Los paquetes IP son los elementos básicos de la co­mu­ni­ca­ción de datos en Internet y están co­m­pue­s­tos por dos elementos: los datos, como lenguaje, texto o imágenes, y la cabecera, a la que pe­r­te­ne­cen, entre otros, los datos del emisor y el receptor. El gran problema de los paquetes de datos que pasan por di­fe­re­n­tes routers durante su ruta hacia el de­s­ti­na­ta­rio es que el Protocolo de Internet en sí no tiene me­ca­ni­s­mos propios de cifrado y au­te­n­ti­ca­ción. En otras palabras, el proceso de tra­n­s­fe­re­n­cia de datos entre router y router puede ser in­te­r­ce­p­ta­do y ma­ni­pu­la­do en cualquier momento, con lo que no se estarían ga­ra­n­ti­za­n­do los tres pilares de la seguridad in­fo­r­má­ti­ca: co­n­fi­de­n­cia­li­dad, au­te­n­ti­ci­dad e in­te­gri­dad.

El conjunto de pro­to­co­los Internet Protocol Security (IPsec) se de­sa­rro­lló para ampliar la gama de funciones de seguridad exi­s­te­n­tes. Cuando se combinan, pro­po­r­cio­nan a la tra­n­s­mi­sión de paquetes de datos a través de redes públicas una seguridad muy fiable. Es por esto que IPsec se ha co­n­ve­r­ti­do en un co­m­po­ne­n­te im­pre­s­ci­n­di­ble para muchas co­ne­xio­nes VPN (Virtual Private Network).

IPsec es una familia de pro­to­co­los, cuya ar­qui­te­c­tu­ra ha sido propuesta como estándar por el Grupo de Trabajo de In­ge­nie­ría de Internet (IETF por sus siglas en inglés), una or­ga­ni­za­ción dedicada al de­sa­rro­llo técnico de Internet. IPsec está a di­s­po­si­ción de los usuarios desde la última versión del Protocolo de Internet (IPv6) y fue de­sa­rro­lla­do po­s­te­rio­r­me­n­te para IPv4, di­vi­dié­n­do­se pri­n­ci­pa­l­me­n­te en los tres si­guie­n­tes grupos:

• Pro­to­co­los de tra­n­s­fe­re­n­cia: Au­the­n­ti­ca­tion Header (AH), En­ca­p­su­la­ti­ng Security Payload (ESP)

• Gestión de claves: Internet Security As­so­cia­tion and Key Ma­na­ge­me­nt Protocol (ISAKMP), Internet Key Exchange (IKE)

• Bases de datos: Security As­so­cia­tion Database (SAD), Security Policy Database (SPD)

Con la ayuda de los pro­to­co­los de tra­n­s­fe­re­n­cia AH y ESP, IPsec garantiza la au­te­n­ti­ci­dad e in­te­gri­dad de los datos enviados, ase­gu­ra­n­do que su contenido no haya sufrido cambios desde que fue enviado por su emisor y que llegará intacto a su de­s­ti­na­ta­rio. Para este fin, AH ofrece una extensión de la cabecera del paquete, co­n­ce­n­trá­n­do­se, por un lado, en la au­te­n­ti­ca­ción, y, por el otro, en evitar que los paquetes sean ma­ni­pu­la­dos durante el proceso de tra­n­s­mi­sión. Adi­cio­na­l­me­n­te, el protocolo AH añade un número de secuencia a la cabecera, im­pi­die­n­do re­pe­ti­cio­nes en la tra­n­s­mi­sión de los paquetes.

Además de la co­m­pro­ba­ción de la in­te­gri­dad y de la identidad, el protocolo ESP cifra los datos enviados. Sin embargo, la au­te­n­ti­ca­ción ESP difiere del protocolo AH en la medida en que no tiene en cuenta la cabecera IP exterior, por lo que no es co­n­si­de­ra­da del todo exhau­s­ti­va. Sin embargo, con la ayuda de un proceso de en­ca­p­su­la­mie­n­to adicional y de la tra­du­c­ción de di­re­c­cio­nes de red (NAT), como sucede co­mú­n­me­n­te en las co­ne­xio­nes DSL privadas, se pueden entregar co­rre­c­ta­me­n­te los co­n­te­ni­dos ESP.

El protocolo IKE es el principal re­s­po­n­sa­ble de la gestión del cifrado ESP. Para ga­ra­n­ti­zar estas medidas de seguridad (Security As­so­cia­tio­ns) entre emisor y receptor, utiliza el método Diffie Hellman para un in­te­r­ca­m­bio seguro de claves, es­ta­ble­cie­n­do las de­fi­ni­cio­nes técnicas del framework ISAKMP.

La in­fo­r­ma­ción necesaria para el envío de paquetes basado en IPsec es al­ma­ce­na­da en dos bases de datos locales: SPD y SAD. Las entradas en la Security Policy Database (SPD) de­te­r­mi­nan, por ejemplo, qué pro­to­co­los de seguridad (AH, ESP o ambos) se uti­li­za­rán para es­ta­ble­cer una conexión segura. El SAD gestiona los registros es­pe­cí­fi­cos de Security As­so­cia­tion que han sido creados por el protocolo IKE, en­tre­gá­n­do­le al emisario los métodos de cifrado (in­clu­ye­n­do la clave) y al receptor los métodos de de­s­ci­fra­do.

Modo tra­n­s­po­r­te

Si se utiliza IPsec en el modo tra­n­s­po­r­te, el header del protocolo de tra­n­s­fe­re­n­cia se inserta entre la cabecera IP del paquete de datos, que se mantiene sin cambios, y los datos. El proceso de en­cri­p­ta­ción se inicia en el equipo de origen y se mantiene durante toda la tra­n­s­fe­re­n­cia, hasta que el paquete de datos haya sido entregado al equipo de destino. Solo después de que el paquete haya sido recibido, se de­s­co­m­pri­me y se pone a di­s­po­si­ción del receptor. De esta forma, los puntos finales de cifrado y de co­mu­ni­ca­ción son idénticos. La gran ventaja del modo tra­n­s­po­r­te es el bajo tiempo de pro­ce­sa­mie­n­to, aunque solo garantiza la seguridad de los datos, dejando de­s­pro­te­gi­das a las di­re­c­cio­nes de origen y destino. No­r­ma­l­me­n­te, este modo se usa para co­mu­ni­ca­cio­nes de host a host o de router a router, por ejemplo, para la gestión de la red.

Modo túnel

En el modo túnel los paquetes de datos obtienen una nueva cabecera IP, en la que la dirección de origen y de destino están ocultas. De la misma forma que en el modo tra­n­s­po­r­te, aquí también se im­ple­me­n­ta la cabecera del co­rre­s­po­n­die­n­te protocolo de seguridad. Es por esto que se habla del en­ca­p­su­la­mie­n­to del paquete original. La nueva cabecera IP exterior define los puntos en­cri­p­ta­dos de destino, que no son los mismos puntos de co­mu­ni­ca­ción definidos en la cabecera IP interna. El paquete se de­s­co­m­pri­me úni­ca­me­n­te cuando ha alcanzado los puntos finales de cifrado, proceso que también se conoce como “pasar la puerta de seguridad”, y se envía al de­s­ti­na­ta­rio. Por defecto, la tra­n­s­mi­sión de datos en modo túnel se lleva a cabo entre puerto y puerto, pero también es posible que tenga lugar de host a puerto y en co­ne­xio­nes de host a host.

A la hora de im­ple­me­n­tar co­ne­xio­nes VPN, las cuales re­pre­se­n­tan el mayor sector donde encuentra apli­ca­ción este conjunto de pro­to­co­los, IPsec tiene una ventaja decisiva en co­m­pa­ra­ción con al­te­r­na­ti­vas como SSL: por defecto, al nivel de red, IPsec puede ser im­ple­me­n­ta­do sin depender de ninguna apli­ca­ción. Una vez es­ta­ble­ci­da la conexión, pueden tener lugar todo tipo de formas de tráfico de datos, correo ele­c­tró­ni­co, tra­n­s­fe­re­n­cia de archivos o telefonía IP, sin necesidad de instalar he­rra­mie­n­tas adi­cio­na­les de apli­ca­ción. Esto convierte a IPsec en la solución más rentable para co­ne­xio­nes VPN. Sin embargo, el uso de IPsec por acceso remoto requiere un software especial que debe ser instalado, co­n­fi­gu­ra­do y mantenido en cada cliente. Además, esta in­de­pe­n­de­n­cia de las apli­ca­cio­nes puede co­n­ve­r­ti­r­se rá­pi­da­me­n­te en un problema cuando estas no son blo­quea­das au­to­má­ti­ca­me­n­te por un co­r­ta­fue­gos central, poniendo no solo a una, sino a todas las apli­ca­cio­nes en peligro.

Sin lugar a dudas, los mayores be­ne­fi­cios de IPsec son la fia­bi­li­dad y el re­n­di­mie­n­to: en caso de que se presenten problemas, un sistema clúster puede ser rescatado fá­ci­l­me­n­te por otro puerto mientras se continúa con la tra­n­s­fe­re­n­cia de paquetes de datos a miles de usuarios. Fi­na­l­me­n­te, gracias al gran número de garantías en seguridad que ofrece, IPsec es la solución ideal para la tra­n­s­fe­re­n­cia de datos co­n­fi­de­n­cia­les y para el tráfico interno de empresas que no permitan el acceso de usuarios anónimos.