Welcome to Scribd, the world's digital library. Read, publish, and share books and documents. See more
Download
Standard view
Full view
of .
Look up keyword
Like this
13Activity
0 of .
Results for:
No results containing your search query
P. 1
Configuracion Ipsec Implementando El Protocolo Esp en Modo Transporte

Configuracion Ipsec Implementando El Protocolo Esp en Modo Transporte

Ratings: (0)|Views: 603|Likes:
Published by alopezt2054

More info:

Published by: alopezt2054 on Mar 04, 2009
Copyright:Attribution Non-commercial

Availability:

Read on Scribd mobile: iPhone, iPad and Android.
download as PDF, TXT or read online from Scribd
See more
See less

10/31/2012

pdf

text

original

 
CONFIGURACION IPSEC IMPLEMENTADO EL PROTOCOLO ESP EN MODO TRANSPORTE
IPSECI
Psec (abreviatura de Internet Protocol security) es un conjunto de protocolos cuya función esasegurar las comunicaciones sobre el Protocolo de Internet (IP) autenticando y cifrando cadapaquete IP en un flujo de datos. IPsec también incluye protocolos para el establecimiento de clavede cifrado.Funciona en dos Modos:
Modo transporte.
En modo transporte, sólo la carga útil (los datos que se transfieren) del paquete IP es
cifrada
y/oautenticada. El enrutamiento permanece intacto, ya que no se modifica ni se cifra la cabecera IP;sin embargo, cuando se utiliza la
cabecera de autenticación
(AH), las direcciones IP no pueden ser
traducidas
, ya que eso invalidaría el
hash
. Las capas de
transporte
y aplicación están siempreaseguradas por un hash, de forma que no pueden ser modificadas de ninguna manera (porejemplo
traduciendo
los números de
 puerto
TCP y UDP). El modo transporte se utiliza paracomunicaciones ordenador a ordenador .
Modo Túnel.
En el
modo túnel
, todo el paquete IP (datos s cabeceras del mensaje) es cifrado y/oautenticado. Debe ser entonces encapsulado en un nuevo paquete IP para que funcione elenrutamiento. El
modo túnel
se utiliza para comunicaciones red a red (túneles seguros entrerouters, p.e. para
VPNs
) o comunicaciones ordenador a red u ordenador a ordenador sobre
Internet
.
Protocolos IPsec.
La familia de protocolos IPsec está formada por dos protocolos: el
AH
(
Authentication Header
-
Cabecera de autenticación
) y el ESP (Encapsulated Security Payload -
Carga de seguridadencapsulada
). Ambos son protocolos IP independientes. AH es el protocolo IP 51 y ESP elprotocolo IP 50 (ver
/etc/protocols
).
Autenticación de Cabecera (AH- Authentication Header):
Permite que las partes que secomunican mediante IP verifiquen que los datos no se hallan modificado durante la transmisión, yque proceden de la fuente original de la información. El AH proporciona integridad de datos sinconexión, la autenticación de los datos , y brinda protección contra ataques de repetición. El AHañade un bloque de código al paquete de datos que es el resultado de una función de "troceo"(trash) aplicada a todo el paquete. Hay 2 campos importantes en el encabezamiento AH:
-
El
indice de parámetros de seguridad (SPI)
especifica el dispositivo receptor, que grupo deprotocolos de seguridad esta usando el emisor. 
-
El
numero de secuencia
se usa para impedir ataques de repetición, al impedir el procesamientomúltiple de un paquete.
Encapsulamiento de seguridad en la carga de datos (ESP):
Encripta la información para evitar quesea monitoreada por una entidad que no sea digna de confianza. Esta también puede usarse paraautenticacion. Los esquemas de encripcion ESP mas usados son los siguientes:-Date Encryption Standard (
DES
): Usa encriptacion de 56 bits.-Triple DES (
3DES
): Usa una encriptacion de 168 bits pasando los datos a través del algoritmo DES
 
tres veces.I
KE (Internet Key Exchange)
significa intercambio de claves por Internet. En la configuraciónpodemos determinar si en el establecimiento de un túnel VPN queremos utilizar IKE o unaconfiguración manual de las claves.
Lo más habitual es utilizar IKE.En una negociación IKE, es decir, en el momento en que los dos dispositivos negocian elintecambio de claves, hay dos fases :
Primera Fase : Autetificación
Antes de iniciar el intercambio de claves los dos dispositivos se aseguran que su interlocutor es quién dice ser.
Segunda Fase ; Intercambio de claves
Una vez los dispositivos se han autentificado entre si realizan el intercambio de claves.En la primera fase se establece el IKE SA, es decir, se definen/acurdan los parámetros deintercambio, y en la segunda se utilizan esos parámetros para realizar el intercambio.En este manual implementaremos IPsec con el protocolos ESP
 
en modo
TRANSPORTE.1-
Para empezar debemos instalar el paquete correspondiente para Ipsec:#apt-get install ipsec-tools
2- Vamos y modificamos el archivo de configuración principal que posee Ipsec y descomentamoslas siguientes lineas;flush;spdflush;#nano /etc/ipsec-tools.conf 
 
3- Generamos las claves aleatoriamente con la que trabajaran los 2 hosts, utilizaremos 24 bytes, osea claves de 192 bits para ESP.Creamos la clave para el host local:# dd if=/dev/random count =24 bs=1| xxd -psCreamos la clave para el host remoto:# dd if=/dev/random count =24 bs=1| xxd -ps4-Editamos el archivo de configuración de Ipsec para ingresar las asociaciones de seguridad (AS) ylas (SP) políticas de seguridad:#nano /etc/ipsec-tools.conf 
#!/usr/sbin/setkey -f
# NOTE: Do not use this file if you use racoon with racoon-tool# utility. racoon-tool will setup SAs and SPDs automatically using# /etc/racoon/racoon-tool.conf configuration.### Flush the SAD and SPD#flush;spdflush;## Some sample SPDs for use racoon## spdadd 10.10.100.1 10.10.100.2 any -P out ipsec# esp/transport//require;## spdadd 10.10.100.2 10.10.100.1 any -P in ipsec# esp/transport//require;##SA (asociaciones de Seguridad) para el equipo localadd 192.168.1.148 192.168.1.124 esp 0x201 -E 3des-cbc 0x5fa5f439de1365a7c1d8da89fe8be9b4d18c59b5cddf7589;add 192.168.1.124 192.168.1.148 esp 0x301 -E 3des-cbc 0xdc4cfa884fb09d8ff2b458b49eb21c2829301fdb203cf10f;

Activity (13)

You've already reviewed this. Edit your review.
1 hundred reads
1 thousand reads
Karen Galeano liked this
Giovanny Marin liked this
JCHP liked this
JCHP liked this
Gerardo Barajas liked this
JCHP liked this

You're Reading a Free Preview

Download
scribd
/*********** DO NOT ALTER ANYTHING BELOW THIS LINE ! ************/ var s_code=s.t();if(s_code)document.write(s_code)//-->