Documentos de Académico
Documentos de Profesional
Documentos de Cultura
ImplementacionIpv6 UTFSM Proyecto
ImplementacionIpv6 UTFSM Proyecto
ABRIL 2009
Este trabajo es la novena sinfona que marca el fin de mi vida universitaria. Etapa en la que diversos msicos han participado, interpretando virtuosamente los pasajes y melodas que me acompaaron durante estos aos. A mi familia y en especial a mis padres, por apoyarme y alentarme en todas las decisiones que he tomado. A todos mis amigos y amigas que tuve la fortuna de conocer durante mi paso por esta Universidad. Gracias por ser parte de mi mundo. A todos los profesores que guiaron y me alentaron a explotar mis capacidades como persona y estudiante. Gracias a todos ellos El director
Resumen
El protocolo de Internet versin 4 (IPv4) ha sido el principal protagonista del desarrollo y expansin de Internet en las ltimas dcadas. El crecimiento explosivo de Internet y la diversificacin de los servicios que entrega, han expuesto los problemas existentes actualmente en IPv4. Es por este motivo que se ha desarrollado el protocolo de Internet versin 6 (IPv6), que corrige dichos problemas y permite crear la base para el desarrollo de Internet durante las prximas dcadas. En la actualidad, el soporte IPv6 que ofrecen los fabricantes de equipos y programas computacionales ha alcanzado un desarrollo que permite la implementacin de redes IPv6 nativas. Ya no es necesario depender de herramientas de traduccin y/o tneles para poder desarrollar redes IPv6 que implementen el mismo tipo de servicios otorgados en redes IPv4. Este trabajo presenta el desarrollo e implementacin de una red IPv6 en la UTFSM conectada directamente a Internet. Se entregan los criterios utilizados para la actualizacin de los equipos de la red junto al plan de integracin de IPv6. Se realiza una revisin del soporte IPv6 en sistemas operativos y servicios de red junto a un anlisis sobre posibles ataques que afecten la seguridad de la red implementada. Palabras claves: IPv6, red UTFSM, dual-stack, seguridad.
ii
Abstract
Internet Protocol version 4 (IPv4) has been a key player in the development and expansion of the Internet during the last decades. The explosive growth of Internet and the diversification of its services have exposed some of the existing problems IPv4 protocol has. This is the reason why a new version has been developed, the Internet Protocol version 6 (IPv6), which addresses mentioned problems and allows to create a platform for the future of Internet during the next decades. Today, hardware and software providers support for IPv6 has reached a level which allows the deployment of native IPv6 networks. Protocol translation tools and tunnels are not longer required to deploy IPv6 networks which are able to offer the same kind of services available in IPv4 networks. This work presents the design and implementation of an IPv6 network in UTFSM, which is connected directly to Internet. This document includes the chosen criteria used to upgrade network hardware, the integration plan for implementing IPv6 and a review of the IPv6 support available in operating systems and software. A security analysis was made in the network about possible IPv6 vulnerabilities that could jeopardize the implemented network.
iii
ndice General
1. Introduccin ......................................................................................................... 1 2. La necesidad de IPv6 ........................................................................................... 4 2.1. Problemas existentes en IPv4...................................................................... 4 Agotamiento direcciones IP ................................................................ 5 Problemas de arquitectura ................................................................... 9 2.1.1. 2.1.2. 2.2. 3.1. 3.2. 3.3. 3.4.
Motivadores del cambio a IPv6 ................................................................ 10 Caractersticas del protocolo IPv6 ............................................................ 13 Estructura de un paquete IPv6 .................................................................. 14 Formato de una direccin IPv6 ................................................................. 16 Direccionamiento IPv6 ............................................................................. 17 Unicast ............................................................................................... 18 Direcciones unicast locales al enlace ............................................. 19 Direcciones unicast locales nicas ................................................. 20 Direcciones unicast Globales: ........................................................ 21 Multicast ............................................................................................ 22 Anycast .............................................................................................. 24
3.4.1. 3.4.2. 3.4.3. 3.4.4. 3.4.5. 3.4.6. 3.5. 3.6. 3.7. 3.8. 4.1. 4.2. 4.3. 4.4. 4.5.
Algoritmos de Enrutamiento ..................................................................... 25 ICMPv6 ..................................................................................................... 25 Protocolo de descubrimiento de vecinos ........................................... 25 Mecanismos de configuracin de direcciones .......................................... 26 Fragmentacin........................................................................................... 28 Red Institucional UTFSM ......................................................................... 30 Mecanismos de implementacin de redes IPv6 ........................................ 32 Anlisis del soporte IPv6 en la red institucional ....................................... 33 Alternativas de equipamiento ................................................................... 34 Comparacin de alternativas de equipamiento ......................................... 35 Soporte IPv6 ...................................................................................... 35 Tecnologas y filosofa de diseo. ..................................................... 36 Costos de implementacin y soporte ................................................. 37
iv
3.6.1.
5. Diseo e Implementacin de la red IPv6 ......................................................... 39 5.1. 5.2. Topologa revisada de la red institucional UTFSM .................................. 39 Conexin a Internet mediante IPv6 ........................................................... 40 Seleccin de un proveedor de servicios de Internet (ISP) ................. 40 Obtencin de un prefijo IPv6 ............................................................ 41 Protocolo de enrutamiento externo .................................................... 42 Protocolo de enrutamiento interno .................................................... 43
Protocolos de enrutamiento....................................................................... 42
Direccionamiento IPv6 en la UTFSM ...................................................... 43 Configuracin equipos .............................................................................. 44 Soporte IPv6 en sistemas operativos......................................................... 46 Sistemas operativos Windows ........................................................... 47 FreeBSD, OpenBSD y NetBSD ........................................................ 48 Linux .................................................................................................. 48
6. Soporte IPv6 en sistemas operativos y aplicaciones ....................................... 46 6.1.1. 6.1.2. 6.1.3. 6.2. 6.3.
Soporte IPv6 aplicaciones uso comn ...................................................... 49 Configuracin de servidor IPv6 y servicios asociados ............................. 50 Servidor DNS (BIND) ....................................................................... 50 Servidor Web (Apache) ..................................................................... 51 Servicios de monitoreo y administracin de Redes ........................... 51
7. Consideraciones de desempeo ........................................................................ 55 Aspectos Tericos ..................................................................................... 55 Desempeo en servidor Apache................................................................ 57 Desempeo en servidor FTP ..................................................................... 58 Conclusiones ............................................................................................. 59 Reconocimiento en redes IPv6.................................................................. 60 Vulnerabilidades en ICMPv6 .................................................................... 61 Configuracin automtica de direcciones (SLACC) ......................... 61 Resolucin de direcciones ................................................................. 63 Deteccin de direcciones Duplicadas (DAD) .................................... 65 Redireccin ........................................................................................ 66 Protocolo SeND Secure Neighbor Discovery (SEND) ..................... 67
9. Conclusiones ....................................................................................................... 71 Conclusiones generales ............................................................................. 71 Trabajo Futuro .......................................................................................... 72 Plan de actualizacin de la red. ......................................................... 72 Tecnologas y protocolos complementarios ...................................... 73
9.2.1. 9.2.2.
Bibliografa .............................................................................................................. 74 Anexo A: Cdigos direcciones IPv6 UTFSM ....................................................... 77 A.1. B.1. B.2. B.3. C.1. C.2. C.3. C.4. C.5. C.6. D.1. D.2. D.3. D.4. D.5. Casa Central .............................................................................................. 77 Configuracin equipo border-gw .............................................................. 80 Configuracin equipo firewall-primary .................................................... 81 Configuracin equipo sw-inside ............................................................... 84 Configuracin de direcciones ................................................................... 86 NET-SNMP............................................................................................... 86 MRTG ....................................................................................................... 87 Nagios ....................................................................................................... 87 BIND ......................................................................................................... 88 Apache ...................................................................................................... 89 Descripcin del escenario de pruebas ....................................................... 90 Configuracin automtica de direcciones ................................................. 92 Resolucin de direcciones......................................................................... 93 Deteccin de direcciones duplicadas ........................................................ 93 Redireccin ............................................................................................... 94 Anexo B: Configuracin de equipos red IPv6 ...................................................... 79
vi
ndice de figuras
Figura 2.1 Distribucin actual de bloques /8. ............................................................. 6 Figura 2.2 Proyeccin del agotamiento de bloques /8.. .............................................. 7 Figura 3.1 Estructura de un paquete IPv6. ................................................................ 14 Figura 3.2 Cambios en la cabecera de los paquetes IPv6. ........................................ 16 Figura 3.3 Contextos de direcciones unicast. ........................................................ 19 Figura 3.4 Creacin del identificador de interfaz. .................................................... 20 Figura 3.5 Estructura de una direccin local nica. .................................................. 20 Figura 3.6 Estructura de una direccin unicast global. ......................................... 21 Figura 3.7 Jerarqua de delegacin de prefijos unicast globales. .......................... 22 Figura 3.8 Estructura direcciones multicast. ......................................................... 22 Figura 3.9 Estructura direccin "multicast" de nodo solicitado ............................... 23 Figura 4.1 Topologa simplificada Red UTFSM (11/2008). .................................... 31 Figura 5.1 Topologa simplificada Red UTFSM (04/2009) ..................................... 40 Figura 5.2 Multihoming con espacio direccionamiento independiente. ............... 42 Figura 5.3 Diagrama configuracin equipos UTFSM. ............................................. 45 Figura 6.1 Evolucin de MIBs unificadas ................................................................ 52 Figura 7.1 Escenario de pruebas servidor web. ........................................................ 57 Figura 7.2 Escenario de pruebas servidor FTP. ........................................................ 58 Figura 7.1 Configuracin automtica de direcciones. .............................................. 62 Figura 7.2 Ejemplo de ataque basado en configuracin automtica de direcciones. 63 Figura 7.3 Procedimiento de resolucin de direcciones IPv6. .................................. 64 Figura 7.4 Ejemplo de ataque basado en la deteccin de direcciones duplicadas. ... 65 Figura 7.5 Procedimiento de redireccin. ................................................................. 66 Figura 7.6 Generacin de una direccin CGA. ......................................................... 68 Figura B.1 Diagrama configuracin equipos red IPv6 UTFSM. .............................. 79 Figura B.2 Diagrama configuracin "dual-stack" de VLANs en sw-inside. ............ 85 Figura D.1 Escenario para pruebas de vulnerabilidades ICMPv6. ........................... 90
vii
ndice de tablas
Tabla 3.1 Cdigos de contexto en una direccin multicast. .................................. 23 Tabla 3.2 Direcciones de grupos "multicast" fijos.................................................... 23 Tabla 3.3 Ejemplos direcciones multicast de nodo solicitado. ............................. 24 Tabla 3.4 Protocolos de enrutamiento en IPv6 ......................................................... 25 Tabla 3.5 Caractersticas protocolo descubrimiento de vecinos. .............................. 26 Tabla 3.6 Diferencias entre DHCPv4 y DHCPv6..................................................... 28 Tabla 4.1 Anlisis equipos existentes Red Institucional UTFSM ............................ 33 Tabla 4.2 Propuesta Cisco. ....................................................................................... 34 Tabla 4.3 Propuesta Juniper. ..................................................................................... 34 Tabla 4.4 Caractersticas IPv6 equipos Cisco. .......................................................... 35 Tabla 4.5 Caractersticas IPv6 equipos Juniper ........................................................ 35 Tabla 4.6 Comparacin entre IOS y JUNOS. ........................................................... 37 Tabla 5.1 Equipos reemplazados en la red institucional. .......................................... 39 Tabla 5.2 Estructura direcciones IPv6 de la UTFSM ............................................... 43 Tabla 5.3 Detalle campos direcciones IPv6 UTFSM ............................................... 43 Tabla 5.4 Nmero de direcciones IPv6 disponibles en la UTFSM. ......................... 44 Tabla 6.1 Soporte IPv6 en sistemas operativos utilizados en la red UTFSM. .......... 46 Tabla 6.2 Soporte IPv6 aplicaciones uso comn. ..................................................... 49 Tabla 6.3 Servicios instalados en servidor FreeBSD 7.1 .......................................... 50 Tabla 6.4 Ejemplo de un sitio asociado a direcciones IPv4 e IPv6 .......................... 51 Tabla 6.5 Ejemplo de registro PTR para una direccin IPv6 ................................... 51 Tabla 7.1 Calculo overhead paquetes IPv4 e IPv6. ............................................... 56 Tabla 7.2 Resultados prueba servidor Web. ............................................................. 57 Tabla 7.3 Clculo terico transmisin archivo de 734.271 [Mbyte]. ....................... 58 Tabla 7.4 Resultados prueba transmisin FTP. ........................................................ 59 Tabla A.1 Cdigos campo Unidad direcciones IPv6 Casa Central ....................... 77 Tabla B.1 Configuracin gw-border (extracto). ....................................................... 80 Tabla B.2 Comandos IOS para diagnstico de equipo gw-border. .......................... 81
viii
Tabla B.3 Reglas implcitas en una ACL IPv6. ........................................................ 82 Tabla B.4 Configuracin equipo fw-primary (extracto). .......................................... 83 Tabla B.5 Configuracin interfaz VLAN Catalyst 3750. ......................................... 85 Tabla C.1 Configuracin IPv6 de una interfaz. ........................................................ 86 Tabla C.2 Configuracin demonio snmpd. ............................................................... 86 Tabla C.3 Creacin archivos MRTG. ....................................................................... 87 Tabla C.4 Configuracin Nagios. ............................................................................. 87 Tabla C.5 Configuracin named.conf. ...................................................................... 88 Tabla C.6. Archivo utfsm.cl.0.7.2.0.0.0.8.2.ip6.arpa.hosts ...................................... 88 Tabla C.7 Archivo 0.7.2.0.0.0.8.2.ip6.hosts ............................................................. 88 Tabla C.8 Archivo /usr/local/etc/apache22/httpd.conf ............................................. 89 Tabla D.1 Configuracin inicial interfaz de red PC 1. ............................................. 90 Tabla D.2 Tabla de rutas inicial PC 1. ...................................................................... 91 Tabla D.3 Configuracion "router" Cisco 2811 (extracto). ........................................ 91 Tabla D.4 Archivo de configuracin de NDPMON (extracto). ................................ 91 Tabla D.5 Ataque de falsificacin de router. ........................................................ 92 Tabla D.6 Configuracin interfaz PC 1 tras ataque. ................................................. 92 Tabla D.7 Tabla de rutas PC 1 tras ataque. ............................................................... 92 Tabla D.8 Alerta generada por NDPMON durante el ataque. .................................. 92 Tabla D.9 Ataque de resolucin de direcciones. ...................................................... 93 Tabla D.10 Tabla de vecinos PC 1 tras ataque. ........................................................ 93 Tabla D.11 Alerta generada por NDPMON durante el ataque. ................................ 93 Tabla D.12 Ataque de deteccin de direcciones duplicadas. .................................... 93 Tabla D.13 Tabla de vecinos PC 1 tras ataque. ........................................................ 94 Tabla D.14 Alerta generada por NDPMON durante el ataque. ................................ 94 Tabla D.15 Ataque de redireccin. ........................................................................... 94 Tabla D.16 Tabla de vecinos PC 1 tras ataque. ........................................................ 95 Tabla D.17 Alerta generada por NDPMON durante el ataque. ................................ 95
ix
Captulo 1
1.Introduccin
No existe duda alguna que las tecnologas de la informacin y comunicaciones (TIC) se han convertido en parte fundamental de nuestras vidas. Durante la ltima dcada, se han desarrollado innumerables tecnologas y servicios que han cambiado la forma en cmo nos comunicamos y relacionamos con personas a lo largo del mundo. Poco a poco observamos como los medios tradicionales de comunicacin, televisin, telefona y mensajera, entre otros, convergen hacia una nica red de comunicaciones, la Internet Esta tendencia mundial ha conducido a un crecimiento explosivo en el nmero de usuarios de Internet. Junto a esto, Internet ha evolucionado desde ser una simple red que conecta computadores a una plataforma que entrega diversos tipos de servicios. Esta evolucin ha dejado en descubierto las limitantes del protocolo IPv4, base de esta gran red. IPv4 fue desarrollado en la dcada de los 70 como una forma de interconectar un reducido nmero de redes y jams se pens en que tendra que ser la base de una red de millones de usuarios. Su reducido nmero de direcciones disponibles junto a problemas de arquitectura, han restringido y limitado el desarrollo de nuevas aplicaciones y tecnologas en Internet. El protocolo IPv6 fue desarrollado durante la dcada de los 90 con el fin de sustituir a IPv4 como protocolo dominante en Internet. IPv6 soluciona los problemas fundamentales de IPv4 y entrega una base para futuros desarrollos y avances en Internet. Dentro de las ventajas de IPv6 se encuentran un gran nmero de direcciones disponibles junto a caractersticas que facilitan la implementacin de modelos de seguridad y calidad de servicio en Internet. La adopcin de IPv6 ha sido un proceso lento. A la fecha, el trfico IPv6 en Internet representa menos de un 1% del total cursado. Aun cuando diversos estudios [1]
1
pronostican que en pocos aos ms se producir el agotamiento total de las direcciones IPv4, las empresas y organizaciones an no encuentran motivos suficientes para invertir en implementaciones IPv6. Se espera que dicho panorama vare a medida que se desarrollan nuevos servicios y negocios que requieran dar acceso masivo a Internet, tales como el despliegue de redes 3G. El mtodo tradicional mediante el cual empresas, universidades y particulares han realizado implementaciones de redes IPv6 es mediante el uso de tneles. Esto les permite obtener una limitada conectividad IPv6 hacia el exterior, suficiente para realizar pruebas y comprobar algunas de las caractersticas del protocolo. Sin embargo, este tipo de implementaciones entrega un panorama parcial, que deja de lado mucho de los desafos, decisiones y aspectos que hay que considerar cuando se debe implementar IPv6 de forma nativa en ambientes de produccin. El principal objetivo de este trabajo es disear e implementar una red IPv6 nativa al interior de la UTFSM, con salida directa hacia Internet. En este trabajo se cubren diversos aspectos, desde la creacin de un plan de actualizacin del equipamiento de la red, hasta la evaluacin de alternativas de monitoreo y polticas de seguridad en la red. El trabajo y los resultados aqu expuestos constituyen el primer paso para una futura migracin a IPv6 de todos los servicios ofrecidos por la red institucional de la UTFSM. En el captulo 2 de este trabajo se analizan en profundidad los actuales problemas que presenta el protocolo IPv4, y como estos justifican la necesidad de adoptar IPv6. En el captulo 3 se describe brevemente el protocolo IPv6, con el fin de establecer el marco terico necesario para permitir al lector comprender los pasos realizados en la implementacin de la red IPv6 en la UTFSM. En el captulo 4 se realiza un anlisis de la red institucional UTFSM. Se establece el plan de actualizacin de equipos, y se evalan las diversas alternativas tecnolgicas y de fabricantes para la implementacin de la red.
En el captulo 5 se presenta el diseo de la red IPv6, describiendo los protocolos de enrutamiento utilizados, el plan de direccionamiento creado y la configuracin utilizada en los equipos. En el captulo 6 se entrega un breve acercamiento al soporte IPv6 existente en sistemas operativos y aplicaciones. Se hace un nfasis especial en los programas de monitoreo de redes y su comportamiento en redes IPv6. En el captulo 7 se analizan los aspectos del protocolo IPv6 que afectan su desempeo en comparacin a IPv4. Se presentan dos escenarios de prueba que comparan el desempeo de IPv6 en aplicaciones de uso masivo. En el captulo 8 se describen las principales debilidades en la seguridad de la red IPv6 implementada, junto a la evaluacin de alternativas para mitigar posibles ataques. Finalmente, en el captulo 8 se entregan las conclusiones finales del trabajo, definiendo cuales son los siguientes pasos y aspectos a evaluar en un futuro plan de migracin total a IPv6.
Captulo 2
El protocolo de Internet (IP) es un protocolo no orientado a la conexin usado para trasmitir informacin a travs de una red de paquetes conmutados. Se ubica en la capa 3 del modelo ISO/OSI y su funcin es entregar paquetes desde un nodo de origen a uno de destino, basado en la direccin escrita en cada paquete. El protocolo de Internet versin 4 (IPv4) es la cuarta iteracin del protocolo IP y la primera versin en ser utilizada en ambientes de produccin. Es el protocolo dominante en Internet, utilizado para conectar redes de forma interna y hacia el exterior. Dentro de sus principales caractersticas se encuentran:
Enrutamiento y direccionamiento: Provee una direccin nica a cada dispositivo de una red de paquetes. IPv4 fue especialmente diseado para facilitar el enrutamiento de informacin (paquetes) a travs de redes de diversa complejidad.
Encapsulacin: El protocolo IPv4 nace como una divisin del antiguo protocolo TCP (Transmission Control Protocol). Se ubica en la capa 3 del modelo ISO/OSI y puede funcionar sobre diversos protocolos de nivel inferior.
Mejor esfuerzo: El protocolo IP provee un servicio de transmisin de paquetes no fiable (o de mejor esfuerzo). No se asegura que los paquetes enviados lleguen correctamente al destino.
La versin de IPv4 usada actualmente en Internet no ha cambiado sustancialmente desde su publicacin inicial en 1981 [2]. IPv4 ha demostrado ser un protocolo robusto, fcil de implementar y con la capacidad de operar sobre diversos protocolos
4
de capa 2. Si bien fue diseado inicialmente para interconectar unos pocos computadores en redes simples, ha sido capaz de soportar el explosivo crecimiento de internet. Sin embargo en el ltimo tiempo, se han hecho notar diversos problemas existentes en IPv4, asociados al crecimiento de Internet y a la aparicin de nuevas tecnologas y servicios que requieren conectividad IP.
entre 240.X.X.X y 254.X.X.X se encuentra reservado para trabajos experimentales, el espacio real de direcciones disponibles para ser asignadas es de 223 bloques /8, los cuales representan 16.777.214 direcciones cada uno. En la Figura 2.1 se observa la distribucin actual1 de bloques /8.
RIPENCC Bloques Reservados Bloques Libres Entidad a cargo LACNIC Empresas ARIN APNIC AFRINIC 0 3 10 20 30 7
30 35 39
42 68 32
40
50
60
70
80
En la Figura 2.1 se observa que la mayor parte de los bloques se encuentra asignado al registro regional ARIN, que distribuye direcciones a Canada, EE.UU. e islas del Noratlntico. Se puede apreciar que una parte importante de los bloques /8 se encuentran asignados directamente a empresas y organizaciones,quienes recibieron dichos bloques como producto de las politicas de asignacin anteriores a 1993. Dentro de los grupos reservados, se encuentran los bloques asignados a direcciones IP privadas, trfico multicast y otros usos aun no definidos. Los 39 bloques libres son manejados directamente por el IANA, quien los delega a cada registro regional de acuerdo a sus requerimientos.
Datos al 20/09/2008 2 Esta regla slo se puede utilizar una vez en una direccin IPv6, de lo contrario el sistema no sabra 6
Es complicado estimar la fecha exacta en que se agotarn todas las direcciones IPv4 disponibles, ya que diversos factores pueden adelantar o retrasar dicha fecha. Dentro de esos factores se encuentran posibles cambios en la poltica de asignacin, recuperacin de bloques no utilizados o incluso la venta de direcciones IP entre privados. Una de las fuentes ms utilizadas para proyectar el agotamiento de direcciones IPv4 es el sitio IPv4 Address Report [1], que a partir de la informacin publicada por el IANA y los registros regionales, entrega una fecha estimada de agotamiento de direcciones IPv4. En la Figura 2.2 se presenta una proyeccin del agotamiento de bloques /8. Este anlisis modela el comportamiento de cada registro regional, considerando su demanda histrica de bloques de direcciones IP. En la figura se observan tres curvas, una asociada a los bloques asignados a registros regionales (Assigned), otra que representa aquellos bloques asignados que son anunciados efectivamente hacia internet (Advertised) y una que seal aquellos bloques asignados que no son anunciados (Unadvertised).
Figura 2.2 Proyeccin del agotamiento de bloques /8. Fuente: IPv4 Address Report.
En base a estas proyecciones, se estima que en Marzo del 2011 se agotar el total de los bloques /8 libres manejados por el IANA. A partir de dicho momento, los registros regionales no tendrn la posibilidad de solicitar bloques de direcciones adicionales, slo podrn administrar las direcciones que ya tienen asignadas. La segunda fecha a considerar es cuando los registros agoten su reserva de direcciones y ya no puedan solicitar un bloque adicional al IANA. Se ha estimado que ello ocurra en Mayo del 2012, un ao despus del agotamiento de los bloques disponibles. Todos estos clculos y estimaciones estn realizados en base al crecimiento histrico que ha tenido la demanda de direcciones IP a nivel mundial. Sin embargo, se espera que en los prximos aos, la demanda por direcciones IP sea an mayor debido a diversos factores tales como:
De todas formas, es posible advertir que en estos das ya estamos en presencia de problemas relacionados con la baja disponibilidad de direcciones IP:
Las organizaciones normalmente obtienen pocas direcciones IP para toda su red, limitando las posibilidades de implementar servidores y aplicaciones.
Algunos proveedores de servicios (ISP) estn asignando direcciones IP privadas a sus subscriptores, lo que significa que el suscriptor no puede ser contactado directamente desde internet.
Gran parte de las compaas de telefona celular no proveen de direcciones pblicas a los usuarios de servicios 3G.
Ciertas funciones solo pueden ser realizadas por los nodos finales. El estado de una comunicacin punto a punto debe ser mantenida nicamente por los nodos finales y no por la red. La funcin de la red es enrutar paquetes de forma eficaz y transparente.
Los protocolos de transporte estn designados para proveer las funciones deseadas sobre una red que no ofrece garantas (mejor esfuerzo).
Paquetes deben viajar sin modificacin a travs de la red. Las direcciones IP son usadas como identificadores nicos para nodos finales.
Una de las medidas introducidas para frenar el agotamiento de direcciones IPv4 es el protocolo de traduccin de direcciones de red (NAT). NAT es un protocolo que permite convertir en tiempo real las direcciones utilizadas en los paquetes transportados en una red. El uso de NAT permite que un grupo de dispositivos configurados con direcciones IPv4 privadas compartan un reducido grupo de direcciones IPv4 pblicas, permitiendo el acceso hacia Internet. Si bien el uso de NAT ha permitido la expansin actual de Internet, su uso introduce una serie de problemas y desventajas, asociados a la prdida del principio de conectividad punto a punto. Dentro de las desventajas del uso de NAT podemos encontrar:
Complejidad: NAT representa un nivel de complejidad adicional al momento de configurar y manejar una red. Se deben crear grupos de dispositivos y/o redes que comparten un nmero limitado de direcciones IPv4 pblicas.
Compatibilidad con ciertas aplicaciones: Muchas aplicaciones no funcionan correctamente cuando se ejecutan desde dispositivos que estn en una red donde se realiza NAT. Los desarrolladores han tenido que inventar nuevos mecanismos para poder funcionar correctamente en dichas redes.
Problemas con protocolos de Seguridad: Protocolos de seguridad tales como IPSec estn designados para detectar modificaciones en las cabeceras de los paquetes, que es precisamente lo que hace NAT al traducir direcciones. El uso de NAT dificulta la implementacin de este tipo de protocolos.
Reduccin de rendimiento: Por cada paquete que atraviesa una red donde opera NAT, se deben realizar una serie de operaciones adicionales. Dichas operaciones introducen mas carga a la CPU del dispositivo que realiza la traduccin, disminuyendo su rendimiento.
Manejo de estados TCP: El dispositivo que realiza NAT debe manejar y mantener correctamente los estados de cada conexin TCP entre equipos de la red interna y externa.
A pesar de todas sus desventajas, NAT permiti posponer en varios aos el agotamiento de direcciones IPv4. Sin embargo, en la actualidad se ha llegado a un punto en donde el uso de NAT no es suficiente para la creciente demanda de direcciones IPv4. Esto ha motivado la evaluacin de otras alternativas, tales como IPv6.
2.2.
El cambio desde IPv4 a IPv6 se suele comparar con la crisis que se vivi a fines de los 90 ante la llegada de ao 2000 y sus consecuencias en los sistemas informticos. Sin embargo, en el caso de IPv6 no existe una fecha lmite o flag day en que se
10
puedan deshabilitar todas las redes IPv4 y actualizarlas a IPv6. El proceso de migracin debe realizarse en forma progresiva, se prev que IPv4 siga en funcionamiento durante la prxima dcada. El mayor problema que enfrenta IPv6 es que desde el punto de vista de las empresas y organizaciones, su implementacin se ve como un gasto poco justificado. En la actualidad, el trfico IPv6 representa menos de un 1% del trfico total de Internet [5], y la mayora corresponde a Universidades e instituciones que trabajan en el tema. Sin embargo, existen una serie de motivadores para la implementacin a IPv6, los que se pueden agrupar en las siguientes categoras. Motivadores Comerciales
La implementacin de IPv6 es un movimiento estratgico. Su implementacin en las redes de una empresa permite estar preparados para futuras necesidades de los clientes, generando una ventaja comparativa respecto de la competencia. [6]
Puede generar un ahorro en los costos de adquisicin de nuevos equipos. Diversos fabricantes buscan impulsar la implementacin de IPv6, ofreciendo descuentos a empresas e instituciones en la compra de nuevos equipos habilitados para IPv6.
Un plan de migracin a IPv6 realizado con antelacin es ms econmico que una migracin tarda.
IPv6 abre las puertas a nuevos productos y servicios a ser ofrecidos por empresas TIC. Sus nuevas caractersticas, entre las que destaca el amplio rango de direcciones disponibles, permite generar nuevos proyectos que no podran ser llevados a cabos en IPv4.
11
Motivadores Polticos
En Estados Unidos, la implementacin de IPv6 es un mandato gubernamental, en el que se oblig a todas las agencias a implementar IPv6 en sus redes centrales antes de Junio del 2008. El caso ms destacado es el del Departamento de defensa (DOD), el cual realizo un amplio y publicitado plan de integracin.
Los gobiernos de Japn, China y Corea han establecido la implementacin de IPv6 como prioritaria, otorgando un gran apoyo a todas las iniciativas en esta lnea. Las olimpiadas de Beijing 2008 fueron un ejemplo de dichas polticas, toda su infraestructura de telecomunicaciones fue implementada
Casi la totalidad de los equipos de red, sistemas operativos y dispositivos mviles en venta actualmente proveen soporte para IPv6.
El soporte IPv6 que proveen equipos de red como switches, routers y firewalls ha alcanzado un grado de madurez que ya permite implementar redes que funcionan nicamente con IPv6 sin mayores contratiempos.
Algunos ISP ya proveen conectividad IPv6 a usuarios finales. IPv6 facilita la implementacin de mecanismos de seguridad y de control de trfico en redes IP.
En el caso particular de las instituciones de educacin superior, como la Universidad Tcnica Federico Santa Mara, la implementacin de IPv6 en sus redes permite adems el desarrollo de trabajos de investigacin y colaboracin en torno a IPv6 y/o a otras tecnologas.
12
Captulo 3
3.1.
Mayor nmero de direcciones: El tamao de una direccin aumenta desde 32 a 128[bit] lo que se traduce en alrededor de 3,41038 direcciones disponibles. Esto permite asegurar que cada dispositivo conectado a una red pueda contar con una direccin IP pblica.
Direccionamiento jerrquico: Las direcciones IPv6 globales estn diseadas para crear una infraestructura eficiente, jerrquica y resumida de enrutamiento basada en la existencia de diversos niveles de ISP. Esto permite contar con tablas de enrutamiento ms pequeas y manejables.
Nuevo formato de cabecera: An cuando el tamao de la cabecera en IPv6 es mayor que en IPv4, el formato de ella se ha simplificado. Se han eliminado
13
campos que en la prctica eran poco usados, de forma de hacer ms eficiente el manejo de los paquetes. Con la incorporacin de cabeceras adicionales, IPv6 permite futuras expansiones.
Autoconfiguracin: IPv6 incorpora un mecanismo de auto configuracin de direcciones, stateless address configuration, mediante el cual los nodos son capaces de auto asignarse una direccin IPv6 sin intervencin del usuario.
Nuevo protocolo para interactuar con vecinos: El protocolo de descubrimiento de vecinos, reemplaza a los protocolos ARP y Router Discovery de IPV4. Una de sus mayores ventajas es que elimina la necesidad de los mensajes del tipo broadcast.
3.2.
Un paquete IPv6 tiene una cabecera de tamao fijo e igual a 40 [byte], el doble de la cabecera IPv4. Este aumento se debe a que el tamao de los campos Source
14
Address y Destination Address aumentaron su tamao de 32 a 128 [bit] cada uno. La cabecera posee los siguientes 8 campos:
Versin (Version): Indica la versin del protocolo IP, en este caso su valor es igual a 6.
Clase de trfico (Traffic Class): Incluye informacin que permite a los routers clasificar el tipo de trfico al que el paquete pertenece, aplicando distintas polticas de enrutamiento segn sea el caso. Realiza la misma funcin que el campo Type of Service de IPv4.
Etiqueta de flujo (Flow Label): Identifica a un flujo determinado de paquetes, permitiendo a los routers identificar rpidamente paquetes que deben ser tratados de la misma manera.
Tamao de la carga til (Payload Length): Indica el tamao de la carga til del paquete. Las cabeceras adicionales son consideradas parte de la carga para este clculo.
Prximo encabezado (Next Header): Indica cual es el siguiente cabecera es la siguiente cabecera adicional presente en el paquete. Si no se utilizan, apunta hacia la cabecera del protocolo capa 4 utilizado.
Lmite de saltos (Hop Limit): Indica el mximo nmero de saltos que puede realizar el paquete. Este valor es disminuido en uno por cada router que reenva el paquete. Si el valor llega a cero, el paquete es descartado.
Direccin de origen (Source Destination Address): Indica la direccin IPv6 del nodo que gener el paquete.
Direccin de origen (Source Destination Address): Indica la direccin de destino final del paquete.
En la Figura 3.2 se pueden apreciar los cambios de la cabecera IPv6 respecto a la cabecera IPv4.
15
El protocolo IPV6 reemplaz el campo Options de IPv4 por las denominadas cabeceras adicionales. Estas cabeceras permiten expandir el funcionamiento de IPv6, sin verse restringidas a un campo de tamao fijo como el presente en IPv4. Las cabeceras adicionales se ubican inmediatamente despus de la cabecera IPv6 y antes de la cabecera del protocolo superior (UDP o TCP).
3.3.
Las direcciones IPv6 estn compuestas como 8 campos de 16 [bit] de largo, separados por dos puntos :. Cada campo est representado por 4 caracteres hexadecimales (0-f). Un ejemplo de direccin IPv6 vlida es
2001:0000:1234:0000:0000:C1C0:ABCD:0876. Con el fin de simplificar la escritura y memorizacin de direcciones, se pueden aplicar las siguientes reglas a las direcciones IPv6. a) No se hace distincin entre maysculas y minsculas. ABC9 es equivalente a abC9. b) Los ceros al inicio de un campo son opcionales. 00c1 es equivalente a c1.
16
c) Una sucesin de campos con ceros puede ser reemplazados por ::. 1234:0000:0000:abc9 es igual a 1234::abc92. Tomando la direccin de ejemplo: 2001:0000:1234:0000:0000:C1C0:ABCD:0876 Mediante la regla a), se puede escribir como: 2001:0000:1234:0000:0000:c1c0:abcd:0876 La direccin se puede escribir de forma resumida utilizando la regla b): 2001:0:1234:0:0:c1c0:abcd:876 Aplicando la regla c) se puede resumir an ms a: 2001:0:1234::c1c0:abcd:876 Tal como en el caso de IPv4, para sealar las secciones de la direccin que identifican a la red y al dispositivo, se utiliza el formato CIDR en la forma <direccin>/<prefijo>. Por ejemplo, una direccin en la forma 3ffe:b00:c18:1::1/64 seala que los primeros 64 [bit] identifican a la red (3ffe:b00:c18:1) y los restantes 64[bit] identifican al dispositivo de dicha red (::1). Tradicionalmente el uso del smbolo : en las direccin IPv4 seala un puerto en un determinado nodo, por ejemplo 192.168.1.1:80 seala al puerto 80 (WWW) del nodo 192.168.1.1. Esto representa un problema de incompatibilidad al utilizar direcciones IPv6, por lo que se ha establecido que para sealar un puerto en una determinada direccin IPv6, esta debe estar encerrada por parntesis cuadrados en la forma [direccin]:puerto, tal como se define en [9].
3.4.
Direccionamiento IPv6
2 Esta regla slo se puede utilizar una vez en una direccin IPv6, de lo contrario el sistema no sabra cuantos campos se han comprimido en cada caso. 17
Unicast: Identifican a un nodo nico y particular. Multicast: Identifican a un grupo de nodos. El trafico enviado a una direccin multicast es reenviado a todos los nodos pertenecientes al grupo
Anycast: Identifica a un grupo de nodos. El trfico enviado a una direccin anycast es enviado al nodo ms cercano al emisor.
Se han eliminado las direcciones del tipo broadcast, reemplazando su uso con direcciones multicast que identifican a determinados grupos de dispositivos en una red.
3.4.1. Unicast
Las direcciones unicast cumplen la funcin de individualizar a cada nodo conectado a una red. Esto permite otorgar conectividad punto a punto entre los nodos pertenecientes a ella. Uno de los nuevos aspectos introducidos en IPv6 es el uso de contextos en las direcciones unicast. Los contextos definen el dominio de una red, ya sea lgico o fsico. El poder reconocer el contexto al que pertenece una determinada direccin permite realizar un manejo ptimo de los recursos de la red, optimizando su desempeo. En IPv6, las direcciones unicast pueden pertenecer a uno de los tres contextos existentes:
Local al enlace (link-local): Identifica a todos los nodos dentro de un enlace (capa 2).
Local nico (unique-local3): Identifica a todos los dispositivos dentro de una red interna o sitio, compuesta por varios enlaces o dominios capa 2.
Estos contextos presentan una estructura jerrquica, tal como se observa en la Figura 3.3. El contexto global es el ms amplio, englobando al resto.
A diferencia de IPv4, en IPv6 una interfaz puede poseer ms de una direccin IP. Es as como por ejemplo un nodo puede poseer una direccin local al enlace para comunicarse con los dispositivos locales y una o ms direcciones globales para comunicarse hacia Internet.
19
Las direcciones locales al enlace permiten proveer de forma rpida y simple conectividad entre los nodos conectados a un mismo enlace. Su principal ventaja es que no dependen de los prefijos IPv6 anunciados en una red, por lo que permiten identificar directamente a los nodos y routers presentes en un enlace.
Todas las direcciones locales nicas se encuentran dentro del rango dado por el prefijo fc00::/8. Los campos de una direccin unicast local nica son:
Identificador nico: Es un valor de 40[bit] que identifica a un sitio en particular. Dado que este tipo de direcciones no son publicadas en Internet, pueden existir distintos sitios con el mismo identificador.
Identificador subred: Permite crear un plan de direccionamiento jerrquico, identificando a cada una de las 216 posibles subredes en un sitio.
Identificador de interfaz: Individualiza a una interfaz presente en una determinada subred del sitio. A diferencia de las direcciones locales al enlace, este identificador no se genera automticamente.
El prefijo de enrutamiento global es aquel que identifica a un sitio conectado a Internet. Dicho prefijo sigue una estructura jerrquica, con el fin de reducir el tamao de la tabla de enrutamiento global en Internet. En la Figura 3.7 se presenta la estructura utilizada actualmente para la delegacin de prefijos.
Del espacio total de direcciones Global Unicast administrador por el IANA, cada registro regional (RIR) maneja un prefijo /23, del cual entrega prefijos /32 a los proveedores de servicios presentes en cada regin del planeta. Los usuarios finales obtienen un prefijo /48 delegado directamente por sus proveedores de servicios. Un prefijo /48 permite que cada usuario cuente con un sitio o intranet compuesto por 216 subredes, cada una con capacidad para conectar hasta 264 dispositivos a Internet.
3.4.5. Multicast
En IPv6 el trfico multicast opera de la misma forma que en IPv4. Dispositivos IPv6 ubicados en distintos lugares pueden recibir trfico dirigido a una nica direccin multicast. Las direcciones IPv6 multicast tienen la estructura
22
El campo L indica el tiempo de vida de un grupo multicast, tomando el valor de 0 cuando es un grupo permanente y 1 cuando es un grupo multicast temporal. El campo S indica el contexto o alcance del grupo, de acuerdo a los valores presentados en la Tabla 3.1.
Tabla 3.1 Cdigos de contexto en una direccin multicast.
Contexto del grupo Interfaz Enlace Sitio Organizacin Global Sin asignar o reservado
IPv6 elimina el uso de las direcciones broadcast, sustituyndolas por direcciones multicast. Esto permite hacer una seleccin ms precisa de los destinatarios de una solicitud, evitando sobrecarga de mensajes en redes de muchos nodos. En la Tabla 3.2 se muestran algunos de los grupos multicast fijos existentes.
Tabla 3.2 Direcciones de grupos "multicast" fijos.
Descripcin Todos los nodos en la interfaz Todos los nodos en el enlace Todos los routers en la interfaz Todos los routers en el enlace Todos los routers en el sitio
Direccin multicast de nodo solicitado Para realizar la asociacin entre direcciones capa 2 (MAC) y direcciones IPv6, se utiliza la direccin multicast de nodo solicitado. Esta direccin contiene parte de la direccin IPv6 que se desea consultar y posee la estructura descrita en la Figura 3.9.
Cada vez que un nodo se configura con una direccin IPv6, se une automticamente al grupo multicast indicado por su direccin de nodo solicitado. Dado que dicha
23
direccin toma solo los ltimos 24 bit de la direccin IPv6, en un mismo grupo multicast pueden existir varios nodos con distintas direcciones IP. En la Tabla 3.3 se pueden observar algunas direcciones IPv6 y sus correspondientes direcciones multicast de nodo solicitado.
Tabla 3.3 Ejemplos direcciones multicast de nodo solicitado.
Cuando un nodo desea enviar un paquete a un vecino presente en el mismo enlace y no tiene su direccin fsica, enva un mensaje que contiene la direccin IPv6 a consultar al grupo multicast de nodo solicitado correspondiente dicha direccin. Todos los nodos que estn en dicho grupo multicast reciben el mensaje, pero solo responde el nodo configurado con la direccin IPv6 solicitada.
3.4.6. Anycast
Una direccin anycast es aquella que identifica a un grupo de interfaces. Los paquetes enviados a una direccin anycast son reenviados por la infraestructura de enrutamiento hacia la interfaz ms cercana al origen del paquete. Con el fin de facilitar la entrega, la infraestructura de enrutamiento debe conocer las interfaces que estn asociadas a una direccin anycast y su distancia en mtricas de enrutamiento Para configurar una direccin anycast, basta con configurar una misma direccin unicast en distintos dispositivos, junto con configurar en cada router una ruta directa hacia dicha direccin (/128). La idea es que cada router posea en su tabla de enrutamiento varias entradas hacia la misma direccin, con sus mtricas asociadas. Al fallar la ruta ms cercana, se selecciona automticamente la siguiente. El uso de anycast permite entre otras cosas implementar balanceo de carga y tolerancia a fallas. Por lo general, su uso se suele restringir al contexto de un sitio o red local. Las direcciones anycast, al igual que las multicast solo son vlidas como direcciones de destino en los paquetes IPv6.
24
3.5.
Algoritmos de Enrutamiento
El uso de IPv6 no implica cambios significativos en la forma en que operan los protocolos de enrutamiento en las redes IP. Sin embargo, para aprovechar las nuevas caractersticas de IPv6, se han desarrollado nuevas versiones o complementos a los protocolos de enrutamiento ms utilizados. En la Tabla 3.4 se presentan las nuevas versiones desarrolladas para IPv6.
Tabla 3.4 Protocolos de enrutamiento en IPv6
Versin IPv6 RIPng EIGRP para IPv6 OSPFv3 Integrated IS-IS BGP-MP EIGRP for IPv6
3.6.
ICMPv6
El protocolo de mensajes de control de Internet (ICMP) es utilizado para enviar informacin de configuracin y reportes de error entre los nodos de una red. Para IPv6, se ha desarrollado una nueva versin del protocolo, denominada ICMPv6 [10]. A diferencia de ICMP para IPv4, el cual no es esencial para las comunicaciones en redes IPv4, ICMPv6 posee caractersticas imprescindibles para la configuracin y comunicacin en redes IPv6. El protocolo ICMPv6 comprende una serie de mensajes, cada uno identificado con un cdigo. Dichos mensajes permiten llevar a cabo diversos procesos en IPv6 tales como: descubrimiento del mximo valor MTU en un camino, manejo de grupos multicast, deteccin de destinos inalcanzables y el protocolo de descubrimiento de vecinos.
25
IPv6 y direcciones MAC, encontrar los routers disponibles y mantener informacin actualizada sobre el estado de los caminos hacia otros nodos. Este protocolo realiza funciones para IPv6 similares a las realizadas por ARP en IPV4. Para el intercambio de informacin, utiliza mensajes ICMPv6. En la Tabla 3.5 Tabla 3.5 Caractersticas protocolo descubrimiento de vecinos. Se presentan las funciones que realiza, junto al equivalente en IPv4.
Tabla 3.5 Caractersticas protocolo descubrimiento de vecinos.
Caracterstica de NDP Descubrimiento de routers Descubrimiento de prefijo Descubrimiento de parmetros Autoconfiguracin de direcciones Resolucin de direcciones Determinacin prximo salto Deteccin de vecinos inalcanzables(NUD) Deteccin de direcciones duplicadas (DAD) Redireccin
Descripcin Permite a los dispositivos detectar a los routers presentes en el enlace. Permite a los nodos conocer el prefijo utilizado en el enlace. Permite a los nodos auto configurar parmetros como MTU o nmero mximo de saltos. Permite a los dispositivos auto configurar su propia direccin. Permite a los nodos determinar las direcciones capa 2 de los dispositivos presentes en el enlace. Permite a los nodos determinar el prximo salto para un destino dado. Detecta si se puede alcanzar un determinado nodo. Permite a los nodos determinar si una direccin est en uso. Permite a los routers informar a los nodos de un mejor prximo salto para una direccin en particular.
Equivalente IPv4 ICMP Router Discovery No disponible PMTU Discovery No disponible ARP Tabla ARP y/o tabla de enrutamiento en los dispositivos. Dead Gateway Detection ARP con origen=0
ICMPv4 Redirect
3.7.
En IPv6 existen tres distintas formas en las que un nodo puede obtener una direccin IPv6: de forma esttica, autoconfiguracin sin estados y mediante DHCPv6
26
Configuracin esttica La configuracin esttica consiste en ingresar manualmente la direccin IPv6 de un nodo en un archivo de configuracin o mediante el uso de herramientas propias del sistema operativo. La informacin que se debe incluir como mnimo es la direccin IPv6 y el tamao del prefijo de red. Autoconfiguracin sin estados (stateless) El procedimiento de autoconfiguracin sin estados [11] utiliza el protocolo de descubrimiento de vecinos NDP para reconocer a los routers presentes en el enlace y generar una direccin IPv6 a partir del prefijo que estos anuncias. Los pasos que realiza un nodo para obtener una direccin son los siguientes:
Descubrir un prefijo utilizado en el enlace: El nodo escucha los anuncios que envan los routers peridicamente al enlace (mensajes RA) o puede solicitar un anuncio, enviando un mensaje de solicitacin de router (RS). A partir de los mensajes RA, obtiene la informacin del prefijo de red.
Generar un identificador de interfaz: Para generar el resto de la direccin IPv6, el nodo genera un identificador de interfaz. Puede generarla a partir de su direccin MAC (como en las direcciones locales al enlace) o de forma aleatoria.
Verificar que la direccin no est duplicada: La direccin IPv6 generada debe ser nica, por lo que el nodo inicia el procedimiento de deteccin de direcciones duplicadas (DAD). Si la direccin es nica, el nodo comienza a utilizarla.
Autoconfiguracin con estados (DHCPv6) La implementacin de DHCP para IPv6 (DHCPv6) realiza las mismas funciones que DHCP en IPv4. Un servidor DHCP enva mensajes que contienen la direccin IPv6 a utilizar, direccin del servidor DNS e informacin adicional a los clientes DHCP, quienes se configuran de acuerdo a la informacin recibida.
27
A diferencia de la configuracin sin estados, el uso de DHCPv6 permite centralizar toda la asignacin de direcciones de los equipo pertenecientes a un sitio. El servidor DHCPv6 no necesita estar conectado en el mismo enlace de los clientes DHCPv6, los mensajes pueden ser enrutados. En la Tabla 3.6 se observan los principales cambios entre DHCPv4 y DHCPv6.
Tabla 3.6 Diferencias entre DHCPv4 y DHCPv6
Caracterstica Mensaje de reconfiguracin Direccin de destino de la solicitud DHCP de un cliente Direccin de origen en la solicitud DHCP.
Asociacin de identidad
No disponible
No disponible
DHCPv6 Permite a los servidores solicitar a los clientes que actualicen su informacin. Grupo multicast que agrupa a todos los servidores DHCP. Direccin local de enlace del nodo. Los clientes pueden solicitar informacin a varios servidores DHCPv6 y obtener mltiples direcciones. Un router puede anunciar a los nodos si es que est permitido el uso de DHCPv6.
3.8.
Fragmentacin
La fragmentacin en IPv6 es manejada nicamente por los nodos finales de una conexin. Los nodos intermedios rechazan todos los paquetes que tengan un tamao superior a su mxima unidad de transporte (MTU). El MTU mnimo para IPv6 es de 1280 [byte] y el recomendado es de 1500 [byte], superiores a los tamaos establecidos para IPv4 (68 y 576 [byte] respectivamente). Dado que los nodos intermedios no realizan fragmentacin, se utiliza el proceso de descubrimiento de la MTU del camino para encontrar la mxima MTU que puede atravesar el camino entre dos nodos. Este proceso utiliza mensajes ICMPv6 y genera una tabla con los valores mximos de MTU para cada destino. Si un paquete supera el tamao de la mxima MTU en un camino dado, el nodo origen debe realizar la fragmentacin. El proceso de fragmentacin es similar del de IPv4, con la diferencia de que en vez de utilizar el campo fragmentacin de la
28
cabecera IPv4, se utiliza una cabecera adicional para indicar que el contenido del paquete es un fragmento.
29
Captulo 4
La red de datos de la Universidad Tcnica Federico Santa Mara (UTFSM) se compone de la interconexin de la Casa Central en Valparaso con los campus Santiago San Joaqun, Santiago Vitacura y las sedes de Via del Mar y Concepcin. En la Casa Central la red se compone de un backbone de fibra ptica multimodo (que comunica a los edificios internos del Campus) y equipamiento activo de comunicaciones, principalmente orientado al uso de Fast Ethernet (normas 100BaseTX y 100BaseFX). Los enlaces principales de unin de los equipos de distribucin (acceso departamental) cuentan con enlaces Gigabit Ethernet (1000 [Mbps]). En la Figura 4.1 se presenta la topologa simplificada de la red institucional UTFSM al momento de realizar el anlisis.
30
Los equipos campus-gw y fibra-gw se encuentran conectados a travs del switch sw-inside y utilizan el protocolo RIP para el intercambio de rutas. En conjunto, dichos equipos componen el ncleo de la red, manejando la configuracin de las VLANS de la red y realizando el enrutamiento entre ellas y hacia el exterior de la red. Dado que IPv6 es un protocolo capa 3, su uso es transparente para todos los dispositivos capa 2. Por ello, en este anlisis no se consideran los switches de acceso que se encuentran a lo largo de las dependencias de la UTFSM. No se considera tampoco el equipo PacketShaper, ya que no se aplicarn polticas de calidad de servicio en el trfico IPv6. El objetivo de este anlisis es la implementacin de una red IPv6 que permita conectar a la Red LAN de la casa Central a Internet. De esta forma, los departamentos
31
y unidades que lo requieran podrn contar con acceso IPv6 a Internet a travs del backbone de fibra ptica. Este es el primer paso hacia una futura migracin total de la red a IPv6. No se considera el acceso IPv6 a travs de WIFI ni desde las sedes y campus de la UTFSM, sin embargo el anlisis e implementacin aqu presentada pueden ser utilizados como base para una futura migracin de dichos sectores de la red. La implementacin de la red IPv6 est enmarcada dentro del proyecto de actualizacin de la red institucional UTFSM. Dicha actualizacin se debe al aumento de trfico y usuarios de la red en los ltimos aos. Los cambios aqu propuestos buscan mejorar el rendimiento de la red institucional en general, junto con proveer soporte IPv6.
4.2.
Para la implementacin de redes IPv6 en redes que funcionan sobre IPv4, existen tres tcnicas distintas. Doble capa IP (Dual Stack) La tcnica dual stack es aquella en donde se ejecutan los protocolos IPv4 e IPv6 de manera simultnea en los nodos de una red. Cada nodo tiene asignada direcciones IPv4 e IPv6. Esta tcnica tiene la ventaja de asegurar la conectividad de los nodos de la red, cuando no sea posible utilizar IPv6, se puede utilizar IPv4. Las desventajas son una disminucin del desempeo de los equipos de red, que deben mantener tablas de direcciones y rutas independientes para cada protocolo. Tneles IPv6 sobre IPv4 La tcnica de tunelizacin consiste en encapsular paquetes IPv6 dentro de paquetes IPv4 para que estos puedan ser transmitidos a travs de redes IPv4. El uso de tneles requiere que exista un equipo en cada extremo que realice el proceso de encapsulacin y extraccin de los paquetes IPv6. Los tneles permiten otorgar conectividad IPv6 cuando no es posible implementar IPv6 en todos los dispositivos de una determinada red.
32
NAT-PT (Network Address Translation Protocol Translation) Es una tcnica que transforma directamente paquetes IPv6 en paquetes IPv4 y viceversa. Es totalmente transparente desde el punto de vista de los nodos en una conexin, solo es necesario configurar un router que realiza la transformacin de paquetes. Es ms complejo que el tradicional protocolo NAT de IPv4, ya que es necesario modificar ntegramente cada paquete IPv4/IPv6. Solo se recomienda su uso como medida temporal, cuando no existe otra alternativa. En la UTFSM ya se han realizado implementaciones de redes IPv6 mediante el uso de tneles [12] [13]. El objetivo de este trabajo es implementar una red que funcione nativamente en IPv6, sin requerir el uso de IPv4, utilizando la tcnica de dual stack. De esta forma se evita depender de IPv4 para realizar la comunicacin entre nodos, generando un escenario ms realista respecto al futuro, cuando IPv6 sea el protocolo dominante en Internet.
4.3.
El uso de la tcnica dual-stack requiere que todos los equipos involucrados en conectar la red institucional a Internet cuenten con soporte para IPv6. En la Tabla 4.1 se presenta un resumen de los resultados obtenidos al revisar los equipos existentes.
Tabla 4.1 Anlisis equipos existentes Red Institucional UTFSM
Equipo Cisco 7204VXR Cisco Catalyst 2950T Cisco Catalyst 3550 Cisco Catalyst 3560 Cisco PIX 525
Funcin(es) Gw-Border Sw-border Nacional-gw campus-gw Admin-gw, Gateway de sedes y campus Firewall Primary Firewall Secundary
Soporta IPV6? S No No
Accin a realizar Actualizar IOS a una versin superior a la 12.2R. Reemplazar Equipo. Reemplazar Equipo. Si se desea utilizar enrutamiento IPv6, se requiere utilizar la serie Advanced IP Services del sistema IOS. Actualizar PIX OS a una versin superior a la 7.0.
33
4.4.
Alternativas de equipamiento
El anlisis de los equipos existentes demostr que para la implementacin de IPv6 se requiere realizar el cambio de por lo menos dos tipos de equipos actualmente utilizados, los switches Catalyst 3550 y 2950. Dichos equipos no contarn con ningn tipo de actualizacin para implementar IPv6, ya que han sido descontinuados por su fabricante. Cabe destacar que los equipos mencionados pueden ser utilizados como switches de acceso en redes IPv6, funcionando slo en capa 2. Si bien no era estrictamente necesario desde el punto de vista de soporte IPv6, los equipos cortafuegos firewall-primary y firewall-secundary fueron considerados en la lista de dispositivos a reemplazar. Esta consideracin se hizo tomando en cuenta el crecimiento de usuarios de la red institucional en los ltimos aos. Se solicitaron presupuestos a dos de los principales fabricantes de equipos de red: Cisco, fabricante de la mayor parte de los equipos de la red institucional, y a Juniper. Ambas empresas realizaron sus propios anlisis de la red institucional y presentaron sus propuestas para el cambio de equipos. Las soluciones presentadas por ambas empresas coincidieron en el cambio de los equipos sealados anteriormente, sugiriendo adems otras actualizaciones a la red. Las tablas 4.2 y 4.3 resumen las propuestas entregadas por las empresas.
Tabla 4.2 Propuesta Cisco.
Funcin Reemplazo PIX 525 Reemplazo Catalyst 3550 Reemplazo Catalyst 2950T
Versin OS Cisco ASA Software Versin 8.0 CISCO IOS 12.2(44)SE CISCO IOS 12.2(44)SE
Cantidad 2 3 1
Funcin Reemplazo PIX 525 Reemplazo Catalyst 3550 Reemplazo Catalyst 2950T
Versin OS
Cantidad
2 SCREENOS 6.1 JUNOS for EX Series 9.1 3 JUNOS for EX Series 9.1 1
34
4.5.
Equipo
Caractersticas IPv6 Provee control de acceso y servicios de firewall para ambientes de redes nativos IPv6 y mixtos (IPv4 & IPv6). Entrega servicios de inspeccin para aplicaciones basados en HTTP, FTP, SMTP, ICMP, UDP y TCP. Permite la administracin remota desde SSHv2, Telnet, HTTP, HTTPS e ICMP corriendo sobre IPv6.
ASA 5520
Enrutamiento esttico. Descubrimiento de mximo MTU. Protocolo de descubrimiento de vecinos. BPG4-MP, EIGRP, OSPFv3 y RIPng. Acceso mediante SSH, HTTPS sobre IPv6. Bsquedas DNS sobre Ipv6. Extended y Standard Access Control List para IPv6. Configuracin automtica de direcciones. ICMPv6. Soporte CEF/dCEF.
Equipo
Caractersticas IPv6 Enrutamiento esttico y RIPng DHCPv6 Tneles IPSec+Ipv6. PPPoE NAT-PT Radius
SSG-550M
35
Equipo
Caractersticas IPv6 Protocolo de descubrimiento de vecinos. ICMPv6 BPG4-MP, EIGRP, OSPFv3 y RIPng. Configuracin automtica de direcciones. ICMPv6.
EX-3200 y EX-4200
Es necesario destacar que las caractersticas sealadas de los equipos EX-3200 y EX-4200 corresponden a las indicadas en los respectivos manuales. Sin embargo, al momento de realizar el anlisis, dichas caractersticas aun no estaban disponibles en el sistema operativo de los equipos [17].
36
presenta un cuadro resumen de las principales diferencias entre ambos sistemas operativos.
Tabla 4.6 Comparacin entre IOS y JUNOS.
Juniper JUNOS Creado en 1996 Ultima versin principal: 9.0 Arquitectura Modular Misma versin corre en todos los equipos. (Excepto en firewalls)
Cisco IOS Creado en 1987 Ultima versin principal: 12.4 Arquitectura monoltica (en proceso de cambio a arquitectura modular) Distintas versiones disponibles para cada equipo Cisco
Cabe destacar que ambas empresas han anunciado planes para permitir que aplicaciones desarrolladas por terceros tengan acceso a los servicios otorgados por sus sistemas operativos. Si bien ambos sistemas implementan el mismo conjunto de protocolos y estndares utilizados en redes IP, Cisco destaca por estar constantemente actualizando sus sistemas operativos con herramientas y protocolos propios, que facilitan la configuracin y administracin de sus dispositivos. Dentro de dichos protocolos destacan NetFlow, Hot Standby Router Protocol (HSRP) y VLAN Trunking Protocol (VTP),
37
estructura y metodologa para llevar a cabos ciertas tareas. Esto implica que de seleccionarse la alternativa presentada por Juniper, sera necesario invertir tiempo y recursos en capacitacin de los administradores de dichos equipos. Relacionado con lo anterior, un aspecto negativo de la alternativa de Juniper es la escasa documentacin y base de usuarios que posee en comparacin con Cisco. El sitio web de Cisco pone a disposicin de los usuarios una serie de documentos tcnicos (whitepapers) que buscan resolver problemas y dudas que los usuarios tienen comnmente. Adems, los equipos presentados por Cisco son utilizados en un gran nmero de redes a lo largo de Chile y del mundo, permitiendo contar con una gran base de usuarios que comenta y publica sus experiencias en sitios web y grupos de discusin.
38
Captulo 5
Tomando en cuenta los criterios expuestos en el captulo 4, se escogi la alternativa de equipamiento presentada por Cisco. El factor clave en la eleccin fue la experiencia que se tiene en la UTFSM con equipos Cisco, adems del gran soporte, tanto directo como indirecto que existe para dichos equipos. Una de las ventajas de esta eleccin es que fue posible utilizar los simuladores GNS3 y PacketTracer para probar las configuraciones expuestas en este captulo antes de su implementacin definitiva. La Tabla 5.1 muestra los equipos reemplazados.
Tabla 5.1 Equipos reemplazados en la red institucional.
Nombre equipo Sw-border Firewall primary Firewall secondary Sw-inside Fibra-gw Campus-gw Sw-wifi
Equipo original Catalyst 2950T Pix 525 Pix 525 Catalyst 2950T Catalyst 3550 Catalyst 3550 Catalyst 2950T
Equipo de reemplazo Catalyst 2960G ASA 5520 ASA 5520 Catalyst 3750 Catalyst 3750 Catalyst 3750 Catalyst 3750
Los tres switches Catalyst 3750 fueron conectados en pila (stack) mediante la tecnologa StackWise de Cisco [18]. Esta tecnologa permite unir de forma inteligente los tres switches para crear una nica unidad de switching que cuenta con una interconexin entre equipos de 32[Gbps]. La configuracin de los equipos se realiza de forma centralizada y la informacin sobre la topologa de la red y enrutamiento se actualiza constantemente entre los equipos. En la Figura 5.1 se muestra la nueva topologa simplificada de la red institucional de la UTFSM.
39
5.2.
departamentos gubernamentales de los Estados Unidos. Por otra parte Telmex, al momento de realizar la cotizacin correspondiente, no ofreca an acceso IPv6 a Internet. Se contrat con Global Crossing un ancho de banda de 1 [Mbps] internacional exclusivo para acceder a Internet mediante IPv6. Este ancho de banda es suficiente si se considera que se espera una baja demanda de este servicio. Futuras ampliaciones o usos de la red IPv6 pueden requerir un ancho de banda superior.
La UTFSM acta como un ISP de los diversos campus y sedes a lo largo del pas, proveyndoles acceso a Internet y servicios asociados.
En el futuro la UTFSM planea utilizar enlaces redundantes a Internet IPv6 con contratando un segundo ISP. El obtener un prefijo /32 facilita el uso de tcnicas de multihoming.
La mayora de las Universidades a nivel mundial estn obteniendo prefijos /32 con el fin de promover el desarrollo e investigacin en torno a IPv6.
LACNIC deleg el prefijo 2800:270::/32 a la UTFSM en agosto del 2008. En enero de 2009, se realizo el primer anuncio de dicho prefijo al exterior, sumndose a la tabla de enrutamiento global IPv6.
41
Cabe destacar que la UTFSM es una de las 5 instituciones chilenas, y la nica Universidad, que a la fecha de publicacin de este trabajo poseen un prefijo IPv6 activo, es decir, que est correctamente anunciado en la tabla de enrutamiento global6.
5.3.
Protocolos de enrutamiento
La lista de los prefijos delegados por LACNIC y su estado se pueden ver en http://www.sixxs.net/tools/grh/dfp/lacnic/ 42
5.4.
El prefijo 2800:270::/32 permite a la UTFSM contar con 65356 sitios IPv6, cada uno de tamao /48. Con el objetivo de realizar una correcta distribucin del gran nmero de direcciones disponibles, se opt por implementar una poltica de direccionamiento jerrquico que considera a los distintos campus y sedes de la UTFSM. La estructura de las direcciones IPv6 a utilizar en la UTFSM se muestra en las tablas 5.2 y 5.3.
Tabla 5.2 Estructura direcciones IPv6 de la UTFSM
Nombre campo Prefijo UTFSM Campus Unidad Red Dispositivo (Interfaz) 8[bit] 8[bit] 16[bit] 64[bit] Tamao campo 32[bit] /32 /40 /48 /64 /128 Prefijo
Campo Campus
Unidad
Valores establecidos 00: Casa Central 10: Sede Via del Mar 20: Sede Concepcin 30: Campus Rancagua 40: Campus Santiago Vitacura 50: Campus Santiago San Joaqun Ver valores en anexo A.
43
Red
Dispositivo
Especifica una red administrada por un departamento/unidad administrativa Identifica a un dispositivo (interfaz) al interior de una red IPv6
Esta poltica de asignacin de direcciones permite a cada unidad administrativa contar con 65356 redes de 1,18x1019 dispositivos. Esto permite realizar una segmentacin aun ms fina al interior de cada departamento, asignando por ejemplo una red IPv6 a cada laboratorio o proyecto de investigacin. Tomando en cuenta el nmero total de direcciones IPv6 disponibles, y considerando una distribucin homognea de ellas, se presenta en la el nmero de direcciones IPv6 disponibles7.
Tabla 5.4 Nmero de direcciones IPv6 disponibles en la UTFSM.
Direcciones IPv6 en total Direcciones IPv6 por m2 Direcciones IPv6 por persona (alumnos, profesores y administrativos)
Para la configuracin de la(s) direccin(es) IPv6 de los nodos se determin conveniente utilizar el mecanismo de autoconfiguracin existente en IPv6. De esta forma, los ltimos 64 [bit] de la direccin de una interfaz perteneciente a un dispositivo, sern completados de forma automtica a partir de la direccin fsica (MAC) siguiendo el formato EUI-64. La excepcin la constituyen los servidores y equipamiento de red (switch, router, firewall), a los cuales se les asignar su direccin IPv6 de forma manual para simplificar su configuracin y administracin Todos los dispositivos configurados con direcciones IPv6 utilizaran direcciones unicast del contexto global. En esta primera etapa no se considera necesario el uso de direcciones unicast locales nicas, pero no se descarta su futuro uso para establecer redes privadas IPv6 al interior de la Universidad.
5.5.
Configuracin equipos
En la Figura 5.3 se observa las direcciones IPv4 e IPv6 asignadas a los equipos de la red institucional de la UTFSM.
Valores calculados en base a las http://www.utfsm.cl/universidad/cifras.html
7
estadsticas
del
ao
2008
disponibles
en
44
En el anexo B se encuentran detalladas las configuraciones realizadas en cada equipo. Se asign la red 2800:270:0000:A::/64 a los servidores institucionales. Dicha red pertenece a la casa central (cdigo 00) y est bajo la administracin de la Direccin Central de Servicios Computacionales (cdigo 00). Las direcciones IPv4 e IPv6 de la interfaz Gi 0/1 del equipo gw-border fueron asignadas directamente por el proveedor Global Crossing.
45
Captulo 6
6.1.
Prcticamente todos los sistemas operativos desarrollados actualmente cuentan con soporte IPv6. Para las organizaciones y empresas, dicha caracterstica es vista como una garanta de que dichos productos funcionaran adecuadamente en los prximos aos. Sin embargo, los ciclos de adopcin de los sistemas operativos son extensos, lo que hace necesario revisar el soporte IPv6 en versiones anteriores de dichos sistemas. En la Tabla 6.1 se presenta un resumen con el soporte IPv6 de los sistemas operativos ms utilizados por usuarios y servidores en la red institucional de la UTFSM.
Tabla 6.1 Soporte IPv6 en sistemas operativos utilizados en la red UTFSM.
Soporte IPv6 S S S S
Observaciones
46
Sistema Operativo Windows 2000 Windows 95/98/NT Linux FreeBSD Solaris Mac OSX Symbian OS Iphone (Mac OSX) Windows Mobile (Windows CE)
Soporte IPv6 No No S S S S S No S
Observaciones Soporte parcial a travs de software adicional Soporte parcial a travs de software adicional Desde kernel 2.2 Desde versin 4 Desde versin 8 Desde versin 10.2 Desde la versin 7.0 Desde versin 2003
El soporte IPv6 en dichos sistemas debe ser instalado manualmente. La direccin del servidor DNS a utilizar debe ser una direccin IPv4. No soportan realizar consultas DNS a travs de IPv6.
No cuentan con una interfaz grfica para modificar la informacin IPv6 de una interfaz, se debe utilizar la lnea de comandos.
No soportan el compartir impresoras ni archivos a travs de IPv6. El firewall incorporado en Windows XP soporta IPv6, pero no se pueden crear reglas especficas para dicho protocolo.
47
Estos sistemas operativos cuentan con la ltima implementacin IPv6 desarrollada por Microsoft, la cual incorpora todas las caractersticas definidas del protocolo.
IPv6 es el protocolo capa 3 utilizado por omisin en Windows Vista y Windows 7. Cuando IPv4 e IPv6 se encuentran activados, estos sistemas operativos intentaran conectarse a la direccin IPv6 de un dispositivo remoto.
Incorporan una interfaz grfica para la configuracin del protocolo. Windows 7 incorpora una funcin denominada Direct Access que proporciona acceso a los recursos de una red a usuarios remotos (similar a una VPN). Es una de las primeras aplicaciones desarrolladas que slo funciona en IPv6.
6.1.3. Linux
Las primeras implementaciones de IPv6 en Linux fueron publicadas el ao 1996 y estaban basadas en el proyecto KAME de los sistemas operativos BSD. Uno de los
48
mayores contribuidores al desarrollo IPv6 en Linux es el proyecto USAGI (UniverSAl playGround for Ipv6) manejado por un grupo de voluntarios que buscan implementar todas las funciones de IPv6 en el ncleo de Linux. En Linux cuenta con soporte IPv6 oficialmente desde la versin 2.2. Sin embargo no se recomienda su uso para IPv6, ya que todos los avances y mejoras respecto al protocolo se estn realizando en las versiones 2.4.x y 2.6.x.
6.2.
Existen en la actualidad innumerables aplicaciones que incluyen algn tipo de soporte para IPv6. En la Tabla 6.2 se presenta un resumen del soporte que proveen algunas de las aplicaciones de mayor uso en ambientes hogareos y/o de oficina.
Tabla 6.2 Soporte IPv6 aplicaciones uso comn.
Aplicacin
Soporta IPv6? Si Si Si Si No
Notas En versiones anteriores a la 7.0 no se puede especificar directamente una direccin IPv6, es necesario el apoyo de un servidor DNS.
2003
Soporta uso directo de direcciones IPv6 para configurar cuentas de correo Soporta uso directo de direcciones IPv6 para configurar cuentas de correo. Usar Windows Mail. No se puede especificar directamente una direccin IPv6, es necesario el apoyo de un servidor DNS.
49
Es necesario recordar que cuando se utiliza una direccin IPv6 para sealar un recurso remoto (URI), se utiliza el formato definido en [9]. Por ejemplo, para acceder a un sitio web, se utiliza el formato http://[2800:270::1].
6.3.
Se realiz un anlisis de una serie de servicios de uso comn en los servidores de la red Institucional de la UTFSM. El objetivo fue verificar el grado de soporte a IPv6 que estos ofrecen, demostrando que en la actualidad es posible implementarlos en redes que funcionan exclusivamente con IPv6. Las aplicaciones fueron instaladas en un servidor con el sistema operativo FreeBSD 7.1. En el anexo C se encuentra detallado el procedimiento para la configuracin del servidor y las aplicaciones analizadas. En la Tabla 6.3 se muestran las versiones instaladas de cada servicio.
Tabla 6.3 Servicios instalados en servidor FreeBSD 7.1
50
agregar los correspondientes registros en el archivo de zona. En la Tabla 6.4 se muestra un ejemplo de ello.
Tabla 6.4 Ejemplo de un sitio asociado a direcciones IPv4 e IPv6
Para la resolucin inversa de direcciones IPv6, se utiliza el mismo registro PTR utilizado en IPv4. Para construir la parte izquierda del registro, se ingresa cada digito hexadecimal de la direccin IPv6, separndolos por un punto. A esta direccin se agrega el nombre de dominio superior ip6.arpa. En la Tabla 6.5 se ve un ejemplo para la direccin 3ffe:b00:0:1::1.
Tabla 6.5 Ejemplo de registro PTR para una direccin IPv6
Valor prueba.utfsm.cl
Existen alternativas como Netflow (Cisco), archivos XML y otros protocolos propios de cada equipo. 51
independiente de la informacin transmitida. En el caso de Cisco, el uso de SNMP sobre IPv6 est disponible desde IOS 12.0(27)S. Todos los dispositivos adquiridos para la actualizacin de la red soportan esta caracterstica. La informacin que un agente proporciona a una estacin de monitoreo, est determinada por la(s) MIB (Management Information Base) que implementa. En un principio, la IETF defini MIBs diferentes y disociadas para informacin respecto a IPv4 e IPv6. Sin embargo, en 1996 se definieron las denominadas MIBs unificadas (RFC 2011 y RFC 2096), que renen la informacin de ambos protocolos. Una de las mayores crticas a este nuevo modelo, es que no permita especificar contadores de trfico separados por cada protocolo. Esto implicaba que no era posible obtener estadsticas diferenciadas sobre el nmero de paquetes transmitidos, errneos y descartados en una interfaz por cada protocolo IP. A raz de esto y motivado por diversas necesidades de los usuarios, en el ao 2006 se publicaron los documentos RFC 4293 y 4293 que especifican contadores independientes para IPv4 e IPv6.
En el caso de Cisco, los equipos adquiridos para la actualizacin de la red implementan las MIBs CISCO-IETF-IP-MIB (basada en RFC 2011) y CISCO-IETFIP-FORWARDING-MIB (basada en RFC 2096). Dichas MIBs, si bien permiten obtener informacin referente a la configuracin IPv6 de una interfaz, no cuentan con contadores de paquetes diferenciados para IPv4/IPv6. A la fecha de publicacin de
52
este trabajo, no existe la posibilidad de actualizar el sistema operativo para implementar MIBs basadas en los estndares ms actuales9. Se analizaron tres programas utilizados en la red institucional para el monitoreo de servidores y sus servicios: Net-SNMP, MRTG y Nagios. Net-SNMP El paquete Net-SNMP consiste en una serie de herramientas para obtener y configurar informacin de dispositivos que cuentan con SNMP junto a un agente que responde consultas SNMP realizadas al servidor. Tanto las herramientas de consulta y configuracin (snmpget, snmpwalk) como el agente SNMP (snmpd) demostraron funcionar correctamente sobre IPv6. En el caso del agente, las comunidades SNMPv2 por omisin solo responden consultas a travs de IPv4, siendo necesario editar el archivo de configuracin para habilitar el acceso a travs de IPv6. Al igual que en el caso de los equipos de la marca Cisco instalados en la red institucional, el agente SNMP incluido en este paquete no permite obtener estadsticas diferenciadas para el trafico IPv4/IPv6. MRTG MRTG (Multi Router Traffic Grapher) es una herramienta, escrita en C y Perl que se utiliza para supervisar la carga de trfico de interfaces de red. MRTG genera un informe en formato HTML con grficas que proveen una representacin visual de la evolucin del trfico a lo largo del tiempo. MRTG tiene soporte IPv6 desde la versin 2.10, sin embargo no se encuentra habilitado por omisin. Se observ que MRTG funciona sin problemas en una red IPv6, con la restriccin de no poder graficar de forma independiente el trfico IPv4 e IPv6 de los equipos instalados en la red UTFSM. Dicha restriccin es propia de los equipos monitoreados y no del programa.
9
De acuerdo a lo conversado con uno de los ingenieros de Cisco a cargo de dicha implementacin, el mayor problema es que la implementacin de las nuevas MIBs requiere modificar el hardware de los dispositivos. 53
Nagios Nagios es un sistema de cdigo abierto, que monitorea la disponibilidad de dispositivos de red, nodos y servicios ejecutndose en ellos, generando alertas cuando alguno de ellos falla o se escapa de determinados parmetros de funcionamiento. Posee un extenso soporte para plugins, los cuales permiten verificar diversos aspectos de servicios ejecutndose en estaciones remotas. Nagios cuenta con soporte IPv6 desde la versin 1.0. En las pruebas realizadas, se comprob que todos los plugins estndares, incluidos en la instalacin, funcionan correctamente con IPv6.
54
Capitulo 7
7.Consideraciones de desempeo
Una de las preocupaciones al momento de implementar IPv6 es que, dada sus nuevas caractersticas, su desempeo sea inferior a IPv4. Al respecto, empresas, organizaciones e investigadores han realizado una gran cantidad de estudios y trabajos que buscan responder dicha inquietud [13][20][21]. En este captulo se revisan los aspectos de IPv6 que influyen en su desempeo, realizando pruebas para medir su real impacto.
7.1.
Aspectos Tericos
Dentro de las nuevas caractersticas del protocolo IPv6, existen algunas que dada su naturaleza, pueden generar cambios en su desempeo respecto a IPv4. Dichas caractersticas son: a) El tamao de la cabecera de un paquete IPv6 es de 40[byte], el doble que la cabecera de IPv4. b) Se ha eliminado la necesidad de realizar los clculos asociados a los campos checksum y time-to-live. c) Se ha modificado el tamao mximo de un paquete, desde 64 [Kbyte] a 4[Gbyte] (IPv6 Jumbogram). d) Se ha introducido el campo Flow Label, que identifica flujos de trfico. e) El proceso de fragmentacin y reconstruccin de paquetes solo se realiza en los nodos terminales de una conexin. Los nodos intermedios y routers ya no tienen que realizar dicho proceso.
55
f) La cabecera de un paquete IPv6 se ha alineado a un largo de palabra de 64 [bit]. Un factor adicional a considerar es el hecho de que las implementaciones de IPv6 en equipos de red y sistemas operativos no poseen el grado de madurez que tienen sus contrapartes en IPv4. Las implementaciones de redes y servicios en IPv6 han sido utilizadas hasta el momento en ambientes de prueba, los cuales no estn sometidos al nivel de exigencia de ambientes de produccin IPv4. El aumento de la longitud en una direccin IPv6, junto al consiguiente aumento en el tamao de la cabecera, es un factor que introduce una baja del rendimiento general en redes IPv6. Considerando un mismo tamao de paquete, IPv4 es capaz de transmitir una mayor carga de informacin til (payload) que IPv6, tal como se muestra en la Tabla 7.1.
Tabla 7.1 Calculo overhead paquetes IPv4 e IPv6.
Tamao paquete = 64 [byte] Datos (payload) [byte] Cabecera IP [byte] Total Paquete IP[byte] Overhead IP10[%] IPv4 44 20 64 44% IPv6 24 40 64 62.5%
Tamao paquete = 1500 [byte] IPv4 1480 20 1500 1,3% IPv6 1460 40 1500 2,6%
Otro aspecto a considerar es que el aumento en el tamao de la cabecera implica un mayor tiempo para procesar cada paquete. El uso de direcciones de 128 [bit] requiere por lo menos el doble de instrucciones que las utilizadas en IPv4 para leer correctamente las direcciones de cada paquete. Si adems se toma en cuenta la nueva estructura de cabeceras adicionales, el nmero de operaciones necesarias para analizar cada paquete IPv6 es notablemente superior que en el caso de IPv4. Tomando en cuenta estos aspectos, se disearon dos pruebas que buscan comprobar los impactos en el uso de CPU de equipos y en el nmero de paquetes transmitidos en una conexin IPv6.
10
Overhead IP: Razn entre tamao de cabecera y tamao total del paquete 56
7.2.
Se arm el escenario de pruebas descrito en la Figura 7.1. El servidor web utiliza Apache versin 2.2.9 y se configur para que atienda las solicitudes web enviadas a sus direcciones IPv4 e IPv6. El equipo PC 1 utiliza el programa ApacheBench versin 2.3, el cual permite medir el desempeo de un servidor web.
La prueba realizada consisti generar 100.000 solicitudes de un archivo remoto de 210 [byte] ubicado en el servidor web. Se realiz la prueba utilizando IPv4 e IPv6, con un nivel de concurrencia11 de 10. Los resultados obtenidos se muestran en la Tabla 7.2.
Tabla 7.2 Resultados prueba servidor Web.
Tiempo total utilizado [s] Solicitudes/segundo atendidas Tiempo medio por solicitud [ms] Promedio uso CPU servidor [%]
Se observa que el rendimiento obtenido por IPv6 es inferior al obtenido por IPv4. Tal como se menciona en la seccin 7.1, el uso de IPv6 impone una carga adicional al sistema operativo, la cual se hace ms notoria en pruebas que simulan una gran cantidad de conexiones simultneas. En el caso del servidor Apache, este redujo considerablemente el nmero de solicitudes que es capaz de atender por segundo, junto con aumentar levemente sus requerimientos de procesamiento.
Esto implica que el programa ApacheBench simula que 10 usuarios conectados de forma simultnea al servidor, generan un total de 100.000 solicitudes al archivo. 57
11
7.3.
Con el propsito de verificar las diferencias en el nmero de paquetes transmitidos entre IPv4 e IPv6, se configur el escenario mostrado en la Figura 7.2.
El equipo servidor FTP es un sistema FreeBSD 7.1 ejecutando el servicio wuftpd versin 2.6.2. El equipo PC 1 utiliza el programa ncftp para conectarse al servidor. La prueba realizada consisti en la descarga de un archivo de 734.271[Mbyte] desde el servidor FTP hacia PC 1 utilizando IPv4 e IPv6. Considerando nicamente los paquetes asociados al transporte del archivo (paquetes tipo FTP-DATA), en la se muestra el nmero de paquetes que tericamente se debera transmitir.
Tabla 7.3 Clculo terico transmisin archivo de 734.271 [Mbyte].
Se observa que tericamente al utilizar IPv6 se generan aproximadamente un 1.3% ms de paquetes que al utilizar IPv4. Utilizando los contadores disponibles en el switch Catalyst 3750G, al realizar la descarga del archivo se obtuvieron los valores mostrados en la Tabla 7.4.
12
El total de datos contenidos corresponde al tamao del paquete menos el overhead IP +TCP 58
En base a los datos recogidos, se confirma lo expuesto en la seccin. La transmisin de un archivo determinado utilizando IPv6 como protocolo capa 3, genera un mayor nmero de paquetes que en IPv4. En la prueba realizada se observa que la variacin porcentual es superior a la terica. Realizando una captura de paquetes se concluye que dicha diferencia corresponde a paquetes que tuvieron que ser reenviados por haber llegado de forma incorrecta.
7.4.
Conclusiones
En base a las dos pruebas realizadas, se confirma lo expuesto en el anlisis terico de este captulo. El diseo de IPv6 posee limitaciones fsicas que le impiden obtener un rendimiento superior a IPv4. Sin embargo, el diseo del protocolo IPv6 incluye algunas caractersticas que mejoran pueden significar un mejor desempeo en otros aspectos. Por ejemplo, la estructura jerrquica de direccionamiento y la eliminacin del uso del protocolo NAT, pueden afectar positivamente el desempeo de equipos ubicados en el backbone de Internet. El desempeo de los equipos utilizados en la implementacin de la red IPv6 en la UTFSM (Cisco 7204VXR y Cisco Catalyst 3750G) ha sido extensamente analizados en ambientes dual-stack [20][22]. Los resultados obtenidos concluyen un desempeo prcticamente idntico al utilizar IPv4 y/o IPv6. Las mayores diferencias se observan en trfico compuestos por paquetes pequeos (inferiores a 100 [byte]). Estos resultados se explican por el hecho que dichos equipos son de los primeros en incluir mejoras en el hardware especficas para el trfico IPv6. No fue posible corroborar los resultados obtenidos en dichos estudios, ya que el nivel de trfico necesario para obtener ese tipo de resultados solo se puede obtener utilizando equipo especializado de pruebas.
59
Captulo 8
8.1.
La primera etapa de cualquier tipo de ataque hacia una red normalmente involucra algn tipo de procedimiento para examinar que dispositivos se encuentran activos en
60
de
direcciones IP posibles en la red, con el fin de detectar cuales estn en uso. Dicha tcnica es muy utilizada en IPv4, ya que el nmero de posibles direcciones en una red de tamao normal (/24) es de 256. Dicha operacin puede tardar entre 5 a 30 [s], y existen una serie de herramientas que realizan este barrido de forma automtica. En IPv6, el numero de direcciones IP posibles en una red tpica (/64) es de alrededor de 1,18x1019. Utilizando las mismas herramientas existentes en IPv4, para recorrer todo el rango de direcciones posibles de una sola red se necesitaran alrededor de 500 millones de aos. Sin embargo, existen otras tcnicas mediante las cuales un atacante puede realizar un reconocimiento de la red. Si el atacante se encuentra conectado fsicamente a la red, puede realizar un ping a la direccin multicast que representa a todos los nodos o a todos los routers conectados a dicha red (FF02::1 y FF02::2 respectivamente). De acuerdo a las especificaciones de IPv6, un nodo no debera responder a pings enviados a dichas direcciones, sin embargo varias
implementaciones no han tomado en cuenta dicha recomendacin. Existen varias recomendaciones para evitar los problemas asociados al reconocimiento local o remoto de una red. La principal es que los identificadores de interfaz de los nodos no sean nmeros correlativos y que no partan desde el lmite inferior del rango (evitar las secuencias ::1, ::2, ::3, etc.). Esto se puede lograr mediante el uso de la autoconfiguracin de direcciones IPv6, ya que es posible obligar a los nodos generar un identificador de interfaz pseudo-aleatorio o basado en la direccin fsica de la interfaz.
8.2.
Vulnerabilidades en ICMPv6
enrutamiento (RA) transportados sobre mensajes ICMPv6, los cuales contienen la siguiente informacin:
Prefijo(s) local(es): Los primeros 64 [bit] de una direccin IPv6 Direccin de enlace local del router. Prioridad del router: Un valor entero que indica la prioridad de este router. Cuando existen varios routers en el mismo enlace, los nodos utilizan el de ms alta prioridad.
Tiempo de vida del mensaje Mxima unidad de transporte (MTU): Indica a los nodos la MTU a utilizar en el enlace.
Informacin adicional
A partir de los anuncios de enrutamiento (RA), los nodos pueden construir sus direcciones IPv6 mediante la combinacin del prefijo local y su direccin fsica (MAC). Obtienen adems la direccin de la ruta por omisin que deben agregar en sus tablas de enrutamiento. En la Figura 8.1 se observa como el router anuncia su presencia y permite a los equipos PC 1 y PC 2 configurar sus propias direcciones.
62
Dado que no existe un mecanismo de autenticacin incluido dentro de SLACC, un usuario malintencionado puede enviar mensajes RA que lo anuncien como un router de alta prioridad dentro de la red. De esta forma, todo el trfico sera redirigido a su equipo, con todos los problemas de seguridad que esto implica El atacante podra tambin enviar mensajes RA que indiquen un router de alta prioridad que no existe actualmente de la red. De esta forma, todo el trfico de la red sera descartado, tal como se indica en la Figura 8.2.
Para ejecutar este ataque, se puede utilizar la herramienta fake_router6 incluida en el paquete THC IPv6. Dicha herramienta permite enviar anuncios de enrutamiento en donde se puede definir el prefijo a anunciar y la direccin de enlace local del router a anunciar. Todos los anuncios creados con esta herramienta son enviados con alta prioridad, por lo que tienen preferencia por sobre los enviados por otros dispositivos.
63
a) Se enva un mensaje de solicitud de vecino (Neighbor Solicitation, NS) que contiene la direccin IPv6 a consultar. b) El nodo con la direccin IPv6 solicitada responde con un mensaje de anuncio de vecino (Neighbor Advertisement, NA), que contiene su direccin fsica (MAC).
En la Figura 8.3 se observa que el procedimiento de resolucin de direcciones es similar al utilizado en IPv4. Al igual que en la configuracin automtica, no se realiza autenticacin del nodo solicitante ni del nodo que respondo a dicha solicitud. Debido a esto, un atacante puede responder cualquier mensaje de solicitud de vecino enviado por un nodo del enlace, enviando su propia direccin MAC u otra que estime conveniente. Los riesgos de este ataque es que un usuario mal intencionado puede falsear la direccin fsica del router presente en el enlace, redirigiendo todo el trfico a su propio equipo o a una direccin fsica inexistente. El problema aumenta cuando se considera que por especificaciones del protocolo IPv6, las entradas en la tabla de direcciones de un nodo se actualizan constantemente, generando una gran cantidad de mensajes de solicitud de vecinos.
64
Para ejecutar este ataque, se puede utilizar la herramienta fake_advertise6 incluida en el paquete THC IPv6. Dicha herramienta permite enviar mensajes de anuncio de vecino en donde se puede definir la direccin IPv6 a anunciar, la direccin MAC asociada y el destinatario de los mensajes (normalmente se utiliza la direccin ff02::1 que identifica a todos los nodos IPv6 en un enlace) .
65
Para ejecutar este ataque, se puede utilizar la herramienta dos-new-ip6 incluida en el paquete THC IPv6. Dicha herramienta responde a todos los mensajes de solicitud de vecinos que se reciben en una determinada interfaz, independiente de la direccin IPv6 consultada. De esta forma, el resto de los nodos presentes en el enlace no pueden utilizar ninguna nueva direccin IPv6.
8.2.4. Redireccin
La redireccin es un mecanismo basado en ICMPv6 que permite a un router informar a otros nodos de un enlace la existencia de un mejor primer salto para llegar a una direccin o red determinada. Cuando un router recibe un paquete, revisa su tabla de rutas y si encuentra que existe un mejor primer salto enva un mensaje de redireccin al nodo que envi el paquete. El nodo al recibir un mensaje de redireccin, actualiza su tabla de rutas y enva el paquete al nuevo primer salto. En la Figura 8.5 se observa cmo opera dicho procedimiento.
66
Al igual que en los casos anteriores, no existe autenticacin para el envo de mensajes de redireccin. El nico mecanismo de proteccin existente consiste en que para que un mensaje de redireccin enviado por un router sea vlido, debe contener una copia del paquete original que causo el envo del mensaje de redireccin. Sin embargo, un atacante puede inducir a un nodo generar paquetes con contenido conocido (como un mensaje ICMPv6 echo request) los cuales pueden ser utilizados en mensajes de redireccin falsos. Para ejecutar este ataque, se puede utilizar la herramienta redir6 incluida en el paquete THC IPv6. Dicha herramienta genera mensajes de redireccin falsos, que sobrescriben la tabla de rutas de un determinado nodo.
8.3.
Medidas de proteccin
67
SeND agrega parmetros adicionales a los mensajes del protocolo de descubrimiento de vecinos. Cada mensaje enviado por un nodo que implementa SeND incluye los parmetros utilizados para la generacin de su propia direccin CGA y una firma generada con su llave privada. De esta forma, el receptor puede verificar la identidad de quien enva el mensaje. El mayor obstculo que existe actualmente para implementar SeND en la red institucional es la baja cantidad de dispositivos que lo implementan. Si bien todos los equipos de red Cisco instalados en la red institucional soportan su uso, no existen planes para que los sistemas operativos Windows XP y Windows Vista lo incorporen en algn futuro cercano. Otro problema asociado al uso de SeND es que las operaciones asociadas al uso de llaves criptogrficas implican una carga adicional a la CPU, generando una oportunidad para un posible ataque de denegacin de servicio por sobrecarga de CPU. Por estas razones, el uso de SeND no es una alternativa viable an para mitigar los problemas causados por las vulnerabilidades del protocolo de descubrimiento de vecinos.
Para IPv6, Cisco ha anunciado una solucin similar que consta de los siguientes elementos
Listas de acceso IPv6 para VLAN: Permiten descartar todos los mensajes RA enviados desde una direccin no permitida.
Listas de acceso IPv6 para puertos: Pueden ser usados para descartar todos los mensajes RA enviados desde un puerto no autorizado del switch.
Inspeccin dinmica de mensajes: Permite descartar aquellos mensajes del protocolo NDP que contienen informacin falsa o modificada.
Dicha solucin se espera est disponible a partir del 2010. Sin embargo, una solucin de este tipo requiere necesariamente cambios de hardware, por lo que posiblemente no se pueda utilizar en los equipos actuales de la red institucional UTFSM.
8.3.3. Microsegmentacin
Otra forma de reducir el impacto de ataques locales que se basan en las vulnerabilidades del protocolo ICMPv6 es reduciendo el nmero de usuarios a los que afectan. La microsegmentacin consiste en dividir redes de gran tamao en otras ms pequeas. De acuerdo a la distribucin de direcciones IPv6 al interior de la UTFSM, descrita en la seccin 5.4 de este documento, cada unidad administrativa de la Universidad podr disponer con ms de 65000 redes para su uso particular. Mediante el uso de VLANS, se puede aislar reas al interior de cada unidad y otorgar un prefijo IPv6 particular a cada una de ellas. Si bien esta tcnica puede ser realizada con IPv4, el gran nmero de direcciones que otorga IPv6 permite realizar segmentaciones aun ms pequeas y fciles de administrar
69
8.3.4. NDPMon
La herramienta de cdigo libre NDPMon (Neighbor Discovery Protocol Monitor) permite monitorear una red local y alertar cuando se enven mensajes ICMPv6 sospechosos. NDPmon es una de las pocas herramientas que en la actualidad permite detectar ataques que se basan en la falsificacin y alteracin de mensajes del protocolo de descubrimiento de vecinos. NDPMon posee un archivo de configuracin XML en donde se especifica las direcciones fsica e IPv6 de los dispositivos autorizados para funcionar como routers dentro de una red local. NDPMon alerta cuando un dispositivo no autorizado intenta funcionar como router dentro de la red. Adems es capaz de detectar todos los ataques mencionados en las secciones anteriores, junto a otras situaciones o acciones sospechosas. Una de las desventajas de NDPMon es que solo permite detectar dichos ataques, no posee herramientas para contrarrestarlos. Adems, y dada la naturaleza de los ataques, NDPMon debe ejecutarse en un nodo que se encuentre conectado fsicamente en la red a vigilar. Dicho desventaja se puede solucionar mediante el uso del modo monitor en una de las puertas de un switch, que permite enviar una copia de los paquetes cursados en distintas VLANs a un determinado puerto del switch. Con el fin de comprobar la eficacia de NDPMon, se armaron cuatro escenarios de prueba (detallados en el anexo D), en los cuales se ejecutaron ataques basados en las vulnerabilidades mencionadas en la seccin 8.2 de este documento. Los resultados demostraron que NDPMon es capaz de detectar correctamente los ataques basados en las vulnerabilidades presentes en ICMPv6 (configuracin automtica de direcciones, resolucin de direcciones, deteccin de direcciones duplicadas y redireccin).
70
Captulo 9
9.Conclusiones
9.1. Conclusiones generales
Durante el presente trabajo se dise e implemento correctamente una red IPv6 operando en modalidad dual-stack sobre la red institucional de la UTFSM. La red permite conectar a las distintas unidades administrativas y departamentos directamente a Internet mediante IPv6, sin necesidad de utilizar tneles o traduccin de protocolos. Se pudo comprobar que el grado de desarrollo actual del protocolo IPv6 permite sin mayores contratiempos la implementacin de redes que funcionan nicamente sobre IPv6. El soporte IPv6 existente en los equipos de red permite prescindir totalmente de IPv4 para la totalidad de servicios que una red tradicionalmente ofrece. Incluso funciones avanzadas como MPLS, IPSec y MobileIP ya cuentan con soporte oficial en redes IPv6. Los sistemas operativos y programas computacionales han demostrado tambin poseer un soporte IPv6 lo suficientemente maduro para permitir su uso en ambientes IPv6. Se espera que los sistemas operativos sin soporte, o con soporte parcial, sean progresivamente reemplazados a medida que aumenta la adopcin de IPv6 El trabajo realizado demostr que es necesario hacer una revisin exhaustiva de las alternativas al momento de actualizar o implementar una red IPv6. Se descubri que muchos fabricantes anuncian soporte IPv6 en sus productos, pero en la realidad dicho soporte es parcial o se incluir en futuras actualizaciones. En dichos casos son tiles las iniciativas como el programa IPv6 Ready [21] que certifican el soporte IPv6 de equipos y software, realizando una serie de pruebas sobre ellos. En el captulo 8 de este trabajo se trato el tema de seguridad en las redes IPv6. A pesar del gran avance que se ha hecho en este tema en los ltimos aos, fue posible
71
constatar que aun existen problemas y vulnerabilidades importantes en las redes IPv6. Los ataques presentados hacen necesario tomas las debidas precauciones cuando se implementan redes IPv6 a gran escala. Se constat que faltan soluciones para contrarrestar eficazmente las vulnerabilidades del protocolo ICMPv6. La red IPv6 presentada en este trabajo constituye la base para futuros trabajos y actualizaciones de la red en pos de una integracin total del protocolo en todos los equipos y servicios otorgados por la red institucional de la UTFSM. El plan de direccionamiento IPv6 jerrquico desarrollado permite proveer de forma ordenada de direcciones IPv6 a todos los usuarios de la red institucional, dejando un gran espacio disponible para futuros campus y unidades administrativas en la UTFSM. Se espera que durante los prximos aos IPv6 tome mayor protagonismo en Internet, desplazando lentamente al protocolo IPv4. El trabajo realizado permite a la UTFSM estar preparada para las futuras necesidades de los usuarios de su red institucional, marcando una tendencia que se espera sea ejemplo para otras instituciones de educacin superior.
9.2.
Trabajo Futuro
Anlisis de la red WIFI UTFSM: La red WIFI UTFSM se maneja de forma centralizada y utiliza DHCPv4 para la asignacin de direcciones. Es necesario revisar el soporte IPv6 de los controladores WIFI existentes y evaluar alternativas para otorgar direcciones IPv6 en conjunto con las direcciones IPv4. Dado el gran nmero de usuarios de la red WIFI, es necesario tambin revisar y aplicar los conceptos de seguridad presentados en el captulo 8 de este documento.
72
Integracin de campus y sedes: Los campus y sedes estn conectados a la red institucional mediante dos ISP diferentes. Es necesario revisar las posibilidades de poder ofrecer IPv6 en los enlaces hacia los campus junto a la configuracin del protocolo de enrutamiento entre ellos.
Anlisis de redes y servicios en departamentos de Electrnica e Informtica: Los departamentos de Electrnica e Informtica de la UTFSM poseen su propia red de servicios interna, las cuales no fueron consideradas en este trabajo. Es necesario generar una instancia de colaboracin y asesoramiento a dichos departamentos para poder otorgar conectividad IPv6 al interior de sus redes.
IPSec: El uso de IPv6 facilita la implementacin de enlaces seguros mediante el uso de IPSec. An cuando es posible utilizar IPv4 para ellos, el utilizar IPv6 permite realizar enlaces seguros a travs de Internet.
MobileIPv6: El concepto de movilidad IP existe en IPv4, pero con MobileIPv6 se han eliminado los principales problemas, entre ellos el enrutamiento triangular. Los equipos utilizados en la actualizacin de la red institucional, junto a los equipos disponibles en los laboratorios de Telemtica, permiten la configuracin de escenarios en donde se pueda utilizar MobileIPv6.
Calidad de servicio: Dentro de los cambios en el protocolo IPv6, cabe destacar el mejor soporte a los modelos de calidad de servicio. En la literatura existen pocos trabajos en torno a cual es el real impacto de dichos cambios en el desempeo de los modelos IntServ y DiffServ.
73
Bibliografa
[1] IPv4 Address Report. [En lnea] <http://www.potaroo.net/tools/ipv4/> [consulta: 20 de Septiembre 2008] [2] INFORMATION Sciences Institute, University of Southern California. RFC 791 Internet Protocol Darpa Internet Program Protocol Specification. Septiembre 1981. [3] SOLENSKY, Frank. Continued Internet Growth. Proceedings of the 18th Internet Engineering Task Force. IEEE, 1990, pp 59-61. [4] CHARNIE, J. Statement to the comission on population and development. [En lnea] <http://www.un.org/esa/population/cpd/37OPEN.pdf> [consulta: 20 de Septiembre 2008] [5] IEKEL-JOHNSON, S., LABOVITZ, C., MCPHERSON, D. y RINGBERG, H. Tracking the IPv6 Migration.[En lnea] <http://www.arbornetworks.com/IPv6research> [consulta : 10 de Marzo 2009]. [6] GROSETETE, Patrick, POPOVICIU, Ciprian y WETTLING, Fred. Global IPv6 Strategies: From Business Analysis to Operational Planning. Estados Unidos, CiscoPress, 2008. 456 p. [7] BRADNER, S., MANKIN, A. RFC 1752: The Recommendation for the IP Next Generation Protocol. Enero 1995. [8] DEERING, S., HINDEN, R. RFC 1883 Internet Protocol, Version 6 (IPv6) Specification. Diciembre 1995. [9] BERNERS-LEE, T., FIELDING R. y MASINTER, L. RFC 3986 Uniform Resource Identifier (URI): Generic Syntax. Enero 2005.
74
[10] CONTA, A., DEERING, S. y GUPTA, M. RFC 4443 Internet Control Message Protocol (ICMPv6) for the Internet Protocol Version 6 (Ipv6) Specification. Marzo 2006. [11] THOMSON, S., NARTEN, T. RFC 2462 IPv6 Stateless Address Autoconfiguration. Diciembre 1998. [12] GRANZOTTO, Patricio A. Instalacion y puesta en marcha de una red IPv6 y anlisis de sus caractersticas. Valparaso. UTFSM, Departamento de Electrnica, 2004. 90 h. [13] GUERRA, Rodrigo O. y RODRGUEZ, Javier E. Evaluacion y comparacion de los protocolos Internet versin (IPv4) y version 6 (IPv6) en una Red Experimental. Memoria (Ingenierio Civil Electrnico). Valparaso. UTFSM, Departamento de Electrnica, 2004. 148 h. [14] CISCO Systems. Catalyst 3750 Switch Software Configuration Guide. Estados Unidos, 2006. 1178 p. [15] Juniper Network EX4200 Datasheet. [En lnea] < www.juniper.net/us/en/local/pdf/datasheets/1000215-en.pdf> [consulta: 10 de Agosto 2008]. [16] Cisco Asa Software Version 7.0 Data Sheet. [En lnea] <www.cisco.com/en/US/prod/collateral/vpndevc/ps6032/ps6094/ps6120/product_dat a_sheet0900aecd802c1d00.pdf> [consulta: 10 de Agosto 2008]. [17] Foros de soporte Juniper. [En lnea] <http://forums.juniper.net/jnet/board/message?board.id=switch&thread.id=106> [consulta: 10 de Agosto 2008]. [18] Cisco StackWise Techonology White Paper. [En lnea] <www.cisco.com/en/US/prod/collateral/vpndevc/ps6032/ps6094/ps6120/product_dat a_sheet0900aecd802c1d00.pdf> [consulta: 10 de Agosto 2008].
75
[19] BATES, T., CHANDRA, R. y REKHTER, Y. RFC 4760 Multiprotocol Extensions for BGP-4. Enero 2007. [20] Performance-Comparision Testing of IPv4 and IPv6 Throughput and Latency on Key Cisco Router Plataforms. [En lnea] < http://www.cisco.com/web/strategy/docs/gov/IPv6perf_wp1f.pdf> [consulta: 10 de Enero 2009] [21]Cisco Catalyst 6500 with Supervisor 720 10 Gigabit Ethernet Performance Test. [En lnea] < http://www.eantc.com/fileadmin/eantc/downloads/test_reports/2003-2005/EANTCSummary-Report-Cisco-10GE-Catalyst6500-Supervisor720.pdf> [consulta: 10 de Enero 2009] [22] Catalyst 3750 Datasheet. [En lnea] <http://www.cisco.com/en/US/prod/collateral/switches/ps5718/ps5023/product_data_ sheet0900aecd80371991.html> [consulta: 10 de Enero 2009]. [23] THC-IPv6 Attacking the IPv6 protocol suite. [En lnea] <http://freeworld.thc.org/thc-ipv6/> [consulta: 5 de Diciembre 2008.] [24] IPv6 Ready Logo program. [En lnea] <http://www.ipv6ready.org> [consulta: 10 de Marzo 2009] [25] MCCLOGHRIE, K. RFC 2011 SNMPv2 Management Information Base for the Internet Protocol using SMIv2. Noviembre 1996.
76
Anexo A
Unidad Direccin Central de Servicios Computacionales (DCSC) Arquitectura Ciencia de Materiales Defider Electricidad Electrnica E. Humansticos Fsica Industrias Informtica Matemtica Mecnica Obras Civiles Procesos Qumicos Qumica 3ie Biotecnologa CIMA Ing. Diseo Productos FONDEF (J. Pontt) Rectora Vicerrectora Acadmica Vicerrectora de Asuntos Econmicos y Administrativos Secretara General Contralora General Direccin General de Comunicaciones (DGC) Direccin General de Planificacin y Desarrollo (DGPD) Direccin General de Docencia (DGD) Direccin General de Investigacin y Postgrado (DGIP)
Cdigo 00 01 02 03 04 05 06 07 08 09 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28
77
Unidad Direccin General de Asistencia Tcnica (DGAT) Direccin General de Finanzas Direccin de Admisin Direccin de Difusin Cultural (DDC) Direccin de Recursos Humanos Direccin de Relaciones Estudiantiles(Bienestar Estudiantil) Direccin de Estudios Biblioteca Central Oficina de Asuntos Internacionales (OAI) Direccin de Infraestructura y Servicios (DIS) Servicios Computacionales Administrativos (DESCAD) Organizaciones Estudiantiles
Cdigo 29 30 31 32 33 34 35 36 37 38 39 40
78
Anexo B
79
Al momento de activar el comando address-family ipv6, automticamente toda la informacin referente a intercambio de rutas IPv4 va BGP, se reordena dentro de address-family-ipv4.
No fue necesario actualizar el sistema operativo IOS de este dispositivo. En la Tabla B.1 se muestra un extracto de la configuracin utilizada en el equipo.
Tabla B.1 Configuracin gw-border (extracto).
! ipv6 unicast-routing ! interface FastEthernet0/0 ip address 200.1.21.165 255.255.255.224 duplex auto speed auto ipv6 address 2800:270:0:1::1/64 ! interface FastEthernet2/1 ip address 208.178.62.10 255.255.255.224 duplex auto speed auto ipv6 address 2001:450:2002:e8::2/64 ! router bgp 26610 bgp log-neighbor-changes neighbor 2001:450:2002:e8::2 remote-as 3549 neighbor 208.178.62.9 remote-as 3549 ! address-family ipv4 neighbor 208.178.62.9 activate no auto-summary
80
no synchronization network 200.1.20.0 network 200.1.21.0 exit-address-family ! address-family ipv6 neighbor 2001:450:2002:e8::1 activate neighbor 2001:450:2002:e8::1 prefix-list bgp_salida out network 2800:270::/32 exit-address-family ! ip classless ip route 200.1.20.0 255.255.255.0 200.1.21.166 ! ! no ip http server no ip http secure-server ! snmp-server community public RO ipv6 route 2800:270::/32 2800:270:0:1::2 ! ! ipv6 prefix-list bgp_salida seq 5 permit 2800:270::/32
Los comandos presentados en la Tabla B.2 son tiles al momento de diagnosticar problemas de configuracin en este dispositivo.13
Tabla B.2 Comandos IOS para diagnstico de equipo gw-border.
Comando ping ipv6 direccionIPV6 show bgp ipv6 unicast show interfaces accounting show ipv6 interface show ipv6 neighbors
Accin Realiza un ping ipv6 Muestra las redes y rutas intercambiadas mediante BGP Muestra el trafico IPv4/IPv6 por cada interfaz Muestra la configuracin IPv6 de las interfaces. Muestra informacin respecto a los vecinos que anuncian redes IPv6.
Comandos vlidos para IOS 12.4, versiones anteriores pueden tener distinta sintaxis. 81
que permite que en caso de falla del equipo, un equipo secundario, en este caso el equipo firewall-secundary, asuma automticamente sus funciones. Al igual que el equipo gw-border, no fue necesario actualizar el sistema operativo de este equipo. Respecto a la configuracin del equipo, es necesario destacar lo siguiente:
Las listas de acceso (ACL) que se refieran a trfico IPv6 deben poseer un nombre, no se pueden utilizar listas identificadas con nmeros o con nombres cuyo primer carcter sea un nmero.
Las listas de acceso mostradas ac son solo una referencia, las listas utilizadas en la realidad son ms complejas.
En cada lista de acceso aplicada a trfico IPv6, existen una serie de reglas implcitas que permiten el funcionamiento del protocolo Neighbor Discovery. En la se aprecian dichas reglas.
Tabla B.3 Reglas implcitas en una ACL IPv6.
permit icmp any any nd-na permit icmp any any nd-ns deny ipv6 any any
82
interface Ethernet0/0 nameif inside security-level 100 no ip address ipv6 address 2800:270:0:2::1/64 ! interface Ethernet0/1 nameif dmz security-level 50 ip address 200.1.20.1 255.255.255.0 ipv6 address 2800:270:0:a::1/64 ! interface Ethernet0/2 nameif outside security-level 0 ip address 200.1.21.166 255.255.255.252 ipv6 address 2800:270:0:1::2/64 ! access-list ipv4-dmz extended permit ip any any access-list ipv4-dmz extended permit icmp any any access-list ipv4-out extended permit ip any any access-list ipv4-out extended permit icmp any any access-list ipv4-in extended permit icmp any any pager lines 24 mtu inside 1500 mtu dmz 1500 mtu outside 1500 ipv6 route outside ::/0 2800:270:0:1::1 ipv6 access-list ipv6-in permit icmp6 any any ipv6 access-list ipv6-in permit tcp any 2800:270:0:a::/64 eq www ipv6 access-list ipv6-out permit icmp6 any any ipv6 access-list ipv6-out permit tcp any 2800:270:0:a::/64 eq www ipv6 access-list ipv6-dmz permit ip any any icmp unreachable rate-limit 1 burst-size 1 asdm image disk0:/asdm-522.bin no asdm history enable arp timeout 14400 access-group ipv4-in in interface inside access-group ipv4-dmz in interface dmz access-group ipv4-out in interface outside access-group ipv6-dmz in interface dmz access-group ipv6-in in interface inside access-group ipv6-out in interface outside route outside 0.0.0.0 0.0.0.0 200.1.21.165 1
83
84
En la Figura B.2 se muestra la configuracin de la interfaz virtual VLAN 20 sealada. Es necesario repetir dicha configuracin por cada VLAN en donde se desee otorgar conectividad IPv6 hacia Internet.
Tabla B.5 Configuracin interfaz VLAN Catalyst 3750.
interface Vlan20 description VLAN DualStack ip address 200.1.16.32 255.255.255.0 ipv6 address 2800:270:10:3::1/64 ipv6 enable !
En el equipo sw-inside se debe configurar adems las rutas por omisin IPv4 e IPv6 apuntando hacia la interfaz inside del firewall fw-primary. Para ello se utilizan los comandos ipv4 route e ipv6 route segn corresponda. Adems, y al igual que en el equipo gw-border, se debe activar el enrutamiento IPv6 con el comando ipv6 unicast-routing.
85
Anexo C
se
puede
utilizar
el
comando
ifconfig
lnc0
inet6
C.2. NET-SNMP
Una vez instalado el software net-snmp, se debe agregar la informacin presentada en la Tabla C.2 al archivo /usr/local/share/snmp/snmpd.conf.
Tabla C.2 Configuracin demonio snmpd.
agentaddress udp6:161,tcp6:161,udp:161,tcp:161 rocommunity lectura rwcomunnity escritura rocommunity6 lectura rwcommunity6 escritura
86
La configuracin presentada crea las comunidades lectura y escritura, las que pueden ser utilizadas para realizar consultar SNMP mediante IPv4 IPv6. Una vez iniciado el demonio, se puede verificar su funcionamiento con el comando snmpwalk -v2c -c lectura udp6:[::1].
C.3. MRTG
Una vez instalado MRTG, se debe configurar para que monitoree un determinado equipo. Mediante el comando presentado en la Tabla C.3 se crea en la carpeta /usr/local/share/mrtg/localhost los archivos necesarios para monitorear a travs de IPv6 al equipo local.
Tabla C.3 Creacin archivos MRTG.
C.4. Nagios
Una vez instalado Nagios, se debe modificar la informacin del archivo /usr/local/etc/nagios/objects/localhost de acuerdo a lo mostrado en la Tabla C.4 para que Nagios pueda monitorear al equipo localhost a travs de IPv6.
Tabla C.4 Configuracin Nagios.
Define host{ Use FreeBSD-server hostname localhost Alias localhost Address 2800:270:0:a::3 }
87
C.5. BIND
Para que BIND responda correctamente a consultas DNS realizadas a la direccin IPv6 del servidor, se debe agregar la informacin presentada en la Tabla C.5 al archivo /var/named/etc/namedb/named.conf.
Tabla C.5 Configuracin named.conf.
listen-on-v6 {any;}; zone "utfsm.cl" { type master; file "/etc/namedb/utfsm.cl.hosts"; }; zone "0.7.2.0.0.0.8.2.ip6.arpa" { type master; file "/etc/namedb/0.7.2.0.0.0.8.2.ip6.hosts"; };
El archivo de zona del servidor y el archivo para consultas inversas se encuentran detallados en las tablas C.6 y C.7.
Tabla C.6. Archivo utfsm.cl.0.7.2.0.0.0.8.2.ip6.arpa.hosts
IN
SOA ns.utfsm.cl. admin.utfsm.cl. ( 1234296780 10800 3600 604800 38400 ) NS ns.utfsm.cl. AAAA 2800:270:0:A::3 IN AAAA 2800:270:0:A::3
$ttl 38400 0.7.2.0.0.0.8.2.ip6.arpa. IN SOA ns.utfsm.cl. admin.utfsm.cl. ( 1234297604 10800 3600 604800 38400 ) 0.7.2.0.0.0.8.2.ip6.arpa. IN NS ns.utfsm.cl. 2.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.a.0.0.0.0.0.0.0.ip6.arpa. IN PTR ns.utfsm.cl. 3.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.a.0.0.0.0.0.0.0.ip6.arpa. IN PTR www.ipv6.utfsm.cl.
88
C.6. Apache
Para el correcto funcionamiento de MRTG y Nagios, se debe agregar la informacin presentada en la Tabla C.8 al archivo /usr/local/etc/apache22/httpd.conf. Apache por omisin responde peticiones en todas las direcciones IPv4 e IPv6 del equipo en que se ejecuta.
Tabla C.8 Archivo /usr/local/etc/apache22/httpd.conf
<Directory /usr/local/etc/mrtg/localhost> AllowOverride None Order Allow,deny Allow from all </Directory> Alias /mrtg /usr/local/etc/mrtg/localhost/ <Directory /usr/local/www/nagios/cgi-bin> AllowOverride AuthConfig Options ExecCGI Order allow,deny Allow from all </Directory> <Directory /usr/local/www/nagios> Options None AllowOverride AuthConfig Order allow,deny Allow from all </Directory> ScriptAlias /nagios/cgi-bin/ /usr/local/www/nagios/cgi-bin Alias /nagios /usr/local/www/nagios
89
Anexo D
El equipo PC 1 es una estacin de trabajo corriendo Windows XP. La configuracin inicial de su interfaz se presenta en la Tabla D.1. Su tabla de rutas antes de realizar las pruebas es mostrada en la Tabla D.2. La direccin IPv6 de este equipo es obtenida mediante configuracin automtica, a partir de los anuncios realizados por el router.
Tabla D.1 Configuracin inicial interfaz de red PC 1.
::/0 -> 4/fe80::216:46ff:fedc:6e9e pref 256 duracin 27m40s (configuracin automtica) 2800:270::/64 -> 4 pref 8 duracin 29d23h57m40s (configuracin automtica)
El router R1 mostrado en la Figura D.1 corresponde a un Cisco 2811. Este router enva mensajes RA a travs de la interfaz FE 0/0 anunciando la red 2800:270::/64. La interfaz FE 0/0 posee adems las direccin IPv6 local al enlace fe80::12c3:2d2r:2. En la se muestra un extracto de su configuracin.
Tabla D.3 Configuracion "router" Cisco 2811 (extracto).
! ipv6 unicast-routing ! interface FastEthernet0/0 no ip address ipv6 address 2800:270::1/64 ! ! interface FastEthernet0/1 no ip address ipv6 address 2800:300::1/64 !
El equipo PC Atacante es una estacin de trabajo ejecutando el sistema operativo Ubuntu. Este equipo posee el juego de herramientas para ataques a redes IPv6 creado por la organizacin The Hackers Choice [20]. El equipo servidor NDPMON es un servidor ejecutando FreeBSD con el software NDPMON instalado. En la Tabla D.4 se presenta un extracto del archivo de configuracin /usr/local/etc/ndpmon/config_ndpmon.xml, en donde se define a R1 como el nico router autorizado en el enlace.
Tabla D.4 Archivo de configuracin de NDPMON (extracto).
root@ubuntu:/home/ubuntu/thc-ipv6-0.7# ./fake_router6 eth0 fe80::666 2800:270::/64 1000 Starting to advertise router fe80::666 (Press Control-C to end) ...
Sufijo de conexin especfica DNS : Direccin IP. . . . . . . . . . . : 2800:270::211:95ff:fed1:a952 Direccin IP. . . . . . . . . . . : fe80::211:95ff:fed1:a952%4 Puerta de enlace predeterminada : fe80::666%4 fe80::216:46ff:fedc:6e9e%4
::/0 -> 4/fe80::666 pref 16 duracin 18h12m10s (configuracin automtica) ::/0 -> 4/fe80::216:46ff:fedc:6e9e pref 256 duracin 29m51s (configuracin automtica) 2800:270::/64 -> 4 pref 8 duracin infinite (configuracin automtica)
Warning: new lla 00:11:95:d1:a9:45 fe80:0:0:0:0:0:0:666 Sending mail alert ... Warning: wrong ipv6 router 00:11:95:d1:a9:45 fe80:0:0:0:0:0:0:666 Sending mail alert ...
92
root@ubuntu:/home/ubuntu/thc-ipv6-0.7# ./fake_advertise6 2800:270::1 ff02::1 0:0:0:6:6:6 Starting to advertisement of 2800:270::1 (Press Control-C to end) ...
root@ubuntu:/home/ubuntu/thc-ipv6-0.7# ./dos-new-ip6 eth0 Started ICMP6 DAD Denial-of-Service (Press Control-C to end) ... Spoofed packet for existing ip6 as 2800:0270:0000:0000:e415:e5ab:ecb6:b9a0
93
Spoofed packet for existing ip6 as 2800:0270:0000:0000:0211:95ff:fed1:a952 Spoofed packet for existing ip6 as fe80:0000:0000:0000:0211:95ff:fed1:a952 Spoofed packet for existing ip6 as 2800:0270:0000:0000:f9e3:bc53:7014:082a Spoofed packet for existing ip6 as 2800:0270:0000:0000:8d60:7299:76ea:dda3
Tabla D.13 Tabla de vecinos PC 1 tras ataque.
c:\>ipv6 renew 4 Adaptador Ethernet wired2 : Sufijo de conexin especfica DNS : Direccin IP. . . . . . . . . . . : Puerta de enlace predeterminada : fe80::216:46ff:fedc:6e9e%4
Tabla D.14 Alerta generada por NDPMON durante el ataque.
-----ND_NEIGHBOR_ADVERT ----New Ethernet DAD DoS --------------Warning: changed ethernet address 00:11:95:d1:a9:52 to 00:11:3b:64:e7:09 fe80:0:0:0:211:95ff:fed1:a952 Warning: dad dos 00:11:3b:64:e7:09 fe80:0:0:0:211:95ff:fed1:a952 Sending mail alert ... Warning: new station 00:11:b7:81:6c:b3 2800:270:0:0:211:95ff:fed1:a952 Sending mail alert ... Warning: dad dos 00:11:b7:81:6c:b3 2800:270:0:0:211:95ff:fed1:a952 Sending mail alert ...
D.5. Redireccin
Con el fin de probar un ataque basado en la vulnerabilidad del proceso de redireccin, detallado en la seccin 8.2.3, en el equipo PC Atacante se ejecut el comando mostrado en la Tabla D.15. El objetivo de dicho comando es modificar la tabla de rutas del equipo PC 1 (IP: 2800:270::211:95ff:fed1:a952) con el fin de que todo los paquetes que enve a la direccin 2800:300::1 tengan como prximo salto una direccin inexistente (fe80::666).
Tabla D.15 Ataque de redireccin.
El efecto en el equipo PC 1 es inmediato, tal como se muestra en la Tabla D.16. Se observa una nueva ruta no vlida para llegar a la direccin 2800:300:1. El programa NDPMON detecta una accin sospechosa en el enlace pero no es capaz de
94
identificar claramente a que se debe. En la Tabla D.17 se muestra el mensaje de alerta que genera.
Tabla D.16 Tabla de vecinos PC 1 tras ataque.
C:\>ipv6 rc 4 2800:300::1 2800:300::1 va 4/fe80::666 (redireccin) src 4/2800:270::fd95:1c07:5597:6188 PMTU 1500 94 segundos desde error ICMP
Tabla D.17 Alerta generada por NDPMON durante el ataque.
95