domingo, 27 de enero de 2013

Nagios en Back Track 5 R3

¿Que es Nagios?

Nagios es un sistema de monitorización de redes de código abierto ampliamente utilizado, que vigila los equipos (hardware) y servicios (software) que se especifiquen, alertando cuando el comportamiento de los mismos no sea el deseado. Entre sus características principales figuran la monitorización de servicios de red (SMTP, POP3, HTTP, SNMP...), la monitorización de los recursos de sistemas hardware (carga del procesador, uso de los discos, memoria, estado de los puertos...), independencia de sistemas operativos, posibilidad de monitorización remota mediante túneles SSL cifrados o SSH, y la posibilidad de programar plugins específicos para nuevos sistemas.

Se trata de un software que proporciona una gran versatilidad para consultar prácticamente cualquier parámetro de interés de un sistema, y genera alertas, que pueden ser recibidas por los responsables correspondientes mediante (entre otros medios) correo electrónico y mensajes SMS, cuando estos parámetros exceden de los márgenes definidos por el administrador de red.
Llamado originalmente Netsaint, nombre que se debió cambiar por coincidencia con otra marca comercial, fue creado y es actualmente mantenido por Ethan Galstad, junto con un grupo de desarrolladores de software que mantienen también varios complementos.
Nagios fue originalmente diseñado para ser ejecutado en GNU/Linux, pero también se ejecuta bien en variantes de Unix.

A continuación vamos a instalarlo sobre Back Track 5 R3
les comparto el video que filme de la sensilla y rapida instalacion de esta herramienta de control y monitorizacion de Hardware y dispositivos de telecomunicaciones.

¿De que me sirviria a mi usuario final este software de monitoreo ?
en mi caso particular lo uso para monitorear los equipos conectados a mi RED wi-fi de su casa aca en México.
laptops, mi pequeño Media Center y mi NAS. Es sumamente util al momento de validar al termino o inicio de mes el consumo de ancho de banda de todo el mes, la velocidad si fue continua, la disponibilidad de mi servidor y de mi NAS.

Publicadas por a la/s No hay comentarios.:

Como instalar Google Earth en Back Track 5 R3

Vamos a iniciar actualizando el OS

sudo apt-get update
sudo apt-get upgrade

vamos a la pag web de google y descargamos Earth (la distribucion es ubuntu 64B)

continuamos con la instalacion de los paquetes requeridos para la instalacion

sudo apt-get install googleearth-package lsb-core
sudo make-googleearth-package --force

 ahora damos 2 clic sobre el icono de la instalacion y se abrira el software center de ubuntu y nos permitira la instalacion gestionada sensilla y rapida. 



Publicadas por a la/s No hay comentarios.:

¿Como cambiar el lenguaje de Back Track 5 R3 de ingles a español. ?

¿Como cambiar el lenguaje de Back Track 5 R3 de ingles a español. ?
primero actualizamos completamente el sistema operativo (OS)

 sudo apt-get update

 sudo apt-get upgrade

ahora pasamos a ejecutar el comando de instalacion de las librerias de lenguaje

sudo apt-get install lenguaje-pack-es
sudo apt-get install lenguaje-pack-es-base

 ahora el soporte para el lenguaje

 sudo apt-get install lenguaje-support-es

 sudo apt-get install lenguaje-support-translations-es

 sudo apt-get install lenguaje-support-writing-es

ahora vamos al gestor de soporte de lenguaje y seleccionamos español.




 Ahora reiniciamos el sistema y ya podremos contar con el sistema en español.
a decir verdad me agrada mas el OS en ingles, pero lo comparto por si alguien tiene una opinion distinta en cuanto al gusto del lenguaje del OS.




Publicadas por a la/s No hay comentarios.:

Como instalar el gestor de software de ubuntu en Back Tarck 5 R3

Hace un par de semanas estaba pensando si back track 5 r3 esta basado en ubuntu muy posiblemente se pueda instalar los software que facilitan la administracion y gestion de aplicaciones. me costo un poco de trabajo pero por fin en contre las lineas que a continuacion les comarto.

Para instalar el gestor de software de ubuntu con el que podremos gestionar la instalacion y desistalacion de los aplicativos de ubuntu sobre back track 5 r3 x64 bits
el comando es el siguiente:

primero actualizamos el sistema operativo (OS)

sudo apt-get update
sudo apt-get upgrade

ya con el sistema actualizado

instalamos el gestor de software de ubuntu

sudo apt-get install gnome-app-install

solo hay que tomar en cuenta que yo descarge e intale back track 5 r3 con Gnome
y liso.

con esto podemos instalar por ejemplo compiz, docky etc. 

Publicadas por a la/s 1 comentario:

sábado, 19 de enero de 2013

Puertos TCP y UDP conocidos usados por los productos de software Apple


Productos afectados

AirPort, Bonjour, Internet, Lion Server, Mac OS X 10.2, Mac OS X 10.3, Mac OS X 10.4, Mac OS X 10.5, Mac OS X 10.6, Mac OS X Server, OS X Lion, Xserve, iCloud, iPad, iPhone, iPod touch


Síntomas

Aprende más acerca de los puertos TCP y UDP utilizados por los productos Apple, como OS X, Mac OS X Server, Apple Remote Desktop, Macintosh Manager y iCloud. Se hace referencia a muchos de estos puertos como puertos "conocidos" estándar de la industria.

Resolución

Acerca de esta tabla
La columna Nombre de protocolo o servicio enumera los servicios registrados en la Agencia de Asignación de Números de Internet (http://www.iana.org/) excepto si se indica "uso no registrado". Los nombres de los productos de Apple que utilizan estos servicios o protocolos aparecen en la columna Usado por/Información adicional.
La columna RFC detalla el número del documento Solicitud de comentario que define el servicio o protocolo concreto y que puede usarse como referencia. RFC Editor se encarga de realizar el mantenimiento de los documentos RFC (http://www.rfc-editor.org/). Si varios RFC definen un protocolo, es posible que solo se indique uno.
Este documento se actualiza periódicamente e incluye la información disponible en el momento de su publicación. Este documento tiene como objetivo servir de referencia rápida y no debe considerarse como un documento exhaustivo. Los productos de Apple incluidos en la tabla son los ejemplos usados con más asiduidad; no se trata de una lista completa. Para obtener más información, revisa las Notas incluidas debajo de la tabla.
Consejo: Algunos servicios pueden utilizar dos o más puertos. Se recomienda que, una vez que hayas encontrado una referencia a un producto en la lista, busques ese nombre (Comando-F) y después repitas la operación (Comando-G) para localizar todas las referencias al producto. Por ejemplo, el servicio VPN puede utilizar hasta cuatro puertos diferentes: 500, 1701, 1723 y 4500.
Consejo: Algunos firewalls permiten configurar selectivamente puertos UDP o TCP con el mismo número, por lo que es importante fijarse en qué tipo de puerto se está configurando. Por ejemplo, NFS puede utilizar los puertos TCP 2049 o UDP 2049, o ambos. Si tu firewall no te permite especificar, cualquier cambio en un puerto afectará probablemente a los dos.


Nota: Mac OS X v10.5 y posteriores incluyen el firewall de aplicación, que es diferente de un firewall para puertos.
7 TCP/UDP echo 792 echo -
20 TCP Protocolo de transferencia de archivos (FTP) 959 ftp-data -
21 TCP Control de FTP 959 ftp -
22 TCP Shell segura (SSH) 4253 ssh -
23 TCP Telnet 854 telnet -
25 TCP Protocolo simple de transferencia de correo (SMTP) 5321 smtp Mail (para enviar correo electrónico); iCloud Mail (envío)
53 TCP/UDP Sistema de nombres de dominio (DNS) 1034 domain MacDNS, FaceTime
67 UDP Servidor de protocolo de inicio (BootP, bootps) 951 bootps NetBoot vía DHCP
68 UDP Cliente de protocolo de inicio (bootpc) 951 bootpc NetBoot vía DHCP
69 UDP Protocolo trivial de transferencia de archivos (TFTP) 1350 tftp -
79 TCP Finger 1288 finger -
80 TCP Protocolo de transferencia de hipertexto (HTTP) 2616 http World Wide Web, iCloud, QuickTime Installer, iTunes Store y Radio, Actualización de Software, RAID Admin, Backup, publicación de calendarios iCal, WebDAV (iDisk), Final Cut Server, AirPlay, Recuperación de OS X Lion por Internet, Gestor de Perfiles.
88 TCP Kerberos 4120 kerberos -
106 TCP Servidor de contraseñas
(Uso no registrado)		 - 3com-tsmux Servidor de contraseñas de Mac OS X Server
110 TCP Protocolo de oficina de correos (POP3)
Protocolo de oficina de correos autenticado (APOP)		 1939 pop3 Mail (para recibir correo electrónico)
111 TCP/UDP Llamada a procedimiento remoto (RPC) 1057, 1831 sunrpc Portmap (sunrpc)
113 TCP Protocolo de identificación 1413 ident -
115 TCP Protocolo simple de transferencia de archivos (SFTP) 913 sftp
119 TCP Protocolo de transferencia de noticias de red (NNTP) 3977 nntp Usado por aplicaciones que leen grupos de noticias.
123 TCP/UDP Protocolo de tiempo de red (NTP) 1305 ntp Preferencias de fecha y hora. Usado para la sincronización de relojes de servidores en red y la sincronización de relojes de servidores en red del AppleTV
137 UDP Windows Internet Naming Service (WINS) - netbios-ns -
138 UDP Servicio de datagramas de NETBIOS - netbios-dgm Servicio de datagramas de Windows, Entorno de redes de Windows
139 TCP Bloque de mensaje de servidor (SMB) - netbios-ssn Usado por los servicios de archivos e impresión de Microsoft Windows, como por ejemplo, el uso compartido de Windows en Mac OS X.
143 TCP Protocolo de acceso a mensajes de Internet (IMAP) 3501 imap Mail (para recibir correo electrónico)
161 UDP Protocolo simple de administración de red (SNMP) 1157 snmp -
192 UDP OSU Network Monitoring System - osu-nms Estado PPP o detección de la estación base AirPort (determinadas configuraciones), Utilidad Administración AirPort, Asistente AirPort Express
311 TCP Administración de servidores seguros - asip-webadmin Server Admin, Workgroup Manager, Server Monitor, Xsan Admin
389 TCP Protocolo ligero de acceso a directorios (LDAP) 4511 ldap Usado por aplicaciones que buscan direcciones, como Mail y Agenda.
427 TCP/UDP Protocolo de ubicación de servicios (SLP) 2608 svrloc Network Browser
443 TCP Secure Sockets Layer (SSL o "HTTPS") 2818 https Sitios web TLS, iTunes Store, FaceTime, Game Center, autenticación de iCloud y servicios DAV (Contactos, Calendarios y Favoritos), copia de seguridad y aplicaciones de iCloud (Calendarios, Contactos, Buscar mi iPhone/Buscar a mis amigos, Mail, Documentos y Fotos en streaming), iCloud Key Value Store (KVS), diarios de iPhoto, AirPlay, Recuperación de OS X por Internet, Gestor de Perfiles, Volver a mi Mac, Dictado
445 TCP Servidor de dominio SMB de Microsoft - microsoft-ds -
464 TCP/UDP kpasswd 3244 kpasswd -
500 UDP ISAKMP/IKE 2408 isakmp Servicio VPN de OS X Server, Volver a mi Mac
514 TCP shell - shell -
514 UDP Syslog - syslog -
515 TCP Impresora de línea (LPR), Protocolo LPD (Line Printer Daemon) - printer Usado para imprimir en una impresora de red; opción Compartir Impresora de Mac OS X
532 TCP netnews - netnews -
548 TCP Protocolo de archivos de Apple (AFP) a través de TCP - afpovertcp AppleShare, Uso compartido de archivos personales; Servicio de archivos de Apple
554 TCP/UDP Protocolo de secuencias en tiempo real (RTSP) 2326 rtsp QuickTime Streaming Server (QTSS); reproductores de archivos multimedia de transmisión por secuencias, AirPlay
587 TCP Envío de mensajes para Mail (SMTP autenticado) 4409 submission Mail (para enviar correo), iCloud Mail (autenticación SMTP)
600-1023 TCP/UDP Servicios basados en RPC de Mac OS X - ipcserver Usado, por ejemplo, por NetInfo
623 UDP Lights-Out-Monitoring (LOM) - asf-rmcp Usado por la función Lights-Out-Monitoring (LOM) de Intel Xserve; usado por Server Monitor
625 TCP Directory Service Proxy (DSProxy) (Uso no registrado) - dec_dlm Directory Service, Asistente de Open Directory, Workgroup Manager. Nota: Este puerto está registrado para DEC DLM.
626 TCP AppleShare Imap Admin (ASIA) - asia Administración de IMAP (Mac OS X Server v10.2.8 o anterior)
626 UDP serialnumberd (Uso no registrado) - asia Registro de número de serie de servidor (Xsan, Mac OS X Server v10.3 - v10.6)
631 TCP Protocolo de impresión de Internet (IPP) 2910 ipp Opción Compartir Impresora de Mac OS X; impresión en muchas impresoras habituales
636 TCP LDAP seguro - ldaps -
660 TCP MacOS Server Admin - mac-srvr-admin Server Admin (tanto AppleShare IP como Mac OS X Server); Ajustes del servidor
687 TCP Administración de servidores - asipregistry App Server, Server Admin, Workgroup Manager, Server Monitor, Xsan Admin
749 TCP/UDP Kerberos 5 admin/changepw - kerberos-adm -
985 TCP Puerto estático NetInfo - - -
993 TCP Mail IMAP SSL - imaps iCloud Mail (SSL IMAP)
995 TCP/UDP Mail POP SSL - pop3s -
1085 TCP/UDP WebObjects - webobjects -
1099 y 8043 TCP RMI remoto y Acceso IIOP a JBOSS - rmiregistry -
1220 TCP QT Server Admin - qt-serveradmin Usado para la administración de QuickTime Streaming Server.
1640 TCP Servidor de Inscripción de Certificado - cert-responder Gestor de Perfiles, SCEP
1649 TCP IP Failover - kermit -
1701 UDP L2TP - l2f Servicio VPN de Mac OS X Server
1723 TCP PPTP - pptp Servicio VPN de Mac OS X Server
1900 UDP SSDP - ssdp Bonjour, Volver a mi Mac
2049 TCP/UDP Sistema de archivos de red (NFS) (versiones 3 y 4) 3530 nfsd -
2195 TCP Servicio de notificaciones push de Apple (APNS) - - Notificaciones push
2196 TCP Servicio de notificaciones push de Apple (APNS) - - Servicio de retroalimentación
2336 TCP Sincronización de cuentas móviles - appleugcontrol Sincronización del directorio de inicio
3004 TCP iSync - csoftragent -
3031 TCP/UDP Eventos Apple Remotos - eppc Enlace de programas; Eventos Apple Remotos
3283 TCP/UDP Asistente de red - net-assistant Apple Remote Desktop 2.0 o posterior (función de creación de informes)
3306 TCP MySQL - mysql -
3478-3497 UDP - - nat-stun-port - ipether232port FaceTime, Game Center
3632 TCP Compilador distribuido - distcc -
3659 TCP/UDP Autenticación simple y capa de seguridad (SASL) - apple-sasl Servidor de contraseñas de Mac OS X Server
3689 TCP Protocolo de acceso de audio digital (DAAP) - daap Compartir música de iTunes, AirPlay
4111 TCP XGrid - xgrid -
4398 UDP - - - Game Center
4488 TCP Apple Wide Area Connectivity Service awacs-ice Volver a mi Mac
4500 UDP IPsec NAT Traversal 4306 ipsec-msft Servicio VPN de OS X Server, Volver a mi Mac. Nota: Si se configura Volver a mi Mac en una estación base AirPort o Time Capsule en modo NAT, se impedirá la conectividad a un servicio VPN de OS X Server tras ese NAT.
5003 TCP FileMaker: transporte y enlace de nombres - fmpro-internal -
5009 TCP (Uso no registrado) - winfs Utilidad AirPort; Asistente AirPort Express
5060 UDP Protocolo de inicio de sesiones (SIP) 3261 sip iChat
5100 TCP - - socalia Uso compartido de cámara y escáner de Mac OS X
5190 TCP/UDP America Online (AOL) - aol iChat y AOL Instant Messenger, transferencia de archivos
5222 TCP XMPP (Jabber) 3920 jabber-client Mensajes de iChat y Jabber
5223 TCP Servicio de alertas Apple Push Notification - - Servicios DAV de iCloud (Contactos, Calendarios y Favoritos), APNS, FaceTime, Game Center, Fotos en streaming, Volver a mi Mac
5269 TCP Comunicación XMPP entre servidores 3920 jabber-server Servidor iChat
5297 TCP - - - iChat (tráfico local)
5298 TCP/UDP - - - iChat (tráfico local)
5350 UDP Avisos de Protocolo de asignación de puertos NAT - - Bonjour, Volver a mi Mac
5351 UDP Protocolo de asignación de puertos NAT - nat-pmp Bonjour, Volver a mi Mac
5353 UDP DNS de difusión múltiple (MDNS) 3927 mdns Bonjour, AirPlay, Compartir en casa, Detección de impresora, Volver a mi Mac
5432 TCP PostgreSQL - postgresql Puede activarse manualmente en Lion Server. Previamente habilitado por defecto para la base de datos de ARD 2.0.
5678 UDP Servidor SNATMAP - rrac El servicio SNATMAP del puerto 5678 se utiliza para determinar la dirección de Internet externa de los servidores de manera que las conexiones entre los usuarios de iChat puedan funcionar correctamente detrás de la traducción de direcciones de red (NAT). El servicio SNATMAP simplemente comunica a los clientes la dirección de Internet a la que están conectados. Este servicio se ejecuta en un servidor de Apple, pero no envía información personal a Apple. Cuando se usen determinadas características de iChat AV, se contactará con este servicio. El bloqueo de este servicio puede causar problemas en las conexiones de iChat AV con servidores en redes que utilicen NAT.
5897-5898 UDP (Uso no registrado) - - xrdiags
5900 TCP Computación en red virtual (VNC)
(Uso no registrado)		 - vnc-server Apple Remote Desktop 2.0 o posterior (función de observación/control)
Compartir pantalla (Mac OS X v10.5 o posterior)
5988 TCP WBEM HTTP - wbem-http Apple Remote Desktop 2.x (consulta http://dmtf.org/standards/wbem)
6970-9999 UDP - - - QuickTime Streaming Server
7070 TCP RTSP (Uso no registrado)
Protocolo de configuración de router automático (ARCP - Uso registrado)		 - arcp QuickTime Streaming Server (RTSP)
7070 UDP RTSP alterno - arcp QuickTime Streaming Server
7777 TCP Proxy de transferencia de archivos del servidor de iChat (uso no registrado) - cbt -
8000-8999 TCP - - irdmi Servicio web, Secuencias de iTunes Radio
8005 TCP Apagado remoto Tomcat - - -
8008 TCP Servicio iCal - http-alt Mac OS X Server v10.5 y posterior
8080 TCP Puerto alternativo para el servicio web Apache - http-alt -
8085-8087 TCP Servicio Wiki - - Mac OS X Server v10.5 y posterior
8088 TCP Servicio Actualización de Software - radan-http Mac OS X Server v10.4 y posterior
8089 TCP Reglas de correo electrónico web - - Mac OS X Server v10.6 y posterior
8096 TCP Restablecimiento de contraseña web - - Mac OS X Server v10.6.3 y posterior
8170 TCP HTTPS (servicio o sitio web) - - Podcast Capture/podcast CLI
8171 TCP HTTP (servicio/sitio web) - - Podcast Capture/podcast CLI
8175 TCP Pcast Tunnel - - pcastagentd (para operaciones de control, cámara, etc.)
8443 TCP Servicio iCal (SSL) - pcsync-https Mac OS X Server v10.5 y posterior
8800 TCP Servicio Agenda - sunwebadmin Mac OS X Server v10.6 y posterior
8843 TCP Servicio Agenda (SSL) - - Mac OS X Server v10.6 y posterior
8821, 8826
 TCP Almacenado - - Final Cut Server
8891 TCP ldsd - - Final Cut Server (transferencias de datos)
9100 TCP Impresión - - Utilizado para imprimir en determinadas impresoras en red
9006, 8080, 8443 - Puertos HTTP y HTTPS para Tomcat Standalone y JBOSS (J2EE) - -, http-alt, pcsync-https -
11211 - memcached (no registrado) - - Servidor iCal
16080 TCP - - - Servicio web con caché de rendimiento
16384-16403 UDP Protocolo de transferencia en tiempo real (RTP); Protocolo de control en tiempo real (RTCP) - connected, - iChat AV (Audio RTP, RTCP; Video RTP, RTCP)
16384-16387 UDP Protocolo de transferencia en tiempo real (RTP); Protocolo de control en tiempo real (RTCP) - connected, - FaceTime, Game Center
16393-16402 UDP Protocolo de transferencia en tiempo real (RTP); Protocolo de control en tiempo real (RTCP) - - FaceTime, Game Center
16403-16472 UDP Protocolo de transferencia en tiempo real (RTP); Protocolo de control en tiempo real (RTCP) - - Game Center
24000-24999 TCP - - med-ltp Servicio web con caché de rendimiento
42000-42999 TCP - - - Secuencias de iTunes Radio
49152-65535 TCP Xsan - - Acceso a Xsan Filesystem
49152-65535 UDP - - - Volver a mi Mac
50003 - Servicio de servidor de FileMaker - - -
50006 - Servicio de aplicación auxiliar de FileMaker - - -
Publicadas por a la/s 2 comentarios:

jueves, 3 de enero de 2013

IPsec

IPsec (abreviatura de Internet Protocol security) es un conjunto de protocolos cuya función es asegurar las comunicaciones sobre el Protocolo de Internet (IP) autenticando y/o cifrando cada paquete IP en un flujo de datos. IPsec también incluye protocolos para el establecimiento de claves de cifrado.
Los protocolos de IPsec actúan en la capa de red, la capa 3 del modelo OSI. Otros protocolos de seguridad para Internet de uso extendido, como SSL, TLS y SSH operan de la capa de transporte (capa 4 del modelo OSI) hacia arriba. Esto hace que IPsec sea más flexible, ya que puede ser utilizado para proteger protocolos de la capa 4, incluyendo TCP y UDP, los protocolos de capa de transporte más usados. Una ventaja importante de IPsec frente a SSL y otros métodos que operan en capas superiores, es que para que una aplicación pueda usar IPsec no hay que hacer ningún cambio, mientras que para usar SSL y otros protocolos de niveles superiores, las aplicaciones tienen que modificar su código.

IPsec está implementado por un conjunto de protocolos criptográficos para 
1 asegurar el flujo de paquetes
2 garantizar la autenticación mutua 
3 establecer parámetros criptográficos.

La arquitectura de seguridad IP utiliza el concepto de asociación de seguridad (SA) como base para construir funciones de seguridad en IP. Una asociación de seguridad es simplemente el paquete de algoritmos y parámetros (tales como las claves) que se está usando para cifrar y autenticar un flujo particular en una dirección. Por lo tanto, en el tráfico normal bidireccional, los flujos son asegurados por un par de asociaciones de seguridad. La decisión final de los algoritmos de cifrado y autenticación (de una lista definida) le corresponde al administrador de IPsec.
Para decidir qué protección se va a proporcionar a un paquete saliente, IPsec utiliza el índice de parámetro de seguridad (SPI), un índice a la base de datos de asociaciones de seguridad (SADB), junto con la dirección de destino de la cabecera del paquete, que juntos identifican de forma única una asociación de seguridad para dicho paquete. Para un paquete entrante se realiza un procedimiento similar; en este caso IPsec toma las claves de verificación y descifrado de la base de datos de asociaciones de seguridad.
En el caso de multicast, se proporciona una asociación de seguridad al grupo, y se duplica para todos los receptores autorizados del grupo. Puede haber más de una asociación de seguridad para un grupo, utilizando diferentes SPIs, y por ello permitiendo múltiples niveles y conjuntos de seguridad dentro de un grupo. De hecho, cada remitente puede tener múltiples asociaciones de seguridad, permitiendo autenticación, ya que un receptor sólo puede saber que alguien que conoce las claves ha enviado los datos. Hay que observar que el estándar pertinente no describe cómo se elige y duplica la asociación a través del grupo; se asume que un interesado responsable habrá hecho la elección.

IPsec es una parte obligatoria de IPv6, y su uso es opcional con IPv4. Aunque el estándar está diseñado para ser indiferente a las versiones de IP, el despliegue y experiencia hasta 2007 atañe a las implementaciones de IPv4.
Los protocolos de IPsec se definieron originalmente en las RFCs 1825 y 1829, publicadas en 1995. En 1998 estos documentos fueron sustituidos por las RFCs 2401 y 2412, que no son compatibles con la 1825 y 1829, aunque son conceptualmente idénticas. En diciembre de 2005 se produjo la tercera generación de documentos, RFCs 4301 y 4309. Son en gran parte un superconjunto de la 2401 y 2412, pero proporcionan un segundo estándar de Internet Key Exchange. Esta tercera generación de documentos estandarizó la abreviatura de IPsec como "IP" en mayúsculas y "sec" en minúsculas.
Es raro ver un producto que ofrezca soporte de RFC1825 y 1829. "ESP" se refiere generalmente a 2406, mientras que ESPbis se refiere a 4303.

IPsec fue proyectado para proporcionar seguridad en modo transporte (extremo a extremo) del tráfico de paquetes, en el que los ordenadores de los extremos finales realizan el procesado de seguridad, o en modo túnel (puerta a puerta) en el que la seguridad del tráfico de paquetes es proporcionada a varias máquinas (incluso a toda la red de área local) por un único nodo.
IPsec puede utilizarse para crear VPNs en los dos modos, y este es su uso principal. Hay que tener en cuenta, sin embargo, que las implicaciones de seguridad son bastante diferentes entre los dos modos de operación.
La seguridad de comunicaciones extremo a extremo a escala Internet se ha desarrollado más lentamente de lo esperado. Parte de la razón a esto es que no ha surgido infraestructura de clave pública universal o universalmente de confianza (DNSSEC fue originalmente previsto para esto); otra parte es que muchos usuarios no comprenden lo suficientemente bien ni sus necesidades ni las opciones disponibles como para promover su inclusión en los productos de los vendedores.
Como el Protocolo de Internet no provee intrínsecamente de ninguna capacidad de seguridad, IPsec se introdujo para proporcionar servicios de seguridad tales como:
Cifrar el tráfico (de forma que no pueda ser leído por nadie más que las partes a las que está dirigido)
Validación de integridad (asegurar que el tráfico no ha sido modificado a lo largo de su trayecto)
Autenticar a los extremos (asegurar que el tráfico proviene de un extremo de confianza)
Anti-repetición (proteger contra la repetición de la sesión segura).

Así pues y dependiendo del nivel sobre el que se actúe, podemos establecer dos modos básicos de operación de IPsec: modo transporte y modo túnel.
 
Modo transporte
En modo transporte, sólo la carga útil (los datos que se transfieren) del paquete IP es cifrada o autenticada. El enrutamiento permanece intacto, ya que no se modifica ni se cifra la cabecera IP; sin embargo, cuando se utiliza la cabecera de autenticación (AH), las direcciones IP no pueden ser traducidas, ya que eso invalidaría el hash. Las capas de transporte y aplicación están siempre aseguradas por un hash, de forma que no pueden ser modificadas de ninguna manera (por ejemplo traduciendo los números de puerto TCP y UDP). El modo transporte se utiliza para comunicaciones ordenador a ordenador.
Una forma de encapsular mensajes IPsec para atravesar NAT ha sido definido por RFCs que describen el mecanismo de NAT transversal.

Modo túnel
En el modo túnel, todo el paquete IP (datos más cabeceras del mensaje) es cifrado o autenticado. Debe ser entonces encapsulado en un nuevo paquete IP para que funcione el enrutamiento. El modo túnel se utiliza para comunicaciones red a red (túneles seguros entre routers, p.e. para VPNs) o comunicaciones ordenador a red u ordenador a ordenador sobre Internet.

IPsec consta de dos protocolos que han sido desarrollados para proporcionar seguridad a nivel de paquete, tanto para IPv4 como para IPv6:
Authentication Header (AH) proporciona integridad, autenticación y no repudio si se eligen los algoritmos criptográficos apropiados.
Encapsulating Security Payload (ESP) proporciona confidencialidad y la opción -altamente recomendable- de autenticación y protección de integridad.
Los algoritmos criptográficos definidos para usar con IPsec incluyen HMAC- SHA-1 para protección de integridad, y Triple DES-CBC y AES-CBC para confidencialidad.
Publicadas por a la/s No hay comentarios.:
Suscribirse a: Entradas (Atom)