Lección 6: Arquitectura IPSEC
La arquitectura de IPSec define la granularidad con la que el usuario puede especificar su política de seguridad. Permite que cierto tráfico sea identificado para recibir el nivel de protección deseado. IPsec son la colección de una serie de estándares de la IETF para disminuir las vulnerabilidades de seguridad del protocolo IP en procesos de comunicación, brindando seguridad a las capas superiores y a protocolos como UDP y TCP.
Dentro de IPSec se distinguen los siguientes componentes: Dos protocolos de seguridad: IP Authentication Header (AH) e IP Encapsulating Security Payload (ESP) que proporcionan mecanismos de seguridad para proteger tráfico IP. Un protocolo de gestión de claves Internet Key Exchange (IKE) que permite a dos nodos negociar las claves y todos los parámetros necesarios para establecer una conexión AH o ESP.
ESP (Carga de Seguridad IP Encapsulada). El objetivo principal del protocolo ESP (Encapsulating Security Payload) es proporcionar confidencialidad, para ello especifica el modo de cifrar los datos que se desean enviar y cómo este contenido cifrado se incluye en un datagrama IP. Adicionalmente, puede ofrecer los servicios de integridad y autenticación del origen de los datos incorporando un mecanismo similar al de AH.Índice de Parámetros de Seguridad (SPI) El SPI es un valor arbitrario de 32 bits que, conjuntamente con la dirección de destino IP y el protocolo de seguridad (ESP), identifican unívocamente a la Asociación de Seguridad para este datagrama.
Número de Secuencia Campo de 32 bits sin signo que contiene un valor crecientes y único del contador (del número de secuencia). Es obligatorio y debe estar siempre presente incluso si el receptor elige no habilitar el servicio de anti-replay para una SA específica. El procesamiento del campo Número de Secuencia esta a criterio del receptor, es decir, el emisor debe transmitir siempre este campo, pero el receptor no necesita actuar sobre él.
Datos de la Carga Útil Los Datos de la Carga Útil es un campo de longitud variable que contiene los datos descritos por el campo Siguiente Cabecera. El campo Datos de la Carga Útil es obligatorio y cuya longitud es un número de bytes enteros.
Relleno (para la Encriptación) Varios factores requieren o motivan el uso del campo Relleno.
Si se emplea un algoritmo de encriptación que requiere que el texto plano sea un múltiplo de un cierto número de bytes, por ejemplo, el tamaño de bloque de un bloque cifrado, el campo Relleno es usado para rellenar el texto plano (el cual consta de los Datos de la Carga Útil, y los campos Longitud del Relleno y Siguiente Cabecera, así como también del Relleno) para el tamaño requerido por el algoritmo.
Datos de Autentificación El campo Datos de Autentificación es de longitud variable y contiene el Valor de Comprobación de Integridad (ICV) calculado sobre el paquete ESP menos, los Datos de Autentificación. La longitud del campo es especificada por la función de autentificación seleccionada
Lección 7: Funciones y componentes de seguridad
FUNCIONES DE ADMINISTRACIÓN DEFINIDAS POR OSI. OSI define las cinco funciones de administración básicas siguientes en todo tipo de red:
La configuración comprende las funciones de monitoreo y mantenimiento del estado de la red.
La función de fallas incluye la detección, el aislamiento y la corrección de fallas en la red.
La función de contabilidad permite el establecimiento de cargos a usuarios por uso de los recursos de la red.
La función de comportamiento mantiene el comportamiento de la red en niveles aceptables.
La función de seguridad provee mecanismos para autorización, control de acceso, confidencialidad y manejo de claves.
PROTOCOLO DE ADMINISTRACIÓN DE RED TCP/IP. El sistema de administración de red de TCP/IP se basa en el protocolo SNMP (Simple Network Management Protocol), que ha llegado a ser un estándar de ipso en la industria de comunicación de datos para la administración de redes de computadora, ya que ha sido instalado por múltiples fabricantes de puentes, repetidores, ruteadores, servidores y otros componentes de red.
TIPOS DE DATOS DE SNMP. SNMP maneja los siguientes tipos de datos:
Enteros: Para expresar, por ejemplo, el MTU (Maximum Transfer Unit).
Dirección IP: Se expresa como cuatro bytes. Recuérdese que cada elemento de red se configura con al menos una dirección IP.
Dirección física: Se expresa como una cadena de octetos de longitud adecuada; por ejemplo, para una red Ethernet o Token Ring, la dirección física es de 6 octetos.
Contador: Es un entero no negativo de 32 bits, se usa para medir, por ejemplo, el número de mensajes recibidos.
Tabla: es una secuencia de listas.
Cadena de Octetos: Puede tener un valor de 0 a 255 y se usa para identificar una comunidad.
Lección 8: Bases de datos de seguridad
Hay 2 bases de datos nominales en este modelo: la Base de Datos de Políticas de Seguridad (SPD) y la Base de Datos de Asociaciones de seguridad (SAD). SPD especifica las políticas que determinan el tratamiento de todo el tráfico IP entrante o saliente en un host, security gateway, o en implementaciones IPsec BITS o BITW. SAD contiene los parámetros que se asocian con cada SA (activa).
Hay 2 bases de datos nominales en este modelo: la Base de Datos de Políticas de Seguridad (SPD) y la Base de Datos de Asociaciones de seguridad (SAD). SPD especifica las políticas que determinan el tratamiento de todo el tráfico IP entrante o saliente en un host, security gateway, o en implementaciones IPsec BITS o BITW. SAD contiene los parámetros que se asocian con cada SA (activa).
Base de Datos de Políticas de Seguridad (SPD) En última instancia, una SA es generada por la gestión usada para implementar una política de seguridad en el ambiente IPsec. De esta manera un elemento esencial del proceso de la SA es una SPD subyacente que especifica qué servicios deben ser ofrecidos a los datagramas IP y de qué forma. La forma de la base de datos y su interfaz están fuera del alcance de esta especificación.
Lección 9: Características técnicas de IPSEC
IPSec es un conjunto de estándares del IETF para incorporar servicios de seguridad en IP y que responde a la necesidad creciente de garantizar un nivel de seguridad imprescindible para las comunicaciones entre empresas y comercio electrónico.
DESCRIPCIÓN DEL PROTOCOLO IPSEC IPSec es, en realidad, un conjunto de estándares para integrar en IP funciones de seguridad basadas en criptografía. Proporciona confidencialidad, integridad y autenticidad de datagramas IP, combinando tecnologías de clave pública (RSA), algoritmos de cifrado (DES, 3DES, IDEA, Blowfish), algoritmos de hash (MD5, SHA-1) y certificados digitales X509v3.
Los modos transporte y túnel
Antes de entrar en los detalles del protocolo IKE es necesario explicar los dos modos de funcionamiento que permite IPSec. Tanto ESP como AH proporcionan dos modos de uso:
1. El modo transporte. En este modo el contenido transportado dentro del datagrama AH o ESP son datos de la capa de transporte (por ejemplo, datos TCP o UDP). Por tanto, la cabecera IPSec se inserta inmediatamente a continuación de la cabecera IP y antes de los datos de los niveles superiores que se desean proteger. El modo transporte tiene la ventaja de que asegura la comunicación extremo a extremo, pero requiere que ambos extremos entiendan el protocolo IPSec.
2. El modo túnel. En éste el contenido del datagrama AH o ESP es un datagrama IP completo, incluida la cabecera IP original. Así, se toma un datagrama IP al cual se añade inicialmente una cabecera AH o ESP, posteriormente se añade una nueva cabecera IP que es la que se utiliza para encaminar los paquetes a través de la red. El modo túnel se usa normalmente cuando el destino final de los datos
no coincide con el dispositivo que realiza las funciones IPSec.
IKE: el protocolo de control Un concepto esencial en IPSec es el de asociación de seguridad (SA): es un canal de comunicación unidireccional que conecta dos nodos, a través del cual fluyen los datagramas protegidos mediante mecanismos criptográficos acordados previamente. Al identificar únicamente un canal unidireccional, una conexión IPSec se compone de dos SAs, una por cada sentido de la comunicación.
Lección 10: Protocolos de seguridad.
Servicios y protocolos por capas de red. El desarrollo de protocolos está basado en los servicios definidos en las capas de comunicación del modelo estándar OSI-ISO [Briscoe, 2000], para entender apropiadamente las características de los protocolos de seguridad y su intervalo de aplicación, se ha elaborado una marco de trabajo que esquematiza una relación entre los servicios y las capas de protocolos
No hay comentarios:
Publicar un comentario