ipsec expo seguridad

32
IPSEC

Upload: emerson-navarro-ventura

Post on 29-Jan-2016

238 views

Category:

Documents


0 download

DESCRIPTION

ipecs

TRANSCRIPT

Page 1: IPSEC Expo Seguridad

IPSEC

Page 2: IPSEC Expo Seguridad

Resumen

Los protocolos de IPsec actúan en la capa de red, la capa 3 del modelo OSI. Otros protocolos de seguridad para Internet de uso extendido, como SSL, TLS y SSH operan en la capa de transporte (capa 4 del modelo OSI) hacia arriba. Esto hace que IPsec sea más flexible, ya que puede ser utilizado para proteger protocolos de la capa 4, incluyendo TCP y UDP, los protocolos de capa de transporte más usados. Una ventaja importante de IPsec frente a SSL y otros métodos que operan en capas superiores, es que para que una aplicación pueda usar IPsec no hay que hacer ningún cambio, mientras que para usar SSL y otros protocolos de niveles superiores, las aplicaciones tienen que modificar su código.

Page 3: IPSEC Expo Seguridad

IPsec (abreviatura de Internet Protocol security) es un conjunto de protocolos cuya función es asegurar las comunicaciones sobre el  protocolo de internet (IP) autenticando y/o cifrando cada paquete IP en un flujo de datos. IPsec también incluye protocolos para el establecimiento de claves de cifrado.

IPsec es una extensión al protocolo IP que proporciona seguridad a IP y a los protocolos de capas superiores. Inicialmente fue desarrollado para usarse con el nuevo estándar IPv6 (donde es obligatorio), aunque posteriormente se adaptó a IPv4 (donde es opcional).

Page 4: IPSEC Expo Seguridad

IPsec es uno de los protocolos de seguridad más importantes. Este protocolo proporciona servicios de seguridad en la capa de red y en la capa de transporte, tanto en TCP como en UDP.

Gracias a IPsec podemos comunicar diferentes puntos de Internet de forma segura, es ampliamente utilizado en redes privadas virtuales de nuestros hogares, pero también es utilizado en entornos corporativos donde la seguridad es lo más importante. Trabaja en la capa 3 de OSI (capa de red), otros protocolos de seguridad como TLS trabajan en la capa 4 (capa de transporte).

IPsec proporciona varios servicios necesarios para que la comunicación sea segura, estos servicios son los de confidencialidad, integridad, y autenticación. Gracias a estos servicios, la seguridad de las comunicaciones estan garantizadas.

Page 5: IPSEC Expo Seguridad

Dentro de IPSec se distinguen los siguientes componentes:

Dos protocolos de seguridad: IP Authentication Header (AH) e IP Encapsulating Security Payload (ESP) que proporcionan mecanismos de seguridad para proteger tráfico IP.

Un protocolo de gestión de claves Internet Key Exchange (IKE) que permite a dos nodos negociar las claves y todos los parámetros necesarios para establecer una conexión AH o ESP

Page 6: IPSEC Expo Seguridad

El protocolo AH

El protocolo AH es el procedimiento previsto dentro de IPSec para garantizar la integridad y autenticación de los datagramas IP. Esto es, proporciona un medio al receptor de los paquetes IP para autenticar el origen de los datos y para verificar que dichos datos no han sido alterados en tránsito. Sin embargo no proporciona ninguna garantía de confidencialidad, es decir, los datos transmitidos pueden ser vistos por terceros.

Tal como indica su nombre, AH es una cabecera de autenticación que se inserta entre la cabecera IP estándar (tanto IPv4 como IPv6) y los datos transportados, que pueden ser un mensaje TCP, UDP o ICMP, o incluso un datagrama IP completo

Page 7: IPSEC Expo Seguridad

Figura 2. Estructura de un datagrama AH

Page 8: IPSEC Expo Seguridad
Page 9: IPSEC Expo Seguridad

El protocolo ESP

El objetivo principal del protocolo ESP (Encapsulating Security Payload) es proporcionar confidencialidad, para ello especifica el modo de cifrar los datos que se desean enviar y cómo este contenido cifrado se incluye en un datagrama IP. Adicionalmente, puede ofrecer los servicios de integridad y autenticación del origen de los datos incorporando un mecanismo similar al de AH.

Dado que ESP proporciona más funciones que AH, el formato de la cabecera es más complejo; este formato consta de una cabecera y una cola que rodean los datos transportados. Dichos datos pueden ser cualquier protocolo IP (por ejemplo, TCP, UDP o ICMP, o incluso un paquete IP completo).

Page 10: IPSEC Expo Seguridad
Page 11: IPSEC Expo Seguridad
Page 12: IPSEC Expo Seguridad

Modos de operación de IPsec

Existen dos modos de operaciones del IPsec:

* Modo transporte (Transport mode): En este modo, solamente la carga útil (el mensaje) del paquete IP es encriptada.

* Modo túnel (Tunnel mode): en este modo, el paquete IP completo es encriptado. Debe ser luego encapsulado en un nuevo paquete IP para tareas de ruteo.

Page 13: IPSEC Expo Seguridad

Modo Transporte

La cabecera AH o ESP es insertada entre el área de datos y la cabecera IP, de tal forma que se mantienen las direcciones IP originales.

El contenido encapsulado en un datagrama AH o ESP proviene directamente de la capa de transporte. Por tanto, la cabecera IPsec se insertará a continuación de la cabecera IP y justo antes de los datos aportados por la capa de transporte. De esta forma, sólo la carga útil es cifrada y autenticada.

Page 14: IPSEC Expo Seguridad

El modo transporte asegura la comunicación extremo a extremo pero los extremos deben saber de la existencia del protocolo IPsec para poder entenderse.

Page 15: IPSEC Expo Seguridad

Modo Túnel

En el modo túnel, el paquete IP entero (cabecera + datos) es cifrado y autenticado. Este paquete será encapsulado en un nuevo paquete IP, por tanto, la dirección IP cambiará por la del último paquete IP. Por tanto, al paquete original se le añade una cabecera AH o ESP y a continuación se le añade la cabecera IP que servirá para encaminar el paquete a través de la red.

Page 16: IPSEC Expo Seguridad

El modo túnel normalmente es usado para comunicar redes con redes, pero también se puede usar (y de hecho se usa), para comunicar ordenadores con redes y ordenadores con ordenadores. Este modo de funcionamiento facilita que los nodos puedan ocultar su identidad de otros nodos que se estén comunicando.

Page 18: IPSEC Expo Seguridad

IKE: el protocolo de control

Un concepto esencial en IPSec es el de asociación de seguridad (SA): es un canal de comunicación unidireccional que conecta dos nodos, a través del cual fluyen los datagramas protegidos mediante mecanismos criptográficos acordados previamente. Al identificar únicamente un canal unidireccional, una conexión IPSec se compone de dos SAs, una por cada sentido de la comunicación.

Page 20: IPSEC Expo Seguridad

métodos de autenticación

Hay cuatro métodos de autenticación en IPsec: clave compartida, firmas digitales RSA, certificados digitales X.509 y autenticación mediante un grupo de usuarios XAuth.

Dependiendo del escenario donde deseamos implementar IPsec, se utilizará un método de autenticación u otro, cada uno de estos métodos poseen unas ventajas y unos inconvenientes que serán citados.

A continuación, os explicamos en detalle estos cuatro métodos.

Page 21: IPSEC Expo Seguridad

Clave compartida

La clave compartida es una clave formada por una cadena de caracteres (la de toda la vida) que sólo conocerán los dos extremos de la comunicación para establecer la conexión IPsec.

Mediante el empleo de algoritmos de autenticación (HASH), se comprobarán que las claves son correctas sin necesidad de que dichas claves se revelen.

Para que este método sea seguro, debe hacer una clave por cada pareja de participantes en la comunicación. Este tipo de autenticación es inviable para muchos participantes ya que habrá un número muy grande de claves.

Aunque se empleen hashes para el intercambio de claves en la conexión, antes de esta conexión, las claves deben estar en ambos extremos de la comunicación, por este motivo, no podemos saber a ciencia cierta si esa clave no ha sido capturada cuando se envió. Sólo podremos asegurar que está a salvo si la entregamos en mano.

Esta técnica es útil para redes pequeñas, pero para redes medianas y grandes en totalmente inviable.

Page 22: IPSEC Expo Seguridad

Firmas Digitales RSA

IPsec trabaja con el protocolo IKE para la gestión de las claves y la seguridad de forma automática.

IPsec utiliza las firmas digitales RSA para el intercambio seguro de claves mediante la pareja de claves públicas y privadas. Tenéis más información sobre RSA en Algoritmos de cifrado Asimétrico.

Estas claves tienen el mismo problema que la clave compartida, de alguna manera tenemos que enviar las claves hacia “el otro lado” pero sí podemos modificar las claves de forma segura mediante el protocolo IKE.

Por tanto, para asegurar la red, es conveniente cambiar estas claves con cierta frecuencia.

Estas firmas RSA proporcionan a la red autenticación y confidencialidad

Page 23: IPSEC Expo Seguridad

Certificados X.509

IPsec también puede trabajar con certificados digitales, estos certificados contiene la clave pública del propietario y su identificación. Algo parecido ya vimos en el manual de OpenVPN, donde teníamos que crear la CA (Autoridad de Certificación). El propietario posee también una pareja de claves públicas y privada para operar con ellas a la hora de la validación.

La utilización de estos certificados hace aparecer en escena el protocolo PKI para autenticar a los nodos implicados en la comunicación IPsec.

La utilización de esta PKI ayuda a la tarea de crear nuevos certificados y dar de baja otros.

La validez del certificado digital es otorgada por la PKI, esta PKI integra la CA que contiene la clave pública y la identidad del propietario. Los extremos implicados en la conexión IPsec reconocerán la CA como válida ya que poseen una copia de dicha CA.

La validación de los certificados se realiza mediante la lista de revocación de certificados (CRL) que está almacenada en la PKI. Todos los participantes tendrán una copia de esta CRL que se actualiza de forma constante.

El protocolo SCEP, es un estándar para solicitar y obtener certificados digitales de forma automática. Fue desarrollado por Cisco y Verisign.

Page 24: IPSEC Expo Seguridad

Autenticación mediante grupo de usuarios XAuth Este método añade un usuario y una contraseña a los

certificados digitales vistos anteriormente (X.509), de tal forma que aparte de validar el certificado, también validará el usuario y contraseña.

Para validar estos usuarios y contraseñas, podremos hacer uso de un servidor Radius.

Page 25: IPSEC Expo Seguridad

SERVICIOS DE SEGURIDAD OFRECIDOS PORIPSEC

En este apartado se analizan las características de los servicios de seguridad que ofrece IPSec. Dichos servicios son:

Integridad y autenticación del origen de los datos

El protocolo AH es el más adecuado si no se requiere cifrado. La opción de autenticación del protocolo ESP ofrece una funcionalidad similar, aunque esta protección, a diferencia de AH, no incluye la cabecera IP. Como se comentó anteriormente, esta opción es de gran importancia para aquellas aplicaciones en las cuales es importante garantizar la invariabilidad del contenido de los paquetes IP.

Page 27: IPSEC Expo Seguridad

Confidencialidad

El servicio de confidencialidad se obtiene mediante la función de cifrado incluida en el protocolo ESP. En este caso es recomendable activar la opción de autenticación, ya que si no se garantiza la integridad de los datos el cifrado es inútil. Esto es debido a que aunque los datos no pudiesen ser interpretados por nadie en tránsito, éstos podrían ser alterados haciendo llegar al receptor del mensaje tráfico sin sentido que sería aceptado como tráfico válido.

Page 28: IPSEC Expo Seguridad

Detección de repeticiones

La autenticación protege contra la suplantación de la identidad IP, sin embargo un atacante todavía podría capturar paquetes válidos y reenviarlos al destino. Para evitar este ataque, tanto ESP como AH incorporan un procedimiento para detectar paquetes repetidos. Dicho procedimiento está basado en un número de secuencia incluido en la cabecera ESP o AH, el emisor incrementa dicho número por cada datagrama que envía y el receptor lo comprueba, de forma que los paquetes repetidos serán ignorados.

Page 29: IPSEC Expo Seguridad

Control de acceso: autenticación y autorización

Dado que el uso de ESP y AH requiere el conocimiento de claves, y dichas claves son distribuidas de modo seguro mediante una sesión IKE en la que ambos nodos se autentican mutuamente, existe la garantía de que sólo los equipos deseados participan en la comunicación. Es conveniente aclarar que una autenticación válida no implica un acceso total a los recursos, ya que IPSec proporciona también funciones de autorización.

Page 30: IPSEC Expo Seguridad

No repudio

El servicio de no repudio es técnicamente posible en IPSec, si se usa IKE con autenticación mediante certificados digitales. En este caso, el procedimiento de autenticación se basa en la firma digital de un mensaje que contiene, entre otros datos, la identidad del participante. Dicha firma, gracias al vínculo entre la clave pública y la identidad que garantiza el certificado digital, es una prueba inequívoca de que se ha establecido una conexión IPSec con un equipo determinado, de modo que éste no podrá negarlo.

Page 31: IPSEC Expo Seguridad

Entre los beneficios que aporta IPSec, cabe señalar que:

Posibilita nuevas aplicaciones como el acceso seguro y transparente de un nodo IP remoto.

Facilita el comercio electrónico de negocio a negocio, al proporcionar una infraestructura segura sobre la que realizar transacciones usando cualquier aplicación. Las extranets son un ejemplo.

Permite construir una red corporativa segura sobre redes públicas, eliminando la gestión y el coste de líneas dedicadas.

Ofrece al teletrabajador el mismo nivel de confidencialidad que dispondría en la red local de su empresa, no siendo necesaria la limitación de acceso a la información sensible por problemas de privacidad en tránsito.

Page 32: IPSEC Expo Seguridad

CONCLUSIONES

IPSec es un estándar de seguridad extraordinariamente potente y flexible. Su importancia reside en que aborda una carencia tradicional en el protocolo IP: la seguridad. Gracias a IPSec ya es posible el uso de redes IP para aplicaciones críticas, como las transacciones comerciales entre empresas. Al mismo tiempo, es la solución ideal para aquellos escenarios en que se requiera seguridad, independientemente de la aplicación, de modo que es una pieza esencial en la seguridad de las redes IP.