Introducción a IPsec

IPsec protege los paquetes IP autenticándolos, cifrándolos o llevando a cabo ambas acciones. IPsec se realiza dentro del módulo IP. Por tanto, una aplicación de Internet puede aprovechar IPsec aunque no esté configurada para el uso de IPsec. Cuando se utiliza correctamente, la política IPsec es una herramienta eficaz para proteger el tráfico de la red.

La protección IPsec incluye los siguientes componentes principales:

Protocolos de seguridad: mecanismo de protección de datagramas IP. El encabezado de autenticación (AH) incluye un hash del paquete IP y garantiza la integridad. El contenido del datagrama no está cifrado, pero el receptor tiene la seguridad de que el contenido del paquete no se ha modificado. El receptor también tiene la garantía de que los paquetes los ha enviado el remitente. La carga de seguridad encapsuladora (ESP) cifra los datos IP, con lo cual codifica el contenido durante la transmisión de paquetes. ESP también puede garantizar la integridad de los datos mediante una opción de algoritmo de autenticación.
Asociaciones de seguridad (SA): los parámetros criptográficos y el protocolo de seguridad IP, aplicados a un flujo de tráfico de red. Cada SA tiene una referencia exclusiva denominada índice de parámetros de seguridad (SPI).
Base de datos de asociaciones de seguridad (SADB): la base de datos que asocia un protocolo de seguridad con una dirección IP de destino y un número de indexación. El número de índice se denomina índice de parámetros de seguridad. Estos tres elementos (el protocolo de seguridad, la dirección de destino y el SPI) identifican de forma exclusiva a un paquete IPsec legítimo. La base de datos garantiza que el receptor reconozca un paquete protegido que llega a su destino. El receptor también utiliza información de la base de datos para descifrar la comunicación, verificar que los paquetes no se hayan modificado, volver a ensamblar los paquetes y entregarlos en su destino final.
Gestión de claves: la generación y distribución de claves para los algoritmos criptográficos y SPI.
Mecanismos de seguridad: los algoritmos de autenticación y cifrado que protegen los datos de los datagramas IP.
Base de datos de políticas de seguridad (SPD): la base de datos que especifica el nivel de protección que se aplica a un paquete. SPD filtra el tráfico IP para determinar el modo en que se deben procesar los paquetes. Un paquete puede descartarse, transferirse sin codificar o protegerse con IPsec. Para los paquetes salientes, SPD y SADB determinan el nivel de protección que se aplicará. Para los paquetes entrantes, SPD permite determinar si el nivel de protección del paquete es aceptable. Si el paquete se protege con IPsec, SPD se consulta una vez descifrado y verificado el paquete.

IPsec aplica los mecanismos de seguridad a los datagramas IP que se transfieren a la dirección de destino IP. El receptor utiliza la información de SADB para comprobar que los paquetes que llegan sean legítimos y descifrarlos. Las aplicaciones pueden invocar IPsec para aplicar mecanismos de seguridad a los datagramas IP por socket también.

Si el socket de un puerto está conectado y, posteriormente, se aplica la política IPsec a ese puerto, el tráfico que utiliza ese socket no está protegido mediante IPsec. Naturalmente, un socket abierto en un puerto después de la aplicación de la política IPsec en el puerto está protegido con IPsec.

RFC IPsec

Internet Engineering Task Force (IETF) ha publicado una serie de solicitudes de comentarios (RFC) que describen la arquitectura de seguridad para la capa IP. Todas las RFC tienen copyright de la Sociedad de Internet. Encontrará un vínculo a las RFC en la página http://www.ietf.org/. La siguiente lista de RFC incluye referencias de seguridad IP generales:

RFC 2411, “IP Security Document Roadmap” (Documentos de seguridad IP), noviembre de 1998
RFC 2401, “Security Architecture for the Internet Protocol” (Arquitectura de seguridad para el protocolo de Internet), noviembre de 1998
RFC 2402, “IP Authentication Header” (Encabezado de autenticación IP), noviembre de 1998
RFC 2406, “IP Encapsulating Security Payload (ESP)” (Carga de seguridad encapsuladora de IP [ESP]), noviembre de 1998
RFC 2408, “Internet Security Association and Key Management Protocol (ISAKMP)” (protocolo de gestión de claves y asociaciones de seguridad de Internet [ISAKMP]), noviembre de 1998
RFC 2407, "The Internet IP Security Domain of Interpretation for ISAKMP" (El dominio de interpretación de seguridad de IP de Internet para ISAKMP), noviembre de 1998
RFC 2409, “The Internet Key Exchange (IKE)” (Intercambio de claves de Internet [KIE]), noviembre de 1998
RFC 3554, “On the Use of Stream Control Transmission Protocol (SCTP) with IPsec” (Sobre el uso del protocolo de transmisión para el control de flujo con IPsec), julio de 2003

Terminología de IPsec

Las RFC IPsec definen una serie de términos útiles para determinar cuándo debe implementar IPsec en los sistemas. La tabla siguiente enumera los términos de IPsec, proporciona sus acrónimos habituales y aporta una definición. Para ver una lista de la terminología utilizada en la negociación de claves, consulte la Tabla 9-1.

Tabla 6-1 Términos, acrónimos y usos de IPsec

Término de IPsec	Acrónimo	Definición
Asociación de seguridad	SA	Los parámetros criptográficos y el protocolo de seguridad IP que se aplican a un flujo de tráfico de red específico. La SA se define mediante tres elementos: un protocolo de seguridad, un índice de parámetros de seguridad (SPI) exclusivo y un destino IP.
Base de datos de asociaciones de seguridad	SADB	Base de datos que contiene todas las asociaciones de seguridad activas.
Índice de parámetros de seguridad	SPI	El valor de índice para una asociación de seguridad. Un SPI es un valor de 32 bits que distingue entre las SA que tienen el mismo destino IP y protocolo de seguridad.
base de datos de políticas de seguridad	SPD	Base de datos que determina si los paquetes salientes y entrantes tienen el nivel de protección especificado.
Intercambio de claves		El proceso de generación de claves mediante algoritmos criptográficos asimétricos. Los dos métodos principales son RSA y Diffie-Hellman.
Diffie-Hellman	DH	Un algoritmo de intercambio de claves que permite la generación y la autenticación de claves. A menudo se denomina intercambio de claves autenticadas.
RSA	RSA	Un algoritmo de intercambio de claves que permite la generación y la distribución de claves. El protocolo recibe el nombre de sus tres creadores, Rivest, Shamir y Adleman.
Protocolo de gestión de claves y asociaciones de seguridad de Internet	ISAKMP	Estructura habitual para establecer el formato de los atributos SA, así como para negociar, modificar y suprimir SA. ISAKMP es el estándar IETF para gestionar un intercambio IKE.

Omitir Vínculos de navegación
Salir de la Vista de impresión
	Protección de la red en Oracle Solaris 11.1 Oracle Solaris 11.1 Information Library (Español)