Post on 28-Sep-2018
PONTIFICIA UNIVERSIDAD JAVERIANA
Módulo Seguridad 2Diplomado Desarrollo de Aplicaciones
para InternetIngeniero Germán A Chavarro F., M.Sc
Pontificia Universidad JaverianaJulio 2004
Arquitectura de Redes
• Modelo de Referencia• Protocolos
Arquitectura - Modelo de Referencia (OSI)
Computador 1 Computador 2
6
7
Físico
Enlace
Red
Transporte
Sesión
Presentación
Aplicación
Físico
Enlace
Red
Transporte
Sesión
Presentación
AplicaciónInterfaz
Protocolo Aplicación
Protocolo Presentación
Protocolo Sesión5
Protocolo Transporte4
Protocolo Red3 PaqueteProtocolo Enlace Frame2
Protocolo Físico Bit1
Modelo - Nivel Físico
• Transmisión de bits• Características del
medio– Voltaje 1/0– Tiempo– Dirección
• Uni o bi-direccional
• Interfaz– Eléctrica/mecánica
Modelo - Nivel Enlace
• Punto a punto• Cada enlace es libre
de errores• Divide en frames• Regula tráfico• Acceso al canal
compartido (broadcast) Frame enviado por
Sitio 1
Confirmación enviada porSitio 2
Sitio 2
Sitio 1
Sitio 3
Modelo - Nivel Red
• Enrutamiento de paquetes
• Control de Congestión
• Contabilidad por uso• Direccionamiento• Diferentes tamaños
de paquetes
A
B
Modelo - Nivel Transporte
• Capa de extremo a extremo– Origen a destino
• Manejo de múltiples conexiones• Establecer y eliminar conexiones• Control de Flujo• División en paquetes• Multiplexa o divide
Modelo - Nivel Sesión
• Establecer sesiones• Servicios adicionales
– Ingreso remoto– Transferencia confiable
• Control de diálogo• Sincronización y recuperación• No siempre presente
Modelo - Nivel Presentación
• No sólo interesada en mover bits• Tiene que ver con la sintaxis y semántica
de la información transmitida• Codificación de los caracteres
– EBCDIC, ASCII• No siempre presente
Modelo - Nivel Aplicación
• Le da sentido a la comunicación• Editor con múltiples terminales• Correo Electrónico• Trabajo remoto• Comunicación a nivel aplicativo
Germán Chavarro 11
Niveles de Red y Transporte
• Protocolo IP• Protocolo TCP / UDP
Germán Chavarro 12
Nivel de Red
• Transporta paquetes de información (datagramas) desde el origen a un destino, sin importar si las máquinas están en la misma red o si existen otras redes entre ellas.
• Enrutamiento de paquetes• Manejo de “Internetworking”: Diferentes
redes que se comunican entre sí
Germán Chavarro 13
Enrutamiento
R
R
R
R
Enrutador deMúltiple ProtocoloEnrutador
Equipo 1
Los paquetes viajan en forma individual ypueden tomar diferentes rutas
Equipo 2
Germán Chavarro 14
Nivel de Red - IP
• Internet Protocol• Mantiene la Internet junta• Direccionamiento• Enrutadores
Germán Chavarro 15
Encabezado y cuerpo IP
Versión IHL Tipo de Servicio Longitud totalIdentificación Banderas Desplazamientos de fragmentación
Tiempo de vida Protocolo Suma de verificaciónDirección fuenteDirección destino
Opciones RellenoLa información comienza aquí ...
1234556
0 4 8 12 16 20 24 28 32
Pala
bras
Bits
Enca
bez a
d o
Germán Chavarro 16
IP - Direccionamiento
10-01
10-03
10-02
10-04
10-05
Calle 165
Avenida Q
uito
Calle 165 No. 10-03
Germán Chavarro 17
IP - DireccionamientoROUTER 001.001=> DIRECCION IP137.200.001.001
HOST 200.001=> DIRECCION IP137.200.200.001
HOST 001.100=> DIRECCION IP128.100.001.100
Enrutador
HOST 001.100=> DIRECCION IP137.200.001.100 Enrutador
ROUTER 001.004=> DIRECCION IP128.100.001.004
HOST 001.102=> DIRECCION IP128.100.001.102
RED 128.100RED 137.200
Germán Chavarro 18
IP - Direccionamiento• Unica en la red• 32 Bits en cuatro octetos (8 bits)
WWW.XXX.YYY.ZZZA 1.0.0.0 hasta 126.255.255.255
126 redes con 16 millones de hostsRED Host
RED HostB 128.0.0.0 hasta 191.255.255.255
16382 redes con 64.000 hosts
C 192.0.0.0 hasta 223.255.255.2552 millones de redes con 254 hosts
HostRED 224.0.0.0 hasta 255.255.255.255 Otros usos
Germán Chavarro 19
TCP- Transmission Control Protocol
• Ofrecer servicio eficiente, confiable y efectivo en costo a procesos en el nivel de aplicación.
• Establece conexiones origen-destino• Manejo de congestión• Ordenamiento de Datagramas• Protección• Direccionamiento
Germán Chavarro 20
TCP - Conexión
• Direccionamiento - Puntos Finales (Sockets)– Dirección IP– Puerto (Identifica el proceso)
• Puertos “conocidos”– 21 FTP– 23 Telnet– 80 WWW
Germán Chavarro 21
Encabezado y cuerpo TCP
Puerto Origen Puerto DestinoNúmero de secuenciaNúmero de acuse (ack)
Suma de comprobaciónOpciones (0 o más pal. de 32 bits)
La información comienza aquí ...
1234567
0 4 8 12 16 20 24 28 32
Pala
bras
Bits
Enca
beza
do
Long FSRPAU Tamaño de la ventanaApuntador Urgente
Germán Chavarro 22
Inicio de SesiónThree Way Handshake
SYN – Solicita ConexiónSeq= x
SYN / ACK Acepta Conexi
Seq= y, Ack=x+1ón
ACK – Confirma ConexiónSeq = x+1, Ack= y+1
Equipo 2Equipo 1
Germán Chavarro 23
TCP - Manejo de ventanasBuffer
ACK=4096 WIN=0
2k SEQ=0Envía 2048 bytesVacío
4096
ACK=2048 WIN=20482k
2k SEQ=2048Envía 2048 bytes
Lleno
OriginadorBloqueado
Aplicación lee2k
ACK=4096 WIN=20482k
Puede enviarhasta 2K
Envía Recibe
Germán Chavarro 24
IPv6 General
• Nuevo protocolo con– Mayor espacio de direcciones– Encabezado mejorado– Inclusión de seguridad y movilidad– Posibilidad de expansión– Transición de IPv4 a IPv6
Germán Chavarro 25
Formato IPv6
Vers0 3116
Etiqueta de FlujoLong. Payload Prox. Encabeza. Límite saltos
Dirección Fuente
Dirección Destino
24
Germán Chavarro 26
Direcciones IPv6
IPv4 = 32 bits
IPv6 = 128 bits
• IPv6– 128 bits – Aprox. 3.4 * 1038 posibles direcciones– Representación de direcciones
• FE80:0000:0000:0000:0001:0800:23e7:f5db• FE80:0:0:0:1:800:23e7:f5db• FE80::1:800:23e7:f5db
Germán Chavarro 27
Encabezados IPv6
Encab. TCP+ Datos
Encabezado baseIPv6 N H = TCP
Encab. DestinationN H = TCP
Encab. TCP+ Datos
Encabezado baseIPv6 N H = Enrutam.
Encab. Enrutam.N H = Destinat
Encab. Enrutam.N H = TCP
Encabezado baseIPv6 N H = Enrutam.
Encab. TCP+ Datos
Germán Chavarro 28
Protección Nivel FísicoManejo de Tráfico
• Objetivo– Disminuir el tráfico (Disponibilidad)
• Eliminar tráfico innecesario– Restringir tráfico (Integridad)– Proteger el tráfico de terceros
(Confidencialidad)
Germán Chavarro 29
Protección Nivel FísicoManejo de Tráfico
• Uso de equipos de Red– Concentradores (Hubs)– Puentes (Switches)– Enrutadores (Routers)
Germán Chavarro 30
Hubs
• Repetidor Multipuerto– Recibe– Regenera señal
• Prueba puertos• Rechaza frames inválidos• Todos “contienden” por el medio
Germán Chavarro 31
Hubs - Expandir una red
B
DCA
Germán Chavarro 32
Puentes (Switches Nivel 2)
• “Backplanes” más rápidos• Buffer de memoria en los puertos• Capaces de examinar direcciones (Nivel
2)• Operación de conmutación• Capacidad de trabajo full-duplex• Proveen un segmento de red en cada
puerto• Separan dominios de colisión
Germán Chavarro 33
Switches100 Mbps
Servidor
SwitchEthernet
100 Mbps ServidorShared Ethernet
Shared Ethernet
10 MbpsServidor
A otrosHubs
10 Mbps ServidorFull Duplex
Germán Chavarro 34
Enrutadores• Opera a Nivel 3 (Red)• Extiende la red con múltiples enlaces
de datos• Determina camino apropiado• Opera con protocolos de red iguales e
ambos lados. Ej: IP, IPX.• Separan dominios de broadcast
Germán Chavarro 35
Enrutadores - Utilización
R1
BOGOTA MEDELLIN
R2
R3
R4
Red CRed B
Red A Red D
Red EB/MANGA
CALI
Red F Red G
Germán Chavarro 36
Protección Protocolos
Germán Chavarro 37
Cómo es un paquete
• Nivel de aplicación (FTP, Telnet, HTTP)• Nivel de transporte (TCP, UDP)• Nivel de Red (IP)• Nivel de acceso a la red (Ethernet, FDDI,
ATM)
Germán Chavarro 38
Encapsulamiento de la información
Encabezado
Encabezado
Encabezado
Información
Información
Encabezado Información
Encabezado Encabezado Información
Nivel de Aplicación(SMPT, Telnet, Ftp)
Nivel de Transporte(TCP, UDP, ICMP)
Nivel de Internet(IP)
Nivel de accesoDe red(Ethernet, ATM,etc)
Germán Chavarro 39
Protocolos
Capa de protocolos de
seguridad
Germán Chavarro 40
Protocolos
Arquitectura de un protocolo
de seguridad
Germán Chavarro 41
El protocolo PPP(Acceso remoto)
pppAutenticaciónAutorizaciónA (Contabilidad)
Serv. Radius
RAS
ISP
INTERNET
Germán Chavarro 42
PPP
• Sobre líneas seriales o punto a punto• Bidireccional• Full duplex• Negociación de capacidades y opciones• Permite autenticación
– PAP, CHAP
Germán Chavarro 43
PPP y el modelo de capas
Browser
http
tcp
ip
ppp
hdlc
ip
ppp
hdlchdlc
ppp
ip
RAS
DriverEthernet
DriverEthernet
802.3 (ej: 10BaseT)
Ethernet
ip
tcp
http
Serv. Web
Servidor
ISP
ip
httpAplic.
tcpTpte.
Red
Enlace
Física
RDSICliente
Germán Chavarro 44
Autenticación CHAP con PPP
CHAP Challenge
CHAP responseAccess Request
Valida…
Access Accept
CHAP Success
ÉXITO!
ServidorRADIUSServidor de accesoUsuario
Germán Chavarro 45
PPP a través de Internet con L2TP
L2TP AccessConcentrator (LAC)
ISP 1Internet Service Provider
AutenticaciónAutorizaciónContabilidadDirecciones
L2TP Network Server (LNS)
Punto dePresencia
virtual
PPP
PPP
Proveedor de servicioDe red (NSP)
ISP 2 Internet Service Provider
AutenticaciónAutorizaciónContabilidadDirecciones
L2TP Network Server (LNS)
Túnel L2TP
Internet
Germán Chavarro 46
EntunelamientoL2TP
• Protocolo para transmitir PPP sobre Internet• Crea Túnel entre:
– Punto de presencia virtual (NSP) y el ISP– ISP y el sitio corporativo
• Puntos extremos del túnel– Concentrador (LAC)– Servidor (LNS)
• Requiere transporte que permita conectividad punto a punto– ATM, Frame Relay, UDP
47
L2TP y el modelo de capasBrowser
http
tcp
ip
ppp
hdlc
ip
ppp
hdlc
RDSI
hdlc
ppp
ip
Ethernet DriverEthernet
802.3 (ej: 10BaseT)
Eth
ip
tcp
http
Serv. Web
Servidor
ip
httpAplic.
ATM
l2tpudp
ip
ATM
hdlc
l2tp
udp
ip
ATM
tcpTpte.
Red
Enlace
Física
Cliente
Germán Chavarro 48
Virtual Private Networks
Germán Chavarro 49
VPN
• Uso de la infraestructura de una red pública para hacer conexiones entre nodos dispersos– Evita uso de líneas dedicadas– Luce como una red privada– Ofrece seguridad
Germán Chavarro 50
VPN
LineasDedicadas
OficinasCentrales
Regional 2Regional 1
Germán Chavarro 51
VPNOficinasCentrales
Red Pública(Internet,FR,ATM,etc) Regional 2
Regional 3
Regional 1
Germán Chavarro 52
VPN
• Tunneling– Encapsulamiento
• Seguridad– Encripción– Autenticación– Verificación
Germán Chavarro 53
Ejemplos de Protocolos• PPTP
– Point to Point Tunneling protocol• L2F
– Layer 2 Forwarding Protocol• L2TP
– Layer 2 Tunneling Protocol• IPSec
– Windows 2000, CISCO
Germán Chavarro 54
VPNEncapsulación y Tunneling
Payload original
NuevoEncab.
IP
Encab.IP
Nuevo payload
Germán Chavarro 55
VPN con L2TPEncapsulación y Tunneling
Compañia 1
AutenticaciónAutorizaciónContabilidadDirecciones
L2TP Network Server (LNS)Compañía 2
AutenticaciónAutorizaciónContabilidadDirecciones
L2TP Network Server (LNS)
Túnel L2TP
Internet
LAN Edificio compartido
De oficinasC.1
C.2
56
VPN y el modelo de capas
ip
Browser
http
tcp
ip
ppp
hdlc
ip
ppp ppp
ip
Ethernet Ethernet
802.3 (ej: 10BaseT)
Eth
ip
tcp
http
Serv. Web
Servidor
ip
httpAplic.
l2tpudp
ip
Ethern.
hdlc
l2tp
udp
ip
ATMATM
802.3
Eth.
Router
l2tpudp
Servidor túnel
tcpTpte.
Red
Cliente ATM
Germán Chavarro 57
Clientes VPN• Túnel encriptado desde el cliente
remoto hasta la red corporativa• Independiente de la tecnología de
acceso• Uso de estándares
– IPsec
Germán Chavarro 58
VPNs• Intranet VPN
– Conectando oficinas remotas de la compañía
• Extranet VPN– Extiende conectividad a socios de negocios
Germán Chavarro 59
PPTP• Puede llevar datos de protocolos IP,
AppleTalk, IPX• Puede usar PPP para conexión inicial
del cliente remoto• Implementado en software• Filtrado por algunos ISP
Germán Chavarro 60
PPTP
• Autenticación– ISP– Password
• Encripción– Llave privada usando DES
• Usa password para generar llave
Germán Chavarro 61
Seguridad a nivel de capa de Red
IPsec
Germán Chavarro 62
IPsec• Estándar a nivel de capa de red• No requiere modificar programas• Servicios de
– Confidencialidad– Integridad (Autenticación de datos)– Contra ataques de respuesta
• Basado en criptografía simétrica• Independiente de los algoritmos• Puede proteger
– Conexión TCP– Todo el tráfico entre pareja de hosts– Todo el tráfico entre pareja de enrutadores
Germán Chavarro 63
IPsec
• SA Security Association– “conexión” simplex para IPsec– Identificación de seguridad
• Componentes– Protocolos de seguridad en Encabezados
• Contiene SID, Nro. Secuencia, chequeo de carga• AH, ESP
– ISAKMP (Int. Security Ass. Key Mgmt. Prot.)• Establecer llaves
Germán Chavarro 64
IPsecModos de Uso
• Transporte– Encabezado después del encab. IP
• Túnel– El paquete IP es encapsulado en un nuevo
paquete IP– Manejado por gateway de seguridad (firewall)– Agregación de conexiones TCP
Germán Chavarro 65
IPsecAuthenticationHeader(Integridad y autenticación)
Autenticado
Encab. IP AH Encab. TCP Carga (Datos)
Security Parameter Index
Nro. Secuencia
HMAC (Hashed Message. Auth. Code)
NH Long. Payl.
Firma digital delos datos
Modo Transporte
Germán Chavarro 66
ESP (Encapsulating SecurityPayload)
Confidencialidad, Integridad y anti-respuestaModo TransporteAutenticado
Encab.IP
Encab.ESP
Encab.TCP
Datos HMAC
EncriptadoModo Túnel
Autenticado
Encab.IP
Encab.ESP
DatosDatosEncab.TCP HMACEnc.
Viejo IP
Encriptado
Germán Chavarro 67
Seguridad en IPv6
• IPv6 e IPSec– Ofrece encripción y autenticación– Extremo a Extremo– Uso de los encabezados de IPv6
IPv6 Internet
Germán Chavarro 68
Posibles debilidades de TCP/IP
• Denial of Service– Ataque de inundación de SYN– Ping de la muerte– Inundación de puertos UDP– Ping multicast
• Manipulación de campos IP• Suplantación (IP Spoofing)• Manipulación de campos TCP / UDP
Germán Chavarro 69
Posibles debilidades de TCP/IP
• Mal uso de puertos– Usar “scan ports”
• Servicios de información – Finger– Nslookup
Germán Chavarro 70
Reducir riesgos
Ej:PROTEGER PUERTOS!!!
Puerto 80
Puerto 25
Puerto 110