You are on page 1of 10

IPsec

IPsec (abreviatura de Internet Protocol security) es un conjunto de protocolos cuya funcin es asegurar las comunicaciones sobre el Protocolo de Internet (IP) autenticando y/o cifrando cada paquete IP en un flujo de datos. IPsec tambin incluye protocolos para el establecimiento de claves de cifrado.Contenido [ocultar] 1. 2. 3. 4. 5. Resumen Arquitectura de seguridad Estado actual del estndar Propsito de diseo Modos a. Modo transporte b. Modo tnel

6 .Detalles tcnicos 6.1 Authentication Header (AH) 6.2 Encapsulating Security Payload (ESP) 7 Implementaciones 8 Lista de RFCs relacionados con IPsec 9 Referencias

Resumen
Los protocolos de IPsec actan en la capa de red, la capa 3 del modelo OSI. Otros protocolos de seguridad para Internet de uso extendido, como SSL, TLS y SSH operan de la capa de transporte (capas OSI 4 a 7) hacia arriba. Esto hace que IPsec sea ms flexible, ya que puede ser utilizado para proteger protocolos de la capa 4, incluyendo TCP y UDP, los protocolos de capa de transporte ms usados. Una ventaja importante de IPsec frente a SSL y otros mtodos que operan en capas superiores, es que para que una aplicacin pueda usar IPsec no hay que hacer ningn cambio, mientras que para usar SSL y otros protocolos de niveles superiores, las aplicaciones tienen que modificar su cdigo.

Arquitectura de seguridad
IPsec est implementado por un conjunto de protocolos criptogrficos para (1) asegurar el flujo de paquetes, (2) garantizar la autenticacin mutua y (3) establecer parmetros criptogrficos. La arquitectura de seguridad IP utiliza el concepto de asociacin de seguridad (SA) como base para construir funciones de seguridad en IP. Una asociacin de seguridad es simplemente el paquete de algoritmos y parmetros (tales como las claves) que se est usando para cifrar y autenticar un flujo

particular en una direccin. Por lo tanto, en el trfico normal bidireccional, los flujos son asegurados por un par de asociaciones de seguridad. La decisin final de los algoritmos de cifrado y autenticacin (de una lista definida) le corresponde al administrador de IPsec. Para decidir qu proteccin se va a proporcionar a un paquete saliente, IPsec utiliza el ndice de parmetro de seguridad (SPI), un ndice a la base de datos de asociaciones de seguridad (SADB), junto con la direccin de destino de la cabecera del paquete, que juntos identifican de forma nica una asociacin de seguridad para dicho paquete. Para un paquete entrante se realiza un procedimiento similar; en este caso IPsec toma las claves de verificacin y descifrado de la base de datos de asociaciones de seguridad. En el caso de multicast, se proporciona una asociacin de seguridad al grupo, y se duplica para todos los receptores autorizados del grupo. Puede haber ms de una asociacin de seguridad para un grupo, utilizando diferentes SPIs, y por ello permitiendo mltiples niveles y conjuntos de seguridad dentro de un grupo. De hecho, cada remitente puede tener mltiples asociaciones de seguridad, permitiendo autenticacin, ya que un receptor slo puede saber que alguien que conoce las claves ha enviado los datos. Hay que observar que el estndar pertinente no describe cmo se elige y duplica la asociacin a travs del grupo; se asume que un interesado responsable habr hecho la eleccin.. Estado actual del estndar IPsec es una parte obligatoria de IPv6, y su uso es opcional con IPv4. Aunque el estndar est diseado para ser indiferente a las versiones de IP, el despliegue y experiencia hasta 2007 atae a las implementaciones de IPv4. Los protocolos de IPsec se definieron originalmente en las RFCs 1825 y 1829, publicadas en 1995. En 1998 estos documentos fueron sustituidos por las RFCs 2401 y 2412, que no son compatibles con la 1825 y 1829, aunque son conceptualmente idnticas. En diciembre de 2005 se produjo la tercera generacin de documentos, RFCs 4301 y 4309. Son en gran parte un superconjunto de la 2401 y 2412, pero proporcionan un segundo estndar de Internet Key Exchange. Esta tercera generacin de documentos estandariz la abreviatura de IPsec como "IP" en maysculas y "sec" en minsculas. Es raro ver un producto que ofrezca soporte de RFC1825 y 1829. "ESP" se refiere generalmente a 2406, mientras que ESPbis se refiere a 4303. Propsito de diseo IPsec fue proyectado para proporcionar seguridad en modo transporte (extremo a extremo) del trfico de paquetes, en el que los ordenadores de los extremos finales realizan el procesado de seguridad, o en modo tnel (puerta a puerta) en el que la seguridad del trfico de paquetes es proporcionada a varias mquinas (incluso a toda la red de rea local) por un nico nodo.

IPsec puede utilizarse para crear VPNs en los dos modos, y este es su uso principal. Hay que tener en cuenta, sin embargo, que las implicaciones de seguridad son bastante diferentes entre los dos modos de operacin. La seguridad de comunicaciones extremo a extremo a escala Internet se ha desarrollado ms lentamente de lo esperado. Parte de la razn a esto es que no ha surgido infraestructura de clave pblica universal o universalmente de confianza (DNSSEC fue originalmente previsto para esto); otra parte es que muchos usuarios no comprenden lo suficientemente bien ni sus necesidades ni las opciones disponibles como para promover su inclusin en los productos de los vendedores. Como el Protocolo de Internet no provee intrnsecamente de ninguna capacidad de seguridad, IPsec se introdujo para proporcionar servicios de seguridad tales como: Cifrar el trfico (de forma que no pueda ser ledo por nadie ms que las partes a las que est dirigido) Validacin de integridad (asegurar que el trfico no ha sido modificado a lo largo de su trayecto) Autenticar a los extremos (asegurar que el trfico proviene de un extremo de confianza) Anti-repeticin (proteger contra la repeticin de la sesin segura). Modos As pues y dependiendo del nivel sobre el que se acte, podemos establecer dos modos bsicos de operacin de IPsec: modo transporte y modo tnel. Modo transporte

En modo transporte, slo la carga til (los datos que se transfieren) del paquete IP es cifrada o autenticada. El enrutamiento permanece intacto, ya que no se modifica ni se cifra la cabecera IP; sin embargo, cuando se utiliza la cabecera de autenticacin (AH), las direcciones IP no pueden ser traducidas, ya que eso invalidara el hash. Las capas de transporte y aplicacin estn siempre aseguradas por un hash, de forma que no pueden ser modificadas de ninguna manera (por ejemplo traduciendo los nmeros de puerto TCP y UDP). El modo transporte se utiliza para comunicaciones ordenador a ordenador. Una forma de encapsular mensajes IPsec para atravesar NAT ha sido definido por RFCs que describen el mecanismo de NAT transversal. Modo tnel En el modo tnel, todo el paquete IP (datos ms cabeceras del mensaje) es cifrado o autenticado. Debe ser entonces encapsulado en un nuevo paquete IP para que funcione el enrutamiento. El

modo tnel se utiliza para comunicaciones red a red (tneles seguros entre routers, p.e. para VPNs) o comunicaciones ordenador a red u ordenador a ordenador sobre Internet. Detalles tcnicos

IPsec consta de dos protocolos que han sido desarrollados para proporcionar seguridad a nivel de paquete, tanto para IPv4 como para IPv6: Authentication Header (AH) proporciona integridad, autenticacin y no repudio si se eligen los algoritmos criptogrficos apropiados. Encapsulating Security Payload (ESP) proporciona confidencialidad y la opcin -altamente recomendable- de autenticacin y proteccin de integridad. Los algoritmos criptogrficos definidos para usar con IPsec incluyen HMAC- SHA-1 para proteccin de integridad, y Triple DES-CBC y AES-CBC para confidencialidad. Ms detalles en la RFC 4305. Authentication Header (AH) AH est dirigido a garantizar integridad sin conexin y autenticacin de los datos de origen de los datagramas IP. Para ello, calcula un Hash Message Authentication Code (HMAC) a travs de algn algoritmo hash operando sobre una clave secreta, el contenido del paquete IP y las partes inmutables del datagrama. Este proceso restringe la posibilidad de emplear NAT, que puede ser implementada con NAT transversal. Por otro lado, AH puede proteger opcionalmente contra ataques de repeticin utilizando la tcnica de ventana deslizante y descartando paquetes viejos. AH protege la carga til IP y todos los campos de la cabecera de un datagrama IP excepto los campos mutantes, es decir, aquellos que pueden ser alterados en el trnsito. En IPv4, los campos de la cabecera IP mutantes (y por lo tanto no autenticados) incluyen TOS, Flags, Offset de fragmentos, TTL y suma de verificacin de la cabecera. AH opera directamente por encima de IP, utilizando el protocolo IP nmero 51. Una cabecera AH mide 32 bits, he aqu un diagrama de cmo se organizan:0 - 7 bit 8 - 15 bit 16 - 23 bit 24 - 31 bit Next header Payload length RESERVED

Security parameters index (SPI) Sequence number

Hash Message Authentication Code (variable)

Encapsulating Security Payload (ESP) El protocolo ESP proporciona autenticidad de origen, integridad y proteccin de confidencialidad de un paquete. ESP tambin soporta configuraciones de slo cifrado y slo autenticacin, pero utilizar cifrado sin autenticacin est altamente desaconsejado porque es inseguro1 2 .3 Al contrario que con AH, la cabecera del paquete IP no est protegida por ESP (aunque en ESP en modo tnel, la proteccin es proporcionada a todo el paquete IP interno, incluyendo la cabecera interna; la cabecera externa permanece sin proteger). ESP opera directamente sobre IP, utilizando el protocolo IP nmero 50.

VPN
Una red privada virtual, RPV, o VPN de las siglas en ingls de Virtual Private Network, es una tecnologa de red que permite una extensin de la red local sobre una red pblica o no controlada.

Ejemplos comunes son la posibilidad de conectar dos o ms sucursales de una empresa utilizando como vnculo Internet, permitir a los miembros del equipo de soporte tcnico la conexin desde su casa al centro de cmputo, o que un usuario pueda acceder a su equipo domstico desde un sitio remoto, como por ejemplo un hotel. Todo ello utilizando la infraestructura de Internet.Contenido
1 Caractersticas bsicas de la seguridad 2 Requerimientos bsicos 3 Tipos de VPN 3.1 VPN de acceso remoto 3.2 VPN punto a punto 3.2.1 Tunneling 3.3 VPN over LAN 4 Implementaciones 5 Ventajas 6 Tipos de conexin 6.1 Conexin de acceso remoto 6.2 Conexin VPN router a router 6.3 Conexin VPN firewall a firewall

7 Vase tambin 8 Enlaces externos Caractersticas bsicas de la seguridad Para hacerlo posible de manera segura es necesario proporcionar los medios para garantizar la autentificacin, integridad de toda la comunicacin: Autentificacin y autorizacin: Quin est del otro lado? Usuario/equipo y qu nivel de acceso debe tener. Integridad: de que los datos enviados no han sido alterados. Para ello se utiliza funciones de Hash. Los algoritmos de hash ms comunes son los Message Digest (MD2 y MD5) y el Secure Hash Algorithm (SHA).

Confidencialidad: Dado que slo puede ser interpretada por los destinatarios de la misma. Se hace uso de algoritmos de cifrado como Data Encryption Standard (DES), Triple DES (3DES) y Advanced Encryption Standard (AES). No repudio: es decir, un mensaje tiene que ir firmado, y el que lo firma no puede negar que el mensaje lo envi l o ella. Requerimientos bsicos Identificacin de usuario: las VPN deben verificar la identidad de los usuarios y restringir su acceso a aquellos que no se encuentren autorizados. Codificacin de datos: los datos que se van a transmitir a travs de la red pblica (Internet), antes deben ser cifrados, para que as no puedan ser ledos. Esta tarea se realiza con algoritmos de cifrado como DES o 3DES que slo pueden ser ledos por el emisor y receptor. Administracin de claves: las VPN deben actualizar las claves de cifrado para los usuarios. Nuevo algoritmo de seguridad SEAL. Tipos de VPN Bsicamente existen tres arquitecturas de conexin VPN: VPN de acceso remoto Es quizs el modelo ms usado actualmente, y consiste en usuarios o proveedores que se conectan con la empresa desde sitios remotos (oficinas comerciales, domicilios, hoteles, aviones preparados, etctera) utilizando Internet como vnculo de acceso. Una vez autenticados tienen un nivel de acceso muy similar al que tienen en la red local de la empresa. Muchas empresas han reemplazado con esta tecnologa su infraestructura dial-up (mdems y lneas telefnicas). VPN punto a punto Este esquema se utiliza para conectar oficinas remotas con la sede central de la organizacin. El servidor VPN, que posee un vnculo permanente a Internet, acepta las conexiones va Internet provenientes de los sitios y establece el tnel VPN. Los servidores de las sucursales se conectan a Internet utilizando los servicios de su proveedor local de Internet, tpicamente mediante conexiones de banda ancha. Esto permite eliminar los costosos vnculos punto a punto tradicionales (realizados comnmente mediante conexiones de cable fsicas entre los nodos), sobre todo en las comunicaciones internacionales. Es ms comn el siguiente punto, tambin llamado tecnologa de tnel o tunneling.

Tunneling La tcnica de tunneling consiste en encapsular un protocolo de red sobre otro (protocolo de red encapsulador) creando un tnel dentro de una red de computadoras. El establecimiento de dicho tnel se implementa incluyendo un PDU determinada dentro de otra PDU con el objetivo de transmitirla desde un extremo al otro del tnel sin que sea necesaria una interpretacin intermedia de la PDU encapsulada. De esta manera se encaminan los paquetes de datos sobre nodos intermedios que son incapaces de ver en claro el contenido de dichos paquetes. El tnel queda definido por los puntos extremos y el protocolo de comunicacin empleado, que entre otros, podra ser SSH. El uso de esta tcnica persigue diferentes objetivos, dependiendo del problema que se est tratando, como por ejemplo la comunicacin de islas en escenarios multicast, la redireccin de trfico, etc. Uno de los ejemplos ms claros de utilizacin de esta tcnica consiste en la redireccin de trfico en escenarios IP Mvil. En escenarios de IP mvil, cuando un nodo-mvil no se encuentra en su red base, necesita que su home-agent realice ciertas funciones en su puesto, entre las que se encuentra la de capturar el trfico dirigido al nodo-mvil y redirigirlo hacia l. Esa redireccin del trfico se realiza usando un mecanismo de tunneling, ya que es necesario que los paquetes conserven su estructura y contenido originales (direccin IP de origen y destino, puertos, etc.) cuando sean recibidos por el nodo-mvil. VPN over LAN Este esquema es el menos difundido pero uno de los ms poderosos para utilizar dentro de la empresa. Es una variante del tipo "acceso remoto" pero, en vez de utilizar Internet como medio de conexin, emplea la misma red de rea local (LAN) de la empresa. Sirve para aislar zonas y servicios de la red interna. Esta capacidad lo hace muy conveniente para mejorar las prestaciones de seguridad de las redes inalmbricas (WiFi). Un ejemplo clsico es un servidor con informacin sensible, como las nminas de sueldos, ubicado detrs de un equipo VPN, el cual provee autenticacin adicional ms el agregado del cifrado, haciendo posible que slo el personal de recursos humanos habilitado pueda acceder a la informacin. Otro ejemplo es la conexin a redes Wi-Fi haciendo uso de tneles cifrados IPSec o SSL que adems de pasar por los mtodos de autenticacin tradicionales (WEP, WPA, direcciones MAC, etc.) agregan las credenciales de seguridad del tnel VPN creado en la LAN interna o externa.

Implementaciones El protocolo estndar de facto es el IPSEC, pero tambin estan PPTP, L2F, L2TP, SSL/TLS, SSH, etc. Cada uno con sus ventajas y desventajas en cuanto a seguridad, facilidad, mantenimiento y tipos de clientes soportados. Actualmente hay una lnea de productos en crecimiento relacionada con el protocolo SSL/TLS, que intenta hacer ms amigable la configuracin y operacin de estas soluciones. Las soluciones de hardware casi siempre ofrecen mayor rendimiento y facilidad de configuracin, aunque no tienen la flexibilidad de las versiones por software. Dentro de esta familia tenemos a los productos de Fortinet, SonicWALL, WatchGuard, Nortel, Cisco, Linksys, Netscreen (Juniper Networks), Symantec, Nokia, U.S. Robotics, D-link,Mikrotik, etc. Las aplicaciones VPN por software son las ms configurables y son ideales cuando surgen problemas de interoperatividad en los modelos anteriores. Obviamente el rendimiento es menor y la configuracin ms delicada, porque se suma el sistema operativo y la seguridad del equipo en general. Aqu tenemos por ejemplo a las soluciones nativas de Windows, GNU/Linux y los Unix en general. Por ejemplo productos de cdigo abierto como OpenSSH, OpenVPN y FreeS/Wan. En ambos casos se pueden utilizar soluciones de firewall ('cortafuegos' o 'barrera de fuego', en castellano), obteniendo un nivel de seguridad alto por la proteccin que brinda, en detrimento del rendimiento. Ventajas Integridad, confidencialidad y seguridad de datos. Las VPN reducen los costos y son sencillas de usar. Facilita la comunicacin entre dos usuarios en lugares distantes. Tipos de conexin Conexin de acceso remoto Una conexin de acceso remoto es realizada por un cliente o un usuario de una computadora que se conecta a una red privada, los paquetes enviados a travs de la conexin VPN son originados al cliente de acceso remoto, y ste se autentifica al servidor de acceso remoto, y el servidor se autentifica ante el cliente. Conexin VPN router a router Una conexin VPN router a router es realizada por un router, y este a su vez se conecta a una red privada. En este tipo de conexin, los paquetes enviados desde cualquier router no se originan en los routers. El router que realiza la llamada se autentifica ante el router que responde y este a su vez se autentica ante el router que realiza la llamada y tambin sirve para la intranet.

Conexin VPN firewall a firewall Una conexin VPN firewall a firewall es realizada por uno de ellos, y ste a su vez se conecta a una red privada. En este tipo de conexin, los paquetes son enviados desde cualquier usuario en Internet. El firewall que realiza la llamada se autentifica ante el que responde y ste a su vez se autentifica ante el llamante.