Internet y su Arquitectura de
Seguridad
CINVESTAV-IPN
Departamento de Ingeniería Eléctrica
E. Rafael Espinosa (
[email protected])
Guillermo Morales Luna (
[email protected])
Resumen
Con el constante crecimiento de Internet (de su conectividad por supuesto), y
con la aparición de nuevos servicios, la red internacional también ha dado a
intrusos técnicamente avanzados la oportunidad de realizar una variedad de
ataques, amenazando así la integridad de su infraestructura y violando la
privacidad de los usuarios. No obstante que actualmente el entusiasmo ha
sustituído a la inicial aversión de los usuarios de negocios y
gubernamentales, el temor a los intrusos anónimos en Internet está forzando
a la mayoría de las organizaciones a reclasificar soluciones radicales como
puede ser la separación entre redes de datos privadas o Intranets y la Internet
pública. La segmentación resultante se está constituyendo en un fuerte
impedimento para lograrel concepto de una red Internet global. La seguridad
criptográfica ofrece una alternativa viable con respecto a la segmentación, lo
cual podría permitir mantener una conectividad fuertemente acoplada.
Resumen (cont.)
La organización 'Internet Engineering Task Force' (IETF), implementó mecanismos de
seguridad criptográfica en varias capas del protocolo TCP/IP que permiten la protección
lógica de las unidades de información transferidas sobre la red global y eliminan la
necesidad de una segregación física del tráfico legitimo de ciertas porciones estratégicas de
la red. Se espera que las nuevas medidas de seguridad criptográfica faciliten y simplifiquen
las soluciones basadas en segmentación física y ofrezcan un medio práctico de comunicación
segura sobre Internet. La segmentación usando 'firewalls' (¿cortafuegos?) y la separación
física de las intranets permanecerá como una solución radical para la protección de redes
corporativas contra el tráfico malicioso.
En nuestra conferencia presentamos una restropectiva acerca de las medidas de seguridad
criptográfica disponibles para la infraestructura de Internet como una alternativa a la
segregación física. Presentamos también la arquitectura de IPsec que incluye protocolos de
seguridad en la capa de Internet, las propuestas relacionadas sobre administración de llaves,
el protocolo de seguridad de la capa de transporte y puntos relativos a seguridad en el control
y la administración de red.
Palabras claves: Internet; protocolos de seguridad; mecanismos criptográficos; seguridad en
redes.
Ataques comunes
Imitación
• Conexión al cable
•
• Negación de un servicio
• Contestación de mensajes en tránsito
• Suposición de passwords
• Suposición de claves
• Virus
Protocolos de seguridad
• CDPD Cellular Digital Packet Data
• DNSSEC Domain Name System Security Extensions
• DOCSIS Data Over Cable Service Interface Specification
• IEEE 802.11
• IPSec IP Security Protocol
• PPTP Point to Point Tunneling Protocol
• SET Secure Electronic Transactions
• S-MIME Secure MIME
• SSH Secure Shell
• SSL & TLS Secure Sockets Layer & Transport Layer
Security
Esquemas de seguridad en las
capas de TCP/IP
Applications
- S-MIME
- Kerberos
- Proxies
- SET
- IPSec (ISAKMP)
TCP/UDP
(Transport)
- Socks
- SSL, TLS
IP
(Internetwork)
Network Interface
(Data Link)
- IPSec (AH, ESP)
- Packet filtering
- Tunneling protocols
- CHAP, PAP,
MS-CHAP
Arquitectura de IPSec
•
IPSec tiene tres componentes principales:
– Authentication header (AH)
– Encapsulating Security Payload (ESP)
– Internet Key Exchange (IKE)
Interoperabilidad.
Independiente de algoritmos criptográficos actuales.
•
•
• Soporta tanto IPv4 como IPv6.
• Es un componente obligatorio en IPv6.
Conceptos IPSec
• Asociaciones de seguridad, el concepto de Security
Association es una simple conexión lógica entre dos
sistemas IPSec.
• Encapsulación, es una técnica común usada en redes
conmutadas de paquetes, en donde una trama se transforma
en una nueva
Algoritmos que usa IPSec
• Se basa en el algoritmo de Diffie-Hellman y/o RSA para
intercambio de llaves.
• Encriptación asimétrica se realiza con DES y Triple-DES.
• En sistuaciones donde se requiere una mayor seguridad se
usa RC5.
• Para hashing se usa el algoritmo SHA1 y MD5.
IPSec versus SSL
• Asegura paquetes de bajo nível creando redes seguras
sobre canales inseguros.
• SSL opera en la capa de transporte y no necesita estar en la
misma red segura.
• SSL asegura dos aplicaciones a través de una red pública.
•
IPSec asegura una red completa.
Aplicaciones
•
IPSec es usado cuando es necesaria la comunicación
segura sobre redes inseguras.
• Hardware y software para VPN.
• Hardware y software para acceso remoto
• Firewalls.
Seguridad nodo a nodo
caso 1
H1
Internet/
Intranet
H2
Connection
IPSec tunnel
Soporte básico VPN
caso 2
H1
Intranet
G1
Internet/
Intranet
G2
Intranet
H2
Connection
IPSec tunnel
Seguridad nodo a nodo con
soporte VPN
caso 3
H1
Intranet
G1
Internet/
Intranet
G2
Intranet
H2
Connection
IPSec tunnel
Acceso remoto
caso 4
Dial-up Segment
H1
Internet
G2
Intranet
H2
Connection
IPSec tunnel
Productos
• RSA BSAFE Crypto-C y RSA BSAFE Crypto-J son
productos que ofrecen un núcleo criptográfico necesario
para implementar sistemas IPSec y VPN.
• Corporaciones como CISCO, Nortel, IBM, Raptor y
Secure Computing tienen incorporados componentes de
seguridad IPSec y RSA BSAFE Crypto-C o RSA BSAFE
Crypto-J en sus productos.
Comentarios de: Internet y su Arquitectura de Seguridad (0)
No hay comentarios