Imprimir

IPSec

🔐 ¿Qué es IPsec?

IPsec es un conjunto de protocolos para proteger las conexiones entre dispositivos. Ayuda a mantener seguros los datos enviados a través de redes públicas, encriptando los paquetes IP y autenticando su origen.

Dato clave: "IP" significa Protocolo de Internet y "sec" significa "seguro".

📌 ¿Por qué es importante?

Las redes no son seguras por defecto. IPsec actúa como el sobre que protege una carta: envuelve los datos para que no puedan ser leídos por terceros mientras atraviesan Internet.

🎯 ¿Cuáles son los usos?

  • Proteger datos entre routers que cruzan redes públicas.
  • Cifrar aplicaciones que manejan datos sensibles.
  • Autenticar que los datos provienen de un origen confiable.
  • Establecer túneles cifrados que protegen todo el tráfico.

🔑 ¿Qué es el cifrado IPsec?

El cifrado es el proceso de codificar datos para que no puedan ser leídos por usuarios no autorizados. IPsec utiliza cifrado asimétrico (clave pública/privada) para establecer la conexión, y luego cambia a cifrado simétrico (misma clave para cifrar y descifrar) para velocidad.

⚙️ ¿Cómo funciona IPsec?

  • Intercambio de claves: Se negocian claves para cifrar y descifrar los mensajes.
  • Encabezados y tráilers: Se añaden estructuras que contienen la info de autenticación y cifrado.
  • Autenticación: Verifica que cada paquete venga de una fuente legítima.
  • Cifrado: Protege la carga útil y cabecera IP para mantener la privacidad.
  • Transmisión: Se realiza por UDP, lo que permite atravesar firewalls fácilmente.
  • Descifrado: Al llegar, los datos son desbloqueados para ser usados por la aplicación.

📌 Beneficios de IPsec

IPsec ofrece una serie de beneficios, incluidos los siguientes:

  • Cifrado de datos: Todos los datos transmitidos por internet se cifran, lo que impide que los ciberdelincuentes los intercepten y lean.
  • Autenticación: Verifica la identidad de los puntos extremos y previene el acceso no autorizado.
  • Integridad: Garantiza que los datos recibidos no han sido modificados durante la transmisión.
  • Compatibilidad: IPsec es ampliamente soportado por dispositivos y sistemas operativos empresariales.

🔧 Preparación para la configuración de IPsec

Una VPN IPsec de sitio a sitio requiere una preparación cuidadosa para asegurar compatibilidad y seguridad.

1. Compatibilidad de la red

  • Ambos sitios deben usar equipos compatibles con IPsec (Cisco, Fortinet, MikroTik, etc.).
  • Verifique que cada red tenga subredes LAN distintas para evitar conflictos.
  • Ejemplo:
    - Sitio A (Lagos): 10.3.0.0/24
    - Sitio B (Nueva York): 10.5.0.0/24

2. Información de cada sitio

Antes de configurar el túnel IPsec, recopile la siguiente información:

Sitio Sitio A (Lagos) Sitio B (Nueva York)
IP WAN 196.52.100.3 201.0.115.2
Subred LAN 10.3.0.0/24 10.5.0.0/24
IP Gateway LAN 10.3.0.1 10.5.0.1

3. Parámetros de seguridad recomendados

  • Autenticación: Clave precompartida (PSK) — usa una clave segura (ej. My$tr0ngK3y!2024).
  • Cifrado: AES-256.
  • Algoritmo hash: SHA-256 o superior.
  • Grupo DH: modp2048 (o modp4096 si se necesita más seguridad).

🧠 Resumen y Consejo 

Resumen: IPsec permite construir un canal seguro entre dos sedes, cifrando los datos, validando la identidad de los dispositivos y asegurando que la información no se altere en el camino.

Consejo Katana: "Una configuración IPsec bien hecha es como una espada afilada: protege con firmeza, pero solo si cada parte está perfectamente alineada. Verifica cada parámetro como si tu reputación dependiera de ello... porque así es."

4. Planificar políticas de túneles

Planifique cómo fluirá el tráfico a través del túnel VPN:

  • Tráfico permitido: Decide si deseas permitir todo el tráfico o restringir tipos específicos (por ejemplo, HTTP, FTP, puertos específicos).
  • Reglas del firewall: Asegúrate de permitir tráfico entrante/saliente del túnel. Por defecto, muchos firewalls bloquean VPNs, por lo que se deben crear reglas explícitas en ambos sitios.

5. Verificar el acceso a Internet

Ambos sitios deben contar con una conexión a Internet estable y con IP pública.

  • Evita usar direcciones IP dinámicas, ya que pueden causar interrupciones.
  • Si son inevitables, considera usar un servicio de DNS dinámico (DDNS).

6. Probar conectividad de red

Antes de configurar el túnel, prueba la conectividad entre los sitios:

  • Usa herramientas como ping o traceroute desde ambos extremos.
  • Verifica que no haya bloqueos de ISP o firewalls intermedios.

7. Lista de verificación previa a la configuración

Confirma los siguientes puntos antes de iniciar la configuración:

  • ✔️ Ambos sitios tienen routers/firewalls compatibles con IPsec.
  • ✔️ Las IPs WAN y LAN están asignadas y documentadas correctamente.
  • ✔️ Las configuraciones de cifrado y autenticación coinciden en ambos extremos.
  • ✔️ Las reglas del firewall permiten el tráfico del túnel IPsec.
  • ✔️ Las claves precompartidas (PSK) están listas y protegidas.
🔐 Consejo: Este checklist te asegura que no falte ningún parámetro crítico. La mayoría de los errores de túnel IPsec ocurren por saltarse alguno de estos pasos previos.

🌐 Configuración IPsec FortiGate – Lagos ↔ Nueva York

📡 Datos de Red

  • Sitio A – Lagos
    • WAN: 196.52.100.3
    • LAN: 10.3.0.0/24
  • Sitio B – Nueva York
    • WAN: 201.0.115.2
    • LAN: 10.5.0.0/24

✅ Sitio A – Lagos (FortiGate)

Direcciones:

config firewall address
   edit "Lagos_local"
       set allow-routing enable
       set subnet 10.3.0.0 255.255.255.0
   next
   edit "NY_remote"
       set allow-routing enable
       set subnet 10.5.0.0 255.255.255.0
   next
end

🔍 Se definen los objetos de red locales y remotos.

Fase 1 IPsec:

config vpn ipsec phase1-interface
   edit "VPN_TO_NY"
       set interface "wan"
       set peertype any
       set net-device disable
       set proposal aes128-sha256
       set remote-gw 201.0.115.2
       set psksecret Jose-Lagos-NY-2025
   next
end

🔐 Define la conexión segura: IP remota, cifrado y PSK.

Fase 2 IPsec:

config vpn ipsec phase2-interface
   edit "VPN_TO_NY"
       set phase1name "VPN_TO_NY"
       set proposal aes128-sha256
       set src-name "Lagos_local"
       set dst-name "NY_remote"
   next
end

🛠️ Indica qué subredes cruzarán el túnel.

Políticas de Firewall:

config firewall policy
   edit 1
       set name "Lagos_to_NY"
       set srcintf "lan"
       set dstintf "VPN_TO_NY"
       set srcaddr "Lagos_local"
       set dstaddr "NY_remote"
       set action accept
       set schedule "always"
       set service "ALL"
       set nat disable
   next
   edit 2
       set name "NY_to_Lagos"
       set srcintf "VPN_TO_NY"
       set dstintf "lan"
       set srcaddr "NY_remote"
       set dstaddr "Lagos_local"
       set action accept
       set schedule "always"
       set service "ALL"
       set nat disable
   next
end

🔒 Políticas sin NAT, permiten ida y retorno.

Rutas Estáticas:

config router static
   edit 1
       set device "VPN_TO_NY"
       set dstaddr 10.5.0.0 255.255.255.0
       set comment "RUTA hacia NY"
   next
   edit 2
       set distance 250
       set blackhole enable
       set dstaddr 10.5.0.0 255.255.255.0
       set comment "Blackhole si túnel cae"
   next
end

📍 Una ruta hacia la LAN remota y un blackhole por seguridad.

✅ Sitio B – Nueva York (FortiGate)

Direcciones:

config firewall address
   edit "NY_local"
       set allow-routing enable
       set subnet 10.5.0.0 255.255.255.0
   next
   edit "Lagos_remote"
       set allow-routing enable
       set subnet 10.3.0.0 255.255.255.0
   next
end

🔍 Define objetos IP locales y remotos.

Fase 1 IPsec:

config vpn ipsec phase1-interface
   edit "VPN_TO_LAGOS"
       set interface "wan"
       set local-gw 201.0.115.2
       set remote-gw 196.52.100.3
       set peertype any
       set net-device disable
       set proposal aes128-sha256
       set psksecret Jose-Lagos-NY-2025
   next
end

🔐 Misma clave PSK, IP local especificada.

Fase 2 IPsec:

config vpn ipsec phase2-interface
   edit "VPN_TO_LAGOS"
       set phase1name "VPN_TO_LAGOS"
       set proposal aes128-sha256
       set src-name "NY_local"
       set dst-name "Lagos_remote"
   next
end

🛠️ Coincide con subredes del otro extremo.

Políticas de Firewall:

config firewall policy
   edit 1
       set name "NY_to_Lagos"
       set srcintf "lan"
       set dstintf "VPN_TO_LAGOS"
       set srcaddr "NY_local"
       set dstaddr "Lagos_remote"
       set action accept
       set schedule "always"
       set service "ALL"
       set nat disable
   next
   edit 2
       set name "Lagos_to_NY"
       set srcintf "VPN_TO_LAGOS"
       set dstintf "lan"
       set srcaddr "Lagos_remote"
       set dstaddr "NY_local"
       set action accept
       set schedule "always"
       set service "ALL"
       set nat disable
   next
end

🔒 Igual que en sitio A, sin NAT.

Rutas Estáticas:

config router static
   edit 1
       set device "VPN_TO_LAGOS"
       set dstaddr 10.3.0.0 255.255.255.0
       set comment "RUTA hacia Lagos"
   next
   edit 2
       set distance 250
       set blackhole enable
       set dstaddr 10.3.0.0 255.255.255.0
       set comment "Blackhole si túnel cae"
   next
end

📍 Ruta hacia Lagos y seguridad con blackhole.

🔍 Diagnóstico Básico del Túnel IPsec

  • ✅ Verifica el estado del túnel: 
    get vpn ipsec tunnel summary
  • ✅ Haz ping desde la LAN (nunca desde la WAN): 
    exec ping-options source 10.5.0.1
  • ✅ Revisa tabla de rutas: 
    get router info routing-table all
  • ✅ Confirma que las políticas permiten el paso.
  • ✅ Revisa logs en "Forward Traffic".

🧠 Consejo 

“Un túnel caído no siempre está roto...
A veces solo está mal interpretado.”