informe final de ipsec
DESCRIPTION
Caracteristicas sobre comunicacion con seguridad en tunels con protocolo de mantenimiento ipsecTRANSCRIPT
UNIVERSIDAD TCNICA DE AMBATO
F . I . S . E . I
FACULTAD DE INGENIERIA EN SISTEMAS, ELECTRONICA E INDUSTRIAL
FACULTAD DE INGENIERA EN SISTEMAS, ELECTRNICA E INDUSTRIAL
PERODO ACADMICO: MARZO/2013 AGOSTO/2013
I. PORTADA
UNIVERSIDAD TCNICA DE AMBATO
Facultad de Ingeniera en Sistemas, Electrnica e Industrial
Proyecto Acadmico de Fin de Semestre
Ttulo: Armado de Tneles IPSec
Carrera:Ingeniera Electrnica
rea Acadmica:Redes de Comunicacin
Lnea de Investigacin:Seguridad Informtica
Ciclo Acadmico y paralelo:Quinto Semestre Paralelo A
Alumnos participantes:
Bermdez Cabascango David Andrs
Palacios Snchez Byron Rodrigo
Revelo Aguilar Fabin Ramiro
Mdulo y Docente:Gestin de Redes - Ing. Santiago Manzano
II. INFORME DEL PROYECTO
1. PP
2. YY
2.1 Ttulo
Armado de Tneles IPSec
2.2 Objetivos
General:
Establecer una comunicacin segura dentro de una red, utilizando las funcionalidades de seguridad IPSec sobre el protocolo IP para un flujo de datos
Especficos:
Verificar la flexibilidad de IPSec para ser utilizado en protocolos de capa 4 del modelo OSI, como TCP, UDP.
Determinar el nivel de proteccin para un paquete saliente, que debemos proporcionar, a travs de los protocolos de seguridad que implementa IPSec
Estimar con claridad, las caractersticas del protocolo IPSec que son tiles a nivel empresarial y redes de comunicacin de datos en forma general
Identificar los posibles puntos de deficiencia en seguridad, dentro de nuestra estructura de defensa.
Comprender los algoritmos asociados al protocolo de seguridad IPSec que permiten armar y fortalecer la proteccin de la red
2.3 Resumen
IPsec es uno de los protocolos de seguridad ms importantes. Este protocolo proporciona servicios de seguridad en la capa IP, permitiendo al sistema establecer los protocolos de seguridad necesarios. Utilizando dos protocolos para proporcionar seguridad al trfico: la Cabecera de Autentificacin (AH) y la Carga de Seguridad Encapsulada (ESP).
Estos protocolos pueden aplicarse solos o en conjunto con otros para proporcionar una gama de servicios de seguridad en IPv4 e IPv6. Con la particularidad de que este protocolo soporta dos modos de uso: modo transporte y modo tnel.
Los protocolos que componen el suite de IPSec son: AH, ESP y IKE, pueden ser utilizados solos o en distintas combinaciones entre s para proveer distintos niveles de confidencialidad. Estableciendo as en el presente trabajo, un tnel, para la proteccin del flujo de datos, en contra del ataque de un host sniffer.
2.4 Palabras clave:
Autentificacin, Seguridad, Protocolos, Encripcin, Informacin, Tnel, Sniffer
2.5 Introduccin
Gracias a IPsec podemos comunicar diferentes puntos de Internet de forma segura, por esta razn este protocolo es ampliamente utilizado en redes privadas, virtuales de nuestros hogares, pero tambin es utilizado en entornos corporativos donde la seguridad es lo ms importante.
Si bien es cierto que todos los componentes de un sistema informtico estn expuestos a un ataque, son los datos y la informacin los focos principales de proteccin de las tcnicas de seguridad.
Es por ello que para mantener las caractersticas bsicas en materia de seguridad como: disponibilidad, confidencialidad e integridad, hoy en da las comunicaciones entre empresas y comercio electrnico la seguridad es materia de inters para el manejo y distribucin adecuado de la informacin.
Cada vez se requieren de nuevas tcnicas y algoritmos ms eficaces para mantener un nivel confiable de seguridad de nuestras redes, por tal motivo es de vital importancia que entendamos el impacto que tiene en el mundo de las comunicaciones establecer un flujo de datos en forma segura
2.6 Materiales y Metodologa
Marco terico
Configuracin de IPsec de red-a-red
IPsec tambin se puede configurar para conectar una red completa (tal como una LAN o una WAN) a una red remota a travs de una conexin red-a-red. Una conexin de red-a-red requiere la configuracin de enrutadores IPsec en cada lado de las redes conectantes para procesar y enrutar la informacin de forma transparente desde un nodo en una LAN a otro nodo en una LAN remota. [2]
Descripcin del protocoloLos protocolos de IPsec actan en la capa de red, la capa 3 del modelo OSI. IPsec tiene una ventaja sobre SSL y otros mtodos que operan en capas superiores. Para que una aplicacin pueda usar IPsec no hay que hacer ningn cambio, mientras que para usar SSL y otros protocolos de niveles superiores, las aplicaciones tienen que modificar su cdigo. La arquitectura de seguridad IP utiliza el concepto de asociacin de seguridad (SA) como base para construir funciones de seguridad en IP [4]
Asociaciones de seguridad IPsec
Una asociacin de seguridad (SA) IPsec especifica las propiedades de seguridad que se reconocen mediante hosts comunicados. Una nica SA protege los datos en una direccin.
La proteccin es para un solo host o para una direccin de grupo (multidifusin). Dado que la mayora de la comunicacin es de igual a igual o de cliente-servidor, debe haber dos SA para proteger el trfico en ambas direcciones. [3]
Modos de funcionamiento
Modo transporte
En modo transporte, slo la carga til (los datos que se transfieren) del paquete IP es cifrada y/o autenticada. El enrutamiento permanece intacto, ya que no se modifica ni se cifra la cabecera IP; sin embargo, cuando se utiliza la cabecera de autenticacin (AH), las direcciones IP no pueden ser traducidas, ya que eso invalidara el hash. Las capas de transporte y aplicacin estn siempre aseguradas por un hash, de forma que no pueden ser modificadas de ninguna manera (por ejemplo traduciendo los nmeros de puerto TCP y UDP). El modo transporte se utiliza para comunicaciones ordenador a ordenador.
Una forma de encapsular mensajes IPsec para atravesar NAT ha sido definido por RFCs que describen el mecanismo de NAT-T
El propsito de este modo es establecer una comunicacin segura punto a punto, entre dos hosts y sobre un canal inseguro. Este ejemplo ilustra esto:
Modo tnel
En el modo tnel, todo el paquete IP (datos ms cabeceras del mensaje) es cifrado y/o autenticado. Debe ser entonces encapsulado en un nuevo paquete IP para que funcione el enrutamiento. El modo tnel se utiliza para comunicaciones red a red (tneles seguros entre routers, p.e. para VPNs) o comunicaciones ordenador a red u ordenador a ordenador sobre Internet. El propsito de este modo es establecer una comunicacin segura entre dos redes remotas sobre un canal inseguro.
Cabeceras de Encriptacin
La cabecera de Carga de Seguridad Encapsulada (ESP) est diseada para proporcionar un conjunto de servicios de seguridad en IPv4 y en IPv6. ESP puede ser aplicado solo, o en conjunto con la Cabecera de Autentificacin.
La cabecera ESP se inserta antes que la cabecera IP y despus que la cabecera de protocolo de capa superior (en modo transporte) o despus de una cabecera IP encapsulada (en modo tnel)
Las cabeceras ESP y AH se pueden combinar de varias formas. ESP en modo tnel puede ser empleado en hosts o security gateways.
Cuando se implementa ESP en una security gateway (para proteger el trfico en trnsito del suscriptor), se debe utilizar el modo tnel. En modo tnel, la cabecera IP "interna" lleva las ltimas direcciones de origen y de destino, mientras que una cabecera IP "externa" puede contener direcciones IP distintas, por ejemplo, las direcciones de las security gateways. En modo tnel, ESP protege a todo el paquete IP interno, incluyendo toda la cabecera IP interna. [1]
Los tres elementos siguientes identifican una SA IPsec de modo exclusivo:
El protocolo de seguridad (AH o ESP)
La direccin IP de destino
El ndice de parmetros de seguridad
Materiales:
Computadora
Cable de red
GNS3
Virtual Box
Imgenes ISO Ubuntu desktop
Metodologa:
1. Creacin de mquinas virtuales en Virtual Box
2. Configurar los adaptadores de red de las mquinas virtuales en modo anfitrin.
3. Configuracin de las direcciones IP en las mquinas virtuales de Ubuntu
4. Crear las topologas de red simuladas en GNS3.
5. Escoger la tarjeta de red para la nube, en este caso ser la tarjeta de Red de rea Local.
6. Conectar los hosts de GNS3 para establecer la conexin interna con las mquinas virtuales de Ubuntu.
7. Establecer las direcciones IP en las mquinas.
8. Establecer las direcciones IP de las interfaces de los routers de GNS3.
9. Verificar conexin entre mquinas virtuales y simulaciones.
10. Configurar los router 1 y 2, con el cdigo de encriptacin y habilitacin de IPSEC.
11. Verificar enrutamiento.
12. Establecer la encriptacin de los paquetes.
Verificar la encriptacin y la creacin del Tnel IPSEC.
Los podemos mostrar con:
Show crypto isakmp sa
Show crypto ipsec sa
13. Realizar el mismo proceso para la otra computadora.
14. Conectar un Host Sniffer para tratar de vulnerar la encriptacin entre router 1 y 2
Por medio de la conexin Solo anfitrin tenemos nuestra maquina conectada a la red de las otras mquinas virtuales. Como ya comprobamos se pudo hacer ping desde la Maquina Sniffer, y lo que procedemos a hacer es a realizar las pruebas en Wireshark. Y analizar y tratar de ver el trfico de datos para verificar si nuestro tnel Ipsec est ya funcionando.
2.7 Resultados y Discusin
El algoritmo de encriptacin empleado es especificado por la SA. ESP est diseado para usarse con algoritmos de encriptacin simtricos
Debido a que los paquetes IP pueden llegar en desorden, cada paquete debe llevar necesariamente algn tipo de dato para permitir que el receptor establezca la sincronizacin criptogrfica para la desencriptacin. Estos datos se pueden llevar explcitamente en el campo carga til
El algoritmo de autentificacin empleado para el clculo del ICV est especificado por la SA. Para la comunicaciones punto a punto, los algoritmos de autentificacin ms aptos incluyen claves con Cdigo de Autentificacin de Mensaje (MACs) basados en algoritmos de encriptacin simtricos (por ejemplo, 3DES) o funciones hash unidireccionales (por ejemplo, MD5 o SHA-1)
En modo transporte, el emisor encapsula la informacin del protocolo de la capa superior dentro de ESP, y mantiene la cabecera IP especificada (y cualquiera de las cabeceras IP de extensin, en el contexto de IPv6).
En modo tnel, la cabecera/extensiones IP externas e internas se pueden interrelacionar de diversas formas
Si se requiere ms de una cabecera/extensin IPsec debido a la poltica de seguridad, el orden de aplicacin de las cabeceras de seguridad se DEBE definir en la poltica de seguridad
2.8 Conclusiones
El grupo de protocolos IPsec y dems algoritmos asociados permiten proporcionar seguridad de alta calidad para el flujo de trfico de Internet. Sin embargo, la seguridad ofrecida por estos protocolos depende en ltima instancia de la calidad de su implementacin
La seguridad proporcionada por el uso de IPsec depender bastante de diversos aspectos del ambiente operativo en el cual la implementacin de IPsec se ejecuta.
La seguridad de un sistema informtico o en una red es una funcin de muchos factores. IPsec solo es una parte de un sistema global de seguridad
Los defectos en la seguridad del sistema operativo, negligencia en la prctica de manejo de protocolos, etc., todo esto puede degradar la seguridad proporcionada por IPsec
El concepto de Asociacin de Seguridad (SA) es fundamental para IPsec. AH y ESP hacen uso de SAs y una funcin importante de IKE es el establecimiento y el mantenimiento de SAs
2.9 Recomendaciones:
Poner el adaptador de la mquina virtual en solo anfitrin para que la conexin se pueda realizar satisfactoriamente.
Realizar la configuracin de los routers en GNS3 en un documento de texto, puesto que si se llegase a cerrar el programa se tendra un respaldo para no perder todo el avance.
Tener en cuenta que interfaz se est utilizando para evitar inconvenientes en el momento de comprobar conexin entre una red a la otra.
Usar y conectar con cuidado los cables fsicos, puesto que una mala conexin evita que se corra el tnel.
2.10 Referencias bibliogrficas
[1] http://francisconi.org/sites/default/files/IPsec_en_Ambientes_IPv4_e_IPv6.pdf
[2] http://web.mit.edu/rhel-doc/4/RH-DOCS/rhel-sg-es-4/s1-ipsec-net2net.html
[3] http://docs.oracle.com/cd/E26921_01/html/E25871/ipsec-ov-5.html
[4] http://www.redeszone.net/ipsec-todo-lo-que-debes-saber-sobre-ipsec
Anexos
Cabeceras de Encriptacin
Configuracin de IPSec de Red a Red
Configuracion Router 1:
in se 1/0
ip add 192.168.141.2 255.255.255.0
clock rate 9600
no sh
exit
in fa 0/0
ip add 192.168.140.1 255.255.255.0
no sh
exit
ip route 192.168.142.0 255.255.255.0 192.168.141.4
crypto isakmp policy 1
encr 3des
authentication pre-share
group 1
exit
crypto isakmp key prueba123 address 192.168.141.4
crypto ipsec transform-set myset esp-3des esp-md5-hmac
access-list 141 permit ip 192.168.140.0 0.0.0.255 192.168.142.0 0.0.0.255
crypto map test 1 ipsec-isakmp
set peer 192.168.141.4
set transform-set myset
match address 141
exit
in se 1/0
crypto map test
exit
exit
ping 192.168.141.4
ping 192.168.140.3
ping 192.168.141.3
ping 192.168.141.4
ping 192.168.140.3
ping 192.168.141.3
show crypto session
show crypto ipsec sa
show crypto isakmp sa
show crypto engine connections active
debug crypto isakmp
ping 192.168.141.4 source fa 0/0
Configuracion Router 2:
in se 1/0
ip add 192.168.141.4 255.255.255.0
clock rate 9600
no sh
exit
in fa 0/0
ip add 192.168.142.1 255.255.255.0
no sh
exit
ip route 192.168.140.0 255.255.255.0 192.168.141.2
crypto isakmp policy 1
encr 3des
authentication pre-share
group 1
exit
crypto isakmp key prueba123 address 192.168.141.2
crypto ipsec transform-set myset esp-3des esp-md5-hmac
access-list 141 permit ip 192.168.142.0 0.0.0.255 192.168.140.0 0.0.0.255
crypto map test 1 ipsec-isakmp
set peer 192.168.141.2
set transform-set myset
match address 141
exit
in se 1/0
crypto map test
exit
exit
show ip route
show crypto session
ping 192.168.141.2
ping 192.168.141.4
ping 192.168.142.3
ping 192.168.140.3
ping 192.168.141.2 source fa0/0
show crypto isakmp sa
show crypto ipsec sa
show crypto engine connections active