CONFIGURACION IPSEC IMPLEMENTADO EL PROTOCOLO AH EN MODO TRANSPORTE IPSEC IPsec (abreviatura de Internet Protocol security) es un conjunto de protocolos cuya función es asegurar las comunicaciones sobre el Protocolo de Internet (IP) autenticando y cifrando cada paquete IP en un flujo de datos. IPsec también incluye protocolos para el establecimiento establecimiento de clave de cifrado.
Funciona en dos Modos:
Modo transporte. En modo transporte, sólo la carga útil (los datos que se transfieren) del paquete IP es cifrada y/o autenticada. El enrutamiento permanece intacto, ya que no se modifica ni se cifra la cabecera IP; sin embargo, cuando se utiliza la cabecera de autenticación (AH), las direcciones IP no pueden ser traducidas, ya que eso invalidaría el hash. Las capas de transporte y aplicación están siempre aseguradas por un hash, de forma que no pueden ser modificadas de ninguna manera (por ejemplo traduciendo los números de puerto TCP TCP y UDP). UDP). El modo modo trans transpor porte te se utiliz utiliza a para para comunicaciones comunicaciones ordenador a ordenador .
Modo Túnel. modo túnel túnel, todo En el modo todo el paqu paquet ete e IP (dat (datos os más más cabe cabece cera rass del del mens mensaj aje) e) es cifr cifrad ado o y/o y/o auten autentic ticado ado.. Debe Debe ser ser ento entonce ncess encaps encapsula ulado do en un nuevo nuevo paque paquete te IP para para que funcio funcione ne el enrutamiento. El modo túnel se utiliza para comunicaciones red a red (túneles seguros entre routers, p.e. para VPNs) o comunicaciones ordenador a red u ordenador a ordenador sobre Internet. Protocolos IPsec. La familia de protocolos IPsec está formada por dos protocolos: el AH (Authentication Header Cabecera Cabecera de autentic autenticación ación) y el ESP Carga de seguri seguridad dad ESP (Enc (Encap apsu sula late ted d Secu Securi rity ty Paylo ayload ad - Carga encapsulada). Ambo Amboss son son prot protoc ocol olos os IP inde indepe pend ndie ient ntes es.. AH es el prot protoc ocol olo o IP 51 y ESP ESP el protocolo IP 50 (ver /etc/protocols). Auten Autentic ticaci ación ón de Cabece Cabecera ra (AH(AH- Authen Authentic ticati ation on Header Header): ): Permi ermite te que que las las part partes es que que se comunican mediante IP verifiquen que los datos no se hallan modificado durante la transmisión, y que proceden de la fuente original de la información. El AH proporciona integridad de datos sin conexión, la autenticación de los datos , y brinda protección contra ataques de repetición. El AH añade un bloque de código al paquete de datos que es el resultado de una función de "troceo" (trash (trash)) aplica aplicada da a todo todo el paquet paquete. e. Ha Hay y 2 campo camposs import importan ante tess en el encabe encabeza zamie mient nto o AH: -El indice de parámetros de seguridad (SPI) especifica el dispositivo receptor, que grupo de protocolos de seguridad esta usando el emisor. -El numero de secuencia se usa para impedir ataques de repetición, al impedir el procesamiento múltiple de un paquete. Encapsulamiento Encapsulamiento de seguridad en la carga de datos (ESP): Encripta la información para evitar que sea monitoreada por una entidad que no sea digna de confianza. Esta también puede usarse para autenticacion. autenticacion. Los esquemas de encripcion ESP mas usados son los siguientes: -Date Encryption Standard ( DES): Usa encriptacion de 56 bits. -Triple DES ( 3DES ): Usa una encriptacion de 168 bits pasando los datos a través del algoritmo DES
tres veces.
(Internett Key Key Exchang Exchange) e) significa IKE (Interne significa interc intercambio ambio de claves claves por Interne Internet. t. En la configur configuración ación podemo podemoss dete determi rminar nar si en el esta estable blecim cimien iento to de un túnel túnel VPN quere queremos mos utiliz utilizar ar IKE o una configuración manual de las claves. Lo más habitual es utilizar IKE.
En una una nego negoci ciaci ación ón IKE, IKE, es deci decirr, en el mome moment nto o en que que los los dos dos disp dispos osit itiv ivos os nego negocia cian n el intecambio de claves, hay dos fases : •
•
Primera Fase : Autetificación Antes de iniciar el intercambio de claves los dos dispositivos se aseguran que su interlocutor es quién dice ser. Segunda Fase ; Intercambio de claves Una vez los dispositivos se han autentificado entre si realizan el intercambio de claves.
En la prim primera era fase fase se esta establ blece ece el IKE IKE SA, SA, es deci decirr, se defin definen/ en/ac acur urda dan n los los parám parámetr etros os de intercambio, y en la segunda se utilizan esos parámetros para realizar el intercambio.
En este manual implementaremos IPsec con el protocolos AH en modo TRANSPORTE. 1-Para empezar debemos instalar el paquete correspondiente para Ipsec:
#apt-get install ipsec-tools
2- Vamos y modificamos el archivo de configuración principal que posee Ipsec y descomentamos las siguientes lineas; flush; spdflush; #nano /etc/ipsec-tools.conf
3- Generamos las claves aleatoriamente con la que trabajaran los 2 hosts, utilizaremos 16 bytes, o sea claves de 128 bits para AH. Creamos la clave para el host local: # dd if=/dev/random count =16 bs=1| xxd -ps
Creamos la clave para el host remoto: # dd if=/dev/random count =16 bs=1| xxd -ps
4-Editamos el archivo de configuración de Ipsec para ingresar las asociaciones de seguridad (AS) y las (SP) políticas de seguridad: #nano /etc/ipsec-tools.conf
Sintaxis: add (ip-local) (ip-destino) (protocolo) (SPI) (algoritmo) (clave-equipo local) add (ip-remota) (ip-local) (protocolo) (SPI) (algoritmo) (clave-equipo remoto)
El la linea add añade una asociación de seguridad a la SAD y requiere las direcciones direcciones IP de origen y destino, el protocolo IPsec ( ah), el SPI ( 0x200) y el algoritmo. El algoritmo de autenticación se especifica con -A (el de cifrado con -E). Tras el algoritmo se especifica la clave que anteriormente creamos que puede estar en formato hexadecimal con el prefijo 0x.
Debian da soporte a los siguientes algoritmos para AH y ESP: hmac-md5 y hmac-sha, des-cbc y 3des-cbc. spdadd añade políticas de seguridad a la SPD. Estas políticas definen qué paquetes se protegerán con IPsec y qué protocolos y claves emplear. spdadd 192.168.1.148 192.168.1.124 any -P out ipsec ah/transport//require; spdadd 192.168.1.124 192.168.1.148 any -P in ipsec ah/transport//require;
La linea requiere las direcciones IP origen y destino destino de los paquetes a proteger, proteger, el protocolo (y puerto) a proteger (any) y la política a emplear (-P). La política especifica la dirección (in/out), la acción a aplicar (ipsec/discard/none), el protocolo (ah/esp/ipcomp), el modo (transport) y el nivel (use/require). Este fichero de configuración debe crearse en los dos extremos que formarán parte de la comunicación Ipsec (en los 2 equipos). Mientras que el listado mostrado funciona sin ningún cambio en el sistema siste ma 192.168.1.148 (equipo 1), deberá modificarse ligeramente en 192.168.1.124 (equipo 2) para reflejar el cambio de dirección de los paquetes. La manera manera más sencilla de hacer esto es intercambiar las direcciones en las políticas de seguridad (en el equipo 2) : reemplazar -P in por -P out y viceversa. El resultado se muestra a continuación: En el segundo equipo cambiar: spdadd 192.168.1.148 192.168.1.124 any -P out ipsec ah/transport//require; spdadd 192.168.1.124 192.168.1.148 any -P in ipsec ah/transport//require;
por este: spdadd 192.168.1.148 192.168.1.124 any -P spdadd 192.168.1.124 192.168.1.148 any -P
in
ipsec ah/transport//require; ah/transport//require; ipsec ah/transport//require;
out
dejo una copia de mi archivo de configuración configuración (equipo local); no olvides cambiar el archivo en el equipo remoto por los anteriores parámetros que mencione: #cat /etc/ipsec-tools.conf #!/usr/sbin/setkey -f # NOTE: Do not use this file if you use racoon with racoon-tool # utility. racoon-tool will setup SAs and SPDs automatically using # /etc/racoon/racoon-tool.conf configuration. # ## Flush the SAD and SPD # flush; spdflush; ## Some sample SPDs for use racoon # # spdadd 10.10.100.1 10.10.100.2 any -P out ipsec # esp/transport//require; # # spdadd 10.10.100.2 10.10.100.1 any -P in ipsec # esp/transport//require; # #SA (asociaciones de Seguridad) para el equipo local add 192.168.1.148 192.168.1.124 ah 0x200 -A hmac-md5 0xce204a849feed253ddbe7363de67ab74; add 192.168.1.124 192.168.1.148 ah 0x300 -A hmac-md5 0xb98bd0b82649d03e7d0d166cab608657; #SP (Politicas de Seguridad) para el equipo local spdadd 192.168.1.148 192.168.1.124 any -P out ipsec ah/transport//require; spdadd 192.168.1.124 192.168.1.148 any -P in ipsec ah/transport//require;
copia archivo de configuración equipo 2: #cat /etc/ipsec-tools.conf #!/usr/sbin/setkey -f # NOTE: Do not use this file if you use racoon with racoon-tool # utility. racoon-tool will setup SAs and SPDs automatically using # /etc/racoon/racoon-tool.conf configuration. # ## Flush the SAD and SPD # flush; spdflush; ## Some sample SPDs for use racoon # # spdadd 10.10.100.1 10.10.100.2 any -P out ipsec # esp/transport//require; # # spdadd 10.10.100.2 10.10.100.1 any -P in ipsec # esp/transport//require; # #SA (asociaciones de Seguridad) para el equipo 2 add 192.168.1.148 192.168.1.124 ah 0x200 -A hmac-md5 0xce204a849feed253ddbe7363de67ab74; add 192.168.1.124 192.168.1.148 ah 0x300 -A hmac-md5 0xb98bd0b82649d03e7d0d166cab608657; #SP (Políticas de Seguridad) para el equipo 2 spdadd 192.168.1.148 192.168.1.124 any -P in ipsec ah/transport//require; spdadd 192.168.1.124 192.168.1.148 any -P out ipsec ah/transport//require;
5-Una vez que el fichero de configuración esté preparado en cada uno de los extremos de la comunicación, puede recargarse Ipsec empleando: # setkey -f /etc/ipsec-tools.conf .
Para comprobar el correcto funcionamiento damos: #setkey -D #setkey -DP
6- Instalamos tcpdump para capturar los paquetes, para visualizar el funcionamiento de Ipsec #apt-get install tcpdump
7- Ahora hacemos las prueba para saber si la configuración fue la adecuada para Ipsec con AH en modo transporte: transporte: #ping 192.168.1.124 |tcpdump |grep AH
Y podemos ver como no muestra muestra el protocolo AH en la comunicación.
REFERENCIAS: http://www.ipsec-howto.or http://www .ipsec-howto.org/spanish/x257.html g/spanish/x257.html http://es.wikipedia.org/wiki/IPsec http://bookalexa.blog http://booka lexa.blogspot.com/2008/05/que-es-ipse spot.com/2008/05/que-es-ipsec.html c.html