<!DOCTYPE html PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN">
<html>
<head>
  <meta content="text/html;charset=ISO-8859-1" http-equiv="Content-Type">
</head>
<body bgcolor="#ffffff" text="#000000">
Hola, contesto entre l&iacute;neas.<br>
<br>
jesus escribi&oacute;:
<blockquote
 cite="mid:1bb0be640906162143n225ba421w15872ff40571542c@mail.gmail.com"
 type="cite">
  <div>Estimados tengan buen d&iacute;a,</div>
  <div>haber si alguien puede aportarme con el tema de Ipsec. Les
comento brevemente:</div>
  <div>estuve realizando pruebas con 2 routers Cisco probando con
direcciones Ipv6 ULA (unique local), todo bien con las pruebas, las
dudas que tengo es conrespecto a implementar un ambiente seguro, es
decir habilitar Ipsec en la conexi&oacute;n de estos dos equipos routers,
seg&uacute;n tengo entendido mis dos routers hacen de Gateway de seguridad:</div>
  <div>&nbsp;</div>
  <div>LAN1 --|---------{Switch}-------- ( Router1 )------------(
Router2 )---------{Switch2}------------LAN2</div>
  <div>&nbsp;</div>
  <div>Es decir segun Ipsec se implementan en modo tunel de router a
router y entre nodos (de cada lan) en modo transporte, hasta aqui en
teoria todo ok, el problema es que si Ipsec es mandatorio en Ipv6, la
habilitaci&oacute;n de Ipsec,</div>
</blockquote>
Bueno, el mundo de los RFC es algo bastante oscuro a veces, y como
implementador no pueden obligarte a hacer producto alguno con
determinado cumplimiento de est&aacute;ndares o no. Sos libre de hacer lo que
quieras. Digamos que la situaci&oacute;n entre IPv6 e IPv4 respecto a IPsec es
la misma.<br>
<br>
Estoy seguro que este comentario va a levantar polvareda (no me imagino
el por qu&eacute;...) pero lo voy a tratar de fundamentar para evitar caer en
una discusi&oacute;n fundamentalista. Por m&aacute;s que el IPv6 Forum "obligue"
(&iexcl;qu&eacute; me expliquen como!) la implementaci&oacute;n de IPsec, el programa de
certificaci&oacute;n oficial del IPv6 Forum, el IPv6 Ready Logo, emite sus
logos sin incluir verificaci&oacute;n alguna de IPsec. Existen tests suites
para IKE, IPsec, etc, pero los logos Silver (Phase I) y Gold (Phase II)
no verifican IPsec. <br>
En otras palabras, los logos que pueden tener puestos cualquiera de los
equipos certificados actualmente no significan que hayan sido testeados
respecto a ning&uacute;n aspecto particular de los protocolos utilizados por
IPsec.<br>
Los productos que se dicen "IPv6 Ready" no fueron testeados por IPsec.<br>
<br>
Con este fundamento digo que el IPv6 Forum no es consistente, ni fuerza
la implementaci&oacute;n de IPsec.<br>
He tenido el gusto de participar en eventos de testing en el que hemos
certificado sistemas operativos, impresoras, routers, c&aacute;maras y otros
dispositivos, y no se prueba IPsec. Los tests de aspectos de seguridad
son otros, pero no son parte de la certificaci&oacute;n m&aacute;s visible.<br>
<br>
Quiz&aacute;s en alg&uacute;n momento tendremos una Phase III....<br>
<blockquote
 cite="mid:1bb0be640906162143n225ba421w15872ff40571542c@mail.gmail.com"
 type="cite">
  <div>...&nbsp;varia en cada plataforma o existe un estandar para ello?.</div>
</blockquote>
Cada equipo de ingenier&iacute;a de un fabricante determina los mejores
comandos a su criterio.... es dif&iacute;cil que distintos equipos converjan a
lo mismo.....<br>
<blockquote
 cite="mid:1bb0be640906162143n225ba421w15872ff40571542c@mail.gmail.com"
 type="cite">
  <div>... suponiendo que mi red es Ipv6 pura (nada de direcciones
IPv4), es posible habilitar IPsec y asegurar el trafico de IPv6.?</div>
</blockquote>
Si.<br>
<blockquote
 cite="mid:1bb0be640906162143n225ba421w15872ff40571542c@mail.gmail.com"
 type="cite">
  <div>... si establesco un tunel para llevar trafico ipv6 por una
infraestructura Ipv4, entonces hacer el tunel no significa que ya este
asegurado, correcto?, entonces si habilito Ipsec, ser&iacute;a para Ipv4 o
para Ipv6, perdon pero aqui se me hizo una confusi&oacute;n.</div>
</blockquote>
Hay diferentes cosas a considerar aqu&iacute;.<br>
Una de ellas es sobre que protocolo llev&aacute;s el tr&aacute;fico del tunel. Puede
ser sobre IPv4 o IPv6 indistintamente.<br>
<br>
Por otra parte, el concepto de "asegurar" hay que tenerlo en cuenta.
Sobre cualquier protocolo que armes un tunel, deb&eacute;s determinar un
algoritmo de encriptaci&oacute;n y otro de autenticaci&oacute;n. Los algorimos de
encriptaci&oacute;n standard son 3DES-CBC, AES-CBC, AES-CTR y NULL y los de
autenticaci&oacute;n son HMAC-SHA1-96, AES-XCBX-MAC-96 y NULL. Si establec&eacute;s
un tunel que utilice un algoritmo de encriptaci&oacute;n NULL implica que el
payload no viaja encriptado y es un tunel que se puede utilizar para
muchos fines diferentes a los de proteger su contenido de
eavesdropping... bueno, tambi&eacute;n es "asegurar" contar con una firma
HMAC-SHA1-96 por m&aacute;s que el contenido sea visible.<br>
<br>
Deber&iacute;as tener bien definidos los par&aacute;metros de seguridad que est&aacute;s
buscando antes de buscar determinada medida de seguridad.<br>
<blockquote
 cite="mid:1bb0be640906162143n225ba421w15872ff40571542c@mail.gmail.com"
 type="cite">
  <div>... por ultimo quize hacer pruebas habilitando IPSEC entre los
dos routers para luego poder analizarla con el Wireshark pero no
encuentro documentaci&oacute;n sobre Ipsec en IOS de Cisco, alguien me da
algunas referencias?</div>
</blockquote>
Probablemente con:<br>
<br>
<a class="moz-txt-link-freetext" href="http://www.google.com.uy/search?q=cisco+ipsec+configuring&ie=utf-8&oe=utf-8&aq=t&rls=org.mozilla:es-ES:official&client=firefox-a">http://www.google.com.uy/search?q=cisco+ipsec+configuring&amp;ie=utf-8&amp;oe=utf-8&amp;aq=t&amp;rls=org.mozilla:es-ES:official&amp;client=firefox-a</a><br>
<br>
tengas suficiente para comenzar.<br>
<br>
saludos <br>
<br>
ariel<br>
<blockquote
 cite="mid:1bb0be640906162143n225ba421w15872ff40571542c@mail.gmail.com"
 type="cite">
  <div>&nbsp;</div>
  <div>muchas gracias de antemano.</div>
  <div>&nbsp;</div>
  <div>&nbsp;</div>
  <div>saludos cordiales</div>
  <div>&nbsp;</div>
  <div>&nbsp;</div>
  <div>Ronald</div>
  <div>&nbsp;</div>
  <pre wrap="">
<hr size="4" width="90%">
_______________________________________________
LACTF mailing list
<a class="moz-txt-link-abbreviated" href="mailto:LACTF@lacnic.net">LACTF@lacnic.net</a>
<a class="moz-txt-link-freetext" href="https://mail.lacnic.net/mailman/listinfo/lactf">https://mail.lacnic.net/mailman/listinfo/lactf</a>
  </pre>
</blockquote>
</body>
</html>