Knoppia

Wiki de Informática y otras historias

Herramientas de usuario

Herramientas del sitio

Estás aquí: Knoppia Wiki » Apuntes Master en CiberSeguridad (MUNICS) Inter-Universitario UDC y UVIGO » Seguridad en la comunicación - SCOM » Seguridad a nivel de red [L3] - IPSec
master_cs:secom:tm3_v2

Diferencias

Muestra las diferencias entre dos versiones de la página.

Enlace a la vista de comparación

Ambos lados, revisión anteriorRevisión previa
master_cs:secom:tm3_v2 [2026/05/27 23:33] thejuanvisumaster_cs:secom:tm3_v2 [2026/05/28 00:22] (actual) thejuanvisu
Línea 167: Línea 167:
     * Dead Peer Detection     * Dead Peer Detection
     * NAT keepalive     * NAT keepalive
 +
 +===== Ataque Anti Dos Resource-Clogging =====
 +Si el responder abre un state para cada intento de conexión, el atacante puede iniciar miles de conexiones con IPs falsas. Las Cookies aseguran que el responder es stateles hasta que el iniciador produce al menos 2 mensajes
 +  * El state del responder se almacena en una cookie y se envia al iniciador
 +  * Una vez el iniciador responde, la cookie se regenera y se compara con la cookie devuelta por el iniciador
 +  * Cuesta 2 mesajes extra en cada ejecución
 +
 +===== IPSec AUTH exchange =====
 +Para evitar ataques MitM de intercambios Diffie-hellman, las pauload AUTH se construyen usando el paquete enviado durante IKE_SA_INIT, el noce recibido del otro lado y la identidad de propiedad. 
 +  * El mecanismo es asimétrico, los extremos no necesitan ser iguales, solo el iniciador puede usar EAP y el respodner tiene que usar firma digital.
 +  * Peer Authorization Database (PAD): Enlaza SPD con IKE. Define una lista de peer IPSec autorizados, identificados por sus identidades IKE, que pueden establecer SA en una instancia local de SPD.
 +  * La autenticación de clave compartida es susceptible a ataques de fuerza bruta: Si el atacante spoofea el responder original en la fase IKE_SA_INT, puede obtener toda la información, salvo la clave compartida para obtener la payload AUTH
 +
 +===== IPSec y NAT =====
 +  * El Authentication Header (AH) y NAT son incompatibles. ESP en transporte, al principio, también.
 +    * Cambiando ladirección ip de origen requiere el cambio del checksum del encabecado TCP/UDP, el cual o esta cifrado o su modificación puede afectar al valor de revisión de integridad.
 +  * Para Tunnel Mode ESP un dispositivo Nat especial puede usar el SPI de los paquetes ESP para diferenciar flijos IPSec localizados tras el.
 +  * Para correr IPSec con un NAT normal, se usa NAT Transversal, que modifica los paquetes IPSec/IKE usando ecapsulación UDP con origen y destino en el puerto 4500.
 +  * IKE tiene un mencaniso de detección de NAT intriseca que realiza cambios del puerto 500 al 4500
master_cs/secom/tm3_v2.txt · Última modificación: 2026/05/28 00:22 por thejuanvisu

Herramientas de la página

Donate Powered by PHP Valid HTML5 Valid CSS Driven by DokuWiki