¿Qué es IPsec? | Cómo funcionan las VPN IPsec

IPsec es un grupo de protocolos de red que se utiliza para establecer conexiones encriptadas seguras, como las VPN, a través de redes públicas compartidas.

Metas de aprendizaje

Después de leer este artículo podrás:

  • Más información sobre el conjunto de protocolos IPsec
  • Entender cómo funcionan las VPN IPsec
  • Comparar el modo de túnel IPsec y el modo de transporte IPsec

Contenido relacionado


¿Quieres saber más?

Suscríbete a theNET, el resumen mensual de Cloudflare sobre las ideas más populares de Internet.

Revisa la política de privacidad de Cloudflare para saber más sobre cómo Cloudflare gestiona tus datos personales.

Copiar el enlace del artículo

¿Qué es IPsec?

IPsec es un conjunto de protocolos para proteger las conexiones entre dispositivos. IPsec ayuda a mantener seguros los datos enviados a través de las redes públicas. Se utiliza a menudo para configurar VPNs y funciona al encriptar los paquetes IP, además de autenticar la fuente de donde proceden los paquetes.

Dentro del término "IPsec," "IP" significa "Protocolo de Internet" y "sec" "seguro." El Protocolo de Internet es el principal protocolo de enrutamiento utilizado en Internet; designa a dónde irán los datos mediante el uso de direcciones IP. IPsec es seguro porque añade encriptación* y autenticación a este proceso.

*La encriptación es el proceso de ocultar información al alterar matemáticamente los datos para que parezcan aleatorios. Si lo decimos de forma más sencilla, la encriptación es el uso de un "código secreto" que solo pueden interpretar las partes autorizadas.

Documento técnico
Cómo liberarse del hardware de red
Guía
La guía Zero Trust para proteger el acceso a las aplicaciones

¿Por qué es importante IPsec?

Los protocolos de seguridad, como IPsec, son necesarios porque los métodos de redes no están encriptados por defecto.

Al enviar correo a través de un servicio postal, es normal que una persona no escriba su mensaje en el exterior del sobre. En cambio, su mensaje está encerrado dentro del sobre para que nadie que manipule el correo entre el remitente y el destinatario pueda leer su mensaje. Sin embargo, los conjuntos de protocolos de red como TCP/IP solo se ocupan de la conexión y la entrega, y los mensajes enviados no se ocultan. Cualquier persona en el centro puede leerlos. IPsec y otros protocolos que encriptan datos, básicamente ponen una envoltura alrededor de los datos mientras atraviesan las redes y los mantienen seguros.

¿Qué es una VPN? ¿Qué es una VPN IPsec?

Una red privada virtual (VPN) es una conexión encriptada entre dos o más ordenadores. Las conexiones VPN se efectúan en redes públicas, pero los datos que se intercambian a través de la VPN siguen siendo privados porque están encriptados.

Las VPN permiten acceder e intercambiar datos confidenciales de forma segura en una infraestructura de red compartida, como la Internet pública. Por ejemplo, cuando los empleados están trabajando en remoto en lugar de en la oficina, suelen utilizar las VPN para acceder a los archivos y aplicaciones corporativas.

Muchas VPN utilizan el conjunto de protocolos IPsec para establecer y ejecutar estas conexiones encriptadas. Sin embargo, no todas las VPN utilizan IPsec. Otro protocolo para las VPN es SSL/TLS, que funciona en una capa diferente del modelo OSI que IPsec. (El modelo OSI es una representación abstracta de los procesos que hacen que funcione Internet).

¿Cómo se conectan los usuarios a una VPN IPsec?

Los usuarios pueden acceder a una VPN IPsec iniciando sesión en una aplicación VPN, o "cliente". Esto suele requerir que el usuario haya instalado la aplicación en su dispositivo.

Los inicios de sesión en las VPN suelen estar basados en contraseñas. Aunque los datos enviados a través de una VPN están encriptados, si se ponen en riesgo las contraseñas de los usuarios, los atacantes pueden entrar en la VPN y robar estos datos encriptados. El uso de la autenticación de dos factores (2FA) puede reforzar la seguridad de la VPN IPsec, ya que el robo de una contraseña por sí sola ya no dará acceso a un atacante.

Me interesa
Seguridad y velocidad con cualquier plan de Cloudflare

¿Cómo funciona IPsec?

Las conexiones IPsec incluyen los siguientes pasos:

Intercambio de claves: las claves son necesarias para la encriptación; una clave es una cadena de caracteres aleatorios que puede utilizarse para "bloquear" (encriptar) y "desbloquear" (desencriptar) los mensajes. IPsec establece claves con un intercambio de claves entre los dispositivos conectados, para que cada dispositivo pueda desencriptar los mensajes del otro.

Encabezados y tráileres de los paquetes: todos los datos que se envían por una red se dividen en trozos más pequeños llamados paquetes. Los paquetes contienen tanto una carga útil, o los datos reales que se envían, como encabezados, o información sobre esos datos para que los ordenadores que reciben los paquetes sepan qué hacer con ellos. IPsec añade varios encabezados a los paquetes de datos que contienen información de autenticación y encriptación. IPsec también añade tráilers, que van después de la carga útil de cada paquete y no antes.

Autenticación: IPsec proporciona autenticación para cada paquete, como un sello de autenticidad en un artículo coleccionable. Esto garantiza que los paquetes provienen de una fuente de confianza y no de un atacante.

Encriptación: IPsec encripta las cargas útiles dentro de cada paquete y el encabezado IP de cada paquete (a menos que se utilice el modo de transporte en lugar del modo túnel, ver más abajo). Esto hace que los datos enviados a través de IPsec se mantengan seguros y privados.

Transmisión: los paquetes IPsec encriptados recorren una o más redes hasta su destino mediante el uso de un protocolo de transporte. En esta etapa, el tráfico IPsec se diferencia del tráfico IP normal en que suele utilizar UDP como protocolo de transporte, en lugar de TCP. TCP, el Protocolo de control de transmisión, establece conexiones específicas entre dispositivos y garantiza la llegada de todos los paquetes. UDP, el Protocolo de datagrama de usuarios, no establece estas conexiones específicas. IPsec utiliza UDP porque permite que los paquetes IPsec atraviesen los firewalls.

Desencriptación: en el otro extremo de la comunicación, los paquetes se desencriptan, y las aplicaciones (por ejemplo, un navegador) pueden utilizar ahora los datos entregados.

¿Qué protocolos se utilizan en IPsec?

En redes, un protocolo es una forma específica de formatear los datos para que cualquier ordenador en red pueda interpretarlos. IPsec no es un protocolo, sino un conjunto de protocolos. Los siguientes protocolos componen el conjunto IPsec:

Encabezado de autenticación (AH): el protocolo AH garantiza que los paquetes de datos provienen de una fuente de confianza y que estos no han sido manipulados, como un precinto inviolable en un producto de consumo. Estos encabezados no proporcionan ningún tipo de encriptación; no ayudan a ocultar los datos a los atacantes.

Protocolo de seguridad de encapsulación (ESP): el ESP encripta el encabezado IP y la carga útil de cada paquete, a menos que se utilice el modo de transporte, en cuyo caso solo encripta la carga útil. El ESP añade su propio encabezado y un tráiler a cada paquete de datos.

Asociación de seguridad (SA): SA hace referencia a una serie de protocolos utilizados para negociar claves y algoritmos de encriptación. Uno de los protocolos SA más comunes es Internet Key Exchange (IKE).

Por último, aunque el Protocolo de Internet (IP) no forma parte del conjunto IPsec, este se ejecuta directamente sobre IP.

¿Cuál es la diferencia entre el modo túnel IPsec y el modo transporte IPsec?

El modo túnel IPsec se utiliza entre dos enrutadores específicos, actuando cada enrutador como un extremo de un "túnel" virtual a través de una red pública. En el modo túnel IPsec, el encabezado IP original que contiene el destino final del paquete está encriptado, además de la carga útil del paquete. Para indicar a los enrutadores intermedios a dónde deben reenviar los paquetes, IPsec añade un nuevo encabezado IP. En cada extremo del túnel, los enrutadores desencriptan los encabezados IP para entregar los paquetes a sus destinos.

En el modo de transporte, la carga útil de cada paquete está encriptada, pero el encabezado IP original no lo está. Por tanto, los enrutadores intermedios pueden ver el destino final de cada paquete, a menos que se utilice un protocolo de túnel independiente (como GRE).

¿Qué puerto utiliza IPsec?

Un puerto de red es la ubicación virtual a la que van los datos en un ordenador. Los puertos son la forma en que los ordenadores realizan un seguimiento de los diferentes procesos y conexiones; si los datos van a un determinado puerto, el sistema operativo del ordenador sabe a qué proceso pertenece. IPsec suele utilizar el puerto 500.

¿Cómo afecta IPsec al MSS y a la MTU?

MSS y MTU son dos medidas del tamaño de los paquetes. Los paquetes solo pueden alcanzar un determinado tamaño (medido en bytes) antes de que los ordenadores, enrutadores y conmutadores no puedan manejarlos. El MSS mide el tamaño de la carga útil de cada paquete, mientras que la MTU mide el paquete completo, incluyendo los encabezados. Los paquetes que superan la MTU de una red pueden ser fragmentados, es decir, divididos en paquetes más pequeños y luego reensamblados. Los paquetes que superan el MSS simplemente se descartan.

Los protocolos IPsec añaden varios encabezados y tráilers a los paquetes, que ocupan varios bytes. En las redes que utilizan IPsec, hay que ajustar el MSS y la MTU como corresponde, o los paquetes se fragmentarán y se retrasarán ligeramente. Normalmente, la MTU de una red es de 1500 bytes. Un encabezado IP normal tiene 20 bytes, y un encabezado TCP también tiene 20 bytes, lo que significa que cada paquete puede contener 1460 bytes de carga útil. Sin embargo, IPsec añade un encabezado de autenticación, un encabezado ESP y los tráileres asociados. Estos añaden 50-60 bytes a un paquete, o más.

Más información sobre MTU y MSS en "¿Qué es MTU?"

¿Es Cloudflare compatible con IPsec?

Cloudflare admite IPsec como rampa de acceso a nuestra solución Secure Access Service Edge (SASE), Cloudflare One.

Para asegurar el tráfico, IPsec requiere que se establezca una SA entre dos puntos, creando un túnel por el que viaja el tráfico. Dependiendo del modelo de implementación, esto puede introducir algunos desafíos. Por ejemplo, en un modelo de malla, todos los nodos (o ubicaciones) están conectados entre sí por túneles dedicados. Sin embargo, esto requiere crear y gestionar varios túneles IPsec, lo que es difícil de escalar.

Sin embargo, Cloudflare utiliza el modelo IPsec Anycast. (Una red Anycast es aquella que enruta las solicitudes entrantes a una variedad de nodos). Con Anycast IPsec, los usuarios solo tienen que configurar un túnel IPsec hacia Cloudflare para obtener conectividad con las más de 250 ubicaciones de nuestra red global.

Para hacer posible el IPsec Anycast, Cloudflare duplica y distribuye las SA en los servidores de la red de borde de Cloudflare. Esto significa que toda la red de Cloudflare funciona como un único túnel IPsec hacia tu red.

Más información sobre Anycast IPsec y Cloudflare One.