• Home

  • Documents

  • Protocolo Ipsec - Hcs Blogencabezado del protocolo de la capa superior (TCP, UDP, ICMP), o antes de...
20
Protocolo IpSec

Protocolo Ipsec - Hcs Blogencabezado del protocolo de la capa superior (TCP, UDP, ICMP), o antes de cualquier encabezado IPSec que ya hallan sido insertados. En el contexto de IPv4,

  • Upload
    others

  • View
    5

  • Download
    0

Embed Size (px)

Citation preview

Page 1: Protocolo Ipsec - Hcs Blogencabezado del protocolo de la capa superior (TCP, UDP, ICMP), o antes de cualquier encabezado IPSec que ya hallan sido insertados. En el contexto de IPv4,

Protocolo IpSec

Page 2: Protocolo Ipsec - Hcs Blogencabezado del protocolo de la capa superior (TCP, UDP, ICMP), o antes de cualquier encabezado IPSec que ya hallan sido insertados. En el contexto de IPv4,

¿Qué es IPSec?

• IpSec es una suite de protocolos de red, enfocados a la seguridad que trabajan a nivel de capa 3 y permiten autentificación, autenticación y cifrado mediante criptografía simétrica o asimétrica de un flujo de datos.

• Fue desarrollado para Ipv6 pero tiene implementaciones para ipv4

• Incluye protocolos de establecimiento de claves de cifrado y al operar sobre capa 3, permite asegurar los protocolos de capa 4 como tcp/udp. (El resto de protocolos de seguridad para internet como SSH, TLS, SSL, sólo trabajan de capa 4 en adelante), se describe en el RFC1401.

Page 3: Protocolo Ipsec - Hcs Blogencabezado del protocolo de la capa superior (TCP, UDP, ICMP), o antes de cualquier encabezado IPSec que ya hallan sido insertados. En el contexto de IPv4,

RFCs que definen la arquitectura de

servicios y protocolos específicos

utilizados en IPsec

Page 4: Protocolo Ipsec - Hcs Blogencabezado del protocolo de la capa superior (TCP, UDP, ICMP), o antes de cualquier encabezado IPSec que ya hallan sido insertados. En el contexto de IPv4,

¿Cómo Funciona?

Cuando dos dispositivos (ya sean hosts del usuario final o dispositivos intermedios, como routers o cortafuegos) quieren participar en comunicaciones seguras, crean una ruta segura entre sí que puede atravesar muchos sistemas inseguros intermedios. Para lograr esto, se debe realizar (al menos) las siguientes tareas:

• Deben acordar el uso de un conjunto de protocolos de seguridad, por lo que cada uno envía los datos en un formato que el otro pueda entender.

• Deben decidir un algoritmo de cifrado específico para su uso en la codificación de datos.

• Deben intercambiar las claves que se utilizan para "desbloquear" los datos que han sido codificados criptográficamente.

• Una vez que este trabajo de base se ha completado, cada dispositivo debe utilizar los protocolos, métodos y claves previamente acordados para codificar los datos y enviarlo a través de la red.

Page 5: Protocolo Ipsec - Hcs Blogencabezado del protocolo de la capa superior (TCP, UDP, ICMP), o antes de cualquier encabezado IPSec que ya hallan sido insertados. En el contexto de IPv4,

Modos de

funcionamiento

Tiene dos modos principales de funcionamiento:

• Modo transporte:

En modo transporte, sólo la carga útil (los datos que se transfieren) del paquete IP es cifrada y/o autenticada. El enrutamiento permanece intacto, ya que no se modifica ni se cifra la cabecera IP; sin embargo, cuando se utiliza la cabecera de autenticación (AH), las direcciones IP no pueden ser traducidas, ya que eso invalidaría el hash. Las capas de transporte y aplicación están siempre aseguradas por un hash, de forma que no pueden ser modificadas de ninguna manera (por ejemplo traduciendo los números de puerto TCP y UDP). El modo transporte se utiliza para comunicaciones ordenador a ordenador.

• Una forma de encapsular mensajes IPsec para atravesar NAT ha sido definido por RFCs que describen el mecanismo de NAT-T.

• El propósito de este modo es establecer una comunicación segura punto a punto, entre dos hosts y sobre un canal inseguro.

• Modo túnel:

En el modo túnel, todo el paquete IP (datos más cabeceras del mensaje) es cifrado y/o autenticado. Debe ser entonces encapsulado en un nuevo paquete IP para que funcione el enrutamiento. El modo túnel se utiliza para comunicaciones red a red (túneles seguros entre routers, p.e. para VPNs) o comunicaciones ordenador a red u ordenador a ordenador sobre Internet. El propósito de este modo es establecer una comunicación segura entre dos redes remotas sobre un canal inseguro.

Page 6: Protocolo Ipsec - Hcs Blogencabezado del protocolo de la capa superior (TCP, UDP, ICMP), o antes de cualquier encabezado IPSec que ya hallan sido insertados. En el contexto de IPv4,

Ejemplo de datagrama en ambos

modos

Page 7: Protocolo Ipsec - Hcs Blogencabezado del protocolo de la capa superior (TCP, UDP, ICMP), o antes de cualquier encabezado IPSec que ya hallan sido insertados. En el contexto de IPv4,

¿De qué se compone?

• Authentication Header (AH)

El protocolo AH provee: Integridad no orientada a conexión, autentificación de origen de los datos y protección contra duplicados (este ultimo opcional). Tiene la capacidad de proveer cierta seguridad también a algunos de los campos del encabezado IP, y a toda la carga útil de dicho paquete.

• Next Header: Es un campo de 8 bits, que identifica el tipo de datos que contiene la data a continuación. Este valor es escogido del Set de Números del Protocolo IP.

• Payload Length: Este campo también de 8 bits especifica el tamaño del AH en palabras de 32 bits (unidades de 4 bytes).

• RESERVED: este campo de 16 bits esta reservado para usos futuros.

• Security Parameters Index: Contiene un número de 32 bits asignado arbitrariamente, que junto con la dirección de IP destino y el protocolo AH, identifican de manera inequívoca la asociación segura.

• Sequence Number Field: Contiene el número de secuencia del paquete, que aumenta de manera constante con el envío de paquetes, el emisor deberá colocarlo incluso si el receptor no activa la opción de protección anti-replicas, en cuyo caso el receptor lo ignorara.

• Authentication Data: Este campo de tamaño variable, contiene el valor de chequeo de integridad, para este paquete, este paquete debe ser del tamaño de un múltiplo exacto de 32 bits en IPv4 y 64 bits en IPv6.

Page 8: Protocolo Ipsec - Hcs Blogencabezado del protocolo de la capa superior (TCP, UDP, ICMP), o antes de cualquier encabezado IPSec que ya hallan sido insertados. En el contexto de IPv4,

• Procesamiento del AH

• Ubicación del AH

• Como ya se mencionó, AH puede ser utilizado en dos modos, Tranport, y Tunnel, dependiendo del modo utilizado la posición del Encabezado AH va a variar dentro del paquete, así como también dependiendo si se trata de IPv4 o IPv6.

• En el modo Transport, AH es insertado después del encabezado IP y antes del encabezado del protocolo de la capa superior (TCP, UDP, ICMP), o antes de cualquier encabezado IPSec que ya hallan sido insertados. En el contexto de IPv4, esto se traduce a colocarlo antes de cualquier protocolo de mayor nivel. A continuación se muestra como cambia un datagrama luego de colocar el AH.

En el modo Tunnel, el AH protege a todo el paquete IP incluyendo el encabezado

IP, y su ubicación con respecto al encabezado ¨externo¨ es igual a la ubicación del

AH con respecto a encabezado original en el modo Transport.

Page 9: Protocolo Ipsec - Hcs Blogencabezado del protocolo de la capa superior (TCP, UDP, ICMP), o antes de cualquier encabezado IPSec que ya hallan sido insertados. En el contexto de IPv4,

Muestra de los paquetes tanto

para IPv4 como para IPv6.

Page 10: Protocolo Ipsec - Hcs Blogencabezado del protocolo de la capa superior (TCP, UDP, ICMP), o antes de cualquier encabezado IPSec que ya hallan sido insertados. En el contexto de IPv4,

Comunicaciones del

protocolo

• Protocolos principales de IPSec

• Las dos piezas principales son un par de las tecnologías a veces llamadas protocolos IPSec básicos. Estos son los que realmente hacen el trabajo de codificación de la información para garantizar la seguridad.

Ellos son:

• Encabezado de autenticación IPSec (Authentication Header (AH)): Este protocolo proporciona los servicios de autenticación de IPSec. Lo que esto significa es que permite que el destinatario de un mensaje verifique que el remitente del mismo sea en realidad el que supuestamente lo ha enviado. También permite al destinatario comprobar que ninguno de los datos en el datagrama han sido cambiados por ningún dispositivo intermedio en el camino. También ofrece protección contra los llamados "ataques de reinyección", donde se captura un mensaje por un usuario no autorizado y luego es re-enviado.

• Carga de seguridad encapsuladora (ESP): El encabezado de autenticación garantiza la integridad de los datos en datagramas, pero no su privacidad. Cuando la información en un datagrama es "sólo para sus ojos", puede estar aún más protegidos a través del protocolo ESP, que cifra la carga del datagrama IP.

Page 11: Protocolo Ipsec - Hcs Blogencabezado del protocolo de la capa superior (TCP, UDP, ICMP), o antes de cualquier encabezado IPSec que ya hallan sido insertados. En el contexto de IPv4,
Page 12: Protocolo Ipsec - Hcs Blogencabezado del protocolo de la capa superior (TCP, UDP, ICMP), o antes de cualquier encabezado IPSec que ya hallan sido insertados. En el contexto de IPv4,

Componentes de Soporte

IPSec.

• AH y ESP son comúnmente llamados "protocolos", aunque esto es otro caso en que la validez de este término es discutible. No son protocolos muy diferentes, pero se implementan como encabezados que se insertan en datagramas IP. De este modo, hacen el "trabajo sucio" de IPSec, y se pueden utilizar en conjunto para proporcionar autenticación y privacidad. Sin embargo, no pueden operar por su cuenta. Para que funcionen correctamente se necesita el apoyo de varios otros protocolos y servicios. Los más importante de ellos son:

• Algoritmos de Cifrado / hash: AH y ESP son de carácter genérico y no especifican el mecanismo exacto utilizado para el cifrado. Esto les da la flexibilidad para trabajar con una variedad de este tipo de algoritmos, y para negociar cual de ellos usar según la necesidad. Los dos más comunes utilizados con IPSec son Message Digest 5 (MD5) y Secure Hash Algorithm 1 (SHA-1). Éstos también son llamados algoritmos hash, ya que trabajan mediante el cálculo de una fórmula llamada hash (resumen) basada en los datos de entrada y una clave.

• Políticas de seguridad, Asociaciones y métodos de gestión: Dado que IPSec proporciona flexibilidad al permitir que los diferentes dispositivos decidan cómo quieren implementar la seguridad, se requieren algunos medios para realizar un seguimiento de las relaciones de seguridad entre estos dispositivos. Esto se hace en IPSec mediante construcciones llamadas políticas de seguridad y asociaciones de seguridad, y al proporcionar vías para intercambiar información de relaciones o asociaciones de seguridad (véase más abajo).

• Marco de Intercambio de Claves y Mecanismo: Para que dos dispositivos intercambien información cifrada necesitan ser capaces de compartir claves para desbloquear el cifrado. También necesitan una manera de intercambiar información de asociaciones de seguridad. En IPSec, un protocolo que se llama Internet Key Exchange (IKE) ofrece estas capacidades.

Page 13: Protocolo Ipsec - Hcs Blogencabezado del protocolo de la capa superior (TCP, UDP, ICMP), o antes de cualquier encabezado IPSec que ya hallan sido insertados. En el contexto de IPv4,

¿Cómo se garantiza cada una de las

características de seguridad

por medio del uso de este protocolo?

• Autenticación: una firma digital es utilizada para verificar la identidad del remitente. IPSec puede utilizar certificados digitales, Kerberos o una clave compartida previamente.

• Integridad: un algoritmo de hash es utilizado para garantizar que la información no ha sido modificada en transito. A partir del paquete original, se calcula un HMAC (Hash MessageAuthentication Code).

• Confidencialidad: se utilizan algoritmos de cifrado para asegurar que la información

transmitida, aunque interceptada, no pueda ser descifrada.

• Anti-repetición: previene que un atacante reenvíe paquetes en un intento de acceder a la red.

• No repudio: se utilizan firmas digitales para garantizar que el remitente no pueda negar el envío.

• Claves dinámicas: las claves pueden ser creadas durante la sesión en forma dinámica, protegiendo distintos segmentos de la información con diferentes claves.

• Regeneración de claves: el algoritmo de intercambio de claves Diffie-Hellman se utiliza para habilitar que dos equipos intercambien una clave de cifrado.

• Filtrado de paquetes IP: es posible filtrar e incluso bloquear tipos de tráficos específicos, basado en cualquier combinación de dirección IP, protocolo y puerto.

Page 14: Protocolo Ipsec - Hcs Blogencabezado del protocolo de la capa superior (TCP, UDP, ICMP), o antes de cualquier encabezado IPSec que ya hallan sido insertados. En el contexto de IPv4,

¿Dónde se usa?

• IpSec se utiliza cotidianamente en Redes Privadas

Virtuales por lo que vamos a configurar una entre dos

máquinas virtuales y analizarla

Page 15: Protocolo Ipsec - Hcs Blogencabezado del protocolo de la capa superior (TCP, UDP, ICMP), o antes de cualquier encabezado IPSec que ya hallan sido insertados. En el contexto de IPv4,

Caso Práctico, ¿Cómo se

configura?

• Primero vamos a configurar un servidor VPN

usando un túnel seguro mediante Openswan y L2Tp (Layer 2 Tunnel Protocol)

en conjunto con Ipsec

• En el segundo caso configuraremos un servidor vpn sobre pptp.

• Conectaremos los clientes y tomaremos capturas para analizar la diferencia

entre la utilización de un túnel y una vpn convencional.

Page 16: Protocolo Ipsec - Hcs Blogencabezado del protocolo de la capa superior (TCP, UDP, ICMP), o antes de cualquier encabezado IPSec que ya hallan sido insertados. En el contexto de IPv4,

Configuración de IpSec

en el Servidor

Configuramos un alias estático y permitimos el forwarding de ipv4.

Le decimos a sys-control que vuelva a leer nuestras configuraciones:

sysctl -p /etc/sysctl.conf

Page 17: Protocolo Ipsec - Hcs Blogencabezado del protocolo de la capa superior (TCP, UDP, ICMP), o antes de cualquier encabezado IPSec que ya hallan sido insertados. En el contexto de IPv4,

Configuración resumida del

servidor en modo transporte

Page 18: Protocolo Ipsec - Hcs Blogencabezado del protocolo de la capa superior (TCP, UDP, ICMP), o antes de cualquier encabezado IPSec que ya hallan sido insertados. En el contexto de IPv4,

Configuración resumida

del cliente

Page 19: Protocolo Ipsec - Hcs Blogencabezado del protocolo de la capa superior (TCP, UDP, ICMP), o antes de cualquier encabezado IPSec que ya hallan sido insertados. En el contexto de IPv4,

Captura en el servidor

Page 20: Protocolo Ipsec - Hcs Blogencabezado del protocolo de la capa superior (TCP, UDP, ICMP), o antes de cualquier encabezado IPSec que ya hallan sido insertados. En el contexto de IPv4,

Fin


Implementación de Redes Privadas Virtuales utilizando protocolo IPSec

Implementación de Redes Privadas Virtuales utilizando protocolo IPSec

Documents
Fortigate - VPN Ipsec

Fortigate - VPN Ipsec

Documents
VPN Ipsec Ubuntu

VPN Ipsec Ubuntu

Documents
IPsec protokoli

IPsec protokoli

Documents
Iguide Ipsec

Iguide Ipsec

Documents
Configuração Básica IPsec

Configuração Básica IPsec

Documents
Ipsec final

Ipsec final

Documents
IPsec y Certificaciones

IPsec y Certificaciones

Documents
IPSec 技 术

IPSec 技 术

Documents
soutenance PFE IPSEC

soutenance PFE IPSEC

Documents
IPsec y Certificados

IPsec y Certificados

Technology
Implementación de Redes Privadas Virtuales (VPN) utilizando el protocolo IPSec

Implementación de Redes Privadas Virtuales (VPN) utilizando el protocolo IPSec

Documents
IPSec - AH.ppt

IPSec - AH.ppt

Documents
G.SIS.02 Guía Técnica de Sistemas de Información ...mintic.gov.co/arquitecturati/630/articles-9263_recurso_pdf.pdf · IP Protocolo de Internet (Protocol Internet). IPSec Seguridad

G.SIS.02 Guía Técnica de Sistemas de Información ...mintic.gov.co/arquitecturati/630/articles-9263_recurso_pdf.pdf · IP Protocolo de Internet (Protocol Internet). IPSec Seguridad

Documents
Redes Ipsec

Redes Ipsec

Documents
IPSec VPN

IPSec VPN

Technology
ESTUDO DE CASO DO PROTOCOLO IPSEC EM REDES IPV4 E IPV6

ESTUDO DE CASO DO PROTOCOLO IPSEC EM REDES IPV4 E IPV6

Documents
Implementação de uma VPN em Linux utilizando o protocolo IPSec

Implementação de uma VPN em Linux utilizando o protocolo IPSec

Documents
Manual IPsec Terminado

Manual IPsec Terminado

Documents
IPSec - ESP

IPSec - ESP

Documents
tp VPN+IPSEC

tp VPN+IPSEC

Documents
IPSec - Homepages · Benedikt Gierlichs IPSec Marcel Selhorst Netzsicherheit SS 2003 IPSec Lehrstuhl für Kommunikationssicherheit Betreuer: Ahmad-Reza Sadeghi Benedikt Gierlichs

IPSec - Homepages · Benedikt Gierlichs IPSec Marcel Selhorst Netzsicherheit SS 2003 IPSec Lehrstuhl für Kommunikationssicherheit Betreuer: Ahmad-Reza Sadeghi Benedikt Gierlichs

Documents
Impresora láser Dell 5350dn · Protocolo de red ™TCP/IP IPv4, IPX/SPX, AppleTalk , TCP/IP IPv6, TCP, UDP, IPSEC con Ipv4, IPSEC con Ipv6, LPR/LPD, Direct IP (puerto 9100), Socket

Impresora láser Dell 5350dn · Protocolo de red ™TCP/IP IPv4, IPX/SPX, AppleTalk , TCP/IP IPv6, TCP, UDP, IPSEC con Ipv4, IPSEC con Ipv6, LPR/LPD, Direct IP (puerto 9100), Socket

Documents
IPSec - AH

IPSec - AH

Documents
네트워크계층 보안 IPSec

네트워크계층 보안 IPSec

Documents
VPNS A TRAVÉS DEL PROTOCOLO IPSEC Y ADMINISTRACIÓN DE

VPNS A TRAVÉS DEL PROTOCOLO IPSEC Y ADMINISTRACIÓN DE

Documents
Protocolo IPsec

Protocolo IPsec

Technology
PFE VPN Ipsec

PFE VPN Ipsec

Documents
Cau Hinh IPSec

Cau Hinh IPSec

Documents
Análise e implementação do protocolo de segurança IPsec · PDF fileutilizador não foram detectadas diferenças no desempenho de rede. Palavras-chave LTE, IPsec, Segurança, Desempenho,

Análise e implementação do protocolo de segurança IPsec · PDF fileutilizador não foram detectadas diferenças no desempenho de rede. Palavras-chave LTE, IPsec, Segurança, Desempenho,

Documents