Anlisis de las expectativas de IPv6 con seguridad IPSec en el Ecuador

Paul Alexander Salgado alexander_past@yahoo.com

RESUMEN: El presente documento tiene como objetivo describir las principales

caractersticas del protocolo IPv6, destacando sus ventajas tecnolgicas. Tambin se presentan algunas dificultades que han frenado la adopcin de IPv6 en el Ecuador y el mundo, y los organismos encargados de promover el uso e implementacin de IPv6 a nivel nacional, mencionando las acciones necesarias por parte de la sociedad para procurar tener una coexistencia y transicin exitosas de IPv4 a IPv6. Asimismo se menciona una serie de especificaciones para garantizar la seguridad como parte implcita de las nuevas especificaciones de los protocolos conocidas como IP Security o IPSec adems de la adems de las seguridades y precauciones necesarias para su implementacin. PALABRAS CLAVE: IPSec, IPv6, protocolos, seguridad. ABSTRACT: This paper aims to describe the main features of IPv6, highlighting its technological advantages. It also presents some difficulties that have slowed the adoption of IPv6 in Ecuador and the world, also the agencies to promote the use and implementation of IPv6 in Ecuador, citing the actions required by the society to try to have a coexistence and successful transition from IPv4 to IPv6. It also mentions a number of specifications to ensure safety as implicit part of the new protocol specifications known as IP Security or IPSec plus the addition of the securities and precautions necessary for its implementation. KEYWORDS: IPSec, IPv6, protocols, security.

IPv4 a IPv6 que varan segn el contexto de cada red. Algunos pases han fijado mecanismos de promocin e impulso al despliegue e implementacin interno de IPv6 estableciendo, mediante decretos que las compras o actualizaciones de sus redes y productos soporten, en el mediano y largo plazo, tanto IPv4 como IPv6, generando condiciones para crear un mercado con soporte de IPv6. Tal ha sido el caso de los Estados Unidos y, en Amrica Latina, de Cuba, Colombia y recientemente Ecuador, a travs de sus respectivos ministerios de comunicaciones. Hasta ahora, los principales retos y dificultades en la adopcin de IPv6 en Ecuador han sido la falta de inters de la comunidad no acadmica, la falta de recursos econmicos o tcnicos, y la falta de acceso nacional y el ofrecimiento de conectividad IPv6 por parte de los proveedores de servicios aun cuando estos faltantes no sean necesariamente un requisito para la activacin y la ejecucin de servicios con soporte de IPv6 Con la implantacin de redes basadas en el protocolo IP versin 6, el tema de seguridad no debe dejar de ser observado cuando todas las redes del mundo migren desde IP versin 4, pues ah se pueden presentar ciertas vulnerabilidades que no se consideran ahora por los administradores de redes. La seguridad en IPv6 es uno de los temas ms importantes del protocolo tratado en este documento en donde se har una revisin a ciertos problemas que IPv6 tiene en la actualidad para ser implementados dentro de una infraestructura tecnolgica.

1 INTRODUCCIN
A nivel internacional, la adopcin de IPv6 se ha puesto en marcha con distintas velocidades, pues esto depende de las condiciones existentes en cada pas, adems de los motivos para impulsar la transicin de

2 REVISIN DEL FUNCIONAMIENTO DEL PROTOCOLO IPV6

Una de las caractersticas principales de IPv6 es que incrementa el tamao de la direccin IP de 32 bits a 128 bits para as soportar ms niveles en la jerarqua de direccionamiento y un nmero mucho mayor de nodos finales. El diseo del protocolo tiene adems mltiples beneficios en seguridad, QoS, una mayor capacidad de transmisin, mayor velocidad y mejora la facilidad de administracin, entre otras cosas. Mientras que IPv4 soporta 2^32 direcciones que es poco menos de 4.3 billones, IPv6 ofrece 3.4 x 10^38 (2^128) direcciones, un nmero similar a 6.67x10^23 direcciones IP por cada metro cuadrado sobre la superficie terrestre. Adicionalmente, la direccin IPv6 se dise para ser subdividida en dominios de enrutamiento jerrquico que reflejan la topologa del Internet actual.

Puede hacerse diferenciacin de trfico utilizando los campos del encabezado. Las nuevas extensiones de encabezado reemplazan el campo Opciones de IPv4 y proveen mayor flexibilidad. IPv6 fue creado para manejar mecanismos de movilidad y seguridad de manera ms eficiente que el protocolo IPv4. Se crearon varios mecanismos junto con el protocolo para tener una transicin sin problemas de las redes IPv4 a las IPv6. IPv6 requiere la obligatoria de IPsec. implementacin

2.2 Implementacin de IPSec

IPv6 incluye explcitamente la posibilidad de utilizar el modelo de seguridad IPsec (Internet Protocol Security) que proporciona autenticidad, integridad y confidencialidad a las comunicaciones de extremo a extremo. IPsec es un conjunto de protocolos abiertos que tienen como fin proporcionar seguridad en las comunicaciones de la capa de red del modelo OSI (a la que pertenece el protocolo IPv6), y de ese modo, a todos los protocolos de capas superiores. En IPv4 la implementacin de IPsec se define en una especificacin diferente a la del propio protocolo IPv4, por lo que la inclusin del protocolo se hace con mecanismos definidos fuera del mismo, mientras que en IPv6 la propia arquitectura "extensible" del protocolo permite implementar IPsec de forma nativa. Es importante resear que IPv6 habilita la posibilidad de usar IPsec, y no los mecanismos de cifrado y autenticacin propios de IPsec. IPsec tiene dos modos de funcionamiento que proporcionan distintos niveles de seguridad: Modo Transporte: se cifra y/o autentica la carga til, o payload, pero las cabeceras no se tienen en cuenta.

2.1 Caractersticas de IPv6

El esquema de direcciones de 128 bits provee una gran cantidad de direcciones IP, con la posibilidad de asignar direcciones nicas globales a nuevos dispositivos. Los mltiples niveles de jerarqua permiten juntar rutas, promoviendo un enrutamiento eficiente y escalable al Internet. El proceso de autoconfiguracin permite que los nodos de la red IPv6 configuren sus propias direcciones facilitando su uso. La transicin entre proveedores de IPv6 es transparente para los usuarios finales.. La difusin ARP es reemplazada por el uso de multicast en el link local. El encabezado de IPv6 es ms eficiente que el de IPv4: tiene menos campos y se elimina la suma de verificacin.

Tiene como ventaja que se puede utilizar de extremo a extremo pero, por contra, la informacin de las cabeceras, como la direccin IP de origen y destino, es visible. Modo Tnel: una plataforma, o pasarela, encapsula el paquete original en otro paquete. Con ello se cifra y/o autentica el paquete original completo, pero se necesita de una plataforma que realice el tnel.

3.2 Organismos promotores de IPv6

Hoy en da los ISP estn trabajando bsicamente en la primera etapa de un despliegue IPv6 que consiste en la preparacin del Backbone de sus redes. Luego vendr una etapa en la que prepararn sus equipos en la "ltima milla" para finalmente cambiar de los equipos instalados para el usuario final a pesar de que los ms actuales ya tienen soporte para IPv6. El trabajo logstico de esto ltimo es considerable, por lo que no se puede hacer de un da para otro. Se est preparando a tcnicos de las empresas proveedoras de servicios porque ellos sern los que tendrn que realizar los cambios en las empresas, y estas empresas son las que ofertarn en un mediano plazo servicios IPv6 al usuario final. Dentro del mbito nacional, el gobierno a travs del Ministerio de Telecomunicaciones y de la Sociedad de la Informacin inici una serie de acciones tendientes a que el Ecuador no se quede rezagado y sea parte de esta nueva era de Internet, que se convierte, prcticamente, en una obligacin a nivel mundial. Es as, que el MINTEL impulsa la adopcin y masificacin de las nuevas tecnologas de la Informacin y Comunicacin en el pas, con lo que se busca llegar a todos los sectores de la sociedad, a fin que los ciudadanos accedan y generen informacin y conocimiento, mediante el uso efectivo de las TIC, integrados activamente al proceso de transformacin econmica y social. Por ello, el Ministerio de Telecomunicaciones trabaja activamente en la ejecucin de acciones y el diseo de polticas y mecanismos tcnicos para una coexistencia ordenada y adecuada del protocolo IPv4 con el protocolo IPv6 con el fin de permitir que todos los ecuatorianos podamos seguir aprovechando las ventajas de esta red de redes (Internet).

Adems, IPsec tiene dos modos o protocolos de transferencia, que a su vez pueden funcionar en modo tnel o transporte: AH (Authentication Header): proporciona autenticacin, integridad y un servicio de anti-repeticin opcional. ESP (Encapsulating Security Payload): adems de las ventajas anteriores proporciona confidencialidad.

En la prctica el uso de IPsec es escaso debido, sobre todo, a la falta de un mecanismo generalizado y global de intercambio de claves. Por esta razn, el uso de IPsec en IPv6 es por el momento similar al de IPv4, para conexiones pre-configuradas como, por ejemplo, las utilizadas en las VPN.

3 IMPLEMENTACIN DE IPV6 EN EL ECUADOR

3.1 Principales dificultades para la implementacin de IPv6
Resistencia (cultural) al cambio en las organizaciones, no siempre son comprendidas las inversiones. Falta de incentivos (econmicos) para realizar la transicin. Falta de preparacin en profesionales y tcnicos que no tuvieron formacin de IPv6 en su vida acadmica. Costos de actualizacin de hardware y software, soporte, ingeniera y renovacin de hardware que no soportar IPv6.

Entre las principales acciones que se ejecutaron para el proceso de coexistencia se citan: La reunin constitutiva de la fuerza de trabajo (Task Force) IPv6 - Ecuador que involucra al sector pblico, privado, acadmico y la sociedad en general. La Implementacin del portal http://ipv6tf.ec/ en el que se intercambia informacin tcnica, vinculada con las mejores prcticas, consejos tcnicos, entre otros, sobre la implementacin de IPv6 en Ecuador. Se invita a todos los ecuatorianos a suscribirse y a participar activamente en la construccin de esta nueva era de Internet. Estudio tcnico sobre despliegue, consideraciones, desarrollo e implementacin de la Coexistencia IPv4-IPv6 y posterior transicin, con el objetivo de determinar el grado de adopcin y madurez de IPv6 en el Ecuador. Publicacin e implementacin de polticas pblicas: en el 2011 y 2012 se emitieron lneas de poltica pblica por parte de MINTEL relacionadas con equipamiento, trfico y despliegue de IPv6 en sector pblico y privado. Mediante Acuerdo Ministerial 0072012, se establecieron las siguientes lneas: Que las Instituciones del Sector Pblico implementen, en sus sitios web y plataformas de servicios electrnicos, el soporte y compatibilidad con el protocolo IPv6 de manera coexistente con el protocolo IPv4. La incorporacin y correcto funcionamiento del protocolo IPv6 en

nombres de dominio bajo el cdigo de pas y que los Proveedores de Servicio de Internet, ISPs, y portadores nacionales admitan, en sus redes, plataformas y sistemas, el trfico de IPv6 en coexistencia con IPv4 y que establezcan sus planes de direccionamiento IPv6. Dadas las acciones ejecutadas y al ser este un proceso tecnolgico que involucra a todos los actores de la sociedad, es necesario seguir ejecutando nuevas acciones que sean parte de una sinergia impulsora para que este proceso sea realmente exitoso. Es por ello que el estado anuncia las siguientes acciones presentes y futuras: Bajo el esquema de dar ejemplo, el Ministerio de Telecomunicaciones y de la Sociedad de la Informacin implement el IPv6 en su sitio Web y plataformas de servicio, con el fin de incentivar al resto de organismos e instituciones pblicas y privadas para que implementen el nuevo protocolo. Las Entidades del Sector Pblico tendrn un ao, a partir del 5 de junio de 2012, para implementar, de manera obligatoria, el protocolo IPv6 en coexistencia con el IPv4 en sus sitios Web y plataformas de servicio. Las empresas pblicas de telecomunicaciones tendrn 45 das, a partir del 5 de junio de 2012, para ejecutar las acciones necesarias que permitan el curso normal de trfico IPv6 coexistente con IPv4 en sus redes.

4 CONSIDERACIONES SEGURIDAD EN IPv6

DE

Por el momento, el nmero de problemas de

seguridad y ataques sobre IPv6 es pequeo debido a que no est desplegado 4

an a gran escala. Pero, se espera que la tendencia cambie a medida que los operadores y proveedores de contenidos lo implementen en sus redes y servicios. Como con toda adopcin de una nueva tecnologa, las organizaciones necesitan de tiempo y recursos a la hora de adquirir el conocimiento necesario para implantar y administrar con seguridad el protocolo IPv6.

tneles si no se encuentran dentro de los protocolos de IPSec, tal como existen para IPv4, que realizan el filtrado del trfico de acuerdo a reglas y polticas de seguridad diferenciadas para el trfico IPv6. Es necesario que los ISPs nacionales ofrezcan conectividad con soporte IPv6, no slo por tneles, sino de modo nativo, y no esperar a que este tipo de servicios sean solicitados por sus clientes, pues la migracin a IPv6 es algo inevitable e impostergable. A los Ingenieros en Sistemas y Expertos en TI, lo que incluye al autor de este documento, se recomienda actualizar sus conocimientos y realizar investigaciones exhaustivas para que el protocolo IPv6 sea de total dominio como lo es en la actualidad IPv4.

5 CONCLUSIONES
Aprovechando la gran cantidad del nmero de direcciones IP disponibles en IPv6 aparecern cada vez ms servicios dentro y fuera de nuestro pas por lo que es necesario comenzar a obtener conocimiento y experiencia sobre la implantacin y la administracin en cuanto a seguridades de este protocolo as como conocer los mecanismos de interoperabilidad con IPv4, haciendo una transicin gradual ya que adems de solventar la escasez de direcciones IP, el protocolo IPv6 ha sido creado con medidas de seguridad y eficiencia, como la implantacin de IPsec y la estructura de sus cabeceras. Como se mencion anteriormente, la instauracin de programas por parte del gobierno, han establecido un tiempo mximo entre uno y dos aos para la actualizacin de las redes gubernamentales, con el fin de que stos soporten tanto IPv4 como IPv6. Sin embargo, dichos programas slo pueden ser implementados con la colaboracin de todos los ISPs que operan en el Ecuador, ya que stos son el canal de informacin e imprescindibles para la intercomunicacin a nivel nacional.

7 BIBLIOGRAFIA
[1] http://es.scribd.com/doc/99732423/Asegur ando-Una-Red-Con-IPv6 [2] http://www.ute.edu.ec/posgrados/eidos5.pd f [3] http://ecuadoruniversitario.com/ciencia-ytecnologia/ecuador-lidera-implementacionde-protocolo-ipv6/ [4] http://sysadmin.wibidei.com/wpcontent/uploads/2011/12/PI_IPV6.pdf [5] http://www.machute.ec/presentaciones/ipv 6sf/eslibre/ipv6-sl-loxalibre-jhonalexander.pdf [6] http://www.dspace.espol.edu.ec/bitstream/ 123456789/8042/9/Articulo%20Cicyt_Eval uaci%C3%B3n%20de%20la%20tendencia %20tecnol%C3%B3gica%20actual.pdf [7] http://es.scribd.com/doc/2926337/ElProtocolo-IPv6-y-sus-extensiones-deseguridad-IPSec [8] http://dspace.ups.edu.ec/bitstream/123456 789/5079/1/UPS-CT002685.pdf [9] http://ipv6tf.ec/index.php?option=com_cont ent&view=article&id=95:declaracion-deservidores-en-ipv6-para-dominiosec&catid=39:regular&Itemid=1

6 RECOMENDACIONES
Todas las redes privadas y pblicas deben disponer de dispositivos de seguridad y herramientas de gestin de red que sean capaces de analizar y, en caso de que sea necesario, bloquear el flujo de datos IPv6 y los