MODOS
Ipesec trabaja con dos modos basico que son:
Modo Transporte:
solo carga los datos que se transfieren del paquete IP y proporciona seguridad de punto a punto,ipsec puede aplicar diferentes directivas de modo transporte entre dos direcciones IP hasta de un unico puerto,ya el enrutamiento permanece intacto y no se modifica ni se cifra la cabecera ip; cuando se utiliza la cabecera de autenticacion(AH),tanto las direcciones IP no pueden ser traducidas,las capas de transporte y aplicacion estan siempre seguras por un hash. "el modo transporte se utiliza para comunicarse de ordenador a ordenador".
Modo tunel:
En el modo tunel todos el paquete IP (datos mas cabeceras del mensaje), el modo tunel se utiliza para comunicarse de red a red (tuneles seguros entre route para VPNs)o comunicarse de ordenador a red, o ordenador a ordenador sobre internet.
Esta variente de Ipsec intercepta los paquetes IP, encripta y autentica, posteriormente se puede incorporar un encabezado ipsec y se encapsula el paquete resultante sobre IP, esta modalidad puede operar entre dos host,entre un host y un geteway.
Protocolos usados por ipsec
Authentication header(AH):
AH esta dirigido a garantizar integridad sin conexion de los datos de origen de los datagramas IP atraves de algun algoritmo de hash operando sobre una clave secreta.Este proceso restringe la posibilidad de emplear NAT que puede ser implementada con un NAT TRANSVERSAL.
Encapsulating Security Payload(ESP):
El protocolo ESP proporciona autenticidad del origen y proteccion y confidencialidad de un paquete, tambien soporta configuraciones de solo cifrado y solo autencidad; pero ademas utiliza cifrado sin autenticidad porque es inseguro.Al contrario con AH, las cabeceras IP no estan protegidas por ESP.
ESP trabaja directamente sobre IP, utilizando el protocolo IP numero 50.
AH: autentica-integridad
ESP: confidencialidad
Cuenta con algunos servicios que son:
Integridad
es la informacion que solo puede ser modificada por una persona autorizada y no por terceros
Confidencialidad:
la informacion solo debe ser legible para las personas autorizadas u administradores de la red.
Autenticacion:
es el acto de confirmación de alg como auténtico para saber si es esa persona que dice ser.
Anti-reply:
Asegura que los mensaje transmitido atraves de la res no se puede duplicar por que el mensaje puedes estar encryptado la cual no se puede repetir alguna clave porque es unica.
Control de acceso:
Se puede aplicar reglas de seguridad que defina el nivel de seguridad que uno desea; para que las persona autorizadas puedan acceder sin ninguna dificultad.
IKE"intenet de intercambios de claves":
IKE se defino originalmente por RFC 2407; RFC 2408;RFC 2409, Ike utiliza un diffie-hellman para establecer una clave secreta compartida de las claves criotograficas la cula entre el emisor y el receptor se van a comunocar deben tener en cuenta que deben ser las misma claves.
IKE se basa en el protocolo Oakley, el protocolo IKE utiliza paquetes UDP en el puerto 500.
INFORMACION DE SEGURIAD DE IPSEC
antes de implementar ipsec debe tener encuenta las siguentes condicciones:
- en que sistemas operativo va atrabajar
- modo de autenticacion
- filtrado de paquetes
- trafico protegido (mediante AH, ESP)
- trafico no protegido
- que algoritmo cifrado va utilizar