La descarga está en progreso. Por favor, espere

La descarga está en progreso. Por favor, espere

IPSec.

Publicada porMaría Dolores Gallego Gutiérrez Modificado hace 9 años

Presentaciones similares

Presentación del tema: "IPSec."— Transcripción de la presentación:

1 IPSec

2 IPSec – Introducción Abreviatura de Internet Protocol Security
Es una extensión al protocolo IP que añade cifrado para autenticación Inicialmente desarrollado para IPv6, posteriormente se adaptó a IPv4 Actúa a nivel de red Es el protocolo estándar para VPNs Es independiente de los algoritmos de cifrado Se especifica en los RFCs 1826, 1827, 2401, 2402, 2406 y 2408 La última versión está definida en los RFCs del 4301 al 4309 (Diciembre del 2005)

3 IPSec – Componentes Está formado por: Comprende los protocolos
Una arquitectura (RFC 2401) Un conjunto de protocolos Una serie de mecanismos de autenticación y cifrado Comprende los protocolos Authentication Header (AH) Encapsulating Security Payload (ESP) Internet Key Exchange (IKE)

4 IPSec – Protocolos AH (Autentication Header, RFC 2402)
Provee autenticación e integridad de datos, pero no de confidencialidad ESP (Encapsulating Security Payload, RFC 2406) Provee confidencialidad de datos ISAKMP (Internet Security Association and Key Management Protocol, RFC 2408) Mecanismo de intercambio de claves para cifrado y autenticación de AH y ESP Incluye a IKE (Internet Key Exchange) Utiliza Diffie-Hellman

5 IPSec – Modos de operación
Modo Transporte Se protege el dato del paquete IP Modo Túnel Se protegen los paquetes IP completos

6 IPSec – Modos de operación
Modo Transporte Para comunicación punto a punto entre hosts Confidencialidad total de la comunicación Requiere implementación de IPSec en ambos hosts Se cifran solo los datos, no la cabecera IP Datos Cabecera IP Cabecera IPSec Encriptado si se usa ESP Modo Transporte

7 IPSec – Modo Transporte
Versión HLEN TOS Longitud Total Identificación Flags Offset TTL Protocolo=51 Checksum Dirección IP origen Dirección IP destino Next Header Payload length Reservado Security Parameters Index (SPI) Número de secuencia Campo de autenticación TCP Datos de Aplicación Encapsulamiento IP Encapsulamiento AH Datos

8 Modo Transporte Comunicación segura Internet Datagrama IP1 IP2 ESP TCP
Datos Datagrama

9 IPSec – Modos de operación
Modo Túnel Para comunicación punto a punto entre gateways Para introducción de IPSec en redes IPv4 Confidencialidad de la comunicación sólo en el túnel Permite incorporar IPSec sin tener que modificar los hosts A los paquetes se agrega otra cabecera Se cifra todo el paquete incluyendo la cabecera original Datos Cabecera IP IPSec IP Túnel Encriptado si se usa ESP Modo Túnel

10 Modo Túnel Encapsulamiento IP Encapsulamiento AH Datos Versión HLEN
Longitud Total Identificación Flags Offset Encapsulamiento IP TTL Protocolo=51 Checksum Dirección IP origen Dirección IP destino Next Header Payload length Reservado Security Parameters Index (SPI) Encapsulamiento AH Número de secuencia Campo de autenticación Versión HLEN TOS Longitud Total Identificación Flags Offset Datos TTL Protocolo Checksum Dirección IP origen Dirección IP destino TCP Datos de Aplicación

11 Comunicación insegura
Modo Túnel Comunicación segura IP1 IP2 TCP Datos IP1 IP2 TCP Datos Internet IPA IPB ESP IP1 IP2 TCP Datos Comunicación insegura

12 IPSec Interrogantes Respuesta
¿Cómo puede establecerse la comunicación cifrada? ¿Cómo como puede establecerse el modo de comunicación? ¿Cómo concuerdan ambas partes la clave de cifardo? Respuesta Utilizando Security Associations (SA) Puede realizarse manualmente o a través de un protocolo al momento de comunicarse

13 IPSec – Security Association
Conexión lógica unidireccional entre dos sistemas Una comunicación IPSec está conformada por 2 SA Formadas por una tripleta <SPI, IP-DA, SP> Security Parameter Index (SPI) Identificador único de cada SA IP Destination Address (IP-DA) Dirección del receptor (unicast, multicast, broadcast) Security Protocol (SP) El modo de operación (transporte, túnel) El protocolo usado (ESP, AH) Sólo se puede especificar uno de los dos Pueden ser necesarias hasta 4 SAs para una conexión

14 IPSec - Gestión de las DB de las SA
Security Association Database (SAD) Información relativa a cada SA Algoritmos de cifrado y claves Números de secuencia Security Policy Database (SPD) Qué servicios estarán disponibles para tráfico IPSec Reglas ordenadas por políticas de tráfico Descartar paquetes Procesar paquetes a través de IPSec No procesar paquetes a través de IPSec Selecciona que SA se va a utilizar con cada paquete

15 IPSec Cabecera AH (I) Se aplica una función hash sobre el datagrama empleando una clave secreta Se calcula utilizando todos los campos que no van a cambiar durante el tránsito Se utiliza para obtener integridad y autenticación Opcionalmente protege contra reenvío No autentica los campos mutables de IPv4 (sólo mutables en modo túnel) Type of Service (TOS), Time to Live (TTL), Flags, Header Checksum, Fragment Offset Identificado como protocolo 51 (IANA) IPv4: campo Protocol IPv6: campo Next Header

16 IPSec Cabecera AH (II) AH sólo se aplica a paquetes no fragmentados
Sólo puede ser fragmentado por routers intermedios Si se aplica AH a un fragmento IP se descarta si El campo Offset no es cero El bit More Fragments está a uno Esta política evita algunos ataques Denegación de servicio Se descartan los paquetes mal formados Fragmentos solapados No pueden alterar el orden de desfragmentación al para pasar a través de un firewall

17 IPSec Cabecera AH – Campos
Next Header (8 bits) Tipo de datos tras la cabecera AH Payload Lenght (8 bits) Longitud de la cabecera AH Reserved (16 bits) Actualmente se rellena a 0 Security Parameter Index (32 bits) El SPI de una SA previamente definida Sequence Number (32 bits) Contador creciente Para protección contra reenvío de paquetes Campo obligatorio, inicializado a 1 por la SA Si se llega al máximo se negocia otra SA Authentication Data (múltiplo 32 bits) Usado en recepción para verificar integridad Para el cálculo los mutables se suponen 0 Se puede usar cualquier algoritmo de MAC Next Header Payload length Reservado Security Parameters Index (SPI) Número de secuencia Campo de autenticación

18 IPSec Cabecera AH – Modo Transporte
La cabecera AH es insertada justo después de la IP Si ya hay cabecera IPSec, se inserta justo antes Sólo lo usan los hosts (no los gateways) Ventajas: hay poca sobrecarga de procesamiento Desventajas: los campos mutables no van autenticados

19 IPSec Cabecera AH – Modo Túnel
El paquete original se encapsula en un nuevo paquete IP Al nuevo paquete se le aplica AH en modo de transporte Se usa si uno de los extremos es un gateway Ventajas: los campos mutables van autenticados, y se pueden usar direcciones IP privadas Desventajas: hay sobrecarga de procesamiento

20 IPSec Cabecera AH – IPv6 AH es parte del protocolo IPv6, y se consideran datos de extremo a extremo Aparece después de las cabeceras de extensión Aparece antes o después de las opciones de destino

21 IPSec Cabecera ESP (I) Encapsulating Security Payload (ESP)
Se utiliza para integridad, autenticación, y cifrado Opcionalmente protege contra reenvío Servicios no orientados a conexión Selección opcional de servicios Al menos uno debe de estar activado Identificado como protocolo 50 (IANA) IPv4: campo Protocol IPv6: campo Next Header

22 IPSec Cabecera ESP (II)
ESP sólo se aplica a paquetes no fragmentados Sólo puede ser fragmentado por routers intermedios Se aplica ESP a un fragmento IP, igual que AH Si se selecciona cifrado y autenticación, primero se autentica y después se descifra Esta política evita algunos ataques Denegación de servicio Se descartan los paquetes mal formados La carga del procesador Sólo se descifran los paquetes bien formados

23 IPSec Cabecera ESP – Campos
Security Parameter Index (32 bits) El SPI de una SA previamente definida Sequence Number (32 bits) Contador con crecimiento monótono Para protección contra reenvío de paquetes Campo obligatorio, inicializado a 1 por la SA Es responsabilidad del receptor usarlo o no Si se llega al máximo se negocia otra SA Payload Data (variable) Datos de usuario cifrados por el algoritmo de la SA Se puede usar cualquier algoritmo de bloques Definido por IANA Si requiere vector de inicialización se incluye aquí Security association identifier (SPI) Sequence Number Payload data (variable length) Padding (0-255 bytes)   Pad Length Next Header Authentication Data (variable) Padding (0-255 bytes) Para ajustar los datos al bloque de cifrado Puede ocultar la longitud del mensaje original Puede afectar negativamente en el ancho de banda Pad Lenght (8 bits) Tamaño del campo Padding Medido en bytes (0 significa sin relleno) Next Header (8 bits) Tipo de datos contenido en el Payload Data Authentication Data (múltiplo 32 bits) Usado por el receptor para verificar la integridad Similar al campo de la cabecera AH

24 IPSec Cabecera ESP – Modos Transporte
La cabecera ESP es insertada justo después de la IP Si ya hay cabecera IPSec, se inserta justo antes Sólo lo usan los hosts (no los gateways) Ventajas: hay poca sobrecarga de procesamiento Desventajas: ni se autentica ni se cifra la cabecera IP

25 IPSec Cabecera ESP – Modo Túnel
El paquete original se encapsula en un nuevo paquete IP Al nuevo paquete se le aplica ESP en modo de transporte Se usa si uno de los extremos es un gateway Ventajas: las cabeceras IP van cifradas, y se pueden usar direcciones IP privadas Desventajas: hay sobrecarga de procesamiento

26 IPSec Cabecera ESP – IPv6
Es parte del protocolo IPv6, y se consideran datos de extremo a extremo Aparece después de las cabeceras de extensión Aparece antes o después de las opciones de destino

27 IPSec – ¿Por qué 2 cabeceras?
ESP requiere criptografía fuerte (se use o no) AH sólo requiere hashing La criptografía está regulada en muchos países La firma no suele estar regulada Si solo se requiere autenticación uso solo AH Formato más simple Menor tiempo de procesamiento Se tiene mayor flexibilidad en la red IPSec

28 IPSec – Protocolo IKE Internet Key Exchange (IKE), conocido como ISAKMP/Oakley Se utiliza para establecer las SAs, y distribuir las claves Debe poder funcionar sobre líneas no seguras Como protocolo de intercambio utiliza UDP/IP Proporciona protección a algunos ataques Man-in-the-Middle Denegación de servicio Perfect Forward Secrecy (no compromiso de claves pasadas) Además provee autenticación basada en certificados en lugar de direcciones IP Cada equipo se presenta en IKE con un Permanent Identifier (nombres, direcciones, etc.) Se utilizan certificados que enlazan el PI con una clave pública Se valida el PI en la Fase 1 de IKE Se puede asociar el PI a la dirección IP (dinámica) del equipo que la envía

29 IPSec – Protocolo IKE – Fases
Se establece un secreto del cual derivan las claves Se utiliza criptografía asimétrica Para establecer una SA de IKE entre los extremos Para establecer las claves que protejan los mensajes IKE Sólo se ocupa de la protección de la Fase 2 Fase 2 Se negocian las SAs y las claves para éstas Se refrescan estas claves cada cierto tiempo Se producen mensajes más frecuentemente

30 IPSec Protocolo IKE – Fase 1
Mensajes 1 y 2 (Intercambio 1) Negocian las características de las SAs Circulan en claro y sin autentificar Mensajes 3 y 4 (Intercambio 2) Efectúan un intercambio D-H para establecer una clave maestra (SKEYID) Mensajes 5 y 6 (Intercambio 3) Intercambian las firmas digitales y/o certificados Circulan cifradas por la SKEYID

31 IPSec Protocolo IKE – Fase 1
Intercambio 1 Intercambio 2 Intercambio 3

32 IPSec Protocolo IKE – Fase 2
Mensaje 1 Autenticación del host A Propuesta de SAs al host B Inicio de un intercambio Diffie-Hellman Mensaje 2 Aceptación del host B de todas o algunas de las SAs Fin de un intercambio Diffie-Hellman Mensaje 3 Validación de la negociación Se aplica un hash sobre la clave intercambiada

33 Túneles IPSec – Extremo a extremo
Equipos con IPSec Sin gateways IPSec Entre H1 y H2, AH/ESP en modo túnel o transporte

34 Túneles IPSec – VPN Básico
Equipos sin IPSec Gateways con IPSec Entre G1 y G2, AH/ESP en modo túnel o transporte

35 Túneles IPSec – Estremo a extremo con VPN
Equipos con IPSec Gateways con IPSec Entre G1 y G2, AH en modo túnel Entre H1 y H2, ESP en modo transporte

36 Túneles IPSec – Acceso remoto
Equipo remoto con IPSec Gateway con IPSec Entre H1 y G2, AH en modo túnel Entre H1 y H2, ESP en modo transporte

37 Combinaciones comunes de AH y ESP
AH en modo túnel ESP en modo transporte H1 G1 G2 H2 Túnel

38 Combinaciones AH y ESP – Propiedades
El tráfico interno va poco sobrecargado Uso del modo transporte (sólo una cabecera IP) Tráfico cifrado (una cabecera ESP) El tráfico externo va muy protegido Uso del modo túnel (dos cabeceras IP) Comprobación de integridad IP (una cabecera AH)

39 Información sobre la obra
Link: Licencia Completa Link: Limitación de Responsabilidad

Descargar ppt "IPSec."

Presentaciones similares

Protocolos de Inter-red

Protocolos de Inter-red
Certificados X.509 Federico García

Certificados X.509 Federico García
Capa 4 Capa de Transporte

Capa 4 Capa de Transporte
Sistemas Peer-To-Peer La plataforma JXTA

Sistemas Peer-To-Peer La plataforma JXTA
SEGURIDAD EN REDES DE DATOS

SEGURIDAD EN REDES DE DATOS
TEMA1. Servicios de Red e Internet

TEMA1. Servicios de Red e Internet
Juan Luis García Rambla

Juan Luis García Rambla
Que es el protocolo “SSL”

Que es el protocolo “SSL”
Punto 3 – Protocolo IP Juan Luis Cano. Internet Protocol (en español Protocolo de Internet) o IP es un protocolo no orientado a conexión usado tanto por.

Punto 3 – Protocolo IP Juan Luis Cano. Internet Protocol (en español Protocolo de Internet) o IP es un protocolo no orientado a conexión usado tanto por.
CAPA DE RED DEL MODELO DE REFERENCIA OSI

CAPA DE RED DEL MODELO DE REFERENCIA OSI
Tema 1 SRI Vicente Sánchez Patón I.E.S Gregorio Prieto

Tema 1 SRI Vicente Sánchez Patón I.E.S Gregorio Prieto
IPSEC Seguridad en IP.

IPSEC Seguridad en IP.
Protocolo IP Direccionamiento de Red – IPv4

Protocolo IP Direccionamiento de Red – IPv4
Seguridad del protocolo HTTP

Seguridad del protocolo HTTP
MODELO TCP/IP.

MODELO TCP/IP.
(VIRTUAL PRIVATE NETWORK)

(VIRTUAL PRIVATE NETWORK)
TCP/IP V4 Redes de Computadoras uclv.

TCP/IP V4 Redes de Computadoras uclv.
Briggitte Catalina Forero Gómez Soranyeli Mancera Meza

Briggitte Catalina Forero Gómez Soranyeli Mancera Meza
SERVICIO DHCP Mª Begoña Castells 2º S.M.R.. Cuestiones de repaso IP.- Código que identifica una interfaz o dispositivo dentro de una red TCP/IP Es un.

SERVICIO DHCP Mª Begoña Castells 2º S.M.R.. Cuestiones de repaso IP.- Código que identifica una interfaz o dispositivo dentro de una red TCP/IP Es un.
HOL – FOR07. ► VPN define una “Virtual Private Network” o Red Privada Virtual. ► Básicamente una VPN establece una conexión segura a través de un medio.

HOL – FOR07. ► VPN define una “Virtual Private Network” o Red Privada Virtual. ► Básicamente una VPN establece una conexión segura a través de un medio.

Presentaciones similares

Anuncios Google