Ip sec exposicion

Seguridad en Sistemas: IPSec - WWWSeguridad en Sistemas: IPSec - WWW

2ISAKMPISAKMP

3

Internet Security Association and Key Management Protocol (ISAKMP) es un protocolo criptográfico de administración de claves y asociaciones de seguridad de Internet , está definido en el RFC 2408

• Estructura habitual para establecer el formato de los atributos SA, así como para negociar, modificar y eliminar SA. ISAKMP es el estándar IETF para administrar SA IPsec.

• Define los procedimientos para la autenticación entre pares, creación y gestión de asociaciones de seguridad, técnicas de generación de claves, y la mitigación de la amenaza

• Define los procedimientos y formatos de paquetes para establecer, negociar, modificar y eliminar las SA

• Define el formato para el intercambio de generación de claves y datos de autenticación.

ISAKMPISAKMP

4

IPsecIPsecIPsec (Internet Protocol security) es un conjunto de protocolos cuya función es asegurar las comunicaciones sobre el Protocolo de Internet (IP) autenticando y/o cifrando cada paquete IP en un flujo de datos. IPsec también incluye protocolos para el establecimiento de claves de cifrado.

Actúan en la capa de red el modelo OSI. Otros protocolos de seguridad para Internet de uso extendido, como SSL, TLS y SSH operan de la capa de transporte (capas OSI 4 a 7) hacia arriba.

IPsec es flexible y puede ser utilizado para proteger protocolos de la capa 4, incluyendo TCP y UDP. Una ventaja importante de IPsec frente a SSL y otros métodos que operan en capas superiores, para una aplicación usar IPsec no requiere cambios, mientras que para usar SSL y otros protocolos de niveles superiores, las aplicaciones tienen que modificar su código.

Implementaciones: Windows, solaris, Mac Os, Solaris, AIX de IBM, Linux, Cisco

5

Arquitectura de Seguridad IPsecArquitectura de Seguridad IPsec

IPsec está implementado por un conjunto de protocolos criptográficos para (1) asegurar el flujo de paquetes, (2) garantizar la autenticación mutua y (3) establecer parámetros criptográficos.

• La arquitectura de seguridad IP utiliza el concepto de asociación de seguridad (SA) como base para construir funciones de seguridad en IP.

• Es simplemente el paquete de algoritmos y parámetros (tales como las claves) que se está usando para cifrar y autenticar un flujo particular en una dirección .

• En el tráfico bidireccional, los flujos son asegurados por un par de asociaciones de seguridad.

• La decisión final de los algoritmos de cifrado y autenticación (lista definida) le corresponde al administrador de IPsec.

6

Arquitectura de IPSec (1)Arquitectura de IPSec (1)

7

Estado del Estandar IPsecEstado del Estandar IPsec

• Opcional en IPv4 y se viene usando desde 2007.

• Es obligatorio en IPv6.

• Esta diseñado para ser indiferente a las versiones de IP .

• Definido originalmente en los RFC 1825 y 1829 posteriormente 2401 y 2412 finalmente 4301 y 4309.

8

Servicios de Seguridad IPsecServicios de Seguridad IPsec

• Cifrar el tráfico (de forma que no pueda ser leído por nadie más que las partes a las que está dirigido)

• Validación de integridad (asegurar que el tráfico no ha sido modificado a lo largo de su trayecto)

• Autenticar a los extremos (asegurar que el tráfico proviene de un extremo de confianza)

• Anti-repetición (proteger contra la repetición de la sesión segura).

9

Servicios de Seguridad IPsecServicios de Seguridad IPsec

• Control de accesos.

• Integridad no orientada a la conexión.

• Autenticación de origen de los datos.

• Rechazo o reenvió de paquetes.

• Confidencialidad.

• Negociación de Compresión IP.

10

Modos de Operación IPsecModos de Operación IPsec

• Modo Transporte, sólo la carga útil del paquete IP es cifrada o autenticada. El enrutamiento permanece intacto, ya que no se modifica ni se cifra la cabecera IP. Este modo se utiliza para comunicaciones de computador a computador.

• Modo Tunel, datos mas cabeceras del mensaje (paquete IP) es cifrado o autenticado, es encapsulado en un nuevo paquete IP para que funcione el enrutamiento. Este modo se utiliza de comunicaciones de red a red (túneles seguros entre routers), comunicaciones de computador a red, computador a computador sobre internet.

11

Detalle Técnico IPsecDetalle Técnico IPsec

IPsec consta de dos protocolos desarrollados para proporcionar seguridad a nivel de paquete (IPv4 – IPv6).

• Authentication Header (AH) proporciona integridad, autenticación y no repudio si se eligen los algoritmos criptográficos apropiados.

•Encapsulating Security Payload (ESP) proporciona confidencialidad y la opción -altamente recomendable- de autenticación y protección de integridad.


12

Encripta y autentifica el paquete IP interno.

Encripta el IP payload y cualquier extension header del IPv6.

Autentifica el IP payload pero no el IP header.

ESP con autentificación

Encripta el paquete IP interno.

Encripta el IP payload y cualquier extension header del IPv6.

ESP

Autentifica el paquete IP interno completo más ciertas porciones del header del IP externo.

Autentifica el IP payload y ciertas porciones del header IP y el extension header del IPv6.

AH

Tunnel Mode SA

Transport Mode SA


13

Authentication Header (AH)Authentication Header (AH)• AH está dirigido a garantizar integridad sin conexión y autenticación de los datos de origen de los datagramas IP.

• Calcula un Hash Message Authentication Code (HMAC) a través de algún algoritmo hash operando sobre una clave secreta, el contenido del paquete IP y las partes inmutables del datagrama.

• Protección para los protocolos de nivel superior

• end-end (C/S, 2 WS)


14

• Protección del paquete IP completo.

• host-subnet, subnet-subnet.

Tunnel ModeTunnel Mode (Autentificación AH) (Autentificación AH)


15

Encapsulating Security Payload (ESP)Encapsulating Security Payload (ESP)

El protocolo ESP proporciona autenticidad de origen, integridad y protección de confidencialidad de un paquete. ESP también soporta configuraciones de sólo cifrado y sólo autenticación.

0 - 7 bit 8 - 15 bit 16 - 23 bit 24 - 31 bit

Security parameters index (SPI)

Sequence number

Payload data (variable)

Padding (0-255 bytes)

Pad Length Next Header

Authentication Data (variable)


16

Aplicaciones de IPSec Hacer segura la conectividad entre dos

sucursales de una organización sobre Internet: VPN.

Hacer seguro el acceso remoto desde Internet. Establecer conectividad extranet e intranet con

otras organizaciones. Mejorar la seguridad en e-commerce. Mejorar la SET.

IP Security (Overview)IP Security (Overview)


17IP Security: escenarioIP Security: escenario


18

Concepto clave que aparece en los mecanismos de autenticidad y confidencialidad.

Es una relación de un solo sentido (one way) entre un emisor y un receptor.

Una SA se encuentra identificada por 3 parámetros: Security Parameter Index (SPI) Dirección IP Destino Security Protocol Identifier

Security AssociationsSecurity Associations (SA) (SA)


19

Transport mode SA

Tunnel mode SA

Autentificación End-to-End vs. End-to-Autentificación End-to-End vs. End-to-IntermediateIntermediate


20

ESP provee los servicios de confidencialidad (mensaje (total) y tráfico (parcial)).

Encapsulating Security PayloadEncapsulating Security Payload


21

Encripción (long MAC default = 96 bits): Three-key triple DES (3DES) RC5 IDEA Three-key triple IDEA (3IDEA) CAST Blowfish etc. (DOI)

Autentificación: HMAC-MD5-96 HMAC-SHA-1-96

Algoritmos de Encripción y AutentificaciónAlgoritmos de Encripción y Autentificación


22

* = IPSec

Combinaciones de SA’sCombinaciones de SA’s


23

* = IPSec



24

* = IPSec



25

Dos tipos: Manual

Administrador. Automatizada

Oakley Key Determination Protocol. Manejo de claves.

Internet Security Association and Key Management Protocol (ISAKMP). Protocolo de manejo asociado a las claves.

Manejo de ClavesManejo de Claves


26

Presenta tres métodos de autentificación: Firma digital. Criptografía de clave pública. Criptografía de clave simétrica.

Características: cookies. DH para negociar grupos y para intercambio

de claves públicas. números random (defensa contra replay). Autentifica el intercambio DH para evitar

ataques MiM.

OakleyOakley


27

GRACIASGRACIAS

Technology

Ip sec exposicion