Please enable JavaScript.

Coggle requires JavaScript to display documents.

Seguridad en Redes - Tema 5, Next Header, Security Parameter Index,…

- - - - :warning: Opera en la capa física de TCP/IP
      - En cada evolución mejora en rango y velocidad de la transferencia de información.
        
        :check: - 802.11b
        
        WEB [Wired Equivalent Privacy]: Creado para proporcionar seguridad a redes inalámbricas comparable a la red tradicional cableada.
        
        Hace uso de un código de redundancia cíclica CRC-32 para lograr la integridad de las comunicaciones.
        
        Proporciona un mecanismo de autenticación :silhouette: :check: que comprueba la posesión de la
        misma clave compartida utilizada para el cifrado.
        
        Utiliza el algoritmo de cifrado :lock: Rivest Cipher 4 (RC4) con clave estática compartida por todos los usuarios :silhouettes: de la red de 64 y 128 bits, incluyendo un vector de inicialización (IV) de 24 bits, para dotar de confidencialidad a las comunicaciones.
        
        En 2001 se detectaron multiples :red_cross: vulnerabilidades
        
        :no_entry: 1. Uso de una única clave estática que comparten todos los usuarios.
        
        :no_entry: 2. El vector de inicialización usado es de 24 bits lo que provoca colisiones en puntos de
        acceso muy concurridos.
        
        :no_entry: 3. Uso de un control de integridad lineal como es CRC-32.
        
        :no_entry: 4. Uso del algoritmo de cifrado RC4.
        
        Surgieron numerosos ataques que permiten la obtención de la clave compartida.
        
        :red_flag: WEPCrack
        
        :red_flag: Aircrack
        
        :red_flag: Airsnort
        
        :check: - 802.11g
        
        :check: - 802.11i
        
        WPA
        
        Incorpora un mecanismo de gestión de claves dinámicas Temporal Key IntegrityProtocol (TKIP) al cifrado RC4
        
        Usa claves dinámicas (cambian más o menos cada 10.000 paquetes enviados) y que varían para cada usuario (se combina con la dirección MAC del dispositivodel usuario); lo que conlleva una mejora significativa de la seguridad de la red.
        
        Incorpora un nuevo algoritmo de control de integridad conocido como Michael para generar un Message Integrity Check (MIC).
        
        Soporta tanto autenticación basada en clave compartida (WPA-Personal)como con claves diferentes para cada usuario (WPA-Enterprise) basado en el estándar 802.1X que utiliza un servidor Remote Authentication Dial In User Service (RADIUS) de autenticación.
        
        WPA2:
        
        Usa el modo Counter Cipher Mode with Block Chaining Message Authentication Code Protocol (CCMP) de AES (AES-CCMP) que provee tanto de confidencialidad como de integridad y autenticación a los paquetes.
        
        Se recomienda el uso de la versión enterprise
        
        :check: - 802.11n
- - - - :check: Integridad y autenticación en datagramas IP
      - :check: El receptor puede detectar si el mensaje fue manipulado y si el autor es quien dice ser.
      - :check: Se coloca tras la cabecera original del datagrama IP
      - :check: Los datos de autenticación se calculan sobre el paquete entero (Salvo datos que se modifican en el camino como TTL)
      - :check: Tiene el siguiente formato:
      - Ambos extremos deben regir la comunicación de forma segura
    - - :check: Integridad, autenticación y confidencialidad en datagramas IP
        
        Soporta encryption only y authenticacion-only, por si se quiere usar solo el un servicio de seguridad en particular.
      - :check: Información cifrada solamente para entidades autorizadas.
      - :check: Puede verse así:
      - Tiene el siguiente formato:
      - Por ser el mas completo y al mismo tiempo el más seguro, la implementación del protocolo ESP se ha desplegado de forma masiva, al punto de que ha desbancado en su uso al protocolo AH.
  - - - Es un protocolo de 2 FASES
        
        FASE 1
        
        Negociación de parámetros IKE propuesta-selección: En este paso,queda acordada una asociación de seguridad (SA ISAKMP) que regirá en esta fase.
        
        Intercambio de material clave (o criptográfico) mediante algoritmos de acuerdo de clave Diffie-Hellman.
        
        Derivación de claves de sesión IKE a partir del secreto maestro obtenido del material criptográfico anterior.
        
        Mutua autenticación de los extremos: Este proceso de autenticación queda protegido mediante el cifrado con la Clave de Sesión IKE.
        
        EN ESTA FASE los 2 extremos establecen una clave de sesión a partir del secreto de un acuerdo maestro y se autentican mutuamente.
        
        FASE 2
        
        Intercambio de material criptográfico para la derivación de la nueva clave.
        
        Periódicamente, se produce la renegociación de las asociaciones de seguridad IPSec.
        
        Propuesta-selección de los parámetros de seguridad.
        
        Se realiza primero garantizando que la FASE 1 terminó, así que ya existe una clave que protege la comunicación. La fase se desarrolla en modo RAPIDO (Quick)
  - - - En la capa de red
      - Asegurar una zona de red
      - Es el modo más extendido en la implementación de VPN. El modo túnel consiste generalmente en encapsular el paquete IP con cabeceras IPSec. Un paquete protegido con IPSec en modo túnel posee dos cabeceras IP, la cabecera interna, y la cabecera externa. La interna es generada por la pila TCP/IP, mientras que la externa la provee el dispositivo que implementa IPSec.
    - - Proteger la cabecera del nivel transporte. Los protocolos AH y ESP interceptan los paquetes interceptan los paquetes que fluyen desde el nivel de transporte al nivel de red para proveer las propiedades de seguridad.
      - Es utilizado cuando se quieren asegurar las comunicaciones de extremo a extremo
- - - - Datos de autentificación