Recientemente tuve que investigar sobre el tema de IPSec y para usar esa investigación incluiré un artículo sobre el mismo, con una breve recopilación de información:
El protocolo IP, es ampliamente conocido y aplicado, pero tiene una deficiencia: seguridad, es por ello que el Grupo de Seguridad de la IETF desarrolló mecanismos para proteger al protocolo IP denominado: IP Security Protocol (IPSEC).
Provee servicios de encriptación con flexibilidad para soportar combinaciones de autenticación, integridad, control de acceso y confidencialidad, brindando seguridad en este nivel.
¿Que es IPSec?
IPSec no es un protocolo propiamente dicho como IP o UDP. Es mas bien un conjunto de estándares u otros protocolos que se utilizan para proporcionar servicios de seguridad en la capa de red permitiendo al sistema
- seleccionar los protocolos de seguridad
- determinar el/los algoritmo/s a utilizar para el/los servicio/s
- implementar cualquier algoritmo criptográfico requerido para proporcionar los servicios solicitados
Actúa protegiendo y autenticando los paquetes IP entre los equipos que se definen como participantes en la comunidad IPSEC los cuales normalmente, ambas partes requieren una configuración de IPSec. para establecer las opciones y los parámetros de seguridad que permitirán que ambos sistemas acuerden el modo de proteger el tráfico entre ellos.
Los equipos que se limitan a enrutar datos desde el origen hasta el destino no necesitan ser compatibles con IPSec, salvo en el caso de que se filtren paquetes de tipo servidor de seguridad o se traduzcan direcciones de red entre los dos equipos
Se puede utilizar para:
- proteger "trayectorias"
- crear una VPN
- permitir la comunicación entre las oficinas remotas
- Y los clientes de acceso remoto a través de Internet.
Características
- Es transparente para el usuario.
- Seguridad de encapsulación.
- Claves basadas en criptografía.
- Administración automática de claves.
- Negociación de seguridad automática.
- Seguridad a nivel de red.
- Autenticación mutua.
- La comunicación se cifra.
- Filtrado de paquetes IP.
La arquitectura
como lo muestra la imagen anterior se compone de dos protocolos para proporcionar la seguridad del tráfico:
- Authentication Header (AH) : proporciona autenticación.
- Encapsulating Security Payload (ESP): proporciona además de autenticación encriptación.
Se crean las DOI domain of interpretation (parametros que se negocian para establecer los canales seguros) estos parámetros son los que dicen que algoritmos y métodos se van a utilizar para la comunicación.
Se da la administración de claves, las cuales se estaran cambiando durante la comunicación. Y las politicas son las directrices, por ejemplo con ipsec tool para Linux las politicas se configuran asi:
Se plantean dos modos de funcionamiento en Ipsec:
Transporte
- Se protege la carga útil IP (capa de transporte)
- Por ejemplo datos tcp o udp,
- La cabecera IPSec se inserta después de la cabecera ip y antes de los datos.
- Este modo se asegura la comunicación extremo a extremo.
- Pero obligatoriamente ambos extremos deben entender IPSec.
Tunel
- Se protegen paquetes IP (capa de red) completos, incluida la cabecera IP original.
- Se toma todo el datagrama IP se le añade una cabecera inicial AH o ESP,
- Posteriormente una cabecera IP que es la que se utiliza para encaminar los paquetes a través de la red.
- Se utiliza normalmente cuando:
- el destino final no realiza las funciones IPSec,
- es empleado por gateways para identificar una red bajo una IP
- se desea ocultar la identidad de los nodos, un ejemplo típico son las VPN a través de redes publicas (es denominado por algunos "protocolo VPN”. ).
La diferencia radica en la unidad que se esté protegiendo
