![Page 2: IPSEC Código: HOL-WIN11 Juan Luis García Rambla jlrambla@informatica64.com](https://reader036.vdocuments.pub/reader036/viewer/2022062418/552e9756550346ac768b4968/html5/thumbnails/2.jpg)
Agenda
• Problemática de las redes de datos.
• IPSEC: Autentificación y cifrado.
• Políticas de IPSEC.
• Reglas y Filtros de IPSEC.
• Implantación de IPSEC con PKI.
![Page 3: IPSEC Código: HOL-WIN11 Juan Luis García Rambla jlrambla@informatica64.com](https://reader036.vdocuments.pub/reader036/viewer/2022062418/552e9756550346ac768b4968/html5/thumbnails/3.jpg)
Problemática de las redes de datos
![Page 4: IPSEC Código: HOL-WIN11 Juan Luis García Rambla jlrambla@informatica64.com](https://reader036.vdocuments.pub/reader036/viewer/2022062418/552e9756550346ac768b4968/html5/thumbnails/4.jpg)
Problemáticas de la comunicación
• Gran cantidad de los datos que circulan por la red circulan en claro y pueden ser capturados e interpretados por un analizador de red.
• Estos datos además de ser interpretados pueden ser modificados y retransmitidos posteriormente a la red.
• Los sistemas no comprueban la autenticidad del origen de los datos.
![Page 5: IPSEC Código: HOL-WIN11 Juan Luis García Rambla jlrambla@informatica64.com](https://reader036.vdocuments.pub/reader036/viewer/2022062418/552e9756550346ac768b4968/html5/thumbnails/5.jpg)
Técnicas de Sniffing
• Capturan tráfico de red.
• Necesitan que la señal física llegue al NIC.
• En redes de difusión mediante concentradores todas las señales llegan a todos los participantes de la comunicación.
• En redes conmutadas la comunicación se difunde en función de direcciones.• Switches utilizan dirección MAC.
![Page 6: IPSEC Código: HOL-WIN11 Juan Luis García Rambla jlrambla@informatica64.com](https://reader036.vdocuments.pub/reader036/viewer/2022062418/552e9756550346ac768b4968/html5/thumbnails/6.jpg)
PC HACKERPC HACKER
PC 1PC 1
PC 2PC 2 PC 3PC 3
PC 4PC 4
SnifferSniffer
Datos PC 4
Datos PC 4
filtrafiltra filtrafiltra
Sniffing en redes de difusión
![Page 7: IPSEC Código: HOL-WIN11 Juan Luis García Rambla jlrambla@informatica64.com](https://reader036.vdocuments.pub/reader036/viewer/2022062418/552e9756550346ac768b4968/html5/thumbnails/7.jpg)
Técnicas de Spoofing
• Las técnicas de spoofing tienen como objetivo suplantar validadores estáticos.
Un Un validador estáticovalidador estático es un medio de es un medio de autenticación que permanece invariable autenticación que permanece invariable antes, durante y después de la concesión.antes, durante y después de la concesión.
![Page 8: IPSEC Código: HOL-WIN11 Juan Luis García Rambla jlrambla@informatica64.com](https://reader036.vdocuments.pub/reader036/viewer/2022062418/552e9756550346ac768b4968/html5/thumbnails/8.jpg)
Tipos de técnicas de Spoofing• Spoofing ARP
• Envenenamiento de conexiones.• Man in the Middle.
• Spoofing IP • Rip Spoofing.• Hijacking.
• Spoofing SMTP
• Spoofing DNS• WebSpoofing.
![Page 9: IPSEC Código: HOL-WIN11 Juan Luis García Rambla jlrambla@informatica64.com](https://reader036.vdocuments.pub/reader036/viewer/2022062418/552e9756550346ac768b4968/html5/thumbnails/9.jpg)
PC HACKERPC HACKER
PC 1PC 1
PC 2PC 2 PC 3PC 3
PC 4PC 4
SnifferSniffer
Datos PC 4
Datos PC 4MAC 1MAC 1
MAC 2MAC 2 MAC HMAC H MAC 3MAC 3
MAC 4MAC 4
Puerto 1 MAC 1Puerto 1 MAC 1
Puerto 2 MAC 2Puerto 2 MAC 2
Puerto 6 MAC HPuerto 6 MAC H
Puerto 11 MAC 3Puerto 11 MAC 3
Puerto 12 MAC 4Puerto 12 MAC 4
Sniffing en redes conmutadas
![Page 10: IPSEC Código: HOL-WIN11 Juan Luis García Rambla jlrambla@informatica64.com](https://reader036.vdocuments.pub/reader036/viewer/2022062418/552e9756550346ac768b4968/html5/thumbnails/10.jpg)
Ataque ARP Man In The Middle
¿Quien tiene
1.1.1.2?
1.1.
1.2
esta
en
99:8
8:77
:66:
55:4
4
1.1.1.2 esta en 00:11:22:33:44:55:66
1.1.1.1
1.1.1.2
1.1
.1.1
esta
en
99:8
8:7
7:6
6:5
5:4
4
![Page 11: IPSEC Código: HOL-WIN11 Juan Luis García Rambla jlrambla@informatica64.com](https://reader036.vdocuments.pub/reader036/viewer/2022062418/552e9756550346ac768b4968/html5/thumbnails/11.jpg)
Sniffing + SpoofingSniffing + Spoofing
Hijacking (Secuestro) Y Hijacking (Secuestro) Y EnvenenamientoEnvenenamiento
Técnicas Combinadas
![Page 12: IPSEC Código: HOL-WIN11 Juan Luis García Rambla jlrambla@informatica64.com](https://reader036.vdocuments.pub/reader036/viewer/2022062418/552e9756550346ac768b4968/html5/thumbnails/12.jpg)
IPSEC Autentificación y cifrado
![Page 13: IPSEC Código: HOL-WIN11 Juan Luis García Rambla jlrambla@informatica64.com](https://reader036.vdocuments.pub/reader036/viewer/2022062418/552e9756550346ac768b4968/html5/thumbnails/13.jpg)
Cifrado de Comunicaciones
• IPv4 no ofrece cifrado de comunicaciones a nivel de red y transporte.
• Solo se puede garantizar la no interceptación de la información en líneas privadas.
• Los entornos son abiertos. Movilidad.
• La privacidad de la información es una necesidad
![Page 14: IPSEC Código: HOL-WIN11 Juan Luis García Rambla jlrambla@informatica64.com](https://reader036.vdocuments.pub/reader036/viewer/2022062418/552e9756550346ac768b4968/html5/thumbnails/14.jpg)
Cifrado de Comunicaciones
• La elección de la protección debe cumplir:
– No anular otras defensas.
– Permitir autenticación integrada.
– No suponer un coste excesivo en:– Rendimiento.– Adquisición.– Implantación.– Mantenimiento.
![Page 15: IPSEC Código: HOL-WIN11 Juan Luis García Rambla jlrambla@informatica64.com](https://reader036.vdocuments.pub/reader036/viewer/2022062418/552e9756550346ac768b4968/html5/thumbnails/15.jpg)
Cifrado de Comunicaciones
• Soluciones:– Red : IPv6 -> IPSec.– Transporte:
– TLS
– SSL
– Aplicación: – HTTP-s
– FTP-s
– S/MIME
– SSH.
– Datos: Cifrado información.
![Page 16: IPSEC Código: HOL-WIN11 Juan Luis García Rambla jlrambla@informatica64.com](https://reader036.vdocuments.pub/reader036/viewer/2022062418/552e9756550346ac768b4968/html5/thumbnails/16.jpg)
Objetivos de IPSEC
• IPSEC es un estándar que tiene como objetivo la verificación, autentificación y encriptación de datos en el nivel de red.
• IPSEC es controlado mediante una serie de reglas y filtros que determinan que tipo de tráfico va a necesitar la encriptación, la firma digital o ambos.
• El proceso del envío de información encriptada a través de la red es transparente para los usuarios y las aplicaciones que envían información a través de la red.
![Page 17: IPSEC Código: HOL-WIN11 Juan Luis García Rambla jlrambla@informatica64.com](https://reader036.vdocuments.pub/reader036/viewer/2022062418/552e9756550346ac768b4968/html5/thumbnails/17.jpg)
Beneficios de IPSEC
• Autentificación mutua al inicio y durante la comunicación.
• Confidencialidad por autentificación digital y encriptación de paquetes.
• Integridad IP por rechazo de paquetes modificados.
• Prevención contra ataques de repetición de tramas.
![Page 18: IPSEC Código: HOL-WIN11 Juan Luis García Rambla jlrambla@informatica64.com](https://reader036.vdocuments.pub/reader036/viewer/2022062418/552e9756550346ac768b4968/html5/thumbnails/18.jpg)
IPSEC - Coste de cifrado
• Disminución del rendimiento que es proporcional al hardware del sistema.– Tiempo de negociación IKE – aproximadamente 2-5 segundos
inicialmente– Session rekey < 1-2 segundos
• Pérdida de la capacidad de filtrado de paquetes.
• Recursos destinados a la solución de problemas.
• Concienciación técnica de su necesidad y su uso.
![Page 19: IPSEC Código: HOL-WIN11 Juan Luis García Rambla jlrambla@informatica64.com](https://reader036.vdocuments.pub/reader036/viewer/2022062418/552e9756550346ac768b4968/html5/thumbnails/19.jpg)
Modos IPSEC
• IPSEC trabaja en dos modos:– Autentication Header (AH),que firma digitalmente el
tráfico de red, pero no lo encripta.
– ESP (Encapsulation Security Payload), que proporciona encriptación de datos, mediante algoritmo.
![Page 20: IPSEC Código: HOL-WIN11 Juan Luis García Rambla jlrambla@informatica64.com](https://reader036.vdocuments.pub/reader036/viewer/2022062418/552e9756550346ac768b4968/html5/thumbnails/20.jpg)
Cabecera de Autenticación
• Authentication Header (AH) ofrece:– Autenticación.– Integridad.
• Funcionalidades– Kerberos, certificados o los secretos compartidos pueden ser
utilizados para autenticar el tráfico. – La integridad se calcula con algoritmos SHA1 o MD5 que
calculan el Integrity Check Value (ICV).
![Page 21: IPSEC Código: HOL-WIN11 Juan Luis García Rambla jlrambla@informatica64.com](https://reader036.vdocuments.pub/reader036/viewer/2022062418/552e9756550346ac768b4968/html5/thumbnails/21.jpg)
IPSec – Cabecera AH.
• Autenticidad de los datos
• Integridad de los datos
• Contra la retransmisión
• Protección contra la suplantación
Encab. IPEncab. IPEncab. IPEncab. IP AHAH Encab. Encab. TCP/UDPTCP/UDP
Encab. Encab. TCP/UDPTCP/UDP
Datos de Datos de aplicacionesaplicaciones
Datos de Datos de aplicacionesaplicaciones
Firmado
Encabezados de autenticación
![Page 22: IPSEC Código: HOL-WIN11 Juan Luis García Rambla jlrambla@informatica64.com](https://reader036.vdocuments.pub/reader036/viewer/2022062418/552e9756550346ac768b4968/html5/thumbnails/22.jpg)
Cabecera ESP
• Encapsulating Security Payload (ESP)• ESP ofrece:
– Confidencialidad.
• ESP puede ser utilizada sola o combinada con AH. • Multiples algoritmos de cifrado
– DES – claves de cifrado de 56-bit – 3DES – claves de cifrado de 168-bit
• Multiples algoritmos de firmado.– SHA1 – 160-bit digest– MD5 – 128-bit
![Page 23: IPSEC Código: HOL-WIN11 Juan Luis García Rambla jlrambla@informatica64.com](https://reader036.vdocuments.pub/reader036/viewer/2022062418/552e9756550346ac768b4968/html5/thumbnails/23.jpg)
Cabecera ESP
Nuevo Nuevo encab. IPencab. IP
Nuevo Nuevo encab. IPencab. IP
ESPESPHdrHdr
ESPESPHdrHdr
Cifrado
Firmado
Autenticación del origen
Cifrado de los datos
Contra la retransmisión
Protección contra la suplantación
Carga de seguridad de encapsulación
Encab. IP Encab. IP originaloriginal
Encab. IP Encab. IP originaloriginal
Encab.Encab.TCP/UDPTCP/UDP
Encab.Encab.TCP/UDPTCP/UDP
Datos de Datos de aplicacionesaplicaciones
Datos de Datos de aplicacionesaplicaciones
Fin.Fin.ESPESP
Fin.Fin.ESPESP
Aut.ESP
Aut.ESP
![Page 24: IPSEC Código: HOL-WIN11 Juan Luis García Rambla jlrambla@informatica64.com](https://reader036.vdocuments.pub/reader036/viewer/2022062418/552e9756550346ac768b4968/html5/thumbnails/24.jpg)
IPSec - Firewalls
• IPSec se enruta como tráfico IPv4.
• En firewalls debe ser activado el reenvio IP para:– IP Protocol ID 50 (ESP).– IP Protocol ID 51 (AH).– UDP Port 500 (IKE).
• El tráfico IPSec que pasa por un firewall no puede ser inspeccionado.
![Page 25: IPSEC Código: HOL-WIN11 Juan Luis García Rambla jlrambla@informatica64.com](https://reader036.vdocuments.pub/reader036/viewer/2022062418/552e9756550346ac768b4968/html5/thumbnails/25.jpg)
filtersfiltersfiltersfilters
SA Establishment
NICNIC
TCPIPTCPIP
ApplicationApplicationServer or GatewayServer or Gateway
IPSecIPSecDriverDriver
IPSecIPSecPolicyAgentPolicyAgent
IKE (ISAKMP)IKE (ISAKMP)
IPSecIPSecDriverDriver
IPSecIPSecPolicyAgentPolicyAgent
IKE (ISAKMP)IKE (ISAKMP)
NICNIC
TCPIPTCPIP
App or ServiceApp or Serviceclientclient
““IKE Responder”IKE Responder”““IKE Initiator”IKE Initiator”
UDP port 500 UDP port 500 negotiationnegotiation
1 IKE SA1 IKE SA
2 IPSec SAs2 IPSec SAs
IP protocol 50/51IP protocol 50/51
![Page 26: IPSEC Código: HOL-WIN11 Juan Luis García Rambla jlrambla@informatica64.com](https://reader036.vdocuments.pub/reader036/viewer/2022062418/552e9756550346ac768b4968/html5/thumbnails/26.jpg)
Modos de trabajo
• El sistema IPSEC puede trabajar en dos modos:– Modo de transporte: donde la encriptación se realiza
de extremo a extremo.
– Modo túnel donde la encriptación se realiza únicamente entre los extremos del tunel.
![Page 27: IPSEC Código: HOL-WIN11 Juan Luis García Rambla jlrambla@informatica64.com](https://reader036.vdocuments.pub/reader036/viewer/2022062418/552e9756550346ac768b4968/html5/thumbnails/27.jpg)
Modos IPSEC
Cifrado
Modo de túnelProporciona cifrado y autenticación sólo entre los puntos finales del túnel
Cifrado
Modo de transporte
Proporciona cifrado y autenticación de extremo a extremo
![Page 28: IPSEC Código: HOL-WIN11 Juan Luis García Rambla jlrambla@informatica64.com](https://reader036.vdocuments.pub/reader036/viewer/2022062418/552e9756550346ac768b4968/html5/thumbnails/28.jpg)
Políticas de IPSEC
![Page 29: IPSEC Código: HOL-WIN11 Juan Luis García Rambla jlrambla@informatica64.com](https://reader036.vdocuments.pub/reader036/viewer/2022062418/552e9756550346ac768b4968/html5/thumbnails/29.jpg)
IPSec en Windows 2000- 2003
• Se configura mediante políticas.
– Almacenadas en el Directorio Activo o en en Registro Local del Servidor.
– Controlan la entrada y salida de paquetes permitidos.
![Page 30: IPSEC Código: HOL-WIN11 Juan Luis García Rambla jlrambla@informatica64.com](https://reader036.vdocuments.pub/reader036/viewer/2022062418/552e9756550346ac768b4968/html5/thumbnails/30.jpg)
IPSec - Política de cliente
• Modo de solo respuestas.
• Un sistema en modo cliente responde a peticiones que le realicen en IPSEC.
• No inicia conversaciones en modo IPSEC, solamente en claro.
![Page 31: IPSEC Código: HOL-WIN11 Juan Luis García Rambla jlrambla@informatica64.com](https://reader036.vdocuments.pub/reader036/viewer/2022062418/552e9756550346ac768b4968/html5/thumbnails/31.jpg)
IPSec - Políticas
• Podrán utilizarse políticas por defecto o las creadas manualmente.
• El sistema proporciona 3 políticas por defecto que van a determinar diferentes comportamientos de la máquina con respecto a IPSEC.– Cliente.– Servidor.– Servidor seguro.
![Page 32: IPSEC Código: HOL-WIN11 Juan Luis García Rambla jlrambla@informatica64.com](https://reader036.vdocuments.pub/reader036/viewer/2022062418/552e9756550346ac768b4968/html5/thumbnails/32.jpg)
Política de cliente
• Modo de solo respuestas.
• Un sistema en modo cliente responde a peticiones que le realicen en IPSEC.
• No inicia conversaciones en modo IPSEC, solamente en claro.
![Page 33: IPSEC Código: HOL-WIN11 Juan Luis García Rambla jlrambla@informatica64.com](https://reader036.vdocuments.pub/reader036/viewer/2022062418/552e9756550346ac768b4968/html5/thumbnails/33.jpg)
Política de servidor
• Intenta establecer comunicaciones encriptadas, pero si la otra máquina no tiene configurado IPSEC la comunicación se establece en claro.
• Este modo está definido por 3 reglas que determinan el comportamiento general del sistema a las peticiones:– IP.– ICMP.– Tráfico dinámico.
![Page 34: IPSEC Código: HOL-WIN11 Juan Luis García Rambla jlrambla@informatica64.com](https://reader036.vdocuments.pub/reader036/viewer/2022062418/552e9756550346ac768b4968/html5/thumbnails/34.jpg)
Política de Servidor Seguro
• El equipo solo puede establecer comunicaciones seguras.
• La política establece 3 reglas, para el tráfico de peticiones:– IP.– ICMP.– Tráfico dinámico.
![Page 35: IPSEC Código: HOL-WIN11 Juan Luis García Rambla jlrambla@informatica64.com](https://reader036.vdocuments.pub/reader036/viewer/2022062418/552e9756550346ac768b4968/html5/thumbnails/35.jpg)
Implementación IPSEC en un Implementación IPSEC en un HospitalHospital
Servidor B. de D.
Resto del Personal
Médico
Servidor SeguroServidor
No IPSEC
3ecto elgtasp3ecto elgtasp Texto claroTexto claroTexto Texto cifradocifrado
ConexiónConexión
![Page 36: IPSEC Código: HOL-WIN11 Juan Luis García Rambla jlrambla@informatica64.com](https://reader036.vdocuments.pub/reader036/viewer/2022062418/552e9756550346ac768b4968/html5/thumbnails/36.jpg)
IPSec - Despliegue
GPO
Domain
OU
Site
GPOGPO
• Despliegue centralizado desde el directorio activo.
• Configuración posible mediante plantillas.
![Page 37: IPSEC Código: HOL-WIN11 Juan Luis García Rambla jlrambla@informatica64.com](https://reader036.vdocuments.pub/reader036/viewer/2022062418/552e9756550346ac768b4968/html5/thumbnails/37.jpg)
Políticas de Grupo
![Page 38: IPSEC Código: HOL-WIN11 Juan Luis García Rambla jlrambla@informatica64.com](https://reader036.vdocuments.pub/reader036/viewer/2022062418/552e9756550346ac768b4968/html5/thumbnails/38.jpg)
Reglas IPSEC
• Las reglas IPSEC determinan el comportamiento del sistema en la transmisión de la información.
• Las reglas están compuestas por los siguientes objetos:– Filtros.– Acción de filtros.– Método de autentificación.
![Page 39: IPSEC Código: HOL-WIN11 Juan Luis García Rambla jlrambla@informatica64.com](https://reader036.vdocuments.pub/reader036/viewer/2022062418/552e9756550346ac768b4968/html5/thumbnails/39.jpg)
Configuración de Reglas IPSEC
• En la configuración de las reglas hay que especificar las siguientes acciones:– Determinar la posibilidad o no de establecer un túnel de
comunicación.
– Qué redes se van a ver afectadas por la regla.
– El método de autentificación inicial para la transmisión.
– Métodos de seguridad.
– Los filtros y las acciones de filtrado.
![Page 40: IPSEC Código: HOL-WIN11 Juan Luis García Rambla jlrambla@informatica64.com](https://reader036.vdocuments.pub/reader036/viewer/2022062418/552e9756550346ac768b4968/html5/thumbnails/40.jpg)
IPSec - Filtros
• En la configuración de los filtros hay que especificar los siguientes parámetros:– Determinar la posibilidad o no de establecer un túnel de
comunicación.
– Qué redes o equipos se van a ver afectados.
– El método de autentificación para la transmisión.
– Métodos de seguridad.
– Las acciones de filtrado.
![Page 41: IPSEC Código: HOL-WIN11 Juan Luis García Rambla jlrambla@informatica64.com](https://reader036.vdocuments.pub/reader036/viewer/2022062418/552e9756550346ac768b4968/html5/thumbnails/41.jpg)
Métodos de autentificación
• Determinan el proceso inicial de la comunicación IPSEC.
• Existen 3 metodologías de autentificación:– Clave Compartida.
– Kerberos.
– Certificado.
![Page 42: IPSEC Código: HOL-WIN11 Juan Luis García Rambla jlrambla@informatica64.com](https://reader036.vdocuments.pub/reader036/viewer/2022062418/552e9756550346ac768b4968/html5/thumbnails/42.jpg)
IPSec - Autenticación
• Kerberos– Requiere tiempo de sincronización.– Solo dentro del bosque.
• Certificados – Requiere la implementación de PKI.– CRL está deshabilitado por defecto.
• Secretos Compartidos.– Tan seguro como sea el secreto.– En entornos grandes es dificil de mantener.
![Page 43: IPSEC Código: HOL-WIN11 Juan Luis García Rambla jlrambla@informatica64.com](https://reader036.vdocuments.pub/reader036/viewer/2022062418/552e9756550346ac768b4968/html5/thumbnails/43.jpg)
Métodos de seguridad
• Determina la seguridad de la transmisión de la información.
• Se pueden definir:– Integridad AH (Algoritmos SHA1, MD5).
– Integridad ESP (Algoritmos SHA1, MD5).
– Confidencialidad ESP (Algoritmos DES, 3DES).
![Page 44: IPSEC Código: HOL-WIN11 Juan Luis García Rambla jlrambla@informatica64.com](https://reader036.vdocuments.pub/reader036/viewer/2022062418/552e9756550346ac768b4968/html5/thumbnails/44.jpg)
Boletín quincenal TechNews
![Page 45: IPSEC Código: HOL-WIN11 Juan Luis García Rambla jlrambla@informatica64.com](https://reader036.vdocuments.pub/reader036/viewer/2022062418/552e9756550346ac768b4968/html5/thumbnails/45.jpg)
Contactos
• Informática 64– http://www.informatica64.com– [email protected]– +34 91 665 99 98
• Profesor– [email protected]