14:30
IPSec es un estándar que proporciona servicios de seguridad a la capa IP y a todos los protocolos superiores basados en IP (TCP y UDP, entre otros). Por fin existe un estándar que aborda las carencias en cuanto a seguridad del protocolo IP. Dichas carencias son muy graves y, tal como se ha constatado en los últimos años, afectan a la infraestructura misma de las redes IP.
Todas las soluciones anteriores se basaban en soluciones propietarias que dificultaban la comunicación entre los distintos entornos empresariales, al ser necesario que éstos dispusiesen de una misma plataforma. La falta de interoperabilidad ha sido el principal freno para el establecimiento de comunicaciones seguras, dado que no se ve factible la migración a una determinada plataforma en función de una colaboración empresarial puntual.
Entre las ventajas de IPsec destacan que está apoyado en estándares del IETF [25] y que proporciona un nivel de seguridad común y homogéneo para todas las aplicaciones, además de ser independiente de la tecnología física empleada. IPsec se integra en la versión actual de IP (IP versión 4) y, lo que es todavía más importante, se incluye por defecto en IPv6. Puesto que la seguridad es un requisito indispensable para el desarrollo de las redes IP, IPsec está recibiendo un apoyo considerable: todos los equipos de comunicaciones lo incorporan, así como las últimas versiones de los sistemas operativos más comunes. Al mismo tiempo, ya existen muchas experiencias que demuestran la interoperabilidad entre fabricantes [26], lo cual constituye una garantía para los usuarios. Otra característica destacable de IPsec es su carácter de estándar abierto. Se complementa perfectamente con la tecnología PKI y, aunque establece ciertos algoritmos comunes, por razones de interoperabilidad, permite integrar algoritmos criptográficos más robustos que pueden ser diseñados en un futuro.
Entre los beneficios que aporta IPsec, cabe señalar que: Posibilita nuevas aplicaciones como el acceso seguro y transparente de un nodo IP remoto. Facilita el comercio electrónico de negocio a negocio, al proporcionar una infraestructura segura sobre la que realizar transacciones usando cualquier aplicación. Las extranets son un ejemplo. Permite construir una red corporativa segura sobre redes públicas, eliminando la gestión y el coste de líneas dedicadas.
Ofrece al teletrabajador el mismo nivel de confidencialidad que dispondría en la red local de su empresa, no siendo necesaria la limitación de acceso a la información sensible por problemas de privacidad en tránsito.
Es importante señalar que cuando citamos la palabra "seguro" no nos referimos únicamente a la confidencialidad de la comunicación, también nos estamos refiriendo a la integridad de los datos, que para muchas compañías y entornos de negocio puede ser un requisito mucho más crítico que la confidencialidad.
Esta integridad es proporcionada por IPsec como servicio añadido al cifrado de datos o como servicio independiente.
DESCRIPCIÓN DEL PROTOCOLO IPsec
IPSec es, en realidad, un conjunto de estándares para integrar en IP funciones de seguridad basadas en criptografía.
Proporciona confidencialidad, integridad y autenticidad de datagramas IP, combinando tecnologías de clave pública (RSA), algoritmos de cifrado (DES, 3DES, IDEA, BLOWFISH), algoritmos de hash (MD5, SHA-1) y certificados digitales X509v3.
El protocolo IPsec ha sido diseñado de forma modular, de modo que se pueda seleccionar el conjunto de algoritmos deseados sin afectar a otras partes de la implementación. Han sido definidos, sin embargo, ciertos algoritmos estándar que deberán soportar todas las implementaciones para asegurar la interoperabilidad en el mundo global de Internet. Dichos algoritmos de referencia son DES y 3DES, para cifrado, así como MD5 y SHA-1, como funciones de hash. Además es perfectamente posible usar otros algoritmos que se consideren más seguros o más adecuados para un entorno específico: por ejemplo, como algoritmo de cifrado de clave simétrica IDEA, Blowfish o el más reciente AES [14] que se espera sea el más utilizado en un futuro próximo.
Dentro de IPsec se distinguen los siguientes componentes:
- Dos protocolos de seguridad: IP Authentication
- Header (AH) e IP Encapsulating Security Payload
- (ESP) que proporcionan mecanismos de seguridad para proteger tráfico IP.
- Un protocolo de gestión de claves Internet Key
- Exchange (IKE) que permite a dos nodos negociar las claves y todos los parámetros necesarios para establecer una conexión AH o ESP.
Como muestra el diagrama de arriba, hay tres principales protocolos utilizados por IPsec: IKE, AH y ESP. IKE proporciona autenticación y el intercambio de claves, y AH y ESP se utilizan para enviar los datos a través de la conexión VPN. Algunas implementaciones antiguas utilizan IPSec "manual" conexiones que no requieren el uso de IKE. Sin embargo, éstos se han quedado obsoletas y todos los sistemas modernos de IPsec utilizará IKE. De estos tres protocolos, IKE es de lejos el más complejo. En este documento sólo se preocupan por el protocolo IKE, por lo que no cubriremos AH o ESP adelante.
La utilización de IKE para autenticar e intercambiar material clave para una conexión ESP o AH es un proceso de dos fases. Fase-1 autentica a los compañeros y establece un canal seguro (llamado IKE SA) para la Fase-2, que negocia el modo IPsec y establece un canal seguro para el tráfico AH o ESP denominado SA IPsec.
Fase-1 puede funcionar en uno de dos modos: o bien el modo principal o modo dinámico, mientras que la Fase-2 sólo tiene un modo único llamado Modo Rápido. Al probar IPsec VPN sistemas que se ocupará principalmente de IKE Fase-1, Fase-2 sólo se puede acceder tras la autenticación exitosa. Para el resto de este documento, sólo se va a considerar IKE Fase-1.
Modo principal es el estándar de la fase-1 modo, y todas las implementaciones de IKE deben apoyarlo. Modo principal ofrece protección de identidad por no pasar las identidades hasta que el canal está codificado, y también evita algunos ataques de denegación de servicio mediante la realización de una prueba de verificación liveness antes de emprender el costoso Diffie-Hellman exponenciación.
Modo Agresivo es una opción Fase-1 de modo, que no todas las implementaciones de apoyo. Es un intercambio sencillo, requiriendo menos paquetes, pero es menos flexible que el modo principal y también tiene una serie de debilidades de seguridad. El uso principal de modo agresivo en la práctica es permitir el uso de la Pre-Shared Key autenticación para soluciones de acceso remoto. Debido a la forma en que se calcula el material de claves, no es posible utilizar el modo principal con la autenticación PSK, a menos que la dirección IP del iniciador se conoce de antemano (el cual no es normalmente el caso en una situación de acceso remoto).
CSA Certified IPsec Products: http://www.icsa.net/html/communities/ipsec/certification/certified_products/index.shtml
http://kalilinux.foroactivo.com/t41-manual-ike-scan-para-kali-linux
0 comentarios:
Publicar un comentario