IPSec (Internet Protocol Security) : conjunto de protocolos cuya funcin es

asegurar las comunicaciones sobre el Protocolo IP.

Funciones: Autenticacin, cifrado y gestin de claves.
RESUMEN : protocolo actua sobre capa 3 (red) a diferencia de otros que
actan sobre capa 4 y esto permite que sea mas flexible ya que puede ser
utilizado para proteger protocolos superiores de la capa 4, incluso TCP y
UDP.
Beneficios:
- Mayor seguridad junto con firewall o router. En trafico LAN no
sufre sobrecarga con informacin de seguridad.
- Transparente a las aplicaciones al ser capa 3 y a los usuarios
finales.
- Posibilidad de suministrar seguridad a usuarios individuales y
remotos.
HISTORIA: En 1994, la IAB (Internet Architecture Board) se publico informae
sobre la seguridad en la arquitectura de internet. Constataba la necesidad
de una mayor seguridad e idetntifico las reas claves y precisamente, en
1997 se confirmaron la deteccin de 2500 atauqes a la seguridad que
afectaron a 150000 sitios de internet. Debido a ello, en su posterior versin
(ipv6) se incluyo como obligatoria la implementacin de seguridad.
ARQUITECTURA: fromado por conjunto de protocolos criptogrficos. Utiliza
el concepto de asociacin de seguridad, el paquete de algoritmos y
parmetros (claves) que se estn usando para cifrar y autenticar un flujo de
datos en una nica direccin. BIRIDECCIONAL -> DOS SA.
El administrador selecciona el tipo de SA de una lista definida segn sus
necesidades.
Para cada paquete saliente se hace uso de un SPI, Indice de una base de
datos SADB junto con direccin destino con el fin de identificar de forma
nica una asociacin de seguridad para dicho paquete. Paquete entrante
proceso inverso.
(FOTO GUAPA TOCHA)
Las caractersticas de seguridad se implementan como extensiones de la
cabecera que se colocan entre la cabecera principal y el payload.
Caso multicast es posible replicar la misma SA o se pueden emplear SA
diferentes para cada nivel o conjuntos de seguridad dentro de un grupo
(cada remitente puede tener multiples SA).
(Comentar que es posible anidaciones de varias agrupacin de SA ya que,
en una SA indivudial no se puden implementar ambos protocolos
juntos (AH, y ESP))
ESTADO ACTUAL:
Tres generaciones de IP: 1 1995 RFC1825 y rfc1829 ; 2 1998 RFC2401
y RFC2412 ;
3 2005 rfc4301 y RFC4309.
Objetivo de diseo: Como ip no provee ninguna capacidad de seguridad
por si misma , ipsec proporciona los siguientes servicios:
Cifrar el trfico.
Validacin de integridad.
Autenticar los extremos.
Antirepeticin.
Su uso principal es generar VPNs seguras aunque lo hace de manera
diferente segn el modo empleado (transporte o tnel).
MODOS:
- TRANSPORTE Cifrado solo de carga til o autenticado. Enrutamiento intacto
(no se modifica cabecera) sin embargo, cuando se garantiza la autenticidad,
traducir la direccin ip (con cabecera AH) invalidara el HASH. Las capas de
transporte y aplicacin estn siemore asegurada por un hash y, por tnto, no
pueden ser modificadas de ninguna manera.
USO DE MODO EN COMUNICACIONES ENTRE HOST.
En ipv6 ya existen cabeceras de extensin especifica para IPSec en modo
transporte.
- TUNEL: Todo el paquete incluido cabecera es cifrado o autenticado
encapsulando en un nuevo paquete IP para su enrutamiento. USO DE MODO
EN CONEXIONES DE RED A RED.
Esto permite que los host de las red que estn detrs del firewall puedan
realizar comunicaciones seguras sin implementar ipSEC
TABLITA GUAPA 2 Y COMPARAR CON LOS QUE TENEMOS PARA QUITAR
COSAS QUE VENGAN YA EN LA TABLA.
(si faltan fotos metimos la de figura 5 y la 8)
PROTOCOLOS:
- Autentication header (AH): integridad y autenticacin.
- Encapsulating Security payload (ESP): confidencialidad y,
opcionalmente, autenticacin e integridad.
(TABLITA GUAPA).
- Internet key Exchange (IKE): Intercambio secreto de claves tipo
Diffe-Hellman para establecer el secreto compartido de la sesin.
Nomarlmente criptografa de clave publica.

Autentication header (AH):

(METER FOTO CON PAQUETE Y EXPLICAR POR ENCIMA).
(METER FOTO FIGURA 6)
- Calcula un cdigo hash, utilizando un algoritmo hash sobre una clave
secreta y el contenido del paquete ip.
 - Puede proteger contra ataques de repeticin con la tcnica de
ventana deslizante.

Si se activa el servicio antireplica, cuando el numero de secuencia

llega al mximo el emisor debe finalizar el SA y establecer uno nuevo.
Como el servicio de ip no garatinza el orden ni la llegada de todos los
paquetes, el servicio se implementa mediante una ventana deslizante
de tamao fijo.

(METER FOTO DE ANTIREPLICA)

Encapsulating Security payload (ESP): (foto con paquete)

(METER FOTO CON PAQUETE Y EXPLICAR POR ENCIMA).
(METER FOTO FIGURA 9) Y explicar por encima.

GESTION DE CLAVES:
Uso tpico de claves secretas.
Requerimiento tpico para comunicacin entre dos aplicaciones es de 4
claves (2 en TX, 2 en RX) para AH y ESP.
- MANUAL: Admin gestina claves manualmente. Practico para
entornos pequeos y relativamente estticos.
- AUTOMATICO: Creacion bajo demanda de claves. Uso en grandes
sistemas distribuidos con configuracin dinmica.
El protocolo automatizado de gestin de claves, por defecto, de IPSec es
denominado ISAKMP/Oakley y se compone de los siguientes elementos:
- Protocolo de determinacin de claves Oakley: Oakley es un protocolo
de intercambio de claves basado en el algoritmo de Diffie-Hellman
pero adems proporciona seguridad. Oakley es genrico en tanto que
no estipula ningn formato especfico.
- Protocolo de gestin de claves y Asociaciones de Seguridad en
Internet (ISAKMP): ISAKMP suministra un marco de trabajo para la
gestin de claves en Internet y proporciona soporte para el protocolo
especfico, incluyendo los formatos, para la negociacin de atributos
de seguridad.
ISAKMP no estipula en s mismo ningn algoritmo de intercambio de claves;
sera ms correcto decir que, ISAKMP consiste en un conjunto de tipos de
mensajes que permite el uso de una variedad de algoritmos de intercambio
de claves. Oakley es el algoritmo especfico para intercambio de claves que
se uso en la versin inicial de ISAKMP.
(Los conceptos siguientes poenr expresin y comentar que no nos vamos a
centrar mucho ya que es lo mismo que se ha dado en clase).