#LyX 2.3 created this file. For more info see http://www.lyx.org/ \lyxformat 544 \begin_document \begin_header \save_transient_properties true \origin unavailable \textclass book \begin_preamble \input{../defs} \end_preamble \use_default_options true \maintain_unincluded_children false \language spanish \language_package default \inputencoding auto \fontencoding global \font_roman "default" "default" \font_sans "default" "default" \font_typewriter "default" "default" \font_math "auto" "auto" \font_default_family default \use_non_tex_fonts false \font_sc false \font_osf false \font_sf_scale 100 100 \font_tt_scale 100 100 \use_microtype false \use_dash_ligatures true \graphics default \default_output_format default \output_sync 0 \bibtex_command default \index_command default \paperfontsize default \spacing single \use_hyperref false \papersize default \use_geometry false \use_package amsmath 1 \use_package amssymb 1 \use_package cancel 1 \use_package esint 1 \use_package mathdots 1 \use_package mathtools 1 \use_package mhchem 1 \use_package stackrel 1 \use_package stmaryrd 1 \use_package undertilde 1 \cite_engine basic \cite_engine_type default \biblio_style plain \use_bibtopic false \use_indices false \paperorientation portrait \suppress_date false \justification true \use_refstyle 1 \use_minted 0 \index Index \shortcut idx \color #008000 \end_index \secnumdepth 3 \tocdepth 3 \paragraph_separation indent \paragraph_indentation default \is_math_indent 0 \math_numbering_side default \quotes_style french \dynamic_quotes 0 \papercolumns 1 \papersides 1 \paperpagestyle default \tracking_changes false \output_changes false \html_math_output 0 \html_css_as_file 0 \html_be_strict false \end_header \begin_body \begin_layout Standard \series bold IPSec \series default es una extensión de IPv4 e IPv6 para proteger comunicaciones que funciona de forma transparente en redes existentes. Su arquitectura se especifica en el RFC 4301, que actualiza el 2401. Modos de operación: \end_layout \begin_layout Enumerate \series bold Transporte \series default : Se establece una sesión entre los dos extremos que encripta o autentica los datos del nivel de transporte. \end_layout \begin_layout Enumerate \series bold Túnel \series default : Se establece una sesión entre puertas de enlace de redes normalmente corporati vas, que encripta o autentica los datos del nivel de red y añade una cabecera IP que tiene como direcciones fuente y destino las de las puertas de enlace. \end_layout \begin_layout Standard Cada extremo tiene una \series bold SPD \series default ( \emph on Security Policy Database \emph default ), cuyas entradas contienen un nombre, direcciones IP remotas (una o varias direcciones, un rango o una subred), direcciones locales (mismo formato), el protocolo a nivel de transporte ( \emph on Next Layer Protocol \emph default ), puertos locales y remotos (uno o varios puertos o un comodín \family typewriter * \family default ) y la acción a realizar. \end_layout \begin_layout Standard También tiene una \series bold SAD \series default ( \emph on Security Association Database \emph default ) con \series bold SAs \series default ( \emph on Security Associations \emph default ), relaciones unidireccionales entre emisor y receptor que dotan de seguridad a un flujo de tráfico. Un SA está formado por un \series bold SPI \series default ( \emph on Security Parameters Index \emph default ), número de 32 bits seleccionado por el receptor que identifica la SA, una dirección IP de destino, un identificador del protocolo de seguridad (AH o ESP), algoritmos de cifrado y autenticación, vectores de inicialización, claves de autenticación y cifrado, tiempo de vida de las claves, tiempo de vida (intervalo de tiempo o número de bytes) tras el cual hay que renovar la SA, modo túnel o transporte, \emph on path MTU \emph default descubierto, contador de número de secuencia, número de secuencia máximo, ventana, etc. \end_layout \begin_layout Standard Al enviar un paquete, se busca en la SPD. Si no se encuentra una entrada correspondiente o la acción es descartar, se descarta. Si la acción es dejar pasar, se reenvía el paquete por IP. Si es proteger, se busca la entrada en la SAD para asegurar el paquete antes de enviarlo o se establece la SA. \end_layout \begin_layout Standard Al recibir un paquete, si es IPSec, se busca la entrada en la SAD para desencrip tar o autenticar el contenido antes de enviarlo a la capa superior, descartándol o si no se encuentra la entrada. En otro caso se busca en la SPD y, si la acción es dejar pasar, se envía a la capa superior, y de lo contrario se descarta. \end_layout \begin_layout Section IKE \end_layout \begin_layout Standard El \series bold \emph on Internet Key Exchange \series default \emph default ( \series bold IKE \series default ), con versión 1 en el RFC 2409 y versión 2 en el 7296, es el protocolo para establecer SAs entre un \series bold iniciador \series default y un \series bold contestador \series default : \end_layout \begin_layout Enumerate \family typewriter IKE_SA_INIT \family default : El iniciador envía al contestador un mensaje con la suite criptográfica (incluyendo si usar AH o ESP), una clave Diffie-Hellman y un número aleatorio. Este le responde con los mismos datos y una solicitud de certificado. \end_layout \begin_layout Enumerate \family typewriter IKE_AUTH \family default : El iniciador envía al contestador un mensaje con su identidad, información de autenticación, la suite criptográfica, las políticas de iniciador y contestador (por ejemplo, modo túnel o transporte) y, según se requiera, un certificado, una solicitud de certificado y la identidad de contestador que espera. El contestador le responde con los mismos campos y, según se requiera, un certificado. \end_layout \begin_layout Section ESP \end_layout \begin_layout Standard \series bold \emph on Encapsulating Security Payload \series default \emph default ( \series bold ESP \series default ), en el RFC 4303, que actualiza el 2406 y el 1827, proporciona confidencialidad ; opcionalmente integridad sin conexión (por paquete), con autenticación implícita de los datos de origen, y opcionalmente anti-reenvío mediante números de secuencia. Se identifica como protocolo IP 50 en el campo \emph on Protocol \emph default de IPv4 y el \emph on Next Header \emph default de IPv6. \end_layout \begin_layout Standard Formato: \end_layout \begin_layout Standard \begin_inset ERT status open \begin_layout Plain Layout \backslash soffsets \end_layout \end_inset \end_layout \begin_layout Standard \begin_inset Tabular \begin_inset Text \begin_layout Plain Layout \begin_inset ERT status open \begin_layout Plain Layout \backslash offset0{15} \end_layout \end_inset \end_layout \end_inset \begin_inset Text \begin_layout Plain Layout \begin_inset ERT status open \begin_layout Plain Layout \backslash offset{16}{23} \end_layout \end_inset \end_layout \end_inset \begin_inset Text \begin_layout Plain Layout \begin_inset ERT status open \begin_layout Plain Layout \backslash offset{24}{31} \end_layout \end_inset \end_layout \end_inset \begin_inset Text \begin_layout Plain Layout \series bold \emph on Security Parameters Index \series default \emph default ( \series bold SPI \series default ) \end_layout \end_inset \begin_inset Text \begin_layout Plain Layout \end_layout \end_inset \begin_inset Text \begin_layout Plain Layout \end_layout \end_inset \begin_inset Text \begin_layout Plain Layout Número de secuencia \end_layout \end_inset \begin_inset Text \begin_layout Plain Layout \end_layout \end_inset \begin_inset Text \begin_layout Plain Layout \end_layout \end_inset \begin_inset Text \begin_layout Plain Layout Datos encriptados \end_layout \end_inset \begin_inset Text \begin_layout Plain Layout \end_layout \end_inset \begin_inset Text \begin_layout Plain Layout \end_layout \end_inset \begin_inset Text \begin_layout Plain Layout \begin_inset Phantom HPhantom status open \begin_layout Plain Layout Padding (0–255 bytes) \end_layout \end_inset \begin_inset ERT status open \begin_layout Plain Layout \backslash hfill{} \end_layout \end_inset \begin_inset Formula $\vdots$ \end_inset \begin_inset ERT status open \begin_layout Plain Layout \backslash hfill{} \end_layout \end_inset Padding (0–255 bytes) \end_layout \end_inset \begin_inset Text \begin_layout Plain Layout \end_layout \end_inset \begin_inset Text \begin_layout Plain Layout \end_layout \end_inset \begin_inset Text \begin_layout Plain Layout \end_layout \end_inset \begin_inset Text \begin_layout Plain Layout Longitud padding \end_layout \end_inset \begin_inset Text \begin_layout Plain Layout \emph on Next header \end_layout \end_inset \begin_inset Text \begin_layout Plain Layout \series bold \emph on Integrity check value \series default \emph default ( \series bold ICV \series default ) \end_layout \end_inset \begin_inset Text \begin_layout Plain Layout \end_layout \end_inset \begin_inset Text \begin_layout Plain Layout \end_layout \end_inset \begin_inset Text \begin_layout Plain Layout \begin_inset Formula $\vdots$ \end_inset \end_layout \end_inset \begin_inset Text \begin_layout Plain Layout \end_layout \end_inset \begin_inset Text \begin_layout Plain Layout \end_layout \end_inset \end_inset \end_layout \begin_layout Standard \begin_inset ERT status open \begin_layout Plain Layout \backslash eoffsets \end_layout \end_inset \end_layout \begin_layout Standard El ICV, si aparece, proporciona la integridad de los datos encriptados. \end_layout \begin_layout Section AH \end_layout \begin_layout Standard \series bold \emph on Authentication Header \series default \emph default ( \series bold AH \series default ), en el RFC 4302, que actualiza el 2402 y el 1826, proporciona integridad mediante una cabecera inmediatamente después de la cabecera IP con SPI, número de secuencia e ICV, que autentica no solo la siguiente capa sino también campos seleccionados de la cabecera IP externa. \end_layout \end_body \end_document