PDF de programación - Unidad V - Seguridad en la capa de Red - IPSec

UNIVERSIDAD AMERICANA

Redes de Comunicación – Unidad V

Seguridad en la capa
de Red. – IPSec

Recopilación de teoría referente a la materia

Ing. Luis Müller

2011



Esta es una recopilación de la teoría referente a la asignatura Redes de
Comunicación, a ser estudiada en clases con los alumnos, y que servirá como
base para su aplicación también en clases en ejercicios prácticos.



1



Contenido

¿Qué es IPsec? ............................................................................................................................... 3

Características de seguridad de IPSec ............................................................................................. 5

Sumario ......................................................................................................................................... 6

Arquitectura de seguridad ............................................................................................................. 7

Propósito de diseño ....................................................................................................................... 8

Modos ........................................................................................................................................... 8

Modo transporte........................................................................................................................ 9

Modo túnel ................................................................................................................................ 9

IPsec: modos túnel y transporte ..................................................................................................... 9

Los protocolos IPsec..................................................................................................................... 10

AH - Cabecera de autenticación ............................................................................................... 11

ESP - Carga de Seguridad Encapsulada ..................................................................................... 12



2

Unidad V – seguridad en la capa de red.
Conceptos básicos. IP sec. Modos IP sec. Utilizaciones. Ejemplos de diseños


¿Qué es IPsec?

IPsec es un protocolo que está sobre la capa del protocolo de Internet (IP). Este, permite a

dos o más equipos comunicarse de forma segura (de ahí viene el nombre). La “pila de red” IPsec

incluye soporte para las dos familias de protocolos, IPv4 e IPv6.

IPsec (abreviatura de Internet Protocol security) es un conjunto de protocolos cuya

función es asegurar las comunicaciones sobre el Protocolo de Internet (IP) autenticando y/o

cifrando cada paquete IP en un flujo de datos. IPsec también incluye protocolos para

el establecimiento de claves de cifrado.

IPsec emplea dos protocolos diferentes - AH y ESP - para asegurar la autenticación,

integridad y confidencialidad de la comunicación. Puede proteger el datagrama IP completo o sólo

los protocolos de capas superiores.

IPSec autentifica los equipos y cifra los datos para su transmisión entre hosts en una red,

intranet o extranet, incluidas las comunicaciones entre estaciones de trabajo y servidores, y entre



servidores.



3

El objetivo principal de IPSec es proporcionar protección a los paquetes IP. IPSec está
El objetivo principal de IPSec es
proporcionar protección a los paquetes IP. IPSec está

basado en un modelo de seguridad de extremo a extremo, lo que significa que los únicos hosts
basado en un modelo de seguridad de extremo a extremo, lo que significa que los únicos hosts
basado en un modelo de seguridad de extremo a extremo, lo que significa que los únicos hosts

que tienen que conocer la protección de IPSec son el que envía y el que recibe. Cada equipo
que tienen que conocer la protección de IPSec son el que envía y el que recibe. Cada equipo
que tienen que conocer la protección de IPSec son el que envía y el que recibe. Cada equipo

controla la seguridad por sí mismo en su extremo, bajo la hipótesis de que el medio por el que se
idad por sí mismo en su extremo, bajo la hipótesis de que el medio por el que se
idad por sí mismo en su extremo, bajo la hipótesis de que el medio por el que se

establece la comunicación no es seguro.
establece la comunicación no es seguro.

Estos modos se denominan, respectivamente, modo túnel y modo transporte. En modo
Estos modos se denominan, respectivamente,
túnel y modo transporte. En modo

túnel el datagrama IP se encapsula completamente dentro de un nuevo datagrama IP que emplea
túnel el datagrama IP se encapsula completamente dentr
o de un nuevo datagrama IP que emplea

el protocolo IPsec.

En modo transporte IPsec sólo maneja la carga del datagrama IP, insertándose la cabecera
En modo transporte IPsec sólo maneja la carga del datagrama IP, insertándose la cabecera
En modo transporte IPsec sólo maneja la carga del datagrama IP, insertándose la cabecera

IPsec entre la cabecera IP y la cabecera del protocolo de capas
IPsec entre la cabecera IP y la cabecera del protocolo de capas superiores.



4

Características de seguridad de IPSec

Las siguientes características de IPSec afrontan todos estos métodos de ataque:

Protocolo Carga de seguridad de encapsulación (ESP, Encapsulating Security Payload). ESP

proporciona privacidad a los datos mediante el cifrado de los paquetes IP.

Claves basadas en criptografía. Las claves cifradas, que se comparten entre los sistemas

que se comunican, crean una suma de comprobación digital para cada paquete IP. Cualquier

modificación del paquete altera la suma de comprobación, mostrando al destinatario que el

paquete ha sido cambiado en su tránsito. Se utiliza material de claves diferente para cada

segmento del esquema de protección global y se puede generar nuevo material de claves con la

frecuencia especificada en la directiva de IPSec.

Administración automática de claves. Las claves largas y el cambio dinámico de claves

durante las comunicaciones ya establecidas protegen contra los ataques. IPSec usa el protocolo

Asociación de seguridad en Internet y administración de claves (ISAKMP, Internet Security

Association and Key Management Protocol) para intercambiar y administrar dinámicamente claves

cifradas entre los equipos que se comunican.

Seguridad a nivel de red. IPSec existe en el nivel de red, proporcionando seguridad

automática a todas las aplicaciones.

Autenticación mutua. IPSec permite el intercambio y la comprobación de identidades sin

exponer la información a la interpretación de un atacante. La comprobación mutua (autenticación)

se utiliza para establecer la confianza entre los sistemas que se comunican. Sólo los sistemas de

confianza se pueden comunicar entre sí. Los usuarios no tienen que estar en el mismo dominio

para comunicar con la protección de IPSec. Pueden estar en cualquier dominio de confianza de la

empresa. La comunicación se cifra, lo que dificulta la identificación e interpretación de la

información.

Filtrado de paquetes IP. Este proceso de filtrado habilita, permite o bloquea las

comunicaciones según sea necesario mediante la especificación de intervalos de direcciones,

protocolos o, incluso, puertos de protocolo específicos.



5

Sumario

Los protocolos de IPsec

IPsec actúan en la capa de red, la capa 3 del

actúan en la capa de red, la capa 3 del modelo OSI. Otros

protocolos de seguridad para Internet de uso extendido,
protocolos de seguridad para Internet de uso extendido, como SSL, TLS y SSH

SSH operan de la capa de

transporte (capas OSI 4 a 7) hacia arriba. Esto hace que IPsec sea más flexible, ya que puede ser
apas OSI 4 a 7) hacia arriba. Esto hace que IPsec sea más flexible, ya que puede ser
apas OSI 4 a 7) hacia arriba. Esto hace que IPsec sea más flexible, ya que puede ser

utilizado para proteger protocolos de la capa 4, incluyendo TCP y UDP, los protocolos de capa de
utilizado para proteger protocolos de la capa 4, incluyendo
, los protocolos de capa de

transporte más usados. Una ventaja importante de IPsec frente a SSL y otros métodos que operan
transporte más usados. Una ventaja importante de IPsec frente a SSL y otros métodos que operan
transporte más usados. Una ventaja importante de IPsec frente a SSL y otros métodos que operan

en capas superiores, es que para que una aplicación pueda usar IPsec no hay que hacer ningún
en capas superiores, es que para que una aplicación pueda usar IPsec no hay que hacer ningún
en capas superiores, es que para que una aplicación pueda usar IPsec no hay que hacer ningún

cambio, mientras que para usar SSL y otros protocolos de niveles superiores, las aplicaciones
cambio, mientras que para usar
SSL y otros protocolos de niveles superiores, las aplicaciones

tienen que modificar su código.
tienen que modificar su código.



6

Arquitectura de seguridad

IPsec está implementado por un conjunto de protocolos criptográficos para:



Asegurar el flujo de paquetes

Garantizar la autenticación mutua

Establecer parámetros criptográficos.

La arquitectura de seguridad IP utiliza el concepto de asociación de seguridad (SA) como

base para construir funciones de seguridad en IP. Una asociación de seguridad es simplemente el

paquete de algoritmos y parámetros (tales como las claves) que se está usando para cifrar y

a