martes, 15 de julio de 2008

IPSec

Recientemente tuve que investigar sobre el tema de IPSec y para usar esa investigación incluiré un artículo sobre el mismo, con una breve recopilación de información:

El protocolo IP, es ampliamente conocido y aplicado, pero tiene una deficiencia: seguridad, es por ello que el Grupo de Seguridad de la IETF desarrolló mecanismos para proteger al protocolo IP denominado: IP Security Protocol (IPSEC).

Provee servicios de encriptación con flexibilidad para soportar combinaciones de autenticación, integridad, control de acceso y confidencialidad, brindando seguridad en este nivel.

¿Que es IPSec?

IPSec no es un protocolo propiamente dicho como IP o UDP. Es mas bien un conjunto de estándares u otros protocolos que se utilizan para proporcionar servicios de seguridad en la capa de red permitiendo al sistema

  • seleccionar los protocolos de seguridad
  • determinar el/los algoritmo/s a utilizar para el/los servicio/s
  • implementar cualquier algoritmo criptográfico requerido para proporcionar los servicios solicitados

Actúa protegiendo y autenticando los paquetes IP entre los equipos que se definen como participantes en la comunidad IPSEC los cuales normalmente, ambas partes requieren una configuración de IPSec. para establecer las opciones y los parámetros de seguridad que permitirán que ambos sistemas acuerden el modo de proteger el tráfico entre ellos.

Los equipos que se limitan a enrutar datos desde el origen hasta el destino no necesitan ser compatibles con IPSec, salvo en el caso de que se filtren paquetes de tipo servidor de seguridad o se traduzcan direcciones de red entre los dos equipos

Se puede utilizar para:

  • proteger "trayectorias"
  • crear una VPN
  • permitir la comunicación entre las oficinas remotas
  • Y los clientes de acceso remoto a través de Internet.


Características

  • Es transparente para el usuario.
  • Seguridad de encapsulación.
  • Claves basadas en criptografía.
  • Administración automática de claves.
  • Negociación de seguridad automática.
  • Seguridad a nivel de red.
  • Autenticación mutua.
  • La comunicación se cifra.
  • Filtrado de paquetes IP.



La arquitectura como lo muestra la imagen anterior se compone de dos protocolos para proporcionar la seguridad del tráfico:
  • Authentication Header (AH) : proporciona autenticación.
  • Encapsulating Security Payload (ESP): proporciona además de autenticación encriptación.

Se crean las DOI domain of interpretation (parametros que se negocian para establecer los canales seguros) estos parámetros son los que dicen que algoritmos y métodos se van a utilizar para la comunicación.

Se da la administración de claves, las cuales se estaran cambiando durante la comunicación. Y las politicas son las directrices, por ejemplo con ipsec tool para Linux las politicas se configuran asi:

Se plantean dos modos de funcionamiento en Ipsec:

Transporte

  • Se protege la carga útil IP (capa de transporte)
  • Por ejemplo datos tcp o udp,
  • La cabecera IPSec se inserta después de la cabecera ip y antes de los datos.
  • Este modo se asegura la comunicación extremo a extremo.
  • Pero obligatoriamente ambos extremos deben entender IPSec.

Tunel

  • Se protegen paquetes IP (capa de red) completos, incluida la cabecera IP original.
  • Se toma todo el datagrama IP se le añade una cabecera inicial AH o ESP,
  • Posteriormente una cabecera IP que es la que se utiliza para encaminar los paquetes a través de la red.
  • Se utiliza normalmente cuando:
  • el destino final no realiza las funciones IPSec,
  • es empleado por gateways para identificar una red bajo una IP
  • se desea ocultar la identidad de los nodos, un ejemplo típico son las VPN a través de redes publicas (es denominado por algunos "protocolo VPN”. ).


La diferencia radica en la unidad que se esté protegiendo


No hay comentarios:

Publicar un comentario