4Protocolo IPSec - descripción

El protocolo IPSec es un conjunto completo de protocolos para cifrado, autenticación, integridad de datos y tunelización. La seguridad se implementa en la capa de red de referencia OSI (Open System Interconnection), por lo que proporciona una seguridad transparente para cualquier aplicación de red o transmisión.

Los componentes básicos de IPSec incluyen:

IPSec ofrece dos modos de trabajo:

  1. Modo de transporte - para conexión Host-to-Host

En un modo de transporte, sólo el contenido de un determinado paquete IP suele estar cifrado o autenticado. La información de enrutamiento permanece sin cambios, a menos que la cabecera del paquete IP sea modificada o cifrada. Cuando se utiliza un AH (Authentication Header), las direcciones IP no se pueden traducir, porque el valor hash siempre se pierde. Las capas de transporte y aplicación siempre están protegidas por la función hash, por lo que no pueden modificarse (por ejemplo, cambiando el número de puerto).

image
Estructura del paquete IPSec en modo de transporte utilizando el encabezado AH
  1. Modo de túnel - diseñado principalmente para conexiones de extremo a extremo

En el modo túnel, todo el paquete IP es encriptado o autenticado por ESP (Encapsulating Security Payload). Luego se encapsula en un nuevo paquete IP con un nuevo encabezado utilizando el encabezado de autenticación AH. Este modo se utiliza para crear VPNs para la comunicación entre redes extremo a extremo individuales (por ejemplo, entre routers que enlazan diferentes redes), comunicaciones Host-to-Site (por ejemplo, acceso remoto de usuarios) y comunicaciones Host-to-Host (por ejemplo, chat privado).

image
Estructura del paquete IPSec en modo túnel utilizando ESP

El modo túnel soporta NAT (Network Address Translation) y PAT (Port Address Translation).

IPSec no contiene en su cabecera ningún campo para la especificación de un modo de funcionamiento. El modo de funcionamiento se define en función del valor del campo Next Header (el valor"IP" indica el modo de tunelización; los valores"TCP, UDP, ICMP" (u otros) identifican el modo de transporte).

Los beneficios de IPSec incluyen su transparencia, no hay necesidad de modificar protocolos de capa superior, IPsec puede proteger cualquier protocolo IP, protege protocolos "antiguos" que no son seguros y que son ampliamente soportados por HW (Hardware) y SW (Software).

Las desventajas de IPSec incluyen la sobrecarga y la necesidad de instalar el cliente en caso de acceso remoto. No se ocupa de la autenticación de usuarios; NAT y PAT problemáticos (que sólo se pueden utilizar en el modo túnel) y tráfico de multidifusión y difusión.

Protocolo IPSec:

  • proporciona tráfico en la capa de red,
  • es universal para asegurar cualquier tráfico TCP/IP,
  • protege contra el análisis del tráfico de la capa de red de Packet Sniffing,
  • es adecuado para usuarios remotos fijos,
  • no soporta la transmisión multicast y broadcast,
  • muestra los problemas de traducción de direcciones (NAT y PAT) - el campo de dirección protegido por HMAC-SHA1 (Hash Message Authentication Code - Secure Hash Algorithm) es cambiado; la solución es empaquetar el paquete IPSec en el datagrama UDP (User Datagram Protocol) → el método NAT-T (NAT-Traversal), y:
  • en caso de acceso remoto, se requiere la instalación del cliente (pero puede haber problemas de compatibilidad con diferentes implementaciones).