Seguridad en IP

IPSec
JOSE MANUEL ROMERO FLORES
ALBERTO SNCHEZ BAZN
Introduccin
IPSec (Internet Protocol Security)
: conjunto de protocolos cuya
funcin es asegurar las
comunicaciones sobre el
Protocolo IP.

Funciones: Autenticacin,
cifrado y gestin de claves.
Beneficios:
Protocolo acta sobre capa 3 (red) a diferencia de otros que actan sobre
capa 4, y esto permite que sea mas flexible ya que puede ser utilizado para
proteger protocolos superiores, incluso TCP y UDP.

Mayor seguridad junto con firewall o router. En trafico LAN no sufre

sobrecarga con informacin de seguridad.

Transparente a las aplicaciones y a

los usuarios finales.

Posibilidad de suministrar seguridad

a usuarios individuales y remotos.
Un poquito de Historia

En 1994, la IAB (Internet

Architecture Board) publico un
informe sobre la seguridad en la
arquitectura de internet.
Constataba la necesidad de una
mayor seguridad e identific las
reas claves.

En 1997 se confirmaron la
deteccin de 2500 ataques a la
seguridad que afectaron a 150000
sitios de internet. Debido a ello, en
la posterior versin de IP (IPv6) se
incluyo, como obligatoria, la
implementacin de seguridad.
 Objetivos de IPSec
Como IP no provee ninguna capacidad de seguridad por
si misma , IPSec proporciona los siguientes servicios:
Cifrar el trfico.
Validacin de integridad.
Autenticar los extremos.
Anti-repeticin.

Su uso principal es generar VPNs seguras aunque lo

hace de manera diferente segn el modo empleado
(transporte o tnel).
* Han existido tres generaciones de IPSec: 1 1995 RFC1825 a RFC1829 ;
2 1998 RFC2401 a RFC2412 ; 3 2005 RFC4301 a RFC4309.
 ARQUITECTUR
A
Arquitectura
Conjunto de protocolos criptogrficos. PROTOCOLO PROTOCOLO
Utiliza el concepto de asociacin de ESP AH
seguridad (SA): paquete de algoritmos y
parmetros (claves) que se estn usando
para cifrar y autenticar un flujo de datos
Algoritmo
en una nica direccin. Algoritmo
de
Bidireccional: 2 SA (1 Rx y 1 Tx). de
Autentificac
Codificacin
El administrador selecciona el tipo de SA in
de una lista definida segn sus
necesidades.
DOI
Para cada paquete saliente se hace uso
de un SPI, ndice de una base de datos
(SADB), junto con la direccin destino con
el fin de identificar de forma nica una
Gestin de
asociacin de seguridad para dicho
Clave
paquete.
Paquete entrante proceso inverso.
Arquitectura II

Las caractersticas de
seguridad se implementan
como extensiones de la
cabecera que se colocan
entre la cabecera principal
y el payload.
En el caso multicast, es
posible replicar la misma SA
o se pueden emplear SA
diferentes para cada nivel o
conjuntos de seguridad
dentro de un grupo (cada
remitente puede tener
mltiples SA).
Modo Transporte:
Cifrado o autenticado solo de la carga til.

Las capas de transporte y aplicacin estn siempre asegurada por un hash y, por
tanto, no pueden ser modificadas de ninguna manera.

Enrutamiento intacto (no se modifica cabecera) sin embargo, cuando se garantiza la

autenticidad, traducir la direccin IP (con cabecera AH) invalidara el HASH.

Uso de modo entre comunicaciones

entre hosts.

En ipv6 ya existen cabeceras de

extensin especifica para IPSec
en modo transporte.
Modo Tnel:
Todo el paquete, incluido la cabecera, es cifrado o autenticado encapsulndolo en un
nuevo paquete IP para su enrutamiento.
Uso de modo en conexiones de red a red.
Esto permite que los hosts de las red que estn detrs del firewall puedan realizar
comunicaciones seguras sin implementar IPSec.
Protocolos:
ESP
ESP
Authentication Header (AH): AH (Con
(Sin aut)
integridad y autenticacin. aut)
Control de
Encapsulating Security Payload acceso
(ESP): confidencialidad y, Integridad
opcionalmente, autenticacin e sin conexin
integridad.
Autentificaci
n
Internet Key Exchange (IKE):
Denegacin
Intercambio secreto de claves tipo Diffe- de
Hellman para establecer el secreto p. replicados
compartido de la sesin. Normalmente
Confidenciali
criptografa de clave publica. dad
Authentication Header (AH):

0 7 bit 8 15 bit 16 23 bit 24 31 bit

Prxima cabecera Longitud de Carga RESERVADO

ndice de parmetros de seguridad (SPI)

Nmero de Secuencia

Hash Message Authentication Code (HMAC)

Calcula un cdigo hash, utilizando un algoritmo

hash sobre una clave secreta y el contenido del
paquete IP.
Authentication Header (AH) II:
Puede proteger contra ataques de repeticin
con la tcnica de ventana deslizante.
Si se activa el servicio anti-replica, cuando el
nmero de secuencia llega al mximo el emisor
debe finalizar el SA y establecer uno nuevo.
Como el servicio de IP no garantiza el orden ni
la llegada de todos los paquetes, el servicio se
implementa mediante una ventana deslizante
de tamao fijo.
Authentication Header (AH) III:
Encapsulating Security Payload
(ESP):
0 7 bit 8 15 bit 16 23 bit 24 31 bit
ndice de parmetros de seguridad (SPI)
Nmero de Secuencia

Payload Data (variable)

Padding (0- 255 bytes)

Pad Length Next Header

Authentication Data (variable)

Encapsulating Security Payload
(ESP) II:
En conclusin
SA Modo Transporte SA Modo Tnel
Autentifica el paquete
Autentifica la carga IP,
interior IP al completo ms
porciones seleccionadas de
porciones seleccionadas de
AH la cabecera IP y las
la cabecera externa IP y
cabeceras de extensin
cabeceras de extensin
IPv6.
IPv6 externas.
Codifica la carga IP y
cualquier cabecera de Codifica el paquete IP
ESP
extensin IPv6 que sigan a interior.
la cabecera ESP.
Codifica la carga IP y
cualquier cabecera de
ESP Codifica el paquete IP
extensin IPv6 que sigan a
con interior. Autentifica el
la cabecera ESP. Autentifica
Aut. paquete IP interior.
la carga IP pero no la
cabecera IP.
 Gestin de Claves:
Uso tpico de claves secretas.
Requerimiento tpico para comunicacin entre dos
aplicaciones es de 4 claves (2 en TX, 2 en RX) para AH y ESP.

MANUAL: Administrador gestiona claves manualmente.

Prctico para entornos pequeos y relativamente
estticos.
AUTOMATICO: Creacin bajo demanda de claves. Uso en
grandes sistemas distribuidos con configuracin dinmica.
El protocolo automatizado de gestin de claves, por defecto,
de IPSec es denominado ISAKMP/Oakley.
 Gestin de Claves II:
Protocolo de determinacin de
claves Oakley:
Oakley es un protocolo de
intercambio de claves basado en
el algoritmo de Diffie-Hellman
pero adems proporciona
seguridad. Oakley es genrico
en tanto que no estipula ningn
formato especfico.
= formatos, para la
Protocolo de gestin de
claves y Asociaciones de
Seguridad en Internet
(ISAKMP):
ISAKMP suministra un
marco de trabajo para la
gestin de claves en
Internet y proporciona
soporte para el protocolo
especfico, incluyendo los
negociacin de atributos
de seguridad.