INTERCONEXIÓN DE REDES

CAPÍTULO 14
SEGURIDAD EN INTERNET

Autor: Dr. Félix Alvarez Paliza,

Dpto. Telecomunicaciones
UCLV
 356

Introducción
Internet y las redes IP basadas en el protocolo de Interconexión IPv4 poseen varios problemas de
seguridad porque fueron diseñadas para funcionar en un entorno amigable y con conexiones
físicamente seguras. Sin embrago en la actualidad esas suposiciones no son válidas y varias
debilidades de IPv4 pueden ser explotadas para socavar la seguridad de los sistemas que emplean
este protocolo de comunicación.

Contra IPv4 pueden efectuarse varios tipos de ataques para los cuales no siempre existen defensas
y cuando existen, son aplicadas en su mayoría en la capa de aplicaciones. Como consecuencia de
esto las soluciones usualmente no son interoperables y varias funciones son duplicadas dentro de
diferentes aplicaciones. El desarrollo de una nueva versión del protocolo IP ofrece la oportunidad
de incluir algunos mecanismos básicos a nivel de red para que estos sean aplicables a todos los
protocolos de nivel superior (protocolos de nivel transporte y de nivel de aplicación) y a algunos
elementos de los propios protocolos de nivel de red.

Las técnicas de seguridad adoptadas en el nuevo protocolo IPv6 fueron diseñadas para ser
fácilmente insertadas en IPv4. Sin embargo el protocolo IPv4 posee otros problemas y es poco
deseado que la pila de protocolos de red actual sea modificada solo para implementar las nuevas
técnicas de seguridad. Por el contrario estas técnicas se han convertido en un estándar que debe
ser aplicado a todas las implementaciones de IPv6. Surge la pregunta de si es apropiado incluir en
la capa de red las funciones de seguridad. Obviamente no existe una repuesta definitiva porque un
sistema de seguridad está basado en varios elementos. No obstante, el nivel de red es con certeza
el bloque que recibe más ataques de bajo nivel en la actualidad debido a su simple implementación
Luego en este material se van a tocar algunos aspectos de cómo garantizar un mínimo de medidas
prácticas de seguridad en una red con los protocolos de Interconexión IPv4 e IPv6.

Cortafuegos o Muro de Seguridad (Firewall)

Es un sistema diseñado para prevenir el acceso ilegal hacia o desde una red privada conectada a
Internet.
Un Cortafuegos es una combinación de hardware y software que separa una red interna de una
organización de una red grande como Internet, permitiendo que algunos paquetes pasen y bloque
los otros. Por lo que un Cortafuegos permite a un administrador controlar el acceso entre el mundo
exterior y los recursos dentro de la red privada, mediante la gestión del flujo de tráfico desde y hacia
esos recursos.
Un Cortafuegos tiene tres objetivos:
- Todo el tráfico desde fuera hacia dentro y viceversa pasa a través del mismo. En la Figura
1.1 se muestra un Cortafuegos ubicado en la frontera entre la red administrada y el resto de
Internet.
- Solo el tráfico autorizado, definido por la política de seguridad local, será permitido que pase.
Un cortafuego o muro de seguridad es una parte de un sistema o una red que está diseñada
para bloquear el acceso no autorizado, permitiendo al mismo tiempo comunicaciones autorizadas.
El mismo puede ser un dispositivo o conjunto de dispositivos configurados para permitir, limitar,
cifrar, descifrar, el tráfico entre los diferentes ámbitos sobre la base de un conjunto de normas y
otros criterios.
Los cortafuegos pueden ser implementados en hardware o software, o una combinación de ambos.
Los cortafuegos se utilizan con frecuencia para evitar que los usuarios de Internet no autorizados
tengan acceso a redes privadas conectadas a Internet, especialmente en Intranets de Redes
Empresariales.

Notas del Profesor Titular, Dr. C. Ing. Félix F. Alvarez Paliza, Dpto. Telecomunicaciones, UCLV
 357

Fig. 14.1 Función de un Cortafuegos

En la Figura 14.1 se puede apreciar que todos los mensajes que entren o salgan de la Intranet
pasan a través del cortafuego, que examina cada mensaje y bloquea aquellos que no cumplen los
criterios de seguridad especificados.

También es frecuente conectar al cortafuego a una tercera red neutral, llamada Zona
desmilitarizada (DMZ), en la que se ubican los servidores de la organización que deben permanecer
accesibles desde la red exterior.
Un Cortafuegos correctamente configurado añade una protección necesaria a la red, pero que en
ningún caso debe considerarse suficiente. La seguridad informática abarca más ámbitos y más
niveles de trabajo y protección.

Breve Historia de los Cortafuegos
El término "firewall / fireblock" significaba originalmente una pared para confinar un incendio o riesgo
potencial de incendio en un edificio.
La tecnología de los cortafuegos surgió a finales de 1980, cuando Internet era una tecnología
bastante nueva en cuanto a su uso global y la conectividad. Los predecesores de los cortafuegos
para la seguridad de la red fueron los enrutadores utilizados a finales de 1980, que mantenían a las
redes separadas unas de otras. La visión de Internet como una comunidad relativamente pequeña
de usuarios con máquinas compatibles, que valoraba la predisposición para el intercambio y la
colaboración, terminó con una serie de importantes violaciones de seguridad de Internet que se
produjo a finales de los 80.

Primera generación – cortafuegos de red: filtrado de paquetes

El primer documento publicado para la tecnología firewall data de 1988, cuando el equipo de
ingenieros de la firma Digital Equipment Corporation (DEC) desarrolló los sistemas de filtro
conocidos como cortafuegos de filtrado de paquetes.
Este sistema, bastante básico, fue la primera generación de lo que se convertiría en una
característica más técnica y evolucionada de la seguridad de Internet.
En AT & T Bell, Bill Cheswick y Steve Bellovin, continuaban sus investigaciones en el filtrado de
paquetes y desarrollaron un modelo de trabajo para su propia empresa, con base en su arquitectura
original de la primera generación.
El filtrado de paquetes actúa mediante la inspección de los paquetes (que representan la unidad
básica de transferencia de datos entre ordenadores en Internet). Si un paquete coincide con el
conjunto de reglas del filtro, el paquete se reducirá (descarte silencioso) o será rechazado
Notas del Profesor Titular, Dr. C. Ing. Félix F. Alvarez Paliza, Dpto. Telecomunicaciones, UCLV
 358

(desprendiéndose de él y enviando una respuesta de error al emisor). Este tipo de filtrado de

paquetes no presta atención a si el paquete es parte de una secuencia existente de tráfico. En su
lugar, se filtra cada paquete basándose únicamente en la información contenida en el paquete en
sí (por lo general utiliza una combinación del emisor del paquete y la dirección de destino, su
protocolo, y, en el tráfico TCP y UDP, el número de puerto).
Los protocolos TCP y UDP comprenden la mayor parte de comunicación a través de Internet,
utilizando por convención puertos bien conocidos para determinados tipos de tráfico, por lo que un
filtro de paquetes puede distinguir entre ambos tipos de tráfico (ya sean navegación web, impresión
remota, envío y recepción de correo electrónico, transferencia de archivos…); a menos que las
máquinas a cada lado del filtro de paquetes son a la vez utilizando los mismos puertos no estándar.
El filtrado de paquetes llevado a cabo por un Cortafuegos actúa en las tres primeras capas del
modelo de referencia OSI, lo que significa que todo el trabajo lo realiza entre la red y las capas
físicas. Cuando el emisor origina un paquete y es filtrado por el cortafuegos, éste último comprueba
las reglas de filtrado de paquetes que lleva configuradas, aceptando o rechazando el paquete en
consecuencia. Cuando el paquete pasa a través de cortafuegos, éste filtra el paquete mediante un
protocolo y un número de puerto base (GSS). Por ejemplo, si existe una norma en el cortafuegos
para bloquear el acceso telnet, bloqueará el protocolo IP para el número de puerto 23.

Segunda generación - cortafuegos de aplicación

Son aquellos que actúan sobre la capa de aplicación del modelo OSI. La clave de un cortafuegos
de aplicación es que puede entender ciertas aplicaciones y protocolos (por ejemplo: protocolo de
transferencia de ficheros, DNS o navegación web), y permite detectar si un protocolo no deseado
se coló a través de un puerto no estándar o si se está abusando de un protocolo de forma perjudicial.
Un cortafuegos de aplicación es mucho más seguro y fiable cuando se compara con un cortafuegos
de filtrado de paquetes, ya que repercute en las siete capas del modelo de referencia OSI.
En esencia es similar a un cortafuegos de filtrado de paquetes, con la diferencia de que también
podemos filtrar el contenido del paquete. El mejor ejemplo de cortafuegos de aplicación es el
denominado por sus siglas ISA (Internet Security and Acceleration).
Un cortafuego de aplicación puede filtrar protocolos de capas superiores tales como FTP, TELNET,
DNS, DHCP, HTTP, TCP, UDP y TFTP (GSS). Por ejemplo, si una organización quiere bloquear
toda la información relacionada con una palabra en concreto, puede habilitarse el filtrado de
contenido para bloquear esa palabra en particular. No obstante, los cortafuegos de aplicación
resultan más lentos que los de estado.

Tercera generación – cortafuegos de estado

Durante 1989 y 1990, tres colegas de los laboratorios AT & T Bell, Dave Presetto, Janardan
Sharma, y Nigam Kshitij, desarrollaron la tercera generación de servidores de seguridad. Esta
tercera generación cortafuegos tiene en cuenta además la colocación de cada paquete individual
dentro de una serie de paquetes.
Esta tecnología se conoce generalmente como la inspección de estado de paquetes, ya que
mantiene registros de todas las conexiones que pasan por el cortafuego, siendo capaz de
determinar si un paquete indica el inicio de una nueva conexión, es parte de una conexión existente,
o es un paquete erróneo. Este tipo de cortafuegos pueden ayudar a prevenir ataques contra
conexiones en curso o ciertos ataques de denegación de servicio.

Acontecimientos posteriores
En 1992, Bob Braden y DeSchon Annette, de la Universidad del Sur de California (USC), dan forma
al concepto de cortafuegos. Su producto, conocido como "Visas", fue el primer sistema con una
interfaz gráfica con colores e iconos, fácilmente implementable y compatible con sistemas
operativos como Windows de Microsoft o MacOS de Apple.

Notas del Profesor Titular, Dr. C. Ing. Félix F. Alvarez Paliza, Dpto. Telecomunicaciones, UCLV
 359

En 1994, una compañía israelí llamada Check Point Software Technologies lo patentó como
software denominándolo FireWall-1.
La funcionalidad existente de inspección profunda de paquetes en los actuales cortafuegos puede
ser compartida por los sistemas de prevención de intrusiones (IPS).

Durante años el Grupo de Trabajo de Comunicación Middlebox de la IETF (Internet Engineering

Task Force ) ha estado trabajando en la estandarización de protocolos para la gestión de
cortafuegos.
Otro de los ejes de desarrollo consiste en integrar la identidad de los usuarios dentro del conjunto
de reglas del cortafuego. Algunos cortafuegos proporcionan características tales como unir a las
identidades de usuario con las direcciones IP o MAC. Otros, como el cortafuego NuFW,
proporcionan características de identificación real solicitando la firma del usuario para cada
conexión.

Tipos de Cortafuegos Empresariales

Los Cortafuegos empresariales son colocados en el perímetro de la red para reforzar la política de
seguridad, mediante el permiso o denegación de cierto tráfico en la red.
De forma general hay tres tipos de Cortafuegos Empresariales, los cuáles vamos a ordenar por su
complejidad:
1) Filtrado de paquetes
2) Filtrado de paquetes con Servidor
3) Aplicaciones Delegadas (Proxies)

También hay otras clasificaciones:

Nivel de aplicación de pasarela
Aplica mecanismos de seguridad para aplicaciones específicas, tales como servidores FTP y
Telnet. Esto es muy eficaz, pero puede imponer una degradación del rendimiento.

Circuito a nivel de pasarela

Aplica mecanismos de seguridad cuando una conexión TCP o UDP es establecida. Una vez que la
conexión se ha hecho, los paquetes pueden fluir entre los anfitriones sin más control. Permite el
establecimiento de una sesión que se origine desde una zona de mayor seguridad hacia una zona
de menor seguridad.

Cortafuego de capa de red o de filtrado de paquetes

Funciona a nivel de red (capa 3 del modelo OSI, capa 2 del modelo TCP/IP) como filtro de paquetes
IP. A este nivel se pueden realizar filtros según los distintos campos de los paquetes IP: dirección
IP origen, dirección IP destino. A menudo en este tipo de cortafuegos se permiten filtrados según
campos de nivel de transporte (capa 3 TCP/IP, capa 4 Modelo OSI), como el puerto origen y destino,
o a nivel de enlace de datos (no existe en TCP/IP, capa 2 Modelo OSI) como la dirección MAC.

Cortafuego de capa de aplicación

Trabaja en el nivel de aplicación (capa 7 del modelo OSI), de manera que los filtrados se pueden
adaptar a características propias de los protocolos de este nivel. Por ejemplo, si se trata de tráfico
HTTP, se pueden realizar filtrados según la URL a la que se está intentando acceder.
Un Cortafuegos a nivel 7 de tráfico HTTP suele denominarse proxy, y permite que los computadores
de una organización entren a Internet de una forma controlada. Un proxy oculta de manera eficaz
las verdaderas direcciones de red.

Notas del Profesor Titular, Dr. C. Ing. Félix F. Alvarez Paliza, Dpto. Telecomunicaciones, UCLV
 360

Cortafuego personal
Es un caso particular de cortafuegos que se instala como software en un computador, filtrando las
comunicaciones entre dicho computador y el resto de la red. Se usa por tanto, a nivel personal.

Entre las ventajas de un Cortafuego está que bloquea el acceso a personas no autorizadas a redes
privadas.
Mientras que las limitaciones se desprenden de la misma definición del Cortafuegos: filtro de tráfico.
Cualquier tipo de ataque informático que use tráfico aceptado por el Cortafuegos (por usar puertos
TCP abiertos expresamente, por ejemplo) o que sencillamente no use la red, seguirá constituyendo
una amenaza. La siguiente lista muestra algunos de estos riesgos:
 No puede proteger contra aquellos ataques cuyo tráfico no pase a través de él.
 No puede proteger de las amenazas a las que está sometido por ataques internos o usuarios
negligentes. El cortafuego no puede prohibir a espías corporativos copiar datos sensibles en
medios físicos de almacenamiento (discos, memorias, etc.) y sustraerlas del edificio.
 No puede proteger contra los ataques de ingeniería social.
 No puede proteger contra los ataques posibles a la red interna por virus informáticos a través
de archivos y software. La solución real está en que la organización debe ser consciente en
instalar software antivirus en cada máquina para protegerse de los virus que llegan por
cualquier medio de almacenamiento u otra fuente.
 No protege de los fallos de seguridad de los servicios y protocolos cuyo tráfico esté permitido.
Hay que configurar correctamente y cuidar la seguridad de los servicios que se publiquen en
Internet.

Políticas del Cortafuego

Hay dos políticas básicas en la configuración de un Cortafuegos que cambian radicalmente la
filosofía fundamental de la seguridad en la organización:
 Política restrictiva: Se deniega todo el tráfico excepto el que está explícitamente permitido.
El Cortafuegos obstruye todo el tráfico y hay que habilitar expresamente el tráfico de los
servicios que se necesiten.
 Política permisiva: Se permite todo el tráfico excepto el que esté explícitamente denegado.
Cada servicio potencialmente peligroso necesitará ser aislado básicamente caso por caso,
mientras que el resto del tráfico no será filtrado.

La política restrictiva es la más segura, ya que es más difícil permitir por error tráfico potencialmente
peligroso, mientras que en la política permisiva es posible que no se haya contemplado algún caso
de tráfico peligroso y sea permitido por omisión.

Cortafuego mediante filtrado de Paquetes

Esta es la forma más sencilla de Cortafuegos y tal como se mostró en la Figura 1.1 una empresa
tiene un Enrutador que conecta la red interna al Suministrador de Servicios de Internet (ISP). Todo
el tráfico que abandona o entra a la red interna pasa por este Enrutador y el filtrado de paquetes
es realizado en el mismo.
El filtrado de paquetes examina cada paquete de forma individual, determinando cuando es
permitido que pase o si debe ser descartado basado en la reglas especificadas por el administrador.

Las decisiones de filtrado son típicamente basadas en:

- Direcciones IP fuente y destino
- Tipos de protocolos en paquetes IP: TCP, UDP, ICMP, OSPF, etc.
- Banderas TCP: SYN, ACK, etc.
- Tipos de mensajes ICMP
- Otras reglas para mensajes que abandonen o entren a la red
Notas del Profesor Titular, Dr. C. Ing. Félix F. Alvarez Paliza, Dpto. Telecomunicaciones, UCLV
 361

- Diferentes reglas para las Interfaces de los Routers

Cisco y Check Point son dos compañías líderes en la venta de Cortafuegos, aunque se pueden
crear cortafuegos o filtrado de paquetes con un Linux y sus tablas IP (iptables, que es un dominio
público de software que es normalmente vendido con Linux).

Listas de Control de Acceso (ACL)

El Cortafuegos o filtrado de paquetes en Enrutadores Cisco se realiza mediante las llamadas
Listas de Control de Acceso (ACL).

Los ACL realizan las siguientes tareas:

1. Limitar el tráfico de la red para mejorar el rendimiento de esta.
2. Brindar el control de flujo de tráfico.
3. Proporcionar un nivel básico de seguridad para el acceso a la red.
4. Se debe decidir qué tipos de trafico enviar o bloquear en las interfaces del router.
5. Controlar las áreas de la red a la que puede acceder el cliente.
6. Analizar los hosts para permitir o denegra su acceso a los servicios de la red. [9]

Una ACL es un grupo de sentencias que define cómo se procesan los paquetes, tal como se
muestra en la figura X, en el orden de cómo:
- Entran a las interfaces de entrada
- Se reenvían a través del Enrutador
- Salen de las interfaces de salida del Enrutador

Fig. 14.2 Secuencia de listas de control de acceso

El orden de las sentencias de la ACL es importante para determinar cuando el enrutador está
decidiendo si desea enviar o bloquear un paquete, el IOS prueba el paquete, verificando si cumple
o no cada sentencia de condición, en el orden en que se crearon las sentencias. Pero una vez que
se verifica que existe una coincidencia, no se siguen verificando otras sentencias de condición

Cisco tiene dos tipos de ACL: Estándar y Extendidas

 ACL estándar, donde solo hay que especificar una dirección de origen.
 ACL extendida, en cuya sintaxis aparece el protocolo y una dirección de origen y de destino.

A continuación se muestra como se configuran las ACL estándares:

ACL Estándar
Notas del Profesor Titular, Dr. C. Ing. Félix F. Alvarez Paliza, Dpto. Telecomunicaciones, UCLV
 362

Router(config)#Access − list 1 − 99 permit/deny ip < Red − host > Wilcard

Las listas de acceso se aplican en una interfaz, por lo tanto hay que ingresar en modo de interfaz y
el comando tiene la forma:
ip access-group <n> [in | out] donde n es el número común a todas las reglas de la ACL y las
palabras in/out indican en qué sentido se aplicarán las reglas.
Router (config)#interface f1/0
Router (config-if)#ip access-group 100 in

Para mostar las ACL configuradas se utiliza el comando

show ip access-list
access-list 1 deny 172.17.2.0 0.0.1.255
access-list 1 deny 172.17.4.0 0.0.1.255
access-list 1 deny 172.17.8.0 0.0.1.255
access-list 1 deny 172.17.12.0 0.0.1.255
access-list 1 deny 172.17.16.0 0.0.1.255
access-list 1 deny 172.17.14.0 0.0.1.255
access-list 1 permit any

Seguridad en IPv6
Desde el comienzo de la estandarización de IPv6, a diferencia de IPv4, la seguridad ha sido una
pieza fundamental. De hecho, existen algunos aspectos de la seguridad con IPv6 que han mejorado
con respecto a IPv4 como se describen a continuación:
 Escaneo de red. Escanear por fuerza bruta una red de área local IPv6 puede llevar, con la
tecnología actual, más de 5.000 millones de años, lo cual evidentemente es impensable.
También los ataques automatizados, por ejemplo gusanos que seleccionan direcciones
aleatorias para propagarse, se ven dificultados.
 IPsec (Seguridad del Protocolo de Internet, por sus siglas en inglés). La especificación de
IPv6 establece que toda pila IPv6 debe contener IPsec incorporada. Esto es una ventaja ya
que IPsec está disponible si se desea utilizar.
 Ataques broadcast (smurf). En IPv4 se generan enviando un paquete ICMP (Protocolo de
Mensajes de Control de Internet, por sus siglas en inglés) echo request a la dirección de
broadcast de la red con la dirección origen del nodo atacado. En IPv6 no existe el concepto
de broadcast. IPv6 especifica que no se debe responder con un mensaje ICMP a ningún
paquete que tenga dirección destino de nivel tres multicast o direcciones de nivel dos
multicast o broadcast. Por lo tanto si las pilas IPv6 siguen la especificación este problema
desaparece.
 Fragmentación de paquetes. En IPv6 la fragmentación de paquetes sólo se puede realizar
en los extremos de la comunicación, por lo que se reducen los riesgos por ataques con
fragmentos superpuestos o de pequeño tamaño. Las consideraciones sobre fragmentos
fuera de secuencia serán las mismas que para IPv4, pero en el nodo final. Los firewalls no
deberán filtrar los fragmentos de paquetes.

Protocolo de Interconexión IP Seguro (IPsec)

Varios de los elementos de seguridad en IPv6 son derivados de las características de la nueva
arquitectura del protocolo, como el tamaño de las direcciones, la eliminación del concepto de
broadcast y la filosofía de fragmentación en los extremos de la comunicación.

Notas del Profesor Titular, Dr. C. Ing. Félix F. Alvarez Paliza, Dpto. Telecomunicaciones, UCLV
 363

Sin embrago IPsec fue adicionado de manera intencional para proveer en todas las
implementaciones de este protocolo varios servicios de seguridad. IPsec puede ser adicionado al
protocolo IPv4 como un anexo, pero en IPv6 su presencia en el conjunto de protocolos es
obligatoria.
IPsec es una arquitectura más bien que un protocolo la cual especifica protocolos de seguridad
(Cabecera de Autentificación y Encapsulado Seguro de Datos), Asociaciones de Seguridad (qué
hacen, cómo trabajan, cómo son administrados), administración de claves (Intercambio de Claves
de Internet) y algoritmos de autentificación y encriptación.
IPsec está diseñado para proporcionar seguridad inter-operable, de alta calidad, basada en
criptografía. El conjunto de servicios de seguridad ofrecidos incluye:
 Control de acceso: previene el uso no autorizado de recursos.
 Integridad sin conexión: detección de modificaciones en un datagrama IP individual.
 Autenticación del origen de los datos.
 Protección anti-replay: una forma de integralidad parcial de la secuencia, detecta la llegada
de datagramas IP duplicados.
 Confidencialidad: encriptación.
 Confidencialidad limitada del flujo de tráfico: el uso del modo túnel permite encriptar las
cabeceras IP internas, ocultando las identidades del origen del tráfico y del último destino.
También, se puede usar el "relleno en la carga útil" (payload padding) de ESP (Encapsulado
Seguro de Datos, por sus siglas en inglés) para ocultar el tamaño de los paquetes,
consiguiendo ocultar las características externas del tráfico.

IPsec proporciona servicios de seguridad en la capa IP permitiendo a un sistema seleccionar los

protocolos de seguridad, determinar el/los algoritmo/s a utilizar para el/los servicio/s, e implementar
cualquier algoritmo criptográfico requerido para proporcionar los servicios solicitados. IPsec se
puede utilizar para proteger una o más "trayectorias" entre un par de terminales, entre un par de
enrutadores, o entre un enrutador y un terminal.
Un intercambio seguro de paquetes utilizando IPsec ocurre entre dos nodos que han establecido
una Asociación de Seguridad (SA, por sus siglas en inglés). La SA define esencialmente el tipo de
seguridad (autentificación y/o encriptación), los algoritmos y las claves que se aplican a todos los
paquetes intercambiados entre los nodos. Las SAs son unidireccionales, pero pueden establecerse
comunicaciones bidireccionales utilizando dos SAs con claves diferentes, una para cada dirección.
IPsec puede ser desplegado de extremo a extremo entre dos terminales, lo que se conoce como
modo transporte; o puede ser utilizado entre dos enrutadores intermedios, lo que se conoce como
modo túnel.
La Figura 14.3 muestra las diferencias entre el modo transporte y el modo túnel. En el modo
transporte la SA se extiende durante todo el trayecto desde la fuente hasta el destino, por lo que
los servicios de seguridad están presentes en todo momento.
En el modo túnel los enrutadores intermedios son los responsables de aplicar IPsec. En este caso
la comunicación entre los enrutadores es segura, pero el tramo final e inicial no posee servicios de
seguridad.
El modo túnel tiene el inconveniente obvio de que los paquetes viajen sin seguridad parte del
trayecto. Sin embargo tiene varios puntos positivos que lo hacen práctico y popular. Primeramente,
reduce la complejidad en los puntos extremos ya que en el modo túnel un proxy puede servir a
múltiples nodos finales, permitiendo que la seguridad sea concentrada en los nodos proxy. Este
proceso permite que una simple SA soporte el tráfico perteneciente a múltiples flujos de datos. Esto
es posible si varias estaciones de trabajo servidas por un proxy, desean comunicarse con otras
estaciones de trabajo servidas por un segundo proxy.
Otra ventaja del modo túnel es que se ocultan las direcciones fuente y destino mientras el paquete
atraviesa el núcleo de la red. Como se ha visto, cuando los paquetes entran en un túnel IPsec,
Notas del Profesor Titular, Dr. C. Ing. Félix F. Alvarez Paliza, Dpto. Telecomunicaciones, UCLV
 364

estos son completamente encapsulados en un nuevo paquete IPv6 que fluye entre los proxys; esto
incrementa la seguridad por la no exposición de los puntos finales en el flujo de datos.

Fig.14.3. Modos de trabajo del protocolo IPsec.

El modo transporte se utiliza usualmente cuando nodos individuales se conectan a las redes (por
ejemplo, cuando se conectan a través de una red pública). El modo túnel se emplea usualmente
cuando se conectan redes pertenecientes a una misma compañía a través de una red pública como
Internet utilizando una VPN.

Servicio de Autentificación
El proceso de autentificación se lleva a cabo a través del procesamiento del mensaje utilizando una
clave. En la Figura 14.4 se muestra el proceso de autentificación utilizando el protocolo de Cabecera
de Autentificación (AH, por sus siglas en inglés) perteneciente al protocolo IPsec.

Fig. 14.4. Procesamiento de datos en el protocolo AH.

Como se observa, la cabecera IPv6, los datos de carga y la clave son procesadas utilizando un
algoritmo de autentificación para producir la certificación de los datos en forma de código hash. El
código hash de los datos es introducido en la cabecera AH que es insertada entre la cabecera IPv6
principal y los datos de carga. El esquema de la cabecera AH es mostrada en la Figura 14.5

Notas del Profesor Titular, Dr. C. Ing. Félix F. Alvarez Paliza, Dpto. Telecomunicaciones, UCLV
 365

Fig.14.5. Cabecera del protocolo AH.

El algoritmo para producir el código hash se aplica a todo el paquete que será transmitido, esto es
a la cabecera IPv6 y a los datos que transporta. Este código hash es introducido en el campo de
Datos de Autentificación de la cabecera AH y son transmitidos al destino. En el destino, el algoritmo
es ejecutado nuevamente en la cabecera IPv6 y en los datos (pero no en la cabecera de
autentificación) utilizando la misma clave. El resultado es comparado con el dato de autentificación
recibido para verificar que el paquete no ha sido modificado. Este proceso es descrito con detalle
en la RFC 2402.
Cualquier algoritmo de autentificación de los existentes puede ser utilizado para producir el código
hash, pero IPsec debe soportar en su implementación el algoritmo de autentificación MD5.
Obviamente es necesario que ambas partes de la comunicación tengan conocimiento de cuál fue
el algoritmo de autentificación empleado y cuál fue el valor de la clave. IPsec no trata acerca de
cómo son intercambiadas estas claves pero posteriormente se describirán algunas posibilidades.
Existe un aspecto que puede parecer contradictorio: algunos valores de la cabecera IPv6 serán
cambiados por los nodos de la red en el camino del paquete hacia el destino y esto podría invalidar
el proceso de autentificación. Para evitar este problema, el algoritmo de autentificación será
aplicado con ciertos campos de la cabecera (TTL, ToS, suma de chequeo, y banderas) puestos a
cero. Luego el campo de próximo protocolo en la cabecera principal IPv6 es modificado a 51 (0x33)
para indicar que se ha insertado una cabecera AH. El algoritmo de autentificación es aplicado al
paquete en la fuente antes de la inserción de la cabecera AH y en el destino es aplicado luego de
extraerla.
La cabecera AH posee un campo denominado Índice de Parámetros de Seguridad (SPI, por sus
siglas en inglés), el cual es utilizado para identificar la SA que administra el paquete actual.
Teniendo un par de direcciones fuente y destino, el SPI identifica de forma única un contexto de
seguridad, diciéndole al receptor cuales algoritmos utilizar y cuales claves deben ser aplicadas. El
SPI debe ser generado de forma aleatoria para reducir su previsibilidad y para limitar las
posibilidades de reiniciar un nodo accidentalmente rehusando una SA. El Número de Secuencia
está diseñado para ayudar a prevenir los ataques de denegación de servicios en los cuales
entidades dañinas replican paquetes o secuencias de paquetes. El Número de Secuencia permite
que el nodo de destino identifique paquetes duplicados y los descarte sin un procesamiento
posterior.
Finalmente la cabecera de AH contiene el código hash, producido por el algoritmo de
autentificación, dentro del campo Datos de Autentificación, el cual puede variar en tamaño en
dependencia de la técnica utilizada.

Notas del Profesor Titular, Dr. C. Ing. Félix F. Alvarez Paliza, Dpto. Telecomunicaciones, UCLV
 366

Servicio de Autentificación y Encriptación

Cuando datos son encriptados, un algoritmo de encriptación es alimentado con un flujo de datos y
una clave de encriptación. La salida es un flujo de datos que puede ser mayor que los datos
originales. Cuando la encriptación IPsec es usada en modo transporte, los datos que transporta el
paquete IPv6 son encriptados y enviados con la cabecera IPv6 original. Los datos encriptados son
situados entre la cabecera y la cola ESP como se muestra en la Figura 14.6.

Fig. 14.6 Procesamiento de datos en el protocolo ESP en el modo transporte.

En la encriptación IPsec en modo túnel, todo el paquete IPv6 (datos y cabecera) son encriptados
como se muestra en la Figura 14.7. Un nuevo paquete es construido con una nueva cabecera IPv6
que maneja el paso del paquete a través del túnel desde un proxy a otro.

Fig. 14.7 Procesamiento de datos en el protocolo ESP utilizando el modo túnel.

Existen varios algoritmos de encriptación los cuales operan con claves de diferente complejidad.
IPsec estandariza que al menos el algoritmo Estándar de Encriptación de Datos (DES, por sus
siglas en inglés) debe estar contenido en todas sus implementaciones.
El proceso de encriptación en IPsec es descrito en la RFC 2406. El formato del paquete ESP es
mostrado en la Figura 14.8. Después de un encabezado IPv6 normal, el cual contiene en el campo
Notas del Profesor Titular, Dr. C. Ing. Félix F. Alvarez Paliza, Dpto. Telecomunicaciones, UCLV
 367

de Próxima Cabecera el valor 50 (0x32) que indica la presencia de la cabecera ESP, la cabecera
ESP comienza con el campo SPI y Número de Secuencia que son utilizados de la misma manera
que para el protocolo AH descrito anteriormente. Sin embargo el resto de los campos parece ser
un poco confuso. Es más sencillo de entender si se comienza a analizar del final al inicio.

Fig. 14.8 Cabecera del protocolo ESP.

Si se utiliza la autentificación en adición al encriptado, como se conoce la salida del algoritmo de

autentificación y el tamaño de este campo son adicionados al paquete en el campo Datos de
Autentificación. Delante de este campo existe un byte para identificar el tipo de protocolo de los
datos encriptados. Si se utiliza el modo túnel este campo contendrá un identificador para el
protocolo IPv6, por el contrario, si se utiliza el modo transporte este campo contendrá una copia del
campo Próximo Protocolo de la cabecera IPv6 original.
Siguiendo el camino hacia atrás en la estructura del paquete encontramos un campo de relleno.
Este relleno está presente al final de los datos encriptados y es útil para varios propósitos:
 Puede ser necesario para asegurar que el campo de Próximo Protocolo termine en el límite
de 4 byte lo cual es necesario para los requerimientos de codificación.
 Algunos algoritmos de encriptación actúan solo sobre múltiplos de cierta cantidad de bytes
(como 4, 8, 16).
 Puede ser ventajoso para ocultar el tamaño real del los datos de carga y por tanto aumentar
la seguridad. Un ejemplo simple es el transporte de una clave; aunque el algoritmo de
encriptación oculta la clave, puede que se conozca su tamaño, lo cual puede acelerar los
mecanismos de fuerza bruta. Adicionar relleno ayuda a enmascarar esta información.
Continuando hacia atrás aparecen los datos encriptados propiamente dichos. El último campo que
encontramos es el Vector de Inicialización, el cual es opcional. Este campo es específico para los
algoritmos de encriptación e incluye cualquier información necesaria para el algoritmo de
desencriptación antes de que este opere.

Administración de políticas y claves dentro del núcleo IPsec

Cuando IPsec es configurado una de las acciones principales es decidir cuáles nodos utilizarán los
servicios de seguridad entre ellos. En el núcleo de IPsec existe una Base de Datos de Políticas de
Seguridad (SPD, por sus siglas en inglés) para decidir cuáles características de IPsec son aplicadas
a los paquetes salientes y cuáles son requeridas por los paquetes entrantes.

Notas del Profesor Titular, Dr. C. Ing. Félix F. Alvarez Paliza, Dpto. Telecomunicaciones, UCLV
 368

Existe además una Base de Datos de Asociaciones de Seguridad (SAD, por sus siglas en inglés)
para almacenar todos los secretos compartidos en una SA. La SAD contiene un grupo de SAs.
Considérese un ejemplo: un nodo A desea enviar paquetes a un nodo B. primeramente consulta su
SPD para decidir si es necesaria la aplicación de IPsec, y en caso de ser necesaria, verifica cuáles
algoritmos y características deben aplicarse. Asúmase que la SPD de A indica que debe usarse el
protocolo ESP con encriptación AES y el protocolo AH con algoritmo hash SHA1. Luego, A consulta
la SAD para encontrar las SAs necesarias. Entonces toma la clave y el algoritmo de la SA ESP,
aplica el algoritmo a los datos utilizando la clave y adiciona una cabecera ESP luego de la cabecera
IPv6. La cabecera ESP contiene el SPI para que el nodo receptor pueda configurarse para
desencriptar los datos. Después el nodo A realiza la misma operación para la SA AH. Entonces
envía el paquete al nodo B.
Cuando B recibe el paquete consulta su propia SPD para decidir cuáles características IPsec posee
el paquete. Si no encuentra una referencia o el paquete posee una seguridad insuficiente
comparada con la SA correspondiente, B lo descarta sin procesarlo. Sino, consulta su SAD para
encontrar las SAs correspondientes; si existen múltiples SAs, B utiliza el SPI para identificar cuales
son las asociadas al paquete entrante. B puede entonces comprobar la autenticidad del paquete
verificando el valor hash de la cabecera AH y desencriptar el paquete. Posteriormente el paquete
recibe un procesamiento normal.

Protocolo de Intercambio de Claves de Internet (IKE, por sus siglas en inglés)

Para entender cómo son distribuidas las claves compartidas entre los nodos, hay que partir que
una SA puede ser configurada de forma manual. Esta técnica es simple y evita cierto número de
notorios problemas de interoperabilidad. También es tediosa y propensa a errores. Además es
menos segura que un cambio dinámico de claves ya que si las claves son utilizadas por mucho
tiempo, un atacante puede obtener un mayor número de paquetes cifrados que puede analizar para
descubrirla. Una vez que el agresor descubra la clave puede interpretar un gran cúmulo de
información.
Con una distribución dinámica de claves IPsec puede utilizar Números de Secuencia para prevenir
ataques de replicación. Para realizar la distribución de las claves se utiliza un protocolo de cifrado
de clave pública para configurar las SAs necesarias en ambos lados de la comunicación.
El protocolo encargado de estas acciones que más se utiliza en un entorno IPsec es el protocolo
Intercambio de Claves de Internet (IKE).
IKE opera en dos fases. La primera fase establece un canal seguro entre los procesos IKE. Este
canal seguro es usado en la segunda fase para intercambiar los parámetros secretos de las SAs.
En el escenario más simple, IKE utiliza claves prefijadas en los nodos para autentificar y encriptar
los intercambios de claves de IPsec. Esto es más seguro que utilizar claves de IPsec manualmente
configuradas pero requiere una clave distinta para cada par de nodos que se comuniquen.
En una configuración más avanzada IKE utiliza criptografía de clave pública para crear un canal
seguro de intercambio de información de IPsec. Utilizando técnicas de certificados digitales solo es
necesario enviar un certificado X.509 de cada nodo a cualquier otro nodo.
Los certificados X.509 deben estar firmados por una Autoridad Certificadora (CA, por sus siglas en
inglés). Con esto solo es necesario distribuir la clave pública de la entidad certificadora a todos los
nodos que utilizan IPsec. Si se desea una comunicación segura fuera de un ambiente administrativo
es necesario el empleo de una CA bien conocida.

Notas del Profesor Titular, Dr. C. Ing. Félix F. Alvarez Paliza, Dpto. Telecomunicaciones, UCLV
 369

Consideraciones de Seguridad en IPv6

Por el momento, el número de problemas de seguridad y ataques sobre IPv6 es pequeño debido a
que no está desplegado aún a gran escala. Pero, se espera que la tendencia cambie a medida que
los operadores y proveedores de contenidos lo implementen en sus redes y servicios.
En el siguiente apartado se describen los principales aspectos relacionados con la seguridad del
protocolo que hay que tener en cuenta desde tres puntos de vista:
 Aspectos técnicos
 Consideraciones de gestión
 Estructura o características propias del protocolo

Aspectos técnicos
Dispositivos de seguridad que no analizan el protocolo IPv6
Puede que los dispositivos de seguridad, como cortafuegos o IDS, o las herramientas de gestión
de red no sean capaces o no estén configurados para analizar los flujos de datos del protocolo
IPv6. Si fuera así, se podrían establecer comunicaciones maliciosas desde o hacia equipos de la
red que soporten IPv6.
Presencia de dispositivos de los que se desconoce que pueden usar IPv6 y de túneles IPv6.
Muchos Sistemas Operativos tienen habilitado IPv6 por defecto, como la mayor parte de sistemas
Windows modernos, Mac OS X, Linux y Solaris.
Además pueden existir túneles IPv6. Un túnel es una conexión punto a punto, en la que se
encapsulan los paquetes IPv6 en paquetes IPv4, de forma que se pueda transmitir IPv6 a través
de una infraestructura IPv4. En el extremo final del túnel, se extrae el paquete IPv6 original.
Los dispositivos de seguridad perimetral puede que no estén preparados o configurados para
analizar estos flujos de datos, que pueden ser utilizados para comunicaciones no permitidas.
La posibilidad de crear túneles IPv6 se encuentra presente en todos los sistemas operativos, como
Windows Vista, Windows 7 y Windows 8 que tienen habilitado por defecto la tecnología Teredo7 ,
aunque se deshabilita si detecta que el equipo pertenece a un dominio o tiene soporte IPv6 a través
de su red local.

Fig. 14.9 Túnel IPv6 en IPv4

Dejar de utilizar NAT

Una consecuencia indirecta del uso de NAT es que se emplea a modo de cortafuegos para proteger
los equipos internos de las conexiones externas. Pero ya que IPv6 elimina su necesidad, se deberá
modificar la política de los cortafuegos para que, según la política de seguridad, filtre o no las
comunicaciones directas a los equipos de la red privada.

Notas del Profesor Titular, Dr. C. Ing. Félix F. Alvarez Paliza, Dpto. Telecomunicaciones, UCLV
 370

Necesidad de Multidifusión (multicast) e ICMP

Muchos cortafuegos bloquean estos protocolos, aunque ciertas partes pueden ser muy importantes
como, por ejemplo, el uso de ICMP para PMTU10 . En IPv6 son imprescindibles para su
funcionamiento; por lo tanto, se deberán modificar las políticas de seguridad para permitir
determinadas comunicaciones de Multidifusión e ICMP.

Cambio en la monitorización de la red

Debido al gran número de direcciones disponibles será inviable escanear la red por fuerza bruta,
por lo que los equipos se inventariarán de otra manera como, por ejemplo, en un servidor DNS.
Sin embargo, posiblemente surjan otras formas de escanear una red: existen direcciones de Grupo
o Multidifusión concretas para localizar servicios (por ejemplo FF05::2 All routers, FF05::1:3 All
DHCP Servers) y direcciones de link-local, que permiten la comunicación en el segmento de red al
que se esté conectado. Un atacante puede utilizar estas direcciones para establecer contacto con
equipos o servicios. Aunque, en la práctica, este método no será probable que tenga éxito ya que
la mayor parte de los sistemas operativos están configurados para no responder a estas peticiones.

Doble exposición IPv6 e IPv4

Durante años convivirán sistemas que soporten ambas versiones del protocolo, y mecanismos de
transición a IPv6, lo que provocará que haya mayores posibilidades de existencia de
vulnerabilidades.
Por otra parte, un sistema podrá ser atacado utilizando IPv4, IPv6 o una combinación de ambos,
por ejemplo, utilizando IPv4 para detectar el equipo e IPv6 como canal oculto de comunicaciones.

Consideraciones de Gestión
Curva de aprendizaje
Como con toda adopción de una nueva tecnología, las organizaciones necesitan de tiempo y
recursos a la hora de adquirir el conocimiento necesario para implantar y administrar con seguridad
el protocolo IPv6.
Implementación de sistemas de doble pila.
La implantación de IPv6 supondrá un importante cambio en los sistemas de comunicaciones ya
que deberá soportar ambos protocolos y su interoperabilidad. El diseño, implantación y
configuración de estos sistemas de doble pila, que implementan IPv4 e IPv6, será un proyecto
complejo en el que habrá que evaluar todos los requisitos posibles de seguridad.

Estructuras o características propias del protocolo.

El uso de IPv4 ha evolucionado con el tiempo, solucionándose los problemas que han surgido
debido a su uso generalizado durante muchos años. De este modo se han creado tecnologías como
NAT, CIDR o IPsec.
IPv6 puede que sufra un proceso similar, aunque atenuado por la experiencia que se posee con
IPv4. Un ejemplo de este proceso de evolución del protocolo, es la decisión de que se rechacen los
paquetes que utilizan la cabecera RH0, utilizada para definir la ruta de los paquetes, porque se
podía utilizar para realizar un ataque de denegación de servicio
Para los puntos descritos a continuación ya hay soluciones disponibles, aunque falta que algunos
sistemas operativos las implementen.

Suplantación de identidad en la autoconfiguración de la dirección IP.

Una de las novedades del protocolo es la capacidad de una interfaz de generar su dirección IP a
partir de su dirección MAC. Durante este proceso el dispositivo pregunta al resto de dispositivos de
la red si alguno está utilizando esa dirección. Además, si el dispositivo está conectado a una red en

Notas del Profesor Titular, Dr. C. Ing. Félix F. Alvarez Paliza, Dpto. Telecomunicaciones, UCLV
 371

la que existe un enrutador, recibirá de él el resto de parámetros de configuración como puede ser
el prefijo de la red.
Durante este proceso, cualquier dispositivo podría generar de forman continuada una respuesta
falsa informando de que la dirección está en uso y provocar que el dispositivo que solicita una
dirección no se pueda conectar a la red. También, podría hacerse pasar por un enrutador para
realizar un ataque de man-in-the-middle.

El protocolo SEND soluciona este problema, aunque todavía no ha sido implementado en la

mayoría de sistemas operativos. SEND es una extensión que mejora la seguridad de protocolo
NDP, que es el encargado de descubrir otros nodos en la red local, enrutadores, etc. Para realizar
sus funciones SEND utiliza encriptación asimétrica y firma electrónica. SEND es una evidente
mejora respecto a IPv4 donde no existe nada comparable.

Privacidad
Al generar un equipo su dirección IP a partir de la dirección MAC, se puede asociar una IP a un
equipo de forma unívoca y, a su vez, se puede asociar un equipo a una persona.
Al realizar uso de Internet se deja un rastro de la dirección IP en los distintos servidores o redes
con lo que se establece una comunicación. A partir de esta dirección IP se podría saber que
servidores web o servicios visitó una persona.
Una solución para este problema consiste en la generación aleatoria de parte de la dirección IP, lo
que se conoce como extensiones de privacidad. La gran mayoría de los sistemas operativos
soportan las extensiones de privacidad y en algunos incluso están habilitadas por defecto (Windows
XP, Vista y 7). Otra posible solución es la asignación temporal de direcciones mediante DHCPv6.

Recomendaciones de Actuación en la transición de IPv4 a IPv6

- Crear políticas de seguridad que tengan en cuenta el protocolo IPv6.
- Obtener conocimiento de la administración de sistemas IPv6, ya que, aunque en la
actualidad se pueda bloquear todo el tráfico IPv6 o se disponga de direcciones IPv4, en el
futuro será cada vez más necesario porque los proveedores integrarán sus servicios con
IPv6. La mejor forma es hacerlo gradualmente, empezando con pocos servicios muy
controlados.
- Disponer de dispositivos de seguridad y herramientas de gestión de red que sean capaces
de analizar y, en caso de que sea necesario, bloquear el flujo de datos IPv6 y los túneles o
mecanismos de transición IPv6. Seguir, para IPv6, una política de seguridad similar o igual
a la usada para IPv4. Por ejemplo, no permitir el paso de un tipo de tráfico para IPv6 cuando
no se permite sobre IPv4. Cuando sea necesario permitir el tráfico IPv6, es recomendable,
si es posible, definir un subconjunto de reglas y políticas de seguridad diferenciadas para el
tráfico IPv6, específicamente para el caso de ICMPv6: como se ha comentado
anteriormente, el filtrado de tráfico ICMPv6 puede impactar mucho más directamente en el
tráfico permitido y en la conectividad IPv6 de los equipos.

Notas del Profesor Titular, Dr. C. Ing. Félix F. Alvarez Paliza, Dpto. Telecomunicaciones, UCLV