Москва
+7-929-527-81-33
Вологда
+7-921-234-45-78
Вопрос юристу онлайн Юридическая компания ЛЕГАС Вконтакте

Protección de conexión.

  • Печать
Обновлено 10.10.2025 06:14

Para establecer una conexión segura, ambos participantes de la sesión deben poder negociar rápidamente los parámetros de seguridad, como los algoritmos de autenticación y las claves. IPSec Admite dos tipos de esquemas de gestión de claves que permiten a los participantes negociar los parámetros de la sesión.

Con la versión actual de IP, IPv4, se puede usar Internet Secure Association Key Management Protocol (ISAKMP) o Simple Key Management for Internet Protocol.

Título AH.

El encabezado de autenticación opcional (ah) es un encabezado de autenticación común y se encuentra más comúnmente entre el encabezado principal del paquete IP y el campo de datos. La presencia de este encabezado no afecta el proceso de transmisión de información de transporte y niveles superiores. El propósito principal y único de AH es proporcionar protección contra ataques asociados con cambios no autorizados en el contenido del paquete, incluida la suplantación de la dirección de origen de la capa de red. Los protocolos de nivel superior deben modificarse para verificar la autenticidad de los datos recibidos.

Considere los valores de cada uno de los campos dados.

Next Header (8 bits) - tipo de encabezado de protocolo que viene después del encabezado AH. A través de este campo, el módulo IP-sec receptivo aprende sobre el protocolo protegido de nivel superior. Los valores de este campo para diferentes protocolos se pueden ver en RFC 1700.

Payload Len (8 bits)-este campo determina el Tamaño total de un encabezado en palabras de 32 bits menos 2. Aun así, cuando se usa IPv6, La longitud del encabezado debe ser un múltiplo de 8 bytes.

Reserved (16 bits – - reservado. Se rellena con ceros.

Security Parameters Index (32 bits) - índice de parámetros de seguridad. El valor de este campo, junto con la dirección IP del destinatario y el protocolo de seguridad (en-Protocol), define de forma única una conexión virtual segura (SA) para este paquete. Rango de valores SPI 1...255 reservado por la IANA.

Sequence Number (32 bits) - número secuencial. Sirve para proteger contra la retransmisión. El campo contiene un valor de parámetro monótonamente creciente. Si bien el destinatario puede optar por no recibir el Servicio de protección de reenvío de paquetes, es obligatorio y siempre está presente en el encabezado AH. El módulo de transmisión IPsec siempre usa este campo, pero el receptor puede no procesarlo.

Integrity Check Value-suma de comprobación. Debe ser un múltiplo de 8 bytes para IPv6 y 4 bytes para IPv4.

El protocolo AH se utiliza para la autenticación, es decir, para confirmar que nos estamos comunicando exactamente con quién suponemos que estamos y que los datos que recibimos no están distorsionados en la transmisión.

Título ESP.

Cuando se utiliza la encapsulación de datos cifrados, el encabezado ESP es el último de una serie de encabezados opcionales "visibles" en el paquete. Dado que el objetivo principal de ESP es garantizar la privacidad de los datos, diferentes tipos de información pueden requerir el uso de algoritmos de cifrado significativamente diferentes. Por esta razón, el formato ESP puede sufrir cambios significativos dependiendo de los algoritmos criptográficos utilizados. Sin embargo, se pueden distinguir los siguientes campos obligatorios: SPI, que indica el contexto de seguridad, y Sequence Number Field, que contiene el número de lote secuencial. El campo "ESP Authentication Data" (suma de comprobación) es opcional en el encabezado ESP. El destinatario del paquete ESP descifra el encabezado ESP y utiliza los parámetros y datos del algoritmo de cifrado aplicado para decodificar la información de la capa de transporte.

Security Parameters Index (32 bits) - índice de parámetros de seguridad. El valor de este campo, junto con la dirección IP del destinatario y el protocolo de seguridad (en-Protocol), define de forma única una conexión virtual segura (SA) para este paquete. Rango de valores SPI 1...255 está reservado por la IANA para uso posterior.

Sequence Number (32 bits) - número secuencial. Sirve para proteger contra la retransmisión. El campo contiene un valor de parámetro monótonamente creciente. A pesar de que el destinatario puede rechazar el Servicio de protección contra reenvío de paquetes, siempre está presente en el encabezado AH. El remitente (el módulo de transmisión IPsec) siempre debe usar este campo, pero es posible que el receptor no necesite procesarlo.

Payload data (variable) - este campo contiene datos de acuerdo con el campo "Next Header". Este campo es obligatorio y consta de un número entero de bytes. Si el algoritmo que se utiliza para cifrar este campo requiere datos para sincronizar los procesos criptográficos (por ejemplo, vector de inicialización - "Initialization Vector"), entonces este campo puede contener estos datos explícitamente.

Padding (0-255 octets) - suplemento. Es necesario, por ejemplo, para algoritmos que requieren que el texto sin formato sea un múltiplo de un cierto número de bytes, como el Tamaño de bloque para un cifrado de bloque.

Pad Length (8 bits) - Tamaño de relleno (en bytes).

Next Header (8 bits) - este campo determina el tipo de datos contenidos en el campo "Payload data".

Integrity Check Value-suma de comprobación. Debe ser un múltiplo de 8 bytes para IPv6 y 4 bytes para IPv4.

Hay dos modos de aplicación ESP y AH (así como sus combinaciones): transporte y túnel.

El modo de transporte se utiliza para cifrar un campo de datos de un paquete IP que contiene protocolos de capa de transporte (TCP, UDP, ICMP), que a su vez contiene información de servicios de aplicación. Un ejemplo de aplicación del modo de transporte es la transferencia de correo electrónico. Todos los nodos intermedios en la ruta del paquete desde el remitente hasta el receptor solo usan información de capa de red pública y posiblemente algunos encabezados de paquete opcionales (en IPv6). La desventaja del modo de transporte es la falta de mecanismos para ocultar el remitente y el destinatario específicos del paquete, así como la capacidad de realizar análisis de tráfico. El resultado de dicho análisis puede ser información sobre el volumen y las direcciones de transmisión de información, el área de interés de los suscriptores, la ubicación de los gerentes.

El modo túnel, a diferencia del modo de transporte, implica el cifrado de todo el paquete, incluido el encabezado de la capa de red. El modo túnel se utiliza si es necesario para ocultar el intercambio de información de la organización con el mundo exterior. Los campos de dirección del encabezado de la capa de red de un paquete que utiliza el modo túnel se rellenan con el firewall de la organización y no contienen información sobre el remitente específico del paquete. Al transferir información del mundo exterior a la red local de la organización, la dirección de red del firewall se utiliza como dirección de destino. Una vez que el firewall descifra el encabezado inicial de la capa de red, el paquete se envía al destinatario.

Security Associations.

Una asociación de seguridad (SA) es un tipo de conexión que proporciona servicios para garantizar la seguridad del tráfico que se transmite a través de ella. Por ejemplo, cuando dos computadoras en cada lado de la SA almacenan el modo, el protocolo, los algoritmos y las claves utilizados en la SA, entonces cada SA solo se aplica en una dirección. La comunicación bidireccional requiere dos SA. Cada SA implementa un modo y protocolo; por lo tanto, si se necesitan dos protocolos para un paquete (como AH y ESP), entonces se requieren dos SA.

Hoy en día, el protocolo IPSec es compatible con casi todos los dispositivos de red modernos. Por lo tanto, no daré ejemplos de configuración de este protocolo para el hardware de algún desarrollador en particular. En publicaciones anteriores, solo se proporcionó información teórica que permite comprender los principios de funcionamiento del protocolo. Si necesita configurar IPSec en modelos de hardware específicos, debe utilizar la documentación proporcionada por el desarrollador de hardware.

Habiendo considerado los fundamentos teóricos del funcionamiento, pasemos a la configuración práctica. Como ejemplo, configuraremos una política IPSec que prohíba todo el intercambio de datos a través de los protocolos HTTP y HTTPS y usaremos Windows 7. Vale la pena señalar que en el caso de usar el sistema operativo del servidor Windows 2008, pueden diferir, pero muy ligeramente.

Por lo tanto, abra la consola MMC (icono de Windows – Ejecutar – mmc).

En el menú que aparece, seleccione Consola y, a continuación, Agregue o elimine el complemento. En el cuadro de diálogo que se abre, también haga clic en Agregar, seleccione Administrar política de seguridad IP de la lista que se abre.

En el cuadro de diálogo de selección de equipo que aparece, especifique el equipo Local. Cerramos las ventanas haciendo clic en Finalizar, Cerrar, aceptar. ahora en el panel izquierdo de la consola, tendremos un nodo de Política de seguridad IP en'equipo Local'. Haga clic con el botón derecho en él y seleccione Administrar listas de filtros IP.

En el cuadro de diálogo que se abre, haga clic en el botón Agregar. Se abrirá otra ventana: la Lista de filtros. Para que en el futuro sea más fácil navegar por las listas de filtros, establezca un nombre para el nuevo filtro escribiendo

en el campo Nombre, por ejemplo, Trafic_nttr_nttrs. Haga clic en el botón Agregar para comenzar a crear el filtro.

En la segunda página puede especificar una descripción del filtro. Para que no se confunda: un filtro puede consistir en muchos otros. Como indicamos en el paso anterior en la descripción de Trafic_nttr_nttrs, ahora crearemos dos filtros secuencialmente: uno para HTTP y el otro para HTTPS. El filtro resultante combinará estos dos filtros. Por lo tanto, especifique en el campo de descripción HTTP. La casilla de verificación Reflejada se deja activada : esto extenderá las reglas de filtro tanto en la dirección de reenvío de paquetes como en la dirección inversa con los mismos parámetros. Haga Clic En Siguiente.

Ahora debe especificar la dirección de origen de los paquetes IP. Como se puede ver en la imagen, la posibilidad de elegir una dirección es bastante amplia. Ahora indicaremos Mi dirección IP y haremos clic en Siguiente. En la siguiente ventana, establezca la dirección de destino. Seleccione Cualquier dirección IP, haga clic en Siguiente. Ahora debe especificar el tipo de protocolo. Seleccione de la lista TCP. Adelante, establezca los números de puerto.

El interruptor superior deja los Paquetes de cualquier puerto en la posición, y el modo de paquetes de este puerto se activa en La parte inferior y en el campo ingresamos el valor del puerto HTTP-80. Haga clic en Finalizar, cierre el asistente. Ahora, una vez más, haga clic en el botón Agregar y realice todas las operaciones anteriores nuevamente, pero ya especificando el valor del puerto 443 (para HTTPS). Las dos reglas de filtrado de paquetes creadas deben estar en la lista de la ventana inferior.

Haga clic en aceptar. nuestro Filtro está listo, pero ahora es necesario determinar las acciones que producirá. Cambie a la pestaña Administrar acciones de filtro y haga clic en el botón Agregar. Se abrirá de nuevo el diálogo del asistente, haga clic en Siguiente. Especifique un nombre, por ejemplo, Block, siga adelante. Como acción, seleccione el botón Bloquear, haga clic en Siguiente y Listo. Se crea un filtro, se define una acción para él, solo tenemos que crear una política y asignarla. En la ventana de la consola MMC, haga clic con el botón derecho en el nodo Directiva de seguridad IP y seleccione Crear directiva de seguridad IP. En la ventana del asistente que se abre, haga clic en Siguiente, luego especifique un nombre para la política, por ejemplo, Politika_nttr_nttrs, haga clic en Siguiente. Desactive la casilla de verificación Usar regla predeterminada, haga clic en Siguiente y Listo. En la ventana de propiedades de la directiva, haga clic en el botón Agregar.

Haga clic en Siguiente, deje el interruptor en la posición Esta regla no define el túnel, continúe. Tipo de red: especifique Todas las conexiones de red, haga clic en Siguiente. Ahora debe seleccionar un filtro de la lista.

Seleccionamos el filtro trafik_nttr_nttrs creado Por nosotros (el punto en el círculo debe aparecer a la izquierda), hacemos clic en Siguiente. De la misma manera, seleccione la acción para el filtro - Politika_nttr_nttrs, haga clic en Siguiente y Listo. Ahora, en el panel derecho de la consola de MMC, aparecerá la política creada con el nombre de Politica_nttr_nttrs.

Todo lo que queda por hacer es nombrarla. Para hacer esto, haga clic derecho en el nombre y seleccione el comando Asignar. Para verificar, queda por iniciar el navegador. Si se ha hecho bien, la imagen debe ser así.

Como resultado de las acciones anteriores, hemos Prohibido el uso del tráfico web. Ahora agregaremos un filtro que permitirá conexiones a algunos nodos de Internet. Por ejemplo, permitiremos que el navegador navegue

nodo www.microsoft.com. para hacer esto, en nuestra consola MMC, haga doble clic en el nombre de la política politica_nttrs_nttrs. En la ventana de propiedades, haga clic en el botón Agregar, luego haga doble clic en el filtro Trafik_nttr_nttrs. En la pestaña Lista de filtros, haga clic en el botón Agregar. Especifique un nombre para el nuevo filtro, por ejemplo www.microsoft.com, haga clic en Agregar, a Continuación, deje mi dirección IP como fuente de paquetes, haga clic en Siguiente. Seleccione un nombre DNS Específico como dirección de destino, y en El campo nombre de host escriba www.microsoft.com. haga Clic en Siguiente.

Aparece una advertencia que indica que en el filtro en lugar del nombre DNS www.microsoft.com se utilizará la dirección IP 207.46.197.32. Estamos de acuerdo, haciendo clic en Sí, luego especifique el tipo de protocolo - TCP, seleccione el interruptor En este puerto y especifique su número - 80. Ahora definimos la acción del filtro : vamos a la pestaña del mismo nombre y seleccionamos la opción Permitir.

Ahora el filtro consta de dos filtros: uno prohíbe todo el tráfico http, el otro permite conexiones a una dirección IP específica.

Este ejemplo también muestra una diferencia significativa entre el uso de un firewall "normal" y el filtrado con IPSec: el uso de IPSec no permite establecer el orden o la prioridad del filtro. Sin embargo, seguirá trabajando. Queda por cerrar todos los cuadros de diálogo y verificarlo.

Ahora, al pasar a www.microsoft.com (¡y solo él!) el navegador debe Mostrar el contenido de este nodo. Tenga en cuenta que los recursos ubicados en otro host (por ejemplo, banners publicitarios) no se muestran, sino que También se filtran mediante la política IPSec aplicada.

Del mismo modo, puede crear sus propios filtros necesarios y aplicarlos.

Oleg Petukhov, abogado en el campo del derecho internacional y la protección de datos personales, especialista en información seguridad, protección de la información y datos personales.

Canal de Telegram: https://t.me/protecciondelainformacion1

Grupo de Telegramas: https://t.me/protecciondelainformacion2

Sitio web: https://legascom.ru

Correo electrónico: online@legascom.ru

#proteccióndelainformación #seguridaddelainformación

 

 

 

 
Юридические услуги
Яндекс.Метрика
Представительство в суде и защита прав, досудебное урегулирование споров, медиация, абонентское сопровождение организаций, кадровое делопроизводство, трудовое право, восстановление на работе и выплата заработной платы, регистрация и ликвидация предприятий, земельные споры, споры связанные с недвижимостью, сопровождение сделок с недвижимостью, бесплатная юридическая консультация. Квалифицированный юрист Вологда. Квалифицированный адвокат Вологда. Квалифицированный юрист Москва. Квалифицированный адвокат Москва. Квалифицированный юрист Санкт-Петербург. Квалифицированный адвокат Санкт-Петербург. Суд по интеллектуальным правам. Европейский суд по правам человека. Апелляционная жалоба. Апелляционная жалоба в Московский городской суд. Апелляционная жалоба в Санкт-Петербургский городской суд. Санкт-Петербургский городской суд. Московский городской суд. Верховный суд. Кассационная жалоба. Кассационная жалоба в Верховный суд. Оценка перспектив обращения в Европейский суд по правам человека. Подготовка жалоб в Европейский суд по правам человека. ЕСПЧ. Оценка перспектив обращения в ЕСПЧ. Подготовка жалоб в ЕСПЧ. Жалоба ЕСПЧ. Жалоба в ЕСПЧ. Адвокат ЕСПЧ. Юрист ЕСПЧ. Адвокат Европейский суд по правам человека. Юрист Европейский суд по правам человека. Комитет ООН по правам человека. Подготовка жалоб в Комитет ООН по правам человека. Подготовка жалоб в Комитет ООН по правам человека. Оценка перспектив обращения в Комитет ООН по правам человека. Жалоба Комитет ООН по правам человека. Адвокат Комитет ООН по правам человека. Юрист Комитет ООН по правам человека. Арбитражный суд города Москвы. Арбитражный суд Московской области. Арбитражный суд города Санкт-Петербурга и Ленинградской области. Арбитражный суд Вологодской области. Девятый апелляционный арбитражный суд. Десятый апелляционный арбитражный суд. Тринадцатый апелляционный арбитражный суд. Четырнадцатый арбитражный апелляционный суд. Арбитражный суд Московского округа. Арбитражный суд Северо-Западного округа. Юрист Верховный Суд. Адвокат Верховный Суд. Юрист Верховный Суд Российской Федерации. Адвокат Верховный Суд Российской Федерации. Юрист Верховный Суд РФ. Адвокат Верховный Суд РФ. Юрист Вологодский областной суд. Адвокат Вологодский областной суд. Юрист Ленинградский областной суд. Адвокат Ленинградский областной суд. Юрист Сантк-Петербургский городской суд. Адвокат Санкт-Петербургский городской суд. Юрист Московский областной суд. Адвокат Московский областной суд. Юрист Московский городской суд. Адвокат Московский городской суд. Реновация Москва. Реновация в Москве. Юрист реновация Москва. Юрист реновация в Москве. Адвокат реновация Москва. Адвокат реновация в Москве.