Entrevista a Ravi Lingam - El Financiero, Costa Rica
Transcripción
Entrevista a Ravi Lingam - El Financiero, Costa Rica
Entrevista a Ravi Lingam, gerente general de Cisco Centroamérica ¿En qué va a consistir el cambio de IPv4 a IPv6? IPv6 es la nueva generación del protocolo que corre la Internet. IPv6 consiste en un conjunto de especificaciones que han sido estandarizadas. IPv6 está diseñada fundamentalmente para mejorar la escalabilidad y facilidad de configuración. Se requiere para expandir las capacidades de Internet y habilitar los requerimientos de conectividad masiva que se demanda hoy en día sobre todo con banda ancha fija, Internet móvil y aplicaciones peer-to-peer. El agotamiento de direcciones IPv4 públicas (visibles en Internet) es lo que está motivando a la transición y coexistencia con IPv4. Aún la mayor parte del contenido en Internet está en IPv4, sin embargo poco a poco se está viendo que nuevos contenidos y portales populares como Facebook, YouTube, Google tienen portales en IPv6. Los Proveedores de Servicio y las empresas están mirando el soporte de IPv6 y cómo integrar las capacidades existentes. Si una red no tiene salida a Internet, la urgencia es menor ya que probablemente utilizan direccionamiento privado en IPv4. Existen varios mecanismos que van a permitir la coexistencia de IPv4 con IPv6, el cambio no es que desaparece IPv4, sino que se incorpora IPv6. Pensamos que habrán muchos años donde se tendrán IPv6 e IPv4 simultáneamente a medida que los dispositivos y aplicaciones evolucionen. Con tecnologías como Internet móvil el número de direcciones IP que se necesitan se multiplica y esto hace imperativo pensar en IPv6 para desplegar estos servicios. ¿Cuánto tardará? Depende del tamaño de la red, de los contenidos y aplicaciones que tengan hoy en día con IPv4, del Data Center y los sistemas de NMS/OSS. Muchos Proveedores están empezando por fases y en su plan de transición a IPv6 involucran a todas las unidades, si el alcance es completo, pueden ser algunos años. También existe dependencia de los terminales de usuarios: CPEs (Customer Premise Equipment), móviles, laptops, sensores, etc. ¿Qué va a implicar ese cambio para las empresas? Implica una inversión de CAPEX que la mayoría de las empresas la están justificando por continuidad de negocios más que por nuevos servicios. Entre los cambios que las empresas pueden enfrentar serían cambios en HW, SW, adaptar los desarrollos de aplicaciones para IPv6, y que el Proveedor de Servicio de Internet pueda proveer acceso y conectividad para tráfico en IPv6. ¿Cómo deben prepararse? A continuación algunas de las actividades que se deben o se sugieren en la planeación y ejecución de IPv6: ▪ Justificación: Requerimientos de Negocios (Continuidad de Negocios) /Beneficios Potenciales, Qué servicios migrar, Estrategia de Tecnología y Operaciones, Diseño a Alto Nivel. ▪ Dónde estoy con IPv6?: Evaluaciones de qué se soporta en HW y SW para IPv6: Productos, Aplicaciones, Vulnerabilidades de Seguridad, Operaciones. ▪ Cómo llegar a donde quiero llegar con IPv6?: Piloto/Pruebas en ambiente de Laboratorio recreando la arquitectura, Plan de Direccionamiento de IPv6 (solicitud de bloque de direcciones IPv6 al Proveedor de Servicio de Internet o al ente regulador de direcciones, en el caso de Costa Rica es LACNIC), Diseño Detallado, Plan de migración e integración, Plan de Aceptación, Plan de Entrenamiento al personal de soporte, Estrategia de Operaciones. ▪ Implementación: Continuar con Pilotos y Pruebas de Laboratorio para simular la transición, implementación e integración, Pruebas de Aceptación, Pruebas de Operaciones. ▪ Mantenimiento y Optimización: Gestión FCAPS de Red y Servicios, Validaciones en forma frecuente, Mejoras y Optimizaciones tanto en Infraestructura, Operaciones, Seguridad, etc. Leí que no todos los equipos soportan el IPv6. Así es, no todos los equipos soportan IPv6. IPv6 se soporta en la gran mayoría de los equipos Cisco. Sin embargo es importante contactar a todos los proveedores de HW y SW de todos los equipos de comunicaciones instalados en la empresa (incluyendo aplicaciones) para realizar un análisis de los cambios necesarios así como de las funcionalidades que se deberán soportar en el ambiente de las diferentes empresas con IPv6. Cisco soporta IPv6 desde hace muchos años (2001 aproximadamente) y ha ido incorporando más funcionalidades desde entonces hasta ahora, y continuaremos incorporando más servicios y tecnologías en IPv6 que faciliten la transición de nuestros clientes. ¿Qué equipos van a tener que comprar las empresas? En un inicio las empresas deberán analizar con el fabricante si sus equipos soportan IPv6. En caso contrario tendrán que reemplazarlos. También deberán considerar actualizaciones en el SW (sistema operativo) que generalmente tienen un menor costo que cambiar el equipo de comunicación. Dual stack es una de las estrategias de coexistencia IPv4/IPv6. La gran mayoría de equipos Cisco soportan dual-stack. Eso significa que se soporta simultáneamente IPv4 e IPv6. Este es uno de los mecanismos más usados. Para ello es importante que todos los componentes tanto de red como de usuario final, aplicaciones, sistemas de gestión, etc. soporten dual-stack también. Además de que permite crear más direcciones IP, ¿qué otras ventajas tiene el IPv6 frente al IPv4? Como se tuvo tiempo de diseñar el protocolo IPv6, se optimizaron temas que en la práctica se vieron con IPv4. El principal beneficio es que IPv6 provee un número de direcciones mucho mayor que IPv4. Con IPv4 se tienen 32 bits en su espacio de direcciones para un total de 4 billones de hosts, que en la práctica por la distribución de direcciones públicas (es decir, las que son visibles en Internet) se tienen realmente hasta 250 millones de hosts. IPv6 espera acomodar en teoría, 340.282.366.920.938.463.463.374.607.431.768.211.456 direcciones. Otros beneficios son: .- Soporte de enrutamiento jerárquico .- Seguridad de extremo a extremo con IPSec (ya no se requiere NAT). Incorporación de encriptación y autenticación a nivel de la capa IP .- Autoconfiguración y reconfiguración .- Movilidad más eficiente y robusta: Cuando descubre que se encuentra en una subred diferente (es decir, no está en su subred de origen), adquiere una dirección foránea, utilizando una funcionalidad única de IPv6 llamada auto-configuración, y registra esta nueva dirección a una entidad llamada home agent ¿Por qué se dice que IPv6 es más eficiente que IPv4? En varios sentidos IPv6 es más eficiente que IPv4. Se pensó en hacer una jerarquía en el direccionamiento para mejorar el enrutamiento y la agregación de rutas. En IPv6 se definen diferentes tipos de direcciones. a. Unicast (uno a uno): identifican una única interfaz. La información enviada a una dirección unicast será entregada a la interfaz identificada por dicha dirección. Se clasifican en globales, enlace-local, locales únicas y compatible-ipv4. b. Anycast (uno-a-la-más-cercana): identifican un conjunto de interfaces, generalmente pertenecientes a diferentes dispositivos. La información enviada a una dirección anycast será entregada a una de las interfaces identificadas por la dirección. En particular a la más cercana, midiendo la distancia según la métrica que utilice el protocolo de enrutamiento en uso. c. Multicast (uno-a-muchas): identifican un conjunto de interfaces, generalmente pertenecientes a diferentes nodos. La información enviada a una dirección multicast será entregada a todas las interfaces identificadas con la dirección. d. Reservado En cuanto a la movilidad en IPv6, un host móvil en IPv6 tiene una o más direcciones de origen. Cuando descubre que se encuentra en una subred diferente (es decir, no está en su subred de origen), adquiere una dirección foránea, utilizando una funcionalidad única de IPv6 llamada auto-configuración, y registra esta nueva dirección a una entidad llamada home agent. Los paquetes enviados a la dirección de origen del host móvil son interceptados por el home agent y reenviados a la nueva dirección utilizando encapsulación. Este mecanismo es más óptimo que en IPv4. En IPv6 se simplifica el encabezado para mejorar la eficiencia del enrutamiento y conmutación de paquetes. ¿Qué pasará con las direcciones IPv4? ¿Seguirán funcionando después de que se adopte el IPv6? En los primeros años de implementación de IPv6, no todos los servicios o aplicaciones serán soportados sobre este. Esto hace necesario mantener el protocolo IPv4 durante varios años más hasta que el 100% de las aplicaciones o servicios estén soportados sobre el protocolo IPv6. Algunos analistas creen que IPv4 estará por 50 años más en la industria de las telecomunicaciones. Es decir, que por un buen tiempo las redes van a coexistir IPv4 con IPv6. ¿En el tema de seguridad, que diferencias tienen? IPv4 tiene algunas vulnerabilidades de seguridad que no se tienen en IPv6. IPv6 tiene algunas vulnerabilidades de seguridad que no se tienen en IPv4. IPv4 e IPv6 tienen muchas vulnerabilidades de seguridad en común, que se pueden mitigar a través de los mismos mecanismos que se conocen para IPv4. ¿IPSec forma parte integral del IPv6? IPv6 tiene el mandato de implementar IPSec. Sin embargo, IPv6 no requiere el uso de IPSec. Algunas organizaciones creen que IPSec debe ser usado para asegurar todos los flujos. Para ello es necesario tener los endpoints (hosts) y usuarios finales con IPSec y necesitan ser elementos confiables, ya que con IPSec no se pueden realizar funciones como IPS (Intrution Prevention System), ACL (Access Control Lists, o filtros), o firewall. A nivel de seguridad en el protocolo de enrutamiento, IPSec en IPv6 se usa para autenticación de protocolos como RIPng y PIM. Protocolos como BGP, ISIS, EIGRP e inclusive OSPFv3 usan autenticación usando MD5. OSPFv3 también puede usar IPSec. Leí que “es recomendable que cada nodo IPv6 tenga un firewall local instalado en el propio nodo que filtre las comunicaciones indeseadas” ¿Qué significa eso? Dado que IPv6 entrega una dirección pública (alcanzable desde cualquier lugar del mundo) a todos los dispositivos de usuario, se hace indispensable activar mecanismos de seguridad para evitar situación no deseadas. El uso de firewall local instalado en el propio dispositivo o nodo es uno de ellos pero no el único. Siempre hay que determinar los mecanismos de seguridad adecuados según los objetivos de cada organización. ¿Qué otras medidas de seguridad son necesarias? Todas las que se puedan. La base de toda seguridad, es la creación, revisión y constante mejora de las políticas de seguridad definidas por cada organización para el funcionamiento adecuado de sus redes de datos. Entre las recomendaciones de seguridad que sugerimos es que entrenamiento en IPv6 y en seguridad en ambientes con IPv6 es fundamental ya que la experiencia operativa puede ser un punto de vulnerabilidad adicional por un tiempo. Implementar los mecanismos de seguridad equivalentes y similares que en IPv4: ACLs (Listas de Control de Acceso), Firewall, Port Security, Accounting de Flujos, etc. Es decir, controlar el tráfico IPv6 de la misma forma como hoy en día se hace para IPv4. Y aprovechar IPSec para asegurar IPv6 donde sea posible y factible implementarlo.