IPsec. Volumen VII : Establecimiento de la conexión IPsec

Escrito por Sergio De Luz
Redes
0

Hoy vamos a hablar del establecimiento de la conexión IPsec.

La Negociación de un túnel IPsec se realiza mediante el protocolo IKE que nos proporcionará una conexión cifrada y autenticada entre los dos extremos de la comunicación.

En el procedimiento de conexión se acordarán las claves y la seguridad utilizada para establecer la conexión IPsec.

El procedimiento de conexión se realiza en dos partes bien diferenciadas.

A continuación explicamos estas dos partes.

Parte 1 : Proporcionar autenticación y seguridad a la conexión.

Para asegurar la conexión, se utilizará un algoritmo de cifrado simétrico y una firma HMAC. Las claves se intercambian mediante un algoritmo de intercambio de claves, como Diffie-Hellman que ya usamos en el manual de OpenVPN. Tienes más información sobre Diffie-Hellman AQUÍ.

Este método no garantiza que los participantes son quienes dicen ser, por tanto utilizaremos una clave compartida o unos certificados digitales.

La parte 1 de la comunicación termina cuando se han acordado los parámetros de seguridad y se ha asegurado el canal de comunicación.

Parte 2 : Proporcionar confidencialidad de los datos.

El canal seguro IKE que hemos establecido, es empleado para negociar parámetros de seguridad específicos de IPsec (cabecera AH o ESP, algoritmos de autenticación etc).

Estos parámetros específicos pueden incluir nuevas claves Diffie-Hellman para proporcionar mayor seguridad siempre y cuando tengamos configurado el PFS (Confidencialidad Directa Perfecta).

De esta forma, establecemos la conexión IPsec con todos los datos cifrados.

Con este artículo terminamos nuestra exposición de IPsec, tenéis mucha más información ampliada por la red, pero creemos que primero debemos empezar por algo sencillo y fácil de aprender.

Esperamos que os haya gustado y a partir de HOY empezamos con nuestro siguiente proyecto, los volúmenes será un poco de teoría pero juntaremos en una página el manual de instalación y configuración por lo que aunque no publiquemos muy a menudo, estaremos trabajando en ello.


Noticias relacionadas