IPv6 en la Universidad de Murcia
Seguridad, estado actual y nuevas tendencias
En este artículo se presenta de forma breve una de las actividades de investigación más interesantes que se han llevado a cabo recientemente en la Universidad de Murcia sobre seguridad en IPv6 y el entorno de experimentación de la entidad, así como algunas de las líneas en las cuales se encuentra trabajando, destacando especialmente la labor a realizar dentro del proyecto europeo de reciente concesión Euro6IX.
La Universidad de Murcia ha sido siempre consciente de la necesidad del nuevo protocolo de red IPv6 para el desarrollo real de la siguiente generación de Internet. De hecho, desde 1997 nos encontramos investigando en este campo con el objetivo de tener un conocimiento real sobre el nuevo IP y sobre el desarrollo de infraestructuras de comunicaciones basadas en este nuevo protocolo.
Este trabajo ha estado centrado principalmente en el estudio y desarrollo de las propuestas y los estándares relacionados con IPv6 y en la definición y puesta en marcha de un completo entorno de pruebas o testbed. Para conseguir este objetivo las personas responsables de este área de investigación han estado colaborando en diferentes proyectos de investigación nacionales e internacionales y estableciendo colaboraciones con empresas y centros de investigación de reconocido prestigio. Esta labor ha culminado con la inclusión de nuestro grupo de investigación como miembro activo del IPv6 Forum.
LA SEGURIDAD EN IPV6
Antes de comentar uno de los trabajos realizados últimamente en esta línea de investigación, vamos a describir a grandes rasgos en que consiste la seguridad a nivel de red, sus componentes más interesantes y los escenarios típicos de aplicación.
Una de las deficiencias más criticada de IPv4 es la ausencia de seguridad a nivel de red, lo cual se tuvo en consideración desde el primer momento a la hora de plantear los diseños de su sucesor. En este sentido, dentro de IPv6 se han definido dos cabeceras de seguridad encargadas de cifrar y autenticar las comunicaciones entre dos o más entidades: la cabecera de autenticación, conocida formalmente como AH (Authentication Header), se encarga, tal y como indica su nombre, de autenticar la comunicación, y la cabecera de cifrado, conocida como ESP (Encapsulating Security Payload) se encarga, además de la autenticación (pero sólo de parte del datagrama) del cifrado de los paquetes intercambiados entre las entidades.
Todo el sistema de gestión que conlleva el uso de estas cabeceras es lo que se ha definido como IPsec (IP security) y es el mecanismo de más bajo nivel dentro de la pila TCP/IP, en el cual se pueden proteger las comunicaciones extremo a extremo. Junto a IPsec son necesarios mecanismos de alto nivel que ofrezcan a las implementaciones de IPv6 la configuración y el material criptográfico necesario para poder aplicar esta seguridad; de esto se encargan los Protocolos de Intercambio de Claves.
En lo referente al uso de las implementaciones de este protocolo, IPsec es utilizado sobre todo en VPN (redes privadas virtuales), en las cuales se intenta conectar de forma segura distintas redes de una misma organización (o de diversas organizaciones) a través de un medio inseguro de comunicaciones como puede ser, por ejemplo, Internet.
Dentro de IPsec. IPsec ofrece los servicios de integridad en las conexiones (garantía de que los datos enviados por un extremo son los mismos que los recibidos en el otro extremo), autenticación de origen (servicio por el que la entidad origen garantiza su identidad frente a la de destino), confidencialidad (solamente la parte destinataria de la información puede entenderla) y protección anti-reenvío (según la cual la información de seguridad anterior no puede volver a ser utilizada de nuevo para ofrecer seguridad).
Tal y como se comentó anteriormente, para ofrecer estos servicios IPsec proporciona dos cabeceras que se han incluido dentro del protocolo IPv6: la cabecera AH y la cabecera ESP. Ambas pueden ser usadas de dos modos. El primero, conocido como modo Transporte, ofrece seguridad tanto a los datos de los protocolos de nivel superior, como a las partes no variables de la cabecera IPv6. Por su parte, el modo Túnel, ofrece seguridad a todo el paquete, encapsulando para ello el paquete a enviar dentro de otro nuevo que va protegido, y que suele llevar unas direcciones de origen y destino distintas (como, por ejemplo, la de los secure gateways –SGs– que dan acceso a las respectivas redes).
El modo de gestionar la seguridad entre los extremos se basa en el establecimiento de Asociaciones de Seguridad (AS). Como tal, una AS se define como una relación unidireccional que proporciona seguridad al tráfico mantenido por ella. En realidad, se trata de una estructura de datos que describe qué transformaciones serán aplicadas a cada datagrama y cómo, especificando como parámetros los algoritmos de autenticación y cifrado, las claves a utilizar, el tiempo de vida de dichas claves y de la propia AS, número de secuencia, etc. Dado que, tal y como hemos comentado, cada AS es unidireccional y sólo maneja una cabecera de seguridad (AS o ESP) entre dos extremos pueden llegar a establecerse simultáneamente cuatro AS cuyos parámetros tienen que haber sido negociados con anterioridad.
Para controlar el tráfico gestionado por las asociaciones de seguridad, cada extremo IPsec define una Base de Datos de Políticas de Seguridad (SPD) que se utilizará para indicar que servicios serán ofrecidos a los datagramas y otra Base de Datos de Asociaciones de Seguridad que contendrá todas las que están activas en cada momento.
Protocolos de Intercambio de Claves. Como ya se comentó con anterioridad, los protocolos de intercambio de claves se encargan de realizar una negociación entre las entidades finales que permite proveer material criptográfico de un modo seguro al nivel de red. Para llegar a este objetivo deben de superarse tres fases. La primera consiste en llegar a un acuerdo en las características de seguridad aplicables, por ejemplo, el tipo de algoritmo de cifrado o de autenticación, el método de autenticación, la longitud de las claves, etc. En la segunda se trata de intercambiar el material criptográfico necesario para el cálculo de claves de cifrado y autenticación, sin que estas aparezcan de modo explícito en la negociación. Durante la tercera, se asegura la identidad de las partes implicadas, de modo que podamos tener completa confianza en el otro extremo de la comunicación.
Los protocolos más conocidos son Photuris, SKIP e IKE (Internet Key Exchange), siendo este último el que se ha convertido en el estándar de facto en el mundo Internet, tanto con IPv4 como con IPv6.
Escenarios típicos de aplicación. El mayor campo de aplicación de IPsec es, sin duda, las VPN, ya sea en IPv4, donde su uso no es obligatorio pero si ampliamente recomendado, como en IPv6, donde sí es obligatorio. No en vano, en el ámbito corporativo, suele ser prohibitivo para una empresa tener conexiones del tipo pool de modems o líneas dedicadas punto a punto. Lo que una empresa busca es dar soporte a los sitios remotos que pueda tener repartidos por varias ciudades o países con las características de una intranet, es decir, ofrecer confidencialidad en los datos, flexibilidad de gestión e integración transparente de las aplicaciones. La solución actual a este problema, aunque tampoco demasiado utilizada, son las VPN, las cuales usan la red pública (Internet) para ofrecer los servicios antes mencionados. La utilizaci
La Universidad de Murcia ha sido siempre consciente de la necesidad del nuevo protocolo de red IPv6 para el desarrollo real de la siguiente generación de Internet. De hecho, desde 1997 nos encontramos investigando en este campo con el objetivo de tener un conocimiento real sobre el nuevo IP y sobre el desarrollo de infraestructuras de comunicaciones basadas en este nuevo protocolo.
Este trabajo ha estado centrado principalmente en el estudio y desarrollo de las propuestas y los estándares relacionados con IPv6 y en la definición y puesta en marcha de un completo entorno de pruebas o testbed. Para conseguir este objetivo las personas responsables de este área de investigación han estado colaborando en diferentes proyectos de investigación nacionales e internacionales y estableciendo colaboraciones con empresas y centros de investigación de reconocido prestigio. Esta labor ha culminado con la inclusión de nuestro grupo de investigación como miembro activo del IPv6 Forum.
LA SEGURIDAD EN IPV6
Antes de comentar uno de los trabajos realizados últimamente en esta línea de investigación, vamos a describir a grandes rasgos en que consiste la seguridad a nivel de red, sus componentes más interesantes y los escenarios típicos de aplicación.
Una de las deficiencias más criticada de IPv4 es la ausencia de seguridad a nivel de red, lo cual se tuvo en consideración desde el primer momento a la hora de plantear los diseños de su sucesor. En este sentido, dentro de IPv6 se han definido dos cabeceras de seguridad encargadas de cifrar y autenticar las comunicaciones entre dos o más entidades: la cabecera de autenticación, conocida formalmente como AH (Authentication Header), se encarga, tal y como indica su nombre, de autenticar la comunicación, y la cabecera de cifrado, conocida como ESP (Encapsulating Security Payload) se encarga, además de la autenticación (pero sólo de parte del datagrama) del cifrado de los paquetes intercambiados entre las entidades.
Todo el sistema de gestión que conlleva el uso de estas cabeceras es lo que se ha definido como IPsec (IP security) y es el mecanismo de más bajo nivel dentro de la pila TCP/IP, en el cual se pueden proteger las comunicaciones extremo a extremo. Junto a IPsec son necesarios mecanismos de alto nivel que ofrezcan a las implementaciones de IPv6 la configuración y el material criptográfico necesario para poder aplicar esta seguridad; de esto se encargan los Protocolos de Intercambio de Claves.
En lo referente al uso de las implementaciones de este protocolo, IPsec es utilizado sobre todo en VPN (redes privadas virtuales), en las cuales se intenta conectar de forma segura distintas redes de una misma organización (o de diversas organizaciones) a través de un medio inseguro de comunicaciones como puede ser, por ejemplo, Internet.
Dentro de IPsec. IPsec ofrece los servicios de integridad en las conexiones (garantía de que los datos enviados por un extremo son los mismos que los recibidos en el otro extremo), autenticación de origen (servicio por el que la entidad origen garantiza su identidad frente a la de destino), confidencialidad (solamente la parte destinataria de la información puede entenderla) y protección anti-reenvío (según la cual la información de seguridad anterior no puede volver a ser utilizada de nuevo para ofrecer seguridad).
Tal y como se comentó anteriormente, para ofrecer estos servicios IPsec proporciona dos cabeceras que se han incluido dentro del protocolo IPv6: la cabecera AH y la cabecera ESP. Ambas pueden ser usadas de dos modos. El primero, conocido como modo Transporte, ofrece seguridad tanto a los datos de los protocolos de nivel superior, como a las partes no variables de la cabecera IPv6. Por su parte, el modo Túnel, ofrece seguridad a todo el paquete, encapsulando para ello el paquete a enviar dentro de otro nuevo que va protegido, y que suele llevar unas direcciones de origen y destino distintas (como, por ejemplo, la de los secure gateways –SGs– que dan acceso a las respectivas redes).
El modo de gestionar la seguridad entre los extremos se basa en el establecimiento de Asociaciones de Seguridad (AS). Como tal, una AS se define como una relación unidireccional que proporciona seguridad al tráfico mantenido por ella. En realidad, se trata de una estructura de datos que describe qué transformaciones serán aplicadas a cada datagrama y cómo, especificando como parámetros los algoritmos de autenticación y cifrado, las claves a utilizar, el tiempo de vida de dichas claves y de la propia AS, número de secuencia, etc. Dado que, tal y como hemos comentado, cada AS es unidireccional y sólo maneja una cabecera de seguridad (AS o ESP) entre dos extremos pueden llegar a establecerse simultáneamente cuatro AS cuyos parámetros tienen que haber sido negociados con anterioridad.
Para controlar el tráfico gestionado por las asociaciones de seguridad, cada extremo IPsec define una Base de Datos de Políticas de Seguridad (SPD) que se utilizará para indicar que servicios serán ofrecidos a los datagramas y otra Base de Datos de Asociaciones de Seguridad que contendrá todas las que están activas en cada momento.
Protocolos de Intercambio de Claves. Como ya se comentó con anterioridad, los protocolos de intercambio de claves se encargan de realizar una negociación entre las entidades finales que permite proveer material criptográfico de un modo seguro al nivel de red. Para llegar a este objetivo deben de superarse tres fases. La primera consiste en llegar a un acuerdo en las características de seguridad aplicables, por ejemplo, el tipo de algoritmo de cifrado o de autenticación, el método de autenticación, la longitud de las claves, etc. En la segunda se trata de intercambiar el material criptográfico necesario para el cálculo de claves de cifrado y autenticación, sin que estas aparezcan de modo explícito en la negociación. Durante la tercera, se asegura la identidad de las partes implicadas, de modo que podamos tener completa confianza en el otro extremo de la comunicación.
Los protocolos más conocidos son Photuris, SKIP e IKE (Internet Key Exchange), siendo este último el que se ha convertido en el estándar de facto en el mundo Internet, tanto con IPv4 como con IPv6.
Escenarios típicos de aplicación. El mayor campo de aplicación de IPsec es, sin duda, las VPN, ya sea en IPv4, donde su uso no es obligatorio pero si ampliamente recomendado, como en IPv6, donde sí es obligatorio. No en vano, en el ámbito corporativo, suele ser prohibitivo para una empresa tener conexiones del tipo pool de modems o líneas dedicadas punto a punto. Lo que una empresa busca es dar soporte a los sitios remotos que pueda tener repartidos por varias ciudades o países con las características de una intranet, es decir, ofrecer confidencialidad en los datos, flexibilidad de gestión e integración transparente de las aplicaciones. La solución actual a este problema, aunque tampoco demasiado utilizada, son las VPN, las cuales usan la red pública (Internet) para ofrecer los servicios antes mencionados. La utilizaci
