ESTUDIO DE LOS MECANISMOS DE SEGURIDAD ENTRE NODOS

Anuncio
ESTUDIO DE LOS MECANISMOS DE SEGURIDAD ENTRE NODOS MÓVILES
Y EL AGENTE LOCAL EN ENTORNOS IP MÓVIL
CHRISTIAN CAMILO SANMIGUEL AGUDELO
UNIVERSIDAD CATÓLICA DE PEREIRA
FACULTAD DE CIENCIAS BASICAS E INGENIERÍA
PROGRAMA DE INGENIERÍA DE SISTEMAS Y TELECOMUNICACIONES
PEREIRA
2011
ESTUDIO DE LOS MECANISMOS DE SEGURIDAD ENTRE NODOS MÓVILES
Y EL AGENTE LOCAL EN ENTORNOS IP MÓVIL
CRISTIAN CAMILO SANMIGUEL AGUDELO
ASESOR:
MAGÍSTER LUIS ALEJANDRO FLETSCHER B.
UNIVERSIDAD CATÓLICA DE PEREIRA
FACULDAD DE CIENCIAS BAISCAS E INGENIERÍA
PROGRAMA DE INGENIERÍA DE SISTEMAS Y TELECOMUNICACIONES
PEREIRA
2011
DECLARACIÓN DE DERECHOS DE AUTOR
Programa de Ingeniería de sistemas y Telecomunicaciones, Universidad Católica de
Pereira.
Por la presente de deja constancia de ser el autor del trabajo de grado titulado:
ESTUDIO DE LOS MECANISMOS DE SEGURIDAD ENTRE NODOS
MÓVILES Y AGENTE LOCAL EN ENTORNOS IP MÓVIL. Que presenté como
requisito
parcial para
optar por el
título de
Ingeniero de Sistemas
y
Telecomunicaciones. Asesorado por el Magister Luis Alejandro Fletscher Bocanegra.
Dejando constancia la autorización en forma gratuita a la Universidad Católica de
Pereira para utilizar este material en aplicaciones académicas, publicaciones y como
referencia para futuros estudios del tema.
________________________________
Christian Camilo Sanmiguel Agudelo
i
AGRADECIMIENTOS
Quiero comenzar agradeciendo a mi madre Miriam Sanmiguel Agudelo, mis hermanos
Adriana Rodríguez Sanmiguel y Alexander Rodríguez Sanmiguel a mis sobrinos Juan
esteban Rodríguez y miguel ángel rodríguez y Ángela Jaramillo como ejes principales
en el esfuerzo espiritual realizado para que yo saliera adelante en la carrera y en el
progreso de este proyecto de grado.
Agradecimientos al tutor de esta tesis al Magister Luis Alejandro Fletscher B. ya que sin
sus conocimientos, su colaboración y aporte, el desenvolvimiento de este proyecto no
habría sido posible.
Agradezco a mis amigos Alejandro Montoya,
Héctor Fabio Arias que me
entusiasmaron moralmente con la realización de este proyecto de grado.
ii
RESUMEN
Los estándares que se dan a medida que avanza la tecnología involucran cada vez más
la seguridad de los mismos, por el simple requerimiento de conservar los datos y la
confidencialidad.
IP móvil es un estándar creado por el IETF el cual pretende darle una mejor disposición
y utilidad para los usuarios que por necesidad o gusto están continuamente conectados y
en movimiento, pero más allá de prestar un servicio confiable y útil se deben tener
consideraciones importantes como son los mecanismos de seguridad que IP móvil
implementa para que este servicio se preste de la mejor forma.
La implementación del nuevo protocolo llamado IPv6 tendrá un impacto importante
dentro del estudio ya que con esta versión se realizan los estudios para la
implementación de los mecanismos que ayudan a IP móvil en su funcionamiento.
De esta forma, el estudio realizado en el presente proyecto ayudará al mejor
entendimiento de los mecanismos de seguridad como la infraestructura AAA el
protocolo Bootstrapping y el protocolo EAP que se encuentran en estudio
y que
servirán de base para futuras implementaciones dentro del marco del los escenarios que
se involucran en los entornos IP móvil
El impacto que tendrá en Colombia IP móvil, se observa en el constante crecimiento de
los equipos con acceso inalámbrico, lo que obliga a plantear en este trabajo un
documento flexible y confiable para que se puedan observar y comprender los
mecanismos de seguridad y así se logre aumentar el nivel de conocimiento que brinde
confianza al usuario en el momento de prestar un servicio como móvil basado en IP.
Palabras Clave: IP Móvil, IPv4, IPv6, seguridad IP, infraestructura AAA, protocolo
EAP, Proceso Bootstrapping.
iii
ABSTRACT
Standards that appearing as technology advances, increasingly involve the safety of
those just by the simple requirement to maintain the confidentiality of data.
Mobile IP is an standard created by the IETF which is only purpose is to give a better
layout and useful for users that by need or taste are continuously connected and in
motion, but beyond that to provides a reliable and useful it must be very important
considerations such as security mechanisms to implement mobile IP service is provided
in the right way.
Implementation of the new protocol called IPv6 will have a major impact in the study
because with this version are made studies for mechanisms implementation that help
mobile IP function.
Thus, the study in this project will contribute to a better understanding of those security
mechanisms as AAA infrastructure, Bootstrapping Protocol and EAP Protocol which
are under study and as a basis for future deployments within the framework of the
scenarios involved in mobile IP environments
The impact of mobile IP in Colombia will be seen in the continuous growth of wireless
equipment, forcing the necessaty to raise in this paper a flexible and reliable document
to observe and understand the security mechanisms and increase the level of knowledge
to provide confidence for user at the time when providing a service such as IP-based
mobile
Keywords: Mobile IP, IPv4, IPv6, Security IP, Infrastructure AAA, Protocol EAP,
Process Bootstrapping.
iv
GLOSARIO DE TÉRMINOS
AC: Acceso de red (Access Network)
AP: Punto de Acceso (Access Point)
AR: Router de Acceso (Access Router)
Back: reconocimiento de vinculación (Binding Acknowledge)
BU: Actualización de vinculación (Binding Upadate)
CoA: Dirección de Custodia (Care-of-Address)
CN: Nodo Correspondiente (Correspondent Node)
DHCP: Protocolo de Configuración de Host Dinámico (Dynamic Host Configuration
Protocol)
FA: Agente Foráneo (Foreign Agent)
FBACK: Reconocimiento de Vinculo o unión Rápida (Fast Binding Acknowledge)
FBU: Actualización de vinculo o unión Rápida (Fast Binding Update)
HA: Agente local (Home Agent)
HACK: Reconocimiento de Handover o entrega (Handover Acknowledge)
HI: Inicio de Handover o entrega (Handover Initiate)
HN: Red Domestica (home Network)
HM: Dirección local (Home Address)
HMIP: IP móvil Jerárquico (Hierarchical Mobile IP)
HV: Red Visitada (Visited Network)
ICMP: Protocolo de mensajes de control de internet
ICV: Valor de comprobación de integridad
IPV4: IP versión 4
IPV6: IP versión 6
Página 1
L2: Capa 2 (Layer 2)
L3: Capa 3 (Layer 3)
MAP: Punto de anclaje de Movilidad (Mobility Anchor Point)
MIP: Protocolo de Internet Móvil (Mobile Internet Protocol)
MIPV4: IP Móvil versión 4
MIPv6: IP móvil versión 6
NAR: Router de Acceso nuevo (New Access Router)
NAT: Traducción de Dirección de Red (Network Address Translation)
NCoA: Siguiente Dirección de colocalizacion (Next Care-of Address)
NM: Nodo Móvil (Mobile Node)
nFA: Nuevo Agente Foráneo (New Foreign Agent)
SA: Asociaciones de seguridad
SPI: Índice de parámetros de seguridad
De acuerdo con la terminología de IP móvil presentada (Johonson, charles y Arkko 2004, p.
10) en el RFC 3775 Apoyo a la movilidad para IPv6 se entiende por:
Binding: Asociación de una dirección dada por la red de origen del MN y la CoA, que
permanece durante el tiempo de vida de la asociación.
Correspondent Node (CN): Nodo con el que se está comunicando el MN, éste puede ser móvil
o fijo.
Care-of-Address (CoA): Dirección asociada a un MN mientras está visitando una red que no
es la de origen.
Home address: Dirección asignada a un MN (nodo móvil), se usada para comunicarse con el
MN (nodo móvil) aunque éste no se encuentre en su red de origen.
Página 2
Home Agent (HA): Router de la red de origen del MN en la que está registrada la dirección
actual de CoA.
Mobile Node (MN): Nodo que puede cambiar su punto de acceso entre los diferentes puntos
de acceso de diferentes redes, mientras permanece localizado con su home address.
Registration: El proceso durante el que el MN envía un Binding Update a su HA o CN, para
que se realice el binding y así se registre el nodo.
En cuanto a la definición y características de un RFC, (España, 2003, p. 194-195) dice:
RFC (documentos formales).
Las RFC son una colección de documentos formales en el ámbito de la comunidad de
internet. La finalidad genérica de cada RFC viene expresada a través de su estado, cuyo
valor es cualquiera de los siguientes:

Estandarización en curso.

La mejor practica actual.

Histórico.

Experimental.

Informativo.
Además de poseer un título que sintetiza su contenido, a cada RFC se le asigna un
número de serie, mediante el cual se hace referencia a ella. Los números de series se
adjudican
de
manera
correlativa,
a
medida
que
se
van
publicando.
Página 3
DESCRIPCIÓN DEL PROBLEMA
Internet se ha convertido en la forma de comunicarse con el mundo y estar en contacto;
los usuarios del internet crecen cada día más y la nueva tecnología de movilidad IP se
va extendiendo cada vez más.
El estándar IP móvil se diseño por el IETF con el fin de facilitar el movimiento de los
dispositivos tales como PC portátiles, asistentes digitales, celulares con tecnología de
acceso a internet, entre otros y que necesiten tener una conectividad dinámica
(Posibilidad de conectarse desde otro sitio sin problemas).
IP móvil es importante ya que con el crecimiento de los diferentes tipos de redes, se
pueden dar soporte de internet a dispositivos móviles, permitiendo un seguimiento de
estos sin necesidad de cambio de direccionamiento y sin importar el lugar en que se
encuentre el usuario.
Las redes IP móviles tienen la necesidad de tener esquemas de seguridad en el proceso
de interacción entre los nodos móviles y el agente local que se presenta a raíz de la
movilidad del usuario, por consiguiente, se plantean propuestas y esquemas de
seguridad que pretenden que el proceso de movilidad sea seguro para el usuario y para
proveedores del servicio.
Página 4
OBJETIVOS
Objetivo General
Estudiar los mecanismos de seguridad para IP móvil entre nodos móviles (MN) y
agentes locales (HA) y generar un documento que permita entender a profundidad su
funcionamiento
Objetivos Específicos
Estudiar el protocolo IP móvil en su versión 4. MIPv4
Estudiar el protocolo IP móvil en su versión 6. MIPv6
Estudiar el entorno de infraestructura de IP móvil
Estudiar los mecanismos de seguridad de IP móvil
Estudiar los proyectos realizados en Colombia sobre la seguridad de IP móvil
Página 5
CONTENIDO
DECLARACIÓN DE DERECHOS DE AUTOR
i
AGRADECIMIENTOS
ii
RESUMEN
iii
ABSTRACT
iv
GLOSARIO DE TÉRMINOS
1
DESCRIPCIÓN DEL PROBLEMA
4
OBJETIVOS
5
Objetivo General
5
Objetivos Específicos
5
INTRODUCCIÓN
13
1.
14
MARCO CONTEXTUAL
1.1
Antecedentes
14
1.2
Protocolo TCP/IP
15
1.3
Protocolo IP
15
1.3.1
Protocolo IP versión 4 (IPV4)
18
1.3.1.1
Movilidad IPv4
19
1.3.2
Protocolo IP versión 6 (IPV6)
22
1.3.2.1 Movilidad IPv6
2.
23
1.4
Los terminales móviles en el entorno del protocolo IP
25
1.5
Escenarios de implementación IPv6 móvil (MIPv6)
27
MARCO TEORICO
31
2.1
IP móvil
2.1.1
Terminología básica IP móvil
34
2.1.2
Funcionamiento IP móvil
36
2.1.3
Descubrimiento del agente foráneo y obtención de una dirección de
custodia
36
2.1.4
Registro
38
2.1.5
Envió de datagramas por el nodo móvil
39
2.1.6
Otras funciones adicionales de IP móvil
40
2.1.7
Principales limitaciones de IP móvil:
41
2.2
Seguridad en IP (IPsec)
43
2.2.1
Material Clave y Algoritmos ESP y AH
45
2.2.2
Documento de especificación de Algoritmos
46
2.3
Movilidad IPv4
2.3.1
47
Tipo, Longitud y valor de formato de extensión para las Extensiones IP
móvil
3.
31
48
2.3.2
Extensión Formato largo
49
2.3.3
Extensión Formato cortó
50
2.3.4
Descripción de registro
50
2.4
Movilidad IPv6
51
2.5
Proyecto IST ENABLE
54
ESTUDIO DE MECANISMOS DE SEGURIDAD
3.1 Seguridad IP (IPsec)
57
57
3.2
RFC2411 documento de guía para IPsec
58
3.2.1.
Asociación con la seguridad IP (SA)
59
3.2.2
Asociaciones de Seguridad múltiples (SAs)
60
3.2.3
Administración de claves en IPsec
61
3.2.4
Mecanismos de Protección de IPsec
61
3.2.5
Consideraciones de seguridad para AH y ESP
62
3.3
Protocolos ESP y AH
63
3.4.
RFC 2402 Cabecera de autenticación IP (AH)
63
3.4.1.
Cabecera de autenticación, procesamiento y localización.
64
3.4.2
Algoritmos AH
65
3.5
RFC 2406: Carga de seguridad IP encapsulada (ESP)
66
3.5.1
Localización y procesamiento de ESP
67
3.5.2
Algoritmos ESP
68
3.6
Protocolos de seguridad diseñados para MIIPV6 en el Proyecto IST Enable 69
3.7
Esquema General de AAA
71
3.7.1
Entidades AAA
72
3.7.2
Modelos AAA
72
3.7.3
Protocolos AAA.
76
3.7.4
Protocolo RADIUS
77
3.7.5
Protocolo Diameter
79
3.8
Protocolo de Autenticación Extensible EAP
3.8.1
Componentes y mensajes EAP
82
82
3.8.2
3.9
Protocolo principal de transporte en EAP (EAP Lower Layer)
3.9.1
Protocolo IKEv2
84
87
87
3.10 Propuesta de Bootstrapping
89
3.11 Propuesta Bootstrapping basada en EAP EXT
91
3.11.1
4
Intercambios en el protocolo EAP
Intercambio de mensajes en EAP EXT
ESTUDIOS REALIZADOS EN COLOMBIA SEGURIDAD IP MÓVIL
93
96
CONCLUSIONES
97
BILIOGRAFIA
99
APÉNDICES
103
Apéndice A
103
Apéndice B
104
Apéndice C
105
INDICE DE TABLAS
Tabla Nº 1 Términos, acrónimos y uso de IPsec
58
Tabla Nº 2 Protecciones de AH y ESP en IPsec
62
INDICE DE FIGURAS
Figura Nº 1 Entidades IPv4 Móvil
20
Figura Nº 2 Universo de tecnologías de acceso IP móvil
28
Figura Nº 3 Inicio del proceso de IP móvil
32
Figura Nº 4 Esquema General IP móvil
33
Figura Nº 5 Esquema Modular y funcional de IP móvil
36
Figura Nº 6 Difusión de mensajes del servicio de IP móvil
37
Figura Nº 7 Enrutamiento Triangular IP móvil
41
Figura Nº 8 Esquema IPsec
44
Figura Nº 9 Tipo, longitud y valor de formato de extensión para MIPv4
49
Figura Nº 10 Extensión formato largo
49
Figura Nº 11 Extensión de formato corto
50
Figura Nº 12 Modo de Comunicación nodo móvil y nodo correspondiente numero 1 53
Figura Nº 13 Modo de Comunicación nodo móvil y nodo correspondiente numero 2 54
Figura Nº 14 Arquitectura de referencia del proyecto Enable
55
Figura Nº 15 Descripción túnel Iterado
60
Figura Nº 16 Paquete IPv6 antes y después de implementar AH en modo transporte
64
Figura Nº 17 AH en modo túnel
65
Figura Nº 18 Paquete IPv6 antes y después de implementar ESP en modo transporte 67
Figura Nº 19 ESP en modo túnel
68
Figura Nº 20 Casos con el modelo Agent
73
Figura Nº 21 Casos con el modelo Pull
74
Figura Nº 22 casos con el modelo Push
75
Figura Nº 23 Mensajes del protocolo RADIUS
78
Figura Nº 24 Arquitectura del Protocolo Diameter
80
Figura Nº 25 Componentes EAP
83
Figura Nº 26 Modelo de intercambio EAP
85
Figura Nº 27 Intercambio IKEv2 utilizando el método EAP
88
Figura Nº 28 Esquema General de Bootstrapping
90
Figura Nº 29 Flujo EAP EXT con EAP
94
INTRODUCCIÓN
El objetivo de este proyecto de grado es realizar un estudio de los mecanismos de
seguridad utilizados en la relación entre los nodos móviles y el agente local en entornos
IP móvil, siguiendo una metodología pensada para el entendimiento del estudio así como
la exploración de los documentos emanados por entes importantes en el área de internet.
El presente estudio toma gran relevancia, si se tiene en cuenta que se está en un
momento de cambios tecnológicos en cuento a la constitución de redes móviles, los
cuales deben ir de la mano de la confiabilidad, seguridad y calidad con la que se puede
prestar un servicio.
El protocolo IP móvil se consolidó como un instrumento muy importante para la
implementación de sistemas que brinden las facilidades necesarias de movilidad a
equipos y terminales donde el mantenimiento de la conexión y la transparencia de este
proceso se constituyen como requerimientos primordiales por parte del usuario. De esta
manera este proyecto de grado desarrolla un estudio sobre las características más
destacadas del Protocolo IP Móvil y la seguridad entre nodos móviles y agente local, su
funcionamiento y demás aspectos relativos a su estructura.
El estudio se basa principalmente en los documentos formales del IETF como son los
RFC y el proyecto IPv6 Enable, del cual se desprende un enfoque importante tanto para
la seguridad como para el servicio de movilidad, en redes de nueva generación
soportadas en el protocolo IPv6.
CAPITULO 1
Página 13
1. MARCO CONTEXTUAL
1.1
Antecedentes
A través de los tiempos se ha visto como la tecnología ha avanzado con un gran auge y
acogimiento por parte de las personas, teniendo gran protagonismo los procesos
relacionados con la comunicación.
Tal como expresa (Tanenbaum, 2003, p. 1) “cada uno de los últimos siglos fue
dominado por una tecnología. Durante el siglo XX, la tecnología clave fue la
obtención, el procesamiento y la distribución de la información.”
De esta manera, la tecnología se articula como una herramienta que trae progreso a la
vida cotidiana y la que principalmente se ha visto impulsada por décadas de guerra,
donde se debían buscar soluciones a problemas de comunicación de la información.
Así Fue como las redes fijas o alambicas, que surgieron como una necesidad de
comunicar con las redes de telefonía fija, ayudaron a la comunicación de personas que se
encontraban en lugares geográficamente distantes, abriendo una amplia gama de
posibilidades para el desarrollo de nuevas aplicaciones y servicios. Así fue como las
redes evolucionaron con la tecnología, y se creó el término de redes de computadoras,
apareciendo un nuevo campo para los negocios, estudios y la implementación de nuevas
formas de comunicación; demandando la creación de estándares y protocolos que
ayudaran a que dicha comunicación se diera lo más fácil y confiable posible.
CAPITULO 1
Página 14
1.2
Protocolo TCP/IP
(Herrera, 2003, p. 259-260) En este entorno se creó una forma de direccionar la
comunicación entre las computadoras, al igual que un sistema de distribución de la
información, el cual se conocería como la World Wide Web y que permitiría
interactuar entre ellas para poner datos a disposición del usuario de una manera más
eficiente. De este modo se creó el modelo de referencia TCP/IP el cual serviría de
soporte para aquellas empresas que quisieran incursionar en este nuevo modelo de
comunicaciones. El modelo TCP/IP es un grupo de protocolos diseñados para la
comunicación entre computadoras suministrando, a su vez servicios de red.
TCP/IP está compuesto principalmente por dos componentes que permiten que la
comunicación se lleve a cabo. El Protocoló de Control de Transmisión (TCP) el
cual suministra los elementos de facilidad para las aplicaciones, y el Protocolo de
Internet (IP) el cual proporciona la comunicación básica entre las computadoras.
Estos protocolos pueden trabajar por separado, sin embargo se realizó la unión con
el fin que los datos lleguen a su destino confiablemente y no se presentes ninguna
pérdida de paquetes.
1.3
Protocolo IP
El estudio del protocolo IP implica realizar un recorrido por las versiones existentes, con
el fin de poseer un conocimiento más amplio del tema.
Con el inicio de las interconexiones de redes se desplegó un mundo de invenciones,
estudios y equipos de comunicación al servicio de la sociedad ayudando a que dichas
comunicaciones tuvieran un punto importante en la interacción entre personas que se
encontraban en lugares cercanos o geográficamente lejanos.
CAPITULO 1
Página 15
De esta forma, surge la idea de crear redes que pudieran interactuar entre grupos de
usuarios, conllevando a la creación de topologías como anillo, estrella, árbol, malla entre
otras, las cuales con el tiempo marcaron un requerimiento adicional en el que estas
redes no solo serian fijas, sino que se tendría que tener alguna forma de interactuar con
ellas de manera inalámbrica.
Las redes inalámbricas desde hace algún tiempo vienen siendo referentes en el mundo
de las comunicaciones, debido entre otras cosas al auge que han tenido los dispositivos
móviles. Sin embargo, las nuevas filosofías de redes móviles han traído requerimientos
adicionales, ya que su funcionamiento es diferente a las redes fijas convencionales.
Por ejemplo, como se describe en la (guía de administración del sistema: servicios
IP, 2009, p. 722) “el concepto de redes fijas o con acceso de internet se sostiene en
el proceso que presenta el protocolo IPv4 o IPV6, donde se asume que la dirección
IP que contiene el dispositivo identifica la Red en la cual se encuentra, estos
datagramas que se envían por redes fijas a veces causan problemas debido a que
algunos protocolos exigen que el nodo no cambie de dirección IP”.
A raíz de esto nace la necesidad de tener un protocolo que de un soporte a las
conexiones inalámbricas con el fin de prestar un mejor servicio a los dispositivos
móviles.
El protocolo IP móvil o Mobile IP creado por el IETF surge para solventar la necesidad
que tienen los dispositivos móviles de tener una conectividad fija sea cual sea el lugar de
la ubicación.
(Gonzales, 2003, p.199) dice: “El objetivo básico de MIP es conseguir que el
terminal móvil sea capaz de comunicarse utilizando la misma dirección IP en todo
momento, independiente del punto de acceso a Internet, esto permite asegurar la
CAPITULO 1
Página 16
continuidad de servicio de una sesión activa y que el movimiento es completamente
transparente a las aplicaciones.
A cada terminal móvil se le asigna una dirección IP perteneciente a su red
particular, esta dirección permanece inalterada aunque la ubicación del terminal
varíe y cada paquete dirigido a él se envía a la dirección IP de la red particular.”
Dentro de la estructura del IETF se incluye un grupo de trabajo dedicado a la
documentación y estandarización referente a IP móvil, denominado grupo de trabajo de
IP móvil (Mobile IP), encargado de desarrollar un esquema que se pueda trabajar en
IPv4 o IPv6 perfeccionando la comunicación en las diferentes subredes y elementos de
comunicación involucrados.
IP móvil se puede estudiar desde dos puntos de vista: el protocolo IPV4 y el protocolo
IPv6; ya que cada uno de ellos incluye soporte para que el servicio de IP móvil pueda
ser confiable y seguro. Para el presente proyecto se abordará el estudio desde la
perspectiva de IPv6.
De esta forma IP móvil fue estandarizado para el soporte a la movilidad en IP versión 4
en agosto de 2002 y la movilidad en IP versión 6 en junio del 2004 dando así una guía
para la comunidad de internet con el fin de poder estudiar e implementar dicho
protocolo.
Los desarrollos que involucran al estándar IP móvil están relacionados con las
principales redes existentes, primordialmente con las redes inalámbricas que requieren
una solución a problemáticas como la movilidad y la interconexión constante de un
equipo.
CAPITULO 1
Página 17
De esta forma las redes más conocidas en el entorno móvil, como son las redes GSM
UMTS, poseen una estructura capaz de permitir que los servicios de IP móvil puedan
implementarse, es así como el desarrollo de esta tecnología en el área de las
comunicaciones se está extendiendo de una manera acelerada y a través de los años se
observan avances trascendentales en su implementación, apareciendo a su vez nuevos
requerimientos como los asociados a la seguridad, objeto de estudio en el presente
proyecto.
Como se mencionó previamente, las versiones que se tienen del protocolo IP son la
versión 4 y la versión 6, llamadas IPV4 e IPV6 respectivamente, de esta forma, a
continuación se presenta una breve descripción de cada una de ellas.
1.3.1
Protocolo IP versión 4 (IPV4)
IPV4 fue el primer protocolo creado con el fin de satisfacer las necesidades de usuarios
empresariales y de las personas que necesitaban estar conectadas. De esta forma, el
protocolo IPV4 fue formulado por el grupo de trabajo que el IETF creó para tal fin y del
cual se tienen los documentos formales RFC 791, RFC 1180, RFC 2002 y RFC 3344;
donde se explica cada uno de los rangos planteados en el direccionamiento IP.
Sobre el protocolo IP descrito en el RFC 791 por (Postel, 1981, p. 1) se dice “El
Protocolo de Internet está diseñado para su uso en sistemas interconectados de redes
de comunicación de ordenadores por intercambio de paquetes. A un sistema de este
tipo se le conoce como "catenet". El Protocolo Internet proporciona los medios
necesarios para la transmisión de bloques de datos llamados datagramas desde el
origen al destino, donde origen y destino son hosts identificados por direcciones de
longitud fija. El Protocolo de Internet también se encarga, si es necesario, de la
fragmentación y el reensamblaje de grandes datagramas para su transmisión a través
de redes de trama pequeña.”
CAPITULO 1
Página 18
Seguido de lo anteriormente expuesto, se debe mencionar que el Protocolo de Internet
fue presentado con el fin de brindar las funciones necesarias de envió y recepción de
paquetes de bits entre dos ordenadores en una red interconectada, por eso el Protocolo de
Internet puede aprovechar las redes de soporte para dar diferentes tipos y servicios de
calidad; llevando así el paquete a su destino con la menor perdida de bits en su trama. El
protocolo implementa funciones básicas de direccionamiento y fragmentación con los
módulos de internet, tomando las direcciones que se encuentran en la cabecera del
datagrama, para que puedan ser enviados a su destino, utilizando el encaminamiento
para seleccionar una ruta y así mismo utilizando los módulos para la fragmentación y
reensamblaje del datagrama IP.
De acuerdo con lo anterior, surgió una solución muy importante para que no se tuvieran
problemas para el envió de paquetes dentro de una red, pero más aun con el incremento
de usuarios se vio la necesidad de la adjudicación de direcciones IP que ayudaran con la
demanda creciente, sin embargo, esto desencadenó en una nueva situación, las
direcciones se fueron agotando al nivel de tener que implementar un protocolo superior
al IPv4 llamado IPv6 del cual se hablará más adelante.
1.3.1.1
Movilidad IPv4
El Protocolo IP tuvo que evolucionar hacia un servicio que tuviera que ver con la
movilidad, donde se debían incluir todos aquellos elementos que brindaran la opción de
un acceso móvil inalámbrico, llevando el concepto redes fijas a redes móviles que
pueden cambiar continuamente su punto de acceso.
De esta forma el concepto de IP móvil se despliega para dar solución a problemas
de protocolos de internet que exigen que la dirección IP de un host no cambie, para
así proveer el servicio de movilidad a un usuario y asegurar un servicio adecuado.
CAPITULO 1
Página 19
En IPv4 móvil intervienen entidades como el nodo móvil MN, el nodo
correspondiente CN, el agente local HA y el agente foráneo FA con el fin de dar un
soporte de infraestructura al estándar IP móvil. Como comenta Sun Microsystem,
Inc. en su (Guía de administración del sistema: servicios IP, 2009, p. 722)
Entidades IPv4 Móvil
Figura Nº 1 Entidades IPv4 Móvil
Fuente: Autoría Propia
Además de lo anteriormente mencionado, el funcionamiento de IP móvil se constituye
por elementos de red como lo son: la dirección local (home address), dirección de
custodia (care-of address), avisos de agente (agent advertisement) y agente de movilidad
(mobility agent) quienes influyen de manera concurrente a medida que el nodo móvil
hace algún recorrido en una zona de disponibilidad del servicio de movilidad IP.
CAPITULO 1
Página 20
El proceso que produce el nodo móvil, el agente local y el agente foráneo generan un
concepto llamado enrutamiento triangular donde se involucran los elementos
anteriormente
mencionados
formando
una
trayectoria
única
desde
el
nodo
correspondiente al nodo móvil y viceversa, así mismo se configura otro concepto
llamado tunelización que se utiliza principalmente de guía para la encapsulación y
desencapsulacion de los datagramas IP
Este presente proceso de IPv4 móvil (MIPv4) se da principalmente a través de la
adquisición de la dirección de custodia, disponible mediante el protocolo de mensajes de
control de internet extendido (ICMP extendido) que a su vez se conocen como avisos de
agente.
Como se describe en Sun Microsystem, Inc en su (Guía de administración del
sistema: servicios IP, 2009, p. 728). El protocolo IP móvil proporciona dos formas
de adquirir la dirección de custodia:
1. En la primera forma de adquisición, la dirección de custodia es suministrada
por el agente foráneo y se conoce como dirección de custodia del agente
foráneo (foreign agent care-of address) de esta forma la dirección de
custodia es la dirección IP del agente foráneo.
De esta forma el agente foráneo se da como punto final del túnel y se
encarga del desencapsulamiento de los paquetes que son enviados por el
agente local hacia el nodo móvil.
CAPITULO 1
Página 21
Este proceso es interesante ya que posibilita el suministro de una sola
dirección IP a varios nodos móviles ayudando al protocolo IPv4 que tiene
como problema el número de direcciones IP que puede asignar.
2. La segunda forma se da con la adquisición de una dirección IP local por
parte del agente foráneo y se conoce como (Co-located care of address)
convirtiendo al nodo móvil como parte de su red, así mismo ubicando al
nodo móvil como punto final del túnel y con la responsabilidad de
desencapsulacion de los paquetes que le son enviados.
Este proceso es interesante desde el punto de vista que no se necesita un
agente foráneo para el envió de paquetes, sin embargo, como se ha venido
describiendo el protocolo IPv4 carece de direcciones IP asignables, por esto
el protocolo IPv6 presenta una ayuda a la escasez de las direcciones IP.
1.3.2
Protocolo IP versión 6 (IPV6)
Debido al aumento de host dentro de la red, algo que no se había previsto en el inicio del
protocolo IPv4, el número de direcciones se está agotando con la creciente demanda de
usuarios en internet, por eso se presentó la versión mejorada del protocolo IPv4 llamada
IPv6 con el fin de suprimir la necesidad de 32 bit que se manejaban en el
direccionamiento IPv4 y el cual se cambia a 128 bits y dará más soporte para
especificaciones de calidad de servicio y seguridad entre otras.
IPv6 apareció en el año de 1992 cuando el IETF llegó a la conclusión de que faltaría un
sustituto para IPv4 ya que debido al auge que había tenido el internet en ese tiempo se
iba a presentar la escasez de direcciones IP; como comenta (Díaz, Vives y Olvera, 2009,
CAPITULO 1
Página 22
p. 1): “por esto se formó un grupo de trabajo llamado IPNG que tendría la misión del
desarrollo de la nueva versión de IP y con el tiempo se convirtió en un proyecto
estándar para el futuro”.
Los cambios realizados de IPv4 a IPv6 se comentan en el RFC 2460 denominado
especificaciones IPV6 por (Deering y Hinden, 1998, p.2) que dice: los cambios
realizados recaen principalmente en las siguientes categorías:
 Capacidades de direccionamiento extendida
 Simplificación del formato de cabecera
 Soporte mejorado para las extensiones y opciones
 Calidad de etiquetado de flujo
 Capacidad de autenticación y privacidad
Por consiguiente, ofrece una mejora en todos los aspectos relacionados al protocolo
anterior y presentan una sola desventaja, el aprendizaje de una dirección IPv6 ya que
recordarlas es difícil dado su tamaño, por esto el servicio de DNS es importante en este
aspecto.
1.3.2.1
Movilidad IPv6
La movilidad para IPv6 (MIPv6) consta de casi los mismos elementos que son utilizados
en la versión anterior como son el agente local, Nodo móvil y nodo correspondiente pero
con diferencia de que ya no hay una comunicación con un agente foráneo (deja de existir
en el esquema de MIPv6)
Con respecto a MIPv4 el funcionamiento de MIPv6 se despliega con la diferencia que
normalmente se realiza optimización de la ruta en vez del triangulo de encaminamiento
CAPITULO 1
Página 23
que comprendía MIPv4 (siempre y cuando las redes soportadas en la movilidad sean
IPv6).
Dentro de los cambios se relaciona el intercambio de información adicional en MIPv6,
llamado opciones de destino de IPv6, por esto el nodo de destino del paquete será solo el
que pueda examinar su contenido.
Dentro de estas opciones de destino el doctor (Padilla, 2007, p. 46) dice: las nuevas
opciones de destino definidas en MIPv6 son:

Actualización de vinculación (BU, Binding Update): un nodo móvil informa
a su agente local (HA) o a cualquier nodo correspondiente (NC) sobre su
dirección de custodia (CoA) actual usando la opción de actualización de
vinculación.

Confirmación de vinculación (Back): se usa para reconocer la recepción de
una actualización de vinculación (si el reconocimiento es solicitado).

Solicitud de vinculación (BR, Binding Request): cualquier nodo, para
solicitar a un NM enviar un BU con la actual CoA, usa la opción de
solicitud de vinculación.

Dirección local (Home address): la opción de dirección local se usa en un
paquete enviado por un nodo móvil para informar al receptor de este
paquete sobre la dirección local de este NM.
Además de lo anteriormente mencionado se debe tener en cuenta la caché de
vinculaciones (Bindings cache) que cada nodo debe tener para almacenar las
vinculaciones de otros nodos y se pueda realizar la optimización de la ruta.
Seguido se deben tener consideraciones como lo son los firewalls en las redes ya que
muchas redes visitadas por el nodo móvil pueden no prestar el servicio IPv6 y
CAPITULO 1
Página 24
simplemente utilizar IPv4. En consideración a esto se tienen aspectos importantes
referentes al problema que se presenta en firewalls que no soportan los paquetes tanto de
señalización como de datos, tal como es descrito por (Díaz, García y Olvera, 2007, p. 6)
quienes comentan: los problemas derivados de la presencia de firewalls sin soporte
MIPv6 son básicamente tres:
1. El firewall no entiende los mensajes de señalización MIPv6 (BU, BA, CoTI,
HoTI) y por tanto se descartan. Como consecuencia no se puede iniciar el
servicio de movilidad.
2. El firewall no permite el paso de paquetes IPsec puesto que no es capaz de
saber cuál es su contenido. Como consecuencia los paquetes de señalización
MIPv6 entre el MN y el HA no llegan a su destino y no se puede iniciar el
servicio de movilidad.
3. El firewall no entiende los mensajes con cabeceras MIPv6 por lo que el tráfico
de datos es descartado. Como consecuencia no es posible la comunicación entre
el CN y el MN.
Las redes que se comuniquen entre si y tengan la misma versión ya sea la 4 o la 6 podrán
tener un funcionamiento correcto del estándar IP móvil.
1.4
Los terminales móviles en el entorno del protocolo IP
(España, 2003, p. 209) dice que la clave del problema planteado en relación a la
conexión de equipos móviles a internet se manifiesta al considerar el papel
desempeñado por las direcciones IP.
CAPITULO 1
Página 25
Estas han sido concebidas con un doble propósito:
En primer lugar, identificar a cada equipo conectado a la red. Así, los protocolos
que mantienen la información de estado sobre las sesiones, como, por ejemplo,
TCP, utilizan la dirección de red y el número de puerto de transporte de la entidad
interlocutora para seleccionar los paquetes pertenecientes a una misma sesión.
En segundo lugar, encaminar los datagramas a través de la red. Lo dispositivos de
encaminamiento toman la decisión sobre la ruta que debe seguir un paquete hacia su
destino final basándose en la dirección IP de destino que contienen; es decir, las
direcciones se hallan indisolublemente vinculadas a la ubicación del ordenador en la
red.
El cumplimiento de ambas condiciones lleva una situación contradictoria en el caso
de los terminales con posibilidades de desplazamiento. Dichos terminales requieren
una dirección fija, que les sirva de identificación, pero entonces los datagramas se
dirigen a una posición fija de la red, impidiéndoles cambiar de localización.
Las propuestas efectuadas con intención de solventar el conflicto expuesto se
entroncan en dos líneas:
La primera modalidad, a la que suele hacerse referencia como portabilidad, consiste
en obligar a que el ordenador adquiera una dirección IP distinta en cada punto de
enganche a la red. Esta dirección es válida mientras el ordenador permanece
conectado a ese punto, pero deja de serlo cuando se desplaza a otra localización. En
ese caso, el ordenador debe obtener una nueva dirección y reiniciar todos sus
subsistemas de comunicación IP, perdiéndose, como consecuencia de ello, las
conexiones en curso. El modo de operación descrito resulta válido si el usuario
apaga el ordenador antes de trasladarlo y luego lo vuelve a encender, pero no si se
desplaza durante la comunicación, de ahí la denominación que recibe.
CAPITULO 1
Página 26
En referencia a los protocolos que sirven para asignar la dirección temporal al
ordenador se describe en España, 2003, p. 210):
DHCP (Dynamic Host Configuration protocol) o protocolo de configuración
dinámica de nodos: permite a un ordenador extraer los parámetros necesarios para
su configuración, incluida su dirección de red, desde un servidor.
PPP (Point to Point Protocol) o protocolo punto a punto: se utiliza para informar a
un ordenador sobre la dirección de red que ha sido adjudicada.
Ahora bien, incluso limitándose al uso señalado, persisten ciertas dificultades. La
mayoría de las aplicaciones identifican a los nodos de internet mediante sus
nombres de dominio, empleando el servicio DNS para convertirlos a las
correspondientes direcciones de red. Si la dirección IP es asignada dinámicamente,
el servidor DNS autorizado requiere actualizaciones cada vez que el ordenador
cambia de dirección. Ello exige dotar al servidor de nombres de protocolos
correctamente diseñados para ello y, por añadidura, complica enormemente su
administración y pone en riesgo su seguridad.
IP móvil extiende el modelo IP dividiendo las dos funciones atribuidas a las
direcciones IP. Con este propósito, se permite que un ordenador se disponga de dos
direcciones: una destinada a identificarlo y otra utilizada para encaminar los
paquetes destinados a él.
1.5
Escenarios de implementación IPv6 móvil (MIPv6)
Con un gran auge se ha visto como el servicio de datos a través de las redes celulares se
ha incrementado más aun con toda una variedad de servicios disponibles que pueden
CAPITULO 1
Página 27
prestar el servicio de movilidad como se observa en la figura Nº 2 y es representativo del
proyecto de IST (Information Society Technologies) ENABLE que tiene como objetivo
el expansión de la movilidad a gran escala de forma eficaz en entornos IPv6
Universo de tecnologías de acceso IP móvil
Figura Nº 2 Universo de tecnologías de acceso IP móvil
Fuente: Documento electrónico: Habilitación eficiente y operacional en grandes redes IP
heterogéneas (P. 218)
Además de lo anteriormente mencionado, se observa en la figura como las diferentes
redes pueden de alguna forma interactuar con un nodo móvil, como son las redes
inalámbricas locales y metropolitanas (especialmente las IEEE 802.11 y 802.16) además
de redes inalámbricas de área personal como UWB y bluetooth.
Dentro del marco de los escenarios como son las redes integradas (Integrated) y las
redes separadas (Split) se deben tener en cuenta las entidades involucradas en los
escenarios anteriormente mencionados para ver su funcionamiento y sus principales
problemáticas.
CAPITULO 1
Página 28
Las entidades involucradas parten de la autenticación y autorización del usuario, la
asignación del agente local por medio de su red local y el intercambio del material
criptográfico o mensajes de señalización entre el nodo móvil y su agente local que se
integran formando así el término MIPv6 Bootstrapping que integra las tres conceptos
anteriores y donde involucran los escenarios anteriormente mencionados partiendo
principalmente de las entidades:
 Autorizador de servicio de acceso ASA (Access Service Authorizer): es el
proveedor de red que autentica al nodo móvil y decide si está autorizado para
tener acceso a internet. Esta gestión se realiza a través de servidores de
autenticación, autorización y auditoría (AAA).
 Proveedor de servicio de acceso ASP (Access Service Provider): es el operador
de red que proporciona al nodo móvil de conectividad IP. Precedido del acceso a
la red el home del usuario o red local debe de enviar la autorización al ASP para
que pueda presentar los servicios tanto propios como los del ASA, siempre y
cuando los servicios no interfieran con las originalmente establecidas por el ASA
 Autorizador de servicio de movilidad MSA (Mobility Service Authorizer): es el
operador que autoriza el servicio de movilidad. Como en el ASA el MSA la
autenticación la autorización se realiza mediante servidores AAA dentro del
dominio en el que se encuentra el MSA.
 Proveedor de servicio de movilidad MSP (Mobility Service Provider): es el
operador que proporción el servicio de movilidad por ejemplo los agentes
locales. A través de la infraestructura AAA del MSA, el MSP se pone en
contacto para confirmar el servicio de movilidad al nodo móvil. Si el servicio es
positivo el MSP puede aplicar las políticas de servicio del MSA y las propias
siempre y cuando no entren en conflicto.
CAPITULO 1
Página 29
Estas cuatro entidades tienen que tener una correlación de confianza para poder prestar
el servicio de autenticación y autorización como los de acceso a la red y movilidad con
la mayor eficacia posible.
CAPITULO 1
Página 30
2. MARCO TEORICO
2.1
IP móvil
(Diaz y Garcia, 2007, p. 1) describen MIP y los componentes de IPv6: Dentro del mundo
de la movilidad, uno de los principales protocolos utilizados es IP Móvil (MIP). MIP es
un protocolo que permite a un usuario denominado nodo móvil (MN) recibir datos
mientras se encuentra en movimiento a través de diferentes redes IPv6. Cada MN es
identificado por su dirección IPv6 home o dirección asignada por la red a la que pertenece
el MN (red local). Cuando el MN está situado en otra red diferente de su red local, el MN
tiene asociado también una dirección care-of. Gracias al protocolo, los paquetes IP son
encaminados de forma transparente para las aplicaciones a la dirección care-of del MN.
Esto es posible debido a la presencia de una entidad denominada home agent (HA) o
agente local que mantiene la asociación dirección local/dirección care-of. A su vez, esta
asociación permite que otros nodos IP puedan enviar y recibir información del nodo
independientemente de donde este se encuentre.
El desarrollo de este proyecto se centra principalmente en el proceso que inicia el Nodo Móvil
con su desplazamiento desde su agente local hacia otras zonas geográficas o agentes foráneos
donde se encuentre implementado el protocolo IP móvil, ya sea una zona inactiva por así
decirlo cuando no se tiene implementado este protocolo y en zonas activas donde ya se ha
implementado. El proceso que realiza el nodo móvil identificándose con el agente foráneo o
agente local para lograr una comunicación constante con el nodo correspondiente y así ayudar
a que el protocolo tenga un esquema funcional para las telecomunicaciones.
CAPITULO 2
Página 31
Inicio del proceso de IP móvil
Lugar de ubicación
Nodo correspondiente
Proveedor del servicio
de IP móvil 1
Accesos
inalámbricos
Trayectoria
nodo Movil
Accesos
inalámbricos
Proveedor del servicio
de IP móvil 2
Equipo con servicio
de internet
Figura Nº 3 Inicio del proceso de IP móvil
Fuente: autoría Propia
El proceso es algo delicado ya que por seguridad se debe entender que siempre hay personas
mal intencionadas con el fin de que estas comunicaciones no existan o de extraer información
de dichas comunicaciones.
El protocolo IP móvil dará la opción de que un usuario tenga conexión ilimitada y con esto los
retos para que se tengan mecanismos de seguridad que ayuden a que el protocolo tenga una
calidad de servicio aceptable.
Para el estudio de los mecanismos de seguridad de IP móvil se tomarán cada uno de los
elementos esenciales de los protocolos MIPv4 y MIPv6 con el fin de que cada mecanismo
tenga un mejor entendimiento y así mismo un mayor aprendizaje.
CAPITULO 2
Página 32
IP móvil comprende elementos importantes que se pueden observar en la figurara Nº4, donde
se aprecian cada uno de los componentes de red principales para llevar dicha comunicación y
así mismo que el protocolo pueda funcionar.
Esquema general de IP móvil
Figura Nº 4 Esquema General IP móvil
Fuente: Elaboración Propia
A continuación, se describen cada uno de los elementos de la figura 4, donde se observa un
agente local HA que a su vez puede ser un agente foráneo FA, un nodo móvil NM que sirve
como transmisor y receptor de envió de datos, un agente foráneo FA como apoyo de
movilidad para el nodo móvil y un nodo correspondiente como transmisor y receptor de datos,
todo esto con el fin de que el protocolo IP móvil pueda funcionar.
En todas las circunstancias descritas, resulta indispensable que el usuario mantenga sus
capacidades de comunicación independientemente de su ubicación, y que ello se consiga de
manera transparente, es decir, sin requerir de él acciones extraordinarias. Con el objetivo de
dar respuestas a estas necesidades ha surgido IP móvil, que trata de extender el protocolo IP
para adaptarlo al nuevo ámbito de los terminales con la propiedad de modificar su ubicación.
CAPITULO 2
Página 33
2.1.1 Terminología básica IP móvil
Para el adecuado estudio sobre IP
móvil, se hace recomendable tener presente el
significado preciso que se otorga en (España, 2003, p. 210) a los siguientes términos:
Nodo móvil: se denomina nodo móvil a una estación o dispositivo de encaminamiento
con capacidad de modificar su punto de enganche desde una subred a otra, sin cambiar
por ello su dirección IP. El nodo se halla capacitado para continuar comunicándose con
otros nodos de internet, desde cualquier localización de la red, utilizando su dirección IP.
En el contexto de las comunicaciones IP móviles, esta dirección se denomina dirección
local (home address) y tiene carácter permanente.
Agente local (home agent): consiste en un dispositivo de encaminamiento perteneciente a
la subred local de un nodo móvil, que mantiene información sobre la localización actual
de dicho nodo móvil y le reenvía los datagramas que llegan para él cuando se encuentra
fuera de la misma.
Agente Foráneo (foreign agent): dispositivo de encaminamiento integrado en la subred
que el nodo móvil está visitando en ese momento y que coopera con el agente local para
completar el envió de datagramas hacia dicho nodo móvil.
Agente de movilidad (mobility agent): reciben esta denominación tanto los agentes
locales como los foráneos. Se admite la posibilidad de que un agente actué
simultáneamente como agente local y como agente foráneo, dependiendo su papel del
punto de vista de los distintos nodos móviles: si el nodo pertenece a la red, se comportará
CAPITULO 2
Página 34
para él como agente local, mientras que si se trata de un visitante, lo hará como agente
foráneo.
(España, 2003, p. 210) dice: Cuando el nodo móvil se encuentra fuera de su subred, se le
asocia una dirección temporal o dirección de custodia (care-of address), que refleja su
actual punto de enganche a internet.
Existen dos modalidades de direcciones de custodia:

Dirección de custodia del agente foráneo (foreign agent care-of address): esta
dirección es la perteneciente al agente foráneo con el cual el nodo se ha registrado.

Dirección de custodia co-localizada (co-llocated care-of address): se trata de una
dirección local, es decir, asociada a la red que el nodo móvil se encuentra
visitando actualmente, la cual ha sido obtenida por el nodo mediante un
mecanismo externo, por ejemplo, utilizando el protocolo DHCP o el protocolo
PPP. El nodo móvil vincula dicha dirección a una de sus interfaces de red.
Nodo correspondiente (correspondent node): es conocido como nodo corresponsal
aquel con el cual se está comunicando el nodo móvil. El nodo corresponsal puede ser, a
su vez, móvil o estacionario.
Túnel: se denomina así al camino seguido por un datagrama que ha sido encapsulado.
Enlace: facilidad o medio de comunicación del nivel de enlace de datos.
CAPITULO 2
Página 35
Esquema Modular y funcional de IP móvil
Figura Nº 5 Esquema Modular y funcional de IP móvil
Fuente: Libro: Servicios Avanzados de Telecomunicación (P. 212)
2.1.2 Funcionamiento IP móvil
Los procesos de enganche de un nodo móvil a una nueva subred visitada, y de comunicación
posterior, comprenden las siguientes fases:
2.1.3 Descubrimiento del agente foráneo y obtención de una dirección de custodia
(España, 2003, p. 211) dice: Para hacer posible la comunicación a través de la red, el
nodo móvil necesita la colaboración de un agente local y, en la mayoría de los casos, de
un agente foráneo. El nodo móvil debe, en primer lugar, distribuirlos, es decir, averiguar
su dirección, lo cual le permite ponerse en contacto con ellos.
Los agentes de movilidad anuncian periódicamente su disponibilidad en cada uno de los
enlaces a los que proporcionan servicio, mediante mensajes de control ICMP especiales.
Opcionalmente, un nodo móvil solicita explícitamente el envió de tales mensajes. En los
CAPITULO 2
Página 36
mensajes de anuncio, los agentes foráneos publican las direcciones de custodia
disponibles. Por otro lado, los agentes locales no necesitan anunciar direcciones de
custodia; no obstante, también deben difundir mensajes de anuncio, con el fin de que los
nodos móviles que los escuchen detecten cuando han regresado a su red local.
Difusión de mensajes de servicio de IP móvil
Mensajes de los
agentes de
movilidad del
servicio de IP
móvil
Agente de movilidad
Local
Agente de Movilidad
Foráneo
Nodo Móvil
Solicitud del
servicio de
movilidad IP.
Figura Nº 6 Difusión de mensajes del servicio de IP móvil
Fuente: Autoría propia
De este modo, tras recibir un anuncio de un agente de movilidad, un nodo móvil es capaz
de determinar si se encuentra en una red extranjera o en su propia subred. En el segundo
caso el nodo funciona de manera habitual en lo que hace un nodo IP estacionario. Sin
embargo, cuando descubre que se encuentra en una red extranjera, precisa conseguir una
dirección de custodia en esa nueva red. El proceso de obtención de la dirección se lleva a
cabo de dos modos alternativos: bien contactando con un servicio que proporcione
direcciones co-localizadas, o bien escuchando o solicitando los mensajes de anuncio de
agentes foráneo pertenecientes a esa red.
CAPITULO 2
Página 37
2.1.4 Registro
(España, 2003, p. 211-212) comenta: Una vez obtenida una dirección de custodia, el nodo
debe registrarse con un agente local; existen dos clases de mensajes de registro: solicitud
de registro y respuesta de registro. Ambos se envían mediante UDP (puerto 434). El
mensaje de solicitud de registro permite al nodo móvil comunicar a su agente local la
dirección de custodia propuesta. Si la dirección de custodia se ha obtenido de un agente
foráneo, la solicitud de registro se envía a este, siendo el agente foráneo quien transfiere
entonces la solicitud de registro al agente local. Cuando la dirección de custodia se ha
obtenido mediante un servicio externo independiente, el nodo móvil envía él mismo la
solicitud de registro al agente local, utilizando como dirección origen en el
correspondiente datagrama IP la dirección de custodia o co-localizada.
En los mensajes de solicitud de registro, se indican, entre otros datos:
 La dirección local (permanente) del nodo móvil;
 La dirección del agente local;
 La dirección de custodia propuesta;
 Un campo de identificación, cuyo propósito es implementar opciones de seguridad.
Si el registro tiene éxito, el agente local devuelve una respuesta de registro indicando su
aceptación. Esta respuesta se envía o bien al agente foráneo, para que la transfiera al nodo
móvil cuando la dirección de custodia se asocia a un agente foráneo, o bien directamente al
nodo móvil, utilizando como dirección de destino en el correspondiente datagrama IP la
dirección de custodia co-localizada.
Existe cierta probabilidad de que la petición de registro sea denegada. Tal seria la acción
efectuada por un agente foráneo que no cuenta con recursos disponibles, o a causa de no haber
localizado al agente local indicado. Por razones similares, el agente local devolvería una
CAPITULO 2
Página 38
respuesta negativa. En estos casos, se informa al nodo móvil el motivo causante de la
denegación, mediante un código de error que se inserta a tal efecto en el mensaje de respuesta.
“En uno de estos códigos, cuyo significado refiere (dirección del agente local
desconocida), se encuentra precisamente la clave del proceso de descubrimiento del
agente local. Supóngase que el nodo móvil ingnora la dirección de su agente local. En
dicha circunstancia, envía la solicitud de registro a una dirección de difusión de su subred,
de manera que todos los agentes locales de la misma la reciban. Todos los agentes locales
de la subred rechazarán la solicitud, mediante un mensaje de respuesta que incluye el
código en cuestión. Sin embargo cada respuesta contiene también la dirección de un
agente local y, en consecuencia, el nodo móvil puede volver a intentar el proceso de
registro con cualquiera de estos agentes, puesto que ahora ya conoce sus direcciones.”
(España, 2003, p 212)
Recepción de datagramas por el nodo móvil:
“Los datagramas dirigidos desde un nodo correspondiente hacia un nodo móvil contienen
la dirección local de este último como dirección de destino; así pues, alcanzan la subred
local. Allí, el agente local los intercepta, los encapsula y los envía a través de un túnel
cuya dirección de destino es la dirección de custodia, Así pues, si la dirección de custodia
es la del agente foráneo, los datagramas encapsulados llegan a este, que es el encargado
de desencapsularlo y transferirlos al nodo móvil. Sin embargo, si la dirección de custodia
es co-localizada, los datagramas encapsulados son recibidos directamente por el nodo
móvil, quien los desencapsula.” (España, 2003 P. 212)
2.1.5 Envió de datagramas por el nodo móvil
En (España, 2003 p. 213-214, 252-253, 431) menciona que: Los datagramas enviados por
un nodo móvil se entregan a su destino siguiendo los mecanismos de encaminamiento IP
convencionales, sin que estos circulen con carácter obligatorio a través del agente local.
CAPITULO 2
Página 39
El nodo móvil utiliza generalmente su dirección local como dirección de origen en los
datagramas que transmite.
2.1.6 Otras funciones adicionales de IP móvil
El agente local debe actuar como representante del nodo móvil para el protocolo de
resolución de direcciones ARP. Mientras el nodo móvil se encuentra en su propia red,
responde a las solicitudes del protocolo ARP que efectúan las restantes estaciones para
determinar cuál es su dirección física a partir de la dirección IP. Con la información
proporcionada en las respuestas, las estaciones complementan su tabla de conversiones de
direcciones IP a direcciones físicas. Ahora bien, en el momento que el nodo abandona la
red, esta relación deja de ser cierta y las entradas en las tablas de conversión quedan
anticuadas, de manera que a las estaciones les resulta imposible contactar con el nodo
móvil.
Para solucionar este inconveniente, el agente local asume el papel de representante del
nodo móvil en relación al protocolo ARP. En cuanto el nodo parte de la red y registra una
nueva dirección de custodia, su agente difunde respuesta ARP no solicitadas en red local,
en las cuales se indica la dirección física del agente como dirección física vinculada a la
dirección IP del nodo móvil. De este modo se asegura que los datagramas originados
localmente con destino a dicho nodo serán remitidos a su agente análogamente, cuando el
nodo móvil regresa a su red local, debe difundir respuestas ARP no solicitadas, asociando
su dirección IP a la dirección física que acaba de ocupar.
Por otra parte, los nodos móviles nunca difundirán solicitudes o respuestas ARP cuando
se hallen visitando una red extranjera; de lo contrario, se crearían entradas en las tablas de
conversión de las estaciones de la red visitada que dejarían de ser válidas cuando el nodo
abandonase la red y que dificultarían conectar con él posteriormente.
CAPITULO 2
Página 40
2.1.7 Principales limitaciones de IP móvil:
En relación al funcionamiento de IP móvil, se observan dos importantes limitaciones:
En primer lugar, el encaminamiento triangular de los paquetes, ya que todos ellos se
dirigen primero hacia al agente local lo que supone un aumento de la carga en la red, así
como un incremento del retardo, que perjudica, principalmente, a las aplicaciones en
tiempo real.
Enrutamiento Triangular IP móvil
Paquete IP
normal
Nodo correspondiente
Paquete IP
encapsulado
Agente Local
Tune
l
Agente Foráneo
Nodo Móvil
Paquete IP
normal
Figura Nº 7 Enrutamiento Triangular IP móvil
Fuente: Autoría Propia
En segundo lugar, el proceso de registro no es instantáneo, especialmente cuando el nodo
móvil se encuentra lejos de su agente local. Por este motivo, los paquetes que se estaban
transmitiendo durante el proceso de traspaso de una subred a otra a menudo se pierden, ya
que en ese periodo se encaminan todavía hacia el antiguo agente foráneo. Este efecto es
CAPITULO 2
Página 41
particularmente problemático cuando los protocolos empleados no contemplan la
recuperación de paquetes perdidos, como en el caso de UDP, esta característica convierte
a IP móvil en poco apropiado para los traspasos frecuentes que se producen en los
entornos celulares (micromovilidad). En tales circunstancias, resultan más adecuados,
para el mantenimiento de la comunicación durante los desplazamientos, los mecanismos
establecidos en los niveles de protocolo inferiores, para su mayor agilidad y menor sobre
carga. Así pues, por el momento, IP móvil se considera apto únicamente para resolver la
gestión de la macromovilidad.
Como solución al primer punto, se ha sugerido el uso de mecanismos de optimización de
la ruta, si bien ello exige modificaciones en todos los nodos de la red es difícil llevarlo a
la práctica en la actualidad.
Las propuestas para solventar el retardo de los traspasos y la consiguiente pérdida de
paquetes han sido diversas. Una de las soluciones diseñadas se basa en efectuar traspasos
(suaves). Esta opción consiste en que el nuevo agente foráneo, antes de que se complete
la operación de registro, notifica al antiguo agente foráneo la nueva dirección de custodia.
De esta manera, el agente foráneo antiguo almacena, los paquetes recibidos para el
usuario y se los remite, a continuación, al nuevo agente foráneo.
Otra cuestión que se plantea ante el uso de IP móvil es la relacionada con la autorización
y tarificación del uso de recursos cuando el nodo móvil, en sus desplazamientos, traspasa
las fronteras de su dominio administrativo local. Si el usuario utiliza recursos de la red
visitada, es lógico que en ella se desee conocer su identidad y si está autorizado a
emplearlos.
Del mismo modo, el uso de los recursos deberá contabilizarse en el caso de que se aplique
una tarifa por ello. Frecuentemente, estas tareas exigen una comunicación entre las
entidades responsables de las mismas en ambos dominios local y visitado.
CAPITULO 2
Página 42
2.2
Seguridad en IP (IPsec)
Para dar soporte a las comunicaciones en el estándar hay una serie de recomendaciones que se
realizan por el IETF en el documento RFC 2411 documento de guía para IPsec, el cual se
tomará como punto de partida para realizar el estudio de los mecanismos de seguridad
(Thayer, Doraswamy y Glenn, 2005, p. 2) plantean el documento guía IPsec en el RFC
2411 (Documento Guía para IPsec) donde se enuncia que:
“Este documento tiene la intención de proporcionar recomendaciones para el desarrollo
de especificaciones colaterales que describen el uso de nuevos algoritmos de
autentificación y encriptación con el protocolo ESP (carga de seguridad IP encapsulada),
y nuevos algoritmos de
autentificación usados con el protocolo AH (Cabecera de
autenticación), como parte de la Arquitectura de Seguridad IP.”
IPsec incluye un esquema de siete elementos que se observan en la figura 8
que
describen (Thayer, Doraswamy y Glenn, 2005, p. 2): “Hay un documento principal de
arquitectura que cubre ampliamente el concepto general, requerimientos de seguridad,
definiciones, y mecanismos que definen la tecnología IPsec. Hay un documento del
Protocolo ESP y un documento del Protocolo AH que describe el formato del paquete y
asuntos generales con respecto a estos protocolos. Estos documentos del protocolo
también contienen valores por defecto si es apropiado, por ejemplo, los contenidos de
relleno por defecto, y los algoritmos que obligatoriamente deben ser implementados.
Estos documentos dictan algunos de los valores del documento Dominio de
Interpretación”
CAPITULO 2
Página 43
Esquema IPsec
Arquitectura
Protocolo ESP
Protocolo AH
Algoritmos de
encriptación
Algoritmos de
autenticación
DOI
Administración
de claves
Figura Nº 8 Esquema IPsec
Fuente: documento electrónico: RFC 2411 Arquitectura seguridad IP (P. 12)
La Guía IPsec fue diseñada para ofrecer seguridad basada en encriptación para IPv4 e Ipv6, el
servicio de seguridad ofrece control de acceso, integridad no orientada a la conexión,
autenticación del origen de los datos, protección contra reenvió y confidencialidad.
IPsec permite a un usuario controlar el nivel de seguridad que ofrece un servicio, para esto
utiliza formas de seleccionar qué servicios de seguridad utilizar y con qué parámetros, así
como los algoritmos a usar y el grado de seguridad que se quiera aplicar.
CAPITULO 2
Página 44
Para mayor información acerca de los protocolos consultar en RFC 2402 (Protocolo AH) y
RFC 2406 (Protocolo ESP).
Interrelación de Documentación sobre IPsec
Los documentos que describen el conjunto de protocolos IPsec se dividen en siete grupos.
Esto se presenta en la figura 8. Teniendo como base un documento principal de arquitectura
que cubre ampliamente el concepto general, requerimientos de seguridad, definiciones, y
mecanismos que definen la tecnología IPsec.
2.2.1 Material Clave y Algoritmos ESP y AH
Los algoritmos de encriptación y de autentificación son descritos en diferentes documentos, lo
que permite plantear cómo los protocolos conocen la longitud del material clave requerido
para los algoritmos deseados.
Cada documento de Algoritmo de Encriptación y de Algoritmo de Autentificación debe
especificar sus respectivos atributos de clave (por ejemplo, cómo rellenar la localización de los
bits de paridad, el orden de la clave para los algoritmos de clave-múltiple, y longitud). Los
protocolos de administración de claves pueden utilizar la longitud de las claves especificadas
en los respectivos documentos de los Algoritmos para generar el material clave de longitud
requerida. De igual forma se retomarán estos conceptos más adelante en el estudio de los
mecanismos de seguridad
El protocolo de administración de claves genera material clave con bastante fuerza y tamaño
para generar las claves para los algoritmos individuales. El documento de la Arquitectura de
IPsec específica cómo las claves se extraen de un único bloque de material clave cuando se
requieren múltiples claves (por ejemplo, ESP con
CAPITULO 2
autentificación). Los documentos de
Página 45
Algoritmos de Encriptación y de Algoritmo de Autentificación son responsables de especificar
los tamaños de las claves y las fuerzas de cada algoritmo.
2.2.2 Documento de especificación de Algoritmos
El documento describe cómo un algoritmo de encriptación o autentificación usado debe
contener información apropiada para ese algoritmo de encriptación o autentificación.
La intención de la guía para IPsec es brindar:
 La información general del protocolo de los documentos respectivos al ESP o AH.
 Garantizar que la información de administración de claves esté en los documentos de
administración de claves.
 Definir que los valores asignados y las constantes de los ítems negociables estén en el
documento de DOI (Dominio de interpretacion).
Los algoritmos de encriptación y de autentificación requieren un cierto conjunto opcional de
parámetros o tienen modos de operación opcionales (por ejemplo, el IV, la longitud de los
datos de autentificación, y longitud de las claves). Para ayudar a eliminar cierta complejidad
relacionada con la administración de claves que tienen que negociar números extensos de
parámetros de algoritmos específicos, los documentos de algoritmos de autentificación y
encriptación seleccionarán valores fijos para estos parámetros cuando se estime técnicamente
razonable y accesible.
(Solomon y Perkins, 1996, p. 2) en el RFC 2002 Soporte a la movilidad IP “especifica
mejoras en el protocolo de movilidad IP, que permiten la transparencia en el envío de
datagramas IP a nodos móviles en Internet. Cada nodo móvil es identificado siempre por
su dirección de origen o local, independientemente de su punto actual de enlace a
Internet. Si bien situado lejos de su agente local (HA, home agent), un nodo móvil
CAPITULO 2
Página 46
también está asociado con una dirección de custodia, que proporciona información acerca
de su punto actual de enlace a Internet. El protocolo prevé el registro de la dirección de
custodia CoA con el agente local. El agente envía al HA datagramas destinados al nodo
móvil a través de un túnel para el cuidado de la dirección. Después de llegar al final del
túnel, cada datagrama se entrega al nodo móvil. El agente local envía los datagramas al
nodo móvil a través de un túnel a la dirección de custodia CoA (care- of address).
Después de llegar al final del túnel cada datagrama se entrega al nodo móvil”.
Se supone que la dirección de un nodo IP se identifica de forma única en el punto de
vinculación a Internet. Por lo tanto, un nodo se encuentra en la red indicada por su dirección
IP con el fin de recibir los datagramas destinados a él, de lo contrario, los datagramas
destinados a él no se pueden entregar. Para que un nodo pueda cambiar su punto de unión sin
perder su capacidad de comunicarse, en la actualidad normalmente se debe emplear uno de los
dos siguientes mecanismos:
a) El nodo debe cambiar su dirección IP cada vez que cambia su punto de enlace
b) Las rutas específicas de unión deben ser propagadas en gran parte del enrutamiento
de Internet.
Ambas alternativas son a menudo inaceptables. La primera hace imposible para un nodo
mantener el transporte y las conexiones de las capas superiores cuando la ubicación del nodo
cambió. El segundo tiene evidentes y graves problemas de escala, especialmente relevantes
teniendo en cuenta el crecimiento explosivo de las ventas de equipos portátiles.
2.3
Movilidad IPv4
(Patil, Roberts, y Perkins, 2002, p.14-15-16) hablan en el RFC 3344 sobre el apoyo a la
movilidad IP en su versión 4 y comentan:
CAPITULO 2
Página 47
Este estándar especifica el protocolo que permitirá mejorar transparentemente el
encaminamiento del datagramas IP a la telefonía móvil. Cada nodo móvil está siempre
identificado por su domicilio, independientemente de su punto de conexión a Internet.
El RFC 3344 establece lo siguiente:
Este estándar establece y define los mecanismos que permiten cambiar de nodo o punto
de acceso a la red, sin cambiar la dirección IP.
Este protocolo propone que los datagramas IP unicast se dirijan sobre la base de la
dirección de destino en la cabecera del datagrama (y no, por ejemplo, por la dirección de
origen).
Por ejemplo, Un host o router que cambia su punto de conexión de una red o subred a
otra. Un nodo móvil puede cambiar su ubicación sin cambiar su dirección IP, pueden
seguir comunicándose con otros nodos de Internet en cualquier lugar utilizando su
dirección IP.
El formato de mensaje de IP móvil para utilizar extensiones en el protocolo que están
definidos por dos métodos:
2.3.1 Tipo, Longitud y valor de formato de extensión para las Extensiones IP móvil
Mediante la figura 9 se define de la siguiente manera:
CAPITULO 2
Página 48
Tipo, longitud y valor de formato de extensión para MIPv4
Figura Nº 9 Tipo, longitud y valor de formato de extensión para MIPv4
Fuente: Documento electrónico: RFC 3344 Movilidad IP soporte para IPv4 (P. 15)
2.3.2 Extensión Formato largo
Este formato es aplicable para las extensiones que llevan información de más de 256 bytes. Y
se representa en la figura 10
Extensión Formato Largo
Figura Nº 10 Extensión formato largo
Fuente: Documento electrónico: RFC 3344 movilidad IP soporte para IPv4 (P. 16)
CAPITULO 2
Página 49
2.3.3 Extensión Formato cortó
Este formato no es aplicable a las extensiones que requieren un mayor de 256 bytes de datos.
Y se representa en la figura 11
Extensión de formato cortó
Figura Nº 11 Extensión de formato corto
Fuente: Documento electrónico: RFC 3344 movilidad IP soporte IPv4 (P. 16)
2.3.4 Descripción de registro
IP móvil define dos procedimientos de registro, nodo móvil y un agente foráneo o un
nodo móvil directamente con el agente local.
Las siguientes reglas determinan cuál de los dos procedimientos se utilizaría en un caso
en particular:

Si un nodo móvil está registrando un agente foráneo, el nodo que debe registrarse
es el agente foráneo.

Si un nodo móvil ha vuelto a su red de origen, el nodo móvil debe registrarse
directamente en su agente local.
Tanto los procedimientos de registro que implican el intercambio de solicitud de registros
y respuesta de mensajes, cuentan con los cuatro siguientes mensajes:
CAPITULO 2
Página 50
a) El nodo móvil envía una solicitud de registro a los posibles agentes foráneos para
iniciar el proceso de registro.
b) El agente foráneo procesa la solicitud de registro y, a continuación, crea enlaces con el
agente local.
c) El agente local envía una respuesta al registro del agente foráneo para conceder o negar
la petición.
d) El agente foráneo procesa los registros y, a continuación, responde a los enlaces del
nodo móvil.
Todo el proceso que lleva acabo el funcionamiento del protocolo IP móvil en su versión 4
de acuerdo al envió de mensajes y el aumento de sobrecarga en las redes con estos
mensajes hace el protocolo poco productivo, además del aumento de dispositivos
inalámbricos con la necesidad movilidad y agotamiento de las direcciones IP en la
versión 4.
2.4
Movilidad IPv6
(Johnson, Perkins, y Arkko, 2004, p. 1, 5-6) en el RFC 3775 hablan sobre el apoyo a la
movilidad IP en su versión 6, especifican un protocolo que permite a los nodos
permanecer conectados constantemente mientras se mueven en redes con el protocolo
IPV6.
Cada nodo móvil es identificado por su dirección, independiente de su actual punto de
conexión. Mientras el nodo móvil se halle fuera de su red local tendrá una dirección de
custodia (CoA), que proporciona información del punto actual de nodo. IPV6 envía los
paquetes dirigidos a la dirección de red local de un nodo móvil de forma transparente.
CAPITULO 2
Página 51
El protocolo IPV6 permite a los nodos almacenar en cache el enlace de los nodos móviles
con su dirección care- of address y a continuación enviar los paquetes destinados al nodo
móvil con su care- of address. Para apoyar esta operación IPv6 define un nuevo protocolo
IPV6 Móvil y una opción nueva de destino.
Todos los nodos en IPV6 ya sean móviles o fijos podrán comunicarse con los demás
nodos móviles.
El RFC 3775 establece lo siguiente:
Un nodo móvil siempre espera que sea direccionado a su domicilio o Home Agent, si está
enlazado en su red local o externa. La “home address” es una dirección IP asignada al nodo
móvil en su subred local como enlace de origen. Mientras que un nodo móvil esté en su red
local los paquetes dirigidos a su domicilio son dirigidos al enlace local o home link del nodo
móvil.
Mientras un nodo móvil se une a una red extranjera también es redireccionable en una o más
care- of address, El nodo móvil puede adquirir su care- of address a través de los mecanismos
convencionales de enrutamiento de IPV6 tales como auto configuración, mientras el nodo
móvil permanece en esta ubicación los paquetes dirigidos a esta care- of address serán
enviados al nodo móvil. El nodo móvil también puede aceptar paquetes de varios care- of
address
La asociación entre la dirección de red local de un nodo móvil y su care- of address se conoce
como una conexión, unión o enlace para el nodo móvil, mientras que fuera de su red registra
su primera care- of address de vínculo con su red local, el nodo móvil realiza este registro
mediante un binding update o actualización de unión o enlace a su home agent o agente local.
El home agent responde al nodo móvil con un mensaje “Binding Acknowledgement” o
vinculación de reconocimiento.
CAPITULO 2
Página 52
Hay dos modos de comunicación entre el nodo móvil y el nodo correspondiente
Modo de Comunicación nodo móvil y nodo correspondiente numero 1
Paquete
IP
normal
Nodo Correspondiente
Agente Local
Paquete IPv6
encapsulado
Nodo Móvil
Figura Nº 12 Modo de Comunicación nodo móvil y nodo correspondiente numero 1
Fuente: Autoría Propia
Primero: bidireccional no se requiere soporte de IPV6 móvil. Túneles en el cual el nodo móvil
puede enviar paquetes al nodo correspondiente sin haber actualizado su vinculación
con el nodo correspondiente. Los paquetes del nodo correspondiente se encaminan al
home agent o agente local y luego por entunelamiento al nodo móvil esto se realiza
mediante encapsulación de IPV6.
CAPITULO 2
Página 53
Modo de Comunicación nodo móvil y nodo correspondiente numero 2
Paquete
IP
normal
Nodo Correspondiente
Optimización de
la ruta
Actua
Agente Local
lizació
n
de
vincu
lación
Paquete IPv6
encapsulado
Nodo Móvil
Figura Nº 13 Modo de Comunicación nodo móvil y nodo correspondiente numero 2
Fuente: Autoría Propia
Segundo: optimización de la ruta. Requiere que el nodo móvil actualice su vinculación con el
nodo correspondiente. Los paquetes del nodo correspondiente pueden enviarse
directamente al care- of address del nodo móvil. Cuando se envía cualquier paquete a
cualquier destino en IPV6 el nodo correspondiente comprueba su caché de enlace de
dirección sino utiliza una nueva cabecera de enrutamiento IPV6.
Si se produce alguna falla con el home agent se pueden seguir enviando los paquetes mediante
este segundo método ya que se reduce la falla de envió.
2.5
Proyecto IST ENABLE
Como dicen (Díaz, García y Olvera, 2007, p. 8): ENABLE es un proyecto IST
(Tecnologias de la sociedad y la informacion) cofinanciado por la UE (Unión Europea)
cuyo objetivo principal es conseguir el despliegue a gran escala del servicio de movilidad
de una manera eficiente y sobre entornos IPv6, teniendo también en cuenta la transición
desde IPv4. Dentro del proyecto se abordan entre otros, los temas descritos anteriormente
CAPITULO 2
Página 54
que aún están abiertos y no existe por tanto una solución estandarizada, contribuyendo
para ello con diversos organismos de estandarización como IETF, 3GPP, etc.
Arquitectura de referencia proyecto ENABLE
Figura Nº 14 Arquitectura de referencia del proyecto Enable
Fuente: libro electrónico Despegando con movilidad IPv6 (MIPv6) (P.8)
Las principales áreas de trabajo del proyecto se centran en:
 Diseño de una arquitectura de referencia como la mostrada en la figura 9 que
permita la integración de los diversos agentes involucrados en un servicio de
movilidad real a gran escala.
CAPITULO 2
Página 55
 Mejora de MIPv6 para habilitar una movilidad transparente en grandes redes de
producción con múltiples dominios administrativos, tipos de acceso heterogéneos
y un número elevado de usuarios.
 Enriquecimiento de MIPv6 básica con un conjunto de características avanzadas
como QoS, Fast Handover, etc.
Análisis de los objetivos y diseño de los principios que permitan la evolución de MIPv6 a
largo plazo.
La investigación que se está llevando a cabo con el proyecto ENABLE permitirá el
despliegue de servicio de movilidad sobre IPv6 robusta que soporte posibles evoluciones
futuras y un uso intensivo de la red con aplicaciones como multimedia (vídeo y audio).
CAPITULO 2
Página 56
3. ESTUDIO DE MECANISMOS DE SEGURIDAD
Los mecanismos de seguridad se desprenden de la necesidad de garantizar al usuario eficiencia
y confiabilidad en el envió de datos a través de la red, en este caso en particular entre el agente
local y los nodos móviles, mejorando la seguridad de internet y garantizando así el mismo
nivel de seguridad que los entornos fijos.
Como se mencionó previamente, se debe estudiar lo relacionado con seguridad IP (IPsec),
partiendo principalmente de que MIPv4 y MIPv6 los cuales están muy concatenados a la
seguridad que se presenta en la guía de IPsec.
3.1 Seguridad IP (IPsec)
IPsec protege los paquetes IP con la autenticación o el cifrado, o realizando las dos acciones al
mismo tiempo. IPsec se puede encontrar en el módulo de IP y se encuentra debajo de la capa
de aplicación, por esto cualquier aplicación de internet puede utilizar IPsec sin estar
configurada exclusivamente para la utilización de IPsec.
La protección IP contiene cinco elementos importantes que son:
1. Protección de seguridad.
2. Base de datos de asociaciones de seguridad (SADB)
3. Administración de claves
4. Mecanismos de seguridad
5. Base de datos de directivas de seguridad (SPD)
Los mecanismos de seguridad que contiene IPsec son aplicados a los datagramas IP que se
transfieren a una dirección de destino IP.
CAPITULO 3
Página 57
El IETF ha publicado una serie de documentos que brindan al lector una descripción de los
conceptos de la seguridad IP, los cuales se tomarán de referencia para la realización y guía del
estudio.
3.2
RFC2411 documento de guía para IPsec
Antes de empezar, es bueno mencionar que los RFC contienen una serie de términos que se
deben tener en cuenta para la comprensión e implementación de IPsec en los sistemas. La
Tabla 1 presenta los términos y acrónimos principales utilizados en IPsec
Tabla Nº 1 Términos, acrónimos y uso de IPsec
Términos de IPsec
Acrónimo
Definición
Asociación de
seguridad
SA
Conexión exclusiva entre dos nodos de una red. La
conexión se define mediante tres elementos: un protocolo
de seguridad, un índice de parámetros de seguridad y un
destino IP. El destino IP puede ser una dirección IP o un
socket.
Base de datos de
asociaciones de
seguridad
SADB
Índice de parámetros
de seguridad
SPI
El valor de índice para una asociación de seguridad. Un
SPI es un valor de 32 bits que distingue entre las SA que
tienen el mismo destino IP y protocolo de seguridad.
base de datos de
directivas de
seguridad
SPD
Base de datos que determina si los paquetes salientes y
entrantes tienen el nivel de protección especificado.
Protocolo
Diffie-Hellman
DH
Protocolo RSA
RSA
El proceso de generación de claves para los algoritmos
criptográficos asimétricos. Los dos métodos principales
son los protocolos RSA y el protocolo Diffie-Hellman.
Protocolo de intercambio de claves que implica la
generación y la autenticación de claves. A menudo se
denomina intercambio de claves autenticadas.
Protocolo de intercambio de claves que implica la
generación y la distribución de claves. El protocolo
Intercambio de
Claves
CAPITULO 3
Base de datos que contiene todas las asociaciones de
seguridad activas.
Página 58
recibe el nombre de sus tres creadores, Rivest, Shamir y
Adleman.
Protocolo de
administración de
claves y
asociaciones
de seguridad de
Internet
ISAKMP
Estructura habitual para establecer el formato de los
atributos SA, así como para negociar, modificar y
eliminar SA. ISAKMP es el estándar IETF para
administrar SA IPsec.
Fuente: Libro electrónico: Guía de administración del sistema: servicios IP; (P 509)
3.2.1. Asociación con la seguridad IP (SA)
Se describe en Sun Microsystem, Inc en su (Guía de administración del sistema: servicios
IP, 2009, p 512): La comunicación de HOST trasciende a que se reconozcan las
propiedades de seguridad que presenta IPsec y del cual se presenta una SA como la
protección de los datos en una sola dirección, esta protección se presta para un solo host,
para una dirección de conjunto o la multidifusión. Dado que la mayoría de las
comunicaciones son de igual a igual o de cliente – servidor se deben tener dos SA para
poder proteger el tráfico que se presente en ambas direcciones.
Hay tres mecanismos que utiliza IPsec para que sean reconocidos por medio del SA y se
pueda dar una comunicación confiable:
1. Protocolo de seguridad (AH o ESP)
2. La dirección IP de destino
3. El índice de parámetro de seguridad
CAPITULO 3
Página 59
Este SPI se transmite con un paquete AH o ESP y es un valor arbitrario de 32 bits el cual
utiliza un valor de suma para la comprobación de la integridad y autenticación del
paquete, si la autenticación falla se descarta el paquete.
3.2.2 Asociaciones de Seguridad múltiples (SAs)
A veces es necesario utilizar más de una SA dependiendo siempre de los servicio de seguridad
que se tengan que aplicar por ejemplo si se quiere aplicar AH y ESP.
Estas asociaciones pueden comunicarse por transporte (Adyacente) o por medio del túnel
(iterado).
Adyacente se describe como la utilización de uno o más protocolos al propio datagrama IP sin
el manejo del túnel. Así mismo, se acuerdo con (Gonzales y Medina, 2001, p. 132) el túnel
iterado se puede describir como se presenta en la figura 15:
Descripción Túnel Iterado
Figura Nº 15 Descripción túnel Iterado
Fuente: Libro electrónico: Modelos de seguridad para móviles (P. 132)
CAPITULO 3
Página 60
El túnel iterado se refiere a la aplicación de múltiples niveles de protocolos de seguridad
sobre un túnel IP. Permite diferentes niveles de anidamiento ya que cada túnel puede
empezar o terminar en diferentes elementos de IPSec. Existen tres posibles
configuraciones, aunque sólo la segunda y tercera opción es obligatoria en una
implementación de IPSec:
1. Los extremos de las SAs son idénticos
2. Uno de los extremos de la SA es idéntico
3. Ninguno de los extremos es igual
3.2.3 Administración de claves en IPsec
La asociación de seguridad (SA) requiere de autenticación y cifrado dentro de sus materiales.
La administración del material de claves es denominado (Administración de claves), se puede
encontrar en el protocolo de intercambio de claves (IKE) y se aloja en una base de datos de
asociaciones de seguridad (SADB) que puede ser administrada automáticamente por el
administrador de claves o manualmente por medio de comandos.
Los paquetes SA pueden utilizar cualquier método de administración de claves para las redes
IPv4 o IPv6, a menos que se tenga una razón para realizar la administración manual.
3.2.4 Mecanismos de Protección de IPsec
Como ya se había comentado, IPsec maneja dos mecanismos de seguridad para proteger los
datos: el encabezado de autenticación (AH) y la carga de seguridad encapsuladora (ESP).
 AH protege los datos con un algoritmo de autenticación, preserva la mayor parte del
datagrama IP, se inserta entre el encabezado IP y el encabezado de transporte que
puede ser TCP, UDP, ICMP o SCTP.
CAPITULO 3
Página 61
 ESP protege los datos con un algoritmo de cifrado, y opcionalmente con algoritmos de
autenticación. Se presta protección de seguridad para los datagramas que se encapsulan
en ESP y de igual forma presta el servicio de autenticación para asegurar la integridad
de los paquetes protegidos. Debido a que ESP utiliza tecnología de habilitación de
cifrado un sistema puede sujetar al protocolo a leyes de importación y exportación.
Cada implementación de un algoritmo es denominado mecanismo.
3.2.5 Consideraciones de seguridad para AH y ESP
En la siguiente tabla se compara las protecciones de AH y ESP en IPsec
Tabla Nº 2 Protecciones de AH y ESP en IPsec
Protocolo
Protección de
Protección
Contra ataques
paquetes
Proporciona
Integridad Repetición,
solida.
Protege el paquete del
encabezado IP al
AH
encabezado de
transporte
cortar
y
pegar
Garantiza que el receptor
recibe exactamente lo que ha
enviado el remitente
Es susceptible a los ataques
de repetición cuando AH no
activa la protección contra
repeticiones
ESP
Con la opción de cifrado,
Protege el paquete que cifra el datagrama IP.
Garantiza la confidencialidad.
sigue a ESP en el
Con
la
opción
de
datagrama
autenticación, proporciona la
misma protección que AH.
CAPITULO 3
Intercepción
de
comunicaciones
Repetición
cortar
y
pegar
Página 62
Con
ambas
opciones, La unión de las dos
proporciona integridad solida,
anteriores
autenticación de datos y
confidencialidad
Fuente: Libro electrónico: Guía de administración del sistema: servicios IP; (P 515)
3.3
Protocolos ESP y AH
La separación de los protocolos ESP y AH son el fundamento principal de la seguridad IP
tanto en la versión 4 como en la 6, por esto estudiar de una forma general los aspectos
concernientes a dichos protocolos centra más los mecanismos de seguridad utilizados en el
entorno de IP móvil.
Dentro del desarrollo de los protocolos ESP y AH se encuentran involucrados dos RFC, tanto
el 2402: Cabecera de autenticación IP (AH) y el 2406: Carga de seguridad IP encapsulada
(ESP) planteando así el esquema de IPsec con los algoritmos de encriptación y autenticación
para el protocolo ESP y el algoritmo de autenticación para el protocolo AH que serán descritos
posteriormente
3.4.
RFC 2402 Cabecera de autenticación IP (AH)
La cabecera de autenticación IP se utiliza con el fin de proporcionar integridad sin conexión,
autenticación del origen de los datos y opcionalmente la protección contra reenvíos; siempre y
cuando se hayan establecidos las asociaciones de seguridad (SA).
Dentro del contexto de la autenticación o cabecera de autenticación IP (AH) este mecanismo
se puede aplicar solo o en combinación de la carga de seguridad encapsulada IP (ESP).
CAPITULO 3
Página 63
Como comentan (Kent y Atkison, 2005, p. 3) “la diferencia principal entre la
autentificación proporcionada por ESP y la de AH es la extensión de la cobertura.
Específicamente, ESP no protege ninguno de los campos de la cabecera IP a menos que
esos campos sean encapsulados por ESP (en modo túnel).”
3.4.1. Cabecera de autenticación, procesamiento y localización.
(Kent y Atkison, 2005, p. 5-6-7) dicen: AH se puede emplear en modo transporte o en
modo túnel, donde el modo transporte es aplicado solamente a host y suministra
protección a los protocolos de capas superiores, además de los campos seleccionados por
la cabecera IP.
En el modo transporte, AH se implanta después de la cabecera IP previamente del
protocolo de la capa superior ya sea TCP, UDP o ICMP. En IPv6 el AH se ve como una
carga de extremo a extremo y estará después de las cabeceras de extensión salto por salto
de encaminamiento y fragmentación. En la figura 16 se observa AH que se incrusta en un
paquete IPv6 en el modo transporte.
Paquete IPv6 antes y después de implementar AH en modo transporte
Figura Nº 16 Paquete IPv6 antes y después de implementar AH en modo transporte
Fuente: Documento electrónico: RFC 2402 Cabecera de Autenticación IP (P. 6)
CAPITULO 3
Página 64
El modo túnel puede ser implementado tanto en host como en pasarelas de seguridad o en
implementaciones llamadas puesto en la pila o puesto en el cable. En este modo la
cabecera interna lleva la ultima dirección de origen y destino, mientras la cabecera
externa puede contener diferentes direcciones IP como las de pasarelas Gateway; AH
protege tanto los paquetes internos como externos.
La posición de AH en el modo túnel para la cabecera IP exterior es igual que en el modo
transporte, en la siguiente figura se observa AH en el modo túnel que se inserta en un
paquete IPv6:
AH en modo túnel
Figura Nº 17 AH en modo túnel
Fuente: Documento electrónico: RFC 2402 Cabecera de Autenticación IP (P. 7)
3.4.2 Algoritmos AH
Las comunicaciones punto a punto contienen algoritmos de autenticación aptos como
claves con código de autenticación de mensaje (MACs) que así mismo se basan en
algoritmos de encriptación simétricos como el estándar de encriptación de datos (DES) o
funciones hash unidireccionales como MD5 o SHA-1. los algoritmos de autenticación
para comunicaciones punto a punto del valor de comprobación de integridad (ICV) se
CAPITULO 3
Página 65
especifican en las asociaciones de seguridad (SA) y se calculan en el momento que se
encuentra una SA activa en el proceso de envió de paquetes; así los algoritmos que deben
soportar e implementar obligatoriamente son HMAC con MD5 y HMAC con SHA-1
3.5
RFC 2406: Carga de seguridad IP encapsulada (ESP)
(Kent y Atkinson, 2005, p.20) La cabecera de carga de seguridad encapsulada (ESP) se
diseñó para suministrar servicios de seguridad tanto en IPv4 como en IPV6, al igual que
la cabecera de autenticación (AH) puede trabajar sola o en combinación.
ESP se usa para una serie de servicios como son:

Proporcionar confidencialidad

Autenticación del origen de los datos

Integridad sin conexión

Anti replay

Confidencialidad limitada del flujo de tráfico
Todos los servicios anteriores dependen de la selección de los mismos en el momento
del establecimiento de las asociaciones de seguridad (SA) y así mismo de donde se
localice la implementación; la confidencialidad puede ser seleccionada a diferencia de
los otros servicios pero así mismo esto puede subordinar el tráfico a ataques activos y
que se pueda poner en riesgo la confidencialidad de los datos.
La cabecera ESP se inserta antes de la cabecera IP y después que la cabecera de
protocolo de capa superior en modo transporte o después de la cabecera IP encapsulada
en el modo túnel.
CAPITULO 3
Página 66
3.5.1 Localización y procesamiento de ESP
De igual forma que AH; ESP puede ser implementado de forma transporte y de forma
túnel; así la forma transporte es igual que en AH dando una protección a
implementaciones host proporcionando una protección a los protocolos de capas
superiores, pero a diferencia de este modo en AH, ESP no brinda protección a la cabecera
IP.
En el modo transporte, ESP se implanta después de la cabecera IP previamente del
protocolo de la capa superior ya sea TCP, UDP, ICMP o de cualquier otra cabecera IPsec
que se haya implantado. Para IPv6 en este modo, ESP se ve como una carga útil de
extremo a extremo y por esto debe de aparecer después de cabeceras de extensión de salto
por salto o ruteo o fragmentación. En la siguiente figura se observa ESP en modo
transporte situado en un paquete IPv6.
Paquete IPv6 antes y después de implementar ESP en modo transporte
Figura Nº 18 Paquete IPv6 antes y después de implementar ESP en modo transporte
Fuente: Documento electrónico: RFC 2406 Carga de Seguridad IP Encapsulada (P. 10)
El modo túnel para ESP es igual que para AH donde se puede emplear en host y en pasarelas
de seguridad, cuando se implementa en las pasarelas de seguridad tiene como fin proteger el
CAPITULO 3
Página 67
tráfico en tránsito del suscriptor. Al igual que AH la cabecera IP interna contiene las
direcciones de origen y destino, mientras la cabecera externa puede contener direcciones IP
distintas, en la figura 19 se observa ESP en un paquete IPv6 en modo túnel.
ESP en modo túnel
Figura Nº 19 ESP en modo túnel
Fuente: Documento electrónico: RFC 2406 Carga de Seguridad IP Encapsulada (P. 10)
3.5.2 Algoritmos ESP
Los algoritmos para ESP están contemplados en dos grupos que son los de encriptación y
de autenticación donde se encuentra que los algoritmos de autenticación son iguales a los
que se manejan en la cabecera de autenticación (AH), en la encriptación ESP es diseñado
para que se utilicen algoritmos de encriptación simétricos ya que se debe tener en cuenta
que la llegada de cada paquete puede ser desordenada y así mismo la sincronización
criptográfica se pueda llevar a cabo dando un orden al paquete para que se puede
desencriptar. Esta encriptación es especificada por las asociaciones de seguridad (SA).
Dentro del marco de los algoritmos que se deben soportar e implementar obligatoriamente
en ESP se encuentran:
 DES en modo CBC
 HMAC con MD5
 HMAC con SHA-1
 Algoritmos de encriptación NULL
 Algoritmos de Autenticación NULL
CAPITULO 3
Página 68
(Kent y Atkinson, 2005, p.20) dicen: “Puesto que la encriptación y la autentificación son
opcionales, el soporte para los dos algoritmos "NULL" se requiere para mantener la
consistencia con el modo en que estos servicios son negociados. Observe que a pesar de
que la autentificación y la encriptación pueden ser NULL, estos NO DEBEN ser
conjuntamente ambos NULL.”
3.6
Protocolos de seguridad diseñados para MIIPV6 en el Proyecto IST Enable
Las redes heterogéneas involucran toda una seria de tecnologías e infraestructuras importantes
para la movilidad y seguridad de un usuario en la red, aun mas se puede aludir a las
dificultades que puedan tener los usuarios con los paquetes que le son enviados y por ende la
preocupación de los mismo ante la posibilidad de que alguien interfiera con sus conexiones
inalámbricas.
De lo anteriormente mencionado vale la pena resaltar que muchas de las compañías que
ofrecen servicios de redes se encuentran orientando hacia las infraestructuras Autenticación,
Autorización y Auditoría (AAA), que son cimientos de un conjunto de servicios de seguridad
para ofrecer un acceso seguro y controlado a la red a través de las diferentes tecnologías
inalámbricas. Por estas razones es importante conocer por separado el concepto de los tres
componentes que satisfacen la infraestructura AAA:
 Autenticación: es una validación que se realiza con el fin de comprobar la identidad de
un usuario, la identificación puede ser un certificado digital, una palabra de paso,
información biométrica etc.
 Autorización: proceso que tiene como fin saber si un usuario puede o no acceder a los
servicios deseados, o bajo que restricciones o condiciones lo puede hacer.
CAPITULO 3
Página 69
 Auditoría: tiene como fin estructurar una tarificación para el cobro del servicio además
de la posibilidad de realizar estudios u observación de tráfico para la utilización de sus
recursos.
(Marín, 2008, p. 4-5) comenta: “Este conjunto de servicios de seguridad está formado
inicialmente por cinco servicios que cubren diferentes aspectos de la seguridad en redes
telemáticas:
1. Autenticación: El servicio de autenticación permite asegurar que una
comunicación sea auténtica. Esto asume dos conceptos importantes. Uno, que el
servicio permite verificar que una entidad comunicante es realmente aquella quien
dice ser y dos, asegura que la conexión no ha sido interferida por ninguna otra
tercera parte que intenta suplantar a alguna de las entidades comunicantes.
2. Control de acceso: En el contexto de seguridad en redes telemáticas, el control de
acceso permite limitar y controlar el acceso a sistemas, servicios y aplicaciones a
través del enlace de comunicaciones. Para suministrar este servicio, cada entidad
necesita, en primer lugar, ser autenticada, y luego autorizada, de tal forma que los
derechos de acceso pueden ser adaptados a un usuario concreto.
3. Confidencialidad: El servicio de confidencialidad dota de protección y ocultación
de los datos transmitidos a atacantes que se dedican a observar los datos que
circulan por la red.
4. Integridad: Permite garantizar que los datos recibidos sean exactamente iguales a
los enviados por una entidad autorizada (por ejemplo: no contiene ninguna
modificación, ni inserciones, ni eliminaciones y no es un mensaje reenviado)
CAPITULO 3
Página 70
5. No repudio: Suministra protección contra la denegación, por parte de una entidad,
de su participación en una comunicación completa o en parte de ella. Esta
propiedad es útil, por ejemplo, en aplicaciones de comercio electrónico”.
De los cinco (5) servicios anteriormente mencionados se observa principalmente que el
servicio de no repudio es opcional dando así un traspié para que los cuatro primeros servicios
puedan dar soporte a una red, iniciando siempre por la autenticación y de ahí llevando el
servicio a través de un nivel de criptografía y confidencialidad de los datos hacia el usuario
final.
3.7
Esquema General de AAA
Dentro del esquema general de la autenticación, autorización y auditoría (AAA) se incluyen
entidades importantes para dar soporte a la infraestructura desde el punto de vista funcional
además de esto vale precisar que esta infraestructura se encuentra encaminada sobre los
protocolos DIAMETER y RADIUS que se contemplan más adelante. Dichas entidades son:
 Usuario: necesidad de acceder a un servicio ofrecido por un operador de red.
 Dominio: aquel que tiene un acuerdo o contrato con el usuario y por ende contiene la
información del mismo con el fin de verificar su identidad, así dando prestación del
servicio o no, además poseer la posibilidad de enviar información de autorización del
usuario que el proveedor del servicio no conozca.

Proveedor de servicio: como su nombre lo indica gestiona el acceso. Esta forma puede
ser ejercida por el agente local (dominio propio) o un agente foráneo (dominio
visitado).
 Equipo de servicio: es un dispositivo que permanece al lado del proveedor del servicio
y suministra el mismo con el fin de autorizar o denegar el acceso a la red. Este equipo
puede ser un acceso inalámbrico o un Router
CAPITULO 3
Página 71
3.7.1 Entidades AAA
La infraestructura AAA ensancha una serie brokers o entidades (agentes) que tienen como
funcionalidad completar una transacción AAA; por ende se pueden encontrar entidades que se
dedican a encaminar información, comienzan procesos y sirven como punto de contacto con el
usuario y los servidores de la infraestructura AAA.
En el entorno de los agentes y las entidades se encuentran elementos adicionales que son
descritos por Marin, 2008, p. 31):
 Agente de Traducción: Este agente permite la convivencia de servicios y
aplicaciones que trabajen con protocolos AAA diferentes. En este modo es posible
que distintos dominios con protocolos AAA diferentes puedan comunicarse, sin la
necesidad de una migración completa de un dominio a un protocolo AAA
determinado.
 Agente de Encaminamiento (Relay/Proxy): Estos agentes son los encargados de
encaminar los mensajes hacia sus destinos. El agente proxy es capaz de encaminar
información AAA pero con la posibilidad de realizar modificaciones sobre las
solicitudes y respuestas que recibe.
 Agente de Redirección. El agente de redirección puede gestionar y suministrar
información de encaminamiento a las entidades AAA que lo solicitan.
3.7.2 Modelos AAA
Existen tres modelos deferentes que sirven como secuencias de inicio en el proceso de acceso
para un usuario que interactuará con la infraestructura AAA. Pero antes de esto es necesario
relacionar los escenarios existentes en AAA que principalmente son dos:
CAPITULO 3
Página 72
 Escenario de un único dominio: en este caso el agente local actúa como proveedor
del servicio y por ende involucra las entidades antes mencionadas como son el
usuario, la infraestructura AAA del proveedor del servicio y el equipo de servicio.
 Escenario multi dominio: en este caso dos dominios se encargan de ejecutar la
solicitud del usuario esto es debido a que hay situaciones donde el dominio que
autentica y autoriza no es el mismo al que provee el servicio.
De acuerdo a estos dos escenarios los modelos son:
 Modelo AGENT:
Casos con el modelo Agent
Figura Nº 20 Casos con el modelo Agent
Fuente: Documento electrónico: Diseño de mecanismos de re- autenticación rápida basados en
EAP para entornos móviles. (P. 33)
En la figura 20 se observa el primer modelo llamado Agent el cual contiene los dos escenarios
que se describieron anteriormente donde se observa en el caso del dominio único, una serie de
pasos que realiza un usuario enviando una petición de acceso y donde interactúan el servidor
AAA y el equipo de servicio, pero siempre y cuando este proceso haya sido aprobado
inicialmente por el servidor AAA. Este proceso finaliza con la respuesta del servidor AAA.
CAPITULO 3
Página 73
Para el caso de multi dominio los pasos son más, debido a que hay separación del agente local
y el proveedor del servicio, donde cada uno de ellos contiene su propio servidor AAA que se
encarga de prestar o rechazar el servicio. Por consiguiente, este proceso termina igual que el
caso anterior con la respuesta al usuario.
 Modelo PULL
Casos con el modelo Pull
Figura Nº 21 Casos con el modelo Pull
Fuente: Documento electrónico: Diseño de mecanismos de re- autenticación rápida basados en
EAP para entornos móviles. (P. 33)
Para este segundo modelo y para el caso de un único dominio, la petición del usuario no
interactúa directamente con el servidor AAA de su dominio o agente local sino que realiza la
petición a través del equipo de servicio que a su vez actúa como cliente AAA y envía la
solicitud al servidor AAA, el cual realiza las políticas dispuestas por él y envía de nuevo la
respuesta al equipo de servicio quien presta o no el servicio al usuario según la respuesta por
parte del servidor.
Para el caso multi dominio los pasos son iguales que en el caso anterior con la diferencia que
no se comunica con su agente local sino con el proveedor del servicio quien ejecuta todas sus
políticas asociadas a él y envía la solicitud al servidor AAA del agente local quien realiza sus
CAPITULO 3
Página 74
políticas. Si todo está correctamente definido, el equipo de servicio puede prestar el acceso al
usuario, de lo contrario no se podrá tener acceso.
 Modelo PUSH
Casos con el modelo Push
Figura Nº 22 casos con el modelo Push
Fuente: Documento electrónico: Diseño de mecanismos de re- autenticación rápida basados en
EAP para entornos móviles. (P. 33)
Para este tercer modelo y para el caso de único dominio, el usuario entrega una credencial
(token), que se suministra por medio de la infraestructura del servidor AAA, la que el usuario
respectivo envía al equipo de servicio para su comprobación y su aprobación para el servicio
correspondiente.
El caso de multi dominio es igual que el caso anterior pero con la diferencia que el token lo
provee el servidor AAA del agente local y el usuario se lo envía al servidor AAA del
proveedor del servicio para su respectivo proceso y activación del acceso si dicho token es
válido.
CAPITULO 3
Página 75
3.7.3 Protocolos AAA.
En (Marín, 2008, p. 35-36) se comenta: Dentro de la infraestructura AAA se definen y se
implementan protocolos que ayudan a la interacción entre las entidades de la misma. Los
protocolos que se consideraron por el IETF debían tener las siguientes consideraciones:
 Soporte para millones de usuarios así como miles de solicitudes simultaneas
 Necesidad de soportar escenarios multi dominio
 Soporte de autenticación entre el cliente y el servidor AAA
 Establecimiento de una comunicación segura
 Posibilidad de extenderse para definir nuevos atributos, específicos a un servicio
El IETF tomó como punto de partida cinco (5) protocolos que tenían la posibilidad de
ayudar con la infraestructura AAA, de estos se debían tomar
en cuenta las
consideraciones anteriores además de la movilidad y características de disposición de un
NAS de nueva generación para el acceso al servicio de red, pero con la gran demanda de
usuarios el aspecto más importante para la selección del protocolos fue el soporte en
escenarios multi dominio; estos protocolos fueron:
COPS: presentaba buenas características pero el protocolo Diameter tenía una mejor
perspectiva de acceso multi dominio.
TACACS: se descartó por la carencia que tenía, además de que era un protocolo
propietario.
SNMP: considerado como buena alternativa para el punto de Auditoría pero no tenía
claro sus procesos de autenticación y autorización.
CAPITULO 3
Página 76
RADIUS: presentaba problemas serios de extensibilidad, seguridad y movilidad entre
otros, pero es necesario tener en cuenta que muchos de los entornos de la infraestructura
AAA estaban y están implementados bajo el protocolo RADIUS.
DIAMETER: mejor futuro en el momento de crecimiento de usuarios, la gestión de
movilidad y su adaptación a nuevas aplicaciones debido a su diseño extensible.
De acuerdo con lo anterior, como se había comentado anteriormente es necesario mostrar una
visión general de los protocolos más importantes para la infraestructura AAA. Estos son:
3.7.4 Protocolo RADIUS
(Marín, 2008, p. 37-38) describe: El protocolo RADIUS fue propuesto a principios de los 90
con la intención de gestionar los accesos remotos por medio de llamada telefónica. Este
protocolo tiene como acrónimo de sus siglas el nombre de Remote Access Dial In User
Servicie. Se maneja como modelo cliente – servidor, es utilizado con frecuencia en las redes
inalámbricas IEEE 802.11 como proceso de autenticación, así mismo, el NAS es utilizado
como un cliente RADIUS; en la figura 23 se observan los mensajes del protocolo RADIUS
con una numeración de acuerdo a los procesos y su orden.
CAPITULO 3
Página 77
Mensajes del protocolo RADIUS
Figura Nº 23 Mensajes del protocolo RADIUS
Fuente: Documento electrónico: Diseño de mecanismos de re- autenticación rápida basados en
EAP para entornos móviles. (P. 37)
De acuerdo con la gráfica anterior, el orden de los mensajes es el siguiente:
I.
El servidor AAA RADIUS toma peticiones del cliente RADIUS o NAS el
cual contiene información para procesar la autenticación y autorización.
II.
El proceso puede llevar intercambios (RADIUS Access – Request. Y
RADIUS Access – Challenge) hasta que termine.
III.
Finalizando, el servidor manda una respuesta al cliente RADIUS para que
habilite o no el servicio
Del anterior orden de los mensajes en el Protocolo RADIUS es importante resaltar las
siguientes características:
 El servidor RADIUS también puede ser utilizado como proxy para otros
servidores RADIUS.
 Las conexiones entre clientes y servidores son cifradas mediante claves
compartidas que no se comparten en la Red.
CAPITULO 3
Página 78
 Las claves se establecen mediante la generación un número aleatorio en ambos
extremos y una clave original.
(Marín 2008, p. 37) dice: “La información dentro del protocolo se estructura en una serie
de atributos que permiten transportar datos de autenticación, autorización y auditoría.
Ejemplos de estos atributos son “User-Name, User-Password, Framed-Protocol, FramedIP-Address, EAP-Message”, etc. Además el protocolo permite añadir nuevos valores para
estos atributos a la hora de ofrecer cierta extensibilidad. A pesar de ser el protocolo más
utilizado en entornos AAA, no deja de tener problemas y serias limitaciones.”
Dentro de este contexto se encuentran una serie de debilidades que se presentar por parte del
protocolo RADIUS que son:
 Un proveedor de servicios puede tener más de mil solicitudes pero el protocolo
RADIUS solo acepta 255 solicitudes que son el numero de octetos que puede contener
 Un servidor RADIUS puede interactuar como proxy pero esto no evita que los otros
servidores puedan ver y modificar la información de los mensajes.
 Debido a que el transporte del protocolo RADIUS es bajo UDP acarrea el principal
problema de respuesta del mensaje o petición enviada, así el usuario no se dará cuanta
si el mensaje llego a su destino o no.
 El servidor RADIUS no tiene la forma de comunicar a sus usuarios si el servidor ha
caído o va a caer, o si están reiniciando o ejecutándose.
Por todos los anteriores problemas el IETF tomó un segundo Protocolo llamado Diameter que
pretende dar solución a la problemática de seguridad que lleva consigo el protocolo RADIUS
3.7.5 Protocolo Diameter
En (Marín 2008, p. 39) se describe: Dentro de la infraestructura AAA se definió un
protocolo que cumpliera los requisitos que se demandan hoy en día como la movilidad,
CAPITULO 3
Página 79
mayor seguridad, calidad de servicio y sobre todo escenarios multi dominio, con estos
objetivos nace el protocolo Diameter que tiene como principales características su
extensibilidad y adaptabilidad.
Debido a su arquitectura extensible, tiene la posibilidad de agregar nuevas características
al protocolo base sin necesidad de modificarse directamente. Estas extensiones que se
realizan al protocolo son definidas con la intensión de que puedan aguantar diferentes
necesidades o requisitos.
En la siguiente figura se observa el esquema general del protocolo Diameter.
Arquitectura del protocolo Diameter
Figura Nº 24 Arquitectura del Protocolo Diameter
Fuente: Documento electrónico: Diseño de mecanismos de re- autenticación rápida basados en
EAP para entornos móviles. (P. 37)
Las extensiones que se realizan al protocolo diameter son llamadas Aplicaciones Diameter y
quedan constituidas en la especificación básica del protocolo llamada protocolo Base.
CAPITULO 3
Página 80
En (Marín 2008, p. 40) se describe: en la figura 24 se observa la distribución de cada una
de las aplicaciones que a su vez son definidas por sus propias órdenes o mensajes
Diameter de los cuales cada uno puede establecer sus propios atributos que son llamados
“Attribute Value Pair” (AVP) o atributos ya preestablecidos. Para realizar las extensiones
en el protocolo Diameter se utilizan una serie de mecanismos:
o Creación de aplicaciones nuevas de Autenticación
o Creación de aplicaciones nuevas de Autorización
o Creación de aplicaciones nuevas de Auditoría
o Definición de nuevos valores de AVP
o Creación de nuevos AVPs
Dentro del protocolo Diameter hay una serie de características que hacen ver su robustez
y más aun los requisitos que necesitan los protocolos que interactúan con la
infraestructura AAA:
 Interacción necesaria u obligatoria de IPsec y de manera opcional con la seguridad en
la capa de transporte (TLS), dando así seguridad a nivel de la capa de transporte y
seguridad inter e intra dominio.
 A diferencia de RADIUS que utiliza UDP, Diameter utiliza TCP o SCTP, ofreciendo
así un trasporte fiable.
 Los protocolos Diameter y RADIUS no son del todo compatibles por esto se han hecho
numerosos esfuerzos para lograr esto, con el fin de facilitar la interoperatividad entre
ellos; actualmente esta interoperatividad se consigue gracias a una aplicación llamada
NASREQ.
CAPITULO 3
Página 81
 Diameter tiene la posibilidad de gran escalabilidad debido a la capacidad que tiene de
tratamiento de usuarios, reorganización de la arquitectura y cambio de configuración
de rutas.
3.8
Protocolo de Autenticación Extensible EAP
(Marín 2008, p. 42) comenta: “El protocolo EAP creado por el IETF, fue considerado
principalmente con el fin de dar soporte a la seguridad e integridad de los usuarios por
medio de la autenticación autorización y auditoría, llevando así la independencia con el
nivel de enlace para permitir ejecutar mecanismos de autenticación flexiblemente. Estos
mecanismos de autenticación son llamados métodos EAP. Además EAP se integra
fácilmente con la infraestructura AAA con el fin de dar un mejor soporte a la
autenticación y el manejo de claves necesarios para proporcionar el servicio de red al
usuario.”
En (Rosúa y Ortiz, 2008, p. 33) se comenta: Los mensajes EAP se ejecutan entre un peer
EAP el cual se encuentra localizado en un dispositivo móvil, y un servidor EAP el cual
contiene dos opciones que pueden ser junto al autenticador en el NAS (standalone) o en
un servidor AAA (Pass - Through), y la interacción entre el peer EAP y el servidor EAP a
través de un autenticador EAP, el cual se encarga de reenviar los mensajes enviados entre
las dos entidades con el fin de realizar satisfactoriamente el proceso de autenticación.
3.8.1 Componentes y mensajes EAP
En la Figura 25 se observan los componentes involucrados descritos en (Marín 2008, p.
42-43), que se derivan de una forma conceptual en cuatro niveles:
CAPITULO 3
Página 82

Nivel de Métodos EAP: como se habló anteriormente, este nivel tiene mecanismos
de autenticación concretos, además de que transmite y recibe mensajes a través de
los niveles Peer o Autenticador

Nivel EAP peer/autenticador: en este nivel el EAP Layer demultiplexa los
paquetes EAP que bien son enviados al nivel del peer o el nivel del autenticador

Nivel EAP: los paquetes EAP en este nivel se envían y reciben por medio del
“Lower - - Layer”. Tiene la detección de paquetes retransmitidos o duplicados

Nivel de Transporte: este nivel se responsabiliza de transmitir y recibir los
mensajes EAP entre el peer y el autenticador.
Componentes EAP
Figura Nº 25 Componentes EAP
Fuente: Documento electrónico: Diseño de mecanismos de re- autenticación rápida basados en
EAP para entornos móviles. (P. 43)
Todos estos componentes procesan una serie de mensajes de solicitud respuesta que
tienen una forma sencilla compuesta por cuatro campos:
CAPITULO 3
Página 83

Un código (code) que determina si el paquete es una solicitud o no (EAP Request =
1), una respuesta (EAP Response = 2), un mensaje de satisfacción (EAP Success =
3) o un mensaje de fallo (EAP Failure = 4).

El identificador que ayuda la asociación de una solicitud con su respectiva
respuesta.

Una longitud de dos octetos la cual indica la longitud del paquete EAP

Campo de datos que tiene datos de autenticación, cuando este campo contiene
datos un octeto comienza con un método EAP.
3.8.2 Intercambios en el protocolo EAP
En (Marín 2008, p.43-44-45)se comenta: Las configuraciones que contiene el servidor
EAP para el intercambio de mansajes con el Peer EAP hacen necesaria una configuración
que pueda soportar miles de mensajes de autenticación y la configuración “Standalone” es
poco flexible con este punto ya que se necesitaría una base de datos con credenciales de
cada uno de los dispositivos móviles con el fin de su respectiva autenticación.
La configuración “Pass-Through” se utiliza por su flexibilidad y escalabilidad, debido a
lo mencionado en la configuración “Standalone”, en la figura 26 se observa el
intercambio de mensajes EAP el cual se establece por un número de fases.
CAPITULO 3
Página 84
Modelo de intercambio EAP
Figura Nº 26 Modelo de intercambio EAP
Fuente: Documento electrónico: Diseño de mecanismos de re- autenticación rápida basados en
EAP para entornos móviles. (P. 45)
Fase (0) Discovery: el Peer EAP se encarga de buscar información de algún autenticador
EAP cercano para el inicio de la autenticación.
Fase (1a): en esta fase se utilizan principalmente 2 componentes que son: el protocolo de
transporte en EAP llamado Lower Layer y el protocolo AAA con el fin de dar inicio al
proceso de autenticación por medio del peer y el servidor EAP asistidos por un
autenticador EAP.
CAPITULO 3
Página 85
Fase (1b): además del proceso de autenticación en este proceso se presenta un
intercambio de material criptográfico en forma de claves y los cuales se utilizan como
asociaciones de seguridad entre los mismos.
Fase (2a): después de tener el material criptográfico de claves el Peer y el autenticador
EAP puede ejecutar un protocolo de asociación de seguridad para proteger del trafico
unicast.
Fase (2b): o también se puede proteger del trafico multicast.
De acuerdo a lo descrito en las fases en el intercambio de mensajes para la realización de la
autenticación se genera un material criptográfico (EAP KMF) los cuales están compuestos
por cuatro claves simétricas que se describen en (Rosúa y Ortiz, 2008, p. 35) que son:
1. Master Session Key (MSK): clave principal entre el Peer y el autenticador para el
establecimiento de una asociación de seguridad. El EAP Marco de gestión de
claves, EAP KMF (EAP Key Management Framework) define un mecanismo de
seguridad como es el canal de vinculación o Channel Binding con el fin de
asegurar que los servicios de red suministrados por el autenticador son iguales
tanto para el Peer como para el servidor EAP.
2. Extended Master Session Key (EMSK): principalmente se utiliza como forma
para integrar nuevas claves entre el Peer y el servidor EAP. El EMSK a diferencia
de MSK no debe proporcionarse ni enviarse a una entidad externa.
3. Transient EAP Keys (TEKs): las conversaciones EAP son protegidas mediante
claves de sesión TEKs las cuales vienen incorporadas en EAP y nunca se pueden
enviar a otra entidad externa.
CAPITULO 3
Página 86
4. Transient Session Keys (TSKs): después que se ejecuta el MSK en el proceso de
autenticación, se utiliza TSKs con el fin de proteger el tráfico de datos por medio
de un conjunto de algoritmos concretados entre el Peer y el autenticador de
seguridad por medio del protocolo de asociación de seguridad.
3.9
Protocolo principal de transporte en EAP (EAP Lower Layer)
3.9.1 Protocolo IKEv2
En (Marín 2008, p. 53) se comenta: El protocolo IKEv2 se utiliza con el fin del
intercambio seguro de claves y autenticación por medio de dos entidades como son: un
Iniciador y un Responder, teniendo en cuenta la seguridad del tráfico utilizando IPsec y
así mismo involucrando entidades como AH y ESP. IKEv2 consiste en pares de mensajes
(petición respuesta) y así mismo a estos mensajes se les llama intercambio.
Adicionalmente IKEv2 utiliza EAP como mecanismo general de autenticación. Se
observara en la figura 27 el intercambio IKEv2 utilizando el método EAP para la
autenticación y así al responder IKEv2 utiliza certificados u otros componentes como
claves pre-compartidas. Y además se utiliza un mecanismo de reenvió dando así una
fiabilidad al protocolo UDP que se utiliza como medio de transporte.
Dentro del proceso de intercambio y en la utilización de método EAP el Iniciador actúa
como el Peer EAP, el responder como autenticador EAP y para el servidor EAP se puede
establecer en un servidor AAA o en el mismo responder.
CAPITULO 3
Página 87
Intercambio IKEv2 utilizando el método EAP
Figura Nº 27 Intercambio IKEv2 utilizando el método EAP
Fuente: Documento electrónico: Diseño de mecanismos de re- autenticación rápida basados en
EAP para entornos móviles. (P. 54)
En (Marín 2008, p. 54) se describe la figura 26: El primer intercambio se da con el fin de
brindar seguridad a nivel IKE (IKE - SA) y con el cual se van a proteger los intercambios
posteriores. En ese primer intercambio se negocian números pseudo-aleatorios,
algoritmos de encriptación entre otros. Después de esto se generan componentes de
seguridad o claves compartidas, además se integra una clave de sesión llamada
SKEYSEED de la cual se derivan todas las claves de seguridad de IKE – SA.
En la segundo intercambio se genera un intercambio IKE – AUTH, el cual está protegido
por las IKE – SA que se establecieron previamente, este proceso tiene como objetivo la
autenticación del primer intercambio, reconocer las identidades de las entidades
CAPITULO 3
Página 88
involucradas y establecer la primera seguridad tanto de AH o ESP, en modo túnel o el
modo transporte en referencia de la seguridad IPsec. Por otro lado para la autenticación se
utilizan claves públicas - privadas y certificados a través del uso de EAP.
3.10
Propuesta de Bootstrapping
La confianza en el acceso a una red es de vital importancia ya que cada usuario que ingresa a
ella espera tener un nivel de seguridad e integridad de sus datos, pero más aun, antes de
proteger los datos de un usuario es necesario reconocer a los usuarios y los proveedores del
servicio por medio de la autenticación y su respectiva autorización. Es por esto que ya no solo
los proveedores de red se ven involucrados con el encaminamiento del servicio sino que tienen
como objetivo el crecimiento de su infraestructura involucrándose en nuevos servicios de red.
En (Marín 2008, p. 75) se comenta: El proceso de Bootstrapping generaliza todo el
entorno de red como una seguridad asociativa para que se pueda ofrecer el servicio
correctamente convirtiéndose así en un paso importante en el acceso a la red. Por esto se
inserta el término credencial de usuario la cual ayudará a un mecanismo a realizar la
autenticación de una forma más eficiente y rápida, esta credencial puede ser en forma de
certificados digitales, claves pre – compartidas, password etc.
El proceso de Bootstrapping tiene dos aspectos importantes que son:

Proceso de distribución de claves que asegure el servicio confiable a la red
(Autenticación).

Información importante para el acceso correcto a la red (Autorización).
CAPITULO 3
Página 89
Esquema General de Bootstrapping
Figura Nº 28 Esquema General de Bootstrapping
Fuente: Documento electrónico: Diseño de mecanismos de re- autenticación rápida basados en
EAP para entornos móviles. (P. 75)
En la figura 28 se observa el esquema general de Bootstrapping con sus tres entidades
implicadas:
 Bootstrapping cliente (BC): esta entidad solicita el acceso a la red y se le da la
información y el material criptográfico para su acceso después de su autenticación.
 Bootstrapping Target (BT): esta entidad es la que se encarga de proveer el servicio.

Bootstrapping Agent (BA): esta entidad controla y autoriza el acceso al servicio.
Así mismo en (Marín 2008, p. 76) se definen interfaces para la respectiva comunicación
entre las entidades:
Interfaz A: se utiliza entre el BC y el BA con el fin de que se pueda intercambiar
información sobre el acceso a un servicio en específico.
CAPITULO 3
Página 90
Interfaz B: se utiliza entre el BA y el BT con el fin de configurar y establecer las
condiciones con las que el BC accederá al servicio que ofrece el BT. Por medio de
datos de autorización
Interfaz C: se utiliza entre el BC y el BT con el fin tener acceso al servicio.
Para que se dé el proceso de Bootstrapping, inicialmente la entidad BC se contacta con la
entidad BA por medio del protocolo Bootstrapping o sea la interfaz A. el protocolo asigna
un mecanismo para autenticar al BC y así mismo se pueda acceder al servicio que presta
la entidad BT.
3.11
Propuesta Bootstrapping basada en EAP EXT
Como se ha visto en los apartados anteriores el protocolo EAP se creó con el fin de manejar la
autenticación del usuario y debido a su extensibilidad para crear métodos dentro de EAP
sobre todo en métodos tunelados, ha permitido que después de la autenticación se creen
asociaciones de seguridad (SA) a nivel de EAP. Y estas asociaciones de seguridad se utilicen
para enviar información de Autorización y de bootstrapping entre el Peer EAP y el servidor
EAP.
Dentro del marco de EAP se han presentado una serie de problemas en los métodos
tunelados para enviar información de Bootstrapping como se dice en (Marín 2008, p. 7980):
 El BC y el BA se encuentran en la necesidad de implementar algunos de estos
métodos EAP tunelados para autenticación y extenderlos para transportar estos
datos de bootstrapping. Surgen dos problemas aquí. En primer lugar es posible que
CAPITULO 3
Página 91
algunos de los métodos, que el operador y el cliente requieran para autenticación,
no soporten tunelado. De esta forma, existe un problema cuando un operador y sus
usuarios quieren utilizar un método concreto que no tiene soporte de tunelado EAP.
 Algunos de los métodos tunelados más conocidos (PEAPv2, EAP-TTLS, EAPFAST o EAP-ENROLLMENT) requieren, en general, establecer un túnel seguro
TLS por el cual enviar otro método de autenticación y la información de
bootstrapping. Además, si el BC no puede autenticarse con certificados, el túnel
establecido en una primera fase (con autenticación de servidor), se usa para tunelar
algún otro método de autenticación posterior, que finalmente dota del acceso a la
red.
 Los métodos tunelados han sido dispares a la hora de establecer este mecanismo de
tunelado proponiendo cada uno su propia alternativa. Sin embargo, consideramos
que la funcionalidad de tunelado debería ser desacoplada de alguna manera del
método de autenticación en sí, utilizado para dar acceso a la red. Es decir la
capacidad de tunelado debería ser independiente del método de autenticación
concreto utilizado para dar acceso a la red.
 A nivel de implementación, algunos métodos EAP (p.ej. EAP-TLS) no cumplen de
manera estricta las reglas de derivación y gestión de claves propuestas por el EAP
KMF. En concreto, un buen conjunto de implementaciones de métodos generan
solamente la clave MSK y exportan valores nulos para el Server-Id y el Peer-Id,
que es información suficiente para suministrar un control de acceso básico. Sin
embargo, con el creciente interés en reducir el tiempo de autenticación en entornos
móviles, ha surgido la necesidad de utilizar, ya no sólo la clave MSK, sino también
el resto de parámetros exportados por los métodos EAP.(P 79,80)
La creación de un nuevo método llamado EAP EXT con el fin de satisfacer las necesidades
anteriormente mencionadas pero sin cambiar el protocolo base EAP se fragmenta en una
solución importante para los proveedores y usuarios que necesiten de una conectividad
constante.
CAPITULO 3
Página 92
Como dice (Rosúa y Ortiz, 2008, p. 58): “EAP-EXT es un método EAP tunelado
diseñado para extender las capacidades nativas de autenticación de EAP, dotando a este
de la capacidad añadida de servir de proceso de bootstrapping”
El método EAP EXT ayudará a dar soporte a Bootstrapping por medio de la ejecución de EAP
ya que después de que se realice la autenticación este método tomara la información
criptográfica con el fin de crear asociaciones de seguridad y crear sus propias MSK y EMSK;
además de esto la extensión incluye varias características como son:
 Se permite la ejecución de varios métodos EAP, así las implementaciones no sigan de
una forma estricta el marco de gestión de claves (EAP MKF) pero siendo fiel con EAP
KMF y su exportación de claves y parámetros.
 Proceso de Bootstrapping seguro para servicios de red básicos y avanzados.
 Soporte de negociación de mecanismos de distribución de claves y algoritmos de
encriptación.
 Separación del proceso de autenticación y el tunelado de información de autorización
3.11.1 Intercambio de mensajes en EAP EXT
Tal y como aparece en los apartados anteriores el método EAP EXT está constituido por
intercambios Solicitud-respuesta en el cual interactúan el Peer y el Servidor EAP por medio
del formato Tag, longitud, Valor (TLV) la cual se constituye como el campo de datos en EAP
EXT. En la siguiente figura se observa un Método EAP el cual es transportado por EAP EXT.
CAPITULO 3
Página 93
Flujo EAP EXT con EAP
Figura Nº 29 Flujo EAP EXT con EAP
Fuente: Documento electrónico: Diseño de mecanismos de re- autenticación rápida basados en
EAP para entornos móviles. (P. 83)
En (Marín 2008, p.84) departe sobre la figura 29 donde se observa el intercambio de
mensajes por medio de fases las cuales se derivan de:
Fase 1: el autenticador EAP enviar un mensaje EAP Request-Identity y el usuario
responde con su identidad a través del mensaje EAP Response-Identity.
Fase 2: Después que el servidor EAP recibe la información solicitada realiza el método
EAP-EXT y así el método que será encapsulado en el mismo. Envía un mensaje EAP
Request-EXT, donde informa de las capacidades que tiene que soporta y las
negociaciones de ciertos parámetros en el método EAP como algoritmos de cifrado, y
llevando así una sub fase de negociación. En esta fase se utiliza un Bit con el fin de
informar que EAP EXT va a realizar Bootstrapping de información sobre algún
servicio.
CAPITULO 3
Página 94
Fase 3: se realiza la exportación de mensajes criptográficos el cual es utilizado para
llevar a cabo la autenticación. Y se ejecuta un método X definido o por definir que se
encuentra dentro de EAP EXT los cuales son transportados por TLV method.
Fase 4: esta fase de intercambio se denomina Binding la cual confirma la autenticación
realizada en el método EAP-EXT y se ejecuta antes de enviar la información de éxito o
de fallo.
Hasta que el material criptográfico no es exportado el TLV AUTH que es un contenedor
de los datos de integridad generados en los mensajes EAP EXT, no se incluye, por esto la
información intercambiada no es protegida.
Para la finalización de la sesión el servidor EAP activa el Bit F con la intensión de
informar que el proceso de autenticación y Bootstrapping a terminado y en ese momento
el nodo móvil con su Peer también activa el bit F con la misma intensión.
Con el fin de dar un soporte generalizado a las redes heterogéneas se enfoca un punto muy
importante para que los usuarios puedan tener además de una movilidad efectiva una
seguridad e integridad de sus datos, llevando así el proyecto IST Enable como enfoque
principal para las redes de nueva generación y sus implementaciones y finalizando esta tesis
con un enfoque
a los servicios y protocolos que ayuden al entendimiento del nuevo
funcionamiento para la movilidad en IPv6 (MIPv6)
CAPITULO 3
Página 95
4
ESTUDIOS REALIZADOS EN COLOMBIA SEGURIDAD IP MÓVIL
Colombia ha realizado grande avances en infraestructura tecnológica para la prestación de
servicios de movilidad que tal vez antes no se hubiesen pensado, las tres compañías
importantes en Colombia: Comcel, Tigo y Movistar, entregan a sus usuarios servicios de voz y
datos desplegando así tecnología de punta y seguridad necesaria para los mismos.
Cabe resaltar que la indagación que se realizo con las cartas encontradas en los apéndices solo
tuvo una respuesta telefónica por parte de la empresa Movistar, logrando una refutación de
seguridad en las redes celulares pero resaltando que no tienen ninguna prevalencia para la
seguridad sobre el estándar IP móvil
La empresa Movistar dentro del concepto de seguridad maneja un cifrado encriptación para la
prestación del servicio, este fue confirmado por uno de sus integrantes y es el cifrado A5
En Gorricho y Gorricho (2002) se dice: “el estándar GSM define el algoritmo A5 como
algoritmo de encriptado en las conexiones” (P. 138) es utilizado principalmente en
Europa y estados unidos y está abierto para los operadores.
Además de las empresas involucradas es importante resaltar que los grupos de investigación
dentro de las universidades, dan un apoyo importante para el establecimiento y conocimiento
de seguridad de las nuevas tecnologías.
Dentro de la universidad Militar Nueva Granada se encuentra el proyecto de Grado titulado
“Modelo de arquitectura de seguridad para redes AD HOC móviles” el cual es importante
dentro del proceso de instigación que se está realizando; sin embargo no se pudo profundizar
en su estudio debido a que dicho proyecto no se puede enviar por medio virtual por razones de
derechos de autor autorizados. Las directivas de la biblioteca de la Universidad Militar se
vieron anegadas a la petición de consulta virtual realizada.
CAPITULO 4
Página 96
CONCLUSIONES
El desarrollo del proyecto de grado involucra el protocolo IP como punto referencial del
objetivo del estudio en el proceso desarrollado sobre el estándar IP móvil. Destacando la
importancia que en las condiciones actuales de crecimiento de dispositivos móviles
conectados a Internet tienen este tipo de iniciativas.
Es importante saber que la implementación de IP móvil en IPv4 se puede presentar de acuerdo
a los esquemas teóricos presentados por el IETF en sus RFC 3344 guía de movilidad y RFC
2411 seguridad IP, dando así un punto de partida para que el servicio de IP móvil se pueda
ofrecer. Pero de igual forma se debe tener presente que la alta demanda de usuarios está
haciendo que las redes tengan que cambiar su direccionamiento al protocolo superior de IPv4,
el protocolo IPv6, el que además de tener un campo de bits superior contiene inmerso la
seguridad para este direccionamiento. Y la posibilidad de tener más usuarios y
mejor
seguridad para la información.
Es importante tener en cuenta que los posibles conflictos que se pueden presentar en el
estándar IP móvil, se derivan de la seguridad de la información, autenticación del usuario y
rutas de optimización en redes heterogéneas; así los estudios que se encuentran realizando en
protocolos como Diameter, Infraestructura AAA, EAP, proceso de Bootstrapping y migración
de redes IPv4 a IPv6 ayudaran al funcionamiento correcto del estándar IP móvil.
Los mecanismos de seguridad que se encuentran dentro del estudio, se dan principalmente
desde el inicio del proceso de movilidad tanto para el proveedor como para el usuario que
solicita el servicio, por esto los mecanismos de seguridad están completamente concatenados
con el esquema de referencia hacia los nodos móviles y el agente local.
El proceso de bootstrapping y la infraestructura AAA (autenticación, autorización y auditoría)
son importantes para que los entornos de movilidad pueda presentar el rendimiento adecuado,
Página 97
llevando así los procesos AAA como apoyo fundamental para lograr una gestión, control y
seguridad correcta de los usuarios y recursos tanto para proveedores de acceso como para
proveedores de movilidad.
El proyecto IST- Enable comprende un estudio para que el servicio de movilidad IPv6 se
pueda ofrecer de forma eficiente a gran escala, donde se contempla la transición desde IPv4
para crear diseños de arquitectura que puedan servir de referencia para la integración de los
distintos agentes involucrados y así realizando estándares que ayuden al enriquecimiento de
MIPv6 para su respectiva evolución, y dando así un punto de referencia para estudios sobre
características avanzadas como QoS o fast handover; sin dejar a un lado la posibilidad de
trabajar sobre extensiones en el protocolo EAP.
Con el fin de que se pueda ofrecer un servicio de movilidad más confiable y seguro las redes
que evolucionen de la versión 4 (IPv4) a la versión 6 (IPv6), tendrán una gran posibilidad de
no encontrar el enrutamiento triangular que se observa en MIPv4, por traer IPsec incluido
ofrece mecanismos de seguridad más completos que los que se añaden a IPv4 y a futuro
ofrecer el servicio de IP móvil a gran escala.
Es importante involucrar los estudios futuros con protocolos como EAP, Autenticación y
Autorización u o mecanismos de seguridad que ayuden a la confiabilidad y calidad del
servicio.
Página 98
BILIOGRAFIA
Calhoun, Pat. Loughney, John. Arkko, Jari. Guttman, Erik. Y Zorn, Glen (2003). RFC 3588
Protocolo Base Diameter. Recuperado el día 22 de Febrero de 2011 de: http://www.rfceditor.org/rfc/rfc3588.txt
Cortés Polo, David. Vecino de Casas, Carlos. (2008). Análisis y optimización del handover en
redes
Mobile
IP.
Recuperado
el
día
12
de
Octubre
de
2010
de:
http://gitaca.unex.es/index.php/es/contacto/112
Deering, Stephen E. Hinden, Robert M. (1998). RFC 2460 Especificación del protocolo de
Internet Versión 6 (IPv6). IETF, documentos formales, URL www.ietf.org. Recuperado el día
10 de agosto de 2010 de: http://www.rfc-es.org/rfc/rfc2460-es.txt
Díaz Fernández, Miguel Ángel. Olvera Morales, César. Y García Segura, Pedro. (2007).
Despegando con movilidad IPv6 (MIPv6). Proyecto IST – Enable URL www.ist-enable.eu.
Recuperado
el
día
22
de
Febrero
de
2011
de:
www.ist-
enable.eu/.../enable_pu_paper_consulintel_despegando_con_MIPv6 _AUI_v1_5.pdf
España Boquera, María Carmen. (2003). Servicios Avanzados de Telecomunicación. Madrid
España. Díaz de Santos, S:A.
Glenn, Rob. Kent, Stephen. (2005). RFC 2410 El uso del algoritmo de encriptación NULL y
su uso con IPsec. IETF, documentos formales, URL www.ietf.org. Recuperado el día 10 de
Enero de 2011 de: http://www.rfc-es.org/rfc/rfc2410-es.txt
Gorricho Moreno, Mónica. Gorricho Moreno, Juan Luis. (2002) Comunicaciones Móviles.
Barcelona. Ediciones UPC.
Página 99
González, Almudena. (2001). Tesis Modelos de Seguridad para Móviles. Recuperado el día 15
de
Noviembre
de
2010
de:
www.tesisenxarxa.net/TESIS_UPC/AVAILABLE/TDX.../TESIS.pdf
Information Society Technologies. (2008). Enabling efficient and operational mobility in large
heterogeneous IP networks. Proyecto IST – Enable URL www.ist-enable.eu. Recuperado el
día 10 de Febrero de 2011 de: http://www.ipv6tf.org/pdf/enablebook.pdf
Johnson, David. Perkins, Charles. Y Arkko, Jari. (2004). RFC 3775 Soporte de movilidad en
IPv6. IETF, documentos formales, URL www.ietf.org. Recuperado el día 15 de febrero de
2010 de: http://www.ietf.org/rfc/rfc3775.txt
Kent, Stephen. Atkinson, Randall. (1998). RFC 2406 Carga de seguridad IP encapsulada
(ESP). IETF, documentos formales, URL www.ietf.org. Recuperado el día 10 de Enero de
2011 de: http://www.rfc-es.org/rfc/rfc2406-es.txt
Kent, Stephen. Atkinson, Randall. (1998). RFC 2402 Cabecera de Autenticación IP. IETF,
documentos formales, URL www.ietf.org. Recuperado el día 10 de Enero de 2011 de:
http://www.rfc-es.org/rfc/rfc2402-es.txt
Kent, Stephen. Atkinson, Randall. (1998). RFC 2401 Arquitectura de seguridad para el
protocolo de internet. IETF, documentos formales, URL www.ietf.org. Recuperado el 14 de
septiembre de 2009 de: http://www.rfc-es.org/rfc/rfc2401-es.txt
Marín López, Rafael. (2008 Enero). Diseño de mecanismos de Re-autenticación
rápida
basados en EAP para entornos móviles. Recuperado el día 03 de marzo de 2011 de:
http://dialnet.unirioja.es/servlet/tesis?codigo=19283
Página 100
Padilla Aguilar, Jhon Jairo. (2007). Calidad del servicio en redes móviles. España,
Universidad politécnica de Cataluña.
Palet, Jordi. Díaz, Miguel Ángel. (2007). El reto de desplegar el servicio de movilidad IP a
gran escala. Regulatel. URL www.regulatel.org. Recuperado el día 02 de marzo de 2011 de:
www.regulatel.org/publica/Revista/L@tin%20tel%20No%209.pdf
Patil, Basavaraj. Roberts, Phils. Y Perkins, Charles. (2002). RFC 3344 movilidad IP soporte
IPv4. IETF, documentos formales, URL www.ietf.org. Recuperado el día 22 de Septiembre de
2009 de: www.ietf.org/rfc/rfc3344.txt
Pérez Herrera, Enrique. (2003). Introducción a las Telecomunicaciones Modernas. México,
Limusa
Perkins, Charles. Solomon, Jim. (1996). RFC 2002 Apoyo a la movilidad IP IETF,
documentos formales, URL www.ietf.org. Recuperado el día 14 de Septiembre de 2009 de:
www.ietf.org/rfc/rfc2002.txt
Ponce de león, Pedro J. (1999). RFC 791. Protocolo de Internet. IETF, documentos formales,
URL www.ietf.org. Recuperado el 20 de Agosto de 2009 de: http://www.rfces.org/rfc/rfc0791-es.txt
Rigney, Carl. Rubens, Allan C. Allen Simpson, William. Y Willens, Steve. (2000). RFC 2865
Autenticación Remota de usuarios en el servicio de marcación (RADIUS). Recuperado el día
22 de Febrero de 2011 de: http://www.ietf.org/rfc/rfc2865.txt
Rosúa Parra Alejandro. Ortiz Murillo, Jordi. (2008, Febrero). Diseño e Implementación de un
Mecanismo Seguro de Configuración de Servicios de Red. Recuperado el día 27 de marzo de
2011 de: webs.ono.com/jordi.ortiz/Documentos/pfc.pdf
Página 101
Sun Microsystems, Inc. (2009). Guia de administración del sistema: servicios IP. Recuperado
el día 12 de Octubre de 2010 de: http://download.oracle.com/docs/cd/E19957-01/8202981/index.html
T.A.M. de Laat, Cees. Gross, George M. Gommans, Leon. Vollbrecht, John R. Y Spence,
David W. (2000). RFC 2903 Arquitectura genérica AAA. Recuperado el día 22 de Febrero de
2011 de: http://www.rfc-archive.org/getrfc.php?rfc=2903
Thayer, Rodney. Doraswamy, Naganand. Y Glenn, Rob. (2005). RFC 2411 Documento Guía
para IPsec. IETF, documentos formales, URL www.ietf.org. Recuperado el 24 de Agosto de
2009 de: http//www.rfc-es.org/rfc2411-es.txt
Página 102
APÉNDICES
Apéndice A
Pereira, 01 de abril de 2011.
Señores
Gerente Regional
TIGO Colombia Móvil S.A E.S.P
Pereira
Cordial saludo
Yo, Christian Camilo Sanmiguel, estudiante del programa de Ingeniería de Sistemas
y Telecomunicaciones de la Universidad Católica de Pereira, como proyecto de
grado me encuentro realizando el “estudio de los mecanismos de seguridad entre
nodos móviles y agente local en entornos IP móvil”.
En esta etapa del proyecto me encuentro abordando la indagación de los
mecanismos IP móvil implementados en empresas del sector Telecomunicaciones,
por tal motivo, solicito muy respetuosamente y en la medida de lo posible, su
colaboración para conocer los esquemas de movilidad IP y seguridad que ustedes
como operadores de red manejan.
Dicha información, como lo he manifestado es solo con fines académicos.
De antemano gracias, por la atención prestada y la colaboración que me puedan
ofrecer.
CHRISTIAN CAMILO SANMIGUEL
C.C 9.862.873
DIRECCION: COODELMAR 1 MZA A CASA 2
TELEFONO: 3443168
Página 103
Apéndice B
Pereira, 01 de abril de 2011.
Señores
Gerente Regional
Movistar S.A.
Pereira
Cordial saludo
Yo, Christian Camilo Sanmiguel, estudiante del programa de Ingeniería de Sistemas
y Telecomunicaciones de la Universidad Católica de Pereira, como proyecto de
grado me encuentro realizando el “estudio de los mecanismos de seguridad entre
nodos móviles y agente local en entornos IP móvil”.
En esta etapa del proyecto me encuentro abordando la indagación de los
mecanismos IP móvil implementados en empresas del sector Telecomunicaciones,
por tal motivo, solicito muy respetuosamente y en la medida de lo posible, su
colaboración para conocer los esquemas de movilidad IP y seguridad que ustedes
como operadores de red manejan.
Dicha información, como lo he manifestado es solo con fines académicos.
De antemano gracias, por la atención prestada y la colaboración que me puedan
ofrecer.
CHRISTIAN CAMILO SANMIGUEL
C.C 9.862.873
DIRECCION: COODELMAR 1 MZA A CASA 2
TELEFONO: 3443168
Página 104
Apéndice C
Pereira, 01 de abril de 2011.
Señores
Gerente Regional
Comcel
Pereira
Cordial saludo
Yo, Christian Camilo Sanmiguel, estudiante del programa de Ingeniería de Sistemas
y Telecomunicaciones de la Universidad Católica de Pereira, como proyecto de
grado me encuentro realizando el “estudio de los mecanismos de seguridad entre
nodos móviles y agente local en entornos IP móvil”.
En esta etapa del proyecto me encuentro abordando la indagación de los
mecanismos IP móvil implementados en empresas del sector Telecomunicaciones,
por tal motivo, solicito muy respetuosamente y en la medida de lo posible, su
colaboración para conocer los esquemas de movilidad IP y seguridad que ustedes
como operadores de red manejan.
Dicha información, como lo he manifestado es solo con fines académicos.
De antemano gracias, por la atención prestada y la colaboración que me puedan
ofrecer.
CHRISTIAN CAMILO SANMIGUEL
C.C 9.862.873
DIRECCION: COODELMAR 1 MZA A CASA 2
TELEFONO: 3443168
Página 105
Descargar