Descarga la aplicación para disfrutar aún más
Vista previa del material en texto
Universidad Nacional Autónoma de México Facultad de Ingeniería Redes de Datos Seguras Grupo: 03 - Semestre: 2023-1 Tarea: La seguridad de IPsec. Fecha de entrega: 12/12/2022 Profesora: M.C. María Jaquelina López Barrientos Alumno: Téllez González Jorge Luis Facultad de Ingeniería Redes de Datos Seguras______________________________________________________________________________________________________________ Introducción IPsec es un protocolo de seguridad que se utiliza a nivel de capa de red en el modelo de referencia OSI. Este protocolo proporciona un conjunto de funcionalidades de seguridad para proteger las comunicaciones de red a través de una red pública, como Internet. Entre estas funcionalidades se incluye la autenticación de mensajes, encriptación de datos y encapsula el origen y destino. IPsec es un estándar ampliamente utilizado en la industria y es compatible con una amplia gama de plataformas y dispositivos de red. En general, IPsec tiene las siguientes funcionalidades principales: ● Proporcionar seguridad al router cuando se envían datos a través de la red de Internet pública. ● Cifrar los datos de las aplicaciones que usen el protocolo. ● Autenticar de forma rápida los datos cuando proceden de un remitente conocido. ● Proteger los datos que pasan por la red por medio de circuitos cerrados llamados túneles IPsec que cifran todos los datos enviados entre 2 equipos. Figura 1. IPsec genera un túnel extremo a extremo donde el trá�co de paquetes se encuentra cifrado. IPsec presenta mayor �exibilidad frente a otros protocolos de seguridad de capa superior al operar directamente en la capa de red, de forma que incluso puede ser utilizado para robustecer el intercambio de información con protocolos como TCP y UDP. Con lo anterior, se puede a�rmar que IPsec está implementado por una serie de protocolos 2 Facultad de Ingeniería Redes de Datos Seguras______________________________________________________________________________________________________________ criptográ�cos para asegurar el �ujo de paquetes en la red, garantizar la autenticación mútua de los equipos involucrados y establecer parámetros criptográ�cos. Entre los protocolos que se utilizan en conjunto con IPsec se encuentra IKE, o Internet Key Exchange. IKE es un protocolo de red que se utiliza en conjunción con IPSec para establecer y administrar sesiones de seguridad, encargándose de autenticar a los participantes en la comunicación (los cuales se tratan de sistemas autónomos) y de negociar y establecer parámetros de seguridad para la sesión IPSec. IKE utiliza una combinación de protocolos criptográ�cos y mecanismos de autenticación para garantizar que sólo los usuarios autorizados puedan acceder a los datos protegidos por IPSec. En la siguiente tarea se abordará especí�camente al protocolo IKE y los elementos involucrados en su funcionamiento. Desarrollo ¿Cuál es el objetivo primordial por el que IKE fue creado? El objetivo principal de IKE es proporcionar una forma de establecer y administrar sesiones de seguridad para IPSec de manera segura y e�ciente. IKE se utiliza para autenticar a los participantes en la comunicación y para negociar y establecer parámetros de seguridad para la sesión IPSec. Esto permite a los dispositivos de red proteger sus comunicaciones mediante el uso de funcionalidades de seguridad avanzadas, como autenticación de mensajes, encriptación de datos y protección contra ataques de respuesta. En general, IKE fue creado para facilitar la implementación de IPSec y mejorar la seguridad de las comunicaciones de red. Adicionalmente, IKE automatiza la gestión de claves de IPsec. IKE sustituye la asignación y renovación manual de claves en una red IPv4, permitiendo al administrador gestionar un mayor número de redes seguras. Explique las fases que componen la negociación en IKE La negociación en IKE se compone de dos fases principales: la fase 1 y la fase 2. La fase 1 tiene como objetivo establecer una conexión segura entre los dos dispositivos y acordar una clave secreta compartida utilizando el algoritmo de intercambio de claves de Di�e-Hellman. A este primer modo se le conoce como modo principal. El resultado es una asociación de 3 Facultad de Ingeniería Redes de Datos Seguras______________________________________________________________________________________________________________ seguridad de Internet y una asociación de seguridad del protocolo de administración de claves (ISAKMP), que se trata de un canal seguro para que IKE negocie el material de claves para los paquetes IP. A diferencia de las asociaciones de seguridad de IPsec, las asociaciones de seguridad de ISAKMP son bidireccionales, de modo que sólo se necesita una asociación de seguridad. Esta fase suele diferenciarse en 2 subfases: la subfase de intercambio de mensajes IKE (que se realiza mediante el protocolo UDP) y la subfase de autenticación de identidad (que se realiza mediante el protocolo ISAKMP). Estas asociaciones se utilizan en la fase 2 (también conocida como modo rápido) para cifrar y descifrar las comunicaciones entre los dispositivos. La fase 2 tiene como objetivo establecer un canal seguro de comunicación entre los dispositivos mediante el intercambio de información cifrada utilizando los elementos generados en la fase 1. Una vez establecido el canal seguro, los dispositivos pueden comunicarse de forma segura utilizando este canal. Figura 2. Fases de negociación de IKE. Esta fase se divide a su vez en dos subfases: la subfase de intercambio de claves Di�e-Hellman (que se utiliza para establecer la clave compartida de manera segura) y la subfase de autenticación de clave (que se utiliza para veri�car que la clave compartida se ha establecido correctamente). Una vez que se completan las dos fases de negociación, se ha establecido de manera segura la SA entre los dispositivos y pueden comenzar a comunicarse de manera segura utilizando IPsec. 4 Facultad de Ingeniería Redes de Datos Seguras______________________________________________________________________________________________________________ Como parte de la negociación se requieren SAs (Asociaciones de Seguridad). ¿Qué son y cuál es su función? Las Asociaciones de Seguridad (SA) son entidades que se utilizan en el protocolo IPsec para establecer y mantener una comunicación segura entre dos dispositivos. Una SA incluye información como el protocolo de seguridad que se utilizará (por ejemplo, ESP o AH), el algoritmo de cifrado que se utilizará, la clave compartida que se utilizará para cifrar y descifrar los datos, y la dirección IP del dispositivo con el que se establece la SA. La función de una SA es proporcionar un marco para la comunicación segura entre dos dispositivos. Esto se logra mediante el uso de una clave compartida y la aplicación de técnicas de cifrado y autenticación a los datos que se envían a través de la SA. De esta manera, se garantiza que los datos enviados a través de la SA no puedan ser leídos o modi�cados por terceros. Figura 3. Ejemplos de SA y sus declaraciones de algoritmos de seguridad empleados. 5 Facultad de Ingeniería Redes de Datos Seguras______________________________________________________________________________________________________________ IKE emplea un algoritmo para realizar el intercambio secreto de claves de tipo Di�e-Hellman ¿esto que quiere decir? El protocolo de intercambio secreto de claves de tipo Di�e-Hellman es un algoritmo de naturaleza simétrica que se utiliza en la fase de intercambio de claves delprotocolo IKE. Este algoritmo se basa en la matemática de las curvas elípticas y el cálculo del logaritmo discreto, lo que permite a dos dispositivos establecer una clave compartida de manera segura. El uso del algoritmo Di�e-Hellman por parte de IKE permite a los dispositivos establecer una clave compartida secreta de manera segura sin que se tenga que compartir información con�dencial. Esto es importante para mantener la seguridad de la comunicación entre los dispositivos. Si usted y yo acordamos una clave en común para tener una comunicación privada: ● Signi�ca que compartiremos información cifrada mediante un algoritmo de tipo: simétrico. Un algoritmo de cifrado simétrico es un tipo de algoritmo que utiliza una única clave para cifrar y descifrar la información. Esto signi�ca que la misma clave se utiliza para cifrar el mensaje antes de enviarlo y descifrar el mensaje después de recibirlo. ● Si los parámetros a usar son α=3 , n=263 en Z* elija su número privado, anótelo aquí (19) y calcule el valor que me enviará, el cual es: Para calcular el valor que enviaría usando IKE, se realiza la siguiente operación 319𝑚𝑜𝑑 263 = 32 Por lo tanto, el valor que enviaría sería el 32. ● Si yo le envío "68" ¿cuál es la Kprivada que compartiremos usted y yo? Asumiendo los mismos parámetros del punto anterior, la clave privada se puede calcular con: 𝑘 𝑝𝑟𝑖𝑣𝑎𝑑𝑎 = (𝑔𝑏𝑚𝑜𝑑 𝑛) 6 Facultad de Ingeniería Redes de Datos Seguras______________________________________________________________________________________________________________ En este caso, g=68, b es el número privado seleccionado y n es el parámetro acordado (263). Entonces, la clave secreta compartida sería: 𝑘 𝑝𝑟𝑖𝑣𝑎𝑑𝑎 = 6819𝑚𝑜𝑑 263 = 248 Conclusiones IKE es un protocolo fundamental en el funcionamiento de IPsec, ya que se encarga de establecer y mantener las Asociaciones de Seguridad (SA) que permiten a los dispositivos comunicarse de manera segura a través de una red pública como Internet, utilizando una combinación de autenticación y criptografía de clave pública para negociar y establecer de manera segura la SA entre los dispositivos, lo que garantiza la con�dencialidad, integridad y autenticidad de los datos que se envían a través de la SA. Por otra parte, el uso del algoritmo de intercambio secreto de claves de tipo Di�e-Hellman resulta en una herramienta fundamental en el funcionamiento de IKE e IPsec al permitir a los dispositivos establecer una clave compartida de manera segura, sin que ninguno de los dos dispositivos se vea obligado a compartir su clave privada con el otro. Cabe señalar, sin embargo, que Di�e-Hellman puede ser susceptible a un ataque Man In The Middle, por lo que su uso debe ser acompañado con certi�cados que permitan identi�car y autenticar a los participantes de la negociación. Referencias Campos, J. (2011). El algoritmo de Diffie-Hellman. Consultado el 12 de diciembre de 2022 desde: https://javiercampos.es/blog/2011/07/22/el-algoritmo-de-di�e-hellman/ Oracle. (s.f.). Intercambio de claves de Internet (descripción general). Consultado el 12 de diciembre de 2022 desde: https://docs.oracle.com/cd/E19957-01/820-2981/ike-1/index.html Cisco. (2008). Redes privadas virtuales e Intercambio de claves de Internet para concentrador serie Cisco VPN 5000. Consultado el 12 de noviembre de 2022 desde: https://www.cisco.com/c/es_mx/support/docs/security/vpn-5000-series-concentrators/141 30-ike.html 7 https://javiercampos.es/blog/2011/07/22/el-algoritmo-de-diffie-hellman/ https://docs.oracle.com/cd/E19957-01/820-2981/ike-1/index.html https://www.cisco.com/c/es_mx/support/docs/security/vpn-5000-series-concentrators/14130-ike.html https://www.cisco.com/c/es_mx/support/docs/security/vpn-5000-series-concentrators/14130-ike.html Facultad de Ingeniería Redes de Datos Seguras______________________________________________________________________________________________________________ Oracle. (2014). Cómo funciona IKE. Consultado el 12 de diciembre de 2022 desde: https://docs.oracle.com/cd/E56339_01/html/E53810/ike-how-1.html KeepCoding. (2022). ¿Qué es el algoritmo Diffie-Hellman? Consultado el 12 de diciembre de 2022 desde: https://keepcoding.io/blog/que-es-el-algoritmo-di�e-hellman/ 8 https://docs.oracle.com/cd/E56339_01/html/E53810/ike-how-1.html https://keepcoding.io/blog/que-es-el-algoritmo-diffie-hellman/
Compartir