Documentos de Académico
Documentos de Profesional
Documentos de Cultura
aplicaciones, adems de ser independiente de la tecnologa fsica empleada. IPSec se integra en la versin actual de IP (IP versin 4) y, lo que es todava ms importante, se incluye por defecto en IPv6. Puesto que la seguridad es un requisito indispensable para el desarrollo de las redes IP, IPSec est recibiendo un apoyo considerable: todos los equipos de comunicaciones lo incorporan, as como las ltimas versiones de los sistemas operativos ms comunes. Al mismo tiempo, ya existen muchas experiencias que demuestran la interoperabilidad entre fabricantes [3], lo cual constituye una garanta para los usuarios. Otra caracterstica destacable de IPSec es su carcter de estndar abierto. Se complementa perfectamente con la tecnologa PKI y, aunque establece ciertos algoritmos comunes, por razones de interoperabilidad, permite integrar algoritmos criptogrficos ms robustos que pueden ser diseados en un futuro. Es importante sealar que cuando citamos la palabra "seguro" no nos referimos nicamente a la confidencialidad de la comunicacin, tambin nos estamos refiriendo a la integridad de los datos, que para muchas compaas y entornos de negocio puede ser un requisito mucho ms crtico que la confidencialidad. Esta integridad es proporcionada por IPSec como servicio aadido al cifrado de datos o como servicio independiente.
1.2 Orgenes
El modelo que se uso en las primeras redes de computadoras fue conocido como ARPANET creada por el departamento de defensa de los Estados Unidos como una red de investigacin, ms adelante se necesit aadir redes de satlite y radios con lo cual se hizo necesario el cambio en la arquitectura de la red; este modelo de referencia se conoci entonces como TCP/IP (Transmission Control Protocol / Internet Protocol), que era de uso exclusivo. En este modelo TCP/IP se encuentra en la capa de interred la cual tiene como misin permitir que los nodos ingresen paquetes en cualquier red y los haga viajar de forma independiente a su destino. Esta capa de interred define un formato de paquete y protocolo oficial llamado IP (Internet Protocol). El modelo y sus protocolos con el tiempo fueron adoptados por varias empresas que utilizaban redes para la comunicacin de sus equipos de computacin por lo que se convirti en un estndar de facto pues la creacin de aplicaciones para redes de computadoras que utilizaban estos protocolos aument a pasos agigantados. El uso de este modelo pero principalmente de su protocolo IP en el mercado vino a convertirse con el tiempo en un verdadero problema ya que no se contempl la implementacin de ningn tipo de mecanismo de proteccin contra la alteracin de informacin, ni contra terceras partes que intenten algn tipo de sabotaje contra dicha informacin que circula a travs de las redes de comunicacin que utilizan este protocolo. Este problema surgi debido a que las empresas necesitaron volver las intranet pblicas (extranet), pues el entorno en el que estas operan (tanto empresas lucrativas como no lucrativas) las ha obligado a compartir su informacin con otras instituciones para brindar un mejor servicio y obtener mejores resultados en sus actividades. Cuando se conoci entonces el problema de la falta de seguridad en la comunicacin entre las redes de computadoras, se crearon productos que hasta hoy en da permiten colocar ciertos mecanismos de seguridad para proteccin de
la informacin que circula por las redes de comunicacin. Esto hasta ahora ha sido de preocupacin tanto para los administradores de redes de computadoras como para las empresas que proporcionan este protocolo, por lo que han iniciado desde hace algunos aos la implementacin de lo que se denomin IPSec, que es seguridad para las redes de computadoras que utilizan el protocolo de internet (IP).
que
supervisan
han
establecido
Los protocolos de Ipsec se definieron originalmente en las RFCs 1825 y 1829, publicadas en 1995. En 1998 estos documentos fueron sustituidos por las RFCs 2401 y 2412, que no son compatibles con la 1825 y 1829, aunque son conceptualmente idnticas. En diciembre de 2005 se produjo la tercera generacin de documentos, RFCs 4301 y 4309. Son en gran parte un superconjunto de la 2401 y 2412, pero proporcionan un segundo estndar de Internet Key Exchange. Esta tercera generacin de documentos estandariz la abreviatura de Ipsec como IP en maysculas y sec en minsculas. Es raro ver un producto que ofrezca soporte de RFC1825 y 1829. ESP se refiere generalmente a 2406, mientras que ESP bis se refiere a 4303.
IP Authentication Header (AH). AH es el protocolo IPSec utilizado para proveer servicios de integridad de datos, autenticacin del origen de los datos, y antireplay para IP [Naganand, et al. 1999]. Es un estndar definido en el RFC 2402 [RFC2402, 1998]. La principal diferencia entre la autenticacin provista entre ESP y AH tiene que ver con la cobertura, ESP no protege los campos del encabezado IP, a menos que sean encapsulados por ESP (modo tnel). El encabezado de protocolo (IPv4, IPv6 o extensin) que inmediatamente precede al encabezado AH contendr el valor 51 en su campo de protocolo (IPv4), o siguiente cabecera (IPv6) [RFC1700, 1994]. La figura 31 muestra el encabezado AH, todos los campos son obligatorios, tienen funciones similares a las explicadas en ESP, el campo reservado no se utiliza y su valor debe ser cero.
Encabezado AH
IP Encapsulating Security Payload (ESP) ESP es un encabezado de protocolo insertado en el datagrama IP para proveer servicios de confidencialidad, autenticacin del origen de los datos, antireplay e integridad de datos a IP [Naganand, et al. 1999]. Es un estndar definido en el RFC 2406. El encabezado ESP se inserta despus del encabezado IP y antes del encabezado del protocolo de capa superior (modo transporte) o antes del encabezado IP encapsulado (modo tnel) [RFC2406, 1998]. El encabezado de protocolo (IPv4, IPv6 o extensin) que inmediatamente precede al encabezado ESP contendr el valor 50 en su campo de protocolo (IPv4), o siguiente cabecera (IPv6) [RFC1700, 1994]. El formato de los paquetes ESP para una SA dada es fijo durante la duracin de la SA. El encabezado ESP tiene la forma definida en la figura 27, el SPI y nmero de secuencia ya fueron definidos, la carga til de datos son los datos protegidos, el relleno (de hasta 255 bytes) se utiliza en ESP por varias circunstancias: algunos algoritmos criptogrficos requieren que el elemento de entrada sea un mltiplo del tamao de su bloque, si no se especifica confidencialidad en la SA, se utiliza el relleno para justificar los campos Longitud de relleno y Siguiente cabecera del encabezado ESP, para esconder el tamao real de la carga til; el contenido del relleno es dependiente del algoritmo de criptografa, el algoritmo puede definir un valor de relleno que debe ser verificado por el receptor para el proceso de desencriptado. El campo de longitud de relleno define cunto relleno se agreg, el campo de siguiente cabecera indica el tipo de dato contenido en la carga til de acuerdo al conjunto de Nmeros de Protocolo IP definidos por IANA (Internet Assigned Numbers Authority) [RFC1700, 1994]. El campo de datos de
autenticacin contiene el valor de verificacin de integridad calculado sobre el paquete ESP menos los datos de autenticacin. ESP aplicado en modo transporte solo se utiliza en implementaciones del tipo host y provee proteccin a los protocolos de capas superiores, pero no al encabezado IP.
El encabezado ESP
es un security gateway. Asociaciones de seguridad. Una asociacin de seguridad (SA) es la forma bsica de IPSec, es el contrato entre dos entidades que desean comunicarse en forma segura. Las SA determinan los protocolos a utilizar, las transformaciones, las llaves y la duracin de validez de dichas llaves. Las SA son almacenadas en una base de datos (SADB), son de un solo sentido, es decir, cada entidad con IPSec tiene una SA para el trfico que entra, y otra SA para el trfico que sale. Adems de ser unidireccionales, tambin son especficas al protocolo, hay SA separadas para AH y para ESP. Implementacin de IPSec. La implementacin de IPSec puede hacerse en hosts, gateways/enrutadores, y/o firewalls, resultando conveniente la implementacin en stos ltimos al complementar mutuamente sus funciones. Tpicamente modificando la pila de IP para soportar IPSec de forma nativa, cuando esto no es posible, puede implementarse como interceptor que extrae e inserta paquetes en la pila de IP "Bump in the Stack" (BITS), o bien utilizando un dispositivo de encriptacin externo dedicado "Bump in the Wire" (BITW) como se esquematiza en la figura:
IPSec est diseado para operar en hosts y/o en gateways, en modo tnel para proteger datagramas IP completos (VPN), o en modo de transporte para proteger protocolos de capas superiores. A la fecha existen algunas implementaciones, sin embargo, la mayora limitadas a la aplicacin de VPN nicamente, sobre todo en implementaciones de forma nativa, de hecho es denominado por algunos como el "protocolo VPN". En los ltimos aos han emergido los proyectos para implementar seguridad en sistemas operativos, esquemas BITS, en busca de brindar una plataforma base de seguridad independiente de las aplicaciones preferidas por el usuario.
Algo importante de mencionar de la seguridad extremo-a-extremo, es que puede afectar el funcionamiento de otras aplicaciones que requieran inspeccionar los paquetes en trnsito (Firewalls, QoS, etc.), y no puedan hacerlo, ya que vern solo paquetes ESP. Quiz la implementacin ms comn son las VPN que han sido vistas como una excelente alternativa de ahorro, en lugar de contratar lneas dedicadas, utilizar la red pblica con servicios de seguridad. Cuando IPSec se aplica a enrutadores en modo tnel, y dos enrutadores establecen tneles a travs de los cuales envan trfico desde una subred localmente protegida hacia otra subred remotamente protegida se denomina una VPN, la siguiente figura muestra un esquema de este tipo.
Existe otro tipo de implementacin que es una combinacin de la extremoa-extremo donde un host encripta y desencripta trfico que enva y recibe, y la VPN en donde es un enrutador el que hace este trabajo. En la configuracin del tipo Road Warrior, una computadora implementa IPSec y es capaz de asegurar los paquetes que enva y verificar la seguridad de los paquetes que recibe, su extremo IPSec es un enrutador que protege la red con la cual se desea establecer la comunicacin. La siguiente figura ilustra este esquema.
Tambin es posible la implementacin de tneles anidados, un ejemplo podra ser una institucin que tiene un gateway de seguridad para proteger su red de ataques del exterior, pero adems tiene otro gateway de seguridad en su red interna para proteccin de ataques internos. La siguiente figura muestra este esquema, difcil de mantener y establecer, pero quiz til y necesario para ciertas necesidades entre instituciones con instalaciones remotas.
Dejar de utilizar NAT Una consecuencia indirecta del uso de NAT es que se emplea a modo de cortafuegos para proteger los equipos internos de las conexiones externas. Pero ya que IPv6 elimina su necesidad, se deber modificar la poltica de los cortafuegos para que, segn la poltica de seguridad, filtre o no las comunicaciones directas a los equipos de la red privada. Necesidad de multicast e ICMP Muchos cortafuegos bloquean estos protocolos, aunque ciertas partes pueden ser muy importantes como, por ejemplo, el uso de ICMP para PMTU10. En IPv6 son imprescindibles para su funcionamiento; por lo tanto, se debern modificar las polticas de seguridad para permitir determinadas comunicaciones multicast e ICMP. Cambio en la monitorizacin de la red Debido al gran nmero de direcciones disponibles ser inviable escanear la red por fuerza bruta, por lo que los equipos se inventariarn de otra manera como, por ejemplo, en un servidor DNS. Sin embargo, posiblemente surjan otras formas de escanear una red: existen direcciones multicast concretas para localizar servicios (por ejemplo FF05::2 All routers, FF05::1:3 All DHCP Servers) y direcciones de link-local, que permiten la comunicacin en el segmento de red al que se est conectado. Un atacante puede utilizar estas direcciones para establecer contacto con equipos o servicios. Aunque, en la prctica, este mtodo no ser probable que tenga xito ya que la mayor parte de los sistemas operativos estn configurados para no responder a estas peticiones.
Doble exposicin IPv6 e IPv4 Durante aos convivirn sistemas con doble pila, que soporten ambas versiones del protocolo, y mecanismos de transicin a IPv6, lo que provocar que haya mayores posibilidades de existencia de vulnerabilidades. Por otra parte, un sistema podr ser atacado utilizando IPv4, IPv6 o una combinacin de ambos, por ejemplo, utilizando IPv4 para detectar el equipo e IPv6 como canal oculto de comunicaciones. Actualizacin de protocolos y equipos a IPv6 La gran mayora de protocolos han sido adaptados para que utilicen direcciones IPv4 e IPv6, como por ejemplo BGP11 o DNS. La implantacin de IPv6 supondr la instalacin y/o configuracin de estos protocolos. Existe el problema de que algunas aplicaciones que trabajan con IPv6 no son actualizadas frecuentemente. Tambin existe actualmente una falta de soporte por parte de algunos fabricantes de enrutadores, switches y cortafuegos, aunque se prev un mayor impulso a medida que haya una mayor adopcin del protocolo.
4. CONCLUSIONES
IPSec es un protocolo punto a punto, es decir, establece una comunicacin segura entre dos puntos nicamente, y no es un protocolo end-to-end, es decir, no hay proteccin de sistema a sistema, o de usuario a usuario. IP es el vehculo para los protocolos de capas ms altas y, en consecuencia, es susceptible de enfrentar ataques severos, ya sea a la seguridad de los datos manejados por las aplicaciones y transportados: por los protocolos de las capas ms altas, como TCP, o al comportamiento de la red en s misma. Por esta razn IPSec surge como un estndar extraordinariamente potente y flexible, brindando servicios de seguridad como autenticacin, integridad, control, de acceso y confidencialidad. IPSec es una buena solucin para requerimientos de seguridad en Internet, ya que incorpora encriptacin, autenticacin y manejo de llaves en un solo estndar. IPSec puede ser adaptado para cubrir los diferentes requerimientos de seguridad de grandes y pequeas organizaciones,' ya que est diseado para soportar mltiples esquemas de encriptacin y algo muy importante, permite la interoperabilidad entre distintos proveedores.