• Puede funcionar con un servidor de autentificación (RADIUS, generalmente) que distribuye claves diferentes a cada usuario o en modo de clave precompartida: PSK (pre-shared key). Utiliza RC-4, al igual que WEP. • Implementa un protocolo de Integridad de Clave Temporal (TKIP – Temporal Key Integrity Protocol) que cambialas claves de 128 bits dinámicamente. • Aumenta el tamaño del IV a 48 bits. Mejora el mecanismo de CRC y contador de tramas para evitar ataques de repetición. • WPA2 se basa en 802.11i e incluye el algoritmo AES (Rijndael) para cifrado.
junio de 2009
6
3
Protocolos Seguros IPsec (RFCs 2401, 2402 y 2406 entre otros).
• Problema: Hubo años de batallas dentro de la IETF para determinardónde colocar la seguridad de canal. La solución de compromiso fue incorporarla en la capa de red opcionalmente ya que podía aliviar el problema sin estorbar demasiado. • El resultado fue llamado IPsec, conjunto de protocolos para establecimiento de claves autentificación y encriptación de los paquetes IP en un flujo de datos. • Opera en la capa de Red del modelo OSI y se utiliza también en IPv6. Esindependiente de los algoritmos utilizados. • La arquitectura IPsec utiliza el concepto de asociación de seguridad (SA) que identifica los algoritmos y parámetros utilizados.
junio de 2009
7
Protocolos Seguros IPsec: Detalles Técnicos
• Intercambio de claves: ISAKMP/IKE (RFC 2408/2409), Internet Security Association and Key Management Protocol/Internet Key Exchange, basado enDiffieHellman. Utiliza UDP en el puerto 500 para establecer la SA negociando opciones e intercambiar una clave de sesión. Comprometido recientemente, se trabaja en la versión 2 (RFC 4306). • Encabezado de Autentificación (AH)
– Proporciona integridad de los datos y autentificación pero no confidencialidad.
• Carga Útil de Encabezamiento de Seguridad (ESP)
– Proporciona integridad, autentificación yconfidencialidad. Acabará por sustituir totalmente a AH, ya que puede funcionar sin cifrado.
junio de 2009
8
4
Protocolos Seguros
Autentication Header (AH)
Cabecera IP AH Cabecera TCP Carga útil y relleno
Cabecera Sgte
Long. Carga Número de secuencia
Reservado
Índice de parámetros de seguridad
Datos de autentificación (HMAC) 32 bits
junio de 2009 9
Protocolos...
Leer documento completo
Regístrate para leer el documento completo.