Pegue aqu el

logo de su institucin

Seguridad de la Informacin Implementando

IPsec, NAT, DNS en IPv6
Roy Melvin Trujillo Mamani a*,
a
EP. Ingeniera de Sistemas, Facultad de Ingeniera y Arquitectura, Universidad Peruana Unin Filial Juliaca
Carretera Arequipa Km 6, Juliaca Per

Resumen

A travs de este artculo se muestra como IPSec puede brindar un nivel de seguridad a la informacin en las redes de datos que
soportan el protocolo de internet de siguiente generacin IPv6 y, adems establecer una comparacin del comportamiento del
trfico IP a travs del uso de servicios de seguridad criptogrfica para observar cmo influye en el rendimiento de la red. Con
la aparicin cada vez ms acelerada de nuevos dispositivos conectados a la red, nos fuimos quedando cortos con las direcciones
que identifican a cada uno de ellos. En respuesta a esta falencia se desarroll IPv6 o Protocolo de Internet versin 6, el cual nos
brinda tantas direcciones IP como para asignarle una a cada grano de arena en el planeta.
La implementacin de IPv6 trae consigo algunas mejoras para la seguridad, pero tambin plantea algunos retos.
Tambin se ver la implementacin de IPSec, NAT, DNS sobre IPv6.

Palabras clave: IPv6; IPsec; NAT; DNS; seguridad;

1. Introduccin

El motivo bsico para crear un nuevo protocolo fue la falta de direcciones. IPv4 tiene un espacio de direcciones de 32 bits, en
cambio IPv6 ofrece un espacio de 128 bits. El reducido espacio de direcciones de IPv4, junto al hecho de falta de coordinacin
para su asignacin durante la dcada de los 80, sin ningn tipo de optimizacin, dejando incluso espacios de direcciones
discontinuos, generan en la actualidad, dificultades no previstas en aquel momento. Otros de los problemas de IPv4 es la gran
dimensin de las tablas de ruteo en el backbone de Internet, que lo hace ineficaz y perjudica los tiempos de respuesta.

Debido a la multitud de nuevas aplicaciones en las que IPv4 es utilizado, ha sido necesario agregar nuevas funcionalidades al
protocolo bsico, aspectos que no fueron contemplados en el anlisis inicial de IPv4, lo que genera complicaciones en su
escalabilidad para nuevos requerimientos y en el uso simultneo de dos o ms de dichas funcionalidades. Entre las ms conocidas
se pueden mencionar medidas para permitir la Calidad de Servicio (QoS), Seguridad (IPsec) y movilidad.

El protocolo IPSec estandarizado por el Grupo Especial sobre Ingeniera de Internet provee las funciones de:
Limitar el acceso a slo aquellos autorizados.
Certifica la autenticacin de la persona que enva los datos.
Encripta los datos transmitidos a travs de la red.
Asegura la integridad de los datos.
Invalida la repeticin de sesiones, para evitar que no sean repetidas por usuarios maliciosos.

Los protocolos que respaldan el funcionamiento de IPSec son: la Autenticacin de Encabezado (Autentication Header, AH) y
la Carga de Seguridad Encapsulada (Encapsulated Security Payload, ESP). Al estar incluidos en cada implementacin de IPv6
se provee mayor seguridad ya que IPSec est presente en todos los nodos de la red

* Autor de correspondencia:
Km. 6 Carretera Arequipa, Juliaca
Cel.: 989292899
E-mail: roymelvin17@gmail.com

1
Roy Melvin Trujillo Mamani / DGI Revista de Investigacin Universitaria

2. Desarrollo o Revisin

IPv6

IPv6 (Internet Protocol Versin 6) o IPng (Next Generation Internet Protocol) es la nueva versin del protocolo IP (Internet
Protocol). Ha sido diseado por el IETF (Internet Engineering Task Force) para reemplazar en forma gradual a la versin actual,
el IPv4.
En esta versin se mantuvieron las funciones del IPv4 que son utilizadas, las que no son utilizadas o se usan con poca frecuencia,
se quitaron o se hicieron opcionales, agregndose nuevas caractersticas.

Una de las principales razones por las que se desarroll fue la de obtener un mayor espacio de direccin en comparacin con
IPv4. De esta forma, se logra ampliar la capacidad de dispositivos que se conectan a la red, lo cual potencia el desarrollo de lo
que conocemos como Internet de las cosas.

Pero ms all de esto, IPv6 trae asociadas caractersticas pensadas desde el principio para elevar los niveles de seguridad. Una
de ellas es la incorporacin de IPsec como protocolo de seguridad. Este proporciona servicios de seguridad en la capa de red y
en la capa de transporte, para que la comunicacin sea segura. Dentro de dichos servicios est el hecho de que el trfico va
cifrado y firmado digitalmente, para que el destinatario pueda comprobar quien lo envi.

Adems, la incorporacin de IPSec cuenta con una comprobacin criptogrfica que permite verificar que el paquete no se ha
modificado durante la transmisin. Tambin vale la pena resaltar que los paquetes transmitidos utilizado IPv6 slo pueden ser
re ensamblados en el host final, por lo cual los ataques de fragmentacin de paquetes en nodos intermedios de la comunicacin
no sern efectivos como los conocemos.

Caractersticas de seguridad con ipv6

Mayor espacio de direcciones. El tamao de las direcciones IP cambia de 32 bits a 128 bits, para soportar: mas niveles
de jerarquas de direccionamiento y ms nodos direccionables.
Simplificacin del formato del Header. Algunos campos del header IPv4 se quitan o se hacen opcionales
Paquetes IP eficientes y extensibles, sin que haya fragmentacin en los routers, alineados a 64 bits y con una cabecera
de longitud fija, ms simple, que agiliza su procesado por parte del router.
Posibilidad de paquetes con carga til (datos) de ms de 65.355 bytes.
Seguridad en el ncleo del protocolo (IPsec). El soporte de IPsec es un requerimiento del protocolo IPv6.
Capacidad de etiquetas de flujo. Puede ser usada por un nodo origen para etiquetar paquetes pertenecientes a un flujo
(flow) de trfico particular, que requieren manejo especial por los routers IPv6, tal como calidad de servicio no por
defecto o servicios de tiempo real. Por ejemplo, video conferencia.
Autoconfiguracin: la autoconfiguracin de direcciones es ms simple. Especialmente en direcciones Aggregatable
Global Unicast, los 64 bits superiores son seteados por un mensaje desde el router (Router Advertisement) y los 64 bits
ms bajos son seteados con la direccin MAC (en formato EUI-64). En este caso, el largo del prefijo de la subred es
64, por lo que no hay que preocuparse ms por la mscara de red. Adems, el largo del prefijo no depende en el nmero
de los hosts por lo tanto la asignacin es ms simple.
Renumeracin y "multihoming": facilitando el cambio de proveedor de servicios.
Caractersticas de movilidad, la posibilidad de que un nodo mantenga la misma direccin IP, a pesar de su movilidad.
Ruteo ms eficiente en el backbone de la red, debido a la jerarqua de direccionamiento basada en aggregation.
Calidad de servicio (QoS) y clase de servicio (CoS).
Capacidades de autenticacin y privacidad

IPSec en IPv6

IP Secure (IPSec) es una tecnologa que permite asegurar las comunicaciones empleando el protocolo IP, a partir de emplear
tcnicas de autenticacin y encriptacin de datos. IPSec se desarroll para IPv4, y sus especificaciones se han incorporado como
base en el diseo de IPv6. Aun cuando esta tecnologa aparece como "obligatoria" (mandatory) en IPv6, no todas las
implementaciones soportan este protocolo.
 2
Roy Melvin Trujillo Mamani / DGI Revista de Investigacin Universitaria

Figura 01 IPSec en IPv6

Implementado de forma nativa, host-to-host (en lugar de peer-to- peer como es acostumbrado en IPv4).

Recomendacin: implementacin mandatoria pero en la realidad no es una limitacin.

Authentication extension header: proteccin para garantizar integridad y no repudiacin.

Encapsulting Security Paylod extension header: confidencialidad, integridad y anti-replay.

Los problemas potenciales de IPSec en IPv6 son los mismosque en IPv4; adems, no se puede garantizar su implementacin
como mecanismo end-to-end en cualquier escenario

NAT en IPv6

Qu es NAT?

La Network Address Translation (NAT) est diseada para la conservacin de direcciones IP. Permite a las redes IP privadas
que usan direcciones IP no registradas conectarse a Internet. NAT funciona en un enrutador, generalmente conecta dos redes, y
traduce las direcciones privadas (no nicas en el mundo) en la red interna en direcciones legales, antes de que los paquetes se
reenven a otra red.

Como parte de esta capacidad, NAT se puede configurar para anunciar solo una direccin para toda la red al mundo exterior. Esto
proporciona seguridad adicional al ocultar efectivamente toda la red interna detrs de esa direccin. NAT ofrece las funciones
duales de seguridad y proteccin de direcciones y, por lo general, se implementa en entornos de acceso remoto.

Cmo funciona NAT?

Bsicamente, NAT permite que un solo dispositivo, como un enrutador, acte como un agente entre Internet (o red pblica) y
una red local (o red privada), lo que significa que solo se requiere una nica direccin IP nica para representar un grupo entero
de computadoras a cualquier cosa fuera de su red.
 3
Roy Melvin Trujillo Mamani / DGI Revista de Investigacin Universitaria

Figura 02. NAT en IPv6

NAT en IPv6 Mito: como las direcciones IP bajo IPv6 nunca se van a acabar, no ser necesario el uso de NAT
Realidad: Est comprobado que el uso de NATs se incrementa a partir de IPv6 por la convivencia con IPv4 (redes legacy)
Nuevos tipos de NAT:

Carrier Grade NATs

NAT64

la utilizacin de NAT sobre IPv6 es una de las barreras ms importantes

Anlisis de vulnerabilidades (bajo IPv6)

En este caso el tamao importa: no es lo mismo realizar un anlisis de vulnerabilidades sobre un espacio de direccionamiento
de 2^32 (IPv4) que sobre 2^128 (IPv6), pero no es lo mismo cantidad que calidad
Un espacio de direccionamiento tan grande es un desafo tambin para los administradores en las empresas.
Las primeras estadsticas sugieren que hay una tendencia a utilizar esquemas de numeracin predecibles (punto para los
atacantes!)
Hecha la ley, hecha la trampa por ejemplo, nuevas tcnicas de information gathering basadas en MAC address. Como de
costumbre, no es la tecnologa sino el uso que se le da lo que determina el nivel de exposicin y riesgo

Stateless auto-configuration Adis al DHCP:

En IPv6 ya no es necesario utilizar un servidor DHCP ni configurar manualmente las direcciones IP. Menos intermediarios
siempre es una buena noticia: no es necesario el uso de proxies, especialmente til en aplicaciones como videoconferencia y
telefona IP. Antes de festejar, primero tengamos en cuenta que Ya existen tool-kits de ataques para aprovechar
vulnerabilidades de estos nuevos features. Es esperable que a medida que se comience a difundir ms la utilizacin de IPv6, las
vulnerabilidades en el protocolo se conviertan en objetivos de ataque.

DNS en IPv6

DNS, abreviatura del ingls que significa servicio de nombres de dominio, permite controlar la configuracin de correo
electrnico y sitio web de tu nombre de dominio. Cuando los visitantes van a tu nombre de dominio, la configuracin de DNS
controla a cul servidor de la empresa se dirigen.

Por ejemplo, si utilizas la configuracin de DNS de GoDaddy, los visitantes llegarn a los servidores de GoDaddy cuando
utilicen tu nombre de dominio. Si quieres cambiar esa configuracin para usar los servidores de otra empresa, las visitas irn a
ellos en lugar de a nosotros cuando visiten tu dominio.
 4
Roy Melvin Trujillo Mamani / DGI Revista de Investigacin Universitaria

Figura 03. DNS en IPv6

DNS en IPv6, Larga vida a los DNS: para propsitos de administracin, es esperable que los DNS internos contengan la
informacin de todos los hosts de la red (al menos las de los ms importantes s, justo los que los atacantes necesitan!) Los
servidores DNS como objetivo de ataque:

Para qu recorrer toda la red cuando todo est en los DNS?

Atajo para el problema de la cantidad de direcciones
Se convierte en un problema de seguridad del software

La implementacin de IPv6 refuerza la necesidad de seguridad interna, quizs el problema menos explorado por las
organizaciones.

Riesgos a Considerar en IPv6

Por qu considerar riesgos en IPv6

El conocimiento se construye con tiempo: la implementacin de IPv6abre las posibilidades a nuevos tipos y tcnicas
de ataque.

La planificacin es la clave del xito: la implementacin de IPv6 no es un tema exclusivamente de networking,

tambin tiene impacto a nivel de los servidores, las aplicaciones y los dispositivos de seguridad.

Las migraciones y las configuraciones mixtas son especialmente atractivas para los atacantes: el grado de exposicin
aumenta durante la etapa de transicin de hecho, al da de hoy nadie puede asegurar cundo se va a terminar.

Prediccin: Ud. va a implementar IPv6 antes de lo que cree como mnimo, para ser compatible con el resto del mundo.

Conclusiones

Conclusiones (I)
IPv4 no puede proveer la cantidad de direcciones IP que el crecimiento de Internet requiere.
IPv6 es una solucin efectiva y probada que puede aportar direcciones IP para siempre.
La migracin a IPv6 es una cuestin del presente.
La migracin a IPv6 no es transparente.
Todo el mundo se ver impactado por este cambio

1. Cundo conviene comenzar a investigar e implementar IPv6?

Ahora
2. Qu tan importante es la seguridad de la informacin en IPv6?
Muy importante, al igual que en IPv4.
3. Alcanza el conocimiento en IPv4 para implementar IPv6?
Es necesario desarrollar conocimiento y experiencia en IPv6.
4. Implementar IPv6 es tan sencillo como hacer un upgrade a la red?
No Requiere de una cuidadosa planificacin
 5
Roy Melvin Trujillo Mamani / DGI Revista de Investigacin Universitaria

Conclusiones (II) La implementacin de IPv6 es la oportunidad de empezar de cero y reconstruir nuestras redes considerando la
seguridad de la informacin desde el inicio. Estamos preparados y motivados para hacerlo

Recomendaciones

Ya que IPv4 se ha utilizado desde el principio de Internet, es importante empezar a conocer el funcionamiento del nuevo
protocolo, sus caractersticas y forma de funcionar. Eventualmente tendremos que migrar hacia IPv6, y por lo tanto saber cmo
opera y cules son las diferencias que tiene respecto a su predecesor es primordial para hacer un paso seguro.

Adems, es importante empezar a realizar actividades de monitoreo para tratar de advertir situaciones poco usuales en las que
algunos atacantes puedan encontrar la forma de aprovechar la interaccin entre ambos protocolos y tener algn tipo de acceso
indebido. Por lo tanto, si no se utilizan caractersticas de IPv6 es recomendable desactivar las funcionalidades que puedan estar
relacionadas.

Por otra parte, es necesario que dentro de la empresa se empiece a planificar en qu momento la adopcin de este nuevo
protocolo va a impactar los sistemas. En la medida en que nos podamos anticipar a este cambio, podremos gestionar nuestra
infraestructura para prevenir incidentes durante la transicin y llegar preparados para cuando la debamos enfrentar.

Agradecimientos

En primer lugar, agradecer a Dios por la vida y tambin se agradece profundamente a mis padres por darme la posibilidad de
estudiar en la Universidad Peruana Unin Filial Juliaca. Y a esta misma institucin por la enseanza brindada

Referencias

Gabriel MarcosMarketing Specialist Datacenter & Security Level3 ColombiaCorreo:

gabriel.marcos@globalcrossing.comTwitter: @jarvel MUCHAS GRACIAS! Level 3 Communications, LLC. All Rights
Reserved. 36

Engdahl, C. W., & Statia, J. W. (2014). Private network access using IPv6 tunneling

NETWORK DEVICE, IPSEC SYSTEM AND METHOD FOR ESTABLISHING IPSEC TUNNEL USING THE SAME.
(2014).

Tjahjono, D. C., Shaikh, R. C., & Ren, W. C. (2014). Establishing an IPsec (internet protocol security) VPN (virtual private
network) tunnel.

Raul Bareo, G., William Navarro, N., Sonia Crdenas, U., Hugo Sarmiento, O., & Nixon Duarte, A. (2016). Revisin de la
seguridad en la implementacin de servicios sobre IPv6. Inge-Cuc, Vol 12, Iss 1, Pp 86-93 (2016), (1), 86.
doi:10.17981/ingecuc.12.1.2016.09

CONTRERAS, J. L., & DEWAR WILLMER RICO, B. (2012). IMPLEMENTACIN DE LA SEGURIDAD DEL
PROTOCOLO DE INTERNET VERSIN 6. Gerencia Tecnologica Informatica, 11(29), 35-46.

Enlaces bibliogrficos:

http://technet.microsoft.com/en-us/library/bb726956.aspx

http://ipv6.com/articles/security/IPsec.htm

http://searchsecurity.techtarget.com/tip/IPv6-myths-Debunking- misconceptions-regarding-IPv6-security-features

http://www.thc.org/papers/vh_thc-ipv6_attack.pdf http://www.ipv6.org35