Www.ingrammicro.es David Bayo [email protected] VPN Ciclos Formación Cisco.

www.ingramwww.ingrammicromicro.es.eswww.cisco.comwww.cisco.com

David [email protected]

VPNVPNCCiclosiclosFFormación ormación CCiscoisco


¿Cómo hacer ahorrar costes a vuestros

clientes, y que a la vez, contraten vuestros

servicios adquiriendo nuevo equipamiento e

ingeniería?

PreguntaPregunta


RespuestaRespuesta

Tecnología VPN


Agenda

• Introducción

• IPSec

• Encriptación

• Hashing / Firmas digitales

• IKE

• Certificados digitales

• Familia VPN 3000

• Preguntas


Las redes del futuroLas redes del futuro

Campus/WANBackboneCampus/WANBackbone

Campus LANCampus LAN

MainframeMainframe

ISDN

PSTN

MultiserviceWAN (Sonet, IP,

ATM, FrameRelay)

InternationalSales OfficesInternationalSales Offices

SuppliersSuppliers

TelecommutersTelecommuters

Mobile UsersMobile Users

CommonInfrastructure

CommonInfrastructureMulti-Gigabit

EthernetMulti-Gigabit

Ethernet

VPN

StorageStorage

VideoConferencing

VideoConferencing

IP TelephonyIP TelephonyEnterpriseMobility

EnterpriseMobility

ContentNetworking

ContentNetworking

Security/VPNSecurity/VPN


Evolución de las redesEvolución de las redes

Accesotelefónico

RDSIAnalógico

Frame Relay

Internet

RAS RAS

RASCable

Banda anchaDSL


Evolución de las redesEvolución de las redes

Internet

Servidor

Usuariomóvil

Ubicaciónremota

Ubicaciónremota

AnalógicoRDSICable

Ahorro de costes $$Ahorro de costes $$


The SAFE BlueprintThe SAFE Blueprint

ManagementManagement BuildingBuilding

DistributionDistribution

CoreCoreEdgeEdge

ServerServer

E-CommerceE-Commerce

Corporate InternetCorporate Internet

VPN/Remote AccessVPN/Remote Access

WANWAN

ISPISP

PSTNPSTN

FR/ATMFR/ATM


SoftwareAccess Option

ISP Edge Module

ISP

Remote SiteFirewall Option

VPN Software Client w/ Personal Firewall

Broadband

Access Device

Home Office

Firewall w/VPN

Remote SiteRouter Option

Router w/ firewall &

VPN

Hardware VPNClient Option

Broadband

Access Device

Hardware VPN Client

Broadband

Access Device

(optional)

Solución SAFE para el acceso Solución SAFE para el acceso remotoremoto


EscenarioEscenario

Central Site

Site-to-SiteOficina remota

ExtranetBusiness Partner

POP

DSLCable

Usuarios móviles

Teletrabajadores

VPNInternet


TúnelesTúneles

Empieza el túnel Acaba el túnelPIX PIX

IOS (menos serie 800)

IOS IOSPIX

Cliente SOFTWARE PIXIOS3000

Cliente hardware 3000


AgendaAgenda

IPSecIPSec


¿Qué es IPSec?¿Qué es IPSec?

• Es un conjuto de protocolos de seguridad que proveen:

– Privacidad (Encriptación)

– Integridad (Hash)

– Autenticidad (Certificados digitales)

durante la transferencia de datos en las redes IP.


¿Por qué necesitamos IPSec?¿Por qué necesitamos IPSec?

• Pérdida de privacidad.



• Pérdida de integridad



• Robo de identidad


Implementación en nivelesImplementación en niveles

Network-Layer (IPSec)

Application-Layer (SSL, PGP, S-HTTP)

Link-Layer Encryption

ApplicationLayers (5-7)

Transport/Network

Layers (3-4)

Link/PhysicalLayers (1-2)


Separación de tráficoSeparación de tráfico

• El tráfico IPSec es tratado por los routers como tráfico IP normal.

• Para enrutar este tráfico, podemos usar routers tradicionales.

• Los routers Los routers AA y y BB encriptan los datos entre encriptan los datos entre Joe y el servidor HR, Joe y el servidor HR, dejando el resto de dejando el resto de tráfico igual.tráfico igual.

AA BB


¿De qué se compone IPSec?¿De qué se compone IPSec?

Encriptación AutenticaciónPrivacidad Verificación intercambio

• DES Data Encryption

Standard

• 3DES Triple Data Encryption

Standard

• AES Advanded Encryption

Standard

• IKE Internet Key Exchange

• RSA / DSS Rivest, Shamir, Adelman /

Digital Signature Standard

• X.509v3 Digital Certificates

• MD5 / SHA Message Digest 5 / Secure

Hash Algorithm

ModosTransporte

• AH / ESP Authentication

Header / Encapsulating Security Payload

• Tunnel / Transport

Network to Network / Host to Host


EncriptaciónEncriptación

AgendaAgenda


¿De qué protege la encriptación?¿De qué protege la encriptación?

• La encriptación protege a los datos que se transmiten por redes de datos públicas o redes “no seguras”.

Pérdida de privacidadPérdida de privacidad

m-y-p-a-s-s-w-o-r-d d-a-n

BobAlice

Robo de datosRobo de datos

BobAlice

Corporate Business Plan:

Expand into Mallet’s core area


Claves simétricasClaves simétricas

• La misma clave sirve para el proceso de encriptación y de desencriptación

KEY (A)Bloqueado

KEY (A)Desbloqueado

Encriptación Desencriptacion


Claves asimétricasClaves asimétricas

• La clave usada para el proceso de encriptación es diferente a la usada en el proceso de desencriptación.

• La consecución de estas claves se explica en IKE.

KEY (A)Bloqueado

KEY (B)Desbloqueado

Encriptación Desencriptacion


¿Qué es DES / 3DES?¿Qué es DES / 3DES?

Data Encryption Standard

• DES— Es el algoritmo de encriptación.— Usa claves de 56 bits para encriptar los datagramas.

• 3DES— Es el algoritmo DES aplicado 3 veces— El resultado de ejecutar 3 veces DES, ofrece claves de 168 bits.


Vulnerabilidad de DES / 3DESVulnerabilidad de DES / 3DES

• Se puede “romper” una clave DES en tiempo real.

• Para “romper” una clave 3DES en cuestión de semanas.


AESAES

• Para solventar la falta de fiabilidad de DES, se desarrolló AES (Advanded Encryption Standard)

• Permite definir claves de 128 (defecto), 192 o 256 bits.

• Soportado a partir de la release 12.2(13) de IOS.


Hashing / Firmas digitalesHashing / Firmas digitales

AgendaAgenda


¿De qué protegen las firmas y hash?¿De qué protegen las firmas y hash?

• Hashes y firmas garatizan la identidad de los extremos y la integridad del mensaje durante su viaje por la red pública.

Robo de identidadRobo de identidadI’m Bob.

Send Me all Corporate Correspondence

with Cisco.

Bob Alice

Pérdida de integridadPérdida de integridad

BankCustomer

Deposit $1000 Deposit $ 100

Alice Bob


¿Qué es Hash?¿Qué es Hash?

• El “texto plano” es transformado en texto hash mediante una función (función de hash), y sin la que el texto no puede ser reconstruido. Esto garantiza que el mensaje que se ha enviado es el que se recibe.

Función de HashFunción de Hash

MessageHash

Text planoText plano Texto HashTexto Hash


Algoritmos de HashAlgoritmos de Hash

• MD5 (Message Digest V5): Es el algoritmo más “viejo”, pero más soportado por los fabricantes.

• SHA (Secure Hash Algorithm): Más nuevo y seguro que MD5.

• HMAC (Hash-based Message Authentication Code): Mecanismo que junto al algoritmo de hash permite comprobar la integridad.

• IPSec usa HMAC-MD5 y HMAC-SHA.


Generación de firmas HMACGeneración de firmas HMAC

• HMAC garantiza la autenticidad de hash.

• HMAC usa claves asimétricas:

– La clave privada encripta Hash

– La clave pública desencripta hash.

Message Copy

HashFunction

Hash

EncryptedKeyPRI

Copia del Message

Algoritmo de Hash (MD5, SHA)

Salida de Hash

Mensaje Hash con la clave privada


Algoritmos de generación de firmasAlgoritmos de generación de firmas

• RSA (Rivest, Shamir, Adelman)

– Es el más extendido y popular.

• DSA (Digital Signature Algorithm)

– La validación de la firma es más lenta que RSA con claves de 512 o 1024 bits.


IKEIKE

AgendaAgenda


¿Cuál es el propósito de IKE?¿Cuál es el propósito de IKE?

• Usando pares de claves públicas y privadas , IKE crea una sesión con datos encriptados usando el algoritmo de Diffie-Hellman.

• IKE negocia los parámetros IPSec que van a ser usados (SA: Security Association) sobre la sesión creada.

KeyPRI

KeyPUB

KeyPRI

KeyPUB

KeySSN

¿Quieres usar? :

DES Encryption, MD5 hash, and RSA Signatures?

¿Quieres usar? :

DES Encryption, MD5 hash, and RSA Signatures?

No, prefiero usar:

3DES Encryption, SHA Hash with RSA Signatures.

No, prefiero usar:

3DES Encryption, SHA Hash with RSA Signatures.

1

2

SECRET SHAREDSECRET SHARED


SA (SA (SSecurity ecurity AAssociation)ssociation)

• SA es el conjunto de protocolos usados en IPSec comunes entre dos dispositivos, y que van a ser usados en la creación del túnel.

• TS (Transformation Set): es una lista preconfigurada de protocolos IPSec que van a ser soportadas por los dispositivos.

IKE SA NegotiationIKE SA Negotiation

IPSec Protocols Used:DES3DESSHAMD5DSS

Transform Sets:DES, HMAC-MD5, DSS3DES, HMAC-SHA, DSS

IPSec Protocols Used:DES3DESSHARSADSS

Transform Sets:DES, HMAC-SHA, RSA3DES, HMAC-SHA, DSS

Common Transform Set = SA

3DES, HMAC-SHA, DSS


¿Cómo usa IPSec a IKE?¿Cómo usa IPSec a IKE?

Alice’s Laptop

Bob’s Laptop

1. Paquete de salida desde Alice a Bob. No SA

2. El ISAKMP de Alice 2. El ISAKMP de Alice Negocia con BobNegocia con Bob

3. Acabada la negociación, 3. Acabada la negociación, Alice y Bob tienen completas Alice y Bob tienen completas las SAlas SA

ISAKMP ISAKMP

IPSecIPSec IPSecIPSecAliceAlice BobBob

4. El paquete se manda desde 4. El paquete se manda desde Alice a Bob protegido por el Alice a Bob protegido por el SA de IPSecSA de IPSec

ISAKMP TunnelISAKMP TunnelAlice Bob


Uso de las clavesUso de las claves

• Cada dispositivo tiene 3 claves:

– Clave privada: se mantiene en secreto y nunca se comparte. Se usa para firmar los mensajes.

– Clave pública: se usa para verificar la firma.

– Shared secret: es la usada para encriptar los datos usando algoritmos como DES....

DESDES DESDES

PriPri

PubPub

PriPri

WAN


Algoritmo de Diffie-HellmanAlgoritmo de Diffie-Hellman

Valor Privado, XXAA

Valor Público, YYAA

Mensaje, m

Valor Privado, XXBB

Valor Público, YYBB

Mensaje, m

(shared secret)

AliceAlice BobBob

YYBB mod p = m mod p = Y YAA mod p XXBBXXAA XXBB

YYAA

YYBB

YYBB = m mod pXXBBYYAA = m mod pXXAA

XXAA


¿Cómo se inician las sesiones?¿Cómo se inician las sesiones?

1.- Establecer una IKE SA: “Main mode”.

2.- Establecer una IPSec SA: “Quick Mode”.

3.- Enviar los datos protegidos.

IKEIKE

IPSecIPSec

Datos


Creación de una IKE SACreación de una IKE SA

• Se negocian los parámetros IKE

• Se intercambian claves públicas

• Se intercambian certificados

• Se intercambia la información para la autenticacíon

DESDESMD5MD5

RSA SigRSA SigDH1DH1

DESDESMD5MD5

RSA SigRSA SigDH1DH1

DESDESSHASHA

Pre-sharedPre-sharedDH1DH1

YYBBYYAA

Home-gw10.1.2.3

Pent-gw26.9.0.26


Creación de una IPSec SACreación de una IPSec SA

• Requiere una IKE SA creada

• Se negocian los parámetros IPSec

• Se transmiten las claves públicas

IKE SAIKE SA

DESDESMD5MD5DH1DH1

DESDESMD5MD5DH1DH1

DESDESSHASHADH1DH1

YYAA YYBB

Datos


AgendaAgenda

Certificados digitalesCertificados digitales


¿Qué es un Certificado Digital?¿Qué es un Certificado Digital?

• Es un documento digital que autentifica a un extremo de la conexión y provee de la clave de encriptación pública.

• X.509v3

• Estos certificados son emitidos por entidades seguras, como Verisign (www.verisign.com)


Proceso de alta de un certificadoProceso de alta de un certificado

1.- El candidato se registra su identidad en CA (Certificate Authority)

2.- CA genera y firma el certificado con una CA Public Key

3.- CA envía por mail la URL para que recoja el certificado

4.- El candidato se baja el certificado y la CA Public Key

Internet

Distribución del certificado

CA

Candidato

Certificate/CRLDatabase


Proceso de validaciónProceso de validación

Internet

Certificado de Alice

AliceBob

Certificado de Bob

Certificate/CRLDatabase

CA

LDAP

2. Chequea en la base de datos el certificado de Joe

CA Public Key

KeyPUB

1. Verifica el certificado de Bob con la CA Public Key

11

22


AgendaAgenda

Familia VPN 3000Familia VPN 3000


Gama de productoGama de producto

ACCESO REMOTOACCESO REMOTO

UBICACIÓN A UBICACIÓN

UBICACIÓN A UBICACIÓN

BASADO EN FIREWALL

BASADO EN FIREWALL

MEDIANA EMPRESAMEDIANA EMPRESA Concentrador 3030 Concentrador 3030 Routers 7100,

3600, 3700 Routers 7100, 3600, 3700 PIX 515EPIX 515E

PEQUEÑA EMPRESAPEQUEÑA EMPRESA

Concentrador 3005, 3015


Routers 3600, 2600 1700

Routers 3600, 2600 1700

PIX 506E, 515E

PIX 506E, 515E

Cliente VPN Cliente hardware 3002

Cliente VPN Cliente hardware 3002

MERCADOSOHO

MERCADOSOHO PIX 501PIX 501

Cisco ofrece el conjunto más amplio de soluciones VPN

GRAN EMPRESA

GRAN EMPRESA



Routers 7100, 7200

Routers 7100, 7200 PIX 525, 535PIX 525, 535

Router 800 Router 800


Serie de concentradores Cisco VPN 3000

Gestión basada en HTML/HTTPS

Serie 3000 Serie 3000


3005 3015 3030 3060 3080Usuarios simultáneos 100 100 1500 5000 10.000Rendimiento (Mbps) 4 4 50 100 100Tarjetas de cifrado 0 0 1 2 4Memoria (Mb) 64 128 128 256 256Actualizable No Sí Sí Sí n/dAlimentación dual No Opcional Opcional Opcional SíRedundancia No Sí Sí Sí SíTúneles entre ubicaciones 100 100 500 1000 1000

Serie 3000Serie 3000


Cliente Cisco VPN Cliente Cisco VPN

• Windows 9x, Me, XP, NT4.0 & 2000. Linux, Solaris y MAC OS X.

• Interfaz personalizable

• Administración centralizada de directivas

• Firewall personal integrado (dinámico)


VPN 3000 ClientVPN 3000 ClientSecuencia de conexiónSecuencia de conexión

• Llamada al ISP (Conexión a Internet)

• Se inicia el cliente VPN (se introduce password)

• ¡¡ Ya tenemos una conexión segura vía VPN !!


Clientes Cisco VPN 300Clientes Cisco VPN 30000

Cliente Cisco VPN

3002

Módem Cable

3002DSL

3002

Usuario individual

Oficina en casa

Pequeña oficina

Internet

Cisco VPN 30xx


Cliente de hardware Cisco VPN Cliente de hardware Cisco VPN 3002 3002

Frontal

Switch Básico 3002 Unidad 3002 con switch 10/100 de 8 puertos

•3002 incluye un Cliente/Servidor DHCP: Servidor DHCP 3002 para un máximo de 253 estaciones.

• Solo empieza túneles a la familia 3000• Configuración rápida a través de Web o puerto de consola


¿Cómo identificar productos ¿Cómo identificar productos “seguros”?“seguros”?

• El software de los routers tiene una nomenclatura como:CD26-AL-12.0.7= Cisco 2600 Enterprise Plus IPSEC 56 Feature Pack

CD26-AHK2-12.0.7= Cisco 2600 Enterprise/FW Plus IPSEC 3DES Feature Pack

CD17-CHK2-12.1.5= Cisco 1700 IP/FW PLUS IPSEC 3DES ADSL Feature Pack

CD17-CHL-12.1.5= Cisco 1700 IP/FW PLUS IPSEC 56 ADSL Feature Pack

• Terminaciones de los Part Numbers:

– K8: equipos equipados con DES

– K9: equipos equipados con 3DES

PIX-501-50-BUN-K9 PIX 501-50 3DES Bundle (Chassis, SW, 50 Users, 3DES)

PIX-501-50-BUN-K8 PIX 501-50 DES Bundle (Chassis, SW, 50 Users, DES)


Preguntas.....Preguntas.....


Próximas formacionesPróximas formaciones

• División de networking:– Valor añadido de los switches

– Formación básica de configuración de routers Cisco: Febrero/Marzo 2003

• División de hardware: Marzo 2003


93 474 [email protected]

Soporte preventa networkingSoporte preventa networking


93 474 [email protected]

Soporte preventa servidoresSoporte preventa servidores

Www.ingrammicro.es David Bayo [email protected] VPN Ciclos Formación Cisco.

Documents

Transcript of Www.ingrammicro.es David Bayo [email protected] VPN Ciclos Formación Cisco.