3. Definición
IPSec es un framework
compuesto por múltiples
protocolos de seguridad.
IPSec garantiza los tres pilares
de la seguridad informática:
confidencialidad,
autenticidad e integridad.
El protocolo IP carece
intrínsecamente de seguridad
y es necesario algún
mecanismo para protegerlo.
IPSec (Internet Protocol Security)
es un protocolo que aporta
seguridad al tráfico IP.
4. La primera fase del túnel se emplea simplemente para
intercambiar información de gestión y como apoyo para para
establecer el segundo túnel (IKE phase 2).
Es en esta fase donde se aplican los protocolos de seguridad
incluidos en el framework IPSec. De esta manera, los datos
de usuario se enviarán a través del túnel IKE phase 2.
IKE phase 2
En esta fase los dispositivos que desean establecer el túnel
IPSec (peers) negocian sobre la encriptación, autenticación,
hashing y otros parámetros requeridos.
Se establece de esta manera una sesión ISAKMP (Internet
Security Association and Key Management Protocol). La
colección de parámetros que los peers emplearán para la
seguridad se denomina SA (Security Association).
IKE phase 1
Internet Key Exchange (IKE)
Para establecer un túnel IPSec se emplea el protocolo IKE. La construcción del túnel se realiza en dos fases.
5. Framework IPSec
IKE se encarga de construir el túnel IPSec, pero no aporta seguridad por él
mismo al tráfico. Para ello puede emplear dos protocolos:
• AH (Authentication Header)
• ESP (Encapsulating Security Payload)
Ambos ofrecen autenticación e integridad, pero solo ESP soporta
encriptación. Debido a este detalle, ESP es más popular.
Los algoritmos disponibles de encriptación son: DES, 3DES y AES; mientras
que los algoritmos de hashing para asegurar la integridad son: MD5 y SHA.
La autenticación se consigue mediante una clave precompartida o
certificados digitales.
Los grupos DH determinan la fortaleza de la clave empleada en el proceso
de intercambio de claves. Los grupos más altos son más seguros pero
emplean más recursos de computación.
6. Este modo se emplea habitualmente en VPN Site-to-Site
donde se suele necesitar encapsular el paquete original IP
debido a tratarse normalmente de IP privadas que no pueden
ser enrutadas en internet. La nueva cabecera IP define los
puntos de encriptado de destino.
Túnel
El modo transporte se emplea frecuentemente entre dos
dispositivos que desean proteger tráfico inseguro (p. ej.
Telnet). En este modo los puntos finales de cifrado y de
comunicación son idénticos.
Transporte
Modo Transporte VS Modo Túnel
Tanto AH como ESP soportan estos dos modos de funcionamiento. La principal diferencia radica en que el
modo transporte usa el encapsulado original IP, mientras que el modo túnel usa un nuevo encapsulado.