Datos de IPsec (seguridad de protocolo de Internet)

IPsec es en realidad una familia de protocolos, tiene varios sub-protocolos que pueden usarse o no, y la seguridad general depende de cada uno de estos y de cómo están configurados:

• IKE para la negociación de protocolos y la gestión de claves
• AH para autenticación, integridad y creo que algunos protocolos de protección
• ESP para cifrado y algo más.

Ventajas:

• Transparente para las aplicaciones y los usuarios (en la mayoría de los escenarios). Para enfatizar, esto no es un punto trivial: muchas veces he tenido que recomendar a los clientes que cifren el canal, por ejemplo. con SSL (sin embargo, no tienen acceso al código fuente, o SSL no es compatible con el proveedor, etc.) e IPsec es básicamente un cifrado de acceso directo (en lo que respecta a la aplicación) y está totalmente fuera de la vista de la aplicación.
• Muy seguro, si se implementa correctamente
• Menos propensos a errores del usuario (como SSL)
• Más eficiente que SSL, si de todos modos está cifrando la mayor parte del tráfico

Desventajas:

• Puede ser complejo de implementar, dependiendo de su red y sus requisitos
• No se puede usar a través de Internet o con clientes desconocidos (está bien, no es estrictamente exacto, pero sigue siendo válido para la mayoría de los propósitos y propósitos).
• Puede proporcionar una falsa sensación de seguridad a los administradores de red, si se implementa incorrectamente (por ejemplo, sin ESP, pero tengo IPsec, ¿verdad?).
• Mucho menos eficiente que, por ejemplo. SSL, si no necesita cifrar todo el tráfico (pero IPsec lo hará de todos modos).

IPsec proporciona dos modos:

• Encabezado de autenticación : cada paquete tiene un Código de autenticación de mensaje adjunto que garantiza su integridad; esto también incluye cierta protección contra ataques de repetición (cuando el atacante envía copias de un paquete intercambiado previamente).

• Encapsulated Security Payload : cada paquete está cifrado (y también tiene un MAC); el cifrado cubre no solo los datos del paquete, sino también la mayor parte del encabezado; Se agrega un nuevo encabezado. Esto se puede usar para enviar el paquete a un host de descifrado que luego lo enrutará a su destino final (el atacante no puede saber dónde está destinado el paquete).

La criptografía es sólida, ya que pasó por el mismo ciclo de reparación-ataque doloroso que otros protocolos como SSL o SSH.

La principal diferencia con SSL es que IPsec se ejecuta a nivel de máquina: protege los datos de una máquina a otra, mientras que SSL se encuentra entre aplicaciones (por ejemplo, un navegador web y un servidor web). En la mayoría de los contextos (pero no en todos), esto no representa una diferencia relevante, pero aún así es bueno recordarlo.

La mayor diferencia práctica es que la PC de Average Joe es un motor con SSL totalmente configurado, pero es probable que cualquier intento de IPsec falle, ya que requeriría que Joe tocara un poco su configuración (la mayoría de los sistemas operativos implementan IPsec , incluido Windows desde Windows 2000, pero la implementación no es un problema, la configuración es).

IPsec es un componente obligatorio de IPv6 , por lo que IPsec se generalizará al menos cuando IPv6 sea prevalente, un evento que se suponía que iba a tener lugar en 2007 ...

IPsec fue diseñado para mejorar la seguridad, pero nuevamente, este protocolo tampoco está tan cerca de la solución ideal. Una de las ventajas que viene a la mente es la seguridad, que es obvia. Dependiendo de la situación, puede tener las siguientes desventajas:

• el cifrado / descifrado utilizará algunos recursos de la CPU;
• puede ser complicado administrar la política de tráfico para redes complejas;
• la seguridad prometida es cuestionable si IPsec se utiliza en el modo de transporte;

No funciona ni se adapta a las necesidades de las redes basadas en la nube y, por lo tanto, es irrelevante (o pronto lo será)