miércoles, 24 de septiembre de 2008

Proteccion de tráfico entre dos sistemas con IPsec

En este post vamos a hablar sobre la Proteccion de trafico entre dos sistemas con IPsec....

Este procedimiento de configuración es de la siguiente manera:

1.
- Los dos sistemas se denominan enigma y partym.
- Cada sistema tiene dos direcciones, una dirección IPv4 y otra IPv6.
- Cada sistema invoca la protección AH con el algoritmo MD5, que requiere una clave de 128 bits.
- Cada sistema invoca protecciones ESP con el algoritmo 3DES, que requiere una clave de 192 bits.
- Cada sistema utiliza asociaciones de seguridad compartidas.
- Con las asociaciones de seguridad (SA) compartidas, sólo se necesita un par de SA para proteger los dos sistemas.

2. En cada sistema, agregue entradas de host.

En un sistema que se ejecute en una versión anterior a Solaris 10 8/07, agregue entradas IPv4 e IPv6 en el archivo /etc/inet/ipnodes. Las entradas de un sistema deben ser contiguas en el archivo.

Si está conectando sistemas sólo con direcciones IPv4, debe modificar el archivo /etc/inet/hosts. En este ejemplo, los sistemas que se conectan ejecutan una versión anterior de Solaris y utilizan direcciones IPv6.

a) En un sistema denominado enigma, escriba lo siguiente en el archivo ipnodes:

# Secure communication with partym
192.168.13.213 partym
2001::eeee:3333:3333 partym

b) En un sistema denominado partym, escriba lo siguiente en el archivo ipnodes:

# Secure communication with enigma
192.168.116.16 enigma
2001::aaaa:6666:6666 enigma

Este paso permite a las secuencias de arranque utilizar los nombres de sistema sin necesidad de depender de servicios de nombres no existentes.

3. En cada sistema, cree el archivo de directiva IPsec.

El nombre de archivo es /etc/inet/ipsecinit.conf. Para ver un ejemplo, consulte el archivo /etc/inet/ipsecinit.sample.

4. Agregue una entrada de directiva IPsec al archivo ipsecinit.conf.

a) En el sistema enigma, agregue la directiva siguiente:

{laddr enigma raddr partym} ipsec {auth_algs any encr_algs any sa shared}

b) En el sistema partym, agregue una directiva idéntica:

{laddr partym raddr enigma} ipsec {auth_algs any encr_algs any sa shared}

5. En cada sistema, agregue un par de SA IPsec entre los dos sistemas.

Puede configurar el intercambio de claves de Internet (IKE) para crear las SA automáticamente. También puede agregar las SA de forma manual.

Una asociación de seguridad (SA) IPsec especifica las propiedades de seguridad que se reconocen mediante hosts comunicados. Una única SA protege los datos en una dirección. La protección es para un solo host o para una dirección de grupo (multidifusión). Dado que la mayoría de la comunicación es de igual a igual o de cliente-servidor, debe haber dos SA para proteger el tráfico en ambas direcciones.
Los tres elementos siguientes identifican una SA IPsec de modo exclusivo:
- El protocolo de seguridad (AH o ESP)
- La dirección IP de destino
- El índice de parámetros de seguridad

a) Genere el material de claves para la SA. Necesita tres números aleatorios hexadecimales para el tráfico saliente y tres para el tráfico entrante.

Por tanto, un sistema necesita generar los siguientes números:

- Dos números aleatorios hexadecimales como valor para la palabra clave spi. Un número es para el tráfico saliente. Otro es para el tráfico entrante. Cada número puede tener hasta ocho caracteres de longitud.

- Dos números aleatorios hexadecimales para el algoritmo MD5 para AH. Cada número debe tener 32 caracteres de longitud. Un número es para dst enigma. Un número es para dst partym.

- Dos números aleatorios hexadecimales para el algoritmo 3DES para ESP. Para una clave de 192 bits, cada numero debe tener 48 caracteres de longitud. Un número es para dst enigma. Un número es para dst partym.

6. Rearranque cada sistema.

# init 6

7. Compruebe que los paquetes se estén protegiendo.

El ejemplo siguiente describe cómo implementar IPsec en un entorno de prueba. En un entorno de producción, es más seguro rearrancar que ejecutar el comando ipsecconf. Consulte las consideraciones de seguridad al final de este ejemplo.

a) Si ha utilizado IKE para crear material de claves, detenga y reinicie el daemon in.iked.

# pkill in.iked
# /usr/lib/inet/in.iked

b) Si ha agregado claves manualmente, utilice el comando ipseckey para agregar las SA a la base de datos.

# ipseckey -c -f /etc/inet/secret/ipseckeys

c) A continuación, active la directiva IPsec con el comando ipsecconf.

# ipsecconf -a /etc/inet/ipsecinit.conf

Estaremos publicando en el siguiente post mas informacion de los mecanismos de seguridad que se pueden implementar con IPV6......

jueves, 18 de septiembre de 2008

Procesos de Seguridad en una Implementacion IPV6

- La función de IPsec (IP architecture security, arquitectura de seguridad IP) posibilita la protección criptográfica de paquetes IPv6.

La arquitectura de seguridad IP (IPsec) ofrece protección criptográfica para los datagramas IP en paquetes de redes IPv6. IPsec protege los paquetes IP autenticándolos, cifrándolos o llevando a cabo ambas acciones. IPsec se lleva a cabo dentro del módulo IP, debajo de la capa de aplicación. Por tanto, una aplicación de Internet puede aprovechar IPsec aunque no esté configurada para el uso de IPsec. Cuando se utiliza correctamente, la directiva IPsec es una herramienta eficaz para proteger el tráfico de la red.

La protección IPsec implica cinco componentes principales:

1. Protocolos de seguridad:
Mecanismo de protección de datagramas IP. El encabezado de autenticación (AH) firma los paquetes IP y garantiza la integridad. El contenido del datagrama no está cifrado, pero el receptor tiene la seguridad de que el contenido del paquete no se ha modificado. El receptor también tiene la garantía de que los paquetes los ha enviado el remitente. La Encapsulating Security Payload (ESP) cifra los datos IP, con lo cual codifica el contenido durante la transmisión de paquetes. ESP también puede garantizar la integridad de los datos mediante una opción de algoritmo de autenticación.

2. Base de datos de asociaciones de seguridad (SADB):
La base de datos que asocia un protocolo de seguridad con una dirección de destino IP y un número de índice. El número de índice se denomina índice de parámetros de seguridad. Estos tres elementos (el protocolo de seguridad, la dirección de destino y el SPI) identifican de forma exclusiva a un paquete IPsec legítimo. La base de datos garantiza que el receptor reconozca un paquete protegido que llega a su destino. El receptor también utiliza información de la base de datos para descifrar la comunicación, verificar que los paquetes no se hayan modificado, volver a ensamblar los paquetes y entregarlos en su destino final.

Definicion:
índice de parámetros de seguridad:
Valor entero que indica la fila de la base de datos de asociaciones de seguridad (SDAB) que debe utilizar un destinatario para descifrar un paquete recibido.

3. Administración de claves:
La generación y distribución de claves para los algoritmos criptográficos y SPI.

4. Mecanismos de seguridad:
Los algoritmos de autenticación y cifrado que protegen los datos de los datagramas IP.

5. Base de datos de directivas de seguridad (SPD):
La base de datos que especifica el nivel de protección que se aplica a un paquete. SPD filtra el tráfico IP para determinar el modo en que se deben procesar los paquetes. Un paquete puede descartarse, transferirse sin codificar o protegerse con IPsec. Para los paquetes salientes, SPD y SADB determinan el nivel de protección que se aplicará. Para los paquetes entrantes, SPD permite determinar si el nivel de protección del paquete es aceptable. Si el paquete se protege con IPsec, SPD se consulta una vez descifrado y verificado el paquete.Al invocar IPsec, IPsec aplica los mecanismos de seguridad a los datagramas IP que se transfieren a la dirección de destino IP. El receptor utiliza la información de SADB para comprobar que los paquetes que llegan sean legítimos y descifrarlos. Las aplicaciones pueden invocar IPsec para aplicar mecanismos de seguridad a los datagramas IP por socket también.

Los sockets tienen un comportamiento distinto según el puerto:

- Los SA por socket modifican su entrada de puerto correspondiente en SPD.

- Además, si el socket de un puerto está conectado y posteriormente se aplica la directiva IPsec a ese puerto, el tráfico que utiliza ese socket no está protegido mediante IPsec.

....Posteriormente se agragaran post de algunas sintaxis que se maneja para IPsec y seguiremos viendo el tema de seguridad.........

viernes, 5 de septiembre de 2008

Planificacion de una Red IPV6

En este capitulo vamos a hablar de como implementar IPV6 en una red nueva o ya configurada, esto supone un importante esfuerzo de planificacion. En este Post se presentan las tareas principales imprescindibles para poder configurar IPV6. En el caso de redes ya configuradas, la implementación de IPV6 se debe establecer por fases. Los temas de este Post ayudan a implantar IPV6 en fases en una red, que solo es de IPV4.

Realice los siguiemtes pasos:

1. Preparación de la Topologia de Red para Admitir IPV6:

- El primer paso consiste en detectar que los dispositivos de red sean compatibles con IPV6.
Verifique que el hardware de la red se pueda actualizar a IPV6. Por ejemplo consulte la
documentación de los fabricantes sobre la compatibilidad con IPV6 respecto a los siguientes
tipos de hardware:
- Routers
-Servidores
-Servidores de seguridad
-Conmutadores

Una vez que ha comprobado que los dispositivos son compatibles:

2. Disponer de una ISP(Proveedor de Servicio de Internet) que admita IPV6:

- Compruebe que el ISP utiliza admita IPV6. De no ser asi, busque uno que sea compatible con
IPV6. Puede utilizar dos ISP, uno para IPV6 y otro para comunicaciones de IPV4.

3. Comprobar que las aplicaciones esten preparadas para funcionar con IPV6:

- Si el sitio implementa los siguientes servicios, asegurese de haber tomado las medidas
apropiadas en:

- Servidores de seguridad:

Al implementar IPv6 en una red ya configurada, debe tener la precaución de no poner en riesgo la seguridad del sitio. Durante la sucesivas fases en la implementación de IPv6, tenga en cuenta los siguientes aspectos relacionados con la seguridad:

- Los paquetes de IPv6 e IPv4 necesitan la misma cantidad de filtrado.
- A menudo, los paquetes de IPv6 pasan por un túnel a través de un servidor de seguridad. Por -lo tanto, debe aplicar cualquiera de las siguientes situaciones hipotéticas:

- Haga que el servidor de seguridad inspeccione el contenido en el túnel.
-Coloque un servidor de seguridad de IPv6 con reglas parecidas en el punto final del túnel del extremo opuesto.

- Determinados mecanismos de transición utilizan IPv6 en UDP a través de túneles de IPv4. Dichos mecanismos pueden resultar peligrosos al cortocircuitarse el servidor de seguridad.
- Los nodos de IPv6 son globalmente asequibles desde fuera de la red empresarial. Si la directiva de seguridad prohíbe el acceso público, debe establecer reglas más estrictas con relación al servidor de seguridad. Por ejemplo, podría configurar un servidor de seguridad con estado.

--- Posteriormente agregare mas post realacionados a este punto que me interesa que es la seguridad.