IPsec y Certificados IPsec y Certificados Digitales en Windows Digitales en Windows

2003 Server2003 Server

IPsecIPsec

(IP security). Conjunto de (IP security). Conjunto de protocolosprotocolos para la seguridad en comunicaciones para la seguridad en comunicaciones IPIP mediante la autentificación y/o mediante la autentificación y/o encriptación de cada paquete IP.encriptación de cada paquete IP.

Los protocolos IPsec se ubican en la Los protocolos IPsec se ubican en la capa de red o capa 3 del modelo OSI. capa de red o capa 3 del modelo OSI. Otros protocolos de seguridad, como Otros protocolos de seguridad, como SSL y TLS, operan desde la capa de SSL y TLS, operan desde la capa de transporte hacia arriba (capas 4 a 7). transporte hacia arriba (capas 4 a 7). Esto hace a IPsec más flexible, pues Esto hace a IPsec más flexible, pues puede ser usada para proteger tanto puede ser usada para proteger tanto protocolos basados en TCP o UDP, pero protocolos basados en TCP o UDP, pero incrementa su complejidad y incrementa su complejidad y procesamiento.procesamiento.

Modos de Operación de Modos de Operación de IPsecIPsec Existen dos modos de Existen dos modos de

operaciones del IPsec:operaciones del IPsec:

* Modo transporte (Transport * Modo transporte (Transport mode): En este modo, solamente mode): En este modo, solamente la carga útil (el mensaje) del la carga útil (el mensaje) del paquete IP es encriptada.paquete IP es encriptada.

* Modo túnel (Tunnel mode): en * Modo túnel (Tunnel mode): en este modo, el paquete IP este modo, el paquete IP completo es encriptado. Debe ser completo es encriptado. Debe ser luego encapsulado en un nuevo luego encapsulado en un nuevo paquete IP para tareas de ruteo.paquete IP para tareas de ruteo.

Introducción a los Introducción a los Certificados DigitalesCertificados Digitales Los certificados digitales son Los certificados digitales son

archivos electrónicos que archivos electrónicos que funcionan como una contraseña,funcionan como una contraseña, en línea para comprobar la identidad en línea para comprobar la identidad de un usuario o equipo. de un usuario o equipo.

Un certificado es una declaración Un certificado es una declaración digital emitida por una entidad de digital emitida por una entidad de certificación (CA) que garantiza la certificación (CA) que garantiza la identidad del poseedor del certificado identidad del poseedor del certificado y permite que las partes se y permite que las partes se comuniquen de forma segura comuniquen de forma segura mediante el cifrado. mediante el cifrado.

Los Certificados Los Certificados Digitales Hacen lo Digitales Hacen lo Siguiente:Siguiente: Dan fe de que sus titulares Dan fe de que sus titulares

(personas, sitios web e incluso (personas, sitios web e incluso recursos de red como recursos de red como enrutadores) son de verdad enrutadores) son de verdad quien dicen ser.quien dicen ser.

Protegen los datos que se Protegen los datos que se intercambian en línea contra las intercambian en línea contra las manipulaciones o los robos.manipulaciones o los robos.

Los certificados digitales pueden ser Los certificados digitales pueden ser emitidos por una entidad de emitidos por una entidad de certificación de terceros o por una certificación de terceros o por una infraestructura de clave pública de infraestructura de clave pública de Microsoft Windows de confianza Microsoft Windows de confianza mediante el uso de los servicios de mediante el uso de los servicios de Certificate Server, o también se Certificate Server, o también se pueden autofirmar. pueden autofirmar.

Cada tipo de certificado tiene sus Cada tipo de certificado tiene sus ventajas y desventajas. Todos los ventajas y desventajas. Todos los tipos de certificado digital están tipos de certificado digital están protegidos contra las manipulaciones protegidos contra las manipulaciones y no se pueden falsificar. y no se pueden falsificar.

Se pueden Emitir Se pueden Emitir Certificados para varios Certificados para varios usos. Por ejemplo:usos. Por ejemplo: Autenticación de usuario web, Autenticación de usuario web, Autenticación de servidor web, Autenticación de servidor web, Extensiones Extensiones

multipropósito/seguras al multipropósito/seguras al correo de Internet (S/MIME), correo de Internet (S/MIME),

Protocolo de seguridad de Protocolo de seguridad de Internet (IPsec), Internet (IPsec),

Seguridad de nivel de Seguridad de nivel de transporte (TLS) y firmas de transporte (TLS) y firmas de código.código.

Tipos de CertificadosTipos de Certificados

Se suelen usar tres tipos de Se suelen usar tres tipos de certificados digitales principales: certificados digitales principales: certificados autofirmadoscertificados autofirmados

certificados generados por una certificados generados por una infraestructura de clave pública infraestructura de clave pública (PKI) de Windows  (PKI) de Windows 

Certificados emitidos por Certificados emitidos por terceros.terceros.

Certificados Certificados AutofirmadosAutofirmados

Cuando instala Exchange 2007, se Cuando instala Exchange 2007, se configura de manera automática un configura de manera automática un certificado autofirmado. La aplicación certificado autofirmado. La aplicación que creó este certificado autofirmado que creó este certificado autofirmado es la que lo firma.es la que lo firma.

El asunto y el nombre del certificado El asunto y el nombre del certificado son iguales. El emisor y el asunto se son iguales. El emisor y el asunto se definen en el certificado. Un definen en el certificado. Un certificado autofirmado permite a certificado autofirmado permite a algunos protocolos de cliente usar algunos protocolos de cliente usar SSL para sus comunicaciones.SSL para sus comunicaciones.

Con frecuencia, las organizaciones de Con frecuencia, las organizaciones de menor tamaño deciden no usar un menor tamaño deciden no usar un certificado de terceros o no instalar certificado de terceros o no instalar su propia PKI para emitir certificados su propia PKI para emitir certificados debido al gasto que supone, a la falta debido al gasto que supone, a la falta de experiencia y conocimientos de de experiencia y conocimientos de sus administradores para crear su sus administradores para crear su propia jerarquía de certificados, o a propia jerarquía de certificados, o a ambas razones.ambas razones.

Certificados de Certificados de infraestructura de clave infraestructura de clave

pública de Windowspública de Windows

El segundo tipo de certificado son El segundo tipo de certificado son los certificados generados por una los certificados generados por una PKI de Windows. Una PKI de Windows. Una infraestructura de clave pública infraestructura de clave pública (PKI) es un sistema de certificados (PKI) es un sistema de certificados digitales, entidades de digitales, entidades de certificación (CA) y entidades de certificación (CA) y entidades de registro (RA), que comprueban y registro (RA), que comprueban y autentican la validez de cada parte autentican la validez de cada parte implicada en una transacción implicada en una transacción electrónica mediante el uso de electrónica mediante el uso de criptografía con claves públicas criptografía con claves públicas

Certificados de terceros de Certificados de terceros de confianzaconfianza

Los certificados comerciales Los certificados comerciales o de terceros son o de terceros son certificados generados por certificados generados por una CA externa o comercial, una CA externa o comercial, adquiridos para usarlos en adquiridos para usarlos en sus servidores de red. sus servidores de red.

Uno de los problemas de los Uno de los problemas de los certificados autofirmados o certificados autofirmados o basados en PKI es que, basados en PKI es que, debido a que la confianza del debido a que la confianza del certificado no se realiza de certificado no se realiza de manera automática por el manera automática por el equipo o dispositivo móvil equipo o dispositivo móvil del cliente, debe asegurarse del cliente, debe asegurarse de importarlo en el almacén de importarlo en el almacén de certificados raíz de de certificados raíz de confianza de los dispositivos confianza de los dispositivos y los equipos del cliente. y los equipos del cliente.

Para las organizaciones de mayor Para las organizaciones de mayor tamaño o las que deben tamaño o las que deben implementar certificados de forma implementar certificados de forma pública, el uso de certificados pública, el uso de certificados comerciales o de terceros es la comerciales o de terceros es la mejor solución, a pesar del costo mejor solución, a pesar del costo que llevan asociado.que llevan asociado.

Los certificados comerciales Los certificados comerciales pueden no ser la mejor solución pueden no ser la mejor solución para las organizaciones de para las organizaciones de pequeño o mediano tamaño, para pequeño o mediano tamaño, para las que puede preferir usar alguna las que puede preferir usar alguna de las otras opciones de de las otras opciones de certificados que hay disponibles.certificados que hay disponibles.