[LAC-TF] ipsec

ariel sabiguero yawelak asabigue at fing.edu.uy
Wed Jun 17 09:26:00 BRT 2009 

Hola, contesto entre líneas.

jesus escribió:
> Estimados tengan buen día,
> haber si alguien puede aportarme con el tema de Ipsec. Les comento
> brevemente:
> estuve realizando pruebas con 2 routers Cisco probando con direcciones
> Ipv6 ULA (unique local), todo bien con las pruebas, las dudas que
> tengo es conrespecto a implementar un ambiente seguro, es decir
> habilitar Ipsec en la conexión de estos dos equipos routers, según
> tengo entendido mis dos routers hacen de Gateway de seguridad:
>  
> LAN1 --|---------{Switch}-------- ( Router1 )------------( Router2
> )---------{Switch2}------------LAN2
>  
> Es decir segun Ipsec se implementan en modo tunel de router a router y
> entre nodos (de cada lan) en modo transporte, hasta aqui en teoria
> todo ok, el problema es que si Ipsec es mandatorio en Ipv6, la
> habilitación de Ipsec,
Bueno, el mundo de los RFC es algo bastante oscuro a veces, y como
implementador no pueden obligarte a hacer producto alguno con
determinado cumplimiento de estándares o no. Sos libre de hacer lo que
quieras. Digamos que la situación entre IPv6 e IPv4 respecto a IPsec es
la misma.

Estoy seguro que este comentario va a levantar polvareda (no me imagino
el por qué...) pero lo voy a tratar de fundamentar para evitar caer en
una discusión fundamentalista. Por más que el IPv6 Forum "obligue" (¡qué
me expliquen como!) la implementación de IPsec, el programa de
certificación oficial del IPv6 Forum, el IPv6 Ready Logo, emite sus
logos sin incluir verificación alguna de IPsec. Existen tests suites
para IKE, IPsec, etc, pero los logos Silver (Phase I) y Gold (Phase II)
no verifican IPsec.
En otras palabras, los logos que pueden tener puestos cualquiera de los
equipos certificados actualmente no significan que hayan sido testeados
respecto a ningún aspecto particular de los protocolos utilizados por IPsec.
Los productos que se dicen "IPv6 Ready" no fueron testeados por IPsec.

Con este fundamento digo que el IPv6 Forum no es consistente, ni fuerza
la implementación de IPsec.
He tenido el gusto de participar en eventos de testing en el que hemos
certificado sistemas operativos, impresoras, routers, cámaras y otros
dispositivos, y no se prueba IPsec. Los tests de aspectos de seguridad
son otros, pero no son parte de la certificación más visible.

Quizás en algún momento tendremos una Phase III....
> ... varia en cada plataforma o existe un estandar para ello?.
Cada equipo de ingeniería de un fabricante determina los mejores
comandos a su criterio.... es difícil que distintos equipos converjan a
lo mismo.....
> ... suponiendo que mi red es Ipv6 pura (nada de direcciones IPv4), es
> posible habilitar IPsec y asegurar el trafico de IPv6.?
Si.
> ... si establesco un tunel para llevar trafico ipv6 por una
> infraestructura Ipv4, entonces hacer el tunel no significa que ya este
> asegurado, correcto?, entonces si habilito Ipsec, sería para Ipv4 o
> para Ipv6, perdon pero aqui se me hizo una confusión.
Hay diferentes cosas a considerar aquí.
Una de ellas es sobre que protocolo llevás el tráfico del tunel. Puede
ser sobre IPv4 o IPv6 indistintamente.

Por otra parte, el concepto de "asegurar" hay que tenerlo en cuenta.
Sobre cualquier protocolo que armes un tunel, debés determinar un
algoritmo de encriptación y otro de autenticación. Los algorimos de
encriptación standard son 3DES-CBC, AES-CBC, AES-CTR y NULL y los de
autenticación son HMAC-SHA1-96, AES-XCBX-MAC-96 y NULL. Si establecés un
tunel que utilice un algoritmo de encriptación NULL implica que el
payload no viaja encriptado y es un tunel que se puede utilizar para
muchos fines diferentes a los de proteger su contenido de
eavesdropping... bueno, también es "asegurar" contar con una firma
HMAC-SHA1-96 por más que el contenido sea visible.

Deberías tener bien definidos los parámetros de seguridad que estás
buscando antes de buscar determinada medida de seguridad.
> ... por ultimo quize hacer pruebas habilitando IPSEC entre los dos
> routers para luego poder analizarla con el Wireshark pero no encuentro
> documentación sobre Ipsec en IOS de Cisco, alguien me da algunas
> referencias?
Probablemente con:

http://www.google.com.uy/search?q=cisco+ipsec+configuring&ie=utf-8&oe=utf-8&aq=t&rls=org.mozilla:es-ES:official&client=firefox-a

tengas suficiente para comenzar.

saludos

ariel
>  
> muchas gracias de antemano.
>  
>  
> saludos cordiales
>  
>  
> Ronald
>  
> ------------------------------------------------------------------------
>
> _______________________________________________
> LACTF mailing list
> LACTF at lacnic.net
> https://mail.lacnic.net/mailman/listinfo/lactf
>   
-------------- next part --------------
An HTML attachment was scrubbed...
URL: <https://mail.lacnic.net/pipermail/lactf/attachments/20090617/6720a02f/attachment.html>

More information about the LACTF mailing list