PDF de programación - Seguridad en IP con el protocolo IPSEC para IPV6

Universidad de San Carlos de Guatemala
Facultad de Ingeniería
Escuela de Ingeniería en Ciencias y Sistemas



SEGURIDAD EN IP CON EL PROTOCOLO IPSEC PARA IPV6



ERICK FERNANDO LUJÁN MONTES

Asesorado por: Ing. Carlos Roberto Iraheta Galicia



Guatemala, octubre de 2005.



UNIVERSIDAD SAN CARLOS DE GUATEMALA



FACULTAD DE INGENIERÍA



SEGURIDAD EN IP CON EL PROTOCOLO IPSEC PARA IPV6



TRABAJO DE GRADUACIÓN

PRESENTADO A LA JUNTA DIRECTIVA DE LA

FACULTAD DE INGENIERÍA

POR

ERICK FERNANDO LUJÁN MONTES

Asesorado por: Ing. Carlos Roberto Iraheta Galicia

AL CONFERÍRSELE EL TÍTULO DE

INGENIERO EN CIENCIAS Y SISTEMAS

GUATEMALA, OCTUBRE DE 2005

UNIVERSIDAD SAN CARLOS DE GUATEMALA



FACULTAD DE INGENIERÍA

NÓMINA DE JUNTA DIRECTIVA



Ing. Murphy Olympo Paiz Recinos

Lic. Amahán Sánches Álvarez
Ing. Julio David Galicia Celada
Br. Kenneth Issur Estrada Ruiz
Br. Elisa Yazminda Vides Leiva
Inga. Marcia Ivonne Véliz Vargas

TRIBUNAL QUE PRACTICÓ EL EXAMEN GENERAL PRIVADO

Ing. Sydney Alexander Samuels Milson
Ing. Edgar Estuardo Santos Sutuj
Ing. Jose Ricardo Morales Prado
Ing. Virginia Victoria Tala Ayerdi
Ing. Pedro Antonio Aguilar Polanco



DECANO
VOCAL I

VOCAL II

VOCAL III

VOCAL IV
VOCAL V

SECRETARIA



DECANO
EXAMINADOR
EXAMINADOR
EXAMINADOR
SECRETARIO



HONORABLE TRIBUNAL EXAMINADOR



Cumpliendo con los preceptos que establece la ley de la Universidad de
San Carlos de Guatemala, presento a su consideración mi trabajo de
graduación titulado:



SEGURIDAD EN IP CON EL PROTOCOLO IPSEC PARA IPV6,



Ciencias y Sistemas en febrero de 2004.



tema que me fuera asignado por la Coordinación de la Carrera de

Erick Fernando Luján Montes







Guatemala, agosto de 2005



Ingeniero
Carlos Alfredo Azurdia Morales
Coordinador de Privados y
Revisión de Trabajos de Graduación
Presente



Estimado Ingeniero:



Agradeciéndole de antemano la atención que le preste a la presente, me

Por este medio me permito informarle que he procedido a revisar
el trabajo de graduación titulado: SEGURIDAD EN IP CON EL PROTOCOLO
IPSEC PARA IPV6, elaborado por el estudiante Erick Fernando Luján Montes, y
que a mi juicio, el mismo cumple con los objetivos propuestos para su
desarrollo.


suscribo de usted, atentamente,



Carlos Roberto Iraheta Galicia

Ingeniero en Ciencias y Sistemas

Col. 6475

Asesor


















AGRADECIMIENTOS



Dios, creador del universo y dueño de mi vida, que me permite construir
otros mundos mentales posibles, de poner en mí camino a las personas más
importantes en mi vida.


Mis padres: Sonia Montes, por enseñarme que no hay límites, que lo que
me proponga lo puedo lograr y que sólo depende de mi; Fernando Luján quien
me infundió la ética y el rigor que guían mi transitar por la vida; gracias padre,

por permitirme soñar y crecer con tu imaginación, a ambos por el apoyo
incondicional que me dieron a lo largo de la carrera.

Mis hermanos: Brian, por ser un ejemplo y guía en mi camino; Sergio,

por su apoyo en todo momento; a ambos, que sin ustedes no estaría aquí.

Mi familia: esto nunca hubiera sido posible sin el amparo incondicional de

ellos; sin el amor de cada uno, esto también es vuestro premio.

El Ingeniero Carlos Iraheta, por su asesoría y dirección en el trabajo de

investigación.

Mis amigos, en especial a Ana Domínguez, que sin duda alguna, sus

consejos, experiencias y sobre todo, su apoyo y paciencia, contribuyeron en
todos mis éxitos.

La Facultad de Ingeniería, por el soporte institucional dado para mi

formación y por ende al pueblo de Guatemala.

Todas aquellas personas que de una u otra forma, colaboraron o
participaron en mi formación como persona y profesional, hago extensivo mi
más sincero agradecimiento.

ACTO QUE DEDICO A



Sonia Elizabeth Montes Valenzuela y Luis Fernando Luján Garcia

Brian Alexander Luján Montes y Sergio Geovanny Luján Montes


Mis padres:


Mis hermanos:


Mi familia:


A cada uno de ellos…

ÍNDICE GENERAL


ÍNDICE DE ILUSTRACIONES
GLOSARIO
RESUMEN
OBJETIVOS
INTRODUCCIÓN

1. SEGURIDAD Y PROTOCOLOS DE SEGURIDAD

1.1

1.2

Seguridad de la información

Factores que intervienen en la Seguridad Informática.

1.2.1 Amenazas

1.2.2 Vulnerabilidades
1.2.3 Ataques

1.2.3.1 Activos
1.2.3.2 Pasivos

1.2.4 Contramedidas

1.3 Modelo OSI y Seguridad por Capas

1.3.1 Modelo OSI
1.3.2 Capa física
1.3.3 Capa de enlace
1.3.4 Capa de red
1.3.5 Capa de transporte

1.3.6 Capa de sesión
1.3.7 Capa de aplicación

1.4 Criptología

1.4.1 Criptosistemas
1.4.1.1 Simétricos



I



V
IX
XV
XVII
XIX

1

1

5
6

9
9

9
10
11

13
13
17
18
20
23

25
27

28
30
31

1.4.1.2 Asimétrico

1.5

Protocolos de seguridad

1.5.1 Secure Socket Layer (SSL)
1.5.2 Transport Layer Security (TLS)

33

34
35
39

1.5.3 Authentication Header AH, Encapsulating Security Payload (ESP) 40
43

2. SEGURIDAD IP

2.1

Protocolo TCP/IP

2.1.1 Capa de aplicación

2.1.2 Capa de transporte
2.1.3 Capa de acceso a la red

2.1.4 Capa física

2.2

IPV6

2.1.1 Seguridad y autenticación

2.3

IPSec

2.3.1 Componentes
2.4.2 Asociación de seguridad

2.3.2.1 Funcionalidad
2.3.2.2 Combinación
2.3.2.3 Base de datos
2.3.2.4 Parámetros

2.3.3 Servicios

3. FUNCIONAMIENTO IPSEC

3.1

3.2

3.3

Beneficios

Infraestructura de clave pública PKI

Integración de IPSec con una PKI

3.4 Modos de uso y ejemplos de aplicación

3.4.1 Intranet



II

44
46

46
47

52

52
53

55
58
59
65
66
69
71
73
77

79

81

84

87
87

93
95

95

102

106

111

115

121
123
125

3.4.3 Extranet

4. ANÁLISIS DE SEGURIDAD IPSEC EN IPV6

4.1

Funcionamiento de IPSec en IPV6

4.2 Métodos de Trabajo

4.3

4.4

Vulnerabilidades

Ventajas y Desventajas

4.5 Recomendaciones sobre el uso de IPSec en IPV6


CONCLUSIONES
RECOMENDACIONES
BIBLIOGRAFÍA



III





IV

ÍNDICE DE ILUSTRACIONES



FIGURAS



1

2
3

Flujo normal de comunicación

Flujo con interrupción de comunicación
Flujo con intercepción de comunicación

Flujo con modificación de comunicación
Flujo con fabricación de comunicación
Pasos para un análisis de riesgos
Capas del modelo OSI
Relación entre capas del modelo OSI
Ejemplo de seguridad en la capa física en una red de paquetes

4
5
6
7
8
9
10 Ejemplo de seguridad en la capa de enlace en una red de paquetes
11 Ejemplo de seguridad en las capas física y de enlace en una red de

paquetes

12 Ejemplo de seguridad en la capa de red inferior en una red de

paquetes

paquetes


13 Ejemplo de seguridad en la capa de red superior de una red de

14 Ejemplo de seguridad en la capa de red superior de una red de

15 Ejemplo de seguridad en la capa de sesión de una red de

16 Ejemplo de seguridad en la capa de presentación de una red de

paquetes

paquetes

paquetes


17 Clasificación de Criptosistemas
18 Proceso de Handshake
20 Datagrama IPv4



V

6

7
7

8
8
12
13
14
18
19

20

22

23

25

26

28
31
38
49

21 Encabezado IPv6
22 Datagrama IPv6
23 Componentes de IPSec
24 Funcionamiento del protocolo IKE
25 Combinación de seguridad transporte adyacente
26 Combinación de seguridad entunelado iterado 1

27 Combinación de seguridad entunelado iterado 2
28 Combinación de seguridad entunelado iterado 3

Integración de una PKI en IPSec
Interconexión de redes locales en entorno financiero

29 Funcionamiento de IPSec
30
31
32 Acceso seguro de usuarios remotos a una corporación.
34
35
36
37 AH en Modo Trasporte en IPv6

IPSec Modo Transporte
IPSec Modo Túnel
IPSec en Modo Trasporte

38 ESP en Modo Trasporte en IPv6
39

IPSec en Modo Túnel

40 AH en Modo Túnel en IPv6
42 Método de trabajo de IPSec en IPV6, seguridad extremo a extremo
43 Método de trabajo de IPSec en IPV6, redes privadas virtuales
44 Método de trabajo de IPSec en IPV6, road warrior

45 Método de trabajo de IPSec en IPV6, túneles anidados
46 Vulnerabilidad, diagrama de ataque Cut-And-Past Attack
47 Vulnerabilidad, diagrama de ataque Session Hijacking



VI

50
51
59
64
67
67

68
68

77
86
89
91
95
96
97
98

99
100

101
103
104
105

106
109
110

16
34
74

TABLAS


I Servicios de seguridad en las capas del modelo OSI.
II Capas y protocolos de criptografía.
III Servicios de IPSec.



VII





VIII


CA



CRL


D-H


DES


DSA


FIREWALL

FTP

GLOSARIO

Certificate Authority. Autoridad Certificante que valida

certificados.

Lista de Certificados Revocados. La autoridad certificadora

se encarga de publicar dicha lista, la cual contiene la
revocación de un certificado que lo hace inválido.

Diffie-Hellman, es un algoritmo de intercambio de claves, se

basa en el llamado problema de los logaritmos discretos,
que se cree es computacionalmente t