Encriptacion de datos en diferentes capas TCP/IP

Encriptación a nivel de enlace

Es la forma de protección criptográfica más transparente tanto para los controladores de los dispositivos como para las aplicaciones.

Esta protección solo afecta a un enlace individual. La ventaja principal es que el paquete es encriptado por completo, incluyendo las direcciones de origen y destino lo que deja fuera de riesgo la comunicación. Aunque el problema es que solo protege un enlace en particular: si un mensaje debe atravesar mas de un enlace, será vulnerable en el nodo intermedio y en el siguiente enlace, si éste no está protegido.

Por lo tanto, el encriptado a nivel de enlace es útil para proteger solo trafico local o unas pocas líneas de enlace muy vulnerables o críticas (como por ejemplo circuitos satelitales).


Encriptación a nivel de transporte y a nivel de red

El Protocolo de Seguridad de la Capa de Red (Network Layer Security Protocol - NLSP) y el Protocolo de Seguridad de la Capa de Transporte (Transport Layer Security Protocol - TLSP) permiten a los sistemas comunicarse de forma segura sobre Internet. Estos son transparentes para la mayor parte de las aplicaciones. La función de encriptado afecta a todas las comunicaciones que ocurran a lo largo de diferentes sistemas.

Ambos protocolos están basados en el concepto de id de clave o key-id; éste es transmitido sin encriptar junto con el paquete encriptado. Permite controlar el comportamiento de los mecanismos de encriptado y desencriptado: especifica el algoritmo de encriptado, el tamaño del bloque de encriptado, el mecanismo de control de integridad usado, el período de validez de la clave, etc. Utiliza un mecanismo de administración de claves para intercambiar calves e ids de claves.

Ambos protocolos difieren notablemente en la granularidad de la protección.
TLSP está limitado a conexiones individuales tales como circuitos virtuales creados en TCP. Diferentes circuitos entre el mismo par de hosts pueden ser protegidos con diferentes claves. El segmento TCP completo (incluyendo el encabezado) es encriptado. Este nuevo segmento es enviado al protocolo IP, con un identificado de protocolo diferente. Al recibir el paquete, IP envía el paquete a TLSP, que luego de desencriptar y verificar el paquete, lo pasa a TCP
NLSP Ofrece más opciones que TLSP. Puede ser instalado en un router, y proteger así la subred completa.

NLSP opera por encapsulación o “tunneling”. En modo túnel, el paquete IP es encriptado y luego es adjuntado a un nuevo paquete IP. La dirección IP en este encabezado puede diferir de aquella del paquete original ofreciendo una defensa contra el análisis de tráfico.
El modo encapsulación es suficiente si los dos sistemas finales de una comunicación NLSP están conectados a la misma red. La creación del nuevo encabezado IP es omitida, el paquete NLSP encriptado es enviado directamente a la capa subyacente.

La granularidad de la protección provista por NLSP depende de donde es situado. Si NLSP se encuentra en un host, se garantiza la seguridad para toda comunicación del mismo, no para un proceso individual. Implementado en un router puede proveer seguridad para todos los mensajes originados en algún lugar de la red protegida. Permite aislar las variables criptográficas en una “caja”.

Estos protocolos no exigen ninguna restricción de comunicación, es decir, cualquier host protegido puede comunicarse con cualquier otro. Los patrones de comunicación son una cuestión administrativa, estas decisiones son aplicadas por los sistemas de encriptado y los mecanismos de distribución de claves.

La Arquitectura de Seguridad para el Protocolo de Internet (IPsec) provee un marco de seguridad que cubre varios aspectos necesarios para una solución apropiada [RFC-2401].


IPsec – Arquitectura de Seguridad para IP

IPsec está diseñado para proveer seguridad basada en criptografía, de alta calidad e interoperable para Ipv4 e Ipv6. Los servicios de seguridad ofrecidos incluyen control de acceso, integridad en comunicaciones sin conexión, autenticación del origen de datos, protección contra ataques de repetición, confidencialidad mediante encriptado, entre otros. Estos servicios son provistos en la capa IP ofreciendo protección para ésta y las capas superiores.

Para ofrecer tales servicios, IPsec utiliza dos protocolos de seguridad de tráfico, AH (Authentication Header) y ESP (Encapsulating Security Payload) además del uso de protocolos y procedimientos de administración de claves criptográficas. El protocolo de administración automática de claves por defecto es IKE. IKE es usado para establecer una política de seguridad compartida y claves autenticadas para servicios que las requieran (como IPsec). Antes del envío de trafico IPsec, cada router/firewall/host debe ser capaz de verificar la identidad de su par.

Esto puede ser hecho manualmente entregando claves pre-compartidas en ambos hosts.

El conjunto de protocolos de seguridad utilizados y la forma en que son empleados estará determinado por requerimientos del sistema y de seguridad de los usuarios y aplicaciones.

Los mecanismos utilizados por IPsec están diseñados para ser independientes de los algoritmos empleados. Esta modularidad permite la selección de diferentes conjuntos de algoritmos sin afectar las otras partes del sistema.

De todas formas, IPsec propone un conjunto de algoritmos por defecto para ser usados y proveer interoperabilidad en Internet.

AH y ESP

El Encabezado de Autenticación (Authentication Header - AH) de IP provee integridad para comunicación sin conexión y autenticación del origen de datos para datagramas IP y para proveer protección ante ataques de repetición [RFC-2402] [RFC-2406].

AH provee autenticación para la mayor parte de la información del encabezado IP y para los protocolos del nivel superior. No todos los campos del encabezado IP son protegidos ya que son modificados en tránsito.

AH puede ser aplicado solo, en combinación con ESP (Encapsulating Security Payload), o de forma anidada a través del uso del modo túnel. Los servicios de seguridad pueden establecerse entre un par de sistemas finales, entre un par de gateways de seguridad o entre un gateway o un sistema final.

ESP puede ser usado para proveer los mismos servicios de seguridad, y también provee un servicio de encriptación. La principal diferencia entre la seguridad provista por ESP y AH es el alcance de la protección. Específicamente, ESP no protege ningún campo del encabezado IP (excepto en modo túnel, donde los datos encriptados por ESP corresponden a otro paquete IP).

El Modelo OSI

El modelo (OSI Open System Interconnection/ Interconexión de sistemas abiertos) fue creado por la ISO (Organizacion Estandar Internacional) y en él pueden modelarse o referenciarse diversos dispositivos que reglamenta la ITU (Unión de Telecomunicación Internacional), con el fin de poner orden entre todos los sistemas y componentes requeridos en la transmisión de datos, además de simplificar la interrelación entre fabricantes . Así, todo dispositivo de cómputo y telecomunicaciones podrá ser referenciado al modelo y por ende concebido como parte de un sistemas interdependiente con características muy precisas en cada nivel.
Esta idea da la pauta para comprender que el modelo OSI existe potencialmente en todo sistema de cómputo y telecomunicaciones, pero que solo cobra importancia al momento de concebir o llevar a cabo la transmisión de datos.




El nivel fisico
En este nivel básicamente se definen las caracteristicas de los componentes físicos de la red:
-Cables
-Conectores
-Señales que se envían

El nivel de enlace / o de subred
Enlazamos dos ordenadores por ejemplo con un cable serie (hay recuperacion de datos) o puede que tres ordenadores siempre y cuando esten conectados al mismo cable.

El nivel de red
Cualquier ordenador con cualquier ordenador en una red

Nivel de transporte
Protocolos para detectar y tratar de recuperar paquete de Hololulu a Cádiz, si no se recupera se avisa al nivel superior

El nivel de sesión
Abrir sesiones remotas en maquinas y ejecutar unos pocos comandos (Casi no se usa)

El Nivel de presentacion
Tenemos una maquina que funciona en ascii y otra en unicode -> este nivel pasa de ascii a unicode y viceversa segun la direccion de los datos

El Nivel de aplicacion / librerias
En esten nivel estan todas las librerias que utilazara el programador para enviar y recibir a través de la red. (El explorer utiliza una libreria de microsoft que le permite utilizar http, es ella la que pertenece al nivel de aplicacion)