Pregunta 43

[atm]

¿Por qué es incorrecta la opción d? Según la wikipedia Internet key exchange (IKE) es un protocolo usado para establecer una Asociación de Seguridad (SA) en el protocolo IPsec. Y en la versión inglesa de la wiki también menciona el IKE v2.

[kyuss]

Yo también contesté la d). Lo que me queda la duda si el error a lo mejor están en el funcionamiento de IKEv2, la coletilla que pone la respuesta sobre el intercambio de claves.

Saludos,

[laurilop]

a mi la c me despistó porque en modo tunel lo que cifras es la cabecera ip primera.
sin embargeo, puede que tengan razón, poruqe la cabecera ip se pone sobre la carga que le viene de arriba, con lo cual está toda la carga útil cigrada. Depende de como interretes la pregunta No se.... ésta era con truco

[Pacos]

Yo creo que esta pregunta cuanto menos es confusa.

La opción c es correcta, pero no del todo, el protocolo ESP de IPsec en modo tunel lo que cifra es todo el paquete de red IP (incluido por supuesto el transporte) pero también el nivel de sesión, de presentación y de aplicación. Es decir, en su redacción omite un concepto clave para entender como trabaja IPsec y poder atravesar diferentes redes públicas (con sus NAT por ejemplo y por lo que es vital en tunelizar desde el nivel de red)

Por otra parte, la opción d dice:
"incluye el protocolo IKE v2, que permite a una de las partes generar una clave secreta y remitirla cifrada a la otra con la clave pública de ésta"

Yo creo que esto es totalmente correcto. No consigo ver el error en esta afirmación.
¿Alguno ve el error en la opción d?

Esta es la RFC de IKEv2:
http://tools.ietf.org/html/rfc4306

[chemus]

La verdad es que decidir de la RFC si la d) es correcta o no es un poco dificil.
En las paginas 27 a la 32 habla de cómo se genera el material de cifrado.
Y quizás nos podrían coger por cualquier lado pero uno posible que veo es la cantidad de claves generadas. Parece como si en vez de una (como dice el enunciado) se generaran un montón (de autenticación, de cifrado y eso para los diferentes métodos AH, ESP). Luego habla de IKE_SAs y de CHILD_SAs.
Luego, para el intercambio de claves dice que utiliza el método Diffie-Hellman ephemeral que no sé si será un simple cifrado con la clave publica como dice la opcion d).
UF! Para volverse loco!
Quizás la d) está mal porque en el fondo es todo bastante más complicado de lo que la d) quiere dar a entender.

[santilasrozas]

Yo creo que esta debería ser candidata a Impugnar

[viki]

No sé si está ya puesto, pero por si acaso:

43 Respecto al protocolo Ipsec:

a) Opcionalmente permite establecer una asociación de seguridad (SA, security association) con los algoritmos a usar y parámetros y claves a emplear.
b) Comprende, entre otros, el protocolo AH (Authentication Header) que en modo transporte autentica tanto las cabeceras cómo la carga útil del paquete del nivel de transporte.
c) Comprende, entre otros, el protocolo ESP (Encapsulating security protocol) que en modo túnel cifra todo el paquete del nivel de transporte. (correcta según la plantilla)
d) Incluye el protocolo IKE v.2, que permite a una de las partes generar una clave secreta y remitirla cifrada a la otra con la clave pública de ésta.

Creo que hay tres motivos para impugnar esta pregunta

-----------------------------------------------------------------------ver más abajo porque me desdigo de todo excepto del Payload

1) lo del nombre: ESP significa Encapsulating security payload, no Encapsulating security protocol, como pone la respuesta. Debo confesar que a mi me bastó leer "protocol" en vez de "payload", para casi desechar la respuesta.

2) lo de que "cifra todo el paquete del nivel de transporte”); sobre esto creo que ya se ha hablado (a ese nivel actúa ESP en modo transporte).

3) ESP, en modo túnel, no cifra todo el paquete, sino el “entire inner IP packet”, que incluye la “inner IP header”, pero sin encriptar la “outer IP header” (dejo los nombres y el texto en inglés para practicar

RFC 4303

In tunnel mode, the "inner" IP header carries the ultimate (IP)source and destination addresses, while an "outer" IP header contains the addresses of the IPsec "peers", e.g., addresses of security gateways. Mixed inner and outer IP versions are allowed, i.e., IPv6 over IPv4 and IPv4 over IPv6. In tunnel mode, ESP protects the entire inner IP packet, including the entire inner IP header. The position of ESP in tunnel mode, relative to the outer IP header, is the same as for ESP in transport mode


RFC 2401

For a tunnel mode SA, there is an "outer" IP header that specifies the IPsec processing destination, plus an "inner" IP header that specifies the (apparently) ultimate destination for the packet. The security protocol header appears after the outer IP header, and before the inner IP header. If AH is employed in tunnel mode,portions of the outer IP header are afforded protection (as above),as well as all of the tunneled IP packet (i.e., all of the inner IP header is protected, as well as higher layer protocols). If ESP is employed, the protection is afforded only to the tunneled packet, not to the outer header.

O, yendo a una fuente más amigable (wikipedia):

Al contrario que con AH, la cabecera del paquete IP no está protegida por ESP (aunque en ESP en modo túnel, la protección es proporcionada a todo el paquete IP interno, incluyendo la cabecera interna; la cabecera externa permanece sin proteger). ESP opera directamente sobre IP, utilizando el protocolo IP número 50.

¿Me estoy liando, o es así?

[bravo1935]

Si miramos las RFCs 2402-AH y 2406-ESP, en mi opinión tanto la respuesta 'b' como 'c' son correctas, independientemente de que en la respuesta 'c' diga ESP-Encapsulating security protocol (no Payload).

Por tanto creo que esta pregunta se debe impugnar por dar 2 respuestas válidas. Ánimo Viki.

Un saludo.

[Paco]

por algo tan tonto como el Protocol por el Payload en el significado de ESP es fácilmente impugnable.
Yo creo que el tribunal es más asequible a ceder ante errores tipográficos que ante demostraciones de conocimiento.

[viki]

Bueno, gracias a los dos, a estas alturas de la película tengo la cabeza como un bombo. Me tomaré un "rato" para verlo con calma.

[viki]

Creo que hay tres motivos para impugnar esta pregunta

1) lo del nombre ...

2) lo de que ...

3) ESP, en modo túnel ...

Vale, lo creía, pero lo acabo de mirar "sin apasionamiento", y veo que decía varias tonterías porque confundía el concepto y leía mal las respuestas. Ahora pienso, tal como tu dices, bravo1935, que la respuesta que se da como correcta sería correcta, si no fuese por haber puesto Protocol donde debería haber puesto Payload, que en definitivo es lo que me hizo fallar. Por eso, no estoy de acuerdo en que el fallo sea intrascendente para la impugnación, en eso estoy más con Paco.

En cuanto a la respuesta b), tampoco la veo válida, porque no autentica toda la cabecera.

Así que, al final, después de tantas vueltas, me quedo con lo que empecé: con la impugnación por haber puesto Protocol en vez de Payload ':shock:'

[lcg]

A mi también me confundió el hecho de que pusiera Protocol porque la descarté inmediatamente... y por descarte me acabé decantando por la d... por lo que creo que es impugnable porque cuando menos, confunde.

Además, en muchas de las preguntas la clave está en conocer el significado de los acrónimos, por lo que entiendo que si en este caso se han equivocado, debería anularse la pregunta.

¿no os parece?