Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Resumen
Los protocolos deIPsecactan en la capa de red, la capa 3 del
modelo OSI. Otros protocolos de seguridad para Internet de uso extendido,
comoSSL,TLSySSHoperan en la capa de transporte (capa 4 del modelo
OSI) hacia arriba. Esto hace que IPsec sea ms flexible, ya que puede ser
utilizado para proteger protocolos de la capa 4, incluyendoTCPyUDP, los
protocolos de capa de transporte ms usados. Una ventaja importante de
IPsec frente a SSL y otros mtodos que operan en capas superiores, es que
para que una aplicacin pueda usar IPsec no hay que hacer ningn cambio,
mientras que para usar SSL y otros protocolos de niveles superiores, las
aplicaciones tienen que modificar su cdigo.
El protocolo AH
El protocolo ESP
Modo Transporte
Modo Tnel
mtodos de autenticacin
Clave compartida
La clave compartida es una clave formada por una cadena de caracteres (la de toda la vida)
que slo conocern los dos extremos de la comunicacin para establecer la conexin IPsec.
Para que este mtodo sea seguro, debe hacer una clave por cada pareja de participantes en
la comunicacin. Este tipo de autenticacin es inviable para muchos participantes ya que
habr un nmero muy grande de claves.
Esta tcnica es til para redes pequeas, pero para redes medianas y grandes en
totalmente inviable.
IPsec trabaja con el protocolo IKE para la gestin de las claves y la seguridad
de forma automtica.
IPsec utiliza las firmas digitales RSA para el intercambio seguro de claves
mediante la pareja de claves pblicas y privadas. Tenis ms informacin
sobre RSA enAlgoritmos de cifrado Asimtrico.
Por tanto, para asegurar la red, es conveniente cambiar estas claves con
cierta frecuencia.
Certificados X.509
IPsec tambin puede trabajar con certificados digitales, estos certificados contiene la clave pblica del
propietario y su identificacin. Algo parecido ya vimos en el manual de OpenVPN, donde tenamos que
crear la CA (Autoridad de Certificacin). El propietario posee tambin una pareja de claves pblicas y
privada para operar con ellas a la hora de la validacin.
La utilizacin de estos certificados hace aparecer en escena el protocolo PKI para autenticar a los
nodos implicados en la comunicacin IPsec.
La utilizacin de esta PKI ayuda a la tarea de crear nuevos certificados y dar de baja otros.
La validez del certificado digital es otorgada por la PKI, esta PKI integra la CA que contiene la clave
pblica y la identidad del propietario. Los extremos implicados en la conexin IPsec reconocern la CA
como vlida ya que poseen una copia de dicha CA.
La validacin de los certificados se realiza mediante la lista de revocacin de certificados (CRL) que
est almacenada en la PKI. Todos los participantes tendrn una copia de esta CRL que se actualiza de
forma constante.
El protocolo SCEP, es un estndar para solicitar y obtener certificados digitales de forma automtica.
Fue desarrollado por Cisco y Verisign.
Autenticacin
XAuth
mediante
grupo
de
usuarios
Confidencialidad
El servicio de confidencialidad se obtiene mediante la
funcin de cifrado incluida en el protocolo ESP. En este
caso
es
recomendable
activar
la
opcin
de
autenticacin, ya que si no se garantiza la integridad de
los datos el cifrado es intil. Esto es debido a que
aunque los datos no pudiesen ser interpretados por
nadie en trnsito, stos podran ser alterados haciendo
llegar al receptor del mensaje trfico sin sentido que
sera aceptado como trfico vlido.
Deteccin de repeticiones
La autenticacin protege contra la suplantacin de la
identidad IP, sin embargo un atacante todava podra
capturar paquetes vlidos y reenviarlos al destino. Para
evitar este ataque, tanto ESP como AH incorporan un
procedimiento para detectar paquetes repetidos. Dicho
procedimiento est basado en un nmero de secuencia
incluido en la cabecera ESP o AH, el emisor incrementa
dicho nmero por cada datagrama que enva y el
receptor lo comprueba, de forma que los paquetes
repetidos sern ignorados.
No repudio
El servicio de no repudio es tcnicamente posible en
IPSec, si se usa IKE con autenticacin mediante
certificados digitales. En este caso, el procedimiento de
autenticacin se basa en la firma digital de un mensaje
que contiene, entre otros datos, la identidad del
participante. Dicha firma, gracias al vnculo entre la
clave pblica y la identidad que garantiza el certificado
digital, es una prueba inequvoca de que se ha
establecido una conexin IPSec con un equipo
determinado, de modo que ste no podr negarlo.
CONCLUSIONES
IPSec es un estndar de seguridad extraordinariamente
potente y flexible. Su importancia reside en que aborda
una carencia tradicional en el protocolo IP: la seguridad.
Gracias a IPSec ya es posible el uso de redes IP para
aplicaciones
crticas,
como
las
transacciones
comerciales entre empresas. Al mismo tiempo, es la
solucin ideal para aquellos escenarios en que se
requiera
seguridad,
independientemente
de
la
aplicacin, de modo que es una pieza esencial en la
seguridad de las redes IP.