PDF de programación - Mecanismos de seguridad en el protocolo IPv6

LUIS MENGUAL GALÁN

D.


MECANISMOS DE SEGURIDAD

EN EL PROTOCOLO IPv6

D.1 Formato del paquete IPv6

La unidad básica de la transferencia en IPv6, descrita en el RFC 1883 [RFC95f], es
el paquete cuyo formato se muestra en la figura 1.1 Típicamente un paquete incluye un
segmento TCP, que a su vez se compone de una cabecera TCP y datos de usuario TCP.

El formato del paquete IPv6 tiene una cabecera fija de 40 octetos y varias cabeceras
opcionales de ampliación (figura 1.2), en comparación con el formato del paquete IPv4
que es de 20 octetos y tiene un conjunto de cabeceras opcionales de longitud variable.
En IPv6 algunos de los campos de la cabecera IPv4, como los relativos a fragmentación,
se transladan a las cabeceras de ampliación. Otros, como la suma de comprobación de la
cabecera han sido eliminados. Una cabecera de tamaño fijo y las cabeceras opcionales
para funciones especiales reducen la necesidad de proceso en los encaminadores.



- 1 -

LUIS MENGUAL GALÁN

0 4 8 16 24 31

Versión Prioridad

Etiqueta de flujo

Longitud de la carga

Cabecera siguiente

Límite de saltos

Dirección origen

Dirección destino

40 octetos



Figura D-1: Cabecera IPv6



Cabecera IPv6

40 octetos

Cabecera de
opciones Salto a Salto

variable

Cabecera de Encaminamiento

variable

Cabecera de Fragmentación

8 octetos

Cabecera de Autenticación

variable

Cabecera de Encapsulado de
Contenidos de Seguridad

Cabecera de Opciones
para el destino

variable

variable

Cabecera TCP

20 parte variable opcional

Datos de aplicación

variable

campo cabecera siguiente

Figura D-2: Cabeceras opcionales IPv6



- 2 -

LUIS MENGUAL GALÁN

Los campos de la cabecera fija incluyen de IPv6 incluyen los siguiente:

• Versión (4 bits): El número de versión de IP; el valor es 6.

• Prioridad (4 bits): El valor de la prioridad de ese paquete.

• Etiqueta de flujo (24 bits): Un sistema utiliza este campo para solicitar que los

encaminadores de una red realicen un manejo especial del paquete.

• Longitud de la carga (16 bits): La longitud en octetos del resto del paquete de IPv6
que sigue a la cabecera. Es decir la longitud total de todas las cabeceras opcionales
más el segmento TCP.

• Siguiente cabecera (8 bits): Identifica el tipo de cabecera que sigue inmediatamente

a la cabecera IPv6 .

• Límite de salto (8 bits): El número restante de saltos permitidos para este paquete. El
número de saltos lo fija el origen a un valor máximo deseado y se va disminuyendo
en 1 por cada nodo que reenvía el paquete. El paquete se elimina si el contador de
límite de saltos llega a 0. Esto es una simplificación del proceso necesario para el
campo tiempo de vida en IPv4.

• Dirección de origen (128 bits). La dirección de la entidad emisora del paquete.

• Dirección de origen (128 bits). La dirección de la entidad receptora del paquete.

Aunque la cabecera de IPv6 es más larga que la parte obligatoria de IPv4 (40
octetos frente a 20), contiene menos campos (8 en lugar de 12). Por lo tanto los
encaminadores tienen que realizar un procesamiento menor de cada cabecera, lo que
debe de acelerar el encaminamiento de los paquetes.

Las cabeceras de ampliación están diseñada para proporcionar soporte a una
función opcional (o a un conjunto de ellas). Cada cabecera opcional incluye el campo
“cabecera siguiente”. Este campo indica el tipo de cabecera que viene a continuación.
Si la siguiente cabecera es adicional, entonces este campo contiene el identificador del
tipo de esa cabecera. En caso contrario, este campo contiene el identificador del
protocolo de la capa superior que está usando IPv6 (normalmente el protocolo de nivel
de transporte), utilizando el mismo valor que el campo “protocolo” de la versión 4. Si el
protocolo de nivel superior es TCP, los datos transportados por el paquete IPv6 constan
de una cabecera TCP seguida por un bloque de datos de aplicación

- 3 -

LUIS MENGUAL GALÁN

La cabecera de “opciones de salto a salto” lleva una información adicional que
cuando está presente debe de ser examinada por todos los encaminadores por los que
pasa. La cabecera de “encaminamiento” proporciona una capacidad de encaminamiento
ampliada que es similar al encaminamiento original IPv4. Esta cabecera contiene una
lista de uno o más nodos intermedios que deben de visitarse en la ruta al destino de un
paquete.

La cabecera de “fragmentación” contiene información de fragmentación y
ensamblaje. En el protocolo IPv6 la fragmentación sólo la realizan los nodos origen, no
los encaminadores que están en la ruta de distribución de un paquete. Para aprovechar al
máximo en entorno de redes conectadas entre sí, los nodos ejecutan un algoritmo de
descubrimiento de ruta que les permite conocer la unidad máxima de transmisión
(MTU) soportada por cada subred de la ruta. Con esta información el nodo origen
fragmenta el paquete para cada dirección destino conocida.

La cabecera de “autenticación” proporciona la integridad de los paquetes y la
autenticación. El protocolo IPv6 no impone un algoritmo de autenticación específico,
por lo que las diversas organizaciones pueden implantar distintos esquemas. La
cabecera de “encapsulado de la carga de seguridad” proporciona la privacidad. Aquí
tampoco se exige un algoritmo de privacidad especifico, pero la intención es que esta
cabecera permita soportar el cifrado entre origen y destino.

La cabecera de “opciones de destino” contiene información opcional que, cuando
está presente, sólo es examinada. El formato de esta cabecera es el mismo que la de
opciones salto a salto.

D.2 Seguridad en el estándar IPv6

En el estándar RFC 1825 [RFC95b] se recogen la descripción de los mecanismos de
seguridad incorporados en la versión IPv6 y los servicios que ellos proporcionan. Este
documento también describe los requisitos respecto de los procedimientos de
distribución de claves para sistemas que implementan dichos mecanismos de seguridad.
En realidad este documento no es un visión conjunta respecto de la implementación de
una Arquitectura de Seguridad en la Internet, sino una descripción de los mecanismos
de seguridad a incorporar en el nivel IP

Hay dos cabeceras específicas que se utilizan como mecanismos de seguridad en
IPv6. Estas cabeceras son la “Cabecera de Autenticación”, (CA) y la “Cabecera de
Encapsulado de Contenidos de seguridad”, (CECS). Hay varias manera de utilizar estos
mecanismos de seguridad IP.

- 4 -

LUIS MENGUAL GALÁN

La Cabecera de Autenticación está diseñada para proporcionar integridad y
autenticación a los datagramas IP. La Cabecera de Autenticación soporta seguridad
entre dos o más sistema finales que implementen la CA, entre dos o más pasarelas que
implementan la CA, y entre un sistema final o una pasarela que implemente CA y un
conjunto de sistemas finales o pasarelas. Una pasarela de seguridad es un sistema que
actúa como pasarela de comunicación entre sistemas abiertos inseguros y sistemas
considerados seguros de su propia subred; también proporciona servicios de seguridad
para sistemas considerados seguros de su dominio cuando éstos se comunican con
sistemas externos inseguros.

Una pasarela de seguridad proporciona servicios en nombre de uno o más sistemas
pertenecientes a un dominio. La pasarela de seguridad es responsable de establecer una
Asociación de Seguridad, en nombre de un sistema considerado seguro de su dominio, y
proporcionar servicios de seguridad entre la pasarela de seguridad y un sistema
externo. En este caso, sólo la pasarela necesita implementar CA, mientras que los
sistemas que pertenecen al dominio de la pasarela utilizarán los servicios de seguridad
de la CA entre la pasarela y los sistemas externos. Una pasarela de seguridad que
recibe un datagrama IP con información sensible, podría tener en consideración la
creación/selección de una Asociación de Seguridad que utilice la cabecera CA entre la
pasarela y el sistema externo.

La Cabecera de Encapsulado de Contenidos de Seguridad (CECS) está pensada
para proporcionar integridad y confidencialidad a los datagramas IP. La cabecera CECS
proporciona seguridad entre dos o más sistemas que implementan CECS, entre dos o
más pasarelas que implementan CECS y entre un sistema o pasarela que implementa
CECS y un conjunto de sistemas o pasarelas.

El cifrado pasarela-pasarela es ampliamente utilizada para la creación de Redes
Virtuales a través de un backbone como puede ser la Internet. En el caso de una
pasarela de seguridad, éste es responsable del establecimiento de una Asociación de
Seguridad, en nombre de su sistema considerado seguro de su dominio, y para
proporcionar servicios de seguridad entre la pasarela de seguridad y un sistema
externo. En este caso, sólo la pasarela necesita implementar CECS, mientras que todos
los sistemas bajo el dominio de la pasarela utilizan los servicios de seguridad entre la
pasarela y los sistemas externos.

Una pasarela que recibe un datagrama conteniendo información sensible desde un
considerado seguro bajo su dominio podría considerar la creación /selección de una
Asociación de Seguridad que utilice la CECS entre la pasarela y el sistema externo
destinataria. En tal entorno una pasarela que recibe un datagrama IP conteniendo la
CECS debería descifrar el paquete y retransmitirlo a su último destino

- 5 -

LUIS MENGUAL GALÁN

Si no hay pa