IPSEC

Question 1

¿Por qué surge IPSEC?

Answer 1

Por lo inseguro que es el protocolo IP:

1. Source Spoofing
2. Replay Packets
3. No data integrity or confidentiality

Question 2

¿Cuáles son las metas de IPSEC? (3)

Answer 2

1. Verificas las fuentes de los paquetes IP
   
   1. Autenticación
2. Prevenir la repetición de paquetes viejos
3. Proteger la integridad y confidencialidad de los paquetes
   
   1. Integridad de datos / Encripción de datos

Question 3

¿En qué stuaciones provee seguridad IPSEC? (3)

Answer 3

1. Host to Host
2. Host to Gateway
3. Gateway to Gateway

Question 4

¿En qué modos opera IPSEC? (2)

Answer 4

1. Transport Mode (end to end)
2. Tunnel Mode (VPN)

Question 5

IPSEC es una colección de protocolos (RFC 2401), ¿cuáles son? (4)

Answer 5

1. Authentication Header (AH)(RFC 2402)
2. Encapsulating Security Payload (ESP)(RFC 2406)
3. Internet Key Exchange (IKE)(RFC 2409)
4. IP Payload Compression (IPComp)(RFC 3137)

Question 6

Describe al protocolo de Authentication Header (AH) (6)

Answer 6

1. Provee de autenticación de la fuente
   
   1. Protege en contra de spoofing
2. Provee integridad de los datos
3. Protege en contra de ataques de replay
4. No provee confidencialidad
5. Usa secuencias de 32 bits monótamente incrementadas para evitar ataques de replay
6. Usa algoritmos strong hash para protreger la integridad de la información

Question 7

Describe al Protocolo Encapsulating Secuity PayLoad (ESP) (2)

Answer 7

Ofrece lo que AH más:

1. Confidencialidad de los datos
2. Usa algoritmos de encripción simétrica para encriptar paquetes

Question 8

Describe el protocolo Internet Key Exchange (5)

Answer 8

1. Intercambia y negocia políticas de seguridad
2. Establece sesiones de seguridad
3. Intercambio de llaves
4. Administración de llaves
5. Se puede usar fuera de IPSEC

Question 9

Describe los acrónimos existentes dentro de IKE (4)

Answer 9

1. Sevurity Association (SA)
   
   1. Colección de atributos asociados a una conexión
   2. Es asimétrico
   3. Una SA para el tráfico interno y otra para el externo
2. Security Association Database (SADB)
   
   1. Una base de datis de SADB
3. Security Parameter Index (SPI)
   
   1. Index único para cada entrada a la SADB
   2. Identifica la SA asociada a un paquete
4. Security Policy Database
   
   1. Almacen las políticas establecidas para establecer SA’s

Question 10

¿Dentro de IPSEC, cómo funciona IKE?

Answer 10

1. Phase 1: negociar y establecer un canal auxiliar end to end
2. Phase 2: negociar y establecerpropios canales seguros

Ambos utilizan el intercambio de llave Diffie-Hellman para establecer una llave pública

Question 11

Describe el objetivo de la fase 1 del protocolo IKE

Answer 11

Objetivo: establecer un canal seguro entre dos end points

El canal provee características de seguridad básicas:

1. Autenticación de la fuente
2. Integridad y confidencialidad de la información
3. Protege ante ataques de replay

Question 12

Describe la razón de la fase 1 del protocolo IKE

Answer 12

Cada aplicación tiene diferentes requisitos de seguridad, pero todos necesitan negociar políticas e intercambiar llaves.

Por lo tanto provee características básicas de seguridad y permite a la aplicación establecer sesiones personalizadas

Question 13

Describe el intercambio en la fase 1 del protocolo IKE

Answer 13

Puede operar de dos modos:

1. Modo principal
   
   1. Seis mensaje en tres rondas de viaje
   2. Más opciones
2. Modo rápido
   
   1. Cuatro mensajes en dos rondas de viaje
   2. Menos opciones

Question 14

¿Cuales son las maneras para autenticar dentro del protocolo IKE? (4)

Answer 14

1. Firma Digital
2. Dos formas de autenticación con llave pública
3. Llave pre-compartida

Nota: IKE sí utiliza criptografía de llave pública para encriptar

Question 15

¿Cuál es el objetivo del protocolo IKE en su fase 2?

Answer 15

Establecer canales de seguridad personalizados entre dos end points

Question 16

¿Cómo es el intercambio del protocolo IKE en su fase 2?

Answer 16

Sólo existe un modo:

1. Quick Mode:
   
   1. Varios intercambios quick mode pueden ser multiplexados
   2. Genera SA’s para dos end points
   3. Puede utilizar el canal seguro establecido en la

Question 17

¿Que és IP Payload Compression? (2)

Answer 17

1. Usado para compresión
2. Puede ser especificado como parte de las políticas de IPSEC

Question 18

¿Cómo se define las políticas de IPSEC en la fase 1?

Answer 18

Las políticas de la fase 1 son definidas en términos de suites de protección

Cada suite debe de contener:

1. Algoritmo de encripción
2. Algoritmo de Hash
3. Método de autenticación
4. Grupo Diffie-Hellman

Cada suite podría contener:

1. Tiempo de vida

Question 19

¿Cómo se define las políticas de IPSEC en la fase 2?

Answer 19

Las póliticas en la fase 2 se definen en forma de propuestas

Cada propuestea debe de contener:

1. Subpropuesta de AH
2. Subpropuesta de ESP
3. Subpropuesta de IPComp
4. Al mimsmo tiempo, atributos necesarios como: longitud de la llave, tiempo de vida, etc