La cabecera AH mide 24 bytes. El primer byte es el campo Siguiente cabecera. Este campo especifica el protocolo de la siguiente cabecera. En modo túnel se encapsula un datagrama IP completo, por lo que el valor de este campo es 4. Al encapsular un datagrama TCP en modo transporte, el valor correspondiente es 6. El siguiente byte especifica la longitud del contenido del paquete. Este campo está seguido de dos bytes reservados.
Los siguientes 4 bytes especifican en Índice de Parámetro de Seguridad (SPI). El SPI especifica la asociación de seguridad (SA) a emplear para el desencapsulado del paquete. El Número de Secuencia de 32 bits protege frente a ataques por repetición. Finalmente, los últimos 96 bits almacenan el código de resumen para la autenticación de mensaje (HMAC). Este HMAC protege la integridad de los paquetes ya que sólo los miembros de la comunicación que conozcan la clave secreta pueden crear y comprobar HMACs.
Como el protocolo AH protege la cabecera IP incluyendo las partes inmutables de la cabecera IP como las direcciones IP, el protocolo AH no permite NAT. NAT (Network Address Translation - Traducción de direcciones de red, también conocido como Enmascaramiento de direcciones) reemplaza una dirección IP de la cabecera IP (normalmente la IP de origen) por una dirección IP diferente. Tras el intercambio, la HMAC ya no es válida. La extensión a IPsec NAT-transversal implementa métodos que evitan esta restricción.
-
Encapsulación Segura del Campo de Carga: ESP
El protocolo ESP esta definido en el RFC 2406, ESP proporciona uno o ambos servicios [14], autenticación y encriptación. Puede ser utilizado con o sin AH (cabecera d autenticación). Los RFC describen el soporte para únicamente dos algoritmos de encriptación (DES y encriptación nula) y para dos algoritmos de autenticación (MD5 y SHA).
Formato de la cabecera ESP
La Figura 1.19 muestra los campos de la cabecera ESP, los cuales son:
-
Initialization Vector.- campo de 64 bits, contiene un valor inicial necesario para preparar el estado inicial de los algoritmos.
-
Security Parameter Index (SPI).- campo de 32 bits con un numero aleatorio que identifica a la asociación de seguridad (SA).
-
Payload Data.- Campo de datos encriptados (carga útil) con el algoritmo criptográfico seleccionado.
-
Padding.- La mayoría de los algoritmos encriptación utilizados requiere que los datos de entrada formen un determinado numero de bloques completos y por esto se incluye un campo de longitud variable.
-
Pad Lenght.- campo de 8 bits con el número de bytes de padding que le presiden.
-
Next Header.- Campo de 8 bits con el código del siguiente protocolo de datos en el Playload Data.
Figura 1.19 Formato de la cabecera ESP
-
Métodos de Autenticación
Autenticación es el acto de establecimiento o confirmación de algo (o alguien) como auténtico, es decir que reclama hecho por, o sobre la cosa son verdadero. La autenticación de un objeto puede significar (pensar) la confirmación de su procedencia, mientras que el de una persona es autenticar que esa persona es quien dice ser realmente [15].
Los métodos de autenticación se suelen dividir en tres grandes categorías en función de lo que utilizan para la verificación de identidad: algo que el usuario sabe, algo que éste posee, y una característica física del usuario o un acto involuntario del mismo.
-
Sistemas basados en algo conocido: Contraseñas
El modelo de autenticación más básico consiste en decidir si un usuario es quien dice ser simplemente basándonos en una prueba de conocimiento, esa prueba de conocimiento no es más que una contraseña que en principio es secreta. En todos los esquemas de autenticación basados en contraseñas se cumple el mismo protocolo: las entidades (generalmente dos) que participan en la autenticación acuerdan una clave, clave que han de mantener en secreto si desean que la autenticación sea fiable. Cuando una de las partes desea autenticarse ante otra se limita a mostrarle su conocimiento de esa clave común, y si ésta es correcta se otorga el acceso a un recurso. Lo habitual es que existan unos roles preestablecidos, con una entidad activa que desea autenticarse y otra pasiva que admite o rechaza a la anterior.
Este esquema es muy frágil: basta con que una de las partes no mantenga la contraseña en secreto para que toda la seguridad del modelo se pierda; por ejemplo, si el usuario de una máquina Windows comparte su clave con un tercero, o si ese tercero consigue leerla y rompe su cifrado automáticamente esa persona puede autenticarse ante el sistema con éxito con la identidad de un usuario que no le corresponde.
Figura 1.20 Esquema basado en Contraseñas
-
Sistemas basados en algo poseído: Tarjetas Inteligentes
Desde un punto de vista formal una tarjeta inteligente (o smartcard) es un dispositivo de seguridad del tamaño de una tarjeta de crédito, resistente a la adulteración, que ofrece funciones para un almacenamiento seguro de información y también para el procesamiento de la misma en base a tecnología VLSI. En la práctica, las tarjetas inteligentes poseen un chip empotrado en la propia tarjeta que puede implementar un sistema de ficheros cifrado y funciones criptográficas, y además puede detectar activamente intentos no válidos de acceso a la información almacenada; este chip inteligente es el que las diferencia de las simples tarjetas de crédito, que solamente incorporan una banda magnética donde va almacenada cierta información del propietario de la tarjeta.
Dostları ilə paylaş: |