IPSec

IPSec (RFC2401)

Compuesta de dos protocolos principales:

* Cabecera de Autenticación(AH)(IP51): Protocolo de seguridad que proporciona servicios opcionales de autenticación y detección de la reproduccion.
Actua como firma digital para garantizar que la totalidad del paquete ip no ha sido manipulado.
AH proporciona autenticación a la totalidad del paquete.
No proporciona servicios de cifrado y puede ser usado por si solo o con ESP.

* Sobrecarga de Seguridad del Encapsulado (ESP)(IP50):
Proporciona confidencialidad y protección de los datos, así como servicios de autenticaciñon y detección de la reproducción opcionales.

IKE(UDP 500): Protocolo híbrido compuesto por estandares ISAKMP y OAKLEY, proporciona servicios a IPSec:
1- Atenticación de iguales IPSec.
2- Negociación de Asociaciones de Seguridad IKE e IPSec.
3- Establecimiento de claves para los algoritmos de cifrado que utiliza IPSec.

SA:Asociación de seguridad.
Es una conexión entreiguales IPSec que determina los servicios IPSec disponibles entre iguales, similares a un puertoTCP o UDP.
Las SA se identifican por la dirección del igual IPSec, el protocolo de seguridad, y el índice de parametro de seguridad (SPI).

DES: Es utilizado por IPSec e IKE para Cifrado de datos. Utiliza una clave de 56bits (Alto rendimiento - Cifrado debil).
3DES: Varian te de DES que se repite 3 veces con claves separadas, doblando la capacidad de DES.
Es Utilizado por IPSEC y utiliza una clave de 168 bits.

D-H: Diffie-Hellman es un protocolo de cifrado de calve públicaque permite que las dos partes establezcan una clave secreta compartida sobre un canal de comunicaciones inseguro.
Se usa en IKE para establecer las claves de sesión.
Elintercambio DH puede ser autenticado con RSA (o con claves precompartidas).

MD5: Message Digest Version 5 es un algoritmo Hash que autentica los datos de los paquetes. Es un algoritmo de cifrado de sentido único que toma un mensaje de entrada y genera un mensaje de salida de longitud fija.
IKE, AH y ESP pueden usar MD5 para la autenticación.
MD procesa su entrada en bloques de 512 bits y genera un conjunto de mensajes de 128 bits.

SHA-1: Sebure Hash Algorithm es un algoritmo Hash que firma y autentica los datos de los paquetes. (Utilizado por IKE, AH y ESP).

Firmas RSA: Sistema de cifrado de clave pública que sirve para la autenticación.
Cada usuario posee una clave pública y una privada. El cifrado se lleva a cabo con la clave pùblica mientras que el descifrado con la clave privada.

CA: (Autoridad de Certificados) Cuando dos iguales IPSec desean comunicarse intercambian certificados digitales para probar sus identidades (con lo que se elimina la necesidad de intercambiar una clave pública). Estos certificados digitales se obtienen de una CA.
El PIX utilizsa firmas RSA para autenticar el intercambio CA.

Tags: 

Predefined Sections

Seccion Cisco   Seccion Linux   Seccion Microsoft   Seccion Redes   Seccion Seguridad   Seccion General