3. ISAKMP
Internet Security Association and Key Management Protocol (ISAKMP) es
un protocolo criptográfico de administración de claves y asociaciones de
seguridad de Internet , está definido en el RFC 2408
• Estructura habitual para establecer el formato de los atributos SA, así como
para negociar, modificar y eliminar SA. ISAKMP es el estándar IETF para
administrar SA IPsec.
• Define los procedimientos para la autenticación entre pares, creación y gestión
de asociaciones de seguridad, técnicas de generación de claves, y la mitigación
de la amenaza
• Define los procedimientos y formatos de paquetes para establecer, negociar,
modificar y eliminar las SA
• Define el formato para el intercambio de generación de claves y datos de
autenticación.
3
4. IPsec
IPsec (Internet Protocol security) es un conjunto de protocolos cuya
función es asegurar las comunicaciones sobre el Protocolo de Internet
(IP) autenticando y/o cifrando cada paquete IP en un flujo de datos.
IPsec también incluye protocolos para el establecimiento de claves de
cifrado.
Actúan en la capa de red el modelo OSI. Otros protocolos de
seguridad para Internet de uso extendido, como SSL, TLS y SSH
operan de la capa de transporte (capas OSI 4 a 7) hacia arriba.
IPsec es flexible y puede ser utilizado para proteger protocolos de la
capa 4, incluyendo TCP y UDP. Una ventaja importante de IPsec
frente a SSL y otros métodos que operan en capas superiores, para
una aplicación usar IPsec no requiere cambios, mientras que para usar
SSL y otros protocolos de niveles superiores, las aplicaciones tienen
que modificar su código.
Implementaciones: Windows, solaris, Mac Os, Solaris, AIX de IBM,
Linux, Cisco 4
5. Arquitectura de Seguridad IPsec
IPsec está implementado por un conjunto de protocolos criptográficos para (1)
asegurar el flujo de paquetes, (2) garantizar la autenticación mutua y (3)
establecer parámetros criptográficos.
• La arquitectura de seguridad IP utiliza el concepto de asociación de seguridad
(SA) como base para construir funciones de seguridad en IP.
• Es simplemente el paquete de algoritmos y parámetros (tales como las
claves) que se está usando para cifrar y autenticar un flujo particular en una
dirección .
• En el tráfico bidireccional, los flujos son asegurados por un par de
asociaciones de seguridad.
• La decisión final de los algoritmos de cifrado y autenticación (lista definida) le
corresponde al administrador de IPsec.
5
7. Estado del Estandar IPsec
• Opcional en IPv4 y se viene usando desde 2007.
• Es obligatorio en IPv6.
• Esta diseñado para ser indiferente a las versiones de IP .
• Definido originalmente en los RFC 1825 y 1829 posteriormente 2401
y 2412 finalmente 4301 y 4309.
7
8. Servicios de Seguridad IPsec
• Cifrar el tráfico (de forma que no pueda ser leído por nadie
más que las partes a las que está dirigido)
• Validación de integridad (asegurar que el tráfico no ha sido
modificado a lo largo de su trayecto)
• Autenticar a los extremos (asegurar que el tráfico proviene de
un extremo de confianza)
• Anti-repetición (proteger contra la repetición de la sesión
segura).
8
9. Servicios de Seguridad IPsec
• Control de accesos.
• Integridad no orientada a la conexión.
• Autenticación de origen de los datos.
• Rechazo o reenvió de paquetes.
• Confidencialidad.
• Negociación de Compresión IP.
9
10. Modos de Operación IPsec
• Modo Transporte, sólo la carga útil del paquete IP es cifrada o
autenticada. El enrutamiento permanece intacto, ya que no se
modifica ni se cifra la cabecera IP. Este modo se utiliza para
comunicaciones de computador a computador.
• Modo Tunel, datos mas cabeceras del mensaje (paquete IP)
es cifrado o autenticado, es encapsulado en un nuevo paquete
IP para que funcione el enrutamiento. Este modo se utiliza de
comunicaciones de red a red (túneles seguros entre routers),
comunicaciones de computador a red, computador a
computador sobre internet.
10
11. Detalle Técnico IPsec
IPsec consta de dos protocolos desarrollados para
proporcionar seguridad a nivel de paquete (IPv4 – IPv6).
• Authentication Header (AH) proporciona integridad,
autenticación y no repudio si se eligen los algoritmos
criptográficos apropiados.
•Encapsulating Security Payload (ESP) proporciona
confidencialidad y la opción -altamente recomendable- de
autenticación y protección de integridad.
11
12. Seguridad en Sistemas: IPSec - WWW
Transport Mode Tunnel Mode
12
SA SA
Autentifica el IP payload y Autentifica el paquete IP
AH ciertas porciones del header interno completo más
IP y el extension header del ciertas porciones del
IPv6. header del IP externo.
Encripta el IP payload y Encripta el paquete IP
ESP cualquier extension header interno.
del IPv6.
Encripta el IP payload y Encripta y autentifica el
ESP con cualquier extension header paquete IP interno.
autentificación del IPv6.
Autentifica el IP payload
pero no el IP header.
13. Seguridad en Sistemas: IPSec - WWW
Authentication Header (AH)
• AH está dirigido a garantizar integridad sin conexión y autenticación
de los datos de origen de los datagramas IP.
• Calcula un Hash Message Authentication Code (HMAC) a través de
algún algoritmo hash operando sobre una clave secreta, el contenido
del paquete IP y las partes inmutables del datagrama.
• Protección para los
protocolos de nivel superior
• end-end (C/S, 2 WS)
13
14. Seguridad en Sistemas: IPSec - WWW
Tunnel Mode (Autentificación AH)
14
• Protección del paquete IP
completo.
• host-subnet, subnet-subnet.
15. Seguridad en Sistemas: IPSec - WWW
Encapsulating Security Payload (ESP)
El protocolo ESP proporciona autenticidad de origen, integridad
y protección de confidencialidad de un paquete. ESP también
soporta configuraciones de sólo cifrado y sólo autenticación.
0 - 7 bit 8 - 15 bit 16 - 23 bit 24 - 31 bit
Security parameters index (SPI)
Sequence number
Payload data (variable)
Padding (0-255 bytes)
Pad Length Next Header
Authentication Data (variable)
15
16. Seguridad en Sistemas: IPSec - WWW
IP Security (Overview)
16
Aplicaciones de IPSec
Hacer segura la conectividad entre dos sucursales de una
organización sobre Internet: VPN.
Hacer seguro el acceso remoto desde Internet.
Establecer conectividad extranet e intranet con otras
organizaciones.
Mejorar la seguridad en e-commerce.
Mejorar la SET.
18. Seguridad en Sistemas: IPSec - WWW
Security Associations (SA)
18
Concepto clave que aparece en los mecanismos
de autenticidad y confidencialidad.
Es una relación de un solo sentido (one way)
entre un emisor y un receptor.
Una SA se encuentra identificada por 3
parámetros:
Security Parameter Index (SPI)
Dirección IP Destino
Security Protocol Identifier
19. Seguridad en Sistemas: IPSec - WWW
Autentificación End-to-End vs. End-to-
19
Intermediate
Transport mode SA
Tunnel mode SA
20. Seguridad en Sistemas: IPSec - WWW
Encapsulating Security Payload
20
ESP provee los servicios de confidencialidad
(mensaje (total) y tráfico (parcial)).
21. Seguridad en Sistemas: IPSec - WWW
Algoritmos de Encripción y Autentificación
21
Encripción (long MAC default = 96 bits):
Three-key triple DES (3DES)
RC5
IDEA
Three-key triple IDEA (3IDEA)
CAST
Blowfish
etc. (DOI)
Autentificación:
HMAC-MD5-96
HMAC-SHA-1-96
25. Seguridad en Sistemas: IPSec - WWW
Manejo de Claves
25
Dos tipos:
Manual
Administrador.
Automatizada
Oakley Key Determination Protocol.
Manejo de claves.
Internet Security Association and Key Management
Protocol (ISAKMP).
Protocolo de manejo asociado a las claves.
26. Seguridad en Sistemas: IPSec - WWW
Oakley
26
Presenta tres métodos de autentificación:
Firma digital.
Criptografía de clave pública.
Criptografía de clave simétrica.
Características:
cookies.
DH para negociar grupos y para intercambio de
claves públicas.
números random (defensa contra replay).
Autentifica el intercambio DH para evitar ataques
MiM.