Protocolo de seguridad en IPSec en Routers Huawei Destacado

Última respuesta jun. 14, 2019 17:01:02 77 3 1 1

IPSec utiliza dos protocolos de seguridad, el encabezado de autenticación (Authentication Header AH) y la carga de seguridad de encapsulación (Encapsulating Security Payload ESP), para transmitir y encapsular datos. Los protocolos de seguridad proporcionan servicios de seguridad tales como autenticación y cifrado.

 

AH

 

AH es un protocolo de capa de transporte basado en IP con el número de protocolo 51. Según el protocolo AH, se adjunta un encabezado AH al encabezado IP estándar en cada paquete, como se muestra en el Modo de encapsulación. El remitente realiza el cálculo de hash en los paquetes y la clave de autenticación. Cuando los paquetes que llevan el resultado del cálculo llegan al receptor, el receptor también realiza el cálculo de hash y compara el resultado del cálculo con el resultado del cálculo recibido. Cualquier cambio en los datos durante la transmisión invalidará el resultado del cálculo. AH proporciona autenticación de origen de datos y verificación de integridad de datos de esta manera. Se realiza una comprobación de integridad en un paquete IP completo.


164307ci0z0oin0z6ziydn.png?image.png

Formato de encabezado de AH 


 

Campo

Longitud

Descripción

Next Header

8 bits

Este campo identifica el tipo de carga útil que sigue al encabezado AH. En el modo de transporte, el campo Next Header es el número del protocolo de capa superior protegido (TCP o UDP) o ESP. En el modo túnel, el campo Next Header es el número del protocolo IP o ESP.

 

NOTA:

Cuando se utilizan AH y ESP, el siguiente encabezado que sigue a un encabezado AH es un encabezado ESP.

Payload Length

8 bits

El valor de este campo es la longitud del paquete AH en palabras de 32 bits menos 2. El valor predeterminado es 4.

Reserved

16 bits

Este campo está reservado y por defecto es 0.

SPI

32 bits

Este campo identifica de forma exclusiva una asociación de seguridad IPSec (SA).

Sequence Number

32 bits

Este campo es un contador que aumenta monótonamente desde 1. Identifica de forma única un paquete para evitar ataques de repetición.

Authentication Data

Múltiplo integral de 32 bits. Es de 96 bits en casos comunes.

Este campo contiene el valor de comprobación de integridad (ICV) y el receptor lo utiliza para verificar la integridad de los datos. Los algoritmos de autenticación incluye****5, SHA1 y SHA2.

 

NOTA:

Los algoritmos de autenticació****5 y SHA1 tienen riesgos de seguridad. Se recomienda el algoritmo SHA2.

Descripción de los campos en un encabezado AH

 

ESP

 

ESP es un protocolo de capa de transporte basado en IP, con el número de protocolo 50. De acuerdo con el protocolo ESP, se adjunta un encabezado ESP al encabezado IP estándar en cada paquete, y se adjuntan un remolque ESP y datos de autenticación ESP a cada paquete, como se muestra en el modo de encapsulación. A diferencia de AH, ESP encripta la carga útil válida y luego la encapsula en un paquete para garantizar la confidencialidad de los datos. Sin embargo, ESP no protege un encabezado de IP.


164333l5d2000p120h3eor.png?image.png

Formato de encabezado de ESP

 

Campo

Longitud

Descripción

SPI

32 bits

Este campo identifica de forma exclusiva una SA de IPSec.

Sequence Number

32 bits

Este campo es un contador que aumenta monótonamente desde 1. Identifica de forma única un paquete para evitar ataques de repetición.

Payload Data

-           

Este campo contiene datos de longitud variable identificados por el campo Next Header.

Padding

-           

Este campo extiende el tamaño de un encabezado ESP. La longitud del campo de Padding depende de la longitud de Payload Data y del algoritmo. Si la longitud de texto sin formato del paquete que se va a cifrar no cumple con el algoritmo de cifrado, se utiliza el campo Padding.

Pad Length

8 bits

Este campo especifica la longitud del campo Padding. El valor 0 indica que no hay Padding.

Next Header

8 bits

Este campo identifica el tipo de carga útil que sigue al encabezado ESP. En el modo de transporte, el campo Next Header es el número del protocolo de capa superior protegido (TCP o UDP). En el modo túnel, el campo Next Header es el número de protocolo IP.

Authentication Data

Múltiplo integral de 32 bits. Es de 96 bits en casos comunes.

Este campo contiene el valor de comprobación de integridad (ICV) y el receptor lo utiliza para verificar la integridad de los datos. Algoritmos de autenticación que son los mismos que los de AH.

La función de autenticación de ESP es opcional. Si la verificación de datos está habilitada, se agrega un valor ICV a los datos cifrados.

Descripción de los campos en un encabezado ESP

 

De acuerdo con la siguiente tabla, AH no proporciona cifrado de datos y ESP no verifica un encabezado de IP. Por lo tanto, use AH y ESP cuando se requiera alta seguridad.

 

Característica de seguridad

AH

ESP

Número de protocolo

51

50

Comprobación de integridad de datos

Compatible (verificando todo el paquete IP)

Soportado (no verificando el encabezado IP)

Autenticación de origen de datos

Soportada

Soportada

Cifrado de datos

No soportada

Soportada

Anti-repetición

Soportada

Soportada

IPSec NAT-T (NAT transversal)

No soportada

Soportada

Comparación entre AH y ESP

  • x
  • convención:

HAzcanio Publicado 2019-6-14 16:48:48 Útil(1) Útil(1)
Qué tal @VictorSaa:

Qué publicación tan interesante.

Me gustaría que me despejaras una duda que me surgió: ¿el protocolo IPSec es el que se ocupa para crear redes privadas virtuales (VPN)? O me estoy confundiendo.

Saludos!
  • x
  • convención:

Atentamente,

Héctor R. Azcanio
VictorSaa Admin Publicado 2019-6-14 17:00:57 Útil(1) Útil(1)
Publicado por HAzcanio a las 2019-06-14 02:48 Qué tal @VictorSaa:Qué publicación tan interesante. Me gustaría que me despejaras una duda que m ...
En efecto, es utilizado para esto.

Saludos.
  • x
  • convención:

Mexicano, con más de 10 años de experiencia en el ámbito de Redes y TICs en general y más de dos dentro de Huawei, en donde cuento con doble certificación HCIP (Routing and Switching y WLAN), actualmente encargado de ayudarlos con sus dudas y comentarios dentro de la comunidad.
Gustavo.HdezF Moderator Publicado 2019-6-14 17:01:02 Útil(1) Útil(1)
Hola. La claridad en la explicación de estos protocolos y la utilidad de estos ha despertado mi interés sobre la seguridad informática. Por favor sigue compartiendo información como esta que estoy seguro que los miembros del foro encontraran muy útil. Felicidades. Saludos.
  • x
  • convención:

Ingeniero en Comunicaciones y Electrónica con 20 años de experiencia en el área de las telecomunicaciones para voz y datos, comparto mi experiencia dando clases en la Universidad Politécnica de Querétaro.

Responder

Responder
Debe iniciar sesión para responder la publicación Inicio de sesi | Registrarse

Aviso: Para garantizar sus legítimos derechos e intereses, la comunidad y los terceros no publicarán contenido que pueda generar riesgos legales a las partes, por ejemplo, pornografía, contenido político, contenido sobre juego, consumo y tráfico de drogas, así como contenido que viole los derechos de propiedad intelectual de terceros, por ejemplo, secretos comerciales, marcas, derechos de autor, patentes y privacidad personal. No comparta su cuenta ni su contraseña con terceros. Todas las operaciones realizadas usando su cuenta se considerarán como sus acciones y todas las consecuencias que estas acciones generen serán responsabilidad suya. Para obtener información detallada, consulte la “ Política de privacidad.”
Si el botón para adjuntar no está disponible, actualice Adobe Flash Player con la versión más reciente

¡Ingresa y disfruta de todos los beneficios para los miembros!

Aterrizaje
Respuesta rápida Desplácese hasta arriba