10. IPsec (Internet Protocol Security)

IPsec es un conjunto de estándares de la IETF que protege el tráfico IP mediante cifrado, autenticación e integridad extremo a extremo. Opera directamente en la capa de red, por lo que puede asegurar cualquier protocolo superior sin necesidad de modificar las aplicaciones.

En este tema se abordan los componentes principales (AH y ESP), los modos de operación transporte y túnel, el rol de IKE en la negociación de parámetros y un ejemplo práctico de conexión entre sucursales que ilustra su uso cotidiano.

10.1 Arquitectura general

IPsec fue definido inicialmente en las RFC 2401 y actualizado por la RFC 4301. Su arquitectura está compuesta por:

  • Security Policy Database (SPD): define qué tráfico debe protegerse y con qué acciones (permitir en claro, bloquear o aplicar IPsec).
  • Security Association Database (SAD): almacena los parámetros negociados (cifrado, autenticación, claves) para cada túnel o flujo.
  • Protocolos AH y ESP: brindan integridad/autenticación y confidencialidad, respectivamente.
  • Internet Key Exchange (IKE): negocia las claves y crea las SA de manera automática.

Estas piezas trabajan juntas de forma transparente para el usuario final, pero requieren una planificación cuidadosa en la fase de diseño.

10.2 Modos de operación: transporte y túnel

IPsec puede encapsular los paquetes de dos formas:

Modo Descripción Uso típico Ventajas Consideraciones
Transporte Protege únicamente la carga útil (payload) del paquete IP, conservando el encabezado original. Comunicación host a host, servidores que requieren cifrado punto a punto. Menor overhead; ideal cuando los equipos finales soportan IPsec. No oculta direcciones IP originales.
Túnel Encapsula todo el paquete IP dentro de uno nuevo, incluyendo un nuevo encabezado. Conexiones site-to-site mediante gateways o firewalls. Permite conectar redes completas y ocultar la topología interna. Mayor consumo de ancho de banda por el encapsulado adicional.

La mayoría de las VPN corporativas utilizan modo túnel para transportar subredes enteras, mientras que el modo transporte aparece en soluciones como IPsec sobre GRE o en sistemas operativos que cifran tráfico entre servidores.

10.3 Componentes: AH y ESP

IPsec ofrece dos protocolos complementarios:

  • Authentication Header (AH): proporciona autenticación e integridad del paquete completo, incluyendo el encabezado IP. Utiliza algoritmos como HMAC-SHA-256. No brinda confidencialidad, por lo que se usa en escenarios donde verificar el origen es suficiente.
  • Encapsulating Security Payload (ESP): cifra la carga útil y opcionalmente autentica el encabezado. Soporta algoritmos simétricos (AES, ChaCha20) y modos como GCM que combinan cifrado y autenticación.

En la práctica, ESP es el más utilizado porque provee confidencialidad. AH se reserva para casos puntuales donde se requiere proteger el encabezado IP sin cifrar la carga.

10.4 Negociación con IKE

Internet Key Exchange automatiza la creación de SAs. IKEv2 (RFC 7296) es la versión recomendada por su eficiencia y soporte de reautenticación. El proceso se divide en dos fases:

  1. Fase 1 (IKE_SA): establece un canal seguro autenticando a los participantes (certificados, PSK) y negociando algoritmos.
  2. Fase 2 (CHILD_SA): define los parámetros concretos para ESP/AH (cifrado, integridad, lifetimes) y puede renovarse sin rehacer la fase 1.

IKE soporta extensiones como EAP para integrar autenticación con directorios corporativos y MOBIKE para mover túneles entre interfaces sin interrumpir la sesión.

10.5 Ejemplo de conexión segura entre sucursales

Supongamos dos sitios: Sede A (192.168.10.0/24) y Sede B (192.168.20.0/24). Cada una dispone de un firewall IPsec. La configuración típica incluye:

  • Definir la política en la SPD: todo tráfico entre las subredes debe usar IPsec.
  • Configurar IKEv2 con cifrado AES-256, autenticación SHA-256 y claves Diffie-Hellman grupo 14.
  • Establecer dos túneles (principal y backup) para redundancia.

En entornos Windows Server se puede automatizar la asociación mediante PowerShell: 

New-NetIPsecQuickModeSA -RemoteAddress 203.0.113.2 `
  -LocalAddress 198.51.100.2 `
  -Protocol ESP -Encryption AES256 -Integrity SHA256

Este comando crea una SA de modo rápido utilizando ESP con los algoritmos especificados. En implementaciones reales se combina con políticas y filtros persistentes.

10.6 Caso práctico: sucursales de una empresa

Una compañía con oficinas en Buenos Aires y Córdoba desea compartir aplicaciones internas sin exponerlas a Internet. Se decide implementar IPsec modo túnel sobre enlaces de Internet para reducir costos frente a un MPLS dedicado.

El proyecto se planifica así:

Etapa Detalle Resultado esperado
Diseño Selección de cifrados (AES-GCM), autenticación por certificados emitidos por la CA interna. Política uniforme para todas las sedes.
Implementación Configuración de firewalls, pruebas de conectividad y mediciones de latencia. Túnel operativo con caída automática al enlace secundario.
Monitoreo Alertas por SNMP y registro de renegociaciones IKE. Visibilidad ante intentos de ataque o fallas de hardware.

La empresa obtiene confidencialidad, autenticación mutua y control del ancho de banda sin depender de servicios de terceros.

10.7 Buenas prácticas

  • Utilizar IKEv2 con algoritmos modernos (AES-GCM, SHA-2) y grupos DH de al menos 2048 bits.
  • Implementar PFS (Perfect Forward Secrecy) para que la compromisión de una clave no afecte sesiones antiguas.
  • Registrar y auditar las renegociaciones, detectando patrones de ataques DoS.
  • Automatizar la distribución de certificados y la rotación de claves mediante PKI.
  • Integrar IPsec con QoS para garantizar prioridad al tráfico cifrado crítico.

IPsec continúa siendo el estándar para conectar sucursales y proteger datos a nivel de red. En los próximos temas profundizaremos en protocolos complementarios como L2TP, PPTP y WireGuard para comparar sus distintos enfoques.

Retornar