Página 1 de 10

IPSec

Esta sección trata:

• Información de seguridad para IPSec

• Definición de la seguridad del Protocolo Internet
• Introducción a IPSec
• Cuestiones de seguridad de IP
• Protección contra ataques
• Seguridad basada en directivas
• Implementación simplificada

1. Información de seguridad para IPSec

Antes de implementar IPSec en su organización, tenga en cuenta las siguientes consideraciones de

seguridad:
• 3DES y equipos en los que se ejecuta Microsoft® Windows® 2000
• Método de autenticación
• Filtrado de paquetes del servidor de seguridad
• Tráfico protegido (mediante AH o ESP)
• Tráfico no protegido (con la regla de respuesta predeterminada)
• Grupos Diffie-Hellman (que utilizan el grupo Diffie-Hellman 1, 2 ó 2048)

3DES y equipos en los que se ejecuta Windows 2000

Las directivas IPSec permiten elegir un algoritmo de cifrado seguro, 3DES, que ofrece un cifrado más
efectivo que DES para lograr mayor seguridad. Para ejecutar el algoritmo 3DES, los equipos que utilizan
Windows 2000 deben tener instalado High Encryption Pack o Service Pack 2 o posterior. Si un equipo
con Windows 2000 recibe una configuración de 3DES, pero no tiene instalado High Encryption Pack o
Service Pack 2 (o posterior), dicha configuración se establece en el DES más débil para proporcionar
cierto nivel de confidencialidad en la comunicación, en lugar de bloquear toda la comunicación. No
obstante, sólo debería utilizar DES como una opción de retroceso si no todos los equipos del entorno
admiten el uso de 3DES. Los equipos que ejecutan Windows XP y la familia de Windows Server 2003
admiten 3DES y no requieren la instalación de High Encryption Pack.

Método de autenticación

Si los equipos de su organización forman parte de un dominio de Active Directory®, se puede realizar la
autenticación IPSec de modo principal con el método de autenticación predeterminado (Kerberos V5). No
es necesario que implemente certificados de clave pública para la comunicación a través de la intranet.
Sin embargo, los equipos que ejecutan Windows XP Home Edition no admiten el método de
autenticación Kerberos V5. Asimismo, si hay equipos conectados a Internet, se recomienda no utilizar
Kerberos V5 como método de autenticación. Cuando se utiliza la autenticación Kerberos, durante la
negociación de modo principal, cada interlocutor de IPSec envía al otro interlocutor la identidad de su
equipo en formato no cifrado. La identidad del equipo no está cifrada hasta que la carga de identidad
completa se cifra durante la fase de autenticación de la negociación del modo principal. Un intruso puede
enviar un paquete de Intercambio de claves de Internet (IKE, <i>Internet Key Exchange</i>) para que el
interlocutor IPSec que responde exponga la identidad de su equipo y su pertenencia a un dominio. Para
proteger los equipos que están conectados a Internet, se recomienda la autenticación de certificados.

Para una mayor seguridad, no se recomienda el uso de autenticación por claves compartidas
previamente porque es un método de autenticación relativamente débil. Asimismo, las claves
previamente compartidas se almacenan en texto no cifrado. La autenticación por claves compartidas
previamente se utiliza por motivos de interoperabilidad y por compatibilidad con los estándares de IPSec.
Se recomienda utilizar claves compartidas previamente sólo para realizar pruebas.
 Página 2 de 10

Para obtener más información, vea Métodos de autenticación y Autenticación con claves previamente
compartidas.

Filtrado de paquetes del servidor de seguridad

En el caso de servidores de seguridad, puertas de enlace de seguridad, enrutadores, o cualquier otro

servidor o dispositivo conectado a Internet y que proporciona funcionalidad de filtrado de paquetes a los
equipos de una red perimetral (también conocida como zona desmilitarizada o DMZ), es necesario
habilitar un filtrado especial para asegurar que se permita el reenvío de los paquetes protegidos con
IPSec a los equipos de la red perimetral. Normalmente, el servidor de seguridad u otro dispositivo debe
permitir el paso de los siguientes tipos de tráfico:

• Id. de protocolo IP 50 (0x32) para el tráfico de Carga de seguridad de encapsulación (ESP) de

IPSec.
• Id. de protocolo IP 51 (0x33) para el tráfico de Encabezado de autenticación (AH) de IPSec.
• El puerto UDP 500 (0x1F4) para el tráfico de negociación de Intercambio de claves de Internet
(IKE).

La mayoría de las aplicaciones de filtrado de paquetes permiten especificar más. Es posible definir filtros
de paquetes distintos para el tráfico entrante (filtros de entrada), el trafico saliente (filtros de salida) y
para cada interfaz. Además, puede especificar direcciones IP para los equipos con IPSec de la red
perimetral. En las secciones siguientes se describen los filtros de paquetes más restrictivos para el
tráfico IPSec intercambiado con un mismo equipo con IPSec de la red perimetral.

Filtros en la interfaz con Internet

Para permitir tipos específicos de tráfico, configure los filtros de paquetes entrantes siguientes en la
interfaz Internet del servidor de seguridad:

• Dirección IP de destino de la interfaz de la red perimetral del equipo con IPSec y puerto de destino
UDP 500 (0x1F4)
Este filtro permite enviar el tráfico IKE al equipo con IPSec de la red perimetral.
• Dirección IP de destino de la interfaz de la red perimetral del equipo con IPSec e Id. de protocolo
IP 50 (0x32)
Este filtro permite enviar el tráfico ESP de IPSec al equipo con IPSec de la red perimetral.
• Dirección IP de destino de la interfaz de la red perimetral del equipo con IPSec e Id. de protocolo
IP 51 (0x33)
Este filtro permite enviar el tráfico AH de IPSec al equipo con IPSec de la red perimetral.

Para permitir tipos específicos de tráfico, configure los filtros de paquetes salientes siguientes en la
interfaz Internet del servidor de seguridad:

• Dirección IP de origen de la interfaz de la red perimetral del equipo con IPSec y puerto de origen
UDP 500 (0x1F4)
Este filtro permite enviar el tráfico IKE desde el equipo con IPSec de la red perimetral.
• Dirección IP de origen de la interfaz de la red perimetral del equipo con IPSec e Id. de protocolo IP
50 (0x32)
Este filtro permite enviar el tráfico ESP de IPSec desde el equipo con IPSec de la red perimetral.
• Dirección IP de origen de la interfaz de la red perimetral del equipo con IPSec e Id. de protocolo IP
51 (0x33)
Este filtro permite enviar el tráfico AH de IPSec desde el equipo con IPSec de la red perimetral.

Filtros en la interfaz con la red perimetral

Para permitir tipos específicos de tráfico, configure los filtros de paquetes entrantes siguientes en la
interfaz con la red perimetral del servidor de seguridad:
 Página 3 de 10

• Dirección IP de origen de la interfaz de la red perimetral del equipo con IPSec y puerto de origen
UDP 500 (0x1F4)
Este filtro permite enviar el tráfico IKE desde el equipo con IPSec de la red perimetral.
• Dirección IP de origen de la interfaz de la red perimetral del equipo con IPSec e Id. de protocolo IP
50 (0x32)
Este filtro permite enviar el tráfico ESP de IPSec desde el equipo con IPSec de la red perimetral.
• Dirección IP de origen de la interfaz de la red perimetral del equipo con IPSec e Id. de protocolo IP
51 (0x33)
Este filtro permite enviar el tráfico AH de IPSec desde el equipo con IPSec de la red perimetral.

Para permitir tipos específicos de tráfico, configure los filtros de paquetes salientes siguientes en la
interfaz con la red perimetral del servidor de seguridad:

• Dirección IP de destino de la interfaz de la red perimetral del equipo con IPSec y puerto de destino
UDP 500 (0x1F4)
Este filtro permite enviar el tráfico IKE al equipo con IPSec de la red perimetral.
• Dirección IP de destino de la interfaz de la red perimetral del equipo con IPSec e Id. de protocolo
IP 50 (0x32)
Este filtro permite enviar el tráfico ESP de IPSec al equipo con IPSec de la red perimetral.
• Dirección IP de destino de la interfaz de la red perimetral del equipo con IPSec e Id. de protocolo
IP 51 (0x33)
Este filtro permite enviar el tráfico AH de IPSec al equipo con IPSec de la red perimetral.

Tráfico protegido (mediante AH o ESP)

A la hora de decidir entre usar AH o ESP para proteger el tráfico IP, considere lo siguiente:

• AH proporciona servicios de autenticación y de integridad de datos mediante el cálculo e inclusión

de una función hash basada en una clave para cada paquete. Con AH, el cálculo de la función
hash incluye todo el paquete IP y su encabezado. Se excluyen algunos campos que pueden
cambiar en el trayecto. Para proporcionar servicios de protección de repetición de paquetes se
incluye un número de secuencia para cada paquete.
• ESP proporciona servicios de autenticación y de integridad de datos mediante el cálculo e
inclusión de una función hash basada en una clave para cada paquete. Con ESP, el cálculo de la
función hash sólo incluye el encabezado ESP, el finalizador y la carga. El encabezado IP no se
protege con la función hash. ESP proporciona servicios de confidencialidad de datos mediante el
cifrado de la carga ESP con el algoritmo DES (Estándar de cifrado de datos) o 3DES (Triple DES).
Para proporcionar servicios de protección de repetición de paquetes se incluye un número de
secuencia para cada paquete.

Se consumen menos recursos de la CPU al calcular y comprobar la función hash de cada paquete que al
cifrarlo y descifrarlo. Si el rendimiento es especialmente importante, puede utilizar AH para proteger la
mayor parte del tráfico. Cuando se requiere confidencialidad, puede utilizar ESP en su lugar. Por
ejemplo, puede utilizar AH para proteger el tráfico de la intranet y ESP para el tráfico que se envía a
través de Internet.

Nota

En esta consideración acerca del rendimiento se supone que en su organización no se utilizan

adaptadores de red con descarga de IPSec. Los adaptadores de red de descarga realizan tareas
criptográficas, como el cálculo y la comprobación de la función hash y los servicios de cifrado y
descifrado, en el propio adaptador, lo que mejora el rendimiento del tráfico protegido con IPSec.

Tráfico no protegido (con la regla de respuesta predeterminada)

Resulta sencillo establecer un escenario de implementación de IPSec que proteja el tráfico desde un
conjunto específico de servidores, del modo siguiente:
 Página 4 de 10

• Sitúe los servidores en una unidad organizativa y asigne una directiva IPSec a un objeto de
directiva de grupos de esa unidad organizativa, con una regla que requiera tráfico protegido entre
los servidores y cualquier otro equipo. Dentro de la acción de filtrado de la regla, permita a los
servidores seguros aceptar comunicaciones no seguras, pero respondiendo siempre con IPSec.
• Sitúe los equipos cliente en una unidad organizativa y asigne a un objeto de directiva de grupos
de esa unidad organizativa una directiva IPSec que sólo aplique la regla de respuesta
predeterminada. Para obtener más información, vea Reglas de directiva IPSec.

En esta configuración no será seguro el tráfico siguiente entre los equipos cliente y los servidores
seguros:

• La solicitud inicial (por ejemplo un paquete TCP SYN) enviado por el equipo cliente para
establecer una comunicación no es segura, porque el cliente no tiene ninguna regla en su
directiva que le haga iniciar una comunicación segura con el servidor.
• Aunque las comunicaciones sucesivas sí estarán protegidas una vez que se negocie la
comunicación segura entre el cliente y los servidores, la asociación de seguridad (SA) de modo
rápido que proporciona la configuración de seguridad del tráfico puede eventualmente alcanzar el
tiempo de espera máximo y ser retirada tanto del servidor seguro como del equipo cliente. Esto
ocurre cuando existe una conexión TCP y no se envía tráfico entre el equipo cliente y el servidor
seguro durante un período de tiempo prolongado. El filtro dinámico que la regla de respuesta
predeterminada crea en el equipo cliente también se quita cuando se agota el tiempo de espera
de dicho filtro.
Si el servidor seguro envía nueva información por la conexión existente, volverá a negociar la SA
de modo rápido antes de enviar los datos al equipo cliente, ya que existe una regla en el servidor
seguro para proteger el tráfico entre él y todos los demás equipos. Sin embargo, si el equipo
cliente envía nuevos datos después de que las SA de modo rápido y el filtro dinámico hayan
caducado, los datos se enviarán sin protección, ya que el cliente no tiene ninguna regla para
iniciar una comunicación segura con el servidor. En el caso de las conexiones TCP, es posible
que el equipo cliente envíe uno o varios segmentos TCP sin proteger. Para evitar que los equipos
cliente envíen datos sin proteger a los servidores seguros, debe configurar la directiva IPSec de
cada equipo cliente con reglas adicionales que inicien comunicaciones seguras con los servidores
protegidos.

Grupos Diffie-Hellman (que utilizan el grupo Diffie-Hellman 1, 2 ó 2048)

Los grupos Diffie-Hellman se utilizan para determinar la longitud de los números primos base utilizados
durante el proceso de intercambio de claves. El grupo 2048 (alto) es más eficaz (más seguro) que el
grupo 2 (medio), que a su vez es más eficaz que el grupo 1 (bajo). El grupo 1 proporciona 768 bits de
protección de clave, el grupo 2 proporciona 1,024 bits y el grupo 2048 proporciona 2,048 bits.

Los grupos Diffie-Hellman más eficaces pueden combinarse con mayores longitudes de clave para
aumentar la dificultad de calcular una clave secreta.

Importante

Para lograr mayor seguridad, no utilice el grupo Diffie-Hellman 1. Para obtener la máxima seguridad,
utilice el grupo 2048 siempre que sea posible. Utilice el grupo 2 cuando sea necesario para la
interoperabilidad con Windows 2000 y Windows XP.

Nota

El grupo Diffie-Hellman 2048 sólo se suministra con la familia de Windows Server 2003.

Para obtener más información acerca de los grupos Diffie-Hellman y el intercambio de claves, vea
Métodos de intercambio de claves y Administración y protección de claves.
 Página 5 de 10

2. Definición de la seguridad del Protocolo Internet

La seguridad del Protocolo de Internet (IPSec) es un marco de estándares abiertos para lograr
comunicaciones privadas seguras a través de redes con el Protocolo de Internet (IP) mediante el uso de
servicios de seguridad criptográfica. Las implementaciones de IPSec para Microsoft® Windows® 2000,
Windows XP y la familia Windows Server 2003 se basan en estándares desarrollados por el grupo de
trabajo IPSec del Grupo de trabajo de ingeniería de Internet (IETF, <i>Internet Engineering Task
Force</i>).

IPSec es la tendencia a largo plazo para las redes seguras. Proporciona una sólida protección contra
ataques a redes privadas e Internet mediante la seguridad de extremo a extremo. Los únicos equipos
que deben conocer que existe protección con IPSec son el remitente y el receptor de la comunicación.
En Windows XP y la familia Windows Server 2003, IPSec permite proteger la comunicación entre grupos
de trabajo, equipos de redes de área local, clientes y servidores de dominio, sucursales (que físicamente
pueden ser remotas), extranets y clientes itinerantes.

3. Introducción a IPSec

IPSec es la tendencia a largo plazo para las redes seguras. Proporciona una línea de defensa clave
frente a ataques en redes privadas e Internet.

IPSec tiene dos objetivos:

• Proteger el contenido de los paquetes IP.

• Defender contra los ataques de red mediante el filtrado de paquetes y la exigencia de
comunicaciones de confianza.

Ambos objetivos se alcanzan gracias al uso de servicios de protección criptográfica, protocolos de

seguridad y administración dinámica de claves. Estos fundamentos proporcionan al mismo tiempo la
capacidad y la flexibilidad para proteger las comunicaciones entre equipos de redes privadas, dominios,
sitios, sitios remotos, extranets y clientes de acceso telefónico. Incluso pueden utilizarse para bloquear la
recepción o la transmisión de determinados tipos de tráfico.

IPSec se basa en un modelo de seguridad completo, y establece la confianza y la seguridad desde una
dirección IP de origen hasta una dirección IP de destino. La dirección IP en sí no se considera
necesariamente una identidad, sino que el sistema que hay tras la dirección IP tiene una identidad que
se valida a través de un proceso de autenticación. Los únicos equipos que deben conocer que el tráfico
está protegido son los equipos remitente y receptor. Cada equipo trata la seguridad en su extremo
respectivo y supone que el medio a través del cual tiene lugar la comunicación no es seguro. Los
equipos que se limitan a enrutar datos desde el origen hasta el destino no necesitan ser compatibles con
IPSec, salvo en el caso de que se filtren paquetes de tipo servidor de seguridad o se traduzcan
direcciones de red entre los dos equipos. Este modelo permite implementar correctamente IPSec en los
siguientes casos:

• Red de área local (LAN): cliente-servidor y entre homólogos

• Red de área extensa (WAN): entre enrutadores y entre puertas de enlace
• Acceso remoto: clientes de acceso telefónico y acceso a Internet desde redes privadas

Normalmente, ambas partes requieren una configuración de IPSec (denominada directiva IPSec) para
establecer las opciones y los parámetros de seguridad que permitirán que ambos sistemas acuerden el
modo de proteger el tráfico entre ellos. Las implementaciones de IPSec para Microsoft®
Windows® 2000, Windows XP y la familia Windows Server 2003 se basan en estándares del sector
desarrollados por el grupo de trabajo IPSec del Grupo de trabajo de ingeniería de Internet (IETF).
Algunas partes de los servicios relacionados con IPSec han sido desarrollados conjuntamente por
Microsoft y Cisco Systems, Inc.
 Página 6 de 10

4. Cuestiones de seguridad de IP

Sin medidas de seguridad, tanto las redes públicas como las privadas están expuestas a la observación
y el acceso no autorizados. Los ataques internos pueden ser la consecuencia de una seguridad de
intranet mínima o incluso inexistente. Los riesgos provenientes del exterior de la red privada se originan
en las conexiones a Internet y a extranets. Los controles de acceso de usuarios basados en contraseñas
no protegen por sí solos los datos transmitidos a través de una red.

Tipos comunes de ataques a redes

Si no se toman medidas de seguridad ni se aplican controles, los datos pueden ser objeto de un ataque.
Algunos ataques son pasivos, en el sentido de que sólo se observa la información. Otros ataques son
activos y se modifica la información con intención de dañar o destruir los datos o la propia red. Cuando
no se tiene un plan de seguridad, las redes y los datos son vulnerables a todos los tipos de ataques
siguientes.

Espionaje

En general, la mayoría de las comunicaciones por red tienen lugar en formato de texto simple (sin cifrar),
lo que permite al atacante que haya logrado el acceso a las rutas de datos de una red observar e
interpretar (leer) el tráfico. El espionaje de las comunicaciones por parte de un atacante se conoce como
husmear. La capacidad de los espías para observar la red suele ser el mayor problema de seguridad que
afrontan los administradores de las compañías. Sin unos servicios de cifrado eficaces basados en
criptografía, mientras los datos atraviesan la red pueden ser observados por terceros.

Modificación de datos

Cuando un atacante ha leído los datos, a menudo el siguiente paso lógico consiste en modificarlos. Un
atacante puede modificar los datos de un paquete sin que el remitente ni el receptor lo adviertan. Incluso
cuando no se requiera confidencialidad en todas las comunicaciones, no se desea que los mensajes se
modifiquen en su camino. Por ejemplo, si intercambia solicitudes de compra, no desea que se modifique
la información relativa a los artículos, los importes ni la facturación.

Suplantación de identidad (direcciones IP ficticias)

La mayoría de las redes y sistemas operativos utilizan la dirección IP para identificar un equipo como
válido en una red. En algunos casos, es posible utilizar una dirección IP falsa. Esta práctica se conoce
como suplantación. Un atacante podría utilizar programas especiales para construir paquetes IP que
parezcan provenir de direcciones válidas dentro de la intranet de una organización.

Una vez obtenido el acceso a la red con una dirección IP válida, el atacante podrá modificar, desviar o
eliminar datos. También podrá realizar ataques de otros tipos, como se describe en las secciones
siguientes.

Ataques basados en contraseñas

Un procedimiento común en la mayoría de los sistemas operativos y planes de seguridad de redes es el

control de acceso basado en contraseñas. El acceso tanto a un equipo como a los recursos de la red
está determinado por un nombre de usuario y una contraseña.

Históricamente, muchas versiones de componentes de sistemas operativos no siempre protegían la

información de identidad cuando ésta pasaba por la red para su validación. Ello podría permitir a un
espía detectar un nombre de usuario y una contraseña válidos, y utilizarlos para lograr acceso a la red
haciéndose pasar por un usuario autorizado.
 Página 7 de 10

Cuando un atacante encuentra una cuenta de usuario válida y la utiliza para el acceso, obtendrá los
mismos derechos que el usuario real. Por ejemplo, si el usuario tiene derechos administrativos, el
atacante puede crear cuentas adicionales para tener acceso posteriormente.

Una vez obtenido el acceso a una red con una cuenta válida, el atacante puede hacer lo siguiente:

• Obtener listas de nombres de usuarios y equipos válidos e información de la red.

• Modificar las configuraciones de los servidores y de la red, incluidos los controles de acceso y las
tablas de enrutamiento.
• Modificar, desviar o eliminar datos.

Ataque de rechazo de servicio

A diferencia de un ataque basado en contraseñas, el ataque de rechazo de servicio impide el uso normal
de un equipo o de una red por parte de los usuarios autorizados.

Una vez obtenido el acceso a una red, el atacante puede hacer lo siguiente:

• Distraer al personal de sistemas de información para que no detecte inmediatamente la intrusión.

Esto da al atacante la oportunidad de llevar a cabo ataques adicionales.
• Enviar datos no válidos a aplicaciones o servicios de red para provocar su cierre o su
funcionamiento de forma anormal.
• Generar tráfico masivamente hasta provocar el colapso de un equipo o de toda la red.
• Bloquear el tráfico, lo que hace perder el acceso a los recursos de la red por parte de los usuarios
autorizados.

Ataque por usuario interpuesto

Como su nombre indica, un ataque por usuario interpuesto se produce cuando alguien situado entre dos
usuarios que se están comunicando observa activamente, captura y controla la comunicación sin que los
usuarios lo adviertan. Por ejemplo, un atacante puede negociar claves de cifrado con ambos usuarios. A
continuación, cada usuario enviará datos cifrados al atacante, quien podrá descifrarlos. Cuando los
equipos se comunican en niveles bajos de la capa de red, quizás no puedan determinar con qué equipos
están intercambiando datos.

Ataque de clave comprometida

Una clave es un código o un número secreto necesario para cifrar, descifrar o validar información
protegida. Averiguar una clave es un proceso difícil y que requiere grandes recursos por parte del
atacante, pero no deja de ser posible. Cuando un atacante averigua una clave, ésta se denomina clave
comprometida.

El atacante puede utilizar la clave comprometida para obtener acceso a una comunicación protegida sin
que el remitente ni el receptor lo perciban. La clave comprometida permite al atacante descifrar o
modificar los datos. El atacante también puede intentar utilizar la clave comprometida para calcular otras
claves que podrían suponer el acceso a otras comunicaciones protegidas.

Ataque de husmeador

Un husmeador es una aplicación o dispositivo que puede leer, supervisar y capturar intercambios de
datos y paquetes en la red. Si los paquetes no están cifrados, el husmeador proporciona una vista
completa de los datos contenidos en el paquete. Incluso los paquetes encapsulados (enviados por un
túnel) se pueden abrir y leer si no están cifrados.

El husmeador permite al atacante hacer lo siguiente:

 Página 8 de 10

• Analizar una red y lograr acceso a la información, y eventualmente hacer que la red deje de
responder o que resulte dañada.
• Leer comunicaciones privadas.

Ataque en la capa de aplicación

Los ataques en la capa de aplicación se dirigen a los servidores de aplicaciones e intentan provocar
errores en su sistema operativo o en sus aplicaciones. De este modo el atacante puede llegar a eludir los
controles de acceso normales. El atacante aprovecha esta situación para obtener el control de una
aplicación, sistema o red, con lo que podrá hacer lo siguiente:

• Leer, agregar, eliminar o modificar datos o un sistema operativo.

• Introducir un virus que utilice los equipos y las aplicaciones de software para copiarse por toda la
red.
• Introducir un programa husmeador que analice la red y obtenga información que pueda utilizarse
para hacer que la red deje de responder o que resulte dañada.
• Cerrar aplicaciones de datos o sistemas operativos de forma anormal.
• Deshabilitar otros controles de seguridad para posibilitar futuros ataques.

5. Protección contra ataques

IPSec protege los datos de modo que a un intruso le resulte sumamente difícil o imposible interpretarlos.
El nivel de protección ofrecido está determinado por el rigor de los niveles de seguridad especificados en
la estructura de directivas IPSec.

IPSec proporciona diversas características que reducen o previenen significativamente los ataques
siguientes:

• Husmeadores (falta de confidencialidad)

El protocolo Carga de seguridad de encapsulación (ESP) de IPSec proporciona confidencialidad
de los datos mediante el cifrado de la carga de los paquetes IP.
• Modificación de datos
IPSec utiliza claves criptográficas que sólo conocen los equipos remitente y receptor para crear
una suma de comprobación criptográfica para cada paquete IP. Cualquier modificación en los
datos del paquete alterará la suma de comprobación, lo que indicará al equipo receptor que el
paquete ha sufrido una modificación en el trayecto.
• Ataques de falsificación de identidad, basados en contraseña y de capa de aplicación
IPSec permite el intercambio y la comprobación de identidades sin exponer la información a la
interpretación de posibles atacantes. La comprobación mutua (autenticación) se utiliza para
establecer confianza entre los sistemas en comunicación y sólo los sistemas de confianza pueden
comunicarse entre sí. Una vez establecidas las identidades, IPSec utiliza claves criptográficas que
sólo conocen los equipos remitente y receptor para crear una suma de comprobación criptográfica
para cada paquete IP. La suma de comprobación criptográfica asegura que sólo los equipos que
conocen las claves han podido enviar cada paquete.
• Ataques por usuario interpuesto
IPSec combina la autenticación mutua con claves criptográficas compartidas.
• Ataques de rechazo de servicio
IPSec utiliza la metodología de filtrado de paquetes IP como base para determinar si se permite,
se protege o se bloquea la comunicación en función de los intervalos de direcciones IP, los
protocolos IP o incluso determinados puertos TCP y UDP.

6. Seguridad basada en directivas

Aunque los métodos de seguridad criptográficos, más estrictos, se han vuelto necesarios para lograr una
protección completa de la comunicación, a menudo suponen un incremento importante de la carga
administrativa. Para reducir esta carga, IPSec utiliza la administración basada en directivas.
 Página 9 de 10

Para configurar los servicios de seguridad IPSec se utilizan directivas IPSec, en lugar de interfaces de
programación de aplicaciones (API). Las directivas proporcionan niveles de protección variables para la
mayor parte de los tipos de tráfico, en la mayoría de las redes existentes.

Puede configurar directivas IPSec para satisfacer los requisitos de seguridad de un equipo, una
aplicación, una unidad organizativa, un dominio, un sitio o de toda la organización. Puede utilizar la
consola Administrador de las directivas de seguridad de IP incluida en Microsoft® Windows® XP y la
familia Windows Server 2003 para definir directivas IPSec que se aplicarán a los equipos a través de
Active Directory® (en el caso de miembros de dominios) o en cada equipo local (si los equipos no
pertenecen a un dominio).

7. Implementación simplificada

Para disponer de comunicaciones seguras con un costo de propiedad bajo, Microsoft® Windows® XP y
la familia de Windows Server 2003 simplifican la implementación de IPSec mediante las características
siguientes:

• Integración con el marco de seguridad en Windows 2000 y la familia de Windows Server 2003.
IPSec utiliza el dominio seguro en Windows 2000 y la familia de Windows Server 2003 como
modelo de confianza. De forma predeterminada, las directivas IPSec utilizan el método de
autenticación predeterminado de Active Directory® (autenticación mediante Kerberos V5) para
identificar y definir la confianza con los equipos que realizan la comunicación. Los equipos que
forman parte de un dominio de Windows 2000 o Windows Server 2003 y se encuentran en
dominios de confianza pueden establecer fácilmente comunicaciones protegidas mediante IPSec.
• Administración centralizada de directivas IPSec mediante Active Directory
Las directivas IPSec se pueden asignar mediante la configuración de Directiva de grupo de los
dominios de Active Directory y las unidades organizativas. De este modo es posible asignar la
directiva IPSec en el nivel de dominio, sitio o unidad organizativa, lo que elimina la sobrecarga
administrativa que supone la configuración individual de cada equipo.
• Transparencia de IPSec para los usuarios y las aplicaciones
La integración en la capa IP (capa 3) proporciona seguridad para cualquier protocolo del conjunto
de protocolos TCP/IP. No es necesario separar la seguridad para cada protocolo del conjunto
TCP/IP, ya que las aplicaciones que utilizan TCP/IP pasan los datos a la capa del protocolo IP, en
la que se implementa la seguridad.
• Configuración de seguridad flexible
Los servicios de seguridad de cada directiva pueden personalizarse para adaptarlos a la mayoría
de los requisitos de seguridad del tráfico de red y de datos.
• Administración automática de claves
Los servicios de Intercambio de claves de Internet (IKE) intercambian y administran de forma
dinámica las claves de cifrado entre los equipos que realizan la comunicación.
• Negociación automática de seguridad
Los servicios de Intercambio de claves de Internet (IKE) negocian de forma dinámica un conjunto
común de opciones de seguridad para los equipos que realizan la comunicación, lo que elimina la
necesidad de que ambos equipos tengan configuradas directivas idénticas.
• Compatibilidad con la infraestructura de clave pública
Es posible utilizar certificados de clave pública para la autenticación. De este modo, es posible
utilizar la confianza y las comunicaciones seguras en equipos que no pertenezcan a un dominio
de confianza de Windows 2000 o Windows Server 2003, sistemas operativos que no sean de
Microsoft, equipos que pertenezcan a dominios que no sean de confianza y casos en los que el
acceso a un equipo deba restringirse a un grupo menor de lo que permite la autenticación de
dominios.
• Compatibilidad con clave previamente compartida
Si no es posible realizar la autenticación mediante el protocolo Kerberos V5 ni mediante
certificados de clave pública, se puede configurar una clave de autenticación previamente
compartida.

Importante
 Página 10 de 10

• El uso de autenticación mediante claves previamente compartidas no se recomienda porque es un

método de autenticación relativamente débil. La autenticación mediante claves previamente
compartidas crea una clave maestra que es menos segura (y que podría ofrecer una forma de
cifrado más débil) que los certificados o el protocolo Kerberos V5. Asimismo, las claves
previamente compartidas se almacenan en texto no cifrado. La autenticación mediante claves
previamente compartidas se utiliza por motivos de interoperabilidad y por compatibilidad con los
estándares de IPSec. Se recomienda que sólo utilice claves previamente compartidas en pruebas
y que, en su lugar, emplee certificados o Kerberos V5 en un entorno de producción.

Nota

• La integración en el marco de seguridad de Windows 2000 o la familia de Windows Server 2003,

la administración centralizada de directivas IPSec mediante Active Directory y la utilización del
protocolo Kerberos V5 que aquí se describen no son aplicables a los equipos en los que se
ejecuta Windows XP Home Edition. La directiva IPSec basada en Active Directory no puede
administrarse desde equipos que ejecuten Windows XP Home Edition porque estos equipos no
pueden unirse a dominios de Active Directory.