Criptografía y Seguridad de Datos Seguridad en la capa IP IPSec

Slides:



Advertisements
Presentaciones similares
© 2006 Cisco Systems, Inc. Todos los derechos reservados. Información pública de Cisco 1 Descripción de cómo la tecnología VPN presta servicios seguros.
Advertisements

Virtual Private Network CaFeLUG Briefing Trimestral Bco. Credicoop Abril 2003 Conceptos e Implementación.
Existen dos tipos básicos de redes VPN:
8.6-1 Capítulo 8, Sección 8.6: IPsec Material basado en el Texto: Computer Networking: A Top Down Approach Featuring the Internet, Jim Kurose, Keith Ross.
IPSec.
IPSEC By Jesús Patiño. IPsec es una extensión al protocolo IP que proporciona seguridad a IP. La arquitectura IPsec se describe en el RFC2401 IPsec emplea.
Tema 3 – Técnicas de Acceso Remoto y Seguridad Perimetral
Técnicas de cifrado. Clave pública y clave privada:
Ipv6.El protocolo Primera aproximación Introducción.
REDES Y SISTEMAS COMUNICACIONALES “INSTITUTO TECNOLOGICO SUPERIOR “RUMIÑAHUI”” Tercero Año de Bachillerato Informática Paralelo F Lic. Esp. Gonzalo Balverde.
Universidad Don Bosco, 17 de marzo de 2014 Francisco Rodríguez Henríquez Introducción a la Seguridad en Sistemas Informáticos Francisco Rodríguez-Henríquez.
ANÁLISIS SERVICIOS VPN Y SU APLICACIÓN PRÁCTICA INTEGRANTES GRUPO 7: NICOLE FERNÁNDEZ - SEBASTIÁN OYANADEL.
Trabajo De Informática Presentado Por : Juan Pablo Caviedes Javier Carvajal Shirley Cortes Grado J.T.
Las Firmas Electrónicas yDigitales. La Firma Digital Es un método criptográfico que asocia la identidad de una persona o de un equipo informático al mensaje.
POR.: SANTIAGO TULMO. * Es una tecnología de red que permite una extensión de la red local sobre una red pública o no controlada, como por ejemplo Internet.
Capa de Red OSI Integrantes Carlos Mario Estrada Puerta Alejandra Barragán Santiago Ramírez Santa.
Ing. José Martín Santillán Ruiz Docente Universitario UNIVERSIDAD NACIONAL AGRARIA DE LA SELVA FACULTAD DE INGENIERIA EN INFORMATICA Y SISTEMAS CURSO:
Icep Ingeniería en sistemas Informática II Gabriel Orozco martinez Cesar alfonso ventura sanchez 08/10/2016 Modelo osi capa de red.
Ing. En sistemas computacionales Materia: Informática II Maestro: Gabriel Orosco Alumno: Alexis Mata.
MANUALES DE PROCEDIMIENTOS ¿¿Que son los manuales ?? Manuales de procedimientos.
 El protocolo PPP esta descrito en los RFC 1661 a Es el estándar usado en Internet para conexiones de un nodo aislado hacia un servidor en Internet.
Teleprocesos Ing. Leonardo Párraga.
Mensajería Instantánea
Capítulo 8, Sección 8.6: IPsec
Grangeno Sillero Teresita de Jesús.
Capítulo 8, Sección 8.6: IPsec
Introducción a los protocolos de enrutamiento dinámico
Protocolo SSL.
Capa de Acceso a la Red. Ethernet
MODELOS DE REFERENCIA OSI Y TCP/ IP
Análisis y Diseño de Sistemas de Información
PROTOCOLO SSL.
Presentamos.
s Real Time Transport Protocol Real Time Control Protocol
Seguridad Informática
Nombre: Adrián de la Torre López
Correo seguro Gustavo Antequera Rodríguez.
INTERNET Y SU ORIGEN.
Capítulo 8, Sección: IPsec
Proceso de comunicación de datos
3. Seguridades en el Comercio Electrónico
Conceptos y protocolos de enrutamiento. Capítulo 5
Vivir en un mundo basado en redes
Capítulo 4: Capa Red - V ELO322: Redes de Computadores
El modelo OSI de Red Define los métodos y protocolos necesarios para conectar una computadora con cualquier otra a través de una red.
Capa de Red: comunicación de host a host  La Capa de red o Capa 3 de OSI: Provee servicios para intercambiar secciones de datos individuales a través.
Protocolos Protocolos de red.
FUNCIONAMIENTO DE CAPAS Y SERVICIOS
Servicios de Seguridad Informática
DIPLOMADO: GERENCIA EN REGISTRO NACIONAL DE BASE DE DATOS PERSONALES
Estructura de los mensajes de correo electrónico
Eslared 2006 Seguridad Informática
Conceptos y protocolos de enrutamiento. Capítulo 5
1 Comunicación y representación de la información
Rodrigo Suxo Jason Machicado Cristian Aliaga
Riesgos de Corrupción 2018.
Sistema Automático de Defensa.
Esmeralda, montse, martha, gloria
Capítulo 8, Sección: IPsec
8.6-1 Capítulo 8, Sección 8.6: IPsec Material basado en el Texto: Computer Networking: A Top Down Approach Featuring the Internet, Jim Kurose, Keith Ross.
Riesgos de Corrupción 2018.
XIII Encuentros de Informática Municipal
PLAN ESTRATÉGICO. PLAN ESTRATÉGICO Alineación al Plan Estratégico La implementación de una herramienta informática que permita interoperar entre países.
PROTOCOLO DE COMUNICACIÓN Y CABLEADO ESTRUCTURADO
PROTOCOLO DE COMUNICACIÓN Y CABLEADO ESTRUCTURADO
Los protocolos de la capa de red del modelo OSI especifican el direccionamiento y los procesos que permiten que los datos de la capa de transporte sean.
En la familia de protocolos de Internet UDP proporciona una sencilla interfaz entre la capa de red y la capa de aplicación. UDP no otorga garantías para.
CAPA DE RED- OSI. Intercambiar secciones de datos individuales a través de la red entre dispositivos finales identificados. Provee servicios para:
¿Qué es ISO 19115:2003? “ Identifica los metadatos necesarios para describir la información geográfica digital. Los metadatos pueden describir conjuntos.
Capítulo 8, Sección 8.6: IPsec
Transcripción de la presentación:

Criptografía y Seguridad de Datos Seguridad en la capa IP IPSec Profs. Rodolfo Sumoza/Carlos Figueira, Universidad Simón Bolívar (figueira@usb.ve) Basado en una presentación de Henric Johnson, Blekinge Institute of Technology, Sweden

Rodolfo Sumoza/Carlos Figueira Contenido Internetworking y Protocolos de Internet IP Seguro - Generalidades Arquitectura de IP Seguro Encabezados de Autenticación (AH) Encapsulado de Carga Útil de Seguridad (ESP) Combinaciones de Asociaciones de Seguridad Gestión de Claves Rodolfo Sumoza/Carlos Figueira

Rodolfo Sumoza/Carlos Figueira EjemploTCP/IP Rodolfo Sumoza/Carlos Figueira

Rodolfo Sumoza/Carlos Figueira Encabezado IPv4 Rodolfo Sumoza/Carlos Figueira

Rodolfo Sumoza/Carlos Figueira Encabezado IPv6 Rodolfo Sumoza/Carlos Figueira

Rodolfo Sumoza/Carlos Figueira IPSec IPSec no es un protocolo individual, sino un conjunto de algoritmos de seguridad más un contexto general que permite a un par de entidades utilizarlos para proveer la seguridad apropiada en sus comunicaciones. Rodolfo Sumoza/Carlos Figueira

Rodolfo Sumoza/Carlos Figueira Aplicaciones de IPSec Seguridad a nivel de sucursales comerciales conectadas a través de Internet Acceso remoto seguro sobre Internet Establecimiento de la conectividad con socios en extranets e intranets Comercio electrónico Rodolfo Sumoza/Carlos Figueira

Escenario de Seguridad IP Rodolfo Sumoza/Carlos Figueira

Rodolfo Sumoza/Carlos Figueira Seguridad IP Beneficios de IPSec Transparente para las aplicaciones sobre la capa de transporte (TCP, UDP) Provee seguridad para los usuarios individuales IPSec puede asegurar que: El anuncio de un enrutador o vecino viene desde un nodo autorizado Un mensaje redirigido viene desde enrut. al cual el paquete original fue enviado Una actualización de rutas no puede ser falsificada Rodolfo Sumoza/Carlos Figueira

IPSec: Arquitectura (1) Documentos IPSec (1998): sustituye versión original de 1995 RFC 2401: Descripción General de una arquitectura de seguridad RFC 2402: Descripción de la extensión de autenticación de un paquete a IPv4 y IPv6 RFC 2406: Descripción de la extensión de cifrado de un paquete a IPv4 y IPv6 RFC 2408: Especificación de las capacidades de la gestión de claves Rodolfo Sumoza/Carlos Figueira

IPsec: Arquitectura (2) Documentos IPSec (2005), extienden los anteriores RFC 4301-4309 Incluye estándar para intercambio de claves Rodolfo Sumoza/Carlos Figueira

Rodolfo Sumoza/Carlos Figueira IPSec: Documentos Arquitectura: conceptos generales, definiciones, mecanismos ESP, AH Algoritmo de cifrado, autenticación Gestión de claves Dominio de interpretación: valores para la relación entre documentos. Ej: id de algoritmos, tiempo de vida de claves. Rodolfo Sumoza/Carlos Figueira

Rodolfo Sumoza/Carlos Figueira IPSec: Servicios Control de acceso Integridad Autenticación del Origen de los Datos Rechazo de repetición de paquetes Confidencialidad (cifrado) Confidencialidad limitada del flujo de tráfico Rodolfo Sumoza/Carlos Figueira

Rodolfo Sumoza/Carlos Figueira Modo Transporte Agrega información al paquete IP original para cifrar/autenticar campo de datos IP Vulnerable a análisis de tráfico pero eficiente Conveniente para tráfico ESP extremo- extremo Rodolfo Sumoza/Carlos Figueira

Rodolfo Sumoza/Carlos Figueira Modo Túnel Se crea un paquete IP nuevo que contiene al original Cifra paquete IP entero Nuevo encabezado en cada salto Enrutadores intermedios no pueden examinar encabezados IP internos Buenos para VPNs, seguridad pasarela- pasarela Rodolfo Sumoza/Carlos Figueira

Rodolfo Sumoza/Carlos Figueira Modo Transporte Modo Túnel Rodolfo Sumoza/Carlos Figueira

Asociaciones de Seguridad (AS) Relación unidireccional entre un emisor y un receptor. Identificado por tres parámetros: Indice de Parámetros de Seguridad (SPI) Dirección IP de Destino Identificador del Protocolo Seguridad (AH o ESP) Rodolfo Sumoza/Carlos Figueira

Rodolfo Sumoza/Carlos Figueira Parámetros de las AS Contador de número de Secuencia Desbordamiento del Contador de Secuencia: indicador de auditoría Ventana contra repeticiones Parámetros AH y ESP Tiempo de vida Modo (transporte o túnel) Rodolfo Sumoza/Carlos Figueira

Rodolfo Sumoza/Carlos Figueira Selectores de AS Son campos del prot. IP y de protocolos de capa superiores Se implementan como registros en la Base de Datos de Políticas de seguridad (SPD). Cada registro define un subconjunto de tráfico y una AS asociada. Rodolfo Sumoza/Carlos Figueira

Rodolfo Sumoza/Carlos Figueira …Selectores Filtran el tráfico saliente Selectores: IP destino, IP fuente, ID de usuario, Nivel de confidencialidad, Protocolo de Capa de Transporte, Protocolo IPSec, Puertos fuente y destino, Clase IPv6, Etiqueta de Flujo IPv6, Tipo de Servicio IPv4 (TOS). Rodolfo Sumoza/Carlos Figueira

BD Políticas de Seguridad Rodolfo Sumoza/Carlos Figueira

Rodolfo Sumoza/Carlos Figueira Cifra todo el paquete IP. Autentica todo el paquete IP. Cifra carga útil IP y cualquier extensión de encabezado IPv6. Autentica carga útil IP pero no encabezado IP ESP con autenticación Cifra todo el paquete IP Cifra la carga útil IP y cualquier extensión de encabezado IPv6 ESP Autentica completo el paquete IP más porciones seleccionadas del encabezado IP externo Autentica la carga útil IP y selecciona porciones del encabezado IP y extensiones de encabezados IPv6 AH AS Modo Túnel AS Modo Transporte Rodolfo Sumoza/Carlos Figueira

Rodolfo Sumoza/Carlos Figueira Antes de aplicar el AH Rodolfo Sumoza/Carlos Figueira

Rodolfo Sumoza/Carlos Figueira Modo Transporte (AH) Rodolfo Sumoza/Carlos Figueira

Rodolfo Sumoza/Carlos Figueira Modo Túnel (AH) Rodolfo Sumoza/Carlos Figueira

Encabezado de Autenticación AH Provee soporte para la integridad de los datos y la autenticación (código MAC) de paquetes IP. Protege contra ataques de repetición. Rodolfo Sumoza/Carlos Figueira

Autenticación Ext-a-Ext versus Ext-a-Intermedio Rodolfo Sumoza/Carlos Figueira

Encapsulado de Seguridad de la carga útil (ESP) ESP provee servicios de confidencialidad Rodolfo Sumoza/Carlos Figueira

Cifrado y Algoritmos de Autenticación RFC4308: conjuntos criptográficos para VPN VPN-A para compatibilidad (3DES & HMAC) VPN-B para las nuevas VPN con IPsecv3 e IKEv2 con AES RFC4869 define 4 conjuntos criptográficos compatibles con especificaciones NSA Rodolfo Sumoza/Carlos Figueira

ESP Cifrado y Autenticación Rodolfo Sumoza/Carlos Figueira

ESP Cifrado y Autenticación Rodolfo Sumoza/Carlos Figueira

Rodolfo Sumoza/Carlos Figueira Combinaciones de AS Rodolfo Sumoza/Carlos Figueira

Rodolfo Sumoza/Carlos Figueira Combinaciones de AS Rodolfo Sumoza/Carlos Figueira

Rodolfo Sumoza/Carlos Figueira Combinaciones de AS Rodolfo Sumoza/Carlos Figueira

Rodolfo Sumoza/Carlos Figueira Combinaciones de AS Rodolfo Sumoza/Carlos Figueira

Rodolfo Sumoza/Carlos Figueira Gestión de Claves Manual Automática RFC4306 (Internet Key Exchange IKEv2, 2005) definió estándar que unifica los RFC anteriores Utiliza Internet Security Association and Key Management Protocol (ISAKMP) para establecer AS base (fase 1) Fase 2 negocia AS's para IPsec Rodolfo Sumoza/Carlos Figueira

Rodolfo Sumoza/Carlos Figueira Implementaciones GNU/Linux (y OpenSwan) Demonio IKE en espacio usuario, Pila IPSec implementada en el kernel (versiones ≥ 2.6) IKE negocia claves y se las pasa a IPSec Rodolfo Sumoza/Carlos Figueira

Rodolfo Sumoza/Carlos Figueira Anexo: ISAKMP Rodolfo Sumoza/Carlos Figueira

ISAKMP (Internet Security Association and Key Management Protocol) Define los procedimientos y formatos de paquetes para establecer, negociar, modificar y eliminar AS Define cargas útiles para intercambiar generación de claves y datos de autenticación Rodolfo Sumoza/Carlos Figueira

Rodolfo Sumoza/Carlos Figueira ISAKMP Tipos de carga útil: De propuesta.(negociación AS) De transformación (ej. 3DES para ESP) Intercambio de claves (ej. Oakley, RSA) De identificación (ej. IP) Del Certificado Hash, de firma, nonce, notificación, Rodolfo Sumoza/Carlos Figueira

Rodolfo Sumoza/Carlos Figueira ISAKMP Rodolfo Sumoza/Carlos Figueira

Campos (encabezado) ISAKMP Cookie iniciador (64 bits): entidad que inicia establecimiento, notificación o eliminación de AS Próxima carga útil: tipo de la 1ra carga Versión mayor, menor Indicadores: opciones para este intercambio ISAKMP (cifrado y commit) Rodolfo Sumoza/Carlos Figueira

Rodolfo Sumoza/Carlos Figueira ISAKMP Intercambio de Mensajes Base: incluye intercambio de claves y material para autenticación Protección de Identidad Sólo autenticación Agresivo: reduce # de intercambios Rodolfo Sumoza/Carlos Figueira

Feedback: Política de privacidad Feedback
Do Not Sell My Personal Information
Sobre el proyecto: SlidePlayer Condiciones de uso

© 2025 SlidePlayer.es Inc. All rights reserved.