vpn.pdf

Redes Privadas Virtuales (VPN)

1

Introducción 







Situado por debajo de TCP/UDP. Ofrece servicios de seguridad transparente al usuario e independiente de la aplicación. Implementado en router o Firewall ofrece seguridad en el acceso a la red que delimita dicho dispositivo. Puede ofrecer seguridad para un flujo concreto de un determinado usuario.

Tema 8. Redes Privadas Virtuales Seguridad en Internet

B. Alarcos, E. de la Hoz

Introducción 







Situado por debajo de TCP/UDP. Ofrece servicios de seguridad transparente al usuario e independiente de la aplicación. Implementado en router o Firewall ofrece seguridad en el acceso a la red que delimita dicho dispositivo. Puede ofrecer seguridad para un flujo concreto de un determinado usuario.



Introducción 



Una Red Privada Virual (VPN - Virtual Private Network ) es una red IP privada y segura que pasa a través de otra red IP pública y no segura (normalmente Internet). Antes de la irrupción irrupción de las VPN’s las las empresas contrataban caros circuitos dedicados entre sus sedes. 



Al ser los circuitos dedicados se garantizaba la privacidad y la seguridad.

Con el crecimiento de Internet (en cuanto a BW y QoS) se planteó realizar esas comunicaciones empleando dicha red.



Redes Privadas Virtuales 

Si creamos una red privada sobre Internet: 





Nuestro tráfico empleará los mismos recursos que el resto de los usuarios así que no será una red privada en el sentido de enlaces dedicados. Se consigue el efecto de red privada mediante el encapsulamiento y el cifrado. Por ello, se dice que son s on redes privadas pero VIRTUALES.



Características de las VPN 

Una red privada virtual debe proporcionar: 







Confidencialidad Autenticidad Integridad

Para proporcionar las características anteriores los paquetes se encapsulan y se cifran y autentican (firma digital, MAC).



Tipos de VPNS 

VPN Seguras: 





Emplean protocolos para la creación de túneles criptográficos para proporcionar confidencialidad, autenticación e integridad de mensajes Implementación compleja que lleva a que algunas de las tecnologías de VPN sean inseguras. Tecnologías: 







IPSec PPTP (Microsoft) L2TP (Microsoft y CISCO) L2TPv3



Tipos de VPNs 

VPNs de confianza: 





No emplean protocolos criptográficos Confían en la capacidad que tiene la red un proveedor para protoger nuestro tráfico. Protocolos: 



MPLS L2F (Layer 2 Forwarding) desarrollado por Cisco.



Tipos de VPN 

En función de las arquitecturas de conexión podemos distinguir: 





Acceso remoto: Punto a punto Interna



VPN de acceso remoto  





Es, quizá, el modelo más usado actualmente Usuarios o proveedores que se conectan con la empresa desde sitios remotos (domicilios, hotel, aviones, etc.) utilizando Internet como vínculo de acceso Se autentican y consiguen un nivel de acceso similar al que tienen en la red local de la empresa. Permite reemplazar la infraestructura de acceso por marcado (módem y líneas telefónicas) 

Ejemplo: Acceso remoto seguro a la Universidad de Cantabria: http://www.unican.es/WebUC/Unidades/SdeI/servicios/so porte/guias/acceso_remoto/acceso_vpn.htm



Ejemplo: VPN Acceso Remoto



VPN punto a punto 









Sirve para conectar oficinas remotas con la sede de la organización El servidor VPN (en la sede principal) acepta las conexiones vía Internet provenientes de los sitios y establece el túnel VPN Los servidores de las sucursales se conectan a Internet utilizando los servicios de su ISP Permite eliminar el coste de los enlaces punto a punto tradicionales A los clientes a veces se les denomina Road Warriors



VPN interna 







El menos difundido de los tres. Es una variante del tipo acceso remoto pero en vez de utilizar Internet como medio de conexión emplea la propia LAN Permite aislar zonas y servicios de la red interna Es muy empleado para mejorar las prestaciones de seguridad de las redes WiFi 

Wifi en la UCLM: http: //alumnos.uclm.es/wifi/config.htm



Ejemplo VPN interna



Protocolo PPTP 







Definido en el RFC 2637 pero no reconocido como estándar por el IETF Es una extensión de PPP. Encapsula paquetes PPP en datagramas IP para su transmisión bajo redes basadas en TCP/IP Suele involucrar tres actores: 





Un cliente PPTP Un servidor de acceso de red (NAS) Un servidor PPTP



Funcionamiento PPTP 









Un cliente quiere acceder a una red privada El cliente se conecta vía PPP a su ISP. Empleando esta conexión encapsula paquetes PPP en datagramas IP y los envía al servidor PPTP que da acceso a la red privada de la compañía. Ésta última es la fase de túnel Gracias al túnel podemos acceder desde fuera a la red privada puesto que el cliente PPTP enruta esos paquetes hacia el túnel y el servidor PPTP lo enruta hacia su destinatario final



Funcionamiento PPTP(II) 







El servidor PPTP procesa el paquete PPTP para obtener la dirección del destino que está encapsulada en el paquete PPP El paquete PP puede contener datos TCP/IP El protocolo PPTP encapsula el paquete PPP comprimido y cifrado en datagramas IP para la transmisión por Internet Son descifrados antes de entregarlo a la red destino



Seguridad PPTP 











La autenticación inicial puede ser la requerida por un ISP de acceso a la red. Además los clientes tendrán que autenticarse ante el servidor PPTP Para ello emplean los métodos de autentificación PPP de Microsoft: MS-CHAP y MS-CHAPv2 El cifrado emplea un mecanismo de derivación de claves a partir de secretos compartidos Con esta clave ciframos todos los datos intercambiados entre el servidor PPTP y el cliente El protocolo para cifrar los paquetes se llama MPPE y emplea el algoritmo RC4 de hasta 128 bits de clave.



Seguridad PPTP 





La seguridad de PPTP ha sido completamente rota Se recomienda retirar o actualizar a otra tecnología de VPN Podemos encontrar un análisis de los problemas de seguridad en: 

http://www.schneier.com/pptp.html



L2TP 



Protocolo desarrollado por el IETF combinando PPTP y L2F (protocolo de túneles a nivel 2 desarrollado por Cisco) (RFC 2661) Permite crear túneles de nivel 2 sobre UDP 

 

Podemos encapsular PPP ethernet

Los clientes pueden recibir fácilmente una IP interna No proporciona carácterísticas de seguridad por lo que se suele utilizar para crear VPNs sobre túneles IPSec (L2TP/IPSec 3193) 



Se establece una asociación de seguridad con ESP en modo transporte Se tuneliza el tráfico empleando L2TP



Túneles basados en SSL 



Aunque se emplea SSL para crear túneles no existe un estándar específico sino que hay distintas implementaciones que funcionan bastante bien Muy sencilla de configurar e implantar: 



Evitamos problemas con cortafuegos

Una de las implementaciones más extendidas es OpenVPN 

Para windows, Linux y Mac Os



OpenVPN 







Permite establecer túneles de nivel 2 o 3 sobre UDP (recomendado) o TCP Permite realizar balanceo de carga entre servidores Confidencialidad, autenticidad e integridad usando SSL (en concreto, la implementación OpenSSL) Emplea interfaces tun o tap 





Son conexiones punto a punto para el SO Un programa puede abrir la interfaz tun y leer y escribir paquetes IP en la interfaz La interfaz tap es similar pero a nivel Ethernet.



Introducción 

Componentes de la arquitectura general:    

IPSEC (RFC 2401): Arquitectura. AH (RFC 2402): Authentication Header. ESP (RFC2406): Encapsulating Security Payload. IKE (RFC2409): Negociación de parámetros y claves. 







ISAKMP (RFC2408): gestiona la negociación de conexiones y define sus propiedades mediante asociaciones de seguridad (SA). IPSEC DOI for ISAKMP (RFC2407): especfiica detalles de implementación para aplicar ISAKMP. IKE (RFC2409): protocolo de intercambio de clave basado en Diffie-Hellman.

Servicios:      

Control de acceso. Integridad no orientada a conexión. Autenticación de origen. Protección contra repetición de paquetes. Confidencialidad. Confidencialidad de flujo de tráfico (limitada).



Componentes de la documentación

Arquitectura

Protocolo ESP

Protocolo AH

Algoritmos de cifrado

Algoritmos de autenticación

DOI Key Management Tema 8. Redes Privadas Virtuales Seguridad en Internet


Asociación 

 

Asociación de seguridad (SA): relación de seguridad entre un emisor y receptor que aporta servicios de seguridad en el tráfico. Un SA para cada sentido de la comunicación. SA puede soportar AH o ESP. 

AH: Control de acceso, integridad no orientada a conexión, autenticación, anti-

repetición. Algunos autores (Scheneier) discuten la utilidad de este protocolo y de hecho la implementación de IPSec en Linux no lo soporta. ESP: A









c

r

o

b

a

t

D

o

c

u

m

e

n

t

Sólo cifrado: control de acceso, anti-repetición, confidencialidad, confidencialidad de flujo de tráfico. No recomendado por seguridad. Con autenticación: añade integridad y autenticación.

Parámetros que identifican una SA de forma única: 

 

Security parameter Index (SPI): secuencia de bits con significado local que va

en la cabecera ESP o AH y permite seleccionar al SA en el receptor. Dirección IP destino: unicast, sistema final (host, router. firewall) o red. Security Protocol Identifier : indica si la asociación es AH o ESP.

SPI

IPdest


Protocol Identifier B. Alarcos, E. de la Hoz

Parámetros asociados a los SAs 

Contenido de la base de datos de SAs (SPD) de cada implementación IPsec. 





Número de secuencia (32 bits) Indicador de rebose del contador de número de secuencia. Ventana anti-repetición: para saber si un paquete que llega es

repetido.



Información AH: algoritmo de autenticación, clave, tiempo de

vida…. 







Información ESP: algoritmos de cifrado y autenticación, claves,

valores de inicialización, tiempo de vida de las claves….. Tiempo de vida asignado al SA en segundos o bytes transmitidos. Modo del protocolo IPSec: túnel, transporte… MTU del camino.



Security Policy Database SPD 



Define la políticas de seguridad del tráfico saliente. Tabla con varias filas; cada una contiene: 





Selector: direcciones IP y valores de protocolos de niveles superiores. SA

Comportamiento ante la llegada de un paquete (saliente): 





Se comprueba si cumple selectores de las filas y los SA a los que hace referencia. Determina el SA y su SPI (Security Parameters Index) asociado. Realiza el proceso requerido (AH, ESP...).



Campos que puede llevar el selector 



















Dir IP de destino o rango Dir IP de fuente o rango UserID del sistema operativo en el que está corriendo IPSec (disponible si el usuario se encuentra en el sistema con IPsec) Nivel de sensibilidad del dato (secret, unclassified) Protocolo de transporte Protocolo IPSec: AH o ESP o AH/ESP Puertos (TCP/UDP) fuente y destino IPv6 Class IPv6 etiqueta de flujo IPv4 TOS



Modos de uso 

Modo Transporte: Provee protección de los niveles superiores (payload de IP). Se utiliza en comunicaciones extremo a extremo entre hosts. ESP cifra y opcionalmente autentica el campo de datos de IP. AH autentica campo de datos de IP y parte de la cabecera. 









Modos de uso 

Modo Túnel: Provee protección del paquete IP completo. Se trata criptográficamente un paquete entero con cabecera IP y de seguridad. Se añade un cabecera IP exterior. Los routers no tienen acceso a la cabecera interior. La cabecera exterior puede tener direcciones fuente y destino diferentes a la interior (encapsulada). Se utiliza entre extremos SA que son routers o firewalls con IPSec. Los hosts detrás del firewall pueden implementar comunicaciones seguras sin tener IPSec (su firewall implementa el túnel seguro con el firewall de la red de destino). ESP cifra y opcionalmente autentica el paquete IP interno. AH autentica el paquete IP interno y parte de la cabecera IP externa. 



















AH - Cabecera de autenticación 

Tiene los siguientes campos: 



Next header (8 bits): identifica tipo de cabecera que sigue. Payload Length (8 bits): Long de AH menos 2, en palabras de 32

bits. 







NH8

Reservado (16 bits): para usos futuros. Security Parameter Index SPI (32 bits): identifica una SA. Sequence Number (32 bits): valor de un contador

monotónicamente creciente. Datos de Autenticación: un campo con longitud variable múltiplo de 32 bits (96 bits por defecto) que contiene el valor de chequeo de integridad ICV. PL8

Reservado 16

SPI32

SN32

Authentication Data variable



AH - Protecci n contra r plica de mensajes 







Se utiliza un contador de 32 bits que se incrementa antes de enviar un mensaje y pone su valor en Sequence Number. Si alcanza el valor final 232, hay que negociar un nuevo SA y clave. IP no garantiza llegada en orden ni ausencia de pérdidas. El procedimiento usado por AH es: 









El receptor implementa una ventana deslizante W=64 (por defecto), tamaño fijo. Se comprueba la autenticación de todos los paquetes recibidos. Paquetes a la izquierda de la ventana se descartan, evento auditable. Paquetes dentro de ventana o a la derecha se aceptan y se marca como recibido el bit correspondiente. Avance de la ventana: paquetes a la derecha hacen deslizar el borde derecho de la ventana hasta ese número.



AH - Integrity Check Value ICV 



Es un MAC. Se utiliza el algoritmo HMAC con MD5 o SHA. 







HMAC-MD5-96 HMAC-SHA-1-96

Del valor resultante se cogen los primeros 96 bits (long por defecto del campo de autenticación). El MAC se calcula sobre: 





Cabecera IP con los campos que no cambian de valor en el

recorrido o cuyo valor de llegada es predecible (dir Ip destino), el resto de campos se pone a cero (TTL, Checksum o etiqueta de flujo en IPv6). Cabecera AH con el campo de autenticación puesto a cero. El resto de cabeceras de alto nivel y datos.



AH - Ejemplos de implementación 



Ejemplo con protocolo TCP Modo transporte. Orden de las cabeceras. 



IPv4: IP+AH+TCP+datos IPv6: IP+ext1+AH+ext2+TCP+datos 





ext1: salto-a-salto, destino, routing, fragment ext2: destino (esta extensión puede ir después de AH)

Modo túnel. Orden de las cabeceras. IPv4: IP nueva+AH+IPoriginal+TCP+datos IPv6:IP nuevo+ext+AH+IP original+ext+TCP+datos 





ESP- Encapsulating Security Payload 

Formato. 

Security Parameters Index SPI (32 bits): identifica SA. Sequence number (32 bits): para función anti-repetición. Payload data: datos protegidos nivel de transporte o IP ( modo



Padding (0-255 bytes): requerido por varios motivos:

 

túnel).  



  

Requisitos del algoritmo de cifrado sobre longitud de datos. ESP requiere alineación a 32 bits de los campos: datos, pad length y next header. Puede ser requerido para aportar confidencialidad de flujo de tráfico (basura de relleno).

Pad length (8 bits): longitud del campo relleno. Next Header (8 bits): tipo de cabecera a continuación. Authentication data (variable): número de palabras de 32 bits que

contiene ICV calculado sobre el paquete ESP menos el campo de autenticación de datos (este mismo).



ESP - Algoritmos 

Cifra los campos en el rango [Payload Data-Next Header]. Utiliza DES en modo CBC (cipher block chaining) Otros algoritmos soportados. 















Triple DES con tres claves. RC5. Triple IDEA con tres claves. CAST Blowfish.

Autentica campos en el rango [SPI - Next Header]. Utiliza el algoritmo HMAC con MD5 o SHA. 





HMAC-MD5-96 HMAC-SHA-1-96



ESP - Ejemplos de implementación 

Modo transporte: entre hosts finales. IPv4

orig IP hdr ESP hdr

TCP

Data

ESP trlr ESP auth

cifrado autenticado

IPv6

orig IP hdr

ext

ESP hdrc Dest

TCP

Data

ESP trlr ESP auth

cifrado autenticado 

Modo túnel: estableciendo una red privada virtual con

túneles entre redes corporativas. IPv4

New IP hdr ESP hdr orig IP hdr

TCP

Data

ESP trlr ESP auth

cifrado autenticado

IPv6

New IP hdr ext ESP hdrc orig IP hdr ext

TCP

Data

ESP trlr ESP auth

cifrado autenticado Tema 8. Redes Privadas Virtuales Seguridad en Internet


ESP - Ejemplos de implementación sesión TCP cifrada

red interna

red externa

Modo transporte

red corporativa red corporativa

Internet red corporativa red corporativa

túnel transportando tráfico IP cifrado

Modo túnel: Red Privada Virtual Tema 8. Redes Privadas Virtuales Seguridad en Internet


Gestión de claves  



Distribución de claves secretas. Normalmente son necesarias 4 claves para comunicación entre dos aplicaciones: transmite y recibe en modos ESP y AH. Tipos de gestión:  



Manual: ambientes pequeños y estáticos. Automática: generación de claves bajo demanda y distribución.

Protocolo de gestión automática de claves: ISAKMP/IKE:  

IKE: protocolo de intercambio de clave. ISAKMP: Internet Security Association and Key Management Protocol. Proporciona un entorno para gestión de clave Internet, define el formato de mensajes para intercambio de clave, pero no define el algoritmo de intercambio de claves aunque sí dice los requisitos que debe cumplir. IKE es un algoritmo de intercambio de clave que satisface dichos requisitos.



ISAKMP 





Define procedimientos y formatos de paquete para operar sobre SA (operaciones para establecer, negociar, modificar o borrar SAs). Debe soportar el uso de UDP como protocolo de transporte. La PDU puede estar formada por:  

Una cabecera. Uno o más campos de datos (payload). Hay 12 tipos de campos: 

Todos los campos tienen una cabecera genérica de 32 bits:   

Next payload (8): 0 (última); otro valor (tipo de siguiente). Reserved (8): reservado. Payload Length (16): en octetos, incluye la cabecera.



Cabecera ISAKMP 



    

Initiator Cookie (64): cookie de la entidad que inicia

establecimiento, borrado o modificación de SA. Responder Cookie (64): cookie de entidad que responde. Nulo en el primer mensaje. Next payload(8): tipo del primer campo de datos. Major version (4): mayor versión de ISAKMP en uso. Minor version (4): menor versión de ISAKMP en uso. Exchange type (8): tipo de intercambio. Flags (8): hay definidos dos bits.  

Encryption: si todo el campo de datos es cifrado. Commit: asegura que no se envía cosas cifradas antes de completar

el establecimiento. Authetication: información con integridad pero no cifrado. Message ID (32): identificador único para este mensaje. Length(32): longitud del mensaje completo en octetos. 

 



ISAKMP: tipos de payload           

SA: negocia atributos de seguridad, indica DOI y ambiente. Proposal: fase de negociación, protocolo y nº de transformaciones. Transform: fase de negociación, transformación y atributos usados. Key Exchange: soporta varias de técnicas de intercambio de clave. Identification: intercambio de información de identificación. Certificate: transporte de certificados y otra información relativa. Certificate Request: pide certificado, tipo de certificado y CA aceptadas. Hash: contenedor de datos generados por una función hash. Signature: contenedor de datos generados por una función de firma. Nonce: contenedor de un reto (nº aleatorio de un sólo uso). Notification: datos de notificación como:  



errores (hay una lista definida). notificaciones específicas DOI (mensajes de estado).

Delete: indica que un SA ya no es válida.



ISAKMP: tipos de intercambios 









Intercambio Base: intercambio de autenticación con

intercambio de clave. Minimiza mensajes (4) pero no provee protección de identidad. Intercambio de protección de identificación: expande el anterior (6 mensajes) aportando protección de identidad. Intercambio de sólo autorización: intercambio de autenticación mutua sin intercambio de clave. Tres mensajes. Intercambio agresivo: minimiza nº de mensajes, no provee protección de identidad. Intercambio de información: usado para transmitir información en un sentido.



IKE 



 





Como hemos dicho ISAKMP establecía los requisitos que debía cumplir un protocolo de intercambio de claves en IPSec y definía el formato de paquetes que debía utilizar pero no especificaba ninguno en concreto. IKE es un protocolo de intercambio de claves que cumple los requisitos establecidos por ISAKMP. IKE funciona en dos fases. En la primera los dos interlocutores IKE establecen un canal seguro (que se llama ISAKMP SA) por donde realizarán el resto de la negociación. En la segunda fase negocian y establecen el SA para la conexión, utilizando el ISAKMP SA. Un interlocutor IKE es cualquier ordenador con IPSec instalado, capaz de establecer canales IKE y negociar SAs. Puede ser cualquier ordenador de sobremesa, portátil, etc.., o puede ser un nodo especial de acceso IPSec, que se llaman Security Gateways o IPSec Gateways.



IKE: Modos de funcionamiento 

El IKE proporciona dos modos (en realidad tres) para intercambiar información de claves y establecer SAs: 







Main Mode: para realizar una primera fase donde se establecer una asociación de seguridad BIDIRECCIONAL denominada ISAKMP SA mediante la cual llevar a cabo el resto de la negociación. Quick Mode: para, utilizando la ISAKMP SA negociada en la primera fase, negociar una SA de propósito general que será utilizada durante la conexión. El tercer modo llamado Agressive Mode sirve para realizar también el establecimiento de una ISAKMP SA pero utilizando menos mensajes (sólo 3 frente a los 5 de Main Mode)

El proceso general de una conexión IPSec es el siguiente: 





Se arranca una conexión ISAKMP SA usando el Main Mode (o el Agressive Mode) Se utiliza el Quick Mode para negociar una SA utilizando el IKESA establecido Se utilizan los métodos, algoritmos y claves establecidos en el SA para la transmisión de datos entre los dos puntos, hasta que el SA expira.



Main mode. Inicio de una conexión 






En 1 y 2 intercambian (acuerdan) un SA para la conexión. En 3 y 4 intercambian los datos para la generación de una clave secreta compartida por el método de Diffie Hellman. En 5 y 6 verifican sus identidades mediante certificados firmados por CAs reconocidas (Autentican el intercambio de DiffieHellmann anterior) B. Alarcos, E. de la Hoz

Quick mode.

  



 

Es menos estricto que Main mode, ya que todos los datos viajan encriptados por el túnel del Main Mode. Cada paquete viene precedido de un hash firmado del resto del contenido, para asegurar la integridad. El iniciador propone un SA y el interlocutor lo acepta o propone otro más genérico. También se puede negociar opcionalmente una nueva clave utilizando Diffie-Hellmann (key). El iniciador envía una semilla (nonce) para el intercambio, el interlocutor le envía a su vez la suya y le devuelve la primera hasheada y firmada en el hash de cabecera como prueba de aceptación. El iniciador devuelve un hash firmado de las dos semillas y finaliza el intercambio. A continuación los dos calculan el SPI aplicando un hash a la concatenación de las dos semillas, y la clave de intercambio aplicando el hash al SPI seguido de los parámetros de la SA acordada.



Configuración de un modo túnel entre dos redes (Kernel 2.6)

#!setkey -f # Flush the SAD and SPD flush; spdflush; # ESP SAs doing encryption using 192 bit long keys (168 + 24 parity) # and authentication using 128 bit long keys add 192.168.1.100 192.168.2.100 esp 0x201 -m tunnel -E 3des-cbc 0x7aeaca3f87d060a12f4a4487d5a5c3355920fae69a96c831 -A hmac-md5 0xc0291ff014dccdd03874d9e8e4cdf3e6; add 192.168.2.100 192.168.1.100 esp 0x301 -m tunnel -E 3des-cbc \ 0xf6ddb555acfd9d77b03ea3843f2653255afe8eb5573965df \ -A hmac-md5 0x96358c90783bbfa3d7b196ceabe0536b; # Security policies spdadd 172.16.1.0/24 172.16.2.0/24 any -P out ipsec esp/tunnel/192.168.1.100192.168.2.100/require; spdadd 172.16.2.0/24 172.16.1.0/24 any -P in ipsec esp/tunnel/192.168.2.100192.168.1.100/require;



vpn.pdf

Recommend Documents