Pilares de la Seguridad de la información en IPV6

seguridad de la información

Compartir esta publicacion

Share on facebook
Share on linkedin
Share on twitter
Share on email

Dado que IPv6 contiene el protocolo, Internet Protocol Security- IPSec, la seguridad se establece de acuerdo a las características esenciales de este mismo, lo que permite que el paquete de IPv6 (de 128 bits) pueda salir a la red de internet completamente cifrado sin que tengan que intervenir procesos como la traslación de direcciones (NAT) o esquemas de encapsulamiento (Túneles) que reducen considerablemente el desempeño de las direcciones IP. Debido al gran número de direcciones IPv6 para atender el despliegue de nuevos servicios en la comunidad de Internet, es necesario aplicar lineamientos de seguridad tal y como se realizan
actualmente con IPv4 para el entorno tanto de las redes de comunicaciones como de las aplicaciones en las entidades, porque a pesar de que las entidades comienzan a generar tráfico en IPv6, los constantes ataques de los hacker no se hacen esperar. Por lo tanto es importante desarrollar lineamientos de seguridad bajo la premisa de los pilares básicos de la seguridad de la información como son la Confidencialidad, la Integridad y la Disponibilidad.

Confidencialidad

La Confidencialidad es la propiedad que impide la divulgación de información a personas o sistemas no autorizados. A grandes rasgos, asegura el acceso a la información únicamente a aquellas personas que cuenten con la debida autorización.
Desde el punto de vista de la estructura del protocolo mismo, el paquete IPSec, maneja dos protocolos de seguridad; de un lado uno relacionado con la Cabecera de Autenticación (AH), encargado de proporcionar autenticidad de los datos, integridad y no repudio y por el otro lado el Encapsulado de Carga Útil (ESP), consistente en proporcionar confidencialidad mediante el cifrado de los datos.

Este último, el encapsulating Security Payload (ESP) de la cabecera de IPv6 puede utilizar un algoritmo de cifrado encargado de proporcionar integridad, autenticidad, y confidencialidad de la información.

Es preciso tener en cuenta que el uso de la Cabecera de Autenticación del paquete datagrama IPv6, genera aumento de latencia de las comunicaciones, esto debido principalmente al cálculo de la información de autenticación por parte del nodo

origen y el cálculo de comparación de la información de autenticación por el nodo destino de cada datagrama IPv6.
Tanto el AH, como el ESP, son instrumentos para el acceso de datos con base en la distribución de flujo de tráfico de paquetes y claves cifradas. Estos métodos permiten trabajar en dos modalidades, a tratar en los siguientes puntos.

Confidencialidad en Modo Transporte

Al generar tráfico, las cabeceras de IP están al descubierto, por lo cual es posible saber con quién se están comunicando los nodos dentro del flujo de información, aunque existe confidencialidad en los datos

Confidencialidad en Modo Túnel

En este modo se cifra la cabecera IP y se crea una nueva (se encapsula), con la dirección del enrutador de tal manera que con este elemento se puede saber a qué red se envía la información, aunque no necesariamente a que usuarios

Integridad

Es la propiedad que busca mantener los datos libres de modificaciones no
autorizadas. A groso modo, la integridad consiste en mantener con exactitud la información tal cual fue generada, sin ser manipulada o alterada por personas o procesos no autorizados.
Desde el punto de vista del paquete IPv6, la integridad apunta a relacionar la Cabecera de Autenticación (AH) y el Encapsulado de Seguridad de Carga Útil (ESP), con la integridad de los datos asegurando los datos al momento de generar tránsito de paquetes a través de la red IPv6.

Complementariamente a lo anterior, dentro de la estructura del paquete IPv6, el AH permite proporcionar integridad y autenticidad de los datos por medio de una función de autenticidad cifrada sobre los datagramas de IPv6 que se hace por medio de una clave de autenticación.
El esquema de funcionamiento para proveer seguridad se establece cuando el nodo origen procesa la información de autenticidad antes de enviar el paquete cifrado de IPV6 por la red y el nodo receptor chequea la información autenticada cuando la recibe; el Campo Límite de Saltos (Hop Limit), contenido en la estructura del paquete IPv6, puede ser omitido en el cálculo de la autenticidad en razón a que este evalúa constantemente los número de saltos de ruteo producidos en la red y no el tiempo de vida de los mismos sin afectar la seguridad de los datos.

Los algoritmos de autenticación utilizados en el campo de Cabecera de
Autenticación podrían producir no repudio (es decir que tanto las claves del nodo origen como del nodo destino se utilizan en el cálculo de la autenticidad), esta característica no es nativa de todos los algoritmos de autenticación que pueden utilizarse en el campo de Cabecera de Autenticación de IPv6.

Disponibilidad

La Disponibilidad es la característica, cualidad o condición de la información de encontrarse a disposición de quienes deben acceder a ella, ya sean personas, procesos o aplicaciones. Groso modo, la disponibilidad es el acceso a la información y a los sistemas por personas autorizadas en el momento que así lo requieran.


La disponibilidad en soluciones bajo IPv6 se puede visualizar en la garantía de ofrecer a los usuarios de las entidades una alta disponibilidad en servicios bajo IPv6, sin embargo se prevé que los servicios de las redes tanto a corto como a mediano plazo se establezcan con la coexistencia de protocolos IPv4 y IPv6, lo cual implica que las organizaciones tendrán que tener configurados los sistemas de enrutamiento para el soporte simultáneo de ambos protocolos a fin de mantener la continuidad del negocio y proteger las inversiones.

Servicios Impactados en Seguridad

Los siguientes son los servicios que impactan en seguridad de las Entidades al momento de iniciar el plan de implementación del nuevo protocolo IPv6:
✓ Directorio Activo
✓ DNS (Domain Name System)
✓ DHCP (Dynamic Host Configuration Protocol)
✓ Servicios Proxy
✓ Dominio de red
✓ Correo electrónico
✓ Mensajería Instantánea
✓ Telefonía IP
✓ Video Conferencia
✓ Servicio Web y Acceso a Internet
✓ Aplicaciones y bases de datos
✓ Equipos de comunicaciones fijos y móviles
✓ Equipos de seguridad (Firewalls, Servidores AAA (Authentication,
Authorization and Accounting), NAC (Network Access Control)
✓ Canal de Comunicación de internet.

Los requerimientos de seguridad son inherentes al protocolo mismo en especial de la capa de enrutamiento IP, donde IPv6 ha realizado un gran labor de seguridad con la estructura del paquete, pero los demás aspectos de seguridad que son del entorno de las redes y servicios de comunicaciones, requieren seguir trabajando con políticas de seguridad informática bien robustas y mejoradas tal y como se definen actualmente para IPv4; del mismo modo la implementación de IPv6 deberá hacerse bajo el establecimiento de una conexión extremo a extremo, en razón al gran número de direcciones disponibles sobre las cuales ya no son requeridos los mecanismo de NAT (Network Access Traslation) que permitían la optimización de direcciones públicas en forma directa para IPv4 y
los mecanismos de encapsulamiento (Túneles) que se manejaban de las
direcciones en IPv4; a este respecto podemos recoger lo afirmado en el
documento de “Adopción de IPv6 en Colombia , Documento de Política” de
Cintel, que dice que “…..debe señalarse que el regreso a la conectividad
extremo-a-extremo también redunda en mejoras a la seguridad de la red, toda vez que la implementación del protocolo IPv6 permite a incorporar el protocolo IPsec (Seguridad IP), y por el tamaño de las redes IPv6 es mucho más difícil encontrar agujeros de seguridad en una subred, por lo que en principio se reducirá el número de intrusiones en la red.

Suscríbete a nuestro Newsletter

Reciba actualizaciones y aprenda de los mejores

Más para explorar

Estamos para ayudarte

Déjanos tus datos, nuestro equipo se pondrá en contacto para brindarte la mejor solución.