Www.ingrammicro.es David Bayo [email protected] VPN Ciclos Formación Cisco.
-
Upload
lola-onate -
Category
Documents
-
view
9 -
download
0
Transcript of Www.ingrammicro.es David Bayo [email protected] VPN Ciclos Formación Cisco.
www.ingramwww.ingrammicromicro.es.eswww.cisco.comwww.cisco.com
David [email protected]
VPNVPNCCiclosiclosFFormación ormación CCiscoisco
www.ingramwww.ingrammicromicro.es.eswww.cisco.comwww.cisco.com
¿Cómo hacer ahorrar costes a vuestros
clientes, y que a la vez, contraten vuestros
servicios adquiriendo nuevo equipamiento e
ingeniería?
PreguntaPregunta
www.ingramwww.ingrammicromicro.es.eswww.cisco.comwww.cisco.com
RespuestaRespuesta
Tecnología VPN
www.ingramwww.ingrammicromicro.es.eswww.cisco.comwww.cisco.com
Agenda
• Introducción
• IPSec
• Encriptación
• Hashing / Firmas digitales
• IKE
• Certificados digitales
• Familia VPN 3000
• Preguntas
www.ingramwww.ingrammicromicro.es.eswww.cisco.comwww.cisco.com
Las redes del futuroLas redes del futuro
Campus/WANBackboneCampus/WANBackbone
Campus LANCampus LAN
MainframeMainframe
ISDN
PSTN
MultiserviceWAN (Sonet, IP,
ATM, FrameRelay)
InternationalSales OfficesInternationalSales Offices
SuppliersSuppliers
TelecommutersTelecommuters
Mobile UsersMobile Users
CommonInfrastructure
CommonInfrastructureMulti-Gigabit
EthernetMulti-Gigabit
Ethernet
VPN
StorageStorage
VideoConferencing
VideoConferencing
IP TelephonyIP TelephonyEnterpriseMobility
EnterpriseMobility
ContentNetworking
ContentNetworking
Security/VPNSecurity/VPN
www.ingramwww.ingrammicromicro.es.eswww.cisco.comwww.cisco.com
Evolución de las redesEvolución de las redes
Accesotelefónico
RDSIAnalógico
Frame Relay
Internet
RAS RAS
RASCable
Banda anchaDSL
www.ingramwww.ingrammicromicro.es.eswww.cisco.comwww.cisco.com
Evolución de las redesEvolución de las redes
Internet
Servidor
Usuariomóvil
Ubicaciónremota
Ubicaciónremota
AnalógicoRDSICable
Ahorro de costes $$Ahorro de costes $$
www.ingramwww.ingrammicromicro.es.eswww.cisco.comwww.cisco.com
The SAFE BlueprintThe SAFE Blueprint
ManagementManagement BuildingBuilding
DistributionDistribution
CoreCoreEdgeEdge
ServerServer
E-CommerceE-Commerce
Corporate InternetCorporate Internet
VPN/Remote AccessVPN/Remote Access
WANWAN
ISPISP
PSTNPSTN
FR/ATMFR/ATM
www.ingramwww.ingrammicromicro.es.eswww.cisco.comwww.cisco.com
SoftwareAccess Option
ISP Edge Module
ISP
Remote SiteFirewall Option
VPN Software Client w/ Personal Firewall
Broadband
Access Device
Home Office
Firewall w/VPN
Remote SiteRouter Option
Router w/ firewall &
VPN
Hardware VPNClient Option
Broadband
Access Device
Hardware VPN Client
Broadband
Access Device
(optional)
Solución SAFE para el acceso Solución SAFE para el acceso remotoremoto
www.ingramwww.ingrammicromicro.es.eswww.cisco.comwww.cisco.com
EscenarioEscenario
Central Site
Site-to-SiteOficina remota
ExtranetBusiness Partner
POP
DSLCable
Usuarios móviles
Teletrabajadores
VPNInternet
www.ingramwww.ingrammicromicro.es.eswww.cisco.comwww.cisco.com
TúnelesTúneles
Empieza el túnel Acaba el túnelPIX PIX
IOS (menos serie 800)
IOS IOSPIX
Cliente SOFTWARE PIXIOS3000
Cliente hardware 3000
www.ingramwww.ingrammicromicro.es.eswww.cisco.comwww.cisco.com
AgendaAgenda
IPSecIPSec
www.ingramwww.ingrammicromicro.es.eswww.cisco.comwww.cisco.com
¿Qué es IPSec?¿Qué es IPSec?
• Es un conjuto de protocolos de seguridad que proveen:
– Privacidad (Encriptación)
– Integridad (Hash)
– Autenticidad (Certificados digitales)
durante la transferencia de datos en las redes IP.
www.ingramwww.ingrammicromicro.es.eswww.cisco.comwww.cisco.com
¿Por qué necesitamos IPSec?¿Por qué necesitamos IPSec?
• Pérdida de privacidad.
www.ingramwww.ingrammicromicro.es.eswww.cisco.comwww.cisco.com
¿Por qué necesitamos IPSec?¿Por qué necesitamos IPSec?
• Pérdida de integridad
www.ingramwww.ingrammicromicro.es.eswww.cisco.comwww.cisco.com
¿Por qué necesitamos IPSec?¿Por qué necesitamos IPSec?
• Robo de identidad
www.ingramwww.ingrammicromicro.es.eswww.cisco.comwww.cisco.com
Implementación en nivelesImplementación en niveles
Network-Layer (IPSec)
Application-Layer (SSL, PGP, S-HTTP)
Link-Layer Encryption
ApplicationLayers (5-7)
Transport/Network
Layers (3-4)
Link/PhysicalLayers (1-2)
www.ingramwww.ingrammicromicro.es.eswww.cisco.comwww.cisco.com
Separación de tráficoSeparación de tráfico
• El tráfico IPSec es tratado por los routers como tráfico IP normal.
• Para enrutar este tráfico, podemos usar routers tradicionales.
• Los routers Los routers AA y y BB encriptan los datos entre encriptan los datos entre Joe y el servidor HR, Joe y el servidor HR, dejando el resto de dejando el resto de tráfico igual.tráfico igual.
AA BB
www.ingramwww.ingrammicromicro.es.eswww.cisco.comwww.cisco.com
¿De qué se compone IPSec?¿De qué se compone IPSec?
Encriptación AutenticaciónPrivacidad Verificación intercambio
• DES Data Encryption
Standard
• 3DES Triple Data Encryption
Standard
• AES Advanded Encryption
Standard
• IKE Internet Key Exchange
• RSA / DSS Rivest, Shamir, Adelman /
Digital Signature Standard
• X.509v3 Digital Certificates
• MD5 / SHA Message Digest 5 / Secure
Hash Algorithm
ModosTransporte
• AH / ESP Authentication
Header / Encapsulating Security Payload
• Tunnel / Transport
Network to Network / Host to Host
www.ingramwww.ingrammicromicro.es.eswww.cisco.comwww.cisco.com
EncriptaciónEncriptación
AgendaAgenda
www.ingramwww.ingrammicromicro.es.eswww.cisco.comwww.cisco.com
¿De qué protege la encriptación?¿De qué protege la encriptación?
• La encriptación protege a los datos que se transmiten por redes de datos públicas o redes “no seguras”.
Pérdida de privacidadPérdida de privacidad
m-y-p-a-s-s-w-o-r-d d-a-n
BobAlice
Robo de datosRobo de datos
BobAlice
Corporate Business Plan:
Expand into Mallet’s core area
www.ingramwww.ingrammicromicro.es.eswww.cisco.comwww.cisco.com
Claves simétricasClaves simétricas
• La misma clave sirve para el proceso de encriptación y de desencriptación
KEY (A)Bloqueado
KEY (A)Desbloqueado
Encriptación Desencriptacion
www.ingramwww.ingrammicromicro.es.eswww.cisco.comwww.cisco.com
Claves asimétricasClaves asimétricas
• La clave usada para el proceso de encriptación es diferente a la usada en el proceso de desencriptación.
• La consecución de estas claves se explica en IKE.
KEY (A)Bloqueado
KEY (B)Desbloqueado
Encriptación Desencriptacion
www.ingramwww.ingrammicromicro.es.eswww.cisco.comwww.cisco.com
¿Qué es DES / 3DES?¿Qué es DES / 3DES?
Data Encryption Standard
• DES— Es el algoritmo de encriptación.— Usa claves de 56 bits para encriptar los datagramas.
• 3DES— Es el algoritmo DES aplicado 3 veces— El resultado de ejecutar 3 veces DES, ofrece claves de 168 bits.
www.ingramwww.ingrammicromicro.es.eswww.cisco.comwww.cisco.com
Vulnerabilidad de DES / 3DESVulnerabilidad de DES / 3DES
• Se puede “romper” una clave DES en tiempo real.
• Para “romper” una clave 3DES en cuestión de semanas.
www.ingramwww.ingrammicromicro.es.eswww.cisco.comwww.cisco.com
AESAES
• Para solventar la falta de fiabilidad de DES, se desarrolló AES (Advanded Encryption Standard)
• Permite definir claves de 128 (defecto), 192 o 256 bits.
• Soportado a partir de la release 12.2(13) de IOS.
www.ingramwww.ingrammicromicro.es.eswww.cisco.comwww.cisco.com
Hashing / Firmas digitalesHashing / Firmas digitales
AgendaAgenda
www.ingramwww.ingrammicromicro.es.eswww.cisco.comwww.cisco.com
¿De qué protegen las firmas y hash?¿De qué protegen las firmas y hash?
• Hashes y firmas garatizan la identidad de los extremos y la integridad del mensaje durante su viaje por la red pública.
Robo de identidadRobo de identidadI’m Bob.
Send Me all Corporate Correspondence
with Cisco.
Bob Alice
Pérdida de integridadPérdida de integridad
BankCustomer
Deposit $1000 Deposit $ 100
Alice Bob
www.ingramwww.ingrammicromicro.es.eswww.cisco.comwww.cisco.com
¿Qué es Hash?¿Qué es Hash?
• El “texto plano” es transformado en texto hash mediante una función (función de hash), y sin la que el texto no puede ser reconstruido. Esto garantiza que el mensaje que se ha enviado es el que se recibe.
Función de HashFunción de Hash
MessageHash
Text planoText plano Texto HashTexto Hash
www.ingramwww.ingrammicromicro.es.eswww.cisco.comwww.cisco.com
Algoritmos de HashAlgoritmos de Hash
• MD5 (Message Digest V5): Es el algoritmo más “viejo”, pero más soportado por los fabricantes.
• SHA (Secure Hash Algorithm): Más nuevo y seguro que MD5.
• HMAC (Hash-based Message Authentication Code): Mecanismo que junto al algoritmo de hash permite comprobar la integridad.
• IPSec usa HMAC-MD5 y HMAC-SHA.
www.ingramwww.ingrammicromicro.es.eswww.cisco.comwww.cisco.com
Generación de firmas HMACGeneración de firmas HMAC
• HMAC garantiza la autenticidad de hash.
• HMAC usa claves asimétricas:
– La clave privada encripta Hash
– La clave pública desencripta hash.
Message Copy
HashFunction
Hash
EncryptedKeyPRI
Copia del Message
Algoritmo de Hash (MD5, SHA)
Salida de Hash
Mensaje Hash con la clave privada
www.ingramwww.ingrammicromicro.es.eswww.cisco.comwww.cisco.com
Algoritmos de generación de firmasAlgoritmos de generación de firmas
• RSA (Rivest, Shamir, Adelman)
– Es el más extendido y popular.
• DSA (Digital Signature Algorithm)
– La validación de la firma es más lenta que RSA con claves de 512 o 1024 bits.
www.ingramwww.ingrammicromicro.es.eswww.cisco.comwww.cisco.com
IKEIKE
AgendaAgenda
www.ingramwww.ingrammicromicro.es.eswww.cisco.comwww.cisco.com
¿Cuál es el propósito de IKE?¿Cuál es el propósito de IKE?
• Usando pares de claves públicas y privadas , IKE crea una sesión con datos encriptados usando el algoritmo de Diffie-Hellman.
• IKE negocia los parámetros IPSec que van a ser usados (SA: Security Association) sobre la sesión creada.
KeyPRI
KeyPUB
KeyPRI
KeyPUB
KeySSN
¿Quieres usar? :
DES Encryption, MD5 hash, and RSA Signatures?
¿Quieres usar? :
DES Encryption, MD5 hash, and RSA Signatures?
No, prefiero usar:
3DES Encryption, SHA Hash with RSA Signatures.
No, prefiero usar:
3DES Encryption, SHA Hash with RSA Signatures.
1
2
SECRET SHAREDSECRET SHARED
www.ingramwww.ingrammicromicro.es.eswww.cisco.comwww.cisco.com
SA (SA (SSecurity ecurity AAssociation)ssociation)
• SA es el conjunto de protocolos usados en IPSec comunes entre dos dispositivos, y que van a ser usados en la creación del túnel.
• TS (Transformation Set): es una lista preconfigurada de protocolos IPSec que van a ser soportadas por los dispositivos.
IKE SA NegotiationIKE SA Negotiation
IPSec Protocols Used:DES3DESSHAMD5DSS
Transform Sets:DES, HMAC-MD5, DSS3DES, HMAC-SHA, DSS
IPSec Protocols Used:DES3DESSHARSADSS
Transform Sets:DES, HMAC-SHA, RSA3DES, HMAC-SHA, DSS
Common Transform Set = SA
3DES, HMAC-SHA, DSS
www.ingramwww.ingrammicromicro.es.eswww.cisco.comwww.cisco.com
¿Cómo usa IPSec a IKE?¿Cómo usa IPSec a IKE?
Alice’s Laptop
Bob’s Laptop
1. Paquete de salida desde Alice a Bob. No SA
2. El ISAKMP de Alice 2. El ISAKMP de Alice Negocia con BobNegocia con Bob
3. Acabada la negociación, 3. Acabada la negociación, Alice y Bob tienen completas Alice y Bob tienen completas las SAlas SA
ISAKMP ISAKMP
IPSecIPSec IPSecIPSecAliceAlice BobBob
4. El paquete se manda desde 4. El paquete se manda desde Alice a Bob protegido por el Alice a Bob protegido por el SA de IPSecSA de IPSec
ISAKMP TunnelISAKMP TunnelAlice Bob
www.ingramwww.ingrammicromicro.es.eswww.cisco.comwww.cisco.com
Uso de las clavesUso de las claves
• Cada dispositivo tiene 3 claves:
– Clave privada: se mantiene en secreto y nunca se comparte. Se usa para firmar los mensajes.
– Clave pública: se usa para verificar la firma.
– Shared secret: es la usada para encriptar los datos usando algoritmos como DES....
DESDES DESDES
PriPri
PubPub
PriPri
WAN
www.ingramwww.ingrammicromicro.es.eswww.cisco.comwww.cisco.com
Algoritmo de Diffie-HellmanAlgoritmo de Diffie-Hellman
Valor Privado, XXAA
Valor Público, YYAA
Mensaje, m
Valor Privado, XXBB
Valor Público, YYBB
Mensaje, m
(shared secret)
AliceAlice BobBob
YYBB mod p = m mod p = Y YAA mod p XXBBXXAA XXBB
YYAA
YYBB
YYBB = m mod pXXBBYYAA = m mod pXXAA
XXAA
www.ingramwww.ingrammicromicro.es.eswww.cisco.comwww.cisco.com
¿Cómo se inician las sesiones?¿Cómo se inician las sesiones?
1.- Establecer una IKE SA: “Main mode”.
2.- Establecer una IPSec SA: “Quick Mode”.
3.- Enviar los datos protegidos.
IKEIKE
IPSecIPSec
Datos
www.ingramwww.ingrammicromicro.es.eswww.cisco.comwww.cisco.com
Creación de una IKE SACreación de una IKE SA
• Se negocian los parámetros IKE
• Se intercambian claves públicas
• Se intercambian certificados
• Se intercambia la información para la autenticacíon
DESDESMD5MD5
RSA SigRSA SigDH1DH1
DESDESMD5MD5
RSA SigRSA SigDH1DH1
DESDESSHASHA
Pre-sharedPre-sharedDH1DH1
YYBBYYAA
Home-gw10.1.2.3
Pent-gw26.9.0.26
www.ingramwww.ingrammicromicro.es.eswww.cisco.comwww.cisco.com
Creación de una IPSec SACreación de una IPSec SA
• Requiere una IKE SA creada
• Se negocian los parámetros IPSec
• Se transmiten las claves públicas
IKE SAIKE SA
DESDESMD5MD5DH1DH1
DESDESMD5MD5DH1DH1
DESDESSHASHADH1DH1
YYAA YYBB
Datos
www.ingramwww.ingrammicromicro.es.eswww.cisco.comwww.cisco.com
AgendaAgenda
Certificados digitalesCertificados digitales
www.ingramwww.ingrammicromicro.es.eswww.cisco.comwww.cisco.com
¿Qué es un Certificado Digital?¿Qué es un Certificado Digital?
• Es un documento digital que autentifica a un extremo de la conexión y provee de la clave de encriptación pública.
• X.509v3
• Estos certificados son emitidos por entidades seguras, como Verisign (www.verisign.com)
www.ingramwww.ingrammicromicro.es.eswww.cisco.comwww.cisco.com
Proceso de alta de un certificadoProceso de alta de un certificado
1.- El candidato se registra su identidad en CA (Certificate Authority)
2.- CA genera y firma el certificado con una CA Public Key
3.- CA envía por mail la URL para que recoja el certificado
4.- El candidato se baja el certificado y la CA Public Key
Internet
Distribución del certificado
CA
Candidato
Certificate/CRLDatabase
www.ingramwww.ingrammicromicro.es.eswww.cisco.comwww.cisco.com
Proceso de validaciónProceso de validación
Internet
Certificado de Alice
AliceBob
Certificado de Bob
Certificate/CRLDatabase
CA
LDAP
2. Chequea en la base de datos el certificado de Joe
CA Public Key
KeyPUB
1. Verifica el certificado de Bob con la CA Public Key
11
22
www.ingramwww.ingrammicromicro.es.eswww.cisco.comwww.cisco.com
AgendaAgenda
Familia VPN 3000Familia VPN 3000
www.ingramwww.ingrammicromicro.es.eswww.cisco.comwww.cisco.com
Gama de productoGama de producto
ACCESO REMOTOACCESO REMOTO
UBICACIÓN A UBICACIÓN
UBICACIÓN A UBICACIÓN
BASADO EN FIREWALL
BASADO EN FIREWALL
MEDIANA EMPRESAMEDIANA EMPRESA Concentrador 3030 Concentrador 3030 Routers 7100,
3600, 3700 Routers 7100, 3600, 3700 PIX 515EPIX 515E
PEQUEÑA EMPRESAPEQUEÑA EMPRESA
Concentrador 3005, 3015
Concentrador 3005, 3015
Routers 3600, 2600 1700
Routers 3600, 2600 1700
PIX 506E, 515E
PIX 506E, 515E
Cliente VPN Cliente hardware 3002
Cliente VPN Cliente hardware 3002
MERCADOSOHO
MERCADOSOHO PIX 501PIX 501
Cisco ofrece el conjunto más amplio de soluciones VPN
GRAN EMPRESA
GRAN EMPRESA
Concentrador 3060, 3080
Concentrador 3060, 3080
Routers 7100, 7200
Routers 7100, 7200 PIX 525, 535PIX 525, 535
Router 800 Router 800
www.ingramwww.ingrammicromicro.es.eswww.cisco.comwww.cisco.com
Serie de concentradores Cisco VPN 3000
Gestión basada en HTML/HTTPS
Serie 3000 Serie 3000
www.ingramwww.ingrammicromicro.es.eswww.cisco.comwww.cisco.com
3005 3015 3030 3060 3080Usuarios simultáneos 100 100 1500 5000 10.000Rendimiento (Mbps) 4 4 50 100 100Tarjetas de cifrado 0 0 1 2 4Memoria (Mb) 64 128 128 256 256Actualizable No Sí Sí Sí n/dAlimentación dual No Opcional Opcional Opcional SíRedundancia No Sí Sí Sí SíTúneles entre ubicaciones 100 100 500 1000 1000
Serie 3000Serie 3000
www.ingramwww.ingrammicromicro.es.eswww.cisco.comwww.cisco.com
Cliente Cisco VPN Cliente Cisco VPN
• Windows 9x, Me, XP, NT4.0 & 2000. Linux, Solaris y MAC OS X.
• Interfaz personalizable
• Administración centralizada de directivas
• Firewall personal integrado (dinámico)
www.ingramwww.ingrammicromicro.es.eswww.cisco.comwww.cisco.com
VPN 3000 ClientVPN 3000 ClientSecuencia de conexiónSecuencia de conexión
• Llamada al ISP (Conexión a Internet)
• Se inicia el cliente VPN (se introduce password)
• ¡¡ Ya tenemos una conexión segura vía VPN !!
www.ingramwww.ingrammicromicro.es.eswww.cisco.comwww.cisco.com
Clientes Cisco VPN 300Clientes Cisco VPN 30000
Cliente Cisco VPN
3002
Módem Cable
3002DSL
3002
Usuario individual
Oficina en casa
Pequeña oficina
Internet
Cisco VPN 30xx
www.ingramwww.ingrammicromicro.es.eswww.cisco.comwww.cisco.com
Cliente de hardware Cisco VPN Cliente de hardware Cisco VPN 3002 3002
Frontal
Switch Básico 3002 Unidad 3002 con switch 10/100 de 8 puertos
•3002 incluye un Cliente/Servidor DHCP: Servidor DHCP 3002 para un máximo de 253 estaciones.
• Solo empieza túneles a la familia 3000• Configuración rápida a través de Web o puerto de consola
www.ingramwww.ingrammicromicro.es.eswww.cisco.comwww.cisco.com
¿Cómo identificar productos ¿Cómo identificar productos “seguros”?“seguros”?
• El software de los routers tiene una nomenclatura como:CD26-AL-12.0.7= Cisco 2600 Enterprise Plus IPSEC 56 Feature Pack
CD26-AHK2-12.0.7= Cisco 2600 Enterprise/FW Plus IPSEC 3DES Feature Pack
CD17-CHK2-12.1.5= Cisco 1700 IP/FW PLUS IPSEC 3DES ADSL Feature Pack
CD17-CHL-12.1.5= Cisco 1700 IP/FW PLUS IPSEC 56 ADSL Feature Pack
• Terminaciones de los Part Numbers:
– K8: equipos equipados con DES
– K9: equipos equipados con 3DES
PIX-501-50-BUN-K9 PIX 501-50 3DES Bundle (Chassis, SW, 50 Users, 3DES)
PIX-501-50-BUN-K8 PIX 501-50 DES Bundle (Chassis, SW, 50 Users, DES)
www.ingramwww.ingrammicromicro.es.eswww.cisco.comwww.cisco.com
Preguntas.....Preguntas.....
www.ingramwww.ingrammicromicro.es.eswww.cisco.comwww.cisco.com
Próximas formacionesPróximas formaciones
• División de networking:– Valor añadido de los switches
– Formación básica de configuración de routers Cisco: Febrero/Marzo 2003
• División de hardware: Marzo 2003
www.ingramwww.ingrammicromicro.es.eswww.cisco.comwww.cisco.com
93 474 [email protected]
Soporte preventa networkingSoporte preventa networking
www.ingramwww.ingrammicromicro.es.eswww.cisco.comwww.cisco.com
93 474 [email protected]
Soporte preventa servidoresSoporte preventa servidores
www.ingramwww.ingrammicromicro.es.eswww.cisco.comwww.cisco.com