Tema3 PDF

Seguridad en Sistemas Distribuidos
Jos M. Sierra
Tema 4:
Seguridad en el nivel de Red.
Arquitectura de seguridad IPSEC
Introduccin
o Seguridad en Internet
o es posible?
o Continuas noticias, virus, ataques, engaos, ...
o Aprovechar sus ventajas sin perder privacidad
o qu diferencia a Ipsec?
o Solucin global
o Aplicable a nodos finales e intermedios
o Soluciones particulares sencillas que conforma

un todo
Jos M. Sierra
Elementos
o Host
o Sistema que puede iniciar/recibir mensajes, pero que
no puede actuar como intermediario de comunicaciones
o Solo puede suministrar servicios IPsec a s mismo.
o Gateway (pasarela)
o Sistema que puede iniciar/recibir mensajes, y puede
actuar como intermediario de comunicaciones
o Solo puede suministrar servicios IPsec a s mismo.
Jos M. Sierra
o Paquete IPv4
Jos M. Sierra
4
TCP/IP
o Paquete IPv6
Jos M. Sierra
Arquitectura IPSEC
en Sistemas Distribuidos
Seguridad
INTRODUCCIN
o Arquitectura de seguridad IPsec

o Servicios de seguridad opcionales en el nivel de red (IETF)
o Incluido en IPv6 Draft Standard (1998)
o IPsec incluye dos protocolos de seguridad

o Cabecera de autenticacin (AH)
Jos M. Sierra
o Servicios de Integridad y autenticacin

o Mecanismos de firma digital o funciones resumen con clave
Encapsulacin segura del campo de carga (ESP)
o Servicios Confidencialidad, integridad y autenticacin
o Mecanismos de cifrado del campo de carga, firma digital o
funciones resumen con clave
Protocolos de IPSec
o Protocolo para la gestin y negociacin de
parmetros de seguridad
o Asociacin de Seguridad (SA)
o Una asociacin de seguridad es una relacin entre
dos o ms entidades y que describe cmo stas
utilizarn los servicios de seguridad para
comunicarse de forma segura.
o Internet Security Association and Key Management
Protocol
o Protocolo IKE e IKEv2
o Protocolo opcional
Jos M. Sierra
o IPCOMP
7
Modos de funcionamiento
o Transport mode
o Proteccin primaria para las capas superiores ,
no modifica ni encapsula el protocolo IP.
o Tunnel mode
o Se aplica una proteccin al todo el paquete IP,
modificandolo.
Jos M. Sierra
Encapsulado segn modo
Jos M. Sierra
Original
IP
TCP
DATOS
Modo Tnel
IPpub
ESP
IPpriv
TCP
DATOS
ESP
Protegido
Modo Transporte
IPpriv
ESP
TCP
DATOS
ESP
Protegido
9
Cabecera de Autenticacin (AH)

o Proporciona integridad y autenticacin a los datagramas
IP.
o sto se realiza computando una funcin resumen
sobre el datagrama, empleando una clave secreta en

dicho clculo.
o La informacin de auntenticacin se calcula utilizando

todos los campos del datagrama que no van a cambiar
durante el trnsito
Jos M. Sierra
f k&
Datagrama IP
&
10
Cabecera de Autenticacin
o Su uso aumentar los costes de procesamiento de
protocolo IP y la latencia de las comunicaciones.
o Este mecanismo proporciona una seguridad ms fuerte
que la existente en la mayora de la actual Internet, y
no debe afectar a la interoperatividad, ni aumentar el
coste de implementacin.
o Las mquinas que soporten IPv6 tienen que implementar
la Cabecera de Auntenticacin con el algoritmo de MD5
y claves secretas de 128 bits.
Jos M. Sierra
11
AH
o Formato
Next Header
Payload Length
Reserved
Security Parameter Index

Sequence Number Field
Authentication Data
o Colocacin
IPv6 Header
Jos M. Sierra
AH
TCP and Application header and Data
12
Encapsulacin Segura del Campo de Carga

o Integridad, autenticacin y confidencialidad

o Encapsulacin cifrada del datagrama IP (ESP)
o Cabecera no cifrada
o se utiliza para conducir los datos protegidos a travs
de la red. El receptor retira y descarta la cabecera y
sus opciones no cifradas
o La utilizacin de ESP puede provocar un

decremento importante del rendimiento y la
latencia de las comunicaciones de los sistemas
de informacin.
Jos M. Sierra
13
ESP
oEncapsulating Security Payload
Jos M. Sierra
Se cifra el datagrama y este se incluye en

un paquete ESP.
IPv6 Datagram
Copy the header
ESP
Cip.
14
ESP
o Formato
Security Parameter Index
Sequence Number Field
Encrypted Data and Parameters
Authentication Data
o Colocacin
IPv6 Header
Jos M. Sierra
ESP Header
ESP Payload
ESP Trailer
Auth. Data
15
IKE en general
o Internet Key Exchange (IKE) permite que
dos extremos se autentiquen mutuamente y
establezcan un canal seguro.
o A continuacin, IKE permitir negociar las
asociaciones de seguridad (SA) del
protocolo IPsec.
Jos M. Sierra
16
Internet Key Exchange

o Alternativa al intercambio manual de claves

o Su objetivo es la negociacin de una Asociacin
de Seguridad (AS) IPsec
o Se trata de un protocolo en dos fases
o Fase I
o Proteccin del canal de comunicacin
o AS ISAKMP
o Modos de funcionamiento
o Main (principal), Aggresive (acelerado) y Base
o Fase II
Jos M. Sierra
o Negociacin de un par de AS
o AS IPSEC
o Quick Mode (rpido)

17
IKE
o Fase I
o Autenticacin
o Secreto compartido (PSK)
o Firma digital
o Cifrado de clave pblica
o Kerberos
o Intercambio (Main Mode)
Jos M. Sierra
Initiator
Responder
---------HDR, SA
------------>
<--
HDR, KE, Ni
-->
<-HDR*, IDii, HASH_I
HDR, SA
HDR, KE, Nr
-->
<--
HDR*, IDir, HASH_R
18
IKE
o Fase II
o Negociacin de AS IPSEC (una o varias)
o Quick Mode
Initiator
Responder
-----------
-----------
HDR*, HASH(1), SA, Ni

[, KE ] [, IDci, IDcr ] -->
<--
HDR*, HASH(2), SA, Nr

[, KE ] [, IDci, IDcr
Jos M. Sierra
HDR*, HASH(3)
-->
19
IKE
o Esquema general para la negociacin de
parmetros de seguridad
o Definicin de Dominios de Interpretacin
(DoI)
o Gestin comn de la negociacin
o Nuevos protocolos de cualquier capa de la pila
de red
o Protocolos actuales de seguridad
Jos M. Sierra
20
L2TP/IPSec
o Encapsulado L2TP de la trama PPP.

o Encapsulado IPSec del mensaje L2TP.
o Cifrado IPSEc del contenido de los paquetes
L2TP.
o De los protocolos de IPSec (AH y ESP) se
utiliza ESP (Encapsulating Security Payload).
Jos M. Sierra
21

Tema3 PDF

Caricato da

Informazioni sul documento

Titolo originale

Copyright

Formati disponibili

Condividi questo documento

Condividi o incorpora il documento

Opzioni di condivisione

Hai trovato utile questo documento?

Questo contenuto è inappropriato?

Copyright:

Formati disponibili

Tema3 PDF

Caricato da

Copyright:

Formati disponibili

Seguridad en Sistemas Distribuidos

o Aprovechar sus ventajas sin perder privacidad

o Soluciones particulares sencillas que conforma

Seguridad en Sistemas Distribuidos

o Arquitectura de seguridad IPsec

o IPsec incluye dos protocolos de seguridad

o Servicios de Integridad y autenticacin

Seguridad en Sistemas Distribuidos

o Protocolo IKE e IKEv2

Seguridad en Sistemas Distribuidos

Encapsulado segn modo

Seguridad en Sistemas Distribuidos

Cabecera de Autenticacin (AH)

sobre el datagrama, empleando una clave secreta en

o La informacin de auntenticacin se calcula utilizando

Seguridad en Sistemas Distribuidos

Security Parameter Index

TCP and Application header and Data

Encapsulacin Segura del Campo de Carga

o Integridad, autenticacin y confidencialidad

o La utilizacin de ESP puede provocar un

oEncapsulating Security Payload

Se cifra el datagrama y este se incluye en

Copy the header

Seguridad en Sistemas Distribuidos

Seguridad en Sistemas Distribuidos

Internet Key Exchange

o Alternativa al intercambio manual de claves

o Quick Mode (rpido)

o Intercambio (Main Mode)

<-HDR*, IDii, HASH_I

HDR*, IDir, HASH_R

HDR*, HASH(1), SA, Ni

HDR*, HASH(2), SA, Nr

Seguridad en Sistemas Distribuidos

o Encapsulado L2TP de la trama PPP.

Potrebbero piacerti anche