IPsec. Volumen VI : Diferentes formas de Autenticación en IPsec

Escrito por Sergio De Luz
Redes
0

Hoy vamos a hablar de las distintas formas de autenticación en IPsec.

Hay cuatro métodos de autenticación en IPsec: clave compartida, firmas digitales RSA, certificados digitales X.509 y autenticación mediante un grupo de usuarios XAuth.

Dependiendo del escenario donde deseamos implementar IPsec, se utilizará un método de autenticación u otro, cada uno de estos métodos poseen unas ventajas y unos inconvenientes que serán citados.

A continuación, os explicamos en detalle estos cuatro métodos.

Clave compartida

La clave compartida es una clave formada por una cadena de caracteres (la de toda la vida) que sólo conocerán los dos extremos de la comunicación para establecer la conexión IPsec.

Mediante el empleo de algoritmos de autenticación (HASH), se comprobarán que las claves son correctas sin necesidad de que dichas claves se revelen.

Para que este método sea seguro, debe hacer una clave por cada pareja de participantes en la comunicación. Este tipo de autenticación es inviable para muchos participantes ya que habrá un número muy grande de claves.

Aunque se empleen hashes para el intercambio de claves en la conexión, antes de esta conexión, las claves deben estar en ambos extremos de la comunicación, por este motivo, no podemos saber a ciencia cierta si esa clave no ha sido capturada cuando se envió. Sólo podremos asegurar que está a salvo si la entregamos en mano.

Esta técnica es útil para redes pequeñas, pero para redes medianas y grandes en totalmente inviable.

Firmas Digitales RSA

IPsec trabaja con el protocolo IKE para la gestión de las claves y la seguridad de forma automática.

IPsec utiliza las firmas digitales RSA para el intercambio seguro de claves mediante la pareja de claves públicas y privadas. Tenéis más información sobre RSA en Algoritmos de cifrado Asimétrico.

Estas claves tienen el mismo problema que la clave compartida, de alguna manera tenemos que enviar las claves hacia “el otro lado” pero sí podemos modificar las claves de forma segura mediante el protocolo IKE.

Por tanto, para asegurar la red, es conveniente cambiar estas claves con cierta frecuencia.

Estas firmas RSA proporcionan a la red autenticación y confidencialidad tal y como habéis visto en los Algoritmos de Cifrado Asimétrico. Este método de seguridad es como el que vimos en OpenVPN.

Certificados X.509

IPsec también puede trabajar con certificados digitales, estos certificados contiene la clave pública del propietario y su identificación. Algo parecido ya vimos en el manual de OpenVPN, donde teníamos que crear la CA (Autoridad de Certificación). El propietario posee también una pareja de claves públicas y privada para operar con ellas a la hora de la validación.

La utilización de estos certificados hace aparecer en escena el protocolo PKI para autenticar a los nodos implicados en la comunicación IPsec.

La utilización de esta PKI ayuda a la tarea de crear nuevos certificados y dar de baja otros.

La validez del certificado digital es otorgada por la PKI, esta PKI integra la CA que contiene la clave pública y la identidad del propietario. Los extremos implicados en la conexión IPsec reconocerán la CA como válida ya que poseen una copia de dicha CA.

La validación de los certificados se realiza mediante la lista de revocación de certificados (CRL) que está almacenada en la PKI. Todos los participantes tendrán una copia de esta CRL que se actualiza de forma constante.

El protocolo SCEP, es un estándar para solicitar y obtener certificados digitales de forma automática. Fue desarrollado por Cisco y Verisign.

Autenticación mediante grupo de usuarios XAuth

Este método añade un usuario y una contraseña a los certificados digitales vistos anteriormente (X.509), de tal forma que aparte de validar el certificado, también validará el usuario y contraseña.

Para validar estos usuarios y contraseñas, podremos hacer uso de un servidor Radius.

En el próximo y último volumen veremos como se realiza el establecimiento de la conexión con IPsec.


Noticias relacionadas