Redes multiservicio Proteccin de datos Las redes multiservicio tratarn enormes volmenes de datos corporativos y servicios crticos con

accesos always on desde cualquier sitio. La seguridad es tambin un factor clave: el trfico debe ser autenticado, autorizado y protegido de extremo a extremo. IPv6 incorpora diferentes caractersticas de seguridad. Gracias a sus flexibles extensiones de cabecera, IPv6 puede asegurar los paquetes que se estn generando en un momento dado desde el host indicado en la direccin fuente. Esto protege de la falsificacin de direcciones fuente, una de las formas ms comunes de intrusin. Las cabeceras de encriptacin permiten la encriptacin interoperativa de la carga til (payload) de los paquetes IPv6. Las cabeceras de seguridad se pueden utilizar para aadir una nueva capa de seguridad a nivel de red, y puede ser usado directamente entre hosts. Always on La prxima generacin de servicios IP han de ofrecer los contenidos que deseen los usuarios cundo y dnde quieran. En las redes IP actuales, las direcciones IP se asignan dinmicamente a los usuarios cuando se conectan. Pero para estar always on, los dispositivos de los usuarios deben tener una direccin IP asignada antes de que la informacin sea enviada o recibida; cada dispositivo debe tener su propia direccin IP asignada permanentemente. Otra ventaja de IPv6 es la flexibilidad. El nuevo protocolo tiene un estricto sistema jerrquico de direcciones, con pequeas tablas de routing, que aporta a los diseadores de troncales IP una gran eficiencia y escalabilidad. Protocolos de seguridad en IPV6 IPsec (abreviatura de Internet Protocol security) Es un conjunto de protocolos cuya funcin es asegurar las comunicaciones sobre el Protocolo de Internet (IP) autenticando y/o cifrando cada paquete IP en un flujo de datos. IPsec tambin incluye protocolos para el establecimiento de claves de cifrado. Los protocolos de IPsec actan en la capa de red, la capa 3 del modelo OSI. Otros protocolos de seguridad para Internet de uso extendido, como SSL, TLS y SSH operan de la capa de transporte (capa 4 del modelo OSI) hacia arriba. Esto hace que IPsec sea ms flexible, ya que puede ser utilizado para proteger protocolos de la capa 4, incluyendo TCP y UDP, los protocolos de capa de transporte ms usados. Una ventaja importante de IPsec frente a SSL y otros mtodos que operan en capas superiores, es que para que una aplicacin pueda usar IPsec no hay que hacer ningn cambio, mientras que para usar SSL y otros protocolos de niveles superiores, las aplicaciones tienen que modificar su cdigo. Modos de funcionamiento Modo transporte

En modo transporte, slo la carga til (los datos que se transfieren) del paquete IP es cifrada y/o autenticada. El enrutamiento permanece intacto, ya que no se modifica ni se cifra la cabecera IP; sin embargo, cuando se utiliza la cabecera de autenticacin (AH), las direcciones IP no pueden ser traducidas, ya que eso invalidara el hash. Las capas de transporte y aplicacin estn siempre aseguradas por un hash, de forma que no pueden ser modificadas de ninguna manera (por ejemplo traduciendo los nmeros de puerto TCP y UDP). El modo transporte se utiliza para comunicaciones ordenador a ordenador. Una forma de encapsular mensajes IPsec para atravesar NAT ha sido definido por RFCs que describen el mecanismo de NAT-T El propsito de este modo es establecer una comunicacin segura punto a punto, entre dos hosts y sobre un canal inseguro. Este ejemplo ilustra esto:

Modo tunel En el modo tnel, todo el paquete IP (datos ms cabeceras del mensaje) es cifrado y/o autenticado. Debe ser entonces encapsulado en un nuevo paquete IP para que funcione el enrutamiento. El modo tnel se utiliza para comunicaciones red a red (tneles seguros entre routers, p.e. para VPNs) o comunicaciones ordenador a red u ordenador a ordenador sobre Internet. El propsito de este modo es establecer una comunicacin segura entre dos redes remotas sobre un canal inseguro. Este ejemplo ilustra esto:

Protocolo Encapsulated Security Payload (ESP) El protocolo Encapsulated Security Payload (ESP) forma parte de la arquitectura de seguridad del protocolo de Internet (IPSec). ESP proporciona una comprobacin de integridad, autenticacin y cifrado para los datagramas del protocolo de Internet (IP). ESP le permite seleccionar qu servicio utilizar. El componente de red privada virtual (VPN) de IBM Firewall para AS/400 utiliza los tres servicios de ESP para proteger el trfico de la VPN. Esto asegura que un intruso no puede falsificar paquetes con el fin de montar ataques criptoanalticos. No puede aplicar el ESP a paquetes de IP fragmentados. Sin embargo, tras aplicar ESP a un paquete de IP, los direccionadores intermedios pueden fragmentar el paquete para su entrega. Si el sistema de destino recibe un paquete fragmentado, el sistema de destino vuelve a

ensamblar el paquete antes de aplicarle el proceso de ESP. Si solicita proceso de ESP para un paquete de IP que parece ser un fragmento, se descarta el paquete. Estas medidas evitan el ataque de fragmento solapado. Este ataque aprovecha el algoritmo de conjunto del fragmento para crear paquetes falsos y hacerles atravesar el cortafuego. NAT IPV6 Los mecanismos de transicin a IPv6 son las tecnologas que facilitan y facilitarn la transicin de Internet de su infraestructura IPv4 al sistema de direccionamiento de nueva generacin IPv6. Concretamente, hay mtodos que permitirn a hosts conectados nicamente a IPv4 IPv6 acceder a recursos slo disponibles utilizando el otro protocolo. La Internet Engineering Task Force (IETF) gestiona a los grupos de trabajo y discusiones hacia los Internet Drafts y procesos Request for Comments para desarrollar estos mtodos. Algunos mecanismos bsicos de transicin a IPv6 estn ya definidos en la RFC 4213. GDOI Dominio Grupo de Interpretacin o GDOI es un protocolo criptogrfico para el grupo de administracin de claves. El protocolo de GDOI se ejecuta entre un miembro del grupo y un "grupo de controlador / servidor de claves" (controlador) y establece una asociacin de seguridad entre dos o ms miembros del grupo. GDOI "interpreta" IKE o ISAKMP para el dominio de seguridad del grupo, adems de las asociaciones de seguridad por pares. GDOI utiliza una asociacin de seguridad IKE v1 Fase 1 para la autenticacin de un miembro de GDOI a un controlador GDOI. El IKE / GDOI Fase 1 del protocolo criptogrfico intercambio protege un nuevo tipo de intercambio de fase 2 en la que el miembro solicita ("tira") del estado del grupo desde el controlador. La "clave de grupo" es el estado ms importante de un miembro de GDOI. La tecla del grupo encripta las claves que los datos de la aplicacin descifrar. Por lo tanto, la clave de grupo tambin se llama una "clave de cifrado de clave" en GDOI. Tecla de cifrado de un grupo se utiliza para la "Asociacin de Seguridad Rekey". Una vez que el "Rekey-SA" se establece, el controlador GDOI puede enviar ("push") cambios solicitados a la asociacin de seguridad de grupo a los miembros ms multicast, broadcast o unicast canales. Esta es la razn por GDOI se llama un "sistema de gestin de claves multicast", como se usa y dispone de mensajes multicast para grupos muy grandes. Estos mensajes de multidifusin son mensajes no solicitados, por lo que se les llama mensajes "push", que son mensajes no solicitados enviados por el control de los miembros; solicitudes explcitas de un miembro a un controlador se llaman mensajes de "atraccin" en GDOI. Por lo tanto actualizaciones de clave de grupo GDOI son empujados y pueden llegar a cualquier nmero de miembros del grupo con una nica transmisin eficiente desde el controlador.