IPsec vpn y cómo funciona Parte 2 Destacado

Última respuesta jun. 06, 2019 08:34:30 36 1 1 0

reimpresión autorizada por el autor zhushigeng (Vinsoney)

3. Marco de Protocolo IPsec

3.1 Resumen

IPsec, un marco abierto y estándar, está definido por el Grupo de trabajo de ingeniería de Internet (IETF). IPsec utiliza cifrado y resúmenes de datos (hash) en la 

capa IP entre partes de comunicación específicas para garantizar la confidencialidad, la integridad de los datos y la autenticación de origen de los paquetes de 

datos transmitidos en la red pública. IPsec solo puede funcionar en la capa IP. Tanto el protocolo del pasajero como el protocolo del portador deben ser IP.


IPsec no es un protocolo único sino un marco.


3.2 Marco de protocolo

ipsec vpan 1

El marco de IPsec contiene varios protocolos. Los protocolos más importantes son Internet Key Exchange (IKE) y dos protocolos de seguridad, es decir, el encabezado de autenticación (AH) y la carga de seguridad de encapsulación (ESP). IKE, como núcleo, es una combinación de protocolo que contiene OAKLEY, SKEME, la Asociación de Seguridad de Internet y el Protocolo de Administración de Claves (ISAKMP).

ipsec vpan 2

ISAKMP es el núcleo de IKE. Por lo tanto, en la comunicación técnica en varias ocasiones, ISAKMP e IKE son generalmente equivalentes entre sí.


En IPsec VPN, ISAKMP proporciona varias funciones. Establece y mantiene asociaciones de seguridad (SA) que pueden ser IKE SA o IPsec SA, 

negocia los parámetros del protocolo (como los protocolos de encriptación y autenticación), autentica las identidades de los compañeros, negocia las claves y 

administra las claves. ISAKMP también define la arquitectura de intercambio de mensajes, incluidos los formatos de paquetes y la máquina de estados utilizada 

para la negociación de IPsec entre pares.


Los protocolos de seguridad también son importantes en el marco del protocolo IPsec. Protegen los datos del usuario. Se puede utilizar el protocolo de seguridad 

AH o ESP.

ipsec vpan 3

El protocolo AH proporciona verificación de integridad de datos, autenticación de origen y defensa anti-reproducción. Sin embargo, no admite el cifrado de datos. 

ESP admite la autenticación de origen de datos, la verificación de integridad, la defensa contra repetición y el cifrado de datos.

4. Dos fases de IKE

091040j60bkfbhz6ocgjbf.png

Cuando la VPN de IPsec se implementa entre dos sitios, el proceso IKE se activa una vez que llegan los paquetes de VPN de IPsec. IKE establece un 

túnel VPN IPsec seguro en las fases 1 y 2 para que el tráfico protegido pueda transmitirse de forma segura en la red pública.


4.1 IKE Fase 1

ipsec vpan 5

La fase 1 se centra en la negociación de políticas de seguridad, el intercambio Diffie-Hellman (DH) y la autenticación entre pares.


l La configuración de una política de IPsec en dispositivos Huawei se refiere a una propuesta de IKE, que involucra el algoritmo de cifrado, el algoritmo hash 

y el grupo de algoritmo DH de un túnel IKE. Las políticas de los dos sitios deben ser las mismas.


l El intercambio de DH se refiere al intercambio de valores públicos entre los cortafuegos en dos sitios. Tres claves se obtienen después de una serie de 

operaciones matemáticas basadas en el intercambio DH. Incluso si alguien escucha los paquetes utilizados en el intercambio de valores de DH común, las 

tres claves no se pueden deducir ni filtrar.


l Luego, la autenticación de identidad se realiza utilizando claves de precompartido. Se establece una contraseña unificada en los firewalls en los dos sitios. 

El uso de una contraseña idéntica indica que los dos compañeros son confiables.


La fase 1 finaliza cuando se establece una IKE SA entre pares IPsec. Una IKE SA puede considerarse como un consenso de seguridad común entre los 

pares de IPsec. Hay dos tipos de SA. Una es la IKE SA compartida por ambos pares de IKE. El otro tipo es el IPsec SA. Cada sesión de IPsec tiene dos 

SA de IPsec. Hay dos modos disponibles en la fase 1. El modo principal se describe en este documento, que se usa ampliamente. El otro modo es el modo

agresivo, que no se describe aquí. Se considera que el trabajo en la fase 1 allana el camino para la fase 2. Las políticas de seguridad relacionadas, como el 

algoritmo de cifrado y el algoritmo hash, se negocian en la fase 1 para proteger los datos ISAKMP en la fase 2.


4.2 IKE Fase 2

ipsec vpan 6

Luego de la fase 1, IKE ingresa a la fase 2. La tarea principal en la fase 2 es especificar políticas (mediante la configuración de las propuestas de IPsec en un 

dispositivo Huawei). Estas políticas incluyen algoritmos de cifrado y hash, que son diferentes de los de la fase 1. Las políticas negociadas se utilizan para proteger 

el tráfico de servicio real. Las políticas en la fase 1 se utilizan para proteger los datos de negociación de IPsec (principalmente para proteger la negociación de la 

fase 2 de IKE).


La fase 2 finaliza cuando ambas partes tienen configuradas las SA de IPsec. Las SA de IPsec incluyen las SA de IPsec de entrada y de salida. El SA de salida en 

FW1 protege los datos de FW1 a FW2 y corresponde al SA de entrada en FW2. La SA de entrada en FW1 corresponde a la SA de salida en FW2.


4.3 Después de completar dos fases IKE

Una vez completadas las dos fases de IKE, se establece el túnel VPN de IPsec. En esta situación, el dispositivo VPN IPsec en cada sitio tiene un SA 

saliente y un SA entrante. La SA de salida en el sitio 1 corresponde a la SA de entrada en el sitio 2, y la SA de entrada en el sitio 1 corresponde a la SA de 

salida en el sitio 2, como se muestra en la siguiente figura.


Las SA de IPsec almacenan el algoritmo de cifrado negociado, el algoritmo de hash y la información clave. Cuando el firewall en el sitio 1 recibe tráfico de la 

intranet local y el tráfico coincide con el flujo de datos de la VPN de IPsec, el firewall usa un algoritmo de cifrado especificado en el SA de salida y una clave

 para cifrar los datos, hace un hash de los datos cifrados, encapsula los datos procesados en ESP, escribe el SPI de SA (identifica el SA entrante de Site2-FW) 

en el encabezado de ESP y agrega un nuevo encabezado de IP antes de reenviar los datos en la red pública


ipsec vpan 7

Después de recibir los datos, Site2-FW elimina el encabezado IP del túnel y encuentra que el paquete es un paquete ESP. Luego, Site2-FW busca el SPI en 

el encabezado de ESP, encuentra el SA entrante que coincide con el SPI y verifica la integridad de los datos. Después de que se verifican los datos, Site2-FW 

descifra los datos, obtiene los paquetes originales en texto simple y los reenvía al destino en la red local.







  • x
  • convención:

VictorSaa Admin Publicado 2019-6-6 08:34:30 Útil(0) Útil(0)
Muy buena información, muchas veces no tomamos en cuenta estos datos de suma importancia ¡muchas gracias!
  • x
  • convención:

Mexicano, con más de 10 años de experiencia en el ámbito de Redes y TICs en general y más de dos dentro de Huawei, en donde cuento con doble certificación HCIP (Routing and Switching y WLAN), actualmente encargado de ayudarlos con sus dudas y comentarios dentro de la comunidad.

Responder

Responder
Debe iniciar sesión para responder la publicación Inicio de sesi | Registrarse

Aviso: Para garantizar sus legítimos derechos e intereses, la comunidad y los terceros no publicarán contenido que pueda generar riesgos legales a las partes, por ejemplo, pornografía, contenido político, contenido sobre juego, consumo y tráfico de drogas, así como contenido que viole los derechos de propiedad intelectual de terceros, por ejemplo, secretos comerciales, marcas, derechos de autor, patentes y privacidad personal. No comparta su cuenta ni su contraseña con terceros. Todas las operaciones realizadas usando su cuenta se considerarán como sus acciones y todas las consecuencias que estas acciones generen serán responsabilidad suya. Para obtener información detallada, consulte la “ Política de privacidad.”
Si el botón para adjuntar no está disponible, actualice Adobe Flash Player con la versión más reciente

¡Ingresa y disfruta de todos los beneficios para los miembros!

Aterrizaje
Respuesta rápida Desplácese hasta arriba