PDF de programación - Internet y su arquitectura de seguridad para IP

Imágen de pdf Internet y su arquitectura de seguridad para IP

Internet y su arquitectura de seguridad para IPgráfica de visualizaciones

Publicado el 14 de Enero del 2017
609 visualizaciones desde el 14 de Enero del 2017
154,4 KB
11 paginas
Creado hace 23a (12/12/2000)
Una arquitectura de seguridad para IP



Rafael Espinosa-García

Sistemas VLSI

[email protected]
Tel: 5747-7001 ext. 6261

CINVESTAV-IPN

Apartado Postal 14-740

México, D.F.

Guillermo Morales-Luna
Sección de Computación
[email protected]

Tel: 5747-3759

que

y

sus

beneficios



Introducción
El impresionante crecimiento de Internet y su
correspondiente conectividad, además del
advenimiento de nuevos
servicios, ha
propiciado
técnicamente
intrusos
avanzados consideren como un reto constante
el emprender ataques de índole diversa que
amenacen la integridad y la privacidad de
redes de comunicación de datos en general.
Por otro lado, el avance de la tecnología de
comunicaciones
ha
modificado el rechazo inicial de usuarios
gubernamentales o de negocios a relegar en
Internet
de
información. En particular el temor a intrusos
anónimos provenientes de
Internet está
obligando a las organizaciones a considerar
soluciones radicales tales como la separación
entre redes de datos privadas (Intranets) y la
red pública
segmentación
obtenida se está constituyendo en un fuerte
impedimento para lograr el concepto de una
red Internet global, lo que establecería una
conectividad fuertemente acoplada.

En 1994, el Internet Architecture Board
(IAB) emitió el reporte “Security in the
Internet Architecture” (RFC 1636), el cual
establecía que Internet requería una mayor y
mejor seguridad, además, identificaba las
áreas claves que requerían mecanismos de

Internet. La

estratégicos

elementos

seguridad. Entre las principales necesidades
quedaron identificadas: el aseguramiento de
la infraestructura de red, tanto del monitoreo
como del control del tráfico no autorizado, y
la protección del
trafico usuario_final-
usuario_final utilizando mecanismos de
autentificación y de encriptamiento.

El protocolo Internet Protocol, IP, es uno de
los más usados para la interconexión de redes
tanto en ambientes académicos como
corporativos, y naturalmente lo es también en
la Internet pública. Su flexibilidad y sus
poderosas capacidades lo han impuesto como
un vehículo de interconectividad por un largo
tiempo. La fuerza de IP radica en su facilidad
y su flexibilidad para el envío de grandes
volúmenes de
información en pequeños
datagramas a través de los diversos esquemas
de enrutamiento.

Sin embargo, IP presenta ciertas debilidades.
La forma en que el protocolo enruta los
paquetes hace que las grandes redes IP sean
vulnerables a ciertos riesgos bien conocidos
de seguridad. Uno de ellos es el llamado IP
Spoofing, en el cual un
intruso ataca
cambiando
la dirección del paquete IP,
haciéndolo aparecer como si éste se hubiese
originado en otro lugar. Otro de tales ataques
es la intromisión en una transmisión IP

la

en

del

tráfico

mediante el uso de un analizador de
lo que permitiría hacer un
protocolos,
seguimiento
red.
Mencionamos como un último tipo de ataque
a IP aquel realizado cuando el intruso
irrumpe en una sesión establecida y se
enmascara como si fuese una de las partes en
esa comunicación.

Debido a que estas vulnerabilidades limitan y
complican el uso de las grandes redes IP
(incluyendo por supuesto a toda Internet) en
comunicaciones altamente
sensibles, un
grupo
internacional organizado bajo el
Internet Engineering Task Force (IEFT)
desarrolló el IP Security (IPSec) protocol
suite, como un conjunto de extensiones para
IP que ofrecen servicios de seguridad en el
nivel de red (de acuerdo con el modelo de
capas de ISO de OSI). La tecnología de
IPSec se basa en la criptografía moderna, lo
que garantiza, por un lado, la privacidad y,
por otro, una autentificación fuerte de datos.

Las características de IPSec lo hacen único
debido a que implementa seguridades en la
capa de red más que en la de aplicaciones.
En
el pasado, otros grupos habían
desarrollado métodos a nivel de aplicación
para
comunicaciones,
incluyendo
el
PGP/Web-of-Trust para protección del correo
electrónico. Mientras estos métodos son
efectivos para
resolver problemas de
seguridad particulares, las soluciones que
aportan se encuentran circunscritas a sus
nichos especifícos. Dado que el protocolo
IPSec asegura a la red por sí misma, se
garantiza que las aplicaciones que se estén
usando en la red sean, en efecto, seguras.

Existen ya numerosos productos que
implementan IPSec. Sin embargo, también es
cierto que no es necesariamente la elección
correcta para una solución de seguridad para
un administrador de
red. Para ofrecer

de
esquemas

protección

como

tales

participantes,

seguridad en el nivel de IP es necesario que
IPSec sea parte del código de red en todas las
plataformas
incluyendo
sistemas Windows NT, UNIX y Macintosh,
pues de otra manera una aplicación dada
podría fracasar al inetentar usar las funciones
de seguridad del protocolo. Sin embargo,
para una red virtual privada, IPSec ofrece, en
efecto, las facilidades al nivel de la capa de
red requeridas.

IPSec ofrece tres facilidades principales:
• una función de autentificación, referida

como Authentication Header (AH),

• una

función

de
autentificación/encriptamiento
llamada
Encapsulating Security Payload (ESP), y

combinada

• una función de intercambio de llaves.


Para las redes virtuales privadas (VPN), tanto
la autentificación como el encriptamiento
son, por lo general, deseables, pues:
(1) aseguran que usuarios no autorizados no

penetren en la VPN y

(2) aseguran que los mirones en Internet no
puedan leer mensajes privados enviados
sobre la VPN.


Ambas características son deseables y la
mayoría de las implementaciones se adaptan
más a ESP que a AH. La función de
intercambio de llaves permite realizar esta
función ya sea en forma manual o bien en
forma automática.

Evidentemente, la aceptación genera-lizada
de un IP seguro está propiciada por la
corporativos y
necesidad de usuarios
gubernamentales
para
conectar
sus
infraestructuras WAN/LAN a Internet para
(1) el acceso a servicios de Internet y
(2) el uso de

Internet como una
componente del sistema de transporte
WAN.

la



(IPSec),

Los usuarios requieren aislar sus redes y al
mismo tiempo enviar y recibir tráfico sobre
Internet. Los mecanismos de seguridad IP
proporcionan la base para una estrategia de
seguridad.

Debido a que los mecanismos de seguridad
IP han sido definidos en forma independiente
de su uso, ya sea con el IP, de uso
mayoritario en la actualidad, o con IPv6 (IP
version 6),
la organización de estos
mecanismos no depende del desarrollo de
IPv6. Es pues altamente probable que se
extienda el uso de las características de
seguridad de IP aún antes de que IPv6 venga
a ser más popular.

En el presente
trabajo hacemos una
retrospectiva acerca de las características y
los beneficios de la arquitectura de IP
Security
sus mecanismos de
operación y los productos ya disponibles en
el mercado.

Beneficios de IPSec
Cuando se implementa IPSec en un router,
éste provee una fuerte seguridad que puede
ser aplicada a todo el tráfico que cruza el
perímetro servido por el router. Por otro
lado, IPSec está debajo de la capa de
transporte (TCP, UDP), así pues resulta
“transparente” para las aplicaciones. No hay
necesidad de cambiarlas, ni desde el punto de
vista del usuario ni del servidor cuando
IPSec se incorpora al router o al firewall.
También se tiene que IPSec puede ser
“transparente” a los usuarios finales. Como
una política general, puede asumirse que no
es necesario involucrar a los usuarios en los
mecanismos de seguridad. Finalmente, IPSec
tiene
la capacidad de ofrecer seguridad
individual si ésta fuese indispensable. Tal
característica es útil para empleados que
accedan a la red desde el exterior vía
telefónica. Además, es posible asegurar una
subred virtual dentro de una organización

para aplicaciones sensibles. En resumen,
entre los beneficios de IPv6 mencionamos:
• herencia de niveles de seguridad, de

routers a subredes,

• transparencia respecto a las aplicaciones,
• transparencia respecto a usuarios finales, y
• ofrecimiento de
a nivel

seguridad

individual.


Estructura de IPSec
En agosto de 1995, el IETF publicó cinco
documentos relacionados con la propuesta
para estandarizar la capacidad de seguridad
al nivel de toda Internet:
• RFC 1825: Descripción de la arquitectura

de seguridad

• RFC 1826: Descripción del paquete de

extensión para autentificación en IP

• RFC 1828: Especificación del mecanismo

de autentificación

• RFC 1827: Descripción de paquete de

extensión para encriptamiento en IP

• RFC 1829: Especificación del mecanismo

de encriptamiento


Estas características son obligatorias en IPv6
y opcionales en IPv4. En ambos casos, la
parte de seguridad se implementa mediante
encabezados de extensión que siguen al
encabezado principal de IP. El encabezado de
extensión para autentificación es conocido
como Authenticacion Header (AH) y para el
caso de encriptamiento se la ha nombrado
Encapsulating Security Payload (ESP).

Dentro del IETF, se estableció el IP Security
Protocol Working Group, en donde se
la especificación completa de
desarrolló
IPSec. Los do
  • Links de descarga
http://lwp-l.com/pdf382

Comentarios de: Internet y su arquitectura de seguridad para IP (0)


No hay comentarios
 

Comentar...

Nombre
Correo (no se visualiza en la web)
Valoración
Comentarios...
CerrarCerrar
CerrarCerrar
Cerrar

Tienes que ser un usuario registrado para poder insertar imágenes, archivos y/o videos.

Puedes registrarte o validarte desde aquí.

Codigo
Negrita
Subrayado
Tachado
Cursiva
Insertar enlace
Imagen externa
Emoticon
Tabular
Centrar
Titulo
Linea
Disminuir
Aumentar
Vista preliminar
sonreir
dientes
lengua
guiño
enfadado
confundido
llorar
avergonzado
sorprendido
triste
sol
estrella
jarra
camara
taza de cafe
email
beso
bombilla
amor
mal
bien
Es necesario revisar y aceptar las políticas de privacidad