View
361
Download
0
Category
Preview:
DESCRIPTION
IPsec y Certificaciones
Citation preview
Ipsecy Certificaciones
Larry Ruiz Barcayola
IPsecEs un conjunto de protocolos cuya función es
asegurar las comunicaciones sobre el Protocolo de Internet (IP) autenticando y/o cifrando cada paquete IP en un flujo de datos.
IPSec es un estándar que proporciona servicios de seguridad a la capa IP y a todos los protocolos superiores basados en IP (TCP y UDP, entre otros).
BeneficiosPosibilita nuevas aplicaciones como el acceso seguro y
transparente de un nodo IP remoto.
Facilita el comercio electrónico de negocio a negocio, al proporcionar una infraestructura segura sobre la que realizar transacciones usando cualquier aplicación. Las extranets son un ejemplo.
Permite construir una red corporativa segura sobre redes públicas, eliminando la gestión y el coste de líneas dedicadas.
Ofrece al tele trabajador el mismo nivel de confidencialidad que dispondría en la red local de su empresa, no siendo necesaria la limitación de acceso a la información sensible por problemas de privacidad en tránsito.
Acceso seguro de usuarios remotos a una corporación
Dentro de IPSec se distinguen los siguientes componentes:Dos protocolos de seguridad:IP Authentication Header (AH) e IP
Encapsulating Security Payload (ESP) que proporcionan mecanismos de seguridad para proteger tráfico IP.
Un protocolo de gestión de claves Internet Key Exchange (IKE) que permite a dos nodos negociar las claves y todos los parámetros necesarios para establecer una conexión AH o ESP.
IP Authentication Header (AH)Es el procedimiento previsto dentro de IPSec
para garantizar la integridad y autenticación de los datagramas IP. Esto es, proporciona un medio al receptor de los paquetes IP para autenticar el origen de los datos y para verificar que dichos datos no han sido alterados en tránsito. Sin embargo no proporciona ninguna garantía de confidencialidad, es decir, los datos transmitidos pueden ser vistos por terceros.
DATAGRAMA AH
FUNCIONAMIENTO
Encapsulating Security Payload (ESP)El protocolo ESP proporciona autenticidad de
origen, integridad y protección de confidencialidad de un paquete.
El objetivo principal del protocolo ESP (Encapsulating Security Payload ) es proporcionar confidencialidad, para ello especifica el modo de cifrar los datos que se desean enviar y cómo este contenido cifrado se incluye en un datagrama IP. Adicionalmente, puede ofrecer los servicios de integridad y autenticación del origen de los datos incorporando un mecanismo similar al de AH.
DATAGRAMA ESP
FUNCIONAMIENTO
Internet Key Exchange (IKE)El protocolo IKE resuelve el problema más
importante del establecimiento de comunicaciones seguras: la autenticación de los participantes y el intercambio de claves simétricas. Tras ello, crea las asociaciones de seguridad y rellena la SAD.
El protocolo IKE suele implementarse a través de servidores de espacio de usuario, y no suele implementarse en el sistema operativo. El protocolo IKE emplea el puerto 500 UDP para su comunicación
FUNCIONAMIENTO
Modos de funcionamientoModo transporteEn este modo el contenido transportado dentro del
datagrama AH o ESP son datos de la capa de transporte (por ejemplo, datos TCP o UDP). Por tanto, la cabecera IPSec se inserta inmediatamente a continuación de la cabecera IP y antes de los datos de los niveles superiores que se desean proteger. El modo transporte tiene la ventaja de que asegura la comunicación extremo a extremo, pero requiere que ambos extremos entiendan el protocolo IPSec
El modo transporte se utiliza para comunicaciones ordenador a ordenador.
Modo túnelEn el modo túnel, todo el paquete IP (datos
más cabeceras del mensaje) es cifrado y/o autenticado. Debe ser entonces encapsulado en un nuevo paquete IP para que funcione el enrutamiento. El modo túnel se utiliza para comunicaciones red a red (túneles seguros entre routers, p.e. para VPNs) o comunicaciones ordenador a red u ordenador a ordenador sobre Internet.
MODO TUNEL Y TRANSPORTE
CERTIFICADOSLos certificados son credenciales electrónicas
que autentican a un usuario en Internet y en las intranets
Enlazan de forma segura una clave pública a la entidad que posee la clave privada correspondiente.
Están firmadas digitalmente por la entidad emisora de certificados (CA)
Comprueban la identidad de un usuario, equipo o servicio que presente el certificado
Contienen detalles relativos al emisor yal sujeto
Usos comunes de los certificados
Configure IPSec para utilizar certificados cuando:Desee permitir a una empresa inter operar
con otras organizaciones que confíen en la misma CA.
Necesite un mayor nivel de seguridad que el que proporciona el protocolo Kerberos o las claves compartidas previamente.
Desee proporcionar acceso a clientes que no pertenezcan a una estructura de Active Directory o no admitan el protocolo Kerberos.
Recommended