IPSec VPN: qué es y cómo funciona
El Protocolo de Seguridad de Internet (IPSec) es un conjunto de protocolos que suelen ser utilizados por las VPN para crear una conexión segura a través de Internet.
La suite IPSec ofrece características como túneles y criptografía con fines de seguridad. Por eso, las VPN utilizan principalmente IPSec para crear túneles seguros.
IPSec VPN también es ampliamente conocido como «VPN sobre IPSec».
Resumen rápido
IPSec generalmente se implementa en la capa IP de una red. IPSec utiliza dos modos de operación: modo túnel y modo transporte.
La mayoría de los proveedores de VPN utilizan el modo túnel para asegurar y encapsular todo el paquete IP. El modo transporte solo asegura la carga útil y no todo el paquete IP.
El conjunto de protocolos VPN IPSec ofrece servicios avanzados de autenticación, compresión y cifrado para conexiones VPN.
IPSec permite la libertad de seleccionar algoritmos, protocolos de seguridad y el modo de intercambiar claves de seguridad entre hosts de comunicación.
¿Qué es IPSec?
La suite de protocolos VPN IPSec incluye Encabezado de Autenticación (AH), Carga de Seguridad Encapsulada (ESP), Protocolo de Asociación de Seguridad de Internet y Administración de Claves (ISAKMP) y Compresión de Carga Útil IP (IPComp).
- Encabezado de Autenticación (AH): AH ofrece autenticación del origen de datos de los paquetes IP (datagramas), garantiza la integridad sin conexión y brinda protección contra ataques de repetición (gracias a la técnica de ventana deslizante). AH también ofrece autenticaciones significativas tanto para las cabeceras IP como para los protocolos de capa superior.
- Carga de Seguridad Encapsulada (ESP): ESP es responsable de ofrecer autenticación, integridad y confidencialidad de los datos. ESP también proporciona confidencialidad de la carga útil y autenticación de mensajes dentro de la suite de protocolos IPSec.
En modo túnel, encapsula todo el paquete IP, mientras que solo la carga útil está protegida en el modo transporte. - Protocolo de Asociación de Seguridad de Internet y Administración de Claves (ISAKMP): ISAKMP se encarga de las Asociaciones de Seguridad (SA), un conjunto de claves y algoritmos preacordados utilizados por las partes al establecer un túnel VPN. Estos incluyen Negociación Kerberizada de Claves de Internet (KINK) e Intercambio de Claves de Internet (IKE e IKEv2).
- Compresión de Carga Útil IP (IPComp): IPComp es un protocolo de compresión de bajo nivel que reduce el tamaño de los paquetes IP, mejorando así los niveles de comunicación entre dos partes. Esto es útil cuando la comunicación es demasiado lenta, por ejemplo, enlaces congestionados.
IPComp no ofrece seguridad y debe usarse con AH o ESP en túneles VPN.
Modos de operación de IPSec VPN
Veamos cómo se comparan los dos modos de IPSec VPN:
Modo túnel IPSec
El cifrado VPN en modo túnel encapsula cada paquete saliente con nuevos paquetes IPSec utilizando ESP. El modo túnel también utiliza AH para autenticar el lado del servidor.
Por lo tanto, IPSec utiliza el modo túnel en pasarelas seguras, como un cortafuegos que enlaza a las dos partes que se comunican.
Modo transporte
El modo transporte cifra y autentica los paquetes IP enviados entre dos partes que se comunican.
Como tal, el modo transporte a menudo se reserva para comunicaciones de extremo a extremo entre partes, considerando que no cambia el encabezado IP de los paquetes salientes.
Algoritmos criptográficos para IPSec
IPSec se basa en algoritmos seguros que se ajustan a la confidencialidad, integridad y autenticidad.
Estos incluyen:
- Algoritmos de autenticación como RSA, PSK y criptografía de curva elíptica.
- Algoritmos de cifrado simétrico como AES-CBC y GCM, HMAC-SHA, TripleDES y ChaCha20-Poly1305.
- Algoritmos de intercambio de claves como el intercambio de claves Diffie-Hellman de curva elíptica y el intercambio de claves Diffie-Hellman.
¿Cómo funciona IPSec?
A continuación, se muestra un esquema general paso a paso de cómo funciona IPSec.
Por lo general, el proceso comienza con hosts (partes que se comunican) estableciendo que los paquetes entrantes o salientes deben usar IPSec.
Si los paquetes activan las políticas de IPSec, entonces el proceso continúa de la siguiente manera:
- Negociación e intercambio de claves: este paso incluye la autenticación del host y las políticas a utilizar. En la primera fase, los hosts crean un canal seguro. Las negociaciones se realizan mediante el modo principal (para mayor seguridad) o el modo agresivo (para un establecimiento más rápido del circuito IP).
Todos los hosts acuerdan un IKE para configurar el circuito IP en el modo principal. En modo agresivo, el host que inicia presenta el IKE para configurar el circuito IP y el otro host acepta.
En la segunda fase, los hosts negocian y acuerdan el tipo de algoritmos criptográficos que se utilizarán durante la sesión. - Transmisión: esto implica el intercambio de datos entre los hosts. Por lo general, IPSec divide los datos en paquetes antes de enviarlos por la red. Los paquetes incluyen varios segmentos, como la carga útil y los encabezados. IPSec también agrega tráilers y otros segmentos que contienen detalles de autenticación y cifrado.
- Fin de la transmisión: este es el último paso e implica la finalización del canal seguro de IPSec. La finalización ocurre cuando el intercambio de datos está completo o la sesión ha expirado. Las claves criptográficas también se descartan.
VPN IPsec vs. VPN SSL
Además de IPSec VPN, muchos de los mejores proveedores de VPN también pueden utilizar VPN SSL para asegurar su conexión a través de Internet. Dependiendo del nivel de seguridad necesario, los proveedores de VPN pueden implementar ambos o elegir uno sobre el otro.
Las VPN SSL se basan en el protocolo de seguridad de la capa de transporte (TLS). A diferencia de IPSec, que trabaja en la capa IP, TLS funciona en la capa de transporte. Por lo tanto, la seguridad y las aplicaciones de VPN IPSec y VPN SSL varían.
Con la VPN IPSec, tu tráfico está protegido mientras se mueve hacia y desde redes y hosts privados; en resumen, puedes proteger toda tu red. Por lo tanto, la VPN IPSec es confiable para usos y aplicaciones basadas en IP.
La VPN SSL protege el tráfico entre usuarios remotos. En la mayoría de los casos, las VPN SSL funcionan con hosts que admiten aplicaciones basadas en navegadores.
Preguntas frecuentes
Algunas personas encontraron útiles las respuestas a estas preguntas
¿Qué puerto de red suele utilizar IPSec?
IPSec suele utilizar el puerto UDP 500 para ISAKMP y el puerto UDP 4500 para atravesar cortafuegos, permitiendo el uso de NAT.
¿Cuál es mejor, VPN SSL o VPN IPSec?
Las aplicaciones de cada protocolo los diferencian. Por ejemplo, la VPN IPSec permite a los usuarios acceder de forma remota a toda la red y sus aplicaciones. Sin embargo, la VPN SSL permite a los usuarios acceso remoto a aplicaciones específicas en la red.
¿Puede ser hackeado IPSec?
La seguridad del protocolo de Internet (IPSec) es ampliamente considerada segura. Sin embargo, según las filtraciones de Snowden, la NSA se centró en los cifrados IPSec al insertar varias vulnerabilidades. De acuerdo con otros informes, los hackers pueden romper parte del cifrado de IPSec. Todo depende de la implementación utilizada.
¿Cuáles son los usos de IPSec?
La seguridad del protocolo de Internet (IPSec) es un conjunto de protocolos que protege el tráfico a nivel de paquetes en una red. Puedes utilizar IPSec para proteger la información entre dos partes. Además, IPSec es responsable de la integridad, originalidad, autenticación y confidencialidad de los datos.
¿IPSec es lo mismo que VPN?
En términos simples, la seguridad del protocolo de Internet (IPSec) es como una tecnología VPN tradicional. El conjunto de protocolos se lanzó por primera vez en 1990 y desde entonces ha recibido actualizaciones significativas, lo que lo convierte en un protocolo ampliamente utilizado en la industria de las VPN.
