Documentos de Académico
Documentos de Profesional
Documentos de Cultura
I. INTRODUCTION
La red de comunicación avanza hacia todo Infraestructuras IP, en las que la información se
fragmenta en paquetes IP y enviado aleatoriamente a través de diferentes redes al deseado destino.
Con la introducción de voz y video sobre IP, los servicios analógicos tradicionales también están
migrando hacia paquetes IP-transmisión. Sin embargo, con el aumento de los delitos cibernéticos, el
deseo de implementar canales de comunicación seguros es de importancia primordial. Tecnologías
como virtual privado redes (VPN) han equipado a las organizaciones con los mecanismos de
seguridad necesarios para garantizar la conectividad protegida entre los puntos finales de la red. En
múltiples redes de sistema de comunicación, es esencial para preservar la integridad de los datos
como medida que la información navega de una red a otra. En orden para garantizar la
interoperabilidad entre diferentes tipos de redes, la encapsulación y tunelización de información se
utilizan principalmente, todavía preservando la seguridad y privacidad de los datos. El uso de Internet
tiene aumentado drásticamente en la última década debido a su apertura y accesibilidad, con un
número de usuarios superior a 4 mil millones marcado a marzo de 2019 [1], Internet se considera la
red pública más popular y se ha convertido en la indiscutible red de comunicación para conectividad
remota y el intercambio de información. Accesible para todos, es la más red expuesta y vulnerable a
ciberataques. Aunque las estrictas leyes de privacidad y regulación establecidas por diferentes
gobiernos y comités, la ciberdelincuencia sigue yendo en aumento. La emoción de tener redes de
conexiones dispositivos (IoT) abre nuevas puertas a las amenazas de seguridad y el alto
presupuesto de inversión para ciberseguridad muestra la seriedad de los datos y se debe tomar
seguridad y privacidad [2]. Sin embargo, aumentar el nivel de seguridad en las redes públicas podría
afectar la usabilidad de los sistemas y aumentar la complejidad en términos de enrutamiento de
información, principalmente debido a encabezados y características adicionales aumentado en los
paquetes transmitidos y en segundo lugar debido a la tipos mixtos de personas y organizaciones que
utilizan redes públicas.
Por ejemplo, pedir a todos los empleados que instalen certificados de seguridad, Aplicaciones de
VPN y autentican continuamente su acceso en sus ordenadores personales para acceder a la
empresa, los recursos podrían reducir la alegría de conectarse a la red o al Internet; y esto puede
afectar la productividad. Por lo tanto, la implementación de los mecanismos de seguridad debe tener
en cuenta la usabilidad del sistema de consideración. La explotación de la seguridad, protocolos,
métodos de tunelización y técnicas de encapsulación es regulado para facilitar la interoperabilidad
entre redes mientras optimizan la usabilidad de los servicios de red.
La seguridad de la red se puede aplicar en varias capas de la pila de protocolos de comunicación, al
igual que los ciberataques de red. En la capa de red de la pila de protocolos TCP / IP, ha demostrado
ser beneficioso para instigar medidas de seguridad como encapsulación y modificación de paquetes
IP [3]. Lo típico la ilustración de la seguridad de capa 3 es la seguridad IP estándar (IPSec), utilizado
para encapsular paquetes IP, mediante algoritmos de cifrado [4]. Otro protocolo de encapsulación de
capa 3 popular es la encapsulación de enrutamiento genérico (GRE), que se utiliza para
encapsulación de paquetes IP sin cifrado de las cargas útiles [5]. El mecanismo de tunelización
garantiza la seguridad al crear una conexión directa entre los dos puntos extremos de la red. Por lo
tanto, los enrutadores intermedios y otras redes de capa 3 de los elementos no tienen visibilidad de
la información real que pasa a través, ya que las encapsulaciones se realizan en los puntos finales
de la comunicación. Este método puede evitar varios problemas relacionados con la red - ataques
como Man-In-The-Middle (MITM). Cuando está involucrado un túnel, es probable que la brecha de
seguridad ocurra en el lado del usuario final.
En este artículo analizamos el impacto de los protocolos GRE e IPSec al acceder a servidores
remotos a través de Internet. Utilizando métricas de rendimiento de enrutamiento de red y violación
de intentos de seguridad, establecemos la línea entre los dos populares protocolos de túnel, y
combinamos los dos métodos para mejorar la seguridad manteniendo intacta la usabilidad. La
simulación de la red se ejecuta utilizando la plataforma GNS3 por su capacidad para combinar
dispositivos virtuales y físicos para simular arquitecturas de red complejas. El mensaje de control de
IP, los mensajes de protocolo (ICMP) se envían a través de la red para analizar el paquete; la prueba
se realiza en dos tipos de red (una Basado en GRE y basado en GRE-IPSec).
II. ANTECEDENTES Y ESTUDIOS RELACIONADOS
Varias investigaciones han abordado el área de redes de seguridad mediante protocolos GRE o
IPSec. El uso de túneles protocolos orientados para bloquear el tráfico malicioso del ISP es
explorado por [6], la investigación detalla varios protocolos de tunelizacion y configuración requerida
que se pueden utilizar para asegurar conectividad de datos del tráfico ISP malicioso. Usando
diferentes servicios para medir métricas de desempeño, el estudio muestra cómo insignificante es el
efecto de la encapsulación del tráfico; sin embargo, un poco se observó degradación en aplicaciones
TCP en comparación con UDP. [7] introduce una arquitectura que facilita la integración e
interoperabilidad entre el legado Proxies mejorados de rendimiento (PEP) y el protocolo IPSec. La
naturaleza criptográfica de IPSec permite menos manipulaciones de encabezados de paquetes; por
lo tanto, la mejora de la capa de transporte no puede ser logrado. El estudio adjunta un componente
IPSec adicional en la arquitectura propuesta, para actuar como puente entre PEP y Tráfico habilitado
para IPSec; principalmente porque el componente IPSec puede acceder a encabezados de paquetes
no cifrados y al protocolo IPSec encabezados de paquetes cifrados. Según el estudio de
investigación, la interoperabilidad se logra asociando los dos lados del protocolo preservando la
seguridad y el rendimiento de los datos. [3] destaca una forma eficiente de gestionar la seguridad de
un extremo a otro en una red totalmente IP. La investigación utiliza un protocolo genérico,
mecanismo para construir un modelo de red transparente. El estudio conceptual utiliza
videoconferencia a través de la Internet pública para proporcionar una prueba de concepto de la
salida recomendada. En el estudio, el protocolo IPSec se utiliza por motivos de seguridad y
privacidad, además, algunos conflictos y la degradación del rendimiento pueden ser observado
cuando los rasgos de seguridad adicionales se expanden en la red. Con la insuficiencia de
direcciones IPv4, la tecnología utilizada para distribuir eficientemente el tráfico IP es la NAT
(Traducción de direcciones de red) [8], resumido mediante el uso de IP privadas en la red de área
local (LAN) y una o más IP públicas en el elemento de puerta de enlace para traducir el tráfico IP
privado a IP pública para acceder a Internet. Usando el método de encapsulación cuando se usa
NAT podría crear algún nivel de colisión de tráfico. [3] muestra que en el momento en que un host en
un NAT habilitado la red solicita una conexión segura a servidor remoto de internet, IPSec o GRE no
pueden proporcionar un adecuado túnel asegurado debido a la dificultad de diferenciar entre
cabeceras NAT y maliciosas.
La aplicación de protocolos de tunelización se extiende a sistemas digitales para asegurar la
transferencia de datos según lo explorado por [9]. El estudio investiga la aplicación del protocolo
IPSec en FPGA, tomando un enfoque de hardware. El estudio propuesto alcanzó una óptima
velocidad de transferencia de datos mientras protege los datos. [10] enfatiza en la implementación de
túneles GRE en etiqueta multiprotocolo redes de conmutación (MPLS), comparando el rendimiento
entre el portador estándar MPLS y MPLS-over-GRE. La investigación utiliza la capacidad de GRE
para enrutar el tráfico encapsulado. a través de diferentes redes para admitir MPLS protegido
Backbones de solo IP. La conmutación de etiquetas se aplica a los paquetes antes de la
encapsulación GRE y eliminado en el otro extremo del túnel. Los resultados de las pruebas del
estudio muestran que el rendimiento se optimiza cuando se utiliza GRE en redes MPLS. El lado de
conmutación de paquetes de la red celular ha dominado por el Protocolo de túnel GPRS (GTP) para
enrutamiento central del tráfico de datos; sin embargo, según lo estudiado por [11], el próxima de 5G
(quinta generación de comunicaciones móviles) abre la puerta a muchos otros protocolos de
tunelización para proteger los datos. Uno de esos protocolos es el GRE. El estudio analiza el GTP
que se basa en datagramas UDP, el GRE construido en redes IP y el protocolo de túnel de capa 2
VXLAN (virtual extensible red de área local) que se basa en el control de acceso a los medios (MAC)
nivel. El estudio concluye con una mirada a una mejora versión de los protocolos GTP actuales (un
GTPv2) para el futuro enrutamiento de comunicación e integración del estándar GRE para
enrutamiento de capa 3 seguro y optimizado.
A. Visión general de los túneles
La tunelización permite la conexión remota de los usuarios finales a los servicios a través de una red
pública como Internet. Mediante túneles, los empleados pueden conectarse a sus redes corporativas
o cualquier otro recurso directamente a través de Internet. El túnel creado proporciona una conexión
virtual directa a la deseada red. El concepto descrito por [12] describe un túnel-protocolo como un
sobre que contiene otros sobres, un datagrama que encierra paquetes de datos del mismo o
diferente tipos de protocolo. La figura 1 ilustra el concepto de tunelización; tunelización configurada
entre dos redes que se comunican a través del Internet.
Internet es un sistema público formado por varios nodos, facilitando la comunicación; lo que significa
que todo el mundo tiene acceso a ella. Por lo tanto, el tráfico puede ser interceptado por cualquier
atacante malintencionado. Al utilizar la tunelización, los datos se encapsulan en de tal manera que
solo el receptor pueda desencapsular el mensaje.
Durante su tránsito al destino, la información encapsulada es transparente a los nodos del medio.
Además, en el caso de un ataque MTTM, los paquetes encapsulados están protegidos por un
encabezado adicional y cifrado (en el caso de IPSec), y el atacante solo puede tratar con información
cifrada.
B. Descripción general de la encapsulación de enrutamiento genérico (GRE)
El GRE es un estándar internacional de encapsulación de capa 3 definido en RFC 2784 [5] por la
Internet Engineering Task Force. El protocolo se utiliza para encapsular paquetes IP para
transmisión en cualquier tipo de red. El mecanismo de encapsulación del protocolo GRE se simplifica
en el sentido de que solo se agrega un encabezado al paquete inicial como se ilustra en la Fig. 2. El
encabezado está compuesto por campos obligatorios y opcionales. CS es la bandera de suma de
comprobación e indica la presencia de la suma de comprobación campo en el encabezado; lo mismo
que el indicador de clave (FK) y la secuencia Número (SQ) que indica la existencia de una clave y
campos de número de secuencia respectivamente.
Los campos opcionales del encabezado son de tamaño flexible. El primero bits de reserva (6-12)
están reservados para uso futuro. En el protocolo tipo de campo, la naturaleza del protocolo de carga
útil se describe claramente. El paquete encapsulado se muestra en la Fig.3, donde el encabezado
GRE se agrega en la carga útil. El campo de clave opcional se puede utilizar para verificar el proceso
de encapsulación.
El encabezado de entrega se agrega en caso de que el paquete de carga útil necesite para ser
enrutado o reenviado al destino. La carga útil no es cifrada cuando se utiliza GRE; eso significa que
no hay protección en el contenido original en sí mismo porque el protocolo no proporciona un
mecanismo para inspeccionar el nivel de integridad y también de su diseño punto de vista, no admite
la función de cifrado. El protocolo de túnel GRE permite la implementación de IP VPN y tiene la
capacidad de proporcionar un túnel de transporte a cualquier protocolo [13].
C. Descripción general de la seguridad IP (IPSec)
El IPSec es también un protocolo de seguridad de capa 3 que se utiliza para proteger la
comunicación entre redes (gateway a gateway) o de usuario a red o de usuario a usuario [14]. El
protocolo se utiliza para seguridad de extremo a extremo de la transferencia de datos a través de la
red. A diferencia de GRE, IPSec encapsula paquetes protegiendo el carga útil con algoritmos de
cifrado. Los paquetes IP que deben ser transferidos entre dos puntos finales usando el protocolo
IPSec son poco probables que sufra un ataque MITM. Las direcciones de protocolo, el concepto de
la CIA de seguridad de red, confidencialidad, integridad y Autenticación de datos y su acceso, se
describe en [14], el grupo de protocolos IPSec consta de una seguridad encapsulada payload (ESP),
un encabezado de autenticación (AH), cifrado algoritmo y modelo de gestión de claves. La seguridad
en IPSec se obtiene a través del AH, ESP y el proceso de intercambio claves de red. Como el
mecanismo de tunelización se implementa en capa 3 del modelo de protocolo TCP / IP y OSI,
cualquier capa superior puede integrar el protocolo para asegurar la comunicación, incluyendo, pero
no limitado a UDP, TCP o cualquier protocolo de enrutamiento como BGP, EIGRP y OSPF [15].
Integridad y autenticación son proporcionadas por la IP AH y la confidencialidad, por parte del ESP.
El acceso al sistema está estrictamente controlado por el intercambio de claves en el proceso y la
administración de flujo de tráfico. El intercambio de claves, basado en IKE (Internet Key Exchange)
facilita la gestión y el mantenimiento de recursos en IPSec. La implementación de IPSec puede
ocurrir en el usuario final, un enrutador o un firewall, creando una puerta de enlace de seguridad.
La Fig. 4 muestra el formato de paquete del ESP. El SPI se utiliza para la identificación del
datagrama. El número de secuencia representa un contador obligatorio que determina si un receptor
ha habilitado el servicio anti-repetición o no. Los datos de la carga útil contienen la información
definida por la siguiente ruta. El relleno se utiliza para los requisitos de cifrado y encriptado. La
longitud de la almohadilla se utiliza para especificar el número de relleno anterior bytes. El siguiente
campo de encabezado indica el tipo de información de cifrado en los datos de carga útil. Los datos
de autenticación, el objetivo es proporcionar verificación de integridad y tiene una longitud variable.
Las figuras 5 y 6 muestran respectivamente el paquete antes y después de la encapsulación,
aplicada al direccionamiento IPv4. OIP es la dirección IP de origen, ESPH es el encabezado ESP,
ESPT es el cola de ESP, y ESPA es la autenticación.
La encapsulación se aplica después del encabezado IP y antes de los protocolos de capa superior.
Para garantizar la autenticación, IPSec utiliza el protocolo de encabezado de autenticación y el
formato de paquete AH se muestra en la Fig. 7. El siguiente encabezado es una indicación de la
siguiente información después de AH. La longitud de la carga útil es una indicación de la duración de
la información. El campo reservado de la AH no se utiliza actualmente y se mantiene para futuros
servicios públicos. El SPI, la secuencia y los datos de autenticación desempeñan el mismo papel que
en el Esp.
8 y 9 muestran el paquete antes del AH del IPSec,
se aplica al esquema de direccionamiento IPv4.
La AH se inserta después y antes de los protocolos de capa superior. Para una implementación
completa de IPSec, para aprovechar de la capacidad de la CIA, el ESP y el AH se pueden utilizar
juntos. Cuando se utiliza el modo de tunelización de IPSec, el AH puede ser implementado en el lado
del host o de la puerta de enlace. El modo túnel es ampliamente utilizado cuando IPSec se
implementa en la puerta de enlace para tráfico seguro que pasa a través del túnel.
DR#show ip route
Codes: C - connected, S - static, R - RIP, M - mobile, B - BGP
D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type
2
E1 - OSPF external type 1, E2 - OSPF external type 2
i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
ia - IS-IS inter area, * - candidate default, U - per-user static route
o - ODR, P - periodic downloaded static route
Gateway of last resort is not set
D representa la ejecución del protocolo EIGRP y C representa la conexión directa. La tabla de ruteo
en el router 3 y 4 son también se muestra a continuación:
R4#
Gateway of last resort is not set
172.16.0.0/30 is subnetted, 3 subnets
D 172.16.4.0 [90/30720] via 172.16.6.1, 00:01:46, FastEthernet2/0
C 172.16.6.0 is directly connected, FastEthernet2/0
D 172.16.2.0 [90/284160] via 172.16.6.1, 00:01:46,
FastEthemet2/0
C 192.168.4.0/24 is directly connected, FastEthemetO/O
10.0.0.0/30 is subnetted, 1 subnets
D 10.2.2.0 [90/297249536] via 172.16.6.1, 00:01:33,
FastEthemet2/0
12.0.0.0/30 is subnetted, 1 subnets
C 12.2.2.0 is directly connected, TunneM
D 192.168.1.0/24 [90/284160] via 172.16.6.1, 00:01:49,
FastEthernet2/0
D 192.168.2.0/24 [90/309760] via 172.16.6.1, 00:01:48,
FastEthernet2/0
D 192.168.3.0/24 [90/286720] via 172.16.6.1, 00:01:47,
FastEthemet2/0
Se configura una clave previamente compartida y se comparte con la IP del mismo nivel, que es la
dirección IP del enrutador del mismo nivel.
• La política de seguridad IP está implementada en el enrutador y se crea el perfil del mapa
criptográfico.
• Para permitir que IP específicas utilicen la implementación túneles, se configura una lista de acceso
extendida para permitir tráfico específico para pasar por la ruta encriptada.
C. Step 3: Implementation of Tunneling Protocols
De las configuraciones de ruteo en la sección A, vemos los túneles configurados disponibles. Se
configuran dos túneles, túnel 0 para la conexión virtual directa entre el router 2 y router 3 y el túnel 1
para una conexión virtual directa entre router 2 y router 3. La estrategia de aplicación de la la
configuración de los túneles se muestra en la Fig. 11.
Router 2:
DR#show interfaces tunnel 0
TunnelO is up, line protocol is up
Hardware is Tunnel
Internet address is 10.2.2.1/30
MTU 1514 bytes, BW 9 Kbit/sec, DLY 500000 usee,
reliability 255/255, txload 1/255, rxload 1/255
Encapsulation TUNNEL, loopback not set
Keepalive not set
Tunnel source 172.16.2.2 (FastEthernet0/1), destination
172.16.4.2
Tunnel protocol/transport GRE/IP
DR#show interfaces tunnel 1
TunneM is up, line protocol is up
Hardware is Tunnel
Internet address is 12.2.2.1/30
MTU 1514 bytes, BW 9 Kbit/sec, DLY 500000 usee,
reliability 255/255, txload 1/255, rxload 1/255
Encapsulation TUNNEL, loopback not set
Keepalive not set
Tunnel source 172.16.2.2 (FastEthernet0/1), destination
172.16.6.2
Tunnel protocol/transport GRE/IP
Router 3:
R3#show interfaces tunnel 0
TunnelO is up, line protocol is up
Hardware is Tunnel
Internet address is 10.2.2.2/30
MTU 1514 bytes, BW 9 Kbit/sec, DLY 500000 usee,
reliability 255/255, txload 1/255, rxload 1/255
Encapsulation TUNNEL, loopback not set
Keepalive not set
Tunnel source 172.16.4.2 (FastEthernet0/1), destination
172.16.2.2
Tunnel protocol/transport GRE/IP
Router 4:
R4#show int tunnel 1
TunneM is up, line protocol is up
Hardware is Tunnel
Internet address is 12.2.2.2/30
MTU 1514 bytes, BW 9 Kbit/sec, DLY 500000 usee,
reliability 255/255, txload 1/255, rxload 1/255
Encapsulation TUNNEL, loopback not set
Keepalive not set
Tunnel source 172.16.6.2 (FastEthernet2/0), destination
172.16.2.2
Tunnel protocol/transport GRE/IP
Router 4:
R4#show crypto map
Crypto Map "IPSEC-MAP" 1 ipsec-isakmp
Peer = 172.16.2.2
Extended IP access list IPSEC
access-list IPSEC permit ip 192.168.4.0 0.0.0.255
192.168.2.0 0.0.0.255
Current peer: 172.16.2.2
Security association lifetime: 4608000 kilobytes/3600 seconds
PFS (Y/N): N
Transform sets={
IPSEC,
}
Interfaces using crypto map IPSEC-MAP:
FastEthernet2/0
Router 2:
DR#show crypto map
Crypto Map "IPSEC-MAP" 1 ipsec-isakmp
Peer = 172.16.6.2
Extended IP access list IPSEC
access-list IPSEC permit ip 192.168.2.0 0.0.0.255
192.168.4.0 0.0.0.255
Current peer: 172.16.6.2
Security association lifetime: 4608000 kilobytes/3600 seconds
PFS (Y/N): N
Transform sets={
IPSEC,
}
Interfaces using crypto map IPSEC-MAP:
FastEthernet0/1
De PC-1, hacemos ping PC-2 porque el router 2 y el router 3 ejecutan túnel 0. Los resultados de los
paquetes capturados se muestran diferentes en la Fig. 12. Podemos ver la presencia del protocolo
GRE en paquetes generados. Sin embargo, el mensaje ICMP se muestra en texto sin formato
porque el túnel GRE no utiliza el cifrado de la carga útil o el datagrama.
La Fig.13 muestra la expansión del análisis del protocolo ICMP en Wireshark. Se pueden configurar
diferentes bytes y bits del mensaje analizado.