IPSec

1
IPSec
2
CONOCIMIENTOS PREVIOS
3
INTRODUCCIÓN

• Es un protocolo (IP Security) que protege las
  tramas a nivel de IP (capa de red de OSI).
  Previniéndose de capturadores de red.
• Cumple con los estándares de la IETF y es un
  desarrollo conjunto entre CISCO y MICROSOFT.
• Es un protocolo punto a punto, es decir, sólo el
  emisor y el receptor deben entender IPSec, para
  el resto de enrutadores que atraviesa, no es más
  que un paquete IP.
• Cómo se ha dicho antes, funciona a nivel de red,
  lo que le otorga una mayor fortaleza de
  seguridad, al contrario que otras metodologías de
  cifrado como SSL que opera a nivel de aplicación.

4
FORMATO DE LAS TRAMAS

• IPSec está formado por 2 protocolos
• AH (Authentication Header) y
• ESP (Encapsulating Security Payload)
• Ambos ofrecen autenticación, integridad y
  anti-replay (función de anti-relectura), pero a
  distintos niveles
• Pueden funcionar juntos o por separado. Se puede
  configurar IPSec en 2 modos
• Modo transporte
• Modo túnel.

5
MODO TRANSPORTE

• Permite intercambio cifrado de los datos IP entre
  origen y destino.

AUTENTICACION ESP
ESP TRAILER
DATOS
DATOS
CABECERA TCP/UDP
FIRMA
CIFRADO
CABECERA TCP/UDP
FIRMA
CABECERA AH
CABECERA ESP
CABECERA IP
CABECERA IP
TRAMA AH EN MODO TRANSPORTE
TRAMA ESP EN MODO TRANSPORTE
6

• Según las tramas vistas, AH ofrece integridad de
  todo el paquete IP, incluida la cabecera IP,
  mientras que ESP, se deja fuera la cabecera.

• En su forma más compleja IPSec puede usar a la
  vez, AH y ESP.

7
MODO TÚNEL

• El modo túnel nos sirve para establecer
  comunicaciones seguras (cifradas) entre 2 redes,
  a través de una red más grande tipo internet,
  simulando una conexión punto a punto.
• Recordar que IPSec es incompatible con NAT u otro
  servidor de seguridad, pues NAT modifica los
  paquetes cambiando la IP origen y puerto.

8
AUTENTICACION ESP
DATOS
ESP TRAILER
CABECERA TCP/UDP
DATOS
CABECERA IP ORIGEN
FIRMA
CIFRADO
CABECERA TCP/UDP
FIRMA
CABECERA AUTENTICACION
CABECERA IP ORIGEN
NUEVA CABECERA TUNEL
CABECERA ESP
NUEVA CABECERA TUNEL
TRAMA AH EN MODO TÚNEL
TRAMA ESP EN MODO TUNEL

• El modo túnel introduce una nueva cabecera de
  túnel que contiene la dirección origen del túnel
  y la dirección destino del túnel, como toda la
  trama va firmada, no puede atravesar un NAT.
• IPSec en modo túnel, es parecido a los protocolos
  de túnel PPTP y L2TP, sin embargo hay equipos que
  soportan unos protocolos y los otros no.

9
RESUMEN

• Si queremos proteger tanto las direcciones como
  el contenido, por integridad y encriptación
  tendremos que combinar AH y ESP.
• Si queremos que nuestros paquetes atraviesen
  una red pública que no debe conocer las
  direcciones origen y destino de las máquinas de
  mi empresa, usaremos el modo TÚNEL. Si los
  paquetes se mantienen dentro de mi empresa, puedo
  dejar configurado IPSec en modo TRANSPORTE.

10
IMPLEMENTACIÓN
11
DIRECTIVAS IPSec

• La manera de activar esta seguridad es a través
  de la asignación de DIRECTIVAS DE SEGURIDAD, que
  nos van a permitir
• Decidir el modo de autenticación
• El modo transporte o túnel
• El método de seguridad (AH, ESP o ambos)
• Los algoritmos a usar
• Tipo de conexión a la que se va a aplicar la
  directiva
• Qué tipo de tráfico va a verse afectado por la
  directiva (filtros).

12
DIRECTIVAS PREDETERMINADAS

• Cuando se instala Windows 2000 se crean 3
  directivas
• Cliente (sólo responder)
• Sólo responde de manera segura con aquellos
  clientes que lo solicitan, si no lo solicitan el
  no responde de manera cifrada y/o firmada.
• Servidor (pedir seguridad)
• Envía los datos cifrados, si bien admite
  peticiones de clientes no cifradas. Es decir,
  prima la comunicación sobre la seguridad.
• Servidor seguro (requiere seguridad)
• Sólo habrá comunicación si esta se realiza en
  modo seguro. Prima la seguridad sobre al
  comunicación.
• Si no tenemos aplicado el uso de IPSec sobre la
  conexión de TCP/IP no funciona ninguna de las
  directivas anteriores.
• Para acceder a estas directivas podemos hacerlo
  desde la MMC Directivas de seguridad local
  carpeta Directivas de seguridad IP o bien desde
  PROPIEDADES DE TCP/IP -gt AVANZADO -gt OPCIONES -gt
  SEGURIDAD IP

13
(No Transcript)
14
(No Transcript)
15
CREACIÓN DE MIS DIRECTIVAS

• Hay que destacar que las directivas que vienen
  predeterminadas, usan como método de seguridad
  KERBEROS y recordemos que este protocolo de
  seguridad sólo existe en dominios y no en
  servidores independientes.
• Si deseo usar certificados, puedo
• Pagar a una CA para que me autorice a emitir sus
  certificados y así los clientes se puedan
  instalar los certificados en sus máquinas.
• Montar mi propia entidad certificadora y conceder
  certificados a los clientes para que se los
  puedan instalar.
• O puedo usar una palabra secreta que se usará
  para encriptar.

16
PLANIFICACIÓN DE LAS DIRECTIVAS

• A qué tipo de tráfico quiero que se le aplique
  la directiva por direcciones IP, PUERTOS Y
  PROTOCOLOS?
• Qué voy a usar para activar modo seguro?
• Kerberos
• Certificados
• Clave compartida
• Quiero que se aplique también las directivas
  predeterminadas?
• Qué tipo de método voy a usar para el
  intercambio de claves?
• 3DES
• DES
• SHA
• MD5
• Voy a configurar el modo túnel o el modo
  transporte?
• Sobre qué tipo de conexiones?
• Local
• Remotas
• Todas
• Qué acción de filtrado deseo?
• Que se permita la comunicación
• Que se requiera seguridad

17
EJEMPLO DE DIRECTIVA

• Se llama AULA3
• Desactivo la regla de respuesta predeterminada,
  pues no estoy en un dominio ( si quiero que estas
  funcionen, puedo asignarles el uso de un
  certificado o una clave compartida)
• Dejo activo Modificar las propiedades
• Agrego mi propio filtro
• Elijo el modo TRANSPORTE
• Selecciono redes de área local
• Uso una clave compartida como método de
  autentificación, llamada aula3b
• La aplico a todo el tráfico IP
• Y como acción elijo Requiere seguridad
• FINALIZADO, para que la directiva sea aplicada en
  esta máquina, sobre el nombre de la nueva
  directiva creada, con el botón derecho elijo la
  opción ASIGNAR.

VER VÍDEO EXPLICATIVO DE LOS PASOS SEGUIDOS
CON LA GUÍA DEL PROFESOR, REVISAR LAS VENTANAS DE
CONFIGURACIÓN PARA SABER DÓNDE LOCALIZAR LOS
DIFERENTES PARÁMETROS DE DIRECTIVA
18
PRACTICA

• Por fila generar un CA independiente y los
  compañeros solicitan el certificado. Finalizado
  el proceso todos los equipos de esa fila tienen
  el certificado instalado
• Un equipo se configura con una nueva directiva
  para que todas la peticiones de TELNET sean
  seguras.
• Probamos que los equipos de mi fila pueden hacer
  telnet a mi equipo, pero no a los de otra fila
  (asegurarse previamente que tengo habilitado
  telnet).
• Desde la interfaz de Certificate Server le
  revocamos el certificado a uno de los usuarios. Y
  comprobamos como ahora ese usuario no puede hacer
  telnet al equipo que tiene configurada la
  directiva.
• Repetir las operaciones con una clave compartida
  en vez de un certificado.

19
SOLUCIÓN A LOS PROBLEMAS DE LA PRÁCTICA

• Tanto emisor como receptor han de tener un
  certificado emitido por la misma CA.
• A la hora de solicitar el certificado hay que
  marcar que se use el almacén del equipo
  local, ya que si no se hace así, luego no podré
  localizar el certificado el CA, en las
  propiedades del filtrado (método de
  autentificación). Esto no es necesario en un CA
  de empresa, pues este usa el Active Directory
  como lugar de almacenamiento y publicación de los
  certificados.
• Tanto emisor como receptor han de tener
  habilitado IPSec.

20
NEGOCIACIÓN IPSec

• En una comunicación IPSec, origen y destino
  tienen que ponerse de acuerdo sobre los
  parámetros a usar a la hora de generar las claves
  de cifrado, a este ponerse de acuerdo se le
  denomina ASOCIACION DE SEGURIDAD (SA)
• La IETF estableció un estándar bajo el que
  gestionar esta ASOCIACIÓN, al que llamo IKE.
• Una SA es unidireccional, luego son necesarias 2
  SA para asegurar la comunicación bidireccional,
  una de ida y otra de vuelta. En el caso de usar
  AH ESP, necesitaríamos 4 SA.
• IKE usa un proceso en 2 fases, a través de las
  cuales asegura la confidencialidad y
  autenticación, efectuada por algoritmos sobre los
  que previamente se han puesto de acuerdo. Las
  fases son
• FASE 1 O MODO PRINCIPAL
• FASE 2 O MODO RÁPIDO.

21

• FASE 1 O MODO PRINCIPAL
• Usa el protocolo ISAKMP (Internet Security
  Association and Key Managament Protocol), para
  establecer un canal seguro.
• Este protocolo genera una ASOCIACION SEGURA,
  donde se negocian los algoritmos de troceado
  (SHA1 y MD5), de cifrado (DES y 3DES) y el grupo
  Diffie-Hellman (grupo-1 usa 1024 bits y grupo-2
  usa 768 bits) con el que se puede generar una
  clave común que sólo conocen las 2 máquinas,
  aunque no sea una conexión segura mediante el uso
  de grandes números primos y algoritmos.
• Para modificar estos algoritmos recordemos que
  hay que acceder a los METODOS tras pulsar sobre
  el botón Avanzada de la ficha General de las
  propiedades de una directiva.

22

• FASE 2 O MODO RÁPIDO
• Se produce el intercambio de los parámetros
  definidos en su directiva, usándose 2 SA por
  protocolo, una para los datos de salida y la otra
  para los de entrada.
• Los datos pueden intercambiarse ahora de manera
  segura usando la SA ESP generada.

23
REPARACIÓN Y MONITORIZACIÓN

• Escribiendo ipsecmon en la línea de comandos,
  podemos ver la directiva activa en el equipo y su
  funcionamiento.

24
PRACTICA

• Realizando la práctica anterior de forzar la
  comunicación segura para TELNET, usar el monitor
  de IPSec para comprobar los datos intercambiados
  (algoritmos usados).
• Por otro lado, con el MONITOR DE RED, capturar
  las tramas que se generan, para comprobar la
  existencia de ISAKMP, y de los protocolos de
  seguridad usados AH, ESP.