¿Qué es el protocolo IPsec? Cómo funcionan las VPN IPsec

¿Qué es IPsec?

IPsec significa seguridad del protocolo de internet (internet protocol security). Este término se refiere a un conjunto de reglas de comunicación que se usan para establecer conexiones seguras a través de una red. Los protocolos IPsec conectan dispositivos y cifran la información para proteger los datos mientras viajan entre ellos.

El conjunto de protocolos IPsec puede ser usado tanto por personas individuales como por organizaciones más grandes, e incluso puede actuar como protocolo principal para diferentes tipos de VPN. Pero, ¿cómo funciona IPsec en la práctica?

¿Cómo funciona IPsec?

IPsec involucra cinco pasos principales.

1. Reconocimiento del host: el sistema anfitrión reconoce que un paquete de datos debe ser protegido y enviarse usando protocolos IPsec. En este punto, el paquete se cifra y autentica, quedando listo para transferirse.

2. Negociación: los dos sistemas que se comunicarán a través de IPsec acuerdan qué protocolos se usarán y se autentican mutuamente. En este punto se establece una conexión segura entre ellos en la que se negocian los algoritmos y las reglas que estarán vigentes. Estas negociaciones pueden tener dos formas, principal y agresiva.

• Modo principal: el sistema que inicia el proceso sugiere algoritmos de cifrado y autenticación, y las negociaciones continúan hasta que ambos sistemas llegan a un acuerdo sobre los protocolos aceptados.
• Modo agresivo: el sistema que inicia el proceso propone sus métodos preferidos de cifrado y autenticación, pero no negocia ni cambia sus preferencias. Si el otro sistema está de acuerdo, el proceso avanza al siguiente paso. Si no, el proceso se detiene.

3. Circuito: usando la conexión segura, se establece un circuito IPsec. Los sistemas acuerdan e intercambian las claves de cifrado y descifrado que se usarán, junto con nonces criptográficos (números aleatorios utilizados para autenticación).

4. Transmisión: los paquetes cifrados son transferidos entre los sistemas. Al llegar, un paquete de datos se descifra usando las claves de cifrado intercambiadas previamente.

5. Terminación: una vez que los datos se han transferido o la sesión expira, la conexión IPsec se cierra. Las claves privadas usadas para la transferencia se eliminan y el proceso termina.

Como puedes ver, IPsec es una colección de distintas funciones y pasos diferentes, similar al modelo OSI y otros marcos de trabajo de redes. En el núceo de este proceso están los protocolos y algoritmos de cifrado.

Protocolos y algoritmos de cifrado IPsec

IPsec usa dos protocolos principales para proporcionar sus servicios de seguridad, el protocolo de encabezado de autenticación (AH) y el protocolo de carga útil de seguridad encapsulada (ESP), además de otros secundarios. No todos estos deben usarse, pero la selección específica se determina durante la etapa de negociación.

• Encabezado de autenticación (AH): el protocolo Authentication Header autentica el origen e integridad de los datos y proporciona protección contra repeticiones.
• Carga útil de seguridad encapsulada (ESP): el cifrado es añadido por el protocolo Encapsulating Security Payload.
• Intercambio de claves de internet (IKE): el protocolo Internet Key Exchange garantiza que ambos sistemas tengan las claves necesarias para cifrar y descifrar los paquetes de datos.
• Estándar triple de cifrado de datos (3DES): Triple Data Encryption Standard es un algoritmo de cifrado que aplica un código cifrado tres veces a los datos para mayor seguridad.
• Estándar avanzado de cifrado (AES): Advanced Encryption Standard cifra datos en bloques de 128 bits.

Políticas de seguridad y autenticación IPsec

IPsec proporciona varios métodos de autenticación, que incluyen:

• Autenticación de clave precompartida (PSK): una clave secreta compartida es conocida tanto por el sistema emisor como por el receptor, y se usa para autenticar los datos transferidos.
• Certificados digitales: una autoridad de certificación (CA) confiable proporciona certificados digitales para autenticar la comunicación. Esto permite que el sistema que recibe los datos verifique que el emisor es quien dice ser.
• Autenticación Kerberos: el protocolo Kerberos proporciona un servicio de autenticación centralizado, permitiendo que los dispositivos que lo usan se autentiquen entre sí.

Distintas implementaciones de IPsec pueden usar diferentes métodos de autenticación, pero el resultado es el mismo: la transferencia segura de datos. El conjunto de protocolos también puede implementarse en dos modos, el modo transporte y el modo túnel.

Diferencias entre los modos de transporte y túnel de IPsec

Los modos de transporte y túnel de IPsec tienen varias diferencias clave.

Modo transporte

• El cifrado solo se aplica a la carga útil del paquete IP, dejando el encabezado IP original en texto.
• El modo transporte se usa principalmente para proporcionar comunicación punto a punto entre dos dispositivos.
• Se utiliza principalmente en situaciones donde los dos sistemas que se comunican son confiables y tienen sus propios procedimientos de seguridad.
• El modo transporte ofrece menos seguridad que el modo túnel, un punto crucial.

Modo túnel

• El cifrado se aplica tanto a la carga útil como al encabezado IP, y se añade un nuevo encabezado IP al paquete cifrado.
• El modo túnel proporciona una conexión segura entre puntos, con el paquete IP original envuelto dentro de un nuevo paquete IP para protección adicional.
• Puede usarse en casos donde los puntos finales no son confiables o carecen de mecanismos de seguridad.
• El modo túnel proporciona más seguridad.

En resumen, ambos modos tienen sus usos, pero el modo túnel es más seguro. La seguridad es un beneficio clave para IPsec, por eso este conjunto de protocolos se usa con frecuencia para crear VPN.

¿Qué son las VPN IPsec?

Una VPN IPsec es una red virtual privada que usa el protocolo IPsec para crear un túnel cifrado en internet.

Una VPN dirige el tráfico a través de un túnel cifrado, protegiendo los datos de terceros. Una VPN IPsec usa el protocolo IPsec para establecer una conexión y encriptar los paquetes de datos. Es particularmente útil para empresas y grandes organizaciones con trabajadores remotos que necesitan acceso a recursos internos.

Una compañía podría configurar una VPN IPsec entre el dispositivo de un trabajador remoto y un servidor interno, dándole al empleado acceso seguro a los mismos sistemas y datos que tendría alguien trabajando desde la oficina.

Una VPN IPsec puede configurarse de varias maneras:

• Sitio a sitio: una VPN de sitio a sitio conecta dos o más redes con un túnel cifrado. Esto significa que los usuarios de ambas redes pueden interactuar como si estuvieran en el mismo espacio.
• Cliente a sitio: las VPN de cliente a sitio permiten que dispositivos individuales se conecten a una red de forma remota. Con esta opción, un trabajador en casa puede operar en la misma red que el resto de su equipo, incluso si no están en la misma ubicación.
• Cliente a cliente: permite que varios dispositivos se conecten con túneles cifrados, esto ayuda a compartir archivos y comunicaciones de forma segura. Cabe señalar que este método rara vez se aplica, ya que es difícil de administrar y escalar.

Más allá de usar VPN de sitio a sitio o una VPN de acceso remoto (cliente a sitio o cliente a cliente, por ejemplo), la mayoría de los tipos de IPsec VPN vienen con ventajas y desventajas.

Ventajas y desventajas de las VPN IPsec

Entremos en detalle para analizar las ventajas y desventajas de una VPN IPsec.

Ventajas de una VPN IPsec

Una VPN IPsec cuenta con varias ventajas importantes, especialmente para grandes organizaciones y empresas.

• Seguridad: proporciona seguridad de red robusta al cifrar y autenticar datos mientras viajan entre puntos de la red.
• Flexibilidad: es versátil y puede configurarse para diferentes casos de uso, como sitio a sitio, cliente a sitio y cliente a cliente. Esto la convierte en una buena opción para organizaciones de todos los tamaños y formas.
• Equipos remotos: si una organización tiene un equipo distribuido en múltiples ubicaciones, con trabajadores en casa o en varias oficinas, una VPN IPsec puede conectarlos a todos sin problemas.

Desventajas de una VPN IPsec

Por supuesto, la VPN IPsec no está exenta de desventajas.

• Reducción menor de velocidad: una VPN IPsec añade procesos adicionales de cifrado y autenticación a una red, haciendo que el rendimiento de datos sea un poco más lento, pero la mayoría de usuarios ni se dan cuenta de esto.
• Complejidad: puede ser complicada de configurar y solucionar problemas, requiriendo personal de TI con conocimientos especializados o soporte externo.
• Sobrecarga de CPU: IPsec usa una gran cantidad de poder de procesamiento para cifrar y descifrar datos que se mueven a través de la red. Esto puede afectar el rendimiento de la red.

Cómo configurar el protocolo VPN IPsec

Sigue estos pasos para configurar una VPN IPsec.

1. 1.Decide la topología de VPN: determinar el tipo de VPN IPsec (sitio a sitio, cliente a sitio o cliente a cliente) y establecer las direcciones IP y máscaras de subred para cada punto final.
2. 2.Elige una implementación de IPsec: es el paquete de software específico que ejecutarás en los sistemas operativos. Ejemplos de implementaciones de IPsec incluyen StrongSwan, Openswan y LibreSwan.
3. 3.Configura los ajustes de IPsec: establece la configuración específica de tu implementación, incluyendo el método de autenticación, el algoritmo de cifrado y el protocolo de gestión de claves.
4. 4.Configura los ajustes de red: necesitarás configurar la red en su totalidad para que funcione con una VPN, estableciendo direcciones IP, máscaras de subred y reglas de enrutamiento.
5. 5.Configura los firewalls: asegúrate de que los firewalls en ambos extremos de la VPN estén configurados para permitir que el tráfico IPsec pase sus defensas.
6. 6.Prueba la conexión: asegúrate de que los datos viajen sin problemas a través de la VPN IPsec y soluciona cualquier problema de conexión.

¿Cuál es la diferencia entre una VPN IPsec y una VPN SSL?

Las VPN IPsec y SSL tienen una diferencia principal y es el punto final de cada protocolo. En la mayoría de casos, una VPN IPsec permite que un usuario se conecte de forma remota a una red y todas sus aplicaciones.

Por otro lado, una VPN SSL crea túneles hacia aplicaciones y sistemas específicos de una red. Esto limita las formas en que la VPN SSL puede usarse, pero reduce la probabilidad de que un punto final comprometido conduzca a una brecha de seguridad de red más amplia. Por supuesto, tanto una VPN IPsec como una SSL pueden ser útiles, pero la que elijas depende de las necesidades y estructura de tu organización.

¿NordVPN usa IPsec?

NordVPN admite el protocolo IKEv2/IPsec para configuraciones manuales. IKEv2/IPsec es una combinación de los protocolos IPsec e Internet Key Exchange versión 2 (IKEv2). IKEv2/IPsec permite una conexión VPN segura, sin comprometer las velocidades de internet.

En sus apps, NordVPN ofrece el protocolo OpenVPN y NordLynx, un protocolo basado en WireGuard. NordLynx proporciona velocidades incomparables, haciendo de NordVPN la VPN más rápida del mundo.

¿Puedo conectarme manualmente al protocolo IPsec de NordVPN?

Sí, puedes conectarte manualmente a NordVPN en los principales sistemas operativos. Para guías específicas según el sistema operativo, consulta la siguiente lista.

• Conectarse manualmente en Windows
• Conectarse manualmente en Linux
• Conectarse manualmente en macOS
• Conectarse manualmente en Android
• Conectarse manualmente en iOS

Por supuesto, puedes usar NordVPN sin conectarte manualmente a un protocolo. Solo descarga la app VPN, configura tu cuenta y empieza a navegar con mayor seguridad y privacidad.