IPsec emplea dos protocolos diferentes - AH y ESP - para asegurarla autenticación, integridad y confidencialidad de la comunicación. Puede proteger el datagrama IP completo o sólo los protocolos de capas superiores. Estos modos se denominan, respectivamente, módo túnel y modo transporte. En modo túnel el datagrama IP se encapsula completamente dentro de un nuevo datagrama IP que emplea el protocolo IPsec. En modo transporte IPsec sólo maneja la carga del datagrama IP, insertándose la cabecera IPsec entre la cabecera IP y la cabecera del protocolo de capas superiores.
MODOS DE IPsec:
Modo transporte:
en el modo transporte (los datos que se transfieren) del paquete IP es cifrada y/o autenticada. El enrutamiento permanece intacto, ya que no se modifica ni se cifra la cabecera IP; sin embargo, cuando se utiliza la cabecera de autenticación (AH), las direcciones IP no pueden ser traducidas, ya que eso invalidaría el hash. Las capas de transporte y aplicación están siempre aseguradas por un hash, de forma que no pueden ser modificadas de ninguna manera (por ejemplo traduciendo los números de puerto TCP y UDP). El modo transporte se utiliza para comunicaciones ordenador a ordenador.
Modo tunel:
En el modo tunel, todo el paquete IP (datos más cabeceras del mensaje) es cifrado y/o autenticado. Debe ser entonces encapsulado en un nuevo paquete IP para que funcione el enrutamiento. El modo tunel se utiliza para comunicaciones red a red (túneles seguros entre routers, p.e. para VPNs) o comunicaciones ordenador a red u ordenador a ordenador sobre internet.
La familia de protocolos IPsec está formada por dos protocolos: el AH (Authentication Header - Cabecera de autenticación) y el ESP (Encapsulated Security Payload - Carga de seguridad encapsulada). Ambos son protocolos IP independientes. AH es el protocolo IP 51 y ESP el protocolo IP 50.
AH - Cabecera de autenticación
El protocolo AH protege la integridad del datagrama IP. Para conseguirlo, el protocolo AH calcula una HMAC basada en la clave secreta, el contenido del paquete y las partes inmutables de la cabecera IP (como son las direcciones IP). Tras esto, añade la cabecera AH al paquete. La cabecera AH se muestra en la siguiente figura:
Significado de los campos:
- Next header
- Identifica el protocolo de los datos transferidos.
- Payload length
- Tamaño del paquete AH.
- RESERVED
- Reservado para uso futuro (hasta entonces todo ceros).
- Security parameters index (SPI)
- Indica los parámetros de seguridad que, en combinación con la dirección IP, identifican la asociación de seguridad implementada con este paquete.
- Sequence number
- Un número siempre creciente, utilizado para evitar ataques de repetición.
- HMAC
- Contiene el valor de verificación de integridad (ICV) necesario para autenticar el paquete; puede contener relleno.
ESP - Carga de Seguridad Encapsulada
El protocolo ESP puede asegurar la integridad del paquete empleando una HMAC y la confidencialidad empleando cifrado. La cabecera ESP se genera y añade al paquete tras cifrarlo y calcular su HMAC. La cabecera ESP consta de dos partes y se muestra en la siguiente figura:
Significado de los campos
- Security parameters index (SPI)
- Identifica los parámetros de seguridad en combinación con la dirección IP.
- Sequence number
- Un número siempre creciente, utilizado para evitar ataques de repetición.
- Payload data
- Los datos a transferir.
- Padding
- Usado por algunos algoritmos criptográficos para rellenar por completo los bloques.
- Pad length
- Tamaño del relleno en bytes.
- Next header
- Identifica el protocolo de los datos transferidos.
- Authentication data
- Contiene los datos utilizados para autenticar el paquete.
documentacion tomada de http://es.wikipedia.org y de http://www.ipsec-howto.org/spanish/x161.html
No hay comentarios:
Publicar un comentario