Modos de transporte y túnel en IPsec

Idioma:

Los estándares de IPsec definen dos modos distintos de funcionamiento de IPsec, modo de transporte y modo de túnel. La diferencia clave entre el modo de transporte y el modo de túnel es dónde se aplica la política. En modo de túnel, el paquete original se encapsula en otro encabezado IP. Las direcciones del otro encabezado pueden ser diferentes.

Los paquetes pueden estar protegidos por AH, ESP o ambos en cada modo. Los modos difieren en cuanto a la aplicación de la política, de la siguiente manera:

En el modo de transporte, las direcciones IP del encabezado externo se usan para determinar la política de IPsec que se aplicará al paquete.
En modo de túnel, se envían dos encabezados de IP. El paquete de IP interno determina la política de IPsec que protege el contenido.

El modo de túnel se puede aplicar a cualquier combinación de sistemas finales y sistemas intermedios, como puertas de enlace de seguridad.

En el modo de transporte, pueden utilizarse el encabezado IP, el encabezado siguiente y los puertos que admita el encabezado siguiente para determinar la política de IPsec. En efecto, IPsec puede aplicar diferentes políticas de modo de transporte entre dos direcciones IP hasta la granularidad de un único puerto. Por ejemplo, si el siguiente encabezado es TCP, que admite puertos, la política IPsec se puede configurar para un puerto TCP de la dirección IP exterior.

EL modo de túnel funciona únicamente para los paquetes de IP en IP. En el modo de túnel, la política de IPsec se aplica al contenido del paquete IP interno. Se pueden aplicar diferentes políticas IPsec para distintas direcciones IP interiores. Es decir, el encabezado IP interno, su encabezado siguiente y los puertos que admite el encabezado siguiente pueden aplicar una política. A diferencia del modo de transporte, en el modo de túnel el encabezado IP externo no dicta la política de su paquete IP interno.

Por tanto, en modo túnel, la política IPsec se puede especificar para las subredes de una LAN detrás de un enrutador y para puertos de dichas subredes. La política IPsec también se puede especificar para una dirección IP concreta, es decir, hosts de esas subredes. Los puertos de dichos hosts también pueden tener una política IPsec específica. Sin embargo, si se ejecuta un protocolo de enrutamiento dinámico por un túnel, no utilice la selección de subredes o la sección de direcciones, porque la vista de la topología de red en la red del par podría cambiar. Los cambios invalidarían la política IPsec estática. Para ver algunos ejemplos de procedimientos de túnel que incluyen la configuración de rutas estáticas, consulte Protección de una VPN con IPsec.

En Oracle Solaris, el modo de túnel puede ser aplicado únicamente por una interfaz de red IP. Para obtener más información acerca de las interfaces de túneles, consulte el Capítulo 4, Acerca de la administración de túneles IP de Administración de redes TCP/IP, IPMP y túneles IP en Oracle Solaris 11.2 . La política de IPsec proporciona una palabra clave tunnel para seleccionar una interfaz de red de túneles IP. Cuando la palabra clave tunnel está presente en una regla, todos los selectores específicos de dicha regla se aplican al paquete interior.

La figura siguiente muestra un encabezado IP con un paquete TCP sin proteger.

Figura 6-3 Paquete IP sin proteger con información TCP

image:En el gráfico, se muestra el encabezado IP seguido del encabezado TCP. El encabezado TCP no está protegido.

En modo transporte, ESP protege los datos tal como se muestra en la figura siguiente. El área sombreada muestra la parte cifrada del paquete.

Figura 6-4 Paquete IP protegido con información TCP

image:En el gráfico, se muestra el encabezado ESP entre el encabezado IP y el encabezado TCP. El encabezado TCP se cifra mediante el encabezado ESP.

En el modo de túnel, el paquete completo está dentro del encabezado de ESP. El paquete de Figure 6–3 está protegido en el modo de túnel mediante un encabezado IPsec externo y, en este caso, ESP, como se muestra en la siguiente figura.

Figura 6-5 Paquete IPsec protegido en modo túnel

image:En el gráfico, se muestra el encabezado ESP después del encabezado IP y antes de un encabezado IP y un encabezado TCP. Los dos últimos encabezados están protegidos mediante cifrado.

La política de IPsec proporciona palabras clave para el modo de túnel y modo de transporte. Para obtener más información, consulte lo siguiente:

Para obtener detalles sobre la política por socket, consulte la página del comando man ipsec(7P).
Para obtener un ejemplo de la política por socket, consulte Cómo utilizar IPsec para proteger la comunicación del servidor web con otros servidores.
Para más información acerca de los túneles, consulte la página del comando man ipsecconf(1M).
Para ver un ejemplo de configuración de túnel, consulte Cómo proteger la conexión entre dos LAN con IPsec en modo de túnel.