IPsec - Protocolo de túnel  de seguridad de Internet

1️⃣ ALEGORÍA + 🧠 EXPLICACIÓN TÉCNICA

ALEGORÍA PARA COMPRENDER IPsec

Imagina que dos castillos (dos equipos remotos) desean enviarse mensajes secretos por un camino lleno de bandidos. Si usaran solo tinta normal y un papel abierto, cualquiera que intercepte el mensaje podría leerlo (como ocurre en internet sin cifrado). Entonces deciden hacer algo más avanzado:

  1. AH (Authentication Header) es como sellar el sobre con un sello de cera único y firma secreta. Así, si alguien cambia una letra o toca el sobre, se nota. Pero cualquiera que lo intercepte aún puede leer el contenido, solo que no puede modificarlo sin romper el sello.

  2. ESP (Encapsulating Security Payload) es como meter el mensaje dentro de un sobre blindado cerrado con llave. Nadie puede leer lo que hay dentro (está cifrado). Y también incluye el sello secreto como AH para verificar que no se ha alterado.

  3. En modo transporte, los castillos están cerca y se mandan solo el mensaje secreto directamente.

  4. En modo túnel, los castillos están muy lejos y deben enviar el sobre a través de un camino que pasa por muchas aldeas (como Internet). Entonces, meten el sobre blindado dentro de una caja grande con una etiqueta falsa (nuevo encabezado IP) para despistar a los bandidos.

Así, nadie ve ni de quién es el mensaje ni qué dice.

🧠 EXPLICACIÓN TÉCNICA

IPsec (Internet Protocol Security) es un conjunto de protocolos de red que protege la comunicación IP mediante autenticación, integridad y confidencialidad.

Opera en la capa 3 (red) del modelo OSI, lo que le permite proteger cualquier tipo de tráfico IP, independientemente de la aplicación o protocolo superior. A diferencia de TLS (capa 7), no necesita integrarse con aplicaciones, lo que lo hace ideal para asegurar tráfico entre redes o entre hosts de forma transparente.

📌 Componentes de IPsec:

  • AH (Authentication Header):

    • Autentica el paquete completo (incluyendo el encabezado IP).

    • Proporciona integridad y autenticación, pero no cifrado.

    • El hash se hace con una clave compartida secreta.

  • ESP (Encapsulating Security Payload):

    • Proporciona cifrado (confidencialidad), integridad y autenticación parcial.

    • Solo cifra la carga útil, no el encabezado IP (modo transporte).

    • En modo túnel, cifra todo el paquete IP original, encapsulándolo en un nuevo paquete IP.

📌 Modos de operación:

  • Modo Transporte:

    • Protege host a host.

    • Se cifra solo la carga útil del paquete.

    • Ideal para uso dentro de redes privadas.

  • Modo Túnel:

    • Protege red a red (VPN sitio a sitio).

    • Se encapsula todo el paquete original IP.

    • Se usa un nuevo encabezado IP, ocultando origen y destino reales.

    • Requiere puertas de enlace IPsec (VPN Gateways).

🔐 Seguridad:

  • IPsec puede utilizar IKE (Internet Key Exchange) para negociar claves.

  • Requiere autenticación mutua mediante claves precompartidas, certificados o autenticación basada en usuarios.

2️⃣ EJEMPLOS PRÁCTICOS

  • 🌐 VPN Sitio a Sitio entre dos sedes corporativas: Una empresa conecta su sede central con una sucursal mediante IPsec en modo túnel.

  • 🖥️ Acceso remoto desde laptops corporativas: IPsec en modo transporte cifra toda comunicación desde el portátil a servicios internos.

  • 🏥 Entorno sanitario: IPsec asegura la transmisión de historiales médicos entre hospitales sin necesidad de configurar cada aplicación.

3️⃣ APLICACIONES Y HERRAMIENTAS REALES

  • Dispositivos compatibles:

    • Firewalls como OPNsense, pfSense, Cisco ASA, FortiGate, Mikrotik, SonicWall.

  • Sistemas Operativos:

    • Windows (con IPsec integrado en DirectAccess y GPOs).

    • Linux (strongSwan, libreswan, OpenSwan).

  • Configuradores de VPN:

    • OpenVPN, aunque típicamente usa TLS, algunos setups lo combinan con IPsec.

    • WireGuard como alternativa más moderna (aunque no es IPsec).

4️⃣ ¿QUÉ HACE CADA EQUIPO?

🔴 Red Team (ataca):

  • Escanea redes para identificar túneles IPsec activos con herramientas como ike-scan.

  • Intenta forzar el uso de algoritmos criptográficos débiles o claves mal configuradas.

  • Si logra acceso al túnel, realiza pivoting o análisis de tráfico cifrado mal protegido.

🔵 Blue Team (defiende):

  • Configura IPsec con cifrado fuerte (AES-GCM, SHA-2, DH grupo 14+).

  • Asegura autenticación mutua con certificados válidos y renovaciones automáticas.

  • Segmenta el tráfico del túnel y aplica inspección de tráfico interno post-VPN.

🟣 Purple Team (supervisa y refuerza):

  • Lanza simulaciones controladas de ataques a IPsec.

  • Audita logs de negociación IKE, errores de autenticación o fallos de cifrado.

  • Documenta políticas de túneles VPN y genera alertas por anomalías de tráfico cifrado.

6️⃣ ✅ RESUMEN PRÁCTICO

IPsec es una tecnología crítica para proteger comunicaciones de red a nivel de capa 3. Utiliza los protocolos AH (para integridad) y ESP (para cifrado) en dos modos principales:

  • Transporte: Cifra la carga útil, ideal para host a host.

  • Túnel: Cifra el paquete completo, ideal para VPN entre redes.

A diferencia de TLS, IPsec no depende de las aplicaciones y ofrece protección integral desde la capa de red. Es esencial configurar cifrados fuertes, autenticación mutua y vigilancia activa para evitar vulnerabilidades y ataques de degradación o manipulación del canal seguro.

🧪 EJERCICIOS PURPLE TEAM – IPsec

🧩 Ejemplo 1 – Ataque de Sniffing en VPN IPsec mal configurada

🔴 Red Team ataca

  1. Escanea la red con ike-scan para descubrir puertas de enlace VPN con IPsec habilitado.

  2. Usa Wireshark para capturar paquetes IKE y ESP y detectar si hay uso de algoritmos débiles como DES o claves compartidas por defecto.

  3. Simula un ataque de man-in-the-middle en la negociación IKE para registrar información de la fase 1.

🔵 Blue Team defiende

  1. Asegura la configuración de IPsec utilizando:

    • IKEv2.

    • Cifrado AES-GCM con claves de 256 bits.

    • Autenticación con certificados válidos (evitar PSK).

  2. Configura reglas de firewall para bloquear escaneos IKE de fuentes no autorizadas.

  3. Revisa los logs de IKE para detectar intentos de negociación no exitosos.

🟣 Purple Team gestiona

  • Realiza pruebas de escaneo IKE internas en entorno controlado.

  • Valida que las negociaciones solo se completen con configuraciones robustas.

  • Revisa las alertas en SIEM para correlacionar escaneos de VPN con logs del firewall y del daemon IPsec.

Qué se logra: Se comprueba la resiliencia del túnel IPsec ante escaneos y ataques pasivos, se ajusta la configuración para evitar negociaciones débiles, y se valida el monitoreo de intentos fallidos.


🧩 Ejemplo 2 – Suplantación de túnel IPsec (IKEv1 aggressive mode)

🔴 Red Team ataca

  1. Identifica que la VPN utiliza IKEv1 con modo agresivo.

  2. Usa ikeforce o hydra para realizar fuerza bruta sobre la fase 1 del túnel (modo agresivo expone hashes).

  3. Si la PSK es débil, descífrala y establece un túnel falso para pivotar hacia la red interna.

🔵 Blue Team defiende

  1. Desactiva el modo agresivo de IKEv1.

  2. Actualiza el sistema a IKEv2 e implementa autenticación con certificados X.509.

  3. Implementa Detección de Anomalías para conexiones IPsec desde IPs no autorizadas.

🟣 Purple Team gestiona

  • Realiza pruebas de fuerza bruta controladas con ikeforce en entornos de staging.

  • Valida que el SIEM emite alertas por intentos masivos de autenticación en la VPN.

  • Corrige configuraciones y despliega playbooks para respuesta automatizada ante este patrón de ataque.

Qué se logra: Se detecta una debilidad crítica en la configuración (IKEv1 con modo agresivo), se implementa autenticación sólida y se confirma la capacidad de detección temprana ante ataques de fuerza bruta.


🧩 Ejemplo 3 – Pivoting encubierto a través de túnel IPsec

🔴 Red Team ataca

  1. Compromete un endpoint con túnel IPsec activo (laptop de teletrabajo).

  2. Inicia túnel inverso a través del canal IPsec usando socat, chisel o reverse SSH.

  3. Utiliza el túnel para acceder a recursos internos de la red corporativa desde el exterior, completamente encapsulado en IPsec.

🔵 Blue Team defiende

  1. Implementa segmentación de red en la VPN: cada cliente aislado en su propia VLAN o zona.

  2. Limita acceso lateral mediante reglas Zero Trust y microsegmentación.

  3. Revisa flujos laterales de tráfico con NDR (Network Detection & Response) como Corelight, Darktrace o Zeek.

🟣 Purple Team gestiona

  • Simula este escenario con endpoints controlados y túneles reales.

  • Valida qué logs y sensores capturan el movimiento lateral dentro del túnel IPsec.

  • Genera visualización del movimiento lateral desde IPsec y ajusta reglas de alerta en SIEM/NDR.

Qué se logra: Se comprueba si un atacante puede moverse lateralmente a través del túnel IPsec. Se refuerzan controles de segmentación y se mejora la detección de túneles inversos y pivoting desde canales cifrados.

Purple Mystara - Cristina Martínez Girol
Todos los derechos reservados 2025
Creado con Webnode Cookies
¡Crea tu página web gratis! Esta página web fue creada con Webnode. Crea tu propia web gratis hoy mismo! Comenzar
Utilizamos cookies para permitir un correcto funcionamiento y seguro en nuestra página web, y para ofrecer la mejor experiencia posible al usuario.

Configuración avanzada

Puedes personalizar tus preferencias de cookies aquí. Habilita o deshabilita las siguientes categorías y guarda tu selección.