VIRTUAL PRIVATE NETWORK Algoritmos de Encriptacin Los primeros algoritmos fueron de sustitucin de cifra.

a. Encriptacin: Busca convertir un texto plano en un cdigo cifrado Ilegible. Des encriptacin: Busca convertir un cdigo cifrado Ilegible en un texto plano Garantiza la Confidencialidad. Actualmente estos algoritmos son de dominio pblico. Se basan en llaves que son las que generan la encriptacin VPN Encriptacin Modelo OSI Capa de Red: IPSEC Capa Sesin: SSL (Secure Socket Layer ) y TLS ( transport Layer Security ) Capa Aplicacin: Encriptacin para E-mail, database y mensajes. VPN Algoritmos Simtricos y Asimtricos Asimtricos utilizan distintas llaves de encrypt como de decrypt. Simtricos son 1.000 veces ms rpidos que Asimtricos ( funciones matemticas complejas ) VPN Algoritmos Simtricos

VPN Tcnicas de encriptacin Algoritmos Simtricos Stream Cipher: Encriptado bit a bit Block Cipher: Encriptado por Bloque (ej. 512 bits) VPN Data Encryption Estndar (DES) Ampliamente utilizado (menor seguridad) opera en modo block de 64 bits. Utiliza funciones matemticas simples Fcil de implementar y acelerar por Hardware (mdulos especficos en Firewall). DES KEY: Llave es de 64 bits, 56 de encripcin y 8 de paridad. Modo de Operacin Block Cipher Electronic Code Boock (ECB): Llave de 64 bits y Bloques de 64 bits Cipher Block Chaining (CBC): Encrypt de cada bloque depende del anterior (CISCO) Modo de Encriptacin Stream Cipher Utiliza Texto anterior y una llave que genera un pseudorandom de stream de bits. Cipher Feedback( CFB ): Similar a CBC, puede encriptar un nmero de bits. Output Feedback (OFB ): Cifrado es generado desde un bloque de bits, desde el texto plano anterior. VPN Triple Data Encryption Estndar (3 DES) Similar a DES EDE: Encripta desencripta - Encripta Cada pasa utiliza una llave de 56 bits diferente

VPN Advanced Encription Standard (AES) Utiliza Bloque variable y una llave variable de encriptacin (128,192 y 256). Fcil implementacin Hardware y software. AES ms fuerte que 3DES AES es ms rpido de 3DES AES es ms nuevo, 3DES lleva 30 aos de prueba VPN Algoritmos Asimtricos Diferente llave de encriptacin y desencripcin RSA ELGAMAL ELIPTIC CURVES DIFFIE-HELLMAN DSA Principal uso: intercambio de claves en medio no seguro, para Algoritmos Simtricos Llaves de largo superiores a 1024 para este algoritmo se considera segura. VPN HASHES Provee Integridad Una va de funcin matemtica Hash ms utilizado es MD5 CHECKSUM Utiliza para integridad de la autenticacin como del mensaje Los Hash son determinsticos no se deben duplicar. Provee efecto Avalancha, un pequeo cambio en la entrada, genera un gran camb io en el Hash de salida. VPN keyed Hash-Based Message Authentication Code (HMAC) Message authentication code, es una porcin de informacin utilizada para autenticar un mensaje. Los valores MAC se calculan mediante la aplicacin de una funcin hash criptogrfica con llave secreta K, que slo conocen el remitente y destinatario, pero no los atacantes. Matemticamente la funcin hash criptogrfica toma dos argumentos: una llave K de tamao fijo y un mensaje M de longitud arbitraria. El resultado es un cdigo MAC de longitud fija: MAC = CK(M) dnde: M es un mensaje de longitud arbitraria CK es la funcin que transforma el mensaje en un valor MAC y que utiliza una llave secreta K como parmetro MAC es el valor MAC calculado de longitud fija HMAC usa entonces una funcin hash (MD5, SHA -1), una clave K, una funcin xor y Operaciones de relleno de bits. VPN Message Digest Algorithm (MD5) Comnmente Utilizado para verificar integridad de archivos Utilizado por CISCO para almacenar password Expresa en Hexadecimal, 128 bits Variable entrada siempre generan 128 btis. Se han detectado coliciones, mismo output para distintos input Rainbow Table: Las tablas rainbow son una estructura de datos (mapas) que proveen informacin acerca de la recuperacin de contraseas en texto plano generadas con ciertas funciones hash conocidas. Salt: Serie aleatoria de bits que se agregan en la informacin de entrada, hacen ms seguro MD-5 VPN Secure Hash Algorithm ( SHA-1 ) Sucesor al MD5 Utilizado en : TLS, SSL, PGP, SSH, IPSEC Variables entradas generan 160 bits de salida Colisiones has sido detectadas, debilidades en las operaciones matemticas Existen variante SHA-2

VPN Digital Signature Crean Public Key Infrastrure ( PKI ) Llaves pblicas se pueden distribuir a cualquiera. Requiere que un entidad firme las llaves pblicas en un sistema PKI, esto se conoce como un Certificate Authority ( CA ). Una vez registradas la llave pblica se entrega un certificado, que verifica la que la llave pertenece efectivamente a quien la emite. El encadenamiento del certificado y la llave es un Registration Authority (RA) Unas ves hechas esto es usuario puede mandar su certificado y Llave pblica, firmado por su llave privada. El usuario enva un mensaje firmado por su llave privada, los que reciben pueden validar la autora del mensaje con la llave pblica. VPN RSA Signature Primer algoritmo de firmas digitales y encriptacin. Utiliza un llave Pblica y una Privada (Asimtrico). Utiliza Encripcin, Desencripcin y Firma. Ataques Existentes: Timing Attack Branch Prediction analisys (BPA) attack VPN Diffie Hellman Key Exchange Algorithm ( DH ) Intercambia llaves de una manera segura sobre canales inseguros. Algoritmo Asimtrico. Provee de llaves a los algoritmos Simtricos. Intercambia llaves cuando se crea un tnel. Luego pasa a Simtrico. VPN Tecnologas de VPN IPSEC - Confidencialidad - Integridad - Autentificacin username y password One Time Password ( token ) Preshared keys Signed Digital Certificates - Layer 3 - Tnel encriptado ISAKMP GRE L2TP L2F VPN Internet Key Exchange (IKE) IPSEC utiliza IKE IKE opera sobre tres modos: MAIN MODE Quin responde recibe una propuesta del que inicia. DH asegura el establecimiento de las llaves secretas compartidas Estable tnel ISAKMP (Internet security association key management Protocol) AGGRESSIVE MODE Quin inicia enva la informacin para establecer una Security Association (SA) Quin responde enva los parmetros seleccionados. el que inicia finaliza la autentificacin de la session ISAKMP. QUICK MODE Negocia parmetros de IPSEC VPN AUTHENTICATION HEADER ( AH ) // ENCAPSULATING SECURITY PAYLOAD ( ESP ) ESP encripta todo el paquete original, AH no ESP utiliza protocolo IP 50, AH utiliza protocolo 51 Puede operar en modo transparent o modo tunnel (En modo tnel el paquete es modificado en un nuevo IP Header)

VPN Consideraciones para disear VPN

VPN Construccin Tnel IPSEC Site to Site TRFICO INTERESANTE: Definir trfico que ser encriptado dentro del tnel . ( ACL ) FASE 1: Prametros IKE, ISAKMP Policy FASE 2: Prametros IKE, Transform Set CRYPTO MAP: Asocia los parmetros de la fases 1 y 2, Aplica a una interfaz , por donde se recibe el tnel FIREWALL Un Firewall realiza una segmentacin de la red Dichos segmentacin se basa en redes Trusted y Untrusted Permite o deniega trficos de acuerdo a polticas de seguridad. A diferencia de un router, viene con todos los pu ertos cerrados, y es capaz de implementar autoproteccin. Tipos de Firewall: Static Packet Filtering (primer tipo de firewall) Circuit Level Firewall Proxy Server Application Server Dynamic Packet Firewall STATIC PACKET-FILTERING FIREWALL Capa 3, los Paquetes son examinados con reglas basadas en: Header Capa de red Header Capa de Transporte Direccin del Flujo Es escalable e independiente de la aplicacin Alto Performance Solucin bsica de proteccin Ejemplo de esto son las ACLs CIRCUIT-LEVEL FIREWALL Verifica que los datos que estn fluyendo entre dos hosts, pertenezcan a la sesin ya iniciada. Arquitectura obsoleta, trabaja en capa 5 session APPLICATION LAYER FIREWALL Antes de permitir una conexin, la arquitectura verifica que pertenezca a la aplicacin. Verifica comportamientos de las conexiones, supera la capa 4. Esta arquitectura mantiene una tabla de conexiones complete state, con informacin de secuencia ( paquetes tcp ) Puede validar datos que solo existen en la capa de aplicacin. Se conocen como Proxy Firewall o Appplication Gateways Filtra en capa 3,4,5 y 7. Ventajas: Genera autentificacin por usuario y no por equipo. Dificulta el Spoofing Proteccin DoS Monitorea y Filtra Datos por Aplicacin, Provee un detallado LOGGING.

Desventajas: Alto consumo de CPU. Alto espacio en memoria Bajo throughput con altos consumos de CPU Se requiere mucho espacio en disco para almacenar sus logs Soporta aplicaciones especficas. Algunos de estos Firewall necesitan un agente instalado en los usuarios. DYNAMIC PACKET FILTERING FIREWALL El ms utilizado en la actualidad. Tambin se denominan STATEFUL FIREWALL Construye tabla de estados Basado en informacin de capa 3,4 y 5 Precursor fue CheckPoint Funcionamiento Tabla de Estados (STATEFUL) Mantiene tabla con informacin de host a host Ip origen destino Nmero de puertos Secuencia TCP TCP y UDP flags. Verifica Header de los paquetes para verificar si corresponden a: SYN RST ACK FIN Cada sesin se almacena en la tabla de estados. Desventajas: Las direcciones internas pueden quedar expuestas, se debe complementar con: NAT, PROXY SERVER No trabaja en capa 7 Algunas aplicaciones no se corresponden a STATEFUL, abren otros puertos. No posee autentificacin por usuario. ESCENARIOS: Primera lnea de defensa Mtodo robusto de filtrado de paquetes Bloquea ataques de Spoofing Bloquea ataques de DoS. APPLICATION INSPECTION FIREWALL Tambin conocido como Deep Inspection Firewall Cuenta con tabla STATEFUL e incorpora Intrusion Detection Verifica capa 4. Verifica capa 5, sesiones Validas Puede verificar aplicaciones de capa-7 Previene ms ataques que un Dynamic Firewalls Puede verificar las conexiones nuevas vlidas Desventajas: No estn todas las aplicaciones soportadas No posee autentificacin de usuario Requiere mucha CPU al analizar la capa 7 Escenarios: Sistema de defensa secundario. Posee mayor control sobre la seguridad al verificar capa 7 QUE NO HACE UN FIREWALL No Protege los hosts que se comunican dentro de la red Trusted No protege en contra de virus. Existen Mdulos adicionales No protege contra modems o access-point piratas dentro de la red Trusted.

TRANSPARENT FIREWALL Configurando un dispositivo en capa 2 Ya no cuenta con direcciones de IP para el trfico, solo para administracin Posee solo dos interfaces asociadas a distintas VLANs, Se puede operar en diferentes contextos, generando varios firewall virtuales No requiere modificar el direccionamiento existente para instalarlo POLITICAS DE IMPLEMENTACIN DE FIREWALL Conocer lo que el negocio requiere para configurar correctamente un Firewall. Denegar todo trfico que no sea til. (Puertos y protocolos). Proteger el acceso fsico al equipo. Logs y Alertas Segmentar de acuerdo a Zonas con distinto Nivel de Seguridad El Firewall no es un Proxy, no debe operar como tal. El firewall no es una estacin de trabajo para algn usuario. Hacer un Set del lmite de sesiones por usuario. (Suprime Worms y ataques automatizados). Control de acceso a los Firewalls. Debe tener un tratamiento distinto con respecto a los dems equipos de la red. Firewall es solo parte de la solucin de seguridad. Mantener la Instalacin (parches recientes, IOS actualizadas). CISCO IOS ZONE BASED FIREWALL Utiliza Stateful packet inspection Inspeccin de Aplicacin Identifica VPN VRF Filtrado de URL Mitiga ataques de DoS Polticas son aplicadas entre zonas (inside, outside, dmz, dmz1) Deny-all por defecto Generar polticas por Subredes o Hosts Polticas son unidireccionales entre Zonas CISCO IOS ZONE BASED FIREWALL POLICY ACL s utilizando IP de hosts o Subredes Protocolos ( https, telnet ,.) Polticas de servicio de aplicacin, polticas especficas a una aplicacin. ZONE MEMBERSHIP Las interfaces son asignadas a las zonas. Una vez que se asigna una interfaz a una zona esta queda implcitamente bloqueada Se excepta el trfico entre interfaces pertenecientes a una misma zona Se debe generar polticas que permitan que el trfico pase o sea inspeccionado. Acciones a tomar para las Polticas: PASS , INSPECTION, DROP. Para crear las polticas de seguridad de zona se deben tener en cuenta: Zona de seguridad es un conjunto de interfaces a las que se puede aplicar una poltica. De forma predeterminada, el trfico puede fluir libremente dentro de esa zona, pero todo el trfico desde y hacia esa zona se redujo en forma predeterminada. Para permitir que pase el trfico entre zonas, los administradores deben declarar explcitamente mediante la creacin de una zona de par y una poltica para esa zona. Otro aviso es que el trfico originado desde el router en s se le permite pasar libremente. Zona de par permite especificar una poltica de firewall unidireccional entre dos zonas. En otras palabras, un par zona especfica la direccin del trfico interesante. Esta direccin se define mediante la especificacin de una fuente y la zona de destino. Ntese que no podemos definido una zona como origen y la zona de destino. Poltica de Zona define lo que queremos permitir o denegar para ir entre las zonas. Por ejemplo, slo queremos permitir HTTP mientras incidencia SMTP, ICMP... Tenemos 3 acciones "pasar, "Drop " y " inspeccionar. El " pase " y acciones " drop " son fciles de entender. La accin de " inspeccionar " decirle al router para utilizar una clase - mapa predefinido para filtrar el trfico.