Sei sulla pagina 1di 11

Calculo Integral

CÓDIGO: 100411_100

Tarea 2 - Categorizar protocolos de seguridad en redes TCP-IP.

Presentado al tutor:

OMAR ALBEIRO TREJO

Entregado por el estudiante:

JOSE LUIS SISA RAMIREZ – Código: 1072665341

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA - UNAD

ESCUELA DE CIENCIAS BÁSICAS TECNOLOGÍA E INGENIERÍA

30 DE SEPTIEMBRE DE 2019

BOGOTA
1. Elaborar un resumen de los elementos básicos de la arquitectura de protocolo IPSec,

incluir protocolos adicionales que utiliza, funciones principales de cada protocolo y

algoritmos de encriptación utilizados.

IPSec [1] es un estándar que proporciona servicios de seguridad a la capa IP y a todos los

protocolos superiores basados en IP (TCP y UDP, entre otros). Por fin existe un estándar

que aborda las carencias en cuanto a seguridad del protocolo IP. Dichas carencias son muy

graves y, tal como se ha constatado en los últimos años, afectan a la infraestructura misma

de las redes IP. Todas las soluciones anteriores se basaban en soluciones propietarias que

dificultaban la comunicación entre los distintos entornos empresariales, al ser necesario que

éstos dispusiesen de una misma plataforma. La falta de interoperabilidad ha sido el

principal freno para el establecimiento de comunicaciones seguras, dado que no se ve

factible la migración a una determinada plataforma en función de una colaboración

empresarial puntual.

Dentro de IPSec se distinguen los siguientes componentes:

 Dos protocolos de seguridad: IP Authentication Header (AH) e IP Encapsulating

Security Payload (ESP) que proporcionan mecanismos de seguridad para proteger

tráfico IP.

El protocolo AH [5] es el procedimiento previsto dentro de IPSec para garantizar la

integridad y autenticación de los datagramas IP. Esto es, proporciona un medio al receptor

de los paquetes IP para autenticar el origen de los datos y para verificar que dichos datos no

han sido alterados en tránsito. Sin embargo, no proporciona ninguna garantía de

confidencialidad, es decir, los datos transmitidos pueden ser vistos por terceros. Tal como
indica su nombre, AH es una cabecera de autenticación que se inserta entre la cabecera IP

estándar (tanto IPv4 como IPv6) y los datos transportados, que pueden ser un mensaje TCP,

UDP o ICMP, o incluso un datagrama IP completo.


 Un protocolo de gestión de claves Internet Key Exchange (IKE) que permite a dos

nodos negociar las claves y todos los parámetros necesarios para establecer una

conexión AH o ESP.

El objetivo principal del protocolo ESP (Encapsulating Security Payload) es proporcionar

confidencialidad, para ello especifica el modo de cifrar los datos que se desean enviar y

cómo este contenido cifrado se incluye en un datagrama IP. Adicionalmente, puede ofrecer

los servicios de integridad y autenticación del origen de los datos incorporando un

mecanismo similar al de AH. Dado que ESP proporciona más funciones que AH, el

formato de la cabecera es más complejo; este formato consta de una cabecera y una cola

que rodean los datos transportados. Dichos datos pueden ser cualquier protocolo IP (por

ejemplo, TCP, UDP o ICMP, o incluso un paquete IP completo). En la se muestra la

estructura de un datagrama ESP, en la que se observa cómo el contenido o carga útil viaja

cifrado.
2. Explique de forma detallada las ventajas de IPSec sobre los protocolos no seguros.

 Facilita el comercio electrónico de negocio a negocio, al proporcionar una

infraestructura segura sobre la que realizar transacciones usando cualquier

aplicación. Las extranets son un ejemplo.


 Permite construir una red corporativa segura sobre redes públicas, eliminando la

gestión y el coste de líneas dedicadas.

 Ofrece al teletrabajador el mismo nivel de confidencialidad que dispondría en la red

local de su empresa, no siendo necesaria la limitación de acceso a la información

sensible por problemas de privacidad en tránsito.

Trabajo Colaborativo:

1. Para el desarrollo del siguiente punto es necesario descargar el paquete software

Cisco Packet Tracer o GNS3, que se encuentra ubicado en el entorno de

Aprendizaje Práctico. Cada estudiante debe:

 Implementar una red WAN entre dos ciudades:

 Habilitar el servicio VPN e IPSec entre las dos ciudades, utilizar los dispositivos de

red que considere necesarios.

Configuración Router 1

Router#show run
Building configuration...

Current configuration: 1177 bytes


!
version 12.4
no service timestamps log datetime msec
no service timestamps debug datetime msec
no service password-encryption
!
hostname Router
!
!
!
!
!
!
!
!
no ip cef
no ipv6 cef
!
!
!
!
crypto isakmp policy 10
encr aes 256
authentication pre-share
group 2
!
crypto isakmp key toor address 10.0.0.2
!
!
!
crypto ipsec transform-set TSET esp-aes esp-sha-hmac
!
crypto map CMAP 10 ipsec-isakmp
set peer 10.0.0.2
set transform-set TSET
match address 101
!
!
!
!
!
!
spanning-tree mode pvst
!
!
!
!
!
!
interface FastEthernet0/0
ip address 192.168.10.1 255.255.255.0
duplex auto
speed auto
!
interface FastEthernet0/1
no ip address
duplex auto
speed auto
shutdown
!
interface Serial0/1/0
ip address 10.0.0.1 255.0.0.0
encapsulation frame-relay
crypto map CMAP
!
interface Serial0/1/1
no ip address
clock rate 2000000
shutdown
!
interface Vlan1
no ip address
shutdown
!
router rip
network 10.0.0.0
network 192.168.10.0
!
ip classless
ip route 192.168.20.0 255.255.255.0 10.0.0.2
!
ip flow-export version 9
!
!
access-list 101 permit ip 192.168.10.0 0.0.0.255 192.168.20.0 0.0.0.255
!
!
!
!
!
!
line con 0
!
line aux 0
!
line vty 0 4
login
!
!
!
End
Configuración Router 2
Router#show run
Building configuration...

Current configuration : 1197 bytes


!
version 12.4
no service timestamps log datetime msec
no service timestamps debug datetime msec
no service password-encryption
!
hostname Router
!
!
!
!
!
!
!
!
no ip cef
no ipv6 cef
!
!
!
!
crypto isakmp policy 10
encr aes 256
authentication pre-share
group 2
!
crypto isakmp key toor address 10.0.0.1
!
!
!
crypto ipsec transform-set TSET esp-aes esp-sha-hmac
!
crypto map CMAP 10 ipsec-isakmp
set peer 10.0.0.1
set transform-set TSET
match address 101
!
!
!
!
!
!
spanning-tree mode pvst
!
!
!
!
!
!
interface FastEthernet0/0
ip address 192.168.20.1 255.255.255.0
duplex auto
speed auto
!
interface FastEthernet0/1
no ip address
duplex auto
speed auto
shutdown
!
interface Serial0/1/0
ip address 10.0.0.2 255.0.0.0
encapsulation frame-relay
clock rate 2000000
crypto map CMAP
!
interface Serial0/1/1
no ip address
clock rate 2000000
shutdown
!
interface Vlan1
no ip address
shutdown
!
router rip
network 10.0.0.0
network 192.168.20.0
!
ip classless
ip route 192.168.10.0 255.255.255.0 10.0.0.1
!
ip flow-export version 9
!
!
access-list 101 permit ip 192.168.20.0 0.0.0.255 192.168.10.0 0.0.0.255
!
!
!
!
!
!
line con 0
!
line aux 0
!
line vty 0 4
login
!
!
!
end