The translation is temporarily closed for contributions due to maintenance, please come back later.

Translation

(itstool) path: sect2/para
English
will capture 4000 raw packets to <replaceable>dumpfile.bin</replaceable>. Up to 10,000 bytes per packet will be captured in this example.
Context English Spanish State
$FreeBSD: head/en_US.ISO8859-1/articles/ipsec-must/article.xml 52227 2018-09-06 01:30:47Z ebrandi $ $FreeBSD$
You installed IPsec and it seems to be working. How do you know? I describe a method for experimentally verifying that IPsec is working. Instaló IPsec y parece estar funcionando. ¿Cómo lo sabe? Describo un método para verificar de forma experimental que IPsec está funcionando.
The Problem El problema
First, lets assume you have <link linkend="ipsec-install"> installed <emphasis>IPsec</emphasis></link>. How do you know it is <link linkend="caveat">working</link>? Sure, your connection will not work if it is misconfigured, and it will work when you finally get it right. <citerefentry><refentrytitle>netstat</refentrytitle><manvolnum>1</manvolnum></citerefentry> will list it. But can you independently confirm it? Primero, asumamos que ha <link linkend="ipsec-install">instalado <emphasis>IPsec</emphasis></link>. ¿Cómo sabe que está <link linkend="caveat">funcionando</link>? Claro, su conexión no funcionará si está mal configurada, y funcionará cuando finalmente lo haga bien. <citerefentry><refentrytitle>netstat</refentrytitle><manvolnum>1</manvolnum></citerefentry> la listará. ¿Pero puede confirmarlo de forma independiente?
The Solution La solución
First, some crypto-relevant info theory: Primero, alguna información teórica relevante sobre criptografía:
Encrypted data is uniformly distributed, i.e., has maximal entropy per symbol; Los datos cifrados se distribuyen uniformemente, es decir, tienen una entropía máxima por símbolo;
Raw, uncompressed data is typically redundant, i.e., has sub-maximal entropy. Los datos sin procesar y sin comprimir suelen ser redundantes, es decir, tienen una entropía submáxima.
Suppose you could measure the entropy of the data to- and from- your network interface. Then you could see the difference between unencrypted data and encrypted data. This would be true even if some of the data in <quote>encrypted mode</quote> was not encrypted---as the outermost IP header must be if the packet is to be routable. Suponga que usted pudiera medir la entropía de los datos que van hacia -y desde- su interfaz de red. Entonces podría ver la diferencia entre los datos no cifrados y los cifrados. Esto sería verdad incluso si algunos de los datos en <quote>modo cifrado</quote> no lo estuvieran---ya que el encabezado IP más externo debe estarlo para que el paquete sea enrutable.
MUST MUST
Ueli Maurer's <quote>Universal Statistical Test for Random Bit Generators</quote>(<link xlink:href="https://web.archive.org/web/20011115002319/http://www.geocities.com/SiliconValley/Code/4704/universal.pdf"> <acronym>MUST</acronym></link>) quickly measures the entropy of a sample. It uses a compression-like algorithm. <link linkend="code">The code is given below</link> for a variant which measures successive (~quarter megabyte) chunks of a file. El <quote>Universal Statistical Test for Random Bit Generators</quote> (<link xlink:href="https://web.archive.org/web/20011115002319/http://www.geocities.com/SiliconValley/Code/4704/universal.pdf"><acronym>MUST</acronym></link>) de Ueli Maurer mide rápidamente la entropía de una muestra. Utiliza un algoritmo de compresión. <link linkend="code">El código se proporciona a continuación</link> para una variante que mide partes sucesivas (~cuarto de megabyte) de un archivo
Tcpdump Tcpdump
We also need a way to capture the raw network data. A program called <citerefentry><refentrytitle>tcpdump</refentrytitle><manvolnum>1</manvolnum></citerefentry> lets you do this, if you have enabled the <emphasis>Berkeley Packet Filter</emphasis> interface in your <link linkend="kernel">kernel's config file</link>. También necesitamos una forma de capturar los datos de red sin procesar. Un programa llamado <citerefentry><refentrytitle>tcpdump</refentrytitle><manvolnum>1</manvolnum></citerefentry> le permite hacerlo, si tiene habilitada la interfaz de <emphasis>Berkeley Packet Filter</emphasis> en el <link linkend="kernel">archivo de configuración de su kernel</link>.
The command: El comando:
<userinput>tcpdump -c 4000 -s 10000 -w <replaceable>dumpfile.bin</replaceable></userinput> <userinput>tcpdump -c 4000 -s 10000 -w <replaceable>dumpfile.bin</replaceable></userinput>
will capture 4000 raw packets to <replaceable>dumpfile.bin</replaceable>. Up to 10,000 bytes per packet will be captured in this example. capturará 4000 paquetes sin procesar en el fichero <replaceable>dumpfile.bin</replaceable>. En este ejemplo se capturarán hasta 10.000 bytes por paquete.
The Experiment El experimento
Here is the experiment: Aquí está el experimento:
Open a window to an IPsec host and another window to an insecure host. Abra una ventana a un host IPsec y otra ventana a un host inseguro.
Now start <link linkend="tcpdump">capturing packets</link>. Ahora empiece a <link linkend="tcpdump">capturar paquetes</link>.
In the <quote>secure</quote> window, run the <trademark class="registered">UNIX</trademark> command <citerefentry><refentrytitle>yes</refentrytitle><manvolnum>1</manvolnum></citerefentry>, which will stream the <literal>y</literal> character. After a while, stop this. Switch to the insecure window, and repeat. After a while, stop. En la ventana <quote>segura</quote>, ejecute el comando <trademark class="registered">UNIX</trademark> <citerefentry><refentrytitle>yes</refentrytitle><manvolnum>1</manvolnum></citerefentry>, que transmitirá el carácter <literal>y</literal>. Después de un rato, detenga el comando. Cambie a la ventana insegura, y repita. Espere un poco, detenga el comando.
Now run <link linkend="code">MUST</link> on the captured packets. You should see something like the following. The important thing to note is that the secure connection has 93% (6.7) of the expected value (7.18), and the <quote>normal</quote> connection has 29% (2.1) of the expected value. Ahora ejecute <link linkend="code">MUST</link> en los paquetes capturados. Debería ver algo como lo siguiente. Lo importante a tener en cuenta es que la conexión segura tiene un 93% (6,7) del valor esperado (7,18), y la conexión <quote>normal</quote> tiene un 29% (2,1) del valor esperado.
<prompt>%</prompt> <userinput>tcpdump -c 4000 -s 10000 -w <replaceable>ipsecdemo.bin</replaceable></userinput>
<prompt>%</prompt> <userinput>uliscan <replaceable>ipsecdemo.bin</replaceable></userinput>

Uliscan 21 Dec 98
L=8 256 258560
Measuring file ipsecdemo.bin
Init done
Expected value for L=8 is 7.1836656
6.9396 --------------------------------------------------------
6.6177 -----------------------------------------------------
6.4100 ---------------------------------------------------
2.1101 -----------------
2.0838 -----------------
2.0983 -----------------
<prompt>%</prompt> <userinput>tcpdump -c 4000 -s 10000 -w <replaceable>ipsecdemo.bin</replaceable></userinput>
<prompt>%</prompt> <userinput>uliscan <replaceable>ipsecdemo.bin</replaceable></userinput>

Uliscan 21 Dec 98
L=8 256 258560
Measuring file ipsecdemo.bin
Init done
Expected value for L=8 is 7.1836656
6.9396 --------------------------------------------------------
6.6177 -----------------------------------------------------
6.4100 ---------------------------------------------------
2.1101 -----------------
2.0838 -----------------
2.0983 -----------------
Caveat Advertencia
This experiment shows that IPsec <emphasis>does</emphasis> seem to be distributing the payload data <emphasis>uniformly</emphasis>, as encryption should. However, the experiment described here <emphasis>cannot</emphasis> detect many possible flaws in a system (none of which do I have any evidence for). These include poor key generation or exchange, data or keys being visible to others, use of weak algorithms, kernel subversion, etc. Study the source; know the code. Este experimento muestra que IPsec <emphasis>parece</emphasis> estar distribuyendo los datos de la carga útil <emphasis>uniformemente</emphasis>, como debe hacerlo el cifrado. Sin embargo, el experimento aquí descrito <emphasis>puede no</emphasis> detectar muchas de las posibles fallas del sistema (para las cuales no tengo evidencias). Esto incluye la generación o intercambio de claves deficientes, datos o claves visibles para otros, uso de algoritmos débiles, subversión del kernel, etc. Estudie el código; conozca el código.
IPsec---Definition IPsec---Definición
Internet Protocol security extensions to IPv4; required for IPv6. A protocol for negotiating encryption and authentication at the IP (host-to-host) level. SSL secures only one application socket; <application>SSH</application> secures only a login; <application>PGP</application> secures only a specified file or message. IPsec encrypts everything between two hosts. Extensiones de seguridad del Protocolo de Internet para IPv4; requerido para IPv6. Un protocolo para negociar el cifrado y la autenticación a nivel de IP (host a host). SSL solo protege un socket de aplicación. <application>SSH</application> protege solo el login. <application>PGP</application> protege un archivo o mensaje específico. IPsec encripta todo entre dos hosts.
Installing IPsec Instalando IPsec
Most of the modern versions of FreeBSD have IPsec support in their base source. So you will need to include the <option>IPSEC</option> option in your kernel config and, after kernel rebuild and reinstall, configure IPsec connections using <citerefentry><refentrytitle>setkey</refentrytitle><manvolnum>8</manvolnum></citerefentry> command. La mayoría de las versiones modernas de FreeBSD soportan IPsec en su código base. Por lo tanto, deberá incluir la opción <option>IPSEC</option> en la configuración de su kernel y, después de recompilar y reinstalar el kernel, configure las conexiones de IPsec usando el comando <citerefentry><refentrytitle>setkey</refentrytitle><manvolnum>8</manvolnum></citerefentry>.
A comprehensive guide on running IPsec on FreeBSD is provided in <link xlink:href="@@URL_RELPREFIX@@/doc/en_US.ISO8859-1/books/handbook/ipsec.html">FreeBSD Handbook</link>. En el <link xlink:href="@@URL_RELPREFIX@@/doc/es_ES.ISO8859-1/books/handbook/ipsec.html">Manual de FreeBSD</link> se proporciona una guía completa sobre cómo ejecutar IPsec en FreeBSD.
src/sys/i386/conf/KERNELNAME src/sys/i386/conf/KERNELNAME

Loading…

User avatar None

New source string

FreeBSD Doc (Archived) / articles_ipsec-mustSpanish

New source string a year ago
Browse all component changes

Glossary

English Spanish
No related strings found in the glossary.

Source information

Source string comment
(itstool) path: sect2/para
Source string location
article.translate.xml:101
String age
a year ago
Source string age
a year ago
Translation file
articles/es_ES/ipsec-must.po, string 24