Protocolo IPsec (Internet Protocol Security)

1. Introducción

IMG_5023

IPsec es un conjunto de protocolos de seguridad diseñados para proteger el tráfico de datos IP en la capa 3 (Red) del modelo OSI. A diferencia de otros métodos de seguridad que operan en capas superiores (como TLS/SSL en la capa de transporte), IPsec asegura el paquete completo, lo que permite proteger cualquier aplicación sin necesidad de modificarla. Su objetivo es proporcionar confidencialidad, integridad, autenticación de origen y protección contra ataques de replicación (replay attacks).

2. Antecedentes

IPsec fue desarrollado por el IETF (Internet Engineering Task Force) originalmente como una extensión obligatoria para IPv6. Debido a la necesidad crítica de seguridad en las redes empresariales y de Internet, se retroadaptó exitosamente para funcionar sobre IPv4. Es el estándar fundamental para la creación de VPNs (Virtual Private Networks) de sitio a sitio y de acceso remoto, reemplazando protocolos obsoletos como PPTP.

3. Protocolos de Seguridad (Protección de datos)

AH (Authentication Header  RFC 4302): Proporciona integridad, autenticación y protección contra replicación. No proporciona cifrado, por lo que los datos viajan en texto plano.
ESP (Encapsulating Security Payload  RFC 4303): Proporciona cifrado (confidencialidad), integridad y autenticación. Es el más utilizado actualmente debido a que oculta el contenido del mensaje.

IMG_5024

4. Protocolos de Transmisión (Modos de operación)

Modo Transporte: Protege únicamente la carga útil (payload) del paquete IP original. La cabecera IP original se mantiene intacta. Es eficiente para comunicaciones de extremo a extremo entre dos hosts.
Modo Túnel: Encapsula el paquete IP completo (cabecera original + carga útil) dentro de un nuevo paquete IP con una cabecera nueva. Es el estándar para conexiones de pasarela a pasarela (VPN de sitio a sitio), ya que oculta la topología de red interna.

IMG_5025

5. Estructura de la Trama (Paquete)

Un paquete IPsec no tiene una estructura única, sino que depende del protocolo y modo elegido. En un escenario estándar con ESP en modo túnel, la estructura es la siguiente:

Campo Descripción
Cabecera IP Nueva Encabezado para el ruteo del túnel.
Cabecera ESP Identifica el índice de parámetros de seguridad (SPI) y número de secuencia.
Carga Útil (Encapsulada) El paquete IP original (Cabecera IP original + Datos).
ESP Trailer  Datos de relleno (padding) necesarios para el cifrado.
ESP Auth (ICV) Valor de verificación de integridad para validar el paquete.

  

  
  
  
 
  

IMG_5026

6. Ejemplo Práctico

Imagina una empresa con una sucursal en Guadalajara y una oficina matriz en CDMX:
a. Los routers en ambos puntos actúan como “gateways” IPsec.
b. Cuando una computadora de Guadalajara envía un archivo a la matriz, el router encapsula el paquete en un túnel ESP.
c. A través de internet, los routers intermedios solo ven la IP pública de los gateways, manteniendo la red interna cifrada y oculta.
d. Al llegar al destino, el router de la matriz desencapsula el paquete y lo entrega al host final.

IMG_5027

 

8. Conclusión

IPsec es la columna vertebral de la seguridad en redes modernas. Su capacidad para operar en la capa de red lo convierte en una solución transparente y robusta para garantizar la privacidad y seguridad de los datos corporativos frente a interceptaciones no autorizadas. Su versatilidad para escalar desde conexiones sencillas entre dispositivos hasta complejas redes globales lo mantiene como el protocolo estándar de la industria.