IPSec INTRODUCCIN Es un protocolo (IP Security) que protege las tramas a nivel de IP (capa de red de OSI).

Previnindose de capturadores de red. Cumple con los estndares de la IETF y es un desarrollo conjunto entre CISCO y MICROSOFT. Es un protocolo punto a punto, es decir, slo el emisor y el receptor deben entender IPSec, para el resto de enrutadores que atraviesa, no es ms que un paquete IP. Cmo se ha dicho antes, funciona a nivel de red, lo que le otorga una mayor fortaleza de seguridad, al contrario que otras metodologas de cifrado como SSL que opera a nivel de aplicacin. FORMATO DE LAS TRAMAS IPSec est formado por 2 protocolos: AH (Authentication Header) y ESP (Encapsulating Security Payload) Ambos ofrecen autenticacin, integridad y anti-replay (funcin de anti-relectura), pero a distintos niveles Pueden funcionar juntos o por separado. Se puede configurar IPSec en 2 modos: Modo transporte Modo tnel. MODO TRANSPORTE Permite intercambio cifrado de los datos IP entre origen y destino. Segn las tramas vistas, AH ofrece integridad de todo el paquete IP, incluida la cabecera IP, mientras que ESP, se deja fuera la cabecera. MODO TNEL El modo tnel nos sirve para establecer comunicaciones seguras (cifradas) entre 2 redes, a travs de una red ms grande tipo internet, simulando una conexin punto a punto. Recordar que IPSec es incompatible con NAT u otro servidor de seguridad, pues NAT modifica los paquetes cambiando la IP origen y puerto. El modo tnel introduce una nueva cabecera de tnel que contiene la direccin origen del tnel y la direccin destino del tnel, como toda la trama va firmada, no puede atravesar un NAT. IPSec en modo tnel, es parecido a los protocolos de tnel PPTP y L2TP, sin embargo hay equipos que soportan unos protocolos y los otros no. RESUMEN Si queremos proteger tanto las direcciones como el contenido, por integridad y encriptacin tendremos que combinar AH y ESP. Si queremos que nuestros paquetes atraviesen una red pblica que no debe conocer las direcciones origen y destino de las mquinas de mi empresa, usaremos el modo TNEL. Si los paquetes se mantienen dentro de mi empresa, puedo dejar configurado IPSec en modo TRANSPORTE. IMPLEMENTACIN DIRECTIVAS IPSec La manera de activar esta seguridad es a travs de la asignacin de DIRECTIVAS DE SEGURIDAD, que nos van a permitir: Decidir el modo de autenticacin El modo transporte o tnel El mtodo de seguridad (AH, ESP o ambos) Los algoritmos a usar Tipo de conexin a la que se va a aplicar la directiva Qu tipo de trfico va a verse afectado por la directiva (filtros). DIRECTIVAS PREDETERMINADAS Cuando se instala Windows 2008 se crean 3 directivas:

Cliente (slo responder) Slo responde de manera segura con aquellos clientes que lo solicitan, si no lo solicitan el no responde de manera cifrada y/o firmada. Servidor (pedir seguridad) Enva los datos cifrados, si bien admite peticiones de clientes no cifradas. Es decir, prima la comunicacin sobre la seguridad.

Servidor seguro (requiere seguridad) Slo habr comunicacin si esta se realiza en modo seguro. Prima la seguridad sobre al comunicacin. Si no tenemos aplicado el uso de IPSec sobre la conexin de TCP/IP no funciona ninguna de las directivas anteriores. Para acceder a estas directivas podemos hacerlo desde la MMC Directivas de seguridad local carpeta Directivas de seguridad IP o bien desde PROPIEDADES DE TCP/IP -> AVANZADO -> OPCIONES -> SEGURIDAD IP CREACIN DE MIS DIRECTIVAS Hay que destacar que las directivas que vienen predeterminadas, usan como mtodo de seguridad KERBEROS y recordemos que este protocolo de seguridad slo existe en dominios y no en servidores independientes. Si deseo usar certificados, puedo: Pagar a una CA para que me autorice a emitir sus certificados y as los clientes se puedan instalar los certificados en sus mquinas. Montar mi propia entidad certificadora y conceder certificados a los clientes para que se los puedan instalar. O puedo usar una palabra secreta que se usar para encriptar. EJEMPLO DE DIRECTIVA Se llama AULA3 Desactivo la regla de respuesta predeterminada, pues no estoy en un dominio ( si quiero que estas funcionen, puedo asignarles el uso de un certificado o una clave compartida) Dejo activo Modificar las propiedades Agrego mi propio filtro Elijo el modo TRANSPORTE Selecciono redes de rea local Uso una clave compartida como mtodo de autentificacin, llamada aula3b La aplico a todo el trfico IP Y como accin elijo Requiere seguridad FINALIZADO, para que la directiva sea aplicada en esta mquina, sobre el nombre de la nueva directiva creada, con el botn derecho elijo la opcin ASIGNAR. NEGOCIACIN IPSec En una comunicacin IPSec, origen y destino tienen que ponerse de acuerdo sobre los parmetros a usar a la hora de generar las claves de cifrado, a este ponerse de acuerdo se le denomina ASOCIACION DE SEGURIDAD (SA) La IETF estableci un estndar bajo el que gestionar esta ASOCIACIN, al que llamo IKE. Una SA es unidireccional, luego son necesarias 2 SA para asegurar la comunicacin bidireccional, una de ida y otra de vuelta. En el caso de usar AH + ESP, necesitaramos 4 SA. IKE usa un proceso en 2 fases, a travs de las cuales asegura la confidencialidad y autenticacin, efectuada por algoritmos sobre los que previamente se han puesto de acuerdo. Las fases son: FASE 1 O MODO PRINCIPAL

FASE 2 O MODO RPIDO. FASE 1 O MODO PRINCIPAL Usa el protocolo ISAKMP (Internet Security Association and Key Managament Protocol), para establecer un canal seguro. Este protocolo genera una ASOCIACION SEGURA, donde se negocian los algoritmos de troceado (SHA1 y MD5), de cifrado (DES y 3DES) y el grupo Diffie-Hellman (grupo-1 usa 1024 bits y grupo-2 usa 768 bits) con el que se puede generar una clave comn que slo conocen las 2 mquinas, aunque no sea una conexin segura mediante el uso de grandes nmeros primos y algoritmos. Para modificar estos algoritmos recordemos que hay que acceder a los METODOS tras pulsar sobre el botn Avanzada de la ficha General de las propiedades de una directiva. FASE 2 O MODO RPIDO Se produce el intercambio de los parmetros definidos en su directiva, usndose 2 SA por protocolo, una para los datos de salida y la otra para los de entrada. Los datos pueden intercambiarse ahora de manera segura usando la SA ESP generada. 1. Resumen de implementacin Nombre de la directiva Regla de respuesta predeterminada activada/desactivada Lista de filtros: Protocolos, puertos y direcciones IP de origen y destino que harn que se empiece a utilizar IPSec a. Direccin IP de origen y destino b. Protocolos c. Puertos de origen y destino d. Descripcin del filtro Accin de filtrado: Lo que se va a hacer con el trafico que cumple los filtros a. Permitir (No cifrar) b. Denegar (No comunicar) c. Negociar 1. ESP 2. AH 3. Personalizado 3.1 AH (Solo firma e incluye la cabecera IP) 3.1.1 MD5/SHA1 3.2 ESP (Firma y cifra datos pero no firma la cabecera IP) 3.2.1 Integridad MD5/SHA1 3.2.2 Cifrado DES/3DES 3.2.3 Generar clave nueva

Mtodo de autenticacin: Manera de saber que el otro es de confianza. a. Kerberos (Dentro dominios y entre dominios con relaciones de confianza) b. Certificado de una entidad certificadora c. Clave compartida simtrica Configuracin de tnel a. No es un tnel b. Si es un tnel (Direccin del otro punto del tnel) Tipo de conexin a. Todas b. Trfico LAN c. Trfico RAS