Scribd Logo
Cargar

¡Te damos la bienvenida a Scribd!

  • IPsec

    Cargado por

    wilmer_mujica
    20 vistas16 páginas

    Título original

    IPsec.ppt

    Derechos de autor

    © © All Rights Reserved

    Formatos disponibles

    PPT, PDF, TXT o lea en línea desde Scribd

    ¿Le pareció útil este documento?

    ¿Este contenido es inapropiado?

    Denunciar este documento

    Copyright:

    © All Rights Reserved
    Descargue como PPT, PDF, TXT o lea en línea desde Scribd
    Marcar por contenido inapropiado
    20 vistas16 páginas

    IPsec

    Cargado por

    wilmer_mujica

    Copyright:

    © All Rights Reserved
    Descargue como PPT, PDF, TXT o lea en línea desde Scribd
    Marcar por contenido inapropiado
    de 16

    Capítulo 8, Sección 8.

    6: IPsec

    Material basado en el Texto:


    Computer Networking: A Top Down
    Approach Featuring the Internet,
    Jim Kurose, Keith Ross.

    8.6-1
    Capítulo 8 contenidos
    8.1 ¿Qué es la seguridad en la red?
    8.2 Principios de criptografía
    8.3 Integridad de mensajes
    8.4 Dando seguridad a e-mail
    8.5 Conexiones TCP seguras: SSL
    8.6 Seguridad en capa de Red: IPsec
    8.7 Seguridad en redes locales
    inalámbricas
    8.8 Cortafuegos y Sistemas de detección
    de intrusión (IDS) Network Security 8.6-2
    ¿Qué es confidencialidad en
    la capa de red ?
    Entre la capa de red de dos nodos:
     Quien envía encripta los datos del
    datagrama (no su encabezado),
    posibles tipos de datos:
     Segmento TCP o UDP, mensajes ICMP, OSPF
     Los datos enviados de un nodo a otro se
    ocultan:
     Páginas web, e-mail, archivos P2P, paquetes
    SYN de TCP.

    Network Security 8.6-3


    Virtual Private Networks (VPNs)
    motivación:
     Las instituciones requieren a menudo redes
    privadas por seguridad.
     Son costosas: se debe contar con routers, links,
    DNS.
     Con VPN: el tráfico entre oficinas -distantes-
    de la institución es enviado a través de
    Internet pública.
     Se encripta antes de ingresar a la red pública, se
    descifra luego de salir de la red pública.
     Hay una separación lógica, no física, de otros
    tráficos.
    Network Security 8.6-4
    Virtual Private Networks (VPNs)
    public IP
    IPsec
    laptop
    header
    Internet
    header Secure
    payloa
    w/ IPsec
    d
    e
    d

    he
    Secur

    IP r
    payloa

    ad
    e
    Ingeniero

    IPs der
    he
    a
    ec
    en hotel
    r
    IPsec
    heade

    Se load
    pa
    cu
    r

    y
    router w/
    heade

    router w/

    re
    IP

    IPv4 and IPsec IPv4 and IPsec


    ad

    No todo el

    he
    IP er
    ylo

    ad
    pa

    tráfico

    pa
    Internet va con

    ylo
    er
    he P
    ad

    ad
    I

    IPsec.
    Ej. acceso a
    google
    Of. regional
    Oficinas centrales (headquarters) Network Security 8.6-5
    Servicios IPsec
     Integridad de datos
     Autenticación de origen
     Prevención de ataque de reproducción
     confidencialidad

     Características:
     Datagrama IPsec es emitido y recibido por sistemas extremos
     Protege protocolos de capas superiores
     Apropiado para VPNs

     Dos protocolos con modelos de servicio diferentes:


     AH (Authentication Header): Autentica fuente y da integridad.
     ESP (Encapsulation Security Payload): Igual que AH más confidencialidad.

    Network Security 8.6-6


    Modos en IPsec: túnel y transporte

    IPsec IPsec
    IPsec IPsec

     Túnel: IPsec en  Transporte: IPsec


    routers de borde en Hosts

    Network Security 8.6-7


    Dos Protocolos IPsec
     Protocolo Authentication Header (AH)
     Provee: autenticación de fuente e integridad
    de datos, pero no confidencialidad.
     Protocolo Encapsulation Security
    Payload (ESP)
     Provee: autenticación de fuente, integridad
    de datos y confidencialidad
     ESP es más usado que AH
     ESP, según su configuración, puede proveer
    sólo encriptación (no es recomendado), sólo
    autenticación.
    Network Security 8.6-8
    Asociaciones de Seguridad (SAs)
     Antes de enviar datos, se establece una “asociación
    de seguridad (security association SA)” desde la
    fuente al destino IPsec
     SAs son simplex: en una dirección
     Si hay datos de regreso, la otra fuente arma otra
    asociación
     Los nodos extremos en IPsec mantienen información
    de estado sobre la SA.
     Recordar: extremos en TCP también mantienen estado
     IP es sin conexión; pero IPsec es orientado a la conexión!
     ¿Cuántas SAs hay en una oficina central que se
    interconecta con una oficina regional y con n
    ingenieros en terreno?

    Network Security 8.6-9


    Ejemplo de SA de R1 a R2
    Oficina central Internet
    of. regional

    200.168.1.100 193.68.2.23

    R1 security association
    172.16.1/24 (SA) R2
    172.16.2/24

    En base de datos, R1 almacena para cada SA:


     Identificador de SA de 32-bit: Security Parameter Index (SPI)
     Interfaz SA origen (200.168.1.100)
     Interfaz SA destino (193.68.2.23)
     Tipo de encriptación usada (e.g., 3DES con CBC)
     Clave de encriptación
     Tipo de chequeo de integridad usado (e.g., HMAC con MD5)
     Clave de autenticación
    Network Security 8.6-10
    Datagrama IPsec
    Caso modo túnel con ESP
    Autenticado
    encriptado
    Header IP ESP Header IP Datos del datagrama ESP ESP
    nuevo hdr original IP original trl auth

    Seq pad next


    SPI padding
    # length header

    Caso modo transporte, ESP no provee


    integridad y autenticación a todo elNetwork Security 8.6-11
    ¿Cómo R1 arma el datagra ma?
    Oficina central Internet
    sucursal

    200.168.1.100 193.68.2.23

    R1 security association
    172.16.1/24 (SA) R2
    172.16.2/24
    Header IP
    con dirección
    origen R1 y Autenticado Código de
    destino R2 Autenticación
    encriptado
    de Mensaje
    Header IP ESP Header IP Datos del datagrama ESP ESP
    nuevo hdr original IP original trl auth

    Para que R2 Seq pad next


    busque en DB SPI Parra reconocer padding
    # length header
    datos de ataque de
    esa SA reproducción
    Network Security 8.6-12
    Resumen: servicio IPsec

     Si el atacante se ubica entre R1 y R2. Si


    éste no conoce las claves,
     ¿Será capaz de ver el contenido del
    datagrama original? Verá dirección fuente y
    destino? Protocolo de transporte? Puerto de
    la aplicación?
     ¿Podrá cambiar los bits sin ser detectado?
     ¿repetir un datagrama antiguo sin ser
    detectado?

    Network Security 8.6-13


    IKE: Internet Key Exchange
     Ejemplos previos: supusimos establecimiento
    manual de IPsec SAs en puntos extremos:
    Ejemplo SA
    SPI: 12345
    Source IP: 200.168.1.100
    Dest IP: 193.68.2.23
    Protocol: ESP
    Encryption algorithm: 3DES-cbc
    HMAC algorithm: MD5
    Encryption key: 0x7aeaca…
    HMAC key:0xc0291f…
     Configuración manual no es práctica para VPN
    con centenas de puntos de llegada.
     En su lugar se usa IPsec IKE (Internet Key
    Exchange)
    Network Security 8.6-14
    Resumen IPsec
     Se intercambian mensajes IKE para definir
    algoritmos, claves secretas, números SPI.
     Se usa protocolo AH o ESP (o ambos)
     AH provee integridad, autenticación de
    fuente
     ESP (con AH) provee adicionalmente
    encriptación
     Pares IPsec pueden ser dos sistemas
    terminales, dos routers/cortafuegos, o un
    router/cortafuegos y un sistema terminal

    Network Security 8.6-15


    Capítulo 8 contenidos
    8.1 ¿Qué es la seguridad en la red?
    8.2 Principios de criptografía
    8.3 Integridad de mensajes
    8.4 Dando seguridad a e-mail
    8.5 Conexiones TCP seguras: SSL
    8.6 Seguridad en capa de Red: IPsec
    8.7 Seguridad en redes locales
    inalámbricas
    8.8 Cortafuegos y Sistemas de detección
    de intrusión (IDS) Network Security 8.6-16

    También podría gustarte