Вы находитесь на странице: 1из 11

04-PC-ING-IA-0209-TRANSICIÓN IPv4-IPv6-PIIT

Resumen

Transición de IPv4 a IPv6 en las Empresas ISE Eduardo Granados Reyes Asesor Mtro.César T. garcía Martínez UVM – Tlalpan respinosa@uvmnet.edu

En este documento se presentan los fundamentos y metodologías para la implementación de un esquema de transición de IPv4 a IPv6 en las Empresas que permita continuar su operación sin afectar las funciones actuales de la organización, manteniendo y proyectando la funcionalidad de las redes durante el proceso, que tarde o temprano representará una necesidad.

Introducción

IPv4 es hoy en día la versión más utilizada del Protocolo de Internet (IP, por sus siglas en inglés). Este protocolo es usando en Internet para todo tipo de comunicaciones debido a que cualquier dispositivo que se desee conectar a Internet requiere de una dirección IP; sin embargo, IPv4 es un recurso limitado.

La transición a IPv6 es necesaria debido al agotamiento de direcciones públicas de IPv4, siendo útil también para disminuir el tamaño de las tablas de enrutamiento y por el crecimiento en volumen de dispositivos móviles.

IPv6 tiene en general el objetivo de ofrecer una transición suave de IPv4 a IPv6, debido a la extensa utilización e inversión en infraestructura basada en IPv4, ofreciendo esquemas que permitan utilizar o encapsular los protocolos en ciertos momentos durante el transporte de paquetes o discriminando su uso según sea necesario.

Objetivo

Definir las características de IPv6 y su funcionamiento, para así determinar un plan que permita integrar procesos y mejores prácticas para su implementación en la transición de IPv4 a IPv6 en las Empresas.

Maestría en Ingeniería en Sistemas

Propuesta Teórica

Maestría en Ingeniería en Sistemas Propuesta Teórica Después de examinar diferentes propuestas, la IETF decidió

Después de examinar diferentes propuestas, la IETF decidió adoptar la propuesta

hecha en IPv6, recomendada en 1995 y definida en el RFC 1752, también

conocida como la próxima generación de IP. Desde entonces, diferentes

organizaciones han trabajo en ella para permitir su expansión e implementación,

como es el caso del Foro de IPv6.

Para el 2004, IPv6 estaba ampliamente disponible para la industria y soportada

por la mayoría de equipo nuevo de red, permitiendo recibir la retroalimentación de

la experiencia práctica de la transición con las redes existentes.

Características

IPv6 fue diseñada en base a una razón principal, la necesidad de un mayor

número de direcciones IP. Esta visión fue inicialmente adoptada debido al rápido

crecimiento de la Internet, donde millones de nuevos dispositivos como: teléfonos

celulares, PDAs, autos e incluso electrodomésticos. Otro factor es la demanda

elevada de acceso por países como China e India, además de nuevas tocologías

orientadas a la conexión que se han vuelto ya una realidad.

Sintaxis de Direccionamiento para IPv6

Se definen un esquema de direccionamiento de 128 bits para IPv6 que permite

jerarquizarlo y la posibilidad de una evolución flexible de las redes. Utiliza los

principios básicos de CIDR con una longitud de prefijo, esto permite que la

agregación reduzca el tamaño de las tablas de ruteo (Potts & Tuy, 2008).

Su representación es hexadecimal y las interfaces pueden tener asignadas varias

direcciones IPv6.

Tipos de direcciones IPv6 y formato

La clasificación es la siguiente:

Unicast (uno a uno)

Multicast (uno a varios)

Anycast (uno al mejor “destino”)

Reserved (Reservadas)

La forma preferida es la global para IPv6 conformada de 16 bytes:

Maestría en Ingeniería en Sistemas

Maestría en Ingeniería en Sistemas 2001:0DB8:3004:0001:0000:0000:6578:210F El formato compacto se obtiene al remplazar

2001:0DB8:3004:0001:0000:0000:6578:210F

El formato compacto se obtiene al remplazar las secuencias de 0s por “::”:

2001:DB8:3004:2::6612:210F

Coexistencia con IPv4

La implementación de IPv6 implica que IPv4 estará coexistiendo con IPv6, siendo

las aplicaciones las responsables de decidir cual protocolo usarán.

En la implementación de IPv6 se pueden tener dos escenarios básicos:

Implementar utilizando sólo IPv6

Implementar IPv6 en conjunto con IPv4

Actualmente el soporte de IPv6 se encuentra en proceso de maduración en las

aplicaciones comerciales y productos. Esto influirá en la decisión de adoptar un

esquema de doble pila que usa IPv6 cuando esta disponible o IPv4 en caso

contrario. Esta situación irá mejorando a través del tiempo (Marrakech, 2009).

Implementación de IPv6 de modo único

La introducción de IPv6 de manera única implica requerimientos y establece

algunas barreras actualmente:

Todos los componentes (Sistemas Operativos, aplicaciones, elementos de red, etc.) deben ser capaces de utilizar IPv6

Las implementaciones únicas de IPv6, son raras hoy en día por la cantidad de equipo legado

Implementación de IPv6 en conjunto con IPv4

Las redes actuales utilizan IPv4. La introducción de IPv6 a las redes será

incremental, por lo tanto los clientes y los Routers deberán ser capaces de

comunicarse utilizando cualquiera de los protocolos, este esquema es conocido

como doble pila (dual-stack). La elección del protocolo dependerá directamente de

la aplicación (Marrakech, 2009).

La desventaja de este modelo es que se basa en una conectividad a IPv6

confiable, de otro modo, el desempeño de la aplicación se podría ver con un

rendimiento mas bajo que solo usando IPv4.

Maestría en Ingeniería en Sistemas

Maestría en Ingeniería en Sistemas Acercamiento a diferentes modelos de transición Existen diferentes modelos a ser

Acercamiento a diferentes modelos de transición

Existen diferentes modelos a ser implementados para la transición de IPv4 a IPv6

(Marrakech, 2009):

Doble pila (dual-stack)

o Servidores/ dispositivos hablando ambos protocolos

Túneles

o

IPv6 se encapsula a través de enlaces de IPv4

o

Los paquetes de IPv6 son el payload de los paquetes de IPv4

Métodos de traducción (de IPv4 únicamente a IPv6 únicamente)

o

La información de los encabezados debe ser re-escrita

o

Es necesario utilizar la capas de aplicación de los Gateways (ALGs)

Direccionamiento en túnel (Marrakech, 2009).

(ALGs) Direccionamiento en túnel (Marrakech, 2009) . Seguridad Amenazas que deben ser consideradas en IPv6

Seguridad

Amenazas que deben ser consideradas en IPv6 (Palet, 2007):

Escaneo de debilidades en Gateway y Hosts

Escaneo de direcciones multicast

Control de acceso no autorizado

Firewalls

Debilidades en los protocolos

Negación del servicio distribuido

Mecanismos de transición

Virus y gusanos informáticos (ya existen algunos virus para IPv6 como Rbot, DUD, etc.)

Maestría en Ingeniería en Sistemas

Ataques de negación de servicio

en Ingeniería en Sistemas Ataques de negación de servicio No existen las direcciones de broadcast en

No existen las direcciones de broadcast en IPv6, lo que debería detener cualquier

tipo de ataques amplificados para enviar paquetes ICMP a la dirección de

broadcast.

Existen direcciones multicast para grupos especiales de dispositivos como las

direcciones de enlaces locales. Las especificaciones de los paquetes de ICMPv6

prohíben la generación de paquetes en respuesta a los mensajes globales de

direcciones multicast.

Firewalls

En cuanto a los requerimientos y utilización de IPv6 y los Firewalls se destacan los

siguientes puntos:

No hay necesidad de utilizar NAT, la seguridad y la privacidad son similares para ambos protocolos, siendo aún mejor en IPv6 dado el posible uso de IPsec para todos los protocolos

Soporte de coexistencia y transición de IPv4/IPv6

No vulnera la seguridad de IPv4

Existen ya diferentes Firewalls capaces de trabajar con IPv6 como el Cisco ACL/PIX, iptables, ipfw, Juniper NetScreen, etc.

IPsec

Es un mecanismo general de seguridad para IP especificada en el RFC 4301. Es

aplicable para IPv4/IPv6, siendo obligatorio para IPv6 y opcional para IPv4. Se

puede utilizar a través de LANs, WANs públicas y privadas, e Internet.

IPsec ofrece un conjunto de bases de seguridad para proveer de ciertos

mecanismos a los protocolos, permitiendo a estos una comunicación segura entre

pares de dispositivos.

Descripción del problema

Las mitigaciones temporales que se hayan hecho para reducir el rápido

agotamiento del direccionamiento IPv4 han hecho de la Internet, las aplicaciones e

incluso a los dispositivos más complejos, reflejándose en un incremento en los

costos de los mismos. IPv6 es una solución que puede incluso permitir ofrecer

costos menos elevados en el mediano y largo plazo, hacerlos más poderosos e

Maestría en Ingeniería en Sistemas

Maestría en Ingeniería en Sistemas incluso consumir menos energía que podrían permitir una mayor duración de

incluso consumir menos energía que podrían permitir una mayor duración de la

baterías de los mismos.

En caso de no realizar ninguna acción, la Internet en términos generales seguirá

operando, pero su crecimiento se verá seriamente afectado, aun implementando

todos los recursos y mejoras actuales en rediseño para las aplicaciones y el

software contenido en todo tipo de dispositivos y accesorios novedosos.

Es posible clasificar el uso exhaustivo de IPv4 en dos escenarios: mitigaciones

temporales o permanentes.

En el manejo de un escenario para mitigar el agotamiento de direcciones IPv4

permanentemente, se maneja la transición a IPv6 como una solución viable y

sostenible. IPv6 tiene una dirección de 128 bits que puede direccionar 2 32

dispositivos, arrojando este un número prácticamente inagotable de direcciones.

Esta versión fue diseñada en principio para coexistir con IPv4 por un largo periodo

(Palet, 2007).

Metodología para la transición de IPv4 a IPv6

La implementación de IPv6 hoy en día, implica que habrá que trabajar en conjunto

con el legado de IPv4, siendo las aplicaciones las responsables de decidir que

protocolo usar. En general se puede considerar que la transición a IPv6 se dará

desde la perspectiva de la integración de IPv6 a los esquemas actuales.

Actualmente IPv6 no está consolidado en algunas aplicaciones comerciales y

productos; sin embargo, tiene gran soporte en sistemas operativos y plataformas

de Routers. Esto influirá la decisión de usar métodos como el de doble pila o el de

túnel, aunque cabe destacar que la situación está cambiando continuamente en el

tiempo y podría acelerar o atrasar la transición y uso de estos esquemas.

Para la transición de IPv4 a IPv6 existen distintos factores a ser tomados en

cuenta:

Técnicos: Planear actualizaciones de equipo y aplicaciones

Políticas: Métodos de administración y manejo del tráfico IPv6

Educativo: Capacitación adecuada del personal para el uso de IPv6

Maestría en Ingeniería en Sistemas

Maestría en Ingeniería en Sistemas Después de determinar la planeación de estos puntos, se debe estimar

Después de determinar la planeación de estos puntos, se debe estimar los

periodos para la implementación de IPv6, teniendo el control en el proceso de

transición. Para tener este control se debe realizar en al menos tres fases:

Planeación, pruebas/demostraciones e implementación.

Fase 1. Planeación

Cubrir requerimientos de capacidad IPv6 para futuros usuarios, asegurando que se tiene capacidad para la implementación.

Obtener los espacios de direccionamiento de los ISP (LIR), o del RIR si se es un ISP.

o

Un prefijo de /48 de los LIR

o

Un prefijo /32 de los RIR (Marrakech, 2009)

Calendarización de entrenamiento en IPv6

Promover experimentación de uso de IPv6 por parte de los usuarios

Revisión de los asuntos de seguridad de IPv6

Fase 2. Pruebas/demostraciones

Implementación de IPv6 en los Routers, aplicando ACLs cuidadosamente

Establecer conectividad (Probablemente un túnel), al ISP (Marrakech, 2009)

Establecer un link interno, aislando una red regular de IPv4 para implementar un esquema de uso como el de doble pila dentro de la DMZ

Habilitar el uso de IPv6 en algunos Hosts, agregando las entradas pertinentes al DNS

Verificar la funcionalidad de los sistemas y aplicaciones con IPv6

Formular un plan de direccionamiento para el sitio

Documentar las políticas del uso de IPv6

Fase 3. Implementación

Habilitar prudentemente IPv6 en la red, luego en los servicios

Planeación de la implementación en ciertas áreas de bajo impacto, por ejemplo dentro de la DMZ o en la conexión Wireless

Habilitar la conectividad externa con IPv6, así como los filtros y ACLs

IPv6 en las herramientas de monitoreo y

Implementar el soporte de

administración

Habilitar IPv6 en servicios como web o SMTP

Agregar las direcciones IPv6 en el DNS, habilitando el transporte de IPv6 en el DNS

Revisar y monitorear la seguridad de IPv6

Elección del método de transición

La elección depende del escenario presente en la organización, además de tener

en cuenta que la transición puede tomar un periodo largo de tiempo,

probablemente de 10 a 20 años (Marrakech, 2009).

Maestría en Ingeniería en Sistemas

Maestría en Ingeniería en Sistemas Prácticamente existen dos perspectivas para la implementación de esquemas de IPv6:

Prácticamente existen dos perspectivas para la implementación de esquemas de

IPv6: En las organizaciones y por los ISP.

En las organizaciones:

Potencialmente ofrecidos por los ISP:

o

Doble pila

o

Servidores de túnel

o

Túneles manuales

o

Túneles manuales

Escenario para la implementación de IPv6

La red en las Empresas normalmente consiste en el uso de un gran conjunto de

Hardware, servicios y técnicas de red diferentes.

Consideraciones de la plataforma de red

Se deben planear consideraciones que contemplen a toda la plataforma de red

como:

Componentes de red

o Conferencia Multicast

o

Router

Plataformas de los clientes

o

Switches

o

Windows

o

Firewall

o

Linux

o

IDS

o

UNIX

o

Servidores de

o

Mac

autenticación

o

Palm OS

Servicios

Herramientas de usuario

o

E-mail

o

Impresoras de red

o

Hospedaje Web

o

Outlook

o

Bases de Datos

o

Navegadores Web

o

Directorios de servicios

o

Sistemas de conferencia

o

DNS

o

Mensajeros

o

Acceso remoto

Modos y esquemas a utilizar

Si se quiere integrar IPv6 en la red, el esquema más deseado desde el punto de

vista de la transición es siempre utilizar el modo de doble pila en cada interface y

nodo. Sin embargo, aunque el soporte de IPv6 está presente en la mayoría de

productos, aun existe Hardware legado y tecnologías que no facilitaran el uso de

la capacidad de IPv6 o que definitivamente no la soportan.

La infraestructura de red evoluciona a través de los años, especialmente en las

organizaciones con un gran volumen, las cuales han estado operando por un largo

periodo de tiempo, en estas organizaciones normalmente se encuentra un enlace

principal moderno, pero aun se utiliza tecnología vieja o legada en algunas áreas

Maestría en Ingeniería en Sistemas

Maestría en Ingeniería en Sistemas internas. En dichos ambientes es prácticamente imposible utilizar un modo de

internas. En dichos ambientes es prácticamente imposible utilizar un modo de doble pila; sin embargo, muchos de los métodos de transición descritos anteriormente como el método de túnel puede ser usado para alcanzar dichas áreas.

Uso de VLANs para introducir IPv6

Los administradores de red normalmente dudan en introducir IPv6, porque temen desestabilizar la infraestructura existente de IPv4 o sencillamente porque no están familiarizados con IPv6 y su administración. Para subsanar esos temores es útil introducir IPv6 sólo en algunas secciones de la red y dejar la infraestructura de IPv4 sin ser tocada en un periodo de tiempo.

Un buen método para la implementación antes mencionada es el uso de VLANs. Las VLANs son comúnmente usadas en las redes modernas y es más sencillo integrar IPv6 en las redes que las utilizan.

Si se utiliza un Router dedicado de IPv6, que sólo participe en un grupo de VLAN, la red de IPv4 puede permanecer sin cambios y todo el tráfico puede ser enrutado y administrado a través de un conjunto de Hardware diferente.

Conclusiones

Existe un gran conjunto de herramientas disponibles para la transición a IPv6; sin embargo, no existe una solución única que sea considerada como la mejor opción, la mejor solución puede ser una combinación de esquemas que dependerá del escenario de la organización.

La coexistencia y la transición son pasos necesarios para asegurar el correcto funcionamiento de Internet y potenciar su crecimiento, uso, funcionalidad y en caso de que sea necesario cualquier cambio tecnológico de fondo. Ambos cambios requieren esfuerzo, inversión, retos técnicos y educativos; sin embargo, estos tendrán un menor costo que aquellos encarados en el futuro en caso de no realizar una transición a IPv6 en el mediano y largo plazo.

La ventaja futura es la sustentabilidad de Internet en sí misma, para uso en nuestras organizaciones. Por ello es necesario balancear nuestra inversión e

Maestría en Ingeniería en Sistemas

Maestría en Ingeniería en Sistemas impacto al futuro y el gasto que representa hoy en día

impacto al futuro y el gasto que representa hoy en día la transición de IPv6 en

nuestras organizaciones.

Hay que estar consciente de que la elección de los métodos y esquemas para

implementar IPv6 en nuestras organizaciones y la transición en si misma son una

necesidad. Cada día que se retrasa este hecho nuestras Empresas pierden

ventaja frente a sus competidores.

Glosario

Término

Descripción

ACL

Access Control List

CIDR

Clasless Inter Domain Routing

DMZ

Demilitarized zone

ICMP

Internet Control Message Protocol

ISP

Internet Service Provider

LIR

Local Internet Registry

SMTP

Simple Mail Traansfer Protocol

NAT

Network Address Translation

RFC

Request for comments

RIR

Regional Internet Registry

VLAN

Virtual Local Area Network

Referencias

Deering, S. (Diciembre de 1998). Internet Protocol, Version 6 (IPv6) Specification. Recuperado en Agosto de 2009, The Internet Engineering Task Force:

www.ietf.org/rfc/rfc2460.txt

Marrakech, M. (Abril de 2009). IPv4 and IPv6 Integration. Recuperado en Agosto de 2009, IPv6 Deployment and Support: http://www.6deploy.eu/tutorials/130-

6deploy_ipv6_transition_v0_3.pdf

Palet, J. (Abril de 2007). The Choice: IPv4 Exhaustion or Transition to IPv6. Recuperado en Agosto de 2009, The IPv6 Portal:

http://www.ipv6tf.org/pdf/the_choice_ipv4_exhaustion_or_transition_to_ipv6_v4.4.p

df

Potts, M., & Tuy, B. (Junio de 2008). IPv6 Addresing. Recuperado en Julio de 2009, de The IPv6 Portal: http://www.6deploy.eu/tutorials/030-

6deploy_ipv6_addressing_v0_2.pdf

Maestría en Ingeniería en Sistemas

Maestría en Ingeniería en Sistemas Program, D. I. (Septiembre de 1981). Protocol Specification. Recuperado en Julio

Program, D. I. (Septiembre de 1981). Protocol Specification. Recuperado en Julio de 2009, The Internet Engineering Task Force : http://www.ietf.org/rfc/rfc791.txt