logo

TechCodeview

Seguridad IP (IPSec)

Requisito previo: Tipos de protocolo de Internet

IP Sec (Seguridad del protocolo de Internet) es un conjunto de protocolos estándar del Grupo de trabajo de ingeniería de Internet (IETF) entre dos puntos de comunicación a través de la red IP que proporciona autenticación, integridad y confidencialidad de los datos. También define los paquetes cifrados, descifrados y autenticados. En él se definen los protocolos necesarios para el intercambio seguro de claves y la gestión de claves.



Usos de la seguridad IP

IPsec se puede utilizar para hacer las siguientes cosas:

  • Para cifrar datos de la capa de aplicación.
  • Proporcionar seguridad a los enrutadores que envían datos de enrutamiento a través de la Internet pública.
  • Para proporcionar autenticación sin cifrado, como autenticar que los datos provienen de un remitente conocido.
  • Para proteger los datos de la red configurando circuitos utilizando un túnel IPsec en el que todos los datos que se envían entre los dos puntos finales están cifrados, como con una conexión de red privada virtual (VPN).

Componentes de la seguridad IP

Tiene los siguientes componentes:

  1. Carga útil de seguridad encapsulada (ESP)
  2. Encabezado de autenticación (AH)
  3. Intercambio de claves por Internet (IKE)

1. Encapsulación de carga útil de seguridad (ESP): Proporciona integridad de datos, cifrado, autenticación y antirreproducción. También proporciona autenticación para la carga útil.



2. Encabezado de autenticación (AH): También proporciona integridad de datos, autenticación y antirreproducción y no proporciona cifrado. La protección anti-reproducción protege contra la transmisión no autorizada de paquetes. No protege la confidencialidad de los datos.

encabezado IP

encabezado IP

3. Intercambio de claves por Internet (IKE): Es un protocolo de seguridad de red diseñado para intercambiar dinámicamente claves de cifrado y encontrar una forma de asociación de seguridad (SA) entre 2 dispositivos. La Asociación de Seguridad (SA) establece atributos de seguridad compartidos entre dos entidades de red para respaldar una comunicación segura. El Protocolo de administración de claves (ISAKMP) y la Asociación de seguridad de Internet proporcionan un marco para la autenticación y el intercambio de claves. ISAKMP explica cómo se configuran las asociaciones de seguridad (SA) y cómo las conexiones directas entre dos hosts utilizan IPsec. Internet Key Exchange (IKE) proporciona protección del contenido de los mensajes y también un marco abierto para implementar algoritmos estándar como SHA y MD5. Los usuarios de IP Sec del algoritmo producen un identificador único para cada paquete. Este identificador permite entonces que un dispositivo determine si un paquete ha sido correcto o no. Los paquetes que no están autorizados se descartan y no se entregan al receptor.



Paquete en protocolo de Internet

Paquetes en protocolo de Internet

Arquitectura de seguridad IP

La arquitectura IPSec (Seguridad IP) utiliza dos protocolos para proteger el tráfico o el flujo de datos. Estos protocolos son ESP (carga útil de seguridad de encapsulación) y AH (encabezado de autenticación). La arquitectura IPSec incluye protocolos, algoritmos, DOI y gestión de claves. Todos estos componentes son muy importantes para poder proporcionar los tres servicios principales:

  • Confidencialidad
  • Autenticidad
  • Integridad
Arquitectura de seguridad IP

Arquitectura de seguridad IP

Trabajando en seguridad IP

  • El host comprueba si el paquete debe transmitirse mediante IPsec o no. Este tráfico de paquetes activa la política de seguridad por sí mismo. Esto se hace cuando el sistema que envía el paquete aplica el cifrado adecuado. El host también verifica que los paquetes entrantes estén cifrados correctamente o no.
  • Luego comienza la Fase 1 de IKE en la que los 2 hosts (usando IPsec) se autentican entre sí para iniciar un canal seguro. Tiene 2 modos. El modo Principal proporciona mayor seguridad y el modo Agresivo permite al host establecer un circuito IPsec más rápidamente.
  • El canal creado en el último paso se utiliza para negociar de forma segura la forma en que el circuito IP cifrará los datos a través del circuito IP.
  • Ahora, la Fase 2 de IKE se lleva a cabo a través del canal seguro en el que los dos hosts negocian el tipo de algoritmos criptográficos que se utilizarán en la sesión y acuerdan el material de clave secreta que se utilizará con esos algoritmos.
  • Luego, los datos se intercambian a través del túnel cifrado IPsec recién creado. Estos paquetes son cifrados y descifrados por los hosts mediante SA IPsec.
  • Cuando se completa la comunicación entre los hosts o se agota el tiempo de espera de la sesión, ambos hosts finalizan el túnel IPsec descartando las claves.

Características de IPSec

  1. Autenticación: IPSec proporciona autenticación de paquetes IP mediante firmas digitales o secretos compartidos. Esto ayuda a garantizar que los paquetes no sean manipulados ni falsificados.
  2. Confidencialidad: IPSec proporciona confidencialidad al cifrar los paquetes IP, evitando así escuchas en el tráfico de la red.
  3. Integridad: IPSec proporciona integridad al garantizar que los paquetes IP no se hayan modificado ni dañado durante la transmisión.
  4. Gestión de claves: IPSec proporciona servicios de administración de claves, incluido el intercambio y la revocación de claves, para garantizar que las claves criptográficas se administren de forma segura.
  5. Túneles: IPSec admite la creación de túneles, lo que permite encapsular paquetes IP dentro de otro protocolo, como GRE (encapsulación de enrutamiento genérico) o L2TP (protocolo de túnel de capa 2).
  6. Flexibilidad: IPSec se puede configurar para proporcionar seguridad para una amplia gama de topologías de red, incluidas conexiones punto a punto, de sitio a sitio y de acceso remoto.
  7. Interoperabilidad: IPSec es un protocolo estándar abierto, lo que significa que es compatible con una amplia gama de proveedores y puede usarse en entornos heterogéneos.

Ventajas de IPSec

  1. Fuerte seguridad: IPSec proporciona sólidos servicios de seguridad criptográfica que ayudan a proteger datos confidenciales y garantizar la privacidad e integridad de la red.
  2. Amplia compatibilidad: IPSec es un protocolo estándar abierto ampliamente admitido por los proveedores y que puede utilizarse en entornos heterogéneos.
  3. Flexibilidad: IPSec se puede configurar para proporcionar seguridad para una amplia gama de topologías de red, incluidas conexiones punto a punto, de sitio a sitio y de acceso remoto.
  4. Escalabilidad: IPSec se puede utilizar para proteger redes a gran escala y se puede ampliar o reducir según sea necesario.
  5. Rendimiento de red mejorado: IPSec puede ayudar a mejorar el rendimiento de la red al reducir la congestión de la red y mejorar la eficiencia de la red.

Desventajas de IPSec

  1. Complejidad de la configuración: IPSec puede ser complejo de configurar y requiere conocimientos y habilidades especializados.
  2. Problemas de compatibilidad: IPSec puede tener problemas de compatibilidad con algunos dispositivos y aplicaciones de red, lo que puede provocar problemas de interoperabilidad.
  3. Impacto en el rendimiento: IPSec puede afectar el rendimiento de la red debido a la sobrecarga de cifrado y descifrado de paquetes IP.
  4. Gestión de claves: IPSec requiere una gestión de claves eficaz para garantizar la seguridad de las claves criptográficas utilizadas para el cifrado y la autenticación.
  5. Protección limitada: IPSec solo brinda protección para el tráfico IP y otros protocolos como ICMP, DNS y protocolos de enrutamiento pueden seguir siendo vulnerables a los ataques.