SEGURIDAD DE REDES DE TELECOMUNICACIONES

TAREA 2 - CATEGORIZAR PROTOCOLOS DE SEGURIDAD EN REDES TCP/IP

PRESENTADO POR:

DIEGO MAURICIO NARIÑO MARTINEZ

TUTOR:

ALVARO JOSE CERVELION BASTIDAS

GRUPO: 9

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA UNAD

ESCUELA DE CIENCIAS BÁSICAS, TECNOLOGÍA E INGENIERÍA ECBTI

LETICIA AMAZONAS

06 ABRIL 2022
 INTRODUCCION

Un paquete IP es el elemento básico de la comunicación de datos en Internet y consta de dos

elementos: datos, como el idioma, el texto o las imágenes, y un encabezado, que incluye, entre
otros, los datos del remitente y el receptor. . El gran problema con los paquetes de datos que
pasan por diferentes enrutadores en su camino hacia su destino es que el Protocolo de Internet
en sí mismo no tiene su propio mecanismo de encriptación y autenticación. En otras palabras,
la transmisión de datos entre router y router puede ser interceptada y manipulada en cualquier
momento, lo que no garantizará los tres pilares de la seguridad informática: secreto,
autenticación e integridad.
El conjunto de protocolos de seguridad de protocolo de Internet (IPsec) es un conjunto de
protocolos tecnológicos para proteger las comunicaciones IP, autenticar y cifrar cada paquete
IP en una sesión de comunicación. En conjunto, brindan una seguridad altamente confiable
para la transmisión de paquetes a través de redes públicas. Es por eso que IPsec se ha
convertido en un componente esencial para muchas conexiones VPN (red privada virtual).

ESTUDIANTE DIEGO MAURICIO NARIÑO MARTINEZ

1. Explicar la arquitectura Ipsec, incluya sus componentes principales, funciones y
algoritmos de encriptación utilizados.
IPSec
El conjunto de protocolos en el IPSec (Internet Protocol Security) tienen como finalidad
hacer más seguras las comunicaciones dentro del IP, autenticando y cifrando cada
paquete del flujo de datos. Es un protocolo diseñado por la IETF, que se definió en el
RFC4301. También incluye protocolos para establecer la autenticación mutua entre
agentes al inicio de la sesión y la negociación de llaves criptográficas durante la sesión.
IPSec puede ser usado para proteger flujos de datos entre un par de hosts, ya sean
servidores o clientes, entre un par de puertas de enlace (gateway) de seguridad, ya
sean firewalls o ruteadores, o entre una puerta de enlace un hosts. IPSec es un
esquema de seguridad en modo dual, de punto a punto, operante en la capa 3 del
modelo OSI.

A. COMPONENTES PRINCIPALES
Los protocolos que usa Ipsec son:
 IKE (Internet Key Exchange) para llevar a cabo una asociación de
seguridad (SA, security asociation) al llevar las negociaciones de los
protocolos y algoritmos, además de generar las llaves de cifrado y
autenticación que serán usadas por IPSec.
 Encabezado de Autenticación (AH authentication header) para
proveer integridad y autenticación de origen de datos para los
datagramas IP y para proveer protección contra los ataques de respuesta
(reply attacks).
 El encabezado de carga de seguridad de encapsulamiento (ESP
encapsulating security payload) para proveer confidencialidad,
autenticación de origen de datos, integridad sin conexión (conectionless),
un servicio anti-respuesta, un tipo de secuencia parcial de integridad y
una limitada confidencialidad de flujo de tráfico.

B. ARQUITECTURA IPSec
La arquitectura de IPSec especifica la base en la cual todas las
implementaciones serán construidas y define los servicios de seguridad
proveídos por IPSec. Esta arquitectura define hasta que nivel podrá ser definido
y usado por el usuario de acuerdo a las políticas de seguridad, permitiendo que
cierto tráfico sea identificado para recibir el nivel de protección deseable.
IPSec fue definido para proveer un alto nivel de seguridad criptográfica, para
ambas versiones del IP. Componiéndose de los siguientes encabezados que
proveen seguridad en el tráfico: el encabezado de autenticación AH
(Autentication Header) y el encabezado de encapsulamiento de carga útil de
seguridad ESP ( Encapsulating Security Payload), incluyendo los protocolos que
 generan y administran las llaves de cifrado, IKE (Internet Key Exchange) e
ISAKMP (Internet Security Key Association and Key Management Protocol).
IPSec maneja a través de las asociaciones de seguridad SA ( Security
Association) su esquema de interoperabilidad, controladas por el índice de
parámetros de seguridad SPI ( Security Parameter Index ), que se norman por
las políticas de seguridad SP (Security Policy); las cuales se almacenan en
bases de datos. También se define como dichas bases de datos se relacionarán
con las distintas funciones de procesamiento de IPSec, y como distintas
implementaciones del IPSec pueden coexistir.

C. ALGORITMOS DE ENCRIPTACIÓN
IPSec (IP Security) es una arquitectura que proporciona seguridad servicios para
redes IP. Define autenticación y funciones de cifrado que se pueden utilizar a
través de las redes IP.

 Algoritmos de Cifrado
Los algoritmos de cifrado protegen los datos para que no puedan ser
leídos por terceros mientras estén en tránsito. Fireware admite tres
algoritmos de cifrado:
DES (Estándar de Cifrado de Datos) Usa una encryption key con una
extensión de 56 bits. Ese es el más débil de los tres algoritmos.
3DES (Triple-DES) Un algoritmo de cifrado basado en DES que utiliza el
DES para cifrar los datos tres veces.
AES (Estándar de Cifrado Avanzado) El algoritmo de cifrado más
fuerte que existe. Fireware puede utilizar cifrado AES de los siguientes
largos: 128, 192 o 256 bits.

Algoritmos de Autenticación
Los algoritmos de autenticación verifican la integridad y autenticidad de
los datos de un mensaje. Fireware admite tres algoritmos de
autenticación:
HMAC-MD5 (Código de Autentificación de Mensaje Hash — Algoritmo de
Resumen de Mensaje 5)
MD5 produce un resumen de mensaje de 128 bits (16 bytes), que lo hace
más rápido que SHA1 o SHA2. Éste es el algoritmo menos seguro.
HMAC-SHA1 (Código de Autentificación de Mensaje Hash Secure Hash
Algorithm 1)
SHA1 produce un resumen de mensaje de 160 bits (20 bytes). Aunque
sea más lento que el MD5, ese archivo más grande es más fuerte contra
los ataques de fuerza bruta.
HMAC-SHA2 (Código de Autentificación de Mensaje Hash — Secure
Hash Algorithm 2)
Fireware v11.8 y posterior admite tres variantes de SHA2 con diferentes
largos de resumen de mensaje.
SHA2-256 — produce un resumen de mensaje de 256 bits (32 bytes)
 SHA2-384 — produce un resumen de mensaje de 384 bits (48 bytes)
SHA2-512 — produce un resumen de mensaje de 512 bits (64 bytes)
SHA2 es más fuerte que SHA1 o MD5

2. Describir las ventajas de la arquitectura IPSec sobre los protocolos no seguros.

VENTAJAS DE LA ARQUITECTURA IPSec

 IPSec es irrelevante para las aplicaciones, por lo tanto, los clientes VPN IPSec admiten
todos los protocolos de capa IP. Cuando se instala IPSec en un enrutador o firewall, no
es necesario cambiar la configuración del software en el sistema del usuario o del
servidor. Incluso si IPSec se realiza en el sistema terminal, el software de la capa
superior no se ve afectado.
 En la tecnología IPSec, las tecnologías utilizadas por el cliente a sitio, el sitio a sitio y la
conexión de cliente a cliente son las mismas.
 La VPN IPSec tiene un rendimiento de alta seguridad. Debido a que el protocolo IPSec
funciona en la capa de red, no solo todos los canales de la red están encriptados, sino
también cuando los usuarios acceden a todos los recursos de la empresa, al igual que
están directamente conectados a la red de la empresa a través de la línea privada.
IPSec no solo cifra la pequeña parte del canal que se está comunicando, sino que
también cifra todos los canales. Además, IPSec VPN también requiere la instalación y
configuración adecuadas del software del cliente IPSec y los dispositivos de acceso en
los clientes de acceso remoto, lo que aumenta enormemente el nivel de seguridad
porque el acceso está restringido por dispositivos de acceso específicos, clientes de
software, mecanismos de autenticación de usuario y reglas de seguridad predefinidas. 
3. Elaborar una tabla con las características y diferencias entre los protocolos de
seguridad creados para redes inalámbricas WLAN.
PROTOCOLOS DE SEGURIDAD PARA REDES WLAN
1. PROTOCOLO 2. CARACTERISTICAS 3. DIFERENCIAS
Filtrado por Como parte del estándar 802.11, Esta técnica tiende a ser
direcciones MAC cada dispositivo tiene una compleja si es implementada
dirección MAC asignada por el en grandes organizaciones,
fabricante. Para incrementar la puede consumir tiempo en
seguridad inalámbrica es posible configuración y
configurar en el AP una lista de mantenimiento, por lo que se
direcciones MAC aceptando solo recomienda su uso en redes
las MAC de los dispositivos pequeñas. Evita que los
autorizados a acceder a la red. dispositivos que se
encuentren dentro del área de
cobertura del AP que no estén
en el listado de direcciones
MAC, puedan acceder a la
red, lo cual permite prevenir
accesos no autorizados
WEP WEP fue el primer protocolo de En la actualidad la protección
seguridad implementado bajo el que ofrece es débil.
estándar de redes inalámbricas Una vulnerabilidad de este
IEEE 802.11 para cifrar los datos mecanismo es que el AP
antes de ser enviados a través transmite el SSID en texto
de la red. Los objetivos de WEP plano durante intervalos en las
son proporcionar autentificación tramas de gestión. De esta
y confidencialidad en redes forma, el SSID está fácilmente
WLAN. En la autenticación disponible a los atacantes
abierta en WEP, un cliente para establecer una
inalámbrico o un AP, provee un asociación con el AP. En
nombre incluido en los paquetes cuanto a la autenticación con
de una red WLAN para clave compartida, el algoritmo
identificarlos como parte de la de encriptación utilizado es
misma, este nombre se RC4, donde los paquetes
denomina SSID, y es común transmitidos son encriptados
para los clientes inalámbricos y con una clave y un campo de
sus APs. Este SSID autoriza y chequeo de integridad (ICV)
asocia a un cliente inalámbrico al compuesto por una suma de
AP. comprobación CRC-32
adjuntada al mensaje 
WPA WPA es un protocolo de En WPA es posible emplear
seguridad propuesto en el 2003 dos modos de autenticación
y desarrollado por la Wi-Fi diferentes en dependencia del
Alliance para mejorar las entorno de aplicación:
debilidades encontradas en
 WEP, basado en el borrador del WPA personal, con clave
estándar IEEE 802.11i WAP compartida para entornos
hace uso del protocolo temporal residenciales y redes
de integridad de claves (TKIP) pequeñas: el usuario debe
definido en el estándar 802.11i. introducir una clave que puede
TKIP usa RC4 para el cifrado y tener de 8 a 63 caracteres
genera claves de 128 bits (seed) configurada en el AP y en
compartida entre dispositivos cada cliente, evita con ello
inalámbricos. Posteriormente ataques de escucha y accesos
esa clave se combina con la no autorizados. WPA
dirección MAC del usuario. empresarial, recomendado
para entornos educativos, de
negocios y gubernamentale:
se basa en los mecanismos
IEEE 802.1x y el protocolo de
autentificación extensible
(EAP). Donde, IEEE 802.1x es
un estándar para el control de
acceso basado en puertos que
ofrece un marco para una
autenticación basada en
usuario y contraseña o
certificados digitales y
distribución de claves de
cifrado
IEEE 802.11i EL estándar IEEE 802.11i define En el caso de IEEE 802.11i la
mejoras de seguridad mediante técnica empleada para
el estándar de cifrado avanzado superar la vulnerabilidad del
(AES) y procedimientos de IV de WEP es el protocolo
autentificación para Counter Mode with CBC-MAC
complementar y mejorar la Protocol (CCMP), en el que se
seguridad en redes WLAN utilizan IV de 48 bits al igual
proporcionada por WEP. El que en TKIP.
estándar abarca 3 nuevos
algoritmos de encriptación: TKIP
basado en RC4 compatible con
el hardware actual, AES, el cual
es un algoritmo robusto pero
requiere de un mayor poder de
cálculo que RC4, y 802.1x/EAP
para la autenticación
WPA2 Implementación aprobada por Las redes WLAN basadas en
Wi-Fi Alliance de IEEE 802.11i. WPA2 son consideradas las
El grupo WPA2 de la Wi-Fi más seguras. Aunque, en
Alliance es el grupo de modo personal la difusión y
certificación del estándar IEEE
802.11i. El Instituto de
Ingenieros Eléctrico y
Electrónicos IEEE propone
WPA2 como la solución definitiva
al problema de seguridad en
redes WLAN ante las debilidades
encontradas en WEP. La versión
oficial del estándar fue ratificada
en junio del 2004. WPA2 es más
seguro que WPA porque usa
como mecanismo de
encriptación AES que soporta
claves de 128 bits, 192 bits y 256
bits en lugar de RC4/TKIP, y
porque reemplaza el algoritmo
Michael por el protocolo CCMP,
que es considerado
criptográficamente seguro.
WPA2 puede ser usado al igual
que WPA con autenticación de
clave compartida o en entornos
empresariales (IEEE
802.11i/EAP) que permite
autenticación RADIUS
multidifusión de claves
representan una
vulnerabilidad. Todos los
nodos de la red necesitan
conocerlas, y un atacante
puede descubrir la clave
mediante el intercambio entre
el AP y el cliente. Se
recomienda emplear WPA2
Empresarial en caso de que
se necesite confidencialidad
mediante el cifrado a nivel de
enlace. En caso de usarse
una solución más simple como
WPA2 personal, deben
tomarse precauciones al
escoger la clave
Colaborativa
1. Cada estudiante debe implementar una red WAN mediante la herramienta Cisco Packet Tracer y habilitar un túnel VPN a
través de IPSec, utilizando los dispositivos de red que considere necesarios. En el foro debe compartir el archivo .pkt

A. RED WAN USANDO UN SISTEMA DE RED PRIVADO VPN MEDIANTE EL PROTOCOLO DE SEGURIDAD IPSec
SIMULADO EN PACKET TRACER.
  ¡Los paquetes se envían con éxito!
Figura 2. Envío de paquetes en red WAN.

B. CODIGOS
 Configuración del Router 1 Red Leticia
(Router 1)
(config)#crypto isakmp policy 10
authentication pre-share
hash sha
encryption aes 256
group 2
lifetime 86400
exit
crypto isakmp key toor add 10.0.0.2 (router 2)
crypto ipsec transform-set TSET esp-aes esp-sha-hmac
access-list 101 permit ip 192.168.10.0 0.0.0.255 192.168.20.0 0.0.0.255 (Direccion red 1 y red
2)
crypto map CMAP 10 ipsec-isakmp
set peer 10.0.0.2 (Router 2)
match add 101
set transform-set TSET
exit
int fa0/1 (Interface a Router 2)
crypto map CMAP
do wr
Fig. 3 Codigo de configuración del router 1

 Configuración del Router 2 Red Tabatinga

(Router 2)
(config)#crypto isakmp policy 10
authentication pre-share
hash sha
encryption aes 256
group 2
lifetime 86400
exit
crypto isakmp key toor add 10.0.0.1 (router 1)
crypto ipsec transform-set TSET esp-aes esp-sha-hmac
access-list 101 permit ip 192.168.20.0 0.0.0.255 192.168.10.0 0.0.0.255 (Direccion red 2 y red
1)
crypto map CMAP 10 ipsec-isakmp
set peer 10.0.0.1 (Router 1)
match add 101
set transform-set TSET
exit
int fa0/1 (Interface a Router 1)
crypto map CMAP
do wr

Fig. 2. Configuración del router 2

ESTUDIANTE YENNI CAROLINA RODRÍGUEZ VARGAS

1. Explicar la arquitectura Ipsec, incluya sus componentes principales, funciones y
algoritmos de encriptación utilizados.
La arquitectura Ipsec son una serie de protocolos de seguridad, el cual,
garantiza que los paquetes de datos enviados, no sean accesibles a usuarios no
deseados, proporcionando un alto nivel de seguridad, por medio de la autenticación y
cifrado.
Este protocolo funciona en la capa 3 (RED) del modelo OSI y presta los
siguientes servicios:
Autenticación mutua, Confidencialidad, Integridad, Protección de Repetición,
Control de acceso.

Esta arquitectura tiene cinco principales componentes:

Protocolos de seguridad: El encabezado de autenticación (AH) firma los paquetes IP y

garantiza la integridad. El contenido del datagrama no está cifrado, pero el receptor
tiene la
seguridad de que el contenido del paquete no se ha modificado. El receptor también
tiene la
garantía de que los paquetes los ha enviado el remitente

Base de datos de asociaciones de seguridad (SADB): La base de datos que asocia un

Protocolo de seguridad con una dirección de destino IP y un número de índice. lel
Protocolo de seguridad, la dirección de destino y el SPI), son quienes identifican un
paquete
IPsec legítimo. garantizando que el receptor reconozca un paquete protegido que llega
a su
destino. El receptor también utiliza información de la base de datos para descifrar la
comunicación, verificar que los paquetes no se hayan modificado, volver a ensamblar
los paquetes y entregarlos en su destino final.

Administración de claves: permite generar y distribuir las contraseñas para los

algoritmos
criptográficos y SPI.
Mecanismos de seguridad: Los algoritmos de autenticación y cifrado que protegen los
datos de los datagramas IP.
Base de datos de directivas de seguridad (SPD): permite especificar el nivel de
protección que se requiere usar en un paquete de datos, por medio del filtrado el tráfico
IP, que determina el modo en que se deben procesar los paquetes. Un paquete puede
descartarse, transferirse sin codificar o protegerse con IPsec. Para los paquetes
salientes, SPD y SADB determinan el nivel de protección que se aplicará. Para los
paquetes entrantes, SPD permite determinar si el nivel de protección del paquete es
aceptable. Si el paquete se protege con IPsec, SPD se consulta una vez descifrado y
verificado el paquete.
 Describir las ventajas de la arquitectura IPSec sobre los protocolos no seguros.

 Ya que IPSec trabaja en la capa de red, las modificaciones que el usuario desea
realizar, solamente las puede hacer desde su sistema operativo.

 Su funcionamiento es imperceptible, por lo que permite el uso de VPN.

 EL uso de los protocolos AH y ESP permite un nivel de seguridad y privacidad más

altos, ya sea juntos o por separado.

 Permite configurar los niveles de seguridad, por medio, de los servicios basados en
criptografía (hash– para anti-replay, integridad de datos y autenticación, y directamente
cifrado, garantizar la confidencialidad de los datos).

2. Elaborar una tabla con las características y diferencias entre los protocolos de
seguridad creados para redes inalámbricas WLAN.

Pro Funció Diferen Caract

tocolo n cias erísticas
Priv Su - La -Es un
acidad objetivo es protección al protocolo fácil
equivalent proporcionar sistema es de atacar y su
e al confidencialida vulnerable. configuración
cableado d, es complicada.
(WEP) autentificación -usa la
y control de misma clave -
acceso en simétrica y Implementa el
redes WLAN estática en las vector de
estaciones y el inicialización.
punto de
acceso.

- Se
basa en el
estándar
802.11.

-
algoritmo de
encriptación
utilizado es
 CRC-32.

-La
Modificación
de las claves
se hacen
manualmente.
Acc Su - -
eso principal Permite la Implementa el
protegido objetivo es distribución vector de
WI-FI suplir todas las dinámica de inicialización,
(WPA) deficiencias de las claves de pero de
seguridad que seguridad. manera más
presentaba el robusta.
protocolo -
WEP. Implementa - Las
nuevas conexiones de
técnicas de realizan del
integridad y puerto al punto
autentificación. de acceso.

- -mejora
proporciona un de la
control de confidencialida
acceso en d.
redes basadas
en puertos.

- Se
basa en el
estándar
802.1X.

- Usa
vectores del
doble de
longitud (48
bits)

-
algoritmo
de encriptación 
utilizado es
MIC.
 - Las
claves son
generadas
dinámicamente
y distribuidas
de forma
automática.
Acc Su - -Para
eso función es algoritmo el
protegido corregir las de cifrado utiliz aseguramiento
WI-FI, vulnera ado es AES. de la
versión 2 bilidades del integridad y
(WPA2) protocolo - Se autenticidad
WEP. basa en el de los
estándar mensajes, se
802.11i implementó el
protocolo
CCMP.

-Es
necesario
tener un
hardware mas
potente, para
no perder el
rendimiento de
la red.

Actividad colaborativa
1. Cada estudiante debe implementar una red WAN mediante la herramienta Cisco
Packet Tracer y habilitar un túnel VPN a través de IPSec, utilizando los dispositivos de
red que considere necesarios. En el foro debe compartir el archivo .pkt

2. Cada estudiante debe retroalimentar de forma argumentativa el desarrollo del primer

punto de la actividad colaborativa de al menos un compañero.
ESTUDIANTE JHON ALEJANDRO TRUJILLO TRUJILLO
1. Explicar la arquitectura Ipsec, incluya sus componentes principales, funciones y
algoritmos de encriptación utilizados.

Internet Protocol Security o IPsec es un estándar IETF que define cómo se puede configurar
una VPN de forma segura mediante el protocolo de Internet.
IPsec es un marco de estándares abiertos que detalla reglas para comunicaciones seguras.
IPSec no se limita a ningún tipo particular de cifrado, autenticación, algoritmo de seguridad o
tecnología de generación de claves. De hecho, IPsec se basa en algoritmos existentes para
implementar comunicaciones seguras. También permite implementar nuevos y mejores
algoritmos sin alterar los estándares IPsec existentes.
IPsec opera en la capa de red, protegiendo y autenticando así los paquetes IP entre los
dispositivos IPsec participantes, también conocidos como pares. IPsec protege una ruta entre
un par de puertos, un par de hosts o un puerto y un host. Por lo tanto, IPsec puede proteger
casi todo el tráfico de aplicaciones, ya que la protección se puede realizar desde la capa hasta
la capa 7.
Todas las implementaciones de IPsec tienen un encabezado de capa 3 de texto sin formato,
por lo que no hay problema de enrutamiento. IPsec funciona con todos los protocolos de Capa
2, como Ethernet, ATM o Frame Relay.

Las características de IPsec se pueden resumir de la siguiente manera:

Este es un marco de estándares abiertos independiente de los algoritmos.
Proporciona confidencialidad e integridad de los datos y autentica el origen.
Funciona en la capa de red, por lo que protege y autentica los paquetes IP.

Componentes de la configuración de IPSec

En la Imagen 1, se muestran los componentes de la configuración de IPSec. Se deben

seleccionar cuatro componentes básicos del marco de IPsec.

Protocolo del marco de IPsec: al configurar un gateway IPsec para proporcionar servicios de
seguridad, se debe seleccionar un protocolo IPsec. Las opciones son una combinación de ESP
y AH. En realidad, las opciones de ESP o ESP+AH casi siempre se seleccionan porque AH en
sí mismo no proporciona el cifrado.

Confidencialidad (si se implementa IPsec con ESP): el algoritmo de cifrado elegido se debe

ajustar al nivel deseado de seguridad (DES, 3DES o AES). Se recomienda AES, ya que AES-
GCM proporciona la mayor seguridad.

Integridad: garantiza que el contenido no se haya alterado en tránsito. Se implementa

mediante el uso de algoritmos de hash. Entre las opciones se incluye MD5 y SHA.

Autenticación: representa la forma en que se autentican los dispositivos en cualquiera de los

extremos del túnel VPN. Los dos métodos son PSK o RSA.

Grupo de algoritmos DH: representa la forma en que se establece una clave secreta
compartida entre los peers. Existen varias opciones, pero DH24 proporciona la mayor
seguridad.

Los algoritmos hash gestionan la integridad y la autenticación del tráfico VPN. La función hash
proporciona integridad y autenticación de datos al garantizar que las personas no autorizadas
no manipulen los mensajes transmitidos.
Un hash, también conocido como "mensaje de resumen", es un número generado a partir de
una cadena de texto. El hash es más corto que el texto mismo. Se genera con una fórmula, por
lo que es muy poco probable que otro texto produzca el mismo hash.
El remitente original genera un hash del mensaje y lo envía junto con el propio mensaje. El
receptor analiza el mensaje y el hash, genera otro hash a partir del mensaje recibido y compara
los dos hash. Si son idénticos, el receptor puede confiar bastante en la integridad del mensaje
original.

Algoritmo hash Ejemplo

En la ilustración, Gail envió a Alex una EFT de $100. Jeremiah interceptó y modificó este EFT
para presentarse a sí mismo como el destinatario y el monto es de $1000. En este caso, si se
utiliza el algoritmo de integridad de datos, los valores hash no coincidirán y la transacción no
será válida.
Imagen 2: Algoritmos de hash

Los datos de VPN se transmiten a través de la Internet pública. Como se ha señalado, es

posible que estos datos puedan ser interceptados y modificados. Para protegerse contra esta
amenaza, el servidor puede agregar un hash al mensaje.
VPN utiliza códigos de autenticación de mensajes para verificar la integridad y autenticidad de
los mensajes sin utilizar mecanismos adicionales.

HMAC El código de autenticación de mensajes basado en hash (HMAC) es un mecanismo

para autenticar mensajes mediante funciones hash.
Keyed HMAC es un algoritmo de integridad de datos que garantiza la integridad de un mensaje.
El HMAC tiene dos parámetros: la entrada del mensaje y una clave secreta conocida solo por el
remitente del mensaje y el destinatario.
El remitente del mensaje utiliza la función HMAC para generar un valor (código de
autenticación del mensaje) que se forma al comprimir la clave secreta y la entrada del mensaje.

Código de verificación de mensaje enviado con el mensaje.

Los destinatarios calculan el código de autenticación de mensajes en el mensaje recibido con la
misma tecla y la misma función HMAC que se utiliza el transmisor. Después de eso, el
destinatario compara los resultados calculados con el código de autenticación recibido.
Hay dos algoritmos HMAC comunes:

MD5: El uso de bloqueo de teclas compartidas es de 128 bits. Las longitudes de giro y las
claves secretas se comparten 128 bits combinados y tratados con algoritmos de hashing
HyPMD5. El resultado es una función hash de 128 bits. El hash se adjunta al mensaje original y
se envía al extremo remoto.
SHA: SHA1 utiliza una clave secreta de 160 bits. El mensaje de longitud variable y la clave
secreta compartida de 160 bits se combinan y procesan mediante el algoritmo hash
HMACSHA1. El resultado es un hash de 160 bits. El hash se adjunta al mensaje original y se
envía al extremo remoto.

Tomado de: Walton, A. (2018, febrero 5). Seguridad de Protocolo de Internet (IPSec). CCNA
desde Cero. https://ccnadesdecero.es/ipsec-seguridad-protocolo-internet/
2. Describir las ventajas de la arquitectura IPSec sobre los protocolos no seguros.

El servicio de seguridad IPsec proporciona cuatro funciones básicas:

Seguridad (cifrado): en una implementación de VPN, los datos privados se transmiten a

través de una red pública. Por este motivo, la seguridad de los datos es fundamental. Esto se
puede lograr cifrando los datos antes de que se transmitan a través de la red. Es el proceso de
tomar todos los datos que una computadora envía a otra y cifrarlos de manera que solo la otra
computadora pueda decodificarlos.

Integridad de los datos: el destinatario puede comprobar que los datos han sido transmitidos
a través de Internet sin tener que sufrir ningún tipo de modificación o alteración. Si bien es
importante que los datos en una red pública estén encriptados, también es importante verificar
que los datos no hayan sido alterados en tránsito.

Autenticación: Verifique la identidad de la fuente de los datos que se envían. Esto es

necesario para protegerse contra varios ataques que se basan en la suplantación de identidad
del transmisor. IPsec utiliza Intercambio de claves de Internet (IKE) para autenticar a los
usuarios y los dispositivos pueden comunicarse de forma independiente.

Anti-Replay Protección: esta es la capacidad de detectar y eliminar paquetes de reproducción

y ayudar a prevenir la manipulación. Verifique que cada paquete sea único y no esté duplicado.
Los paquetes IPsec se protegen comparando los números de secuencia de los paquetes
recibidos con una ventana deslizante en el host de destino o en la puerta de enlace segura. Un
paquete con un número de secuencia antes de la ventana deslizante se considera retrasado o
duplicado.

El tráfico VPN se mantiene privado a través del cifrado. Los datos de texto sin formato
transmitidos a través de Internet se pueden interceptar y leer. Cifre la fecha para mantenerla
privada. El cifrado digital de datos los hace ilegibles hasta que un destinatario autorizado los
descifre.

Para que funcione la comunicación cifrada, tanto el remitente como el receptor deben conocer
las reglas utilizadas para convertir el mensaje original en su forma cifrada. Las reglas se basan
en los algoritmos y las claves involucradas.

En el contexto de la criptografía, un algoritmo es una secuencia matemática de pasos que

combinan un mensaje, texto, número o los tres con una secuencia de números llamada "clave".
El resultado es una cadena cifrada ilegible. El algoritmo de cifrado también especifica cómo
descifrar un mensaje cifrado. El descifrado es extremadamente difícil, si no imposible, sin la
clave correcta.
3. Elaborar una tabla con las características y diferencias entre los protocolos de
seguridad creados para redes inalámbricas WLAN.

Los algoritmos de seguridad WiFi han sufrido muchos cambios y mejoras desde la década de
1990 para volverse más seguros y eficientes. Se han desarrollado diferentes tipos de
protocolos de seguridad inalámbrica para proteger las redes domésticas inalámbricas.

WEP, WPA y WPA2 son protocolos de seguridad inalámbricos utilizados, sirven para el mismo
propósito, pero al mismo tiempo son diferentes. Estos protocolos no solo evitan que se
establezcan conexiones no deseadas en su red inalámbrica, sino que también cifran los datos
privados que se envían a través de la red.

No importa cuán encriptada y segura sea nuestra red, las redes inalámbricas no tienen el
mismo nivel de seguridad que las redes cableadas. Este último, en el nivel más básico,
transmite datos entre dos puntos A y B, conectados por un cable de red (conexión punto a
punto). Para enviar datos de A a B, las redes inalámbricas transmiten esos datos dentro del
alcance en todas las direcciones a cualquier dispositivo conectado que esté escuchando; esto
los hace más propensos a estar expuestos.

PROTOCOLO WEP WPA WPA2

WEP fue Durante el desarrollo del protocolo de seguridad

Característic desarrollado para estándar de seguridad inalámbrico basado en
as redes inalámbricas y inalámbrica 802.11i, se utilizó el estándar 802.11i . La
aprobado como WPA como una mejora de mejora más importante
estándar de seguridad temporal para de WPA2 sobre WPA es
seguridad Wi-Fi en WEP. Un año antes de que el uso del estándar de
septiembre de 1999. se abandonara oficialmente cifrado avanzado (AES)
WEP tenía como WEP, se adoptó oficialmente para el cifrado. AES
objetivo ofrecer el WPA. La mayoría de las está aprobado por el
mismo nivel de aplicaciones WPA modernas gobierno de EE. UU.
seguridad que las utilizan una clave para cifrar información
redes cableadas, sin precompartida (PSK), clasificada como
embargo, hay un comúnmente conocida como ultrasecreta, por lo que
montón de WPA Personal, y el Protocolo debería ser suficiente
problemas de de integridad de clave para proteger las redes
seguridad bien transitoria o TKIP (/tiːkɪp/) domésticas.
conocidos en WEP, para el cifrado. WPA
que también lo Enterprise utiliza un servidor
convierten en un de autenticación para
protocolo fácil de generar claves y certificados.
romper y difícil de
configurar. ,WPA es una mejora
significativa sobre WEP, pero
 debido a que los
componentes principales
están diseñados para ser
lanzados a través de
actualizaciones de firmware
para dispositivos habilitados
para WEP, aún dependen de
vulnerabilidades.
WPA, al igual que WEP,
Diferencias después de ser puesto a
prueba de concepto y las
demostraciones públicas
aplicadas resultó ser
bastante vulnerable a la
intrusión. Sin embargo, los
ataques que representaron la
mayor amenaza para el
protocolo no fueron los
directos, sino los que se
hicieron en Configuración de
Wi-Fi Segura (WPS) –
Sistema auxiliar desarrollado
para simplificar la vinculación
de dispositivos a puntos de
acceso modernos.
Tomado de: Protocolos de seguridad inalámbrica: WEP, WPA y WPA2. ¿En que se
diferencian? (2017, noviembre 15). Antelec, S.L. https://www.antelec.es/protocolos-seguridad-
wep-wpa-wpa2/
Desafortunadamente, la
posibilidad de un ataque
a través de la
configuración de
seguridad Wi-Fi (WPS)
sigue siendo alta para
los puntos de acceso
actuales habilitados
para WPA2, lo que
también es un problema
con WPA. Y aunque
forzar el acceso a una
red segura WPA/WPA2
a través de esta
vulnerabilidad toma
alrededor de 2 a 1
horas, sigue siendo un
problema de seguridad
real y WPS debe
deshabilitarse y sería
genial si el firmware del
punto de acceso se
puede restablecer a una
distribución que no
soporta WPS, para
eliminar por completo
este tipo de ataque.
 ESTUDIANTE JHONATAN STEVEN SANCHEZ FIERRO

1. Explicar la arquitectura Ipsec, incluya sus componentes principales, funciones y

algoritmos de encriptación utilizados.
IPsec protege los paquetes IP autenticándolos, cifrándolos o llevando a cabo ambas acciones.
IPsec se lleva a cabo dentro del módulo IP, debajo de la capa de aplicación. Por tanto, una
aplicación de Internet puede aprovechar IPsec aunque no esté configurada para el uso de
IPsec. Cuando se utiliza correctamente, la directiva IPsec es una herramienta eficaz para
proteger el tráfico de la red.
La protección IPsec implica cinco componentes principales:
Protocolos de seguridad: Mecanismo de protección de datagramas IP. El encabezado de
autenticación (AH) firma los paquetes IP y garantiza la integridad. El contenido del datagrama
no está cifrado, pero el receptor tiene la seguridad de que el contenido del paquete no se ha
modificado. El receptor también tiene la garantía de que los paquetes los ha enviado el
remitente. La Encapsulating Security Payload (ESP) cifra los datos IP, con lo cual codifica el
contenido durante la transmisión de paquetes. ESP también puede garantizar la integridad de
los datos mediante una opción de algoritmo de autenticación.
Base de datos de asociaciones de seguridad (SADB): La base de datos que asocia un
protocolo de seguridad con una dirección de destino IP y un número de índice. El número de
índice se denomina índice de parámetros de seguridad. Estos tres elementos (el protocolo de
seguridad, la dirección de destino y el SPI) identifican de forma exclusiva a un paquete IPsec
legítimo. La base de datos garantiza que el receptor reconozca un paquete protegido que llega
a su destino. El receptor también utiliza información de la base de datos para descifrar la
comunicación, verificar que los paquetes no se hayan modificado, volver a ensamblar los
paquetes y entregarlos en su destino final.

Administración de claves: La generación y distribución de claves para los algoritmos

criptográficos y SPI.
Mecanismos de seguridad: Los algoritmos de autenticación y cifrado que protegen los datos
de los datagramas IP.
Base de datos de directivas de seguridad (SPD): La base de datos que especifica el nivel de
protección que se aplica a un paquete. SPD filtra el tráfico IP para determinar el modo en que
se deben procesar los paquetes. Un paquete puede descartarse, transferirse sin codificar o
protegerse con IPsec. Para los paquetes salientes, SPD y SADB determinan el nivel de
protección que se aplicará. Para los paquetes entrantes, SPD permite determinar si el nivel de
protección del paquete es aceptable. Si el paquete se protege con IPsec, SPD se consulta una
vez descifrado y verificado el paquete.
 Protocolo IPSec
Grupo de estándares de seguridad para implementación de todo tipo de redes privadas
virtuales, orientado a proteger el tráfico de red entre dispositivos en una red
Características:
 Las funciones de seguridad no deben afectar las operaciones ya existentes en la red.
  Cualquier dato deben poder cifrarse.
 IPSec debe mantener flexible todo el proceso de administración de las claves
necesarias para cualquier tipo de cifrado.
 IPSec debe mantener proporciona autenticación de extremo a extremo del tráfico.
 Integridad de los datos
 Autenticación del origen de datos
 Privacidad de los datos
 Protección de los datos

 Protocolos diferentes e independientes que utiliza IPSec

Protocolo AH (Authentication Header)
Proporciona integridad y autenticación de los datos mediante funciones HMAC aplicadas al
paquete de datos.

Protocolo ESP (Encapsulating Security Payload)

Proporciona privacidad de los datos y si opcional también integridad y autenticación.
Se puede operar en dos modos diferentes:

Modos transparentes: se protege todo el paquete menos la cabecera IP. Típico para cuando
entre los dos extremos no hay ningún encaminador, las direcciones ip de los extremos son de
la misma red y no se requiere cifrar la propia cabecera IP

Modo túnel: se busca proteger todo el paquete de datos, utilizando una cabecera <<pseudo -
cabecera>> de IP con privacidad para el tráfico de A a B a través de una red privada virtual, en
la cual el paquete IP valla cifrado, se necesitarían las direcciones Ip origen destino para que los
encaminadores intermedios puedan realizar su labor.

Protocolo KMP (Key Management Protocol)

Proporciona administración y el intercambio seguro de todas las claves involucradas en el
despliegue de IPSec y una autenticación básica entre extremos basada en Hmac con clave
secretas.
Asociaciones de seguridad (AS)
Es una conexión en un solo sentido brindando varios servicios de seguridad y están definidas
por:
 SPI (security Parameter index)
 Ip de destino de conexión
 Identificador, nos da información de que servicios de seguridad se están utilizando AH
O ESO
Bases de datos de las IPSec
SPD (Security Police database ) especifica las políticas de aplicación al tráfico.
SAD (Security Association database ) contiene parámetros asociados con cada una de las As
individualmente.
 2. Describir las ventajas de la arquitectura IPSec sobre los protocolos no seguros.
 Seguridad para todas las aplicaciones.
 Transparente a la capa de transporte y a los usuarios.
 Extensible a nuevos algoritmos y protocolos de intercambio de claves.
 Trabaja sobre IP v.4 e incorporado a IP v.6.
 Al funcionar a Nivel 3 de Red, resulta totalmente transparente a las aplicaciones. A
diferencia de SSL, que sólo funciona con HTTP, IPSec puede efectuar conexiones
seguras para todas las aplicaciones TCP/IP, incluyendo HTTP, FTP, Telnet y SMTP.
Dada su transparencia, también puede trabajar en conjunción con aplicaciones que
usen protocolos de seguridad de Nivel 3, como SSL y S/MIME.
 Es independiente de la topología de la red. Puesto que sólo añade seguridad a los
prácticamente universales protocolos TCP/IP, funciona con todas las topologías de red,
incluyendo Ethernet, Token-Ring y PPP.
 A diferencia de otros protocolos de tunneling como PPTP y sus derivados L2F, L2TP y
Step, IPSec ofrece encriptación
 Ofrece poca sobrecarga de procesamiento según sea el caso o el escenario
 Ofrece seguridad para un flujo concreto de un determinado usuario, con esto podemos
darle seguridad a un determinado usuario donde se puede hacer desde el inicio hasta el
fin de la transmisión de datos.

3. Elaborar una tabla con las características y diferencias entre los protocolos de
seguridad creados para redes inalámbricas WLAN.
Característica WWEP WEP más WPA WPA2
802.1X
Identificación Usuario y/o Usuario y/o Usuario y/o Usuario y/o
maquina maquina maquina maquina
Autenticación Clave EAP EAP o preclave EAP o preclave
Compartida compartida compartida
Integridad 32 bits ICV 2 32 bits ICV 64 bits MI3C 3 Modo contador,
cambia el valor
del bloque
Forma de Claves Claves por Claves por CCMP - AES
encriptación estáticas sesión paquetes de
rotación vía TKIP
Clave de Una vez de Segmentación Derivado de PMK Derivado de PMK
Distribución forma manual PMK
Vector de Texto Plano Texto Plano 24 Extendido de 64 48 bits por
Inicialización 24 bits bits bits numero de
paquetes (PN
Packet Number)
Algoritmo de RC4 RC4 RC4 AES
 encriptación
Tamaño de la 64 / 128 bits 64 / 128 bits 128 bits 128 bits
Clave
Soporte de Ninguna RADIUS RADIUS RADIUS
Infraestructura

Colaborativa
1. Cada estudiante debe implementar una red WAN mediante la herramienta Cisco
Packet Tracer y habilitar un túnel VPN a través de IPSec, utilizando los
dispositivos de red que considere necesarios. En el foro debe compartir el
archivo .pkt

RED WAN
Asignación del direccionamiento IP en la red a cada dispositivo y enrutamiento.
Instalación del paquete de seguridad
Configuración del protocolo VPNIPSec

Generamos tráfico
Verificación de la encriptación de los paquetes
 CONCLUSIONES

 La seguridad en las redes inalámbricas es un aspecto importante que no puede ser

ignorado. Dado que la transmisión se realiza a través de un medio inseguro, se
necesitan mecanismos para garantizar la confidencialidad de los datos, así como su
integridad y autenticidad.
 El sistema WEP, que está incluido en el estándar IEEE 802.11 para brindar seguridad,
tiene varias debilidades que lo hacen inseguro, por lo que se deben buscar alternativas.
 Por medio del software Cisco Packet Tracer, puedo verificar las posibles
vulnerabilidades que se presentan al usar una red pública, pero, por medio de una red
VPN, puedo convertir esta red pública a privada, evitando así, algunos problemas de
inseguridad informática
 REFERENCIAS BIBLIOGRAFICAS

Carceller, C., Campos, S., & García, M. (2013). Servicios en red. Madrid, ES: Macmillan Iberia,
S.A. (pp. 235 - 243). https://elibro-net.bibliotecavirtual.unad.edu.co/es/ereader/unad/43261?
page=235

Deshmukh, D. & Iyer, B. (2017). Design of IPSec Virtual Private Network For Remote Access.
International Conference on Computing, Communication and Automation
(ICCCA2017). https://ieeexplore-ieee-org.bibliotecavirtual.unad.edu.co/stamp/stamp.jsp?
tp=&arnumber=8229894

Musa, S. M. (2018). Network Security and Cryptography. Mercury Learning & Information. (pp.
435-475). https://bibliotecavirtual.unad.edu.co/login?url=http://search.ebscohost.com/
login.aspx?direct=true&db=nlebk&AN=1809143&lang=es&site=eds-
live&scope=site&ebv=EB&ppid=pp_435

Ing. Alex González Paz1, MSc. David Beltrán Casanova2, Dr. C. Ernesto Roberto Fuentes
Gari1. (2016). PROPUESTA DE PROTOCOLOS DE SEGURIDAD PARA LA RED
INALÁMBRICA LOCAL DE LA UNIVERSIDAD DE CIENFUEGOS. 05 ABRIL 2022, de sCIELO
Sitio web: http://scielo.sld.cu/scielo.php?script=sci_arttext&pid=S2218-
36202016000400017#:~:text=Los%20protocolos%20de%20seguridad%20que,control%20de
%20acceso%20(ACL)%20que

HUAWEI. (2020). Ventajas y desventajas de IPSec. 04 ABIL 2022, de HUAWEI Sitio web:
https://forum.huawei.com/enterprise/es/ventajas-y-desventajas-de-ipsec/thread/630797-100233

UNAM. (2019). IPSEC. 05 abril 2022, de UNAM MEXICO Sitio web:

http://www.ptolomeo.unam.mx:8080/jspui/bitstream/132.248.52.100/204/5/A5.pdf

Oracle. (2010). Capítulo 19 Arquitectura de seguridad IP (descripción general). Recuperado de:

https://docs.oracle.com/cd/E19957-01/820-2981/ipsec-ov-1/index.html

Tutoriales en línea. (2015). Blogspot. Capítulo 19 Arquitectura de seguridad IP (descripción

general) https://tutorialesenlinea.es/40-protocolos-de-seguridad-en-redes-inalambricas.html