reimpresión autorizada por el autor zhushigeng (Vinsoney)
3. Marco de Protocolo IPsec
3.1 Resumen
IPsec, un marco abierto y estándar, está definido por el Grupo de trabajo de ingeniería de Internet (IETF). IPsec utiliza cifrado y resúmenes de datos (hash) en la
capa IP entre partes de comunicación específicas para garantizar la confidencialidad, la integridad de los datos y la autenticación de origen de los paquetes de
datos transmitidos en la red pública. IPsec solo puede funcionar en la capa IP. Tanto el protocolo del pasajero como el protocolo del portador deben ser IP.
IPsec no es un protocolo único sino un marco.
3.2 Marco de protocolo
El marco de IPsec contiene varios protocolos. Los protocolos más importantes son Internet Key Exchange (IKE) y dos protocolos de seguridad, es decir, el encabezado de autenticación (AH) y la carga de seguridad de encapsulación (ESP). IKE, como núcleo, es una combinación de protocolo que contiene OAKLEY, SKEME, la Asociación de Seguridad de Internet y el Protocolo de Administración de Claves (ISAKMP).
ISAKMP es el núcleo de IKE. Por lo tanto, en la comunicación técnica en varias ocasiones, ISAKMP e IKE son generalmente equivalentes entre sí.
En IPsec VPN, ISAKMP proporciona varias funciones. Establece y mantiene asociaciones de seguridad (SA) que pueden ser IKE SA o IPsec SA,
negocia los parámetros del protocolo (como los protocolos de encriptación y autenticación), autentica las identidades de los compañeros, negocia las claves y
administra las claves. ISAKMP también define la arquitectura de intercambio de mensajes, incluidos los formatos de paquetes y la máquina de estados utilizada
para la negociación de IPsec entre pares.
Los protocolos de seguridad también son importantes en el marco del protocolo IPsec. Protegen los datos del usuario. Se puede utilizar el protocolo de seguridad
AH o ESP.
El protocolo AH proporciona verificación de integridad de datos, autenticación de origen y defensa anti-reproducción. Sin embargo, no admite el cifrado de datos.
ESP admite la autenticación de origen de datos, la verificación de integridad, la defensa contra repetición y el cifrado de datos.
4. Dos fases de IKE
Cuando la VPN de IPsec se implementa entre dos sitios, el proceso IKE se activa una vez que llegan los paquetes de VPN de IPsec. IKE establece un
túnel VPN IPsec seguro en las fases 1 y 2 para que el tráfico protegido pueda transmitirse de forma segura en la red pública.
4.1 IKE Fase 1
La fase 1 se centra en la negociación de políticas de seguridad, el intercambio Diffie-Hellman (DH) y la autenticación entre pares.
l La configuración de una política de IPsec en dispositivos Huawei se refiere a una propuesta de IKE, que involucra el algoritmo de cifrado, el algoritmo hash
y el grupo de algoritmo DH de un túnel IKE. Las políticas de los dos sitios deben ser las mismas.
l El intercambio de DH se refiere al intercambio de valores públicos entre los cortafuegos en dos sitios. Tres claves se obtienen después de una serie de
operaciones matemáticas basadas en el intercambio DH. Incluso si alguien escucha los paquetes utilizados en el intercambio de valores de DH común, las
tres claves no se pueden deducir ni filtrar.
l Luego, la autenticación de identidad se realiza utilizando claves de precompartido. Se establece una contraseña unificada en los firewalls en los dos sitios.
El uso de una contraseña idéntica indica que los dos compañeros son confiables.
La fase 1 finaliza cuando se establece una IKE SA entre pares IPsec. Una IKE SA puede considerarse como un consenso de seguridad común entre los
pares de IPsec. Hay dos tipos de SA. Una es la IKE SA compartida por ambos pares de IKE. El otro tipo es el IPsec SA. Cada sesión de IPsec tiene dos
SA de IPsec. Hay dos modos disponibles en la fase 1. El modo principal se describe en este documento, que se usa ampliamente. El otro modo es el modo
agresivo, que no se describe aquí. Se considera que el trabajo en la fase 1 allana el camino para la fase 2. Las políticas de seguridad relacionadas, como el
algoritmo de cifrado y el algoritmo hash, se negocian en la fase 1 para proteger los datos ISAKMP en la fase 2.
4.2 IKE Fase 2
Luego de la fase 1, IKE ingresa a la fase 2. La tarea principal en la fase 2 es especificar políticas (mediante la configuración de las propuestas de IPsec en un
dispositivo Huawei). Estas políticas incluyen algoritmos de cifrado y hash, que son diferentes de los de la fase 1. Las políticas negociadas se utilizan para proteger
el tráfico de servicio real. Las políticas en la fase 1 se utilizan para proteger los datos de negociación de IPsec (principalmente para proteger la negociación de la
fase 2 de IKE).
La fase 2 finaliza cuando ambas partes tienen configuradas las SA de IPsec. Las SA de IPsec incluyen las SA de IPsec de entrada y de salida. El SA de salida en
FW1 protege los datos de FW1 a FW2 y corresponde al SA de entrada en FW2. La SA de entrada en FW1 corresponde a la SA de salida en FW2.
4.3 Después de completar dos fases IKE
Una vez completadas las dos fases de IKE, se establece el túnel VPN de IPsec. En esta situación, el dispositivo VPN IPsec en cada sitio tiene un SA
saliente y un SA entrante. La SA de salida en el sitio 1 corresponde a la SA de entrada en el sitio 2, y la SA de entrada en el sitio 1 corresponde a la SA de
salida en el sitio 2, como se muestra en la siguiente figura.
Las SA de IPsec almacenan el algoritmo de cifrado negociado, el algoritmo de hash y la información clave. Cuando el firewall en el sitio 1 recibe tráfico de la
intranet local y el tráfico coincide con el flujo de datos de la VPN de IPsec, el firewall usa un algoritmo de cifrado especificado en el SA de salida y una clave
para cifrar los datos, hace un hash de los datos cifrados, encapsula los datos procesados en ESP, escribe el SPI de SA (identifica el SA entrante de Site2-FW)
en el encabezado de ESP y agrega un nuevo encabezado de IP antes de reenviar los datos en la red pública
Después de recibir los datos, Site2-FW elimina el encabezado IP del túnel y encuentra que el paquete es un paquete ESP. Luego, Site2-FW busca el SPI en
el encabezado de ESP, encuentra el SA entrante que coincide con el SPI y verifica la integridad de los datos. Después de que se verifican los datos, Site2-FW
descifra los datos, obtiene los paquetes originales en texto simple y los reenvía al destino en la red local.