Presentacion Seguridad en IPV6 CEET

  • View
    214

  • Download
    0

Embed Size (px)

DESCRIPTION

PARAMETROS DE LA VISTA V$PGASTAT

Text of Presentacion Seguridad en IPV6 CEET

  • Redes seguras bajo IPV6RAUL BAREO GUTIERREZ

  • ObjetivosDescribir los beneficios de la tecnologa VPN.Describir una VPN de sitio a sitio y de acceso remoto.

    Describir el propsito y los beneficios de tneles GRE.Configurar un tnel GRE de sitio a sitio.

    Describir las caractersticas de IPsec.Explicar cmo IPsec se implementa utilizando el marco del protocolo IPsec.

    Comparar VPNs de IPsec y SSL de acceso remoto.

  • IntroduccinLa seguridad es una preocupacin cuando se utiliza Internet para realizar negocios.

    Las Redes privadas virtuales (VPN) se utilizan para garantizar la seguridad de los datos a travs de Internet.

    Una VPN se utiliza para crear un tnel privado en una red pblica.

    Los datos pueden ser asegurados mediante cifrado en este tnel a travs de Internet y mediante el uso de autenticacin para proteger los datos contra el acceso no autorizado.

  • Introduccin a VPNsVPN se utiliza para crear una conexin de red privada de extremo a extremo en redes de terceros, tales como el Internet o extranets.

    Para implementar VPN, es necesario una puerta de enlace: podra ser un router, un firewall o un dispositivo Cisco de seguridad adaptable (ASA).

  • Beneficios de las VPNsAhorro de costes: permiten a las organizaciones utilizar Internet y transportar trafico mediante terceros para conectar oficinas remotas y usuarios remotos

    Escalabilidad: permiten utilizar la infraestructura de Internet dentro del ISP y sus dispositivos, adems puede aadir nuevos usuarios.

    Compatibilidad con tecnologa de banda ancha: permite a los trabajadores mviles y tele trabajadores usar la conectividad de alta velocidad, para acceder a las redes de su organizacin, brindando eficiencia y flexibilidad de los trabajadores.

  • Beneficios de las VPNsSeguridad: puede incluir mecanismos seguros que proporcionan mayor nivel de seguridad mediante el uso de encriptacin avanzada y protocolos de autenticacin que protegen los datos contra acceso no autorizado.

  • VPN de sitio a sitioSe conectan redes enteras entre s, en el pasado, se estaba obligado a conectar una conexin mediante Frame Relay o lnea arrendada, hoy la mayora de las corporaciones ahora tienen acceso a Internet, estas conexiones pueden reemplazarse con VPNs sitio a sitio.

    Los Hosts internos no tienen conocimiento que existe una VPN.

    Cuando los dispositivos en ambos lados de la conexin VPN son conscientes de la configuracin VPN es avanzada y segura

  • VPN de sitio a sitioLos host de los extremos envan y reciban trfico de TCP/IP normal a travs de un Gateway VPN.

    El Gateway VPN es responsable para encapsular y encriptar trfico saliente para todo el trfico de la VPN desde un sitio en particular

  • VPN de Acceso RemotoSoporta las necesidades de trfico de extranet, tele trabajadores y usuarios mviles, y dems necesidades de la compaa

    Maneja una arquitectura cliente/servidor, donde el cliente VPN (remoto host) adquiere un acceso seguro a la red de la empresa a travs de un dispositivo de servidor VPN a la red de borde.

    Utilizado para conectar hosts individuales que deben tener acceso a su red segura sobre Internet. Puede necesitar un software cliente VPN para ser instalada en el mvil dispositivo del usuario final . Cuando el host intenta enviar todo el trfico, el software de cliente VPN encapsula y cifra este trfico y enva por Internet a la puerta de enlace de la VPN en el borde de la red de destino.

  • VPN de Acceso Remoto

  • Introduccin a tunnel GREBsico, no seguro, de sitio a sitio VPN desarrollado por Cisco

    Encapsula una amplia variedad de tipos de paquetes IP dentro del tunnel

    Crea un enlace virtual punto a punto entre routers remotos, a travs de una red IP

  • Caractersticas de tunnel GREGRE se define como un estndar IETF.

    El Protocolo IP 47 se utiliza para identificar paquetes GRE.

    GRE encapsulado utiliza un campo de protocolo en la cabecera GRE para cualquier protocolo OSI Layer 3.

    GRE no incluye mecanismos de seguridad fuertes.

  • Configuracin de tunnel GRE

  • Configuracion de tunnel GRE

  • Verificacin del tnel GREVerifique que la interfaz del tnel este arribaVerifique OSPF Adyacencia

  • Internet Protocol SecurityIPsec VPNsInformacin de una VPN segura se transporta sobre una red pblica.

    Forma una red virtual en lugar de utilizar una conexin dedicada de capa 2.

  • Funciones IPsecDefine cmo configurar la VPN en forma segura usando IP. Marco de estndares abiertos con reglas para comunicaciones seguras.

    No limitado a cualquier cifrado, autenticacin, algoritmos de seguridad o tecnologas clave. Se basa en algoritmos existentes para implementar comunicaciones seguras.

    Opera en la capa de red, protegiendo y autenticando paquetes IP entre los dispositivos. Asegura un camino entre las puertas de entrada, o pares de hosts, o entre la puerta de entrada y el host.

  • Servicios de seguridad de IPsecConfidencialidad (encripta) los datos antes de transmitir

    Integridad de los datos, verifica que los datos no ha sido cambiados mientras estn en trnsito

    Autenticacin: verifica la identidad de la fuente que enva, asegura que la conexin se realiza con el par deseado, utiliza Internet Key Exchange (IKE) para autenticar usuarios y dispositivos que pueden llevar a cabo comunicacin.

    Proteccin anti-Replay detectar y rechazar paquetes reproducidos y ayuda a prevenir la falsificacin

    CIA: confidencialidad, integridad y autenticacin

  • Confidencialidad con EncriptamientoPara que el cifrado, tanto el emisor como el receptor deben saber las reglas usadas para transformar el mensaje original en su forma codificada. Las reglas se basan en algoritmos y claves compartidas. El descifrado es extremadamente difcil (o imposible) sin la clave correcta.

  • Algoritmos de encriptamientoA medida que aumenta la longitud de clave, se hace ms difcil de romper el cifrado. Sin embargo, una clave ms larga requiere ms recursos del procesador al cifrar y descifrar datos.Dos tipos principales de cifrado son:

    Cifrado simtrico

    Cifrado asimtrico

  • Cifrado simtricoEl cifrado y descifrado utilizan la misma clave.Cada dispositivo de red debe conocer la clave para descifrar la informacin.Adems encriptan la informacin antes de enviarla a travs de la red.Normalmente se utiliza para cifrar el contenido del mensaje.Ejemplos: DES y 3DES (ya no se considera seguro) y AES (256 bits recomendada para el cifrado IPsec).

  • Cifrado asimtricoUtiliza diferentes claves para el cifrado y descifrado.Sabiendo una de las claves no permite al hacker deducir la segunda llave y decodificar la informacin.Una de las claves cifra el mensaje, mientras que una segunda clave descifra el mensaje.Cifrado de clave pblica es una variante de la encriptacin asimtrica que utiliza una combinacin de una clave privada y una clave pblica.Normalmente se utiliza el certificado digital y la gestin de clavesEjemplo: RSA

  • Intercambio de Clave con Diffie-Hellman(DH) no es un mecanismo de cifrado.Es un mtodo para intercambiar de forma segura las claves que cifran los datos.Los algoritmos DH permiten a las dos partes establecer una clave secreta compartida utilizando los algoritmos de cifrado y hash es parte del estandar IPsec.

    Los algoritmos de cifrado, como DES, 3DES, AES, as como los algoritmos hash MD5 y SHA-1, requieren una clave simtrica secreta compartida para realizar el cifrado y descifrado.DH es un mtodo de intercambio de clave pblica que proporciona una forma entre los dos pares para establecer una clave secreta compartida que slo ellos conocen

  • Intercambio de Clave con Diffie-Hellman

  • Integridad con los algoritmos hashEl origen genera un hash en el mensaje y lo enva con el mensaje mismo.El receptor analiza el mensaje y el hash, produciendo otro hash del mensaje recibido, y se comparan los dos hash.Si son iguales, el destinatario puede estar seguro de la integridad del mensaje original.

  • Integridad con los algoritmos hashEl Cdigo de autenticacin de Mensaje basado en Hash(HMAC) es un mecanismo de autenticacin de mensajes usando funciones hash.

    HMAC tiene dos parmetros: Una entrada de mensaje y una clave secreta conocida slo por el originador del mensaje y los receptores previstos.

    El receptor calcula el cdigo de autenticacin del mensaje en el mensaje recibido utilizando la misma clave y la funcin HMAC enviado por el remitente.

    Si los dos valores coinciden, el mensaje ha sido recibido correctamente y el receptor est seguro de que el remitente es un miembro de la comunidad de usuarios que comparten la clave.

  • Integridad con los algoritmos hashHay dos algoritmos HMAC comunes:

    MD5 - clave secreta compartida de 128 bits. El mensaje de longitud variable y la clave secreta compartida se combinan y se ejecutan a travs del algoritmo de hash HMAC-MD5. La salida es un hash de 128 bits.

    SHA - SHA-1 utiliza una clave secreta de 160 bits. El mensaje de longitud variable y la clave secreta se combinan y se ejecutan a travs del algoritmo de hash SHA1-HMAC. La salida es un hash de 160 bits.

  • Autenticacin IPsecIPsec VPN soporta la autenticacin.El dispositivo en el otro extremo del tnel VPN debe ser autenticado antes de que el camino de comunicacin se considera seguro.

  • Autenticacin IPsecHay dos mtodos de autenticacin de los pares, firmas PSK y RSA:

    Firma PSK: Utiliza una clave secreta compartida entre las dos partes mediante un canal seguro antes de que sea utilizado.

    Usa algoritmos criptogrficos de clave simtrica.

    La PSK se introduce en cada par manualmente y se utiliza para autenticar los extremos.

  • A