La seguridad de protocolo de Internet (IPSec), definida por el Grupo de trabajo de ingeniería de Internet (Internet Engineering Task Force IETF), es una serie de protocolos y servicios de seguridad de red abierta proporcionados en una red IP. La siguiente figura muestra el marco del protocolo IPSec.
IPSec protege los paquetes IP utilizando dos protocolos de seguridad: el encabezado de autenticación (Authentication Header AH) y la carga de seguridad de encapsulación (Encapsulating Security Payload ESP).
l AH proporciona autenticación de origen de datos, verificación de integridad de datos y anti-reproducción, pero no proporciona cifrado.
l ESP proporciona cifrado, autenticación de origen de datos, verificación de integridad de datos y anti-reproducción.
Las funciones de seguridad proporcionadas por los protocolos AH y ESP dependen de los algoritmos de autenticación y cifrado.
l Tanto AH como ESP pueden proporcionar autenticación de origen de datos y verificación de integridad de datos mediante algoritmos de autenticación Message Digest 5 (MD5), Secure Hash Algorithm 1 (SHA1), Secure Hash Algorithm 2 (SHA2) -256, SHA2-384, y SHA2-512.
l ESP también puede cifrar paquetes IP utilizando algoritmos de cifrado simétricos, incluidos el Estándar de cifrado de datos (Data Encryption Standard DES), el Estándar de cifrado de datos triple (Triple Data Encryption Standard 3DES) y el Estándar de cifrado avanzado (AES).
NOTA:
Los algoritmos de autenticación para MD5 y SHA1 tienen riesgos de seguridad. Se recomienda el algoritmo SHA2.
Los algoritmos de cifrado DES y 3DES tienen riesgos de seguridad. Se recomienda el algoritmo AES.
Las claves utilizadas en el cifrado IPSec y los algoritmos de autenticación pueden configurarse manualmente o negociarse dinámicamente a través del protocolo de intercambio de claves de Internet (Internet Key Exchange IKE). IKE trabaja en el marco de la Asociación de seguridad de Internet y el Protocolo de administración de claves (Internet Security Association and Key Management Protocol ISAKMP). Utiliza el algoritmo Diffie-Hellman (DH) para entregar de forma segura las claves y autenticar las identidades en una red insegura, lo que garantiza la seguridad de la transmisión de datos. IKE mejora la seguridad de las claves y simplifica la administración de IPSec.
Propósito
En Internet, la mayoría de los datos se transmiten en texto sin formato, lo que genera riesgos de seguridad. Por ejemplo, las cuentas bancarias y las contraseñas enfrentan riesgos de escuchas ilegales o alteraciones, las identidades de los usuarios pueden ser falsificadas o las redes bancarias pueden ser atacadas. IPSec puede proteger los paquetes IP transmitidos a través de una red insegura para reducir el riesgo de fugas de información.
Beneficios
Aprovechando el cifrado y la autenticación, IPSec garantiza la transmisión segura de datos del servicio a través de Internet en términos de:
l Autenticación del origen de los datos: el receptor comprueba la validez del remitente.
l Cifrado de datos: el remitente cifra los paquetes de datos y los transmite en texto cifrado en Internet. El receptor descifra o reenvía directamente los paquetes de datos recibidos.
l Verificación de integridad de datos: el receptor valida los datos recibidos para verificar si los datos han sido manipulados.
l Anti-reproducción: el receptor rechaza los paquetes antiguos o duplicados para evitar los ataques que inician los usuarios malintencionados reenviando los paquetes obtenidos.