Comunicacion IP Segura (IPSec)

De ITCG Wiki
Ir a la navegaciónIr a la búsqueda

Protocolo IP Seguro - IPSec

IPSec nos brinda diversas labores, siempre y cuando estén relacionados con la seguridad de los protocolos de Internet, por lo tanto se le denomina como Internet Protocol Security o traducido también como Protocolo de Seguridad de Internet. Este servicio esta diseñado para garantizar que el transporte de los paquetes de datos enviados permanezcan invisible e inaccesibles para terceros. Por lo tanto uno de sus mayores labores esta en ofrecer altos niveles de seguridad a todos los protocolos de Internet, cifrando así la información, y de esta manera brindar la confidencialidad y autentificación. Es importante resaltar que es el protocolo de seguridad mas popular, ya que existen mas, pero este ofrece un enfoque mas confiable y garantizado para una mejor comunicación de protocolos ofreciendo la conservación de cada paquete IP en el flujo de datos. También es importante resalta que este protocolo funciona a nivel de red , caso contrario con SSL que también es un protocolo de seguridad, pero este funciona a nivel de aplicación y junto con el TLS y SSH que también se unen a la cadena de protocolo de seguridad, por lo tanto sus modificaciones son para aplicaciones individuales, pero IPSec brinda modificaciones de seguridad a nivel de sistema operativo abarcando todo lo que este dentro de ella. Dicho esto, la mayoría de los protocolo de seguridad operan de manera de aplicación, esto significa que solo abarca la capa de aplicación de la comunicación de red, caso contrario de IPSec que labora a nivel de red en vez de app, por lo tanto puede encriptar los paquetes IP completos que enviamos desde nuestros dispositivos y que garanticen que solo puedan ser leídos únicamente por sus destinatarios, y esto se hace posible a través de dos mecanismos.

  • AH-Encabezado de Autentificación:

Este permite colocar una firma digital en cada paquete que se encuentre encriptada y de esta manera no pueda leerse por terceras personas que no estén autorizadas.

  • ESP-Carga de Seguridad Encapsulada:

Este método permite que la información dentro del paquete se encuentre encriptada y es utilizado en el encabezado ESP y un bloque de autentificación para cifrar la carga útil de un paquete.

La combinación de estos dos mecanismo permiten que IPSec trabajen con dos formas principales de uso: El modo túnel y el modo de transporte.

  • Modo Túnel

Cuando este modo esta habilitado permite que IPSec realice la creación de un túnel VPN para intercambiar información de manera segura con el servidor, este túnel comúnmente queda encriptado y la dirección IP termina enmascarada y de esta manera proteger los datos, ya sean enviados como recibidos y este modo se introduce un encabezado IPSec que pueda ser AH o ESP entre el encabezado IP y la capa superior de protocolo.

  • Modo Transporte

Este se utiliza en comunicaciones extremo a extremo, como saliente en donde el tipo de encriptación y que este pueda realizar sesiones de escritorio remoto, empleando un encabezado TCP/UDP a traves del encabezado AH o ESP.

Por lo tanto, dicho todo esto se podría resumir que un AH protege los datos con un algoritmo de autentificación y una ESP realiza protección a los datos con un algoritmo de cifrado de manera opcional y cada implementación de un algoritmo se le denomina mecanismo.

Es importante resaltar que el protocolo IPSec es compatible con todos los sistemas operativos de Windows desde el 7 en adelante, Windows Server 2008, MacOS, IOS, versiones compatibles con Linux, entre otros sistemas operativos. Además otra parte fundamente del protocolo IPSec es que su principal esta en IKE que es el intercambio de claves de internet.

IKEv2

Este es un protocolo diseñado por Microsoft de la mano con Cisco que realiza la función de túnel y que sea capaz de ser flexible a los cambios de red, por lo tanto utilizar IPSec con IKEv2 brinda una conexión que se vuelva robusta con una gran estabilidad y rapidez.

L2TP

Este es un protocolo de túnel que no tiene encriptación por si mismo, por lo tanto se debe combinar con otro protocolo que si posea encriptación por si mismo. L2TP lo que brinda es velocidad que al momento de utilizarla es la que mas brinda a los usuarios una conexión rápida y segura.

IPSec y IPV4

Es importante resaltar en esta parte del articulo que IPSec esta disponibles a los usuarios desde la ultima versión del protocolo de internet IPV6 y fue diseñado posteriormente para IPV4, partiendo de tres diferentes grupos:

  • Protocolos de Transferencia
  • Gestión de Claves
  • Base de Datos

Con la ayuda de de los protocolos de transferencia AH y ESP, el protocolo IPSec nos brinda la autenticidad de los datos enviados y brindando confianza en su contenido y que este sea recibido por el destinatario de manera intacta sin haber sufrido ninguna modificación en transcurso del envío. Por lo tanto AH nos brinda una extensión de la cabecera del paquete, enfocándose en la autenticación y también en evitar que los paquetes sean manipulados durante el proceso de retransmisión.

Requisitos Generales para el uso e implementación de IPSec

  • En este apartado se debe tomar en cuenta que los sistemas operativos compatibles son la familia de Windows, iniciando con Windows 7, Windows Server 2008, Router CISCO, MacOS y dispositivos con software IOS. Como también con varias distribuciones Linux y otros sistemas operativos.
  • También se utiliza en Asociaciones de seguridad en internet y el protocolo de administración de claves o ISAKMP como se define en IETF en la referencia de la IANA según el documento de la RFC 2408 para la implementar la negociación de los servicios VPN en las empresas.

Negociación y cifrado de paquetes

La Negociación IPSec o también conocida como modo rápido, es parecido a una negociación modo agresivo IKE. Por lo tanto la negociación modo rápido realiza la labor de negociar con la SA que es la Asociación de seguridad, para el cifrado de datos, permitiendo la administración y el intercambio de claves para la SA. El proceso inicia cuando un sistema de host reconoce que un paquete necesita protección y debe transmitirse utilizando políticas de IPSec, por lo tanto estos paquetes se le conocen como trafico interesante a efectos de IPSec y activan las políticas de seguridad para los paquetes salientes por que esto significa que se aplica el cifrado y autentificación adecuados, por lo tanto un paquete entrante se determina como interesante y el sistema host verifica que se haya cifrado y autenticado de forma correcta.

Negociación o IKE Fase 1

En el segundo paso los host utilizan IPSec para negociar un conjunto de políticas que se utilizaran para un circuito seguro, y donde se autentican entre si y establecen un canal seguro entre ellos que son usados para negociar la forma en que el circuito IPSec sean cifrados y autenticados los datos enviados a través de el y para que este proceso de negociación se llegue a realizar, será por medio del modo principal o el modo agresivo. Por lo tanto es importante resaltar que con el modo principal inicia la sesión el que envía las propuestas que indican sus algoritmos de autenticación y cifrados preferidos.

Circuito IPSec o IKE Fase 2

En esta fase se configura el circuito IPSec sobre el canal seguro establecido en IKE por la fase 1. Los host IPSec negocian los algoritmos que se utilizaran durante la transmisión de datos. Por lo tanto en las transmisiones IPSec como cuarto paso los host intercambian los datos reales a través del túnel seguro que se han establecido, entonces las SA que en esta fase ya se encuentran configuradas por la fase 1 son utilizadas para cifrar y descifrar los paquetes.

Certificados SSL

Los conocemos como capa de sockets seguros, nos ayudan a proteger la información y mantenerla confidencial cuando esta es enviada entre los diferentes puntos de una red, evita, mediante la encriptación que la información sea interceptada por personas que no deban verla o tener acceso a la comunicación en cuestión.

Algoritmos de cifrado se utilizan para que la información enviada de un usuario a otro o desde los sitios que visitamos en el internet sean seguros, esta información puede incluir números de teléfono, seguro social, cuentas de banco, claves, nombres, direcciones físicas etc.

Los certificados SSL contienen la siguiente información:

  • Nombre del titular o dueño del sitio web o servidor
  • Número de serie de certificado
  • Fecha de vencimiento del certificado
  • Copia de la clave pública del titular del certificado
  • Firma digital del emisor del certificado

El protocolo seguro de transferencia de hipertexto (HTTPS) aparece en la barra de direcciones cuando lo sitios están protegidos con uno de los certificados SSL, además de mostrar un candado a la izquierda de la dirección del sitio. eso es conocido como "indicadores EV" también pueden incluir el logo o marca de la empresa en la barra de direcciones del navegador.

¿Cómo funcionan los certificados?

Poseen una clave pública y una privada, combinadas trabajan para que la conexión cifrada sea posible así como el descifrado de los paquetes al llegar al destino.

Los SSL funcionan siguiendo estos pasos:

  • El navegador contacta al servidor ya protegido con SSL.
  • El servidor responde con la petición al cliente para que se identifique.
  • El servidor envía una copia del certificado SSL que incluye la clave pública del servidor.
  • El navegador verifica el certificado de raíz(Que este entre los servidores confiables, que el
 certificado este vigente, el nombre común sea valido para el sitio en el que esta asociado.
  • Si el paso anterior esta correcto para el navegador crea una clave de sesión, la devuelve utilizando
la clave pública que le mando el servidor previamente.
  • El servidor descifra la clave de sesión, para eso utiliza la clave privada, luego envía el recibido
 cifrado con la clave de sesión para iniciar la misma pero de manera segura (cifrada).
  • El servidor y el navegador cifran todos los datos con la clave de sesión.

Tipos de certificados SSL

  • Certificados de validación extendida (EV SSL). Son los mas caros y de nivel mas alto, ideales para
webs con pasarelas de pago.
  • Certificados validados por el dominio (DV SSL). Requisitos mínimos, cifrado mínimo, para sitios como
blogs o de información.
  • Certificados validados por la organización (OV SSL). El segundo de mas alto costo, su propósito es
cifrar información delicada orientado a paginas comerciales y aquellas que deban garantizar seguridad 
de datos de transacciones y del cliente.
  • Certificados SSL de comodín. Su propósito es asegurar dominios y subdominios, y esa es su ventaja,
proteger ambos con solo un certificado, son también mas baratos, posee un asterisco en el nombre común.
  • Certificados SSL de varios dominios (MDC). Protegen varios nombres y su subdominio, es necesario que
se indique el nombre de host al obtener el certificado.
  • Certificado de comunicación unificada (UCC). Creados para los servidores Microsoft Exchange & Live
communications, hoy se pueden utilizar en varios nombres de dominios con el mismo certificado.
Obtenido de «https://wiki.itcoug.com/index.php?title=Comunicacion_IP_Segura_(IPSec)&oldid=178»