close

Trucos para un rápido P2v

Contenido

1. IPSec

IPSec es un marco de estándares abiertos que ofrece servicios de seguridad para la comunicación IP. Cuando el uso de IPSec se obtienen los siguientes beneficios:

  • confidencialidad de los datos - los paquetes se cifran antes de ser enviado
  • Integridad de los datos - el receptor puede verificar si un paquete fue alterado entre el remitente y el propio
  • Datos de autenticación del origen - el receptor puede autenticar al emisor
  • Lucha contra la repetición - el receptor detectar y rechazar los paquetes reprodujo

1.1 Protocolos de autentificación y encriptación

1.1.1 ESP (Encapsulating Security Payload)

ESP (número de protocolo 50) es el protocolo que ofrece cifrado y autenticación. En el "modo de transporte", ESP sólo toma la carga IP y lo cifra, dejando intacta la cabecera IP. Esto significa que la dirección de origen y destino se mantienen de extremo a extremo. En "modo túnel", ESP tarda tanto la carga útil Cabecera IP e IP y lo cifra. Se tendrá que construir una nueva cabecera IP para permitir que el tráfico a llegar al otro extremo de la conexión IPSec.

1.1.2 AH (Authentication Header)

AH (número de protocolo 51) sólo se utiliza para la autenticación de la información dentro de la cabecera IP. Funciona en "modo de transporte", en la que añade el AH entre el encabezado IP y los datos de IP, o en el "modo túnel", en la que añade una nueva cabecera IP y la cabecera AH antes de la primera cabecera IP e IP de datos:

1.1.3 ESP y AH

ESP y AH se pueden utilizar simultáneamente. En el "modo de transporte" AH ofrece autenticación en el encabezado IP y ESP ofrece el cifrado y la autenticación de los datos IP: En "modo túnel", hay una superposición de funciones desde el ESP puede también ofrece autenticación en el encabezado IP La elección de un método sobre otro es objeto de requisitos específicos, pero por lo general se reduce a la potencia de procesamiento de cada par.

1.2 Asociaciones de Seguridad (SA)

Una SA es una colección de parámetros que se utilizan para asegurar la comunicación entre 2 pares. Se especifica los protocolos y algoritmos para ser utilizados, así como el material de claves. IPSec puede utilizar las teclas manuales, pero en la mayoría de las situaciones que utiliza un protocolo para negociar e intercambiar estas teclas. Para este propósito, IPSec utiliza un esquema conocido como ISAKMP (Internet Security Association and Key Management Protocol) a la sarna las SA y las llaves. El protocolo IKE implementa el esquema de IPSEC, por lo que los 2 nombres podrían superponerse.

2. ISAKMP

El marco ISAKMP es una colección de métodos utilizados para gestionar el establecimiento de SAS y las claves involucradas en el proceso. IKE es un protocolo que implementa el marco ISAKMP. ISAKMP requiere e IKE implementa un proceso de 2 fases para establecer una SA IPSec. En la 1ª fase, una SA ISAKMP se establece. El ISAKMP SA se utiliza entonces para proteger a las negociaciones para la SA IPSec en la segunda fase. En la aplicación de la Fase 1 de ISAKMP, IKE puede utilizar ya sea de modo principal o el modo agresivo. Al implementar ISAKMP Fase 2, IKE utiliza el modo rápido.

    ISAKMP Fase 1 de IKE de modo principal: Utiliza un mínimo de 6 mensajes antes de establecer la SA. También ofrece protección de identidad. IKE Modo Agresivo: Utiliza un mínimo de 3 mensajes antes de establecer la SA. No ofrece protección de identidad. ISAKMP Fase 2 IKE Modo Rápido: Al igual que en el modo agresivo IKE, pero protegido por el ISAKMP SA negoció en la Fase 1

3. Configuración de IPSec

3.1 Definir un conjunto de transformar

Un conjunto de transformar contiene una lista de posibles transformaciones que se utilizan en la negociación IKE para la SA IPSec IKE (fase 2).

IPSec R (config) # cripto-transformada establece Transform-SET [AH-TR] [ESP-ENC-TR] [ESP-AUTH-TR] [compress-TR]

Previous Post     Next Post

TAGS

CATEGORIES

.