comunidades

Qué es IPSec y cómo funciona

protocolo ipsec


IPSec es un framework o colección de protocolos que actúan en la capa de Red del modelo OSI y que juntos forman una de las tecnologías más seguras y soportadas, utilizada habitualmente para establecer túneles a través de redes IP, las llamadas Redes Privadas Virtuales (VPN).

Al actuar en la capa 3 puede proteger los protocolos de red, transporte y aplicación. Lo que lo hacen mucho más seguro y flexible que, por ejemplo https, que solamente protege a la capa de aplicación.

Qué ofrece IPSec

Los servicios que proporciona IPSec son los siguientes:

Autenticación mútua: Cada extremo de la comunicación verifica su identidad. Ya sea a través de contraseñas, smart cards, certificados, datos biométricos, etc. Además los paquetes enviados en la comunicación se verifican para confirmar que han sido enviados desde el emisor real. Para ello se usa cifrado asimétrico.

Confidencialidad: Todos los paquetes se encriptan para protegerlos de intercepciones de terceros no deseadas. Generalmente se usa cifrado simétrico (misma clave) para cifrar y descifrar los paquetes (por ejemplo, AES).

Integridad:  En el destino se verifica que todos los paquetes fueron recibidos íntegramente y que por lo tanto no se han modificado por el camino y no están corrompidos.

Protección de Repetición: Los paquetes enviados cuentan con una identificación única y que luego será descartada. Hecho que asegura que alguien que captura los paquetes no pueda volver a enviarlos al receptor modificados con su dirección IP para conseguir información privilegiada.

Control de acceso: Los extremos de la comunicación pueden filtrar mediante ACLs que solo los usuarios (clientes) autorizados se pueden conectar a la VPN.

Protección contra monitorización: Todos los anteriores puntos dan como resultado una conexión muy segura que inhabilita a un man-in-the-middle saber quienes se están comunicando y con qué frecuencia.

Protocolos de IPSec

IPSec usa 3 protocolos que funcionan tanto para IPv4 como para IPv6 y que juntos logran ofrecer el listado de servicios anteriormente mencionado.

Authentication Header (AH)

Este protocolo proporciona integridad, autenticación y no repudio. Una de las acciones que hace es realizar un hash de las partes no mutantes de la cabecera IP (las partes que cambian: offset de fragmentación, TTL, checksum, etc no se hashean por razones obvias) y de los datos. Dicho hash se ubica en la cabecera IPSec (AH). Una vez el paquete llega al router este se vuelve a hashear (esta vez con la cabecera IPSec) antes de transmitirlo para evitar que modificando el primer hash se consiga cambiar el contenido de los datos. De esta forma proporciona la integridad: Si ambos hashes no son iguales en el destino querrá decir que el paquete ha sido modificado y se procederá al reenvío de este.

El problema del doble hasheado recae en la imposibilidad de hacer NAT. Si se modificase IP destino o los puertos destino, los hashes se invalidarían (y además afectaría gravemente el intercambio de claves inicial mediante IKE, el tercer protocolo que explicaremos). Por eso se usa NAT Transversal.

NAT Transversal hace que los paquetes pasen mejor a través de Firewalls. Todos los fabricantes más importantes (Cisco, Juniper, etc) soportan NAT-T.

Opcionalmente AH también puede proteger de los ataques de repetición usando la técnica de ventana deslizante: un dispositivo de control de flujo en el que el receptor indica al emisor cuál es su estado de disponibilidad para recibir datos.

La cabecera AH tiene la siguiente estructura:

Cabecera AH

Donde los campos importantes son:

SPI: Identificador asociado a la conexión establecida.

Sequence number: Número de secuencia del paquete, usado para evitar ataques de repetición.

HMAC: Contiene el hash con el que se autentica el paquete.

Se puede usar tanto en Transport como en Tunnel mode; pero en ninguno de los dos casos cifra los paquetes. Si se usa AH no se garantiza la confidencialidad.

AH se considera el protocolo IP número 51.

Encapsulating Security Protocol (ESP)

Proporciona confidencialidad y la opción de autenticación e Integridad. ESP se suele usar en modo túnel porque sinó ESP no protege la cabecera IP. Entonces, los problemas con NAT no se presentan con este protocolo.

En modo túnel, como veremos a continuación, sí protege la cabecera IP interna pero no la nueva cabecera IP que encapsula todo el datagrama.

La gran diferencia frente a AH es que sí proporciona confidencialidad, es decir, encripta el paquete. Los algoritmos usados son AES con clave de 128 bits o 3DES. No entraremos en detalles pero ambos se consideran seguros, aunque AES es más rápido y no requiere de tantos recursos.

La cabecera ESP tiene la siguiente estructura:

cabecera ESP
cabecera ESP

Donde los campos importantes son:

SPI: Identificador asociado a la conexión establecida.

Sequence number: Número de secuencia del paquete, usado para evitar ataques de repetición.

Payload Data: Datos a transferir.

Authentication Data: Datos para la autenticación (opcional).
ESP  se considera el protocolo IP número 50.

IKE (SA)

Para poder empezar la transmisión IPSec primero hay que crear una Asociación de Seguridad (SA). Antes de establecer la comunicación ambos extremos se intercambian una clave privada y el algoritmo a usar por un método seguro (e.g. IKE o IKEv2). Dicha asociación se hace constar en la cabecera de los paquetes con el SPI (Security Parameter Index).

En este intercambio de datos se acuerdan:

El algoritmo de encriptación: AES, 3DES, etc

Qué función de hash se usa: MD5 o SHA

Si se usa Transport o Tunnel Mode y si se usa ESP o AH

Qué algoritmo de autentificación usar: pre-shared key, cifrado asimétrico, clave pública emitida por un CA, etc

La vida útil de la asociación
IKE proporciona un framework para esta negociación e intercambio de claves que emplea Diffie-Helmann para establecer el secreto compartido (la clave que solamente conocerán ambos extremos de la comunicación).

IKE se implementa a través de un daemon que corre en modo usuario junto con una pila IPSec en el Kernel, por lo que tiene fácil acceso a los certificados, claves e información de configuración, que garantizan un buen rendimiento. Usa paquetes UDP a través del puerto 500 y en total se envían de 4 a 6 paquetes antes de establecer una SA.

La negociación IKE consta de 2 fases:

Fase 1 IKE: Consiste en establecer un canal de comunicaciones seguro a través de Diffie-Helmann en el que se genera una sola SA. Se puede realizar tanto en modo principal (protegiendo la identidad de los extremos) como en modo agresivo (sin protegerla).

Fase 2 IKE: Una vez establecido el canal seguro IKE se establece otra negociación, esta vez para un SA IPSec.
ike ipsec


Modos de funcionamiento

IPSec puede funcionar en dos modos diferentes: Transport Mode y Tunnel Mode.

Transport Mode

En modo transporte solamente los datos del paquete son encriptados y/o autenticados(en función de si se usa AH o ESP). La información de enrutamiento, es decir la cabecera IP del paquete, permanece intacta sin ser encapsulada por una cabecera IP adicional.

Por eso, la cabecera IPSec, cuyos campos cambiarán en función de si se usa ESP o AH,  se coloca después de la cabecera IP.

Las capas de aplicación y de transporte están hasheadas, por lo que se garantiza la integridad de dichos datos gracias a la cabecera IPSec. Si se usa ESP, además se le añade cifrado.

modo transporte ipsec


Dicha seguridad es extremo a extremo, por lo que se emplea generalmente en las topologías host-to-host. 

Si se usa AH se tiene que usar NAT transversal para que el cambio de IPs no haga que el hash quede invalidado.

Tunnel Mode

Este modo de uso incluye una cabecera IP adicional que encapsula a la original junto con la cabecera IPSec, situada en medio de las dos cabeceras IP. La cabecera IPSec variará en función del protocolo usado (AH o ESP).

En este modo todo el paquete ip (cabecera IP original incluida) es cifrado y/o autenticado. Para que el enrutamiento siga funcionando se tiene que añadir una cabecera IP adicional, que tendrá una IP diferente que la de la cabecera original.

modo túnel ipsec


Se usa generalmente para VPN Gateway-to-Gateway, o conexiones host-to-gateway.

The post appeared first on aprendederedes.com.

Fuente: este post proviene de Aprende De Redes, donde puedes consultar el contenido original.
¿Vulnera este post tus derechos? Pincha aquí.
Creado:
¿Qué te ha parecido esta idea?

Esta idea proviene de:

Y estas son sus últimas ideas publicadas:

IPSec es un framework o colección de protocolos que actúan en la capa de Red del modelo OSI y que juntos forman una de las tecnologías más seguras y soportadas, utilizada habitualmente para establecer ...

Etiquetas: Sin categoría

Recomendamos

Relacionado

Sin categoría

Qué es la máscara de red Es un número binario de 32 bits que sirve para determinar el netID con los bits a 1 (bloques a 255) y el hostID con los bits a 0 (bloques a 0) de cada dirección IP. Es decir, nos dice qué parte de la IP le corresponde a la red y qué parte le corresponde al host. Así pueden saber hacia donde se tienen que encaminar los paquetes de datos. Simplemente, los routers comprueban ...

innovación streaming tecnología

Los primeros sitios web eran simples páginas de texto con quizás una imagen o dos. Hoy, sin embargo, cualquier persona con una conexión a Internet lo suficientemente rápida puede transmitir películas de alta definición o hacer una videollamada a través de Internet. Esto es posible gracias a una tecnología llamada streaming. Esta tecnología es la transmisión continua de archivos de audio o video de ...

Opiniones

Urban VPN: Precios, Ranking, Análisis Y Opiniones ¿Necesitas un vpn para mantener el anonimato de tu IP, pero no quieres pagar por ello? En este post tenemos una excelente solución. Urban VPN ofrece un servicio completamente gratis para mantener la seguridad del IP. Cuenta con más de 4000 servidores a lo largo del mundo, ubicados en 85 países diferentes. Urban VPN es un servicio bastante llamativo ...

En qué consiste el streaming y cómo funciona Informática El streaming es una tecnología que se utiliza para enviar contenidos a ordenadores y dispositivos móviles a través de Internet. El streaming transmite datos -normalmente de audio y vídeo- como un flujo continuo, que permite a los receptores empezar a ver o escuchar casi inmediatamente sin tener que esperar a que se complete la descarga. Y es ...

Introducción Redes

Cuando revisamos quién se conecta a nuestra red, los programas que usemos nos darán cierta información en la que aparecerán diferentes dispositivos identificados por su fabricante y modelo, su dirección IP y su dirección física o dirección MAC. Cuando hay muchos dispositivos conectados a la red es útil conocer las características de una MAC para poderlos identificar el tuyo de forma óptima. Qué es ...

servicios correo electronico pop3 imap ...

Los servicios de correo electrónico se basan en un modelo cliente-servidor y pueden utilizarse en cualquier tipo de red TCP/IP. En el proceso de envío y recepción de correo electrónico participan tres tipos de agentes: MTA – Mail Transpor Agent o Agente de Transferencia de Correo. Es un software que transfiere correo electrónico de una computadora a otra, es el servidor SMTP el que envía el correo ...

Linux

En mi post de hace dos semanas, les presenté a los esclavos KDE KIO y les di una breve descripción de los servicios que ofrecen. Uno de los protocolos KIO es «remote:/», que depende de KNetAttach para crear carpetas de red virtuales. Con él, puede crear carpetas para los siguientes servicios: Carpeta web (webdav ) FTP Unidad de red Microsoft Windows (usando Samba ) Shell seguro (ssh) Ca ...

Instagram

En esta era digital en la cual nos encontramos, surgen muchas, aplicaciones, juegos, redes sociales, entre otras, ya que la sociedad demanda cada vez mas innovaciones. Es por ello que en la mente de unos genios surge una plataforma social muy popular y utilizada actualmente. Y con el fin de conocer más sobre ella hablaremos de que es y como funciona Instagram, tanto para aquellas personas que son ...

android apps api ...

Google Nearby es una aplicación que funciona mediante Google Play Services, en segundo plano y viene incluida con todos los Smartphones Android. Según los creadores de esta función, Nearby es “un grupo de APIs disponibles para que los desarrolladores puedan incorporar a sus Apps”. La función principal de Nearby es que dos dispositivos se comuniquen o mejor dicho que intercambien datos uno con en e ...

Todo Google chromecast

Chromecast es un dispositivo multimedia que se conecta a la televisión permitiendo la conexión y proyección de contenido de dispositivos cómo teléfonos, tablets, ordenadores. Chromecast está compuesto por varios elementos: procesador, memoria, usb, wifi y hdmi. Mediante la conexión hdmi lo conectamos a nuestro televisor y luego por wifi a la red de nuestra casa. Chromecast nos permite convertir un ...