2. IPsec
Es un conjunto de protocolos cuya función es asegurar
las comunicaciones sobre el Protocolo de Internet (IP)
autenticando y/o cifrando cada paquete IP en un flujo
de datos.
IPSec es un estándar que proporciona servicios de
seguridad a la capa IP y a todos los protocolos
superiores basados en IP (TCP y UDP, entre otros).
3. Beneficios
Posibilita nuevas aplicaciones como el acceso seguro y transparente de
un nodo IP remoto.
Facilita el comercio electrónico de negocio a negocio, al proporcionar
una infraestructura segura sobre la que realizar transacciones usando
cualquier aplicación. Las extranets son un ejemplo.
Permite construir una red corporativa segura sobre redes
públicas, eliminando la gestión y el coste de líneas dedicadas.
Ofrece al tele trabajador el mismo nivel de confidencialidad que
dispondría en la red local de su empresa, no siendo necesaria la
limitación de acceso a la información sensible por problemas de
privacidad en tránsito.
5. Dentro de IPSec se distinguen los siguientes
componentes:
Dos protocolos de seguridad:
IP Authentication Header (AH) e IP Encapsulating
Security Payload (ESP) que proporcionan mecanismos
de seguridad para proteger tráfico IP.
Un protocolo de gestión de claves Internet Key
Exchange (IKE) que permite a dos nodos negociar las
claves y todos los parámetros necesarios para
establecer una conexión AH o ESP.
6. IP Authentication Header (AH)
Es el procedimiento previsto dentro de IPSec para
garantizar la integridad y autenticación de los
datagramas IP. Esto es, proporciona un medio al
receptor de los paquetes IP para autenticar el origen de
los datos y para verificar que dichos datos no han sido
alterados en tránsito. Sin embargo no proporciona
ninguna garantía de confidencialidad, es decir, los
datos transmitidos pueden ser vistos por terceros.
9. Encapsulating Security Payload
(ESP)
El protocolo ESP proporciona autenticidad de
origen, integridad y protección de confidencialidad de
un paquete.
El objetivo principal del protocolo ESP (Encapsulating
Security Payload ) es proporcionar
confidencialidad, para ello especifica el modo de cifrar
los datos que se desean enviar y cómo este contenido
cifrado se incluye en un datagrama IP.
Adicionalmente, puede ofrecer los servicios de
integridad y autenticación del origen de los datos
incorporando un mecanismo similar al de AH.
12. Internet Key Exchange (IKE)
El protocolo IKE resuelve el problema más importante
del establecimiento de comunicaciones seguras: la
autenticación de los participantes y el intercambio de
claves simétricas. Tras ello, crea las asociaciones de
seguridad y rellena la SAD.
El protocolo IKE suele implementarse a través de
servidores de espacio de usuario, y no suele
implementarse en el sistema operativo. El protocolo
IKE emplea el puerto 500 UDP para su comunicación
14. Modos de funcionamiento
Modo transporte
En este modo el contenido transportado dentro del
datagrama AH o ESP son datos de la capa de transporte
(por ejemplo, datos TCP o UDP). Por tanto, la cabecera
IPSec se inserta inmediatamente a continuación de la
cabecera IP y antes de los datos de los niveles superiores
que se desean proteger. El modo transporte tiene la ventaja
de que asegura la comunicación extremo a extremo, pero
requiere que ambos extremos entiendan el protocolo IPSec
El modo transporte se utiliza para comunicaciones
ordenador a ordenador.
15. Modo túnel
En el modo túnel, todo el paquete IP (datos más
cabeceras del mensaje) es cifrado y/o autenticado.
Debe ser entonces encapsulado en un nuevo paquete
IP para que funcione el enrutamiento. El modo túnel
se utiliza para comunicaciones red a red (túneles
seguros entre routers, p.e. para VPNs) o
comunicaciones ordenador a red u ordenador a
ordenador sobre Internet.
17. CERTIFICADOS
Los certificados son credenciales electrónicas que
autentican a un usuario en Internet y en las intranets
Enlazan de forma segura una clave pública a la
entidad que posee la clave privada correspondiente.
Están firmadas digitalmente por la entidad emisora de
certificados (CA)
Comprueban la identidad de un usuario, equipo o
servicio que presente el certificado
Contienen detalles relativos al emisor yal sujeto
19. Configure IPSec para utilizar certificados
cuando:
Desee permitir a una empresa inter operar con otras
organizaciones que confíen en la misma CA.
Necesite un mayor nivel de seguridad que el
que proporciona el protocolo Kerberos o las claves
compartidas previamente.
Desee proporcionar acceso a clientes que no
pertenezcan a una estructura de Active Directory o no
admitan el protocolo Kerberos.