IPSEC

Resumen
Los protocolos deIPsecactan en la capa de red, la capa 3 del
modelo OSI. Otros protocolos de seguridad para Internet de uso extendido,
comoSSL,TLSySSHoperan en la capa de transporte (capa 4 del modelo
OSI) hacia arriba. Esto hace que IPsec sea ms flexible, ya que puede ser
utilizado para proteger protocolos de la capa 4, incluyendoTCPyUDP, los
protocolos de capa de transporte ms usados. Una ventaja importante de
IPsec frente a SSL y otros mtodos que operan en capas superiores, es que
para que una aplicacin pueda usar IPsec no hay que hacer ningn cambio,
mientras que para usar SSL y otros protocolos de niveles superiores, las
aplicaciones tienen que modificar su cdigo.

IPsec(abreviatura deInternet Protocol security) es un conjunto de

protocolos cuya funcin es asegurar las comunicaciones sobre el
protocolo de internet (IP) autenticando y/ocifrando cada paquete IP
en un flujo de datos. IPsec tambin incluye protocolos para
elestablecimiento de claves de cifrado.

IPsec es una extensin al protocolo IP que proporciona seguridad a IP

y a los protocolos de capas superiores. Inicialmente fue desarrollado
para usarse con el nuevo estndar IPv6 (donde es obligatorio),
aunque posteriormente se adapt a IPv4 (donde es opcional).

IPseces uno de losprotocolos de seguridad ms importantes. Este

protocolo proporciona servicios de seguridad en la capa de red y en la capa
de transporte, tanto en TCP como en UDP.

Gracias a IPsec podemoscomunicar diferentes puntos de Internet de forma

segura, es ampliamente utilizado en redes privadas virtuales de nuestros
hogares, pero tambin es utilizado en entornos corporativos donde la
seguridad es lo ms importante. Trabaja en la capa 3 de OSI (capa de red),
otros protocolos de seguridad como TLS trabajan en la capa 4 (capa de
transporte).

IPsec proporciona varios servicios necesarios para que la comunicacin sea

segura, estos servicios son los deconfidencialidad, integridad, y
autenticacin. Gracias a estos servicios, la seguridad de las
comunicaciones estan garantizadas.

Dentro de IPSec se distinguen los siguientes componentes:

Dos protocolos de seguridad: IP Authentication Header
(AH) e IP Encapsulating Security Payload (ESP) que
proporcionan mecanismos de seguridad para proteger
trfico IP.
Un protocolo de gestin de claves Internet Key
Exchange (IKE) que permite a dos nodos negociar las
claves y todos los parmetros necesarios para
establecer una conexin AH o ESP

El protocolo AH

El protocolo AH es el procedimiento previsto dentro de IPSec para

garantizar la integridad y autenticacin de los datagramas IP. Esto es,
proporciona un medio al receptor de los paquetes IP para autenticar el
origen de los datos y para verificar que dichos datos no han sido
alterados en trnsito. Sin embargo no proporciona ninguna garanta de
confidencialidad, es decir, los datos transmitidos pueden ser vistos por
terceros.

Tal como indica su nombre, AH es una cabecera de autenticacin que se

inserta entre la cabecera IP estndar (tanto IPv4 como IPv6) y los datos
transportados, que pueden ser un mensaje TCP, UDP o ICMP, o incluso
un datagrama IP completo

Figura 2. Estructura de un datagrama AH

El protocolo ESP

El objetivo principal del protocolo ESP (Encapsulating Security Payload)

es proporcionar confidencialidad, para ello especifica el modo de cifrar
los datos que se desean enviar y cmo este contenido cifrado se incluye
en un datagrama IP. Adicionalmente, puede ofrecer los servicios de
integridad y autenticacin del origen de los datos incorporando un
mecanismo similar al de AH.

Dado que ESP proporciona ms funciones que AH, el formato de la

cabecera es ms complejo; este formato consta de una cabecera y una
cola que rodean los datos transportados. Dichos datos pueden ser
cualquier protocolo IP (por ejemplo, TCP, UDP o ICMP, o incluso un
paquete IP completo).

Modos de operacin de IPsec

Existen dos modos de operaciones del IPsec:
* Modo transporte (Transport mode): En este modo,
solamente la carga til (el mensaje) del paquete IP es
encriptada.
* Modo tnel (Tunnel mode): en este modo, el paquete
IP completo es encriptado. Debe ser luego
encapsulado en un nuevo paquete IP para tareas de
ruteo.

Modo Transporte

La cabecera AH o ESP es insertada entre el rea de datos y la cabecera

IP, de tal forma que se mantienen las direcciones IP originales.

El contenido encapsulado en un datagrama AH o ESP proviene

directamente de la capa de transporte. Por tanto, la cabecera IPsec se
insertar a continuacin de la cabecera IP y justo antes de los datos
aportados por la capa de transporte. De esta forma, slo la carga til es
cifrada y autenticada.

El modo transporte asegura la comunicacin

extremo a extremo pero los extremos deben saber
de la existencia del protocolo IPsec para poder
entenderse.

Modo Tnel

En el modo tnel, el paquete IP entero (cabecera + datos) es cifrado y

autenticado. Este paquete ser encapsulado en un nuevo paquete IP,
por tanto, la direccin IP cambiar por la del ltimo paquete IP. Por
tanto, al paquete original se le aade una cabecera AH o ESP y a
continuacin se le aade la cabecera IP que servir para encaminar el
paquete a travs de la red.

El modo tnel normalmente es usado para comunicar

redes con redes, pero tambin se puede usar (y de hecho
se usa), para comunicar ordenadores con redes y
ordenadores
con
ordenadores.
Este
modo
de
funcionamiento facilita que los nodos puedan ocultar su

IKE: el protocolo de control

Un concepto esencial en IPSec es el de
asociacin de seguridad (SA): es un canal de
comunicacin unidireccional que conecta dos
nodos, a travs del cual fluyen los datagramas
protegidos mediante mecanismos criptogrficos
acordados
previamente.
Al
identificar
nicamente un canal unidireccional, una
conexin IPSec se compone de dos SAs, una por
cada sentido de la comunicacin.

mtodos de autenticacin

Haycuatro mtodos de autenticacin en IPsec: clave compartida,

firmas digitales RSA, certificados digitales X.509 y autenticacin
mediante un grupo de usuarios XAuth.

Dependiendo del escenario donde deseamos implementar IPsec, se

utilizar un mtodo de autenticacin u otro, cada uno de estos mtodos
poseen unas ventajas y unos inconvenientes que sern citados.

A continuacin, os explicamos en detalle estos cuatro mtodos.

Clave compartida

La clave compartida es una clave formada por una cadena de caracteres (la de toda la vida)
que slo conocern los dos extremos de la comunicacin para establecer la conexin IPsec.

Mediante el empleo dealgoritmos de autenticacin (HASH), se comprobarn que las claves

son correctas sin necesidad de que dichas claves se revelen.

Para que este mtodo sea seguro, debe hacer una clave por cada pareja de participantes en
la comunicacin. Este tipo de autenticacin es inviable para muchos participantes ya que
habr un nmero muy grande de claves.

Aunque se empleen hashes para el intercambio de claves en la conexin, antes de esta

conexin, las claves deben estar en ambos extremos de la comunicacin, por este motivo,
no podemos saber a ciencia cierta si esa clave no ha sido capturada cuando se envi. Slo
podremos asegurar que est a salvo si la entregamos en mano.

Esta tcnica es til para redes pequeas, pero para redes medianas y grandes en
totalmente inviable.

Firmas Digitales RSA

IPsec trabaja con el protocolo IKE para la gestin de las claves y la seguridad
de forma automtica.

IPsec utiliza las firmas digitales RSA para el intercambio seguro de claves
mediante la pareja de claves pblicas y privadas. Tenis ms informacin
sobre RSA enAlgoritmos de cifrado Asimtrico.

Estas claves tienen el mismo problema que la clave compartida, de alguna

manera tenemos que enviar las claves hacia el otro lado pero s podemos
modificar las claves de forma segura mediante el protocolo IKE.

Por tanto, para asegurar la red, es conveniente cambiar estas claves con
cierta frecuencia.

Estas firmas RSA proporcionan a la red autenticacin y confidencialidad

Certificados X.509

IPsec tambin puede trabajar con certificados digitales, estos certificados contiene la clave pblica del
propietario y su identificacin. Algo parecido ya vimos en el manual de OpenVPN, donde tenamos que
crear la CA (Autoridad de Certificacin). El propietario posee tambin una pareja de claves pblicas y
privada para operar con ellas a la hora de la validacin.

La utilizacin de estos certificados hace aparecer en escena el protocolo PKI para autenticar a los
nodos implicados en la comunicacin IPsec.

La utilizacin de esta PKI ayuda a la tarea de crear nuevos certificados y dar de baja otros.

La validez del certificado digital es otorgada por la PKI, esta PKI integra la CA que contiene la clave
pblica y la identidad del propietario. Los extremos implicados en la conexin IPsec reconocern la CA
como vlida ya que poseen una copia de dicha CA.

La validacin de los certificados se realiza mediante la lista de revocacin de certificados (CRL) que
est almacenada en la PKI. Todos los participantes tendrn una copia de esta CRL que se actualiza de
forma constante.

El protocolo SCEP, es un estndar para solicitar y obtener certificados digitales de forma automtica.
Fue desarrollado por Cisco y Verisign.

Autenticacin
XAuth

mediante

grupo

de

usuarios

Este mtodo aade un usuario y una contrasea a los

certificados digitales vistos anteriormente (X.509), de
tal forma que aparte de validar el certificado, tambin
validar el usuario y contrasea.
Para validar estos usuarios y contraseas, podremos
hacer uso de un servidor Radius.

SERVICIOS DE SEGURIDAD OFRECIDOS POR

IPSEC
En este apartado se analizan las caractersticas de los servicios de
seguridad que ofrece IPSec. Dichos servicios son:
Integridad y autenticacin del origen de los datos
El protocolo AH es el ms adecuado si no se requiere cifrado. La
opcin de autenticacin del protocolo ESP ofrece una funcionalidad
similar, aunque esta proteccin, a diferencia de AH, no incluye la
cabecera IP. Como se coment anteriormente, esta opcin es de
gran importancia para aquellas aplicaciones en las cuales es
importante garantizar la invariabilidad del contenido de los
paquetes IP.

 Confidencialidad
El servicio de confidencialidad se obtiene mediante la
funcin de cifrado incluida en el protocolo ESP. En este
caso
es
recomendable
activar
la
opcin
de
autenticacin, ya que si no se garantiza la integridad de
los datos el cifrado es intil. Esto es debido a que
aunque los datos no pudiesen ser interpretados por
nadie en trnsito, stos podran ser alterados haciendo
llegar al receptor del mensaje trfico sin sentido que
sera aceptado como trfico vlido.

 Deteccin de repeticiones
La autenticacin protege contra la suplantacin de la
identidad IP, sin embargo un atacante todava podra
capturar paquetes vlidos y reenviarlos al destino. Para
evitar este ataque, tanto ESP como AH incorporan un
procedimiento para detectar paquetes repetidos. Dicho
procedimiento est basado en un nmero de secuencia
incluido en la cabecera ESP o AH, el emisor incrementa
dicho nmero por cada datagrama que enva y el
receptor lo comprueba, de forma que los paquetes
repetidos sern ignorados.

 Control de acceso: autenticacin y autorizacin

Dado que el uso de ESP y AH requiere el conocimiento de

claves, y dichas claves son distribuidas de modo seguro
mediante una sesin IKE en la que ambos nodos se
autentican mutuamente, existe la garanta de que slo
los equipos deseados participan en la comunicacin. Es
conveniente aclarar que una autenticacin vlida no
implica un acceso total a los recursos, ya que IPSec
proporciona tambin funciones de autorizacin.

 No repudio
El servicio de no repudio es tcnicamente posible en
IPSec, si se usa IKE con autenticacin mediante
certificados digitales. En este caso, el procedimiento de
autenticacin se basa en la firma digital de un mensaje
que contiene, entre otros datos, la identidad del
participante. Dicha firma, gracias al vnculo entre la
clave pblica y la identidad que garantiza el certificado
digital, es una prueba inequvoca de que se ha
establecido una conexin IPSec con un equipo
determinado, de modo que ste no podr negarlo.

Entre los beneficios que aporta IPSec, cabe sealar que:

Posibilita nuevas aplicaciones como el acceso seguro y transparente de
un nodo IP remoto.
Facilita el comercio electrnico de negocio a negocio, al proporcionar una
infraestructura segura sobre la que realizar transacciones usando
cualquier aplicacin. Las extranets son un ejemplo.
Permite construir una red corporativa segura sobre redes pblicas,
eliminando la gestin y el coste de lneas dedicadas.
Ofrece al teletrabajador el mismo nivel de confidencialidad que dispondra
en la red local de su empresa, no siendo necesaria la limitacin de acceso
a la informacin sensible por problemas de privacidad en trnsito.

CONCLUSIONES
IPSec es un estndar de seguridad extraordinariamente
potente y flexible. Su importancia reside en que aborda
una carencia tradicional en el protocolo IP: la seguridad.
Gracias a IPSec ya es posible el uso de redes IP para
aplicaciones
crticas,
como
las
transacciones
comerciales entre empresas. Al mismo tiempo, es la
solucin ideal para aquellos escenarios en que se
requiera
seguridad,
independientemente
de
la
aplicacin, de modo que es una pieza esencial en la
seguridad de las redes IP.