IPsec. Volumen III : ESP (Carga de seguridad encapsulada)

Escrito por Sergio De Luz
Redes
0

Hoy vamos a ver lo que es ESP, lo denominado carga de seguridad encapsulada.

En los anteriores volúmenes vimos una pequeña introducción a IPsec, y en el segundo vimos la cabecera de autenticación (AH) y sus principales características.

ESP ofrece autenticación, integridad y confidencialidad de los datos transmitidos a través de IPsec. Para conseguir éstas características de seguridad, se hace un intercambio de llaves públicas (Algoritmos de cifrado asimétrico).

A continuación tenéis más información sobre ESP.

La función principal del protocolo ESP es proporcionar confidencialidad a los datos, para poder hacerlo, ESP define el cifrado y la forma en la que se ubicarán los datos en un nuevo datagrama IP. Para proporcionar autenticación e integridad, ESP usa mecanismos parecidos a AH.

La estructura de ESP es más complejo que AH ya que aporta más funciones. Los datos se pueden transmitir vía TCP, UDP o un datagrama IP completo (lo mismo ocurría con AH). La cabecera del paquete IP no está protegida por ESP (si utilizamos el modo túnel, la protección será a todo el paquete IP interno).

La estructura de un paquete ESP es la siguiente:

Podéis leer lo que significa cada dato de la tabla en Wikipedia.

ESP pertenece al nivel de red dentro de TCP/IP.

El área de datos queda totalmente cifrada, también se podría autenticar el propio datagrama para proporcionar mayor seguridad. El cifrado de los datos se realiza mediante algoritmos de clave simétrica, habitualmente se usan cifrados en bloque (como AES), el cifrado de los datos se hacen mediante múltiplos del tamaño del bloque, por este motivo tenemos el “Padding”, un campo de relleno.

Para cifrar los datos, primero el emisor cifra el mensaje original usando una clave y lo introduce en un nuevo datagrama IP (que es protegido por la cabecera ESP). En el hipotético caso de que alguien intercepte el mensaje (Man In The Middle), sólo obtendrá datos sin sentido ya que no tiene la clave secreta para descifrar el mensaje. Cuando el mensaje llegue al destino, éste aplicará la clave secreta sobre los datos y descifrará el paquete.

El algoritmo más utilizado es AES en todas sus versiones (128 y 256bits) y en sus distintas modos de cifrado como AES-CBC, AES-CFB y AES-OFB.

Por tanto, es fundamental usar un buen algoritmo de cifrado para proteger todos los datos, la distribución de las claves de forma segura será muy importante. Un tema delicado es que a ambos lados de la comunicación se pongan de acuerdo con los algoritmos y la autenticación.

El protocolo encargado de ésto será IKE, que lo veremos en el próximo volumen.


Noticias relacionadas