Ha Llegado El Momento De I Pv6

2,208 views
2,102 views

Published on

Charla impartida por Fernando Guillot, IT Pro Evangelist de Microsoft Technet, en el Curso de Verano 2009 de Seguridad Informática en la Universidad de Salamanca.

Published in: Technology, Business
0 Comments
2 Likes
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total views
2,208
On SlideShare
0
From Embeds
0
Number of Embeds
837
Actions
Shares
0
Downloads
121
Comments
0
Likes
2
Embeds 0
No embeds

No notes for slide

Ha Llegado El Momento De I Pv6

  1. 1. ¿Ha llegado el momento… de IPv6?<br />Fernando Guillot<br />IT Pro Evangelist<br />Microsoft<br />fernando.guillot@microsoft.com<br />http://blogs.technet.com/guillot<br />
  2. 2. Agenda<br />¿Porqué ahora?<br />Direccionamiento<br />Direcciones “Lo básico”<br />Direcciones “Los primeros 64 bits”<br />Direcciones “Los otros 64 bits”<br />Adquiriendo Direcciones<br />Tecnologías de Transición<br />
  3. 3. Incentivo Económico<br />Variosinteresescomercialesqueincluyen:<br />Las direcciones de IPv4 se agotan<br />Las direccionesestáninjustamenterepartidas<br />Ventajasofrecidas en IPv6<br />Uso de Ipv6 cómo el protocolopordefecto en variastecnologías.<br />
  4. 4. ¿Cómo está de cerca el fin?<br />
  5. 5. Injustamente Repartidas<br />EstadosUnidos: varias /8, alguna /16<br />Europa: alguna /8, varias /16<br />Asia: Casitodas /24<br />Nueva generación de Internet China (Sólo IPv6)<br />Algunoscochesyatienendispositivos con IPv6<br />Africa: Casitodas /24<br />El incentivoeconómicoyaestáaquí<br />
  6. 6. FuncionesAvanzadas de IPv6<br />Autoconfiguración de Direcciones y configuración de Rutas<br />Enrutamientomássencillo<br />Adios a lassubredes<br />Seguridadintegrada en el propioprotocolo con IPSEC<br />Ya no se gastaancho de banda con Broadcasts<br />Enrutamientomásrápido y eficiente gracias al procesamiento de los packetes IPv6 en los routers<br />Soporte en IPv6 paramovilidad<br />Dispositivosmantienenunadirecciónestáticainclusosicambian de ISP duranteunasesión<br />
  7. 7. IPv6 en SistemasOperativos y Apps<br />La mayoría de lasplataformassoportan IPv6<br />Windows Vista y Windows Server 2008<br />Solaris<br />BSD distributions and Linux distributions<br />Cadavezmás, plataformas y applicacionesintentanutilizar IPv6 pordefecto<br />
  8. 8. Usando IPv6 por defecto<br />DEMO<br />
  9. 9. ¿Cuanto puede escalar?<br />. IPv4<br /> 232=4,294,967,296<br />4 cm2<br />
  10. 10. Buff!!<br />IPv6: 2128 = 340,282,366,920,938,463,374,607,431,768,211,456<br />
  11. 11. EspacioTeoricopor…<br />Teniendo la tierra 6.79 million de personas<br />Muchostrillones de direccionespor persona<br />Cadasegundo de los 4.5 billones de años de la tierra<br />Un billón de direccionesporsegundohabríamosconsumidomenos de un trillonesima parte del total de direcciones<br />Estrellasvisibles del universo<br />252 porcadauna de las 70 sextillonesde estrellas<br />
  12. 12. Pero yo lo quiero quitar!<br />No essuficiente<br />Tampocoes suficiente:netsh interface ipv6 deleteinterface “&lt;interface-name&gt;”<br />
  13. 13. La maneraescreandohklmsystemcurrentcontrolsetservices cpip6parametersDisabledComponentstipo REG_DWORD 255<br />Valores<br />0: habilitatodo<br />1: deshabilita ISATAP y adaptadoresTeredo<br />4: sólodeshabilita ISATAP<br />16: deshabilitamodonativo de IPv6, y mantiene ISATAP y Teredo<br />255: deshabilita TODO<br />HAY QUE REINICIAR!!<br />Pero yo lo quiero quitar!<br />
  14. 14. Pero por favor no lo hagáis!<br />No romperá nada<br />¿Y quésiipconfig/allmuestramásinformación?<br />IPv6 es el caminopreferidopara<br />Resolución de nombres<br />Enrutamiento<br />Conexión<br />
  15. 15. Direcciones“Lo básico”<br />
  16. 16. Nota<br />La informaciónestásacada de los últimos RFCs<br />Existemuchísimainformación en los RFCs desactualizada<br />Para empezar: RFC 4291<br />
  17. 17. Comunicaciones IPv4<br />subnet<br />subnet<br />router<br />host<br />host<br />host<br />host<br />host<br />host<br />broadcast<br />(“grito!”)<br />route<br />
  18. 18. ¿Grito o lo enruto? (IPv4)<br />Las mascaras de redesinforman a la IP quehacer<br />La notación CIDR nos dice la mascara <br />192.168.45.205/24<br />00101101<br />11001101<br />10101000<br />11000000<br />172.15.232.149/27<br />10101<br />100<br />00001111<br />10101100<br />11101000<br />
  19. 19. Comunicaciones IPv6<br />link<br />link<br />router<br />host<br />host<br />host<br />host<br />host<br />host<br />neighbors<br />route<br />nota: Hay un enlace individual porcadainterfaz de <br />cada host<br />
  20. 20. Diferencias en IPv6<br />No hay NAT<br />CadasistemapuedeutilizarunadirecciónGlobaly Unique  Enrutablepor Internet<br />Los Hosts asignansuspropiasdirecciones<br />DHCP todavía se utiliza<br />Direcciones IP puedencambiar sin romper nada<br />No se permite la fragmentación<br />
  21. 21. Direccionamiento IPv6<br />Utilizanotación Hexadecimal (0..F)<br />128 bits = 32 digitoshexadecimalesdivididos en bloques de 4 digitos<br />Separadospor “dos puntos” entre cadagrupo de 4<br />CadaBloquecompuestopor 16 bits<br />2001:4898:dc05:0015:0217:a4ff:fea7:6f06<br />
  22. 22. Direccionamiento IPv6<br />Algunasdireccionestienenmuchos 0’s<br />FE80:0000:0000:0000:C1D7:003F:0000:6f06<br />Se puedencortar los 0’s iniciales<br />FE80:0:0:0:C1D7:3F:0:6f06<br />Todavía se puedecortarmás. Cualquierserie de 0’s seguidos se puedeconvertir en ::<br />FE80::C1D7:3F:0:6f06<br />
  23. 23. Direcciones Interesantes<br />Localhost<br />0:0:0:0:0:0:0:1 or ::1<br />Podemoshacer ping ::1 en Vista/Win7 aunquedeshabilitemos IPv6<br />“Direccion no especificada”<br />0:0:0:0:0:0:0:0:0 or ::<br />
  24. 24. Asignando direcciones IPv4<br />El tamaño de la mascara es el número de bits querecibes de tu ISP (más los querecibes de tuorganización) esteestu “numero de red”<br />El restoindica el Host<br />192.168.45.205/24<br />00101101<br />11001101<br />10101000<br />11000000<br />172.15.232.149/27<br />10101<br />100<br />00001111<br />10101100<br />11101000<br />
  25. 25. Asignando direcciones IPv6<br />Consta de 3 partes<br />Prefijo: Asignadopor el ISP<br />Link: “subnet ID” gestionadopor la organización<br />Interfaz: generado de forma automática<br />Organizacionesmáspequeñassólotienenunasubred<br />prefijo<br />link<br />interfaz<br />48 bits<br />16 bits<br />64 bits<br />prefijo<br />interfaz<br />64 bits<br />64 bits<br />
  26. 26. Más sobre prefijos<br />Adiós a los VLSM, sólo hay 3 opciones<br />/48, /64, /128<br />El estilo de mascaras de red de IPv4 desaparece<br />Posicionesfijaseliminan los calculos de rutas<br />CIDR format used in IPv6<br />35AC:2FB8::/48<br />“Lo que dice esque NO controlamos los 48 bits”<br />
  27. 27. ¿Cómo se asignan?<br />Descrito en RFC 3177<br />La mayoría de lasorganizacionesrecibirán un prefijo de /48<br />Estoteda 1 Septrillón de direcciones<br />65,536 links y18 quintillones de direccionespor link<br />Empresaspequeñasrecibirán un prefijo /64<br />Estoteda 18 quintillones de direcciones<br />El rango de IPv6 essuficientepara 137 Billones de organizaciones<br />Tucocheposiblementetengauna /64<br />Dialup (¿Cómo?) le daremosdirección /128<br />
  28. 28. Direcciones“Los primeros 64 bits”<br />
  29. 29. Tipo de Direcciones<br />Unicast<br />No se compartenpormáquinas<br />Para comunicaciones 1 a 1<br />Multicast<br />Indicagrupos de máquinas<br />Consigue lo que IPv4 hacía con Broadcasts<br />Para conexiones de 1 a muchos<br />Descubrimiento de router y vecinos<br />Anycast<br />Descubrimiento de routers<br />De 1 a cualquiera de un grupo<br />
  30. 30. 4 tipos de DirUnicast<br />Link-local: funcionasólodentro de un link<br />Similar a APIPA (RFC 3927) en ipv4<br />Site-local: funciona a través de links dentro de un site<br />Desuso RFC 3879<br />Unique local (o simplemente “local”)<br />RFC 4193 es el remplazo de Site-Local<br />Similar a lasip’sprivadas (RFC 1918)<br />Unique global (o sencillamente “global”)<br />Enrutablepor Internet<br />
  31. 31. Link-local unicast<br />Solamentefunciona en “Este” link<br />Descartadoportodos los routers<br />Siempreasignado a todos los interfaces<br />Es unadirección auto generadapor el host<br />Se sacaba de la MAC (Ya no)<br />Ahoraesaleatorio (RFC 3041)<br />FE80::/64<br />interfaz-ID<br />
  32. 32. Unique local unicast<br />Prefijoconocido e ignoradopor Internet<br />FC00::/7<br />Interfaz-ID<br />link<br />“1”+global ID<br />
  33. 33. Global unicast<br />Enrutableatravés de Internet<br />Los primeros 3 bits tienenque ser 001<br />0010=2 0011=3<br />Cualquierotracosaesignoradapor los routers<br />2nnn:nnnn:nnnn:nnnn<br />interfaz-ID<br />link<br />3nnn:nnnn:nnnn:nnnn<br />interfaz-ID<br />link<br />
  34. 34. Multicast<br />Se comportacómo multicast de IPv4<br />Casitodo el hardware ya lo entiende<br />IPv6 requierequeestoestéextendido<br />Los hosts se unen a un grupo multicast y entonces les llega la comunicación<br />Los routers y switches son los encargados de mantener la tabla de miembros multicast<br />Un host manda a un grupo y el resto de la infraestructura se encarga de enviar a el resto de los miembros<br />
  35. 35. Multicast format<br />Well-known<br />Transient<br />“n” indica el ambito<br />FF0n<br />112-bit group-ID<br />FF1n<br />112-bit group-ID<br />
  36. 36. Well-known multicast<br />FF01::1 – todaslas dir de esteinterfaz<br />FF02::1 – todaslas dir en este link<br />FF01::2 – todos los routers de esteinterfaz<br />FF02::2 – todos los routers de este link<br />FF05::2 – todos los routers de este site<br />FF02::1:FFnn:nnnn – “nodosolicitado”<br />Un host debeunirse a un grupo multicast paracadadirecciónconfigurada en cadainterfaz<br />
  37. 37. Resumen: 64 primeros bits<br />2 or 3 – unicast global (Enrutablepor Internet)<br />FE80 – unicast link-local (APIPA)<br />FEC0 – unicast site-local (desaparece)<br />FC00 – unicast unique local (IP privada)<br />FF – multicast<br />
  38. 38. Direcciones“Los otros 64 bits”<br />
  39. 39. Sacado de la MAC<br />Prefijo + link garantizaunasubredúnica<br />MAC garantiza un único host<br />
  40. 40. Vale pero la MAC tienesólo 48 bits y no 64!!<br />48 bits for MAC = 281 trilliones de direcciones<br />Se agotarán en el 2100<br />48-bit MAC se estáconvirtiendo en un EUI-64<br />“Extended unique identifier”<br />http://standards.ieee.org/regauth/oui/tutorials/EUI64.html<br />
  41. 41. Algoritmo Original(RFC 2464)<br />Primera ½ MAC +FFFE+ segunda ½ MAC<br />Complementando el universal/local bit<br />Penultimo bit del primer byte<br />Con un ejemplo se vemejor<br />MAC: 34-56-78-9A-BC-DE<br />First byte: 00110100<br />Complement U/L bit: 00110110 = 36<br />Modified EUI-64: 36-56-78-FF-FE-9A-BC-DE<br />Interface ID: 3656:78FF:FE9A:BCDE<br />
  42. 42. Uuups!!<br />Direcciones MAC son fisicas<br />Una IP sacada de una MAC se convierte en lo mismo<br />¿Quécosaspodemoshacer con esto?<br />Rastrearactividades de un host en cualquier parte<br />Datamining de lo quehaceunacierta persona<br />No importa la encryptación<br />En un dispositivomóvil, normalmentequieredecir IP == Persona<br />Es la cookie definitiva<br />
  43. 43. RFC 3041: EUI-64 Aleatorio<br />Se genera unadirección de 64-bit aleatoria<br />Ponemos el 7 bit a 0 (Significaadministradolocalmente)<br />Chequeamossi vale para ser usado (DAD)<br />Si esbueno, entoncesutilizalomientrasque el interfazestélevantado<br />Guardaloparaluego<br />
  44. 44. RFC 3041: random EUI-64<br />previous random interface-ID<br />previous random interface-ID<br />append modified EUI-64<br />compute MD5 hash<br />save as history for next time<br />next interface-ID<br />Set 7th bit to 0<br />Microsoft Confidential<br />
  45. 45. Adquiriendo Direcciones<br />
  46. 46. Manual—GUI (unique local o link-local) only)<br />
  47. 47. Manual—linea de comandos<br />Prefijoindicaquetipo de unicastes, no esnecesarioespecificarlo<br />Microsoft Confidential<br />
  48. 48. Generando Dir Link-Local<br />Llamadas “stateless” si no estánconfiguradas a mano o por DHCP<br />Si quieresque se comportecómo antes de RFC 3041<br />netshint ipv6 set glo ran=dis<br />FE80::/64<br />RFC 3041<br />
  49. 49. Detección de dir duplicadas<br />Sólosiutilizamossi se genera de forma aleatoria<br />La probablidad de colisiónes de <br />1 in 18,446,744,073,709,551,616<br />Empezamos a utilizar de manerainmediatalasdireccionesaleatorias<br />ipconfigindica(Tentative)durante la fase de detección, llamada optimistic DAD<br />Si no encuentracolisión lo convierte en (Prefered)<br />
  50. 50. Generar dirunique local<br />Asignadamanualmente<br />El RFC 4193 describe un algoritmopotencialparageneraresto de maneraautomática<br />Or use DHCPv6 (“stateful”)<br />FC00::/7<br />interface-ID<br />link<br />“1”+global ID<br />
  51. 51. Generando DirUnique Global<br />Hacemosestodespués de tenerunadirección link-local<br />Mandamos 3 packetes de solicitud de router<br />Aceptamos el primer anuncio de router<br />Configuración “Stateless” <br />Incluye los primeros 64 bits del prefijo y link<br />Sigue el mismo RFC 3041 para el interfaz<br />
  52. 52. ¿Cuantas direcciones tenemos ya?<br />Link-local tentative<br />Generadaautomáticamente<br />Mientrashace el “duplicate address detection” DAD<br />Link-local preferred<br />Assignada al ser satisfactoria DAD<br />Unique global temporary<br />GeneradaAutomáticamente<br />Dirección de origen del cliente<br />Unique global preferred<br />Assignada o satisfactoria<br />Dirección de destino del servidor<br />
  53. 53. Tecnologías de Transición<br />
  54. 54. Variedad de Tecnologías<br />ISATAP<br />Enruta IPv6 dentro de IPv4<br />Prefijo es 64bits:0:5EFE:w.x.y.z<br />6to4<br />Públic transport sobre IPv4(protocol 41) Usoporclientes con direccionespúblicas<br />Prefijo es 2002::/16<br />Teredo<br />Public transport sobre UDP, Tienetodos los mecanismosparahacer NAT traversal<br />Prefijo es 2001:0::/32<br />PortProxy<br />Traduce de v4 a v6 y viceversa<br />
  55. 55. Orden de Uso<br />Si recibimosanuncio del router<br />Usamos IPv6 nativo<br />Si recibimosanuncios de un router ISATAP<br />Usamos ISATAP<br />Dejamos de utilizarotrastecnologías<br />Si la máquinatieneunadirecciónpublica IPv4<br />Se usa 6to4<br />Dejamos de utilizarotrastecnologías<br />Si la máquinatieneunadirección IPv4 privada<br />UsamosTeredo<br />
  56. 56. Filtrandotecnologías<br />Todasestastecnologíaspueden ser bloqueadas a nivel de firewall<br />Teredoutilizapuertoudp 3544<br />ISATAP utilizaprotocolo IP 41<br />6to4 Utilizaprotocolo IP 41<br />
  57. 57. Resumen<br />No tengamos miedo a IPv6 (está llegando)<br />Cómo se forma una dirección IPv6<br />Prefijo<br />Interfaz<br />Cuales son las tecnologías de transición<br />
  58. 58. Contenido Relacionado<br />http://www.microsoft.com/ipv6<br />http://www.rfc-editor.org<br />http://www.bing.com/search?q=ipv6<br />http://edge.technet.com/Spain<br />http://technet.microsoft.com/es-es/bb291010.aspx<br />
  59. 59. © 2009 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries.<br />The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.<br />

×