Protocolos de IP Security

IP Security (IPSec) proporciona una base estable y duradera para proporcionar seguridad de capa de red.

IPSec soporta todos los algoritmos criptográficos que se utilizan hoy en día y también puede ajustarse a algoritmos nuevos, más potentes que vayan surgiendo. El protocolo IPSec cubre las siguientes cuestiones de seguridad principales:

Autenticación de origen de datos
Verifica que cada datagrama ha sido originado por el remitente indicado.
Integridad de datos
Verifica que el contenido de un datagrama no se ha cambiado por el camino, ni deliberadamente ni debido a errores aleatorios.
Confidencialidad de datos
Oculta el contenido de un mensaje, normalmente mediante cifrado.
Protección de reproducción
Impide que un agresor pueda interceptar un datagrama y reproducirlo posteriormente.
Gestión automatizada de claves criptográficas y asociaciones de seguridad
Permite utilizar la política VPN en toda la red con poca o ninguna configuración manual.

VPN utiliza dos protocolos IPSec para proteger los datos mientras fluyen a través de la VPN: AH (cabecera de autenticación) y EPS (carga útil de seguridad encapsulada). La otra parte de la habilitación de IPSec es el protocolo IKE (intercambio de claves de Internet) o la gestión de claves. Mientras que IPSec cifra los datos, IKE soporta la negociación automatizada de SA (asociaciones de seguridad) y la generación y la renovación automatizadas de claves criptográficas.

Nota: Algunas configuraciones de VPN pueden tener una vulnerabilidad de seguridad dependiendo de cómo se configure IPSec. La vulnerabilidad afecta a las configuraciones en las que IPsec está configurado para utilizar la Carga útil de seguridad encapsulada (ESP) en modalidad de túnel con confidencialidad (cifrado), pero sin protección de la integridad (autenticación) o Cabecera de autenticación (AH). La configuración predeterminada cuando se selecciona ESP siempre incluye un algoritmo de autenticación que proporciona la protección de la integridad. Por lo tanto, a menos que se elimine el algoritmo de autenticación en la transformación ESP, las configuraciones de VPN estarán protegidas contra esta vulnerabilidad. La configuración de VPN de IBM® Universal Connection no se ve afectada por esta vulnerabilidad.
Para comprobar si esta vulnerabilidad de seguridad afecta a su sistema, siga estos pasos:
  1. Inicio del cambio Inicio del cambio En IBM Navigator for i, expanda Red > Políticas IP > Red privada virtual y pulse Políticas de seguridad IP. Fin del cambio Fin del cambio
  2. Inicio del cambio Inicio del cambio Pulse con el botón derecho del ratón en Políticas de datos y seleccione Abrir. Fin del cambio Fin del cambio
  3. Pulse con el botón derecho del ratón en la política de datos que desee comprobar y seleccione Propiedades.
  4. Pulse la pestaña Proposiciones.
  5. Seleccione una de las proposiciones de protección de datos que utilizan el protocolo ESP y pulse Editar.
  6. Pulse la pestaña Transformaciones.
  7. Seleccione en la lista algunas de las transformaciones que utilizan el protocolo ESP y seleccione Editar.
  8. Compruebe que el algoritmo de autenticación tenga un valor distinto a Ninguno.

IETF (Internet Engineering Task Force) define formalmente IPSec en la RFC (Request for Comment) 4301, Security Architecture for the Internet Protocol. Puede visualizar esta RFC en Internet, en el siguiente sitio Web: http://www.rfc-editor.org.

Los principales protocolos IPSec se listan a continuación:

Tema principal: Conceptos de VPN
Conceptos relacionados:
Gestión de claves
Información relacionada:
http://www.rfc-editor.org