IPsec protege los paquetes IP autenticándolos, cifrándolos o llevando a cabo ambas acciones. IPsec se lleva a cabo dentro del módulo IP, debajo de la capa de aplicación. Por tanto, una aplicación de Internet puede aprovechar IPsec aunque no esté configurada para el uso de IPsec. Cuando se utiliza correctamente, la directiva IPsec es una herramienta eficaz para proteger el tráfico de la red.
La protección IPsec implica cinco componentes principales:
Protocolos de seguridad: Mecanismo de protección de datagramas IP. El encabezado de autenticación (AH) firma los paquetes IP y garantiza la integridad. El contenido del datagrama no está cifrado, pero el receptor tiene la seguridad de que el contenido del paquete no se ha modificado. El receptor también tiene la garantía de que los paquetes los ha enviado el remitente. La Encapsulating Security Payload (ESP) cifra los datos IP, con lo cual codifica el contenido durante la transmisión de paquetes. ESP también puede garantizar la integridad de los datos mediante una opción de algoritmo de autenticación.
Base de datos de asociaciones de seguridad (SADB): La base de datos que asocia un protocolo de seguridad con una dirección de destino IP y un número de índice. El número de índice se denomina índice de parámetros de seguridad. Estos tres elementos (el protocolo de seguridad, la dirección de destino y el SPI) identifican de forma exclusiva a un paquete IPsec legítimo. La base de datos garantiza que el receptor reconozca un paquete protegido que llega a su destino. El receptor también utiliza información de la base de datos para descifrar la comunicación, verificar que los paquetes no se hayan modificado, volver a ensamblar los paquetes y entregarlos en su destino final.
Administración de claves: La generación y distribución de claves para los algoritmos criptográficos y SPI.
Mecanismos de seguridad: Los algoritmos de autenticación y cifrado que protegen los datos de los datagramas IP.
Base de datos de directivas de seguridad (SPD): La base de datos que especifica el nivel de protección que se aplica a un paquete. SPD filtra el tráfico IP para determinar el modo en que se deben procesar los paquetes. Un paquete puede descartarse, transferirse sin codificar o protegerse con IPsec. Para los paquetes salientes, SPD y SADB determinan el nivel de protección que se aplicará. Para los paquetes entrantes, SPD permite determinar si el nivel de protección del paquete es aceptable. Si el paquete se protege con IPsec, SPD se consulta una vez descifrado y verificado el paquete.
IPsec aplica los mecanismos de seguridad a los datagramas IP que se transfieren a la dirección de destino IP. El receptor utiliza la información de SADB para comprobar que los paquetes que llegan sean legítimos y descifrarlos. Las aplicaciones pueden invocar IPsec para aplicar mecanismos de seguridad a los datagramas IP por socket también.
Los sockets tienen un comportamiento distinto según el puerto:
Los SA por socket modifican su entrada de puerto correspondiente en SPD.
Además, si el socket de un puerto está conectado y posteriormente se aplica la directiva IPsec a ese puerto, el tráfico que utiliza ese socket no está protegido mediante IPsec.
Naturalmente, un socket abierto en un puerto después de la aplicación de la directiva IPsec en el puerto está protegido con IPsec.
Internet Engineering Task Force (IETF) ha publicado una serie de solicitudes de comentarios (RFC) que describen la arquitectura de seguridad para la capa IP. Todas las RFC tienen copyright de la Sociedad de Internet. Encontrará un vínculo a las RFC en la página http://www.ietf.org/. La siguiente lista de RFC incluye referencias de seguridad IP generales:
RFC 2411, "IP Security Document Roadmap", noviembre de 1998.
RFC 2401, "Security Architecture for the Internet Protocol", noviembre de 1998.
RFC 2402, "IP Authentication Header", noviembre de 1998.
RFC 2406, "IP Encapsulating Security Payload (ESP)", noviembre de 1998.
RFC 2408, "Internet Security Association and Key Management Protocol (ISAKMP)", noviembre de 1998.
RFC 2407, "The Internet IP Security Domain of Interpretation for ISAKMP", noviembre de 1998
RFC 2409, "The Internet Key Exchange (IKE)", noviembre de 1998.
RFC 3554, "On the Use of Stream Control Transmission Protocol (SCTP) with IPsec", julio de 2003 [sin implementar en la versión Solaris 10]
Las RFC IPsec definen una serie de términos útiles para determinar cuándo debe implementar IPsec en los sistemas. La tabla siguiente enumera los términos de IPsec, proporciona sus acrónimos habituales y aporta una definición. Para ver una lista de la terminología que se utiliza en la negociación de claves, consulte la Tabla 22–1.
Tabla 19–1 Términos, acrónimos y usos de IPsec
Término de IPsec |
Acrónimo |
Definición |
---|---|---|
Asociación de seguridad |
SA |
Conexión exclusiva entre dos nodos de una red. La conexión se define mediante tres elementos: un protocolo de seguridad, un índice de parámetros de seguridad y un destino IP. El destino IP puede ser una dirección IP o un socket. |
Base de datos de asociaciones de seguridad |
SADB |
Base de datos que contiene todas las asociaciones de seguridad activas. |
Índice de parámetros de seguridad |
SPI |
El valor de índice para una asociación de seguridad. Un SPI es un valor de 32 bits que distingue entre las SA que tienen el mismo destino IP y protocolo de seguridad. |
SPD |
Base de datos que determina si los paquetes salientes y entrantes tienen el nivel de protección especificado. |
|
Intercambio de claves |
|
El proceso de generación de claves para los algoritmos criptográficos asimétricos. Los dos métodos principales son los protocolos RSA y el protocolo Diffie-Hellman. |
Protocolo Diffie-Hellman |
DH |
Protocolo de intercambio de claves que implica la generación y la autenticación de claves. A menudo se denomina intercambio de claves autenticadas. |
Protocolo RSA |
RSA |
Protocolo de intercambio de claves que implica la generación y la distribución de claves. El protocolo recibe el nombre de sus tres creadores, Rivest, Shamir y Adleman. |
Protocolo de administración de claves y asociaciones de seguridad de Internet |
ISAKMP |
Estructura habitual para establecer el formato de los atributos SA, así como para negociar, modificar y eliminar SA. ISAKMP es el estándar IETF para administrar SA IPsec. |