jueves, 30 de octubre de 2008

IPSec


¿Qué es IPsec?


IPsec es una extensión al protocolo IP que proporciona seguridad a IP y a los protocolos de capas superiores. Fue desarrollado para el nuevo estándar IPv6 y después fue portado a IPv4. La arquitectura IPsec se describe en el RFC2401. [1]


IPSec autentifica los equipos y cifra los datos para su transmisión entre hosts en una red, intranet o extranet, incluidas las comunicaciones entre estaciones de trabajo y servidores, y entre servidores. El objetivo principal de IPSec es proporcionar protección a los paquetes IP. IPSec está basado en un modelo de seguridad de extremo a extremo, lo que significa que los únicos hosts que tienen que conocer la protección de IPSec son el que envía y el que recibe. Cada equipo controla la seguridad por sí mismo en su extremo, bajo la hipótesis de que el medio por el que se establece la comunicación no es seguro. [2]


IPSec aumenta la seguridad de los datos de la red mediante:

  • La autenticación mutua de los equipos antes del intercambio de datos. IPSec puede utilizar Kerberos V5 para la autenticación de los usuarios.
  • El establecimiento de una asociación de seguridad entre los dos equipos. IPSec se puede implementar para proteger las comunicaciones entre usuarios remotos y redes, entre redes e, incluso, entre equipos cliente dentro de una red de área local (LAN).
  • El cifrado de los datos intercambiados mediante Cifrado de datos estándar (DES, Data Encryption Standard), triple DES (3DES) o DES de 40 bits. IPSec usa formatos de paquete IP estándar en la autenticación o el cifrado de los datos. Por tanto, los dispositivos de red intermedios, como los enrutadores, no pueden distinguir los paquetes de IPSec de los paquetes IP normales.


El protocolo también proporciona las ventajas siguientes:


  • Compatibilidad con la infraestructura de claves públicas. También acepta el uso de certificados de claves públicas para la autenticación, con el fin de permitir relaciones de confianza y proteger la comunicación con hosts que no pertenezcan a un dominio Windows 2000 en el que se confía.
  • Compatibilidad con claves compartidas. Si la autenticación mediante Kerberos V5 o certificados de claves públicas no es posible, se puede configurar una clave compartida (una contraseña secreta compartida) para proporcionar autenticación y confianza entre equipos.
  • Transparencia de IPSec para los usuarios y las aplicaciones. Como IPSec opera al nivel de red, los usuarios y las aplicaciones no interactúan con IPSec.
  • Administración centralizada y flexible de directivas mediante Directiva de grupo. Cuando cada equipo inicia una sesión en el dominio, el equipo recibe automáticamente su directiva de seguridad, lo que evita tener que configurar cada equipo individualmente. Sin embargo, si un equipo tiene requisitos exclusivos o es independiente, se puede asignar una directiva de forma local.
  • Estándar abierto del sector. IPSec proporciona una alternativa de estándar industrial abierto ante las tecnologías de cifrado IP patentadas. Los administradores de la red aprovechan la interoperabilidad resultante.



Ataques a la seguridad


A continuación se presenta una lista parcial de los ataques a las redes más comunes:

  • Rastreo. Un rastreador de red es una aplicación o un dispositivo que puede supervisar y leer los paquetes de la red. Si los paquetes no están cifrados, un rastreador de red obtiene una vista completa de los datos del paquete. El Monitor de red de Microsoft es un ejemplo de rastreador de red.
  • Modificación de datos. Un atacante podría modificar un mensaje en tránsito y enviar datos falsos, que podrían impedir al destinatario recibir la información correcta o permitir al atacante conseguir la información protegida.
  • Contraseñas. El atacante podría usar una contraseña o clave robadas, o intentar averiguar la contraseña si es fácil.
  • Suplantación de direcciones. El atacante usa programas especiales para construir paquetes IP que parecen provenir de direcciones válidas de la red de confianza.
  • Nivel de aplicación. Este ataque va dirigido a servidores de aplicaciones al explotar las debilidades del sistema operativo y de las aplicaciones del servidor.
  • Intermediario. En este tipo de ataque, alguien entre los dos equipos comunicantes está supervisando activamente, capturando y controlando los datos de forma desapercibida (por ejemplo, el atacante puede estar cambiando el encaminamiento de un intercambio de datos).
  • Denegación de servicio. El objetivo de este ataque es impedir el uso normal de equipos o recursos de la red. Por ejemplo, cuando las cuentas de correo electrónico se ven desbordadas con mensajes no solicitados.


Características de seguridad de IPSec


Las siguientes características de IPSec afrontan todos estos métodos de ataque:

  • Protocolo Carga de seguridad de encapsulación (ESP, Encapsulating Security Payload). ESP proporciona privacidad a los datos mediante el cifrado de los paquetes IP.
  • Claves basadas en criptografía. Las claves cifradas, que se comparten entre los sistemas que se comunican, crean una suma de comprobación digital para cada paquete IP. Cualquier modificación del paquete altera la suma de comprobación, mostrando al destinatario que el paquete ha sido cambiado en su tránsito. Se utiliza material de claves diferente para cada segmento del esquema de protección global y se puede generar nuevo material de claves con la frecuencia especificada en la directiva de IPSec.
  • Administración automática de claves. La claves largas y el cambio dinámico de claves durante las comunicaciones ya establecidas protegen contra los ataques. IPSec usa el protocolo Asociación de seguridad en Internet y administración de claves (ISAKMP, Internet Security Association and Key Management Protocol) para intercambiar y administrar dinámicamente claves cifradas entre los equipos que se comunican.
  • Negociación de seguridad automática. IPSec usa ISAKMP para negociar de forma dinámica un conjunto de requisitos de seguridad mutuos entre los equipos que se comunican. No es necesario que los equipos tengan directivas idénticas, sólo una directiva configurada con las opciones de negociación necesarias para establecer un conjunto de requisitos con otro equipo.
  • Seguridad a nivel de red. IPSec existe en el nivel de red, proporcionando seguridad automática a todas las aplicaciones.
  • Autenticación mutua. IPSec permite el intercambio y la comprobación de identidades sin exponer la información a la interpretación de un atacante. La comprobación mutua (autenticación) se utiliza para establecer la confianza entre los sistemas que se comunican. Sólo los sistemas de confianza se pueden comunicar entre sí. Los usuarios no tienen que estar en el mismo dominio para comunicar con la protección de IPSec. Pueden estar en cualquier dominio de confianza de la empresa. La comunicación se cifra, lo que dificulta la identificación e interpretación de la información.
  • Filtrado de paquetes IP. Este proceso de filtrado habilita, permite o bloquea las comunicaciones según sea necesario mediante la especificación de intervalos de direcciones, protocolos o, incluso, puertos de protocolo específicos.


IPv4




¿Qué es IPv4?


IPv4 fue la primera versión del Protocolo de Internet de uso masivo y que todavía se utiliza en la mayoría del tráfico actual de Internet. Existen algo más de 4.000 millones de direcciones IPv4. Si bien es una cantidad importante de direcciones IP, no es suficiente para cubrir todas las necesidades que irán surgiendo en el futuro. [3]


En su versión 4, una dirección IP se representa mediante un número binario de 32 bits.

Las direcciones IP se pueden expresar como números de notación decimal: se dividen los 32 bits de la dirección en cuatro octetos.

xxx.xxx.xxx.xxx

El valor decimal de cada octeto puede ser entre 0 y 255.

En la expresión de direcciones IPv4 en decimal se separa cada octeto por un carácter. Cada uno de estos octetos puede estar comprendido entre 0 y 255, salvo algunas excepciones. Los ceros iniciales, si los hubiera, se pueden obviar. Ejemplo de representación de dirección IPv4: 164.12.123.65. [4]



IPv6




¿Qué es IPv6?


IPv6 es el reemplazo de IPv4. Se lanzó en 1999 y soporta muchas más direcciones IP. Que deberían resultar suficientes para satisfacer las necesidades futuras. La función de la dirección IPv6 es exactamente la misma que a su predecesor IPv4, pero dentro del protocolo Ipv6. [5]


Esta compuesta por 8 segmentos de 2 bytes cada uno, que suman un total de 128 bits, el equivalente a unos 3.4x1038 host direccionables.

La ventaja con respecto a la dirección IPv4 es obvia en cuanto a su capacidad de direccionamiento.

Su representación suele ser hexadecimal y para la separación de cada par de octetos se emplea el símbolo “:”. Un bloque abarca desde 0000 hasta FFFF. [6]


Características de IPv6:


IPv6 es una evolución de IPv4 (no una revolución)

  • Movilidad: Mejora de la eficiencia y seguridad
  • Autoconfiguración: 3 métodos PnP
  • Seguridad: Soporte autentificación/cifrado obligatorio (IPSec)
  • Multicast: Obligatorio, control de ámbitos
  • Multimedia: Identificación de flujos
  • Versatilidad: Formato flexible de opciones. Extensibilidad mejorada
  • Prestaciones: Cabecera simple alineada a 64 bits
  • Encaminamiento: Jerárquico. Agregación de rutas
  • Direccionamiento: Direcciones de 128 bits asignadas jerárquicamente [7]


Principales diferencias entre IPv4 e IPv6



Protocolo de Internet versión 4 (IPv4)

Protocolo de Internet versión 6 (IPv6)

Lanzada en

1981

1999

Tamaño de las direcciones

Número de 32 bits

Número de 128 bits

Formato de las direcciones

Notación decimal con puntos 199.43.0.202

Notación hexadecimal: 2001:500:4::/48

Cantidad de direcciones

232=4 millones de direcciones

2128 =16 trillones de direcciones


[8]


Seguridad en IP (IPSec)


Encabezado IPv4


Encabezado IPv6

Túneles de comunicación protegidos por IPSec



IPSec nos puede asegurar que:

Un mensaje proviene de una fuente (ruteador) autorizado.

– Un mensaje redirigido viene del ruteador para el cual fue originalmente enviado.
– Las actualizaciones a las tablas de ruteo no hayan sido falsificadas.


Arquitectura de IPSec


Documentos IPSec:

  • RFC 2401: Vista general de IPSec
  • RFC 2402: Descripción de la autentificación de un paquete para IPv4 e IPv6.
  • RFC 2406: Descripción de la encriptación de un paquete para IPv4 e IPv6.
  • RFC 2408: Especificación de la administración de llaves.


Authentication Header (AH)

  • Encabezado IPSec para proveer servicios de integridad de datos, autenticación del origen de los datos, antireplay para IP.
  • Estándar definido en el RFC 2402.
  • Valor 51 en su campo de protocolo (IPv4), o siguiente cabecera (IPv6).



Encapsulating Security Payload (ESP)

  • Encabezado insertado en el datagrama IP para proveer servicios de confidencialidad, autenticación del origen de los datos, antireplay e integridad de datos a IP.
  • Estándar definido en el RFC 2406.
  • Valor 50 en su campo de protocolo (IPv4), o siguiente cabecera (IPv6).


ESP vs AH

  1. ESP provee todo lo que ofrece AH más confidencialidad de datos.
  2. La principal diferencia entre la autenticación provista entre ESP y AH tiene que ver con la cobertura, ESP no protege los campos del encabezado IP, a menos que sean encapsulados por ESP (modo túnel).


Modos de funcionamiento:


Ø Modo transporte se protege la carga útil IP (capa de transporte).

Ø Modo túnel se protegen paquetes IP (capa de red).


Tres combinaciones: AH en modo transporte, ESP en modo transporte, ESP en modo túnel (AH en modo túnel tiene el mismo efecto que en modo transporte).


ESP modo transporte en IPv4:



ESP modo transporte en IPv6:


ESP modo túnel en IPv4 e IPv6:


AH en modo transporte para IPv4


AH en modo transporte para IPv6



AH en modo túnel para IPv4 e IPv6



[9]


Conclusión


IPSec es un protocolo que provee servicios criptográficos para la seguridad en la información, viajando en forma de transporte y túnel con un tipo de encabezado AH y ESP. Resultando ESP el mismo procedimiento que AH pero con más confidencialidad y protección de los datos.

En la actualidad IPSec contempla en su diseño dos versiones del protocolo de Internet como IPv4 e IPv6 en donde en IPv4 existen algo más de 4.000 millones de direcciones, mientras que en IPv6 existen más de 16 trillones de direcciones.

El funcionamiento técnico de Internet es el mismo en ambas versiones y es probable que ambas continúen funcionando simultáneamente en las redes por mucho tiempo más. La mayoría de las redes que usan las direcciones IPv6 soportan tanto las direcciones IPv4 como las IPv6 en sus redes.



Referencias:


[1] http://www.ipsec-howto.org/spanish/x161.html

[2] http://fferrer.dsic.upv.es/cursos/Windows/Avanzado/ch10s02.html

[3] http://www.arin.net/about_us/media/fact_sheets/Spanish/IPv4_IPv6_spanish.pdf

[4] http://www.slideshare.net/normyser/direcciones-ipv4-e-ipv6/

[5] http://www.arin.net/about_us/media/fact_sheets/Spanish/IPv4_IPv6_spanish.pdf

[6] http://www.slideshare.net/normyser/direcciones-ipv4-e-ipv6/

[7] http://internetng.dit.upm.es/ponencias-jing/2002/fernandez/Evolucion-IPv4-IPv6-David-Fernandez.PDF

[8] http://www.arin.net/about_us/media/fact_sheets/Spanish/IPv4_IPv6_spanish.pdf

[9] http://fcqi.tij.uabc.mx/docentes/lpalafox/cursos/segredes/ipsec.pdf


1 comentario:

Angélica Ramírez S. dijo...

Hola muchachas. Amplia y clara la informaciòn que presentan. Solo hay una parte que como que no quedò bien el formato, en la parte de algunos gráficos. Ahora a leer el material para estar listas para las próximas clases.
Muy buen trabajo!!!