1. José Miguel López Pérez 4º Grado Ingeniería Informática josemlp@correo.ugr.es
Seguridad y Protección de Sistemas Informáticos. IPsec
1
IPsec, protocolo de seguridad en capa de
red.
Introducción.
Psec, “Internet Protocol security”, está conformado por una de serie de protocolos cuya función
es asegurar las comunicaciones en Internet, sobre el protocolo IP.
Ocupándose así de cada paquete IP del flujo de datos, incluyendo también los protocolos para
el establecimiento de claves de cifrado.
Destaquemos que la seguridad que proporciona IPsec es una seguridad a más bajo nivel, puesto
que opera en una capa más cercana a la capa física, que las otras medidas de seguridad que
estamos acostumbrados a incorporar sea SSL, TLS y SSH, más en concreto IPsec opera en la capa 3
del modelo OSI, mientas que SSL, TLS y SSH operan en la capa 4.
Esto hace que IPsec sea más flexible, y puede ser utilizado para proteger protocolos de la capa de
arriba (capa 4), incluso pudiendo ser complementada con las medidas de seguridad, que hemos
enunciado que se pueden aplicar a la capa 4, elevando así muchísimo el grado de seguridad.
Proporcionando así un nivel de seguridad común y homogéneo para todas las aplicaciones, además
de ser independiente de la tecnología física empleada.
Una ventaja grandísima que tiene IPsec es que para que una aplicación pueda usar IPsec no hay
que hacer ningún cambio, mientras que para usar SSL, por ejemplo, sí que es necesario modificar el
código.
Los protocolos criptográficos que usan IPsec, principalmente garantizan varias cosas, primero
asegurar el flujo de paquetes, segundo garantizar una autentifican mutua, y estableces los
parámetros criptográficos.
Fundamentos.
El nacimiento de IPsec viene motivado por la cantidad de ataques o incidentes de seguridad, que se
han producido usando IPv4, se estima que existen 82000 informes de incidentes de seguridad de
este tipo.
Los tipos de ataques más serios incluían la falsificación de direcciones IP, “IP spoofing”, en la que
un intruso crea paquetes con direcciones falsas y explota las aplicaciones que utilizan la
autentificación basada en direcciones IP.
También se producción varios tipos de escucha y captura de paquetes
“packet sniffing”, en las que los atacantes leen la información transmitida, incluyendo información
I
2. José Miguel López Pérez 4º Grado Ingeniería Informática josemlp@correo.ugr.es
Seguridad y Protección de Sistemas Informáticos. IPsec
2
de ingreso en sistemas y contenido de bases de datos.
Por tanto en respuesta a todos estos ataques el IAB (“Internet Architecture Board”, organismo
dentro de la “Internet Society”, encargado de la supervisión y aprobación de normas, de Internet)
incluyó la autenticación y el cifrado como características de seguridad necesarias en el protocolo IP
de nueva generación (IPv6).
A pesar de que IPsec fue ideado para ser incorporado a IPv6, también es utilizable en IPv4, y dado
la lentitud en la implantación de IPv6 y la urgencia en proteger IPv4, los fabricantes ya están
empezando a ofreces esta característica en sus productos y muchos de ellos ya incluyen algunas
características de IPSec.
IPsec tiene también la característica de ser un estándar abierto, y aunque establece algoritmos
comunes, por razones de interoperabilidad, permite integrar algoritmos criptográficos más
robustos que pueden ser diseñados en un futuro.
Beneficios ofrecidos por IPSEC.
Es posible crear aplicaciones como el acceso seguro y transparente de un nodo IP remoto.
Facilita el comercio electrónico de negocio a negocio, proporcionando una infraestructura
segura sobre la que realizar transacciones usando cualquier aplicación. Un ejemplo son la
"extranet" que más adelante explicaremos.
Permite construir redes corporativas sobre redes públicas, eliminando así muchos costes.
Un trabajador, tendrá el mismo nivel de confidencialidad, que si se encontrase en la misma
LAN de la empresa.
Protocolo IPSEC
IPsec como hemos dicho, aúna un conjunto de estándares para integrar en IP funciones de
seguridad basadas en criptografía.
Proporcionando confidencialidad, integridad y autenticidad de datagramas IP.
Para conseguir esto IPsec, combina tecnologías de clave pública (RSA), algoritmos de cifrado (DES,
DES3, Blowfish, IDEA), algoritmos de hash (MD5,SHA-1) y certificados digitales X509v3.
Además estos algoritmos pueden ser cambiados por otros que se consideren más seguros o más
adecuados para un entorno específico, sin afectar a otras partes de la implementación.
3. José Miguel López Pérez 4º Grado Ingeniería Informática josemlp@correo.ugr.es
Seguridad y Protección de Sistemas Informáticos. IPsec
3
Componentes de IPsec
Dos protocolos de seguridad: IP Authentification Header (AH) e IP Encapsulating Security
Payload (ESP) que proporcionan mecanismo de seguridad para proteger el tráfico IP.
Un protocolo para la gestión de claves Internet Key Exchange (IKE) que permite a dos
nodos negociar las claves para estableces una de las conexiones cifradas anteriores.
Asociaciones de seguridad
IPsec usa el concepto que se conoce como asociación de seguridad (nos referiremos en adelante
como SA), y con ello construye las funciones de seguridad.
Una asociación es una relación en un solo sentido entre un emisor y un receptor que proporciona
servicios de seguridad al tráfico que transporta, por tanto si necesitamos de una relación
bidireccional, necesitamos hacer uso de dos asociaciones.
Cuando hablamos de asociación en seguridad, básicamente nos referimos al paquete de
algoritmos y parámetros (claves de cifrado), que usa la otra parte para ocultar el mensaje.
Protocolo AH
Este protocolo garantiza la integridad y autentificación de cada datagrama IP, es decir verificar que
el origen de los datos el legítimo, y que estos datos no hash sido alterados, pero no se encarga de
garantizar la confidencialidad, permitiendo que los datos puedan ser visto por un agente externo.
AH, básicamente lo que hace es insertar una nueva cabecera entre la cabecera IP estándar y los
datos que transporta.
Puesto que AH es un protocolo nuevo, se debe indicar en el campo de la cabecera IP destinado a tal
fin, al igual que se indica si se utiliza TCP o UDP.
[IM1]
4. José Miguel López Pérez 4º Grado Ingeniería Informática josemlp@correo.ugr.es
Seguridad y Protección de Sistemas Informáticos. IPsec
4
Otro detalle a destacar es que AH, protege la integridad y autenticidad de los datos transportados y
de la cabecera IP, con la excepción de los campos TOS, TTL, checksum y flags.
Estructura datagrama IPsec AH
El protocolo AH se basa en un algoritmo HMAC, como código de autenticación de mensajes.
El algoritmo básicamente aplica una función hash a un conjunto de datos de entrada y a una clave,
obtener una pequeña cadena denominada extracto.
El extracto es como la huella dactilar asignada a los datos, y a la persona, y es ahí donde reside la
seguridad, en la dificultad de calcular el extracto, sin conocer la clave, es decir sin que exista una
asociación entre emisor y receptor.
Protocolo ESP
[IM2] [IM3]
5. José Miguel López Pérez 4º Grado Ingeniería Informática josemlp@correo.ugr.es
Seguridad y Protección de Sistemas Informáticos. IPsec
5
Este protocolo se ocupa de garantizar la confidencialidad en la comunicación, introduciendo el
modo de cifrar los datos y como se presentan los datos cifrados en el datagrama IP. Además este
protocolo puede complementarse con el protocolo AH, para garantizar tanto la confidencialidad,
como la integridad y autenticación.
La estructura de las cabeceras en ESP es más compleja que las de AH, puesto que ahora además de
la cabecera propia de ESP, se incluye una cola, al final del campo de datos.
En la cabecera IP, debemos hacer referencia al protocolo que estamos usando, introduciendo el
valor 50, y esto es lo único que puede conocer alguien que pueda interceptar el paquete, ni
siquiera puede saber si se trata de un paquete TCP o UDP.
El cifrado lo realizan algoritmos de clave simétrica y normalmente en bloque, obligándonos a que
los datos se ajusten al tamaño del bloque (8 o 16 bits).
La seguridad de este protocolo está en la fuerza del algoritmo de cifrado que utiliza, y que un
atacante no pueda obtener el mensaje, sin la clave, y es por ello por lo cual otro proceso crítico es
el de intercambio de las claves o llaves.
Estructura datagrama IPsec ESP
El protocolo encargado de coordinar emisor y receptor, en cuestiones de algoritmos que se van a
utilizar y de parámetros comunes, es el protocolo de control IKE.
Modo transporte y modo túnel.
Tanto ESP como AH proporcionan dos modos de uso:
[IM4] [IM5]
6. José Miguel López Pérez 4º Grado Ingeniería Informática josemlp@correo.ugr.es
Seguridad y Protección de Sistemas Informáticos. IPsec
6
1. Modo transporte: Se ocupa de transportar datos procedentes de UDP o TCP, integrando la
cabecera IPsec justamente después de la cabecera IP y antes de los datos que se quieren
proteger. Asegurando la comunicación extremo a extremo, pero necesitando que ambos
extremos conozcan el protocolo IPsec.
2. Modo túnel: En este modo el contenido del datagrama AH o ESP es tiene otra cabecera IP,
adicional. Esta cabecera IP tiene una estructura similar a la de un datagrama IP usual.
Permitiendo así que el datagrama IPsec pueda ser manejado por un nodo que no entienda
IPsec. Permitiéndonos crear así redes privadas virtuales, sobre redes públicas.
Otra aplicación útil de modo túnel, es poder ocultar la identidad real de los nodos que se
están comunicando.
Muchas veces la implementación de IPsec se hace en un equipo dedicado, como puede ser
un router o un firewall, que cuando realiza este tipo de funciones lo denominamos gateway.
Protocolo IKE
Hasta el momento hemos asumido, que emisor y receptor, ya están asociados, conocen las
variables y algoritmos, para que puedan comunicarse usando IPsec.
Esta configuración se puede hacer de una forma manual, (utilizando una canal seguro para ello), lo
cual puede ser complicado e incluso inseguro, si no se hace con las medidas de seguridad
adecuadas.
Por tanto contamos con protocolos de control, que se encargan de negociar automáticamente
todos los parámetros necesarios para que se produzca la SA.
[IM6]
7. José Miguel López Pérez 4º Grado Ingeniería Informática josemlp@correo.ugr.es
Seguridad y Protección de Sistemas Informáticos. IPsec
7
Como protocolo de control, se ha definido IKE, que no se usa únicamente en IPsec, pues se puede
usar en O SPF o RIPv2.
El objetivo principal de IKE es establecer una conexión cifrada y autentificada entre las dos
entidades implicadas en la comunicación, realizando una negociación de los parámetros necesarios
para conseguir la SA.
Este proceso tiene dos fases:
1) La fase común en toda aplicación, establecer el canal seguro y autentificado.
Las claves se generan a partir de una clave maestra y un intercambio de llaves mediante el
algoritmo Diffie-Helman. Pero lo siguiente es asegurar la identidad de ambos nodos.
Para esto se describen dos métodos:
Autentificación basada en un secreto compartido, que es una cadena solo
conocida por las partes de la comunicación. Se intercambian un hash de la
cadena, para comprobar que efectivamente la otra parte conoce el secreto. El
problema es que el secreto debe ser distinto para par de nodos que
comunicamos, y esto cuando son muchos es difícil de manejar.
Autenticación usando certificados digitales X509v3, requiriendo un nuevo
elemento el PKI (Infraestructura de Clave Pública.)
2) Haciendo uso del canal seguro ya establecido, se deben negociar los parámetros de
seguridad específicos.
Negociando así las características de conexión ESP o AH.
Para este paso, el host que ha iniciado la conexión ofrece todas las posibles opciones que
tenga configuradas en su política de seguridad y con la prioridad que se haya configurado.
El host receptor aceptará la primera que coincida con los parámetros de seguridad que
tenga definidos.
8. José Miguel López Pérez 4º Grado Ingeniería Informática josemlp@correo.ugr.es
Seguridad y Protección de Sistemas Informáticos. IPsec
8
Aplicaciones
Las aplicaciones de IPsec en entornos financieros y empresariales son muchísimas, además como
ya sabemos, no necesitamos cambiar las aplicaciones para que IPsec funcione, algunas de las
aplicaciones más importantes pueden ser la interconexión segura de redes locales, el acceso seguro
de usuarios remotos o las extranet.
Para conseguir la interconexión segura de redes locales, podemos hacer uso de un gateway que
utilice IPsec en las comunicaciones entre redes, con independencia de la tecnología de acceso
empleada.
Determinadas aplicaciones requieren de un acceso seguro por parte de los usuarios remotos, la
tecnología IPsec permite comunicar el PC del usuario con las máquinas remotas de la empresa,
obteniendo las mismas ventajas que si estuviese en la misma oficina, tales como:
- Acceso al correo electrónico.
- Acceso a los discos compartidos en red.
[IM7]
[IM8]
9. José Miguel López Pérez 4º Grado Ingeniería Informática josemlp@correo.ugr.es
Seguridad y Protección de Sistemas Informáticos. IPsec
9
- Acceso al servidor web.
- Agendas, control de versiones, backup.
La extranet
Permitiendo conectar la empresa con todos los agentes y asociados de una forma segura, creando
mercados virtuales seguros.
Esto viene fomentado por la
interoperabilidad del protocolo.
Conclusiones
IPsec me parece una tecnología, extremadamente útil, puesto que añade una fortaleza muy grande
a las comunicaciones, (tan grande como la criptografía, lo permita), a la par que permite gran
flexibilidad tanto en la tecnologías de acceso a red, como en las aplicaciones, pudiendo seguir
utilizando las mismas que usamos en IPv4 sin protección.
El único inconveniente que podemos destacar es el posible retardo, y el consumo de CPU, debido a
la ejecución de los algoritmos criptográficos.
Bibliografía:
[B1] Comunicaciones y Redes de Computadores, 7ma Edición - William Stallings.
ISBN 84-205-4110-9 (Capitulo 21.6 - Seguridad en IPv4 e IPv6)
[B2] Redes de Computadoras - 4ta Edición - Andrew S.Tanenbaum
ISBN 970-260-162-2 (Capitulo 8.6 - SEGURIDAD EN LA COMUNICACIÓN - Sección 8.6.1 Ipsec)
Webs Relacionadas:
[W1] http://en.wikipedia.org/wiki/IPsec
[W2] http://ldc.usb.ve/~poc/RedesII/Grupos/G7/
[W3] http://www.ipsec-howto.org/spanish/ipsec-howto.pdf
[W4] http://prezi.com/dpqxf9gmnn4x/ipsec-ipv6/
[W5] http://www.pcworld.es/archive/el-protocolo-ipsec-fundamentos-y-aplicaciones
[W6] http://openbsd.appli.se/faq/es/faq13.html
[IM9]
10. José Miguel López Pérez 4º Grado Ingeniería Informática josemlp@correo.ugr.es
Seguridad y Protección de Sistemas Informáticos. IPsec
10
[W7]http://www.unicauca.edu.co/gntt/portal/index.php?option=com_jdownloads&Itemid=34&view=fi
nish&cid=7&catid=4&m=0
Imágenes:
[IM1] http://pix.toile-libre.org/upload/original/1392850014.png
[IM2] http://pix.toile-libre.org/upload/original/1392903437.png
[IM3] http://pix.toile-libre.org/upload/original/1392903813.png
[IM4] http://pix.toile-libre.org/upload/original/1392906169.png
[IM5] http://pix.toile-libre.org/upload/original/1392906255.png
[IM6] http://pix.toile-libre.org/upload/original/1392910474.png
[IM7] http://pix.toile-libre.org/upload/original/1392920301.png
[IM8] http://pix.toile-libre.org/upload/original/1392935866.png
[IM9] http://pix.toile-libre.org/upload/original/1392936359.png