IPsec. Volumen V : Modos de funcionamiento de IPsec (Transporte y Tunelización)

Escrito por Sergio De Luz
Redes
2

Hoy hablaremos de los dos modos de funcionamiento de IPsec. Modo transporte y modo túnel.

IPsec nos proporciona dos modos de funcionamiento muy distintos, tanto para la cabecera de autenticación (AH) como para la carga de seguridad encapsulada (ESP).

Estos modos de funcionamiento, como ya vimos cuando creamos un servidor OpenVPN y diferenciábamos entre TAP y TUN, se diferencian en el modo de direccionamiento de los paquetes.

A continuación os explicamos más a fondo las diferencias entre ambos.

Modo Transporte

La cabecera AH o ESP es insertada entre el área de datos y la cabecera IP, de tal forma que se mantienen las direcciones IP originales.

El contenido encapsulado en un datagrama AH o ESP proviene directamente de la capa de transporte. Por tanto, la cabecera IPsec se insertará a continuación de la cabecera IP y justo antes de los datos aportados por la capa de transporte. De esta forma, sólo la carga útil es cifrada y autenticada.

El esquema del datagrama sería el siguiente:

El modo transporte asegura la comunicación extremo a extremo pero los extremos deben saber de la existencia del protocolo IPsec para poder entenderse.

Modo Túnel

En el modo túnel, el paquete IP entero (cabecera + datos) es cifrado y autenticado. Este paquete será encapsulado en un nuevo paquete IP, por tanto, la dirección IP cambiará por la del último paquete IP. Por tanto, al paquete original se le añade una cabecera AH o ESP y a continuación se le añade la cabecera IP que servirá para encaminar el paquete a través de la red.

El modo túnel normalmente es usado para comunicar redes con redes, pero también se puede usar (y de hecho se usa), para comunicar ordenadores con redes y ordenadores con ordenadores. Este modo de funcionamiento facilita que los nodos puedan ocultar su identidad de otros nodos que se estén comunicando. La tunelización es modo de funcionamiento que usábamos en el Manual de OpenVPN para conectarnos.

En el siguiente volumen veremos los métodos de autenticación de IPsec.