USO, CONFIGURACION
Y MANEJO DE IPSEC
EN WINDOWS Y UBUNTO
CON IPV4 E IPV6
YURIAM ZAMBRANO
JOHAN LIDDELL MORENO SUAREZ
�INTRODUCCION
IPSEC
IPsec es un protocolo de seguridad de internet.
Este protocolo proporciona servicios de seguridad a la capa IP y a
todos los procolos superiores, como TCP y UDP (capa de transporte
en internet).
Una conexin IPsec enlaza dos redes distintas, como por ejemplo la
red de la universidad y nuestro hogar, permitiendo acceder a los
equipos compartidos.
IPsec tambin se integra por defecto en la arquitectura de red IPv6.
�INTRODUCCION
SERVICIOS QUE PROPORCIONA IPSEC:
Confidencialidad: requiere que la informacin sea accesible nicamente a las entidades autorizadas
Integridad: incluye cdigos detectores de errores y que la informacin no se vea modificada. IPsec permite al
host receptor verificar que los campos de cabecera del datagrama y la carga til cifrada no han sido modificados
mientras el datagrama estaba en ruta hacia el destino.
Autenticacin: el usuario es realmente quien dice ser. Cuando el host recibe un datagrama IPsec de un origen, el
host est seguro de que la direccin IP de origen del datagrama es el origen real del mismo.
Permite el acceso remoto a ordenadores en distintos lugares como si estuviramos en la misma red local (redes
privadas virtuales). Gracias a esta caracterstica podremos tener redes privadas comunicando diferentes sedes de
empresas en Internet, sin necesidad de redes fsicas privadas con el coste que estas redes conllevan.
Negociacin del cifrado: mecanismos que permiten a los dos host que estn se estn comunicando acordar las
claves y algoritmos de cifrado.
Cifrado de la comunicacin: cuando el host emisor recibe un segmento de la capa de transporte, IPsec cifra la
carga til. Estos datos slo puede ser descifrada por IPsec en el host receptor. Perfecto para el comercio
electrnico.
Cuando dos host han establecido una sesin IPsec, los segmentos TCP y UDP enviados entre ellos son cifrados y
autenticados. Por tanto, IPsec garantiza la seguridad de las comunicaciones.
�ESP ofrece autenticacin, integridad y confidencialidad de los datos transmitidos a travs de IPsec. Para conseguir stas
caractersticas de seguridad, se hace un intercambio de llaves pblicas (Algoritmos de cifrado asimtrico).
La funcin principal del protocolo ESP es proporcionar confidencialidad a los datos, para poder hacerlo, ESP define el
cifrado y la forma en la que se ubicarn los datos en un nuevo datagrama IP. Para proporcionar autenticacin e integridad,
ESP usa mecanismos parecidos a AH.
La estructura de ESP es ms complejo que AH ya que aporta ms funciones. Los datos se pueden transmitir va TCP, UDP o
un datagrama IP completo (lo mismo ocurra con AH). La cabecera del paquete IP no est protegida por ESP (si utilizamos
el modo tnel, la proteccin ser a todo el paquete IP interno).
ESP pertenece al nivel de red dentro de TCP/IP.
El rea de datos queda totalmente cifrada, tambin se podra autenticar el propio datagrama para proporcionar mayor
seguridad. El cifrado de los datos se realiza mediante algoritmos de clave simtrica, habitualmente se usan cifrados en
bloque (como AES), el cifrado de los datos se hacen mediante mltiplos del tamao del bloque, por este motivo tenemos el
Padding, un campo de relleno.
Para cifrar los datos, primero el emisor cifra el mensaje original usando una clave y lo introduce en un nuevo datagrama IP
(que es protegido por la cabecera ESP). En el hipottico caso de que alguien intercepte el mensaje (Man In The Middle),
slo obtendr datos sin sentido ya que no tiene la clave secreta para descifrar el mensaje. Cuando el mensaje llegue al
destino, ste aplicar la clave secreta sobre los datos y descifrar el paquete.
El algoritmo ms utilizado es AES en todas sus versiones (128 y 256bits) y en sus distintas modos de cifrado como AES-CBC,
AES-CFB y AES-OFB.
Por tanto, es fundamental usar un buen algoritmo de cifrado para proteger todos los datos, la distribucin de las claves de
forma segura ser muy importante. Un tema delicado es que a ambos lados de la comunicacin se pongan de acuerdo con
los algoritmos y la autenticacin.
�IKE: Este protocolo se utiliza para generar y administrar las claves
necesarias para establecer las conexiones AH (Cabecera de autenticacin) y
ESP (Carga de Seguridad Encapsulada).
Los dos o ms participantes de la conexin IPsec debern acordar de alguna
manera, los tipos de cifrados y los algoritmos de autenticacin para poder
establecer la conexin de una forma segura.
Esta configuracin se podr hacer de forma manual a ambos extremos del
canal, o a travs de un protocolo (el protocolo IKE) para que se encargue de
la negociacin automtica de los participantes (SA = Asociacin de
Seguridad).
El protocolo IKE no slo se encarga de la gestin y administracin de las
claves sino tambin del establecimiento de la conexin entre los
participantes correspondientes. IKE no slo est en IPsec sino que puede ser
usado en los distintos algoritmos de enrutamiento como OSPF o RIP.
��Hay cuatro mtodos de autenticacin en IPsec: clave compartida, firmas digitales RSA, certificados
digitales X.509 y autenticacin mediante un grupo de usuarios XAuth.
Dependiendo del escenario donde deseamos implementar IPsec, se utilizar un mtodo de autenticacin u
otro, cada uno de estos mtodos poseen unas ventajas y unos inconvenientes que sern citados.
��Iniciamos dando clic en el icono de Windows y
buscamos el mmc para iniciar la configuracin
�Vamos al Men Archivo
clic en agregar o quitar complementos
�Seleccionamos, Equipo local
�Agregamos, Directivas de Seguridad IP
�Clic Derecho en Directivas de Seguridad IP
Y luego en crear directivas de seguridad IP
�Se inicia el asistente para configuracin de
Directivas de seguridad IP clic en siguente
�Activamos reglas para configuracin de
Directivas de seguridad IP y clic en siguiente
�Agregamos nuestra clave a compartir para
comunicacin segura y clic en siguiente
�Seleccionamos editar propiedades
y clic en siguiente
�Seleccionamos y clic en agregar
�Clic en siguiente para editar nuestras reglas
�Seleccionamos, todas las conexiones
y clic en siguiente
�Clic en el botn, Agregar
�Clic en siguiente
�Agregamos una descripcin de nuestra regla
y clic en siguiente
�Seleccionamos Mi Conexin
y clic en siguiente
�Seleccionamos, Cualquier direccin IP
y clic en siguiente
�Seleccionamos, el tipo de protocolo a usar
en nuestro caso ICMP y clic en siguiente
�Aceptamos y guardamos las configuracin, lo mismo
realizamos en el pc de destino.
Instalamos el programa Wireshar para capturar el trafico
entre los dos equipos, iniciamos y capturamos el trafico,
filtramos por ip y verificamos que la encriptacin
en este caso del ping entre los equipos esta cifrada
por IPSEC
�IPSEC EN UBUNTO
�Abrimos nuestro terminal e instalamos ipsec-tool
�Revisamos que halla ping entre
equipos y con abrimos el archivo
[Link] para editarlo con
el comando
nano /etc/[Link]
Editamos de tal manera que nos
quede como la vista de al lado
agregando la ipv4 de origen y de
destino
�Guardamos y volvemos a la
terminal de comandos
Restauramos servicios
�Realizamos la misma configuracin en
pc destino.
Iniciamos nuestro Wireshark y
capturamos el trafico entre equipos
filtrando por ipv4 haciendo ping entre
los equipos para verificar la
encriptacin de
�Agregamos ip en ipv6 y
editamos el archivo [Link]
editamos el archivo
[Link]
�Restablecemos servicios y
realizamos la prueba con ipv6
haciendo ping y capturando el
trafico con wireshark
Trafico encriptado
�CONCLUSIONES
Se pudo establecer la comunicacin utilizando
el Ipsec tanto en Windows como en Ubuntu
permitiendo el trafico encriptado de la
informacin
Ipsec como herramienta para ocultar la
informacin en redes abiertas tanto para IPv4
como para IPv6
