RFCs que definen la arquitectura de servicios y protocolos específicos utilizados en IPsec

Documentos relacionados
IPSec Internet Protocol Security

Clave Pública y Clave Privada

Redes Privadas Virtuales (VPN) S E G U R I D A D D E L A I N F O R M A C I O N

Capítulo 8, Sección 8.6: IPsec

Bloque III Seguridad en la Internet

IPSEC. dit. Objetivo: proporcionar a IP (IPv4( IPv4, IPv6) ) mecanismos de seguridad. Servicios de Seguridad

Semana 11: Fir Fir w e a w lls

Seguridad en el nivel de Red. Arquitectura de seguridad IPSEC. José María Sierra

Versión 28/02/11 aplicación transporte red Redes Privadas enlace física

FUNDAMENTOS DE TELEMATICA II: Tunneling y Redes Privadas Virtuales. Tema 4. Tunneling y Redes Privadas Virtuales. Segunda parte

Seguridad en Redes Protocolos Seguros

Técnicas de cifrado. Clave publica y clave privada

REDES PRIVADAS VIRTUALES. VPN.

TEMA 2 Protocolos de Autenticación en redes

Aplicaciones. Ing. Camilo Zapata Universidad de Antioquia

Redes Privadas Virtuales Virtual Private Networks

Luis Villalta Márquez

ipsec Qué es ipsec? IPSec: seguridad en Internet

Ingeniería en Automática Industrial Software para Aplicaciones Industriales I

VPN sitio a sitio. Vicente Sánchez Patón I.E.S Gregorio Prieto. Tema 3 SAD

Seguridad en Internet VPN IPSEC

El Modelo. Aplicación. Presentación. Sesión. Transporte. Red. Enlace. Físico

VIRTUAL PRIVATE NETWORK (VPN)

MODELOS DE SEGURIDAD EN WEB

NIVEL DE SEGURIDAD SSL (Secure Sockets Layer)

Guía de conexión a la VPN de ETSIINF-UPM Windows 7

Las redes privadas virtuales

Mecanismos de protección. Xavier Perramon

- Firma digital y cifrado de mensajes. Luis Villalta Márquez

Guía de conexión a la VPN de ETSIINF-UPM Ubuntu 16.04

MECANISMOS DE SEGURIDAD EN EL PROTOCOLO IPv6

Redes privadas virtuales VPN

MÓDULO 2 NIVEL AVANZADO Las fuentes de información institucional Unidad didáctica 5: La seguridad en las operaciones telemáticas

Guía de conexión a la VPN de ETSIINF-UPM Windows 10

Redes Privadas Virtuales (VPN) S E G U R I D A D D E L A I N F O R M A C I O N

Universidad de Buenos Aires Facultad De Ingeniería 2 do Cuatrimestre 2011 TP2: IPSEC. Parte 1 (RSA) INTEGRANTES

Presentado a: Milton García. Presentado por: Paula Díaz Heidy solano Wilmar Albarracín

Internet y su Arquitectura de Seguridad

Protocolos de transporte y aplicación

3.Criptografía Orientada a Objetos

Seguridad del protocolo HTTP

Seguridad del protocolo HTTP:

ELO 322: REDES DE COMPUTADORES I

MANUAL DE CONFIGURACIÓN

REDES DE DATOS Modelo OSI. Angélica Flórez Abril, MSc.

VPN RED PRIVADA VIRTUAL INTEGRANTES: ALEXANDER BERNAL RAMIREZ CARLOS TRANCA JOSUE FLORES MIGUEL ANGEL VILLANUEVA

ASDM 6.4: Túnel del VPN de sitio a sitio con el ejemplo de configuración IKEv2

El nivel de red de TCP/IP Enviar datagramas De una máquina a otra Utilizando rutas (locales) Sin garantías

Punto 4 Redes Privadas. Virtuales (VPN) Juan Luis Cano

Unidad II Modelos de Referencias TCP/IP

La pila TCP/IP es la familia de protocolos que dirige el internet actual. Mientras otros protocolos también se usa en redes de computador, TCP/IP es

Introducción SSL con la transacción y el intercambio de paquetes de la muestra

Necesidad de procesar y almacenar Información.

Introducción a la Seguridad en Sistemas Distribuidos

UNIVERSIDAD TECNOLÓGICA DE LA SIERRA HIDALGUENSE Registro Plan de Curso

Guía de Seguridad de las TIC CCN-STIC 836. ENS. Seguridad en VPN

GUÍA DE ESTUDIO TEMA 2. MODELO OSI. ESTÁNDARES Y PROTOCOLOS. MODELO TCP/IP.

Universidad Interamericana de Puerto Rico Recinto de Bayamón Departamento de Informática

Instrucciones de configuración del acceso remoto (VPN) de la UCLM para Windows, Mac y Linux

SISTEMAS OPERATIVOS Y TCP/IP. - El Modelo de Referencia TCP/IP -

Lección 3: Sistemas de Cifra con Clave Pública

Redes de Computadores Nivel de Transporte: Introducción + UDP

Conceptos sobre firma y certificados digitales

Redes de comunicación

Estudio, diseño y evaluación de protocolos de autentificación para redes inalámbricas

TEMA 40: Criptografía: Sistemas de clave simétrica y asimétrica, certificados digitales. Legislación en materia de firma electrónica.

6. RIESGOS POTENCIALES EN LOS SERVICIOS DE RED:

Instrucciones de configuración del acceso remoto (VPN) de la UCLM para Windows, Mac y Linux

Coexistencia y transición. Módulo 7

Protección de su Red

ASDM 6.4: Túnel del VPN de sitio a sitio con el ejemplo de configuración IKEv2

C A P Í T U L O VI PROTOCOLOS SEGUROS

Modelo OSI y TCP/IP. Teleprocesamiento Ing. Zoila Marquez.

Seguridad. Centro Asociado de Melilla

Packet Tracer: Configuración de GRE por IPsec (optativo)

UD 3: Implantación de técnicas de acceso remoto. Seguridad perimetral SAD

Capa de red. Fundamentos de redes: IPv4 e IPv6. Prof. Wílmer Pereira. Universidad Católica Andrés Bello

El principio de NAT. Es cuestión de crear, al nivel de la pasarela, una conversión de paquetes desde la red interna hacia la red externa.

Facultad de Ingeniería Mecánica y Eléctrica SEGURIDAD EN REDES EVOLUCION DE LA SEGURIDAD EN REDES TCP/IP

La seguridad en la red: verdades, mentiras y consecuencias Aproximación práctica a la criptografía aplicada

Qué es IPV6? Internet Protocol version 6 (IPv6)

REDES DE COMPUTADORES Laboratorio

REDES DE COMPUTADORES Laboratorio

Introducción a Internet

Redes privadas virtuales de seguridad

CONFIGURACIÓN DEL CERTIFICADO DIGITAL EN OUTLOOK 2013

Redes Privadas. :: Redes :: transporte. red. enlace. física. aplicación. Versión 28/02/11

11 al 15 Octubre Alvaro Vives

Comunicación de Datos I Profesora: Anaylen López Sección IC631 MODELO OSI

Seguridad en Redes de Ordenadores 2. Aplicaciones

Seguridad en Internet: un estado del arte

Redes de Computadores

Diseño de redes VPN seguras bajo Windows server 2008

Seguridad. Carrera: SDC SATCA 1

Redes privadas virtuales

SEGURIDAD Y ALTA DISPONIBILIDAD. Nombre: Adrián de la Torre López

Redes privadas virtuales

Cisco VPN error 412 de vez en cuando se producen cuando se utiliza el cliente VPN de Cisco.

Funciones Avanzadas de los Firewalls. Ing. Camilo Zapata Universidad de Antioquia

PARTE IV. Uso de shorewall. Shorewall Configuración de Shorewall

Transcripción:

Protocolo IpSec

IpSec es una suite de protocolos de red, enfocados a la seguridad que trabajan a nivel de capa 3 y permiten autentificación, autenticación y cifrado mediante criptografía simétrica o asimétrica de un flujo de datos. Fue desarrollado para Ipv6 pero tiene implementaciones para ipv4 Incluye protocolos de establecimiento de claves de cifrado y al operar sobre capa 3, permite asegurar los protocolos de capa 4 como tcp/udp. (El resto de protocolos de seguridad para internet como SSH, TLS, SSL, sólo trabajan de capa 4 en adelante), se describe en el RFC1401. Qué es IPSec?

RFCs que definen la arquitectura de servicios y protocolos específicos utilizados en IPsec

Cuando dos dispositivos (ya sean hosts del usuario final o dispositivos intermedios, como routers o cortafuegos) quieren participar en comunicaciones seguras, crean una ruta segura entre sí que puede atravesar muchos sistemas inseguros intermedios. Para lograr esto, se debe realizar (al menos) las siguientes tareas: Deben acordar el uso de un conjunto de protocolos de seguridad, por lo que cada uno envía los datos en un formato que el otro pueda entender. Deben decidir un algoritmo de cifrado específico para su uso en la codificación de datos. Deben intercambiar las claves que se utilizan para "desbloquear" los datos que han sido codificados criptográficamente. Una vez que este trabajo de base se ha completado, cada dispositivo debe utilizar los protocolos, métodos y claves previamente acordados para codificar los datos y enviarlo a través de la red. Cómo Funciona?

Tiene dos modos principales de funcionamiento: Modo transporte: En modo transporte, sólo la carga útil (los datos que se transfieren) del paquete IP es cifrada y/o autenticada. El enrutamiento permanece intacto, ya que no se modifica ni se cifra la cabecera IP; sin embargo, cuando se utiliza la cabecera de autenticación (AH), las direcciones IP no pueden ser traducidas, ya que eso invalidaría el hash. Las capas de transporte y aplicación están siempre aseguradas por un hash, de forma que no pueden ser modificadas de ninguna manera (por ejemplo traduciendo los números de puerto TCP y UDP). El modo transporte se utiliza para comunicaciones ordenador a ordenador. Una forma de encapsular mensajes IPsec para atravesar NAT ha sido definido por RFCs que describen el mecanismo de NAT-T. El propósito de este modo es establecer una comunicación segura punto a punto, entre dos hosts y sobre un canal inseguro. Modo túnel: En el modo túnel, todo el paquete IP (datos más cabeceras del mensaje) es cifrado y/o autenticado. Debe ser entonces encapsulado en un nuevo paquete IP para que funcione el enrutamiento. El modo túnel se utiliza para comunicaciones red a red (túneles seguros entre routers, p.e. para VPNs) o comunicaciones ordenador a red u ordenador a ordenador sobre Internet. El propósito de este modo es establecer una comunicación segura entre dos redes remotas sobre un canal inseguro. Modos de funcionamiento

Ejemplo de datagrama en ambos modos

Authentication Header (AH) El protocolo AH provee: Integridad no orientada a conexión, autentificación de origen de los datos y protección contra duplicados (este ultimo opcional). Tiene la capacidad de proveer cierta seguridad también a algunos de los campos del encabezado IP, y a toda la carga útil de dicho paquete. Next Header: Es un campo de 8 bits, que identifica el tipo de datos que contiene la data a continuación. Este valor es escogido del Set de Números del Protocolo IP. Payload Length: Este campo también de 8 bits especifica el tamaño del AH en palabras de 32 bits (unidades de 4 bytes). RESERVED: este campo de 16 bits esta reservado para usos futuros. Security Parameters Index: Contiene un número de 32 bits asignado arbitrariamente, que junto con la dirección de IP destino y el protocolo AH, identifican de manera inequívoca la asociación segura. Sequence Number Field: Contiene el número de secuencia del paquete, que aumenta de manera constante con el envío de paquetes, el emisor deberá colocarlo incluso si el receptor no activa la opción de protección anti-replicas, en cuyo caso el receptor lo ignorara. Authentication Data: Este campo de tamaño variable, contiene el valor de chequeo de integridad, para este paquete, este paquete debe ser del tamaño de un múltiplo exacto de 32 bits en IPv4 y 64 bits en IPv6. De qué se compone?

Procesamiento del AH Ubicación del AH Como ya se mencionó, AH puede ser utilizado en dos modos, Tranport, y Tunnel, dependiendo del modo utilizado la posición del Encabezado AH va a variar dentro del paquete, así como también dependiendo si se trata de IPv4 o IPv6. En el modo Transport, AH es insertado después del encabezado IP y antes del encabezado del protocolo de la capa superior (TCP, UDP, ICMP), o antes de cualquier encabezado IPSec que ya hallan sido insertados. En el contexto de IPv4, esto se traduce a colocarlo antes de cualquier protocolo de mayor nivel. A continuación se muestra como cambia un datagrama luego de colocar el AH. En el modo Tunnel, el AH protege a todo el paquete IP incluyendo el encabezado IP, y su ubicación con respecto al encabezado externo es igual a la ubicación del AH con respecto a encabezado original en el modo Transport.

Muestra de los paquetes tanto para IPv4 como para IPv6.

Protocolos principales de IPSec Las dos piezas principales son un par de las tecnologías a veces llamadas protocolos IPSec básicos. Estos son los que realmente hacen el trabajo de codificación de la información para garantizar la seguridad. Ellos son: Encabezado de autenticación IPSec (Authentication Header (AH)): Este protocolo proporciona los servicios de autenticación de IPSec. Lo que esto significa es que permite que el destinatario de un mensaje verifique que el remitente del mismo sea en realidad el que supuestamente lo ha enviado. También permite al destinatario comprobar que ninguno de los datos en el datagrama han sido cambiados por ningún dispositivo intermedio en el camino. También ofrece protección contra los llamados "ataques de reinyección", donde se captura un mensaje por un usuario no autorizado y luego es re-enviado. Carga de seguridad encapsuladora (ESP): El encabezado de autenticación garantiza la integridad de los datos en datagramas, pero no su privacidad. Cuando la información en un datagrama es "sólo para sus ojos", puede estar aún más protegidos a través del protocolo ESP, que cifra la carga del datagrama IP. Comunicaciones del protocolo

AH y ESP son comúnmente llamados "protocolos", aunque esto es otro caso en que la validez de este término es discutible. No son protocolos muy diferentes, pero se implementan como encabezados que se insertan en datagramas IP. De este modo, hacen el "trabajo sucio" de IPSec, y se pueden utilizar en conjunto para proporcionar autenticación y privacidad. Sin embargo, no pueden operar por su cuenta. Para que funcionen correctamente se necesita el apoyo de varios otros protocolos y servicios. Los más importante de ellos son: Algoritmos de Cifrado / hash: AH y ESP son de carácter genérico y no especifican el mecanismo exacto utilizado para el cifrado. Esto les da la flexibilidad para trabajar con una variedad de este tipo de algoritmos, y para negociar cual de ellos usar según la necesidad. Los dos más comunes utilizados con IPSec son Message Digest 5 (MD5) y Secure Hash Algorithm 1 (SHA-1). Éstos también son llamados algoritmos hash, ya que trabajan mediante el cálculo de una fórmula llamada hash (resumen) basada en los datos de entrada y una clave. Políticas de seguridad, Asociaciones y métodos de gestión: Dado que IPSec proporciona flexibilidad al permitir que los diferentes dispositivos decidan cómo quieren implementar la seguridad, se requieren algunos medios para realizar un seguimiento de las relaciones de seguridad entre estos dispositivos. Esto se hace en IPSec mediante construcciones llamadas políticas de seguridad y asociaciones de seguridad, y al proporcionar vías para intercambiar información de relaciones o asociaciones de seguridad (véase más abajo). Marco de Intercambio de Claves y Mecanismo: Para que dos dispositivos intercambien información cifrada necesitan ser capaces de compartir claves para desbloquear el cifrado. También necesitan una manera de intercambiar información de asociaciones de seguridad. En IPSec, un protocolo que se llama Internet Key Exchange (IKE) ofrece estas capacidades. Componentes de Soporte IPSec.

Autenticación: una firma digital es utilizada para verificar la identidad del remitente. IPSec puede utilizar certificados digitales, Kerberos o una clave compartida previamente. Integridad: un algoritmo de hash es utilizado para garantizar que la información no ha sido modificada en transito. A partir del paquete original, se calcula un HMAC (Hash Message Authentication Code). Confidencialidad: se utilizan algoritmos de cifrado para asegurar que la información transmitida, aunque interceptada, no pueda ser descifrada. Anti-repetición: previene que un atacante reenvíe paquetes en un intento de acceder a la red. No repudio: se utilizan firmas digitales para garantizar que el remitente no pueda negar el envío. Claves dinámicas: las claves pueden ser creadas durante la sesión en forma dinámica, protegiendo distintos segmentos de la información con diferentes claves. Regeneración de claves: el algoritmo de intercambio de claves Diffie-Hellman se utiliza para habilitar que dos equipos intercambien una clave de cifrado. Filtrado de paquetes IP: es posible filtrar e incluso bloquear tipos de tráficos específicos, basado en cualquier combinación de dirección IP, protocolo y puerto. Cómo se garantiza cada una de las características de seguridad por medio del uso de este protocolo?

IpSec se utiliza cotidianamente en Redes Privadas Virtuales por lo que vamos a configurar una entre dos máquinas virtuales y analizarla Dónde se usa?

Primero vamos a configurar un servidor VPN usando un túnel seguro mediante Openswan y L2Tp (Layer 2 Tunnel Protocol) en conjunto con Ipsec En el segundo caso configuraremos un servidor vpn sobre pptp. Conectaremos los clientes y tomaremos capturas para analizar la diferencia entre la utilización de un túnel y una vpn convencional. Caso Práctico, Cómo se configura?

Configuramos un alias estático y permitimos el forwarding de ipv4. Le decimos a sys-control que vuelva a leer nuestras configuraciones: sysctl -p /etc/sysctl.conf Configuración de IpSec en el Servidor

Configuración resumida del servidor en modo transporte

Configuración resumida del cliente

Captura en el servidor

Fin

2024 © DocPlayer.es Política de privacidad | Condiciones del servicio | Feedback