UNIVERSIDAD NACIONAL DEL ALTIPLANO ALTIPLANO FACULT FACULTAD DE INGENIERIA I NGENIERIA MECANICA MECANIC A ELECTRICA, ELECTRONICA ELEC TRONICA Y SISTEMAS ESCUELA PROFESIONAL DE INGENIERIA DE SISTEMAS
ASIGNATURA: ASIGNATURA: LABORATORIO DE REDES GRUPO: A
DOCENTE: ING. EDELFRE MONOGRAFIA DE DIRECCION IPV6
PRESENTADO POR: CONDORI MAMANI DENNIS JESUS CODIGO: 130350
PUNO – PERU 2017
1.DEFINICION Una Dirección de Internet Protocol Versión 6 (Dirección IPv6) es una etiqueta numérica usada para identificar un interfaz de red (elemento de comunicación/conexión) de un ordenador o nodo de red participando en una red IPv6. Las direcciones IP se usan para identificar de manera única una interfaz de red de un Host, localizarlo en la red y de ese modo encaminar paquetes IP entre hosts. Con este objetivo, las direcciones IP aparecen en campos de la cabecera IP indicando el origen y destino del paquete. IPv6 es el sucesor del primer protocolo de direccionamiento de Internet, Internet Protocol versión 4 (IPv4). A diferencia de IPv4, que utiliza una dirección IP de 32 bits, las direcciones IPv6 tienen un tamaño de 128 bits. Por lo tanto, IPv6 t iene un espacio de direcciones mucho más amplio que IPv4.
2.TIPOS Las direcciones IPv6 se clasifican según las políticas de direccionamiento y encaminamiento más comunes en redes: direcciones unicast, anycast y multicast.1
Una dirección unicast identifica un único interface de red. El protocolo de Internet entrega los paquetes enviados a una dirección unicast al interface específico.
Una dirección anycast es asignada a un grupo de interfaces, normalmente de nodos diferentes. Un paquete enviado a una dirección anycast se entrega únicamente a uno de los miembros, típicamente el host con menos coste, según la definición de métrica del protocolo de encaminamiento. Las direcciones anycast no se identifican fácilmente pues tienen el mismo formato que las unicast, diferenciándose únicamente por estar presente en varios puntos de la red. Casi cualquier dirección unicast puede utilizarse como dirección anycast. Una dirección multicast también es usada por múltiples hosts, que consiguen la dirección multicast participando en el protocolo de multidifusión (multicast) entre los routers de red. Un paquete enviado a una dirección multicast es entregado a todos los interfaces que se hayan unido al grupo multicast correspondiente.
IPv6 no implementa direcciones broadcast. El mismo efecto puede lograrse enviando un paquete al grupo de multicast de enlace-local todos los nodos (all-nodes) ff02::1. Sin embargo, no se recomienda el uso del grupo all-nodes, y la mayoría de protocolos IPv6 usan un grupo multicast de enlace-local exclusivo en lugar de molestar a todos los interfaces de la red.
3.FORMATOS DE DIRECCION Una dirección IPv6 está formada por 128 bits. 1 Las direcciones se clasifican en diferentes tipos: unicast, multicast y anycast. Cada uno de los tipos define valores específicos para subgrupos de los 128 bits, asociando dicho valor con las características especiales del tipo. a. Formato de dirección Unicast y Anycast Las direcciones Unicast y anycast generalmente se dividen en dos grupos lógicos: los primeros 64bits identifican el prefijo de red, y son usados para encaminamiento; los últimos 64bits identifican el interface de red del host. Ejemplo de formato de dirección unicast (el tamaño del routing-prefix es variable) bits
48 (o más)
campo routing prefix
16 (o menos)
64
subnet id
interface identifier
El prefijo de red (network prefix) (prefijo de encaminamiento o (routing prefix) junto con el identificador de subred o (subnet id)) está situado en los 64 bits más significativos de la dirección ipv6. El tamaño del routing prefix puede variar; un prefijo de mayor tamaño significa un tamaño menor para subnet id . El subnet id permite a los administradores de red definir subredes dentro de la red disponible. Los 64 bits de identificador del interface (interface identifier) son generados automáticamente con la dirección MAC del interface y el algoritmo EUI-64 modificado, obtenidos de un servidorDHCPv6, establecidos aleatoriamente o asignados manualmente. Una dirección de enlace-local es una dirección unicast, pero usando un valor específico para el network prefix .
b. Formato de dirección de enlace-local
bits
10
54
64
campo prefijo ceros
interface identifier
El campo prefijo contiene el valor binario 1111111010 (fe80::/10). Los 54 ceros siguientes consiguen que el prefijo de red sea el mismo para todas las direcciones locales, y por tanto no enrutable. c. Formato de dirección multicast Solicited-node bits
8
4
campo Prefix valor
4
79
flags scope ceros
11111111 0000 0010
00000000...00000000
9
24
unos
dirección unicast
111111111
d. d. Formato de dirección Multicast Las direcciones Multicast se construyen en función de determinadas reglas, dependiendo de la aplicación. bits
8
campo Prefix valor
4
4
112
flags
scope group ID
11111111 0RPT XXXX
El campo prefix mantiene el valor binario 11111111 para cualquier dirección multicast. Actualmente se utilizan 3 de los 4 bits del campo flags (flags);1 el bit de flag más significativo está reservado para uso futuro. e. Flags de la dirección Multicast Flag
0
1
R (Rendezvous)
Rendezvous point not embedded (traducción necesaria)
Rendezvous point embedded (traducción necesaria)
P (Prefijo)
Sin información de prefijo
Dirección basada en prefijo de red
T (Transitoria)
Dirección multicast mundialmente válida Dirección multicast asignada (permanente) dinámicamente (temporal)
Los 4-bits del campo scope (ámbito) se utilizan para indicar dónde la dirección es válida y única. Hay direcciones multicast especiales, como la Solicited-node : Los campos prefix y scope tienen los valores binarios 11111111 y 0010. Las direcciones multicast Solicited-node son construidas a partir de la dirección unicast o anycast, copiando los últimos 24 bits de la dirección unicast o anycast en los últimos 24 bits de la dirección multicast. f.
Formato de dirección multicast Prefijo-Unicast (unicast-prefix-based) bits
8
4
4
4
4
8
64
campo Prefix flgs sc res riid plen prefijo de red
32 group ID
Las direcciones multicast de multidifusión (link-scoped) usan un formato parecido.
4.REPRESENTACION Una dirección IPv6 (128 bits) se representa mediante ocho grupos de cuatro dígitos hexadecimales, cada grupo representando 16 bits (dos octetos). Los grupos se separan mediante dos puntos(:). Un ejemplo de dirección IPv6 podría ser: 2001:0db8:85a3:0000:0000:8a2e:0370:7334 Los dígitos hexadecimales no son sensibles a mayúsculas/minúsculas, pero se aconseja la utilización de minúsculas. 9 Esta representación completa puede ser simplificada de varias maneras, eliminando partes de la representación. a. Ceros iniciales Los ceros iniciales de cada grupo pueden omitirse, aunque cada grupo debe contener al menos un dígito hexadecimal. 1 De ese modo, la dirección IPv6 ejemplo podría escribirse: 2001:db8:85a3:0:0:8a2e:370:7334
b. Grupos de ceros Uno o más grupos de ceros pueden ser sustituidos por dos puntos.1 Esta sustitución puede realizarse únicamente una vez en la dirección. En caso contrario, obtendríamos una representación ambigua. Si pueden hacerse varias sustituciones, debemos hacer la de
mayor número de grupos; si el número de grupos es igual, debemos hacer la situada más a la izquierda. 9 Con esta regla, reduciríamos aún más la dirección ejemplo: 2001:db8:85a3:8a2e:370:7334 La dirección de loopback, 0:0:0:0:0:0:0:1, y la dirección IPv6 indefinida, 0:0:0:0:0:0:0:0, se reducen a ::1 y :: respectivamente. c. Notación decimal con puntos Durante la transición de Internet de IPv4 a IPv6 será típico operar en entornos de doble direccionamiento (IPv4 e IPv6). Por este motivo se ha introducido una notación especial para expresar direcciones IPv6 que sean IPv4-mapeada o IPv4-compatible, representando los últimos 32 bits de la dirección IPv6 en el formato decimal con puntos usado en IPv4. Por ejemplo, la dirección IPv6 del tipo IPv4-mapeada ::ffff:c000:280 se puede representar como ::ffff:192.0.2.128, mostrando claramente la dirección IPv4 mapeada dentro de la IPv6.
5.CARACTERÍSTICAS PRINCIPALES DE IPV6 Como se ha comentado, IPv6 fue diseñado como una evolución natural a IPv4. Es decir, todo lo que funcionaba perfectamente en IPv4 se ha mantenido, lo que no funcionaba se ha eliminado, y se ha tratado de añadir nuevas funciones manteniendo la compatibilidad entre ambos protocolos. Las características principales de IPv6 son: * Mayor espacio de direcciones. * Optimización del direccionamiento multicast y aparición del direccionamiento anycast. * Autoconfiguración de los nodos. * Seguridad intrínseca en el núcleo del protocolo. * Calidad de servicio y clases de servicios. * Paquetes eficientes y extensibles. * Encaminamiento más eficiente en la red troncal. * Renumeración y multihoming, que facilita el cambio de proveedor de servicios. * Características de movilidad.
6.MECANISMOS DE SEGURIDAD DE IPv6 Hay dos mecanismos de seguridad en IPV6. La Cabecera de Autenticidad, que proporciona integridad y autenticidad sin confidencialidad. El Encapsulating Security Payload, que, dependiendo del algoritmo y modo, podría proporcionar integridad, autenticidad, y siempre confidencialidad. Los mecanismos de IPv6 no proveen seguridad contra un número de ataques de análisis de tráfico. Sin embargo, hay varias técnicas que no están en esta especificación (p.e.. bulk link encryption) que podrían ser utilizadas para proporcionar protección contra el análisis de tráfico. Los dos mecanismos de seguridad de IPV6 pueden ser combinados.
6.1 CABECERA DE AUTENTICACIÓN La Cabecera de Autenticación de IPV6 busca proporcionar integridad y autenticidad para los datagramas IPv6. Esto se hace computando una función de autenticidad criptografica sobre el datagrama IPv6 y empleando una clave de autenticidad secreta en el cálculo. El emisor computa la información de autenticidad exactamente antes de enviar el paquete IPV6 autenticado y el receptor verifica la información autenticada con la recibida. Hay ciertos campos que son omitidos en el cálculo de autenticidad debido a que cambian durante el tránsito como el campo Hop Limit, decrementando en cada paso. Sin embargo, la omisión del campo Hop Limit no afecta a la seguridad. Algunos algoritmos de autenticación podría proporcionar no repudio (p.e. algoritmos asimétricos en los que tanto las claves del emisor como del receptor se utilizan en el cálculo de la autenticidad) utilizados con la Cabecera de Autenticidad, pero no es necesariamente suministrado por todos los algoritmos de autenticidad que pueden utilizarse con la Cabecera de Autenticación. El algoritmo de autenticación por defecto es el MD5 con clave, que se ajusta a todos los algoritmos simétricos que no proporcionan no repudio. La protección del análisis de tráfico y la confidencialidad no son suministradas por la Cabecera de Autenticación. La Cabecera de Autenticación de IPv6 mantiene información de autenticación para su datagrama IPv6. Esta información de autenticación se calcula utilizando todos los campos del datagrama IPv6 que no van a cambiar durante el tránsito desde el emisor al receptor. Todas las cabeceras de IPv6, payloads y la información de usuario están incluidas en este cálculo. La única excepción es que esos campos que deben cambiar en el tránsito (p.e. La Cabecera de IPv6 "Hop Count" o la Cabecera de Encaminamiento de IPv6 "Next Address") son omitidos cuando se calcula la información de autenticación. El uso de la Cabecera de Autenticación aumentará los costes de procesamiento de protocolo de IPv6 en los sistemas que lo utilicen, así como la latencia de las comunicaciones. El aumento de latencia es principalmente debido al cálculo de la información de autenticación por parte del emisor y el cálculo y comparación de la información de autenticación por el receptor de cada datagrama IPv6 contenido en una Cabecera de Autenticación (AH). La Cabecera de Autenticación proporciona una seguridad más fuerte que la existente en la mayoría de la actual Internet y no debería afectar a la exportabilidad ni aumentar significativamente el coste de implementación. Aunque la Cabecera de Autenticación puede ser instrumentada como una medida de seguridad empleando los nombres exactos de las máquinas de una red, este modo de operación no es seguro. En lugar de eso, la Cabecera de Autenticación debería ser utilizada también desde el origen al destino final. Todas las máquinas que soporten IPv6 TIENEN que implementar la Cabecera de Autenticación de IPv6 con al menos el algoritmo de MD5 con unas claves de 128 bits. Se PUEDE implementar otros algoritmos de autenticación además del MD5 con clave.
6.2 ENCAPSULATING SECURITY PAYLOAD El Encapsulating Security Payload (ESP) de IPv6 trata de dar integridad , autenticación y confidencialidad a los datagramas IPv6. Esto se hace por encapsulamiento, ya sea de un
datagrama IPv6 completo o solamente información de protocolo de la capa superior dentro del ESP, cifrando la mayor parte del contenido del ESP, para concatenar después una nueva cabecera IPv6 sin cifrar al ya cifrado ESP. Esta cabecera IPv6 no cifrada se utiliza para llevar los datos protegidos a través de la red. El receptor del datagrama no cifrado retira y descarta la cabecera IPv6 y sus opciones no cifradas, descifra el ESP, procesa y después elimina las cabeceras de ESP, trata el (ahora descifrado) datagrama original IPv6 o los datos de un protocolo de nivel superior, como se indica en las especificaciones del protocolo IPv6.
7. DNS EN IPV6 Existen dos tipos de registros de DNS para IPv6. El IETF ha declarado los registros A6 y CNAME como registros para uso experimental. Los registros de tipo AAAA son hasta ahora los únicos estándares. La utilización de registros de tipo AAAA es muy sencilla. Se asocia el nombre de la máquina con la dirección IPv6 de la siguiente forma: NOMBRE_DE_LA_MAQUINA AAAA MIDIRECCION_IPv6 De igual forma que en IPv4 se utilizan los registros de tipo A. En caso de no poder administrar su propia zona de DNS se puede pedir esta configuración a su proveedor de servicios. Las versiones actuales de bind (versiones 8.3 y 9) y el “port” dns/djbdns (con el parche de IPv6 correspondiente) soportan los registros de tipo AAAA. El tema de IPv6 no es nada nuevo, hace varios años se viene hablando de esta evolución, pero el proceso es algo que vale la pena discutir, enriquecer con noticias, comentarios sobre el mismo y conocer la perspectiva de los usuarios con respecto a la evolución hacia el IPv6.
8. USO Esta sección describe el uso de los posibles mecanismos de seguridad suministrados por IPv6 en diferentes entornos y aplicaciones para dar al implementador y al usuario una mejor idea de cómo estos mecanismos pueden utilizarse para reducir riesgos de seguridad.
8.1 USO CON FIREWALLS Los firewalls son habituales en la actual Internet. Los dos mecanismos de IPv6 pueden utilizarse para aumentar la seguridad suministrada por los firewalls. Los firewalls usados con IPv6 deberán poder analizar la cabecera daisy-chain para determinar el protocolo de transporte (p.e. UDP o TCP) en uso y el número de puerto para esos protocolos. La función de Firewall no debería verse afectada significativamente por el uso de IPv6, debido a que las reglas de formato de cabecera de IPv6 hacen un análisis fácil y rápido. Los firewalls pueden utilizar la Cabecera de Autenticación para asegurarse de que la información (p.e. emisor, destino, protocolo de transporte, número de puerto) que se utiliza para decisiones de control de acceso es correcta y auténtica. La autenticación podría estar desempeñada no solamente dentro de una organización o campus sino también con sistemas remotos a traves de Internet mediante conexiones "end to end". Este uso de la
Cabecera de Autenticación con IPv6 proporciona mucha más seguridad que la que facilita IPv4. Organizaciones con dos o más plantas que se interconectan utilizando un servicio de IP comercial podrían desear utilizar un firewall para el cifrado selectivo. Si entre cada planta de una determinada empresa y su proveedor de servicios IP se situase un firewall de cifrado, este podría proporcionar un túnel de IP de cifrado entre todas las plantas de la empresa; podría también cifrar tráfico entre dicha empresa y sus suministradores, clientes y otros afiliados. El tráfico con el NIC, con el archivo público de Internet, o alguna otra organización no podría ser cifrado debido a la no disponibilidad de un protocolo de administración de claves estándar o al deseo de facilitar unas mejores comunicaciones, unas funciones mejoradas de red, y aumento de la conectividad. Tal práctica puede proteger fácilmente el tráfico sensible de la organización de posibles caídas y modificaciones. Algunas organizaciones (como gobiernos) podrían desear utilizar completamente un firewall de cifrado para dar lugar a una red virtual protegida sobre el servicio comercial de IP. La diferencia entre esto y un dispositivo de cifrado de IPv6 es que un firewall dedicado al cifrado proveería filtraciones del tráfico descifrado así como ofrecería cifrado de paquetes de IP.
8.2 USO CON IPV6 MULTICAST En los últimos años, la Multicast Backbone (MBONE) ha crecido rápidamente. Las reuniones de IETF y otras conferencias son ahora regularmente de tipo multicast con audio en tiempo-real, video, y whiteboards. Mucha gente está utilizando ahora aplicaciones de teleconferencia basadas en IP MULTICAST en la Internet o en redes internas privadas. Por tanto, es importante que los mecanismos de seguridad en IPv6 sean apropiados para su uso en un entorno donde el tipo multicast es el caso general. Los Security Association Identifiers (SAIDS), utilizados en mecanismos de seguridad de IPv6 están orientados al receptor, haciéndolos apropiados para uso en multicast IP. Lamentablemente, los protocolos de distribución de claves multicast actualmente publicados no se adaptan bien. Sin embargo, hay una investigación activa en este área. Como paso interno, un grupo multicast podría utilizar repetidamente un protocolo seguro de distribución de claves unicast para distribuir la clave a todos los miembros, o el grupo podría prearrancar claves utilizando una distribución de claves manual.
8.3 USO PARA PROPORCIONAR PROTECCION QOS El IAB Security Workshop identifica la protección de Quality of Service como un área de interés significativo. Los dos mecanismos de seguridad de IPv6 están buscando proporcionar un buen soporte para servicios en tiempo real así como de multicast. Esta sección describe un posible enfoque para ofrecer dicha protección. La Cabecera de Autenticación puede utilizarse, con una administración de claves apropiada, para proveer autenticación de paquetes. Esta autenticación es potencialmente importante para la clasificación de paquetes dentro de routers. El IPv6 Flow Identifier puede actuar como Low-Level Identifier (LLID). Usados los dos conjuntamente, la clasificación de paquetes dentro de encaminadores se convierte en algo inmediato si el encaminador contiene el material de claves apropiado. Por
razones de eficiencia, los encaminadores podrían autenticar solamente cada n paquetes (en lugar de autenticar cada paquete), pero ésta es una mejora aún más significativa sobre las características de la actual Internet. El QOS es apropiado también para utilizar el Flow ID conjuntamente con un protocolo para reservar recursos, como podría ser RSVP. Así, la clasificación del paquete autenticado puede utilizarse para ayudar a garantizar que cada paquete reciba una manipulación apropiada dentro de los encaminadores.
9. CONCLUSION De acuerdo a los descrito anteriormente, se puede concluir que una de las grandes diferencias entre el actual protocolo usado (IPv4) con IPv6, es en la cantidad de combinaciones posibles que se pueden obtener. En otras palabras, IPv6, ofrece 2^128 combinaciones, en cambio IPv4, solo 2^32. Esto ampliaría enormemente el espectro de objetos que puedan conectarse a la red, dando asi, un mayor uso a este medio y posiblemente descongestionar otros medios como son las frecuencias de radio. IPv6 ofrece tambien, una notable mejoria en disminuir el congestionamiento de las redes, como tambien disminuir considerablemente el uso de NATs en redes, ya que estos, ayudaban a ampliar las combinaciones posibles en IPv4. Debido a esto, se puede llegar a la conclusion de que el protocolo IPv6 es un gran cambio para la actual estructura y f uncionamiento de las Redes actuales. Si bien es cierto, es un proceso largo en el cual, al fin de cuentas, no todos los usuarios actuales de IPv4, podrian beneficiarse a corto plazo de las ventajas que ofrece IPv6, si puede decirse que el hecho de que este cambio este en proceso es una gran avanze para el desarollo y desempeño global a futuro.