IPSec DEFINICION IPsec (abreviatura de Internet Protocol security) es un conjunto de protocolos cuya funcin es asegurar las comunicaciones sobre

el Protocolo de Internet (IP) autenticando y/o cifrando cada paquete IP en un flujo de datos. IPsec tambin incluye protocolos para el establecimiento de claves de cifrado. Los protocolos de IPsec actan en la capa de red, la capa 3 del modelo OSI.Otros protocolos de seguridad para Internet de uso extendido, como SSL, TLS y SSH operan de la capa de transporte (capas OSI 4 a 7) hacia arriba. Esto hace que IPsec sea ms flexible, ya que puede ser utilizado para proteger protocolos de la capa 4, incluyendo TCP y UDP, los protocolos de capa de transporte ms usados. IPsec tiene una ventaja sobre SSL y otros mtodos que operan en capas superiores. Para que una aplicacin pueda usar IPsec no hay que hacer ningn cambio, mientras que para usar SSL y otros protocolos de niveles superiores, las aplicaciones tienen que modificar su cdigo. IPsec est implementado por un conjunto de protocolos criptogrficos para (1) asegurar el flujo de paquetes, (2) garantizar la autenticacin mutua y (3) establecer parmetros criptogrficos. La arquitectura de seguridad IP utiliza el concepto de asociacin de seguridad (SA) como base para construir funciones de seguridad en IP. Una asociacin de seguridad es simplemente el paquete de algoritmos y parmetros (tales como las claves) que se est usando para cifrar y autenticar un flujo particular en una direccin. Por lo tanto, en el trfico normal bidireccional, los flujos son asegurados por un par de asociaciones de seguridad. La decisin final de los algoritmos de cifrado y autenticacin (de una lista definida) le corresponde al administrador de IPsec. Para decidir qu proteccin se va a proporcionar a un paquete saliente, IPsec utiliza el ndice de parmetro de seguridad (SPI), un ndice a la base de datos de asociaciones de seguridad (SADB), junto con la direccin de destino de la cabecera del paquete, que juntos identifican de forma nica una asociacin de seguridad para dicho paquete. Para un paquete entrante se realiza un procedimiento similar; en este caso IPsec coge las claves de verificacin y descifrado de la base de datos de asociaciones de seguridad. En el caso de multicast, se proporciona una asociacin de seguridad al grupo, y se duplica para todos los receptores autorizados del grupo. Puede haber ms de una asociacin de seguridad para un grupo, utilizando diferentes SPIs, y por ello permitiendo mltiples niveles y conjuntos de seguridad dentro de un grupo. De hecho, cada remitente puede tener mltiples asociaciones de seguridad, permitiendo autenticacin, ya que un receptor slo puede saber que alguien que conoce las claves ha enviado los datos. Hay que observar que el estndar pertinente no describe cmo se elige y duplica la asociacin a travs del grupo; se asume que un interesado responsable habr hecho la eleccin.

Modo transporte En modo transporte, slo la carga til (los datos que se transfieren) del paquete IP es cifrada y/o autenticada. El enrutamiento permanece intacto, ya que no se modifica ni se cifra la cabecera IP; sin embargo, cuando se utiliza la cabecera de autenticacin (AH), las direcciones IP no pueden ser traducidas, ya que eso invalidara el hash. Las capas de transporte y aplicacin estn siempre aseguradas por un hash, de forma que no pueden ser modificadas de ninguna manera (por ejemplo traduciendo los nmeros de puerto TCP y UDP). El modo transporte se utiliza para comunicaciones ordenador a ordenador. Una forma de encapsular mensajes IPsec para atravesar NAT ha sido definido por RFCs que describen el mecanismo de NAT-T

Modo tnel En el modo tnel, todo el paquete IP (datos ms cabeceras del mensaje) es cifrado y/o autenticado. Debe ser entonces encapsulado en un nuevo paquete IP para que funcione el enrutamiento. El modo tnel se utiliza para comunicaciones red a red (tneles seguros entre routers, p.e. para VPNs) o comunicaciones ordenador a red u ordenador a ordenador sobre Internet. El propsito de este modo es establecer una comunicacin segura entre dos redes remotas sobre un canal inseguro.

ALGORITMO DE AUTENTIFICACION AH lleva un campo (Integrity Check Value) para comprobar la integridad del paquete y que nadie lo ha manipulado durante el trayecto. El valor de ese campo est dado por algoritmos de encriptacin tales como MD5 o SHA-1. Ms que usar un checksum convencional, el cual podra no proveer una seguridad real contra una manipulacin intencional, este usa una Hashed Message Authentication Code (HMAC), que incorpora una clave secreta mientras se crea el hash. Aunque un atacante puede recalcular un hash fcilmente, sin la clave secreta no sera capaz de crear el ICV apropiado.

EN RESUMEN IPSec estndar definido en el RFC 4301 IPSec como estndar de implementacin de VPN (en Productos Cisco)

No es un protocolo, no es una tecnologa, es un marco de trabajo, donde define las etapas o componentes a travs del cual dos dispositivos van a intercambiar claves e informacin. Intercambio de claves dinmicas. IKE Estandar Definido en el RFC 4306 Define 4 componentes para ser implementado. Define 2 protocolos de seguridad ESP (encriptacin) y AH (autenticidad) Las VPN pueden ser de Extranet, Intranet y de Acceso Ofrecen privacidad y autenticacin Ofrecen Integridad de la Data y Antireplay Pueden ser VPN por IPSec o SSL VPN, son tneles cifrados que encriptan la data. El router inicia la encriptacin de la data brindando confiabilidad, autenticacin e integridad de los datos Encriptar la data Instala en el equipo una cabecera de VPN, que pueden ser AH, ESP o un hibrido. Tambien hay en la cabecera informacin de IP destino, infprmacion de protocolos de seguridad que tiene que ver con integridad de la data y la autenticacin IKE, intercambio de clave dinmica. Asi se estable una VPN por IPSec VPN IPSec, VPN de capa 3. Conecta segmentos de 3. Garantiza autenticacin, encriptacin e integridad. VPN SSL, VPN de capa 4. Te deja conectar a travs de capa 7.