SlideShare una empresa de Scribd logo

5_unidad_v_ip_sec

R
rakmak

Este documento proporciona una introducción a IPsec, incluyendo sus modos (túnel y transporte), protocolos (AH y ESP) y características de seguridad. Explica que IPsec permite comunicaciones seguras entre hosts al autenticar y/o cifrar cada paquete IP a través de asociaciones de seguridad y claves dinámicas.

Internet
1 de 13
Descargar para leer sin conexión
1 UNIVERSIDAD AMERICANA Ing. Luis Müller 2011 Redes de Comunicación – Unidad V Seguridad en la capa de Red. – IPSec Recopilación de teoría referente a la materia Esta es una recopilación de la teoría referente a la asignatura Redes de Comunicación, a ser estudiada en clases con los alumnos, y que servirá como base para su aplicación también en clases en ejercicios prácticos.
2 Contenido ¿Qué es IPsec?............................................................................................................................... 3 Características de seguridad de IPSec............................................................................................. 5 Sumario ......................................................................................................................................... 6 Arquitectura de seguridad ............................................................................................................. 7 Propósito de diseño....................................................................................................................... 8 Modos ........................................................................................................................................... 8 Modo transporte........................................................................................................................ 9 Modo túnel................................................................................................................................ 9 IPsec: modos túnel y transporte..................................................................................................... 9 Los protocolos IPsec..................................................................................................................... 10 AH - Cabecera de autenticación ............................................................................................... 11 ESP - Carga de Seguridad Encapsulada ..................................................................................... 12
3 Unidad V – seguridad en la capa de red. Conceptos básicos. IP sec. Modos IP sec. Utilizaciones. Ejemplos de diseños ¿Qué es IPsec? IPsec es un protocolo que está sobre la capa del protocolo de Internet (IP). Este, permite a dos o más equipos comunicarse de forma segura (de ahí viene el nombre). La “pila de red” IPsec incluye soporte para las dos familias de protocolos, IPv4 e IPv6. IPsec (abreviatura de Internet Protocol security) es un conjunto de protocolos cuya función es asegurar las comunicaciones sobre el Protocolo de Internet (IP) autenticando y/o cifrando cada paquete IP en un flujo de datos. IPsec también incluye protocolos para el establecimiento de claves de cifrado. IPsec emplea dos protocolos diferentes - AH y ESP - para asegurar la autenticación, integridad y confidencialidad de la comunicación. Puede proteger el datagrama IP completo o sólo los protocolos de capas superiores. IPSec autentifica los equipos y cifra los datos para su transmisión entre hosts en una red, intranet o extranet, incluidas las comunicaciones entre estaciones de trabajo y servidores, y entre servidores.
El objetivo principal de IPSec es basado en un modelo de seguridad de extremo a extremo, lo que significa que los únicos hosts que tienen que conocer la protección de IPSec son el que envía y el que recibe. Cada equipo controla la seguridad por sí mismo en su extremo, bajo la hipótesis de que el medio por el que se establece la comunicación no es seguro. Estos modos se denominan, respectivamente, túnel el datagrama IP se encapsula completamente dentr el protocolo IPsec. En modo transporte IPsec sólo maneja la carga del datagrama IP, insertándose la cabecera IPsec entre la cabecera IP y la cabecera del protocolo de capas El objetivo principal de IPSec es proporcionar protección a los paquetes IP. IPSec está basado en un modelo de seguridad de extremo a extremo, lo que significa que los únicos hosts que tienen que conocer la protección de IPSec son el que envía y el que recibe. Cada equipo idad por sí mismo en su extremo, bajo la hipótesis de que el medio por el que se establece la comunicación no es seguro. Estos modos se denominan, respectivamente, modo túnel y modo transporte. En modo túnel el datagrama IP se encapsula completamente dentro de un nuevo datagrama IP que emplea En modo transporte IPsec sólo maneja la carga del datagrama IP, insertándose la cabecera IPsec entre la cabecera IP y la cabecera del protocolo de capas superiores. 4 proporcionar protección a los paquetes IP. IPSec está basado en un modelo de seguridad de extremo a extremo, lo que significa que los únicos hosts que tienen que conocer la protección de IPSec son el que envía y el que recibe. Cada equipo idad por sí mismo en su extremo, bajo la hipótesis de que el medio por el que se túnel y modo transporte. En modo o de un nuevo datagrama IP que emplea En modo transporte IPsec sólo maneja la carga del datagrama IP, insertándose la cabecera
5 Características de seguridad de IPSec Las siguientes características de IPSec afrontan todos estos métodos de ataque: Protocolo Carga de seguridad de encapsulación (ESP, Encapsulating Security Payload). ESP proporciona privacidad a los datos mediante el cifrado de los paquetes IP. Claves basadas en criptografía. Las claves cifradas, que se comparten entre los sistemas que se comunican, crean una suma de comprobación digital para cada paquete IP. Cualquier modificación del paquete altera la suma de comprobación, mostrando al destinatario que el paquete ha sido cambiado en su tránsito. Se utiliza material de claves diferente para cada segmento del esquema de protección global y se puede generar nuevo material de claves con la frecuencia especificada en la directiva de IPSec. Administración automática de claves. Las claves largas y el cambio dinámico de claves durante las comunicaciones ya establecidas protegen contra los ataques. IPSec usa el protocolo Asociación de seguridad en Internet y administración de claves (ISAKMP, Internet Security Association and Key Management Protocol) para intercambiar y administrar dinámicamente claves cifradas entre los equipos que se comunican. Seguridad a nivel de red. IPSec existe en el nivel de red, proporcionando seguridad automática a todas las aplicaciones. Autenticación mutua. IPSec permite el intercambio y la comprobación de identidades sin exponer la información a la interpretación de un atacante. La comprobación mutua (autenticación) se utiliza para establecer la confianza entre los sistemas que se comunican. Sólo los sistemas de confianza se pueden comunicar entre sí. Los usuarios no tienen que estar en el mismo dominio para comunicar con la protección de IPSec. Pueden estar en cualquier dominio de confianza de la empresa. La comunicación se cifra, lo que dificulta la identificación e interpretación de la información. Filtrado de paquetes IP. Este proceso de filtrado habilita, permite o bloquea las comunicaciones según sea necesario mediante la especificación de intervalos de direcciones, protocolos o, incluso, puertos de protocolo específicos.
Sumario Los protocolos de IPsec protocolos de seguridad para Internet de uso extendido, transporte (capas OSI 4 a 7) hacia arriba. Esto hace que IPsec sea más flexible, ya que puede ser utilizado para proteger protocolos de la capa 4, incluyendo transporte más usados. Una ventaja importante de IPsec frente a SSL y otros métodos que operan en capas superiores, es que para que una aplicación pueda usar IPsec no hay que hacer ningún cambio, mientras que para usar tienen que modificar su código. IPsec actúan en la capa de red, la capa 3 del protocolos de seguridad para Internet de uso extendido, como SSL, TLS y SSH apas OSI 4 a 7) hacia arriba. Esto hace que IPsec sea más flexible, ya que puede ser utilizado para proteger protocolos de la capa 4, incluyendo TCP y UDP, los protocolos de capa de transporte más usados. Una ventaja importante de IPsec frente a SSL y otros métodos que operan en capas superiores, es que para que una aplicación pueda usar IPsec no hay que hacer ningún cambio, mientras que para usar SSL y otros protocolos de niveles superiores, las aplicaciones tienen que modificar su código. 6 actúan en la capa de red, la capa 3 del modelo OSI. Otros SSH operan de la capa de apas OSI 4 a 7) hacia arriba. Esto hace que IPsec sea más flexible, ya que puede ser , los protocolos de capa de transporte más usados. Una ventaja importante de IPsec frente a SSL y otros métodos que operan en capas superiores, es que para que una aplicación pueda usar IPsec no hay que hacer ningún SSL y otros protocolos de niveles superiores, las aplicaciones
7 Arquitectura de seguridad IPsec está implementado por un conjunto de protocolos criptográficos para: Asegurar el flujo de paquetes Garantizar la autenticación mutua Establecer parámetros criptográficos. La arquitectura de seguridad IP utiliza el concepto de asociación de seguridad (SA) como base para construir funciones de seguridad en IP. Una asociación de seguridad es simplemente el paquete de algoritmos y parámetros (tales como las claves) que se está usando para cifrar y autenticar un flujo particular en una dirección. Por lo tanto, en el tráfico normal bidireccional, los flujos son asegurados por un par de asociaciones de seguridad. La decisión final de los algoritmos de cifrado y autenticación (de una lista definida) le corresponde al administrador de IPsec. Para decidir qué protección se va a proporcionar a un paquete saliente, IPsec utiliza el índice de parámetro de seguridad (SPI), un índice a la base de datos de asociaciones de seguridad (SADB), junto con la dirección de destino de la cabecera del paquete, que juntos identifican de forma única una asociación de seguridad para dicho paquete. Para un paquete entrante se realiza un procedimiento similar; en este caso IPsec toma las claves de verificación y descifrado de la base de datos de asociaciones de seguridad.
8 Propósito de diseño IPsec fue proyectado para proporcionar seguridad en modo transporte (extremo a extremo) del tráfico de paquetes, en el que los ordenadores de los extremos finales realizan el procesado de seguridad, o en modo túnel (puerta a puerta) en el que la seguridad del tráfico de paquetes es proporcionada a varias máquinas (incluso a toda la red de área local) por un único nodo. IPsec puede utilizarse para crear VPNs en los dos modos, y este es su uso principal. Hay que tener en cuenta, sin embargo, que las implicaciones de seguridad son bastante diferentes entre los dos modos de operación. La seguridad de comunicaciones extremo a extremo a escala Internet se ha desarrollado más lentamente de lo esperado. Parte de la razón a esto es que no ha surgido infraestructura de clave pública universal o universalmente de confianza (DNSSEC fue originalmente previsto para esto); otra parte es que muchos usuarios no comprenden lo suficientemente bien ni sus necesidades ni las opciones disponibles como para promover su inclusión en los productos de los vendedores. Como el Protocolo de Internet no provee intrínsecamente de ninguna capacidad de seguridad, IPsec se introdujo para proporcionar servicios de seguridad tales como: • Cifrar el tráfico (de forma que no pueda ser leído por nadie más que las partes a las que está dirigido) • Validación de integridad (asegurar que el tráfico no ha sido modificado a lo largo de su trayecto) • Autenticar a los extremos (asegurar que el tráfico proviene de un extremo de confianza) • Anti-repetición (proteger contra la repetición de la sesión segura). Modos Así pues y dependiendo del nivel sobre el que se actúe, podemos establecer dos modos básicos de operación de IPsec: modo transporte y modo túnel.
9 Modo transporte En modo transporte, sólo la carga útil (los datos que se transfieren) del paquete IP es cifrada o autenticada. El enrutamiento permanece intacto, ya que no se modifica ni se cifra la cabecera IP; sin embargo, cuando se utiliza la cabecera de autenticación (AH), las direcciones IP no pueden ser traducidas, ya que eso invalidaría el hash. Las capas de transporte y aplicación están siempre aseguradas por un hash, de forma que no pueden ser modificadas de ninguna manera (por ejemplo traduciendo los números de puerto TCP y UDP). El modo transporte se utiliza para comunicaciones ordenador a ordenador. Modo túnel En el modo túnel, todo el paquete IP (datos más cabeceras del mensaje) es cifrado o autenticado. Debe ser entonces encapsulado en un nuevo paquete IP para que funcione el enrutamiento. El modo túnel se utiliza para comunicaciones red a red (túneles seguros entre routers, p.e. para VPNs) o comunicaciones ordenador a red u ordenador a ordenador sobre Internet. IPsec: modos túnel y transporte Para proteger la integridad de los datagramas IP, los protocolos IPsec emplean códigos de autenticación de mensaje basados en resúmenes (HMAC - Hash Message Authentication Codes). Para el cálculo de estos HMAC los protocolos HMAC emplean algoritmos de resumen como MD5 y SHA para calcular un resumen basado en una clave secreta y en los contenidos del datagrama IP. El HMAC se incluye en la cabecera del protocolo IPsec y el receptor del paquete puede comprobar el HMAC si tiene acceso a la clave secreta. Para que los participantes de una comunicación puedan encapsular y desencapsular los paquetes IPsec, se necesitan mecanismos para almacenar las claves secretas, algoritmos y direcciones IP involucradas en la comunicación.
10 Todos estos parámetros se almacenan en asociaciones de seguridad (SA - Security Associations). Las asociaciones de seguridad, a su vez, se almacenan en bases de datos de asociaciones de seguridad (SAD - Security Asocciation Databases). En una asociación de seguridad se definen las direcciones IP de origen y destino de la comunicación. Por ello, mediante una única SA sólo se puede proteger un sentido del tráfico en una comunicación IPsec full dúplex. Para proteger ambos sentidos de la comunicación, IPsec necesita de dos asociaciones de seguridad unidireccionales. Los protocolos IPsec La familia de protocolos IPsec está formada por dos protocolos: el AH (Authentication Header - Cabecera de autenticación) y el ESP (Encapsulated Security Payload - Carga de seguridad encapsulada). Ambos son protocolos IP independientes. AH es el protocolo IP 51 y ESP el protocolo IP 50 (ver /etc/protocols). Las siguientes secciones tratarán brevemente sobre sus propiedades:
AH - Cabecera de autenticación El protocolo AH protege la integridad del datagrama IP. Para conseguirlo, el protocolo AH calcula una HMAC basada en la clave secreta, el contenido del paquete y las partes inmutables de la cabecera IP (como son las direcciones IP). Tras esto, añade la cab La cabecera AH protege La cabecera AH mide 24 bytes. El primer byte es el campo especifica el protocolo de la siguiente cabecera. En modo túnel se encapsula un datagrama IP completo, por lo que el valor de este campo es 4. Al encapsular un datagrama TCP en modo transporte, el valor correspondiente es 6. El siguiente byte especifica la longitud del contenido del paquete. Este campo está seguido de dos bytes reservados. Los sigui en Índice de Parámetro de Seguridad emplear para el desencapsulado del paquete. El ataques por repetición. Finalmente, los ú autenticación de mensaje (HMAC). Este HMAC protege la integridad de los paquetes ya que sólo los miembros de la comunicación que conozcan la clave secreta pueden crear y comprobar HMACs. Como el protocolo AH protege la cabecera IP incluyendo las cabecera IP como las direcciones IP, el protocolo AH no permite NAT. NAT (Network address translation - Traducción de direcciones de red, también conocido como Enmascaramien direcciones) reemplaza una dirección IP de la cabecera IP (normalmente la IP de origen) por una dirección IP diferente. Tras el intercambio, la HMAC ya no es válida. La extensión a IPsec NAT transversal implementa métodos que evitan esta restricción. Cabecera de autenticación El protocolo AH protege la integridad del datagrama IP. Para conseguirlo, el protocolo AH calcula una HMAC basada en la clave secreta, el contenido del paquete y las partes inmutables de la cabecera IP (como son las direcciones IP). Tras esto, añade la cabecera AH al paquete. protege la integridad del paquete La cabecera AH mide 24 bytes. El primer byte es el campo Siguiente cabecera especifica el protocolo de la siguiente cabecera. En modo túnel se encapsula un datagrama IP mpleto, por lo que el valor de este campo es 4. Al encapsular un datagrama TCP en modo transporte, el valor correspondiente es 6. El siguiente byte especifica la longitud del contenido del paquete. Este campo está seguido de dos bytes reservados. Los siguientes 4 bytes especifican Índice de Parámetro de Seguridad (SPI). El SPI especifica la asociación de seguridad (SA) a emplear para el desencapsulado del paquete. El Número de Secuencia de 32 bit protege frente a . Finalmente, los últimos 96 bit almacenan el código de resumen para la (HMAC). Este HMAC protege la integridad de los paquetes ya que sólo los miembros de la comunicación que conozcan la clave secreta pueden crear y comprobar Como el protocolo AH protege la cabecera IP incluyendo las partes cabecera IP como las direcciones IP, el protocolo AH no permite NAT. NAT (Network address Traducción de direcciones de red, también conocido como Enmascaramien direcciones) reemplaza una dirección IP de la cabecera IP (normalmente la IP de origen) por una dirección IP diferente. Tras el intercambio, la HMAC ya no es válida. La extensión a IPsec NAT transversal implementa métodos que evitan esta restricción. 11 El protocolo AH protege la integridad del datagrama IP. Para conseguirlo, el protocolo AH calcula una HMAC basada en la clave secreta, el contenido del paquete y las partes inmutables de ecera AH al paquete. Siguiente cabecera. Este campo especifica el protocolo de la siguiente cabecera. En modo túnel se encapsula un datagrama IP mpleto, por lo que el valor de este campo es 4. Al encapsular un datagrama TCP en modo transporte, el valor correspondiente es 6. El siguiente byte especifica la longitud del contenido del entes 4 bytes especifican (SPI). El SPI especifica la asociación de seguridad (SA) a de 32 bit protege frente a código de resumen para la (HMAC). Este HMAC protege la integridad de los paquetes ya que sólo los miembros de la comunicación que conozcan la clave secreta pueden crear y comprobar partes inmutables de la cabecera IP como las direcciones IP, el protocolo AH no permite NAT. NAT (Network address Traducción de direcciones de red, también conocido como Enmascaramiento de direcciones) reemplaza una dirección IP de la cabecera IP (normalmente la IP de origen) por una dirección IP diferente. Tras el intercambio, la HMAC ya no es válida. La extensión a IPsec NAT-
ESP - Carga de Seguridad Encapsulada El protocolo ESP puede asegurar la integridad del paquete empleando una HMAC y la confidencialidad empleando cifrado. La cabecera ESP se genera y añade al paquete tras cifrarlo y calcular su HMAC. La cabecera ESP La cabecera ESP Los primeros 32 bits de la cabecera ESP especifican el Seguridad (SPI). Este SPI especifica qué SA emplear para desencapsular el paquete ESP. Los siguientes 32 bits almacenan el protegerse de ataques por repetición de mensajes. Los siguientes 32 bits especifican el Inicialización (IV - Initialization Vector) que se emplea para el proceso de cifrado. Los algoritmos de cifrado simétrico pueden ser vulnerables a ataques por análisis de frecuencias si no se emplean IVs. El IV asegura que dos cargas idénticas generan dos cargas cifradas diferentes. IPsec emplea cifradores de bloque para el proceso de cifrado. Por ello, puede ser necesario rellenar la carga del paquete si la longitud de la carga no es un múltiplo de la longitud del paquete. En ese caso se añade la longitud del relleno (pad length). Tras la longitud del relleno se coloca el campo de 2 bytes se añaden los 96 bit de HMAC para asegurar la integridad del paquete. Esta HMAC sólo tiene en cuenta la carga del paquete: la cabecera IP no se incluye dentro de su proceso de cálculo. Carga de Seguridad Encapsulada El protocolo ESP puede asegurar la integridad del paquete empleando una HMAC y la confidencialidad empleando cifrado. La cabecera ESP se genera y añade al paquete tras cifrarlo y calcular su HMAC. La cabecera ESP consta de dos partes. Los primeros 32 bits de la cabecera ESP especifican el Índice de Parámetros de (SPI). Este SPI especifica qué SA emplear para desencapsular el paquete ESP. Los siguientes 32 bits almacenan el Número de Secuencia. Este número de secuencia se emplea para protegerse de ataques por repetición de mensajes. Los siguientes 32 bits especifican el Initialization Vector) que se emplea para el proceso de cifrado. Los algoritmos de simétrico pueden ser vulnerables a ataques por análisis de frecuencias si no se emplean IVs. El IV asegura que dos cargas idénticas generan dos cargas cifradas diferentes. IPsec emplea cifradores de bloque para el proceso de cifrado. Por ello, puede ser ecesario rellenar la carga del paquete si la longitud de la carga no es un múltiplo de la longitud del paquete. En ese caso se añade la longitud del relleno (pad length). Tras la longitud del relleno se coloca el campo de 2 bytes Siguiente cabecera que especifica la siguiente cabecera. Por último, se añaden los 96 bit de HMAC para asegurar la integridad del paquete. Esta HMAC sólo tiene en cuenta la carga del paquete: la cabecera IP no se incluye dentro de su proceso de cálculo. 12 El protocolo ESP puede asegurar la integridad del paquete empleando una HMAC y la confidencialidad empleando cifrado. La cabecera ESP se genera y añade al paquete tras cifrarlo y Índice de Parámetros de (SPI). Este SPI especifica qué SA emplear para desencapsular el paquete ESP. Los . Este número de secuencia se emplea para protegerse de ataques por repetición de mensajes. Los siguientes 32 bits especifican el Vector de Initialization Vector) que se emplea para el proceso de cifrado. Los algoritmos de simétrico pueden ser vulnerables a ataques por análisis de frecuencias si no se emplean IVs. El IV asegura que dos cargas idénticas generan dos cargas cifradas diferentes. IPsec emplea cifradores de bloque para el proceso de cifrado. Por ello, puede ser ecesario rellenar la carga del paquete si la longitud de la carga no es un múltiplo de la longitud del paquete. En ese caso se añade la longitud del relleno (pad length). Tras la longitud del relleno ecifica la siguiente cabecera. Por último, se añaden los 96 bit de HMAC para asegurar la integridad del paquete. Esta HMAC sólo tiene en cuenta la carga del paquete: la cabecera IP no se incluye dentro de su proceso de cálculo.
13

Recomendados

Monografía IPSec, IPv6
Monografía IPSec, IPv6Monografía IPSec, IPv6
Monografía IPSec, IPv6José López Pérez
 
Ipsec
IpsecIpsec
Ipsecpotrita
 
Preguntas de Repaso Capitulo 5: Stallings William: Fundamentos de seguridad e...
Preguntas de Repaso Capitulo 5: Stallings William: Fundamentos de seguridad e...Preguntas de Repaso Capitulo 5: Stallings William: Fundamentos de seguridad e...
Preguntas de Repaso Capitulo 5: Stallings William: Fundamentos de seguridad e...Ángel Leonardo Torres
 
Preguntas de Repaso Capitulo 6: Stallings William: Fundamentos de seguridad e...
Preguntas de Repaso Capitulo 6: Stallings William: Fundamentos de seguridad e...Preguntas de Repaso Capitulo 6: Stallings William: Fundamentos de seguridad e...
Preguntas de Repaso Capitulo 6: Stallings William: Fundamentos de seguridad e...Ángel Leonardo Torres
 
Preguntas de Repaso Capitulo 7: Stallings William: Fundamentos de seguridad e...
Preguntas de Repaso Capitulo 7: Stallings William: Fundamentos de seguridad e...Preguntas de Repaso Capitulo 7: Stallings William: Fundamentos de seguridad e...
Preguntas de Repaso Capitulo 7: Stallings William: Fundamentos de seguridad e...Ángel Leonardo Torres
 
Protocolos de cifrado
Protocolos de cifradoProtocolos de cifrado
Protocolos de cifradoSabrinaLopez96
 
236832732-dialnet-implementacion delaseguridaddelprotocolodeinternetv-4183248
236832732-dialnet-implementacion delaseguridaddelprotocolodeinternetv-4183248 236832732-dialnet-implementacion delaseguridaddelprotocolodeinternetv-4183248
236832732-dialnet-implementacion delaseguridaddelprotocolodeinternetv-4183248xavazquez
 
Ip sec exposicion
Ip sec exposicionIp sec exposicion
Ip sec exposicionmaurprem
 

Recomendados

Monografía IPSec, IPv6
Monografía IPSec, IPv6Monografía IPSec, IPv6
Monografía IPSec, IPv6José López Pérez
 
Ipsec
IpsecIpsec
Ipsecpotrita
 
Preguntas de Repaso Capitulo 5: Stallings William: Fundamentos de seguridad e...
Preguntas de Repaso Capitulo 5: Stallings William: Fundamentos de seguridad e...Preguntas de Repaso Capitulo 5: Stallings William: Fundamentos de seguridad e...
Preguntas de Repaso Capitulo 5: Stallings William: Fundamentos de seguridad e...Ángel Leonardo Torres
 
Preguntas de Repaso Capitulo 6: Stallings William: Fundamentos de seguridad e...
Preguntas de Repaso Capitulo 6: Stallings William: Fundamentos de seguridad e...Preguntas de Repaso Capitulo 6: Stallings William: Fundamentos de seguridad e...
Preguntas de Repaso Capitulo 6: Stallings William: Fundamentos de seguridad e...Ángel Leonardo Torres
 
Preguntas de Repaso Capitulo 7: Stallings William: Fundamentos de seguridad e...
Preguntas de Repaso Capitulo 7: Stallings William: Fundamentos de seguridad e...Preguntas de Repaso Capitulo 7: Stallings William: Fundamentos de seguridad e...
Preguntas de Repaso Capitulo 7: Stallings William: Fundamentos de seguridad e...Ángel Leonardo Torres
 
Protocolos de cifrado
Protocolos de cifradoProtocolos de cifrado
Protocolos de cifradoSabrinaLopez96
 
236832732-dialnet-implementacion delaseguridaddelprotocolodeinternetv-4183248
236832732-dialnet-implementacion delaseguridaddelprotocolodeinternetv-4183248 236832732-dialnet-implementacion delaseguridaddelprotocolodeinternetv-4183248
236832732-dialnet-implementacion delaseguridaddelprotocolodeinternetv-4183248xavazquez
 
Ip sec exposicion
Ip sec exposicionIp sec exposicion
Ip sec exposicionmaurprem
 
I psec y certificados
I psec y certificadosI psec y certificados
I psec y certificadoscesartg65
 
Protocolos De Seguridad En Redes
Protocolos De Seguridad En RedesProtocolos De Seguridad En Redes
Protocolos De Seguridad En RedesMISION BOGOTA
 
Protocolos De Seguridad
Protocolos De SeguridadProtocolos De Seguridad
Protocolos De SeguridadMISION BOGOTA
 
2014-2 Tema 2. Sniffer y Monitores
2014-2 Tema 2. Sniffer y Monitores2014-2 Tema 2. Sniffer y Monitores
2014-2 Tema 2. Sniffer y MonitoresFrancisco Medina
 
Protocolos de cifrado
Protocolos de cifradoProtocolos de cifrado
Protocolos de cifradoa20889
 
Cortafuegos o firewall
Cortafuegos o firewallCortafuegos o firewall
Cortafuegos o firewallJorge Martínez Cerón
 
M5 Securización de Redes
M5 Securización de RedesM5 Securización de Redes
M5 Securización de Redesjaviblan
 
Cifrado
CifradoCifrado
Cifrado21871
 
Redeswifi i
Redeswifi iRedeswifi i
Redeswifi iJordi Martin
 
Implicaciones de seguridad en la implantación de i pv6
Implicaciones de seguridad en la implantación de i pv6 Implicaciones de seguridad en la implantación de i pv6
Implicaciones de seguridad en la implantación de i pv6 Rommel Macas
 
Tema 3. Firewalls y Proxies con OpenBSD Y GNU/Linux
Tema 3. Firewalls y Proxies con OpenBSD Y GNU/LinuxTema 3. Firewalls y Proxies con OpenBSD Y GNU/Linux
Tema 3. Firewalls y Proxies con OpenBSD Y GNU/LinuxFrancisco Medina
 
Analizando la efectividad de ataques de correlación pasivos en la red de ano...
Analizando la efectividad de ataques de correlación pasivos en la red de ano...Analizando la efectividad de ataques de correlación pasivos en la red de ano...
Analizando la efectividad de ataques de correlación pasivos en la red de ano...Chema Alonso
 
Seguridad en redes
Seguridad en redesSeguridad en redes
Seguridad en redesgeminis02
 
Trabajo De Computacion
Trabajo De ComputacionTrabajo De Computacion
Trabajo De ComputacionJUAN JOSE
 
Controles de acceso iniciales
Controles de acceso inicialesControles de acceso iniciales
Controles de acceso inicialesDavid Narváez
 
Cifrado de información joaquín de león nuris del cid_edilberto de gracia
Cifrado de información joaquín de león nuris del cid_edilberto de graciaCifrado de información joaquín de león nuris del cid_edilberto de gracia
Cifrado de información joaquín de león nuris del cid_edilberto de graciaUniversidad Tecnológica
 
Seg wifi pre
Seg wifi preSeg wifi pre
Seg wifi preenroh1
 
Ip sec y certificados
Ip sec y certificadosIp sec y certificados
Ip sec y certificadosLuis Mario Pastrana Torres
 
RED WAN
RED WANRED WAN
RED WANKarelys Martinez
 
Activitats realitzades
Activitats realitzadesActivitats realitzades
Activitats realitzadesainanoguextec
 
IPsec y Certificaciones
IPsec y CertificacionesIPsec y Certificaciones
IPsec y CertificacionesLarry Ruiz Barcayola
 
M3 Paquetes, Segmentos y Datagramas
M3 Paquetes, Segmentos y DatagramasM3 Paquetes, Segmentos y Datagramas
M3 Paquetes, Segmentos y Datagramasjaviblan
 

Más contenido relacionado

La actualidad más candente

I psec y certificados
I psec y certificadosI psec y certificados
I psec y certificadoscesartg65
 
Protocolos De Seguridad En Redes
Protocolos De Seguridad En RedesProtocolos De Seguridad En Redes
Protocolos De Seguridad En RedesMISION BOGOTA
 
Protocolos De Seguridad
Protocolos De SeguridadProtocolos De Seguridad
Protocolos De SeguridadMISION BOGOTA
 
2014-2 Tema 2. Sniffer y Monitores
2014-2 Tema 2. Sniffer y Monitores2014-2 Tema 2. Sniffer y Monitores
2014-2 Tema 2. Sniffer y MonitoresFrancisco Medina
 
Protocolos de cifrado
Protocolos de cifradoProtocolos de cifrado
Protocolos de cifradoa20889
 
M5 Securización de Redes
M5 Securización de RedesM5 Securización de Redes
M5 Securización de Redesjaviblan
 
Cifrado
CifradoCifrado
Cifrado21871
 
Implicaciones de seguridad en la implantación de i pv6
Implicaciones de seguridad en la implantación de i pv6 Implicaciones de seguridad en la implantación de i pv6
Implicaciones de seguridad en la implantación de i pv6 Rommel Macas
 
Tema 3. Firewalls y Proxies con OpenBSD Y GNU/Linux
Tema 3. Firewalls y Proxies con OpenBSD Y GNU/LinuxTema 3. Firewalls y Proxies con OpenBSD Y GNU/Linux
Tema 3. Firewalls y Proxies con OpenBSD Y GNU/LinuxFrancisco Medina
 
Analizando la efectividad de ataques de correlación pasivos en la red de ano...
Analizando la efectividad de ataques de correlación pasivos en la red de ano...Analizando la efectividad de ataques de correlación pasivos en la red de ano...
Analizando la efectividad de ataques de correlación pasivos en la red de ano...Chema Alonso
 
Seguridad en redes
Seguridad en redesSeguridad en redes
Seguridad en redesgeminis02
 
Trabajo De Computacion
Trabajo De ComputacionTrabajo De Computacion
Trabajo De ComputacionJUAN JOSE
 
Controles de acceso iniciales
Controles de acceso inicialesControles de acceso iniciales
Controles de acceso inicialesDavid Narváez
 
Cifrado de información joaquín de león nuris del cid_edilberto de gracia
Cifrado de información joaquín de león nuris del cid_edilberto de graciaCifrado de información joaquín de león nuris del cid_edilberto de gracia
Cifrado de información joaquín de león nuris del cid_edilberto de graciaUniversidad Tecnológica
 
Seg wifi pre
Seg wifi preSeg wifi pre
Seg wifi preenroh1
 

La actualidad más candente (17)

I psec y certificados
I psec y certificadosI psec y certificados
I psec y certificados
 
Protocolos De Seguridad En Redes
Protocolos De Seguridad En RedesProtocolos De Seguridad En Redes
Protocolos De Seguridad En Redes
 
Protocolos De Seguridad
Protocolos De SeguridadProtocolos De Seguridad
Protocolos De Seguridad
 
2014-2 Tema 2. Sniffer y Monitores
2014-2 Tema 2. Sniffer y Monitores2014-2 Tema 2. Sniffer y Monitores
2014-2 Tema 2. Sniffer y Monitores
 
Protocolos de cifrado
Protocolos de cifradoProtocolos de cifrado
Protocolos de cifrado
 
Cortafuegos o firewall
Cortafuegos o firewallCortafuegos o firewall
Cortafuegos o firewall
 
M5 Securización de Redes
M5 Securización de RedesM5 Securización de Redes
M5 Securización de Redes
 
Cifrado
CifradoCifrado
Cifrado
 
Redeswifi i
Redeswifi iRedeswifi i
Redeswifi i
 
Implicaciones de seguridad en la implantación de i pv6
Implicaciones de seguridad en la implantación de i pv6 Implicaciones de seguridad en la implantación de i pv6
Implicaciones de seguridad en la implantación de i pv6
 
Tema 3. Firewalls y Proxies con OpenBSD Y GNU/Linux
Tema 3. Firewalls y Proxies con OpenBSD Y GNU/LinuxTema 3. Firewalls y Proxies con OpenBSD Y GNU/Linux
Tema 3. Firewalls y Proxies con OpenBSD Y GNU/Linux
 
Analizando la efectividad de ataques de correlación pasivos en la red de ano...
Analizando la efectividad de ataques de correlación pasivos en la red de ano...Analizando la efectividad de ataques de correlación pasivos en la red de ano...
Analizando la efectividad de ataques de correlación pasivos en la red de ano...
 
Seguridad en redes
Seguridad en redesSeguridad en redes
Seguridad en redes
 
Trabajo De Computacion
Trabajo De ComputacionTrabajo De Computacion
Trabajo De Computacion
 
Controles de acceso iniciales
Controles de acceso inicialesControles de acceso iniciales
Controles de acceso iniciales
 
Cifrado de información joaquín de león nuris del cid_edilberto de gracia
Cifrado de información joaquín de león nuris del cid_edilberto de graciaCifrado de información joaquín de león nuris del cid_edilberto de gracia
Cifrado de información joaquín de león nuris del cid_edilberto de gracia
 
Seg wifi pre
Seg wifi preSeg wifi pre
Seg wifi pre
 

Destacado

Activitats realitzades
Activitats realitzadesActivitats realitzades
Activitats realitzadesainanoguextec
 
M3 Paquetes, Segmentos y Datagramas
M3 Paquetes, Segmentos y DatagramasM3 Paquetes, Segmentos y Datagramas
M3 Paquetes, Segmentos y Datagramasjaviblan
 
Cisco Cap.2, Mod.1 Exploration
Cisco Cap.2, Mod.1 ExplorationCisco Cap.2, Mod.1 Exploration
Cisco Cap.2, Mod.1 Explorationccna4cisco
 
Capitulo 2 enrutamiento estatico
Capitulo 2 enrutamiento estaticoCapitulo 2 enrutamiento estatico
Capitulo 2 enrutamiento estaticomalienlaf
 
Configurando VPN IPSec FortiClient - FortiGate 100D
Configurando VPN IPSec FortiClient - FortiGate 100DConfigurando VPN IPSec FortiClient - FortiGate 100D
Configurando VPN IPSec FortiClient - FortiGate 100DRaGaZoMe
 
Modelos TCP/IP y OSI
Modelos TCP/IP y OSIModelos TCP/IP y OSI
Modelos TCP/IP y OSIjaviblan
 
Despliegue de vo ip en entornos corporativos con tecnología cisco
Despliegue de vo ip en entornos corporativos con tecnología ciscoDespliegue de vo ip en entornos corporativos con tecnología cisco
Despliegue de vo ip en entornos corporativos con tecnología ciscoFrancisco Javier Novoa de Manuel
 
REDES INFORMÁTICAS: 4º ESO
REDES INFORMÁTICAS: 4º ESOREDES INFORMÁTICAS: 4º ESO
REDES INFORMÁTICAS: 4º ESOtecnomarisa
 
Implementación de NAT/PAT en routers Cisco
Implementación de NAT/PAT en routers CiscoImplementación de NAT/PAT en routers Cisco
Implementación de NAT/PAT en routers CiscoPaulo Colomés
 
Comandos de configuracion de dispositivos cisco
Comandos de configuracion de dispositivos ciscoComandos de configuracion de dispositivos cisco
Comandos de configuracion de dispositivos ciscoCISCO NETWORKING
 
Capitulo 1 introduccion al enrutamiento
Capitulo 1 introduccion al enrutamientoCapitulo 1 introduccion al enrutamiento
Capitulo 1 introduccion al enrutamientoTeleredUSM
 
Capitulo 3 enrutamiento dinamico
Capitulo 3 enrutamiento dinamicoCapitulo 3 enrutamiento dinamico
Capitulo 3 enrutamiento dinamicoTeleredUSM
 

Destacado (20)

Ip sec y certificados
Ip sec y certificadosIp sec y certificados
Ip sec y certificados
 
RED WAN
RED WANRED WAN
RED WAN
 
Activitats realitzades
Activitats realitzadesActivitats realitzades
Activitats realitzades
 
IPsec y Certificaciones
IPsec y CertificacionesIPsec y Certificaciones
IPsec y Certificaciones
 
M3 Paquetes, Segmentos y Datagramas
M3 Paquetes, Segmentos y DatagramasM3 Paquetes, Segmentos y Datagramas
M3 Paquetes, Segmentos y Datagramas
 
Cisco Cap.2, Mod.1 Exploration
Cisco Cap.2, Mod.1 ExplorationCisco Cap.2, Mod.1 Exploration
Cisco Cap.2, Mod.1 Exploration
 
Capitulo 2 enrutamiento estatico
Capitulo 2 enrutamiento estaticoCapitulo 2 enrutamiento estatico
Capitulo 2 enrutamiento estatico
 
Configurando VPN IPSec FortiClient - FortiGate 100D
Configurando VPN IPSec FortiClient - FortiGate 100DConfigurando VPN IPSec FortiClient - FortiGate 100D
Configurando VPN IPSec FortiClient - FortiGate 100D
 
IPSec VPNs
IPSec VPNsIPSec VPNs
IPSec VPNs
 
Modelos TCP/IP y OSI
Modelos TCP/IP y OSIModelos TCP/IP y OSI
Modelos TCP/IP y OSI
 
Despliegue de vo ip en entornos corporativos con tecnología cisco
Despliegue de vo ip en entornos corporativos con tecnología ciscoDespliegue de vo ip en entornos corporativos con tecnología cisco
Despliegue de vo ip en entornos corporativos con tecnología cisco
 
QoS en Redes Corporativas
QoS en Redes CorporativasQoS en Redes Corporativas
QoS en Redes Corporativas
 
REDES INFORMÁTICAS: 4º ESO
REDES INFORMÁTICAS: 4º ESOREDES INFORMÁTICAS: 4º ESO
REDES INFORMÁTICAS: 4º ESO
 
CCNA Routing & Switching. Novedades en Tecnologías LAN
CCNA Routing & Switching. Novedades en Tecnologías LANCCNA Routing & Switching. Novedades en Tecnologías LAN
CCNA Routing & Switching. Novedades en Tecnologías LAN
 
Implementación de NAT/PAT en routers Cisco
Implementación de NAT/PAT en routers CiscoImplementación de NAT/PAT en routers Cisco
Implementación de NAT/PAT en routers Cisco
 
Fundamentos de VoIP con Tecnología Cisco
Fundamentos de VoIP con Tecnología CiscoFundamentos de VoIP con Tecnología Cisco
Fundamentos de VoIP con Tecnología Cisco
 
DIRECCIONAMIENTO IP BASICO I
DIRECCIONAMIENTO IP BASICO IDIRECCIONAMIENTO IP BASICO I
DIRECCIONAMIENTO IP BASICO I
 
Comandos de configuracion de dispositivos cisco
Comandos de configuracion de dispositivos ciscoComandos de configuracion de dispositivos cisco
Comandos de configuracion de dispositivos cisco
 
Capitulo 1 introduccion al enrutamiento
Capitulo 1 introduccion al enrutamientoCapitulo 1 introduccion al enrutamiento
Capitulo 1 introduccion al enrutamiento
 
Capitulo 3 enrutamiento dinamico
Capitulo 3 enrutamiento dinamicoCapitulo 3 enrutamiento dinamico
Capitulo 3 enrutamiento dinamico
 

Similar a 5_unidad_v_ip_sec

Trabajo isakmp i psec
Trabajo isakmp i psecTrabajo isakmp i psec
Trabajo isakmp i psecJairo Rosas
 
Ipsec Y Certificados Digitales En Windows 2003 Server
Ipsec Y Certificados Digitales En Windows 2003 ServerIpsec Y Certificados Digitales En Windows 2003 Server
Ipsec Y Certificados Digitales En Windows 2003 Serveryecy cuno
 
Ipsec Y Certificados Digitales En Windows 2003 Server
Ipsec Y Certificados Digitales En Windows 2003 ServerIpsec Y Certificados Digitales En Windows 2003 Server
Ipsec Y Certificados Digitales En Windows 2003 Serveryecy cuno
 
Ipsec Y Certificados Digitales En Windows 2003 Server
Ipsec Y Certificados Digitales En Windows 2003 ServerIpsec Y Certificados Digitales En Windows 2003 Server
Ipsec Y Certificados Digitales En Windows 2003 Serveryecy cuno
 
Actividad 5 administracion de redes
Actividad 5 administracion de redesActividad 5 administracion de redes
Actividad 5 administracion de redesJESSIKADG86
 
Presentacion Protocolos
Presentacion ProtocolosPresentacion Protocolos
Presentacion Protocolosastrologia
 
Protocolo De Seguridad Y De Red
Protocolo De Seguridad Y De RedProtocolo De Seguridad Y De Red
Protocolo De Seguridad Y De Redguest3fa6c7
 
IPSec y Certificados Digitales en Windows 2003 Server (Definición y caracterí...
IPSec y Certificados Digitales en Windows 2003 Server (Definición y caracterí...IPSec y Certificados Digitales en Windows 2003 Server (Definición y caracterí...
IPSec y Certificados Digitales en Windows 2003 Server (Definición y caracterí...yanora
 
IPsec y Certificaciones
IPsec y CertificacionesIPsec y Certificaciones
IPsec y CertificacionesElvis Raza
 
Protocolos de cifrado
Protocolos de cifradoProtocolos de cifrado
Protocolos de cifradoBelenDiazTena
 

Similar a 5_unidad_v_ip_sec (20)

Ipsec
IpsecIpsec
Ipsec
 
I psec
I psecI psec
I psec
 
Ipsec
IpsecIpsec
Ipsec
 
IPv6 Modulo2
IPv6 Modulo2IPv6 Modulo2
IPv6 Modulo2
 
I psec
I psecI psec
I psec
 
Isakmp
IsakmpIsakmp
Isakmp
 
Trabajo isakmp i psec
Trabajo isakmp i psecTrabajo isakmp i psec
Trabajo isakmp i psec
 
Ipsec Y Certificados Digitales En Windows 2003 Server
Ipsec Y Certificados Digitales En Windows 2003 ServerIpsec Y Certificados Digitales En Windows 2003 Server
Ipsec Y Certificados Digitales En Windows 2003 Server
 
Ipsec Y Certificados Digitales En Windows 2003 Server
Ipsec Y Certificados Digitales En Windows 2003 ServerIpsec Y Certificados Digitales En Windows 2003 Server
Ipsec Y Certificados Digitales En Windows 2003 Server
 
Ipsec Y Certificados Digitales En Windows 2003 Server
Ipsec Y Certificados Digitales En Windows 2003 ServerIpsec Y Certificados Digitales En Windows 2003 Server
Ipsec Y Certificados Digitales En Windows 2003 Server
 
Actividad 5 administracion de redes
Actividad 5 administracion de redesActividad 5 administracion de redes
Actividad 5 administracion de redes
 
Presentacion Protocolos
Presentacion ProtocolosPresentacion Protocolos
Presentacion Protocolos
 
Protocolo De Seguridad Y De Red
Protocolo De Seguridad Y De RedProtocolo De Seguridad Y De Red
Protocolo De Seguridad Y De Red
 
Ipsec Protocolo
Ipsec ProtocoloIpsec Protocolo
Ipsec Protocolo
 
IPSec y Certificados Digitales en Windows 2003 Server (Definición y caracterí...
IPSec y Certificados Digitales en Windows 2003 Server (Definición y caracterí...IPSec y Certificados Digitales en Windows 2003 Server (Definición y caracterí...
IPSec y Certificados Digitales en Windows 2003 Server (Definición y caracterí...
 
IPsec y Certificaciones
IPsec y CertificacionesIPsec y Certificaciones
IPsec y Certificaciones
 
Ipsec daniel gc
Ipsec daniel gcIpsec daniel gc
Ipsec daniel gc
 
Ipsec
IpsecIpsec
Ipsec
 
Protocolos de cifrado
Protocolos de cifradoProtocolos de cifrado
Protocolos de cifrado
 
BP seguridad de redes
BP seguridad de redesBP seguridad de redes
BP seguridad de redes
 

Último

institucion educativa la esperanza sede magdalena
institucion educativa la esperanza sede magdalenainstitucion educativa la esperanza sede magdalena
institucion educativa la esperanza sede magdalenajuniorcuellargomez
 
Guia para el registro en el sitio slideshare.pdf
Guia para el registro en el sitio slideshare.pdfGuia para el registro en el sitio slideshare.pdf
Guia para el registro en el sitio slideshare.pdflauradbernals
 
Buscadores, SEM SEO: el desafío de ser visto en la web
Buscadores, SEM SEO: el desafío de ser visto en la webBuscadores, SEM SEO: el desafío de ser visto en la web
Buscadores, SEM SEO: el desafío de ser visto en la webDecaunlz
 
INSTITUCION EDUCATIVA LA ESPERANZA SEDE MAGDALENA
INSTITUCION EDUCATIVA LA ESPERANZA SEDE MAGDALENAINSTITUCION EDUCATIVA LA ESPERANZA SEDE MAGDALENA
INSTITUCION EDUCATIVA LA ESPERANZA SEDE MAGDALENAdanielaerazok
 
NUVO PROGRAMAS DE ESCUELAS NUEVO-ACUERDO-CTE.pdf
NUVO PROGRAMAS DE ESCUELAS NUEVO-ACUERDO-CTE.pdfNUVO PROGRAMAS DE ESCUELAS NUEVO-ACUERDO-CTE.pdf
NUVO PROGRAMAS DE ESCUELAS NUEVO-ACUERDO-CTE.pdfisrael garcia
 
Institucion educativa la esperanza sede la magdalena
Institucion educativa la esperanza sede la magdalenaInstitucion educativa la esperanza sede la magdalena
Institucion educativa la esperanza sede la magdalenadanielaerazok
 
12 Clasificacion de las Computadoras.pdf
12 Clasificacion de las Computadoras.pdf12 Clasificacion de las Computadoras.pdf
12 Clasificacion de las Computadoras.pdfedwinmelgarschlink2
 
COMPETENCIAS CIUDADANASadadadadadadada .pdf
COMPETENCIAS CIUDADANASadadadadadadada .pdfCOMPETENCIAS CIUDADANASadadadadadadada .pdf
COMPETENCIAS CIUDADANASadadadadadadada .pdfOscarBlas6
 

Último (8)

institucion educativa la esperanza sede magdalena
institucion educativa la esperanza sede magdalenainstitucion educativa la esperanza sede magdalena
institucion educativa la esperanza sede magdalena
 
Guia para el registro en el sitio slideshare.pdf
Guia para el registro en el sitio slideshare.pdfGuia para el registro en el sitio slideshare.pdf
Guia para el registro en el sitio slideshare.pdf
 
Buscadores, SEM SEO: el desafío de ser visto en la web
Buscadores, SEM SEO: el desafío de ser visto en la webBuscadores, SEM SEO: el desafío de ser visto en la web
Buscadores, SEM SEO: el desafío de ser visto en la web
 
INSTITUCION EDUCATIVA LA ESPERANZA SEDE MAGDALENA
INSTITUCION EDUCATIVA LA ESPERANZA SEDE MAGDALENAINSTITUCION EDUCATIVA LA ESPERANZA SEDE MAGDALENA
INSTITUCION EDUCATIVA LA ESPERANZA SEDE MAGDALENA
 
NUVO PROGRAMAS DE ESCUELAS NUEVO-ACUERDO-CTE.pdf
NUVO PROGRAMAS DE ESCUELAS NUEVO-ACUERDO-CTE.pdfNUVO PROGRAMAS DE ESCUELAS NUEVO-ACUERDO-CTE.pdf
NUVO PROGRAMAS DE ESCUELAS NUEVO-ACUERDO-CTE.pdf
 
Institucion educativa la esperanza sede la magdalena
Institucion educativa la esperanza sede la magdalenaInstitucion educativa la esperanza sede la magdalena
Institucion educativa la esperanza sede la magdalena
 
12 Clasificacion de las Computadoras.pdf
12 Clasificacion de las Computadoras.pdf12 Clasificacion de las Computadoras.pdf
12 Clasificacion de las Computadoras.pdf
 
COMPETENCIAS CIUDADANASadadadadadadada .pdf
COMPETENCIAS CIUDADANASadadadadadadada .pdfCOMPETENCIAS CIUDADANASadadadadadadada .pdf
COMPETENCIAS CIUDADANASadadadadadadada .pdf
 

5_unidad_v_ip_sec

  • 1. 1 UNIVERSIDAD AMERICANA Ing. Luis Müller 2011 Redes de Comunicación – Unidad V Seguridad en la capa de Red. – IPSec Recopilación de teoría referente a la materia Esta es una recopilación de la teoría referente a la asignatura Redes de Comunicación, a ser estudiada en clases con los alumnos, y que servirá como base para su aplicación también en clases en ejercicios prácticos.
  • 2. 2 Contenido ¿Qué es IPsec?............................................................................................................................... 3 Características de seguridad de IPSec............................................................................................. 5 Sumario ......................................................................................................................................... 6 Arquitectura de seguridad ............................................................................................................. 7 Propósito de diseño....................................................................................................................... 8 Modos ........................................................................................................................................... 8 Modo transporte........................................................................................................................ 9 Modo túnel................................................................................................................................ 9 IPsec: modos túnel y transporte..................................................................................................... 9 Los protocolos IPsec..................................................................................................................... 10 AH - Cabecera de autenticación ............................................................................................... 11 ESP - Carga de Seguridad Encapsulada ..................................................................................... 12
  • 3. 3 Unidad V – seguridad en la capa de red. Conceptos básicos. IP sec. Modos IP sec. Utilizaciones. Ejemplos de diseños ¿Qué es IPsec? IPsec es un protocolo que está sobre la capa del protocolo de Internet (IP). Este, permite a dos o más equipos comunicarse de forma segura (de ahí viene el nombre). La “pila de red” IPsec incluye soporte para las dos familias de protocolos, IPv4 e IPv6. IPsec (abreviatura de Internet Protocol security) es un conjunto de protocolos cuya función es asegurar las comunicaciones sobre el Protocolo de Internet (IP) autenticando y/o cifrando cada paquete IP en un flujo de datos. IPsec también incluye protocolos para el establecimiento de claves de cifrado. IPsec emplea dos protocolos diferentes - AH y ESP - para asegurar la autenticación, integridad y confidencialidad de la comunicación. Puede proteger el datagrama IP completo o sólo los protocolos de capas superiores. IPSec autentifica los equipos y cifra los datos para su transmisión entre hosts en una red, intranet o extranet, incluidas las comunicaciones entre estaciones de trabajo y servidores, y entre servidores.
  • 4. El objetivo principal de IPSec es basado en un modelo de seguridad de extremo a extremo, lo que significa que los únicos hosts que tienen que conocer la protección de IPSec son el que envía y el que recibe. Cada equipo controla la seguridad por sí mismo en su extremo, bajo la hipótesis de que el medio por el que se establece la comunicación no es seguro. Estos modos se denominan, respectivamente, túnel el datagrama IP se encapsula completamente dentr el protocolo IPsec. En modo transporte IPsec sólo maneja la carga del datagrama IP, insertándose la cabecera IPsec entre la cabecera IP y la cabecera del protocolo de capas El objetivo principal de IPSec es proporcionar protección a los paquetes IP. IPSec está basado en un modelo de seguridad de extremo a extremo, lo que significa que los únicos hosts que tienen que conocer la protección de IPSec son el que envía y el que recibe. Cada equipo idad por sí mismo en su extremo, bajo la hipótesis de que el medio por el que se establece la comunicación no es seguro. Estos modos se denominan, respectivamente, modo túnel y modo transporte. En modo túnel el datagrama IP se encapsula completamente dentro de un nuevo datagrama IP que emplea En modo transporte IPsec sólo maneja la carga del datagrama IP, insertándose la cabecera IPsec entre la cabecera IP y la cabecera del protocolo de capas superiores. 4 proporcionar protección a los paquetes IP. IPSec está basado en un modelo de seguridad de extremo a extremo, lo que significa que los únicos hosts que tienen que conocer la protección de IPSec son el que envía y el que recibe. Cada equipo idad por sí mismo en su extremo, bajo la hipótesis de que el medio por el que se túnel y modo transporte. En modo o de un nuevo datagrama IP que emplea En modo transporte IPsec sólo maneja la carga del datagrama IP, insertándose la cabecera
  • 5. 5 Características de seguridad de IPSec Las siguientes características de IPSec afrontan todos estos métodos de ataque: Protocolo Carga de seguridad de encapsulación (ESP, Encapsulating Security Payload). ESP proporciona privacidad a los datos mediante el cifrado de los paquetes IP. Claves basadas en criptografía. Las claves cifradas, que se comparten entre los sistemas que se comunican, crean una suma de comprobación digital para cada paquete IP. Cualquier modificación del paquete altera la suma de comprobación, mostrando al destinatario que el paquete ha sido cambiado en su tránsito. Se utiliza material de claves diferente para cada segmento del esquema de protección global y se puede generar nuevo material de claves con la frecuencia especificada en la directiva de IPSec. Administración automática de claves. Las claves largas y el cambio dinámico de claves durante las comunicaciones ya establecidas protegen contra los ataques. IPSec usa el protocolo Asociación de seguridad en Internet y administración de claves (ISAKMP, Internet Security Association and Key Management Protocol) para intercambiar y administrar dinámicamente claves cifradas entre los equipos que se comunican. Seguridad a nivel de red. IPSec existe en el nivel de red, proporcionando seguridad automática a todas las aplicaciones. Autenticación mutua. IPSec permite el intercambio y la comprobación de identidades sin exponer la información a la interpretación de un atacante. La comprobación mutua (autenticación) se utiliza para establecer la confianza entre los sistemas que se comunican. Sólo los sistemas de confianza se pueden comunicar entre sí. Los usuarios no tienen que estar en el mismo dominio para comunicar con la protección de IPSec. Pueden estar en cualquier dominio de confianza de la empresa. La comunicación se cifra, lo que dificulta la identificación e interpretación de la información. Filtrado de paquetes IP. Este proceso de filtrado habilita, permite o bloquea las comunicaciones según sea necesario mediante la especificación de intervalos de direcciones, protocolos o, incluso, puertos de protocolo específicos.
  • 6. Sumario Los protocolos de IPsec protocolos de seguridad para Internet de uso extendido, transporte (capas OSI 4 a 7) hacia arriba. Esto hace que IPsec sea más flexible, ya que puede ser utilizado para proteger protocolos de la capa 4, incluyendo transporte más usados. Una ventaja importante de IPsec frente a SSL y otros métodos que operan en capas superiores, es que para que una aplicación pueda usar IPsec no hay que hacer ningún cambio, mientras que para usar tienen que modificar su código. IPsec actúan en la capa de red, la capa 3 del protocolos de seguridad para Internet de uso extendido, como SSL, TLS y SSH apas OSI 4 a 7) hacia arriba. Esto hace que IPsec sea más flexible, ya que puede ser utilizado para proteger protocolos de la capa 4, incluyendo TCP y UDP, los protocolos de capa de transporte más usados. Una ventaja importante de IPsec frente a SSL y otros métodos que operan en capas superiores, es que para que una aplicación pueda usar IPsec no hay que hacer ningún cambio, mientras que para usar SSL y otros protocolos de niveles superiores, las aplicaciones tienen que modificar su código. 6 actúan en la capa de red, la capa 3 del modelo OSI. Otros SSH operan de la capa de apas OSI 4 a 7) hacia arriba. Esto hace que IPsec sea más flexible, ya que puede ser , los protocolos de capa de transporte más usados. Una ventaja importante de IPsec frente a SSL y otros métodos que operan en capas superiores, es que para que una aplicación pueda usar IPsec no hay que hacer ningún SSL y otros protocolos de niveles superiores, las aplicaciones
  • 7. 7 Arquitectura de seguridad IPsec está implementado por un conjunto de protocolos criptográficos para: Asegurar el flujo de paquetes Garantizar la autenticación mutua Establecer parámetros criptográficos. La arquitectura de seguridad IP utiliza el concepto de asociación de seguridad (SA) como base para construir funciones de seguridad en IP. Una asociación de seguridad es simplemente el paquete de algoritmos y parámetros (tales como las claves) que se está usando para cifrar y autenticar un flujo particular en una dirección. Por lo tanto, en el tráfico normal bidireccional, los flujos son asegurados por un par de asociaciones de seguridad. La decisión final de los algoritmos de cifrado y autenticación (de una lista definida) le corresponde al administrador de IPsec. Para decidir qué protección se va a proporcionar a un paquete saliente, IPsec utiliza el índice de parámetro de seguridad (SPI), un índice a la base de datos de asociaciones de seguridad (SADB), junto con la dirección de destino de la cabecera del paquete, que juntos identifican de forma única una asociación de seguridad para dicho paquete. Para un paquete entrante se realiza un procedimiento similar; en este caso IPsec toma las claves de verificación y descifrado de la base de datos de asociaciones de seguridad.
  • 8. 8 Propósito de diseño IPsec fue proyectado para proporcionar seguridad en modo transporte (extremo a extremo) del tráfico de paquetes, en el que los ordenadores de los extremos finales realizan el procesado de seguridad, o en modo túnel (puerta a puerta) en el que la seguridad del tráfico de paquetes es proporcionada a varias máquinas (incluso a toda la red de área local) por un único nodo. IPsec puede utilizarse para crear VPNs en los dos modos, y este es su uso principal. Hay que tener en cuenta, sin embargo, que las implicaciones de seguridad son bastante diferentes entre los dos modos de operación. La seguridad de comunicaciones extremo a extremo a escala Internet se ha desarrollado más lentamente de lo esperado. Parte de la razón a esto es que no ha surgido infraestructura de clave pública universal o universalmente de confianza (DNSSEC fue originalmente previsto para esto); otra parte es que muchos usuarios no comprenden lo suficientemente bien ni sus necesidades ni las opciones disponibles como para promover su inclusión en los productos de los vendedores. Como el Protocolo de Internet no provee intrínsecamente de ninguna capacidad de seguridad, IPsec se introdujo para proporcionar servicios de seguridad tales como: • Cifrar el tráfico (de forma que no pueda ser leído por nadie más que las partes a las que está dirigido) • Validación de integridad (asegurar que el tráfico no ha sido modificado a lo largo de su trayecto) • Autenticar a los extremos (asegurar que el tráfico proviene de un extremo de confianza) • Anti-repetición (proteger contra la repetición de la sesión segura). Modos Así pues y dependiendo del nivel sobre el que se actúe, podemos establecer dos modos básicos de operación de IPsec: modo transporte y modo túnel.
  • 9. 9 Modo transporte En modo transporte, sólo la carga útil (los datos que se transfieren) del paquete IP es cifrada o autenticada. El enrutamiento permanece intacto, ya que no se modifica ni se cifra la cabecera IP; sin embargo, cuando se utiliza la cabecera de autenticación (AH), las direcciones IP no pueden ser traducidas, ya que eso invalidaría el hash. Las capas de transporte y aplicación están siempre aseguradas por un hash, de forma que no pueden ser modificadas de ninguna manera (por ejemplo traduciendo los números de puerto TCP y UDP). El modo transporte se utiliza para comunicaciones ordenador a ordenador. Modo túnel En el modo túnel, todo el paquete IP (datos más cabeceras del mensaje) es cifrado o autenticado. Debe ser entonces encapsulado en un nuevo paquete IP para que funcione el enrutamiento. El modo túnel se utiliza para comunicaciones red a red (túneles seguros entre routers, p.e. para VPNs) o comunicaciones ordenador a red u ordenador a ordenador sobre Internet. IPsec: modos túnel y transporte Para proteger la integridad de los datagramas IP, los protocolos IPsec emplean códigos de autenticación de mensaje basados en resúmenes (HMAC - Hash Message Authentication Codes). Para el cálculo de estos HMAC los protocolos HMAC emplean algoritmos de resumen como MD5 y SHA para calcular un resumen basado en una clave secreta y en los contenidos del datagrama IP. El HMAC se incluye en la cabecera del protocolo IPsec y el receptor del paquete puede comprobar el HMAC si tiene acceso a la clave secreta. Para que los participantes de una comunicación puedan encapsular y desencapsular los paquetes IPsec, se necesitan mecanismos para almacenar las claves secretas, algoritmos y direcciones IP involucradas en la comunicación.
  • 10. 10 Todos estos parámetros se almacenan en asociaciones de seguridad (SA - Security Associations). Las asociaciones de seguridad, a su vez, se almacenan en bases de datos de asociaciones de seguridad (SAD - Security Asocciation Databases). En una asociación de seguridad se definen las direcciones IP de origen y destino de la comunicación. Por ello, mediante una única SA sólo se puede proteger un sentido del tráfico en una comunicación IPsec full dúplex. Para proteger ambos sentidos de la comunicación, IPsec necesita de dos asociaciones de seguridad unidireccionales. Los protocolos IPsec La familia de protocolos IPsec está formada por dos protocolos: el AH (Authentication Header - Cabecera de autenticación) y el ESP (Encapsulated Security Payload - Carga de seguridad encapsulada). Ambos son protocolos IP independientes. AH es el protocolo IP 51 y ESP el protocolo IP 50 (ver /etc/protocols). Las siguientes secciones tratarán brevemente sobre sus propiedades:
  • 11. AH - Cabecera de autenticación El protocolo AH protege la integridad del datagrama IP. Para conseguirlo, el protocolo AH calcula una HMAC basada en la clave secreta, el contenido del paquete y las partes inmutables de la cabecera IP (como son las direcciones IP). Tras esto, añade la cab La cabecera AH protege La cabecera AH mide 24 bytes. El primer byte es el campo especifica el protocolo de la siguiente cabecera. En modo túnel se encapsula un datagrama IP completo, por lo que el valor de este campo es 4. Al encapsular un datagrama TCP en modo transporte, el valor correspondiente es 6. El siguiente byte especifica la longitud del contenido del paquete. Este campo está seguido de dos bytes reservados. Los sigui en Índice de Parámetro de Seguridad emplear para el desencapsulado del paquete. El ataques por repetición. Finalmente, los ú autenticación de mensaje (HMAC). Este HMAC protege la integridad de los paquetes ya que sólo los miembros de la comunicación que conozcan la clave secreta pueden crear y comprobar HMACs. Como el protocolo AH protege la cabecera IP incluyendo las cabecera IP como las direcciones IP, el protocolo AH no permite NAT. NAT (Network address translation - Traducción de direcciones de red, también conocido como Enmascaramien direcciones) reemplaza una dirección IP de la cabecera IP (normalmente la IP de origen) por una dirección IP diferente. Tras el intercambio, la HMAC ya no es válida. La extensión a IPsec NAT transversal implementa métodos que evitan esta restricción. Cabecera de autenticación El protocolo AH protege la integridad del datagrama IP. Para conseguirlo, el protocolo AH calcula una HMAC basada en la clave secreta, el contenido del paquete y las partes inmutables de la cabecera IP (como son las direcciones IP). Tras esto, añade la cabecera AH al paquete. protege la integridad del paquete La cabecera AH mide 24 bytes. El primer byte es el campo Siguiente cabecera especifica el protocolo de la siguiente cabecera. En modo túnel se encapsula un datagrama IP mpleto, por lo que el valor de este campo es 4. Al encapsular un datagrama TCP en modo transporte, el valor correspondiente es 6. El siguiente byte especifica la longitud del contenido del paquete. Este campo está seguido de dos bytes reservados. Los siguientes 4 bytes especifican Índice de Parámetro de Seguridad (SPI). El SPI especifica la asociación de seguridad (SA) a emplear para el desencapsulado del paquete. El Número de Secuencia de 32 bit protege frente a . Finalmente, los últimos 96 bit almacenan el código de resumen para la (HMAC). Este HMAC protege la integridad de los paquetes ya que sólo los miembros de la comunicación que conozcan la clave secreta pueden crear y comprobar Como el protocolo AH protege la cabecera IP incluyendo las partes cabecera IP como las direcciones IP, el protocolo AH no permite NAT. NAT (Network address Traducción de direcciones de red, también conocido como Enmascaramien direcciones) reemplaza una dirección IP de la cabecera IP (normalmente la IP de origen) por una dirección IP diferente. Tras el intercambio, la HMAC ya no es válida. La extensión a IPsec NAT transversal implementa métodos que evitan esta restricción. 11 El protocolo AH protege la integridad del datagrama IP. Para conseguirlo, el protocolo AH calcula una HMAC basada en la clave secreta, el contenido del paquete y las partes inmutables de ecera AH al paquete. Siguiente cabecera. Este campo especifica el protocolo de la siguiente cabecera. En modo túnel se encapsula un datagrama IP mpleto, por lo que el valor de este campo es 4. Al encapsular un datagrama TCP en modo transporte, el valor correspondiente es 6. El siguiente byte especifica la longitud del contenido del entes 4 bytes especifican (SPI). El SPI especifica la asociación de seguridad (SA) a de 32 bit protege frente a código de resumen para la (HMAC). Este HMAC protege la integridad de los paquetes ya que sólo los miembros de la comunicación que conozcan la clave secreta pueden crear y comprobar partes inmutables de la cabecera IP como las direcciones IP, el protocolo AH no permite NAT. NAT (Network address Traducción de direcciones de red, también conocido como Enmascaramiento de direcciones) reemplaza una dirección IP de la cabecera IP (normalmente la IP de origen) por una dirección IP diferente. Tras el intercambio, la HMAC ya no es válida. La extensión a IPsec NAT-
  • 12. ESP - Carga de Seguridad Encapsulada El protocolo ESP puede asegurar la integridad del paquete empleando una HMAC y la confidencialidad empleando cifrado. La cabecera ESP se genera y añade al paquete tras cifrarlo y calcular su HMAC. La cabecera ESP La cabecera ESP Los primeros 32 bits de la cabecera ESP especifican el Seguridad (SPI). Este SPI especifica qué SA emplear para desencapsular el paquete ESP. Los siguientes 32 bits almacenan el protegerse de ataques por repetición de mensajes. Los siguientes 32 bits especifican el Inicialización (IV - Initialization Vector) que se emplea para el proceso de cifrado. Los algoritmos de cifrado simétrico pueden ser vulnerables a ataques por análisis de frecuencias si no se emplean IVs. El IV asegura que dos cargas idénticas generan dos cargas cifradas diferentes. IPsec emplea cifradores de bloque para el proceso de cifrado. Por ello, puede ser necesario rellenar la carga del paquete si la longitud de la carga no es un múltiplo de la longitud del paquete. En ese caso se añade la longitud del relleno (pad length). Tras la longitud del relleno se coloca el campo de 2 bytes se añaden los 96 bit de HMAC para asegurar la integridad del paquete. Esta HMAC sólo tiene en cuenta la carga del paquete: la cabecera IP no se incluye dentro de su proceso de cálculo. Carga de Seguridad Encapsulada El protocolo ESP puede asegurar la integridad del paquete empleando una HMAC y la confidencialidad empleando cifrado. La cabecera ESP se genera y añade al paquete tras cifrarlo y calcular su HMAC. La cabecera ESP consta de dos partes. Los primeros 32 bits de la cabecera ESP especifican el Índice de Parámetros de (SPI). Este SPI especifica qué SA emplear para desencapsular el paquete ESP. Los siguientes 32 bits almacenan el Número de Secuencia. Este número de secuencia se emplea para protegerse de ataques por repetición de mensajes. Los siguientes 32 bits especifican el Initialization Vector) que se emplea para el proceso de cifrado. Los algoritmos de simétrico pueden ser vulnerables a ataques por análisis de frecuencias si no se emplean IVs. El IV asegura que dos cargas idénticas generan dos cargas cifradas diferentes. IPsec emplea cifradores de bloque para el proceso de cifrado. Por ello, puede ser ecesario rellenar la carga del paquete si la longitud de la carga no es un múltiplo de la longitud del paquete. En ese caso se añade la longitud del relleno (pad length). Tras la longitud del relleno se coloca el campo de 2 bytes Siguiente cabecera que especifica la siguiente cabecera. Por último, se añaden los 96 bit de HMAC para asegurar la integridad del paquete. Esta HMAC sólo tiene en cuenta la carga del paquete: la cabecera IP no se incluye dentro de su proceso de cálculo. 12 El protocolo ESP puede asegurar la integridad del paquete empleando una HMAC y la confidencialidad empleando cifrado. La cabecera ESP se genera y añade al paquete tras cifrarlo y Índice de Parámetros de (SPI). Este SPI especifica qué SA emplear para desencapsular el paquete ESP. Los . Este número de secuencia se emplea para protegerse de ataques por repetición de mensajes. Los siguientes 32 bits especifican el Vector de Initialization Vector) que se emplea para el proceso de cifrado. Los algoritmos de simétrico pueden ser vulnerables a ataques por análisis de frecuencias si no se emplean IVs. El IV asegura que dos cargas idénticas generan dos cargas cifradas diferentes. IPsec emplea cifradores de bloque para el proceso de cifrado. Por ello, puede ser ecesario rellenar la carga del paquete si la longitud de la carga no es un múltiplo de la longitud del paquete. En ese caso se añade la longitud del relleno (pad length). Tras la longitud del relleno ecifica la siguiente cabecera. Por último, se añaden los 96 bit de HMAC para asegurar la integridad del paquete. Esta HMAC sólo tiene en cuenta la carga del paquete: la cabecera IP no se incluye dentro de su proceso de cálculo.
  • 13. 13