| Artículos | 01 SEP 2006

El protocolo IPSec: fundamentos y aplicaciones

Tags: Histórico
José M. Alarcón.
El protocolo IPSec, como se deduce de su nombre, se encarga de ofrecer todo tipo de servicios de seguridad avanzados en redes basadas en IP. Disponible en todos los sistemas operativos modernos puede resultar de gran utilidad en las empresas, si bien sigue siendo bastante desconocido. En este artículo veremos cuáles son sus fundamentos y aplicaciones.

Los protocolos de comunicaciones basados en IP (Internet Protocol) están presentes de manera universal en las redes de comunicación actuales. Cualquier red local o la propia Internet basan su funcionamiento en este protocolo, en detrimento de otros protocolos que casi han desaparecido. El protocolo IP ofrece muchas ventajas en su forma de trabajar, sobre todo en lo que respecta a la fiabilidad (por algo tiene su origen en el ámbito militar). Es el responsable de que la información se fragmente en paquetes para ser transmitidos de modo fiable a su destino, ya que puedan llegar de manera desordenada, por diversas rutas eludiendo nodos caídos, o incluso no llegar (del re-secuenciado o repetición de estos se ocupan protocolos de capas superiores, como TCP).
Uno de los principales problemas de IP es la dificultad para asegurar las comunicaciones, es decir, la autenticación, el cifrado de los datos transmitidos, y el no repudio de estos, entre otras cuestiones de vital importancia. Lo más habitual es tener que recurrir a protocolos de los niveles superiores para dotar de seguridad al intercambio de datos, para lo cual ambos nodos tienen que estar de acuerdo en el modo de proceder y, por lo tanto, se condiciona la forma de comunicación entre ellos. Es decir, si queremos emplear un protocolo estándar como HTTP o FTP debemos extenderlos con algún sistema especial para dotarlos de seguridad o, simplemente, utilizar otro protocolo específico para seguridad. Otra opción es emplear algún sistema de bajo nivel específico de un fabricante (normalmente implementado en los enrutadores), pero tiene la desventaja de no ser interoperable si ambas partes no emplean la misma tecnología.
El protocolo IPSec es la solución estándar y genérica para todas estas necesidades. Está formado por un conjunto de estándares del IETF (Internet Engineering Task Force) que conjuntamente proporcionan servicios de seguridad en la capa IP de las comunicaciones entre sistemas electrónicos, y por añadidura a todos los protocolos de niveles superiores que están basados en IP (TCP, UDP, ICMP, y otros). Es decir, sin tener que modificar el modo de proceder de las aplicaciones y protocolos que ya estemos utilizando, proporciona un conjunto avanzado de características de seguridad basadas en IP (el nivel más bajo). Además su diseño es independiente del sistema operativo, de la plataforma computacional y de las tecnologías subyacentes empleadas, por lo que su interoperabilidad está asegurada. En la actualidad está disponible en todos los sistemas operativos. Es lo suficientemente abierto como para incorporar con el tiempo los avances tecnológicos y criptográficos que sean necesarios. De hecho, forma parte integral del protocolo IPv6, que constituye la base de las comunicaciones del futuro, y del que ofrecemos un amplio reportaje en este mismo número.
La característica más relevante de IPSec es que es capaz de proteger aplicaciones y dispositivos que, en realidad, ni siquiera conocen la existencia de IPSec, ya que la protección se obtiene en las capas OSI más bajas y es transparente para ellos. Por este motivo podemos aplicarlo para asegurar cualquier aplicación cotidiana que use comunicación IP sin hacerle cambios a ésta.

Servicios de seguridad ofrecidos
IPsec se puede encargar de diversas tareas relacionadas con la seguridad, asumiendo todas ellas o sólo algunas en función de las necesidades que tengamos en cada momento.
· Control de acceso: entendido desde sus dos vertientes, esto es, autenticación y autorización. La autenticación sirve para asegurar que los interlocutores son quienes dicen ser y están ubicados donde deben estar. Por otra parte la autorización implica que, aunque un interlocutor se haya autenticado éste tenga acceso a los recursos de red IP que solicita. Lo que ofrece es algo similar a un cortafuegos con filtro de paquetes, pudiéndose considerar para crearlo cuestiones como el protocolo, los puertos de origen y destino, las direcciones IP o y otros parámetros técnicos de los paquetes.
· Confidencialidad: ofrece cifrado del tráfico de datos y ocultación del tipo de comunicación. Esto asegura que, aunque alguien intercepte las comunicaciones entre dos nodos, no va a ser capaz de descifrar su contenido ni su intención.
· Integridad y no repudio: si bien ocultar la información de ojos inadecuados es importante, la comunicación no será muy efectiva si permitimos que cualquiera pueda interceptar los paquetes y modificarlos, o bien hacérnoslos llegar haciéndose pasar por quien no es. IPSec proporciona la capacidad de certificar que los que intervienen en la comunicación son quienes dicen ser. También es capaz de asegurar la integridad de los datos, esto es, que si alguien los altera durante el tránsito los cambios serán detectados y no se admitirá el engaño.
· Detección de repeticiones: existe un tipo de ataque que permite a un usuario, malintencionado, capturar paquetes (aunque estén correctamente autenticados) y reenviarlos al destinatario varias veces con el objeto de que los acepte y por lo tanto el mensaje transmitido se ofusque. Para evitar este tipo de intentos, IPSec añade un sistema de detección de paquetes repetidos. Para conseguirlo utiliza un número de secuencia que se añade en la cabecera de los paquetes y que va protegido por el sistema de integridad de modo que los asaltantes no podrán modificarlo.

Aplicaciones más importantes
Las posibilidades de IPSec son enormes, y en la práctica diaria de una empresa se pueden encontrar multitud de casos en los que resulta útil, como por ejemplo:
· Conexión segura de oficinas y creación de intranets distribuidas. Con IPSec se podrá hacer que las distintas sucursales y oficinas trabajen a través de líneas de banda ancha como si estuviesen en realidad en una misma red local física y sin necesidad de líneas dedicadas punto a punto: directamente sobre Internet y con total garantía. Esto significa un elevado ahorro de costes unido a una gran comodidad.
· Control de acceso y autorización de comunicaciones. Gracias a las capacidades de filtrado de IPSec podrá decidir exactamente cómo se realizan las comunicaciones a través de IP con cualquiera de los protocolos de alto nivel. Si además los protocolos son TCP o UDP podrá controlar qué se hace con el tráfico en función de las direcciones IP y los puertos de origen y destino. Se obtienen casi las mismas capacidades que las que ofrece básicamente un cortafuegos (salvando las distancias).
· Teletrabajo y acceso de viajantes y personal desplazado. Los trabajadores que se encuentran de viaje o trabajan desde sus casas podrán acceder a la red de su empresa con total seguridad y con el acceso que les queramos conceder para buscar información en ciertas bases de datos, remitir pedidos e informes, consultar su correo interno o su agenda o acceder a la Web interna departamental.
· Relación segura con proveedores, distribuidores, socios, y otros agentes del entorno. Para intercambio de información comercial y técnica, emisión de datos electró

Contenidos recomendados...

Comentar
Para comentar, es necesario iniciar sesión
Se muestran 0 comentarios
X

Uso de cookies

Esta web utiliza cookies técnicas, de personalización y análisis, propias y de terceros, para facilitarle la navegación de forma anónima y analizar estadísticas del uso de la web. Consideramos que si continúa navegando, acepta su uso. Obtener más información