Seguridad en Sistemas: IPSec - WWW                                     ISAKMP                                       2
ISAKMPInternet Security Association and Key Management Protocol (ISAKMP) esun protocolo criptográfico de administración de...
IPsecIPsec (Internet Protocol security) es un conjunto de protocolos cuyafunción es asegurar las comunicaciones sobre el P...
Arquitectura de Seguridad IPsecIPsec está implementado por un conjunto de protocolos criptográficos para (1)asegurar el fl...
Arquitectura de IPSec (1)          6
Estado del Estandar IPsec• Opcional en IPv4 y se viene usando desde 2007.• Es obligatorio en IPv6.• Esta diseñado para ser...
Servicios de Seguridad IPsec• Cifrar el tráfico (de forma que no pueda ser leído por nadiemás que las partes a las que est...
Servicios de Seguridad IPsec• Control de accesos.• Integridad no orientada a la conexión.• Autenticación de origen de los ...
Modos de Operación IPsec• Modo Transporte, sólo la carga útil del paquete IP es cifrada oautenticada. El enrutamiento perm...
Detalle Técnico IPsecIPsec consta de dos protocolos desarrollados               paraproporcionar seguridad a nivel de paqu...
Seguridad en Sistemas: IPSec - WWW                            Transport Mode                 Tunnel Mode                  ...
Seguridad en Sistemas: IPSec - WWW            Authentication Header (AH)• AH está dirigido a garantizar integridad sin con...
Seguridad en Sistemas: IPSec - WWW          Tunnel Mode (Autentificación AH)                       14• Protección del paqu...
Seguridad en Sistemas: IPSec - WWW   Encapsulating Security Payload (ESP) El protocolo ESP proporciona autenticidad de ori...
Seguridad en Sistemas: IPSec - WWW                     IP Security (Overview)                              16   Aplicacio...
Seguridad en Sistemas: IPSec - WWW                      IP Security: escenario                              17
Seguridad en Sistemas: IPSec - WWW                 Security Associations (SA)                            18 Concepto clav...
Seguridad en Sistemas: IPSec - WWW     Autentificación End-to-End vs. End-to-                      19                  Int...
Seguridad en Sistemas: IPSec - WWW            Encapsulating Security Payload                        20 ESP provee los ser...
Seguridad en Sistemas: IPSec - WWWAlgoritmos de Encripción y Autentificación                  21   Encripción (long MAC d...
Seguridad en Sistemas: IPSec - WWW                    Combinaciones de SA’s                            22        * = IPSec
Seguridad en Sistemas: IPSec - WWW                    Combinaciones de SA’s                            23             * = ...
Seguridad en Sistemas: IPSec - WWW                    Combinaciones de SA’s                            24                *...
Seguridad en Sistemas: IPSec - WWW                          Manejo de Claves                               25   Dos tipos...
Seguridad en Sistemas: IPSec - WWW                                     Oakley                                      26 Pre...
Seguridad en Sistemas: IPSec - WWW                                     27                              GRACIAS
Ip sec exposicion
Próxima SlideShare
Cargando en…5
×

Ip sec exposicion

564 visualizaciones

Publicado el

Publicado en: Tecnología
0 comentarios
0 recomendaciones
Estadísticas
Notas
  • Sé el primero en comentar

  • Sé el primero en recomendar esto

Sin descargas
Visualizaciones
Visualizaciones totales
564
En SlideShare
0
De insertados
0
Número de insertados
16
Acciones
Compartido
0
Descargas
23
Comentarios
0
Recomendaciones
0
Insertados 0
No insertados

No hay notas en la diapositiva.

Ip sec exposicion

  1. 1. Seguridad en Sistemas: IPSec - WWW ISAKMP 2
  2. 2. ISAKMPInternet Security Association and Key Management Protocol (ISAKMP) esun protocolo criptográfico de administración de claves y asociaciones deseguridad de Internet , está definido en el RFC 2408• Estructura habitual para establecer el formato de los atributos SA, así comopara negociar, modificar y eliminar SA. ISAKMP es el estándar IETF paraadministrar SA IPsec.• Define los procedimientos para la autenticación entre pares, creación y gestiónde asociaciones de seguridad, técnicas de generación de claves, y la mitigaciónde la amenaza• Define los procedimientos y formatos de paquetes para establecer, negociar,modificar y eliminar las SA• Define el formato para el intercambio de generación de claves y datos deautenticación. 3
  3. 3. IPsecIPsec (Internet Protocol security) es un conjunto de protocolos cuyafunción es asegurar las comunicaciones sobre el Protocolo de Internet(IP) autenticando y/o cifrando cada paquete IP en un flujo de datos.IPsec también incluye protocolos para el establecimiento de claves decifrado.Actúan en la capa de red el modelo OSI. Otros protocolos deseguridad para Internet de uso extendido, como SSL, TLS y SSHoperan de la capa de transporte (capas OSI 4 a 7) hacia arriba.IPsec es flexible y puede ser utilizado para proteger protocolos de lacapa 4, incluyendo TCP y UDP. Una ventaja importante de IPsecfrente a SSL y otros métodos que operan en capas superiores, parauna aplicación usar IPsec no requiere cambios, mientras que para usarSSL y otros protocolos de niveles superiores, las aplicaciones tienenque modificar su código.Implementaciones: Windows, solaris, Mac Os, Solaris, AIX de IBM,Linux, Cisco 4
  4. 4. Arquitectura de Seguridad IPsecIPsec está implementado por un conjunto de protocolos criptográficos para (1)asegurar el flujo de paquetes, (2) garantizar la autenticación mutua y (3)establecer parámetros criptográficos.• La arquitectura de seguridad IP utiliza el concepto de asociación de seguridad(SA) como base para construir funciones de seguridad en IP.• Es simplemente el paquete de algoritmos y parámetros (tales como lasclaves) que se está usando para cifrar y autenticar un flujo particular en unadirección .• En el tráfico bidireccional, los flujos son asegurados por un par deasociaciones de seguridad.• La decisión final de los algoritmos de cifrado y autenticación (lista definida) lecorresponde al administrador de IPsec. 5
  5. 5. Arquitectura de IPSec (1) 6
  6. 6. Estado del Estandar IPsec• Opcional en IPv4 y se viene usando desde 2007.• Es obligatorio en IPv6.• Esta diseñado para ser indiferente a las versiones de IP .• Definido originalmente en los RFC 1825 y 1829 posteriormente 2401y 2412 finalmente 4301 y 4309. 7
  7. 7. Servicios de Seguridad IPsec• Cifrar el tráfico (de forma que no pueda ser leído por nadiemás que las partes a las que está dirigido)• Validación de integridad (asegurar que el tráfico no ha sidomodificado a lo largo de su trayecto)• Autenticar a los extremos (asegurar que el tráfico proviene deun extremo de confianza)• Anti-repetición (proteger contra la repetición de la sesiónsegura). 8
  8. 8. Servicios de Seguridad IPsec• Control de accesos.• Integridad no orientada a la conexión.• Autenticación de origen de los datos.• Rechazo o reenvió de paquetes.• Confidencialidad.• Negociación de Compresión IP. 9
  9. 9. Modos de Operación IPsec• Modo Transporte, sólo la carga útil del paquete IP es cifrada oautenticada. El enrutamiento permanece intacto, ya que no semodifica ni se cifra la cabecera IP. Este modo se utiliza paracomunicaciones de computador a computador.• Modo Tunel, datos mas cabeceras del mensaje (paquete IP)es cifrado o autenticado, es encapsulado en un nuevo paqueteIP para que funcione el enrutamiento. Este modo se utiliza decomunicaciones de red a red (túneles seguros entre routers),comunicaciones de computador a red, computador acomputador sobre internet. 10
  10. 10. Detalle Técnico IPsecIPsec consta de dos protocolos desarrollados paraproporcionar seguridad a nivel de paquete (IPv4 – IPv6).• Authentication Header (AH) proporciona integridad,autenticación y no repudio si se eligen los algoritmoscriptográficos apropiados.•Encapsulating Security Payload (ESP) proporcionaconfidencialidad y la opción -altamente recomendable- deautenticación y protección de integridad. 11
  11. 11. Seguridad en Sistemas: IPSec - WWW Transport Mode Tunnel Mode 12 SA SA Autentifica el IP payload y Autentifica el paquete IPAH ciertas porciones del header interno completo más IP y el extension header del ciertas porciones del IPv6. header del IP externo. Encripta el IP payload y Encripta el paquete IPESP cualquier extension header interno. del IPv6. Encripta el IP payload y Encripta y autentifica elESP con cualquier extension header paquete IP interno.autentificación del IPv6. Autentifica el IP payload pero no el IP header.
  12. 12. Seguridad en Sistemas: IPSec - WWW Authentication Header (AH)• AH está dirigido a garantizar integridad sin conexión y autenticaciónde los datos de origen de los datagramas IP.• Calcula un Hash Message Authentication Code (HMAC) a través dealgún algoritmo hash operando sobre una clave secreta, el contenidodel paquete IP y las partes inmutables del datagrama.• Protección para losprotocolos de nivel superior• end-end (C/S, 2 WS) 13
  13. 13. Seguridad en Sistemas: IPSec - WWW Tunnel Mode (Autentificación AH) 14• Protección del paquete IPcompleto.• host-subnet, subnet-subnet.
  14. 14. Seguridad en Sistemas: IPSec - WWW Encapsulating Security Payload (ESP) El protocolo ESP proporciona autenticidad de origen, integridad y protección de confidencialidad de un paquete. ESP también soporta configuraciones de sólo cifrado y sólo autenticación. 0 - 7 bit 8 - 15 bit 16 - 23 bit 24 - 31 bit Security parameters index (SPI) Sequence number Payload data (variable) Padding (0-255 bytes) Pad Length Next Header Authentication Data (variable) 15
  15. 15. Seguridad en Sistemas: IPSec - WWW IP Security (Overview) 16  Aplicaciones de IPSec  Hacer segura la conectividad entre dos sucursales de una organización sobre Internet: VPN.  Hacer seguro el acceso remoto desde Internet.  Establecer conectividad extranet e intranet con otras organizaciones.  Mejorar la seguridad en e-commerce.  Mejorar la SET.
  16. 16. Seguridad en Sistemas: IPSec - WWW IP Security: escenario 17
  17. 17. Seguridad en Sistemas: IPSec - WWW Security Associations (SA) 18 Concepto clave que aparece en los mecanismos de autenticidad y confidencialidad. Es una relación de un solo sentido (one way) entre un emisor y un receptor. Una SA se encuentra identificada por 3 parámetros:  Security Parameter Index (SPI)  Dirección IP Destino  Security Protocol Identifier
  18. 18. Seguridad en Sistemas: IPSec - WWW Autentificación End-to-End vs. End-to- 19 Intermediate Transport mode SA Tunnel mode SA
  19. 19. Seguridad en Sistemas: IPSec - WWW Encapsulating Security Payload 20 ESP provee los servicios de confidencialidad (mensaje (total) y tráfico (parcial)).
  20. 20. Seguridad en Sistemas: IPSec - WWWAlgoritmos de Encripción y Autentificación 21  Encripción (long MAC default = 96 bits):  Three-key triple DES (3DES)  RC5  IDEA  Three-key triple IDEA (3IDEA)  CAST  Blowfish  etc. (DOI)  Autentificación:  HMAC-MD5-96  HMAC-SHA-1-96
  21. 21. Seguridad en Sistemas: IPSec - WWW Combinaciones de SA’s 22 * = IPSec
  22. 22. Seguridad en Sistemas: IPSec - WWW Combinaciones de SA’s 23 * = IPSec
  23. 23. Seguridad en Sistemas: IPSec - WWW Combinaciones de SA’s 24 * = IPSec
  24. 24. Seguridad en Sistemas: IPSec - WWW Manejo de Claves 25  Dos tipos:  Manual  Administrador.  Automatizada  Oakley Key Determination Protocol.  Manejo de claves.  Internet Security Association and Key Management Protocol (ISAKMP).  Protocolo de manejo asociado a las claves.
  25. 25. Seguridad en Sistemas: IPSec - WWW Oakley 26 Presenta tres métodos de autentificación:  Firma digital.  Criptografía de clave pública.  Criptografía de clave simétrica. Características:  cookies.  DH para negociar grupos y para intercambio de claves públicas.  números random (defensa contra replay).  Autentifica el intercambio DH para evitar ataques MiM.
  26. 26. Seguridad en Sistemas: IPSec - WWW 27 GRACIAS

×