Seguridad con IPSec
Definido por IETF como estándar de seguridad obligatorio para IPv6 y opcional para IPv4, IPSec (IP Security) ofrece encriptación y autenticación de extremo a extremo haciendo seguras las comunicaciones TCP/IP en redes privadas y públicas.
IPSec define encriptación, autenticación y rutinas de gestión para asegurar la privacidad, integridad y autenticación de los datos en redes IP, permitiendo a los usuarios identificarse entre sí mediante el intercambio de certificados digitales X.509 a fin de establecer un túnel IP encriptado.
En los entornos IPv4 actuales, la implementación de IPSec será de gran utilidad para cortafuegos, encriptores especializados, routers, servidores de acceso remoto y conmutadores, convirtiéndose en un factor de seguridad clave para las redes privadas virtuales (VPN). Sólo o junto con otros protocolos, como L2TP, la utilización de IPSec aporta diferentes ventajas. En primer lugar, al funcionar a Nivel 3 de Red, resulta totalmente transparente a las aplicaciones. A diferencia de SSL, que sólo funciona con HTTP, IPSec puede efectuar conexiones seguras para todas las aplicaciones TCP/IP, incluyendo HTTP, FTP, Telnet y SMTP. Dada su transparencia, también puede trabajar en conjunción con aplicaciones que usen protocolos de seguridad de Nivel 3, como SSL y S/MIME.
Asimismo, IPSec es independiente de la topología de la red. Puesto que sólo añade seguridad a los prácticamente universales protocolos TCP/IP, funciona con todas las topologías de red, incluyendo Ethernet, Token-Ring y PPP.
Por último, y a diferencia de otros protocolos de tunneling como PPTP y sus derivados L2F, L2TP y Step, IPSec ofrece encriptación. De hecho, puede ser usado por cualquier protocolo en modo tunneling. Protocolos como IPX y AppleTalk disponen desde hace mucho tiempo de características de tunneling que pueden ser utilizadas para propósitos IPSec.
COMPONENTES
El estándar comprende las especificaciones de cabecera AH, el mecanismo de confidencialidad e integridad ESP y el componente de gestión de claves.
La cabecera de autenticación IP, referenciada en RFC 1826 y conocida como AH (Authentication Header) describe un mecanismo que proporciona autenticación criptográfica para datagramas IPv4 e IPv6 y aporta seguridad añadiendo información de autenticación a un datagrama IP. AH se inserta normalmente después de una cabecera IP y antes de la otra información que está siendo autenticada.
ESP (Encapsulating Security Payloads) está definido en RFC 1827 como un mecanismo para proporcionar integridad y confidencialidad a los datagramas IP. También puede aportar autenticación, dependiendo del algoritmo o modos de algoritmo utilizados. ESP emplaza los datos encriptados en la porción de datos de IP. El estándar especifica el modo túnel y el modo transporte.
En el modo túnel, el datagrama original es emplazado en la porción encriptada del ESP y la trama entera ESP en un datagrama que tiene cabeceras IP desencriptadas. En el modo transporte, la cabecera ESP se inserta en el datagrama IP inmediatamente antes de la cabecera de protocolo de Nivel de Transporte (por ejemplo, TCP, UDP, ICMP).
Por lo general, los routers, cortafuegos y servidores de acceso remoto implementarán ESP en modo túnel, mientras que los productos de software cliente y servidor, como Windows de Microsoft y OnNet32 de FTP, lo harán a nivel de transporte.
Entre otras muchas transformaciones disponibles, RFC 1829 describe el uso ESP del modo CBC (Cipher Black Chaining) del algoritmo DES (Data En-cryption Standard). La clave secreta de DES compartida entre las partes en comunicación es de 56 bits, un nivel suficiente de seguridad para la mayoría de las aplicaciones que puede ser implementado sin ayuda de hardware.
Para encriptaciones superiores, RFC 1851 especifica el algoritmo 3DES-CBC, que ofrece una protección mucho más fuerte. Sin embargo, en la mayoría de los casos es muy posible que su implementación precise la ayuda de hardware.
IPSec también contempla la utilización de compresión LZS junto a la encriptación. La compresión de los datos se realiza antes de la encriptación y la descompresión después de la desencriptación. La compresión, además de aportar una mejor utilización del ancho de banda, contribuye a mejorar la seguridad reduciendo la fragmentación del paquete.
VPN a Nivel 2 y 3
-----------------------
Existen dos propuestas de tunneling de VPN: a Nivel 2 y a Nivel 3. A la primera categoría pertenecen los protocolos PPTP, L2TP y L2F, mientras que IPSec forma parte de la segunda. El objetivo de los protocolos de Nivel 2 es transportar protocolos de Nivel 3, como AppleTalk, IP e IPX, por Internet. Para ello, se basan en las técnicas empleadas por el protocolo de encaminamiento PPP ( Point-to-Point ) , de Nivel 2, diseñado para transportar diferentes protocolos de Nivel 3 por enlaces serie. Según este esquema, los paquetes de Nivel 3 se introducen en tramas PPP, que a su vez se encapsulan en paquetes IP para ser transportados por Internet.
Desde un punto de vista de seguridad, los protocolos de tunneling de Nivel 2 resultan insuficientes para proporcionar por sí mismos soluciones de VPN, pues ninguno de ellos aporta las funciones de encriptación, autenticación e integridad necesarias para mantener la privacidad. La especificación L2TP, por ejemplo, obvia cualquier tipo de función de seguridad y para datos IP remite al respecto a IPSec. Además, ninguno de estos protocolos ofrece un mecanismo de gestión de claves, lo que limita en gran medida su escalabilidad.
IPv6: FAQ (8)
-----------------
- ¿Qué es el Descubrimiento de Vecindario?
El Descubrimiento de Vecindario (ND–Neighbor Discovery) es un protocolo de IPv6 que permite a los nodos (host y routers), determinar las direcciones de la capa de enlace de otros nodos que “residen” en los enlaces a los que están conectados. Igualmente, hace posible eliminar de una tabla “caché” las direcciones de aquellos nodos que son desconectados, detectar cambios en las direcciones, y en general, seguir la pista a los nodos que son alcanzables y a los que no. También permite identificar los routers “vecinos” (conectados en el mismo enlace) y que por tanto reenviarán paquetes en nombre de los nodos.
- ¿Cuál es la diferencia entre ND y ARP?
En IPv4, ARP (Address Resolution Protocol), realiza la traducción dinámica entre las direcciones hardware y las direcciones Internet, que es una parte de las funciones que en IPv6 acomete ND. Sin embargo, ARP depende de mecanismos de broadcast en la red local, que no existen en IPv6.
El descubrimiento de vecindario es mucho más completo y sofisticado que ARP. Además, ND es el pilar de los mecanismos de autoconfiguración, permite soporte extendido de servicios de proxy, direcciones anycast, y balanceo de carga, entre otros.
ND también puede detectar fallos en la mitad de un enlace (conectividad en un solo sentido), evitando así el tráfico hacia/desde el mismo.
- ¿Qué mecanismos define ND?
El protocolo de descubrimiento de vecindario permite la interacción entre nodos, a través de los siguientes mecanismos:
- Router Discovery (descubrimiento de routers): Permite a los hosts localizar los routers que residen en el mismo enlace. En IPv4, este mecanismo requiere el uso de otros protocolos de routing.
- Prefix Discovery (descubrimiento de prefijos): Gracias a él, los hos
IPSec define encriptación, autenticación y rutinas de gestión para asegurar la privacidad, integridad y autenticación de los datos en redes IP, permitiendo a los usuarios identificarse entre sí mediante el intercambio de certificados digitales X.509 a fin de establecer un túnel IP encriptado.
En los entornos IPv4 actuales, la implementación de IPSec será de gran utilidad para cortafuegos, encriptores especializados, routers, servidores de acceso remoto y conmutadores, convirtiéndose en un factor de seguridad clave para las redes privadas virtuales (VPN). Sólo o junto con otros protocolos, como L2TP, la utilización de IPSec aporta diferentes ventajas. En primer lugar, al funcionar a Nivel 3 de Red, resulta totalmente transparente a las aplicaciones. A diferencia de SSL, que sólo funciona con HTTP, IPSec puede efectuar conexiones seguras para todas las aplicaciones TCP/IP, incluyendo HTTP, FTP, Telnet y SMTP. Dada su transparencia, también puede trabajar en conjunción con aplicaciones que usen protocolos de seguridad de Nivel 3, como SSL y S/MIME.
Asimismo, IPSec es independiente de la topología de la red. Puesto que sólo añade seguridad a los prácticamente universales protocolos TCP/IP, funciona con todas las topologías de red, incluyendo Ethernet, Token-Ring y PPP.
Por último, y a diferencia de otros protocolos de tunneling como PPTP y sus derivados L2F, L2TP y Step, IPSec ofrece encriptación. De hecho, puede ser usado por cualquier protocolo en modo tunneling. Protocolos como IPX y AppleTalk disponen desde hace mucho tiempo de características de tunneling que pueden ser utilizadas para propósitos IPSec.
COMPONENTES
El estándar comprende las especificaciones de cabecera AH, el mecanismo de confidencialidad e integridad ESP y el componente de gestión de claves.
La cabecera de autenticación IP, referenciada en RFC 1826 y conocida como AH (Authentication Header) describe un mecanismo que proporciona autenticación criptográfica para datagramas IPv4 e IPv6 y aporta seguridad añadiendo información de autenticación a un datagrama IP. AH se inserta normalmente después de una cabecera IP y antes de la otra información que está siendo autenticada.
ESP (Encapsulating Security Payloads) está definido en RFC 1827 como un mecanismo para proporcionar integridad y confidencialidad a los datagramas IP. También puede aportar autenticación, dependiendo del algoritmo o modos de algoritmo utilizados. ESP emplaza los datos encriptados en la porción de datos de IP. El estándar especifica el modo túnel y el modo transporte.
En el modo túnel, el datagrama original es emplazado en la porción encriptada del ESP y la trama entera ESP en un datagrama que tiene cabeceras IP desencriptadas. En el modo transporte, la cabecera ESP se inserta en el datagrama IP inmediatamente antes de la cabecera de protocolo de Nivel de Transporte (por ejemplo, TCP, UDP, ICMP).
Por lo general, los routers, cortafuegos y servidores de acceso remoto implementarán ESP en modo túnel, mientras que los productos de software cliente y servidor, como Windows de Microsoft y OnNet32 de FTP, lo harán a nivel de transporte.
Entre otras muchas transformaciones disponibles, RFC 1829 describe el uso ESP del modo CBC (Cipher Black Chaining) del algoritmo DES (Data En-cryption Standard). La clave secreta de DES compartida entre las partes en comunicación es de 56 bits, un nivel suficiente de seguridad para la mayoría de las aplicaciones que puede ser implementado sin ayuda de hardware.
Para encriptaciones superiores, RFC 1851 especifica el algoritmo 3DES-CBC, que ofrece una protección mucho más fuerte. Sin embargo, en la mayoría de los casos es muy posible que su implementación precise la ayuda de hardware.
IPSec también contempla la utilización de compresión LZS junto a la encriptación. La compresión de los datos se realiza antes de la encriptación y la descompresión después de la desencriptación. La compresión, además de aportar una mejor utilización del ancho de banda, contribuye a mejorar la seguridad reduciendo la fragmentación del paquete.
VPN a Nivel 2 y 3
-----------------------
Existen dos propuestas de tunneling de VPN: a Nivel 2 y a Nivel 3. A la primera categoría pertenecen los protocolos PPTP, L2TP y L2F, mientras que IPSec forma parte de la segunda. El objetivo de los protocolos de Nivel 2 es transportar protocolos de Nivel 3, como AppleTalk, IP e IPX, por Internet. Para ello, se basan en las técnicas empleadas por el protocolo de encaminamiento PPP ( Point-to-Point ) , de Nivel 2, diseñado para transportar diferentes protocolos de Nivel 3 por enlaces serie. Según este esquema, los paquetes de Nivel 3 se introducen en tramas PPP, que a su vez se encapsulan en paquetes IP para ser transportados por Internet.
Desde un punto de vista de seguridad, los protocolos de tunneling de Nivel 2 resultan insuficientes para proporcionar por sí mismos soluciones de VPN, pues ninguno de ellos aporta las funciones de encriptación, autenticación e integridad necesarias para mantener la privacidad. La especificación L2TP, por ejemplo, obvia cualquier tipo de función de seguridad y para datos IP remite al respecto a IPSec. Además, ninguno de estos protocolos ofrece un mecanismo de gestión de claves, lo que limita en gran medida su escalabilidad.
IPv6: FAQ (8)
-----------------
- ¿Qué es el Descubrimiento de Vecindario?
El Descubrimiento de Vecindario (ND–Neighbor Discovery) es un protocolo de IPv6 que permite a los nodos (host y routers), determinar las direcciones de la capa de enlace de otros nodos que “residen” en los enlaces a los que están conectados. Igualmente, hace posible eliminar de una tabla “caché” las direcciones de aquellos nodos que son desconectados, detectar cambios en las direcciones, y en general, seguir la pista a los nodos que son alcanzables y a los que no. También permite identificar los routers “vecinos” (conectados en el mismo enlace) y que por tanto reenviarán paquetes en nombre de los nodos.
- ¿Cuál es la diferencia entre ND y ARP?
En IPv4, ARP (Address Resolution Protocol), realiza la traducción dinámica entre las direcciones hardware y las direcciones Internet, que es una parte de las funciones que en IPv6 acomete ND. Sin embargo, ARP depende de mecanismos de broadcast en la red local, que no existen en IPv6.
El descubrimiento de vecindario es mucho más completo y sofisticado que ARP. Además, ND es el pilar de los mecanismos de autoconfiguración, permite soporte extendido de servicios de proxy, direcciones anycast, y balanceo de carga, entre otros.
ND también puede detectar fallos en la mitad de un enlace (conectividad en un solo sentido), evitando así el tráfico hacia/desde el mismo.
- ¿Qué mecanismos define ND?
El protocolo de descubrimiento de vecindario permite la interacción entre nodos, a través de los siguientes mecanismos:
- Router Discovery (descubrimiento de routers): Permite a los hosts localizar los routers que residen en el mismo enlace. En IPv4, este mecanismo requiere el uso de otros protocolos de routing.
- Prefix Discovery (descubrimiento de prefijos): Gracias a él, los hos
