Documentos de Académico
Documentos de Profesional
Documentos de Cultura
PRESENTADO POR:
TUTOR:
GRUPO: 9
LETICIA AMAZONAS
06 ABRIL 2022
INTRODUCCION
A. COMPONENTES PRINCIPALES
Los protocolos que usa Ipsec son:
IKE (Internet Key Exchange) para llevar a cabo una asociación de
seguridad (SA, security asociation) al llevar las negociaciones de los
protocolos y algoritmos, además de generar las llaves de cifrado y
autenticación que serán usadas por IPSec.
Encabezado de Autenticación (AH authentication header) para
proveer integridad y autenticación de origen de datos para los
datagramas IP y para proveer protección contra los ataques de respuesta
(reply attacks).
El encabezado de carga de seguridad de encapsulamiento (ESP
encapsulating security payload) para proveer confidencialidad,
autenticación de origen de datos, integridad sin conexión (conectionless),
un servicio anti-respuesta, un tipo de secuencia parcial de integridad y
una limitada confidencialidad de flujo de tráfico.
B. ARQUITECTURA IPSec
La arquitectura de IPSec especifica la base en la cual todas las
implementaciones serán construidas y define los servicios de seguridad
proveídos por IPSec. Esta arquitectura define hasta que nivel podrá ser definido
y usado por el usuario de acuerdo a las políticas de seguridad, permitiendo que
cierto tráfico sea identificado para recibir el nivel de protección deseable.
IPSec fue definido para proveer un alto nivel de seguridad criptográfica, para
ambas versiones del IP. Componiéndose de los siguientes encabezados que
proveen seguridad en el tráfico: el encabezado de autenticación AH
(Autentication Header) y el encabezado de encapsulamiento de carga útil de
seguridad ESP ( Encapsulating Security Payload), incluyendo los protocolos que
generan y administran las llaves de cifrado, IKE (Internet Key Exchange) e
ISAKMP (Internet Security Key Association and Key Management Protocol).
IPSec maneja a través de las asociaciones de seguridad SA ( Security
Association) su esquema de interoperabilidad, controladas por el índice de
parámetros de seguridad SPI ( Security Parameter Index ), que se norman por
las políticas de seguridad SP (Security Policy); las cuales se almacenan en
bases de datos. También se define como dichas bases de datos se relacionarán
con las distintas funciones de procesamiento de IPSec, y como distintas
implementaciones del IPSec pueden coexistir.
C. ALGORITMOS DE ENCRIPTACIÓN
IPSec (IP Security) es una arquitectura que proporciona seguridad servicios para
redes IP. Define autenticación y funciones de cifrado que se pueden utilizar a
través de las redes IP.
Algoritmos de Cifrado
Los algoritmos de cifrado protegen los datos para que no puedan ser
leídos por terceros mientras estén en tránsito. Fireware admite tres
algoritmos de cifrado:
DES (Estándar de Cifrado de Datos) Usa una encryption key con una
extensión de 56 bits. Ese es el más débil de los tres algoritmos.
3DES (Triple-DES) Un algoritmo de cifrado basado en DES que utiliza el
DES para cifrar los datos tres veces.
AES (Estándar de Cifrado Avanzado) El algoritmo de cifrado más
fuerte que existe. Fireware puede utilizar cifrado AES de los siguientes
largos: 128, 192 o 256 bits.
Algoritmos de Autenticación
Los algoritmos de autenticación verifican la integridad y autenticidad de
los datos de un mensaje. Fireware admite tres algoritmos de
autenticación:
HMAC-MD5 (Código de Autentificación de Mensaje Hash — Algoritmo de
Resumen de Mensaje 5)
MD5 produce un resumen de mensaje de 128 bits (16 bytes), que lo hace
más rápido que SHA1 o SHA2. Éste es el algoritmo menos seguro.
HMAC-SHA1 (Código de Autentificación de Mensaje Hash Secure Hash
Algorithm 1)
SHA1 produce un resumen de mensaje de 160 bits (20 bytes). Aunque
sea más lento que el MD5, ese archivo más grande es más fuerte contra
los ataques de fuerza bruta.
HMAC-SHA2 (Código de Autentificación de Mensaje Hash — Secure
Hash Algorithm 2)
Fireware v11.8 y posterior admite tres variantes de SHA2 con diferentes
largos de resumen de mensaje.
SHA2-256 — produce un resumen de mensaje de 256 bits (32 bytes)
SHA2-384 — produce un resumen de mensaje de 384 bits (48 bytes)
SHA2-512 — produce un resumen de mensaje de 512 bits (64 bytes)
SHA2 es más fuerte que SHA1 o MD5
A. RED WAN USANDO UN SISTEMA DE RED PRIVADO VPN MEDIANTE EL PROTOCOLO DE SEGURIDAD IPSec
SIMULADO EN PACKET TRACER.
¡Los paquetes se envían con éxito!
Figura 2. Envío de paquetes en red WAN.
B. CODIGOS
Configuración del Router 1 Red Leticia
(Router 1)
(config)#crypto isakmp policy 10
authentication pre-share
hash sha
encryption aes 256
group 2
lifetime 86400
exit
crypto isakmp key toor add 10.0.0.2 (router 2)
crypto ipsec transform-set TSET esp-aes esp-sha-hmac
access-list 101 permit ip 192.168.10.0 0.0.0.255 192.168.20.0 0.0.0.255 (Direccion red 1 y red
2)
crypto map CMAP 10 ipsec-isakmp
set peer 10.0.0.2 (Router 2)
match add 101
set transform-set TSET
exit
int fa0/1 (Interface a Router 2)
crypto map CMAP
do wr
Fig. 3 Codigo de configuración del router 1
Ya que IPSec trabaja en la capa de red, las modificaciones que el usuario desea
realizar, solamente las puede hacer desde su sistema operativo.
Permite configurar los niveles de seguridad, por medio, de los servicios basados en
criptografía (hash– para anti-replay, integridad de datos y autenticación, y directamente
cifrado, garantizar la confidencialidad de los datos).
2. Elaborar una tabla con las características y diferencias entre los protocolos de
seguridad creados para redes inalámbricas WLAN.
- Se
basa en el
estándar
802.11.
-
algoritmo de
encriptación
utilizado es
CRC-32.
-La
Modificación
de las claves
se hacen
manualmente.
Acc Su - -
eso principal Permite la Implementa el
protegido objetivo es distribución vector de
WI-FI suplir todas las dinámica de inicialización,
(WPA) deficiencias de las claves de pero de
seguridad que seguridad. manera más
presentaba el robusta.
protocolo -
WEP. Implementa - Las
nuevas conexiones de
técnicas de realizan del
integridad y puerto al punto
autentificación. de acceso.
- -mejora
proporciona un de la
control de confidencialida
acceso en d.
redes basadas
en puertos.
- Se
basa en el
estándar
802.1X.
- Usa
vectores del
doble de
longitud (48
bits)
-
algoritmo
de encriptación
utilizado es
MIC.
- Las
claves son
generadas
dinámicamente
y distribuidas
de forma
automática.
Acc Su - -Para
eso función es algoritmo el
protegido corregir las de cifrado utiliz aseguramiento
WI-FI, vulnera ado es AES. de la
versión 2 bilidades del integridad y
(WPA2) protocolo - Se autenticidad
WEP. basa en el de los
estándar mensajes, se
802.11i implementó el
protocolo
CCMP.
-Es
necesario
tener un
hardware mas
potente, para
no perder el
rendimiento de
la red.
Actividad colaborativa
1. Cada estudiante debe implementar una red WAN mediante la herramienta Cisco
Packet Tracer y habilitar un túnel VPN a través de IPSec, utilizando los dispositivos de
red que considere necesarios. En el foro debe compartir el archivo .pkt
Internet Protocol Security o IPsec es un estándar IETF que define cómo se puede configurar
una VPN de forma segura mediante el protocolo de Internet.
IPsec es un marco de estándares abiertos que detalla reglas para comunicaciones seguras.
IPSec no se limita a ningún tipo particular de cifrado, autenticación, algoritmo de seguridad o
tecnología de generación de claves. De hecho, IPsec se basa en algoritmos existentes para
implementar comunicaciones seguras. También permite implementar nuevos y mejores
algoritmos sin alterar los estándares IPsec existentes.
IPsec opera en la capa de red, protegiendo y autenticando así los paquetes IP entre los
dispositivos IPsec participantes, también conocidos como pares. IPsec protege una ruta entre
un par de puertos, un par de hosts o un puerto y un host. Por lo tanto, IPsec puede proteger
casi todo el tráfico de aplicaciones, ya que la protección se puede realizar desde la capa hasta
la capa 7.
Todas las implementaciones de IPsec tienen un encabezado de capa 3 de texto sin formato,
por lo que no hay problema de enrutamiento. IPsec funciona con todos los protocolos de Capa
2, como Ethernet, ATM o Frame Relay.
Protocolo del marco de IPsec: al configurar un gateway IPsec para proporcionar servicios de
seguridad, se debe seleccionar un protocolo IPsec. Las opciones son una combinación de ESP
y AH. En realidad, las opciones de ESP o ESP+AH casi siempre se seleccionan porque AH en
sí mismo no proporciona el cifrado.
Grupo de algoritmos DH: representa la forma en que se establece una clave secreta
compartida entre los peers. Existen varias opciones, pero DH24 proporciona la mayor
seguridad.
Los algoritmos hash gestionan la integridad y la autenticación del tráfico VPN. La función hash
proporciona integridad y autenticación de datos al garantizar que las personas no autorizadas
no manipulen los mensajes transmitidos.
Un hash, también conocido como "mensaje de resumen", es un número generado a partir de
una cadena de texto. El hash es más corto que el texto mismo. Se genera con una fórmula, por
lo que es muy poco probable que otro texto produzca el mismo hash.
El remitente original genera un hash del mensaje y lo envía junto con el propio mensaje. El
receptor analiza el mensaje y el hash, genera otro hash a partir del mensaje recibido y compara
los dos hash. Si son idénticos, el receptor puede confiar bastante en la integridad del mensaje
original.
En la ilustración, Gail envió a Alex una EFT de $100. Jeremiah interceptó y modificó este EFT
para presentarse a sí mismo como el destinatario y el monto es de $1000. En este caso, si se
utiliza el algoritmo de integridad de datos, los valores hash no coincidirán y la transacción no
será válida.
Imagen 2: Algoritmos de hash
MD5: El uso de bloqueo de teclas compartidas es de 128 bits. Las longitudes de giro y las
claves secretas se comparten 128 bits combinados y tratados con algoritmos de hashing
HyPMD5. El resultado es una función hash de 128 bits. El hash se adjunta al mensaje original y
se envía al extremo remoto.
SHA: SHA1 utiliza una clave secreta de 160 bits. El mensaje de longitud variable y la clave
secreta compartida de 160 bits se combinan y procesan mediante el algoritmo hash
HMACSHA1. El resultado es un hash de 160 bits. El hash se adjunta al mensaje original y se
envía al extremo remoto.
Tomado de: Walton, A. (2018, febrero 5). Seguridad de Protocolo de Internet (IPSec). CCNA
desde Cero. https://ccnadesdecero.es/ipsec-seguridad-protocolo-internet/
2. Describir las ventajas de la arquitectura IPSec sobre los protocolos no seguros.
Integridad de los datos: el destinatario puede comprobar que los datos han sido transmitidos
a través de Internet sin tener que sufrir ningún tipo de modificación o alteración. Si bien es
importante que los datos en una red pública estén encriptados, también es importante verificar
que los datos no hayan sido alterados en tránsito.
El tráfico VPN se mantiene privado a través del cifrado. Los datos de texto sin formato
transmitidos a través de Internet se pueden interceptar y leer. Cifre la fecha para mantenerla
privada. El cifrado digital de datos los hace ilegibles hasta que un destinatario autorizado los
descifre.
Para que funcione la comunicación cifrada, tanto el remitente como el receptor deben conocer
las reglas utilizadas para convertir el mensaje original en su forma cifrada. Las reglas se basan
en los algoritmos y las claves involucradas.
Los algoritmos de seguridad WiFi han sufrido muchos cambios y mejoras desde la década de
1990 para volverse más seguros y eficientes. Se han desarrollado diferentes tipos de
protocolos de seguridad inalámbrica para proteger las redes domésticas inalámbricas.
WEP, WPA y WPA2 son protocolos de seguridad inalámbricos utilizados, sirven para el mismo
propósito, pero al mismo tiempo son diferentes. Estos protocolos no solo evitan que se
establezcan conexiones no deseadas en su red inalámbrica, sino que también cifran los datos
privados que se envían a través de la red.
No importa cuán encriptada y segura sea nuestra red, las redes inalámbricas no tienen el
mismo nivel de seguridad que las redes cableadas. Este último, en el nivel más básico,
transmite datos entre dos puntos A y B, conectados por un cable de red (conexión punto a
punto). Para enviar datos de A a B, las redes inalámbricas transmiten esos datos dentro del
alcance en todas las direcciones a cualquier dispositivo conectado que esté escuchando; esto
los hace más propensos a estar expuestos.
Tomado de: Protocolos de seguridad inalámbrica: WEP, WPA y WPA2. ¿En que se
diferencian? (2017, noviembre 15). Antelec, S.L. https://www.antelec.es/protocolos-seguridad-
wep-wpa-wpa2/
ESTUDIANTE JHONATAN STEVEN SANCHEZ FIERRO
Modos transparentes: se protege todo el paquete menos la cabecera IP. Típico para cuando
entre los dos extremos no hay ningún encaminador, las direcciones ip de los extremos son de
la misma red y no se requiere cifrar la propia cabecera IP
Modo túnel: se busca proteger todo el paquete de datos, utilizando una cabecera <<pseudo -
cabecera>> de IP con privacidad para el tráfico de A a B a través de una red privada virtual, en
la cual el paquete IP valla cifrado, se necesitarían las direcciones Ip origen destino para que los
encaminadores intermedios puedan realizar su labor.
3. Elaborar una tabla con las características y diferencias entre los protocolos de
seguridad creados para redes inalámbricas WLAN.
Característica WWEP WEP más WPA WPA2
802.1X
Identificación Usuario y/o Usuario y/o Usuario y/o Usuario y/o
maquina maquina maquina maquina
Autenticación Clave EAP EAP o preclave EAP o preclave
Compartida compartida compartida
Integridad 32 bits ICV 2 32 bits ICV 64 bits MI3C 3 Modo contador,
cambia el valor
del bloque
Forma de Claves Claves por Claves por CCMP - AES
encriptación estáticas sesión paquetes de
rotación vía TKIP
Clave de Una vez de Segmentación Derivado de PMK Derivado de PMK
Distribución forma manual PMK
Vector de Texto Plano Texto Plano 24 Extendido de 64 48 bits por
Inicialización 24 bits bits bits numero de
paquetes (PN
Packet Number)
Algoritmo de RC4 RC4 RC4 AES
encriptación
Tamaño de la 64 / 128 bits 64 / 128 bits 128 bits 128 bits
Clave
Soporte de Ninguna RADIUS RADIUS RADIUS
Infraestructura
Colaborativa
1. Cada estudiante debe implementar una red WAN mediante la herramienta Cisco
Packet Tracer y habilitar un túnel VPN a través de IPSec, utilizando los
dispositivos de red que considere necesarios. En el foro debe compartir el
archivo .pkt
RED WAN
Asignación del direccionamiento IP en la red a cada dispositivo y enrutamiento.
Instalación del paquete de seguridad
Configuración del protocolo VPNIPSec
Generamos tráfico
Verificación de la encriptación de los paquetes
CONCLUSIONES
Carceller, C., Campos, S., & García, M. (2013). Servicios en red. Madrid, ES: Macmillan Iberia,
S.A. (pp. 235 - 243). https://elibro-net.bibliotecavirtual.unad.edu.co/es/ereader/unad/43261?
page=235
Deshmukh, D. & Iyer, B. (2017). Design of IPSec Virtual Private Network For Remote Access.
International Conference on Computing, Communication and Automation
(ICCCA2017). https://ieeexplore-ieee-org.bibliotecavirtual.unad.edu.co/stamp/stamp.jsp?
tp=&arnumber=8229894
Musa, S. M. (2018). Network Security and Cryptography. Mercury Learning & Information. (pp.
435-475). https://bibliotecavirtual.unad.edu.co/login?url=http://search.ebscohost.com/
login.aspx?direct=true&db=nlebk&AN=1809143&lang=es&site=eds-
live&scope=site&ebv=EB&ppid=pp_435
Ing. Alex González Paz1, MSc. David Beltrán Casanova2, Dr. C. Ernesto Roberto Fuentes
Gari1. (2016). PROPUESTA DE PROTOCOLOS DE SEGURIDAD PARA LA RED
INALÁMBRICA LOCAL DE LA UNIVERSIDAD DE CIENFUEGOS. 05 ABRIL 2022, de sCIELO
Sitio web: http://scielo.sld.cu/scielo.php?script=sci_arttext&pid=S2218-
36202016000400017#:~:text=Los%20protocolos%20de%20seguridad%20que,control%20de
%20acceso%20(ACL)%20que
HUAWEI. (2020). Ventajas y desventajas de IPSec. 04 ABIL 2022, de HUAWEI Sitio web:
https://forum.huawei.com/enterprise/es/ventajas-y-desventajas-de-ipsec/thread/630797-100233