– ¿es posible?
– Continuas noticias, virus, ataques, engaños, ...
– Aprovechar sus ventajas sin perder privacidad
• ¿qué diferencia a Ipsec?
– Solución global
– Aplicable a nodos finales e intermedios
– Soluciones particulares sencillas que conforma
un todo
Elementos
• Host
– Sistema que puede iniciar/recibir mensajes, pero que no
puede actuar como intermediario de comunicaciones
– Solo puede suministrar servicios IPsec a sí mismo.
• Gateway (pasarela)
– Sistema que puede iniciar/recibir mensajes, y puede
actuar como intermediario de comunicaciones
– Solo puede suministrar servicios IPsec a sí mismo.
Escenarios
• Paquete IPv4
TCP/IP
• Paquete IPv6
Arquitectura IPSEC
• Arquitectura de seguridad IPsec
– Servicios de seguridad opcionales en el nivel de red (IETF)
– Incluido en IPv6 Draft Standard (1998)
• IPsec incluye dos protocolos de seguridad
– Cabecera de autenticación (AH)
• Servicios de Integridad y autenticación
• Mecanismos de firma digital o funciones resumen con clave
Encapsulación segura del campo de carga (ESP)
• Servicios Confidencialidad, integridad y autenticación
• Mecanismos de cifrado del campo de carga, firma digital o funciones
resumen con clave
I
N
Ó
C
C
U
D
O
R
T
N
I
Protocolos de IPSec
• Protocolo para la gestión y negociación de
parámetros de seguridad
– Asociación de Seguridad (SA)
• Una asociación de seguridad es una relación entre dos
o más entidades y que describe cómo éstas utilizarán
los servicios de seguridad para comunicarse de forma
segura.
– InternetSecurity Association and Key Management
Protocol
– Protocolo IKE e IKEv2
• Protocolo opcional
– IPCOMP
Modos de funcionamiento
• Transport mode
– Protección primaria para las capas superiores ,
no modifica ni encapsula el protocolo IP.
• Tunnel mode
– Se aplica una protección al todo el paquete IP,
modificandolo.
Cabecera de Autenticación (AH)
• Proporciona integridad y autenticación a los datagramas IP.
– Éstose realiza computando una función resumen sobre el
datagrama, empleando una clave secreta en dicho cálculo.
• La información de auntenticación se calcula utilizando todos
los campos del datagrama que no van a cambiar durante el
tránsito
Datagrama IP
f k&
&k
Cabecera de Autenticación
• Su uso aumentará los costes de procesamiento de protocolo
IP y la latencia de las comunicaciones.
• Este mecanismo proporciona una seguridad más fuerte que la
existente en la mayoría de la actual Internet, y no debe
afectar a la interoperatividad, ni aumentar el coste de
implementación.
• Las máquinas que soporten IPv6 tienen que implementar la
Cabecera de Auntenticación con el algoritmo de MD5 y
claves secretas de 128 bits.
AH
• Formato
Next Header
Payload Length
Reserved
Security Parameter Index
Sequence Number Field
Authentication Data
• Colocación
IPv6 Header
AH
TCP and Application header and Data
Encapsulación Segura del Campo de Carga
• Integridad, autenticación y confidencialidad
– Encapsulación cifrada del datagrama IP (ESP)
• Cabecera no cifrada
– se utiliza para conducir los datos protegidos a través de
la red. El receptor retira y descarta la cabecera y sus
opciones no cifradas
• La utilización de ESP puede provocar un
la
decremento
latencia de las comunicaciones de los sistemas de
información.
importante del rendimiento y
ESP
• Encapsulating Security Payload
Se cifrael datagramay estese incluyeen un
paqueteESP.
IPv6 Datagram
ESP
Copy the header} Cip.
K
ESP
• Formato
Security Parameter Index
Sequence Number Field
Encrypted Data and Parameters
Authentication Data
• Colocación
IPv6 Header
ESP Header
ESP Payload
ESP Trailer
Auth. Data
Internet Key Exchange
• Alternativa al intercambio manual de claves
• Su objetivo es la negociación de una Asociación de
Seguridad (AS) IPsec
• Se trata de un protocolo en dos fases
– Fase I
• Protección del canal de comunicación
– AS ISAKMP
• Modos de funcionamiento
– Main (principal), Aggresive (acelerado) y Base
– Fase II
• Negociación de un par de AS
– AS IPSEC
• Quick Mode (rápido)
IKE
• Fase I
– Autenticación
• Secreto compartido (PSK)
• Firma digital
• Cifrado de clave pública
• Kerberos
– Intercambio (Main Mode)
Initiator Responder
----------
-----------
HDR, SA -->
<--
HDR, KE, Ni -->
<--
HDR*, IDii, HASH_I -->
<--
HDR, SA
HDR, KE, Nr
HDR*, IDir, HASH_R
IKE
IKE
• Fase II
– Negociación de AS IPSEC (una o varias)
• Quick Mode
Initiator Responder
-----------
-----------
HDR*, HASH(1), SA, Ni
[, KE ] [, IDci, IDcr ] -->
<--
HDR*, HASH(3) -->
HDR*, HASH(2), SA, Nr
[, KE ] [, IDci, IDcr ]
IKE
IKE
• Esquema general para la negociación de
parámetros de seguridad
• Definición de Dominios de Interpretación
(DoI)
• Gestión común de la negociación
– Nuevos protocolos de cualquier capa de la pila
de red
– Protocolos actuales de seguridad
Links de descarga
http://lwp-l.com/pdf508
Comentarios de: Seguridad en el nivel de Red. Arquitectura de seguridad IPSEC (0)
Crear cuenta
Comentarios de: Seguridad en el nivel de Red. Arquitectura de seguridad IPSEC (0)
No hay comentarios