ARQUITECTURA DE REDESARQUITECTURA DE REDES DE COMUNICACIONESArquitectura de redes de comunicaciones
Tema I: Arquitectura TCP/IPTema I: Arquitectura TCP/IP
T II S i i t l í d id dTema II: Servicios y tecnologías de seguridad en Internet
Seguridad-L31 C. F. del Val
ARQUITECTURA DE REDESLección 3. Protección de comunicaciones
ARQUITECTURA DE REDES DE COMUNICACIONES
3.1 Firewall (Cortafuegos de Internet)( g )3.2 Redes corporativas. RPV
3.3.1 IPSec3.3.2 túneles de N2 ( L2TP)
Bibliografía TCP/IP Tutorial and Technical Overview. Cap. 22. p
Apartados 22.3; 22.4; 22.5; 22.10; 22.13 y 22.14http://www.redbooks.ibm.com
Criptography and Network Security” Cap 16 y 20 Criptography and Network Security . Cap. 16 y 20.
Seguridad-L32 C. F. del Val
ARQUITECTURA DE REDESARQUITECTURA DE REDES DE COMUNICACIONES Firewall-cortafuegos
Red empresaInternet empresaInternet
• Un firewall ó cortafuegos es un sistema o conjunto de sistemas que implementan una política de seguridad entre la red de unaque implementan una política de seguridad entre la red de una organización e Internet
» O.P; Router, Estación de trabajo, O.C. etc. • Separa una red confiable de InternetSepara una red confiable de Internet• La política de seguridad define el comportamiento del firewall
» Todo lo no específicamente permitido es prohibido
Seguridad-L33 C. F. del Val
» Todo lo no específicamente prohibido es permitido
ARQUITECTURA DE REDESTipos de Firewall por funcionalidadARQUITECTURA DE REDES DE COMUNICACIONES
Tipos de Firewall por funcionalidad • Filtros de paquetes
Filtro de paquetes sin estados (Stateless)– Filtro de paquetes sin estados (Stateless)» Filtrado de paquetes independientes
– Filtro de paquetes con estados (Stateful) » Nivel de red y transporte asociando cada paquete a su correspondiente
flujo– Filtro de paquetes con estados e inspección del nivel de aplicación
» Comportamiento del protocolo: CBAC (content Based Access Control): Protocolos más comunes (RFCs)
» Inspección del contenido (firmas de ataques): Deep Inspection
• Pasarela de nivel de aplicación (o servidor proxy)– Nivel de aplicación
Pasarela de nivel de circuito• Pasarela de nivel de circuito– Nivel de transporte (TCP-UDP)
Seguridad-L34 C. F. del Val
ARQUITECTURA DE REDES Opciones de diseño de un FirewallARQUITECTURA DE REDES DE COMUNICACIONES
p
• Funcionalidad del S.O.– Firewall de Windows
• Routers– Funcionalidad incluidaFuncionalidad incluida
• Software– Aplicación para un S.O. de propósito general.– El vendedor del Firewall incluye parches del S.O. para
securizar la máquina.• Hardware
– Se utilizan dispositivos específicos optimizados (Appliance) y con S.O. al efecto.
I t d t f i lid d d id d• Integrado con otras funcionalidades de seguridad– RPV (VPN)– SDI
Seguridad-L35 C. F. del Val
– SPI
ARQUITECTURA DE REDES Filtro de paquetesARQUITECTURA DE REDES DE COMUNICACIONES Filtro de paquetes.
Internet
Filtrado de paquetes en base a:
C t id b IP
Implementación
LCA li t d C t l d AContenido cabecera IP
Tipos de mensajes ICMP
LCA: listas de Control de Acceso
IP Tables
Seguridad-L36 C. F. del ValContenido cabecera TCP/UDP
ARQUITECTURA DE REDESFirewall de filtrado con estados
ARQUITECTURA DE REDES DE COMUNICACIONES
180.10.33.52
192.168.1.0/24 80.20.60.41
Internet
Protoc D. Origen P. Orig D. Desti P. destino Acción
Protoc D. Orig P. Origen D. Destino P. destino Conexión Acción
TCP 180.10.33.52 80 80.20.64.41 >1023 Establecida Allow
…. ….
Seguridad-L37 C. F. del ValRegla Temporal creada a partir del segmento SYN
ARQUITECTURA DE REDESPasarela (Proxy) de aplicación (HostARQUITECTURA DE REDES DE COMUNICACIONES
Pasarela (Proxy) de aplicación. (Host Bastion)
TELNET
HTTP
FTP
TELNET
INTERNET
Red confiable
FTP
• Permite implantar una política de seguridad más estricta que un firewall • Una comunicación está constituida por dos conexiones
No hay flujo directo de paquetes entre la red confiable e Internet• No hay flujo directo de paquetes entre la red confiable e Internet• Se implementa un código de propósito especial (servidor Proxy) por cada
aplicación (http; FTP; Telnet; etc.)C l i i i d i i ti t– Cualquier usuario que quiera acceder a un servicio se tiene que conectarse primero al “servidor proxy”
– Cada aplicación del Proxy se configura en función de la política de seguridadLos terminales de la red confiable solamente pueden utilizar los servicios
Seguridad-L38 C. F. del Val
– Los terminales de la red confiable solamente pueden utilizar los servicios implementados en el proxy
ARQUITECTURA DE REDESARQUITECTURA DE REDES DE COMUNICACIONES Pasarela de nivel de circuito
INTERNET
Red confiableRed confiable
•Actúa como un dispositivo intermedio a todas las conexiones TCP Similar a los Proxy•Actúa como un dispositivo intermedio a todas las conexiones TCP. Similar a los Proxy•No realiza procesamiento ni filtrado, simplemente retransmite segmentos de una conexión a otra.
•El cliente se conecta con el servidor y se autentica.•Se analiza la conexión en base a número de puerto, origen, destino, clave de usuario•En el caso, que sea admisible, puentea la conexión directamente
•La seguridad se basa en permitir o no las conexiones TCP.
Seguridad-L39 C. F. del Val
•Pasarela de nivel de circuito estandarizada: SOCKS (v4; v5- RFC 1928)
ARQUITECTURA DE REDESARQUITECTURA DE REDES DE COMUNICACIONES DMZ con firewall de estados
LCA
Internet
LCA básicas
Servidores Web
El firewall no comprueba el t áfi d l DMZServidores Web
públicostráfico de la DMZ
Seguridad-L310 C. F. del Val
ARQUITECTURA DE REDESDMZ y firewall de estados con tresARQUITECTURA DE REDES DE COMUNICACIONES
DMZ y firewall de estados con tres interfaces
Todo el tráfico pasa por el firewall
Internet
Servidores Web
Seguridad-L311 C. F. del Val
públicos
ARQUITECTURA DE REDESARQUITECTURA DE REDES DE COMUNICACIONES Esquema con dos Firewall
Internetet
Seguridad-L312 C. F. del Val
ARQUITECTURA DE REDESARQUITECTURA DE REDES DE COMUNICACIONES Firewall con varias DMZs
Internet
Servidores Web públicos en DMZ diferentes
Seguridad-L313 C. F. del Val
ARQUITECTURA DE REDESARQUITECTURA DE REDES DE COMUNICACIONES Múltiples Firewall
SPC
SPNC
Internet
SPSCSPSC
Seguridad-L314 C. F. del Val
ARQUITECTURA DE REDESARQUITECTURA DE REDES DE COMUNICACIONES Proxy en la red Interna
El administrador
Proxy
controla los usuarios que acceden a Internet
Red confiable
INTERNET
Seguridad-L315 C. F. del Val
ARQUITECTURA DE REDES Proxy conectado al firewallARQUITECTURA DE REDES DE COMUNICACIONES
Proxy conectado al firewall
INTERNET
RedRed confiable
Seguridad-L316 C. F. del Val
ARQUITECTURA DE REDES Proxy en la DMZARQUITECTURA DE REDES DE COMUNICACIONES
Proxy en la DMZ
Socks v5
INTERNET
RedRed confiable
Seguridad-L317 C. F. del Val
ARQUITECTURA DE REDES Redes corporativas IntranetsARQUITECTURA DE REDES DE COMUNICACIONES Redes corporativas-Intranets
• Interconexión del material informático de la organización en red
» Hoy mediante tecnología TCP/IP» Conexión de dependencias remotas y acceso remoto de Co e ó de depe de c as e otas y acceso e oto de
empleados• Servicios de comunicaciones de Operadores• Internet y Tecnología de RPVInternet y Tecnología de RPV
» Intranet• Interconexión con Colaboradores, Suministradores, etc.
» Extranet • Tecnología de RPV
– ImplementaciónImplementación» Servicios de comunicaciones de Operadores
• Servicios de RPV
Seguridad-L318 C. F. del Val
» Internet + Tecnología de RPV
ARQUITECTURA DE REDESARQUITECTURA DE REDES DE COMUNICACIONES Tecnologías de RPV (VPN)
• Nivel 2: Protegen tramas PPP – PPTP (Point-to-Point Tunneling Protocol): Desarrollado por
Microsoft– L2F (Layer 2 Forwarding), Desarrollado por Cisco– L2TP (Layer Two Tunnel protocol) Norma IETF
» Mezcla de PPTP y de L2F• Nivel 3: Protegen paquetes IPNivel 3: Protegen paquetes IP
– IPSec: desarrollado para comunicaciones seguras a nivel IP • Nivel transporte:
– SSL/TLS: desarrollado por Netscape y estándar IETF• Aplicación
– SSH desarrollado por Tatu YlonenSSH desarrollado por Tatu Ylonen» Putty (Windows)» WinSCP» SFTP
Seguridad-L319 C. F. del Val
» SFTP
ARQUITECTURA DE REDESUtilización de tecnologías de RPV
ARQUITECTURA DE REDES DE COMUNICACIONES
Tecnología que utilizando Internet permite
• (O-O) Constituir la red Oficina de• (O-O) Constituir la red corporativa interconectando las oficinas (Ipsec)
Oficina de Otra empresa
INTERNET
OFICINA B
• (AR) Utilizar la red corporativa desde localizaciones remotas (sede, casa, hotel, etc.) (sede, casa, ote , etc )( SSL, L2TP)
• Extranet
OFICINA A
VIAJEDOMICILIO
Seguridad-L320 C. F. del ValOFICINAS CENTRALES
DOMICILIO
ARQUITECTURA DE REDES IPsecARQUITECTURA DE REDES DE COMUNICACIONES IPsec
• Proporciona comunicaciones seguras a nivel IPE li ió d l f i lid d d IP– Es una ampliación de la funcionalidad de IP
– Opcional en IPv4» Protocolos AH (Authentication Header) y ESP (Encapsulation
Security Payload)– Obligatorio en IPv6? Cabeceras de extensión (AH y ESP)
• Servicios de seguridadServicios de seguridad– Confidencialidad– Autenticación
I t id d» Integridad » Autenticación de origen
– Control de acceso– Protección contra repeticiones
• Gestión de claves– Configuración
Seguridad-L321 C. F. del Val
Configuración– Automático (IKE)
ARQUITECTURA DE REDESComponentes de IPsec
ARQUITECTURA DE REDES DE COMUNICACIONES
INTERNETRA RB
p
INTRANETOFICINA B
INTRANETOFICINA A
B de D de Política de seguridad
B de D de Asociaciones de seguridad
Seguridad-L322 C. F. del Val
ARQUITECTURA DE REDESARQUITECTURA DE REDES DE COMUNICACIONES Operativa del protocolo AH
Datos y campos de la cabecera
Paquete original
Paquete recibido
de la cabecera inmutables y predecibles
Hash Clave CAM
IP AH Datos IP AH Datos Clave CAMINTERNET Hash
MAC
Si son iguales Paquete autenticado
CAMrecibido
CAMcalculadoMD5-HMAC-96
SHA HMAC 96Si no son iguales Paquete alterado
SHA-HMAC-96
AES-XCBD-MAC-96
Seguridad-L323 C. F. del Val
ARQUITECTURA DE REDESEstructura del protocolo AH
ARQUITECTURA DE REDES DE COMUNICACIONES (Autentication Header)• Añade al paquete IP una cabecera de autenticación (Nº 51)
G ti l d t f i d l t i l i h id• Garantiza que el datagrama fue enviado por el terminal origen y que no ha sido alterado durante el trayecto.
0 7 15 23 31Cabecera sig. Long. Datos Reservado
SPI (Security Parameters Index)( y )Número de secuencia
Datos de autenticación (l it d i bl )
D t d t ti ió CAM l l d l d l l it
(longitud variable)
•Datos de autenticación: CAM calculado con alguno de los algoritmosKMD5; KSHA-1; HMAC-MD5-96 , HMAC-SHA-1-96, AES-XCBD-MAC-96
Seguridad-L324 C. F. del Val
ARQUITECTURA DE REDES Operativa del protocolo ESPARQUITECTURA DE REDES DE COMUNICACIONES
Operativa del protocolo ESP (confidencialidad)
Paquete original
Paquete recibido
AlgoritmoClave ESP IP ESP IP Algoritmocriptográfico
Clave ESPDatos DatosESPINTERNET
original recibido
criptográfico criptográficocriptográfico
Paquetecifrado
Paquetedescifrado
DES3DESAES
Seguridad-L325 C. F. del Val
AES
ARQUITECTURA DE REDES
Estructura del protocolo ESP (E l ti S it P l d) ( º 50)ARQUITECTURA DE REDES
DE COMUNICACIONES (Ecapsulating Security Payload) (nº 50)• Cifra el paquete
•Garantiza que el contenido no pueda ser examinado por terceros (o que siGarantiza que el contenido no pueda ser examinado por terceros (o que si lo es no pueda ser interpretado).
•Incluye una cabecera (SPI y Nº seq) y una cola •Opcionalmente puede incluir la función de autentificación (AUT)Opcionalmente puede incluir la función de autentificación (AUT)
•Primero se cifra y después se autentica•Los datos AUT se añaden después de la cola ESP
0 7 15 23 31SPI (Security Parameters Index)
BITS
Carga de Datos (Payload data): Longitud variable
CIF
AU
TEN
TIC
( y )Número de secuencia
Longitud variableRelleno (padding): 0 a 255 octetos
Long. relleno Cabecera Sig.
RA
DO
Datos de autenticación
CA
DO
Seguridad-L326 C. F. del Val
Datos de autenticación (longitud variable)
ARQUITECTURA DE REDESARQUITECTURA DE REDES DE COMUNICACIONES Asociación de Seguridad
Definición• Definición– Relación unidireccional y para cada protocolo entre un
emisor y un receptor que liga los servicios de seguridad al tráfico llevado sobre la misma
• Identificación ASSPI (Índice de Parámetros de Seguridad)– SPI (Índice de Parámetros de Seguridad)
– Dirección IP destino– Protocolo
• Parámetros AS– En cada implementación IPsec debe haber una Base de
Datos de Asociaciones de Seguridad que define losDatos de Asociaciones de Seguridad que define los parámetros asociados con cada SA.
Seguridad-L327 C. F. del Val
ARQUITECTURA DE REDESParámetros de Asociación de seguridadARQUITECTURA DE REDES DE COMUNICACIONES
Parámetros de Asociación de seguridad (SA)
• Nº de secuencia– Un valor de 32 bit utilizado para generar el Número de Secuencia en las cabeceras AH
o ESP.
• Flag de desbordamiento de nº de secuenciaI di i t dit bl i t i i b j t AS– Indica si es evento auditable y prevenir transmisiones bajo esta AS.
• Ventana de anti-replay– Activado no permite repeticiones por rotación
• Algoritmo para AH y sus claves– Algoritmo, claves, tiempo de duración de los mismos, y parámetros relacionados.
• Algoritmo para ESP y sus claves– Algoritmos, claves, valores de inicialización, tiempo de duración de las claves, etc..
• Tiempo de vida de la asociación– Intervalo de tiempo ó contador, para acabar y/o reemplazar una AS
• Modo del protocolo– Transporte o túnel
• MTU
Seguridad-L328 C. F. del Val
– Máximo tamaño que puede ser transmitido sin fragmentación
ARQUITECTURA DE REDESARQUITECTURA DE REDES DE COMUNICACIONES Proceso de cada paquete• Proceso independiente en entrada y salida consultando las
SPD, SAD y la propia AS• Salida
– Tirar el paqueteTirar el paquete– No aplicar IPsec– Aplicar IPsec
E t d• Entrada– Existe cabecera IPsec
» Se procesa la cabecera» Se consulta la SPD para ver si se puede admitir.
– No existe cabecera IPsec» Se consulta la SPDSe consulta la SPD» Si debía tener cabecera IPsec se tira
Seguridad-L329 C. F. del Val
ARQUITECTURA DE REDES Gestión de claves AutomáticoARQUITECTURA DE REDES DE COMUNICACIONES Gestión de claves Automático
• El protocolo de gestión de claves es IKE: Internet Key p g yInterchange (ISAKMP/Oakley)
– OaKley: Protocolo de Intercambio de claves basado en el método de distribución de claves de Diffie-Hellman con seguridadde distribución de claves de Diffie-Hellman con seguridad añadida
– ISAKMP (Internet Security Association and Key Management Protocol)Protocol)
» Define procedimientos y formato de paquetes para establecer, negociar, modificar y borrar asociaciones de seguridad
» Utilización de UDP como protocolo de transporte (puerto 500)» Utilización de UDP como protocolo de transporte (puerto 500)• IKEv1• IKEv2
– Mejora la eficiencia
Seguridad-L330 C. F. del Val
ARQUITECTURA DE REDES IKEARQUITECTURA DE REDES DE COMUNICACIONES
IKEIKEIKE
Establecer una Asociación AS IKE
IPSecIPSec--IKEIKE
Establecer dos asociaciones de seguridad AS IPSecIPSec
Datosatos
Dos Comunicaciones seguras
Seguridad-L331 C. F. del Val
seguras
ARQUITECTURA DE REDESARQUITECTURA DE REDES DE COMUNICACIONES IKEv2
En claro
Protegido con IPseccon IPsec AS-IKE
Protegido con IPsec AS-IKEAS IKE
Seguridad-L332 C. F. del Val
ARQUITECTURA DE REDESARQUITECTURA DE REDES DE COMUNICACIONES Túneles IP
10.100.10.110.20.1.120
Destino: 10.20.1.120 Destino: 10.100.10.1
INTERNET
RED CORPORATIVA
Origen: 10.100.10.1 Origen: 10.20.1.120RED CORPORATIVA
INTERNET
152.22.58.5 132.10.11.3
Dest: 131.10.11.3Src: 62.22.58.5
Dest: 172.20.1.120Src: 172.24.1.253
Destino: 132.10.11.3Origen: 152.22.58.5
Destino: 10 20 1 120
Seguridad-L333 C. F. del Val
Src: 172.24.1.253 Destino: 10.20.1.120Origen: 10.100.10.1
ARQUITECTURA DE REDESModos de utilización IPsec
ARQUITECTURA DE REDES DE COMUNICACIONES
M d t t• Modo transporte: – Comunicación segura extremo a extremo. Requiere
implementación de IPSec en ambos terminales. p• Modo túnel:
– Comunicación segura entre routers únicamente. » Permite incorporar IPSec sin tener que modificar los terminales
– Comunicación segura entre terminal y router (servidor de túneles
Seguridad-L334 C. F. del Val
ARQUITECTURA DE REDES Modos de utilización IPsec (II)ARQUITECTURA DE REDES DE COMUNICACIONES
Modos de utilización IPsec (II)
Cab.externa Cab.interna
Direcciones IP
Cab.externa Cab.interna
Direcciones IP1 B ESP ó AH 1 3 Datos
Terminal 3
MODO TÚNEL
A B ESP ó AH 1 2 Datos Router A Router BTerminal 3
INTERNET
MODO TRANSPORTE
Terminal 1 Terminal 21 2 ESP ó AH Datos
Direcciones IP
Seguridad-L335 C. F. del Val
Direcciones IPOrigen-Destino
ARQUITECTURA DE REDESFormato del paquete AH (IPv4).
ARQUITECTURA DE REDES DE COMUNICACIONES Modo transporte
DatosCabecera IP
Cabecera AH DatosCabecera IP
•Cabecera IP (excepto campos variables impredecibles)•TOS•TTL•CRC•Desplazamiento•Desplazamiento•Flags
•Datos
Seguridad-L336 C. F. del Val
•Se puede fragmentar el paquete. El destino ensambla los fragmentos antes de aplicar AH.
ARQUITECTURA DE REDESFormato del paquete AH (IPv4).
ARQUITECTURA DE REDES DE COMUNICACIONES Modo túnel
DatosCabeceraIP
CabeceraAH
CabeceraIP Túnel DatosCabecera
IP
• Paquete original
•Cabecera y datosy
• Cabecera IP túnel (excepto campos variables impredecibles)•TOS•TTLTTL•CRC•Desplazamiento•Flags
Seguridad-L337 C. F. del Val
ARQUITECTURA DE REDESFormato del paquete AH (IPV6)
ARQUITECTURA DE REDES DE COMUNICACIONES
p q ( )
MODO TRANSPORTE
CABECERAIP
SALTO CABECERAAH
DEST.,OPT (1)
TCP DATOSIP A SALTO... AH OPT.(1)
(1)PUEDEN IR ANTES Y/O DESPUÉSDE AH
MODO TÚNEL
CABECERAIP EXTERNA
CABECERASDE EXTENS.
CABECERAAH
CAB.IPORIGINAL
TCP DATOSCABECERASDE EXTENSDE EXTENS.
.
Seguridad-L338 C. F. del Val
ARQUITECTURA DE REDESFormato del paquete ESP (Pv4)ARQUITECTURA DE REDES DE COMUNICACIONES
Formato del paquete ESP (Pv4).Modo transporte
DatosCabecera IP
Cabecera ESP DatosCabecera IP Cola
ESPESPaut
Seguridad-L339 C. F. del Val
ARQUITECTURA DE REDESFormato del paquete ESP (Pv4)ARQUITECTURA DE REDES DE COMUNICACIONES
Formato del paquete ESP (Pv4).Modo túnel
DatosCabeceraIP
CabeceraCabecera DatosCabecera Cola ESPESPIP Túnel DatosIP ESP aut
Seguridad-L340 C. F. del Val
ARQUITECTURA DE REDESFormato del paquete ESP (IPv6)ARQUITECTURA DE REDES DE COMUNICACIONES
Formato del paquete ESP (IPv6)
MODO TRANSPORTEMODO TRANSPORTE
CABECERA SALTO CABECERA DEST., TCP DATOS COLA AUTENTIC.
(1) PUEDEN IR ANTES Y/O DESPUÉSDE ESP
IP A SALTO... ESP OPT.(1) ESP ESP
MODO TÚNEL
CABECERA
IP INTERNA
CABECERAS
DE EXTENSCABECERA TCP DATOSCABECERA
IP EXTERNA
CABECERAS
DE EXTENSCOLA AUTENTIC.
IP INTERNA DE EXTENS.ESPIP EXTERNA DE EXTENS. ESP ESP
.
Seguridad-L341 C. F. del Val
ARQUITECTURA DE REDESIPsec NAT-Transversal
ARQUITECTURA DE REDES DE COMUNICACIONES
OFICINA 4OFICINA 1
Los puertos TCP y UDP van autenticados y cifrados por lo que no se pueden cambiar en el router
INTERNET
Solución : se encapsula IPsec en
OFICINA 2 OFICINA 3UDP (puerto 4500)
Seguridad-L342 C. F. del Val
ARQUITECTURA DE REDESARQUITECTURA DE REDES DE COMUNICACIONES L2TP
• Entorno Norma IETF– Norma IETF
– Sucesor del PPTP y del L2F• Características:
– Encapsula /túnel) tramas PPP en paquetes IP y utiliza UDP como protocolo de encapsulado.
– Permite cifrado PPP (MPPE/ECP) o IPsec (L2TP/Ipsec)Permite cifrado PPP (MPPE/ECP) o IPsec (L2TP/Ipsec)– Permite conexiones PPP multienlace– Se pueden utilizar los esquemas de autenticación de PPP
o de IPseco de IPsec» PAP y CHAP
– El control del túnel se realiza mediante UDP (puerto 1701)I l t ió• Implementación
– L2TPv2 para PPP– L2TPv3, para cualquier protocolo
Seguridad-L343 C. F. del Val
, p q p– Clientes L2TP/IPsec en los S.O. más comunes
ARQUITECTURA DE REDESARQUITECTURA DE REDES DE COMUNICACIONES L2TP sobre IP
Paquete TCP/IPIPHeader
TCPHeader
PayloadData
Paquete TCP/IP
L2TP
EncapsuladoPPP
IP TCP PayloadPPPL2TP
IPHeader
TCPHeader
PayloadData
PPPHeader
L2TPInterface
UDPInterface
IPHeader
TCPHeader
PayloadData
PPPHeader
L2TPHeader
IPHeader
TCPHeader
PayloadData
PPPHeader
L2TPHeader
UDPHeaderInterface
IPHeader
TCPHeader
PayloadData
PPPHeader
L2TPHeader
UDPHeader
IPHeader
IPInteface
Ehernet
Seguridad-L344 C. F. del Val
ARQUITECTURA DE REDESEncapsulado L2TP/IPSec sobre IPARQUITECTURA DE REDES DE COMUNICACIONES
Encapsulado L2TP/IPSec sobre IP
Paquete TCP/IP
Encapsulado IP TCP PayloadPPP
IPHeader
TCPHeader
PayloadData
L2TPInterface
PPP
IPHeader
TCPHeader
PayloadData
PPPHeader
L2TPHeader
Header Header DataHeader
UDPInterface
IPHeader
TCPHeader
PayloadData
PPPHeader
L2TPHeader
UDPHeader
IPHeader
TCPHeader
PayloadData
PPPHeader
L2TPHeader
UDPHeader
IPSec ESPHeader
IPSecInteface
IP
IPSec ESPTrailer
IPSecAUTHTrailer
S
Ehernet
IPInteface
IPHeader
TCPHeader
PayloadData
PPPHeader
L2TPHeader
UDPHeader
IPSec ESPHeader
IPHeader
IPSec ESPTrailer
IPSecAUTHTrailer
Seguridad-L345 C. F. del Val
e et
ARQUITECTURA DE REDESARQUITECTURA DE REDES DE COMUNICACIONES Protocolos de autenticación PPP
• La fase de establecimiento del enlace puede ser seguida de una f i l d t ti iófase opcional de autenticación– PAP (Password Authentication Protocol)
» Envía el nombre de usuario y la contraseña en claro» Envía el nombre de usuario y la contraseña en claro– CHAP (Challenge Handshake Authentication Protocol)
» Se comparte una clave secreta que se utiliza como entrada a la función Hash junto con la información de prueba de identidad
» Las contraseñas se envían cifradas pero se almacena en claro– MS-CHAPv1/v2(Microsoft Challenge Handshake AuthenticationMS CHAPv1/v2(Microsoft Challenge Handshake Authentication
Protocol).» Variante de Microsoft de CHAP
Al l l if d• Almacena las claves cifradas– EAP (Extensible Authentication Protocol).
» Soporta múltiples métodos y mecanismos (tarjetas inteligentes,
Seguridad-L346 C. F. del Val
p p y ( j g ,etc.) de autenticación que se seleccionan en la fase de autenticación
ARQUITECTURA DE REDES RADIUS (Remote Access Dial-In UserARQUITECTURA DE REDES DE COMUNICACIONES
RADIUS (Remote Access Dial In User Service)
NAS(SERVIDOR RADIUS)
NAS
PROTOCOLO PPPPROTOCOLO UDP
NAS(CLIENTE RADIUS)
RTC/RDSI
GSMRED IP
PROTOCOLO PPP
•Solución de autenticación escalable
INTERNET
APLICACIONES
Solución de autenticación escalable•Define dos cosas, en primer lugar un conjunto de funcionalidades que deberían ser comunes a los servidores de autenticación y un protocolo para acceder a dicha funcionalidadpara acceder a dicha funcionalidad.
•El motivo de su desarrollo fue tener un servidor centralizado de autenticación que tiene toda la información sobre los usuarios y permitir reali ar el control de acceso de forma remota en la entrada a la red (Pool
Seguridad-L347 C. F. del Val
realizar el control de acceso de forma remota en la entrada a la red (Pool de modems, servidores de acceso, etc).
ARQUITECTURA DE REDESARQUITECTURA DE REDES DE COMUNICACIONES Bibliografía (I)
htt // illi t lli /C t h /http://williamstallings.com/Cryptography/
Seguridad-L348 C. F. del Val