IPSec utiliza dos protocolos de seguridad, el encabezado de autenticación (Authentication Header AH) y la carga de seguridad de encapsulación (Encapsulating Security Payload ESP), para transmitir y encapsular datos. Los protocolos de seguridad proporcionan servicios de seguridad tales como autenticación y cifrado.
AH
AH es un protocolo de capa de transporte basado en IP con el número de protocolo 51. Según el protocolo AH, se adjunta un encabezado AH al encabezado IP estándar en cada paquete, como se muestra en el Modo de encapsulación. El remitente realiza el cálculo de hash en los paquetes y la clave de autenticación. Cuando los paquetes que llevan el resultado del cálculo llegan al receptor, el receptor también realiza el cálculo de hash y compara el resultado del cálculo con el resultado del cálculo recibido. Cualquier cambio en los datos durante la transmisión invalidará el resultado del cálculo. AH proporciona autenticación de origen de datos y verificación de integridad de datos de esta manera. Se realiza una comprobación de integridad en un paquete IP completo.
Formato de encabezado de AH
Campo | Longitud | Descripción |
Next Header | 8 bits | Este campo identifica el tipo de carga útil que sigue al encabezado AH. En el modo de transporte, el campo Next Header es el número del protocolo de capa superior protegido (TCP o UDP) o ESP. En el modo túnel, el campo Next Header es el número del protocolo IP o ESP.
NOTA: Cuando se utilizan AH y ESP, el siguiente encabezado que sigue a un encabezado AH es un encabezado ESP. |
Payload Length | 8 bits | El valor de este campo es la longitud del paquete AH en palabras de 32 bits menos 2. El valor predeterminado es 4. |
Reserved | 16 bits | Este campo está reservado y por defecto es 0. |
SPI | 32 bits | Este campo identifica de forma exclusiva una asociación de seguridad IPSec (SA). |
Sequence Number | 32 bits | Este campo es un contador que aumenta monótonamente desde 1. Identifica de forma única un paquete para evitar ataques de repetición. |
Authentication Data | Múltiplo integral de 32 bits. Es de 96 bits en casos comunes. | Este campo contiene el valor de comprobación de integridad (ICV) y el receptor lo utiliza para verificar la integridad de los datos. Los algoritmos de autenticación incluye****5, SHA1 y SHA2.
NOTA: Los algoritmos de autenticació****5 y SHA1 tienen riesgos de seguridad. Se recomienda el algoritmo SHA2. |
Descripción de los campos en un encabezado AH
ESP
ESP es un protocolo de capa de transporte basado en IP, con el número de protocolo 50. De acuerdo con el protocolo ESP, se adjunta un encabezado ESP al encabezado IP estándar en cada paquete, y se adjuntan un remolque ESP y datos de autenticación ESP a cada paquete, como se muestra en el modo de encapsulación. A diferencia de AH, ESP encripta la carga útil válida y luego la encapsula en un paquete para garantizar la confidencialidad de los datos. Sin embargo, ESP no protege un encabezado de IP.
Formato de encabezado de ESP
Campo | Longitud | Descripción |
SPI | 32 bits | Este campo identifica de forma exclusiva una SA de IPSec. |
Sequence Number | 32 bits | Este campo es un contador que aumenta monótonamente desde 1. Identifica de forma única un paquete para evitar ataques de repetición. |
Payload Data | - | Este campo contiene datos de longitud variable identificados por el campo Next Header. |
Padding | - | Este campo extiende el tamaño de un encabezado ESP. La longitud del campo de Padding depende de la longitud de Payload Data y del algoritmo. Si la longitud de texto sin formato del paquete que se va a cifrar no cumple con el algoritmo de cifrado, se utiliza el campo Padding. |
Pad Length | 8 bits | Este campo especifica la longitud del campo Padding. El valor 0 indica que no hay Padding. |
Next Header | 8 bits | Este campo identifica el tipo de carga útil que sigue al encabezado ESP. En el modo de transporte, el campo Next Header es el número del protocolo de capa superior protegido (TCP o UDP). En el modo túnel, el campo Next Header es el número de protocolo IP. |
Authentication Data | Múltiplo integral de 32 bits. Es de 96 bits en casos comunes. | Este campo contiene el valor de comprobación de integridad (ICV) y el receptor lo utiliza para verificar la integridad de los datos. Algoritmos de autenticación que son los mismos que los de AH. La función de autenticación de ESP es opcional. Si la verificación de datos está habilitada, se agrega un valor ICV a los datos cifrados. |
Descripción de los campos en un encabezado ESP
De acuerdo con la siguiente tabla, AH no proporciona cifrado de datos y ESP no verifica un encabezado de IP. Por lo tanto, use AH y ESP cuando se requiera alta seguridad.
Característica de seguridad | AH | ESP |
Número de protocolo | 51 | 50 |
Comprobación de integridad de datos | Compatible (verificando todo el paquete IP) | Soportado (no verificando el encabezado IP) |
Autenticación de origen de datos | Soportada | Soportada |
Cifrado de datos | No soportada | Soportada |
Anti-repetición | Soportada | Soportada |
IPSec NAT-T (NAT transversal) | No soportada | Soportada |
Comparación entre AH y ESP