Introduccin
Seguridad en Internet
es posible?
Continuas noticias, virus, ataques, engaos, ...
Aprovechar sus ventajas sin perder privacidad
qu diferencia a Ipsec?
Solucin global
Aplicable a nodos finales e intermedios
Soluciones particulares sencillas que conforma
un todo
Elementos
Host
Sistema que puede iniciar/recibir mensajes, pero que no
puede actuar como intermediario de comunicaciones
Solo puede suministrar servicios IPsec a s mismo.
Gateway (pasarela)
Sistema que puede iniciar/recibir mensajes, y puede
actuar como intermediario de comunicaciones
Solo puede suministrar servicios IPsec a s mismo.
Escenarios
Paquete IPv4
TCP/IP
Paquete IPv6
Arquitectura IPSEC
Arquitectura de seguridad IPsec
INTRODUCCIN
Protocolos de IPSec
Protocolo para la gestin y negociacin de
parmetros de seguridad
Protocol
Protocolo opcional
IPCOMP
Modos de funcionamiento
Transport mode
Proteccin primaria para las capas superiores ,
no modifica ni encapsula el protocolo IP.
Tunnel mode
Se aplica una proteccin al todo el paquete IP,
modificandolo.
f k&
&
Cabecera de Autenticacin
Su uso aumentar los costes de procesamiento de protocolo
IP y la latencia de las comunicaciones.
Este mecanismo proporciona una seguridad ms fuerte que la
existente en la mayora de la actual Internet, y no debe
afectar a la interoperatividad, ni aumentar el coste de
implementacin.
Las mquinas que soporten IPv6 tienen que implementar la
Cabecera de Auntenticacin con el algoritmo de MD5 y
claves secretas de 128 bits.
AH
Formato
Next Header
Payload Length
Reserved
Colocacin
IPv6 Header
AH
Cabecera no cifrada
ESP
Encapsulating Security Payload
IPv6 Datagram
}
K
Cip.
ESP
ESP
Formato
Security Parameter Index
Sequence Number Field
Encrypted Data and Parameters
Authentication Data
Colocacin
IPv6 Header
ESP Header
ESP Payload
ESP Trailer
Auth. Data
Modos de funcionamiento
Fase II
Negociacin de un par de AS
AS IPSEC
IKE
Fase I
Autenticacin
Responder
------------>
<--->
<--->
<--
HDR, SA
HDR, KE, Nr
HDR*, IDir, HASH_R
IKE
IKE
Fase II
Negociacin de AS IPSEC (una o varias)
Quick Mode
Initiator
----------HDR*, HASH(1), SA, Ni
[, KE ] [, IDci, IDcr ] -->
<-HDR*, HASH(3)
-->
Responder
-----------
IKE
IKE
Esquema general para la negociacin de
parmetros de seguridad
Definicin de Dominios de Interpretacin
(DoI)
Gestin comn de la negociacin
Nuevos protocolos de cualquier capa de la pila
de red
Protocolos actuales de seguridad