Beruflich Dokumente
Kultur Dokumente
Bareo Gutirrez Ral; Navarro Nez William; Crdenas Urrea Sonia; Sarmiento Osorio Hugo;
Duarte Acosta Nixon; Germn Gonzalo Vargas Snchez.
Resumen Abstract
a a da los sistemas de transmisin a travs de ay to day transmission systems through various
diferentes redes internas o externas son ms internal and external networks are unsafe
D inseguras, debido a la facilidad de analizar el
trfico por parte de diversos atacantes y a las
D due to the ease of analyzing traffic by several
attackers and IPv4 vulnerabilities; Therefore
vulnerabilidades del protocolo IPv4; Por ello corporate services such as FTP, DHCP and
servicios corporativos como FTP, DHCP y SSH deben buscar SSH should seek migration and implementation on the IPv6
la migracin e implementacin sobre el protocolo IPV6, sin protocol, regardless of the type or owner free operating system
importar el tipo de sistema operativo libre o propietario donde which operates interconnectivity solution today; This article
opere la solucin de interconectividad en la actualidad; el evaluates the configuration by testing these services running
presente artculo evala mediante pruebas de configuracin on IPv6, some safety criteria are revised and specified in detail
de estos servicios funcionando sobre IPV6, se revisan algunos best configuration option and other suggestions to mitigate
criterios de seguridad y se especifica de manera detallada la potential attacks or problems in the process of authentication,
mejor opcin de configuracin y otras sugerencias para mitigar integrity and confidentiality Local or remote users through
posibles ataques o problemas en el proceso de autenticacin, various networks with reliable results and safe implementation;
integridad y confidencialidad de usuarios locales o remotos a Thus concluding that these protocols properly configured for
travs de diversas redes con resultados de implementacin IPv6 ensure a higher level of own native security regardless of
confiables y seguros; Concluyendo as, que estos protocolos the medium on which data travel; Added to this protocol is
correctamente configurados sobre IPV6 garantizan un mayor also suitable to be implemented as a security mechanism for
nivel de seguridad propio y nativo sin importar el medio sobre the infrastructure of small, medium and large enterprises as
el cual viajen los datos; sumado a esto tambin el protocolo es it ensures integrity and data protection. This article seeks to
apto para ser implementado como mecanismo de seguridad encourage the various companies that provide technology and
de infraestructura en pequeas, medianas y grandes empresas, information management solutions to migration, installation
garantizando la proteccin de los datos. Este artculo busca and configuration of these services on the IPv6 protocol.
incentivar a las diferentes compaas que proveen soluciones
tecnolgicas y de administracin de la informacin a la migra- Keywords: Dhcp; Ftp; Ssh; Ipv6; Protocol; Ipsec; Security..
cin, instalacin y configuracin de estos servicios sobre el
protocolo IPV6.
Introduction
Uno de los mejores avances que ha tenido el mundo ciones IP nicas; En la actualidad muchos servicios como
ha sido internet, como herramienta de comunicacin a DHCP [5], FTP [6] y SSH [7] requieren funcionar con
nivel mundial, su funcionamiento se implementa sobre el nuevo estndar y que puedan ser ejecutados en este
un protocolo conocido como IP, protocolo de internet, protocolo; razn vlida para migrar los servicios y dems
con el cual se le asigna una direccin virtual a cada protocolos que se basaban en IPv4 a IPv6.
equipo para que este pueda acceder a la red, pero en
la actualidad su escases es evidente quedando pocas Uno de los primeros servicios que debe migrar es DHCP,
por distribuir en IPv4, adems de su alta tasa de vulne- (Dinamic Host Configuration Protocol) [8] [9] protocolo
rabilidad y gran demanda de direcciones necesarias para dinmico de configuracin de host, el cual se encarga
cubrir todos y cada uno de los dispositivos que se quieren de brindar direcciones IP a los diferentes equipos conec-
interconectar , por ello es necesario estandarizar y tados a la red de manera dinmica necesarios para que
utilizar la nueva versin del protocolo IPv6 [1], que invo- un sistema pueda comunicarse efectivamente, El obje-
lucra un pool de direcciones mucho ms amplio dadas tivo principal es simplificar la administracin de la red
sus mejores circunstancias de seguridad; razn a ello es [10]. El servicio DHCP para IPv6, est definido en el RFC
necesario que las empresas empiecen a implementar sus 3315. Trabaja sobre UDP y utiliza la arquitectura Cliente
servicios usando tecnologa basada en arquitectura con Servidor, adems utiliza multicast para los mensajes [11]
direccionamiento en IPv6 [2] [3]. [12].
La instalacin de cada uno de los servicios se efectu bajo con Windows 7 como clientes. Para el servicio DHCPV6 se
un escenario controlado en laboratorio, una vez configu- configur el active Directory y el DNS. Se cre el mbito
rado la mquina virtual con los servicios implementados para IPv6 el cual se defini a partir del prefijo 2001:db8:1
bajo el sistema operativo Linux y Windows ( Ver tabla 1). ver figura 3, tambin se solicitaron direcciones de reserva
o direcciones excluidas y otras opciones como el tiempo
Tabla 1. Equipo y software utilizado de concesin de una direccin asignada y su tiempo de
expiracin.
Sistema Operativo Windows Server
Servidor 2008- 2012 R2 Figura 3. Especificacin del prefijo de inicio de direc-
Linux Deban y Ubuntu ciones IPv6
Sistema Operativo
Windows 7 con FileZilla
cliente
3.10.3
Herramienta de
Virtual Box
virtualizacin
Herramienta de
WireShark 1.12.5
captura de trfico
PC1 Lenovo G40 70
PC2 Toshiba ultrabook S400u
Simulador Cisco Packet Tracert 6.2 Adems se hizo la conexin de red para todas las
mquinas y se realiz la verificacin de asignacin de
La figura 2 muestra el escenario sobre el cual se hicieron direcciones de ipv4 y de ipv6 dinmicas y locales en cada
las respectivas pruebas de implementacin y anlisis de una. Ver figura 4.
cada uno de los servicios corriendo bajo IPV6. Teniendo
en cuenta el pool de direcciones asignadas bajo DHCPV6 Figura 4. Verificacin IPv4 e Ipv6 en el cliente
como mbito de pruebas.
Para los dems protocolos FTP y SSH se utiliz un esce- Para la configuracin e implementacin del servicio SSH
nario muy similar. bajo IPV6 en Windows Server 2008 y 2012 R2 as como en
Linux Ubuntu y Deban se deben tener algunas conside-
Metodologa raciones previas a la conexin; se deben verificar que las
reglas de entrada y salida TCP del Firewall de los servi-
El procedimiento fue el siguiente, se utiliz Virtual Box dores Windows estn activas, adems crear una regla de
para crear la mquina virtual y se instal el sistema opera- entrada y de salida del protocolo SSH a travs del puerto
tivo Windows Server 2008 y server 2012 R2, adems Linux 22, realizar una configuracin esttica de las respectivas
deban y Ubuntu server, asi como dos mquinas fsicas direcciones IPv6 para efectuar correctamente la captura
Resultados
La implementacin y configuracin de los servicios FTP,
DHCP y FTP bajo el protocolo IPV6 junto a los parmetros
de seguridad en cuanto a autenticacin, confidencialidad
e integridad en cada uno de los sistemas operativos anali-
zados se puede revisar en la tabla 2.
Para la configuracin del servicio FTP sobre IPV6 es Tabla2. Revisin de la seguridad en los servicios ipv6.
necesario agregar primero el rol de IIS (Internet Infor-
Server Win- Server Win- Server Linux
mation Service) y activar el servicio FTP, como segunda dows 2018 dows 2012 R2 Debian
Server Ubuntu
instancia se debe crear un sitio al cual se asigna una
Servicios DHCP FTP SSH DHCP FTP SSH DHCP FTP SSH DHCP FTP SSH
direccin IP publica para que sea accesible por medio de
internet. Adems se crean carpetas personalizadas para soporta
IPV6
Si Si Si Si Si Si Si Si Si Si Si Si
cada usuario, en donde se almacenan todos y cada uno Parme-
de sus archivos individuales. A continuacin, se agrega la tros de
configu-
Me- Me- Me-
direccin IPv6 [2001:db8::104] incluyendo los caracteres racin Baja Baja Baja Baja Baja Baja Alta Alta Alta
dia dia dia
(nivel de
de parntesis cuadrados y se especifica el puerto 21 ver dificul-
Figura 7. tda)
Server Win- Server Win- Server Linux Figura 10. Escenario para SSH bajo IPV6
Server Ubuntu
dows 2018 dows 2012 R2 Debian
Soporta
Ipsec
Si Si Si Si Si Si Si Si Si Si Si Si
VPN Si Si Si Si Si Si Si Si Si Si Si Si
Autentica-
cin clave RSA/ RSA/ RSA/ RSA/ RSA/ RSA/
compar- RSA/ RSA/ RSA/ RSA/ RSA/ RSA/
tida y
DSA/ DSA/ DSA/ DSA/ DSA/ DSA/
DSA DSA DSA DSA DSA DSA
certifica- PSK PSK PSK PSK PSK PSK
do digital
Confiden-
cialidad
entre 56 y
DES DES 3DES 3DES 3DES 3DES
3DES/ 3DES/ 3DES/ 3DES/ 3DES/ 3DES/
AES AES AES AES AES AES
Se utiliz otro tipo de direccionamiento en el server
128 bits 2001:1:b:1::3 y un cliente 2001:1:b:1::2 (ver figura 11).
MD5/ MD5/ MD5/ MD5/ MD5/ MD5/
Integridad MD5 MD5 MD5 MD5 MD5 MD5
SHA SHA SHA SHA SHA SHA Figura 11. Acceso remoto con SSHv2 bajo IPV6
Es de destacar que se inicia el intercambio de llaves sin Se adiciona un certificado de seguridad SSL, para
contacto previo de Diffie-Hellman [28] [32], para realizar fortalecer l envi cifrado y oculto a atacantes, esto es
el intercambio durante la sesin. Con un paquete de 84 obligatorio; tambin se activa la opcin de usar cifrado
bytes con cifrado AES-256 [29] [33], sin compresin, (ver de 128 bits [31]para estas conexiones. Una vez se activa
figura 13); adicionalmente es el servidor quien propor- la sesin FTP bajo ipv6 no permite la lectura del certifi-
ciona la respuesta al intercambio de llaves, usando la cado de seguridad se evidencia que la informacin viaja
versin de SSH v1 pero rpidamente antes del primer cifrada y totalmente ilegible (ver figura 16).
intercambio de llaves se realiza el cambio a SSH v2.
Figura 16. Certificado SSL entre el cliente y server IPV6.
Figura 13. Intercambio de claves con SSH para ipv6
El mayor problema que se vislumbra es la falta de personal server 2008 o 2012 R2 utilizados durante esta investiga-
idneo para su implementacin. Se debe resaltar su cin; ya que su implementacin bajo IPV6 no es un tema
importancia y valor hacia redes en produccin para tener exclusivamente de redes, tambin tiene impacto a nivel
un mayor desempeo en las aplicaciones que ya utilizan de servidores, aplicaciones y dispositivos de seguridad.
el estndar IPV6.
Otro problema es el poco contenido bajo IPv6, provee- Conclusiones
dores como (Google, Facebook, Microsoft, Cisco) ya
lo soportan en sus redes. Se debe sensibilizar los ISP, Es evidente el gran reto durante el diseo e implemen-
gobiernos, empresas, universidades hacia su migracin tacin de servicios bajo el protocolo IPv6 para las reas
y masificacin; no es solo un tema de moda es parte del de tecnologa en sectores productivos y acadmicos, as
todo de Internet. Segn LACNIC organismo encargado como para los usuarios de Internet. La migracin hacia
de la asignacin de direcciones IPV6 para amrica latina este estndar permite minimizar riesgos de seguridad, de
se refleja el amplio rango de asignaciones IPV6 para la su antecesor IPV4. Este artculo revisa los mecanismos
regin (ver figura 18). de configuracin de los protocolos DHCP, FTP y SSH,
adems de su seguridad en los principales sistemas
Figura 18. Rango de ipv6 en amrica latina operativos actuales que tienen activado IPv6 por defecto,
pero no las caractersticas de IPSEC que le aportan confi-
Total de asignacines de bloques IPv6 dencialidad, autenticacin e integridad tanto a los datos
400
Alocaciones como a los usuarios de forma transparente, con la posi-
300
bilidad de agregar las tradicionales formas de proteger la
# Alocaciones
Existen diferentes estudios realizados en la implementa- El principal aporte de este trabajo de investigacin es
cin de servicios empresariales sobre el protocolo IPv6, el hecho de proveer una solucin real y factible para
se destacan el anlisis de la Universidad Carlos III de la implementacin de los servicios DHCP, SSH, y FTP
Madrid sobre todo en el campo de la seguridad, conclu- en IPv6; los resultados obtenidos durante las pruebas
yendo que pronto existirn ataques exclusivos para IPv6 demuestran que la solucin desarrollada es sencilla y
y resaltan la importancia en el uso de IPSEC que en la funcional e incentiva el uso de estos servicios en un
actualidad no es muy utilizado [31]. La Universidad de entorno local. Adems presenta una contribucin para
Oriente en Venezuela, intent implementar dentro de su la comunidad de administradores de redes como una
red el protocolo IPV6, dando como conclusin que este alternativa sencilla y segura en la asignacin de direc-
tipo de red presenta limitaciones de hardware y software ciones, para el acceso remoto bajo este nuevo estndar
las cuales no fueron solucionadas por la propia univer- siendo altamente escalable, as como para el intercambio
sidad, afectando la implementacin de dicho protocolo de archivos teniendo como premisa que el proceso ser
en su red [32]. un poco ms lento.
Los servicios analizados como DHCPv6 [33], son una Finalmente la implementacin y revisin de la seguridad
herramienta importante en la administracin de redes. de los servicios analizados en entornos integrados bajo
SSH y FTP de igual manera y para poder utilizarlos se IPV6 ser un proceso continuo en el que diariamente
necesita conocimientos de sistemas operativos libres aparecen nuevas vulnerabilidades y riesgos de seguridad.
como Ubuntu o Deban y propietarios como Windows Por ello es importante mantener una buena formacin
en los protocolos utilizados, porque hacia el futuro exis- [10] Carrera Buenao, M. A. (2010). Anlisis de las
tirn nuevos riesgos que irn apareciendo a medida que Tcnicas de Convivencia entre IPV4 e IPV6 y su
se incremente la utilizacin del protocolo IPv6; anlisis Implementacin en los Servicios: Web, Mail, FTP,
y estudios como los aqu planteados permiten medidas Proxy, DNS y DHCP de la Intranet de la ESPOCH
de proteccin a las nuevas y verstiles infraestructuras de
telecomunicaciones. [11] R. Droms, J. Bound, B. Volz, T. Lemon, C. Perkins,
M. Carney. (2003). Dynamic Host Configuration
Protocol for IPv6 (DHCPv6), RFC 3315
Referencias [12] Chown, T., Venaas, S., & Strauf, C. (2006). Dynamic
[1] Bareo, G, R. (2013). Elaboracin de un estado de Host Configuration Protocol (DHCP): IPv4 and IPv6
arte sobre el protocolo IPV6; y su implementacin Dual-Stack Issues.
sobre protocolos de enrutamiento dinmico como
RIPNG, EIGRP y OSPF basado sobre la plataforma [13] Valladares, R. A. R., Brioso, G. A. P., & Aragn, L. A. G.
de equipos cisco. (2010). Metodologa de Implementacin de Ipv6 en
La Red de La Universidad de Oriente. Ingeniera Elec-
[2] Lee, W. J., Park, S. S., Lim, C., Kim, J., & Jeong, trnica, Automtica y Comunicaciones, 29(1), 36-43
B. S. (2014). Server authentication for blocking
unapproved WOW access. In Big Data and Smart [14] Ellison, C., Frantz, B., Lampson, B., Rivest, R.,
Computing (BIGCOMP), 2014 International Confe- Thomas, B., & Ylonen, T. (1999). SPKI certificate
rence on (pp. 155-159). IEEE theory (No. RFC 2693).
[3] Chown, T. (2005). IPv6 campus transition [15] Aguirre, L. P., Gonzlez, F., & Meja, D. (2013).
experiences. In Applications and the Internet Aplicaciones de MPLS, Transicin de IPv4 a IPv6 y
Workshops, 2005. Saint Workshops 2005. The 2005 Mejores Prcticas de Seguridad para el ISP Telconet.
Symposium on (pp. 46-49). IEEE. Revista Politcnica, 32
[4] Beijnum, I. (2011). An FTP Application Layer [16] Abasolo Aranda, S. E., & Carrera Paz y Mio, M. A.
Gateway (ALG) for IPv6-to-IPv4 Translation (2014). Artculo Cientfico-Evaluacin del modelo de
referencia de Internet of things (IoT), mediante la
[5] Becerra Cobos, J. C., Simbaqueva Buitrago, J. R., & implantacin de arquitecturas basadas en plataformas
Valenzuela Suarez, A. F. (2013). Diseo e Implemen- comerciales, open hardware y conectividad IPv6
tacin de redes IPv6 en MIPYMES: caso laboratorio
de informtica. [17] Warfield, M. H. (2003). Security implications of
IPv6. Internet Security Systems, 4(1), 2-5
[6] Sanguankotchakorn, T., & Somrobru, M. (2005).
Performance evaluation of IPv6/IPv4 deploy- [18] Ylonen, T., & Lonvick, C. (2006). The secure shell
ment over dedicated data links. In Information, (SSH) connection protocol. RFC 4254, RFC 4251.
Communications and Signal Processing, 2005 Fifth
[19] Motta Barrera, O. E., & Pelez Negro, R. (2014). De
International Conference on (pp. 244-248). IEEE
la planeacin de TIC a la implementacin de IPv6
[7] Molina ngel, F., & Castro Domnguez, J. F. (2013). un escenario deseado para desarrollar el Internet
Implementacin de servicios IPv6 en la Universidad de las cosas en la Universidad de Ibagu Colombia
Autnoma de Guerrero, Mxico. Revista Vnculos, 10(2).
[20] Santamara Alamar, A. P. (2014). Anlisis, diseo e
[8] Stewart, B. (2007). CCNP BSCI Official Exam Certifi- implementacin de una red prototipo utilizando
cation Guide (Exam Certification Guide). Cisco Press el protocolo IPv6 y QoS para la empresa Santanet
(Doctoral dissertation).
[9] Kalusivalingam, V. A. (2004). Network Information
Service (NIS) Configuration Options for Dynamic [21] Flores Calahorrano, F. R. (2014). Anlisis y emula-
Host Configuration Protocol for IPv6 (DHCPv6). cin de Multihoming y de la publicacin al internet
de servicios web, transferencia de archivos y correo [28] Kent, Stephen, and R. Atkinson. (1998) RFC
a travs de una red IPV6 (Doctoral dissertation). 2406,. Encapsulating Security Protocol.
[22] Warfield, M. H. (2003). Security implications of [29] Atkinson, R. (1995). RFC 1827: IP encapsulating
IPv6. Internet Security Systems, 4(1), 2-5. security payload (ESP), Obsoleted by RFC2406
[23] Baker, F., Li, X., Bao, C., & Yin, K. (2011). Framework [KA98c].
for IPv4/IPv6 Translation. RFC 6144.
[30] Kent, Stephen, and Randall Atkinson. (1998). RFC
[24] Martnez, J. P. (2009). IPv6 para Todos: Gua de uso 2402: IP authentication header.
y aplicacin para diversos entornos. Jordi Palet
Martnez [31] Garca Martn, C. (2012). Anlisis de seguridad en
redes IPv6.
[25] Jian, G. U. O. (2008). Model of FTP server based on
Spring framework in IPv6 and its implementation [32] Valladares, R. A. R., Brioso, G. A. P., & Aragn, L. A.
[J]. Computer Engineering and Design, 19, 019. G. (2010). Metodologa de Implementacin de Ipv6
[26] Allman, M., Ostermann, S., & Metz, C. (1998). RFC en La Red de La Universidad de Oriente. Ingeniera
2428, FTP Extensions for IPv6 and NATs. Network Electrnica, Automtica y Comunicaciones, 29(1),
Working Group. 36-43.
[27] Zheng, W., Liu, S., Liu, Z., & Fu, Q. (2009). Security [33] Mrugalski, T., & Wu, P. (2012). Dynamic Host Confi-
transmission of FTP data based on IPsec. In 2009 guration Protocol for IPv6 (DHCPv6) Option for
1st IEEE Symposium on Web Society (pp. 205-208). DHCPv4 over IPv6 Endpoint.
Los Autores