jueves, 30 de octubre de 2008

IPsec, IPv4 e IPv6

Introducción


A la investigación y defensa, aplicaciones que originaron la aparición de Internet, se han sumado desde entonces una larga lista de usos y servicios: distribución de música, comercio electrónico, videoconferencia, telefonía y un largo etcétera de actividades cuyo denominador común es la utilización de Internet como vehículo.

En esta nueva realidad, el estar siempre online aparece como seña de identidad indiscutible. Para ello, miles de dispositivos móviles surgen día tras día con un único objetivo: que podamos estar conectados a la Red en cualquier momento y desde cualquier lugar. Actualmente, más de 260 millones de personas tienen acceso a Internet, cifra que se elevará a 320 millones en el año 2003. IPv6 surge para dar cabida a esta nueva revolución. Ipv6 incrementa el tamaño de direcciones IP de 32 a 128 bits, ampliando de forma extraordinaria el número de posibles direcciones y haciendo así posible la conectividad de todo dispositivo a la red con una dirección unívoca y permanente. Además, soporta autoconfiguración (PLUG&PLAY) y permite etiquetado de flujos y priorización, lo que hace posible introducir toda clase de servicios y aplicaciones multimedia en tiempo real, de forma que se gestione eficientemente su facturación. Otra de las ventajas que presenta el nuevo protocolo es la seguridad, puesto que incluye, de forma obligatoria e intrínseca en su núcleo, la especificación de seguridad IPSec, uno de los más famosos "parches" que se le añadió a IPv4.



IPSec provee servicios criptográficos de seguridad. Estos servicios permiten la autenticación, integridad, control de acceso, y confidencialidad. IPSec provee servicios similares a SSL, pero a nivel de redes, de un modo que es completamente transparente para sus aplicaciones y mucho más robusto. Es transparente porque sus aplicaciones no necesitan tener ningún conocimiento de IPSec para poder usarlo. Se pueden crear túneles cifrados (VPNs), o simplemente cifrado entre ordenadores.




IP versión 4


Nace la versión 4 del Protocolo de Internet (IP o Internet Protocolo) se constituye de la primera versión de IP que es implementada de forma extensiva. IPv4 es el principal protocolo utilizado en el Nivel de Red del Modelo TCP/IP para Internet. Fue descrito inicial mente en el RFC 791 (referencia) elaborado por la Fuerza de Trabajo en Ingeniería de Internet (IETF o Internet Engineering Task Force) en Septiembre de 1981, es el documento que dejó obsoleto al RFC 760 de Enero de 1980.


¿Qué es IP v4?


Es un protocolo orientado hacia datos que se utiliza para comunicación entre redes a través de interrupciones (switches) de paquetes (por ejemplo a través de Ethernet).

Maneja direcciones de 32 bits (4 bytes) que limita el número de direcciones posibles a utilizar a 4,294,967,295 son direcciones únicas. Varias de estas direcciones están reservadas para propósitos diferentes, y especiales como redes privadas.


Características

  • Protocolo de un servicio de data gramas no fiable(o conocido como mejor esfuerzo).
  • No proporciona garantía en la entrega de datos.
  • Tampoco proporciona garantía sobre la coresultar en paquetes duplicados o en desorden.

    Todos los problemas mencionados se resuelven en el nivel superior en el modelo TCP/IP, por ejemplo, a través de TCP o UDP.rrección de los datos.

Formato de Direcciones IPv4


Cuando se escribe una dirección IPv4 en cadenas, la notación más común es la decimal con puntos. Hay otras notaciones basadas sobre los valores de los octetos de la dirección IP.



Utilizando como ejemplo: la dirección IP 201.161.1.226 en la notación decimal con puntos:








Clasificación


La dirección de Internet (IP Address) se utiliza para identificar tanto al ordenador en concreto como la red a la que pertenece, de manera que sea posible distinguir a los ordenadores que se encuentran conectados a una misma red. Con este propósito, y teniendo en cuenta que en Internet se encuentran conectadas redes de tamaños muy diversos, se establecieron tres clases diferentes de direcciones, las cuales se representan mediante tres rangos de valores:

  • Clase A: Son las que en su primer byte tienen un valor comprendido entre 1 y 126, incluyendo ambos valores. Estas direcciones utilizan únicamente este primer byte para identificar la red, quedando los otros tres bytes disponibles para cada uno de los hosts que pertenezcan a esta misma red. Esto significa que podrán existir más de dieciséis millones de ordenadores en cada una de las redes de esta clase. Este tipo de direcciones es usado por redes muy extensas, pero hay que tener en cuenta que sólo puede haber 126 redes de este tamaño. ARPAnet es una de ellas, existiendo además algunas grandes redes comerciales, aunque son pocas las organizaciones que obtienen una dirección de "clase A". Lo normal para las grandes organizaciones es que utilicen una o varias redes de "clase B". Clase B: Estas direcciones utilizan en su primer byte un valor comprendido entre 128 y 191, incluyendo ambos. En este caso el identificador de la red se obtiene de los dos primeros bytes de la dirección, teniendo que ser un valor entre 128.1 y 191.254 (no es posible utilizar los valores 0 y 255 por tener un significado especial). Los dos últimos bytes de la dirección constituyen el identificador del host permitiendo, por consiguiente, un número máximo de 64516 ordenadores e n la misma red. Este tipo de direcciones tendría que ser suficiente para la gran mayoría de las organizaciones grandes. En caso de que el número de ordenadores que se necesita conectar fuese mayor, sería posible obtener más de una dirección de "clase B", evitando de esta forma el uso de una de "clase A". Clase C: En este caso el valor del primer byte tendrá que estar comprendido entre 192 y 223, incluyendo ambos valores. Este tercer tipo de direcciones utiliza los tres primeros bytes para el número de la red, con un rango desde 192.1.1 hasta 223.254.254. De esta manera queda libre un byte para el host, lo que permite que se conecten un máximo de 254 o rdenadores en cada red. Estas direcciones permiten un menor número de host que las anteriores, aunque son las más numerosas pudiendo existir un gran número redes de este tipo (más de dos millones).


En la clasificación de direcciones anterior se puede notar que ciertos números no se usan. Algunos de ellos se encuentran reservados para un posible uso futuro, como es el caso de las direcciones cuyo primer byte sea superior a 223 (clases D y E, que aún no están definidas), mientras que el valor 127 en el primer byte se utiliza en algunos sistemas para propósitos especiales. También es importante notar que los valores 0 y 255 en cualquier byte de la dirección no pueden usarse normalmente por tener otros propósitos específicos.

El número 0 está reservado para las máquinas que no conocen su dirección, pudiendo utilizarse tanto en la identificación de red para máquinas que aún no conocen el número de red a la que se encuentran conectadas, en la identificación de host para máquinas que aún no conocen su número de host dentro de la red, o en ambos casos.

El número 255 tiene también un significado especial, puesto que se reserva para el broadcast. El broadcast es necesario cuando se pretende hacer que un mensaje sea visible para todos los sistemas conectados a la misma red. Esto puede ser útil si se necesita enviar el mismo datagrama a un número determinado de sistemas, resultando más eficiente que enviar la misma información solicitada de manera individual a cada uno. Otra situación para el uso de broadcast es cuando se quiere convertir el nombre por dominio de un ordenador a su correspondiente número IP y no se conoce la dirección del servidor de nombres de dominio más cercano.

Lo usual es que cuando se quiere hacer uso del broadcast se utilice una dirección compuesta por el identificador normal de la red y por el número 255 (todo unos en binario) en cada byte que identifique al host. Sin embargo, por conveniencia también se permite el uso del número 255.255.255.255 con la misma finalidad, de forma que resulte más simple referirse a todos los sistemas de la red.




IPv6 (También conocido como IPng o “IP de nueva generación”) es la nueva versión del conocido protocolo de red IP, también llamado IPv4. Como sucede con el resto de los sistemas *BSD FreeBSD proporciona una implementación de referencia que desarrolla el proyecto japonés KAME. FreeBSD dispone de todo lo necesario para experimentar con el nuevo protocolo de red. Esta sección se centra en conseguir configurar y ejecutar correctamente el protocolo IPv6.

Definicion
La versión 6 del Protocolo de Internet (IP por sus siglas en inglés, Internet Protocol), es el encargado de dirigir y encaminar los paquetes en la red, fue diseñado en los años 70 con el objetivo de interconectar redes. El IPv6 fue diseñado por Steve Deering y Craig Mudge, adoptado por Internet Engineering Task Force (IETF) en 1994. IPv6 también se conoce por “IP Next Generation” o “IPng”.
Esta nueva versión del Protocolo de Internet está destinada a sustituir al estándar IPv4, la misma cuenta con un límite de direcciones de red, lo cual impide el crecimiento de la red.
IPv6 empieza a ganar terreno en el mercado del gobierno federal de los E.E.U.U. y los portadores asiáticos de comunicaciones. El gobierno federal piensa incluir soporte IPv6 para sus redes antes del 2008.
El nuevo portal go6 incluye información más comprensiva sobre IPv6 en la web. Fue creado por Hexago, un vendedor canadiense de IPv6. Cuenta con experiencia en la implementación y aplicación de IPv6. Nos proveen acceso a las últimas herramientas e informaciones sobre la nueva versión del Protocolo de Internet.
Características de la IPv6
Quizás las principales características de la IPv6 se síntetizan en el mayor espacio de direccionamiento, seguridad, autoconfiguración y movilidad. Pero también hay otras que son importantes mencionar:

  • Infraestructura de direcciones y enrutamiento eficaz y jerárquica.
  • Mejora de compatiblidad para Calidad de Servicio (QoS) y Clase de Servicio (CoS).
  • Multicast: envío de un mismo paquete a un grupo de receptores
  • Anycast: envío de un paquete a un receptor dentro de un grupo.
  • Movilidad: una de las características obligatorias de IPv6 es la posibilidad de conexión y desconexión de nuestro ordenador de redes IPv6 y, por tanto, el poder viajar con él sin necesitar otra aplicación que nos permita que ese enchufe/desenchufe se pueda hacer directamente.
  • Seguridad Integrada (IPsec): IPv6 incluye IPsec, que permite autenticación y encriptación del propio protocolo base, de forma que todas las aplicaciones se pueden beneficiar de ello.
  • Capacidad de ampliación.
  • Calidad del servicio. Velocidad.
  • Mayor espacio de direcciones “Plug & play” autoconfiguraciones
  • Seguridad intrínseca en el núcleo de los protocolos(IPsec)
  • Paquetes ip eficientes y extensibles, sin que haya fragmentación en los encaminadotes (ruters), alineados a 64 bits (preparados para su procesamiento optimo con los nuevos procesadores de 64 bits), y con una cabecera de longitud fija.
  • Remuneración “multi-homig”.Posibilidad de paquetes en carga útil.





Formato de Direcciones IPv6


Los campos son los siguientes:

FP Format Prefix
Es un campo de valor fijo, 0010, por eso las direcciones empiezan por 2.
TLA ID Top-Level Aggregation Identifier
Es un campo de 13 bits. Esta longitud se ha elegido a propósito para minimizar el tamaño de la tabla de routing; además de soportar un número suficiente de TLAs (en este caso, 8.192). Si fuesen necesarios más TLAs, se puede recurrir al campo reservado.
RES Reserved.
Campo reservado para poder aumentar el tamaño de los campos NLA o TLA.
NLA ID Next-Level Aggregation Identifier
Este campo permite a las organizaciones a las que se les ha asignado un TLA crear una jerarquía de direccionamiento. Cada TLA dispone así de 24 bits para crear su propia jerarquía. En teoría un TLA puede asignar direccionamiento a mas de 16 millones de centros (NLA), aproximadamente el numero de centros que hay hoy en dia en Internet.
SLA ID Site-Level Aggregation Identifier
Con este campo cada centro permite direccionar 65536 redes. Se puede solicitar otro NLA si un centro necesita más redes.
INTERFACE ID Interface Identifier (RFC 2373)
Con este campo se identifican los interfaces en un enlace. Son 64 bits en los que encajan el formato de direcciones EUI-64, basado en las direcciones MAC.

Usos
  • Se han definido las direcciones ipv6 paras diferentes usos especiales como :
  • Direcciones de auto-retorno o loopback(::1). No ha de ser asignada a una interfaz “virtual”, pues se trata de paquetes que no salen de la misma maquina que los emite; nos permite hacer un bucle para verificar la correcta inicialización de protocolo(dentro de una determinada maquina).
  • Direccion no especificada(::) nunca debe ser asignada a ningun nodo, ya que se emplea para indicar la ausencia de direccion especificada .Tuneles dinamicos de ipv6 sobre ipv4
  • Entre otros usos.


Clasificación

Las direcciones ipv6 son identificadores de 128 bits que pueden estar asociados a una interfaz (eth*, sit*, freenet, lo, etc.) y se las clasifican de la siguiente forma:

  • Unicast: Asociados a una sola interfaz, un paquete enviado a una dirección unicast solo es entregado a la interfaz asociada con dicha dirección. Por ejemplo fe80:200:21ff:fea8:4614/10 está asociado a la interfaz eth0 en mi máquina con dirección MAC 00:00:21:a8:46:14, si se observa con detenimiento hay una relación. (Ver mas adelante direciones de enlace) o la dirección global 3ffe:b80:1daf:1::1.
  • Anycast: Identificador asociado a un conjunto de interfaces, en ipv4 se lo conocía como direcciones de red. Y puede estar asociado a varias máquinas. Por ejemplo 3ffe:b80:1daf:1::/64 es un identifador anycast de un 6bone. Un paquete enviado a una dirección anycast es entregado a la máquina más próxima desde el punto de vista del tiempo de latencia.
  • Multicast: Identificador asociado a un conjunto de interfaces y nodos. Un paquete enviado a una dirección multicast es entregado a todas las interfaces asociadas con dicha dirección. Esto es similar al broadcast de ipv4. Por ejemplo ff02::1:ff00:124/10


Diferencias entre IPv4 e IPv6


La principal diferencia entre IPv4 e IPv6 es la cantidad de direcciones IP. Existen algo más de 4.000 millones de direcciones IPv4. En cambio, existen más de 16 trillones de direcciones IPv6.

El funcionamiento técnico de Internet es el mismo en ambas versiones y es probable que ambas continúen funcionando simultáneamente en las redes por mucho tiempo más. En la actualidad, la mayoría de las redes que usan IPv6 soportan tanto las direcciones IPv4 como las IPv6 en sus redes.


IPsec


Proporciona servicios de seguridad en la capa IP permitiendo a un sistema seleccionar los protocolos de seguridad, determinar los algoritmos a utilizar para los servicios, e implementar cualquier algoritmo criptográfico requerido para proporcionar los servicios solicitados. IPsec se puede utilizar para proteger una o más "trayectorias" entre un par de hosts, o entre un par de security gateway, o entre un security gateway y un host. El término security gateway se utiliza para referirse a un sistema intermedio que implementa los protocolos IPsec. Por ejemplo, un router o un firewall implementando IPsec es un security gateway.

IPsec utiliza dos protocolos para proporcionar seguridad al tráfico: laCabecera de Autentificación (AH) y la Carga de Seguridad Encapsulada (ESP).

La Cabecera de Autentificación (AH): Proporciona integridad sin conexión, autentificación del origen de datos, y un servicio opcional de protección antireplay. La Carga de Seguridad encapsulada (ESP): Puede proporcionar confidencialidad (encriptación), y confidencialidad limitada de flujo de tráfico. También puede proporcionar integridad sin conexión, autentificación del origen de datos, y un servicio de protección antireplay. Uno u otro de estos servicios de seguridad debe ser aplicado siempre que se use ESP.

AH y ESP son instrumentos para el control de acceso, basados en la distribución de claves criptográficas y en el manejo de flujo de tráfico concerniente a estos protocolos de seguridad.


Caracteríasticas

  • Claves basadas en criptografía. Las claves cifradas, que se comparten entre los sistemas que se comunican, crean una suma de comprobación digital para cada paquete IP. Cualquier modificación del paquete altera la suma de comprobación, mostrando al destinatario que el paquete ha sido cambiado en su tránsito. Se utiliza material de claves diferente para cada segmento del esquema de protección global y se puede generar nuevo material de claves con la frecuencia especificada en la directiva de IPSec.
  • Administración automática de claves. La claves largas y el cambio dinámico de claves durante las comunicaciones ya establecidas protegen contra los ataques. IPSec usa el protocolo Asociación de seguridad en Internet y administración de claves (ISAKMP, Internet Security Association and Key Management Protocol) para intercambiar y administrar dinámicamente claves cifradas entre los equipos que se comunican.
  • Negociación de seguridad automática. IPSec usa ISAKMP para negociar de forma dinámica un conjunto de requisitos de seguridad mutuos entre los equipos que se comunican. No es necesario que los equipos tengan directivas idénticas, sólo una directiva configurada con las opciones de negociación necesarias para establecer un conjunto de requisitos con otro equipo.
  • Seguridad a nivel de red. IPSec existe en el nivel de red, proporcionando seguridad automática a todas las aplicaciones.
  • Autenticación mutua. IPSec permite el intercambio y la comprobación de identidades sin exponer la información a la interpretación de un atacante. La comprobación mutua (autenticación) se utiliza para establecer la confianza entre los sistemas que se comunican. Sólo los sistemas de confianza se pueden comunicar entre sí. Los usuarios no tienen que estar en el mismo dominio para comunicar con la protección de IPSec. Pueden estar en cualquier dominio de confianza de la empresa. La comunicación se cifra, lo que dificulta la identificación e interpretación de la información.
  • Filtrado de paquetes IP. Este proceso de filtrado habilita, permite o bloquea las comunicaciones según sea necesario mediante la especificación de intervalos de direcciones, protocolos o, incluso, puertos de protocolo específicos.

IPsec con IPv4


Su uso es opcional


Funcionamiento con IPv6


Una de las grandes ventajas de IPv6 es contemplar IPSec como algo obligatorio. Mediante IPSec en IPv6 es posible reforzar la seguridad de las comunicaciones al menos desde las siguientes ópticas:

  • Cabeceras y autenticación, que previenen la adulteración de las mismas (authentication header)
  • Encapsulating Security Payload y la enorme ventaja que acarrea este encapsulado.
  • Modo transporte (comunicaciones seguras entre extremos asegurando el payload de la comunicación) y modo túnel (no del todo necesario, ya que la autenticación de cabeceras y el Encapsulating Security Payload son suficientes para asegurar la comunicación)
  • Negociación y gestion del intercambio de llaves


Conclusiones


La versión 6 de IP podría desplazar a la versión 4 en un futuro no muy lejano debido al número de direcciones notoriamente mayor que tiene IPv6 y además a que incluye a IPsec como protocolo obligatorio.

IPSec es un protocolo que se integra a IP, incluye protocolos de seguridad cubriendo varios servicios, así como protocolos para la administración común de asociaciones de seguridad e intercambio de llaves. IPSec es de suma importancia porque permite a las redes impedir el acceso no autorizado a datos confidenciales desde fuera de la red local de la empresa mediante el cifrado de la información que viaja a través de líneas de comunicación públicas.


http://www.alcancelibre.org/staticpages/index.php/introduccion-ipv4
http://www.rau.edu.uy/ipv6/queesipv6.htm

http://www.decimemiip.com.ar/direccionip.php

http://fferrer.dsic.upv.es/cursos/Windows/Avanzado/ch10s02.html

http://www.freebsd.org/doc/es_ES.ISO8859-1/books/handbook/network-ipv6.html
http://asignaturas.diatel.upm.es/seguridad/IPv6eIPSec.htm
http://www.maestrosdelweb.com/principiantes/evolucionando-hacia-el-ipv6/

http://www.freebsd.org/doc/es_ES.ISO8859-1/books/handbook/network-ipv6.html
http://asignaturas.diatel.upm.es/seguridad/IPv6eIPSec.htm
http://www.maestrosdelweb.com/principiantes/evolucionando-hacia-el-ipv6/
http://bjcu.uca.edu.ni/LibrosIsti/Tutorial_de_IPV6.pdf


1 comentario:

Angélica Ramírez S. dijo...

Hola muchachos, la información es clara y suficiente. Revisen que no se mezclen los tipos de letra y algunos efectos que no logran verse en los textos.
Muy buen trabajo!!!
Ahora a leer el material para la evaluación.