Este documento describe el protocolo de seguridad IPSec, incluyendo sus protocolos AH y ESP, los modos de transporte y túnel, y cómo proporciona integridad, autenticación y confidencialidad de datos a nivel de red. IPSec es compatible con diversos dispositivos Cisco y escenarios de red, y ofrece características como facilidad de implementación, escalabilidad, rápida implantación y rendimiento.
2. Es un armazón de protocolo de seguridad y algoritmos
utilizados para asegurar los datos a nivel de la capa de
red.
Anteriormente en el estándar IPSec, Cisco
implementó
su
CET
(Cisco
Encryptation
Technology, Tecnología de encriptación Cisco).
Esta armazón proporciona integridad de datos,
autenticación
y
confidencialidad,
además
de
asociaciones de seguridad y administración de claves.
7. Dato IP
(encriptado)
Cabecera
ESP
Cabecera
AH
Cabecera IP
• Asegura la integridad de los datos
• Proporciona autenticación en origen
• Garantiza
que
los
paquetes
provienen definitivamente de su
router igual.
• Usa un mecanismo hash codificado
• No proporciona confidencialidad (no
hay encriptación).
• Opcionalmente, ofrece protección
por repetición.
8. Dato IP
(encriptado)
Cabecera
ESP
Cabecera
AH
Cabecera IP
• Confidencialidad
de
datos
(encriptación).
• Confidencialidad del flujo de tráfico
limitado.
• Integridad de datos.
• Opcionalmente, autenticación en el
origen de los datos.
• Protección anti-repetición.
• No protege la cabecera IP.
9. IPSec está soportado por las plataformas 1600, 2x00, 36x0, 4x00, 5x00 y
7x00 basadas en Cisco IOS que usen versión IOS 12.0(x) o superior, PIX
Security Appliances y hubs y clientes VPN (Red privada virtual).
Acceso Remoto
Sitio a sitio
Basados en Firewall
Hub 2080 o 3060
Routers VPN 71x0
PIX Security Appliance
525 ó 535
Hub 3030
Routers 7x00 ó 3600
PIX Security Appliance
525 ó 515
Oficinas pequeñas o de
tipo troncal
Hub 3015 ó 3005
Routers 3600, 2600 ó
1700
PIX Security Appliance
506 ó 501
Oficinas pequeñas o de
tipo doméstico.
Software de
VPN o 3002
DSL Router 800
Cable Router 905 PIX
Security Appliance 501
Empresa
tamaño
Empresa
medio
de
de
gran
tamaño
cliente
10. IPSec está soportado por diversos dispositivos de red para conformar
diversos escenarios.
Proveedor de Servicios
Socio
Oficina
Principal
Oficina Remota
POP
Oficina Regional
Trabajador
Móvil
Trabajador
Móvil
11. Dichos escenarios se benefician de las siguientes características de IPSec
Fácil de
implementar
Escalable
Autoridades
de
certificación
Rápida
implantación
Rentable
Gran
rendimiento
12.
13. Proporcionar seguridad sin conexión
y autenticación.
Protección contra repeticiones.
Algunos campos pueden cambiar
14. Cabecera IP
Otras cabeceras y sobrecargas.
Clave Secreta
Datagrama Original
Algoritmo HMAC
Cabecera IP
AH
Otras cabeceras y sobrecargas.
Datagrama IP Autenticado
19. • AH precisa de menos gasto que ESP.
• AH nunca está restringida a exportación.
• AH es obligatorio para la compatibilidad
con IPv6
20.
21. • Los gateways IPSec ofrecen los servicios
IPSec al resto de los hosts en túneles
igual-a-igual.
• Los hosts finales no saben que se está
utilizando IPSec para proteger su tráfico.
22. • Cada host final efectúa la encapsulación
IPSec de sus propios datos, host-a-host.
• Es conveniente implementar IPSec en los
hosts finales
24. • Seguridad aplica a capa transporte y superiores.
• Solo protege sobrecarga de paquete, deja dirección IP
original abierta se utiliza para enrutar el paq. a
través de la
• Transporte modo AH
• Cabecera AH añade 24 bytes a c/paquete
• Transporte modo ESP
• (Cabecera + Bloque info Final) ESP añade hasta 37 B a cada
paq.
25. • Seguridad aplica a todo el paquete IP original
• Paquete encriptado se encapsula en
otro paq IP
IP
• Direcc. IP externa para enrutar paq. a través de
• Túnel modo AH
• Cabeceras IP y AH añaden 44 bytes.
• Túnel modo ESP
• (Cabecera + Bloque final) ESP y cabecera IP añaden hasta 57 B.
26. Transporte y Túnel AH
Cabecera IP
Datos
Túnel HDR
Datos de autenticación
Nueva
Cabecera IP
Cabecera IP
Cabecera AH
Datos
27. Transporte y Túnel ESP
Cabecera IP
Datos
Tunel HDR
Encriptado
Nueva
Cabecera IP
Cabecera
IP
Cabecera
ESP
Datos
ESP
28.
29. • Cisco. Fundamentos de Seguridad de Redes.
PEARSON. 2005
• Sumoza Rodolfo, Figueira Carlos. Criptografía y
seguridad de datos : Seguridad en la capa IP,
IPSec. Recuperado el 6 nov. 2013 de
http://ldc.usb.ve/~figueira/cursos/Seguridad/Material
/IPsec.pdf
• Pérez Iglesias, Santiago. Análisis del protocolo
IPSec: el estándar de seguridad en IP. Recuperado
el 6 nov. 2013 de
http://www.frlp.utn.edu.ar/materias/internetworking/a
puntes/IPSec/ipsec.pdf