Seguridad en comunicaciones

IP satelitales
Modulo 5
Docente: Diego Alejandro Rivera Montaño
UAGRM - Santa Cruz - Bolivia
Comunicaciones satelitales
• Toda red satelital presenta una falla en común: La seguridad.
• Al ser una red inalámbrica de gran cobertura, cualquier usuario
recibe la señal dirigida a sus vecinos.
• Esto se soluciona inicialmente mediante el uso de códigos (CDMA)
para poder dirigir el trafico a un solo dispositivo.
• Este tipo de codificación no representa seguridad, ya que mediante
la configuración adecuada de equipos, se puede robar la
información.
Comunicaciones satelitales
• La solución mas efectiva es el uso de encriptación.
• La encriptación permite la modificación de la información mediante
el uso de una llave y un algoritmo de encriptación.
• El algoritmo toma la llave y utiliza su valor para modificar la
información en base a una serie de procesos.
• Las comunicaciones de TV satelital emplean comunicaciones
encriptadas que solo pueden ser entendidas por dispositivo que
conocen la llave.
• Para las redes de datos, su mejor opción es el uso de VPNs IPSec.
Características de seguridad

Autenticación Integridad

Confidencialidad
Autenticación
• Verificar la identidad de un usuario.
• El uso de la autenticación permite definir quien puede acceder a un sistema.
• Sobre este principio se puede aplicar AAA.
• Autenticación.
• Autorización.
• Auditoria.

• Ejemplo: un usuario que emplea un nombre de usuario y password para acceder a

una computadora.
• Se puede implementar mediante sistemas de base de datos local o mediante
sistemas externos como Radius.
Integridad
• Proporcionar una garantía de que la información no ha sido modificada.
• El receptor recibe el mensaje tal como fue generado por el transmisor.
• El primer método de integridad era colocar un sello en una carta.
• Hoy en día se puede lograr en sistemas informáticos mediante el uso de
algoritmos de Hash.
• Un algoritmo Hash permite realizar un calculo que genere un valor numerico, el
cual, si aplicado tanto en la transmisión como en la recepción, puede ser utilizado
para verificar que la información no ha sido modificada.
 MD5
SHA-1
Hash
• Existen múltiples métodos de Hash.
• Los mas usados en redes son:
• MD5 (Debil)
• SHA-128
• SHA-224
• SHA-256
• SHA-384
• SHA-512
HMAC
• Existe una variante conocida como Hash para autenticación o Keyed-Hash
Message Authentication Code (KHMAC – HMAC).
• A diferencia de Hash, HMAC utiliza tanto los datos de entrada como una clave.
• Esto garantiza que los únicos que podrán realizar el calculo de Hash y verificar la
integridad serán el transmisor y el receptor.
• Esto se hace para evitar ataques de Man-in-the-middle.
• Se usan:
• HMAC-MD5
• HMAC-SHA
Hash
• Los usos mas comunes de Hash son:
• Autenticación para protocolos de enrutamiento dinámico.
• Protocolo CHAP.
• VPNs IPSec. Lo utilizan para verificar integridad y ayudar en la autenticación.
• Verificación de archivos descargados.
Confidencialidad
• Garantizar que los únicos usuarios que pueden ver la información son aquellos
que están autorizados.
• Esto se puede realizar mediante la encriptación de información en el origen, y su
desencriptación en el destino.
• La encriptación puede ser muy simple, como el transposición de letras.
• Ejemplo: En lugar de usar la letra A, se puede usar la letra D, haciendo una
transposición de 3 letras.
• El saber que se esta usando una transposición de 3 letras se conoce como la clave.

• Solo aquellos que conocen la clave pueden desencriptar y ver la información.

Claves - Keys
• Todo mecanismo de encriptación depende de la clave empleada.
• Mientras mayor sea la complejidad de la clave, mayor será el grado de dificultad
para robar información.
• La longitud de clave es la longitud en bits, y mientras mayor sea, mas
posibilidades de clave se tendrán.
• El espacio de clave es la cantidad de posibles claves que se pueden generar con
esa cantidad particular de caracteres.
• El espacio de clave es 2 elevado a la potencia de la longitud de clave.
Encriptación simétrica
• Se conocen como algoritmos de clave pre-compartida.
• Una clave pre-compartida se encuentra instalada en cada equipo, y es empleada
tanto para la encriptación y desencriptación de la información.
• Usualmente se configura de forma manual en cada extremo de la comunicación.
• Se tiende a usar claves mas cortas, ya que al ser claves pre-compartidas, habrá
menos posibilidad de robo de información.
• Claves mas cortas implican una mayor velocidad de comunicación.
Encriptación asimétrica
• Se conocen como algoritmos de clave publica.
• Emplean diferentes claves para encriptar y desencriptar.
• Existe una comunicación sin necesidad de contar con una clave pre-compartida.
• Se emplean claves muy largas.
• Un algoritmos asimétrico es de 100 a 1000 veces mas lento que los sistemas
simétricos.
Usos de sistemas simétricos y
asimétricos
• En el caso de los sistemas de encriptación simétricos, se tienen los siguientes
ejemplos de algoritmos:
• DES
• 3DES
• AES
• SEAL
• RC
• Blowfish
• Twofish
• Threefish
• Serpent
Usos de sistemas simétricos y
asimétricos
• Los sistemas simétricos trabajan en dos modos:
• Por bloques
• Por rafaga
Usos de sistemas simétricos y
asimétricos
• Los sistemas asimétricos mas avanzados emplean una combinación con los
sistemas simétricos.
• Emplean una clave publica y una clave privada.
• La clave privada es establecida en cada equipo antes de iniciar las
comunicaciones.
• La clave publica es establecida y negociada al iniciar la comunicación.
• Para evitar que la clave publica sea descubierta, se emplea la clave privada para
encriptarla.
• La idea es encriptar la información con una clave y desencriptar con otra.
Como funciona con dos claves?
• El usuario A quiere enviar un paquete al usuario B.
• Se genera una clave publica en cada extremo. Esta llave publica se genera
empleando la llave privada. La clave publica es una cadena encriptada que solo
podrá ser descifrada por aquel que tenga la clave privada.
• El usuario A emplea la clave publica del usuario B para encriptar la información.
• El usuario B recibe la información y la desencripta usando su clave privada.
• Ambos usuarios conocen la llave publica de su vecino, pero solo ellos conocen
sus llaves privadas.
• Esto significa que en el momento en que
VPN – Virtual Private Network
• Enlace entre dos dispositivos que se considera privado:
VPN
• Una VPN provee una conectividad entre dispositivos remotos
sobre una infraestructura publica imitando el comportamiento de
una red local.
• Los servicios que puede dar una VPN son:
• Disponibilidad
• Integridad/Autenticación
• Confidencialidad
VPN
• Un concepto importante: Una VPN no significa encriptación.
• Una VPN provee la conectividad entre dos dispositivos. La seguridad sobre esa
comunicación se logra mediante el uso de algún método de encriptación:
Tipos de VPN
• Dependiendo del tipo de acceso podemos tener dos tipos de VPNs:
• Sitio a sitio:
Tipos de VPN
• Dependiendo del tipo de acceso podemos tener dos tipos de VPNs:
• Usuario remoto:
IPSec
• IPSec es un framework o un esquema de estándares
abiertos desarrollados por la IETF para crear un túnel
seguro en la capa de red.

• IPSec no esta limitado a un solo tipo de encriptación,

autenticación, intercambio de llaves o algoritmo de
seguridad.
IPsec Protocol Framework
Asociaciones de seguridad - SA
• Es una contrato entre dos partes indicando que parámetros de seguridad, llaves y
algoritmos se van a utilizar.
• Se identifican mediante un SPI (Security Parameter Index).
Asociaciones de seguridad - SA
• Una SA determina que valores a utilizar con cada conexión y se vuelven valores
estáticos:
Confidencialidad
Integridad
Autenticación
Intercambio de llaves

ESP
AH ESP
+ AH

3
DES AES SEAL
DES

MD5 SHA

PSK RSA

DH1 DH2 DH5 DH7

768 bits 1024 bits 1536 bits
Protocolos de IPSec
• IPSec no es un protocolo, sino que es un esquema de
métodos, como se menciono antes.
• Para funcionar en el modelo TCP/IP, se necesita usar un
protocolo.
• IPSec cuenta con dos protocolos para esto:
• ESP: Enfocado a la confidencialidad
• AH: Enfocado a la integridad
AH – Authentication Header
• AH provee integridad y autenticación:
• Garantiza la identidad del transmisor.
• Emplea algoritmos de SHA y MD5 para lograr esto.
 Encapsulating Security Payload (ESP)
• ESP provee los mismos servicios que AH, pero también puede
garantizar confidencialidad.
Intercambio de llaves
• IPSec realiza los siguientes pasos:
• Negocia los parámetros para intercambiar las llaves (IKE).
• Establece las llaves y las intercambia (DH).
• Autentica al otro extremo.
• Negocia los parámetros que se van a usar para la integración y encriptación
de la información.

• Lo negociado se convierte en la SA.

• IKE utiliza ISAKMP y Oakley para hacer este intercambio.
Fases IKE
• Toda comunicación IKE tiene dos fases:
• Autenticación
• Intercambio de llaves

• Existen dos modos para hacer esto:

• Modo pasivo
• Modo agresivo

• La diferencia entre los dos modos es simplemente la cantidad de

paquetes que se intercambian antes de dar el visto bueno a una
autenticación.
Fases IKE
Como funciona IPSec? – Paso 1 – Trafico
interesante
Como funciona IPSec? – Paso 2 – Fase 1 IKE
Como funciona IPSec? – Paso 3 – Fase 2 IKE
Como funciona IPSec? – Paso 4 – Sesión
IPSec
VPN en redes satelitales
• Las transmisiones basadas en TCP sufren de muchas complicaciones en redes
satélites.
• Las redes satélites agregan un retardo elevado a toda transmisión.
• TCP maneja el concepto de ventana deslizante para proveer un control de congestión,
estimando posibles retardos.
• Pero aun así las comunicaciones con elevado retardo pueden no funcionar en redes
satelitales.
• Se han proporcionado múltiples soluciones, como ser extensiones del protocolo:
• TCP Peach
• TCP Westwood
• TCP Hybla
• Pero ninguna de estas soluciones es aceptada por los fabricantes como un estándar.
Performance Enhancement Proxies
• Los PEPs son introducidos en una red para utilizar protocolos optimizados.
Performance Enhancement Proxies
• Se establecen tres conexiones.
• Emisor-PEP
• PEP-PEP
• PEP-Receptor

• A esta técnica también se la conoce como TCP-Splitting.

• Los PEPs buscan la división de la conexión TCP.
• Estas divisiones son transparentes para el emisor y el receptor.
• Estos equipos buscan enviar paquetes ACK al emisor, antes de que el receptor
reciba la información completa.
• Esto ayuda a que no se de un timeout antes de terminar la comunicación.
VPN en redes satelitales
• IPSec no colabora con el funcionamiento de los PEPs.
• PEP busca la modificación y división de la cabecera TCP, mientras que IPSec
protege a la cabecera TCP de cualquier modificación.
• Existe el protocolo ML-IPSec, el cual establece los túneles mediante múltiples
SAs. Este protocolo funciona sin necesidad de interferir con los PEPs, pero
requiere de hardware especializado.
• Otra alternativa es mediante lo que se conoce como Trusted PEPs, en la cual el
proveedor establece un túnel IPSec entre el cliente y su red. Esto depende de la
disponibilidad del servicio por parte del proveedor.
• Finalmente, si no se cuenta con el servicio por parte del proveedor, la mejor
opción es optar por un mecanismo de calidad de servicio para priorizar trafico.