El documento describe ISAKMP e IPsec. ISAKMP es un protocolo que establece asociaciones de seguridad para administrar claves criptográficas. IPsec es un conjunto de protocolos que autentican y/o cifran paquetes IP para asegurar comunicaciones. IPsec define dos protocolos: AH para integridad y autenticación, y ESP para confidencialidad y opcionalmente autenticación. IPsec opera a nivel de red y puede proteger cualquier protocolo de capa 4 como TCP y UDP.
IPSec VPNs
- ¿Qué es IPSec?
- Los bloques que componen IPSec
- Modos de funcionamiento
- Autenticación de dispositivos en IPSec VPNs
- Tipos de claves criptográficas
- ¿Seguridad en una red pública? ¿Es posible?
- Algoritmos de cifrado
- Integridad
- IKE Fase 1
- IKE Fase 2
- IKE Fase 1.5
IPSec VPNs
- ¿Qué es IPSec?
- Los bloques que componen IPSec
- Modos de funcionamiento
- Autenticación de dispositivos en IPSec VPNs
- Tipos de claves criptográficas
- ¿Seguridad en una red pública? ¿Es posible?
- Algoritmos de cifrado
- Integridad
- IKE Fase 1
- IKE Fase 2
- IKE Fase 1.5
Es evidente que cada vez es más necesario colocar una central Elastix expuesta a Internet por diversas exigencias del mercado, Anexos remotos o extendidos, centrales virtuales, Cloud Computing, etc. Esto trae como consecuencias estar expuestos a varios riesgos en cuanto a la seguridad. La charla expondrá, cómo es posible extender la seguridad en una implementación en Elastix usando SNORT como sistema de detección y prevención de intrusos, para el control y bloqueo de ataques tanto a nivel SIP como de aplicaciones web, los cuales se enfocan en vulnerar la seguridad de la plataforma. La charla es completamente técnica y se desarrollaran ataques contra maquinas virtuales, con el objetivo de mostrar su bloqueo con snort.
Conferencista: Juan Oliva
Es evidente que cada vez es más necesario colocar una central Elastix expuesta a Internet por diversas exigencias del mercado, Anexos remotos o extendidos, centrales virtuales, Cloud Computing, etc. Esto trae como consecuencias estar expuestos a varios riesgos en cuanto a la seguridad. La charla expondrá, cómo es posible extender la seguridad en una implementación en Elastix usando SNORT como sistema de detección y prevención de intrusos, para el control y bloqueo de ataques tanto a nivel SIP como de aplicaciones web, los cuales se enfocan en vulnerar la seguridad de la plataforma. La charla es completamente técnica y se desarrollaran ataques contra maquinas virtuales, con el objetivo de mostrar su bloqueo con snort.
Conferencista: Juan Oliva
Redes Privadas Virtuales y cómo configurar routers de TeltonikaMonolitic, S.A.
En esta nota de aplicación te explicamos en qué se basan las redes privadas virtuales y cómo configurar cualquier router de Teltonika (RUT500, RUT900, RUT950, etc...).
Contacta con nosotros para más información: info@monolitic.com
1. Resumen Exposición
Mauricio Preciado.
ISAKMP
Internet Security Association and Key Management Protocol (ISAKMP) es un
protocolo criptográfico de administración de claves y asociaciones de seguridad de
Internet, eestá definido en el RFC 2408
• Estructura habitual para establecer el formato de los atributos SA, así como
para negociar, modificar y eliminar SA. ISAKMP es el estándar IETF para
administrar SA IPsec.
• Define los procedimientos para la autenticación entre pares, creación y
gestión de asociaciones de seguridad, técnicas de generación de claves, y
la mitigación de la amenaza
• Define los procedimientos y formatos de paquetes para establecer,
negociar, modificar y eliminar las SA
• Define el formato para el intercambio de generación de claves y datos de
autenticación.
• Puede aplicarse sobre cualquier protocolo de transporte. Todas las
implementaciones de ISAKMP deben incluir la capacidad de enviar y recibir
en el puerto UDP 500. Además, Se debe permitir en el destino el puerto
UDP 4500, si el origen de la conexión atraviesa un NAT.
Formato de ISAKMP
2. IPsec
IPsec (Internet Protocol security) es un conjunto de protocolos cuya función es
asegurar las comunicaciones sobre el Protocolo de Internet (IP) autenticando y/o
cifrando cada paquete IP en un flujo de datos. IPsec también incluye protocolos
para el establecimiento de claves de cifrado.
Actúan en la capa de red el modelo OSI. Otros protocolos de seguridad para
Internet de uso extendido, como SSL, TLS y SSH operan de la capa de transporte
(capas OSI 4 a 7) hacia arriba.
IPsec es flexible y puede ser utilizado para proteger protocolos de la capa 4,
incluyendo TCP y UDP. Una ventaja importante de IPsec frente a SSL y otros
métodos que operan en capas superiores, para una aplicación usar IPsec no
requiere cambios, mientras que para usar SSL y otros protocolos de niveles
superiores, las aplicaciones tienen que modificar su código.
Implementaciones: Windows, solaris, Mac Os, Solaris, AIX de IBM, Linux, Cisco
Arquitectura de Seguridad IPsec
IPsec está implementado por un conjunto de protocolos criptográficos para (1)
asegurar el flujo de paquetes, (2) garantizar la autenticación mutua y (3)
establecer parámetros criptográficos.
• La arquitectura de seguridad IP utiliza el concepto de asociación de
seguridad (SA) como base para construir funciones de seguridad en IP.
• Es simplemente el paquete de algoritmos y parámetros (tales como las
claves) que se está usando para cifrar y autenticar un flujo particular en una
dirección.
• En el tráfico bidireccional, los flujos son asegurados por un par de
asociaciones de seguridad.
• La decisión final de los algoritmos de cifrado y autenticación (lista definida)
le corresponde al administrador de IPsec.
3. Arquitectura de IPsec
Estado del Estándar IPsec
• Opcional en IPv4 y se viene usando desde 2007.
• Es obligatorio en IPv6.
• Está diseñado para ser indiferente a las versiones de IP .
• Definido originalmente en los RFC 1825 y 1829 posteriormente 2401 y
2412 finalmente 4301 y 4309.
Servicios de Seguridad IPsec
• Cifrar el tráfico (de forma que no pueda ser leído por nadie más que las
partes a las que está dirigido)
• Validación de integridad (asegurar que el tráfico no ha sido modificado a lo
largo de su trayecto)
4. • Autenticar a los extremos (asegurar que el tráfico proviene de un extremo
de confianza)
• Anti-repetición (proteger contra la repetición de la sesión segura).
• Control de accesos.
• Integridad no orientada a la conexión.
• Autenticación de origen de los datos.
• Rechazo o reenvió de paquetes.
• Confidencialidad.
• Negociación de Compresión IP.
Modos de Operación IPsec
• Modo Transporte, sólo la carga útil del paquete IP es cifrada o autenticada.
El enrutamiento permanece intacto, ya que no se modifica ni se cifra la
cabecera IP. Este modo se utiliza para comunicaciones de computador a
computador.
• Modo Tunel, datos mas cabeceras del mensaje (paquete IP) es cifrado o
autenticado, es encapsulado en un nuevo paquete IP para que funcione el
enrutamiento. Este modo se utiliza de comunicaciones de red a red (túneles
seguros entre routers), comunicaciones de computador a red, computador a
computador sobre internet.
Detalle Técnico IPsec
IPsec consta de dos protocolos desarrollados para proporcionar seguridad a nivel
de paquete (IPv4 – IPv6).
• Authentication Header (AH) proporciona integridad, autenticación y no
repudio si se eligen los algoritmos criptográficos apropiados.
• Encapsulating Security Payload (ESP) proporciona confidencialidad y la
opción -altamente recomendable- de autenticación y protección de
integridad.
5. Aplicaciones de IPSec
Hacer segura la conectividad entre dos sucursales de una organización
sobre Internet: VPN.
Hacer seguro el acceso remoto desde Internet.
Establecer conectividad extranet e intranet con otras organizaciones.
Mejorar la seguridad en e-commerce.
Mejorar la SET.
Demostración IPsec
6. Algoritmos de Encripción y Autentificación
Encripción (long MAC default = 96 bits):
Three-key triple DES (3DES)
RC5
IDEA
Three-key triple IDEA (3IDEA)
CAST
Blowfish
etc. (DOI)
Autentificación:
HMAC-MD5-96
HMAC-SHA-1-96