¿Qué es IPsec y qué función desempeña en una VPN?
La Internet Engineering Task Force (IETF) desarrolló IPsec en respuesta a las vulnerabilidades de seguridad del Protocolo de Internet (IPv4). No era una tarea desafiante para nadie interceptar datos en internet entregados a través de IPv4. Por lo tanto, entró en juego IPsec. IPsec aborda las deficiencias de seguridad de IPv4 utilizando un conjunto de protocolos de seguridad para asegurar que las comunicaciones en internet sean seguras.
Operando en la capa de red del modelo de Interconexión de Sistemas Abiertos (OSI), puedes usar IPsec para comunicarte de forma segura entre redes y hosts. Como resultado, las implementaciones de IPsec ocurren en comunicaciones de host a host, de red a host y de red a red.
IPsec es popular en cualquier industria que requiera seguridad de extremo a extremo entre dos puntos finales, especialmente la industria de las VPN. Entre otros protocolos, las VPN utilizan IPsec para asegurar los datos en tránsito, ya que proporciona integridad de datos, confidencialidad y autenticación. Este artículo se centra en entender IPsec y por qué las VPN dependen de él para proteger el tráfico de internet de sus consumidores.
¿Qué es IPsec?
La Seguridad del Protocolo de Internet (IPsec) es un conjunto de protocolos o un grupo de protocolos que trabajan juntos para establecer una conexión segura entre computadoras a través de internet. IPsec proporciona conexiones cifradas, evitando que terceros vean el contenido de la comunicación entre las computadoras involucradas. Además del cifrado, IPsec también proporciona un mecanismo para autenticar los paquetes de datos para asegurarse de que provienen de la fuente correcta. Veamos a continuación las características estándar de seguridad que proporciona IPsec.
1. Autenticación: Al autenticar los datos en ambos extremos de la conexión, IPsec asegura que los puntos finales son confiables antes de que comience la transmisión de datos.
2. Confidencialidad: Al proporcionar cifrado de datos de extremo a extremo, IPsec garantiza que las entidades maliciosas no pueden infiltrarse en la red, robar datos o espiar la red.
3. Integridad: IPsec usa el hashing para verificar la integridad de los datos, asegurando que intercepta los datos alterados.
4. Anti-replicación: Utilizando números de secuencia, IPsec asegura que los actores malintencionados no puedan replicar paquetes de datos para infiltrarse en la red.
Puedes usar IPsec entre dos hosts (host a host), entre dos redes/puertas de enlace (red a red) o entre un host y una red (red a host). Además, encontrarás la implementación de IPsec en dominios de seguridad como redes privadas virtuales (VPN), seguridad en rutas y seguridad a nivel de aplicación. IPsec por sí solo puede que no sea suficientemente efectivo para una seguridad de alto nivel, por lo que en algunos casos se implementa junto con otros protocolos.
Protocolos de IPSec
Existen tres protocolos que son parte del conjunto de IPsec. Estos protocolos trabajan juntos para proporcionar autenticación de datos, integridad, confidencialidad y anti-replicación. Veámoslos a continuación.
1. Cabecera de Autenticación (AH)
La principal función de la Cabecera de Autenticación es autenticar los paquetes de datos IP. Utiliza funciones hash y una clave secreta para validar cada paquete desde cada extremo del túnel VPN. Esto impide que entidades maliciosas modifiquen datos y los presenten como auténticos. AH proporciona autenticación, integridad y protección anti-replay. No ofrece ninguna forma de encriptación.
2. Encapsulating Security Payload (ESP)
La principal función del ‘Encapsulating Security Payload’ es cifrar los paquetes de datos. Dependiendo del modo IPsec, encripta sólo la carga útil o la carga útil y la cabecera IP. El modo de transporte solo permite a ESP cifrar el segmento de la capa de transporte y la carga útil, dejando la cabecera IP sin encriptación. Por otro lado, ESP en modo túnel encripta la cabecera IP con el segmento de la capa de transporte y la carga útil. ESP proporciona autenticación, integridad, confidencialidad y protección anti-replay.
3. Asociación de Seguridad (SA)
IPSec utiliza asociaciones de seguridad para establecer protocolos de seguridad que los puntos finales utilizan para negociar algoritmos de encriptación y claves. En términos simples, una asociación de seguridad es simplemente una forma de que los dos puntos finales acuerden parámetros que establecerán y mantendrán el túnel IPsec seguro.
Las Asociaciones de Seguridad de IPsec requieren tres cosas: un Índice de Parámetro de Seguridad (SPI), la dirección IP de destino y el protocolo IPsec (AH o ESP). Las Asociaciones de Seguridad (SAs) operan en una única dirección; por lo tanto, necesita dos SAs (saliente y entrante) para cada punto final. IPsec utiliza el Protocolo de Asociación de Seguridad y Gestión de Claves de Internet (ISAKMP) para establecer SAs.
¿Cómo funciona IPsec?
A continuación, veremos cómo IPsec establece una conexión segura entre dos puntos finales y protege los datos desde su origen hasta su destino.
1. Intercambio de Claves
El Protocolo de Intercambio de Claves de Internet (IKE) se encarga de la negociación de claves y algoritmos que utilizarán ambos puntos finales. En consecuencia, es un proceso vital en el uso de IPsec para establecer una conexión segura y fiable. IKEv1 tiene dos fases: la fase 1 de IKE y la fase 2 de IKE.
El propósito de la fase 1 de IKE es que los puntos finales intercambien propuestas sobre cómo autenticar y asegurar la conexión entre ellos. Intercambian propuestas para parámetros de seguridad como algoritmos de cifrado, algoritmos de autenticación, grupo Diffie-Hellman (DH), y claves precompartidas o certificados RSA/DSA. Como resultado, al final de esta fase, al menos una única Asociación de Seguridad ISAKMP bidireccional debería estar establecida entre los compañeros. Puedes usar la fase 1 en el Modo Principal (total de seis mensajes entre puntos finales) o en el Modo Agresivo (total de tres mensajes entre puntos finales).
La fase 2 de IKE comienza después de que los puntos finales o pares hayan establecido una conexión segura. En esta fase, los puntos finales negocian las SAs que mantendrán seguros los datos que pasen por el túnel IPsec. Un protocolo de seguridad (ESP o AH), algoritmos de cifrado y algoritmos de autenticación se negocian en esta fase. Además, un grupo Diffie-Hellman (DH) y la Perfect Forward Secrecy también pueden formar parte de la propuesta.
IKEv2, la versión actualizada de IKEv1, no tiene una fase 1 o fase 2. Sin embargo, los puntos finales intercambian cuatro mensajes para negociar los parámetros de seguridad para el túnel IPsec. Los VPN prefieren usar IKEv2 porque es más fácil de configurar y más seguro.
2. Encabezados y Colas de Paquetes
Después de que los puntos finales hayan acordado los parámetros de seguridad, ahora pueden enviarse datos entre sí. Primero, los paquetes IP necesitan ser encapsulados. Dependiendo de si está utilizando el modo túnel o el modo transporte, IPsec añade los encabezados y las colas necesarios a cada paquete que necesita ser transportado.
3. Autenticación y Cifrado
IPsec aplica autenticación y cifrado utilizando AH y ESP. AH no proporciona cifrado pero autentica los paquetes de datos. Por otro lado, ESP ofrece cifrado y autenticación.
4. Transmisión
Los paquetes IP ahora pueden moverse a través de la conexión IPsec hasta los puntos finales con la ayuda de un protocolo de transporte (preferiblemente UDP).
5. Descifrado
El descifrado ocurre en el extremo receptor de la conexión. Una vez descifrados, los datos se mueven a la aplicación que los necesita.
Modo de transporte IPsec Vs. Modo túnel
IPsec tiene dos modos de operación: Túnel y Transporte. Analicemos a continuación lo que hace que cada uno sea diferente del otro.
Modo de Transporte
Un circuito IPsec que opera en modo de transporte suele ser una conexión directa entre dos hosts. Los puntos finales no cifran ni autentican el paquete IP completo en el modo de transporte, solo la carga útil. Dado que la cabecera IP no se modifica ni se encapsula, los dispositivos de terceros fuera de los dos puntos finales pueden ver el destino y el origen de los paquetes.
Modo de Túnel
Un circuito IPsec que opera en modo de túnel suele estar entre dos pasarelas (comunicaciones de red a red): dos routers o un router y un firewall. Sin embargo, puedes usarlo para comunicaciones de host a host y de host a red. En este modo, no solo la carga útil se cifra; todo el paquete IP se cifra y autentica. Las VPN utilizan el modo de túnel IPsec porque asegura toda la red mediante cifrado de extremo a extremo y no solo los datos que pasan a través de ella.
IPsec en una VPN
Dado que una VPN proporciona una forma segura de comunicarse por Internet, es razonable que IPsec sea uno de los protocolos que las VPN utilizan. Cuando las VPN utilizan IPsec, normalmente usan ESP en modo de túnel debido al cifrado de extremo a extremo que proporciona. En algunos casos, verás IKEv2/IPsec o IKEv2 como protocolos de VPN que puedes usar. Ambos significan lo mismo ya que IKEv2 usa el modo de túnel IPsec para establecer una conexión segura.
Además, las VPNs combinan protocolos menos seguros como L2TP con IPsec para garantizar conexiones seguras. Es por eso que verás L2TP/IPsec como opción en algunas aplicaciones VPN. Ahora, veamos cómo funciona básicamente IPsec cuando haces clic en el botón conectar de tu aplicación VPN.
1. Una vez que haces clic en el botón «Conectar», IPsec comienza a establecer una conexión segura utilizando ESP y el modo de túnel.
2. Los puntos finales del túnel acuerdan los parámetros de seguridad usando Asociaciones de Seguridad (SA).
3. Ahora los datos pueden moverse de un extremo a otro de manera segura ya que tanto el cifrado como el descifrado ocurren en ambos destinos. Un punto final recibe paquetes IP, los cifra y los transfiere al otro punto final. En el extremo receptor, el otro punto final descifra los paquetes IP y los envía a la aplicación correspondiente.
Lo anterior no es una explicación exhaustiva, pero debería darte una idea de cómo funciona IPsec en una VPN.
Conclusión
IPsec es importante si necesitas confidencialidad, integridad y autenticación de datos entre dos puntos. La mayoría de las VPNs incluyen IPsec (IKEv2/IPsec o L2TP/IPsec) como parte de los protocolos seguros de VPN que ofrecen. Esperamos que este artículo te ayude a entender IPsec y cómo es un conjunto de protocolos importantes que las VPNs utilizan para asegurar las comunicaciones en internet.