jueves, 30 de octubre de 2008

IPSEC

1. DEFINICIÓN.

IPSec son un conjunto de protocolos que sirven para cifrar tanto el establecimiento de la conexión (Control de Acceso), como el tráfico entre dos máquinas. IPSec tiene implementaciones en todos los sistemas operativos.

Los servicios que provee IPSec permiten la autenticación, integridad, control de acceso, y confidencialidad de los datos. Asimismo proporciona servicios a nivel de redes, de un modo que es completamente transparente para sus aplicaciones y mucho más robusto. Puede usar cualquier protocolo IP sobre IPSec, crear túneles cifrados (VPN), o simple cifrado entre computadoras (ordenadores).


2. CARACTERÍSTICAS DE SEGURIDAD.

- Protocolo Carga de seguridad de encapsulación.
- Claves basadas en criptografía.
- Administración automática de claves.
- Negociación de seguridad automática.

- Seguridad a nivel de red.
- Autenticación mutua.
- Filtrado de paquetes IP.

3. PROTOCOLOS.

IPSec provee varios servicios a través de dos nuevos protocolos. Estos protocolos se llaman:
1.«Cabecera de Autenticación» (AH, "Authentication Header")
2.«Cargo de Seguridad Encapsulado» (ESP, "Encapsulated Security Payload")
La Cabecera de Autenticación (AH) viene de la cabecera básica IP y contiene resúmenes criptográficos ("hash") de los datos e información de identificación. Los resúmenes criptográficos también pueden cubrir las partes invariables de la misma cabecera de IP. La cabecera de la Carga útil de Seguridad Encapsulada (Encapsulated Security Payload, ESP) permite reescribir el cargo en modo cifrado.

4. VENTAJAS.

- Compatibilidad con la infraestructura de claves públicas.
- Compatibilidad con claves compartidas.
- Transparencia de IPSec para los usuarios y las aplicaciones.
- Administración centralizada y flexible de directivas.
- Estándar abierto del sector.

5. VERSIONES.

Existen diferentes variantes del IPSec, a continuación hablaremos solamente de las versiones 4 y 6 debido a que la 5 no tuvo mayor trascendencia porque solo fue utilizada con fines experimentales y orientado al flujo de streaming que intentaba soportar voz, video y audio.

5.1 IPv4

El IP es un protocolo que pertenece al nivel de red, por lo tanto, es utilizado por los protocolos del nivel de transporte como TCP para encaminar los datos hacia su destino.

IP tiene únicamente la misión de encaminar el datagrama, sin comprobar la integridad de la información que contiene. Para ello se utiliza una nueva cabecera que se antepone al datagrama que se está tratando. Suponiendo que el protocolo TCP ha sido el encargado de manejar el datagrama antes de pasarlo al IP, la estructura del mensaje una vez tratado quedaría así:
La cabecera IP tiene un tamaño de 160 bit y está formada por varios campos de distinto significado. Estos campos son:

IPv4 fue la primera versión del Protocolo de Internet de uso masivo, y todavía se utiliza en la mayoría del tráfico actual de Internet. Existen algo más de 4.000 millones de direcciones IPv4. Si bien es una cantidad importante de direcciones IP, no es suficiente para cubrir todas las necesidades que irán surgiendo en el futuro.

5.2 IPv6

Es también conocido comúnmente como IPng (Internet Protocol Next Generation) y se ha diseñado para solucionar todos los problemas que surgen con la versión anterior, y además ofrecer soporte a las nuevas redes de alto rendimiento (como ATM, Gigabit Ethernet, etc.)

La organización de la cabecera IPv6 se muestra en la siguiente figura:

Las direcciones IPv6, definidas en el RFC 2373 y RFC 2374, son de 128 bits; esto corresponde a 32 dígitos hexadecimales, que se utilizan normalmente para escribir las direcciones IPv6, como se describe en la siguiente sección.

El número de direcciones IPv6 posibles es de 2128 ≈ 3.4 x 1038. Este número puede también representarse como 1632, con 32 dígitos hexadecimales, cada uno de los cuales puede tomar 16 valores (véase combinatoria).

En muchas ocasiones las direcciones IPv6 están compuestas por dos partes lógicas: un prefijo de 64 bits y otra parte de 64 bits que corresponde al identificador de interfaz, que casi siempre se genera automáticamente a partir de la dirección MAC de la interfaz a la que está asignada la dirección. Las direcciones IPv6, de 128 bits de longitud, se escriben como ocho grupos de cuatro dígitos hexadecimales.

Por ejemplo, 2001:0db8:85a3:08d3:1319:8a2e:0370:7334 es una dirección IPv6 válida.

Un paquete en IPv6 está compuesto principalmente de dos partes: la cabecera y los datos. La cabecera está en los primeros 40 bytes (320 bits) del paquete y contiene las direcciones de origen y destino (128 bits cada una), la versión de IP (4 bits), la clase de tráfico (8 bits, Prioridad del Paquete), etiqueta de flujo (20 bits, manejo de la Calidad de Servicio), longitud del campo de datos (16 bits), cabecera siguiente (8 bits), y límite de saltos (8 bits, Tiempo de Vida). Después viene el campo de datos, con los datos que transporta el paquete, que puede llegar a 64k de tamaño en el modo normal, o más con la opción "jumbo payload".


5.3 Comparación

Los cambios del IPv4 al IPv6 recaen principalmente en las siguientes categorías:

Capacidades de Direccionamiento Extendida. El IPv6 incrementa el tamaño de dirección IP de 32 bits a 128 bits, para dar soporte a más niveles de direccionamiento jerárquico, un número mucho mayor de nodos direccionables, y una autoconfiguración más simple de direcciones.

Simplificación del Formato de Cabecera. Algunos campos de la cabecera IPv4 se han sacado o se han hecho opcional, para reducir el costo del caso común de proceso de tratamiento de paquete y para limitar el costo del ancho de banda, de la cabecera IPv6.

Soporte Mejorado para las Extensiones y Opciones. Los cambios en la manera en que se codifican las opciones de la cabecera IP permiten un reenvío más eficiente, límites menos rigurosos en la longitud de opciones, y mayor flexibilidad para introducir nuevas opciones en el futuro.

Capacidad de Etiquetado de Flujo. Una nueva capacidad se agrega para permitir el etiquetado de paquetes que pertenecen a "flujos" de tráfico particulares para lo cuál el remitente solicita tratamiento especial, como la calidad de servicio no estándar o el servicio en "tiempo real".

Capacidades de Autenticación y Privacidad. Extensiones para utilizar autenticación, integridad de los datos, y (opcional) confidencialidad de los datos, se especifican para el IPv6.

IPv4 soporta 4.294.967.296 (232) direcciones de red diferentes, un número inadecuado para dar una dirección a cada persona del planeta, y mucho menos para cada coche, teléfono, PDA, etcétera; mientras que IPv6 soporta 340.282.366.920.938.463.463.374.607.431.768.211.456 (2128 ó 340 sextillones) direcciones —cerca de 3,4 × 1020 (340 trillones) direcciones por cada pulgada cuadrada (6,7 × 1017 ó 670 mil billones direcciones/mm2) de la superficie de La Tierra.

Se espera que IPv4 se siga soportando hasta por lo menos el 2011, dado que hay muchos dispositivos heredados que no se migrarán a IPv6 nunca y que seguirán siendo utilizados por mucho tiempo.

En resumen:

5.4 Usos

- En 2003, Nihon Keizai Shimbun informa que Japón, China y Corea del Sur han tomado la determinación de convertirse en las naciones líderes en la tecnología de Internet, que conjuntamente han dado forma parcialmente al desarrollo de IPv6, y que lo adoptarán completamente a partir de 2005.


- ICANN anunció el 20 de julio de 2004 que los registros AAAA de IPv6 para Japón (.jp) y Corea (.kr) de código de país ya son visibles en los servidores raíz de DNS. El registro IPv6 para Francia fue añadido poco después.

- El 4 de febrero del 2008 se añade a los servidores raíz de la red (Master Address books) un pequeño número de registros que están escritos en IP versión 6 (IPv6). Esto significa que, por primera vez, las computadoras utilizando IPv6, por lo general, una PC y un servidor, cada una puede encontrar a la otra sin la participación de toda la tecnología IPv4.

- Desde el 2006 muchos sistemas operativos han estado trabajando IPv6 paralelamente con IPv4, sistemas como GNU/Linux, MAC, Unix y Windows. En 2008 Las redes empresariales que cuenten con Servidores Windows Server 2008 y a Windows Vista como "Cliente" ya utilizaran el protocolo IPv6 para comunicarse entre sí prescindiendo de la tecnología IPv4, que solo es utilizada para comunicaciones a Internet. Este sistema operativo no es el único ni el primero que utiliza el protocolo IPv6.

6. CONCLUSIONES.

IPSec son un conjunto de protocolos que sirven para cifrar tanto el establecimiento de la conexión, como el tráfico entre dos máquinas. Encontramos dos versiones fundamentales que son IPv4 e IPv6 mismas de las que ya hablamos en el contenido anterior.

Sin duda alguna, los creadores de IPv4, no consideraron la demanda que podía llegar a tener este protocolo; razón por la cual se incrementó de forma exagerada esta capacidad en IPv6. Dada la investigación realizada, queda claro la importancia y la necesidad de implementar IPv6, ya que las mejoras que ofrece son realmente significativas, independientemente de la necesidad de espacio suficiente para las direcciones que requiere el mundo actual.

Una de las partes que no se puede dejar de mencionar acerca de IPv6, es la capacidad que tiene para dar soporte a IP´s del protocolo IPv4, lo cual es de suma importancia, ya que resulta impensable la posibilidad de eliminar de un día a otro un protocolo tan utilizado como IPv4.

El camino de IPv4 a IPv6 no es una cuestión de migración ni de transición sino de evolución e integración. Mejoremos nuestras redes con dispositivos y aplicaciones que estén realmente listos para IPv6 sin dejar de ser válidos en IPv4.

Estamos convencidos que el futuro apunta hacia IPv6 y que en algunos paises como por ejemplo en Estados Unidos a partir del 30 de Junio del 2008 toda dependencia gubernamental debe de manejar dicho formato, por lo tanto en paises como México debemos estar preparados también.

Referencias Bibliográficas.

http://es.wikipedia.org/wiki/IPv4
http://es.wikipedia.org/wiki/IPv6
http://alt1040.com/2008/08/el-uso-de-ipv6-es-preocupantemente-pequeno/
http://www.arin.net/about_us/media/fact_sheets/Spanish/IPv4_IPv6_spanish.pdf
http://fferrer.dsic.upv.es/cursos/Windows/Avanzado/ch10s02.html
http://www.geocities.com/SiliconValley/Bay/8259/parte2.html

1 comentario:

Angélica Ramírez S. dijo...

Hola muchachas.. como siempre excelente trabajo de investigación. Ahora a leer la información para estar listas para las próximas clases.