Tarea_IPSec

Vista previa del material en texto

Universidad Nacional Autónoma de México
Facultad de Ingeniería
Redes de Datos Seguras
Grupo: 03 - Semestre: 2023-1
Tarea:
La seguridad de IPsec.
Fecha de entrega: 12/12/2022
Profesora:
M.C. María Jaquelina López Barrientos
Alumno:
Téllez González Jorge Luis
Facultad de Ingeniería Redes de Datos Seguras______________________________________________________________________________________________________________
Introducción
IPsec es un protocolo de seguridad ue se utiliza a nivel de capa de red en el modelo de
referencia OSI. Este protocolo proporciona un conjunto de funcionalidades de seguridad
para proteger las comunicaciones de red a través de una red pública, como Internet. Entre
estas funcionalidades se incluye la autenticación de mensajes, encriptación de datos y
encapsula el origen y destino. IPsec es un estándar ampliamente utilizado en la industria y es
compatible con una amplia gama de plataformas y dispositivos de red.
En general, IPsec tiene las siguientes funcionalidades principales:
● Proporcionar seguridad al router cuando se envíen datos a través de la red de
Internet pública.
● Cifrar los datos de las aplicaciones que usen el protocolo.
● Autenticar de forma rápida los datos cuando proceden de un remitente conocido.
● Protoger los datos que pasan por la red pormedio de circuitos cerrados llamados
túneles IPsec que cifran todos los datos enviados entre 2 equipos.
Figura 1. IPsec genera un túnel extremo a extremo donde el trá�co de paquetes se encuentra cifrado.
IPsec presenta mayor �exibilidad frente a otros protocolos de seguridad de capa
superior al operar directamente en la capa de red, de forma que incluso puede ser utilizado
para robustecer el intercambio de información con protocolos como TCP y UDP. Con lo
anterior, se puede a�rmar que IPsec está implementado por una serie de protocolo
2
Facultad de Ingeniería Redes de Datos Seguras______________________________________________________________________________________________________________
criptográ�cos para asegurar el �ujo de paquetes en la red, garantizar la autenticación mútua
de los equipos involucrados y establecer parámetro criptográ�cos.
Entre los protocolos que se utilizan en conjunto con IPsec se encuentra IKE, o
Internet Key Exchange. IKE es un protocolo de red que se utiliza en conjunción con IPSec
para establecer y administrar sesiones de seguridad, encargándose de autenticar a los
participantes en la comunicación (los cuales se tratan de sistemas autónomos) y de negociar y
establecer parámetros de seguridad para la sesión IPSec. IKE utiliza una combinación de
protocolos criptográ�cos y mecanismos de autenticación para garantizar que sólo los
usuarios autorizados puedan acceder a los datos protegidos por IPSec.
En la siguiente tarea se abordará especí�camente al protocolo IKE y los elementos
involucrados en su funcionamiento.
Desarrollo
¿Cuál es el objetivo primordial por el que IKE fue creado?
El objetivo principal de IKE es proporcionar una forma de establecer y administrar sesiones
de seguridad para IPSec de manera segura y e�ciente. IKE se utiliza para autenticar a los
participantes en la comunicación y para negociar y establecer parámetros de seguridad para
la sesión IPSec. Esto permite a los dispositivos de red proteger sus comunicaciones mediante
el uso de funcionalidades de seguridad avanzadas, como autenticación de mensajes,
encriptación de datos y protección contra ataques de repuesta. En general, IKE fue creado
para facilitar la implementación de IPSec y mejorar la seguridad de las comunicaciones de
red.
Adicionalmente, IKE automatiza lla gestión de claves de IPsec. IKE sustituye la
asignación y renovación manual de claves en una red IPv4, permitiendo al administrador
gestionar un mayor número de redes seguras.
Explique las fases que componen la negociación en IKE
La negociación en IKE se compone de dos fases principales: la fase 1 y la fase 2. La fase 1
tiene como objetivo establecer una conexión segura entre los dos dispositivos y acordar una
clave secreta compartida utilizando el algoritmo de intercambio de claves de Di�e-Hellman.
A este primer modo se le conoce como modo principal. El resultado es una asociación de
3
Facultad de Ingeniería Redes de Datos Seguras______________________________________________________________________________________________________________
seguridad de Internet y una asociación de seguridad del protocolo de administración de
claves (ISAKMP), que se trata de un canal seguro para que IKE negocie el material de claves
para los paquetes IP. A diferencia de las asociaciones de seguridad de IPsec, las asociaciones
de seguridad de ISAKMP son bidireccionales, de modo que sólo se necesita una asociación
de seguridad. Esta fase suele diferenciarse en 2 subfases: la subfase de intercambio de
mensajes IKE (que se realiza mediante el protocolo UDP) y la subfase de autenticación de
identidad (que se realiza mediante el protocolo ISAKMP).
Estas asociaciones se utilizarán en la fase 2 (también conocida como modo rápido)
para cifrar y descifrar las comunicaciones entre los dispositivos. La fase 2 tiene como
objetivo establecer un canal seguro de comunicación entre los dispositivos mediante el
intercambio de información cifrada utilizando los elementos generados en la fase 1. Una
vez establecido el canal seguro, los dispositivos pueden comunicarse de forma segura
utilizando este canal.
Figura 2. Fases de negociación de IKE.
Esta fase se divide a su vez en dos subfases: la subfase de intercambio de claves
Di�e-Hellman (que se utiliza para establecer la clave compartida de manera segura) y la
subfase de autenticación de clave (que se utiliza para veri�car que la clave compartida se ha
establecido correctamente). Una vez que se completan las dos fases de negociación, se ha
establecido de manera segura la SA entre los dispositivos y pueden comenzar a comunicarse
de manera segura utilizando IPsec.
4
Facultad de Ingeniería Redes de Datos Seguras______________________________________________________________________________________________________________
Como parte de la negociación se requieren SAs (Asociaciones de Seguridad).
¿qué son y cuál es su función?
Las Asociaciones de Seguridad (SA) son entidades que se utilizan en el protocolo IPsec para
establecer y mantener una comunicación segura entre dos dispositivos. Una SA incluye
información como el protocolo de seguridad que se utilizará (por ejemplo, ESP o AH), el
algoritmo de cifrado que se utilizará, la clave compartida que se utilizará para cifrar y
descifrar los datos, y la dirección IP del dispositivo con el que se establece la SA.
La función de una SA es proporcionar un marco para la comunicación segura entre dos
dispositivos. Esto se logra mediante el uso de una clave compartida y la aplicación de
técnicas de cifrado y autenticación a los datos que se envían a través de la SA. De esta
manera, se garantiza que los datos enviados a través de la SA no puedan ser leídos o
modi�cados por terceros.
Figura 3. Ejemplos de SA y sus declaraciones de algoritmos de seguridad empleados.
5
Facultad de Ingeniería Redes de Datos Seguras______________________________________________________________________________________________________________
IKE emplea un algoritmo para realizar el intercambio secreto de claves de tipo
Di�e-Hellman ¿esto que quiere decir?
El protocolo de intercambio secreto de claves de tipo Di�e-Hellman es un algoritmo de
naturaleza simétrica que se utiliza en la fase de intercambio de claves delprotocolo IKE. Este
algoritmo se basa en la matemática de las curvas elípticas y el cálculo del logaritmo discreto,
lo que permite a dos dispositivos establecer una clave compartida de manera segura, sin que
ninguno de los dos dispositivos tenga que compartir su clave privada con el otro.
El uso del algoritmo Di�e-Hellman por parte de IKE permite a los dispositivos
establecer una clave compartida de manera segura sin que se tenga que compartir
información con�dencial. Esto es importante para mantener la seguridad de la
comunicación entre los dispositivos.
Si usted y yo acordamos una clave en común para tener una comunicación
privada:
● Signi�ca que compartiremos información cifrada mediante un algoritmo de
tipo: simétrico. Un algoritmo de cifrado simétrico es un tipo de algoritmo que
utiliza una única clave para cifrar y descifrar la información. Esto signi�ca que la
misma clave se utiliza para cifrar el mensaje antes de enviarlo y descifrar el mensaje
después de recibirlo.
● Si los parámetros a usar son α=3 , n=263 en Z* elija su número privado,
anótelo aquí (19) y calcule el valor que me enviará, el cual es: Para calcular el
valor que enviaría usando IKE, se realiza la siguiente operación
319𝑚𝑜𝑑 263 = 32
Por lo tanto, el valor que enviaría sería el 32.
● Si yo le envío "68" ¿cuál es la Kprivada que compartiremos usted y yo?
Asumiendo los mismos parámetros del punto anterior, la clave privada se puede
calcular con:
6
Facultad de Ingeniería Redes de Datos Seguras______________________________________________________________________________________________________________
𝑘
𝑝𝑟𝑖𝑣𝑎𝑑𝑎
= (𝑔𝑏𝑚𝑜𝑑 𝑛)
En este caso, g=68, b es el número privado seleccionado y n es el
parámetro acordado (263). Entonces, la clave secreta compartida sería:
𝑘
𝑝𝑟𝑖𝑣𝑎𝑑𝑎
= 6819𝑚𝑜𝑑 263 = 248
Conclusiones
IKE es un protocolo fundamental en el funcionamiento de IPsec, ya que se encarga de
establecer y mantener las Asociaciones de Seguridad (SA) que permiten a los dispositivos
comunicarse de manera segura a través de una red pública como Internet, utilizando una
combinación de autenticación y criptografía de clave pública para negociar y establecer de
manera segura la SA entre los dispositivos, lo que garantiza la con�dencialidad, integridad y
autenticidad de los datos que se envían a través de la SA.
Por otra parte, el uso del algoritmo de intercambio secreto de claves de tipo
Di�e-Hellman resulta en una herramienta fundamental en el funcionamiento de IKE e
IPsec al permitir a los dispositivos establecer una clave compartida de manera segura, sin que
ninguno de los dos dispositivos tenga que compartir su clave privada con el otro. Cabe
señalar, sin embargo, que Di�e-Hellman puede ser susceptible a un ataque Man In The
Middle, por lo que su uso debe ser acompañado con certi�cados que permitan identi�car y
autenticar a los participantes de la negociación.
Referencias
Campos, J. (2011). El algoritmo de Diffie-Hellman. Consultado el 12 de diciembre de 2022
desde: https://javiercampos.es/blog/2011/07/22/el-algoritmo-de-di�e-hellman/
Oracle. (s.f.). Intercambio de claves de Internet (descripción general). Consultado el 12 de
diciembre de 2022 desde:
https://docs.oracle.com/cd/E19957-01/820-2981/ike-1/index.html
Cisco. (2008). Redes privadas virtuales e Intercambio de claves de Internet para concentrador
serie Cisco VPN 5000. Consultado el 12 de noviembre de 2022 desde:
7
https://javiercampos.es/blog/2011/07/22/el-algoritmo-de-diffie-hellman/
https://docs.oracle.com/cd/E19957-01/820-2981/ike-1/index.html
Facultad de Ingeniería Redes de Datos Seguras______________________________________________________________________________________________________________
https://www.cisco.com/c/es_mx/support/docs/security/vpn-5000-series-concentrators/141
30-ike.html
Oracle. (2014). Cómo funciona IKE. Consultado el 12 de diciembre de 2022 desde:
https://docs.oracle.com/cd/E56339_01/html/E53810/ike-how-1.html
KeepCoding. (2022). ¿Qué es el algoritmo Diffie-Hellman? Consultado el 12 de diciembre
de 2022 desde: https://keepcoding.io/blog/que-es-el-algoritmo-di�e-hellman/
8
https://www.cisco.com/c/es_mx/support/docs/security/vpn-5000-series-concentrators/14130-ike.html
https://www.cisco.com/c/es_mx/support/docs/security/vpn-5000-series-concentrators/14130-ike.html
https://docs.oracle.com/cd/E56339_01/html/E53810/ike-how-1.html
https://keepcoding.io/blog/que-es-el-algoritmo-diffie-hellman/