Encabezado de autenticación de protocolo de Internet

Requisito previo: Protocolo de Internet versión 6 (IPv6) Encabezado
El encabezado de autenticación de IP se utiliza para proporcionar integridad sin conexión y autenticación del origen de los datos. Hay dos ventajas principales que proporciona el encabezado de autenticación,

• Integridad del mensaje:
  significa que el mensaje no se modifica mientras proviene de la fuente.
• Autenticación de fuente:
  significa que la fuente es exactamente la fuente de la que esperábamos datos.

Cuando el paquete se envía desde el origen A al Destino B, consta de datos que necesitamos enviar y un encabezado que consiste en información sobre el paquete. El encabezado de autenticación verifica el origen de los datos y también la carga útil para confirmar si se ha realizado una modificación en el medio, durante la transmisión entre el origen y el destino.

Sin embargo, en tránsito, los valores de algunos campos de encabezado IP pueden cambiar (como el conteo de saltos, opciones, encabezados de extensión). Por lo tanto, los valores de dichos campos no se pueden proteger del encabezado de autenticación. El encabezado de autenticación no puede proteger todos los campos del encabezado IP. Proporciona protección a los campos que son esenciales para ser protegidos.

Encabezado de autenticación:
puede surgir la pregunta de cómo el encabezado IP sabrá que el encabezado de extensión adyacente es el encabezado de autenticación. Bueno, hay un campo de protocolo en el encabezado IP que indica el tipo de encabezado que está presente en el paquete. Por lo tanto, el campo de protocolo en el encabezado IP debe tener un valor de «51» para detectar el encabezado de autenticación.

1. Siguiente encabezado:
   el siguiente encabezado es un campo de 8 bits que identifica el tipo de encabezado presente después del encabezado de autenticación. En el caso de TCP, UDP o encabezado de destino o algún otro encabezado de extensión, almacenará el número de protocolo IP de correspondencia. Por ejemplo, el número 4 en este campo indicará IPv4, el número 41 indicará IPv6 y el número 6 indicará TCP.
2. Longitud de la carga
   útil: la longitud de la carga útil es la longitud del encabezado de autenticación y aquí usamos un factor de escala de 4. Sea cual sea el tamaño del encabezado, divídalo por 4 y luego reste por 2. Estamos restando por 2 porque no estamos contando los primeros 8 bytes de Encabezado de autenticación, que son las dos primeras filas de la imagen anterior. Significa que no estamos incluyendo el encabezado siguiente, la longitud de la carga útil, el índice reservado y el parámetro de seguridad en el cálculo de la longitud de la carga útil. Por ejemplo, si la longitud de la carga útil es X. Entonces (X+2)*4 será la longitud del encabezado de autenticación original.
3. Reservado:
   este es un campo de 16 bits que el remitente establece en «cero», ya que este campo está reservado para uso futuro.
4. Índice de parámetros de seguridad (SPI):
   es un campo arbitrario de 32 bits. Es un campo muy importante que identifica todos los paquetes que pertenecen a la conexión actual. Si enviamos datos desde el Origen A al Destino B. Tanto A como B ya conocerán el algoritmo y la clave que van a utilizar. Por lo tanto, para la autenticación, se requerirá una función de hash y una clave que solo la fuente y el destino conocerán. La clave secreta entre A y B se intercambia mediante el método del algoritmo Diffie Hellman . Por lo tanto, se corregirá el algoritmo hash y la clave secreta para el índice de parámetros de seguridad de la conexión. Antes de que comience la transferencia de datos, es necesario establecer una asociación de seguridad.

   En Security Association , ambas partes deben comunicarse antes del intercambio de datos. La asociación de seguridad indica cuál es el índice de parámetros de seguridad, el algoritmo hash y la clave secreta que se están utilizando.

5. Número de secuencia:
   este campo de 32 bits sin firmar contiene un valor de contador que aumenta en uno por cada paquete enviado. Cada paquete necesitará un número de secuencia. Comenzará desde 0 e irá hasta 232 – 1 y no habrá vuelta atrás. Digamos, si todos los números de secuencia han terminado y no queda ninguno, pero no podemos dar la vuelta porque no está permitido. Por lo tanto, finalizaremos la conexión y la restableceremos nuevamente para reanudar la transferencia de los datos restantes desde el número de secuencia 0. Básicamente, los números de secuencia se utilizan para detener el ataque de repetición.

   En el ataque de repetición , si el mismo mensaje se envía dos veces o más, el receptor no podrá saber si ambos mensajes se envían desde una sola fuente o no. Digamos, estoy solicitando 100 $del receptor y el Intruso en el medio pidió otros 100 $. El receptor no podrá saber que hay un intruso en el medio.

6. Datos de autenticación (valor de verificación de integridad):
   los datos de autenticación son un campo de longitud variable que contiene el valor de verificación de integridad (ICV) para el paquete. Usando un algoritmo hash y una clave secreta, el remitente creará un resumen del mensaje que se enviará al receptor. El receptor, por otro lado, utilizará el mismo algoritmo hash y clave secreta. Si ambos mensajes coinciden, el receptor aceptará los datos. De lo contrario, el receptor lo descartará diciendo que el mensaje se ha modificado en el medio. Básicamente, los datos de autenticación se utilizan para verificar la integridad de la transmisión. Además, la duración de los datos de autenticación depende del algoritmo hash que elija.

Conclusión:
¿Cómo puede ser útil el encabezado de autenticación?

• Integridad del mensaje también conocida como integridad sin conexión
• Autenticación de origen
• Protección contra ataques de repetición