SlideShare una empresa de Scribd logo

IPv6 Modulo2

B
bramstoker

Curso práctico de IPv6: Seguridad en IPv6: IPSec

Tecnología
1 de 32
Descargar para leer sin conexión
Curso Práctico IPv6 Seguridad en IPv6: IPSec http://www.franciscosepulveda.eu
Seguridad en IPv6: IPSec 1.Introducción IPSec 2.Implementación de IPSec 1. Authentication Header (AH) 2. Encapsulation Security Payload (ESP) http://www.franciscosepulveda.eu 2
Seguridad en IPv6: IPSec 1.Introducción IPSec 2.Implementación de IPSec 1. Authentication Header (AH) 2. Encapsulation Security Payload (ESP) http://www.franciscosepulveda.eu 3
Seguridad en IPv6: IPSec 1. Introducción a IPSec IPsec es una extensión al protocolo IP que proporciona seguridad a IP y a los protocolos de capas superiores. Fue desarrollado para el nuevo estándar IPv6 y después fue portado a IPv4. La arquitectura IPsec se describe en el RFC2401. Los siguientes párrafos dan una pequeña introducción a IPsec. http://www.franciscosepulveda.eu 4
Seguridad en IPv6: IPSec 1. Introducción a IPSec IPsec emplea dos protocolos diferentes - AH y ESP - para asegurar la autenticación, integridad y confidencialidad de la comunicación. Puede proteger el datagrama IP completo o sólo los protocolos de capas superiores. Estos modos se denominan, respectivamente, modo túnel y modo transporte. http://www.franciscosepulveda.eu 5
Seguridad en IPv6: IPSec 1. Introducción a IPSec En modo túnel el datagrama IP se encapsula completamente dentro de un nuevo datagrama IP que emplea el protocolo IPsec. En modo transporte IPsec sólo maneja la carga del datagrama IP, insertándose la cabecera IPsec entre la cabecera IP y la cabecera del protocolo de capas superiores. http://www.franciscosepulveda.eu 6
Seguridad en IPv6: IPSec 1. Introducción a IPSec http://www.franciscosepulveda.eu 7
Seguridad en IPv6: IPSec 1. Introducción a IPSec Para proteger la integridad de los datagramas IP, los protocolos IPsec emplean códigos de autenticación de mensaje basados en resúmenes (HMAC - Hash Message Authentication Codes). Para el cálculo de estos HMAC los protocolos HMAC emplean algoritmos de resumen como MD5 y SHA para calcular un resumen basado en una clave secreta y en los contenidos del datagrama IP. El HMAC se incluye en la cabecera del protocolo IPsec y el receptor del paquete puede comprobar el HMAC si tiene acceso a la clave secreta. http://www.franciscosepulveda.eu 8
Seguridad en IPv6: IPSec 1. Introducción a IPSec Para proteger la confidencialidad de lo datagramas IP, los protocolos IPsec emplean algoritmos estándar de cifrado simétrico. El estándar IPsec exige la implementación de NULL y DES. En la actualidad se suelen emplear algoritmos más fuertes: 3DES, AES y Blowfish. http://www.franciscosepulveda.eu 9
Seguridad en IPv6: IPSec 1. Introducción a IPSec Para protegerse contra ataques por denegación de servicio, los protocolos IPsec emplean ventanas deslizantes. Cada paquete recibe un número de secuencia y sólo se acepta su recepción si el número de paquete se encuentra dentro de la ventana o es posterior. Los paquetes anteriores son descartados inmediatamente. Esta es una medida de protección eficaz contra ataques por repetición de mensajes en los que el atacante almacena los paquetes originales y los reproduce posteriormente. http://www.franciscosepulveda.eu 10
Seguridad en IPv6: IPSec 1. Introducción a IPSec Para que los participantes de una comunicación puedan encapsular y desencapsular los paquetes IPsec, se necesitan mecanismos para almacenar las claves secretas, algoritmos y direcciones IP involucradas en la comunicación. Todos estos parámetros se almacenan en asociaciones de seguridad (SA - Security Associations). Las asociaciones de seguridad, a su vez, se almacenan en bases de datos de asociaciones de seguridad (SAD - Security Asocciation Databases). http://www.franciscosepulveda.eu 11
Seguridad en IPv6: IPSec 1. Introducción a IPSec Cada asociación de seguridad define los siguientes parámetros:  Dirección IP origen y destino de la cabecera IPsec resultante. Estas son las direcciones IP de los participantes de la comunicación IPsec que protegen los paquetes.  Protocolo IPsec (AH o ESP). A veces, se permite compresión (IPCOMP).  El algoritmo y clave secreta empleados por el protocolo IPsec.  Índice de parámetro de seguridad (SPI - Security Parameter Index). Es un número de 32 bits que identifica la asociación de seguridad. http://www.franciscosepulveda.eu 12
Seguridad en IPv6: IPSec 1. Introducción a IPSec Algunas implementaciones de la base de datos de asociaciones de seguridad permiten almacenar más parámetros:  Modo IPsec (túnel o transporte)  Tamaño de la ventana deslizante para protegerse de ataques por repetición.  Tiempo de vida de una asociación de seguridad. http://www.franciscosepulveda.eu 13
Seguridad en IPv6: IPSec 1. Introducción a IPSec En una asociación de seguridad se definen las direcciones IP de origen y destino de la comunicación. Por ello, mediante una única SA sólo se puede proteger un sentido del tráfico en una comunicación IPsec full duplex. Para proteger ambos sentidos de la comunicación, IPsec necesita de dos asociaciones de seguridad unidireccionales. http://www.franciscosepulveda.eu 14
Seguridad en IPv6: IPSec 1. Introducción a IPSec Las asociaciones de seguridad sólo especifican cómo se supone que IPsec protegerá el tráfico. Para definir qué tráfico proteger, y cuándo hacerlo, se necesita información adicional. Esta información se almacena en la política de seguridad (SP - Security Policy), que a su vez se almacena en la base de datos de políticas de seguridad (SPD - Security Policy Database). http://www.franciscosepulveda.eu 15
Seguridad en IPv6: IPSec 1. Introducción a IPSec Una política de seguridad suele especificar los siguientes parámetros:  Direcciones de origen y destino de los paquetes por proteger. En modo transporte estas serán las mismas direcciones que en la SA. En modo túnel pueden ser distintas.  Protocolos y puertos a proteger. Algunas implementaciones no permiten la definición de protocolos específicos a proteger. En este caso, se protege todo el tráfico entre las direcciones IP indicadas.  La asociación de seguridad a emplear para proteger los paquetes. http://www.franciscosepulveda.eu 16
Seguridad en IPv6: IPSec 1. Introducción a IPSec La configuración manual de la asociación de seguridad es proclive a errores, y no es muy segura. Las claves secretas y algoritmos de cifrado deben compartirse entre todos los participantes de la VPN. Uno de los problemas críticos a los que se enfrenta el administrador de sistemas es el intercambio de claves: ¿cómo intercambiar claves simétricas cuando aún no se ha establecido ningún tipo de cifrado? http://www.franciscosepulveda.eu 17
Seguridad en IPv6: IPSec 1. Introducción a IPSec Para resolver este problema se desarrolló el protocolo de intercambio de claves por Internet (IKE - Internet Key Exchange Protocol). Este protocolo autentica a los participantes en una primera fase. En una segunda fase se negocian las asociaciones de seguridad y se escogen las claves secretas simétricas a través de un intercambio de claves Diffie Hellmann. El protocolo IKE se ocupa incluso de renovar periódicamente las claves para asegurar su confidencialidad. http://www.franciscosepulveda.eu 18
Seguridad en IPv6: IPSec 1.Introducción IPSec 2.Implementación de IPSec 1. Authentication Header (AH) 2. Encapsulation Security Payload (ESP) http://www.franciscosepulveda.eu 19
Seguridad en IPv6: IPSec 2. Implementación de IPSec La familia de protocolos IPsec está formada por dos protocolos: el AH (Authentication Header - Cabecera de autenticación) y el ESP (Encapsulated Security Payload - Carga de seguridad encapsulada). Ambos son protocolos IP independientes. AH es el protocolo IP 51 y ESP el protocolo IP 50. http://www.franciscosepulveda.eu 20
Seguridad en IPv6: IPSec 1.Introducción IPSec 2.Implementación de IPSec 1. Authentication Header (AH) 2. Encapsulation Security Payload (ESP) http://www.franciscosepulveda.eu 21
Seguridad en IPv6: IPSec 2. Implementación de IPSec: AH El protocolo AH protege la integridad del datagrama IP. Para conseguirlo, el protocolo AH calcula una HMAC basada en la clave secreta, el contenido del paquete y las partes inmutables de la cabecera IP (como son las direcciones IP). Tras esto, añade la cabecera AH al paquete. http://www.franciscosepulveda.eu 22
Seguridad en IPv6: IPSec 2. Implementación de IPSec: AH http://www.franciscosepulveda.eu 23
Seguridad en IPv6: IPSec 2. Implementación de IPSec: AH La cabecera AH mide 24 bytes. El primer byte es el campo Siguiente cabecera. Este campo especifica el protocolo de la siguiente cabecera. En modo túnel se encapsula un datagrama IP completo, por lo que el valor de este campo es 4. Al encapsular un datagrama TCP en modo transporte, el valor correspondiente es 6. El siguiente byte especifica la longitud del contenido del paquete. Este campo está seguido de dos bytes reservados. Los siguientes 4 bytes especifican en Índice de Parámetro de Seguridad (SPI). http://www.franciscosepulveda.eu 24
Seguridad en IPv6: IPSec 2. Implementación de IPSec: AH El SPI especifica la asociación de seguridad (SA) a emplear para el desencapsulado del paquete. El Número de Secuencia de 32 bit protege frente a ataques por repetición. Finalmente, los últimos 96 bit almacenan el código de resumen para la autenticación de mensaje (HMAC). Este HMAC protege la integridad de los paquetes ya que sólo los miembros de la comunicación que conozcan la clave secreta pueden crear y comprobar HMACs. http://www.franciscosepulveda.eu 25
Seguridad en IPv6: IPSec 2. Implementación de IPSec: AH Como el protocolo AH protege la cabecera IP incluyendo las partes inmutables de la cabecera IP como las direcciones IP, el protocolo AH no permite NAT. NAT (Network address translation - Traducción de direcciones de red, también conocido como Enmascaramiento de direcciones) reemplaza una dirección IP de la cabecera IP (normalmente la IP de origen) por una dirección IP diferente. Tras el intercambio, la HMAC ya no es válida. La extensión a IPsec NAT-transversal implementa métodos que evitan esta restricción. http://www.franciscosepulveda.eu 26
Seguridad en IPv6: IPSec 1.Introducción IPSec 2.Implementación de IPSec 1. Authentication Header (AH) 2. Encapsulation Security Payload (ESP) http://www.franciscosepulveda.eu 27
Seguridad en IPv6: IPSec 2. Implementación de IPSec: ESP El protocolo ESP puede asegurar la integridad del paquete empleando una HMAC y la confidencialidad empleando cifrado. La cabecera ESP se genera y añade al paquete tras cifrarlo y calcular su HMAC. La cabecera ESP consta de dos partes: http://www.franciscosepulveda.eu 28
Seguridad en IPv6: IPSec 2. Implementación de IPSec: ESP http://www.franciscosepulveda.eu 29
Seguridad en IPv6: IPSec 2. Implementación de IPSec: ESP Los primeros 32 bits de la cabecera ESP especifican el Índice de Parámetros de Seguridad (SPI). Este SPI especifica qué SA emplear para desencapsular el paquete ESP. Los siguientes 32 bits almacenan el Número de Secuencia. Este número de secuencia se emplea para protegerse de ataques por repetición de mensajes. Los siguientes 32 bits especifican el Vector de Inicialización (IV - Initialization Vector) que se emplea para el proceso de cifrado. Los algoritmos de cifrado simétrico pueden ser vulnerables a ataques por análisis de frecuencias si no se emplean IVs. El IV asegura que dos cargas idénticas generan dos cargas cifradas diferentes. http://www.franciscosepulveda.eu 30
Seguridad en IPv6: IPSec 2. Implementación de IPSec: ESP IPsec emplea cifradores de bloque para el proceso de cifrado. Por ello, puede ser necesario rellenar la carga del paquete si la longitud de la carga no es un múltiplo de la longitud del paquete. En ese caso se añade la longitud del relleno (pad length). Tras la longitud del relleno se coloca el campo de 2 bytes Siguiente cabecera que especifica la siguiente cabecera. Por último, se añaden los 96 bit de HMAC para asegurar la integridad del paquete. Esta HMAC sólo tiene en cuenta la carga del paquete: la cabecera IP no se incluye dentro de su proceso de cálculo. http://www.franciscosepulveda.eu 31
Seguridad en IPv6: IPSec 2. Implementación de IPSec: ESP El uso de NAT, por lo tanto, no rompe el protocolo ESP. Sin embargo, en la mayoría de los casos, NAT aún no es compatible en combinación con IPsec. NAT-Transversal ofrece una solución para este problema encapsulando los paquetes ESP dentro de paquetes UDP. http://www.franciscosepulveda.eu 32

Recomendados

IPv6 Modulo1
IPv6 Modulo1IPv6 Modulo1
IPv6 Modulo1bramstoker
 
IPv6 Modulo3
IPv6 Modulo3IPv6 Modulo3
IPv6 Modulo3bramstoker
 
Protocolo de Internet (IPv6) -Redes
Protocolo de Internet (IPv6) -RedesProtocolo de Internet (IPv6) -Redes
Protocolo de Internet (IPv6) -RedesAmilcar Meneses
 
Transicion de ipv4 a ipv6
Transicion de ipv4 a ipv6Transicion de ipv4 a ipv6
Transicion de ipv4 a ipv6jose_carlos1090
 
Mecanismos de transición IPv6: Teredo, 6to4 y 6RD
Mecanismos de transición IPv6: Teredo, 6to4 y 6RDMecanismos de transición IPv6: Teredo, 6to4 y 6RD
Mecanismos de transición IPv6: Teredo, 6to4 y 6RDDanny Guamán
 
IPv6 Modulo4
IPv6 Modulo4IPv6 Modulo4
IPv6 Modulo4bramstoker
 
Ip v4
Ip v4Ip v4
Ip v4bat1820
 
Migracion ipv4 ipv6
Migracion ipv4 ipv6Migracion ipv4 ipv6
Migracion ipv4 ipv6gmarinfr
 

Recomendados

IPv6 Modulo1
IPv6 Modulo1IPv6 Modulo1
IPv6 Modulo1bramstoker
 
IPv6 Modulo3
IPv6 Modulo3IPv6 Modulo3
IPv6 Modulo3bramstoker
 
Protocolo de Internet (IPv6) -Redes
Protocolo de Internet (IPv6) -RedesProtocolo de Internet (IPv6) -Redes
Protocolo de Internet (IPv6) -RedesAmilcar Meneses
 
Transicion de ipv4 a ipv6
Transicion de ipv4 a ipv6Transicion de ipv4 a ipv6
Transicion de ipv4 a ipv6jose_carlos1090
 
Mecanismos de transición IPv6: Teredo, 6to4 y 6RD
Mecanismos de transición IPv6: Teredo, 6to4 y 6RDMecanismos de transición IPv6: Teredo, 6to4 y 6RD
Mecanismos de transición IPv6: Teredo, 6to4 y 6RDDanny Guamán
 
IPv6 Modulo4
IPv6 Modulo4IPv6 Modulo4
IPv6 Modulo4bramstoker
 
Ip v4
Ip v4Ip v4
Ip v4bat1820
 
Migracion ipv4 ipv6
Migracion ipv4 ipv6Migracion ipv4 ipv6
Migracion ipv4 ipv6gmarinfr
 
Qué son direcciones ip
Qué son direcciones ipQué son direcciones ip
Qué son direcciones ipAime Rodriguez
 
Seamless/Unified MPLS - LACNIC22-LACNOG14 - Octubre 2014
Seamless/Unified MPLS - LACNIC22-LACNOG14 - Octubre 2014Seamless/Unified MPLS - LACNIC22-LACNOG14 - Octubre 2014
Seamless/Unified MPLS - LACNIC22-LACNOG14 - Octubre 2014Gianpietro Lavado
 
IPv6 Modulo1
IPv6 Modulo1IPv6 Modulo1
IPv6 Modulo1bramstoker
 
Ipv6 mariana ramirez_9620097
Ipv6 mariana ramirez_9620097Ipv6 mariana ramirez_9620097
Ipv6 mariana ramirez_9620097marianadesandoval2014
 
I pv6 protocolos de internet
I pv6 protocolos de internetI pv6 protocolos de internet
I pv6 protocolos de internetfranciscoanalisis
 
Direccionamiento I Pv6
Direccionamiento I Pv6Direccionamiento I Pv6
Direccionamiento I Pv6Universidad Pedagógica y Tecnologica de Colombia
 
Enrutamiento IPv6 OSPFv3
Enrutamiento IPv6 OSPFv3Enrutamiento IPv6 OSPFv3
Enrutamiento IPv6 OSPFv3Jhoni Guerrero
 
Diapositiva-CERTIFICACIÓN DE TIC
Diapositiva-CERTIFICACIÓN DE TICDiapositiva-CERTIFICACIÓN DE TIC
Diapositiva-CERTIFICACIÓN DE TICLizbeth Acedo
 
Repaso direccionamiento ipv6 - 2021
Repaso direccionamiento ipv6 - 2021Repaso direccionamiento ipv6 - 2021
Repaso direccionamiento ipv6 - 2021David Narváez
 
I pv6
I pv6I pv6
I pv6Paula Naranjo
 
1. Conceptos OSPF
1. Conceptos OSPF1. Conceptos OSPF
1. Conceptos OSPFDavid Narváez
 
Práctica despliegue i pv6 0
Práctica despliegue i pv6 0Práctica despliegue i pv6 0
Práctica despliegue i pv6 0Jhoni Guerrero
 
Introducción al Direccionamiento IPv6
Introducción al Direccionamiento IPv6Introducción al Direccionamiento IPv6
Introducción al Direccionamiento IPv6Educática
 
Asignación de bloques de direcciones IPv6
Asignación de bloques de direcciones IPv6Asignación de bloques de direcciones IPv6
Asignación de bloques de direcciones IPv6Educática
 
3. OSPFv3 Redes IPv6
3. OSPFv3 Redes IPv63. OSPFv3 Redes IPv6
3. OSPFv3 Redes IPv6David Narváez
 
IPv6 en entornos ISP
IPv6 en entornos ISPIPv6 en entornos ISP
IPv6 en entornos ISPProzcenter
 
I pv6
I pv6I pv6
I pv6David Marza Herrera
 
4.1 Gestión de trafico NAT
4.1 Gestión de trafico NAT4.1 Gestión de trafico NAT
4.1 Gestión de trafico NATDavid Narváez
 
Proyecto de aula diapositivas IPv4
Proyecto de aula diapositivas IPv4Proyecto de aula diapositivas IPv4
Proyecto de aula diapositivas IPv4fiseitrabajos
 
4. OSPF - Multiarea
4. OSPF - Multiarea4. OSPF - Multiarea
4. OSPF - MultiareaDavid Narváez
 
El color en la publicidad
El color en la publicidadEl color en la publicidad
El color en la publicidadmanuelaruizo06
 
Oportunidades Profesionales de la Ciberseguridad en España
Oportunidades Profesionales de la Ciberseguridad en EspañaOportunidades Profesionales de la Ciberseguridad en España
Oportunidades Profesionales de la Ciberseguridad en Españabramstoker
 

Más contenido relacionado

La actualidad más candente

Qué son direcciones ip
Qué son direcciones ipQué son direcciones ip
Qué son direcciones ipAime Rodriguez
 
Seamless/Unified MPLS - LACNIC22-LACNOG14 - Octubre 2014
Seamless/Unified MPLS - LACNIC22-LACNOG14 - Octubre 2014Seamless/Unified MPLS - LACNIC22-LACNOG14 - Octubre 2014
Seamless/Unified MPLS - LACNIC22-LACNOG14 - Octubre 2014Gianpietro Lavado
 
I pv6 protocolos de internet
I pv6 protocolos de internetI pv6 protocolos de internet
I pv6 protocolos de internetfranciscoanalisis
 
Enrutamiento IPv6 OSPFv3
Enrutamiento IPv6 OSPFv3Enrutamiento IPv6 OSPFv3
Enrutamiento IPv6 OSPFv3Jhoni Guerrero
 
Diapositiva-CERTIFICACIÓN DE TIC
Diapositiva-CERTIFICACIÓN DE TICDiapositiva-CERTIFICACIÓN DE TIC
Diapositiva-CERTIFICACIÓN DE TICLizbeth Acedo
 
Repaso direccionamiento ipv6 - 2021
Repaso direccionamiento ipv6 - 2021Repaso direccionamiento ipv6 - 2021
Repaso direccionamiento ipv6 - 2021David Narváez
 
Práctica despliegue i pv6 0
Práctica despliegue i pv6 0Práctica despliegue i pv6 0
Práctica despliegue i pv6 0Jhoni Guerrero
 
Introducción al Direccionamiento IPv6
Introducción al Direccionamiento IPv6Introducción al Direccionamiento IPv6
Introducción al Direccionamiento IPv6Educática
 
Asignación de bloques de direcciones IPv6
Asignación de bloques de direcciones IPv6Asignación de bloques de direcciones IPv6
Asignación de bloques de direcciones IPv6Educática
 
IPv6 en entornos ISP
IPv6 en entornos ISPIPv6 en entornos ISP
IPv6 en entornos ISPProzcenter
 
4.1 Gestión de trafico NAT
4.1 Gestión de trafico NAT4.1 Gestión de trafico NAT
4.1 Gestión de trafico NATDavid Narváez
 
Proyecto de aula diapositivas IPv4
Proyecto de aula diapositivas IPv4Proyecto de aula diapositivas IPv4
Proyecto de aula diapositivas IPv4fiseitrabajos
 

La actualidad más candente (20)

Qué son direcciones ip
Qué son direcciones ipQué son direcciones ip
Qué son direcciones ip
 
Seamless/Unified MPLS - LACNIC22-LACNOG14 - Octubre 2014
Seamless/Unified MPLS - LACNIC22-LACNOG14 - Octubre 2014Seamless/Unified MPLS - LACNIC22-LACNOG14 - Octubre 2014
Seamless/Unified MPLS - LACNIC22-LACNOG14 - Octubre 2014
 
IPv6 Modulo1
IPv6 Modulo1IPv6 Modulo1
IPv6 Modulo1
 
Ipv6 mariana ramirez_9620097
Ipv6 mariana ramirez_9620097Ipv6 mariana ramirez_9620097
Ipv6 mariana ramirez_9620097
 
I pv6 protocolos de internet
I pv6 protocolos de internetI pv6 protocolos de internet
I pv6 protocolos de internet
 
Direccionamiento I Pv6
Direccionamiento I Pv6Direccionamiento I Pv6
Direccionamiento I Pv6
 
Enrutamiento IPv6 OSPFv3
Enrutamiento IPv6 OSPFv3Enrutamiento IPv6 OSPFv3
Enrutamiento IPv6 OSPFv3
 
Diapositiva-CERTIFICACIÓN DE TIC
Diapositiva-CERTIFICACIÓN DE TICDiapositiva-CERTIFICACIÓN DE TIC
Diapositiva-CERTIFICACIÓN DE TIC
 
Repaso direccionamiento ipv6 - 2021
Repaso direccionamiento ipv6 - 2021Repaso direccionamiento ipv6 - 2021
Repaso direccionamiento ipv6 - 2021
 
I pv6
I pv6I pv6
I pv6
 
1. Conceptos OSPF
1. Conceptos OSPF1. Conceptos OSPF
1. Conceptos OSPF
 
Práctica despliegue i pv6 0
Práctica despliegue i pv6 0Práctica despliegue i pv6 0
Práctica despliegue i pv6 0
 
Introducción al Direccionamiento IPv6
Introducción al Direccionamiento IPv6Introducción al Direccionamiento IPv6
Introducción al Direccionamiento IPv6
 
Asignación de bloques de direcciones IPv6
Asignación de bloques de direcciones IPv6Asignación de bloques de direcciones IPv6
Asignación de bloques de direcciones IPv6
 
3. OSPFv3 Redes IPv6
3. OSPFv3 Redes IPv63. OSPFv3 Redes IPv6
3. OSPFv3 Redes IPv6
 
IPv6 en entornos ISP
IPv6 en entornos ISPIPv6 en entornos ISP
IPv6 en entornos ISP
 
I pv6
I pv6I pv6
I pv6
 
4.1 Gestión de trafico NAT
4.1 Gestión de trafico NAT4.1 Gestión de trafico NAT
4.1 Gestión de trafico NAT
 
Proyecto de aula diapositivas IPv4
Proyecto de aula diapositivas IPv4Proyecto de aula diapositivas IPv4
Proyecto de aula diapositivas IPv4
 
4. OSPF - Multiarea
4. OSPF - Multiarea4. OSPF - Multiarea
4. OSPF - Multiarea
 

Destacado

El color en la publicidad
El color en la publicidadEl color en la publicidad
El color en la publicidadmanuelaruizo06
 
Oportunidades Profesionales de la Ciberseguridad en España
Oportunidades Profesionales de la Ciberseguridad en EspañaOportunidades Profesionales de la Ciberseguridad en España
Oportunidades Profesionales de la Ciberseguridad en Españabramstoker
 
Diseño de diapositivas
Diseño de diapositivasDiseño de diapositivas
Diseño de diapositivasRafael Yarum
 
Ejercicio creacion de ipv6 freddy beltran
Ejercicio creacion de ipv6 freddy beltranEjercicio creacion de ipv6 freddy beltran
Ejercicio creacion de ipv6 freddy beltranbeppo
 
Paginas de matematicas
Paginas de matematicasPaginas de matematicas
Paginas de matematicasespanol
 

Destacado (6)

El color en la publicidad
El color en la publicidadEl color en la publicidad
El color en la publicidad
 
Oportunidades Profesionales de la Ciberseguridad en España
Oportunidades Profesionales de la Ciberseguridad en EspañaOportunidades Profesionales de la Ciberseguridad en España
Oportunidades Profesionales de la Ciberseguridad en España
 
Diseño de diapositivas
Diseño de diapositivasDiseño de diapositivas
Diseño de diapositivas
 
Ejercicio creacion de ipv6 freddy beltran
Ejercicio creacion de ipv6 freddy beltranEjercicio creacion de ipv6 freddy beltran
Ejercicio creacion de ipv6 freddy beltran
 
Direccionamiento ipv6
Direccionamiento ipv6Direccionamiento ipv6
Direccionamiento ipv6
 
Paginas de matematicas
Paginas de matematicasPaginas de matematicas
Paginas de matematicas
 

Similar a IPv6 Modulo2

5_unidad_v_ip_sec
5_unidad_v_ip_sec 5_unidad_v_ip_sec
5_unidad_v_ip_secrakmak
 
Ip sec exposicion
Ip sec exposicionIp sec exposicion
Ip sec exposicionmaurprem
 
Preguntas de Repaso Capitulo 6: Stallings William: Fundamentos de seguridad e...
Preguntas de Repaso Capitulo 6: Stallings William: Fundamentos de seguridad e...Preguntas de Repaso Capitulo 6: Stallings William: Fundamentos de seguridad e...
Preguntas de Repaso Capitulo 6: Stallings William: Fundamentos de seguridad e...Ángel Leonardo Torres
 
Trabajo isakmp i psec
Trabajo isakmp i psecTrabajo isakmp i psec
Trabajo isakmp i psecJairo Rosas
 
IPsec y Certificaciones
IPsec y CertificacionesIPsec y Certificaciones
IPsec y CertificacionesElvis Raza
 
Ipsec Y Certificados Digitales En Windows 2003 Server
Ipsec Y Certificados Digitales En Windows 2003 ServerIpsec Y Certificados Digitales En Windows 2003 Server
Ipsec Y Certificados Digitales En Windows 2003 Serveryecy cuno
 
Ipsec Y Certificados Digitales En Windows 2003 Server
Ipsec Y Certificados Digitales En Windows 2003 ServerIpsec Y Certificados Digitales En Windows 2003 Server
Ipsec Y Certificados Digitales En Windows 2003 Serveryecy cuno
 
Ipsec Y Certificados Digitales En Windows 2003 Server
Ipsec Y Certificados Digitales En Windows 2003 ServerIpsec Y Certificados Digitales En Windows 2003 Server
Ipsec Y Certificados Digitales En Windows 2003 Serveryecy cuno
 
Actividad 5 administracion de redes
Actividad 5 administracion de redesActividad 5 administracion de redes
Actividad 5 administracion de redesJESSIKADG86
 
IPSec y Certificados Digitales en Windows 2003 Server (Definición y caracterí...
IPSec y Certificados Digitales en Windows 2003 Server (Definición y caracterí...IPSec y Certificados Digitales en Windows 2003 Server (Definición y caracterí...
IPSec y Certificados Digitales en Windows 2003 Server (Definición y caracterí...yanora
 

Similar a IPv6 Modulo2 (20)

5_unidad_v_ip_sec
5_unidad_v_ip_sec 5_unidad_v_ip_sec
5_unidad_v_ip_sec
 
Ipsec
IpsecIpsec
Ipsec
 
Ip sec exposicion
Ip sec exposicionIp sec exposicion
Ip sec exposicion
 
Isakmp
IsakmpIsakmp
Isakmp
 
I psec
I psecI psec
I psec
 
Ipsec
IpsecIpsec
Ipsec
 
Ipsec
IpsecIpsec
Ipsec
 
Preguntas de Repaso Capitulo 6: Stallings William: Fundamentos de seguridad e...
Preguntas de Repaso Capitulo 6: Stallings William: Fundamentos de seguridad e...Preguntas de Repaso Capitulo 6: Stallings William: Fundamentos de seguridad e...
Preguntas de Repaso Capitulo 6: Stallings William: Fundamentos de seguridad e...
 
Monografía IPSec, IPv6
Monografía IPSec, IPv6Monografía IPSec, IPv6
Monografía IPSec, IPv6
 
Trabajo isakmp i psec
Trabajo isakmp i psecTrabajo isakmp i psec
Trabajo isakmp i psec
 
IPSec - Conceptos básicos
IPSec - Conceptos básicosIPSec - Conceptos básicos
IPSec - Conceptos básicos
 
Ipsec daniel gc
Ipsec daniel gcIpsec daniel gc
Ipsec daniel gc
 
Ipsec
IpsecIpsec
Ipsec
 
IPsec y Certificaciones
IPsec y CertificacionesIPsec y Certificaciones
IPsec y Certificaciones
 
Ipsec Y Certificados Digitales En Windows 2003 Server
Ipsec Y Certificados Digitales En Windows 2003 ServerIpsec Y Certificados Digitales En Windows 2003 Server
Ipsec Y Certificados Digitales En Windows 2003 Server
 
Ipsec Y Certificados Digitales En Windows 2003 Server
Ipsec Y Certificados Digitales En Windows 2003 ServerIpsec Y Certificados Digitales En Windows 2003 Server
Ipsec Y Certificados Digitales En Windows 2003 Server
 
Ipsec Y Certificados Digitales En Windows 2003 Server
Ipsec Y Certificados Digitales En Windows 2003 ServerIpsec Y Certificados Digitales En Windows 2003 Server
Ipsec Y Certificados Digitales En Windows 2003 Server
 
Actividad 5 administracion de redes
Actividad 5 administracion de redesActividad 5 administracion de redes
Actividad 5 administracion de redes
 
IPSec y Certificados Digitales en Windows 2003 Server (Definición y caracterí...
IPSec y Certificados Digitales en Windows 2003 Server (Definición y caracterí...IPSec y Certificados Digitales en Windows 2003 Server (Definición y caracterí...
IPSec y Certificados Digitales en Windows 2003 Server (Definición y caracterí...
 
I psec
I psecI psec
I psec
 

Último

Redes direccionamiento y subredes ipv4 2024 .pdf
Redes direccionamiento y subredes ipv4 2024 .pdfRedes direccionamiento y subredes ipv4 2024 .pdf
Redes direccionamiento y subredes ipv4 2024 .pdfsoporteupcology
 
Trabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnologíaTrabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnologíassuserf18419
 
Cortes-24-de-abril-Tungurahua-3 año 2024
Cortes-24-de-abril-Tungurahua-3 año 2024Cortes-24-de-abril-Tungurahua-3 año 2024
Cortes-24-de-abril-Tungurahua-3 año 2024GiovanniJavierHidalg
 
Global Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft FabricGlobal Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft FabricKeyla Dolores Méndez
 
Hernandez_Hernandez_Practica web de la sesion 12.pptx
Hernandez_Hernandez_Practica web de la sesion 12.pptxHernandez_Hernandez_Practica web de la sesion 12.pptx
Hernandez_Hernandez_Practica web de la sesion 12.pptxJOSEMANUELHERNANDEZH11
 
KELA Presentacion Costa Rica 2024 - evento Protégeles
KELA Presentacion Costa Rica 2024 - evento ProtégelesKELA Presentacion Costa Rica 2024 - evento Protégeles
KELA Presentacion Costa Rica 2024 - evento ProtégelesFundación YOD YOD
 
La era de la educación digital y sus desafios
La era de la educación digital y sus desafiosLa era de la educación digital y sus desafios
La era de la educación digital y sus desafiosFundación YOD YOD
 
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIACLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIAWilbisVega
 
International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)GDGSucre
 
EPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial UninoveEPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial UninoveFagnerLisboa3
 
9egb-lengua y Literatura.pdf_texto del estudiante
9egb-lengua y Literatura.pdf_texto del estudiante9egb-lengua y Literatura.pdf_texto del estudiante
9egb-lengua y Literatura.pdf_texto del estudianteAndreaHuertas24
 
trabajotecologiaisabella-240424003133-8f126965.pdf
trabajotecologiaisabella-240424003133-8f126965.pdftrabajotecologiaisabella-240424003133-8f126965.pdf
trabajotecologiaisabella-240424003133-8f126965.pdfIsabellaMontaomurill
 
Proyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptxProyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptx241521559
 
guía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan Josephguía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan JosephBRAYANJOSEPHPEREZGOM
 
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...silviayucra2
 
Plan de aula informatica segundo periodo.docx
Plan de aula informatica segundo periodo.docxPlan de aula informatica segundo periodo.docx
Plan de aula informatica segundo periodo.docxpabonheidy28
 

Último (16)

Redes direccionamiento y subredes ipv4 2024 .pdf
Redes direccionamiento y subredes ipv4 2024 .pdfRedes direccionamiento y subredes ipv4 2024 .pdf
Redes direccionamiento y subredes ipv4 2024 .pdf
 
Trabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnologíaTrabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnología
 
Cortes-24-de-abril-Tungurahua-3 año 2024
Cortes-24-de-abril-Tungurahua-3 año 2024Cortes-24-de-abril-Tungurahua-3 año 2024
Cortes-24-de-abril-Tungurahua-3 año 2024
 
Global Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft FabricGlobal Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft Fabric
 
Hernandez_Hernandez_Practica web de la sesion 12.pptx
Hernandez_Hernandez_Practica web de la sesion 12.pptxHernandez_Hernandez_Practica web de la sesion 12.pptx
Hernandez_Hernandez_Practica web de la sesion 12.pptx
 
KELA Presentacion Costa Rica 2024 - evento Protégeles
KELA Presentacion Costa Rica 2024 - evento ProtégelesKELA Presentacion Costa Rica 2024 - evento Protégeles
KELA Presentacion Costa Rica 2024 - evento Protégeles
 
La era de la educación digital y sus desafios
La era de la educación digital y sus desafiosLa era de la educación digital y sus desafios
La era de la educación digital y sus desafios
 
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIACLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
 
International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)
 
EPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial UninoveEPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial Uninove
 
9egb-lengua y Literatura.pdf_texto del estudiante
9egb-lengua y Literatura.pdf_texto del estudiante9egb-lengua y Literatura.pdf_texto del estudiante
9egb-lengua y Literatura.pdf_texto del estudiante
 
trabajotecologiaisabella-240424003133-8f126965.pdf
trabajotecologiaisabella-240424003133-8f126965.pdftrabajotecologiaisabella-240424003133-8f126965.pdf
trabajotecologiaisabella-240424003133-8f126965.pdf
 
Proyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptxProyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptx
 
guía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan Josephguía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan Joseph
 
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
 
Plan de aula informatica segundo periodo.docx
Plan de aula informatica segundo periodo.docxPlan de aula informatica segundo periodo.docx
Plan de aula informatica segundo periodo.docx
 

IPv6 Modulo2

  • 1. Curso Práctico IPv6 Seguridad en IPv6: IPSec http://www.franciscosepulveda.eu
  • 2. Seguridad en IPv6: IPSec 1.Introducción IPSec 2.Implementación de IPSec 1. Authentication Header (AH) 2. Encapsulation Security Payload (ESP) http://www.franciscosepulveda.eu 2
  • 3. Seguridad en IPv6: IPSec 1.Introducción IPSec 2.Implementación de IPSec 1. Authentication Header (AH) 2. Encapsulation Security Payload (ESP) http://www.franciscosepulveda.eu 3
  • 4. Seguridad en IPv6: IPSec 1. Introducción a IPSec IPsec es una extensión al protocolo IP que proporciona seguridad a IP y a los protocolos de capas superiores. Fue desarrollado para el nuevo estándar IPv6 y después fue portado a IPv4. La arquitectura IPsec se describe en el RFC2401. Los siguientes párrafos dan una pequeña introducción a IPsec. http://www.franciscosepulveda.eu 4
  • 5. Seguridad en IPv6: IPSec 1. Introducción a IPSec IPsec emplea dos protocolos diferentes - AH y ESP - para asegurar la autenticación, integridad y confidencialidad de la comunicación. Puede proteger el datagrama IP completo o sólo los protocolos de capas superiores. Estos modos se denominan, respectivamente, modo túnel y modo transporte. http://www.franciscosepulveda.eu 5
  • 6. Seguridad en IPv6: IPSec 1. Introducción a IPSec En modo túnel el datagrama IP se encapsula completamente dentro de un nuevo datagrama IP que emplea el protocolo IPsec. En modo transporte IPsec sólo maneja la carga del datagrama IP, insertándose la cabecera IPsec entre la cabecera IP y la cabecera del protocolo de capas superiores. http://www.franciscosepulveda.eu 6
  • 7. Seguridad en IPv6: IPSec 1. Introducción a IPSec http://www.franciscosepulveda.eu 7
  • 8. Seguridad en IPv6: IPSec 1. Introducción a IPSec Para proteger la integridad de los datagramas IP, los protocolos IPsec emplean códigos de autenticación de mensaje basados en resúmenes (HMAC - Hash Message Authentication Codes). Para el cálculo de estos HMAC los protocolos HMAC emplean algoritmos de resumen como MD5 y SHA para calcular un resumen basado en una clave secreta y en los contenidos del datagrama IP. El HMAC se incluye en la cabecera del protocolo IPsec y el receptor del paquete puede comprobar el HMAC si tiene acceso a la clave secreta. http://www.franciscosepulveda.eu 8
  • 9. Seguridad en IPv6: IPSec 1. Introducción a IPSec Para proteger la confidencialidad de lo datagramas IP, los protocolos IPsec emplean algoritmos estándar de cifrado simétrico. El estándar IPsec exige la implementación de NULL y DES. En la actualidad se suelen emplear algoritmos más fuertes: 3DES, AES y Blowfish. http://www.franciscosepulveda.eu 9
  • 10. Seguridad en IPv6: IPSec 1. Introducción a IPSec Para protegerse contra ataques por denegación de servicio, los protocolos IPsec emplean ventanas deslizantes. Cada paquete recibe un número de secuencia y sólo se acepta su recepción si el número de paquete se encuentra dentro de la ventana o es posterior. Los paquetes anteriores son descartados inmediatamente. Esta es una medida de protección eficaz contra ataques por repetición de mensajes en los que el atacante almacena los paquetes originales y los reproduce posteriormente. http://www.franciscosepulveda.eu 10
  • 11. Seguridad en IPv6: IPSec 1. Introducción a IPSec Para que los participantes de una comunicación puedan encapsular y desencapsular los paquetes IPsec, se necesitan mecanismos para almacenar las claves secretas, algoritmos y direcciones IP involucradas en la comunicación. Todos estos parámetros se almacenan en asociaciones de seguridad (SA - Security Associations). Las asociaciones de seguridad, a su vez, se almacenan en bases de datos de asociaciones de seguridad (SAD - Security Asocciation Databases). http://www.franciscosepulveda.eu 11
  • 12. Seguridad en IPv6: IPSec 1. Introducción a IPSec Cada asociación de seguridad define los siguientes parámetros:  Dirección IP origen y destino de la cabecera IPsec resultante. Estas son las direcciones IP de los participantes de la comunicación IPsec que protegen los paquetes.  Protocolo IPsec (AH o ESP). A veces, se permite compresión (IPCOMP).  El algoritmo y clave secreta empleados por el protocolo IPsec.  Índice de parámetro de seguridad (SPI - Security Parameter Index). Es un número de 32 bits que identifica la asociación de seguridad. http://www.franciscosepulveda.eu 12
  • 13. Seguridad en IPv6: IPSec 1. Introducción a IPSec Algunas implementaciones de la base de datos de asociaciones de seguridad permiten almacenar más parámetros:  Modo IPsec (túnel o transporte)  Tamaño de la ventana deslizante para protegerse de ataques por repetición.  Tiempo de vida de una asociación de seguridad. http://www.franciscosepulveda.eu 13
  • 14. Seguridad en IPv6: IPSec 1. Introducción a IPSec En una asociación de seguridad se definen las direcciones IP de origen y destino de la comunicación. Por ello, mediante una única SA sólo se puede proteger un sentido del tráfico en una comunicación IPsec full duplex. Para proteger ambos sentidos de la comunicación, IPsec necesita de dos asociaciones de seguridad unidireccionales. http://www.franciscosepulveda.eu 14
  • 15. Seguridad en IPv6: IPSec 1. Introducción a IPSec Las asociaciones de seguridad sólo especifican cómo se supone que IPsec protegerá el tráfico. Para definir qué tráfico proteger, y cuándo hacerlo, se necesita información adicional. Esta información se almacena en la política de seguridad (SP - Security Policy), que a su vez se almacena en la base de datos de políticas de seguridad (SPD - Security Policy Database). http://www.franciscosepulveda.eu 15
  • 16. Seguridad en IPv6: IPSec 1. Introducción a IPSec Una política de seguridad suele especificar los siguientes parámetros:  Direcciones de origen y destino de los paquetes por proteger. En modo transporte estas serán las mismas direcciones que en la SA. En modo túnel pueden ser distintas.  Protocolos y puertos a proteger. Algunas implementaciones no permiten la definición de protocolos específicos a proteger. En este caso, se protege todo el tráfico entre las direcciones IP indicadas.  La asociación de seguridad a emplear para proteger los paquetes. http://www.franciscosepulveda.eu 16
  • 17. Seguridad en IPv6: IPSec 1. Introducción a IPSec La configuración manual de la asociación de seguridad es proclive a errores, y no es muy segura. Las claves secretas y algoritmos de cifrado deben compartirse entre todos los participantes de la VPN. Uno de los problemas críticos a los que se enfrenta el administrador de sistemas es el intercambio de claves: ¿cómo intercambiar claves simétricas cuando aún no se ha establecido ningún tipo de cifrado? http://www.franciscosepulveda.eu 17
  • 18. Seguridad en IPv6: IPSec 1. Introducción a IPSec Para resolver este problema se desarrolló el protocolo de intercambio de claves por Internet (IKE - Internet Key Exchange Protocol). Este protocolo autentica a los participantes en una primera fase. En una segunda fase se negocian las asociaciones de seguridad y se escogen las claves secretas simétricas a través de un intercambio de claves Diffie Hellmann. El protocolo IKE se ocupa incluso de renovar periódicamente las claves para asegurar su confidencialidad. http://www.franciscosepulveda.eu 18
  • 19. Seguridad en IPv6: IPSec 1.Introducción IPSec 2.Implementación de IPSec 1. Authentication Header (AH) 2. Encapsulation Security Payload (ESP) http://www.franciscosepulveda.eu 19
  • 20. Seguridad en IPv6: IPSec 2. Implementación de IPSec La familia de protocolos IPsec está formada por dos protocolos: el AH (Authentication Header - Cabecera de autenticación) y el ESP (Encapsulated Security Payload - Carga de seguridad encapsulada). Ambos son protocolos IP independientes. AH es el protocolo IP 51 y ESP el protocolo IP 50. http://www.franciscosepulveda.eu 20
  • 21. Seguridad en IPv6: IPSec 1.Introducción IPSec 2.Implementación de IPSec 1. Authentication Header (AH) 2. Encapsulation Security Payload (ESP) http://www.franciscosepulveda.eu 21
  • 22. Seguridad en IPv6: IPSec 2. Implementación de IPSec: AH El protocolo AH protege la integridad del datagrama IP. Para conseguirlo, el protocolo AH calcula una HMAC basada en la clave secreta, el contenido del paquete y las partes inmutables de la cabecera IP (como son las direcciones IP). Tras esto, añade la cabecera AH al paquete. http://www.franciscosepulveda.eu 22
  • 23. Seguridad en IPv6: IPSec 2. Implementación de IPSec: AH http://www.franciscosepulveda.eu 23
  • 24. Seguridad en IPv6: IPSec 2. Implementación de IPSec: AH La cabecera AH mide 24 bytes. El primer byte es el campo Siguiente cabecera. Este campo especifica el protocolo de la siguiente cabecera. En modo túnel se encapsula un datagrama IP completo, por lo que el valor de este campo es 4. Al encapsular un datagrama TCP en modo transporte, el valor correspondiente es 6. El siguiente byte especifica la longitud del contenido del paquete. Este campo está seguido de dos bytes reservados. Los siguientes 4 bytes especifican en Índice de Parámetro de Seguridad (SPI). http://www.franciscosepulveda.eu 24
  • 25. Seguridad en IPv6: IPSec 2. Implementación de IPSec: AH El SPI especifica la asociación de seguridad (SA) a emplear para el desencapsulado del paquete. El Número de Secuencia de 32 bit protege frente a ataques por repetición. Finalmente, los últimos 96 bit almacenan el código de resumen para la autenticación de mensaje (HMAC). Este HMAC protege la integridad de los paquetes ya que sólo los miembros de la comunicación que conozcan la clave secreta pueden crear y comprobar HMACs. http://www.franciscosepulveda.eu 25
  • 26. Seguridad en IPv6: IPSec 2. Implementación de IPSec: AH Como el protocolo AH protege la cabecera IP incluyendo las partes inmutables de la cabecera IP como las direcciones IP, el protocolo AH no permite NAT. NAT (Network address translation - Traducción de direcciones de red, también conocido como Enmascaramiento de direcciones) reemplaza una dirección IP de la cabecera IP (normalmente la IP de origen) por una dirección IP diferente. Tras el intercambio, la HMAC ya no es válida. La extensión a IPsec NAT-transversal implementa métodos que evitan esta restricción. http://www.franciscosepulveda.eu 26
  • 27. Seguridad en IPv6: IPSec 1.Introducción IPSec 2.Implementación de IPSec 1. Authentication Header (AH) 2. Encapsulation Security Payload (ESP) http://www.franciscosepulveda.eu 27
  • 28. Seguridad en IPv6: IPSec 2. Implementación de IPSec: ESP El protocolo ESP puede asegurar la integridad del paquete empleando una HMAC y la confidencialidad empleando cifrado. La cabecera ESP se genera y añade al paquete tras cifrarlo y calcular su HMAC. La cabecera ESP consta de dos partes: http://www.franciscosepulveda.eu 28
  • 29. Seguridad en IPv6: IPSec 2. Implementación de IPSec: ESP http://www.franciscosepulveda.eu 29
  • 30. Seguridad en IPv6: IPSec 2. Implementación de IPSec: ESP Los primeros 32 bits de la cabecera ESP especifican el Índice de Parámetros de Seguridad (SPI). Este SPI especifica qué SA emplear para desencapsular el paquete ESP. Los siguientes 32 bits almacenan el Número de Secuencia. Este número de secuencia se emplea para protegerse de ataques por repetición de mensajes. Los siguientes 32 bits especifican el Vector de Inicialización (IV - Initialization Vector) que se emplea para el proceso de cifrado. Los algoritmos de cifrado simétrico pueden ser vulnerables a ataques por análisis de frecuencias si no se emplean IVs. El IV asegura que dos cargas idénticas generan dos cargas cifradas diferentes. http://www.franciscosepulveda.eu 30
  • 31. Seguridad en IPv6: IPSec 2. Implementación de IPSec: ESP IPsec emplea cifradores de bloque para el proceso de cifrado. Por ello, puede ser necesario rellenar la carga del paquete si la longitud de la carga no es un múltiplo de la longitud del paquete. En ese caso se añade la longitud del relleno (pad length). Tras la longitud del relleno se coloca el campo de 2 bytes Siguiente cabecera que especifica la siguiente cabecera. Por último, se añaden los 96 bit de HMAC para asegurar la integridad del paquete. Esta HMAC sólo tiene en cuenta la carga del paquete: la cabecera IP no se incluye dentro de su proceso de cálculo. http://www.franciscosepulveda.eu 31
  • 32. Seguridad en IPv6: IPSec 2. Implementación de IPSec: ESP El uso de NAT, por lo tanto, no rompe el protocolo ESP. Sin embargo, en la mayoría de los casos, NAT aún no es compatible en combinación con IPsec. NAT-Transversal ofrece una solución para este problema encapsulando los paquetes ESP dentro de paquetes UDP. http://www.franciscosepulveda.eu 32