Professional Documents
Culture Documents
Peer Authenticator
Método Método Método Método
EAP X EAP Y EAP X EAP Y
Supplicant Authenticator
– Challenge Response
• MD5(EAP Identifier | PSK | Challenge)
Derivación No Si Si Si
dinámica de claves
– Tres entidades en la IP
arquitectura de red
• Usuario
• Network Access Server
(NAS): RADIUS Client
• Servidor de AAA:
RADIUS Server
EAP-Success Access-Accept
• Arquitectura
– Se definen tres entidades
• Supplicant
• Authenticator
• Authentication Server
– Entidades de Autenticación por puerto (Port
Authentication Entities, PAEs)
• Protocolo
PMK
SNMP
SMTP
HTTP
DNS
NFS
FTP
FTP
TCP / UDP
IP
Driver de dispositivo
Tarjeta de Red
– Ventajas
• Seguridad transparente para las capas de aplicación y
transporte
• Seguridad por flujo o por conexión Control fino
– Desventajas
• Más difícil de ofrecer seguridad por usuario en sistemas
multi-usuario
Sockets
TCP TLS Fragmentación
Compresión
IP TCP
Autenticación
IP
Cifrado
Aplicación
Change
Handshake Alert Datos de Aplicación (messages)
CipherSpec
ChangeCipherSpec Finished°
Finished°
°Cifrado
Application Data° Application Data°
Client Server
• SSL_RSA_WITH_NULL_SHA = {0,2}
• TLS_DHE_RSA_WITH_AES_128_CBC_SHA = {0,51}
• TLS_DHE_RSA_WITH_AES_256_CBC_SHA = {0,57}
• TLS_RSA_WITH_AES_256_CBC_SHA = {0,53}
– A():
A(0) = seed
A(i) = HMAC_hash(secret, A(i-1))
– A():
A(0) = seed
A(i) = HMAC_hash(secret, A(i-1))
SPD SPD
IKE IKE
SA
SAD AH / ESP AH / ESP SAD
SPD
Políticas IPSec
le c t or
se
Paquete
SAD
protegido
Aplicación Aplicación
Datos Datos
Transporte protegidos protegidos Transporte
Internet
IP IP
IPSec IPSec
Host A Host B
IP IP
SG = Security Gateway SG SG
Aplicación Aplicación
Transporte Transporte
IPSec IPSec
IP IP
Enlace Enlace
Host A Host B
Integridad asegurada
Integridad asegurada
Confidencialidad asegurada
Integridad asegurada
Confidencialidad asegurada
Integridad asegurada
YB
Calcular k = (YB)XA mod p Calcular k = (YA)XB mod p
Initiator Responder
HDR, SAi1, KEi, Ni
Initiator Responder
HDR, SK{ IDi, [CERT], [CERTREQ], [IDr], AUTH, SAi2, TSi, TSr }
Initiator Responder
HDR, SK{ [N], SA, Ni, [KEi], [TSi , TSr ] }
* * * * * * * *
* * * * * * * *
Public Keyring * * * * * * * *
ted [T]
m h σ
hash enc
m h h σ
receptor
Ksnd-pub
aceptar / rechazar
s.enc a.enc
k, iv
{m}k
Random
Servidor PPTP
67.187.11.25 192.168.1.1
LAN 192.168.1.32
Usuario 192.168.1.100 - 120
remoto
– OpenVPN
• Cliente y servidor VPN SSL
• Multiplataforma
• Soporta TCP y UDP
• Cliente
– Genera el interfaz de red virtual
– Encapsula / des-encapsula el tráfico
• Servidor
– Maneja autenticación y establecimiento de sesión SSL