Ipsec
This document was uploaded by user and they confirmed that they have the permission to share it. If you are author or own the copyright of this book, please report to us by using this DMCA report form. Report DMCA
Overview
Download & View Ipsec as PDF for free.
More details
- Words: 1,004
- Pages: 18
IPsec ITEGRANTES: Erica Uribe Jesús maria taborda Marcela Martínez Vanessa Valenzuela Daniel Valencia
UN POCO DE HISTORIA EL protocolo de interne IP Y el protocolo de transmisión TCP fueron desarrollados inicialmente en 1973, por el informático estadounidense vinton cerf como parte de un proyecto de dirigido por un el ingeniero norteamericano Robert kahn patrocinado por Arpa
DEFINICION Ipsec INTERNET PROTOCOL SECURITY
Es un conjunto de protocolos, cuya función es asegurar las comunicaciones sobre el protocolo de Internet (IP) mediante la autenticación y/o cifrando de cada paquete IP en un flujo de datos Actúa en la capa 3 del modelo OSI
CARACTERISTICAS • Extensión del protocolo IP • Servicios criptográficos de seguridad basados en estándares definidos por el IETF • Encriptación y autenticación a nivel de red • Transparente al usuario: no se tienen que modificar los sistemas finales • Los paquetes tienen la misma apariencia que un paquete IP corriente • Combina distintas tecnologías: Diffie Hellman, encriptación clave pública, DES, funciones hash, certificados digitales...
PROPOSITO • Cifrar el tráfico (de forma que no pueda ser leído por nadie más que las partes a las que está dirigido) • Validación de integridad (asegurar que el tráfico no ha sido modificado a lo largo de su trayecto) • Autenticar a los extremos (asegurar que el tráfico proviene de un extremo de confianza) • Anti-repetición (proteger contra la repetición de la sesión segura).
IPSec: FORMATO DE PAQUTES • Cabecera
autenticación AH: Esta dirigido a garantizar integridad sin conexión y autenticación, por medio de un HMAC=Hash Message Authentication Code. por medio de un algoritmo hash, operando sobre una clave secreta el contenido del paquete ip puede proteger opcionalmente contra ataques de repetición.
• Cabecera de encapsulado de seguridad ESP: protege la autenticidad, confidencialidad e integridad de los datos (no incluye cabecera) La cabecera del paquete IP no está protegida por ESP ya que opera directamente sobre IP
MODOS BASICOS DE OPERACION • MODO TRANSPORTE: Esta permite el cifrado y la autenticación solo de la parte útil del mensaje, utilizada principalmente para comunicaciones de ordenador a ordenador, este modo siempre estará asegurado por un hash que brinda la capa de transporte y aplicación. • Un mecanismo de encapsulacion UDP como NAT permite que los paquetes pasen a través del cortafuegos.
CARACTERISTICAS • Solo se encriptan los datos, la cabecera intacta • Añade pocos bytes • Permite ver las direcciones de origen y de destino
• MODO TUNEL: En este modo todo paquete completo es cifrado y autenticado, luego es encapsulado en un nuevo paquete IP para que se de el enrutamiento, este es utilizado principalmente para comunicaciones de red a red (túneles seguros entre routers, o para VPNs) o o comunicaciones ordenador a red u ordenador a ordenador sobre Internet.
CARACTERISTICAS • uno de los extremos de la comunicación es un Gateway • Se encripta el paquete IP entero • Para el sistema final es transparente
•
COMPONENTES PRINCIPALES Base de datos de asociaciones de seguridad
(SADB): La base de datos que asocia un protocolo de seguridad con una dirección de destino IP y un número de índice llamado índice de parámetros de seguridad. Estos tres elementos identifican de forma exclusiva a un paquete IPsec legítimo. La base de datos garantiza que el receptor reconozca un paquete protegido que llega a su destino. El receptor también utiliza información de la base de datos para descifrar la comunicación, verificar que los paquetes no se hayan modificado, volver a ensamblar los paquetes y entregarlos en su destino final.
• Base de datos de directivas de seguridad (SPD): La base de datos que especifica el nivel de protección que se aplica a un paquete. SPD filtra el tráfico IP para determinar el modo en que se deben procesar los paquetes. Un paquete puede descartarse, transferirse sin codificar o protegerse con IPsec. Para los paquetes salientes, SPD y SADB determinan el nivel de protección que se aplicará. Para los paquetes entrantes, SPD permite determinar si el nivel de protección del paquete es aceptable. Si el paquete se protege con IPsec, SPD se consulta una vez descifrado y verificado el paquete.
• Administración de claves: La generación y distribución de claves para los algoritmos criptográficos y SPI. • Mecanismos de seguridad: Los algoritmos de autenticación y cifrado que protegen los datos de los datagramas IP. • Internet key exchange (IKE) es un protocolo usado para establecer una Asociación de Seguridad (SA) en el protocolo IPsec. Supone una alternativa al intercambio manual de claves. Su objetivo es la negociación de una Asociación de Seguridad para IPSEC. Permite, además, especificar el tiempo de vida de la sesión IPSEC, autenticación dinámica de otras máquinas, etc.
• Protocolos de seguridad: Mecanismo de protección de datagramas IP. El encabezado de autenticación (AH) firma los paquetes IP y garantiza la integridad. El contenido del datagrama no está cifrado, pero el receptor tiene la seguridad de que el contenido del paquete no se ha modificado. El receptor también tiene la garantía de que los paquetes los ha enviado el remitente. La Encapsulating Security Payload (ESP) cifra los datos IP, con lo cual codifica el contenido durante la transmisión de paquetes. ESP también puede garantizar la integridad de los datos mediante una opción de algoritmo de autenticación.
CONEXION
• Al invocar IPsec, IPsec aplica los mecanismos de seguridad a los datagramas IP que se transfieren a la dirección de destino IP. El receptor utiliza la información de SADB para comprobar que los paquetes que llegan sean legítimos y descifrarlos. Las aplicaciones pueden invocar IPsec para aplicar mecanismos de seguridad a los datagramas IP por socket también. • Los sockets tienen un comportamiento distinto según el puerto: • Los SA por socket modifican su entrada de puerto correspondiente en SPD. • Además, si el socket de un puerto está conectado y posteriormente se aplica la directiva IPsec a ese puerto, el tráfico que utiliza ese socket no está protegido mediante IPsec. • Naturalmente, un socket abierto en un puerto de la aplicación de la directiva IPsec en el puerto está protegido con IPsec.
UN POCO DE HISTORIA EL protocolo de interne IP Y el protocolo de transmisión TCP fueron desarrollados inicialmente en 1973, por el informático estadounidense vinton cerf como parte de un proyecto de dirigido por un el ingeniero norteamericano Robert kahn patrocinado por Arpa
DEFINICION Ipsec INTERNET PROTOCOL SECURITY
Es un conjunto de protocolos, cuya función es asegurar las comunicaciones sobre el protocolo de Internet (IP) mediante la autenticación y/o cifrando de cada paquete IP en un flujo de datos Actúa en la capa 3 del modelo OSI
CARACTERISTICAS • Extensión del protocolo IP • Servicios criptográficos de seguridad basados en estándares definidos por el IETF • Encriptación y autenticación a nivel de red • Transparente al usuario: no se tienen que modificar los sistemas finales • Los paquetes tienen la misma apariencia que un paquete IP corriente • Combina distintas tecnologías: Diffie Hellman, encriptación clave pública, DES, funciones hash, certificados digitales...
PROPOSITO • Cifrar el tráfico (de forma que no pueda ser leído por nadie más que las partes a las que está dirigido) • Validación de integridad (asegurar que el tráfico no ha sido modificado a lo largo de su trayecto) • Autenticar a los extremos (asegurar que el tráfico proviene de un extremo de confianza) • Anti-repetición (proteger contra la repetición de la sesión segura).
IPSec: FORMATO DE PAQUTES • Cabecera
autenticación AH: Esta dirigido a garantizar integridad sin conexión y autenticación, por medio de un HMAC=Hash Message Authentication Code. por medio de un algoritmo hash, operando sobre una clave secreta el contenido del paquete ip puede proteger opcionalmente contra ataques de repetición.
• Cabecera de encapsulado de seguridad ESP: protege la autenticidad, confidencialidad e integridad de los datos (no incluye cabecera) La cabecera del paquete IP no está protegida por ESP ya que opera directamente sobre IP
MODOS BASICOS DE OPERACION • MODO TRANSPORTE: Esta permite el cifrado y la autenticación solo de la parte útil del mensaje, utilizada principalmente para comunicaciones de ordenador a ordenador, este modo siempre estará asegurado por un hash que brinda la capa de transporte y aplicación. • Un mecanismo de encapsulacion UDP como NAT permite que los paquetes pasen a través del cortafuegos.
CARACTERISTICAS • Solo se encriptan los datos, la cabecera intacta • Añade pocos bytes • Permite ver las direcciones de origen y de destino
• MODO TUNEL: En este modo todo paquete completo es cifrado y autenticado, luego es encapsulado en un nuevo paquete IP para que se de el enrutamiento, este es utilizado principalmente para comunicaciones de red a red (túneles seguros entre routers, o para VPNs) o o comunicaciones ordenador a red u ordenador a ordenador sobre Internet.
CARACTERISTICAS • uno de los extremos de la comunicación es un Gateway • Se encripta el paquete IP entero • Para el sistema final es transparente
•
COMPONENTES PRINCIPALES Base de datos de asociaciones de seguridad
(SADB): La base de datos que asocia un protocolo de seguridad con una dirección de destino IP y un número de índice llamado índice de parámetros de seguridad. Estos tres elementos identifican de forma exclusiva a un paquete IPsec legítimo. La base de datos garantiza que el receptor reconozca un paquete protegido que llega a su destino. El receptor también utiliza información de la base de datos para descifrar la comunicación, verificar que los paquetes no se hayan modificado, volver a ensamblar los paquetes y entregarlos en su destino final.
• Base de datos de directivas de seguridad (SPD): La base de datos que especifica el nivel de protección que se aplica a un paquete. SPD filtra el tráfico IP para determinar el modo en que se deben procesar los paquetes. Un paquete puede descartarse, transferirse sin codificar o protegerse con IPsec. Para los paquetes salientes, SPD y SADB determinan el nivel de protección que se aplicará. Para los paquetes entrantes, SPD permite determinar si el nivel de protección del paquete es aceptable. Si el paquete se protege con IPsec, SPD se consulta una vez descifrado y verificado el paquete.
• Administración de claves: La generación y distribución de claves para los algoritmos criptográficos y SPI. • Mecanismos de seguridad: Los algoritmos de autenticación y cifrado que protegen los datos de los datagramas IP. • Internet key exchange (IKE) es un protocolo usado para establecer una Asociación de Seguridad (SA) en el protocolo IPsec. Supone una alternativa al intercambio manual de claves. Su objetivo es la negociación de una Asociación de Seguridad para IPSEC. Permite, además, especificar el tiempo de vida de la sesión IPSEC, autenticación dinámica de otras máquinas, etc.
• Protocolos de seguridad: Mecanismo de protección de datagramas IP. El encabezado de autenticación (AH) firma los paquetes IP y garantiza la integridad. El contenido del datagrama no está cifrado, pero el receptor tiene la seguridad de que el contenido del paquete no se ha modificado. El receptor también tiene la garantía de que los paquetes los ha enviado el remitente. La Encapsulating Security Payload (ESP) cifra los datos IP, con lo cual codifica el contenido durante la transmisión de paquetes. ESP también puede garantizar la integridad de los datos mediante una opción de algoritmo de autenticación.
CONEXION
• Al invocar IPsec, IPsec aplica los mecanismos de seguridad a los datagramas IP que se transfieren a la dirección de destino IP. El receptor utiliza la información de SADB para comprobar que los paquetes que llegan sean legítimos y descifrarlos. Las aplicaciones pueden invocar IPsec para aplicar mecanismos de seguridad a los datagramas IP por socket también. • Los sockets tienen un comportamiento distinto según el puerto: • Los SA por socket modifican su entrada de puerto correspondiente en SPD. • Además, si el socket de un puerto está conectado y posteriormente se aplica la directiva IPsec a ese puerto, el tráfico que utiliza ese socket no está protegido mediante IPsec. • Naturalmente, un socket abierto en un puerto de la aplicación de la directiva IPsec en el puerto está protegido con IPsec.
Related Documents
Ipsec
May 2020 9
Ipsec
April 2020 8
Ipsec
November 2019 19
Ipsec
December 2019 22
Ipsec
April 2020 24
Ipsec Howto
May 2020 5More Documents from ""