IPSec una alternativa para brindar seguridad

IPSec una alternativa para brindar seguridad para Internet 2 en Mxico

Ma. Concepcin Mendoza Daz1, David H. Covarrubias Rosales 2
2

Departamento de Ciencias de la Computacin Departamento de Electrnica y Telecomunicaciones CICESE, Km. 107 Carretera Tijuana-Ensenada. Ensenada, B.C. Mxico http://www.cicese.mx {comedi, dacoro}@cicese.mx

Resumen. Este artculo se ubica en el contexto de protocolos de seguridad, presenta las caractersticas de un proyecto de investigacin orientado a las iniciativas actuales de Seguridad en redes: la aplicacin de seguridad a travs de protocolos cuyo desempeo se encuentre en capas intermedias. Se evala IPSec, el conjunto de protocolos estndares de seguridad cuyo objetivo es brindar servicios de seguridad a IP y a protocolos de capas superiores. Se presentan los resultados de experimentacin con IPv4 en el ambiente de Internet 2, as como las iniciativas de trabajo a futuro con IPv6.

1 Introduccin
Los rpidos y continuos avances en las tecnologas de comunicaciones y en el uso cada da mayor de Internet, han impulsado la necesidad de contar con mecanismos eficientes para aplicar seguridad en las redes. El conjunto de protocolos TCP/IP mayormente utilizado en Internet, no fue diseado considerando aspectos de seguridad, como consecuencia ha dado lugar a una creativa variedad de ataques desde niveles inofensivos, hasta niveles de destruccin total [1]. Las tendencias en cuanto a seguridad, han sido sobre el desarrollo de aplicaciones que resuelvan la problemtica particular de un servicio a nivel de usuario, de tal forma, que hoy en da los administradores de redes, para aplicar su poltica de seguridad, pueden escoger de una variada gama de tecnologas comerciales y no comerciales, para resolver problemas de vulnerabilidades en sus sistemas, dependiendo del sistema operativo que se utilice, del hardware, de los servicios, aplicaciones, marcas, etc. Todo esto, hace que la seleccin sea una decisin complicada, y que no haya una solucin tcnica general para dar cumplimiento a la poltica de seguridad de su red. Qu escoger ? Qu es mejor ? Es mejor algo caro, o algo de dominio pblico ? Adems, la mayora de las herramientas a nivel de usuario, se vuelven obsoletas rpidamente, por lo que se adquiere una dependencia permanente de mantenimiento. La nueva tendencia en seguridad, es crear protocolos que funcionen a menor nivel, de tal forma que se brinde seguridad tanto a IP como a protocolos de capas

IPSec una alternativa para brindar seguridad

superiores de forma transparente para el usuario. El Grupo de Seguridad: IP Security Protocol (IPSEC) desarroll mecanismos para proteger al protocolo IP y por consecuencia, a protocolos de capas superiores. IPSec, un conjunto de protocolos de seguridad de la capa de red para proveer servicios de encriptacin, con flexibilidad para soportar combinaciones de autenticacin, integridad, control de acceso y confidencialidad. Internet 2 a nivel mundial surge como una necesidad de replantear una red que supere las limitaciones de Internet y ofrezca alternativas de desarrollo e investigacin, por ello la investigacin sobre los elementos apropiados para esta red es un esfuerzo actual en pleno proceso de discusin. En Mxico, el proyecto naci en 1999 con la creacin de la Corporacin Universitaria para el Desarrollo de Internet [2]. La experimentacin de estos protocolos es ampliamente deseable en un ambiente como el de Internet 2, donde se puede evaluar su funcionamiento tanto en IPv4 como en IPv6, en bsqueda de opciones de seguridad para las redes de la nueva generacin. Este artculo tiene como objetivo la evaluacin de IPSec en el ambiente de Internet 2 en Mxico, estableciendo para ello un testbed o arreglo experimental mediante el cual se generan una serie de resultados que sern analizados en este trabajo.

2 Conceptos bsicos de VPN

Una Red Privada Virtual VPN (Virtual Private Network) es una tecnologa en la que se establecen canales seguros de comunicacin, que ofrecen proteccin a los datos transmitidos mediante el uso de algoritmos de encriptacin y/o autenticacin criptogrfica. Una VPN consiste de computadoras y enlaces de comunicacin, pudiendo incluir enrutadores, switches y gateways de seguridad. VPN es una tecnologa ampliamente adoptada en ambientes de transacciones financieras, y/o redes que requieren confidencialidad permanente, tanto en redes pr ivadas como entre Proveedores de Servicio de Internet y sus clientes. En el mercado existe una gran variedad de soluciones VPN, la figura 1 muestra un ejemplo de interconexin de oficinas sucursales de un corporativo, interconectadas via VPN usando la Internet como dorsal de su red. Cada oficina tiene un gateway de seguridad que provee una interfaz con Internet y la red interna del corporativo. Los gateways de seguridad se configuran para definir las polticas de control de acceso para cada oficina. Los servicios de seguridad de IPSec son ampliamente utilizados para la implementacin de VPNs [3]. Las VPNs tienen cierto nicho de aplicacin, sobre todo en ambientes que requieren canales seguros de forma permanente (transacciones de dinero, por ejemplo), sin embargo, Internet 2 como red acadmica, debe tener alternativas y flexi-

IPSec una alternativa para brindar seguridad

bilidad para aplicar diversos niveles de seguridad que puedan adaptarse a las distintas necesidades.

Fig 1. VPN interconectando las oficinas A, B, y C, utilizando a la Internet como backbone de su red.

3 El conjunto de protocolos IPSec

IPSec fue diseado para proveer seguridad interoperable de alta calidad basada en criptografa, tanto para IPv4 como para IPv6. Los servicios de seguridad ofrecidos incluyen: integridad orientada a no conexin, autenticacin del origen de los datos, control de acceso y confidencialidad (encriptamiento), proteccin en contra de "replays". Estos servicios son proveidos en la capa de red, ofreciendo proteccin para IP y/o protocolos de capas superiores[4]. IPSec est compuesto por dos protocolos de seguridad de trfico, el Authentication Header (AH) definido de forma explcita en el RFC 2402 [5] y el Encapsulating Security Payload (ESP) definido en el RFC 2406 [6], y por protocolos y procedimientos para el manejo de llaves encriptadas. AH prueba el origen de los datos en los paquetes recibidos, la integridad de los datos, y la proteccin contrarespuesta (replay). ESP provee lo mismo que AH adicionando confidencialidad de datos y de flujo de trfico limitado. La figura 2 muestra la arquitectura de IPSec, el esquema de interoperabilidad se maneja a travs de Asociaciones de Seguridad (SA), almacenadas en una base de datos. Los parmetros que se negocian entre los gateways de seguridad para establecer los canales seguros se denominan IPSec Domain of Interpretation (DOI), bajo polticas pre-establecidas dentro de un esquema de funcionamiento esttico con valores fijos y previamente establecidos, o bien, en un esquema de funcionamiento dinmico utilizando el Internet Key Exchange (IKE) definido en el RFC 2409, el protocolo utilizado en IPSec para el manejo dinmico de llaves encriptadas. Las primeras versiones de IPSec fueron presentadas en la primera dcada de los noventas, fue definido como un estndar de la IETF (Internet Engineering Task Force) en el RFC 2401 en Noviembre de 1998.

IPSec una alternativa para brindar seguridad

Fig 2. Arquitectura de IPSec

IPSec provee un mecanismo estndar, robusto y con posibilidades de expansin, su funcionamiento es completamente transparente al nivel de aplicaciones [7]. Su arquitectura permite que sea empleado en cualquier contexto, y la manera en que ser implementado puede ser definida segn los requerimientos de seguridad y sistemas, del usuario, de las aplicaciones o bien de las polticas de seguridad de sitios u organizaciones. Est diseado de forma modular, para ser idependiente de algoritmos, para identificar cierto trfico y aplicar el nivel de proteccin deseado (Figura 3).

Fig 3. Tneles de comunicacin protegidos por IPSec entre distintas redes.

La implementacin de IPSec opera en hosts o bien en ambientes de gateways de seguridad (enrutadores, firewalls). Puede realizarse modificando la pila de IP para soportar IPSec de forma nativa (figura 4.a), o bien, utilizando un dispositivo de encriptacin externo dedicado "Bump in the Wire" (BITW) (figura 4.b), o cuando esto no es posible, puede implementarse como interceptor que extrae e inserta paquetes en la pila de IP "B ump in the Stack" (BITS) (figura 4.c), que resulta ser la opcin en la implementacin a nivel sistema operativo, actualmente prcticamente todos los sistemas operativos, propietarios y pblicos ofrecen ya una versin con IPSec implementado, al menos para IPv4.

IPSec una alternativa para brindar seguridad

Fig 4. Tipos de implementaciones de IPSec.

IPSec es considerado el mejor protocolo de seguridad en la actualidad, representa un gran esfuerzo del grupo de trabajo de la IETF, a pesar de recibir fuertes crticas como resultado de una evaluacin criptogrfica donde se presentan una serie de recomendaciones y observaciones [8], y estar en proceso de anlisis sus propiedades de seguridad [9]. Julio y Agosto del presente ao, han sido meses de fuerte discusin en el seno del grupo de trabajo de IPSec de la IETF [10], de hecho se recomend la suspencin temporal de desarrollos basados en IKE, el protocolo utilizado por IPSec para manejo de llaves. Se han establecido acciones inmediatas de correccin a IKE, se considera demasiado complejo para facilitar implementaciones seguras y robustas, por lo que se est gestando el desarrollo de "son of IKE" que ha generado una polmica muy interesante sobre los destinos de IPSec. IPSec es considerado una excelente opcin para implementar Redes Privadas Virtuales (VPN, Virtual Private Networks) sobre todo en implementaciones de forma nativa, de hecho es denominado por algunos como el "protocolo VPN". Actualmente hay proyectos para explotar otras caractersticas de IPSec y crear aplicaciones que faciliten y expandan su utilizacin hasta usuarios finales, con caractersticas deseables como: facilidad de uso, sencillez, al alcance de todos. Son este tipo de proyectos, los que estn marcando el estado del arte en el rea de Seguridad en Redes.

4 Estrategia de experimentacin
Como resultado de la investigacin de proyectos similares, y en base a los recursos disponibles para el desarrollo de este proyecto de investigacin, lo ms accesible es

IPSec una alternativa para brindar seguridad

una implementacin del tipo BITS, en Sistemas Operativos. OpenBSD y Linux representan las opciones ms fuertes de desarrollo abierto. Por razones tcnicas, se eligi el proyecto Linux FreeS/WAN (Free Security Wide Area Network). Este proyecto tiene como principal objetivo hacer la Internet segura y privada, apoyar la difusin y uso de IPSec produciendo tecnologa bajo esquemas de libre distribucin para Linux y no sujeto a restricciones de exportacin de Estados Unidos u otra nacin, que son muy delicadas en cuestiones de seguridad que involucran encriptacin [11]. Se considera una excelente alternativa para ser utilizada como plataforma base de desarrollo. El cdigo fuente y documentacin del proyecto se distribuye bajo licencia GPL (GNU General Public License) [12]. Es un proyecto de colaboracin abierta e internacional, donde se aceptan contribuciones de programacin de cualquier parte del mundo, a excepcin de Estados Unidos, debido a las restricciones impuestas por este pas. El proyecto naci en 1996 y a la fecha existen varias versiones funcionales. El equipo de desarrollo ha ido fortaleciendo el sistema, de tal manera que es una buena plataforma de arranque para experimentar y evaluar la potencialidad de IPSec, su aplicacin en VPN e IPv6, as como implementar servicios ms all de tneles predefinidos de proteccin, servicios que le permitan al usuario la libertad de decidir los niveles de seguridad deseados y la infraestructura de proteccin sea dinmica y adaptable a las necesidades. FreeS/WAN soporta varias aplicaciones, entre las ms importantes: a) VPN, permite la comunicacin segura entre mltiples sitios sobre una red insegura (Internet) mediante la encriptacin de toda la comunicacin entre los sitios. b) Road Warriors, permite la comunicacin segura para sitios con direcciones IP de asignacin dinmica. c) Encriptacin Oportuna, permite la habilidad para configurar FreeS/Wan gateways de tal manera que entre ellos negocien el establecimiento de encriptacin, de forma dinmica. Esta aplicacin es una idea original de FreeS/WAN, est en proceso de implementacin. El proyecto FreeS/WAN est apegado a los estndares, tiene estrecha relacin con el grupo de trabajo de IPSec de la IETF para la validacin de la implementacin y nuevas iniciativas como la de encriptacin oportuna. 4.1 Encriptacin Oportuna (OE) El concepto de encriptacin oportuna surge de la iniciativa por implementar un esquema, en el cual no sea necesario configurar manualmente cada uno de los canales de seguridad deseados, sino que sean establecidos de forma conveniente y automtica por los gateways de seguridad. Es una extensin a IPSec que est en proceso

IPSec una alternativa para brindar seguridad

de desarrollo y experimentacin, en busca de demostrar que funciona, es posible su implementacin resultando una alternativa viable. La seguridad implica hasta ahora complejidad, instalar software especfico, retardos, etc. El objetivo de encriptacin oportuna es crear seguridad dentro de la produccin de Internet, cuando alguien requiera una comunicacin segura, pueda obtenerla, tan fcilmente como puede hacer cualquier otra cosa en la red. Es decir: a) Entre dos sistemas cualquiera puede establecer comunicacin segura entre s, sin una conexin prearreglada y configurada. b) las conexiones sean seguras por omisin, y solo puedan manejarse sin encriptacin en caso de que: 1. algun gateway de seguridad no est configurado para establecer conexiones seguras y la poltica permita conexiones sin seguridad, 2. una fraccin significativa del trfico de Internet haya sido encriptado. OE permite la comunicacin segura (encriptada y autenticada) via IPSec, de forma transparente mediante la intercepcin de paquetes en los gateways de seguridad sin necesidad de prearreglar de forma explcita la conexin-a-conexin entre hosts. Utiliza registros en el DNS (Domain Name System) (autenticados con DNSSEC) para proveer la informacin necesaria para que la localizacin y autenticacin de gateways y, restricciones de negociacin suficientes para garantizar xito [13]. Si se logra implementar OE, si es ampliamente desarrollada y utilizada, quiz sea prcticamente imposible monitorear la red y podr entonces ser privada y segura. El uso de OE ofrece el efecto del fax. Como cada persona lo instala para su uso personal, se vuelve deseable para sus vecinos instalar uno tambin, porque hay ms de una persona con la que se puede utilizar. El software de forma automtica detecta un nuevo SG y no requiere que el administrador de la red realice configuracin alguna [14]. 4.2 Escenarios de experimentacin Para la evaluacin de IPSec en el ambiente de Internet 2, se instrumentaron dos escenarios de experimentacin, uno con objeto de experimentar y evaluar FreeS/Wan, la implementacin de IPSec sobre IPv4 y un segundo escenario para instalar y experimentar con IPv6. En el primer escenario (Figura 5) se cre una VPN, los gateways de seguridad son Linux Slackware 7.1/2.2.16, fue necesario recompilar el kernel para instalar los mdulos de IPSec y las propiedades del kernel necesarias para su funcionamiento. Se crearon dos subredes seguras, con clientes Windows95 y RedHat6.0, el tunel fue configurado utilizando la Red-CICESE como red pblica insegura, con los indicios de lo que ser encriptacin oportuna. En el segundo escenario (Figura 6) con IPv6, se establecieron tneles de conexin con dos instituciones acadmicas en Mxico a travs de la infraestructura de Internet 2,

IPSec una alternativa para brindar seguridad

mediante los cuales se planea validar la interoperabilidad de implementaciones de IPSec sobre diversos sistemas operativos y sobre IPv6.

Fig 5. Escenario de pruebas de la VPN en Red-CICESE.

Fig 6. Escenario de pruebas de IPv6.

Los gateways de seguridad (SG) fueron configurados bajo los lineamientos de FreeS/WAN, la figura 7 muestra los parmetros definidos que corresponden al dominio de interpretacin por aplicar, las llaves encriptadas de cada SG, el identificador de conexin (solo en el caso manual), los nmeros IP y mscaras de las interfaces de red y del enrutador ms prximo desde cada SG. En trminos de FreeS/WAN un extremo de la VPN se denomina izquierdo y el otro derecho, ambos SG son configurados de forma similar. Esta implementacin de IPSec consta de tres partes principales: 1. KLIPS (Kernel IPSec), que implementa AH, ESP, y el manejo de paquetes dentro del kernel. 2. PLUTO (IKE), que implementa IKE y realiza las negociaciones de conexin con otros SG. 3. diversos scripts que proveen las interfases entre el administrador y la computadora.

IPSec una alternativa para brindar seguridad # /etc/ipsec.conf - Archivo de configuracin de FreeS/WAN IPsec config setup interfaces="ipsec0=eth0" # Conexion de ejemplo entre pc-comedi y pc -simula4 conn comedi-simula4 # Left SG, subnet detrs de l, next hop a la derecha. leftid=@pc-comedi.cicese.mx leftrsasigkey=0x01038..... left=158.97.15.205 leftsubnet=158.97.92.0/26 leftnexthop=158.97.15.254 # Right SG, subnet detrs de l, next hop a la izquierda. rightid=@pc -simula4.cicese.mx right=158.97.22.68 rightrsasigkey=0x01..... rightsubnet=158.97.24.0/22 rightnexthop=158.97.23.254 Fig 7. Parmetros definidos en un security gateway de FreeS/WAN.

Se gener trfico de extremo a extremo, antes y despus de activar la VPN, se constat utilizando un husmeador en la Red-Cicese, simulando la actividad que pudiera hacer cualquiera en una red insegura como Internet, para apreciar los cambios entre el trfico que normalmente transita sin proteccin, y el trfico encriptado. Se valid la proteccin, se apreci la diferencia entre la informacin visible de los paquetes, sin importar el tipo de servicio de las capas superiores (http, telnet, ping...) como se describe en la figura 8, los paquetes una vez activada la VPN se encuentran encriptados y se aprecia en el encabezado la aplicacin del protocolo No. 50, ESP.
tcpdump: listening on eth0 14:05:49.540509 158.97.24.1 > sunset.cicese.mx: icmp: echo request 4500 0054 764e 0000 3f01 5496 9e61 1801 9e61 5c01 0800 2c86 a616 1700 027d 9e3b d58a 0c00 feed face dead beef feed face... 14:06:00.541451 sunset.cicese.mx > 158.97.24.1: icmp: echo reply 4500 0054 3000 0000 1e01 bbe4 9e61 5c01... 14:06:40.831629 sunset.cicese.mx.1038 > 158.97.24.1.http: S 629373:629373(0) win 8192 <mss 1460> (DF) 4500 002c 8300 4000 1e06 2907 9e61 5c01... a) Trfico entre las subredes de forma insegura.

IPSec una alternativa para brindar seguridad

10

tcpdump: listening on eth0 14:22:25.484919 pc-simula4.cicese.mx > pc -comedi.cicese.mx: ESP(spi=0x00000200,seq=0x22) 4500 0088 d4f6 0000 4032 363b 9e61 1644 9e61 1c0c 0000 0200 0000 0022 d21c 967f 49e6 69d1 d817 6dd5 4795 8c90 31bc 41e7 7f74 3c77 ac19 68d4 1b19 88a9 44ee 6561 749d 3a25 bb75 bc95 b5fd 060f 4dad 4518 1dc6 b) Trfico entre las subredes a travs de la VPN. Fig 8. Captura de paquetes. a) sin activar la VPN, b) con la VPN activada.

En el segundo escenario, se ha probado IPv6 y se est probando IPSec6 sobre Windows 2000, posteriormente se realizarn pruebas con FreeS/WAN y Encriptacin Oportuna. 4.3 Trabajo a futuro Se implementar Encriptacin Oportuna, para evaluar su funcionamiento a travs de una metodologa de pruebas de seguridad, descubrir factores a favor y en contra de su adopcin tanto en un ambiente sobre IPv4, como sobre IPv6, as como bajo las polticas de seguridad de una red acadmica como Internet 2 en Mxico. Se harn recomendaciones sustentadas en los resultados, para el uso e implementacin de IPSec4 e IPSec6, en particular sistemas como Free/SWAN que proveen caractersticas adicionales que buscan obtener el potencial del diseo y concepcin de IPSec.

5 Conclusiones
IPSec es un estndar amplio, quiz demasiado, brinda alternativas muy diversas y no existe otra iniciativa similar. Los protocolos de seguridad utilizados actualmente protegen algun protocolo particular de alto nivel: PGP para correo electrnico, SSH conexin telnet con encriptamiento, SSL para WWW, etc. Con IPSec puede protegerse cualquier trfico transportado sobre IP. FreeS/WAN es una excelente alternativa como plataforma base de desarrollo, es una implementacin de IPSec del tipo BITS, para Linux ambos bajo esquemas de distribucin GPL, lo que permite utilizar y modificar el cdigo de forma libre. Encriptacin oportuna requiere control sobre el DNS, esto podra limitar su aplicacin en ambientes donde se utilicen Proveedores de Internet para el manejo de dominios y direcciones IP, sin embargo, en Internet 2 los miembros son

IPSec una alternativa para brindar seguridad

11

instituciones acadmicas dueas de su espacio de nombres y nmeros, por lo que no implica problemas en un principio. La idea de OE implica negociacin entre gateways de seguridad, que podra implicar sobrecarga no aceptable al establecer una conexin, en Internet 2 por las altas velocidades, y por la topologa controlada quiz provea un ambiente favorable en comparacin a Internet. IPSec no es la solucin a todos los problemas, es una alternativa ms amplia, en plena experimentacin y desarrollo, con amplio potencial para la generacin de soluciones que brinden redes seguras.

Referencias
1. 2. 3. 4. 5. 6. 7. Bellovin S.M. Security Problems in the TCP/IP Protocol Suite. Computer Communications Review, Vol. 19, No. 2, pp. 32-48, April 1989. Corporacin Universitaria para el Desarrollo de Internet. http://www.cudi.edu.mx. 2001. Davis Carlton R. IPSec Securing VPNs. RSA Press. 2001. S. Kent, R. Atkinson. Security Architecture for the Internet Protocol. Network Working Group. Request for Comments: 2401. Category: Standards Track. November 1998. S. Kent, R. Atkinson. IP Authentication Header (AH). Network Working Group. Request for Comments: 2402. Category: Standards Track. November 1998. S. Kent, R. Atkinson. IP Encapsulating Security Payload (ESP). Network Working Group. Request for Comments: 2406. Category: Standards Track. November 1998. Naganand Doraswamy, Dan Harkins. IPSec The New Security Standard for the Internet, Intranets, and Virtual Private Networks. Prentice Hall PTR Internet Infraestructure Series. 1999. Niels Ferguson, Bruce Schneier. A Cryptographic Evaluation of Ipsec. 1999. http://www.counterpane.com/ipsec.pdf. Andrew Drywaniuk. "Work in progress". Security Properties of the IPSec Protocol Suite. Internet Draft. July 9, 2001. Expires February 9, 2002. IETF IPSec Working Group. 2001. http://www.ietf.org/html.charters/ipsec-charter.html Linux FreeS/WAN project. 2001. http://www.freeswan.org http://www.freeswan.org/freeswan_trees/freeswan-1.9/COPYING Spencer Henry, Redelmeier Hugh D. Opportunistic Encryption. 2001. http://www.freeswan.org/freeswan_trees/freeswan-1.91/doc/opportunism.spec M. Richardson, D. Redelmeier, H. Spencer. "Work in progress". A method for doing opportunistic encryption with IKE. Internet Draft. July, 2001. Expires December 30, 2001.

8. 9. 10. 11. 12. 13. 14.