Documente Academic
Documente Profesional
Documente Cultură
SEGURIDAD EN
REDES
Firewall
El firew all (cortafuegos) es un componente de red cuya funcin principal es la de
bloquear los accesos hacia la red y desde ella, segn un conjunto de reglas y
criterios personalizabas.
Funcin
En toda red existe lo que se denom ina permetro, que consiste en una lnea
imaginaria que bordea cada red Esta lnea imaginaria se corresponde con las
segm entaciones fsicas y lgicas que se establecen utilizando dispositivos de
routing.
ALFAOMEGA
MATAS AT7
220
Seguridad en redes
Una vez que la informacin pase este permetro, se considera haber entrado
en la "red pblica". Aunque este trm ino pueda ser incorrecto, ya que despus del
permetro de nuestra red privada se podra encontrar otra red privada, y sta se
considera pblica al estar fuera del rango de control de la primera red.
MATAS KAT7
ALFAOMEGA
221
Redes y seguridad
1)
2)
1)
2)
3)
Cierta informacin intenta ingresaren nuestra red a travs del protocolo FTP.
El firew all revisa en su poltica permisiva alguna restriccin explcita haca el
protocolo FTP
Segn la existencia de dicha restriccin puede ocurrir lo siguiente:
a) Si existe restriccin, el paquete es rechazado
b) Si no existe restriccin, el paquete es transm itido hacia la red privada
Ejemplo de poltica restrictiva:
1)
2)
3)
Cierta informacin intenta egresar desde nuestra red a travs del protocolo
POP.
El firew all revisa en su poltica permisiva algn permiso explcito hacia el
protocolo POP.
Segn la existencia de dicho permiso puede ocurrir lo siguiente:
a) Si existe permiso, el paquete es transm itido hacia la red privada
b) Si no existe permiso, el paquete es rechazado
ALFAOME6A
MATAS AT2
222
Seguridad en redes
In te rn e t
DUAL - HOMED
FIREWALL
Red Privada
En esta situacin, el equipo en cuestin cuenta con dos dispositivos de red Una de
ellas se encuentra conectada a la red privada; y la otra, a la red pblica. El anlisis y
filtrado de informacin se realiza en el momento en el que los bits atraviesan el
equipo Esta tcnica es la ms usada debido a su efectividad. En esta situacin, es
MATAS KAT2
223
Redes y seguridad
Internet
DMZ
Utilizando las iniciales DMZ (Dem ilitarized Zone) se identifica a una subred
semipblica dentro de nuestra red general Tambin se la puede encontrar
nombrada como 'red de permetro", ya que ah es donde justam ente se encuentra
ubicada.
ALFAOME6A
MATAS AT2
224
Seguridad en redes
Esta disposicin estructural est diseada para proveer una capa adicional de
proteccin a nuestra red general, ya que es aqu donde se debern posicionar los
servidores que sum inistren servicio hacia las redes pblicas. De esta forma, la red
privada permanecer resguardada, ya que no se necesitar perm itir el acceso a ella
desde otras redes.
El firew all que regule esta subred deber te n e r una poltica restrictiva, pero
con reglas no muy especficas. As podr perm itir el trnsito desde dichos servidores
y hacia ellos:
Una form a alternativa de im plem entar una red DMZ es utilizando dos dual
homed firewalls'.
MATAS KATZ
e b ra ry
225
Redes y seguridad
In te rn e t
REGLAS RESTRICTIVAS
Red Privada
ALFAOME6A
MATAS AT2
226
Seguridad en redes
1) El frewall (A) deber te ne r una poltica laxa, que permitir el trnsito a travs
del puerto 80 nicam ente hacia el servidor Web (B).
2) El servidor Web (B) deber te n e r configurado su servicio Web para acceder a la
informacin en el servidor de archivos (D), utilizando un usuario y contrasea.
3) El frewall (C) deber te n e r una poltica rigurosa, que permitir el trnsito hacia
el servidor de archivos (D) nicam ente desde el servidor Web (B), y solam ente si
el usuario y contrasea de acceso son correctos.
4) Por ltimo, el servidor de archivos (D) deber te ne r habilitada una conexin
entrante para el servidor Web (B) con el usuario y contrasea elegidos.
MATAS KAT7
Redes y seguridad
227
En esta situacin, llamada bastin host (anfitrin bastin), el firew all est ubicado
en la red privada, y tanto las conexiones entrantes como salientes estn
configuradas para ser autom ticam ente redirigidas hacia este equipo, que las
filtrar segn su propio conjunto de reglas. Este equipo funcionar de intermediario
entre las redes privadas y pblicas, aunque no exista una segmentacin lgica o
fsica entre ellas (salvo por el rou ter del permetro). Esta funcin es conocida como
proxy Es im portante destacar que, aunque el bastin host se encuentre en la red
privada, tendr visibilidad directa y total desde la red pblica, pasando a ser una
indefectible vctima de ataque.
Proxy
Un equipo configurado como proxy (interm ediario) tendr como funcin el tra m ita r
las transacciones que le sean delegadas por los equipos tanto en la red privada
como la pblica. Su uso principal es el control del contenido de la informacin que
ingresa y egresa de nuestra red.
ALFAOMEGA
MATAS ATZ
228
Seguridad en redes
Computer C
Fig. 6-9 P roxy en la red.
El uso de proxies es muy comn, ya que provee un m ejor control de la
informacin que fluye por nuestra red Sin embargo, es im portante calcular el
consumo total de recursos y el tam ao de datos que posee y transm ite la red, ya
que al centralizar todas las actividades en un equipo, ste puede saturarse y dejar
de funcionar, inhabilitando nuestra red por completo.
Tambin se lo puede encontrar nombrado como Circuit Level Gateway
Existen proxies pblicos que ofrecen el mismo servicio que los privados. El
usuario deber configurar al equipo pblico como su proxy y a partir de ese
mom ento todas sus comunicaciones salientes sern transm itidas a travs de dicho
servidor Desde el aspecto de la seguridad, la nica diferencia es que los proxies
pblicos no son seguros, ya que no estn dentro del rango de control del
administrador. Solo se deben usarprox/es pblicos que sean de extrema confianza,
porque la provisin de dichos servicios por parte de desconocidos puede causar el
robo de nuestra informacin, infecciones de malware y varios otros graves
problemas de segundad.
MATAS KAT7
ALFAOMEGA
229
Redes y seguridad
Tipos de firewall
Existen diferentes tipos de firewall. categorizados segn su modo de operacin y la
capa del modelo OSI donde trabajan:
P a c k e t filte rin g fire w a ll
Tambin son llamados "primera generacin de firew alls". Estos equipos trabajan
filtrando paquetes de acuerdo con la informacin de las capas 3 y 4. Por ejemplo,
podran filtra r todo el trnsito de informacin proveniente de una IP o puerto
TCP/UDP en particular, o perm itir todo el trnsito de informacin que se dirija a
cierta IP o puerto TCP/UDP en particular.
No poseen demasiada inteligencia, por lo cual no se los pueden configurar
siguiendo reglas muy especficas. Su uso aplica a routers o pequeos firewalls de
permetro, como ser equipos hogareos o de pequeas empresas.
CAPA 7, DE
APLICACIN
CAPA 6, DE
PRESENTACIN
CAPA 5, DE
SESIN
CAPA 4, DE
TRANSPORTE
CAPA 3, DE
RED
DIRECCION IP ORIGEN
DIRECCIN IP DESTINO
PUERTO ORIGEN
PUERTO DESTINO
CAPA 2, DE
ENLACE
CAPA 1,
FSICA
Fig. 6-10 P acket filterin g firew all.
ALFAOMEGA
MATAS ATZ
230
Seguridad en redes
A p p lic a t io n la y e r fire w a ll
Son tam bin llamados 'segunda generacin de firewalls" Estos equipos utilizan la
informacin proveniente de las siete capas del modelo OSI, y realizan un anlisis
detallado y especfico, aplicando un conjunto de reglas extrem adam ente
personalizabas. Por ejemplo, estos equipos permiten filtra r informacin segn un
comando especfico del protocolo de capa 7 que represente el paquete en anlisis
(como pueden ser los comandos POST y GET de HTTP), y perm itir un subconjunto de
comandos m ientras rechaza otro.
REGLAS QUE MANEJAN
CAPA 7, DE
APLICACIN
PROTOCOLO EN USO
CAPA 6, DE
PRESENTACIN
FORMATO DE LA INFORMACIN
CAPA 5, DE
SESIN
CAPA 4, DE
TRANSPORTE
CAPA 3, DE
RED
PROTOCOLO EN USO
[^ >
CAPA 2, DE
ENLACE
PROTOCOLO EN USO
CAPA 1,
FSICA
MATAS KATZ
Redes y seguridad
231
S ta te fu l fire w a ll
Son tam bin llamados "tercera generacin de firewalls" Estos equipos tam bin
operan en las siete capas del modelo OSI, pero adems ofrecen un significativo
refuerzo de seguridad: mantienen el recuerdo de las sesiones establecidas y las
analizan una por una m ientras estn en curso.
Hasta ahora, los firewalls que discutim os cumplan sus funciones
excelentemente. Pero existe un pequeo problema: cada paquete que ingresaba al
firew al era analizado independientemente, sin guardar registro de los paquetes
anteriorm ente recibidos desde el mismo origen. Debido a esto, un agente
m alintencionado podra sim ular una sesin iniciada por un usuario vlido, to m a r
control de su sesin e infiltrarse en nuestra red privada.
Los stateful firewalls mantienen en tiempo real un registro detallado de todas
las comunicaciones que estn establecidas, y cada paquete nuevo que llega es
analizado y comparado en base al historial de transacciones realizadas bajo los
mismos parm etros del nuevo paquete. De esta forma, un agente m alintencionado
no podra sim plem ente enviar un paquete y esperar acceder, ya que el firew all
detectar que el paquete no corresponde a ninguna sesin activa y rechazara su
ingreso
Se considera que estos firewalls son los ms avanzados, y requieren un
extremo consumo de recursos de hardware y red, por lo que su uso se deber
m inim izar al mximo posible.
IDS
Los IDS (Intrusin Detection Systems) son equipos que proveen un nivel de
seguridad mayor a nuestra red, com plem entando al firew all y trabajando en
conjunto con l. Su funcin principal es la de detectar intrusiones a su rea de
cobertura, m ediante el anlisis exhaustivo de cada paquete de informacin que
ingresa en ella. Al detectar una intrusin, el IDS podra realizar cualquier tipo de
tarea preconfigurada por el administrador, ya sea rechazar futuros paquetes de
igual origen o contenido, arrojar alertas de sistema, enviar un correo electrnico o
sms al adm inistrador, reconfigurarel firew all a un modo ms preventivo, etctera.
Cada ataque posee su propio patrn de comportamiento. El IDS detecta este
patrn a mitad de camino y neutraliza el remanente del ataque rechazando las
conexiones que le correspondan. El IDS utiliza una tcnica llamada S niffing (olfateo)
m ediante la cual el equipo es capaz de recopilar toda la informacin que circule
dentro de su rea de cobertura, ingresarla en su sistema y analizarla, comparndola
con su conjunto de reglas y polticas preestablecidas. El IDS puede utilizar la
informacin encontrada en las siete capas del modelo OSI para hacer sus anlisis.
ALFAOME6A
MATAS AT2
Seguridad en redes
1)
Falso negativo: el IDS pasa por alto un ataque o intento de intrusin, tom ndolo
como una comunicacin legitima y sin realizar ninguna accin correctiva al
respecto. De esta forma, el atacante puede satisfactoriam ente realizar su
intrusin sin ser detectado ni detenido.
2)
Tipos de IDS
Existen diferentes tipos de IDS, segn su modo de ser mplementado:
NIDS
Los NIDS (Network IDS, IDS de red) son equipos IDS que trabajan sobre los
paquetes que circulan en el segmento de red al que estn conectados, analizando
todo el trnsito en l. Al igual que un firewall, puede estar representado por un
equipo de hardware dedicado o puede tratarse de un software ejecutndose sobre
un sistema operativo.
MATAS KATZ
7 1 6 b e 6 flb a c e b e 6 9 6 4 ^ |_ p ^ i|^ c l5 c l9 e 4 e 8
233
Redes y seguridad
In te rn e t
FIREWALL
SERVIDOR
SERVIDOR
------------ v
NIDS
HIDS
Los HIDS (Host IDS, IDS de equipo) son un aplicativo de software que trabaja sobre
el sistema operativo de un equipo, proveyndole de una proteccin adicional a ese
equipo en particular. Al combinarse con un frewall por software, el equipo en
cuestin tendr lo que se llama "proteccin en capas":
FIREWALL
HIDS
ANTIVIRUS
SISTEMA
OPERATIVO
ALFAOMEGA
MATAS AT2
Seguridad en redes
El HIDS cumple las mismas funciones que el NIDS, pero su rea de cobertura
se remite nicamente al equipo donde el software est instalado.
M o d a lid a d es de anlisis
Existen dos principales m odalidades de anlisis que pueden ser adoptadas por un
IDS para detectar intrusiones:
S ignature-based
Al adoptar la modalidad signature-based (basado en firm as) el IDS comparar los
paquetes que ingresen en su rea de cobertura con la llamada "base de firm as",
que contiene los datos de todos los patrones y com portam ientos conocidos. Esta
base es entregada y actualizada regularmente por el proveedor del IDS, y deber
estar instalada y al da en cada IDS Su modo de operacin es sim ilar al de un
antivirus.
Dentro de sus cualidades principales, se encuentran:
1)
2)
3)
1)
2)
El equipo es vulnerable ante ataques zero-day (da cero). Estos ataques son
llamados de este modo, ya que hasta el m omento de su publicacin, no existe
conocim iento ni documentacin de su existencia. Al basarse estos IDS en
patrones conocidos, estos ataques pueden burlar su seguridad fcilm ente
Ante cualquier problema con la distribucin de la base de datos de firmas, el
equipo quedara desactualizado y vulnerable: y en algunos casos extremos,
podra quedar com pletam ente inhabilitado para funcionar (por ejemplo, si el
proveedor actualiza su base de firm as con una informacin corrupta o
incorrecta).
MATAS KATZ
7 1 6 b e 6 flb a ce b e 6 9 6 4 ^ p ^ | j| g ^ d 5 d 9 e 4 e 8
Redes y seguridad
235
A n om aly-based
La modalidad anomaly-based (basada en anomalas) consiste en configurar al IDS
en "modo aprendizaje" durante el tiem po que el adm inistrador considere prudente.
Este tiem po puede ser de una semana, extenderse hasta tres meses, o ms
inclusive.
Durante el perodo en que el IDS se encuentra en este modo, aprender los
com portam ientos y las comunicaciones que se realicen regularmente en la red, y
armar una estadstica de uso cotidiano. Luego de finalizado el tiem po que el
adm inistrador haya considerado prudente, el IDS se configurar en "modo
productivo". A partir de ese momento, el equipo nicam ente permitir el trnsito
que haya detectado anteriormente, durante el perodo de aprendizaje.
Dentro de sus cualidades, se pueden encontrar.
1)
2)
IPS
Los IPS (Intrusin Prevention Systems) son equipos que trabajan de la misma form a
que los IDS, pero con la diferencia de perm itir el anlisis de la informacin en
tiem po real. Estos equipos poseen una puerta de entrada y una de salida. En el caso
de los MIPS (N etwork Intrusin Prevention Systems), estas puertas estn
representadas por dispositivos de red. En el caso de los HIPS (Host Intrusin
Prevention Systems), las puertas estn representadas por dispositivos de l/O en las
capas bajas de comunicacin de red del sistema operativo del equipo donde est
instalado el HIPS
Al momento de recibir informacin por un extremo de conexin, se la analiza
inm ediatam ente en bsqueda de potenciales ataques o intrusiones. Si la
informacin es aprobada, el paquete es transm itido a travs del otro extremo de
conexin. En caso de sospechar de un ataque, el IPS podra reaccionar de manera
preventiva, logrando que ni siquiera un paquete malicioso sea incorporado en la red
o el equipo bajo su proteccin.
ALFAOMEGA
MATAS AT2
236
Seguridad en redes
Es im portante resaltar que al im plem entar un IPS, todas las conexiones, tanto
entrantes como salientes, que se realicen en el rea de cobertura del IPS sern
analizadas constantem ente. Esto puede ocasionar graves problemas de
rendim iento en la red y los equipos protegidos, por lo que es recomendable analizar
puntillosam ente el entorno en donde se implem entar el IPS.
En el caso de un HIPS, el equipo a proteger deber contar con suficientes
recursos de hardware y un sistema operativo capaz de perm itirle al IPS operar con
efectividad sin saturar al equipo.
En el caso de un NIPS, es im portante situar el IPS en un segmento con poco
trnsito o d ota r a la red de suficientes recursos de hardware y ancho de banda. El
m ejor lugar para ubicar a un NIPS es en la DMZ, ya que podr controlar las
conexiones que se realicen desde las redes pblicas hacia nuestros servidores.
Fig. 6 -1 4 NIPS en la DM Z.
MATAS KATZ
Redes y seguridad
Por otro lado, un NIDS es mucho ms til al ser implem entado en la red
privada, puesto que le permitir revisar pasivamente las actividades que se realicen
a ll sin perjudicar su rendimiento.
Honeypots
El trm ino honeypot (tarro de miel) se refiere a un equipo que posee un bajo nivel
de seguridad de manera intencional, con el fin de te n ta r y atraer potenciales
atacantes, y de esa manera intentar identificarlos y analizar sus tcnicas de ataque.
Son una herramienta de seguridad muy im portante que nos permite proteger
nuestra red y equipos de una manera simple y econmica. En resumen, su
im plem entacin se centraliza en la instalacin de un equipo en la red pblica o en la
red DMZ. Es preciso instalarle aplicaciones y servicios, pero sin realizarle
configuraciones de seguridad. Adems, se le debe asignar una conexin directa
hacia la red pblica con total visibilidad desde fuera de nuestro permetro.
In te rn e t
ALFA0ME6A
MATAS AT2
238
Seguridad en redes
1)
2)
MATAS KATZ
239
Redes y seguridad
H oneynets
Para grupos grandes de honeypots dentro de una red, se utiliza el trm ino honeynet.
Red In te rn e t
FIREWALL
HONEYNET
HONEYPOT
HONEYPOT
HONEYPOT
SERVIDOR
SERVIDOR
.
SERVIDOR
Las honeynets se utilizan para proveer una mayor ilusin de 'red insegura' al
atacante.
ALFAOMEGA
MATAS AT2
240
Seguridad en redes
H oneyfarm s
Para redes form adas en su totalidad por honeypots se utiliza el trm ino honeyfarm
Red In te rn e t
FIREWALL
HONEYFARM
HONEYPOT
HONEYPOT
HONEYPOT
HONEYPOT
HONEYPOT
MATAS KATZ
7 1 6 b e 6 f lb a c e b e 6 9 G 4 ^ | _ p ^ j| ^ ^ d 5 d 9 e 4 e 8
e b ra ry
Redes y seguridad
241
VPN
Muchas organizaciones operan de manera distribuida, teniendo diferentes
sucursales en diversas partes del mundo. Hasta hace un tiempo, la nica form a de
interconectar dichas sucursales era mediante lneas dedicadas o enlaces punto a
punto. Estos enlaces son extrem adam ente costosos, por lo que muchas
organizaciones desistan de su uso.
Las VPN (Virtual Prvate Network) representan una infraestructura de red
privada, establecida de modo virtual a travs de comunicaciones pblicas (Internet),
de manera tal que las organizaciones puedan interconectar sus sucursales en form a
segura y econmica. Al im plem entar una red VPN, una organizacin podr contar
virtualm ente con una nica red privada con total visibilidad e interoperabilidad, sin
im portar donde se ubiquen geogrficamente los equipos que la conformen.
ALFAOME6A
MATAS AT2
Seguridad en redes
Tipos de VPN
Existen dos form as de im plem entar una conexin de red VPN:
1)
2)
MATAS KAT2
ALFAOMEQA
Redes y seguridad
243
E n c ap s u lam ien to y t n e le s
Al hablar de redes VPN debemos incorporar los conceptos de encapsu la miento y
tunelizacin, ya que conceptualm ente ambos ocurren al establecer una red VPN.
Los protocolos que operen en las diferentes capas del modelo OSI al momento de
establecer una red VPN englobarn la informacin que reciban de las capas
superiores y la transm itirn de manera encapsulada, form ando lo que comnm ente
se llama tnel.
ALFAOME6A
MATAS AT2
244
Seguridad en redes
TN ELVPN
INFORMACIN INTERPRETABLE
DESDE ADENTRO
NODO
A
NODO
B
\
INFORMACIN NO
INTERPRETABLE DESDE AFUERA
Protocolos de tu n e liza c i n
Existen diferentes protocolos disponibles para establecer los tneles
comunicacin VPN. Los dos habitualm ente ms usados son PPTPy L2TP.
de
P PTP
ALFAOMEQA
245
Redes y seguridad
parte de grandes empresas como M icrosoft y 3Com. Ms all de ello, no deja de ser
un protocolo dbil y anticuado Sin embargo, se convirti rpidamente en un
estndar de facto en cualquier red VPN de baja envergadura por su simple y rpida
implem entacin. Paralelamente, no todos los dispositivos y sistemas operativos
(incluso actuales) soportan otros protocolos ms que PPTP.
L2TP
El L2TP (L a ye r2 T u n n e lin g Protocol) es el sucesor de PPTP. Fue creado a partir de la
unin entre PPTP y un protocolo privativo de Cisco llamado L2F (L a y e r2 Forwardng
Protocol) Trabaja en capa 2 (al igual que PPTP). pero ofrece mayores servicios de
seguridad que su antecesor. No brinda encriptacin por sus propios medios, por lo
que la opcin popular para poder proveer dichos servicios es mediante la
combinacin L2TP/IPSec. IPSec es un protocolo de seguridad que veremos ms
adelante en este capitulo.
Su configuracin es ms extensa y compleja, y al aplicrsele IPSec tiende a
consum ir una mayor cantidad de recursos que PPTP, por lo que su cobertura a nivel
mundial no es tan grande como lo es con PPTP. Sin embargo, ofrece varias e
im portantes mejoras en cuanto a seguridad, rendimiento, com patibilidad y calidad
de servicio que PPTP.
CARACTERSTICAS
PPTP
L2TP
Disponible en arquitecturas
Microsoft
Disponible en dispositivos
mbiles
No en todos
Protocolo de transporte
TCP
Complejidad de uso
Baja
Alta
Seguridad
Baja
Alta
ALFAOME6A
MATAS AT2
246
Seguridad en redes
Medios de autenticacin
Solo contraseas
Soporta IPSec
No
S (mayor seguridad)
Consumo de recursos
Bajo
Alto
IPSec
El IPSec (Internet Protocol Securlty) es un protocolo de capa 3 especficamente
diseado para el protocolo IP, que brinda herramientas de seguridad a travs de la
autenticacin de orgenes y la encriptacin de las comunicaciones que se realicen
m ediante su uso. La principal particularidad que presenta este protocolo es el hecho
de operar en una capa muy baja del modelo OSI, lo cual le perm ite ofrecer
interoperabilidad con casi todos los protocolos de capas superiores. Este beneficio
se debe a que al operar en una capa tan baja, los protocolos de altas capas no
tienen necesidad de enterarse de que la red en donde transitan opera bajo IPSec,
por ende no deben prepararse para trab aja r con l.
Los servicios de seguridad provedos por IPSec son:
MATAS KATZ
247
Redes y seguridad
4)
Anti-replay: cada paquete cuenta con una identificacin propia que ser
utilizada nicam ente para dicho paquete y luego ser descartada. Esta tcnica
inhabilita el llamado replay attack, que consta de la captura y repeticin de
mensajes especficos por un agente malicioso, con fines de obtener rplicas de
las respuestas de dicho mensaje desde destino.
C o m p on entes de IP Sec
IPSec utiliza dos componentes clave para conferir seguridad:
1)
2)
Paquete onginal
IP HDR
TCP
DATA
AH
TCP
DATA
4---------------------------------------------------------------------
A utenticado
Fig. 6 -2 4 A u th enticatio n Header.
MATAS AT2
248
Seguridad en redes
Paquete original
TCP
IPHDR
DATA
ESP HDR
TCP
DATA
TCP
Trailer
ESP
Authentication
M odos de operacin
El IPSec se puede im plem entaren dos modos:
1)
2)
Tran sp o rt m ode
Este modo de operacin es el que se utiliza en comunicaciones host-to-host.
Solamente el mensaje de capas superiores es el que pasa por el componente de
seguridad de IPSec (AH o ESP). La informacin de routing permanece intacta, y es
visible ante componentes de red que intermedien la comunicacin
MATAS KATZ
7 1 6 b e 6 f lb a c e b e 6 9
aLFAOMEQA
5d9e4e8
e b ra ry
249
Redes y seguridad
'
NN
In te rn et \
SERVIDOR 1
/
\N
^
^/
SERVIDOR 2
Encapsulado:
IP
header
IPsec
header
4-------------- C ifrado
4- Autenticado *
Data
(protocolo de capa supenor)
- Despus de aplicar AH -
Original
IP header
AH
4-------------------------------
Data
(protocolo de capa supenor)
Autenticado -----------------------------
ALFAOMEGA
MATAS ATZ
250
Seguridad en redes
IP
IP
Pavload
Payload
Esp
ESP
Authentication
Data
Cifrado
Autenticado -
Este modo de operacin es comnm ente utilizado al configurar redes VPN utilizando
IPSec, ya sea en comunicaciones network-to-network (VPN site-to-site) o host-tonetw ork (rem te access VPN). En este caso, el paquete entero es procesado por
IPSec. El paquete es encapsulado dentro de un nuevo paquete IP, y es este nuevo
paquete el que se enviar a travs del enlace
Encapsulado:
Outer
IP header
IPsec
header
inner
IP header
IP payload
Ipsec trailer
(solo ESP)
Cifrado
Autenticado
Fig. 6-29 Tra n sp o rt m ode.
MATIAS KATZ
ALFAOMEOA
251
Redes y seguridad
TCP
DATA
New
IPHDR
ESP HDR
O riginal
IP HDR
TCP
DATA
TCP
Cola
ESP
A ute n tifica cin
Cifrado
H-----------------Autenticado \4------------------------
Data
(protocolo de capa supenor)
- Despus de aplicar ESP -
New
IP HDR
ESP
header
Original
IP header
Data
(protocolo de capa supenor)
TCP
Trailer
Authentication
Data
ALFAOMEGA
MATAS ATZ
7 1 6 b e 6 flb a c e b e 6 9 6 4 7 3 a 2 d 2 d 5 d 9 e 4 e S
e b ra ry
7 1 6 b e 6 f lb a c e b e 6 9 6 4 7 3 a 2 d 2 d 5 d 9 e 4 e S
e b ra ry
7 1 6 b e 6 flb a c e b e 6 9 6 4 7 3 a 2 d 2 d 5 d 9 e 4 e S
e b ra ry
7 1 6 b e 6 f lb a c e b e 6 9 6 4 7 3 a 2 d 2 d 5 d 9 e 4 e S
e b ra ry