Escolar Documentos
Profissional Documentos
Cultura Documentos
En este protocolo los equipos cifran los datos para su transmisión entre
hosts, puesto que proporciona protección a los paquetes IP, basado en un
esquema de seguridad de extremo a extremo, esto significa que los únicos hosts
que tienen que conocer la protección de IPSec son el que envía y el que recibe.
IPSec se puede implementar en dos formas:
CASO IV.- Cuando un host externo que puede ser de tipo móvil, usa
internet para alcanzar el firewall de una LAN con el fin de acceder a otro host o
a un servidor, en este caso el host externo localiza el Security Gateway dentro
de la LAN, el mismo que lo autentica y verifica su autorización por medio del
protocolo IKE.
Es necesario que se configure el modo túnel entre el host remoto y el firewall.
Las opciones para la SA entre los dos host pueden ser modo transporte o modo
túnel, o en su defecto ambos al mismo tiempo, sin embargo se debe aplicar ESP
antes que AH.
La SPD debe diferenciar entre el tráfico al que debe ofrecer protección IPSec
del que no, esto requiere que IPSec debe estar implementada en ambos
extremos. Para cualquier datagrama de entrada o de salida, hay tres opciones
de procesamiento posibles:
Catalyst3750 (config-isakmp-policy)# hash md5 //establece md5 como algoritmo de hash para
garantizar la integridad
Catalyst3750 (config)# crypto keyring ANILLO //define el nombre del keyring que se usará durante la
autenticación
Catalyst3750 (cfg-crypto-trans)# crypto ipsec profile PERFIL //define los parámetros que se van a usar
para el cifrado IPSec entre los dos routers
Catalyst3750 (config-if)# tunnel mode ipsec ipv6 //establece el modo de encapsulamiento para la
interfaz tunnel 0
Catalyst3750 (config-if)# tunnel protection ipsec profile PERFIL //asocia la interfaz tunnel 0 con el perfil
Si el procesamiento IPSec es aplicado, la entrada incluirá una especificación
de SA (o grupo de SA), como son el listado de protocolos IPSec, los modos, y
algoritmos que se emplearán e incluirán cualquier requisito relacionado. La SPD
se utiliza para controlar todo el flujo de tráfico en IPSec incluyendo seguridad,
manejo de claves (por ejemplo ISAKMP), tráfico entrante y saliente de entidades
detrás de una puerta de enlace. Esto significa que el tráfico ISAKMP se debe
referenciar explícitamente en la SPD, caso contrario será descartado.
En el caso:
(config-isakmp-policy)# authentication pre-share.- establece el modo de
autenticación con clave precompartida, solamente el modo pre-share es
soportado por IPv6, los modos RSAencr y RSAsig son soportados por IPv4.
ESP cifra los datos por medio de clave simétrica, usa algoritmos de cifrado
por bloques, de modo que la longitud de los datos a cifrar tiene que ser un
múltiplo del tamaño de bloque, la mayoría de casos es de 8 o 16 bytes. Esta
cabecera se usa para proporcionar confidencialidad, autentificación del origen
de los datos, integridad sin conexión, confidencialidad limitada del flujo de tráfico.
1.5.10 Funcionamiento de ESP.
ESP proporciona un conjunto de servicios de seguridad, los que pueden ser
aplicados solos, o en conjunto con la AH, o a su vez en forma anidada cuando
se usa el modo túnel. Esta cabecera se inserta antes que la cabecera IP y
después que la cabecera de protocolo de capa superior cuando se trabaja en
modo transporte o después de una cabecera IP encapsulada si es que se está
en modo túnel. El conjunto de servicios proporcionados depende de las opciones
seleccionadas al momento del establecimiento de la SA, los mismos que ya han
sido especificados en el apartado 1.5.5. La confidencialidad puede ser
seleccionada independientemente del resto de los servicios, se recomienda el
uso de la confidencialidad con integridad y autentificación en ESP o AH. La
autenticación del origen de los datos y la integridad sin conexión son servicios
que están unidos y son ofrecidos como una opción. La confidencialidad del flujo
de tráfico requiere de la selección del modo túnel. La confidencialidad y la
autentificación son opcionales, sin embargo al menos una de ellas debe ser
seleccionada. En la figura 14 se detallan los procesos a realizarse.
Para cada una de las fases se debe tener en cuenta la notación con su
significado, tal como se muestra en la tabla 5.
Tabla 1
Notación con sus significados para la Arquitectura del Protocolo IKE
Carga SA. Usada para negociar los atributos de seguridad, para indicar
el DOI y la situación, que es el conjunto de información que será utilizado para
determinar los servicios de seguridad requeridos.
Carga de la Propuesta. Contiene información usada durante la
negociación de la SA. La propuesta consiste en mecanismos de seguridad, o
trasformaciones, que serán usados para asegurar el canal de comunicaciones.
Carga de Transformación. Consiste en un mecanismo de seguridad
específico, con el objetivo de asegurar el canal de comunicación. También
contiene los atributos SA asociados con la transformación específica.
Carga de Intercambio de Clave. Soporta una variedad de técnicas de
intercambio de claves.
Carga de Identificación. Contiene datos específicos del DOI usados
para intercambiar información de identificación. Está información es usada para
determinar las identidades de los usuarios de la comunicación y puede ser usada
para determinar la autenticación de la información.
Carga Hash. Contiene los datos generados por la función hash que fue
seleccionada durante el intercambio del establecimiento de la SA, sobre una
parte del mensaje del estado de ISAKMP. Puede ser usada para verificar la
integridad de los datos en un mensaje ISAKMP, o para la autenticación de las
entidades de la negociación.
Carga Nonce. Contiene información aleatoria para garantizar la vida de
la conexión durante un intercambio y para proteger contra ataques de reenvío.
Si el nonce es usado para un intercambio de clave particular, su uso será
dictaminado por el intercambio de claves, puede ser trasmitido como parte de los
datos del intercambio de claves, o como una carga separada.