IPSec (Internet Protocol Security)

Mucho hablamos aquí sobre el trabajo en redes y poco (al menos menos de lo que me gustaría) sobre como implementarlas correctamente, como protegerlas o que que tenemos por ahí para mejorar su rendimiento y fiabilidad y es que a veces nos obcecamos en poner las cosas en marcha saltando por encima de muchos factores que deberiamos de tener en cuenta.

He hablado sobre temas de redes en el blog y hemos solucionado algunos problemas de los lectores pero como ya he dicho anteriormente, lo veo falto de contenidos de este tipo que nos ayudarán a una correcta implementación de las infraestructuras en las que estamos trabajando lo que va a ser bueno y ventajoso para nuestros clientes, que recordemos, ellos quieren que funcione, nosotros debemos encargarnos no solo de que sea así, además, debemos encargarnos de proteger todo lo que nos sea posible sus redes, sus comunicaciones, sus datos étc étc…

Este articulo espero que nos ayude a todos a conocer un poco mas las redes y a tener conocimientos sobre como aumentar la seguridad de estas, poco a poco iremos aprendiendo técnicas y “trucos” que nos ayudarán a realizar nuestro trabajo de una forma efectiva y porque no decirlo, profesional.

Como le doy mucho énfasis al tema de Microsoft que a mi me parecen una gente muy simpática y profesional, he tomado la información (para variar) de su Web, y es que no me canso de repetirme, la Web de Microsoft es una mina de información muy valiosa y deberiamos visitarla a menudo para ver que nuevas tiene, os dejo enlace a la fuente original y contenidos.

FUENTE ORIGINAL:
http://www.microsoft.com/spain/windowsserver2003/technologies/networking/ipsec/default.aspx

Internet Protocol Security (IPSec) es un entorno de estándares abiertos para garantizar comunicaciones privadas y seguras a través de redes Internet Protocol (IP), mediante el uso de servicios de seguridad basados en cifrado. IPSec soporta autenticación de sistemas a nivel de red, autenticación del origen de los datos, integridad de datos, confidencialidad de datos (encriptación) y protección frente a reenvío. la implementación de IPSec de Microsoft se basa en estándares desarrollados por el grupo de trabajo de IPSec de la IETF (Internet Engineering Task Force).

IPSec está soportado en Windows Server™ 2003, Windows XP, y Windows 2000, y está integrado con el servicio de Directorio Activo. Las políticas IPSec se pueden asignar mediante Políticas de Grupo, lo que permite que los parámetros de IPSec se configuren a nivel de dominio, site o unidad organizativa.

Estoy dando unas vueltas por ahí (por la Web de Microsoft vamos) y veo que esta todo en inglis pitinglis y no sé yo si os llevais bien con el inglis pitinglis o que, así que en la Web del enlace de arriba que es de donde he extraido esa breve intro podreis encontrar muuuuuuucha información sobre IpSec para Windows Server, como implementarla, como funciona étc étc… hecharle un ojillo los mas curiosos que seguro que encontrais info a raudales.

Pero bueno, puede ser que alguno vaya a salir corriendo por lo poco escrito aquí sobre IpSec… ehhh tranquilos que en la Wikipedia hay mas…. a ver que os puedo dejar por aquí a parte del enlace a la fuente original…

FUENTE ORIGINAL:
http://es.wikipedia.org/wiki/IPsec

SUMARIO
Los protocolos de IPsec actúan en la capa de red, la capa 3 del modelo OSI. Otros protocolos de seguridad para Internet de amplio uso, como SSL, TLS y SSH operan de la capa de transporte (capas OSI 4 a 7) hacia arriba. Esto hace que IPsec sea más flexible, ya que puede ser utilizado para proteger protocolos de la capa 4, incluyendo TCP y UDP, los protocolos de capa de transporte más usados. IPsec tiene una ventaja sobre SSL y otros métodos que operan en capas superiores. Para que una aplicación pueda usar IPsec no hay que hacer ningún cambio, mientras que para usar SSL y otros protocolos de niveles superiores, las aplicaciones tienen que modificar su código.

Arquitectura de seguridad
IPsec está implementado por un conjunto de protocolos criptográficos para (1) asegurar el flujo de paquetes, (2) autententicación mutua y (3) establecer parámetros criptográficos.

La arquitectura de seguridad de IP utiliza el concepto de asociación de seguridad como base para construir funciones de seguridad en IP. Una asociación de seguridad es simplemente el paquete de algoritmos y parámetros (tales como las claves) que se están usando para cifrar y autenticar un flujo particular en una dirección. Por lo tanto, en el tráfico normal bidireccional, los flujos son asegurados por un par de asociaciones de seguridad. La decisión final de los algoritmos de cifrado y autenticación (de una lista definida) le corresponde al administrador de IPsec.

Para decidir qué protección se va a proporcionar a un paquete saliente, IPsec utiliza el índice de parámetro de seguridad (SPI), un índice a la base de datos de asociaciones de seguridad (SADB), junto con la dirección de destino de la cabecera del paquete, que juntos identifican de forma única una asociación de seguridad para dicho paquete. Para un paquete entrante se realiza un procedimiento similar; en este caso IPsec coge las claves de verificación y descifrado de la base de datos de asociaciones de seguridad.

En el caso de multicast, se proporciona una asociación de seguridad al grupo, y se duplica para todos los receptores autorizados del grupo. Puede haber más de una asociación de seguridad para un grupo, utilizando diferentes SPIs, y por ello permitiendo múltiples niveles y conjuntos de seguridad dentro de un grupo. De hecho, cada remitente puede tener múltiples asociaciones de seguridad, permitiendo autenticación, ya que un receptor sólo puede saber que alguien que conoce las claves ha enviado los datos. Hay que observar que el estándar pertinente no describe cómo se elige y duplica la asociación a través del grupo; se asume que un interesado responsable habrá hecho la elección.

Estado actual del estándar
IPsec ES UNA PARTE OBLIGATORIA DE IPv6, y su uso ES OPCIONAL CON IPv4. Aunque el estándar está diseñado para ser indiferente a las versiones de IP, el despliegue y experencia actúal atañe a las implementaciones de IPv4.

Los protocols de IPsec se definieron originalmente en las RFCs 1825 y 1829, publicadas en 1995. En 1998 estos documentos fueron sustituidos por las RFCs 2401 y 2412, que no son compatibles con la 1825 y 1829, aunque son conceptualmente idénticas. En diciembre de 2005 se produjo la tercera generación de documentos, RFCs 4301 y 4309. Son en gran parte un superconjunto de la 2401 y 2412, pero proporcionan un segundo estándar de Internet Key Exchange. Esta tercera generación de documentos estandarizó la abreviatura de IPsec como “IP” en mayúsculas y “sec” en minúsculas.

Es raro ver un producto que ofrezca soporte de RFC1825 y 1829. “ESP” se refiere generalmente a 2406, mientras que ESPbis se refiere a 4303.

Propósito de diseño
IPsec fue proyectado para proporcionar seguridad en modo transporte (extremo a extremo) del tráfico de paquetes, en el que los ordenadores de los extremos finales realizan el procesado de seguridad, o en modo túnel (puerta a puerta) en el que la seguridad del tráfico de paquetes es proporcionada a varias máquinas (incluso a toda la red de área local) por un único nodo.

IPsec puede utilizarse para crear VPNs en los dos modos, y este es su uso principal. Hay que tener en cuenta, sin embargo, que las implicaciones de seguridad son bastante diferentes entre los dos modos de operación.

La seguridad de comunicaciones extremo a extremo a escala Internet se ha desarrollado más despacio de lo esperado. Parte de la razón a esto es que no ha surgido infraestructura de clave pública universal o universalmente de confianza (DNSSEC fue originalmente previsto para esto); otra parte es que muchos usuarios no comprenden lo suficientemente bien ni sus necesidades ni las opciones disponibles como para promover su inclusión en los productos de los vendedores.

Como el Protocolo de Internet no provee intrínsecamente ninguna capacidad de seguridad , IPsec se introdujo para proporcionan servicios de seguridad tales como:

Cifrar el tráfico (de forma que no pueda ser leido por nadie más que las partes a las que está dirigido)
Validación de integridad (asegurar que el tráfico no ha sido modificado a lo largo de su trayecto)
Autenticar a los extremos (asegurar que el tráfico proviene de un extremo de confianza)
Anti-repetición (proteger contra la repetición de la sesión segura).

Y bueno, he extraido unos fragmentos que considero muy interesantes sobre Ipsec de la Wikipedia que espero que también lo sean para vosotros, poco a poco iremos llenando el blog este de contenidos y a ver cuanta información es capaz de soportar.

FUENTES ORIGINALES UTILIZADAS EN EL ARTICULO:
WEB DE MICROSOFT:
http://www.microsoft.com/spain/windowsserver2003/technologies/networking/ipsec/default.aspx

LA WIKIPEDIA:
http://es.wikipedia.org/wiki/IPsec

Un saludo a todos.

Sin categoría

Deja una respuesta