Historia del IPsec.

Historia del IPsec

Como muestra el diagrama de arriba, hay tres principales protocolos utilizados por IPsec: IKE, AH y ESP. IKE proporciona autenticación y el intercambio de claves, y AH y ESP se utilizan para enviar los datos a través de la conexión VPN. Algunas implementaciones antiguas utilizan IPSec "manual" conexiones que no requieren el uso de IKE. Sin embargo, éstos se han quedado obsoletas y todos los sistemas modernos de IPsec utilizará IKE. De estos tres protocolos, IKE es de lejos el más complejo. En este documento sólo se preocupan por el protocolo IKE, por lo que no cubriremos AH o ESP adelante.

La utilización de IKE para autenticar e intercambiar material clave para una conexión ESP o AH es un proceso de dos fases. Fase-1 autentica a los compañeros y establece un canal seguro (llamado IKE SA) para la Fase-2, que negocia el modo IPsec y establece un canal seguro para el tráfico AH o ESP denominado SA IPsec.

Fase-1 puede funcionar en uno de dos modos: o bien el modo principal o modo dinámico, mientras que la Fase-2 sólo tiene un modo único llamado Modo Rápido. Al probar IPsec VPN sistemas que se ocupará principalmente de IKE Fase-1, Fase-2 sólo se puede acceder tras la autenticación exitosa. Para el resto de este documento, sólo se va a considerar IKE Fase-1.

Modo principal es el estándar de la fase-1 modo, y todas las implementaciones de IKE deben apoyarlo. Modo principal ofrece protección de identidad por no pasar las identidades hasta que el canal está codificado, y también evita algunos ataques de denegación de servicio mediante la realización de una prueba de verificación liveness antes de emprender el costoso Diffie-Hellman exponenciación.

Modo Agresivo es una opción Fase-1 de modo, que no todas las implementaciones de apoyo. Es un intercambio sencillo, requiriendo menos paquetes, pero es menos flexible que el modo principal y también tiene una serie de debilidades de seguridad. El uso principal de modo agresivo en la práctica es permitir el uso de la Pre-Shared Key autenticación para soluciones de acceso remoto. Debido a la forma en que se calcula el material de claves, no es posible utilizar el modo principal con la autenticación PSK, a menos que la dirección IP del iniciador se conoce de antemano (el cual no es normalmente el caso en una situación de acceso remoto).

Los siguientes RFC IPsec se refieren a:

RFC 2409 Internet Key Exchange (IKE)

RFC 2408 Internet Security Association and Key Management Protocol (ISAKMP)

RFC 2407 El Dominio de Internet IP de Interpretación de Seguridad ISAKMP

RFC 2406 IP encapsulante de Seguridad de carga útil (ESP)

RFC 2402 cabecera de autenticación IP

Vamos a hacer referencia a ellas en este documento, especialmente para los dos primeros que describen el protocolo IKE, y la estructura del paquete ISAKMP.

IPsec VPN descubrimiento

IPsec servidores VPN generalmente no será detectado por un análisis de puertos. Esto se debe a que no se escucha ningún puerto TCP, por lo que un puerto TCP scan no los encontrará. Lo que es más, no suelen enviar mensajes ICMP inalcanzables, por lo que un escaneo de puertos UDP no recogerá IKE en el puerto 500 (el puerto estándar para este tipo de conexiones) y un exploración IP en bruto no recogerá ESP o AH con protocolos IP 50 y 51. Además, las RFC IPsec especificar que los paquetes de formato incorrecto debe ser ignorado, así que enviar basura aleatoria al puerto UDP 500 o protocolos IP 50 y 51 normalmente no provoca una respuesta tampoco.

La manera eficaz de detectar los sistemas IPsec VPN es el envío de un paquete IKE con el formato correcto para cada uno de los sistemas que desea comprobar y visualizar cualquier respuesta IKE que se reciben. Este método es capaz de

...