Trabajo Encargado de Sistemas Trabajo Encargado de Sistemas Operativos Operativos

Presentado Por:Presentado Por:

GUSTAVO JUNIOR CHECALLA CHOQUEGUSTAVO JUNIOR CHECALLA CHOQUE

TemaTemaTodo Sobre IPSecTodo Sobre IPSecTodo Sobre IPSecTodo Sobre IPSec

Temas A Tratar Temas A Tratar IPSec ArquitecturaIPSec Arquitectura IPsecIPsec SumarioSumario Arquitectura de seguridadArquitectura de seguridad Propósito de diseñoPropósito de diseño Modos (Modo transporte)(Modo túnel )Modos (Modo transporte)(Modo túnel ) Detalles técnicosDetalles técnicos Authentication header (AH)Authentication header (AH) Significado de los camposSignificado de los campos Encapsulating Security Payload (ESP)Encapsulating Security Payload (ESP) Un diagrama de paquete ESP:Un diagrama de paquete ESP: Significado de los camposSignificado de los campos ImplementacionesImplementaciones

IPSec ArquitecturaIPSec Arquitectura IPsecIPsec SumarioSumario Arquitectura de seguridadArquitectura de seguridad Propósito de diseñoPropósito de diseño Modos (Modo transporte)(Modo túnel )Modos (Modo transporte)(Modo túnel ) Detalles técnicosDetalles técnicos Authentication header (AH)Authentication header (AH) Significado de los camposSignificado de los campos Encapsulating Security Payload (ESP)Encapsulating Security Payload (ESP) Un diagrama de paquete ESP:Un diagrama de paquete ESP: Significado de los camposSignificado de los campos ImplementacionesImplementaciones

Diagramas sobre IPSec Establecimiento de una conexión IPsec Configuración de host-a-host Después de haber configurado la conexión Conexión de red-a-red (VPN)

IPSecIPSecArquitecturaArquitectura

IPsecIPsec

(abreviatura de (abreviatura de Internet Protocol Internet Protocol securitysecurity) es un conjunto de ) es un conjunto de protocolos cuya función es asegurar protocolos cuya función es asegurar las comunicaciones sobre el las comunicaciones sobre el Protocolo de InternetProtocolo de Internet (IP) (IP) autenticandoautenticando y/o y/o cifrandocifrando cada cada paquete IPpaquete IP en un flujo de datos. IPsec en un flujo de datos. IPsec también incluye protocolos para el también incluye protocolos para el establecimiento de claves de cifradoestablecimiento de claves de cifrado..

Sumario Sumario Los protocolos de Los protocolos de IPsecIPsec actúan en la capa de red, actúan en la capa de red,

la capa 3 del la capa 3 del modelo OSImodelo OSI. Otros protocolos de . Otros protocolos de seguridad para Internet de uso extendido, como seguridad para Internet de uso extendido, como SSLSSL, , TLSTLS y y SSHSSH operan de la capa de transporte operan de la capa de transporte (capas OSI 4 a 7) hacia arriba. Esto hace que (capas OSI 4 a 7) hacia arriba. Esto hace que IPsec sea más flexible, ya que puede ser utilizado IPsec sea más flexible, ya que puede ser utilizado para proteger protocolos de la capa 4, incluyendo para proteger protocolos de la capa 4, incluyendo TCPTCP y y UDPUDP, los protocolos de capa de transporte , los protocolos de capa de transporte más usados. IPsec tiene una ventaja sobre SSL y más usados. IPsec tiene una ventaja sobre SSL y otros métodos que operan en capas superiores. otros métodos que operan en capas superiores. Para que una aplicación pueda usar IPsec no hay Para que una aplicación pueda usar IPsec no hay que hacer ningún cambio, mientras que para usar que hacer ningún cambio, mientras que para usar SSL y otros protocolos de niveles superiores, las SSL y otros protocolos de niveles superiores, las aplicaciones tienen que modificar su código aplicaciones tienen que modificar su código

Arquitectura de seguridad Arquitectura de seguridad IPsecIPsec está implementado por un conjunto de está implementado por un conjunto de

protocolos criptográficosprotocolos criptográficos para (1) asegurar el flujo de para (1) asegurar el flujo de paquetes, (2) garantizar la paquetes, (2) garantizar la autenticación mutuaautenticación mutua y (3) y (3) establecer parámetros criptográficosestablecer parámetros criptográficos..

La arquitectura de seguridad de IP utiliza el concepto de La arquitectura de seguridad de IP utiliza el concepto de asociación de seguridadasociación de seguridad (SA) como base para construir (SA) como base para construir funciones de seguridad en funciones de seguridad en IPIP. Una asociación de seguridad . Una asociación de seguridad es simplemente el paquete de algoritmos y parámetros es simplemente el paquete de algoritmos y parámetros (tales como las claves) que se está usando para cifrar y (tales como las claves) que se está usando para cifrar y autenticar un flujo particular en una dirección. Por lo tanto, autenticar un flujo particular en una dirección. Por lo tanto, en el tráfico normal bidireccional, los flujos son asegurados en el tráfico normal bidireccional, los flujos son asegurados por un par de asociaciones de seguridad. La decisión final por un par de asociaciones de seguridad. La decisión final de los algoritmos de cifrado y autenticación (de una lista de los algoritmos de cifrado y autenticación (de una lista definida) le corresponde al administrador de IPsec.definida) le corresponde al administrador de IPsec.

Para decidir qué protección se va a Para decidir qué protección se va a proporcionar a un paquete saliente, IPsec proporcionar a un paquete saliente, IPsec utiliza el índice de parámetro de seguridad utiliza el índice de parámetro de seguridad (SPI), un índice a la base de datos de (SPI), un índice a la base de datos de asociaciones de seguridad (SADB), junto asociaciones de seguridad (SADB), junto con la dirección de destino de la cabecera con la dirección de destino de la cabecera del paquete, que juntos identifican de del paquete, que juntos identifican de forma única una asociación de seguridad forma única una asociación de seguridad para dicho paquete. Para un paquete para dicho paquete. Para un paquete entrante se realiza un procedimiento entrante se realiza un procedimiento similar; en este caso IPsec coge las claves similar; en este caso IPsec coge las claves de verificación y descifrado de la base de de verificación y descifrado de la base de datos de asociaciones de seguridad.datos de asociaciones de seguridad.

En el caso de multicast, se proporciona una En el caso de multicast, se proporciona una asociación de seguridad al grupo, y se asociación de seguridad al grupo, y se duplica para todos los receptores duplica para todos los receptores autorizados del grupo. Puede haber más de autorizados del grupo. Puede haber más de una asociación de seguridad para un grupo, una asociación de seguridad para un grupo, utilizando diferentes SPIs, y por ello utilizando diferentes SPIs, y por ello permitiendo múltiples niveles y conjuntos permitiendo múltiples niveles y conjuntos de seguridad dentro de un grupo. De hecho, de seguridad dentro de un grupo. De hecho, cada remitente puede tener múltiples cada remitente puede tener múltiples asociaciones de seguridad, permitiendo asociaciones de seguridad, permitiendo autenticación, ya que un receptor sólo autenticación, ya que un receptor sólo puede saber que alguien que conoce las puede saber que alguien que conoce las claves ha enviado los datos. Hay que claves ha enviado los datos. Hay que observar que el estándar pertinente no observar que el estándar pertinente no describe cómo se elige y duplica la describe cómo se elige y duplica la asociación a través del grupo; se asume asociación a través del grupo; se asume que un interesado responsable habrá hecho que un interesado responsable habrá hecho la elección.la elección.

Estado actual del estándar Estado actual del estándar IPsec es una parte obligatoria de IPsec es una parte obligatoria de IPv6IPv6, y su uso es opcional , y su uso es opcional

con con IPv4IPv4. Aunque el estándar está diseñado para ser . Aunque el estándar está diseñado para ser indiferente a las versiones de IP, el despliegue y indiferente a las versiones de IP, el despliegue y experiencia hasta 2007 atañe a las implementaciones de experiencia hasta 2007 atañe a las implementaciones de IPv4IPv4..

Los protocolos de IPsec se definieron originalmente en las Los protocolos de IPsec se definieron originalmente en las RFCsRFCs 1825 y 1829, publicadas en 1995. En 1998 estos 1825 y 1829, publicadas en 1995. En 1998 estos documentos fueron sustituidos por las documentos fueron sustituidos por las RFCsRFCs 2401 y 2412, 2401 y 2412, que no son compatibles con la 1825 y 1829, aunque son que no son compatibles con la 1825 y 1829, aunque son conceptualmente idénticas. En diciembre de 2005 se conceptualmente idénticas. En diciembre de 2005 se produjo la tercera generación de documentos, produjo la tercera generación de documentos, RFCsRFCs 4301 y 4301 y 4309. Son en gran parte un superconjunto de la 2401 y 4309. Son en gran parte un superconjunto de la 2401 y 2412, pero proporcionan un segundo estándar de 2412, pero proporcionan un segundo estándar de Internet Internet KeyKey Exchange Exchange. Esta tercera generación de documentos . Esta tercera generación de documentos estandarizó la abreviatura de IPsec como "IP" en estandarizó la abreviatura de IPsec como "IP" en mayúsculas y "sec" en minúsculas.mayúsculas y "sec" en minúsculas.

Es raro ver un producto que ofrezca Es raro ver un producto que ofrezca soporte de RFC1825 y 1829. "ESP" se soporte de RFC1825 y 1829. "ESP" se refiere generalmente a 2406, refiere generalmente a 2406, mientras que ESPbis se refiere a mientras que ESPbis se refiere a 4303 4303

Propósito de diseño Propósito de diseño IPsec fue proyectado para proporcionar seguridad IPsec fue proyectado para proporcionar seguridad

en en modo transportemodo transporte (extremo a extremo) del (extremo a extremo) del tráfico de paquetes, en el que los ordenadores de tráfico de paquetes, en el que los ordenadores de los extremos finales realizan el procesado de los extremos finales realizan el procesado de seguridad, o en seguridad, o en modo túnelmodo túnel (puerta a puerta) en (puerta a puerta) en el que la seguridad del tráfico de paquetes es el que la seguridad del tráfico de paquetes es proporcionada a varias máquinas (incluso a toda proporcionada a varias máquinas (incluso a toda la la red de área localred de área local) por un único nodo.) por un único nodo.

IPsec puede utilizarse para crear IPsec puede utilizarse para crear VPNsVPNs en los dos en los dos modos, y este es su uso principal. Hay que tener modos, y este es su uso principal. Hay que tener en cuenta, sin embargo, que las implicaciones de en cuenta, sin embargo, que las implicaciones de seguridad son bastante diferentes entre los dos seguridad son bastante diferentes entre los dos modos de operación.modos de operación.

La seguridad de comunicaciones extremo a La seguridad de comunicaciones extremo a extremo a escala Internet se ha desarrollado más extremo a escala Internet se ha desarrollado más despacio de lo esperado. Parte de la razón a esto despacio de lo esperado. Parte de la razón a esto es que no ha surgido es que no ha surgido infraestructura de clave públicainfraestructura de clave pública universal o universal o universalmente de confianza (universalmente de confianza (DNSSECDNSSEC fue fue originalmente previsto para esto); otra parte es originalmente previsto para esto); otra parte es que muchos usuarios no comprenden lo que muchos usuarios no comprenden lo suficientemente bien ni sus necesidades ni las suficientemente bien ni sus necesidades ni las opciones disponibles como para promover su opciones disponibles como para promover su inclusión en los productos de los vendedores.inclusión en los productos de los vendedores.

Como el Como el Protocolo de InternetProtocolo de Internet no provee no provee intrínsecamente de ninguna capacidad de intrínsecamente de ninguna capacidad de seguridad, IPsec se introdujo para proporcionar seguridad, IPsec se introdujo para proporcionar servicios de seguridad tales como:servicios de seguridad tales como:

Cifrar el tráfico (de forma que no Cifrar el tráfico (de forma que no pueda ser leido por nadie más que pueda ser leido por nadie más que las partes a las que está dirigido) las partes a las que está dirigido)

Validación de integridad (asegurar Validación de integridad (asegurar que el tráfico no ha sido modificado que el tráfico no ha sido modificado a lo largo de su trayecto) a lo largo de su trayecto)

Autenticar a los extremos (asegurar Autenticar a los extremos (asegurar que el tráfico proviene de un que el tráfico proviene de un extremo de confianza) extremo de confianza)

Anti-repetición (proteger contra la Anti-repetición (proteger contra la repetición de la sesión segura). repetición de la sesión segura).

Modos Modos

Así pues y dependiendo del nivel Así pues y dependiendo del nivel sobre el que se actúe, podemos sobre el que se actúe, podemos establecer dos modos básicos de establecer dos modos básicos de operación de operación de IPsecIPsec: : modo modo transportetransporte y y modo túnelmodo túnel..

Modo transporte Modo transporte En En modo transportemodo transporte, sólo la carga útil (los datos que se , sólo la carga útil (los datos que se

transfieren) del paquete IP es transfieren) del paquete IP es cifradacifrada y/o autenticada. El y/o autenticada. El enrutamiento permanece intacto, ya que no se modifica ni enrutamiento permanece intacto, ya que no se modifica ni se cifra la cabecera IP; sin embargo, cuando se utiliza la se cifra la cabecera IP; sin embargo, cuando se utiliza la cabecera de autenticacióncabecera de autenticación (AH), las direcciones IP no (AH), las direcciones IP no pueden ser pueden ser traducidastraducidas, ya que eso invalidaría el , ya que eso invalidaría el hashhash. Las . Las capas de capas de transportetransporte y aplicación están siempre aseguradas y aplicación están siempre aseguradas por un hash, de forma que no pueden ser modificadas de por un hash, de forma que no pueden ser modificadas de ninguna manera (por ejemplo ninguna manera (por ejemplo traduciendotraduciendo los números de los números de puertopuerto TCP y UDP). El TCP y UDP). El modo transportemodo transporte se utiliza para se utiliza para comunicaciones ordenador a ordenador.comunicaciones ordenador a ordenador.

Una forma de encapsular mensajes IPsec para atravesar Una forma de encapsular mensajes IPsec para atravesar NAT ha sido definido por NAT ha sido definido por RFCsRFCs que describen el mecanismo que describen el mecanismo de de NAT-TNAT-T..

Modo túnel Modo túnel

En el En el modo túnelmodo túnel, todo el paquete IP , todo el paquete IP (datos más cabeceras del mensaje) es (datos más cabeceras del mensaje) es cifrado y/o autenticado. Debe ser entonces cifrado y/o autenticado. Debe ser entonces encapsulado en un nuevo paquete IP para encapsulado en un nuevo paquete IP para que funcione el enrutamiento. El que funcione el enrutamiento. El modo modo túneltúnel se utiliza para comunicaciones red a se utiliza para comunicaciones red a red (túneles seguros entre routers, p.e. red (túneles seguros entre routers, p.e. para para VPNsVPNs) o comunicaciones ordenador a ) o comunicaciones ordenador a red u ordenador a ordenador sobre red u ordenador a ordenador sobre InternetInternet..

Detalles técnicos Detalles técnicos IPsecIPsec consta de dos protocolos que han sido consta de dos protocolos que han sido

desarrollados para proporcionar seguridad a nivel desarrollados para proporcionar seguridad a nivel de paquete, tanto para de paquete, tanto para IPv4IPv4 como para como para IPv6IPv6::

Authentication HeaderAuthentication Header (AH) proporciona (AH) proporciona integridad, autenticación y no repudio si se eligen integridad, autenticación y no repudio si se eligen los algoritmos criptográficos apropiados. los algoritmos criptográficos apropiados.

Encapsulating Security PayloadEncapsulating Security Payload (ESP) (ESP) proporciona confidencialidad y la opción -proporciona confidencialidad y la opción -altamente recomendable- de autenticación y altamente recomendable- de autenticación y protección de integridad. protección de integridad.

Los algoritmos criptográficos definidos para usar Los algoritmos criptográficos definidos para usar con IPsec incluyen con IPsec incluyen HMACHMAC- - SHA1SHA1 para protección para protección de integridad, y de integridad, y Triple DESTriple DES--CBCCBC y y AESAES-CBC para -CBC para confidencialidad. Más detalles en la confidencialidad. Más detalles en la RFC 4305RFC 4305..

Authentication header (AH) Authentication header (AH) AH está dirigido a garantizar integridad sin conexión y AH está dirigido a garantizar integridad sin conexión y

autenticación de los datos de origen de los datagramas IP. Para autenticación de los datos de origen de los datagramas IP. Para ello, calcula un Hash Message Authentication Code (ello, calcula un Hash Message Authentication Code (HMACHMAC) a ) a través de algún algoritmo través de algún algoritmo hashhash operando sobre una clave secreta, operando sobre una clave secreta, el contenido del paquete IP y las partes inmutables del el contenido del paquete IP y las partes inmutables del datagrama. Este proceso restringe la posibilidad de emplear datagrama. Este proceso restringe la posibilidad de emplear NATNAT, , que puede ser implementada con que puede ser implementada con NAT transversalNAT transversal. Por otro lado, . Por otro lado, AH puede proteger opcionalmente contra ataques de repetición AH puede proteger opcionalmente contra ataques de repetición utilizando la técnica de utilizando la técnica de ventana deslizanteventana deslizante y descartando y descartando paquetes viejos. AH protege la carga útil IP y todos los campos de paquetes viejos. AH protege la carga útil IP y todos los campos de la cabecera de un datagrama IP excepto los campos mutantes, es la cabecera de un datagrama IP excepto los campos mutantes, es decir, aquellos que pueden ser alterados en el tránsito. En IPv4, decir, aquellos que pueden ser alterados en el tránsito. En IPv4, los campos de la cabecera IP mutantes (y por lo tanto no los campos de la cabecera IP mutantes (y por lo tanto no autenticados) incluyen autenticados) incluyen TOSTOS, Flags, Offset de fragmentos, , Flags, Offset de fragmentos, TTLTTL y y suma de verificaciónsuma de verificación de la cabecera. AH opera directamente por de la cabecera. AH opera directamente por encima de IP, utilizando el protocolo IP número 51. Un encima de IP, utilizando el protocolo IP número 51. Un cabeceracabecera AH mide 32 bits, he aquí un diagrama de cómo se organizan:AH mide 32 bits, he aquí un diagrama de cómo se organizan:

Significado de los campos:Significado de los campos: Next header  Next header  Identifica el protocolo de los datos transferidos. Identifica el protocolo de los datos transferidos. Payload length  Payload length  Tamaño del paquete AH. Tamaño del paquete AH. RESERVED  RESERVED  Reservado para uso futuro (hasta entonces todo ceros). Reservado para uso futuro (hasta entonces todo ceros). Security parameters index (SPI)  Security parameters index (SPI)  Indica los parámetros de seguridad que, en combinación con la Indica los parámetros de seguridad que, en combinación con la

dirección IP, identifican la asociación de seguridad implementada dirección IP, identifican la asociación de seguridad implementada con este paquete. con este paquete.

Sequence number  Sequence number  Un número siempre creciente, utilizado para evitar ataques de Un número siempre creciente, utilizado para evitar ataques de

repetición. repetición. HMAC  HMAC  Contiene el valor de verificación de integridad (ICV) necesario Contiene el valor de verificación de integridad (ICV) necesario

para autenticar el paquete; puede contener relleno. para autenticar el paquete; puede contener relleno.

Encapsulating Security Payload Encapsulating Security Payload (ESP) (ESP)

El protocolo ESP proporciona autenticidad de El protocolo ESP proporciona autenticidad de origen, integridad y protección de origen, integridad y protección de confidencialidad de un paquete. ESP también confidencialidad de un paquete. ESP también soporta configuraciones de sólo cifrado y sólo soporta configuraciones de sólo cifrado y sólo autenticación, pero utilizar cifrado sin autenticación, pero utilizar cifrado sin autenticación está altamente desaconsejado autenticación está altamente desaconsejado porque es inseguroporque es inseguro11 22 .3 Al contrario que con AH, .3 Al contrario que con AH, la cabecera del paquete IP no está protegida por la cabecera del paquete IP no está protegida por ESP (aunque en ESP en modo túnel, la protección ESP (aunque en ESP en modo túnel, la protección es proporcionada a todo el paquete IP interno, es proporcionada a todo el paquete IP interno, incluyendo la cabecera interna; la cabecera incluyendo la cabecera interna; la cabecera externa permanece sin proteger). ESP opera externa permanece sin proteger). ESP opera directamente sobre IP, utilizando el protocolo IP directamente sobre IP, utilizando el protocolo IP número 50.número 50.

Un diagrama de paquete ESP:Un diagrama de paquete ESP:

Significado de los camposSignificado de los campos Security parameters index (SPI)  Security parameters index (SPI)  Identifica los parámetros de seguridad en combinación con la dirección IP. Identifica los parámetros de seguridad en combinación con la dirección IP. Sequence number  Sequence number  Un número siempre creciente, utilizado para evitar ataques de repetición. Un número siempre creciente, utilizado para evitar ataques de repetición. Payload data  Payload data  Los datos a transferir. Los datos a transferir. Padding  Padding  Usado por algunos algoritmos criptográficos para rellenar por completo los Usado por algunos algoritmos criptográficos para rellenar por completo los

bloques. bloques. Pad length  Pad length  Tamaño del relleno en bytes. Tamaño del relleno en bytes. Next header  Next header  Identifica el protocolo de los datos transferidos. Identifica el protocolo de los datos transferidos. Authentication data  Authentication data  Contiene los datos utilizados para autenticar el paquete. Contiene los datos utilizados para autenticar el paquete.

Implementaciones Implementaciones

El soporte de IPsec está normalmente El soporte de IPsec está normalmente implementado en el núcleo con la gestión implementado en el núcleo con la gestión de claves y negociación de ISAKMP/IKE de claves y negociación de ISAKMP/IKE realizada en espacio de usuario. Las realizada en espacio de usuario. Las implementaciones de IPsec existentes implementaciones de IPsec existentes suelen incluir ambas funcionalidades. Sin suelen incluir ambas funcionalidades. Sin embargo, como hay un interfaz estándar embargo, como hay un interfaz estándar para la gestión de claves, es posible para la gestión de claves, es posible controlar una pila IPsec de núcleo controlar una pila IPsec de núcleo utilizando las herramientas de gestión de utilizando las herramientas de gestión de claves de una implementación distinta.claves de una implementación distinta.

Establecimiento de una conexión Establecimiento de una conexión IPsecIPsec

IPsecIPsec viene de viene de Internet Protocol Internet Protocol SecuritySecurity o o Protocolo de Seguridad de Protocolo de Seguridad de InternetInternet. Es una solución de Red . Es una solución de Red Virtual Privada en la cual se Virtual Privada en la cual se establece una conexión encriptada establece una conexión encriptada entre dos sistemas (entre dos sistemas (host-a-hosthost-a-host) o ) o dos redes (dos redes (red-a-redred-a-red). ).

Configuración de host-a-host Configuración de host-a-host

Una conexión IPsec host-a-host es una Una conexión IPsec host-a-host es una conexión encriptada entre dos sistemas, conexión encriptada entre dos sistemas, ambos ejecutando IPsec con la misma ambos ejecutando IPsec con la misma llave de autenticación. Con la conexión llave de autenticación. Con la conexión IPsec activa, cualquier tráfico de la red IPsec activa, cualquier tráfico de la red entre los dos hosts es encriptada. entre los dos hosts es encriptada.

Para configurar una conexión IPsec host-a-Para configurar una conexión IPsec host-a-host, siga los siguientes pasos para cada host, siga los siguientes pasos para cada host: host:

Inicie la Inicie la Herramienta de administración de redesHerramienta de administración de redes.. Desde la pestaña Desde la pestaña IPsecIPsec, seleccione , seleccione NuevoNuevo.. Pulse Pulse SiguienteSiguiente para iniciar la configuración de la conexión IPsec host- para iniciar la configuración de la conexión IPsec host-

a-host. a-host. Proporcione un apodo de una sola palabra tal como Proporcione un apodo de una sola palabra tal como ipsec0ipsec0 para la para la

conexión, y seleccione si la conexión se debería activar conexión, y seleccione si la conexión se debería activar automáticamente cuando la computadora arranca. Pulse en automáticamente cuando la computadora arranca. Pulse en SiguienteSiguiente..

Seleccione Seleccione Encriptación de host-a-hostEncriptación de host-a-host como el tipo de conexión. como el tipo de conexión. Pulse en Pulse en SiguienteSiguiente..

Seleccione el tipo de encriptación a utilizar: manual o automática.Seleccione el tipo de encriptación a utilizar: manual o automática. Si el tipo seleccionado es manual, más adelante en el proceso se debe Si el tipo seleccionado es manual, más adelante en el proceso se debe

proporcionar una llave de encriptación. Si se selecciona el tipo proporcionar una llave de encriptación. Si se selecciona el tipo automático, el demonio racoon es utilizado para gestionar la llave de automático, el demonio racoon es utilizado para gestionar la llave de encriptación. Si utiliza racoon, debe tener instalado el paquete ipsec-encriptación. Si utiliza racoon, debe tener instalado el paquete ipsec-tools.tools.

Haga clic en el botón Haga clic en el botón SiguienteSiguiente para continuar. para continuar. Especifique la dirección IP del otro host.Especifique la dirección IP del otro host. Si desconoce la dirección IP del otro sistema, ejecute el comando Si desconoce la dirección IP del otro sistema, ejecute el comando

/sbin/ifconfig /sbin/ifconfig <dispositivo><dispositivo> en el otro sistema, donde en el otro sistema, donde <dispositivo><dispositivo> es es el dispositivo Ethernet usado para conectarse al otro host. Si solamente el dispositivo Ethernet usado para conectarse al otro host. Si solamente existe una tarjeta Ethernet en el sistema, el nombre del dispositivo es existe una tarjeta Ethernet en el sistema, el nombre del dispositivo es eth0. La dirección IP es el número que sigue la etiqueta inet addr:.eth0. La dirección IP es el número que sigue la etiqueta inet addr:.

Haga clic en el botón Haga clic en el botón SiguienteSiguiente para continuar. para continuar.

Si seleccionó la encriptación manual en el paso 6, Si seleccionó la encriptación manual en el paso 6, especifique la llave de encriptación a utilizar o pulse en especifique la llave de encriptación a utilizar o pulse en GenerarGenerar para crear una. para crear una.

Indique una llave de autenticación o pulse en Indique una llave de autenticación o pulse en GenerarGenerar para generar una. Puede ser cualquier combinación de para generar una. Puede ser cualquier combinación de números y letras.números y letras.

Haga clic en el botón Haga clic en el botón SiguienteSiguiente para continuar. para continuar. Verifique la información en la página Verifique la información en la página Resúmen IPsec —Resúmen IPsec —

y pulse en y pulse en AplicarAplicar.. Seleccione Seleccione ArchivoArchivo => => GuardarGuardar para guardar la para guardar la

configuración. configuración. Seleccione la conexión IPsec desde la lista y luego pulse Seleccione la conexión IPsec desde la lista y luego pulse

en en ActivarActivar.. Repita para el próximo host. Es extremadamente Repita para el próximo host. Es extremadamente

importante que se usen las mismas llaves desde el paso importante que se usen las mismas llaves desde el paso 8 en los otros hosts. De lo contrario, IPsec no funcionará. 8 en los otros hosts. De lo contrario, IPsec no funcionará.

Después de haber configurado la conexión IPsec, ésta aparece en la Después de haber configurado la conexión IPsec, ésta aparece en la

lista IPsec como se muestra en la Figura 19-22lista IPsec como se muestra en la Figura 19-22

Conexión de red-a-red (VPN)Conexión de red-a-red (VPN)

Una conexión IPsec red-a-red utiliza dos Una conexión IPsec red-a-red utiliza dos enrutadores IPsec, uno para cada red, a enrutadores IPsec, uno para cada red, a través del cual se enruta el tráfico de la través del cual se enruta el tráfico de la red para las subredes privadas. red para las subredes privadas.

Por ejemplo, como se muestra en la Figura Por ejemplo, como se muestra en la Figura 19-23, si la red privada 192.168.0/24 19-23, si la red privada 192.168.0/24 desea enviar el tráfico de la red a la red desea enviar el tráfico de la red a la red privada 192.168.2.0/24, los paquetes privada 192.168.2.0/24, los paquetes pasan a través gateway0, a ipsec0, a pasan a través gateway0, a ipsec0, a través de la Internet, a psec1, a gateway1, través de la Internet, a psec1, a gateway1, y a la subred 192.168.2.0/24. y a la subred 192.168.2.0/24.