Entrevista a Ravi Lingam - El Financiero, Costa Rica

Entrevista a Ravi Lingam - El Financiero, Costa Rica

Entrevista a Ravi
Lingam,
gerente general de Cisco Centroamérica
¿En qué va a consistir el cambio de IPv4 a IPv6?
IPv6 es la nueva generación del protocolo que corre la Internet. IPv6 consiste en un conjunto
de especificaciones que han sido estandarizadas. IPv6 está diseñada fundamentalmente para
mejorar la escalabilidad y facilidad de configuración. Se requiere para expandir las capacidades
de Internet y habilitar los requerimientos de conectividad masiva que se demanda hoy en día
sobre todo con banda ancha fija, Internet móvil y aplicaciones peer-to-peer.
El agotamiento de direcciones IPv4 públicas (visibles en Internet) es lo que está motivando a la
transición y coexistencia con IPv4. Aún la mayor parte del contenido en Internet está en IPv4,
sin embargo poco a poco se está viendo que nuevos contenidos y portales populares como
Facebook, YouTube, Google tienen portales en IPv6.
Los Proveedores de Servicio y las empresas están mirando el soporte de IPv6 y cómo integrar
las capacidades existentes. Si una red no tiene salida a Internet, la urgencia es menor ya que
probablemente utilizan direccionamiento privado en IPv4.
Existen varios mecanismos que van a permitir la coexistencia de IPv4 con IPv6, el cambio no es
que desaparece IPv4, sino que se incorpora IPv6. Pensamos que habrán muchos años donde se
tendrán IPv6 e IPv4 simultáneamente a medida que los dispositivos y aplicaciones evolucionen.
Con tecnologías como Internet móvil el número de direcciones IP que se necesitan se
multiplica y esto hace imperativo pensar en IPv6 para desplegar estos servicios.
¿Cuánto tardará?
Depende del tamaño de la red, de los contenidos y aplicaciones que tengan hoy en día con
IPv4, del Data Center y los sistemas de NMS/OSS. Muchos Proveedores están empezando por
fases y en su plan de transición a IPv6 involucran a todas las unidades, si el alcance es
completo, pueden ser algunos años. También existe dependencia de los terminales de
usuarios: CPEs (Customer Premise Equipment), móviles, laptops, sensores, etc.
¿Qué va a implicar ese cambio para las empresas?
Implica una inversión de CAPEX que la mayoría de las empresas la están justificando por
continuidad de negocios más que por nuevos servicios.
Entre los cambios que las empresas pueden enfrentar serían cambios en HW, SW, adaptar los
desarrollos de aplicaciones para IPv6, y que el Proveedor de Servicio de Internet pueda
proveer acceso y conectividad para tráfico en IPv6.
¿Cómo deben prepararse?
A continuación algunas de las actividades que se deben o se sugieren en la planeación y
ejecución de IPv6:
▪ Justificación: Requerimientos de Negocios (Continuidad de Negocios) /Beneficios
Potenciales, Qué servicios migrar, Estrategia de Tecnología y Operaciones, Diseño a Alto Nivel.
▪ Dónde estoy con IPv6?: Evaluaciones de qué se soporta en HW y SW para IPv6: Productos,
Aplicaciones, Vulnerabilidades de Seguridad, Operaciones.
▪ Cómo llegar a donde quiero llegar con IPv6?: Piloto/Pruebas en ambiente de Laboratorio
recreando la arquitectura, Plan de Direccionamiento de IPv6 (solicitud de bloque de
direcciones IPv6 al Proveedor de Servicio de Internet o al ente regulador de direcciones, en el
caso de Costa Rica es LACNIC), Diseño Detallado, Plan de migración e integración, Plan de
Aceptación, Plan de Entrenamiento al personal de soporte, Estrategia de Operaciones.
▪ Implementación: Continuar con Pilotos y Pruebas de Laboratorio para simular la
transición, implementación e integración, Pruebas de Aceptación, Pruebas de Operaciones.
▪ Mantenimiento y Optimización: Gestión FCAPS de Red y Servicios, Validaciones en forma
frecuente, Mejoras y Optimizaciones tanto en Infraestructura, Operaciones, Seguridad, etc.
Leí que no todos los equipos soportan el IPv6.
Así es, no todos los equipos soportan IPv6. IPv6 se soporta en la gran mayoría de los equipos
Cisco. Sin embargo es importante contactar a todos los proveedores de HW y SW de todos los
equipos de comunicaciones instalados en la empresa (incluyendo aplicaciones) para realizar un
análisis de los cambios necesarios así como de las funcionalidades que se deberán soportar en
el ambiente de las diferentes empresas con IPv6.
Cisco soporta IPv6 desde hace muchos años (2001 aproximadamente) y ha ido incorporando
más funcionalidades desde entonces hasta ahora, y continuaremos incorporando más servicios
y tecnologías en IPv6 que faciliten la transición de nuestros clientes.
¿Qué equipos van a tener que comprar las empresas?
En un inicio las empresas deberán analizar con el fabricante si sus equipos soportan IPv6. En
caso contrario tendrán que reemplazarlos. También deberán considerar actualizaciones en el
SW (sistema operativo) que generalmente tienen un menor costo que cambiar el equipo de
comunicación.
Dual
stack
es
una
de
las
estrategias
de
coexistencia
IPv4/IPv6.
La gran mayoría de equipos Cisco soportan dual-stack. Eso significa que se soporta
simultáneamente IPv4 e IPv6. Este es uno de los mecanismos más usados. Para ello es
importante que todos los componentes tanto de red como de usuario final, aplicaciones,
sistemas de gestión, etc. soporten dual-stack también.
Además de que permite crear más direcciones IP, ¿qué otras ventajas tiene el IPv6 frente al
IPv4?
Como se tuvo tiempo de diseñar el protocolo IPv6, se optimizaron temas que en la práctica se
vieron con IPv4. El principal beneficio es que IPv6 provee un número de direcciones mucho
mayor que IPv4. Con IPv4 se tienen 32 bits en su espacio de direcciones para un total de 4
billones de hosts, que en la práctica por la distribución de direcciones públicas (es decir, las
que son visibles en Internet) se tienen realmente hasta 250 millones de hosts. IPv6 espera
acomodar en teoría, 340.282.366.920.938.463.463.374.607.431.768.211.456 direcciones.
Otros beneficios son:
.- Soporte de enrutamiento jerárquico
.- Seguridad de extremo a extremo con IPSec (ya no se requiere NAT). Incorporación de
encriptación y autenticación a nivel de la capa IP
.- Autoconfiguración y reconfiguración
.- Movilidad más eficiente y robusta: Cuando descubre que se encuentra en una subred
diferente (es decir, no está en su subred de origen), adquiere una dirección foránea, utilizando
una funcionalidad única de IPv6 llamada auto-configuración, y registra esta nueva dirección a
una entidad llamada home agent
¿Por qué se dice que IPv6 es más eficiente que IPv4?
En varios sentidos IPv6 es más eficiente que IPv4. Se pensó en hacer una jerarquía en el
direccionamiento para mejorar el enrutamiento y la agregación de rutas. En IPv6 se definen
diferentes tipos de direcciones.
a. Unicast (uno a uno): identifican una única interfaz. La información enviada a una dirección
unicast será entregada a la interfaz identificada por dicha dirección. Se clasifican en globales,
enlace-local, locales únicas y compatible-ipv4.
b. Anycast (uno-a-la-más-cercana): identifican un conjunto de interfaces, generalmente
pertenecientes a diferentes dispositivos. La información enviada a una dirección anycast será
entregada a una de las interfaces identificadas por la dirección. En particular a la más cercana,
midiendo la distancia según la métrica que utilice el protocolo de enrutamiento en uso.
c. Multicast (uno-a-muchas): identifican un conjunto de interfaces, generalmente
pertenecientes a diferentes nodos. La información enviada a una dirección multicast será
entregada a todas las interfaces identificadas con la dirección.
d. Reservado
En cuanto a la movilidad en IPv6, un host móvil en IPv6 tiene una o más direcciones de origen.
Cuando descubre que se encuentra en una subred diferente (es decir, no está en su subred de
origen), adquiere una dirección foránea, utilizando una funcionalidad única de IPv6 llamada
auto-configuración, y registra esta nueva dirección a una entidad llamada home agent. Los
paquetes enviados a la dirección de origen del host móvil son interceptados por el home agent
y reenviados a la nueva dirección utilizando encapsulación. Este mecanismo es más óptimo
que en IPv4.
En IPv6 se simplifica el encabezado para mejorar la eficiencia del enrutamiento y conmutación
de paquetes.
¿Qué pasará con las direcciones IPv4? ¿Seguirán funcionando después de que se adopte el
IPv6?
En los primeros años de implementación de IPv6, no todos los servicios o aplicaciones serán
soportados sobre este. Esto hace necesario mantener el protocolo IPv4 durante varios años
más hasta que el 100% de las aplicaciones o servicios estén soportados sobre el protocolo
IPv6. Algunos analistas creen que IPv4 estará por 50 años más en la industria de las
telecomunicaciones. Es decir, que por un buen tiempo las redes van a coexistir IPv4 con IPv6.
¿En el tema de seguridad, que diferencias tienen?
IPv4 tiene algunas vulnerabilidades de seguridad que no se tienen en IPv6.
IPv6 tiene algunas vulnerabilidades de seguridad que no se tienen en IPv4.
IPv4 e IPv6 tienen muchas vulnerabilidades de seguridad en común, que se pueden mitigar a
través de los mismos mecanismos que se conocen para IPv4.
¿IPSec forma parte integral del IPv6?
IPv6 tiene el mandato de implementar IPSec. Sin embargo, IPv6 no requiere el uso de IPSec.
Algunas organizaciones creen que IPSec debe ser usado para asegurar todos los flujos. Para
ello es necesario tener los endpoints (hosts) y usuarios finales con IPSec y necesitan ser
elementos confiables, ya que con IPSec no se pueden realizar funciones como IPS (Intrution
Prevention System), ACL (Access Control Lists, o filtros), o firewall.
A nivel de seguridad en el protocolo de enrutamiento, IPSec en IPv6 se usa para autenticación
de protocolos como RIPng y PIM. Protocolos como BGP, ISIS, EIGRP e inclusive OSPFv3 usan
autenticación usando MD5. OSPFv3 también puede usar IPSec.
Leí que “es recomendable que cada nodo IPv6 tenga un firewall local instalado en el propio
nodo que filtre las comunicaciones indeseadas” ¿Qué significa eso?
Dado que IPv6 entrega una dirección pública (alcanzable desde cualquier lugar del mundo) a
todos los dispositivos de usuario, se hace indispensable activar mecanismos de seguridad para
evitar situación no deseadas. El uso de firewall local instalado en el propio dispositivo o nodo
es uno de ellos pero no el único. Siempre hay que determinar los mecanismos de seguridad
adecuados según los objetivos de cada organización.
¿Qué otras medidas de seguridad son necesarias?
Todas las que se puedan. La base de toda seguridad, es la creación, revisión y constante
mejora de las políticas de seguridad definidas por cada organización para el funcionamiento
adecuado de sus redes de datos.
Entre las recomendaciones de seguridad que sugerimos es que entrenamiento en IPv6 y en
seguridad en ambientes con IPv6 es fundamental ya que la experiencia operativa puede ser un
punto de vulnerabilidad adicional por un tiempo. Implementar los mecanismos de seguridad
equivalentes y similares que en IPv4: ACLs (Listas de Control de Acceso), Firewall, Port Security,
Accounting de Flujos, etc. Es decir, controlar el tráfico IPv6 de la misma forma como hoy en día
se hace para IPv4. Y aprovechar IPSec para asegurar IPv6 donde sea posible y factible
implementarlo.