EN ESTA PÁGINA
Descripción general de las asociaciones de seguridad IPsec
Asociaciones de seguridad IPsec
Otra consideración de IPSec es el tipo de asociación de seguridad (SA) que desea implementar. Una SA es un conjunto de especificaciones IPSec que se negocian entre dispositivos que establecen una relación IPSec. Estas especificaciones incluyen preferencias para el tipo de autenticación, cifrado y protocolo IPSec que se debe utilizar al establecer la conexión IPSec. Una SA puede ser unidireccional o bidireccional, dependiendo de las elecciones realizadas por el administrador de red. Una SA se identifica de forma única mediante un índice de parámetros de seguridad (SPI), una dirección de destino IPv4 o IPv6 y un identificador de protocolo de seguridad (AH o ESP).
Puede configurar IPSec con una SA manual preestablecida y previamente compartida o utilizar IKE para establecer una SA dinámica. Las SA manuales requieren que especifique todos los requisitos de IPSec por adelantado. Por el contrario, las SA dinámicas de IKE suelen contener valores predeterminados de configuración para los niveles más altos de autenticación y cifrado.
Modos IPSec
Al configurar IPSec, la última consideración importante es el tipo de modo IPSec que desea implementar en su red. Junos OS admite los siguientes modos IPSec:
El modo de túnel es compatible con AH y ESP en Junos OS y es la opción habitual para un enrutador. En el modo de túnel, la SA y los protocolos asociados se aplican a los paquetes IPv4 o IPv6 tunelizados. Para una SA en modo de túnel, un encabezado IP externo especifica el destino de procesamiento IPSec y un encabezado IP interno especifica el destino final del paquete. El encabezado del protocolo de seguridad aparece después del encabezado IP externo y antes del encabezado IP interno. Además, existen ligeras diferencias para el modo túnel cuando se implementa con AH y ESP:
Para AH, partes del encabezado IP externo están protegidas, así como todo el paquete IP tunelizado.
Para ESP, solo está protegido el paquete tunelizado, no el encabezado externo.
Cuando un lado de una asociación de seguridad es una puerta de enlace de seguridad (como un enrutador), la SA debe utilizar el modo de túnel. Sin embargo, cuando el tráfico (por ejemplo, comandos SNMP o sesiones BGP) se destina a un enrutador, el sistema actúa como host. El modo de transporte está permitido en este caso porque el sistema no actúa como puerta de enlace de seguridad y no envía ni recibe tráfico de tránsito.
El modo de transporte proporciona una asociación de seguridad entre dos hosts. En el modo de transporte, los protocolos proporcionan protección principalmente para los protocolos de capa superior. Para los paquetes IPv4 e IPv6, aparece un encabezado de protocolo de seguridad en modo de transporte inmediatamente después del encabezado IP y de cualquier opción, y antes de cualquier protocolo de capa superior (por ejemplo, TCP o UDP). Existen ligeras diferencias para el modo de transporte cuando se implementa con AH y ESP:
Para AH, se protegen las partes seleccionadas del encabezado IP, así como las partes seleccionadas de los encabezados de extensión y las opciones seleccionadas dentro del encabezado IPv4.
Para ESP, solo están protegidos los protocolos de capa superior, no el encabezado IP ni los encabezados de extensión anteriores al encabezado ESP.
La compatibilidad con el modo de transporte IPSec se limita principalmente a la autenticación de enrutamiento y a ciertas configuraciones solo de aplicaciones cuando se usa código FIPs de Junos.