<!DOCTYPE html PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN">
<html>
<head>
  <meta content="text/html;charset=ISO-8859-1" http-equiv="Content-Type">
</head>
<body bgcolor="#ffffff" text="#000000">
Hola, contesto entre líneas.<br>
<br>
jesus escribió:
<blockquote
 cite="mid:1bb0be640906162143n225ba421w15872ff40571542c@mail.gmail.com"
 type="cite">
  <div>Estimados tengan buen día,</div>
  <div>haber si alguien puede aportarme con el tema de Ipsec. Les
comento brevemente:</div>
  <div>estuve realizando pruebas con 2 routers Cisco probando con
direcciones Ipv6 ULA (unique local), todo bien con las pruebas, las
dudas que tengo es conrespecto a implementar un ambiente seguro, es
decir habilitar Ipsec en la conexión de estos dos equipos routers,
según tengo entendido mis dos routers hacen de Gateway de seguridad:</div>
  <div> </div>
  <div>LAN1 --|---------{Switch}-------- ( Router1 )------------(
Router2 )---------{Switch2}------------LAN2</div>
  <div> </div>
  <div>Es decir segun Ipsec se implementan en modo tunel de router a
router y entre nodos (de cada lan) en modo transporte, hasta aqui en
teoria todo ok, el problema es que si Ipsec es mandatorio en Ipv6, la
habilitación de Ipsec,</div>
</blockquote>
Bueno, el mundo de los RFC es algo bastante oscuro a veces, y como
implementador no pueden obligarte a hacer producto alguno con
determinado cumplimiento de estándares o no. Sos libre de hacer lo que
quieras. Digamos que la situación entre IPv6 e IPv4 respecto a IPsec es
la misma.<br>
<br>
Estoy seguro que este comentario va a levantar polvareda (no me imagino
el por qué...) pero lo voy a tratar de fundamentar para evitar caer en
una discusión fundamentalista. Por más que el IPv6 Forum "obligue"
(¡qué me expliquen como!) la implementación de IPsec, el programa de
certificación oficial del IPv6 Forum, el IPv6 Ready Logo, emite sus
logos sin incluir verificación alguna de IPsec. Existen tests suites
para IKE, IPsec, etc, pero los logos Silver (Phase I) y Gold (Phase II)
no verifican IPsec. <br>
En otras palabras, los logos que pueden tener puestos cualquiera de los
equipos certificados actualmente no significan que hayan sido testeados
respecto a ningún aspecto particular de los protocolos utilizados por
IPsec.<br>
Los productos que se dicen "IPv6 Ready" no fueron testeados por IPsec.<br>
<br>
Con este fundamento digo que el IPv6 Forum no es consistente, ni fuerza
la implementación de IPsec.<br>
He tenido el gusto de participar en eventos de testing en el que hemos
certificado sistemas operativos, impresoras, routers, cámaras y otros
dispositivos, y no se prueba IPsec. Los tests de aspectos de seguridad
son otros, pero no son parte de la certificación más visible.<br>
<br>
Quizás en algún momento tendremos una Phase III....<br>
<blockquote
 cite="mid:1bb0be640906162143n225ba421w15872ff40571542c@mail.gmail.com"
 type="cite">
  <div>... varia en cada plataforma o existe un estandar para ello?.</div>
</blockquote>
Cada equipo de ingeniería de un fabricante determina los mejores
comandos a su criterio.... es difícil que distintos equipos converjan a
lo mismo.....<br>
<blockquote
 cite="mid:1bb0be640906162143n225ba421w15872ff40571542c@mail.gmail.com"
 type="cite">
  <div>... suponiendo que mi red es Ipv6 pura (nada de direcciones
IPv4), es posible habilitar IPsec y asegurar el trafico de IPv6.?</div>
</blockquote>
Si.<br>
<blockquote
 cite="mid:1bb0be640906162143n225ba421w15872ff40571542c@mail.gmail.com"
 type="cite">
  <div>... si establesco un tunel para llevar trafico ipv6 por una
infraestructura Ipv4, entonces hacer el tunel no significa que ya este
asegurado, correcto?, entonces si habilito Ipsec, sería para Ipv4 o
para Ipv6, perdon pero aqui se me hizo una confusión.</div>
</blockquote>
Hay diferentes cosas a considerar aquí.<br>
Una de ellas es sobre que protocolo llevás el tráfico del tunel. Puede
ser sobre IPv4 o IPv6 indistintamente.<br>
<br>
Por otra parte, el concepto de "asegurar" hay que tenerlo en cuenta.
Sobre cualquier protocolo que armes un tunel, debés determinar un
algoritmo de encriptación y otro de autenticación. Los algorimos de
encriptación standard son 3DES-CBC, AES-CBC, AES-CTR y NULL y los de
autenticación son HMAC-SHA1-96, AES-XCBX-MAC-96 y NULL. Si establecés
un tunel que utilice un algoritmo de encriptación NULL implica que el
payload no viaja encriptado y es un tunel que se puede utilizar para
muchos fines diferentes a los de proteger su contenido de
eavesdropping... bueno, también es "asegurar" contar con una firma
HMAC-SHA1-96 por más que el contenido sea visible.<br>
<br>
Deberías tener bien definidos los parámetros de seguridad que estás
buscando antes de buscar determinada medida de seguridad.<br>
<blockquote
 cite="mid:1bb0be640906162143n225ba421w15872ff40571542c@mail.gmail.com"
 type="cite">
  <div>... por ultimo quize hacer pruebas habilitando IPSEC entre los
dos routers para luego poder analizarla con el Wireshark pero no
encuentro documentación sobre Ipsec en IOS de Cisco, alguien me da
algunas referencias?</div>
</blockquote>
Probablemente con:<br>
<br>
<a class="moz-txt-link-freetext" href="http://www.google.com.uy/search?q=cisco+ipsec+configuring&ie=utf-8&oe=utf-8&aq=t&rls=org.mozilla:es-ES:official&client=firefox-a">http://www.google.com.uy/search?q=cisco+ipsec+configuring&ie=utf-8&oe=utf-8&aq=t&rls=org.mozilla:es-ES:official&client=firefox-a</a><br>
<br>
tengas suficiente para comenzar.<br>
<br>
saludos <br>
<br>
ariel<br>
<blockquote
 cite="mid:1bb0be640906162143n225ba421w15872ff40571542c@mail.gmail.com"
 type="cite">
  <div> </div>
  <div>muchas gracias de antemano.</div>
  <div> </div>
  <div> </div>
  <div>saludos cordiales</div>
  <div> </div>
  <div> </div>
  <div>Ronald</div>
  <div> </div>
  <pre wrap="">
<hr size="4" width="90%">
_______________________________________________
LACTF mailing list
<a class="moz-txt-link-abbreviated" href="mailto:LACTF@lacnic.net">LACTF@lacnic.net</a>
<a class="moz-txt-link-freetext" href="https://mail.lacnic.net/mailman/listinfo/lactf">https://mail.lacnic.net/mailman/listinfo/lactf</a>
  </pre>
</blockquote>
</body>
</html>