En las implementaciones de IPSec se utilizan tres protocolos: ! ESP, Encapsulating Security Payload - encripta y/o autentica datos ! AH, Authentication Header - provee el servicio de autenticacin de paquetes ! IKE, Internet Key Exchange - Negocia los parmetros de conexin, incluyendo llaves.
Arquitectura ESP AH
Algoritmo de Encriptacin
Algoritmo de Autenticacin
IPSec puede proteger cualquier protocolo corriendo sobre IP, sobre cualquier medio sobre el que funcione IP. Puede proteger cualquier mezcla de protocolos de aplicacin corriendo sobre una combinacin compleja de medios de comunicacin.
Ipsec est diseado para proveer seguridad interoperable de alta calidad basada en criptografa, tanto para Ipv4 como para Ipv6.
Grupo de Seguridad de CUDI http://seguridad.internet2.ulsa.mx I2seguridad@cicese.mx Responsable en CICESE: Concepcin Mendoza Daz
IPSec
Investigar los protocolos estndares de seguridad de las capas 3, 4 y 5 del modelo OSI, IPSEC con mayor profundidad. Investigar la aplicacin de VPN y disear e implementar IPSec para el enrutamiento en VPNs. Dicha solucin ser sustentada en el medio de experimentacin de los equipos y protocolos involucrados en el diseo de Red CUDI. Como complemento se propondr una poltica de seguridad para Red-CUDI.
Resultados Parciales ! ! ! ! Seleccin de FreeS/WAN como plataforma base de desarrollo. Un escenario funcional de experimentacin de IPSec Un escenario funcional de experimentacin de IPv6 Pruebas satisfactorias del esquema de seguridad con VPNs
Sunset Windows 95
Subred segura
pc-simula4 Slackware pc-juancon Linux (husmeando la red) Free S WAN Security Gateway
Una VPN (Virtual Private Network) usando Red-CICESE como red pblica insegura.
Actividades por realizar - Implementacin de Encriptacin Oportuna. - Pruebas de funcionamiento y seguridad - Generacin de estadsticas y conclusiones. sobre IPv4 y sobre IPv6
IPSec
SMTP Trfico dentro de la VPN Telnet La nube de la red Cualquier trfico (fuera de la VPN) SMTP Trfico dentro de la VPN
La arquitectura de IPSec define la granularidad con la que el usuario puede especificar su poltica de seguridad. Permite que cierto trfico sea identificado para recibir el nivel de proteccin deseado.
B
RAB
RB RA
internet
RAC
RC
a) Implementacin nativa
Nuestro proyecto implica una implementacin del tipo BITS (Bump in the Stack) en el Sistema Operativo.
FreeS/WAN soporta varias aplicaciones, entre las ms importantes: a) VPN, permite la comunicacin segura entre mltiples sitios sobre una red insegura (Internet) mediante la encriptacin de toda la comunicacin entre los sitios. b) Road Warriors, permite la comunicacin segura para sitios con direcciones IP de asignacin dinmica. c) Encriptacin Oportuna, permite la habilidad para configurar FreeS/Wan gateways de tal manera que entre ellos negocien el establecimiento de encriptacin, de forma dinmica. Esta aplicacin es una idea original de FreeS/WAN, est en proceso de implementacin, existe una versin base de funcionamiento, las metas a corto plazo son el desarrollo completo, de tal manera que se garantice que es una idea funcional que pueda ser adoptada por otras implementaciones de IPSec.
FreeS/WAN Free Security Wide Area Network (http://www.freeswan.org) - Implementacin de IPSec para Linux - Distribucin bajo GPL (GNU Public Licence) - Colaboracin abierta e internacional - Nuestro proyecto contribuir como la primer participacin hispana.
Retos de Encriptacin Oportuna ! ! ! Identificar de forma rpida al Security Gateway remoto Obtencin rpida de la llave de autenticacin del Security Gateway remoto Garantizar que dos implementaciones independientes negocien y acuerden un canal seguro sin arreglos previos.