214
La primera parte, IKE, es la fase de negociación inicial, donde los dos puntos finales
VPN concuerdan en cuáles métodos serán utilizados para entregar seguridad para el
tráfico IP subyascente. Además, IKE es utilizado para administrar conexiones
definiendo un grupo de Asociaciones de Seguridad, SAs, para cada conexión. SAs es
unidireccional, de modo que habrán al menos dos SAs por conexión.
La segunda parte es la actual transferencia de datos IP, utilizando los métodos de
Encriptación y autentificación acordados en la negociación IKE. Esto puede ser
logrado por varios caminos; utilizando protocolos IPsec ESP, AH, o una combinación
de ambos.
El flujo de operación puede ser brevemente descrita como lo siguiente:
IKE negocia cómo IKE debe ser protegido
•
IKE negocia cómo IPsec debe ser protegido
•
IPsec mueve datos en VPN
•
22.1.1
Protocolos IPsec
Existen dos tipos primarios de protocolo IPsec: el protocolo de Encapsulating Security
Payload (ESP) y el protocolo de Authentication Header (AH).
ESP
ESP entrega tanto autentificación y encriptación a los paquetes de datos.
AH
AH entrega solo autentificación pero no encriptación a los paquetes de datos.
AH no entrega confidenciabilidad a la transferencia de datos y es raramente utilizado;
éste NO es soportado por los Firewalls D-Link.
Dónde o no modifica el protocolo IPsec al header IP original depende de los modos
IPsec.
22.1.2
Modos de Encapsulación IPsec
IPsec soporta dos modos diferentes: Modos de Transporte y Túnel.
Modo de Transporte – encapsula los datos del paquete y deja el header IP sin
modificación, lo cual es típicamente utilizado en un escenario cliente-a-puerta de enlace.
Guía de Usuario de los Firewalls D-Link
Capítulo 22. Protocolos & Túneles VPN