Documentos de Académico
Documentos de Profesional
Documentos de Cultura
D.
MECANISMOS DE SEGURIDAD
EN EL PROTOCOLO IPv6
El formato del paquete IPv6 tiene una cabecera fija de 40 octetos y varias cabeceras
opcionales de ampliación (figura 1.2), en comparación con el formato del paquete IPv4
que es de 20 octetos y tiene un conjunto de cabeceras opcionales de longitud variable.
En IPv6 algunos de los campos de la cabecera IPv4, como los relativos a fragmentación,
se transladan a las cabeceras de ampliación. Otros, como la suma de comprobación de la
cabecera han sido eliminados. Una cabecera de tamaño fijo y las cabeceras opcionales
para funciones especiales reducen la necesidad de proceso en los encaminadores.
-1-
LUIS MENGUAL GALÁN
0 4 8 16 24 31
Dirección origen
40 octetos
Dirección destino
Cabecera de
variable
opciones Salto a Salto
Cabecera de Encapsulado de
variable
Contenidos de Seguridad
Cabecera de Opciones
variable
para el destino
-2-
LUIS MENGUAL GALÁN
• Etiqueta de flujo (24 bits): Un sistema utiliza este campo para solicitar que los
encaminadores de una red realicen un manejo especial del paquete.
• Longitud de la carga (16 bits): La longitud en octetos del resto del paquete de IPv6
que sigue a la cabecera. Es decir la longitud total de todas las cabeceras opcionales
más el segmento TCP.
• Límite de salto (8 bits): El número restante de saltos permitidos para este paquete. El
número de saltos lo fija el origen a un valor máximo deseado y se va disminuyendo
en 1 por cada nodo que reenvía el paquete. El paquete se elimina si el contador de
límite de saltos llega a 0. Esto es una simplificación del proceso necesario para el
campo tiempo de vida en IPv4.
Aunque la cabecera de IPv6 es más larga que la parte obligatoria de IPv4 (40
octetos frente a 20), contiene menos campos (8 en lugar de 12). Por lo tanto los
encaminadores tienen que realizar un procesamiento menor de cada cabecera, lo que
debe de acelerar el encaminamiento de los paquetes.
-3-
LUIS MENGUAL GALÁN
-4-
LUIS MENGUAL GALÁN
-5-
LUIS MENGUAL GALÁN
-6-
LUIS MENGUAL GALÁN
Un sistema dado utiliza su Dirección Origen y la Dirección Destino para elegir una
Asociación de Seguridad (y por lo tanto un determinado conjunto de Parámetros de
Seguridad). El sistema receptor utiliza la combinación de parámetros y la Dirección
Destino para distinguir la correcta asociación. Se debe de suponer que el destinatario
seleccionará los valores de los parámetros en función de un protocolo de seguridad o
procedimiento manual ejecutado de manera previa.
-7-
LUIS MENGUAL GALÁN
CA BEC ERA
LO NG ITUD RESERV AD O
SIG U IEN TE
D A TO S DE A U TENTICA CIÓ N
-8-
LUIS MENGUAL GALÁN
INFORMACIÓN ENCRIPTADA
CABECERA DE ENCAPSULADO
CABECERA IP CABECERAS OPCIONALES IP
DE CONTENIDOS DE SEGURIDAD DATOS
(CECS)
DATOS CIFRADOS
(LONGITUD VARIABLE)
-9-
LUIS MENGUAL GALÁN
La CECS trabaja entre sistemas finales, entre un sistema final y una pasarela de
seguridad, o entre pasarelas de seguridad. Cuando dos sistemas finales implementan la
CECS y no intervienen pasarelas de seguridad pueden utilizar el modo transporte
(donde sólo los datos del protocolo de nivel superior son cifrados y no hay cabecera IP
cifrada). Este modo de funcionamiento reduce el ancho de banda consumida y el coste
de proceso del protocolo para usuarios que no necesitan conservar confidencial el
datagrama completo.
El modo transporte de la CECS se utiliza para cifrar datos transportados por IP.
Normalmente estos datos son un segmento de la capa de transporte, como segmentos
TCP o UDP que a su vez contienen datos de la capa de aplicación. Para este modo de
funcionamiento (figura 1.6) la CECS se inserta en el paquete IP justo antes de la
cabecera de la capa de transporte (por ejemplo TCP, UDP o ICMP). Si la cabecera de
opciones del destino está presente, la CECS se inserta justo antes de esta cabecera.
INFORMACIÓN CIFRADA
CABECERA DE ENCAPSULADO
CABECERA IP CABECERAS OPCIONALES IP SEGMENTO DE NIVEL
DE CONTENIDOS DE SEGURIDAD
DE TRANSPORTE
- 10 -
LUIS MENGUAL GALÁN
nodo destino descifra el resto del paquete para recuperar el segmento de la cabecera
de transporte y los datos de aplicación
El modo túnel de la CECS se utiliza para cifrar el paquete IP entero. En este modo
de funcionamiento, después de la CECS se incorpora el paquete IP entero. El cifrado se
extiende a parte de la CECS y al paquete IP completo. Este modo de funcionamiento
(figura 1.7) se puede utilizar para imposibilitar el análisis de tráfico.
INFORMACIÓN CIFRADA
CABECERA DE ENCAPSULADO
CABECERA IP CABECERAS OPCIONALES IP
DE CONTENIDOS DE SEGURIDAD DATAGRAMA IP COMPLETO
Mientras que el modo transporte es conveniente para proteger las conexiones entre
sistemas informáticos que implementan la CECS, el modo túnel es útil en una
configuración que incluya cortafuegos u otro tipo de pasarela de seguridad que proteja
una intranet confidencial de redes externas. En este último caso, el cifrado sólo ocurre
entre un sistema externo y la pasarela de seguridad o entre dos pasarela de seguridad.
Esto evita que a los sistemas de una red interna una carga extra de procesamiento de
cifrado y también simplifica la tarea de distribución de claves debido a la reducción del
número necesario.
- 11 -
LUIS MENGUAL GALÁN
Este modo de funcionamiento se puede utilizar para establecer una Red Privada
Virtual. Los sistemas de cada una de las intranets pueden utilizar la Internet para
transportar datos pero no se conectan con otros sistemas de la Internet. Los túneles
termina en la pasarelas de seguridad de cada red interna, lo que evita que los sistemas
finales tengan que implementar mecanismos de seguridad.
- 12 -
LUIS MENGUAL GALÁN
- 13 -
LUIS MENGUAL GALÁN
• Debe ser posible tener más de una actual Asociación de Seguridad entre entidades
extremas.
• El método por el cual las claves son configuradas en un sistema particular es definido
por la implementación concreta. Un fichero que contenga los identificadores de la
Asociación de Seguridad y los parámetros de seguridad, incluyendo la clave(s), es un
- 14 -
LUIS MENGUAL GALÁN
- 15 -
LUIS MENGUAL GALÁN
D. 1
- 16 -