Introducción a IPv6

Introducción a IPv6
Juan C. Alonso
[email protected]
@jotaceuy
Internet y el TCP/IP
● 
1969 – Inicio de ARPANET
● 
1981 – Definición de IPv4 en la RFC 791
● 
1983 – ARPANET adopta los protocolos TCP/IP
● 
● 
1990 – Primeros estudios sobre el agotamiento de
las direcciones
1993 – Internet comienza a ser explotada
comercialmente
- Se intensifica la discusión sobre el posible
agotamiento de direcciones y el aumento
de las tablas de ruteo
Agotamiento de direcciones IPv4
● 
IPv4 = 4.294.967.296 direcciones
● 
Política inicial de distribución de direcciones
§ 
§ 
§ 
§ 
Classe A
o 
IBM
o 
HP
o 
AT&T
o 
MIT
o 
o 
o 
o 
DoD
US Army
USPS
........
Classe B
Classe C
Direcciones reservadas
Agotamiento de direcciones IPv4
Soluciones
Soluciones paliativas:
● 
1992 - IETF crea el grupo ROAD (ROuting and ADdressing).
● 
CIDR (RFC 4632)‫‏‬
● 
Fin del uso de clases = bloques de tamaño apropiado
● 
Dirección de red = prefijo/longitud
● 
Agregación de rutas = crece el tamaño de la tabla de rutas
DHCP
●  Asignación dinámica de direcciones
● 
NAT + RFC 1918 (Address Allocation for Private Internets)
●  Permite conectar toda una red de computadores usando
solamente una dirección publica de internet
● 
Soluciones
NAT
Ventajas
• 
• 
• 
• 
Reduce la necesidad de direcciones publicas
Facilita la numeración interna de las redes
Oculta la topología de las redes
Solo permite la entrada de paquetes generando
una respuesta a un pedido de la red
Desventajas
• 
• 
• 
• 
• 
• 
• 
Rompe el modelo punto a punto de Internet
Dificulta el funcionamiento de una serie de aplicaciones
No es escalable
Aumento de procesamiento en dispositivo traductor
Falsa sensación de seguridad
Imposibilidad de rastrear el camino del paquete
Impide la utilización de mecanismos de seguridad como IPSec
Soluciones
Soluciones paliativas: Caída de apenas el 14%
Soluciones
Las medidas comentadas habilitan mas tiempo para desarrollar una
nueva versión del protocolo IP
• 
1992 - IETF crea el grupo IPng (IP Next Generation)‫‏‬
• 
Principales preguntas:
• 
Escalabilidad
• 
Seguridad
• 
Configuración y Administración de red
• 
Soporte QoS
• 
Movilidad
• 
Políticas de ruteo
• 
Transición
Soluciones
Solución definitiva
IPv6
• 
1998 Definido por el RFC 2460
• 
128 bits para direccionamiento
• 
Cabezal base simplificado
• 
Cabezales de extensión
• 
Identificación de flujo de datos (QoS).
• 
Mecanismos de IPSEC incorporados al protocolo
• 
• 
Realiza la fragmentación y re-ensamblaje de los
paquetes en el origen y destino
No requiere el uso de NAT, permitiendo conexiones
punto a punto
• 
Mecanismos que facilitan la configuración de las red
• 
....
Por que utilizar IPv6 hoy?
Internet continua creciendo
Cantidad de hosts en Internet
Por que utilizar IPv6 hoy?
Internet continua creciendo
• 
~2.000 millones de usuarios de Internet
• 
~30% de la población
• 
Crecimiento de 400% en los últimos 10 años
• 
En 2014 la suma de celulares, Smartphones, Notebooks
y módems 3G debe llegará a los 2.25 billones de equipos
Progreso despliegue IPv6
Encuesta a 130 operadores finalizada Set/2012 •  80% Han desplegado o planean desplegar IPv6 en los próximos 12 meses •  90% Han seleccionado dual-­‐stack como estrategia de transición •  50% No Dene visibilidad de su trafico IPv6 a pesar que casi el total de los encuestados respondieron que la visibilidad de sus prefijos y servicios es muy importante •  42% AnDcipa un 20% de aumento en el trafico IPv6 en los próximos 12 meses •  70% EsDma que los ataques mas frecuentes serán los de floods de tráfico o DDoS Fuente: Arbor Networks, Inc -­‐ www.arbornetworks.com/report Progreso despliegue IPv6 …
24% Si, despliegue completo 54% Si, despliegue en proceso 22% No, proximo a realizarse Desarrollo de IPv6 en la región
Desarrollo de IPv6 en Bolivia
Riesgos de no implantar IPv6
• 
La no implementación de IPv6 va a:
• 
• 
• 
• 
Dificultar el surgimiento de nuevas redes
Enlentecer el proceso de inclusión digital o reducir la cantidad
de nuevos usuarios
• 
Dificultar el surgimiento de nuevas aplicaciones
• 
Aumentar la utilización de técnicas como NAT
El costo de no implementar IPv6 podrá ser mayor que el de
implementarlo
Los proveedores de Internet necesitan innovar y ofrecer nuevos
servicios a sus clientes
RFCs relacionados
• 
• 
• 
• 
• 
• 
• 
• 
• 
• 
RFC 1287 - Towards the Future Internet Architecture.
RFC 3330 - Special-Use IPv4 Addresses
RFC 1380 - IESG deliberaciones sobre enrutamiento y direccionamiento
RFC 1918 - Asignación de direcciones para redes privadas
RFC 2131 - Protocolo de configuración dinámica de host
RFC 2775 - Transparencia en Internet
RFC 2993 - NAT Arquitectónico Consecuencias
RFC 3022 - Red IP tradicional Traductor de direcciones (NAT Tradicional)
RFC 3027 - Protocolo de complicaciones con el traductor de direcciones de red IP
RFC 4632 - Classless Inter-Domain Routing (CIDR): La asignación de direcciones de
Internet y el Plan de agregación.
•  RFC 1550 - IP: próxima generación (IPng) Solicitud Libro Blanco
•  RFC 1752 - La recomendación para el Protocolo IP Next Generation
•  RFC 2460 - Protocolo de Internet versión 6 (IPv6) Specification
Enlaces interesantes
•  http://www.arbornetworks.com/IPv6research
•  https://sites.google.com/site/ipv6implementors/conference2009/
agenda/10_Lees_Google_IPv6_User_Measurement.pdf
•  http://www.oecd.org/dataoecd/48/51/44953210.pdf
•  http://www.ams-ix.net/sflow-stats/ipv6/
•  http://bgp.he.net/ipv6-progress-report.cgi
•  http://portalipv6.lacnic.net/
•  http://bgp.potaroo.net/v6/as2.0/index.html
Agotamiento del espacio IPv4
Distribución actual IPv4
AFRINIC, 4 Varios RIRS, 53 APNIC, 45 Reservados, 19 Experimental, 9 MulDcast, 16 ARIN, 36 RIPENCC, 37 LACNIC, 10 Stock IANA, 0 Unidad = /8
(/8 = 1/256 del total de direcciones IPv4 )
Evolución del Pool Central IPv4
120 100 80 60 40 20 0 1999 2000 2001 2002 2003 2004 2005 2006 /8 2007 2008 2009 2010 2011 Proyecciones de agotamiento
© Geoff Huston -­‐ h-p://www.potaroo.net/tools/ipv4 Proyecciones de agotamiento
© Geoff Huston -­‐ h-p://www.potaroo.net/tools/ipv4 Espacio IPv4 disponible en LACNIC
Espacio IPv4 disponible en LACNIC
•  Cuando el espacio en LACNIC alcance las 4.194.304
direcciones se considerará el stock de LACNIC
finalizado
•  Cuando el pool alcance las 2.097.152 direcciones
disponibles LACNIC activarán las políticas relativas
a la extinción del espacio disponible IPv4
–  Punto 11 del manual de politicas http://www.lacnic.net/sp/
politicas/manual11.html
Espacio IPv4 disponible en LACNIC
Disponible Hoy
37.283.072
Disponible Hoy /8
2,22
Reserva último /10
- 25%
Total
1,97 /8 = 33.088.768 IPs
Disponibilidad vs. accesibilidad
Dificultad (¿y costo?)
para obtener espacio
IPv4
Disponibilidad de
espacio IPv4
Crecimiento de dispositivos
y usuarios conectados
Espacio IPv4 disponible /8s en cada RIR
Bloques IPv4 asignados (RIRs a organizaciones)
Bloques IPv4 asignados totales
(RIRs a organizaciones)
Cuanto espacio IPv6 hay disponible ?
Asignaciones IPv6 totales
Asignaciones IPv6 por año
Porcentaje de miembros con IPv4 e IPv6
¿Qué puede pasar?
•  El Internet no se detendrá, y habrá direcciones IPv4 por
algunos años (en diferentes formas)
•  Mercados secundarios/grises. Dificultad para asignar
IPv4 equitativamente
•  Dificultades para asignar grandes (y no tan grandes)
bloques contiguos (Ej. redes de banda ancha)
¿Qué puede pasar? (cont.)
•  IPv6 no será adoptado masivamente hasta que se
terminen las direcciones IPv4 o hasta que haya
adecuados incentivos (económicos, políticos,
regulatorios)
•  Restricciones en el crecimiento de redes de acceso de
Banda Ancha
•  Usuarios “sólo IPv6”
¿Qué podemos hacer?
•  La mejor forma de evitar problemas mayores por la
finalización de IPv4 es la adopción temprana de IPv6
•  Todos los actores pueden contribuir desde sus
respectivos roles
•  Para América Latina, la adopción de IPv6 puede ser más
importantes que para otras regiones
IPv6 no es un problema, es una
oportunidad de desarrollo para
las TICs en la región
Coexistencia y Transición
Coexistencia y Transición
l 
l 
l 
l 
l 
l 
Toda la estructura de Internet esta basada en el protocolo IPv4
Un cambio inmediato de protocolo es inviable debido al
tamaño y proporción que posee la red
La adopción de IPv6 debe ser realizada de forma gradual
Habrá un periodo de transición y coexistencia entre los
dos protocolos
Las rede IPv4 necesitaran comunicarse con la redes IPv6 y
viceversa
Para facilitar este proceso, se desarrollaron algunas técnicas
que buscan mantener la compatibilidad de las redes que están
desplegadas en IPv4 con el nuevo protocolo IPv6
Coexistencia y Transición
l 
Estas técnicas de transición son divididas en 3 categorías:
l 
Doble pila
l 
l 
Túneles
l 
l 
Provee soporte a ambos protocolos en el mismo dispositivo
Permite el trafico de paquetes IPv6 sobre la estructura
de la red IPv4 ya existente
Traducción
l 
Permite la comunicación entre nodos con soporte IPv6 con
los nodos que soportan solamente IPv4
Doble pila
l 
l 
l 
l 
Los nodos se tornan capaces de enviar/
recibir paquetes tanto IPv4 como IPv6
Un nodo IPv6/IPv4 cuando se comunica
con un nodo IPv6, se comporta como un
nodo IPv6 y en la comunicación con uno
IPv4, como un nodo IPv4
El nodo precisa al menos una dirección
de cada una de las pilas
Utiliza mecanismos IPv4, como por
ejemplo DHCP, para tomar direcciones
IPv4, y mecanismos IPv6 para direcciones
IPv6
Capa de Aplicacion
TCP/UDP
IPv6
IPv4
Capa de Enlace
Paquete
IPv6
Paquete
IPv4
Doble pila
Una
red de doble pila es una infraestructura capaz
de encaminar ambos tipos de paquetes
l 
l 
Algunos aspectos a tener en cuenta:
l 
Configuración de los servers de DNS
l 
Configuración de los protocolos de ruteo
l 
Configuración de los firewalls !!!!
l 
Cambios en el gerenciamiento de red
Seguridad
l 
l 
l 
l 
Con la utilizacion de la tecnica de Doble Pila las aplicaciones estan
expuestas a los ataques en ambos protocolos, IPv6 e IPv4, lo que se
resuelve con la configuracion de firewalls especificos para cada
protocolo
Las tecnicas de tuneles y traduccion son las que causan los
mayores impactos desde el punto de vista de la seguridad
Los mecanismos de tuneles son suceptibles a los ataques de DoS,
falsificacion de paquetes y de direcciones de routers y relays
utilizados por esas técnicas, como 6to4 y TEREDO.
Las técnicas de traduccion implican problemas relacionados com
incompatibilidades relacionados com esas tecnicas y algunos de los
mecanismos de seguridad existentes, similar a lo que ocurre com
NAT e IPv4
Técnicas de Tunel
l 
l 
l 
También llamada de encapsulamiento
El contenido del paquete IPv6 es encapsulado
en un paquete IPv4
Puede ser clasificados en los siguientes modos:
l 
Router-a-Router
l 
Host-a-Router
l 
Router-a-Host
l 
Host-a-Host
Técnicas de Tunel
l 
Existen diferentes formas de encapsulamiento:
l 
l 
Paquetes IPv6 encapsulados en paquetes IPv4
l 
Protocolo 41
l 
6to4, ISATAP y Tunnel Brokers
Paquetes IPv6 encapsulados en paquetes GRE
l 
l 
Protocolo GRE
Paquetes IPv6 encapsulados en paquetes UDP
l 
TEREDO (En proceso de desactivacion)
Tunnel Broker
l 
l 
l 
l 
Consiste en un túnel IPv6 dentro de la red IPv4, creado en el
propio computador o red hasta el proveedor que va a proveer
la conectividad IPv6
El procedimiento consiste en registrarse en un proveedor de
acceso Tunnel Broker y descargar un software o script de
configuración que permita establecer este túnel
La conexión del túnel se realiza a través de una solicitud en el
servidor web del proveedor que ofrece este servicio
Es indicado para redes pequeñas o para un host único
independiente
6to4
l 
l 
l 
l 
l 
l 
l 
Forma de túnel router-a-router
Proporcionando una dirección IPv6 única al
host
La dirección es formada por el prefijo de
dirección global 2002:wwxx:yyzz::/48,
donde wwxx:yyzz es la dirección IPv4
pública del host convertida a hexadecimal
El relay 6to4 puede ser identificado por la
dirección anycast 192.88.99.1.
Encaminado Asimétrico.
Puede ser utilizado con Relays públicos,
cuando no hay conectividad v6 nativa.
Cuando hay conectividad nativa y servicios,
debe ser implementada para facilitar la
comunicación con clientes 6to4
6to4
l 
Seguridad
l 
l 
l 
Los Relay router no verifican los paquetes IPv6 que están
encapsulados en IPv4, a pesar de que los encapsula y des encapsula
El spoofing de direcciones es un problema grave en los túneles
6to4, y puede ser fácilmente explotado
No hay un sistema de autenticación entre el router y el relay que
oficia de router, facilitando así la explotación de vulnerabilidades de
seguridad a través de la utilización de relays/routers falsos
ISATAP
l 
l 
l 
ISATAP (Intra-Site Automatic Tunnel Addressing Protocol ) - técnica
de túnel que conecta hosts-a-routers
No hay servicios públicos de ISATAP, es una técnica utilizada dentro
de las organizaciones
Es útil, por ejemplo, cuando la organización ya tiene numeración IPv6
válida y conectada en el borde, pero su infraestructura interna no
soporta IPv6
Teredo
l 
Encapsula el paquete IPv6 en paquetes UDP
l 
Funciona a través de NAT
l 
l 
Envia paquetes bubles periodicamente al servidor para
mantener las configuraciones iniciales de la conexion UDP
Su funcionamiento es complejo y presenta u overhead
GRE
l 
l 
l 
l 
GRE (Generic Routing Encapsulation) - túnel estático hosts-a-host
desarrollado para encapsular varios tipos de protocolos diferentes
Soportado en la mayoría de los sistemas operativos y routers
Su funcionamiento consiste en tomar los paquetes originales,
agregar un cabezal GRE y enviarlo al IP de destino
Cuando el paquete encapsulado llega a la otra punta del túnel, se
remueve el cabezal GRE y se procesa el paquete original
Cabezal IPv4
Cabezal GRE
Paquete siendo
Transportado
6RD •  Desarrollada por el ISP francés Free •  6 semanas de desarrollo •  Técnica de túnel que permite implementar IPv6 en una red que soporta solamente IPv4 •  Debe ser soportado por los equipamientos de los clientes (CPEs). 6RD •  CPE 6rd: instalado como interface entre la red de la operadora y del usuario •  Relay 6rd: instalado en la interfaz entra la red IPv4 de la operadora y la Internet IPv6 Seguridad
• 
Como protegerse:
• 
• 
• 
Utilizar doble pila en la migración, protegiendo las dobles pilas
con firewall
Dar preferencia a los túneles estáticos, en lugar de los
automáticos
Permitir la entrada de trafico solamente desde los túneles
autorizados