PONTIFICIA UNIVERSIDAD JAVERIANA

Módulo Seguridad 2Diplomado Desarrollo de Aplicaciones

para InternetIngeniero Germán A Chavarro F., M.Sc

Pontificia Universidad JaverianaJulio 2004

Arquitectura de Redes

• Modelo de Referencia• Protocolos

Arquitectura - Modelo de Referencia (OSI)

Computador 1 Computador 2

6

7

Físico

Enlace

Red

Transporte

Sesión

Presentación

Aplicación

Físico

Enlace

Red

Transporte

Sesión

Presentación

AplicaciónInterfaz

Protocolo Aplicación

Protocolo Presentación

Protocolo Sesión5

Protocolo Transporte4

Protocolo Red3 PaqueteProtocolo Enlace Frame2

Protocolo Físico Bit1

Modelo - Nivel Físico

• Transmisión de bits• Características del

medio– Voltaje 1/0– Tiempo– Dirección

• Uni o bi-direccional

• Interfaz– Eléctrica/mecánica

Modelo - Nivel Enlace

• Punto a punto• Cada enlace es libre

de errores• Divide en frames• Regula tráfico• Acceso al canal

compartido (broadcast) Frame enviado por

Sitio 1

Confirmación enviada porSitio 2

Sitio 2

Sitio 1

Sitio 3

Modelo - Nivel Red

• Enrutamiento de paquetes

• Control de Congestión

• Contabilidad por uso• Direccionamiento• Diferentes tamaños

de paquetes

A

B

Modelo - Nivel Transporte

• Capa de extremo a extremo– Origen a destino

• Manejo de múltiples conexiones• Establecer y eliminar conexiones• Control de Flujo• División en paquetes• Multiplexa o divide

Modelo - Nivel Sesión

• Establecer sesiones• Servicios adicionales

– Ingreso remoto– Transferencia confiable

• Control de diálogo• Sincronización y recuperación• No siempre presente

Modelo - Nivel Presentación

• No sólo interesada en mover bits• Tiene que ver con la sintaxis y semántica

de la información transmitida• Codificación de los caracteres

– EBCDIC, ASCII• No siempre presente

Modelo - Nivel Aplicación

• Le da sentido a la comunicación• Editor con múltiples terminales• Correo Electrónico• Trabajo remoto• Comunicación a nivel aplicativo

Germán Chavarro 11

Niveles de Red y Transporte

• Protocolo IP• Protocolo TCP / UDP

Germán Chavarro 12

Nivel de Red

• Transporta paquetes de información (datagramas) desde el origen a un destino, sin importar si las máquinas están en la misma red o si existen otras redes entre ellas.

• Enrutamiento de paquetes• Manejo de “Internetworking”: Diferentes

redes que se comunican entre sí

Germán Chavarro 13

Enrutamiento

R

R

R

R

Enrutador deMúltiple ProtocoloEnrutador

Equipo 1

Los paquetes viajan en forma individual ypueden tomar diferentes rutas

Equipo 2

Germán Chavarro 14

Nivel de Red - IP

• Internet Protocol• Mantiene la Internet junta• Direccionamiento• Enrutadores

Germán Chavarro 15

Encabezado y cuerpo IP

Versión IHL Tipo de Servicio Longitud totalIdentificación Banderas Desplazamientos de fragmentación

Tiempo de vida Protocolo Suma de verificaciónDirección fuenteDirección destino

Opciones RellenoLa información comienza aquí ...

1234556

0 4 8 12 16 20 24 28 32

Pala

bras

Bits

Enca

bez a

d o

Germán Chavarro 16

IP - Direccionamiento

10-01

10-03

10-02

10-04

10-05

Calle 165

Avenida Q

uito

Calle 165 No. 10-03

Germán Chavarro 17

IP - DireccionamientoROUTER 001.001=> DIRECCION IP137.200.001.001

HOST 200.001=> DIRECCION IP137.200.200.001

HOST 001.100=> DIRECCION IP128.100.001.100

Enrutador

HOST 001.100=> DIRECCION IP137.200.001.100 Enrutador

ROUTER 001.004=> DIRECCION IP128.100.001.004

HOST 001.102=> DIRECCION IP128.100.001.102

RED 128.100RED 137.200

Germán Chavarro 18

IP - Direccionamiento• Unica en la red• 32 Bits en cuatro octetos (8 bits)

WWW.XXX.YYY.ZZZA 1.0.0.0 hasta 126.255.255.255

126 redes con 16 millones de hostsRED Host

RED HostB 128.0.0.0 hasta 191.255.255.255

16382 redes con 64.000 hosts

C 192.0.0.0 hasta 223.255.255.2552 millones de redes con 254 hosts

HostRED 224.0.0.0 hasta 255.255.255.255 Otros usos

Germán Chavarro 19

TCP- Transmission Control Protocol

• Ofrecer servicio eficiente, confiable y efectivo en costo a procesos en el nivel de aplicación.

• Establece conexiones origen-destino• Manejo de congestión• Ordenamiento de Datagramas• Protección• Direccionamiento

Germán Chavarro 20

TCP - Conexión

• Direccionamiento - Puntos Finales (Sockets)– Dirección IP– Puerto (Identifica el proceso)

• Puertos “conocidos”– 21 FTP– 23 Telnet– 80 WWW

Germán Chavarro 21

Encabezado y cuerpo TCP

Puerto Origen Puerto DestinoNúmero de secuenciaNúmero de acuse (ack)

Suma de comprobaciónOpciones (0 o más pal. de 32 bits)

La información comienza aquí ...

1234567

0 4 8 12 16 20 24 28 32

Pala

bras

Bits

Enca

beza

do

Long FSRPAU Tamaño de la ventanaApuntador Urgente

Germán Chavarro 22

Inicio de SesiónThree Way Handshake

SYN – Solicita ConexiónSeq= x

SYN / ACK Acepta Conexi

Seq= y, Ack=x+1ón

ACK – Confirma ConexiónSeq = x+1, Ack= y+1

Equipo 2Equipo 1

Germán Chavarro 23

TCP - Manejo de ventanasBuffer

ACK=4096 WIN=0

2k SEQ=0Envía 2048 bytesVacío

4096

ACK=2048 WIN=20482k

2k SEQ=2048Envía 2048 bytes

Lleno

OriginadorBloqueado

Aplicación lee2k

ACK=4096 WIN=20482k

Puede enviarhasta 2K

Envía Recibe

Germán Chavarro 24

IPv6 General

• Nuevo protocolo con– Mayor espacio de direcciones– Encabezado mejorado– Inclusión de seguridad y movilidad– Posibilidad de expansión– Transición de IPv4 a IPv6

Germán Chavarro 25

Formato IPv6

Vers0 3116

Etiqueta de FlujoLong. Payload Prox. Encabeza. Límite saltos

Dirección Fuente

Dirección Destino

24

Germán Chavarro 26

Direcciones IPv6

IPv4 = 32 bits

IPv6 = 128 bits

• IPv6– 128 bits – Aprox. 3.4 * 1038 posibles direcciones– Representación de direcciones

• FE80:0000:0000:0000:0001:0800:23e7:f5db• FE80:0:0:0:1:800:23e7:f5db• FE80::1:800:23e7:f5db

Germán Chavarro 27

Encabezados IPv6

Encab. TCP+ Datos

Encabezado baseIPv6 N H = TCP

Encab. DestinationN H = TCP

Encab. TCP+ Datos

Encabezado baseIPv6 N H = Enrutam.

Encab. Enrutam.N H = Destinat

Encab. Enrutam.N H = TCP

Encabezado baseIPv6 N H = Enrutam.

Encab. TCP+ Datos

Germán Chavarro 28

Protección Nivel FísicoManejo de Tráfico

• Objetivo– Disminuir el tráfico (Disponibilidad)

• Eliminar tráfico innecesario– Restringir tráfico (Integridad)– Proteger el tráfico de terceros

(Confidencialidad)

Germán Chavarro 29

Protección Nivel FísicoManejo de Tráfico

• Uso de equipos de Red– Concentradores (Hubs)– Puentes (Switches)– Enrutadores (Routers)

Germán Chavarro 30

Hubs

• Repetidor Multipuerto– Recibe– Regenera señal

• Prueba puertos• Rechaza frames inválidos• Todos “contienden” por el medio

Germán Chavarro 31

Hubs - Expandir una red

B

DCA

Germán Chavarro 32

Puentes (Switches Nivel 2)

• “Backplanes” más rápidos• Buffer de memoria en los puertos• Capaces de examinar direcciones (Nivel

2)• Operación de conmutación• Capacidad de trabajo full-duplex• Proveen un segmento de red en cada

puerto• Separan dominios de colisión

Germán Chavarro 33

Switches100 Mbps

Servidor

SwitchEthernet

100 Mbps ServidorShared Ethernet

Shared Ethernet

10 MbpsServidor

A otrosHubs

10 Mbps ServidorFull Duplex

Germán Chavarro 34

Enrutadores• Opera a Nivel 3 (Red)• Extiende la red con múltiples enlaces

de datos• Determina camino apropiado• Opera con protocolos de red iguales e

ambos lados. Ej: IP, IPX.• Separan dominios de broadcast

Germán Chavarro 35

Enrutadores - Utilización

R1

BOGOTA MEDELLIN

R2

R3

R4

Red CRed B

Red A Red D

Red EB/MANGA

CALI

Red F Red G

Germán Chavarro 36

Protección Protocolos

Germán Chavarro 37

Cómo es un paquete

• Nivel de aplicación (FTP, Telnet, HTTP)• Nivel de transporte (TCP, UDP)• Nivel de Red (IP)• Nivel de acceso a la red (Ethernet, FDDI,

ATM)

Germán Chavarro 38

Encapsulamiento de la información

Encabezado

Encabezado

Encabezado

Información

Información

Encabezado Información

Encabezado Encabezado Información

Nivel de Aplicación(SMPT, Telnet, Ftp)

Nivel de Transporte(TCP, UDP, ICMP)

Nivel de Internet(IP)

Nivel de accesoDe red(Ethernet, ATM,etc)

Germán Chavarro 39

Protocolos

Capa de protocolos de

seguridad

Germán Chavarro 40

Protocolos

Arquitectura de un protocolo

de seguridad

Germán Chavarro 41

El protocolo PPP(Acceso remoto)

pppAutenticaciónAutorizaciónA (Contabilidad)

Serv. Radius

RAS

ISP

INTERNET

Germán Chavarro 42

PPP

• Sobre líneas seriales o punto a punto• Bidireccional• Full duplex• Negociación de capacidades y opciones• Permite autenticación

– PAP, CHAP

Germán Chavarro 43

PPP y el modelo de capas

Browser

http

tcp

ip

ppp

hdlc

ip

ppp

hdlchdlc

ppp

ip

RAS

DriverEthernet

DriverEthernet

802.3 (ej: 10BaseT)

Ethernet

ip

tcp

http

Serv. Web

Servidor

ISP

ip

httpAplic.

tcpTpte.

Red

Enlace

Física

RDSICliente

Germán Chavarro 44

Autenticación CHAP con PPP

CHAP Challenge

CHAP responseAccess Request

Valida…

Access Accept

CHAP Success

ÉXITO!

ServidorRADIUSServidor de accesoUsuario

Germán Chavarro 45

PPP a través de Internet con L2TP

L2TP AccessConcentrator (LAC)

ISP 1Internet Service Provider

AutenticaciónAutorizaciónContabilidadDirecciones

L2TP Network Server (LNS)

Punto dePresencia

virtual

PPP

PPP

Proveedor de servicioDe red (NSP)

ISP 2 Internet Service Provider

AutenticaciónAutorizaciónContabilidadDirecciones

L2TP Network Server (LNS)

Túnel L2TP

Internet

Germán Chavarro 46

EntunelamientoL2TP

• Protocolo para transmitir PPP sobre Internet• Crea Túnel entre:

– Punto de presencia virtual (NSP) y el ISP– ISP y el sitio corporativo

• Puntos extremos del túnel– Concentrador (LAC)– Servidor (LNS)

• Requiere transporte que permita conectividad punto a punto– ATM, Frame Relay, UDP

47

L2TP y el modelo de capasBrowser

http

tcp

ip

ppp

hdlc

ip

ppp

hdlc

RDSI

hdlc

ppp

ip

Ethernet DriverEthernet

802.3 (ej: 10BaseT)

Eth

ip

tcp

http

Serv. Web

Servidor

ip

httpAplic.

ATM

l2tpudp

ip

ATM

hdlc

l2tp

udp

ip

ATM

tcpTpte.

Red

Enlace

Física

Cliente

Germán Chavarro 48

Virtual Private Networks

Germán Chavarro 49

VPN

• Uso de la infraestructura de una red pública para hacer conexiones entre nodos dispersos– Evita uso de líneas dedicadas– Luce como una red privada– Ofrece seguridad

Germán Chavarro 50

VPN

LineasDedicadas

OficinasCentrales

Regional 2Regional 1

Germán Chavarro 51

VPNOficinasCentrales

Red Pública(Internet,FR,ATM,etc) Regional 2

Regional 3

Regional 1

Germán Chavarro 52

VPN

• Tunneling– Encapsulamiento

• Seguridad– Encripción– Autenticación– Verificación

Germán Chavarro 53

Ejemplos de Protocolos• PPTP

– Point to Point Tunneling protocol• L2F

– Layer 2 Forwarding Protocol• L2TP

– Layer 2 Tunneling Protocol• IPSec

– Windows 2000, CISCO

Germán Chavarro 54

VPNEncapsulación y Tunneling

Payload original

NuevoEncab.

IP

Encab.IP

Nuevo payload

Germán Chavarro 55

VPN con L2TPEncapsulación y Tunneling

Compañia 1

AutenticaciónAutorizaciónContabilidadDirecciones

L2TP Network Server (LNS)Compañía 2

AutenticaciónAutorizaciónContabilidadDirecciones

L2TP Network Server (LNS)

Túnel L2TP

Internet

LAN Edificio compartido

De oficinasC.1

C.2

56

VPN y el modelo de capas

ip

Browser

http

tcp

ip

ppp

hdlc

ip

ppp ppp

ip

Ethernet Ethernet

802.3 (ej: 10BaseT)

Eth

ip

tcp

http

Serv. Web

Servidor

ip

httpAplic.

l2tpudp

ip

Ethern.

hdlc

l2tp

udp

ip

ATMATM

802.3

Eth.

Router

l2tpudp

Servidor túnel

tcpTpte.

Red

Cliente ATM

Germán Chavarro 57

Clientes VPN• Túnel encriptado desde el cliente

remoto hasta la red corporativa• Independiente de la tecnología de

acceso• Uso de estándares

– IPsec

Germán Chavarro 58

VPNs• Intranet VPN

– Conectando oficinas remotas de la compañía

• Extranet VPN– Extiende conectividad a socios de negocios

Germán Chavarro 59

PPTP• Puede llevar datos de protocolos IP,

AppleTalk, IPX• Puede usar PPP para conexión inicial

del cliente remoto• Implementado en software• Filtrado por algunos ISP

Germán Chavarro 60

PPTP

• Autenticación– ISP– Password

• Encripción– Llave privada usando DES

• Usa password para generar llave

Germán Chavarro 61

Seguridad a nivel de capa de Red

IPsec

Germán Chavarro 62

IPsec• Estándar a nivel de capa de red• No requiere modificar programas• Servicios de

– Confidencialidad– Integridad (Autenticación de datos)– Contra ataques de respuesta

• Basado en criptografía simétrica• Independiente de los algoritmos• Puede proteger

– Conexión TCP– Todo el tráfico entre pareja de hosts– Todo el tráfico entre pareja de enrutadores

Germán Chavarro 63

IPsec

• SA Security Association– “conexión” simplex para IPsec– Identificación de seguridad

• Componentes– Protocolos de seguridad en Encabezados

• Contiene SID, Nro. Secuencia, chequeo de carga• AH, ESP

– ISAKMP (Int. Security Ass. Key Mgmt. Prot.)• Establecer llaves

Germán Chavarro 64

IPsecModos de Uso

• Transporte– Encabezado después del encab. IP

• Túnel– El paquete IP es encapsulado en un nuevo

paquete IP– Manejado por gateway de seguridad (firewall)– Agregación de conexiones TCP

Germán Chavarro 65

IPsecAuthenticationHeader(Integridad y autenticación)

Autenticado

Encab. IP AH Encab. TCP Carga (Datos)

Security Parameter Index

Nro. Secuencia

HMAC (Hashed Message. Auth. Code)

NH Long. Payl.

Firma digital delos datos

Modo Transporte

Germán Chavarro 66

ESP (Encapsulating SecurityPayload)

Confidencialidad, Integridad y anti-respuestaModo TransporteAutenticado

Encab.IP

Encab.ESP

Encab.TCP

Datos HMAC

EncriptadoModo Túnel

Autenticado

Encab.IP

Encab.ESP

DatosDatosEncab.TCP HMACEnc.

Viejo IP

Encriptado

Germán Chavarro 67

Seguridad en IPv6

• IPv6 e IPSec– Ofrece encripción y autenticación– Extremo a Extremo– Uso de los encabezados de IPv6

IPv6 Internet

Germán Chavarro 68

Posibles debilidades de TCP/IP

• Denial of Service– Ataque de inundación de SYN– Ping de la muerte– Inundación de puertos UDP– Ping multicast

• Manipulación de campos IP• Suplantación (IP Spoofing)• Manipulación de campos TCP / UDP

Germán Chavarro 69

Posibles debilidades de TCP/IP

• Mal uso de puertos– Usar “scan ports”

• Servicios de información – Finger– Nslookup

Germán Chavarro 70

Reducir riesgos

Ej:PROTEGER PUERTOS!!!

Puerto 80

Puerto 25

Puerto 110