Conociendo el concepto básico de autenticación para IPSec utilizado en las VPN

50 0 0 0

Bienvenidos amigos del foro. Continuamos con las publicaciones sobre la tecnología VPN y en esta ocasión continuamos con la explicación de los conceptos básicos sobre IPSec. En esta publicación platicaremos sobre el proceso de autenticación.


La autenticación es una operación que realiza un receptor para verificar la identidad del remitente (autenticación de la fuente de origen) y si los datos han sido alterados durante la verificación de integridad de datos de transmisión. IPSec garantiza la fiabilidad de los datos mediante la autenticación de la fuente de origen y la verificación de integridad de datos juntos.


Aunque los datos cifrados solo se pueden descifrar utilizando la clave de cifrado original, no se puede probar que los datos descifrados sean los datos originales. Además, el cifrado y descifrado de datos consumen muchos recursos de la CPU, y los usuarios malintencionados pueden enviar paquetes de suplantación de identidad para consumir los recursos de la CPU. El Código de autenticación de mensajes de hash con clave o Keyed-Hash Message Authentication Code  (HMAC) compara las firmas digitales para verificar la integridad y autenticidad de los datos. Este proceso consume solo unos pocos recursos de CPU y es muy eficiente.Por lo tanto, IPSec usa HMAC para la autenticación.


El cifrado y la autenticación a menudo se usan juntos en el remitente de IPSec. El remitente encripta los paquetes IP, genera una firma digital durante la autenticación HMAC y luego envía los paquetes IP encriptados y la firma digital al receptor. La firma digital se incluye en el campo Integrity Check Value (ICV) en un encabezado AH o ESP. Para más detalles, vea Protocolo de seguridad. El receptor compara la firma digital recibida con la firma generada localmente para verificar la integridad y autenticidad de los datos en los paquetes IP recibidos. El receptor descarta los paquetes que fallan en la autenticación y descifra los que pasan la autenticación. La Figura 1 muestra el proceso de encriptación y autenticación HMAC.


Figura 1 Cifrado y autenticación HMAC


115019tiy9jzitj59ywywj.png?image.png


Al igual que una clave de cifrado, una clave de autenticación simétrica se puede configurar manualmente o se puede generar a través de la negociación automática de IKE.


Los algoritmos de autenticación comunes incluyen:


MD5

MD5 se define en el RFC 1321. Genera una firma de 128 bits basada en un mensaje de cualquier longitud.

MD5 es más rápido pero menos seguro que el Secure Hash Algorithm (SHA).


SHA1

SHA fue desarrollado por el Instituto Nacional de Estándares y Tecnología (NIST). SHA1 es una revisión de SHA y se publicó en 1994. Definido en el RFC 2404, SHA1 convierte un mensaje de una longitud inferior a 264 bits en un resumen de mensaje de 160 bits.

SHA1 es más lento pero más seguro que MD5. SHA1 genera una firma larga para evitar el descifrado de claves y descubre la clave compartida de manera eficiente.


SHA2

SHA2 es una mejora de SHA1. Tiene una longitud de clave más grande y es mucho más seguro que SHA1. SHA2 incluye SHA2-256, SHA2-384 y SHA2-512, con longitudes de clave de 256 bits, 384 bits y 512 bits, respectivamente. El algoritmo de autenticación con una clave más larga es más seguro pero más lento. En general, SHA2-256 puede cumplir con los requisitos de seguridad.


SM3

SM3 es un algoritmo comercial compilado por la Administración Nacional de Contraseñas de China. Se utiliza para verificar la firma digital, generar y verificar códigos de autenticación de mensajes y generar números aleatorios. Puede cumplir con los requisitos de seguridad de múltiples aplicaciones de contraseña.


AES-XCBC-MAC-96 es un tipo de algoritmo de autenticación de mensajes basado en AES y se describe en RFC 3566.


Los algoritmos tienen sus propias fortalezas y debilidades. MD5 es más rápido que SHA1, pero menos seguro. SHA2 o SM3 tiene una clave más larga que SHA1, lo que significa que SHA2 o SM3 es más difícil de vencer y, por lo tanto, más seguro.


Hemos concluido con la descripción de la autenticación utilizado para establecer una comunicación con IPSec, de momento aquí nos detendremos y en las próximas publicaciones seguiremos explicando los últimos conceptos básicos.


FIN


Comunidad Huawei Enterprise
https://forum.huawei.com/enterprise/es/forums


#ComunidadEnterprise


#OneHuawei

  • x
  • convención:

Comentar

Responder
Debe iniciar sesión para responder la publicación Inicio de sesión | Registrarse

Aviso Aviso: Para garantizar sus legítimos derechos e intereses, la comunidad y los terceros no publicarán contenido que pueda generar riesgos legales a las partes, por ejemplo, pornografía, contenido político, contenido sobre juego, consumo y tráfico de drogas, así como contenido que viole los derechos de propiedad intelectual de terceros, por ejemplo, secretos comerciales, marcas, derechos de autor, patentes y privacidad personal. No comparta su cuenta ni su contraseña con terceros. Todas las operaciones realizadas usando su cuenta se considerarán como sus acciones y todas las consecuencias que estas acciones generen serán responsabilidad suya. Para obtener información detallada, consulte la “ Política de privacidad.”
Si el botón para adjuntar no está disponible, actualice Adobe Flash Player con la versión más reciente
¡Ingresa y disfruta de todos los beneficios para los miembros!

¡Ingresa y disfruta de todos los beneficios para los miembros!

Aterrizaje