La idea de IPSec es proveer funciones de seguridad: autenticacin y encriptamiento, en el nivel de IP (Internet Protocol)

En las implementaciones de IPSec se utilizan tres protocolos: ! ESP, Encapsulating Security Payload - encripta y/o autentica datos ! AH, Authentication Header - provee el servicio de autenticacin de paquetes ! IKE, Internet Key Exchange - Negocia los parmetros de conexin, incluyendo llaves.

Arquitectura ESP AH

Algoritmo de Encriptacin

Algoritmo de Autenticacin

DOI Manejo de llaves Poltica

IPSec es la manera ms general de proveer servicios de autenticacin y encriptacin para Internet.

IPSec puede proteger cualquier protocolo corriendo sobre IP, sobre cualquier medio sobre el que funcione IP. Puede proteger cualquier mezcla de protocolos de aplicacin corriendo sobre una combinacin compleja de medios de comunicacin.

Ipsec est diseado para proveer seguridad interoperable de alta calidad basada en criptografa, tanto para Ipv4 como para Ipv6.

Grupo de Seguridad de CUDI http://seguridad.internet2.ulsa.mx I2seguridad@cicese.mx Responsable en CICESE: Concepcin Mendoza Daz

IPSec

Internet Protocol Security (RFC 2401, 1998)

Proyecto de tesis de maestra La aplicacin de seguridad para Internet 2 en Mxico

Investigar los protocolos estndares de seguridad de las capas 3, 4 y 5 del modelo OSI, IPSEC con mayor profundidad. Investigar la aplicacin de VPN y disear e implementar IPSec para el enrutamiento en VPNs. Dicha solucin ser sustentada en el medio de experimentacin de los equipos y protocolos involucrados en el diseo de Red CUDI. Como complemento se propondr una poltica de seguridad para Red-CUDI.

Resultados Parciales ! ! ! ! Seleccin de FreeS/WAN como plataforma base de desarrollo. Un escenario funcional de experimentacin de IPSec Un escenario funcional de experimentacin de IPv6 Pruebas satisfactorias del esquema de seguridad con VPNs

Red-CICESE (pblica insegura)

Sunset Windows 95
Subred segura

pc-comedi Slackware Linux Free S WAN Security Gateway

pc-simula4 Slackware pc-juancon Linux (husmeando la red) Free S WAN Security Gateway

Sunrise Red Hat

Subred segura

Edificio Ciencias de la Tierra

Edificio Fsica Aplicada

Una VPN (Virtual Private Network) usando Red-CICESE como red pblica insegura.

Actividades por realizar - Implementacin de Encriptacin Oportuna. - Pruebas de funcionamiento y seguridad - Generacin de estadsticas y conclusiones. sobre IPv4 y sobre IPv6

IPSec

Internet Protocol Security (RFC 2401, 1998)

Telnet Trfico Internet

Cualquier trfico (fuera de la VPN)

SMTP Trfico dentro de la VPN Telnet La nube de la red Cualquier trfico (fuera de la VPN) SMTP Trfico dentro de la VPN

La arquitectura de IPSec define la granularidad con la que el usuario puede especificar su poltica de seguridad. Permite que cierto trfico sea identificado para recibir el nivel de proteccin deseado.

Enlace fsico internet

B
RAB

RB RA

internet

RAC

RC

a) Implementacin nativa

b) Implementacin tipo BITW

c) Implementacin tipo BITS

Nuestro proyecto implica una implementacin del tipo BITS (Bump in the Stack) en el Sistema Operativo.

FreeS/WAN soporta varias aplicaciones, entre las ms importantes: a) VPN, permite la comunicacin segura entre mltiples sitios sobre una red insegura (Internet) mediante la encriptacin de toda la comunicacin entre los sitios. b) Road Warriors, permite la comunicacin segura para sitios con direcciones IP de asignacin dinmica. c) Encriptacin Oportuna, permite la habilidad para configurar FreeS/Wan gateways de tal manera que entre ellos negocien el establecimiento de encriptacin, de forma dinmica. Esta aplicacin es una idea original de FreeS/WAN, est en proceso de implementacin, existe una versin base de funcionamiento, las metas a corto plazo son el desarrollo completo, de tal manera que se garantice que es una idea funcional que pueda ser adoptada por otras implementaciones de IPSec.

FreeS/WAN Free Security Wide Area Network (http://www.freeswan.org) - Implementacin de IPSec para Linux - Distribucin bajo GPL (GNU Public Licence) - Colaboracin abierta e internacional - Nuestro proyecto contribuir como la primer participacin hispana.

Retos de Encriptacin Oportuna ! ! ! Identificar de forma rpida al Security Gateway remoto Obtencin rpida de la llave de autenticacin del Security Gateway remoto Garantizar que dos implementaciones independientes negocien y acuerden un canal seguro sin arreglos previos.