Análisis de Encapsulación de Enrutamiento Genérico PAPER

Análisis de encapsulación de enrutamiento
genérico (GRE) y
Protocolos de túnel de seguridad IP (IPSec)
para
Comunicación por redes públicas
Kingsley A. Ogudo
Departamento de Tecnología de Ingeniería Eléctrica y Electrónica
Universidad de Johannesburgo. Johannesburgo, Sudáfrica
kingslevo @, uj .ac.za
Resumen: el uso extensivo de Internet ha creado
demanda de seguridad y privacidad en los canales de comunicación.
El aumento de dispositivos conectados y la necesidad de acceder de forma remota
Los recursos de red también han amplificado la necesidad de una seguridad sólida.
medidas. Redes privadas virtuales, métodos de tunelización y
Los cifrados multicapa se han utilizado en diferentes redes.
arquitecturas y topologías para asegurar la transmisión de extremo a extremo de
información. El aumento de los ataques cibernéticos y las violaciones de datos en
las últimas décadas es una clara indicación de las preocupaciones que rodean
seguridad de información. De la inundación de la red, denegación de servicios
(DoS) a la exposición de datos sensibles, las consecuencias de una mala
red segura puede ser perjudicial para una organización y
usuarios. Con la tecnología IoT proyectada, la comunicación de dispositivos
necesita ser protegido de manera eficiente si tiene que pasar por el público
redes como Internet. Este artículo analiza dos de los más
protocolos de tunelización ampliamente utilizados en la transmisión segura de datos,
Encapsulación de enrutamiento genérico (GRE) y seguridad IP
(IPSec), establece una comparación entre ellos y evalúa su
capacidades para medidas de seguridad y privacidad en Internet
red, utilizando simuladores de red. Usamos la red gráfica
emulador de simulador 3 (GNS3) para análisis de tráfico.
Palabras clave: encapsulación de enrutamiento genérico, seguridad IP,
Túneles, comunicación segura.
I. INTRODUCCIÓN
La red de comunicación avanza hacia toda IP
Infraestructuras, en las que la información se fragmenta en paquetes IP.
y enviado al azar a través de diferentes redes a la deseada
destino. Con la introducción de voz y video sobre IP,
Los servicios analógicos tradicionales también están migrando hacia IP-
transmisión de paquetes. Sin embargo, con el aumento de los delitos cibernéticos, la
El deseo de implementar canales de comunicación seguros es de
importancia primordial. Tecnologías como virtual privado
redes (VPN) han equipado a las organizaciones con
mecanismos de seguridad necesarios para garantizar la conectividad protegida
entre los puntos finales de la red. En múltiples redes
sistema de comunicación, es esencial para preservar la integridad de los datos
a medida que la información navega de una red a otra. En orden
para garantizar la interoperabilidad entre diferentes tipos de redes,
La encapsulación y tunelización de información se utilizan principalmente, todavía
preservando la seguridad y privacidad de los datos. El uso de Internet tiene
aumentado drásticamente en la última década debido a su apertura y
accesibilidad, con un número de usuarios superior a 4 mil millones
marcado a marzo de 2019 [1], Internet se considera el
red pública más popular y se ha convertido en el indiscutible
red de comunicación para conectividad remota y
el intercambio de información. Accesible para todos, es el más
red expuesta y vulnerable a ciberataques.
Aunque las estrictas leyes de privacidad y regulación establecidas por
diferentes gobiernos y comités, la ciberdelincuencia sigue siendo
en aumento. La emoción de tener redes de conexión
dispositivos (IoT) abre nuevas puertas a las amenazas de seguridad y el alta
El presupuesto de inversión para ciberseguridad muestra la seriedad de los datos
se debe tomar seguridad y privacidad [2]. Sin embargo, aumentar
el nivel de seguridad en las redes públicas podría afectar la usabilidad de
los sistemas y aumentar la complejidad en términos de información
enrutamiento, principalmente debido a encabezados y características adicionales
aumentado en los paquetes transmitidos y en segundo lugar debido a la
tipos mixtos de personas y organizaciones que utilizan redes públicas.
Por ejemplo, pedir a todos los empleados que instalen certificados de seguridad,
Aplicaciones de VPN y autentican continuamente su acceso en
sus ordenadores personales para acceder a la empresa
Los recursos podrían reducir la alegría de conectarse a la red o al
Internet; y esto puede afectar la productividad. Por lo tanto, la
La implementación de los mecanismos de seguridad debe tener en cuenta
usabilidad del sistema de consideración. La explotación de la seguridad
protocolos, métodos de tunelización y técnicas de encapsulación
regulado para facilitar la interoperabilidad entre redes mientras
optimizar la usabilidad de los servicios de red.
La seguridad de la red se puede aplicar en varias capas del
pila de protocolos de comunicación, y también la red cibernética
Ataques. En la capa de red de la pila de protocolos TCP / IP, tiene
ha demostrado ser beneficioso para instigar medidas de seguridad como
encapsulación y modificación de paquetes IP [3]. Lo tipico
La ilustración de la seguridad de capa 3 es la seguridad IP estándar.
(IPSec), utilizado para la encapsulación de paquetes IP, mediante cifrado
algoritmos [4]. Otro protocolo de encapsulación de capa 3 popular
es la encapsulación de enrutamiento genérico (GRE), que se utiliza para
encapsulación de paquetes IP sin cifrado de las cargas útiles
[5]. El mecanismo de tunelización garantiza la seguridad mediante la creación de un
conexión directa entre los dos puntos extremos del
red. Por lo tanto, los enrutadores intermedios y otras redes de capa 3
los elementos no tienen visibilidad de la información real que pasa
ya que las encapsulaciones se realizan en los puntos finales de
La comunicación. Este método puede evitar varias redes
ataques relacionados como Man-In-The-Middle (MITM). Cuando
está involucrado un túnel, es probable que la brecha de seguridad ocurra en
el lado del usuario final.
978-1-5386-9236-3 / 19 / S31.00 © 2019 IEEE
Página 2
En este artículo analizamos el impacto de los protocolos GRE e IPSec
al acceder a servidores remotos a través de Internet. Utilizando
métricas de rendimiento de enrutamiento de red y violación de seguridad
intentos, establecemos la línea entre los dos usados popularmente
protocolos de túnel, y combinamos los dos métodos para
mejorar la seguridad manteniendo intacta la usabilidad. La red
La simulación se ejecuta utilizando la plataforma GNS3 para su
capacidad de combinar dispositivos virtuales y físicos para simular
arquitecturas de red complejas. El mensaje de control de IP
Los mensajes de protocolo (ICMP) se envían a través de la red a
analizar el paquete; la prueba se realiza en dos tipos de red (una
Basado en GRE y basado en GRE-IPSec).
II. ANTECEDENTES Y ESTUDIOS AFINES

Varias investigaciones han abordado el área de redes
seguridad mediante protocolos GRE o IPSec. El uso de túneles
protocolos orientados a bloquear el tráfico malicioso del ISP es
explorado por [6], la investigación detalla varios túneles
protocolos y configuración requerida que se pueden utilizar para asegurar
conectividad de datos del tráfico ISP malicioso. Usando diferentes
servicios para medir métricas de desempeño, el estudio muestra cómo
insignificante es el efecto de la encapsulación del tráfico; sin embargo, un poco
Se observó degradación en aplicaciones TCP en comparación con
UDP. [7] introduce una arquitectura que facilita la
integración e interoperabilidad entre el legado
Proxies mejorados de rendimiento (PEP) y el protocolo IPSec.
La naturaleza criptográfica de IPSec permite menos manipulaciones
de encabezados de paquetes; por lo tanto, la mejora de la capa de transporte no puede
ser logrado. El estudio adjunta un componente IPSec adicional
en la arquitectura propuesta, para actuar como puente entre PEP y
Tráfico habilitado para IPSec; principalmente porque el componente IPSec puede
acceder a encabezados de paquetes no cifrados y al protocolo IPSec
encabezados de paquetes cifrados. Según el estudio de investigación, el
La interoperabilidad se logra asociando los dos lados del
protocolos preservando la seguridad y el rendimiento de los datos. [3]
destaca una forma eficiente de gestionar la seguridad de un extremo a otro en
una red totalmente IP. La investigación utiliza un protocolo genérico
mecanismo para construir un modelo de red transparente. los
estudio conceptual utiliza videoconferencia a través de la Internet pública
para proporcionar una prueba de concepto de la salida recomendada. En
En el estudio, el protocolo IPSec se utiliza por motivos de seguridad y privacidad.
Además, algunos conflictos y la degradación del rendimiento pueden
observado cuando los rasgos de seguridad adicionales se expanden en el
red. Con la insuficiencia de direcciones IPv4, uno
La tecnología utilizada para distribuir eficientemente el tráfico IP es la NAT.
(Traducción de direcciones de red) [8], resumido mediante el uso de
IP privadas en la red de área local (LAN) y una o más
IP públicas en el elemento de puerta de enlace para traducir el tráfico IP privado
a IP pública para acceder a Internet. Usando encapsulación
El método cuando se usa NAT podría crear algún nivel de tráfico
colisión. [3] muestra que en el momento en que un host en un NAT habilitado
La red solicita una conexión segura a Internet remota.
servidor, IPSec o GRE no pueden proporcionar un adecuado
túnel asegurado debido a la dificultad de diferenciar entre
Cabeceras NAT y maliciosas.
La aplicación de protocolos de tunelización se extiende a digital
sistemas para asegurar la transferencia de datos según lo explorado por [9]. El estudio
investiga la aplicación del protocolo IPSec en FPGA, tomando
un enfoque de hardware. El estudio propuesto alcanzó un óptimo
velocidad de transferencia de datos mientras protege los datos. [10] enfatiza en el
implementación de túneles GRE en etiqueta multiprotocolo
redes de conmutación (MPLS), comparando el rendimiento
entre la portadora estándar MPLS y MPLS-over-GRE. los
la investigación utiliza la capacidad de GRE para enrutar el tráfico encapsulado
a través de diferentes redes para admitir MPLS protegido
Backbones de solo IP. La conmutación de etiquetas se aplica a los paquetes.
antes de la encapsulación GRE y eliminado en el otro extremo de
el tunel. Los resultados de las pruebas del estudio muestran que
el rendimiento se optimiza cuando se utiliza GRE en MPLS
redes. El lado de conmutación de paquetes de la red celular ha
dominado por el Protocolo de túnel GPRS (GTP) para
enrutamiento central del tráfico de datos; sin embargo, según lo estudiado por [11], el
Próximamente 5G ( 5ª generación de comunicaciones móviles)
abre la puerta a muchos otros protocolos de tunelización para proteger los datos.
Uno de esos protocolos es el GRE. El estudio analiza el GTP
que se basa en datagramas UDP, el GRE construido en redes IP
y el protocolo de túnel de capa 2 VXLAN (virtual extensible
red de área local) que se basa en el control de acceso a los medios
(MAC) nivel. El estudio concluye con una mirada a una mejora
versión de los protocolos GTP actuales (un GTPv2) para el futuro
enrutamiento de comunicación e integración del estándar GRE para
enrutamiento de capa 3 seguro y optimizado.
A. Descripción general de la construcción de túneles
La tunelización permite la conexión remota de los usuarios finales a los servicios
a través de una red pública como Internet. Mediante
túneles, los empleados pueden conectarse a sus redes corporativas
o cualquier otro recurso directamente a través de Internet. El creado
túnel proporciona una conexión directa virtual a la deseada
red. El concepto descrito por [12] describe un túnel
protocolo como un sobre que contiene otros sobres, un datagrama
que encierra paquetes de datos del mismo o diferente protocolo
tipos. La figura 1 ilustra el concepto de tunelización; tunelización
configurada entre dos redes que se comunican a través del
Internet.
Fig. 1. Concepto de tunelización de comunicaciones
Página 3
Internet es un sistema público formado por varios
nodos, facilitando la comunicación; lo que significa que todo el mundo tiene
acceso a ella. Por lo tanto, el tráfico puede ser interceptado por cualquier
atacante malintencionado. Mediante el uso de túneles, los datos se encapsulan en
de tal manera que solo el receptor pueda desencapsular el mensaje.
Durante su tránsito al destino, la información encapsulada es
transparente a los nodos del medio. Además, en el caso de un MTTM
ataque, los paquetes encapsulados están protegidos por un encabezado adicional
y cifrado (en el caso de IPSec), y el atacante solo puede
tratar con información encriptada.
B. Descripción general de la encapsulación de enrutamiento genérico (GRE)
El GRE es un estándar internacional de encapsulación de capa 3
definido en RFC 2784 [5] por la tarea de ingeniería de Internet
Fuerza. El protocolo se utiliza para encapsular paquetes IP para
transmisión en cualquier tipo de red. La encapsulación
El mecanismo del protocolo GRE se simplifica en el sentido de que
solo se agrega un encabezado al paquete inicial como se ilustra en la Fig.
2. El encabezado está compuesto por campos obligatorios y opcionales. CS es
la bandera de suma de comprobación e indica la presencia de la suma de comprobación
campo en el encabezado; igual que el indicador de clave (FK) y la secuencia
Número (SQ) que indica la existencia de una clave y
Campos de número de secuencia respectivamente.
12
4
56789
10 11 12 13 14 15
CS
KI " SQ
Reservado
Ver. Nbr.
Tipo de protocolo
Suma de comprobación (opcional)
Reservado
Clave (opcional)
Secuencia de números
Fig. 2. Formato de encabezado GRE
El encabezado de entrega se agrega en caso de que el paquete de carga útil necesite
para ser enrutado o reenviado al destino. La carga útil no es
cifrado cuando se utiliza GRE; eso significa que no hay protección en el
contenido original en sí mismo porque el protocolo no proporciona un
mecanismo para inspeccionar el nivel de integridad y también de su diseño
punto de vista, no admite la función de cifrado. GRE
El protocolo de tunelización permite la implementación de IP VPN y
tiene la capacidad de proporcionar un túnel de transporte a cualquier protocolo
[13].
C. Descripción general de la seguridad IP (IPSec)
El IPSec es también un protocolo de seguridad de capa 3 que se utiliza para proteger
comunicación entre redes (pasarela a pasarela)
o de usuario a red o de usuario a usuario [14]. El protocolo se utiliza para
seguridad de extremo a extremo de la transferencia de datos a través de la red.
A diferencia de GRE, IPSec encapsula paquetes protegiendo el
carga útil con algoritmos de cifrado. Paquetes IP que deben ser
transferidos entre dos puntos finales usando el protocolo IPSec son
Es poco probable que sufra un ataque MITM. Las direcciones de protocolo
el concepto de la CIA de seguridad de la red, confidencialidad, integridad
y Autenticación de datos y su acceso. Como se describe en [14],
el grupo de protocolos IPSec consta de un encapsulado de seguridad
payload (ESP), un encabezado de autenticación (AH), cifrado
algoritmo y modelo de gestión de claves. La seguridad en IPSec
se obtiene mediante el AH, ESP y el proceso de intercambio
claves de red. Como el mecanismo de tunelización se implementa en
capa 3 del modelo de protocolo TCP / IP y OSI, cualquier capa superior
puede integrar el protocolo para asegurar la comunicación,
incluyendo, pero no limitado a UDP, TCP o cualquier protocolo de enrutamiento
como BGP, EIGRP y OSPF [15]. Integridad y
La autenticación es proporcionada por la IP AH y la
confidencialidad, por parte del ESP. El acceso al sistema está estrictamente
controlado por el intercambio de claves en el proceso y el flujo de tráfico
administración. El intercambio de claves, basado en IKE (Internet
Key Exchange) facilita la gestión y el mantenimiento de
recursos en IPSec. La implementación de IPSec puede ocurrir en
el usuario final, un enrutador o un firewall, creando una puerta de enlace de seguridad.
Los campos opcionales del encabezado son de tamaño flexible. El primero
los bits de reserva (6-12) están reservados para uso futuro. En el protocolo
tipo de campo, la naturaleza del protocolo de carga útil se describe claramente. los
paquete encapsulado se muestra en la Fig.3, donde el encabezado GRE
se agrega a la carga útil. El campo de clave opcional se puede utilizar para
Verifique el proceso de encapsulación.
Encabezado de entrega
Encabezado GRH
Carga útil
Fig. 3. Paquete encapsulado GRE [5]
0
1
2
3
01234567890123456789012345678901
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
Índice de parámetros de seguridad (SPI)
| "Auth.
Secuencia de números
|
Datos de carga útil * (variable)
|
yo
yo
+
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
|
|
Relleno (0-255 bytes)
|
yo
. yo
| Longitud de la almohadilla
| Encabezado siguiente
| vv
Cov-
erage
Conf.
Cov-
erage *
Fig. 4. Formato de paquete IPSec ESP [16]
La Fig. 4 muestra el formato de paquete del ESP. El SPI se utiliza para
la identificación del datagrama. El número de secuencia
representa un contador obligatorio que determina si un receptor
Página 4
Ha habilitado el servicio anti-repetición o no. Los datos de la carga útil
contiene la información definida por la siguiente ruta. los
el relleno se utiliza para los requisitos de cifrado y cifrado. los
la longitud de la almohadilla se utiliza para especificar el número de relleno anterior
bytes. El siguiente campo de encabezado indica el tipo de información
cifrado en los datos de carga útil. Los datos de autenticación
El objetivo es proporcionar verificación de integridad y tiene una longitud variable.
Las figuras 5 y 6 muestran respectivamente el paquete antes y después
encapsulación, aplicada al direccionamiento IPv4. OIP es el
dirección IP de origen, ESPH es el encabezado ESP, ESPT es el
Cola ESP, y ESPA es la autenticación.
OiP
TCP
Datos
Fig. 5. Paquete IP sin ESP
OIP
ESPH
TCP
Datos
ESPT
ESPA
EiricryptLon
Autenticación
•
Fig. 6. Paquete IP después de ESP
La encapsulación se aplica después del encabezado IP y antes
protocolos de capa superior. Para garantizar la autenticación, IPSec
utiliza el protocolo de encabezado de autenticación y el formato de paquete AH
se muestra en la Fig. 7. El siguiente encabezado es una indicación del siguiente
información después de AH. La longitud de la carga útil es una indicación de la
longitud de la información. El campo reservado del AH no se utiliza
actualmente y se conserva para servicios públicos futuros. El SPI, la secuencia
número, y los datos de autenticación juegan el mismo papel que en el
ESP.
0
1
2
0 1 2 3 4 5 6 7 6 9 <J 1 2 3 4 5 6 7 S 9 0 1 2 3 4 5 6 7 8
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+<-+-
3
901
| Encabezado siguiente
| Payload Leu |
RESERVADO
|
Índice de parámetros de seguridad (SPI)
+ - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + -1
|
Número de secuencia Campo
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-
+-+-1
yo
+
Datos de autenticación (variable)
|
1
1
-i — yo — yo — yo — yo — yo — yo — yo — yo — yo — yo — yo — yo — yo — yo — yo — yo — yo — yo — yo — yo — yo — yo — yo — yo —Yo — yo — yo — yo—
Fig. 7. Formato de paquete IPSec AH [17]
Las Fig.8 y 9 muestran el paquete antes del AH del IPSec,
aplicado al esquema de direccionamiento IPv4.
OiP
TCP
Datos
Fig. 8. Paquete IP antes de AH
Fig. 9. Paquete IP después de AH
El AH se inserta después del AH y antes de la capa superior
Protocolos. Para una implementación completa de IPSec, para aprovechar
de la capacidad de la CIA, el ESP y el AH se pueden utilizar juntos.
Cuando se utiliza el modo de tunelización de IPSec, el AH se puede
implementado en el lado del host o de la puerta de enlace. El modo de túnel es
ampliamente utilizado cuando IPSec se implementa en la puerta de enlace para
tráfico seguro que pasa por el túnel.
III. CONTRIBUCIÓN DEL ESTUDIO

La investigación apoya la necesidad de implementar seguros
canales de comunicación para evitar la manipulación de datos en el
lineas de transmisión. Por un lado, simulando una red real
tráfico e intentos reales de templar la información y capturar
tráfico en el camino, el estudio destaca de manera eficiente el impacto
de configurar túneles y no tenerlos. Por otro lado,
el estudio analiza dos de los protocolos de tunelización más utilizados
y muestra prácticamente los beneficios de cada protocolo y sus
impacto en el rendimiento y la productividad. Seguridad de la red
profesionales, profesionales de TI y organizaciones pueden utilizar el
experimento para comparar el nivel de seguridad de sus
sistemas de transmisión aplicando el mismo método de prueba.
El costo de las filtraciones de datos puede ser extremo para una organización y
individuos. Por lo tanto, es fundamental reforzar la seguridad en diferentes
capas de comunicación.
IV. METODOLOGÍA Y DISEÑO
Para realizar el experimento, analice el impacto de la
describió los protocolos de tunelización y el impacto de seguridad mediante
herramienta de detección de paquetes, se estudian dos escenarios de red. Primero un
Comunicación de red WLAN con GRE configurado y
segundo, comunicación de red con GRE a través de IPSec
configurado. Para cada escenario de red, usamos Wireshark para
Oler el contenido del paquete y analizar el tráfico capturado.
y el protocolo.
A. Paso 1: Diseño y configuración de la red
El diseño de la red se muestra en la Fig. 10. Cuatro enrutadores están conectados
para construir la red. El enrutador 1 (Rl) se utiliza como enrutador ISP o
La Internet. Todos los enrutadores ejecutan EIGRP (interior mejorado
protocolo de enrutamiento de puerta de enlace) con sistema autónomo 100. Cada
A la interfaz activa del enrutador se le asigna una IP basada en el
IP de subred (las IP de subred y las IP de interfaz se muestran en la Fig.
10). La comunicación entre 192.168.2.0/24 y
192.168.3.0/24 se realiza a través de un túnel IP GRE creado entre R2
y R3. La comunicación entre 192.168.2.0/24 y
192.168.4.0/24 se completa mediante un túnel IP GRE con IPSec
configurado, creado entre R2 y R4 directamente para cifrado
Página 5
comunicación. Se adjunta un host a cada interfaz activa de El objetivo es rastrear paquetes en el enlace de
comunicación y
el enrutador.
examinar el impacto de GRE e IPSec en la comunicación
a través de la red pública, emulando una configuración de red real.
Fig. 10. Diseño de red
Kali-Linux-2019. l-vbox-amd64-1
192.168.1.3/24
192.168.4.0/24
ge0 / 0
PC-5
tl92.168.4.2 / 24
GRE sobre IPSec Túnel 1
fe0 / 0
192.168.3.0/24
Túnel GRE 0
PC-1
192.168.3.2/24
fe0 / 0
192.168.2.0/24
PC-2
192.168.2.2/24
La configuración de la ruta IP en el enrutador 2 se muestra a continuación, como
puede ver dos túneles de comunicación y EIGKP en ejecución,
anunciar todas las redes adecuadas:
DR # muestra la ruta IP
Códigos: C - conectado, S - estático, R - RIP, M - móvil, B - BGP
D - EIGRP, EX - EIGRP externo, O - OSPF, IA - OSPF entre áreas
N1 - OSPF NSSA tipo externo 1, N2 - OSPF NSSA tipo externo
2
E1 - OSPF externo tipo 1, E2 - OSPF externo tipo 2
i - IS-IS, su - Resumen de IS-IS, L1 - IS-IS nivel-1, L2 - IS-IS nivel-2
ia - IS-IS entre áreas, * - candidato predeterminado, U - ruta estática por usuario
o - ODR, P - ruta estática descargada periódicamente
Gateway de último recurso no está configurado
172.16.0.0/30 está dividido en subredes, 3 subredes
re
172.16.4.0 [90/284160] a través de 172.16.2.1, 00:12:45,
FastEthemet0 / 1
re
172.16.6.0 [90/284160] a través de 172.16.2.1, 00:12:45,
FastEthernet0 / 1
C
172.16.2.0 está conectado directamente, FastEthemet0 / 1
D 192.168.4.0/24 [90/309760] a través de 172.16.2.1, 00:12:44,
FastEthemet0 / 1
10.0.0.0/8 tiene subredes variables, 2 subredes, 2 máscaras
C
10.2.2.0/30 está conectado directamente, TunnelO
re
10.0.0.0/8 es un resumen, 02:14:36, NullO
C
12.2.2.0 está conectado directamente, Tunnell
D 192.168.1.0/24 [90/307200] a través de 172.16.2.1, 00:12:46,
FastEthemet0 / 1
C 192.168.2.0/24 está conectado directamente, FastEthemet0 / 0
re
192.168.3.0/24 [90/309760] a través de 172.16.2.1, 00:12:44,
FastEthemet0 / 1
D representa la ejecución del protocolo EIGRP y C representa
la conexión directa. La tabla de enrutamiento en el enrutador 3 y 4 son
también se muestra a continuación:
R3 #
Página 6
C
172.16.4.0 está conectado directamente, FastEthemetO / 1
re
172.16.6.0 [90/284160] a través de 172.16.4.1, 00:07:36,
FastEthemetO / 1
re
172.16.2.0 [90/307200] a través de 172.16.4.1, 00:07:36,
FastEthemetO / 1
D 192.168.4.0/24 [90/309760] a través de 172.16.4.1, 00:07:35,
FastEthernetO / 1
10.0.0.0/8 tiene subredes variables, 2 subredes, 2 máscaras
C
10.2.2.0/30 está conectado directamente, TunnelO
re
10.0.0.0/8 es un resumen, 00:07:26, NullO
re
12.2.2.0 [90/297272576] a través de 172.16.4.1, 00:07:32,
FastEthemetO / 1
D 192.168.1.0/24 [90/307200] a través de 172.16.4.1, 00:07:38,
FastEthemetO / 1
D 192.168.2.0/24 [90/332800] a través de 172.16.4.1, 00:07:38,
FastEthemetO / 1
C 192.168.3.0/24 está conectado directamente, FastEthernet0 / 0
84 bytes de 172.16.2.2 icmp_seq = 4 ttl = 253 tiempo = 90.673 ms
PC-2> ping 192.168.4.2
PC-2> ping 192.168.3.2
R4 #
re
172.16.4.0 [90/30720] a través de 172.16.6.1, 00:01:46, FastEthernet2 / 0
C
172.16.6.0 está conectado directamente, FastEthernet2 / 0
re
172.16.2.0 [90/284160] a través de 172.16.6.1, 00:01:46,
FastEthemet2 / 0
C 192.168.4.0/24 está conectado directamente, FastEthemetO / O
re
10.2.2.0 [90/297249536] a través de 172.16.6.1, 00:01:33,
FastEthemet2 / 0
C
12.2.2.0 está conectado directamente, TunneM
D 192.168.1.0/24 [90/284160] a través de 172.16.6.1, 00:01:49,
FastEthernet2 / 0
D 192.168.2.0/24 [90/309760] a través de 172.16.6.1, 00:01:48,
FastEthernet2 / 0
re
192.168.3.0/24 [90/286720] a través de 172.16.6.1, 00:01:47,
FastEthemet2 / 0
B. Paso 2: prueba de conectividad
Para asegurarse de que la configuración se realiza correctamente, la conectividad
las pruebas se ejecutan mediante mensajes ICMP. Enviamos ICMP
mensajes de un host a otro. Se muestran las pruebas de ping
a continuación, todos los hosts pueden comunicarse entre sí.
PC-5> ping 172.16.2.2
• Se configura una clave precompartida y se comparte con la IP del mismo nivel,
que es la dirección IP del enrutador del mismo nivel.
• La política de seguridad IP está implementada en el enrutador y
Se crea el perfil del mapa criptográfico.
• Para permitir que IP específicas utilicen la implementación
túneles, se configura una lista de acceso extendida para permitir
tráfico específico para pasar a través de la ruta cifrada.
C. Paso 3: Implementación de protocolos de tunelización
De las configuraciones de enrutamiento en la sección A, vemos el
túneles configurados disponibles. Se configuran dos túneles,
túnel 0 para la conexión virtual directa entre el enrutador 2 y
enrutador 3 y túnel 1 para una conexión virtual directa entre
enrutador 2 y enrutador 3. La estrategia de implementación del
La configuración de los túneles se muestra en la Fig.11.
Fig. 11. Proceso de configuración del túnel
• Los túneles GRE se configuran en los enrutadores que necesitan
comunicar.
• El intercambio de claves de Internet (IKE) se implementa con
política de alta prioridad, para la gestión de la seguridad
llaves. Los métodos de cifrado y hash son
determinado en el proceso.
• La configuración de seguridad se aplica a los dos enrutadores
interfaces para activar el IPSec.
1) El túnel GRE 0 y el túnel 1
Se muestran las configuraciones de los túneles en el enrutador 2,3 y 4
abajo:
Página 7
Enrutador 2:
DR # show interfaces túnel 0
TunnelO está activo, el protocolo de línea está activo
El hardware es un túnel
La dirección de Internet es 10.2.2.1/30
MTU 1514 bytes, BW 9 Kbit / seg, DLY 500000 usee,
fiabilidad 255/255, txload 1/255, rxload 1/255
TUNNEL de encapsulación, loopback no establecido
Keepalive no configurado
Fuente de túnel 172.16.2.2 (FastEthernet0 / 1), destino
172.16.4.2
Protocolo de túnel / transporte GRE / IP
DR # show interfaces túnel 1
TunneM está activo, el protocolo de línea está activo
172.16.6.2
Enrutador 3:
R3 # show interfaces túnel 0
TunnelO está activo, el protocolo de línea está activo
172.16.2.2
Enrutador 4:
R4 # show int túnel 1
TunneM está activo, el protocolo de línea está activo
172.16.2.2
El enrutador 3 se comunica directamente con el enrutador 2 a través del túnel 0,
y el último se comunica con el enrutador 4 a través del túnel 1. Basado
en las configuraciones mostradas podemos observar que:
D. Paso 4: Detección de paquetes / tráfico
Para interceptar paquetes de la red, Kali virtual
La máquina está integrada en el GNS3 y el span (puerto de conmutación
analizador) está configurado en el conmutador para reflejar y
supervisar todo el tráfico de la interfaz. El Kali Wireshark se utiliza para
capturar las transacciones. Tráfico, se crean mensajes ICMP
de host a host para permitir la captura de tráfico. El Kali
•
Las IP de túnel en ambos extremos de los túneles pertenecen a
la misma subred.
•
La dirección IP del túnel es única y no se utiliza en la
red
•
El túnel debe estar física y administrativamente
(protocolo) para asegurar que las configuraciones sean
multa.
2) Implementación de seguridad IP en el túnel GRE 1
El protocolo de seguridad IP se aplica al túnel 1 entre el enrutador 2 y
enrutador 4. El IPsec configurado se muestra a continuación, en los dos
enrutadores.
Enrutador 4:
R4 # mostrar mapa de cifrado
Mapa criptográfico "IPSEC-MAP" 1 ipsec-isakmp
Peer = 172.16.2.2
Lista de acceso IP extendida IPSEC
IP de permiso IPSEC de lista de acceso 192.168.4.0 0.0.0.255
192.168.2.0 0.0.0.255
Compañero actual: 172.16.2.2
Duración de la asociación de seguridad: 4608000 kilobytes / 3600 segundos
SLP (S / N): N
Transformar conjuntos = {
IPSEC,
}
Interfaces que utilizan el mapa criptográfico IPSEC-MAP:
FastEthernet2 / 0
Enrutador 2:
DR # mostrar mapa criptográfico
Mapa criptográfico "IPSEC-MAP" 1 ipsec-isakmp
Peer = 172.16.6.2
Lista de acceso IP extendida IPSEC
IP de permiso IPSEC de lista de acceso 192.168.2.0 0.0.0.255
192.168.4.0 0.0.0.255
Compañero actual: 172.16.6.2
Duración de la asociación de seguridad: 4608000 kilobytes / 3600 segundos
SLP (S / N): N
Transformar conjuntos = {
IPSEC,
}
Interfaces que utilizan el mapa criptográfico IPSEC-MAP:
FastEthernet0 / 1
DR # muestra pares cripto isakmp
Par: 172.16.6.2 Puerto: 500 Local: 172.16.2.2
Identificación de fase: 172.16.6.2
máquina simula un escenario de hombre en el medio, que es
familiarizado con la seguridad de la red.
E. Paso 5: Análisis de resultados
I) Análisis de tráfico del túnel 0 (GRE)
Desde la PC-1, hacemos ping a la PC-2 porque el enrutador 2 y el enrutador 3 se ejecutan
túnel 0. Los resultados de los paquetes capturados se muestran en la Fig.
Página 8
12. Podemos ver la presencia del protocolo GRE en diferentes
paquetes generados. Sin embargo, el mensaje ICMP se muestra en
texto sin formato porque el túnel GRE no utiliza el cifrado de
la carga útil o datagrama.
Kali-Linux-2019.1 -vbox-3md64 [fiunning]
99 48.620577359
100 48.669955732
101 48.707073647
102 49.165534597
> 0:01
c2: 02: ba: 37: 0
192.168.2.2
192.168.3.2
c2: 03: 28: 03: f1: 01
c2: © 2: ba: 37: QQ: © 1
192.168.3.2
192.168.2.2
Spanning-tree- (para
LAZO
ICMP
ICMP
. STP
60 Responder
98 eco (rt
98 eco (d
60 Conf. K)
Trama 95: 98 bytes en el cable (784 bits), 98 bytes capturados (784 bits) en la interfaz 0
Ethernet II, Src: c2: 01: ba: 21: 00: 01 (c2: 01: ba: 21: 00: 01), Dst: c2: 02: ba: 37: 00: 01 (c2: 02 : l
Protocolo de Internet versión 4, Src: 172.16.4.2, Dst: 172.16.2.2
Encapsulación de enrutamiento genérico (IP)
Protocolo de Internet versión 4, Src: 10.2,2.2, Dst: 224.0.0.IB
Cisco EIGRP
Fig. 12. Paquete de tráfico capturado por GRE

La figura 13 muestra la ampliación del análisis del protocolo ICMP en
Wireshark. Se pueden configurar diferentes bytes y bits del mensaje.
analizado.
Aplicaciones *
Lugares *
9
Wir
* ethO
©O
Archivo Editar Ver Ir Capturar Analizar Estadísticas Telefonía Ayuda de Herramientas WireLess
m •
~ a # oiii Q. * * .J -w •] \ m \ ^ ^ ^ m
111 Aplicar un filtro de visualización ... <Ctrl - />
Información de longitud del protocolo!
58 28.375267509 c2: 02: ba: 37: 1
59 28 682502452
12.2.2.2
60 28 .928837037
172.16.2. 2
63 29.1617B310O
10.2.2.2
65 29.980904647 172.16.2.2
66 30.272989486 172.16.eL.2_
c2: 02: ba: 37:
224,0. Q.10
172.16.6.2
172.16.6.2
Trama 60: 150 bytes en el cable (12H0 bits), 15Q bytes capturados (12SQ bits) en la interfaz 0
Ethernet II, Src: c2: 02: ba: 37: 0Q: 01 (c2: 02: ba: 37: 88: Bl), Dst: c2: 81: ba: 21: 00: 31 (c2: 61
Protocolo de Internet versión 4, Src: 172.16.2.2, Dst: 172.16.6.2
- Carga útil de seguridad encapsulada
ESP SPI: 0xaa2e3bdb (2855156699)
Secuencia ESP: 12
) ac IS 02 32 ac 10
O7
El encabezado c hecks u ... ecksum. statu: Paquetes: 84 • Mostrados: 84 (100.0%) • Descartados: 0 (0.0%)
Perfil: predeterminado
m. a wm ifi mf ^ ii Hft s

Fig. 15. Captura de paquetes GRE sobre IPSec
• Cuadro
bytes o cable (7S4 hits), 9fl bytes capturados (784 hits) en la interfaz 3
• Ethernet II, Srt: c2; 92: ba: 37; 30:61 (t2: e2 ; bEi: 37 : 6e: 9i), Dst: c2: 01: bu: 21: 0 ©: 61 (e2: fll : b
»Protocolo de Internet versión 4, src: 192.108.2.2, Dst: 192.163,3.2
Tipo: S (solicitud de eco (ping))
Codigo: 0
suma de comprobación: exaaff [correcto]
[Estado de la suma de comprobación: bueno]
Identificador (BE): 23361 (y x75G9)
Identificador (LEI: 2421 [0x69751
BDZ0 93 flZ ®B •• aa ff 75 09 •• S3! IJi »-iUtJ = BiiM (JM [BI
y••
*
Ov
Control de Internet ... (itmp), 64 bytes; Paquetes: 126 • Mostrados: 12 y (100.0%) • Descartados: 0 (0.0%) Perfil: Predeterminado
Si iJ «l« Q © tOU.KK

LP jiif
Fig. 13. Ampliación de mensajes de protocolo

Fig. 14. Formato de encabezado GRE en Wireshark
En la Fig.14, el encabezado GRE se muestra como capturado en la
tráfico. La suma de control, el enrutamiento, el número de secuencia y
las banderas clave no están todas configuradas. La versión de encapsulación es
configurado como GRE, y el tipo de protocolo se establece en 0x0800.
2) Análisis de tráfico del Túnel 1 (GRE sobre IPSec)
Desde la PC-5, hacemos ping a la PC-2 porque el enrutador 2 y el enrutador 4 ejecutan el
túnel 1, en el que se configura IPSec. Los resultados capturados son
que se muestra en la Fig. 15. Podemos ver que debido al IPSec, el
El mensaje ICMP ahora está encriptado y muestra el protocolo ESP. los
El analizador de protocolos no muestra detalles de texto claro en ESP. Extra
Se agrega seguridad a la comunicación.
CONCLUSIÓN V
En este artículo, hemos analizado la aplicación, los beneficios y
inconvenientes de los protocolos de tunelización. El enrutamiento genérico
La encapsulación y la seguridad IP se han estudiado y prácticamente
analizado mediante simulación de red en GNS3. La expansión
del acceso a Internet y el aumento de vidas conectadas requieren una fuerte
acento en la seguridad y privacidad de la red y los datos. Implementar
Los protocolos de tunelización seguros pueden ayudar contra la capa de red
ciberataques relacionados, incluidos MITM y suplantación de IP. los
GRE proporciona seguridad básica en el túnel, pero la protección del
El túnel GRE con IPSec duplica la protección al cifrar
la carga útil; cualquier interceptación de paquetes resultará en un montón de
paquetes cifrados que los atacantes malintencionados tendrían
dificultades para descifrar. GRE sobre IPSec proporciona la mejor forma
de seguridad en el nivel de capa 3 (capa de red).
VI. ESTUDIOS FUTUROS
El modelo de comunicación está estratificado y en cada capa,
implementar la seguridad necesaria es crucial. El alcance de la
el papel está limitado a la seguridad de capa 3 y un ciberataque específico,
rastreo de tráfico o MITM. Túneles de capa 2 y capas superiores
Los protocolos son también un área de investigación de seguridad y diferentes
ataques que pueden afectar la transmisión de datos. GRE y GRE terminaron
IPSec agrega una sobrecarga en los paquetes que pueden afectar la
rendimiento de la red [18]; optimizando y mejorando
el rendimiento de la transmisión cuando se trata de túneles, es
un tema para abordar, ya que el equilibrio debe mantenerse entre
seguridad y rendimiento

Análisis de Encapsulación de Enrutamiento Genérico PAPER

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Análisis de Encapsulación de Enrutamiento Genérico PAPER

Cargado por

Copyright:

Formatos disponibles

Análisis de encapsulación de enrutamiento

II. ANTECEDENTES Y ESTUDIOS AFINES

III. CONTRIBUCIÓN DEL ESTUDIO

Fig. 12. Paquete de tráfico capturado por GRE

m. a wm ifi mf ^ ii Hft s

Si iJ «l« Q © tOU.KK

Fig. 13. Ampliación de mensajes de protocolo

También podría gustarte