Encriptación a nivel de enlace
Es la forma de protección criptográfica más transparente tanto para los controladores de los dispositivos como para las aplicaciones.
Esta protección solo afecta a un enlace individual. La ventaja principal es que el paquete es encriptado por completo, incluyendo las direcciones de origen y destino lo que deja fuera de riesgo la comunicación. Aunque el problema es que solo protege un enlace en particular: si un mensaje debe atravesar mas de un enlace, será vulnerable en el nodo intermedio y en el siguiente enlace, si éste no está protegido.
Por lo tanto, el encriptado a nivel de enlace es útil para proteger solo trafico local o unas pocas líneas de enlace muy vulnerables o críticas (como por ejemplo circuitos satelitales).
Encriptación a nivel de transporte y a nivel de red
El Protocolo de Seguridad de la Capa de Red (Network Layer Security Protocol - NLSP) y el Protocolo de Seguridad de la Capa de Transporte (Transport Layer Security Protocol - TLSP) permiten a los sistemas comunicarse de forma segura sobre Internet. Estos son transparentes para la mayor parte de las aplicaciones. La función de encriptado afecta a todas las comunicaciones que ocurran a lo largo de diferentes sistemas.
Ambos protocolos están basados en el concepto de id de clave o key-id; éste es transmitido sin encriptar junto con el paquete encriptado. Permite controlar el comportamiento de los mecanismos de encriptado y desencriptado: especifica el algoritmo de encriptado, el tamaño del bloque de encriptado, el mecanismo de control de integridad usado, el período de validez de la clave, etc. Utiliza un mecanismo de administración de claves para intercambiar calves e ids de claves.
Ambos protocolos difieren notablemente en la granularidad de la protección.
TLSP está limitado a conexiones individuales tales como circuitos virtuales creados en TCP. Diferentes circuitos entre el mismo par de hosts pueden ser protegidos con diferentes claves. El segmento TCP completo (incluyendo el encabezado) es encriptado. Este nuevo segmento es enviado al protocolo IP, con un identificado de protocolo diferente. Al recibir el paquete, IP envía el paquete a TLSP, que luego de desencriptar y verificar el paquete, lo pasa a TCP
NLSP Ofrece más opciones que TLSP. Puede ser instalado en un router, y proteger así la subred completa.
NLSP opera por encapsulación o “tunneling”. En modo túnel, el paquete IP es encriptado y luego es adjuntado a un nuevo paquete IP. La dirección IP en este encabezado puede diferir de aquella del paquete original ofreciendo una defensa contra el análisis de tráfico.
El modo encapsulación es suficiente si los dos sistemas finales de una comunicación NLSP están conectados a la misma red. La creación del nuevo encabezado IP es omitida, el paquete NLSP encriptado es enviado directamente a la capa subyacente.
La granularidad de la protección provista por NLSP depende de donde es situado. Si NLSP se encuentra en un host, se garantiza la seguridad para toda comunicación del mismo, no para un proceso individual. Implementado en un router puede proveer seguridad para todos los mensajes originados en algún lugar de la red protegida. Permite aislar las variables criptográficas en una “caja”.
Estos protocolos no exigen ninguna restricción de comunicación, es decir, cualquier host protegido puede comunicarse con cualquier otro. Los patrones de comunicación son una cuestión administrativa, estas decisiones son aplicadas por los sistemas de encriptado y los mecanismos de distribución de claves.
La Arquitectura de Seguridad para el Protocolo de Internet (IPsec) provee un marco de seguridad que cubre varios aspectos necesarios para una solución apropiada [RFC-2401].
IPsec – Arquitectura de Seguridad para IP
IPsec está diseñado para proveer seguridad basada en criptografía, de alta calidad e interoperable para Ipv4 e Ipv6. Los servicios de seguridad ofrecidos incluyen control de acceso, integridad en comunicaciones sin conexión, autenticación del origen de datos, protección contra ataques de repetición, confidencialidad mediante encriptado, entre otros. Estos servicios son provistos en la capa IP ofreciendo protección para ésta y las capas superiores.
Para ofrecer tales servicios, IPsec utiliza dos protocolos de seguridad de tráfico, AH (Authentication Header) y ESP (Encapsulating Security Payload) además del uso de protocolos y procedimientos de administración de claves criptográficas. El protocolo de administración automática de claves por defecto es IKE. IKE es usado para establecer una política de seguridad compartida y claves autenticadas para servicios que las requieran (como IPsec). Antes del envío de trafico IPsec, cada router/firewall/host debe ser capaz de verificar la identidad de su par. Esto puede ser hecho manualmente entregando claves pre-compartidas en ambos hosts.
El conjunto de protocolos de seguridad utilizados y la forma en que son empleados estará determinado por requerimientos del sistema y de seguridad de los usuarios y aplicaciones.
Los mecanismos utilizados por IPsec están diseñados para ser independientes de los algoritmos empleados. Esta modularidad permite la selección de diferentes conjuntos de algoritmos sin afectar las otras partes del sistema.
De todas formas, IPsec propone un conjunto de algoritmos por defecto para ser usados y proveer interoperabilidad en Internet.
AH y ESP
El Encabezado de Autenticación (Authentication Header - AH) de IP provee integridad para comunicación sin conexión y autenticación del origen de datos para datagramas IP y para proveer protección ante ataques de repetición [RFC-2402] [RFC-2406].
AH provee autenticación para la mayor parte de la información del encabezado IP y para los protocolos del nivel superior. No todos los campos del encabezado IP son protegidos ya que son modificados en tránsito.
AH puede ser aplicado solo, en combinación con ESP (Encapsulating Security Payload), o de forma anidada a través del uso del modo túnel. Los servicios de seguridad pueden establecerse entre un par de sistemas finales, entre un par de gateways de seguridad o entre un gateway o un sistema final.
ESP puede ser usado para proveer los mismos servicios de seguridad, y también provee un servicio de encriptación. La principal diferencia entre la seguridad provista por ESP y AH es el alcance de la protección. Específicamente, ESP no protege ningún campo del encabezado IP (excepto en modo túnel, donde los datos encriptados por ESP corresponden a otro paquete IP).