Puede ser una tontería, pero ¿IPsec y SSL generan ambos una clave aleatoria y la intercambian usando Diffie Hellman?
Lo digo porque así dicho, se parecen bastante, bueno IPSec crea una SA y SSL usa un protocolo Handshake para el intercambio, pero el fondo es el mismo ¿no?.
Gracias y un saludo,
Dudas acerca de IPSEc y SSL
-
bridget
- PreparaTIC XXII
- Mensajes: 254
- Registrado: 07 May 2006, 17:26
- Agradecido: 0
- Agradecimiento recibido: 0
Re: Dudas acerca de IPSEc y SSL
Varias aclaraciones:
Lo primero es que IPsec trabaja en el nivel de red de la capa OSI (nivel 3) y SSL en las capas 4 y 5 del modelo, en la de transporte y presentación.
Para usar ssl tienes que que tener una aplicación tipo web que la invoque. IPSec lo que hace es que te genera un túnel entre dos puntos, independientemente de la aplicación que se use, incluso es transparente para el usuario, mira el caso de la red SARA, lo mismo puede ir tráfico http que ftp, que un COM+.
IPSec tiene dos modos: AH y DES, según que cifres la cabecera o el contenido. SSL sólo te cifra el contenido del paquete, no las cabeceras, claro, ahí tienes otra diferencia.
Lo primero es que IPsec trabaja en el nivel de red de la capa OSI (nivel 3) y SSL en las capas 4 y 5 del modelo, en la de transporte y presentación.
Para usar ssl tienes que que tener una aplicación tipo web que la invoque. IPSec lo que hace es que te genera un túnel entre dos puntos, independientemente de la aplicación que se use, incluso es transparente para el usuario, mira el caso de la red SARA, lo mismo puede ir tráfico http que ftp, que un COM+.
IPSec tiene dos modos: AH y DES, según que cifres la cabecera o el contenido. SSL sólo te cifra el contenido del paquete, no las cabeceras, claro, ahí tienes otra diferencia.
-
dianardv
- Usuario registrado
- Mensajes: 38
- Registrado: 19 Ago 2013, 11:24
- Agradecido: 0
- Agradecimiento recibido: 0
Re: Dudas acerca de IPSEc y SSL
Hola
IPSec es una arquitectura de protocolos que añaden el servicio de seguridad al protocolo IPv4 e IPv6. Incluye un conjunto de protocolos que generan permiten la autenticación y privacidad/confidencialidad de los datagramas IP que viajan por la red publica. Para implementar IPSec es necesario una adaptación de la infraestructura incorporando pasarelas seguras, es decir con servicio IPSec como nodos intermedios. Los protocolos AH y/o ESP son lo que realmente prestan el servicio de autenticidad y confidencialidad de los datagramas IP incorporando cabeceras propias en el datagrama IP. Los algoritmos empleados en la arquitectura IpSec para el intercambio de las claves ISA KMP, IKE, OAKEY.
SSL/TSL es un protocolo que aportara seguridad a nivel transporte es decir sobre TCP, UDP. Permite autenticidad del cliente y el servidor y sobre todo que no necesita una adaptación de la infraestructura de la conexión si no solo de la implementación del procolor TCP, UDP.
En opinión el IPSec asegura un viaje seguro de los datagramas IP que se entregarán a los procolos de nivel superior mientras que el SSL garantiza esta seguridad desde que se crean los datagramas TCP sin importancia de si se transmiten por una infraestructura segura o no.
Las dos formas de aportar seguridad a los datos emplean criptografia basada en clave simétrica (por ser la más rápida) y la generación de las claves en IpSec depende del algoritmos empleado, mientras que en SSL/TSL es uno basado en criptografía de clave publica. De todas formas SSL/TSL es extensible y además de los procolos de cifrado, MAC e intercambio de clave que ofrece por defecto se pueden emplear otros.
Resumiendo tanto IPSec como SSL/TSL comparten objetivo común: de proteger la información que viaja de un lado a otro, pero cumplen con este objetivo a nivel diferentes: IpSec--> nivel red, SSL/TSL --> nivel transporte y requieren configuraciones diferentes para su implantación.
Espero haberte ayudado.
IPSec es una arquitectura de protocolos que añaden el servicio de seguridad al protocolo IPv4 e IPv6. Incluye un conjunto de protocolos que generan permiten la autenticación y privacidad/confidencialidad de los datagramas IP que viajan por la red publica. Para implementar IPSec es necesario una adaptación de la infraestructura incorporando pasarelas seguras, es decir con servicio IPSec como nodos intermedios. Los protocolos AH y/o ESP son lo que realmente prestan el servicio de autenticidad y confidencialidad de los datagramas IP incorporando cabeceras propias en el datagrama IP. Los algoritmos empleados en la arquitectura IpSec para el intercambio de las claves ISA KMP, IKE, OAKEY.
SSL/TSL es un protocolo que aportara seguridad a nivel transporte es decir sobre TCP, UDP. Permite autenticidad del cliente y el servidor y sobre todo que no necesita una adaptación de la infraestructura de la conexión si no solo de la implementación del procolor TCP, UDP.
En opinión el IPSec asegura un viaje seguro de los datagramas IP que se entregarán a los procolos de nivel superior mientras que el SSL garantiza esta seguridad desde que se crean los datagramas TCP sin importancia de si se transmiten por una infraestructura segura o no.
Las dos formas de aportar seguridad a los datos emplean criptografia basada en clave simétrica (por ser la más rápida) y la generación de las claves en IpSec depende del algoritmos empleado, mientras que en SSL/TSL es uno basado en criptografía de clave publica. De todas formas SSL/TSL es extensible y además de los procolos de cifrado, MAC e intercambio de clave que ofrece por defecto se pueden emplear otros.
Resumiendo tanto IPSec como SSL/TSL comparten objetivo común: de proteger la información que viaja de un lado a otro, pero cumplen con este objetivo a nivel diferentes: IpSec--> nivel red, SSL/TSL --> nivel transporte y requieren configuraciones diferentes para su implantación.
Espero haberte ayudado.
-
jdiazgh
- PreparaTIC XXII
- Mensajes: 380
- Registrado: 31 Mar 2011, 18:46
- Agradecido: 0
- Agradecimiento recibido: 0
Re: Dudas acerca de IPSEc y SSL
Muchas gracias a las dos por las aclaraciones, pero no he formulado bien la pregunta. Realmente venía de una pregunta de test, que debería haber copiado, donde se preguntaba cual era el algoritmo donde el cliente genera una clave aleatoria, la cifra con la clave pública del servidor y la envía al servidor, con lo cual ambas partes tienen la clave (no estoy seguro porque ponían cliente/servidor, pero era así). La respuesta era SSL/TLS, pero a mi me parecía que IPsec hace lo mismo.
SSL/TLS usa una criptografía de clave públic, pero IPsec hace uso de Diffie-Hellmann, por lo que podría también aplicarse.
¿Qué opinais?
SSL/TLS usa una criptografía de clave públic, pero IPsec hace uso de Diffie-Hellmann, por lo que podría también aplicarse.
¿Qué opinais?
-
dianardv
- Usuario registrado
- Mensajes: 38
- Registrado: 19 Ago 2013, 11:24
- Agradecido: 0
- Agradecimiento recibido: 0
Re: Dudas acerca de IPSEc y SSL
En este caso se puede decir que IpSec y SSL/TSL en su fase inicial de negociación sí emplean Diffie-Hellman para intercambiar las claves, aunque en IpSec esta comunicación inicial es algo más compleja que como resultado final establece el AS entre los extremos y hace uso del protocolo IKE para administrar la actualización de las claves y negociar el grupo DH. En mi opinion el intercambio de las claves IPSec se hace mediante el protocolo IKE que emplea el protocolo Diffie-Hellman, mientras que SSL/TSL utiliza Diffie-Hellman puramente dicho.
En cuanto a por qué ponía cliente/servidor, pues será porque en el caso de SSL/TSL al ser un protocolo de transporte asegura un canal seguro de comunicación entre dos procesos: el cliente y el servidor.
PD.
Tanto el protocolo AH como el ESP tratan el datagrama IP completo generando una cabecera.
El AH asegura integridad del datagrama IP generando un MAC mediante HMAC sobre los datos del datagrama y las partes inmutables de la cabecera IP. Es decir los datos no se cifran solo se permite al destinatario comprobar que no han sido modificados por el camino.
El ESP asegura integridad empleando HMAC y confidencialidad empleando un cifrado simetrico. Se genera la cabecera ESP, se añade el datagrama IP entero que ya ha sido cifrado y después se ha calculado su MAC(este codigo MAC se incluye en la cabecera ESP)
En cuanto a por qué ponía cliente/servidor, pues será porque en el caso de SSL/TSL al ser un protocolo de transporte asegura un canal seguro de comunicación entre dos procesos: el cliente y el servidor.
PD.
Tanto el protocolo AH como el ESP tratan el datagrama IP completo generando una cabecera.
El AH asegura integridad del datagrama IP generando un MAC mediante HMAC sobre los datos del datagrama y las partes inmutables de la cabecera IP. Es decir los datos no se cifran solo se permite al destinatario comprobar que no han sido modificados por el camino.
El ESP asegura integridad empleando HMAC y confidencialidad empleando un cifrado simetrico. Se genera la cabecera ESP, se añade el datagrama IP entero que ya ha sido cifrado y después se ha calculado su MAC(este codigo MAC se incluye en la cabecera ESP)