IPSEC Flashcards
¿Por qué surge IPSEC?
Por lo inseguro que es el protocolo IP:
- Source Spoofing
- Replay Packets
- No data integrity or confidentiality
¿Cuáles son las metas de IPSEC? (3)
- Verificas las fuentes de los paquetes IP
- Autenticación
- Prevenir la repetición de paquetes viejos
- Proteger la integridad y confidencialidad de los paquetes
- Integridad de datos / Encripción de datos
¿En qué stuaciones provee seguridad IPSEC? (3)
- Host to Host
- Host to Gateway
- Gateway to Gateway
¿En qué modos opera IPSEC? (2)
- Transport Mode (end to end)
- Tunnel Mode (VPN)
IPSEC es una colección de protocolos (RFC 2401), ¿cuáles son? (4)
- Authentication Header (AH)(RFC 2402)
- Encapsulating Security Payload (ESP)(RFC 2406)
- Internet Key Exchange (IKE)(RFC 2409)
- IP Payload Compression (IPComp)(RFC 3137)
Describe al protocolo de Authentication Header (AH) (6)
- Provee de autenticación de la fuente
- Protege en contra de spoofing
- Provee integridad de los datos
- Protege en contra de ataques de replay
- No provee confidencialidad
- Usa secuencias de 32 bits monótamente incrementadas para evitar ataques de replay
- Usa algoritmos strong hash para protreger la integridad de la información
Describe al Protocolo Encapsulating Secuity PayLoad (ESP) (2)
Ofrece lo que AH más:
- Confidencialidad de los datos
- Usa algoritmos de encripción simétrica para encriptar paquetes
Describe el protocolo Internet Key Exchange (5)
- Intercambia y negocia políticas de seguridad
- Establece sesiones de seguridad
- Intercambio de llaves
- Administración de llaves
- Se puede usar fuera de IPSEC
Describe los acrónimos existentes dentro de IKE (4)
- Sevurity Association (SA)
- Colección de atributos asociados a una conexión
- Es asimétrico
- Una SA para el tráfico interno y otra para el externo
- Security Association Database (SADB)
- Una base de datis de SADB
- Security Parameter Index (SPI)
- Index único para cada entrada a la SADB
- Identifica la SA asociada a un paquete
- Security Policy Database
- Almacen las políticas establecidas para establecer SA’s
¿Dentro de IPSEC, cómo funciona IKE?
- Phase 1: negociar y establecer un canal auxiliar end to end
- Phase 2: negociar y establecerpropios canales seguros
Ambos utilizan el intercambio de llave Diffie-Hellman para establecer una llave pública
Describe el objetivo de la fase 1 del protocolo IKE
Objetivo: establecer un canal seguro entre dos end points
El canal provee características de seguridad básicas:
- Autenticación de la fuente
- Integridad y confidencialidad de la información
- Protege ante ataques de replay
Describe la razón de la fase 1 del protocolo IKE
Cada aplicación tiene diferentes requisitos de seguridad, pero todos necesitan negociar políticas e intercambiar llaves.
Por lo tanto provee características básicas de seguridad y permite a la aplicación establecer sesiones personalizadas
Describe el intercambio en la fase 1 del protocolo IKE
Puede operar de dos modos:
- Modo principal
- Seis mensaje en tres rondas de viaje
- Más opciones
- Modo rápido
- Cuatro mensajes en dos rondas de viaje
- Menos opciones
¿Cuales son las maneras para autenticar dentro del protocolo IKE? (4)
- Firma Digital
- Dos formas de autenticación con llave pública
- Llave pre-compartida
Nota: IKE sí utiliza criptografía de llave pública para encriptar
¿Cuál es el objetivo del protocolo IKE en su fase 2?
Establecer canales de seguridad personalizados entre dos end points
¿Cómo es el intercambio del protocolo IKE en su fase 2?
Sólo existe un modo:
- Quick Mode:
- Varios intercambios quick mode pueden ser multiplexados
- Genera SA’s para dos end points
- Puede utilizar el canal seguro establecido en la
¿Que és IP Payload Compression? (2)
- Usado para compresión
- Puede ser especificado como parte de las políticas de IPSEC
¿Cómo se define las políticas de IPSEC en la fase 1?
Las políticas de la fase 1 son definidas en términos de suites de protección
Cada suite debe de contener:
- Algoritmo de encripción
- Algoritmo de Hash
- Método de autenticación
- Grupo Diffie-Hellman
Cada suite podría contener:
- Tiempo de vida
¿Cómo se define las políticas de IPSEC en la fase 2?
Las póliticas en la fase 2 se definen en forma de propuestas
Cada propuestea debe de contener:
- Subpropuesta de AH
- Subpropuesta de ESP
- Subpropuesta de IPComp
- Al mimsmo tiempo, atributos necesarios como: longitud de la llave, tiempo de vida, etc