Felipe Jara Saba Ing. Civil Telemático felipejara@gmail.com

Felipe Jara Saba Ing. Civil Telemático felipejara@gmail.com

Agenda Problemas actuales en IPv4 Descripción IPv6 Mitos de IPv6 IPv6 @ Mundo Soporte en aplicaciones Conclusiones

IPv4 Internet Protocol version 4 (IPv4) Capa 3 modelo OSI Publicada en 1981 Direcciones de 32 bits Características Direccionamiento y enrutamiento Mejor esfuerzo Transparencia Paquetes deben viajar sin modificaciones 1 dirección IP 1 nodo La red solo envía paquetes 7.-Aplicación 6.-Presentación 5.-Sesión 4.-Transporte 3.-Red 2.-Enlace de Datos 1.-Física

El verdadero modelo OSI 7.-Aplicación 6.-Presentación 5.-Sesión 4.-Transporte 3.-Red 2.-Enlace de Datos 1.-Física Sin el protocolo IP, no hay modelo!

IPv4 hasta cuando? En teoría 4,2x10 9 direcciones disponibles Espacio reservado Asignación por clases Factores aceleradores 201.X.X.X 16 millones de direcciones IP! Asignacion por clases 16% AFRINIC 1% APNIC 13% ARIN 27% RIPENCC 12% Libre 15% LACNIC 3% Reservado 14% Menos del 25% de la población está conectada (China, India, Indonesia y Africa) Aumento de dispositivos que requieren conectividad IP (Telefonía 3G y 4G)

IPv4 - Direcciones Nos vamos a quedar sin direcciones IP(v4) Primera voz de alerta 1990 Soluciones propuestas NAT Solución Inmediata y de facil aplicación Usar pocas direcciones para comunicar muchos dispositivos Crear un nuevo protocolo IP (IPng) Solución a largo plazo Implementación dificil y l e n t a

IPv4 Problemas actuales NAT: 10.2.10.1 200.1.21.81 200.10.20.34 10.2.10.2 Internet 10.2.10.3 Se aumentó vida útil de IPv4 Seguridad por ofuscamiento Rompe transparencia X Los paquetes deben ser modificados. Impide verdadera conectividad P2P

Características IPv6 Internet Protocol versión 6 (1998) Evolución, no revolución Mayor número de direcciones Direcciones de 128[bit] 2 95 direcciones por cada ser humano 2 52 por cada estrella visible en el universo Direccionamiento jerárquico Disminuye tamaño tablas enrutamiento Nuevo formato cabecera Aumenta posibilidades de expansión Mejor interacción con capa 2 Se reemplaza ARP por protocolo descubrimiento vecinos.

Direcciones IPv6 8 campos de 16 [bit]. Representación hexadecimal Separados por : Notación CIDR (dirección /prefijo) 2800:270:0000:0000:0Cd3:00a3:34df:2132 /64 2800:270:0:0:cd3:a3:34df:2132 /64 2800:270::cd3:a3:34df:2132 /64 Todas las redes IPv6 son de tamaño fijo (/64)

Modelo de direccionamiento IPv6 Una interfaz puede tener varias direcciones asignadas Tipos de direcciones: Unicast : Una dirección Multicast: Una dirección Anycast: Una dirección Un nodo Varios nodos El nodo más cercano de un grupo dado. Las direcciones unicast tienen un ámbito asociado Locales al enlace Locales únicas Globales Globales Locales únicas Locales al enlace

Modelo de direccionamiento IPv6 Direcciones Locales al enlace Permiten comunicar nodos dentro de un mismo enlace fisico (capa 2) No pueden ser enrutadas al exterior fe80:0:0:0:<identificador dispositivo> Direcciones Locales únicas Identifican nodos dentro de una misma organización (compuesta por varias redes). Son enrutables dentro de la organización Similar a las direcciones privadas IPv4

Modelo de direccionamiento IPv6 Direcciones Globales Identifican a un nodo en Internet Pueden ser enrutadas a través de Internet 48 [bit] 16 [bit] 64 [bit] Prefijo enrutamiento global Red ID dispositivo Cada usuario final obtiene 2 16 redes de hasta 2 64 dispositivos cada una Un poco más que en IPv4 Usuario Final

Direcciones Unicast Globales Como se obtiene un prefijo? 23 [bit] 9 [bit] 16 [bit] 16 [bit] 64 [bit] RIR ISP Sitio Red ID dispositivo

Direcciones IPv6 Cómo configurar direcciones IPv6? Manualmente DHCPv6 Similar a DHCPv4 Permite configurar direcciones, dominio, servidor DNS, etc. Autoconfiguración 1. Un router o switch L3 anuncia el prefijo de red a ser utilizado en el enlace 2. Los nodos generan un identificador de dispositivo Pseudo-aleatorio Basado en la dirección física (MAC) 2800:270:0000:1234:212:6bff:fe11:111

Direcciones IPv6 Internet IPv6 Prefijo: 2800:270::/64 MAC: 00-12-6b-11-11-11 Local: fe80::212:6bff:fe11:1111 Global: 2800:270::212:6bff:fe11:1111 MAC: 00-12-6b-22-22-22 Local: fe80::212:6bff:fe22:2222 Global2800:270::6bff:fe22:2222

Mobile IPv6 2800:200::1 Nodo móvil Agente local Nodo externo Movilidad IPv6 Roaming IP Incluida en todo stack IPv6 Más eficiente que en IPv4 Agente externo

Mobile IPv6 2800:200::1 2800:2800::1 esta en 3000:100::1 Agente local 2800:2800::1? Nodo externo Movilidad IPv6 Roaming IP Incluida en todo stack IPv6 Más eficiente que en IPv4 Agente externo Nodo móvil 3000:100::1

Como implementar IPv6? Túneles Datos IPv4 Host A IPv6 Cabecera IPv4 Cabecera IPv6 Datos IPv6 Host B IPv6 Red IPv6 IPv4 Red IPv6 Cabecera IPv6 Datos IPv6 Cabecera IPv6 Datos IPv6 Permite conectar redes IPv6 a través de redes IPv4 Fácil implementación Ideal para probar en la casa

Como implementar IPv6? Doble capa IP (Dual Stack) Host C IPv4 Red IPv4 Host A IPv6 / IPv4 Red IPv6/IPv4 IPv4 IPv6 Red IPv6 Host B IPv6 Cada nodo y equipo de la red cuenta con doble capa IPv4/IPv6 Mejor estrategia para una transición gradual hacia IPv6

Los mitos de IPv6 Mito N 1: IPv6 es más seguro que IPv4

Seguridad en IPv6 Mejoras respecto a IPv4 Facilita implementación de IPSec DEBE estar en cada stack IPv6 Escaneo de direcciones Escanear una red /24 en IPv4: 10[s] Escanear una red /64 en IPv6: 500.000.000 años Nuevo esquema de direccionamiento Facilita el filtrado de direcciones y seguimiento de atacantes

Seguridad en IPv6 Debilidades respecto a IPv4 Menor desarrollo de herramientas de seguridad Escaso conocimiento del protocolo Y esta activado en gran parte de los computadores Gracias Microsoft! Nuevas amenazas Protocolo de Descubrimiento de Vecinos (NDP) Indispensable en redes IPv6 Utiliza mensajes ICMP No posee autenticación Mensajes son fáciles de falsificar

Seguridad en IPv6 Debilidades del protocolo NDP Característica Autoconfiguración / Resolución de direcciones Detección direcciones duplicadas Redirección Problema Atacante puede funcionar como router de alta prioridad en un enlace Denegación de servicio IPv6. Modificar tablas de rutas de nodos Ataques son posibles ( y funcionan!) The Hacker s Choice IPv6 Atack Toolkit. Afectan a la mayoría de los sistemas operativos.

Detección direcciones duplicadas Solicitud de Vecino (NS) Origen: PC 1 Destino: ff02::1 Dirección a consultar: 2800:270::1

Detección direcciones duplicadas Solicitud de Vecino (NS) Origen: PC 1 Destino: ff02::1 Dirección a consultar: 2800:270::1 Anuncio de Vecino (NA) Origen: 2800:270::1 Destino: PC 1 Contenido: Dir. MAC falsa

Seguridad en IPv6 Soluciones Evaluadas Seguridad en switches y routers No disponible actualmente. Secure Neighbor Discovery (SeND) Escasa implementación en sistemas operativos. Mayor carga ofrecida a CPU. Microsegmentación Sistemas de monitoreo NDPMON: Única alternativa para detectar ataques. Debe estar presente en cada LAN

Los mitos de IPv6 Mito N 1: IPv6 es más seguro que IPv4 IPv6 facilita la implementación de mecanismos /protocolos de seguridad. Aun no posee el grado de madurez de IPv4. Existen problemas pendientes ( y graves)

Los mitos de IPv6 Mito N 2: IPv6 es más eficiente que IPv4

Rendimiento IPv6 IPv6 posee una cabecera de mayor tamaño Menos espacio para información útil en un paquete IPv4 [byte] Direcciones más largas, cabeceras adicionales, falta de optimización Mayor uso de CPU en equipos IPv6[byte] Tamaño Paquete 1500 1500 Cabecera 20 40 Datos 1480 1460 Overhead 1,3% 2,6%

Rendimiento IPv6 Servidor FTP Transmisión archivo 734 [Mbyte] IPv4 IPv6 Variación Información TX 765.4 [Mbyte] 774.1 [Mbyte] +1.13% Paquetes TX 511067 527809 +3.23 %

Rendimiento IPv6 Servidor Web Atención de 100.000 solicitudes IPv4 IPv6 Variación Tiempo total [s] 23.3 28.9 +24% Solicitudes/segundo atendidas 4278.3 3448.3-19.4% Tiempo medio por solicitud [ms] 2.337 2.9 +24% Promedio uso CPU servidor [%] 84.9% 89.9% +5.8

Los mitos de IPv6 Mito N 2: IPv6 es más eficiente que IPv4 A igual tamaño de paquete, IPv6 transmite menos información útil. Implementaciones de IPv6 no poseen grado de desarrollo de IPv4. IPv6 facilita la implementación de modelos para asegurar QoS IntServer DiffServer

IPv6 en el mundo LENTA adopción del protocolo Es realmente necesario? Qué gana mi empresa? ROI? No hay un flag day (Y2K) Estamos avanzando ISP ya proveen acceso IPv6 a usuarios finales EE.UU. obliga a sus agencias a hacer la transición Cisco, Juniper, etc. ya proveen soluciones TOTALES para IPv6 Beijing 2008 no hubiera sido lo mismo sin IPv6

IPv6 en Chile 4 instituciones están conectadas directamente a Internet mediante IPv6 Reuna, NIC, Netup y GTD Universidades han trabajado en el tema Redes de pruebas IPv6 basadas en túneles Uso de routers y firewalls basados en Linux, FreeBSD. Desafío UTFSM Implementación de una red IPv6 nativa @UTFSM Metodología dual-stack Conexión directa a Internet IPv6 Verificar grado de avance en IPv6

Red IPv6 UTFSM A A. Enrutamiento Externo BGP4-MP (Multihoming) B B. Listas de acceso IPv6 C C. Enrutamiento Interno InterVLAN Routing D D. Asignación de direcciones Servidores: Manualmente Usuarios: Configuración automática

Direccionamiento IPv6 UTFSM Espacio de direcciones USM 2800:270::/32 Delegado directamente por LACNIC Permite multihoming UTFSM actúa como ISP de sus unidades y departamentos Nº IP USM Por m²: 2,09x10 23 Por persona: 5,25x10 24

Direccionamiento IPv6 UTFSM /32 /40 /48 /64 32 [bit] 8[bit] 8[bit] 16[bit] 64[bit] Prefijo UTFSM Campus Unidad Red Dispositivo 2800:270 : 00 01 : 0001 : FA23:34ED:2D4F:0001 Campus Identificador Casa Central 00 Sede Viña del Mar 01 Sede Concepción 02 Unidad / Departamento Identificador DCSC 00 Electrónica 01 Informática 02 Cada unidad es un sitio (/48)con 65536 redes de 2 64 dispositivos 3,33x10 14 veces Internet IPv4

Soporte IPv6 en sistemas operativos Sistema Operativo Soporta IPv6? Primera versión con soporte Windows Vista / 7 Sí Windows XP Parcialmente Windows 95/98/NT No Linux Sí Desde kernel 2.2 FreeBSD Sí Desde versión 4 Solaris Sí Desde Versión 8 MacOSX Sí Desde versión 10.2 Windows Mobile (CE) Sí Desde versión 2003 Iphone OS No Symbian OS Sí Desde versión 8

Soporte IPv6 en servicios y aplicaciones Servidores Linux/*nix/*BSD Apache, Bind, SSH,Mysql, SendMail Configuración trivial. Mayoría de aplicaciones de uso común proveen soporte El desafío para los desarrolladores Actualizar la GRAN base de aplicaciones IPv4 Crear aplicaciones independientes del protocolo IP usado

Conclusiones Existen problemas en IPv4 Agotamiento de direcciones Se rompe encapsulación del modelo OSI. IPv6 ya es un protocolo autosuficiente. Ya es posible contar con redes IPv6 totalmente independientes y productivas Existen áreas que requieren atención Seguridad en IPv6 Rendimiento Soporte de aplicaciones existentes Desarrollo de nuevas aplicaciones

Conclusiones La UTFSM cuenta con una red IPv6 Suficientes direcciones para aburrirse Dual-Stack (Independiente de IPv4) Pronto en su VLAN más cercana. Quiere experimentar en su propia casa? Instale un túnel! www.go6.net