PDF de programación - IPsec CÓMO

IPsec CÓMO

IPsec CÓMO

Abstract
Este documento trata sobre los tareas básicas y
avanzadas necesarias para establecer una red
privada virtual (VPN) sobre IPsec, basándose en los
núcleos Linux 2.4 y 2.5/2.6. Como ya existe una
gran cantidad de documentación disponible sobre el
núcleo 2.4, este documento se centrará, en una
primera etapa, en las nuevas características IPsec
existentes en el núcleo de desarrollo. Versiones
posteriores tratarán la versión 2.4 del núcleo Linux.

Table of Contents
Introducción
Teoría
Núcleos Linux 2.2 y 2.4 -- FreeS/WAN
Núcleo Linux 2.5/2.6 empleando herramientas KAME
Núcleo Linux 2.5/2.6 empleando isakmpd de OpenBSD
Generación de certificados X.509

Introducción

Puede encontrar la última versión de este documento en The Linux Documentation Project y en la
página oficial http://www.ipsec-howto.org.

Razones para escribir este documento

Durante años he leído muchos documentos Cómo. La mayoría fueron muy valiosos para mi. Cuando se
implementaron las nuevas características IPsec dentro del núcleo Linux, comencé a juguetear con ellas.
Pronto me di cuenta de que no existía apenas documentación. Esto me animó a escribir este documento
Cómo.

Formato de este documento

El documento se divide en 5 secciones.

http://www.ipsec-howto.org/spanish/t1.html (1 of 3)14/10/2004 11:01:18

IPsec CÓMO

Sección 1: Introducción

Esta sección

Sección 2: Teoría

Teoría sobre IPsec. Básicamente, los protocolos IPsec.

Section 3: Núcleos Linux 2.2 y 2.4

Esta sección describe cómo configurar FreeS/WAN sobre los núcleos 2.2 y 2.4.

Sección 4: Núcleo Linux 2.5/2.6

Esta sección describe cómo configurar una VPN IPsec empleando las herramientas KAME
setkey y racoon, el servidor IKE isakmpd de OpenBSD y FreeS/WAN mediante el parche
desarrollado por Herbert Xu.
Sección 5: Configuración avanzada

Esta sección trata configuraciones avanzadas tales como DHCP-sobre-IPsec, NAT-Transversal,
etc.

Colaboradores a este documento

l Fridtjof Busse
l Uwe Beck
l Juanjo Ciarlante
l Ervin Hegedus
l Barabara Kane

Información legal

Copyright

Copyright (c) 2003 Ralf Spenneberg

Copyright (c) 2004 David Marín Carreño, por la traducción

Puede copiar y distribuir libremente (de manera gratuita o no) este documento. Se exige que cualquier
corrección o comentario se reenvíe al mantenedor del documento. Puede crear trabajos derivados y
distribuirlos siempre y cuando:

l Envíe su trabajo derivado (en el formato más adecuado, como sgml) al LDP (Linux

http://www.ipsec-howto.org/spanish/t1.html (2 of 3)14/10/2004 11:01:18

IPsec CÓMO

Documentation Project) u otro proyecto similar, para su difusión en Internet. Si no lo envía al
LDP, deberá hacer saber al LDP dónde está disponible.

l Licencie el trabajo derivado bajo esta misma licencia o emplee la GPL. Incluya un aviso de

copyright y, al menos, un enlace a la licencia empleada.

l Dé el reconocimiento debido a los autores anteriores y a los colaboradores principales.

Si considera realizar un trabajo derivado que no sea una traducción, deberá plantear sus objetivos al
mantenedor actual.

Renuncia de responsabilidad

El autor no asume ninguna responsabilidad sobre cualquier acción realizada a partir de este documento,
ni ofrece ninguna garantía, implícita o explícita. Si su perro muere, ¡el autor no será responsable!

Documentos relacionados

l Networking Overview HOWTO
l Networking HOWTO
l VPN-Masquerade HOWTO
l VPN HOWTO
l Advanced Routing & Traffic Control HOWTO

Next >>>
Teoría

http://www.ipsec-howto.org/spanish/t1.html (3 of 3)14/10/2004 11:01:18

IPsec CÓMO

Next >>>

Teoría

<<<
Previous

Teoría

¿Qué es IPsec?

IPsec es una extensión al protocolo IP que proporciona seguridad a IP y a los protocolos de capas
superiores. Fue desarrollado para el nuevo estándar IPv6 y después fue portado a IPv4. La arquitectura
IPsec se describe en el RFC2401. Los siguientes párrafos dan una pequeña introducción a IPsec.

IPsec emplea dos protocolos diferentes - AH y ESP - para asegurarla autenticación, integridad y
confidencialidad de la comunicación. Puede proteger el datagrama IP completo o sólo los protocolos de
capas superiores. Estos modos se denominan, respectivamente, módo túnel y modo transporte. En modo
túnel el datagrama IP se encapsula completamente dentro de un nuevo datagrama IP que emplea el
protocolo IPsec. En modo transporte IPsec sólo maneja la carga del datagrama IP, insertándose la
cabecera IPsec entre la cabecera IP y la cabecera del protocolo de capas suepriores (vea Figure 1).

Figure 1. IPsec: modos túnel y transporte

Para proteger la integridad de los datagramas IP, los protocolos IPsec emplean códigos de autenticación
de mensaje basados en resúmenes (HMAC - Hash Message Authentication Codes). Para el cálculo de
estos HMAC los protocolos HMAC emplean algoritmos de resumen como MD5 y SHA para calcular un
resumen basado en una clave secreta y en los contenidos del datagrama IP. El HMAC se incluye en la

http://www.ipsec-howto.org/spanish/x161.html (1 of 6)14/10/2004 11:02:40

Teoría

cabecera del protocolo IPsec y el receptor del paquete puede comprobar el HMAC si tiene acceso a la
clave secreta.

Para proteger la confidencialidad de lo datagramas IP, los protocolos IPsec emplean algoritmos estándar
de cifrado simétrico. El estándar IPsec exige la implementación de NULL y DES. En la actualidad se
suelen emplear algoritmos más fuertes: 3DES, AES y Blowfish.

Para protegerse contra ataques por denegación de servicio, los protocolos IPsec emplean ventanas
deslizantes. Cada paquete recibe un número de secuencia y sólo se acepta su recepción si el número de
paquete se encuentra dentro de la ventana o es posterior. Los paquetes anteriores son descartados
inmediatamente. Esta es una medida de protección eficaz contra ataques por repetición de mensajes en
los que el atacante almacena los paquetes originales y los reproduce posteriormente.

Para que los participantes de una comunicación puedan encapsular y desencapsular los paquetes IPsec,
se necesitan mecanismos para almacenar las claves secretas, algoritmos y direcciones IP involucradas en
la comunicación. Todos estos parámetros se almacenan en asociaciones de seguridad (SA - Security
Associations). Las asociaciones de seguridad, a su vez, se almacenan en bases de datos de asociaciones
de seguridad (SAD - Security Asocciation Databases).

Cada asociación de seguridad define los siguientes parámetros:

l Dirección IP origen y destino de la cabecera IPsec resultante. Estas son las direcciones IP de los

participantes de la comunicación IPsec que protegen los paquetes.

l Protocolo IPsec (AH o ESP). A veces, se permite compresión (IPCOMP).
l El algoritmo y clave secreta empleados por el protocolo IPsec.
l Índice de parámetro de seguridad (SPI - Security Parameter Index). Es un número de 32 bits que

identifica la asociación de seguridad.

Algunas implementaciones de la base de datos de asociaciones de seguridad permiten almacenar más
parámetros:

l Modo IPsec (túnel o transporte)
l Tamaño de la ventana deslizante para protegerse de ataques por repetición.
l Tiempo de vida de una asociación de seguridad.

En una asociación de seguridad se definen las direcciones IP de origen y destino de la comunicación.
Por ello, mediante una única SA sólo se puede proteger un sentido del tráfico en una comunicación
IPsec full duplex. Para proteger ambos sentidos de la comunicación, IPsec necesita de dos asociaciones
de seguridad unidireccionales.

Las asociaciones de seguridad sólo especifican cómo se supone que IPsec protegerá el tráfico. Para
definir qué tráfico proteger, y cuándo hacerlo, se necesita información adicional. Esta información se

http://www.ipsec-howto.org/spanish/x161.html (2 of 6)14/10/2004 11:02:40

Teoría

almacena en la política de seguridad (SP - Security Policy), que a su vez se almacena en la base de datos
de políticas de seguridad (SPD - Security Policy Database).

Una política de seguridad suele especificar los siguientes parámetros:

l Direcciones de origen y destino de los paquetes por proteger. En modo transportes estas serán las

mismas direcciones que en la SA. En modo túnel pueden ser distintas.

l Protocolos y puertos a proteger. Algunas implementaciones no permiten la definición de

protocolos específicos a proteger. En este caso, se protege todo el tráfico entre las direcciones IP
indicadas.

l La asociación de seguridad a emplear para proteger los paquetes.

La configuración manual de la asociación de seguridad es proclive a errores, y no es muy segura. Las
claves secretas y algoritmos de cifrado deben compartirse entre todos los participantes de la VPN. Uno
de los problemas críticos a los que se enfrenta el administrador de sistemas es el intercambio de claves:
¿cómo intercambiar claves simétricas cuando aún no se ha establecido ningún tipo de cifrado?

Para resolver este problema se desarrolló el protocolo de intercambio de claves por Internet (IKE -
Internet Key Exchange Protocol). Este protocolo autentica a los participantes en una primera fase. En
una segunda fase se negocian las asociaciones de seguridad y se escogen las claves secretas simétricas a
través de un intercambio de claves Diffie Hellmann. El protocolo IKE se ocupa incluso de renovar
periódicamente las claves para asegurar su confidencialidad.

Los protocolos IPsec

La familia de protocolos IPsec está formada por dos protocolos: el AH (Authentication Header -
Cabecera de autenticación) y el ESP (Encapsulated Security Payload - Carga de seguridad encapsulada).
Ambos son protocolos IP independientes. AH es el protocolo IP 51 y ESP el protocolo IP 50 (ver /etc/
protocols). Las siguientes secciones tratarán brevemente sobre sus propiedades:

AH - Cabecera de autenticación

El protocolo AH protege la integridad del datagrama IP. Para conseguirlo, el protocolo AH calcula una
HMAC basada en la clave secreta, el contenido del paquete y las partes inmutables de la cab