Redes de comunicaciones
3. EL MODELO INTERNET
Los protocolos de IPSec actúan en la capa de red, la capa 3 del modelo OSI. Otros protocolos de seguridad para Internet de uso extendido, como SSL, TLS y SSH operan en la capa de transporte o por encima (capas OSI 4 a 7). Esto hace que IPSec sea más flexible, ya que puede ser utilizado para proteger protocolos de la capa 4, incluyendo TCP y UDP, los protocolos de capa de transporte más usados. Así para que una aplicación pueda usar IPSec no es necesario modificarla, mientras que para usar SSL y otros protocolos de niveles superiores sí. Hay dos modos de operación de IPSec: modo transporte y modo túnel. ● Modo transporte: El modo transporte permite que dos equipos se comuniquen entre ellos utilizando IPSec igual que utilizarían IP pero firmando y/o cifrando los datos que se transfieren (la carga útil del paquete IP). Este sistema añade poca sobrecarga de bytes y permite a los dispositivos de la red conocer el origen y el destino del paquete, lo que puede ser necesario para algunos servicios como QoS. El sistema de encaminamiento no varía respecto a IP, ya que no se modifica ni se cifra la cabecera IP; sin embargo, cuando se utiliza integridad con AH -que firma la cabecera IP-, las direcciones IP no pueden ser traducidas (p.e. con NAT), ya que eso invalidaría la firma del paquete (hash). Para encapsular mensajes IPSec a través de NAT se usa NAT Transversal (NAT-T). ●
Modo túnel: En el modo túnel dos equipos establecen un canal de comunicación por el que otros equipos o procesos envían información. Es decir el emisor y el receptor originales siguen enviando y recibiendo sus datos sin cifrar ni firmar mediante las pasarelas del túnel IPSec (IPSec Proxy), que se encargan de cifrar y/o firmar todo el paquete IP original que debe ser encapsulado en un nuevo paquete IP. El modo túnel se utiliza para comunicaciones red a red (túneles seguros entre encaminadores, p.e. para VPNs) o comunicaciones ordenador a red u ordenador a ordenador sobre Internet. Modo Transporte
Protocolo ESP
Modo Túnel
Firmado (Opcional)
IP ESP TCP/UDP DATA ESP ESP Header Header Header Trailer Auh
Protocolo AH
Firmado (Opcional)
Cifrado
Cifrado New ESP Orig. IP TCP/UDP DATA ESP ESP IP Header Header Header Trailer Auh Header
Firmado
Firmado
IP Auth TCP/UDP DATA Header Header Header
New IP Auth Orig. IP TCP/UDP DATA Header Header Header Header
IPSec no define unos algoritmos específicos de cifrado sino que mediante ISAKMP permite utilizar IKE (Internet Key Exchange) para realizar un autonegociado del algoritmo a utilizar y del intercambio de claves. IKE funciona sobre UDP y aporta escalabilidad y flexibilidad ya que permite utilizar algoritmos de varios tipos: – Claves Pre-Compartidas (PSK: Pre-Shared Key). Su mayor inconveniente es la distribución de la PSK. – Kerberos. – Criptografía de clave pública-privada. – Certificados digitales. El principal problema de IKE viene de que, aunque es un estándar abierto, la norma es admite distintas interpretaciones, lo que ha dado lugar a implementaciones ligeramente incompatibles. Este es uno de los motivos por el que se están imponiendo las VPNs sobre SSL. Actualmente está en desarrollo IKE v2.
http://guimi.net
24 / 99