High Quality
Open the downloaded document, and select print from the file menu (PDF reader required).
IPSEC
IPSec autentifica los equipos y cifra los datos para su transmisión entre hostsen una red o en internet, incluidas las comunicaciones entre estaciones detrabajo y servidores, y entre servidores. El objetivo principal de IPSec esproporcionar protección a los paquetes IP. IPSec está basado en un modelo deseguridad de extremo a extremo, lo que significa
que
los únicos hosts que tienenque conocer la protección de IPSec son el que envía y el que recibe. Cadaequipo controla la seguridad por sí mismo en su extremo, bajo la hipótesis deque el medio por el que se establece la comunicación no es seguro.
Funciona en dos modos
Modo Transporte
Proporcionar seguridad de (extremo a extremo) del tráfico de paquetes, en elque los ordenadores de los extremos finales realizan el procesado deseguridad. Sólo la carga útil (los datos que se transfieren) del paquete IP escifrada y autenticada. El enrutamiento permanece intacto, ya que no semodifica ni se cifra la cabecera IP; sin embargo, cuando se utiliza la cabecerade autenticación (AH), las direcciones IP no pueden ser, ya que eso invalidaríael hash. Las capas de transporte y aplicación están siempre aseguradas por unhash, de forma que no pueden ser modificadas de ninguna manera (porejemplo traduciendo los números de puerto TCP y UDP).
Modo Tunnel
Todo el paquete IP (datos más cabeceras del mensaje) es cifrado y/oautenticado. Debe ser entonces encapsulado en un nuevo paquete IP para quefuncione el enrutamiento. El
modo túnel
se utiliza para comunicaciones red ared (puerta a puerta, gateway a gateway) en el que la seguridad del tráfico depaquetes es proporcionada a varias máquinas (incluso a toda la red de árealocal) por un único nodo.Ipsec trabaja con dos protocolos que son:
Autenticación de Cabecera (AH):
Permite que las partes que se comunicanmediante IP verifiquen que los datos no se hayan modificado durante latransmisión, y que proceden de la fuente original de la información. El AHproporciona integridad de datos sin conexión, la autenticación de los datos, ybrinda protección contra ataques de repetición. El AH añade un bloque decódigo al paquete de datos que es el resultado de una función de "troceo"(trash) aplicada a todo el paquete.
Tipo de datos AH
Encapsulamiento de seguridad en la carga de datos (ESP):
Encripta la información para evitar que sea monitoreada por una entidad que nosea digna de confianza. Esta también puede usarse para autenticación. Losesquemas de encripcion ESP más usados son los siguientes:-DES: Usa encriptación de 56 bits.-3DES: Usa una encriptación de 168 bits pasando los datos a través delalgoritmo DES tres veces.
Tipos de datos ESP
Índice de Parámetros de Seguridad (SPI):
Específica el dispositivo receptor, que grupo de protocolos de seguridad estáusando el emisor.
*
El número de secuencia se usa para impedir ataques de repetición, al impedirel procesamiento múltiple de un paquete.
IKE (Internet Key Exchange)
Es el intercambio de claves por Internet. En la configuración podemosdeterminar si en el establecimiento de un túnel VPN queremos utilizar IKE ouna configuración manual de las claves.Lo más habitual es utilizar IKE. En una negociación IKE, es decir, en elmomento en que los dos dispositivos negocian el intercambio de claves, haydos fases.
Primera Fase: Autenticación
Antes de iniciar el intercambio de claves los dos dispositivos se aseguran quesu interlocutor es quién dice ser.
Segunda Fase: Intercambio de claves
Una vez los dispositivos se han autentificado entre sí realizan el intercambio declaves. En la primera fase se establece el IKE SA, es decir, sedefinen/acuerdan los parámetros de intercambio, y en la segunda se utilizanesos parámetros para realizar el intercambio.En esta primera parte implementaremos IPsec con el protocolo
ESP
en modo
TRANSPORTE
.
Instalación IPsec
Para empezar debemos instalar el paquete que corresponde al IPsec# apt.get install ipsec-toolsVamos y modificamos el archivo de configuración que posee Ipsec ydescomentamos las siguientes líneasFlush;Spdflush;#nano /etc/ipsec-tools.confGeneramos las claves aleatoriamente con la que se conectan los dos host,utilizaremos llaves de 16 bits o llaves de 128 bits para AH, creamos la llavepara el localhost#dd if=/dev/random count =16 bs =1 | xxd –ps
Add a Comment