Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
Jos M. Sierra
Tema 4:
Seguridad en el nivel de Red.
Arquitectura de seguridad IPSEC
Introduccin
Seguridad en Sistemas Distribuidos
o Seguridad en Internet
o es posible?
o Continuas noticias, virus, ataques, engaos, ...
o qu diferencia a Ipsec?
o Solucin global
o Aplicable a nodos finales e intermedios
Jos M. Sierra
Elementos
Seguridad en Sistemas Distribuidos
o Host
o Sistema que puede iniciar/recibir mensajes, pero que
no puede actuar como intermediario de comunicaciones
o Solo puede suministrar servicios IPsec a s mismo.
o Gateway (pasarela)
o Sistema que puede iniciar/recibir mensajes, y puede
actuar como intermediario de comunicaciones
o Solo puede suministrar servicios IPsec a s mismo.
Jos M. Sierra
o Paquete IPv4
Jos M. Sierra
4
TCP/IP
Seguridad en Sistemas Distribuidos
o Paquete IPv6
Jos M. Sierra
Arquitectura IPSEC
en Sistemas Distribuidos
Seguridad
INTRODUCCIN
Jos M. Sierra
Protocolos de IPSec
o Protocolo para la gestin y negociacin de
parmetros de seguridad
o Asociacin de Seguridad (SA)
o Una asociacin de seguridad es una relacin entre
dos o ms entidades y que describe cmo stas
utilizarn los servicios de seguridad para
comunicarse de forma segura.
o Internet Security Association and Key Management
Protocol
o Protocolo opcional
Jos M. Sierra
o IPCOMP
7
Modos de funcionamiento
Seguridad en Sistemas Distribuidos
o Transport mode
o Proteccin primaria para las capas superiores ,
no modifica ni encapsula el protocolo IP.
o Tunnel mode
o Se aplica una proteccin al todo el paquete IP,
modificandolo.
Jos M. Sierra
Jos M. Sierra
Original
IP
TCP
DATOS
Modo Tnel
IPpub
ESP
IPpriv
TCP
DATOS
ESP
Protegido
Modo Transporte
IPpriv
ESP
TCP
DATOS
ESP
Protegido
9
Jos M. Sierra
f k&
Datagrama IP
&
10
Cabecera de Autenticacin
o Su uso aumentar los costes de procesamiento de
protocolo IP y la latencia de las comunicaciones.
o Este mecanismo proporciona una seguridad ms fuerte
que la existente en la mayora de la actual Internet, y
no debe afectar a la interoperatividad, ni aumentar el
coste de implementacin.
o Las mquinas que soporten IPv6 tienen que implementar
la Cabecera de Auntenticacin con el algoritmo de MD5
y claves secretas de 128 bits.
Jos M. Sierra
11
AH
Seguridad en Sistemas Distribuidos
o Formato
Next Header
Payload Length
Reserved
o Colocacin
IPv6 Header
Jos M. Sierra
AH
12
o Cabecera no cifrada
o se utiliza para conducir los datos protegidos a travs
de la red. El receptor retira y descarta la cabecera y
sus opciones no cifradas
Jos M. Sierra
13
ESP
Seguridad en Sistemas Distribuidos
Jos M. Sierra
ESP
Cip.
14
ESP
o Formato
Security Parameter Index
Sequence Number Field
Encrypted Data and Parameters
Authentication Data
o Colocacin
IPv6 Header
Jos M. Sierra
ESP Header
ESP Payload
ESP Trailer
Auth. Data
15
IKE en general
o Internet Key Exchange (IKE) permite que
dos extremos se autentiquen mutuamente y
establezcan un canal seguro.
o A continuacin, IKE permitir negociar las
asociaciones de seguridad (SA) del
protocolo IPsec.
Jos M. Sierra
16
o Modos de funcionamiento
o Main (principal), Aggresive (acelerado) y Base
o Fase II
Jos M. Sierra
o Negociacin de un par de AS
o AS IPSEC
IKE
Seguridad en Sistemas Distribuidos
o Fase I
o Autenticacin
o Secreto compartido (PSK)
o Firma digital
o Cifrado de clave pblica
o Kerberos
Jos M. Sierra
Initiator
Responder
---------HDR, SA
------------>
<--
HDR, KE, Ni
-->
HDR, SA
HDR, KE, Nr
-->
<--
18
IKE
Seguridad en Sistemas Distribuidos
o Fase II
o Negociacin de AS IPSEC (una o varias)
o Quick Mode
Initiator
Responder
-----------
-----------
Jos M. Sierra
HDR*, HASH(3)
-->
19
IKE
o Esquema general para la negociacin de
parmetros de seguridad
o Definicin de Dominios de Interpretacin
(DoI)
o Gestin comn de la negociacin
o Nuevos protocolos de cualquier capa de la pila
de red
o Protocolos actuales de seguridad
Jos M. Sierra
20
L2TP/IPSec
Seguridad en Sistemas Distribuidos
Jos M. Sierra
21