evaluación ipsec
DESCRIPTION
Evaluación IPSecTRANSCRIPT
Evaluación IPSec
Evaluación IPSec
• Evaluación de dispositivos IPSec.
– Uso de herramientas:
• Propias, simulando:– Negociaciones.
– Destrucción de túneles.
– Retardos de Red.
– Diferentes topologías.
2Titulo Presentación© 2010 evalues
•Soluciones privativas (IXIA).- Conformidad con el estándar.
•Informes y Metodología.
-Metodología propia de Evaluación-Servidor Subversión (repositorio)
Conjunto de Pruebas y Categorización
3Titulo Presentación© 2010 evalues
Pruebas IPSec
Pruebas de Conformidad
Protocolo ESP
Protocolo AH
Protocolo ISAKMP
Pruebas Funcionales
Funciones de cifrado
Métodos de autenticación
Modos de negociación
PFS
Pruebas de penetración
Atacantes Inexpertos
Atacantes Expertos
Atacantes Avanzados
Pruebas de rendimiento
Negociación de túneles
Destrucción de túneles
Capacidad encaminadora
2010 EVALUES - Seguridad en Sistemas de Información
4
Topología de Evaluación IPSEC
2010 EVALUES - Seguridad en Sistemas de Información
5
Evaluación del rendimiento
IKE-17.25
Clase √ MUST □ SHOULD □ MAY Resolución PASS
Referencia NEGATIVE: RFC 2408 s5.5 p63 Proposal Payload Processing RFC 2407 s4.1 p6
IPSEC Security Protocol Identifier
Descripción
IKE MUST not respond to an incoming ISAKMP packet containing aProposal with a Protocol-Id not
supported by IPSEC DOI and MAY notifyINVALID-PROTOCOL.Aggressive mode/ANVL
initiated/Negative
Observaciones
2010 EVALUES - Seguridad en Sistemas de Información
6
IKE-17.27
Clase √ MUST □ SHOULD □ MAY Resolución FAIL
Referencia NEGATIVE: RFC 2408 s3.6 p30 Transform Payload
Descripción
IKE MUST not respond to an incoming ISAKMP packet containing oneTransform Payload if the value of
NP field is not 0 and MAYnotify INVALID-PAYLOAD-TYPE.Aggressive mode/ANVL
initiated/Negative
Observaciones
! Incorrectly received Responder's <HDR,SA,KE,Nr,IDir,HASH_R>
Packet! from DUT 192.168.0.3 (on interface 192.168.0.4)
Herramienta IXIA
Ejemplo de Resultados (IXIA)
7Titulo Presentación© 2010 evalues
• Informe sobre la herramienta OpenSwan v2.6.22 sobre sucapacidad funcional y conformidad con las normas vigentes.
Perfil Protocolo Tamaño Mensaje
Sentido Latencia % Perdida % Retransmis
ión
Máx. Ancho de Banda
UDP MTU Bidireccional 0 ms 0% 0%
RedSaturada
UDP MTU Bidireccional 1500 ms 40% 65%
Uso Tradicional
90% TCP9% UDP1% ICMP
250 bytes Bidireccional 0 ms 1% 2%
Asim. TCP Entrada
TCP MTU Hacia la I.E. 0 ms 1% 2%
Asim TCPSalida
TCP MTU Hacia la I.E. 0 ms 1% 2%
2010 EVALUES - Seguridad en Sistemas de Información
8
Perfiles de Red; Ejemplos
• Nokia
• Cisco
• Teldat
2010 EVALUES - Seguridad en Sistemas de Información
9
Evaluaciones realizadas