Qué es IPSec VPN y cómo funciona Destacado

Publicado 2019-5-31 08:35:38Última respuesta jun. 03, 2019 11:29:50 56 1 1 0

reimpresión autorizada por el autor zhushigeng (Vinsoney)

1. Antecedentes técnicos

090302jlwrjlluhh2zh0wp.png

La figura anterior muestra la red de una gran empresa. Además del sitio central, hay varias sucursales u oficinas en todo el país y empleados en viajes de negocios. Los nodos necesitan comunicarse unos con otros. El método más simple y económico es utilizar Internet para implementar el acceso mutuo de datos. Sin embargo, Internet es un entorno de red compartido con muchas amenazas de seguridad. Es arriesgado transmitir datos confidenciales directamente a través de Internet. Tradicionalmente, las líneas privadas son arrendadas por dicha empresa. Una línea privada es una línea dedicada, que es más segura pero más costosa. Además, las líneas privadas no pueden soportar movilidad. IPsec VPN puede resolver los problemas anteriores.

090303szc132phg3kbycez.png

IPsec VPN es una tecnología VPN madura ampliamente utilizada. La VPN de IPsec transmite datos confidenciales en la red pública porque IPsec proporciona varias funciones, como seguridad, integridad, autenticación de identidad y defensa contra repetición. La red VPN IPsec es flexible. Además de la red VPN IPsec típica de sitio a sitio, se admite la red de acceso telefónico remoto.


2. Implementación de VPN IPsec

090303ozs61pslohp888ho.png

Como se muestra en la figura anterior, si los datos se transmiten directamente a través de Internet, los datos están expuestos a muchos riesgos de seguridad. La tecnología VPN IPsec puede proteger la transmisión de datos. La figura ilustra un escenario típico de aplicación VPN IPsec de sitio a sitio o de LAN a LAN. Los dos sitios se comunican entre sí a través de Internet. La VPN de IPsec se implementa en un firewall en cada sitio para proteger el tráfico intercambiado entre los dos sitios. Una vez que se implementa la VPN de IPsec, se establece un túnel VPN de IPsec entre los firewalls.

090303dkd22a9ts2cc82tu.png

En este proceso, los dos extremos negocian un algoritmo de cifrado y un algoritmo hash utilizado para proteger el tráfico transmitido a lo largo del túnel. Después de 

usar un algoritmo o política unificada, dos extremos intercambian valores comunes para generar claves coincidentes para el posterior cifrado y la implementación de

 hash. Luego, se realiza la autenticación de identidad de par para verificar las identidades de los dos firewalls. Los paquetes intercambiados entre los dos extremos 

para la autenticación de identidad se protegen utilizando el algoritmo de cifrado negociado y el algoritmo hash.



Una vez completadas las operaciones anteriores, las dos partes negocian varias políticas de seguridad (propuestas de IPsec) para proteger el tráfico entre las redes 

internas en los dos sitios. Las políticas de seguridad incluyen el tipo de protocolo de seguridad, el algoritmo de cifrado y el algoritmo hash. Una vez completadas las 

operaciones anteriores, se establece un túnel VPN IPsec

090303o4n0fi8030n3u4q8.png

Esto significa que se establece un canal de comunicación invisible y protegido a través de Internet. El tráfico protegido (también conocido como tráfico VPN IPsec) entre los sitios 1 y 2 se transmite a lo largo del túnel y se cifra durante la transmisión, lo que garantiza la confidencialidad de la comunicación. Además, la verificación de integridad de los datos se realiza para verificar si los datos se manipulan durante la transmisión. Como se muestra en la figura anterior, los datos del usuario deben estar protegidos. Después de enviarse a un servidor de seguridad del sitio, los datos se identifican y se procesan mediante IPsec VPN. A continuación, los datos se cifran y hash. Además, se agrega un encabezado de protocolo de seguridad (por ejemplo, un encabezado ESP) a los datos. Para permitir que los paquetes de datos se transmitan a través del firewall del otro sitio en Internet, se agrega un nuevo encabezado de IP o un nuevo encabezado de túnel a los datos.

090304kkogvvro7o1nzrvy.png

La figura anterior ilustra un ejemplo de transmisión de datos en un entorno VPN IPsec. Un nodo en el segmento de red (192.168.1.0/24) en el sitio 1 quiere acceder 

al sitio 2. El nodo puede usar la dirección IP de destino en el formato 192.168.2.x para acceder al sitio 2. Esto se debe a la tecnología de túnel VPN de IPsec permite 

que los dos sitios se comuniquen entre sí utilizando las direcciones IP de los compañeros reales.



 



Después de que un simple paquete de datos de texto llega al firewall de egreso en el sitio 1, el firewall encuentra que el tráfico coincide con la VPN IPsec 

configurada. Por lo tanto, el firewall usa la política de cifrado negociada y la clave para cifrar el paquete y realiza el cálculo de hash en los datos cifrados. Luego, 

el paquete de datos procesados se encapsula detrás de un encabezado de protocolo de seguridad. También se agrega un nuevo encabezado IP al paquete. El 

nuevo encabezado IP se llama encabezado de túnel, con la dirección de origen de 100.1.1.1 y la dirección de destino de 200.2.2.2. Tenga en cuenta que las 

direcciones IP de origen y destino son direcciones IP públicas que pertenecen a las interfaces externas del firewall. En última instancia, el paquete de datos se 

transmite al servidor de seguridad en el sitio del interlocutor a través de Internet.




El paquete de datos se ha procesado de forma segura y no se puede interceptar ni manipular durante la transmisión. Una vez que el paquete de datos llega al 

firewall en el sitio 2, se elimina el encabezado del túnel. El firewall comprueba el encabezado del protocolo de seguridad y obtiene información, como la clave y 

la política de seguridad almacenadas localmente, y luego realiza la verificación de la integridad y el descifrado del paquete de datos. Luego, los datos de texto 

simple descifrados se envían a la red de destino de 192.168.2.0.


  • x
  • convención:

VictorSaa  Constante   Publicado 2019-6-3 11:29:50 Útil(0) Útil(0)
Muy buena y muy detallada información, gracias por compartir.
  • x
  • convención:

Mexicano, con más de 10 años de experiencia en el ámbito de Redes e ICT en general y más de dos dentro de Huawei, en donde cuento con doble certificación HCIP (Routing and Switching y WLAN), actualmente encargado de ayudarlos con sus dudas y comentarios dentro de la comunidad.

Responder

Responder
Debe iniciar sesión para responder la publicación Inicio de sesi | Registrarse

Aviso: Para garantizar sus legítimos derechos e intereses, la comunidad y los terceros no publicarán contenido que pueda generar riesgos legales a las partes, por ejemplo, pornografía, contenido político, contenido sobre juego, consumo y tráfico de drogas, así como contenido que viole los derechos de propiedad intelectual de terceros, por ejemplo, secretos comerciales, marcas, derechos de autor, patentes y privacidad personal. No comparta su cuenta ni su contraseña con terceros. Todas las operaciones realizadas usando su cuenta se considerarán como sus acciones y todas las consecuencias que estas acciones generen serán responsabilidad suya. Para obtener información detallada, consulte la “ Política de privacidad.”
Si el botón para adjuntar no está disponible, actualice Adobe Flash Player con la versión más reciente

¡Ingresa y disfruta de todos los beneficios para los miembros!

Aterrizaje
Respuesta rápida Desplácese hasta arriba