2. IPsec (abreviatura de Internet Protocol security) es
un conjunto de protocolos cuya función es
asegurar las comunicaciones sobre el Protocolo de
Internet (IP) autenticando y/o cifrando cada
paquete IP en un flujo de datos. es un protocolo
que provee seguridad punto a punto en IPv4 e IPv6
(en IPv6 el soporte IPSec viene implementado por
defecto). IPSec es un estándar que poco a poco se
está aceptando en las distintas plataformas). Este
protocolo implementa cifrado a nivel del protocolo
IP, por lo que todos los protocolos por encima de
IP se pueden utilizar con IPSec de forma
transparente.
3. Modo transporte.- Sólo la carga útil (los datos que
se transfieren) del paquete IP es cifrada y/o
autenticada. El enrutamiento permanece intacto, ya
que no se modifica ni se cifra la cabecera IP; sin
embargo, cuando se utiliza la cabecera de
autenticación (AH), las direcciones IP no pueden ser
traducidas, ya que eso invalidaría el hash. El
propósito de este modo es establecer una
comunicación segura punto a punto, entre dos
hosts y sobre un canal inseguro. Este ejemplo
ilustra esto:
4. Modo Túnel: En el modo túnel, todo el paquete IP
(datos más cabeceras del mensaje) es cifrado y/o
autenticado. Debe ser entonces encapsulado en un
nuevo paquete IP para que funcione el
enrutamiento. El modo túnel se utiliza para
comunicaciones red a red (túneles seguros entre
routers, p.e. para VPNs) o comunicaciones
ordenador a red u ordenador a ordenador sobre
Internet. El propósito de este modo es establecer
una comunicación segura entre dos redes remotas
sobre un canal inseguro. Este ejemplo ilustra esto:
5. IPsec está implementado por un conjunto de protocolos criptográficos para
Asegurar el flujo de paquetes
Garantizar la autenticación mutua
Establecer parámetros criptográficos.
Propósito de diseño
IPsec fue proyectado para proporcionar seguridad en modo transporte
(extremo a extremo) del tráfico de paquetes, en el que los ordenadores de
los extremos finales realizan el procesado de seguridad, o en modo túnel
(puerta a puerta) en el que la seguridad del tráfico de paquetes es
proporcionada a varias máquinas (incluso a toda la red de área local) por un
único nodo.
IPsec puede utilizarse para crear VPNs en los dos modos, y este es su uso
principal. Hay que tener en cuenta, sin embargo, que las implicaciones de
seguridad son bastante diferentes entre los dos modos de operación.
6. La única desventaja que se le ve a IPSec por el
momento, es la dificultad de configuración con
sistemas Windows. El Windows 2000 y Windows XP
proveen herramientas para configurar túneles con
IPSec, pero su configuración es bastante difícil
(Microsoft nombra a todas las cosas en forma
diferente de lo estándar), y además posee algunas
limitaciones (como ser: necesita si o si IP estáticos).
7. IPSec no es seguro si el sistema no lo es: Los gateways de
seguridad deben estar en perfectas condiciones para poder
confiar en el buen funcionamiento de IPSec.
IPSec no provee seguridad de usuario a usuario: IPSec no provee
la misma clase de seguridad que otros sistemas de niveles
superiores. Por ejemplo, el GPG que se utiliza para cifrar
mensajes de correo electrónico, si lo que se necesita es que los
datos de un usuario los pueda leer otro usuario, IPSec no
asegura esto y se tendrá que utilizar otro método.
IPSec autentica máquinas, no usuarios: el concepto de
identificación y contraseña de usuarios no es entendido por
IPSec, si lo que se necesita es limitar el acceso a recursos
dependiendo del usuario que quiere ingresar, entonces habrá
que utilizar otros mecanismos de autenticación en combinación
con IPSec.
IPSec no evita los ataques DoS : estos ataques se basan en
sobrecargar la máquina atacada de tal modo de que sus usuarios
no puedan utilizar los servicios que dicha máquina les provee.
8.
9. Los certificados son documentos digitales que dan fe
de la vinculación entre una clave pública y un
individuo o entidad. Permiten verificar que una clave
pública específica pertenece, efectivamente, a un
individuo determinado. Los certificados ayudan a
prevenir que alguien utilice una clave para hacerse
pasar por otra persona. En algunos casos, puede ser
necesario crear una cadena de certificados, cada uno
certificando el previo, para que las partes
involucradas confíen en la identidad en cuestión.
10. En su forma más simple, los certificados
contienen una clave pública y un nombre.
Habitualmente, un certificado también contiene
una fecha de expiración, el nombre de la
Autoridad Certificante que emitió ese certificado,
un número de serie y alguna otra información.
Pero lo más importante es que el certificado
propiamente dicho está firmado digitalmente por
el emisor del certificado.
El formato de los certificados está definido por el
estándar internacional ITU-T X.509. De esta
forma, los certificados pueden ser leídos o
escritos por cualquier aplicación que cumpla con
el mencionado estándar.