ANALYZING GENERIC ROUTING ENCAPSULATION (GRE) AND

IP SECURITY (IPSEC) TUNNELING PROTOCOLS FOR SECURED

COMMUNICATION OVER PUBLIC NETWORKS
Resumen—El uso extensivo de Internet ha creado seguridad y privacidad en los canales de
comunicación. El aumento de los dispositivos conectados y la necesidad de acceder de forma
remota a los recursos de red también ha amplificado la necesidad de unas medidas de seguridad.
Redes privadas virtuales, métodos de tunelización y cifrados de varias capas se han utilizado en
diferentes redes arquitecturas y topologías para asegurar la transmisión de extremo a extremo de
Información. El aumento de los ciberataques y las violaciones de datos en las últimas décadas es
una clara indicación de las preocupaciones que seguridad de la información. De la inundación de la
red, la denegación de servicios (DoS) a la exposición de datos sensibles, las consecuencias de una
red segura puede ser perjudicial para una organización y los usuarios finales. Con la tecnología IoT
proyectada, la comunicación de dispositivos debe protegerse de manera eficiente si tiene que pasar
a través de redes como Internet. Este documento analiza dos de los protocolos de tunelización
ampliamente utilizados en la transmisión de datos segura, el Encapsulación de enrutamiento
genérico (GRE) y la seguridad IP (IPSec), establece una comparación entre ellos y evalúa sus
capacidades de seguridad y medidas de privacidad en Internet red, utilizando simuladores de red.
Utilizamos la red gráfica simulador 3 (GNS3) emulador para análisis de tráfico.
Palabras clave—Encapsulación de enrutamiento genérico, seguridad IP, Túneles, Comunicación
Asegurada.

I. INTRODUCTION
La red de comunicación avanza hacia todo Infraestructuras IP, en las que la información se
fragmenta en paquetes IP y enviado aleatoriamente a través de diferentes redes al deseado destino.
Con la introducción de voz y video sobre IP, los servicios analógicos tradicionales también están
migrando hacia paquetes IP-transmisión. Sin embargo, con el aumento de los delitos cibernéticos, el
deseo de implementar canales de comunicación seguros es de importancia primordial. Tecnologías
como virtual privado redes (VPN) han equipado a las organizaciones con los mecanismos de
seguridad necesarios para garantizar la conectividad protegida entre los puntos finales de la red. En
múltiples redes de sistema de comunicación, es esencial para preservar la integridad de los datos
como medida que la información navega de una red a otra. En orden para garantizar la
interoperabilidad entre diferentes tipos de redes, la encapsulación y tunelización de información se
utilizan principalmente, todavía preservando la seguridad y privacidad de los datos. El uso de Internet
tiene aumentado drásticamente en la última década debido a su apertura y accesibilidad, con un
número de usuarios superior a 4 mil millones marcado a marzo de 2019 [1], Internet se considera la
red pública más popular y se ha convertido en la indiscutible red de comunicación para conectividad
remota y el intercambio de información. Accesible para todos, es la más red expuesta y vulnerable a
ciberataques. Aunque las estrictas leyes de privacidad y regulación establecidas por diferentes
gobiernos y comités, la ciberdelincuencia sigue yendo en aumento. La emoción de tener redes de
conexiones dispositivos (IoT) abre nuevas puertas a las amenazas de seguridad y el alto
presupuesto de inversión para ciberseguridad muestra la seriedad de los datos y se debe tomar
seguridad y privacidad [2]. Sin embargo, aumentar el nivel de seguridad en las redes públicas podría
afectar la usabilidad de los sistemas y aumentar la complejidad en términos de enrutamiento de
información, principalmente debido a encabezados y características adicionales aumentado en los
paquetes transmitidos y en segundo lugar debido a la tipos mixtos de personas y organizaciones que
utilizan redes públicas.
Por ejemplo, pedir a todos los empleados que instalen certificados de seguridad, Aplicaciones de
VPN y autentican continuamente su acceso en sus ordenadores personales para acceder a la
empresa, los recursos podrían reducir la alegría de conectarse a la red o al Internet; y esto puede
afectar la productividad. Por lo tanto, la implementación de los mecanismos de seguridad debe tener
en cuenta la usabilidad del sistema de consideración. La explotación de la seguridad, protocolos,
métodos de tunelización y técnicas de encapsulación es regulado para facilitar la interoperabilidad
entre redes mientras optimizan la usabilidad de los servicios de red.
La seguridad de la red se puede aplicar en varias capas de la pila de protocolos de comunicación, al
igual que los ciberataques de red. En la capa de red de la pila de protocolos TCP / IP, ha demostrado
ser beneficioso para instigar medidas de seguridad como encapsulación y modificación de paquetes
IP [3]. Lo típico la ilustración de la seguridad de capa 3 es la seguridad IP estándar (IPSec), utilizado
para encapsular paquetes IP, mediante algoritmos de cifrado [4]. Otro protocolo de encapsulación de
capa 3 popular es la encapsulación de enrutamiento genérico (GRE), que se utiliza para
encapsulación de paquetes IP sin cifrado de las cargas útiles [5]. El mecanismo de tunelización
garantiza la seguridad al crear una conexión directa entre los dos puntos extremos de la red. Por lo
tanto, los enrutadores intermedios y otras redes de capa 3 de los elementos no tienen visibilidad de
la información real que pasa a través, ya que las encapsulaciones se realizan en los puntos finales
de la comunicación. Este método puede evitar varios problemas relacionados con la red - ataques
como Man-In-The-Middle (MITM). Cuando está involucrado un túnel, es probable que la brecha de
seguridad ocurra en el lado del usuario final.
En este artículo analizamos el impacto de los protocolos GRE e IPSec al acceder a servidores
remotos a través de Internet. Utilizando métricas de rendimiento de enrutamiento de red y violación
de intentos de seguridad, establecemos la línea entre los dos populares protocolos de túnel, y
combinamos los dos métodos para mejorar la seguridad manteniendo intacta la usabilidad. La
simulación de la red se ejecuta utilizando la plataforma GNS3 por su capacidad para combinar
dispositivos virtuales y físicos para simular arquitecturas de red complejas. El mensaje de control de
IP, los mensajes de protocolo (ICMP) se envían a través de la red para analizar el paquete; la prueba
se realiza en dos tipos de red (una Basado en GRE y basado en GRE-IPSec).
II. ANTECEDENTES Y ESTUDIOS RELACIONADOS
Varias investigaciones han abordado el área de redes de seguridad mediante protocolos GRE o
IPSec. El uso de túneles protocolos orientados para bloquear el tráfico malicioso del ISP es
explorado por [6], la investigación detalla varios protocolos de tunelizacion y configuración requerida
que se pueden utilizar para asegurar conectividad de datos del tráfico ISP malicioso. Usando
diferentes servicios para medir métricas de desempeño, el estudio muestra cómo insignificante es el
efecto de la encapsulación del tráfico; sin embargo, un poco se observó degradación en aplicaciones
TCP en comparación con UDP. [7] introduce una arquitectura que facilita la integración e
interoperabilidad entre el legado Proxies mejorados de rendimiento (PEP) y el protocolo IPSec. La
naturaleza criptográfica de IPSec permite menos manipulaciones de encabezados de paquetes; por
lo tanto, la mejora de la capa de transporte no puede ser logrado. El estudio adjunta un componente
IPSec adicional en la arquitectura propuesta, para actuar como puente entre PEP y Tráfico habilitado
para IPSec; principalmente porque el componente IPSec puede acceder a encabezados de paquetes
no cifrados y al protocolo IPSec encabezados de paquetes cifrados. Según el estudio de
investigación, la interoperabilidad se logra asociando los dos lados del protocolo preservando la
seguridad y el rendimiento de los datos. [3] destaca una forma eficiente de gestionar la seguridad de
un extremo a otro en una red totalmente IP. La investigación utiliza un protocolo genérico,
mecanismo para construir un modelo de red transparente. El estudio conceptual utiliza
videoconferencia a través de la Internet pública para proporcionar una prueba de concepto de la
salida recomendada. En el estudio, el protocolo IPSec se utiliza por motivos de seguridad y
privacidad, además, algunos conflictos y la degradación del rendimiento pueden ser observado
cuando los rasgos de seguridad adicionales se expanden en la red. Con la insuficiencia de
direcciones IPv4, la tecnología utilizada para distribuir eficientemente el tráfico IP es la NAT
(Traducción de direcciones de red) [8], resumido mediante el uso de IP privadas en la red de área
local (LAN) y una o más IP públicas en el elemento de puerta de enlace para traducir el tráfico IP
privado a IP pública para acceder a Internet. Usando el método de encapsulación cuando se usa
NAT podría crear algún nivel de colisión de tráfico. [3] muestra que en el momento en que un host en
un NAT habilitado la red solicita una conexión segura a servidor remoto de internet, IPSec o GRE no
pueden proporcionar un adecuado túnel asegurado debido a la dificultad de diferenciar entre
cabeceras NAT y maliciosas.
La aplicación de protocolos de tunelización se extiende a sistemas digitales para asegurar la
transferencia de datos según lo explorado por [9]. El estudio investiga la aplicación del protocolo
IPSec en FPGA, tomando un enfoque de hardware. El estudio propuesto alcanzó una óptima
velocidad de transferencia de datos mientras protege los datos. [10] enfatiza en la implementación de
túneles GRE en etiqueta multiprotocolo redes de conmutación (MPLS), comparando el rendimiento
entre el portador estándar MPLS y MPLS-over-GRE. La investigación utiliza la capacidad de GRE
para enrutar el tráfico encapsulado. a través de diferentes redes para admitir MPLS protegido
Backbones de solo IP. La conmutación de etiquetas se aplica a los paquetes antes de la
encapsulación GRE y eliminado en el otro extremo del túnel. Los resultados de las pruebas del
estudio muestran que el rendimiento se optimiza cuando se utiliza GRE en redes MPLS. El lado de
conmutación de paquetes de la red celular ha dominado por el Protocolo de túnel GPRS (GTP) para
enrutamiento central del tráfico de datos; sin embargo, según lo estudiado por [11], el próxima de 5G
(quinta generación de comunicaciones móviles) abre la puerta a muchos otros protocolos de
tunelización para proteger los datos. Uno de esos protocolos es el GRE. El estudio analiza el GTP
que se basa en datagramas UDP, el GRE construido en redes IP y el protocolo de túnel de capa 2
VXLAN (virtual extensible red de área local) que se basa en el control de acceso a los medios (MAC)
nivel. El estudio concluye con una mirada a una mejora versión de los protocolos GTP actuales (un
GTPv2) para el futuro enrutamiento de comunicación e integración del estándar GRE para
enrutamiento de capa 3 seguro y optimizado.
A. Visión general de los túneles
La tunelización permite la conexión remota de los usuarios finales a los servicios a través de una red
pública como Internet. Mediante túneles, los empleados pueden conectarse a sus redes corporativas
o cualquier otro recurso directamente a través de Internet. El túnel creado proporciona una conexión
virtual directa a la deseada red. El concepto descrito por [12] describe un túnel-protocolo como un
sobre que contiene otros sobres, un datagrama que encierra paquetes de datos del mismo o
diferente tipos de protocolo. La figura 1 ilustra el concepto de tunelización; tunelización configurada
entre dos redes que se comunican a través del Internet.
Internet es un sistema público formado por varios nodos, facilitando la comunicación; lo que significa
que todo el mundo tiene acceso a ella. Por lo tanto, el tráfico puede ser interceptado por cualquier
atacante malintencionado. Al utilizar la tunelización, los datos se encapsulan en de tal manera que
solo el receptor pueda desencapsular el mensaje.
Durante su tránsito al destino, la información encapsulada es transparente a los nodos del medio.
Además, en el caso de un ataque MTTM, los paquetes encapsulados están protegidos por un
encabezado adicional y cifrado (en el caso de IPSec), y el atacante solo puede tratar con información
cifrada.
B. Descripción general de la encapsulación de enrutamiento genérico (GRE)
El GRE es un estándar internacional de encapsulación de capa 3 definido en RFC 2784 [5] por la
Internet Engineering Task Force. El protocolo se utiliza para encapsular paquetes IP para
transmisión en cualquier tipo de red. El mecanismo de encapsulación del protocolo GRE se simplifica
en el sentido de que solo se agrega un encabezado al paquete inicial como se ilustra en la Fig. 2. El
encabezado está compuesto por campos obligatorios y opcionales. CS es la bandera de suma de
comprobación e indica la presencia de la suma de comprobación campo en el encabezado; lo mismo
que el indicador de clave (FK) y la secuencia Número (SQ) que indica la existencia de una clave y
campos de número de secuencia respectivamente.

Los campos opcionales del encabezado son de tamaño flexible. El primero bits de reserva (6-12)
están reservados para uso futuro. En el protocolo tipo de campo, la naturaleza del protocolo de carga
útil se describe claramente. El paquete encapsulado se muestra en la Fig.3, donde el encabezado
GRE se agrega en la carga útil. El campo de clave opcional se puede utilizar para verificar el proceso
de encapsulación.

El encabezado de entrega se agrega en caso de que el paquete de carga útil necesite para ser
enrutado o reenviado al destino. La carga útil no es cifrada cuando se utiliza GRE; eso significa que
no hay protección en el contenido original en sí mismo porque el protocolo no proporciona un
mecanismo para inspeccionar el nivel de integridad y también de su diseño punto de vista, no admite
la función de cifrado. El protocolo de túnel GRE permite la implementación de IP VPN y tiene la
capacidad de proporcionar un túnel de transporte a cualquier protocolo [13].
C. Descripción general de la seguridad IP (IPSec)
El IPSec es también un protocolo de seguridad de capa 3 que se utiliza para proteger la
comunicación entre redes (gateway a gateway) o de usuario a red o de usuario a usuario [14]. El
protocolo se utiliza para seguridad de extremo a extremo de la transferencia de datos a través de la
red. A diferencia de GRE, IPSec encapsula paquetes protegiendo el carga útil con algoritmos de
cifrado. Los paquetes IP que deben ser transferidos entre dos puntos finales usando el protocolo
IPSec son poco probables que sufra un ataque MITM. Las direcciones de protocolo, el concepto de
la CIA de seguridad de red, confidencialidad, integridad y Autenticación de datos y su acceso, se
describe en [14], el grupo de protocolos IPSec consta de una seguridad encapsulada payload (ESP),
un encabezado de autenticación (AH), cifrado algoritmo y modelo de gestión de claves. La seguridad
en IPSec se obtiene a través del AH, ESP y el proceso de intercambio claves de red. Como el
mecanismo de tunelización se implementa en capa 3 del modelo de protocolo TCP / IP y OSI,
cualquier capa superior puede integrar el protocolo para asegurar la comunicación, incluyendo, pero
no limitado a UDP, TCP o cualquier protocolo de enrutamiento como BGP, EIGRP y OSPF [15].
Integridad y autenticación son proporcionadas por la IP AH y la confidencialidad, por parte del ESP.
El acceso al sistema está estrictamente controlado por el intercambio de claves en el proceso y la
administración de flujo de tráfico. El intercambio de claves, basado en IKE (Internet Key Exchange)
facilita la gestión y el mantenimiento de recursos en IPSec. La implementación de IPSec puede
ocurrir en el usuario final, un enrutador o un firewall, creando una puerta de enlace de seguridad.
La Fig. 4 muestra el formato de paquete del ESP. El SPI se utiliza para la identificación del
datagrama. El número de secuencia representa un contador obligatorio que determina si un receptor
ha habilitado el servicio anti-repetición o no. Los datos de la carga útil contienen la información
definida por la siguiente ruta. El relleno se utiliza para los requisitos de cifrado y encriptado. La
longitud de la almohadilla se utiliza para especificar el número de relleno anterior bytes. El siguiente
campo de encabezado indica el tipo de información de cifrado en los datos de carga útil. Los datos
de autenticación, el objetivo es proporcionar verificación de integridad y tiene una longitud variable.
Las figuras 5 y 6 muestran respectivamente el paquete antes y después de la encapsulación,
aplicada al direccionamiento IPv4. OIP es la dirección IP de origen, ESPH es el encabezado ESP,
ESPT es el cola de ESP, y ESPA es la autenticación.

La encapsulación se aplica después del encabezado IP y antes de los protocolos de capa superior.
Para garantizar la autenticación, IPSec utiliza el protocolo de encabezado de autenticación y el
formato de paquete AH se muestra en la Fig. 7. El siguiente encabezado es una indicación de la
siguiente información después de AH. La longitud de la carga útil es una indicación de la duración de
la información. El campo reservado de la AH no se utiliza actualmente y se mantiene para futuros
servicios públicos. El SPI, la secuencia y los datos de autenticación desempeñan el mismo papel que
en el Esp.
 8 y 9 muestran el paquete antes del AH del IPSec,
se aplica al esquema de direccionamiento IPv4.

La AH se inserta después y antes de los protocolos de capa superior. Para una implementación
completa de IPSec, para aprovechar de la capacidad de la CIA, el ESP y el AH se pueden utilizar
juntos. Cuando se utiliza el modo de tunelización de IPSec, el AH puede ser implementado en el lado
del host o de la puerta de enlace. El modo túnel es ampliamente utilizado cuando IPSec se
implementa en la puerta de enlace para tráfico seguro que pasa a través del túnel.

III. CONTRIBUCIÓN DEL ESTUDIO

La investigación apoya la necesidad de implementar seguros canales de comunicación para evitar la
manipulación de datos en las líneas de transmisión. Por un lado, simulando una red de tráfico real e
intentos reales de templar la información y capturar tráfico en el camino, el estudio destaca de
manera eficiente el impacto de configurar túneles y no tenerlos. Por otro lado, el estudio analiza dos
de los protocolos de tunelización más utilizados y muestra prácticamente los beneficios de cada
protocolo y su impacto en el rendimiento y la productividad. Profesionales de seguridad de la red,
profesionales de TI y organizaciones pueden utilizar el experimento para comparar el nivel de
seguridad de sus sistemas de transmisión aplicando el mismo método de prueba.
El costo de las filtraciones de datos puede ser extremo para una organización e individuos. Por lo
tanto, es fundamental reforzar la seguridad en diferentes capas de comunicación.

IV. METODOLOGIA Y DISEÑO

Para realizar el experimento, analice el impacto que describió los protocolos de tunelización y el
impacto en la seguridad mediante herramienta de detección de paquetes, se estudian dos
escenarios de red. Primero una comunicación de red WLAN con GRE configurado y segundo,
comunicación de red con GRE a través de IPSec configurado. Para cada escenario de red, usamos
Wireshark para captar el contenido del paquete y analizar el tráfico capturado y el protocolo.
A. Step 1: Diseño y configuración de red
El diseño de la red se muestra en la Fig. 10. Cuatro enrutadores están conectados para construir la
red. El enrutador 1 (Rl) se utiliza como enrutador ISP o La Internet. Todos los enrutadores ejecutan
EIGRP (interior mejorado protocolo de enrutamiento de puerta de enlace) con sistema autónomo
100. Cada A la interfaz activa del enrutador se le asigna una IP basada en el IP de subred (las IP de
subred y las IP de interfaz se muestran en la Fig.10). La comunicación entre 192.168.2.0/24 y
192.168.3.0/24 se realiza a través de un túnel IP GRE creado entre R2 y R3. La comunicación entre
192.168.2.0/24 y 192.168.4.0/24 se completa mediante un túnel IP GRE con IPSec configurado,
creado entre R2 y R4 directamente para comunicación encriptada. Un host se asocia a cada interfaz
activa. El objetivo es oler los paquetes en el enlace de comunicación y el router, examinar el impacto
de GRE e IPSec en la comunicación a través de la red pública, emulando una configuración de red
real.

La configuración de la ruta IP en el enrutador 2 se muestra a continuación, como puede ver dos

túneles de comunicación y EIGRP en ejecución, anunciar todas las redes adecuadas:

DR#show ip route
Codes: C - connected, S - static, R - RIP, M - mobile, B - BGP
D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type
2
E1 - OSPF external type 1, E2 - OSPF external type 2
i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
ia - IS-IS inter area, * - candidate default, U - per-user static route
o - ODR, P - periodic downloaded static route
Gateway of last resort is not set

172.16.0.0/30 is subnetted, 3 subnets

D 172.16.4.0 [90/284160] via 172.16.2.1, 00:12:45,
FastEthemet0/1
D 172.16.6.0 [90/284160] via 172.16.2.1, 00:12:45,
FastEthernet0/1
C 172.16.2.0 is directly connected, FastEthemet0/1
D 192.168.4.0/24 [90/309760] via 172.16.2.1, 00:12:44,
FastEthemet0/1
10.0.0.0/8 is variably subnetted, 2 subnets, 2 masks
C 10.2.2.0/30 is directly connected, TunnelO
D 10.0.0.0/8 is a summary, 02:14:36, NullO
12.0.0.0/30 is subnetted, 1 subnets
C 12.2.2.0 is directly connected, Tunnell
D 192.168.1.0/24 [90/307200] via 172.16.2.1, 00:12:46,
FastEthemet0/1
C 192.168.2.0/24 is directly connected, FastEthemet0/0
D 192.168.3.0/24 [90/309760] via 172.16.2.1, 00:12:44,
FastEthemet0/1

D representa la ejecución del protocolo EIGRP y C representa la conexión directa. La tabla de ruteo
en el router 3 y 4 son también se muestra a continuación:

R3# Gateway of last resort is not set

172.16.0.0/30 is subnetted, 3 subnets
C 172.16.4.0 is directly connected, FastEthemetO/1
D 172.16.6.0 [90/284160] via 172.16.4.1, 00:07:36,
FastEthemetO/1
D 172.16.2.0 [90/307200] via 172.16.4.1, 00:07:36,
FastEthemetO/1
D 192.168.4.0/24 [90/309760] via 172.16.4.1, 00:07:35,
FastEthernetO/1
10.0.0.0/8 is variably subnetted, 2 subnets, 2 masks
C 10.2.2.0/30 is directly connected, TunnelO
D 10.0.0.0/8 is a summary, 00:07:26, NullO
12.0.0.0/30 is subnetted, 1 subnets
D 12.2.2.0 [90/297272576] via 172.16.4.1, 00:07:32,
FastEthemetO/1
D 192.168.1.0/24 [90/307200] via 172.16.4.1, 00:07:38,
FastEthemetO/1
D 192.168.2.0/24 [90/332800] via 172.16.4.1, 00:07:38,
FastEthemetO/1
C 192.168.3.0/24 is directly connected, FastEthernet0/0

R4#
Gateway of last resort is not set
172.16.0.0/30 is subnetted, 3 subnets
D 172.16.4.0 [90/30720] via 172.16.6.1, 00:01:46, FastEthernet2/0
C 172.16.6.0 is directly connected, FastEthernet2/0
D 172.16.2.0 [90/284160] via 172.16.6.1, 00:01:46,
FastEthemet2/0
C 192.168.4.0/24 is directly connected, FastEthemetO/O
10.0.0.0/30 is subnetted, 1 subnets
D 10.2.2.0 [90/297249536] via 172.16.6.1, 00:01:33,
FastEthemet2/0
12.0.0.0/30 is subnetted, 1 subnets
C 12.2.2.0 is directly connected, TunneM
D 192.168.1.0/24 [90/284160] via 172.16.6.1, 00:01:49,
FastEthernet2/0
D 192.168.2.0/24 [90/309760] via 172.16.6.1, 00:01:48,
FastEthernet2/0
D 192.168.3.0/24 [90/286720] via 172.16.6.1, 00:01:47,
FastEthemet2/0

B. Paso 2: Pruebas de conectividad

Para asegurarse de que la configuración se realiza correctamente, las pruebas de conectividad se

ejecutan mediante mensajes ICMP. Enviamos ICMP mensajes de un host a otro. Las pruebas de
ping se muestran a continuación, todos los hosts pueden comunicarse entre sí.

PC-5> ping 172.16.2.2

84 bytes from 172.16.2.2 icmp_seq=1 ttl=253 time=77.637 ms
84 bytes from 172.16.2.2 icmp_seq=2 ttl=253 time=44.693 ms
84 bytes from 172.16.2.2 icmp_seq=3 ttl=253 time=34.859 ms
84 bytes from 172.16.2.2 icmp_seq=4 ttl=253 time=90.673 ms
84 bytes from 172.16.2.2 icmp_seq=5 ttl=253 time=46.385 ms

PC-2> ping 192.168.4.2

84 bytes from 192.168.4.2 icmp_seq=1 ttl=62 time=48.619 ms
84 bytes from 192.168.4.2 icmp_seq=2 ttl=62 time=76.947 ms
84 bytes from 192.168.4.2 icmp_seq=3 ttl=62 time=39.140 ms
84 bytes from 192.168.4.2 icmp_seq=4 ttl=62 time=50.853 ms
84 bytes from 192.168.4.2 icmp_seq=5 ttl=62 time=60.000 ms

PC-2> ping 192.168.3.2

84 bytes from 192.168.3.2 icmp_seq=1 ttl=61 time=737.731 ms
84 bytes from 192.168.3.2 icmp_seq=2 ttl=61 time=161.818 ms
84 bytes from 192.168.3.2 icmp_seq=3 ttl=61 time=58.968 ms
84 bytes from 192.168.3.2 icmp_seq=4 ttl=61 time=58.831 ms
84 bytes from 192.168.3.2 icmp_seq=5 ttl=61 time=52.451 ms

Se configura una clave previamente compartida y se comparte con la IP del mismo nivel, que es la
dirección IP del enrutador del mismo nivel.
• La política de seguridad IP está implementada en el enrutador y se crea el perfil del mapa
criptográfico.
• Para permitir que IP específicas utilicen la implementación túneles, se configura una lista de acceso
extendida para permitir tráfico específico para pasar por la ruta encriptada.
C. Step 3: Implementation of Tunneling Protocols
De las configuraciones de ruteo en la sección A, vemos los túneles configurados disponibles. Se
configuran dos túneles, túnel 0 para la conexión virtual directa entre el router 2 y router 3 y el túnel 1
para una conexión virtual directa entre router 2 y router 3. La estrategia de aplicación de la la
configuración de los túneles se muestra en la Fig. 11.

Los túneles GRE se configuran en los enrutadores que necesitan comunicar.

• El intercambio de claves de Internet (IKE) se implementa con política de alta prioridad, para la
gestión de las llaves de seguridad. Los métodos de cifrado y hash son determinado en el proceso.
• La configuración de seguridad se aplica luego a los dos enrutadores interfaces para activar el
IPSec.
1) The GRE tunnel 0 and tunnel 1
Las configuraciones de los túneles en el router 2,3 y 4 se muestran abajo:

Router 2:
DR#show interfaces tunnel 0
TunnelO is up, line protocol is up
Hardware is Tunnel
Internet address is 10.2.2.1/30
MTU 1514 bytes, BW 9 Kbit/sec, DLY 500000 usee,
reliability 255/255, txload 1/255, rxload 1/255
Encapsulation TUNNEL, loopback not set
Keepalive not set
Tunnel source 172.16.2.2 (FastEthernet0/1), destination
172.16.4.2
Tunnel protocol/transport GRE/IP
DR#show interfaces tunnel 1
TunneM is up, line protocol is up
Hardware is Tunnel
Internet address is 12.2.2.1/30
MTU 1514 bytes, BW 9 Kbit/sec, DLY 500000 usee,
reliability 255/255, txload 1/255, rxload 1/255
Encapsulation TUNNEL, loopback not set
Keepalive not set
Tunnel source 172.16.2.2 (FastEthernet0/1), destination
172.16.6.2
Tunnel protocol/transport GRE/IP
 Router 3:
R3#show interfaces tunnel 0
TunnelO is up, line protocol is up
Hardware is Tunnel
Internet address is 10.2.2.2/30
MTU 1514 bytes, BW 9 Kbit/sec, DLY 500000 usee,
reliability 255/255, txload 1/255, rxload 1/255
Encapsulation TUNNEL, loopback not set
Keepalive not set
Tunnel source 172.16.4.2 (FastEthernet0/1), destination
172.16.2.2
Tunnel protocol/transport GRE/IP
Router 4:
R4#show int tunnel 1
TunneM is up, line protocol is up
Hardware is Tunnel
Internet address is 12.2.2.2/30
MTU 1514 bytes, BW 9 Kbit/sec, DLY 500000 usee,
reliability 255/255, txload 1/255, rxload 1/255
Encapsulation TUNNEL, loopback not set
Keepalive not set
Tunnel source 172.16.6.2 (FastEthernet2/0), destination
172.16.2.2
Tunnel protocol/transport GRE/IP

El router 3 se comunica directamente con el router 2 a través del túnel 0, y el posterior

comunica al router 4 a través del túnel 1. Basado en las configuraciones mostradas, podemos
observar que:
Las direcciones IP de túnel en ambos extremos de los túneles pertenecen a la misma subred.
• La dirección IP del túnel es única y no se utiliza en la red
• El túnel debe estar física y administrativamente (protocolo) para asegurar que las
configuraciones sean buenas.

2) Implementation of IP Security on GRE tunnel 1

El protocolo de seguridad IP se aplica al túnel 1 entre el router 2 y router 4. El IPsec

configurado se muestra abajo, en los dos Routers

Router 4:
R4#show crypto map
Crypto Map "IPSEC-MAP" 1 ipsec-isakmp
Peer = 172.16.2.2
Extended IP access list IPSEC
access-list IPSEC permit ip 192.168.4.0 0.0.0.255
192.168.2.0 0.0.0.255
Current peer: 172.16.2.2
Security association lifetime: 4608000 kilobytes/3600 seconds
PFS (Y/N): N
Transform sets={
IPSEC,
 }
Interfaces using crypto map IPSEC-MAP:
FastEthernet2/0

Router 2:
DR#show crypto map
Crypto Map "IPSEC-MAP" 1 ipsec-isakmp
Peer = 172.16.6.2
Extended IP access list IPSEC
access-list IPSEC permit ip 192.168.2.0 0.0.0.255
192.168.4.0 0.0.0.255
Current peer: 172.16.6.2
Security association lifetime: 4608000 kilobytes/3600 seconds
PFS (Y/N): N
Transform sets={
IPSEC,
}
Interfaces using crypto map IPSEC-MAP:
FastEthernet0/1

DR#show crypto isakmp peers

Peer: 172.16.6.2 Port: 500 Local: 172.16.2.2
Phasel id: 172.16.6.2

D. Step 4: Packet/traffic Sniffing

Para interceptar paquetes de la red, virtual La máquina Kali está integrada en el GNS3 y el span
(puerto de conmutación analizador) está configurado en el conmutador para reflejar y supervisar todo
el tráfico de la interfaz. El Wireshark de Kali se utiliza para capturar las transacciones. Tráfico, se
crean mensajes ICMP de host a host para permitir la captura de tráfico. El Kali máquina simula un
escenario de hombre en el medio, que es familiarizado con la seguridad de la red.
E. Step 5: Analysis of Results
1) Tunnel 0 (GRE) Traffic Analysis

De PC-1, hacemos ping PC-2 porque el router 2 y el router 3 ejecutan túnel 0. Los resultados de los
paquetes capturados se muestran diferentes en la Fig. 12. Podemos ver la presencia del protocolo
GRE en paquetes generados. Sin embargo, el mensaje ICMP se muestra en texto sin formato
porque el túnel GRE no utiliza el cifrado de la carga útil o el datagrama.
La Fig.13 muestra la expansión del análisis del protocolo ICMP en Wireshark. Se pueden configurar
diferentes bytes y bits del mensaje analizado.

En la Fig.14, el encabezado GRE se muestra como capturado en el tráfico. La suma de control, el

enrutamiento, el número de secuencia y las banderas clave no están todas configuradas. La versión
encapsulada es configurado como GRE, y el tipo de protocolo se establece en 0x0800.
2) Análisis de tráfico del túnel 1 (GRE sobre IPSec)
Desde la PC-5, hacemos ping a la PC-2 porque el enrutador 2 y el enrutador 4 ejecutan túnel 1, en el
que se configura IPSec. Los resultados capturados son que se muestra en la Fig. 15. Podemos ver
que debido al IPSec, el mensaje ICMP ahora está encriptado y muestra el protocolo ESP. El
analizador de protocolos no muestra detalles de texto claro en ESP. Extra-seguridad Se agrega a la
comunicación.
V. CONCLUSION
En este artículo, hemos analizado la aplicación, los beneficios e inconvenientes de los protocolos de
tunelización. El enrutamiento genérico, la encapsulación y la seguridad IP se han estudiado y
prácticamente analizado mediante simulación de red en GNS3. La expansión del acceso a Internet y
el aumento de vidas conectadas requieren un fuerte acento en la seguridad y privacidad de la red y
los datos. Implementar Los protocolos de tunelización seguros pueden ayudar contra la capa de red
ciberataque, incluido MITM y suplantación de IP. GRE proporciona seguridad básica en el túnel, pero
la protección del túnel GRE con IPSec duplica la protección al cifrar la carga útil; cualquier
interceptación de paquetes resultará en un montón de paquetes cifrados que los atacantes
malintencionados tendrían dificultades para descifrar. GRE sobre IPSec proporciona la mejor forma
de seguridad en el nivel de capa 3 (capa de red).
VI. FUTURE STUDIES
El modelo de comunicación está estratificado y en cada capa, implementar la seguridad necesaria es
crucial. El alcance de la el papel está limitado a la seguridad de capa 3 y un ciberataque específico,
rastreo de tráfico o MITM. Túneles de capa 2 y los protocolos de capas superiores son también un
área de investigación de seguridad y diferentes ataques que pueden afectar la transmisión de datos.
GRE y GRE terminados. IPSec agrega sobrecarga a los paquetes que pueden afectar el rendimiento
de la red [18]; optimizando y mejorando el rendimiento de la transmisión cuando se trata de túneles,
es un tema para abordar, ya que el equilibrio debe mantenerse entre seguridad y rendimiento.