PDF de programación - IPsec en Ambientes IPv4 e IPv6

IPsec en Ambientes

IPv4 e IPv6

Ing. Hugo Adrián Francisconi

[email protected]

Primera Edición

Agosto 2005

Fecha de últimas modificaciones 19/12/09

Datos del Autor/Editor de Esta Obra

Nombre y Apellido del Autor: Hugo Adrián Francisconi
Domicilio: Carril Godoy Cruz 2801, Villa Nueva, Guaymallén, Mendoza Argentina
Código Postal: 5521
Tel: 054-0261-4455427
E-mail: [email protected]

Derechos de Copyright sobre esta Obra

©2003-2005 del Ing. Hugo Adrián Francisconi. Todos los derechos reservados.

El espíritu de este libro es que sea de libre y gratuita distribución, pero debido al "plagio"

y para preservar su integridad es que:

Se concederá derechos para, copiar, hacer obras derivadas y comunicar públicamente la
obra bajo cualquier soporte siempre que se tenga permiso expreso del autor, para ello solo
vasta con enviarme un e-mail a: [email protected], que seguramente no dudare
en concederte permisos. Solo se concederá permiso de distribución de esta obra solo bajo las
circunstancias que el autor pueda comprobar que no se esta lucrando con ello (por ejemplo en
páginas webs de universidades, gubernamentales, o webs sin publicidad).

QUEDA PROHIBIDA SU VENTA Y/O LUCRO TOTAL Y/O PARCIAL DE ESTA OBRA.

ISBN 987-43-9727-6

Mendoza Argentina.

Elaborado, editado e impreso en Carril Godoy Cruz 2801, Villa Nueva, Guaymallén,

Fecha de elaboración, edición e impresión en Agosto del 2005.

Marcas Comerciales

Todos los términos en este libro que correspondan a Marcas Comerciales o marcas de
Servicio, el autor no puede certificar la exactitud de la información. No debe considerarse que
el uso de un término en este libro afecte a la validez de cualquier marca comercial o marca de
servicio. Las marcas comerciales y demás marcas denominadas son propiedad de sus
respectivos titulares.

Advertencia y Renuncia a Derechos

Se ha realizado el máximo esfuerzo para hacer de este libro una obra tan completa y
precisa como sea posible, pero no se ofrece ninguna garantía implícita de adecuación a un fin
en particular.

La información se suministra "tal como está". El autor no será responsable ante cualquier
persona o entidad con respecto a cualquier pérdida o daño que pudiera resultar emergente de
la información contenida en este libro.

Las opiniones expresadas en este libro pertenecen al autor.

A mi Padre

IPsec en Ambientes IPv4 e IPv6

Índice General de Contenidos

Prefacio...........................................................XVII
Prólogo.............................................................XIX
Capítulo 1 Introducción..............................................1
1. Audiencia............................................................2
2. Objetivos de Diseño..................................................2
3. Descripción del Sistema..............................................3
3.1 Que hace IPsec ..................................................3
3.2 Como Trabaja IPsec...............................................3
3.3 Donde Puede ser Implementado IPsec...............................4
4. Observaciones y Advertencias.........................................5

Capítulo 2 Arquitectura IPsec........................................7
1. Introducción.........................................................8
1.1 Contenido del Capítulo...........................................8
1.2 Capítulos Relacionados...........................................8
2. Asociaciones de Seguridad............................................8
2.1 Definiciones y Ámbito............................................9
2.2 Funcionalidad de las Asociaciones de Seguridad..................10
2.3 Combinación de Asociaciones de Seguridad........................11
2.4 Bases de Datos..................................................12
2.4.1 Base de Datos de Políticas de Seguridad (SPD)...............13
2.4.2 Selectores de Paquetes......................................16
2.4.3 Base de Datos de Asociaciones de Seguridad (SAD)............19
2.5 Combinaciones Básicas de Asociaciones de Seguridad..............21
2.6 Asociaciones de Seguridad y Gestión de Claves...................23
2.6.1 Técnicas Manuales...........................................24
2.6.2 Gestión de Claves y Asociaciones de Seguridad Automatizadas.24
2.6.3 Localizando un Security Gateway.............................25
2.7 Asociaciones de Seguridad y Multicast...........................25
3. Procesamiento del Tráfico IP........................................26
3.1 Procesamiento del Tráfico IP Saliente...........................26
3.1.1 Seleccionando y Usando una SA o Grupo de SAs................26
3.1.2 Construcción de Cabeceras para el Modo Túnel................27
3.1.2.1 Construcción de Cabeceras en Modo Túnel para IPv4.......28
3.1.2.2 Construcción de Cabeceras en Modo Túnel para IPv6.......29
3.2 Procesamiento del Tráfico IP Entrante...........................29

[email protected] Agosto 2005 Página VII

Índice General de Contenidos

3.2.1 Seleccionando y Usando una SA o Grupo de SAs................29
3.2.2 Manejo de HA y ESP en Túneles...............................30
4. Procesamiento ICMP (Relativo a IPsec)...............................30
4.1 Procesamiento PMTU/DF...........................................31
4.1.1 Bit DF......................................................31
4.1.2 Descubrimiento de la Ruta MTU (PMTU)........................31
4.1.2.1 Transmisión del PMTU....................................32
4.1.2.2 Cálculo del PMTU........................................32
4.1.2.3 Granularidad del Procesamiento de PMTU..................33
4.1.2.4 Envejecimiento de la PMTU...............................33
5. Auditoría...........................................................34
6. Uso de la Información de Flujo de Seguridad en Soportes
Informáticos........................................................34
6.1 Relación Entre SA y la Sensibilidad de los Datos................ 35
6.2 Control de la Consistencia de Sensibilidad......................35
6.3 Atributos Adicionales de la Seguridad Multinivel (MLS) para las
SADs............................................................36
6.4 Etapas Adicionales del Procesamiento de Entrada para Redes de
Seguridad Multinivel............................................36
6.5 Etapas Adicionales del Procesamiento de Salida para Redes de
Seguridad Multinivel............................................36
6.6 Procesamiento Adicional para la Seguridad Multinivel para
Security Gateways...............................................36
7. Consideraciones de Desempeño........................................37
8. Requisitos de Conformidad...........................................37
9. Análisis/Discusión de PMTU/DF/Cuestiones de Fragmentación...........38
9.1 Bit DF..........................................................38
9.2 Fragmentación...................................................38
9.3 Descubrimiento de la Trayectoria MTU............................42
9.3.1 Identificando al Host de Origen.............................42
9.3.2 Cálculo del PMTU............................................44
9.3.3 Granularidad para Mantener Datos PMTU.......................44
9.3.4 Mantenimiento de Socket a Través de Datos PMTU..............45
9.3.5 Entrega de Datos PMTU a la Capa de Trasporte................46
9.3.6 Envejecimiento de los Datos PMTU............................46
10. Ejemplo de Código de Secuencia de Espacio de Ventana...............46
11. Categorización de Mensajes ICMP....................................47

Capítulo 3 Cabecera de Autentificación..............................51
1. Introducción........................................................52
2. Formato de la Cabecera de Autentificación...........................52
2.1 Cabecera Siguiente..............................................53
2.2 Longitud de la Carga............................................53
2.3 Reservado.......................................................53
2.4 Índice de Parámetros de Seguridad (SPI).........................53
2.5 Número de Secuencia.............................................54
2.6 Datos de Autentificación........................................54
3. Procesamiento de la Cabecera de Autentificación.....................54
3.1 Localización de la Cabecera de Autentificación..................54
3.2 Algoritmos de Autentificación...................................56
3.3 Procesamiento de Paquetes Salientes.............................56
3.3.1 Búsqueda de Asociaciones de Seguridad.......................57
3.3.2 Generación del Número de Secuencia..........................57
3.3.3 Cálculo del Valor de Comprobación de Integridad.............57
3.3.3.1 Manipulación de los Campos Mutables.....................58
3.3.3.1.1 Cálculo de ICV para IPv4............................58
3.3.3.1.1.1 Campos de la Cabecera Base......................58

Página VIII ing. Adrián Francisconi Agosto 2005

IPsec en Ambientes IPv4 e IPv6

3.3.3.1.1.2 Opciones........................................59
3.3.3.1.2 Cálculo de ICV para IPv6............................59
3.3.3.1.2.1 Campos de la Cabecera Base......................59
3.3.3.1.2.2 Cabeceras de Extensión que Contienen Opciones...59
3.3.3.1.2.3 Cabeceras de Extensión que no Incluyen Opciones.60
3.3.3.2 Relleno.................................................60
3.3.3.2.1 Relleno de los Datos de Autentificación.............60
3.3.3.2.2 Relleno Implícito del Paquete.......................60