Please enable JavaScript.
Coggle requires JavaScript to display documents.
VPNS A TRAVÉS DEL PROTOCOLO IPSEC ADMINISTRACION DE SEGURIDAD EN ROUTERS…
VPNS A TRAVÉS DEL PROTOCOLO IPSEC ADMINISTRACION DE SEGURIDAD EN ROUTERS CISCO:
ADMINISTRACIÓN DE SEGRUDIAD EN ROUTERS CISCO
Herramientas de administración y configuración
Autosecure
Características
Comandos que se activan en Routers CISCO
Fue introducido en IOS de Cisco en la versión 12.3
Ofrece Configuración de seguridad simplificada para aquellos usuarios sin experiencia le ayuda a asegurar de forma sencilla los servicios del router
Beneficios
Permite Mejoramiento de seguridad de contraseñas a través de mecanismos como habilidad de configurar longitud mínima de contraseña y mensajes de registros que se generan después de sobrepasar un numero de intento de acceso fallidos.
Aseguramiento del plano de administración que se realiza deshabilitando servicios e interfaces que pueden ser explotados por ataques de seguridad y habilita servicios globales para mitigar ataques de seguridad
Deshabilita Servicios Globales
Deshabilitar Servicios por Inerfaz
Habilita servicios Globales
Aseguramiento de Plano en el Datos
Habilita CEF o CEF distribuido dCEF en el router cuando es posible, no es necesario construir entradas de caché cuando el tráfico comienza a llegar a los destinos
Si router se utiliza por firewall se configura para CBAC (Context.Based Acces Control en interfaces públicas ) que están de cara a Internet
SDM (Cisco Security Mananger)
Características
Herramienta basada en entorno WEB embebida en Sistema Operativo IOS de Cisco
Simplifica la configuración de la seguridad de Routers por medio de pantallas inteligentes que permiten al usuario final configurar la seguridad sin que sea necesario tener conocimientos en CLI de IOS
Beneficios
Flexibilidad y facilidad de uso. permite configurar e implementar seguridad en Routers CISCO y una administración interactiva, se puede implementar configuración y monitoreo en un router de manera remota, esto se puede sobre Routers CISCO Serie 830, 1700, 2600xm, 3600 y 3700
Esta diseñado para expertos y sin amplio conocimiento de la líneas de comando de interfaz de comandos IOS (CLI)
Rol de routers
Enviar datos o paquetes de datos entre los puntos de una red basándose en direcciones internas y tablas de enrutamiento o también por destinos conocidos que sirven a ciertas direcciones
Motivaciones para proporcionar servicios de seguridad en los Routers
Puede estar en riesgo las tablas de enrutamiento lo que puede ocasionar
Reducir rendimiento
Negación de los servicios de comunicación en la red
Exposición de datos sensibles
Comprometer el control de acceso a un router lo que puede ocasionar:
Exponer la configuración de la red
Denegación del servicio de la red
Facilita el ataque componentes de la red
Configuración deficiente del filtro del router puede ocasionar:
Reduce seguridad de un enclave
Expone a ataque y exploraciones a la red interna
No hacer uso adecuado de funciones criptográficas de un router puede ocasionar:
Datos sensibles no protegidos
No se garantía en integridad de datos
No se garantiza la cooperaciòn entre encalves independientes
Funciones de seguridad de Router
publicación de la red y filtrar quien puede hace uso de ella
Proporcionar acceso a los segmentos de redes y subredes
VPN
(Virtual Private Network)
Qué es:
Tecnología de red que permite una extensión de red local sobre la red pública
Tipos de VPN:
Acceso Remoto
Usuarios o proveedores se conectan con la empresa desde sitios remotos, utilizando internet, una vez autenticado el nivel de acceso es como similar al de la red local de la empresa, este tipo es el mas usado.
Punto a punto
Oficinas remotas se conectan con la principal, Servidor VPN tiene vinculo permanente con Internet y acepta conexiones de los sitios y establece un túnel
Tunneling
Se encapsula un protocolo de red sobre otro creando un túnel dentro de una red de computadores, el establecimiento del túnel se incluye una PDU (Unidad de Protocolo de Datos) dentro de otra PDU para trasmitirla de un extremo al otro del túnel
VPN over LAN
Es uno de los más poderoso, pero menos difundido, es una variante de Acceso remoto pero en vez de internet usa la misma LAN de la empresa para conexión.
Ventajas:
Brinda Integridad,, confiabilidad y seguridad de datos
Menores costos
Fácil de usar
Evita altos costos de actualización de PC remotas
El tráfico del cliente es optimizado por los algoritmos de comprensión
Cuenta con herramientas de diagnóstico remoto
El control de acceso esta basado en políticas de la organización
Tipos de conexión:
Acceso Remoto
La realiza un cliente o usuario de un computador que se conecta a una red privada, los paquetes enviados a través de una VPN se originan en el cliente de acceso remoto y este se autentica al servidor de acceso remoto y el servidor se autentica ante el cliente.
Router a Router
la conexión es realizada por un router y este a la vez se conecta a la red privada, los paquetes enviados no se originan en los Routers, el router que hace la llamada se autentica ante router que responde y este se autentica ante el router que hizo la llamada y sirve para intranet
Firewall a Firewall
la conexión es realizada por un firewall y este a la vez se conecta a una red privada. los paquetes son enviados desde cualquier usuario en internet, la autenticación se realiza entre los firewall el que llama y el que responde.
IPSEC
(IP Security - Seguridad IP)
Características
Brinda seguridad Inter operable de alta calidad
Basada en criptografía para IPv4 e IPv6
Ofrece servicios de seguridad que están en la capa IP y que protegen también a niveles superiores de seguridad, estos son: control de acceso, integridad sin conexión, autenticación de origen de datos, protección antireplay, confidencialidad
Utiliza los protocolos AH (Authentication Header) y ESP (Encapsulating Security Payload)que se usan para control de acceso y se basan en distribución de calves criptográficas y manejo de flujo de tráfico.
La cabecera de autenticación IP (AH) proporciona integridad sin conexión, autenticación de origen de datos para datagrama IP y protección antireplay
La cabecera de carga de seguridad encapsulada ESP además de los que brinda AH ofrece confidencialidad por encriptación y confidencialidad limitada de flujo de tráfico;
Los 2 protocolos soportan 2 modos de uso cada uno, Transporte (protegen a protocolos de capa superior) y Tùnel(Se aplica a paquetes)
Es una Arquitectura de seguridad para el protocolo IP, proporciona servicios de seguridad para el tráfico de datos en la capa IP para ambientes IPv4 e IPv6
Debe tener en cuenta la integración de política de seguridad para realizar combinaciones de asociaciones de seguridad de mas de una SA , pude combinarse entre grupos de 2 formas:
Transporte Adyacente
Aplica más de un protocolo de seguridad en el datagrama sin utilizar túneles
Combina a AH y ESP en un sólo nivel de combinación
Transporte entre túneles
Aplica muchas capas de protocolo de seguridad efectuando muchos túneles IP
Múltiples niveles de anidado
Los casos básicos entre túneles son 3
Ambos extremos de SAs son los mismos y los túneles interno y externo pueden ser AH o ESP
Un extremo de las SAs es igual, los túneles interno y externo pueden ser AH o ESP
Ninguno de los extremos es igual, Los túneles interno y externo pueden ser AH o ESP
Hace uso de SA (asociación de seguridad) para proteger el flujo en el tráfico, estas SA son usadas por AH o ESP pero no por ambos, conexión unidireccional, Modo Túnel: SA a un túnel IP; Modo Transporte es una SA entre dos host
IKE (Internet Key Exchange), es el protocolo usado en IPSec para establecer una asociación SA, IKE emplea un intercambio secreto de claves Diffe-Hellman para el secreto compartido de sesión, especifica además el tiempo de vida de la sesión
OBJETIVO
Mejorar el funcionamiento de la red y acceso a la información segura con la implementaciones de redes VPN por medio de protocolo de seguridad IPSec basado en entorno de red CISCO
TCP
Nivel de red:
controlan mecanismos de transferencia de datos, no es visible al usuario o es transparente al usuario y su trabajo es por debajo del sistema, son dos:
IP:
reparte los paquetes entre ordenador local y remoto con etiquetas que contienen en IP de los dos ordenadores
**TCP:
se encarga de controlar la división de información en paquetes para ensamblarlos y encaminarlos al destino *
**Nivel de aplicación:
Protocolos de servicios de internet, el usuario si los puede ver, estos son:**
FTP
HTTP
GOPHER
TELNET