IPSEC (Internet Protocol Security)

La seguridad del Protocolo de Internet (IPSec) es un marco de estándares abiertos para lograr comunicaciones privadas seguras a través de redes con el Protocolo de Internet (IP) mediante el uso de servicios de seguridad criptográfica. IPSec es la tendencia a largo plazo para las redes seguras. Proporciona una sólida protección contra ataques a redes privadas e Internet mediante la seguridad de extremo a extremo. Los únicos equipos que deben conocer que existe protección con IPSec son el remitente y el receptor de la comunicación. IPSec permite proteger la comunicación entre grupos de trabajo, equipos de redes de área local, clientes y servidores de dominio.

En IPSEC podemos establecer dos nodos basicos de operacion:

Modo transporte

El enrutamiento permanece intacto, ya que no se modifica ni se cifra la cabecera IP; sin embargo, cuando se utiliza la cabecera de autenticación (AH), las direcciones IP no pueden ser traducidas, ya que eso invalidaría el hash. Las capas de transporte y aplicación están siempre aseguradas por un hash, de forma que no pueden ser modificadas de ninguna manera. El modo transporte se utiliza para comunicaciones de ordenador a ordenador.

Modo túnel

Todo el paquete IP (datos más cabeceras del mensaje) es cifrado o autenticado. Debe ser entonces encapsulado en un nuevo paquete IP para que funcione el enrutamiento. El modo túnel se utiliza para comunicaciones red a red (túneles seguros entre routers) o comunicaciones ordenador a red u ordenador a ordenador sobre Internet.

Authentication header (AH)

AH está dirigido a garantizar integridad sin conexión y autenticación de los datos de origen de los datagramas IP. Para ello, calcula un Hash Message Authentication Code (HMAC) a través de algún algoritmo hash operando sobre una clave secreta, el contenido del paquete IP y las partes inmutables del datagrama. Este proceso restringe la posibilidad de emplear NAT.Por otro lado, AH puede proteger opcionalmente contra ataques de repetición utilizando la técnica de ventana deslizante y descartando paquetes viejos. AH protege la carga útil IP y todos los campos de la cabecera de un datagrama IP excepto los campos mutantes, es decir, aquellos que pueden ser alterados en el tránsito.

SIGNIFICADO DE LOS CAMPOS:

Next header: Identifica el protocolo de los datos transferidos.

Payload length: Tamaño del paquete AH.

RESERVED: Reservado para uso futuro (hasta entonces todo ceros).

Security parameters index (SPI): Indica los parámetros de seguridad que, en combinación con la dirección IP, identifican la asociación de seguridad implementada con este paquete.

Sequence number: Un número siempre creciente, utilizado para evitar ataques de repetición.

HMAC: Contiene el valor de verificación de integridad (ICV) necesario para autenticar el paquete; puede contener relleno.

Encapsulating Security Payload (ESP)

El protocolo ESP proporciona autenticidad de origen, integridad y protección de confidencialidad de un paquete. ESP también soporta configuraciones de sólo cifrado y sólo autenticación, pero utilizar cifrado sin autenticación está altamente desaconsejado porque es inseguro. Al contrario que con AH, la cabecera del paquete IP no está protegida por ESP (aunque en ESP en modo túnel, la protección es proporcionada a todo el paquete IP interno, incluyendo la cabecera interna; la cabecera externa permanece sin proteger).


SIGNIFICADO DE LOS CAMPOS:

Security parameters index (SPI): Identifica los parametros de seguridad en combinacion con la direccion IP.

Sequence number: Un número siempre creciente, utilizado para evitar ataques de repetición.

Payload data: Los datos a transferir.

Padding: Usado por algunos algoritmos criptográficos para rellenar por completo los bloques.

Pad length: Tamaño del relleno en bytes.

Next header: Identifica el protocolo de los datos transferidos.

Authentication data: Contiene los datos utilizados para autenticar el paquete.