Desarrollo de Implementacin del Protocolo IPSec Sobre Plataforma IPV6
Integrante 1: Almagro Evelyn
e-mail: eve_m y198@hotm ail. com I. Introduccin IPsec (Internet Protocol security) es un conjunto de protocolos cuya funcin es es ta b l e ce r c la v e s d e c i fr a d o y asegurar las comunicaciones sobre el Pr o to c ol o d e I n te rn e t (IP) au ten tica n d o y /o ci fr a nd o c ada p a que te I P e n un flujo de datos. IPsec actan en la capa de red, la capa del m odel o ! " I . ! tros protocolos de seguridad para Internet de uso e#tendido, como "" $ , % $ " y ""& ope ran de la capa de transporte, capa ' del modelo !"I (acia arriba. )sto (ace que IPsec sea m*s fle#ible, ya que puede ser utili+ado para proteger protocolos de la capa ', incluyendo %,P y -.P. -na ventaja importante de IPsec frente a ""$ y otros m/todos que operan en capas superiores, es que para que una aplicacin pueda usar IPsec no (ay que (acer ningn cambio, mientras que para usar ""$ y otros protocolos de niveles superiores, las aplicaciones tienen que modificar su cdigo. II. Diseo Desarrollar una propuesta de implementacin del protocolo de capa ! Ipsec so"re una plata#orma I$v%. III. Prerrequisitos &ed con ! s'itch capa ! y () host. Di se * o + g ico : ,omo implementar este protocolo- es importante di#erencias los dos m.todos de implementacin. / od o t ranspo rte En modo transporte- slo los datos 0ue se trans#ieren del pa0uete I$ es ci#rada y1o autenticada. El enrutamiento permanece intacto- ya 0ue no se modi#ica ni se ci#ra la ca"ecera I$2 sin em"argo- cuando se utili3a la ca"ecera de autenticacin 4A56- las direcciones I$ no pueden ser traducidas- ya 0ue eso invalidar7a el hash. +as capas de transporte y aplicacin est8n siempre aseguradas por un hash- de #orma 0ue no pueden ser modi#icadas de ninguna manera. 9na #orma de encapsular mensa:es I$sec para atravesar ;A< ha sido de#inido por &=,s 0ue descri"en el mecanismo de ;A<-< El propsito de este modo es esta"lecer una comunicacin segura punto a punto- entre dos hosts y so"re un canal inseguro. >er #igura 1. =igura 1. ,omunicacin punto a punto. / od o t?ne l En el modo t?nel- todo el pa0uete I$ es ci#rado y1o autenticado. De"e ser entonces encapsulado en un nuevo pa0uete I$ para 0ue #uncione el enrutamiento. El modo t?nel se utili3a para comunicaciones red a red o comunicaciones ordenador a red u ordenador a ordenador so"re Internet. El propsito de este modo es esta"lecer una comunicacin segura entre dos redes remotas so"re un canal inseguro. >er #igura (. =igura (. ,omunicacin segura de dos redes remotas. I$sec consta de dos protocolos 0ue han sido desarrollados para proporcionar seguridad a nivel de pa0uete: Authentication 5eader 4A56. $roporciona integridad- autenticacin y no repudio si se eligen los algoritmos criptogr8#icos apropiados. Encapsulating @ecurity $ayload 4E@$6. $roporciona con#idencialidad y la opcin altamente recomenda"le de autenticacin y proteccin de integridad. ,ommand or Action $urpose @tep 1 ena"le EAample: &outerB ena"le Ena"les privileged ECE, mode. D Enter your pass'ord i# prompted. @tep ( con#igure terminal EAample: &outerE con#igure terminal Enters glo"al con#iguration mode. @tep ! crypto ipsec trans#orm-set trans#orm-set- name trans#orm1 Ftrans#orm(G Ftrans#orm!G Ftrans#ormHG EAample: &outer4con#ig6E crypto ipsec trans#orm-set myset) ah-sha- hmac esp-!des De#ines a trans#orm set- and places the router in crypto trans#orm con#iguration mode. @tep H crypto ipsec pro#ile name EAample: &outer4con#ig6E crypto ipsec pro#ile pro#ile) De#ines the I$sec parameters that are to "e used #or I$sec encryption "et'een t'o I$sec routers. @tep I set trans#orm-set trans#orm-set- name Ftrans#orm- set- name(...trans#orm- set-name%G EAample: &outer 4con#ig- crypto- trans#orm6E set- trans#orm-set myset) @peci#ies 'hich trans#orm sets can "e used 'ith the crypto map entry. IV. Implementacin IV. Implementacin En nuestro proyecto vamos a utili3ar el m.todo de transporte y como protocolo a nivel de seguridad de pa0uete a Authentication 5eader 4A56. $r op s i to s d e l D ise* o : En nuestra implementacin vamos a emular una red con ! s'itches marca ,I@,J y () hosts2 vamos a suponer 0ue nuestra implementacin va a servir para una institucin #inanciera cuyo propsito es pasar in#ormacin sensi"le entre host por lo 0ue se re0uiere asegurar la in#ormacin por un canal "a:o protocolo I$>%. Dise *o l gi co Anti-repeticin- proteger contra la repeticin de la sesin segura. !. >eri#icar #uncionamiento. H. $asos para la con#iguracin del s'itch: Institucin Financiera Esquema de Red para Aplicacin de paso de informacin Sensible. 3 SWITCHES Capa3 ! H"STS # SER$I%"R Ipsec sobre I&$' $as os d e co n#i gu ra ci n 1. Esta"lecer los e0uipos 0ue #ormar8n parte del grupo de seguridad 0ue ser8 aplicado I$@ec. (. ,on#igurar so"re los e0uipos de comunicacin 4@'itch ,isco6 el protocolo I$sec- dentro del cual con#iguraremos: ,i#rar el tr8#ico de #orma 0ue no pueda ser le7do por nadie m8s 0ue las partes a las 0ue est8 dirigido. >alidacin de integridad- asegurar 0ue el tr8#ico no ha sido modi#icado a lo largo de su trayecto. Autenticar a los eAtremos- asegurar 0ue el tr8#ico proviene de un eAtremo de con#ian3a. Conclusiones: Punto de vista del administrador de red. +a implementacin de I$sec es importante dentro de las comunicaciones de una organi3acin- es por eso 0ue I$sec en la versin I$vH era opcional pero en I$>% es parte del protocolo- con la venta:a 0ue no se re0uiere ninguna modi#icacin en las aplicaciones. 9no de las aplicaciones en las 0ue es m8s #recuente o m8s se :usti#ica este tipo de implementaciones de seguridad es en aplicaciones 0ue mane:a in#ormacin sensi"le como es el caso de instituciones #inancieras 0ue mane:an in#ormacin cr7tica y con#idencial de los usuarios por este motivo es importante utili3ar este protocolo. Algo importante a tomar en cuenta es 0ue los dispositivos de comunicaciones de"en soportar este tipo de protocolo es por este motivo 0ue hemos utili3ado para nuestro e:emplo s'itches marca ,I@,J.