Beruflich Dokumente
Kultur Dokumente
IPV6 BSICO
1.1.
1.2.
1.3.
1.4.
1.5.
2.
2.1.
2.1.1.
2.1.2.
2.1.3.
2.2.
2.2.1.
2.2.2.
2.2.3.
2.2.4.
2.2.5.
2.2.6.
2.2.7.
2.2.8.
2.2.9.
2.3.
2.3.1.
2.3.2.
2.4.
2.4.1.
2.4.2.
2.5.
3.
LA NUEVA CABECERA
LIMPIEZA EN IPV4
LOS CAMPOS BIT A BIT
LAS CABECERAS DE EXTENSIN
DIRECCIONAMIENTO
LOS PREFIJOS
DIRECCIN NO ESPECIFICADA Y DIRECCIN DE LOOPBACK
DIRECCIONES UNICAST GLOBALES
DIRECCIN UNICAST DE ENLACE LOCAL
DIRECCIN UNICAST LOCAL NICA
DIRECCIONES ANYCAST
DIRECCIONES MULTICAST
DIRECCIONES DE CADA NODO
SELECCIN DE DIRECCIONES POR DEFECTO
INSTALACIN Y TIPOS DE CONFIGURACIN DE IPV6
INSTALACIN Y CONFIGURACIN BSICA DE IPV6:
CONFIGURACIN AVANZADA DE IPV6:
ORDENES BSICAS EN GNU/LINUX Y WINDOWS
ORDENES BSICAS EN UBUNTU-LINUX
ORDENES BSICAS EN WINDOWS
PRUEBAS DE CONECTIVIDAD EN LAN (PING6)
CONFIGURACIN AVANZADA.
3.1. ICMPV6.
3.1.1. LOS MENSAJES
3.1.2. NEIGHBOR DISCOVERY
3.1.3. OTRAS POSIBILIDADES DE ICMPV6
3.2. CONFIGURACIN STATELESS.
3.2.1. INTRODUCCIN
3.2.2. DESCRIPCIN
3.2.3. AUTOCONFIGURACIN DE DIRECCIONES GLOBALES
3.2.4. OBTENCIN DE DIRECCIONES DE AUTOCONFIGURACIN
3.2.5. ALGORITMOS DE GENERACIN DE DIRECCIONES GLOBALES
3.2.6. ROUTER IPV6
1
1
3
3
5
7
9
10
10
12
15
19
21
22
23
25
27
28
30
33
33
36
36
48
50
50
55
60
64
64
65
71
78
84
84
84
85
87
88
89
3.3. DHCPV6.
3.3.1. DHCPV6 UBUNTU 9.10 SERVER
3.3.2. DHCPV6 WINDOWS 2008 SERVER
3.3.3. DHCPV6 CLIENTE UBUNTU 9.10
3.3.4. DHCPV6 CLIENTE WINDOWS XP
3.3.5. DHCPV6 CLIENTE WINDOWS 7
3.4. CONFIGURACIN MANUAL.
3.4.1. CONFIGURACIN MANUAL EN UBUNTU-LINUX
3.4.2. CONFIGURACIN MANUAL EN WINDOWS
3.5. PLANIFICACIN DE UNA RED IPV6
94
95
97
104
107
113
115
115
121
130
4.
132
4.1.
4.2.
4.3.
5.
IPV6 IN IPV4
IPV6 TO IPV4
TEREDO.
EJEMPLOS DE TUNELES: TUNNEL BROKER Y TEREDO
5.1.
5.2.
5.3.
6.
6.1.
7.
WIRESHARK
NUEVAS AMENAZAS CON IPV6
7.1.
7.2.
7.3.
7.3.1.
7.3.2.
7.3.3.
7.4.
7.4.1.
7.4.2.
7.4.3.
7.5.
8.
133
136
139
142
142
152
160
164
164
170
170
170
171
171
172
172
173
173
173
174
174
175
1. IPv6 Bsico
A pesar de no tener dueo y de dar la sensacin de ser un mundo incontrolable,
desde el punto de vista tcnico, Internet est totalmente regulada.
Ejemplos:
Todos los equipos del mundo que se conectan a Internet, estn identificados de
forma unvoca por medio de una especie de matrcula digital: la direccin IP.
Todos los datos que circulan por la red van empaquetados y tienen su origen y
destino perfectamente identificados, as como cul es la aplicacin que les espera.
Las comunicaciones que se establecen entre equipos, tanto va Internet como en
nuestras redes locales, se rigen por una serie de protocolos estndar totalmente
definidos.
Todos los protocolos empleados conviven en la llamada pila de protocolos TCP/IP.
El nombre de la pila es en "honor" a sus protocolos ms famosos, aunque no son los
nicos.
El IP (Internet Protocol) que aparece en el nombre de la pila hace referencia al
protocolo IPv4, que es el que se ha utilizado hasta ahora para cuestiones de
enrutamiento, esto es, para decidir por donde irn los datos del origen al destino en
funcin de las direcciones IP que llevan "grabadas".
1.1.
Pag: 1
Las pblicas son las que nos identifican en Internet y deben ser nicas para cada
equipo. Precisamente por su carcter global es necesario que existan mecanismos de
control para organizar el reparto de las mismas.
La jerarqua para el reparto se ilustra en la siguiente figura:
Fuente: www.arin.net/knowledge/stats.pdf
Como puede verse, quedan tan solo 26 bloques /8 de los 256 tericamente
disponibles, esto es, poco ms de un 10%. Incluso aunque las direcciones no disponibles
(por estar preasignadas o reservadas) se agregaran a las direcciones disponibles, se ve
claro que, con la tendencia actual, en cuestin de unos pocos aos no habra direcciones
IPv4 que repartir.
ZAMALBIDE AUZOA Z/G 20100 ERRENTERIA GIPUZKOA TEL: 943082900
Pag: 2
1.2.
1.3.
Pag: 3
Por ello, a parte del ya comentado problema del agotamiento del rango de
direcciones, IPv4 presenta otros inconvenientes que se repasan a continuacin.
Problemas de rendimiento:
Los problemas de rendimiento vienen ocasionados por:
El mal uso de los medios disponibles.
La manipulacin a que son sometidos los datos.
El resultado final es la acumulacin de retardos que producen fallos en aplicaciones
sensibles a los mismos, como por ejemplo VoIP.
Por ejemplo, en IPv4 existe la posibilidad de generar trfico de broadcast. Esto son
paquetes de datos que parten de un equipo con la pretensin de llegar a todos los
equipos que estn a "tiro de PING", es decir, a todos los equipos que se encuentran en
el mismo dominio de difusin.
El uso indiscriminado de este tipo de trfico, incluso por algunos de los protocolos
incluidos en TCP/IP, provoca el colapso de las redes debido a las colisiones que tienen
lugar. Colisiones que se solucionan con la retransmisin de los datos despus de esperar
cierto tiempo. Ya tenemos un retardo.
Otra situacin que desemboca en retardos es el procesamiento a que son sometidos
los paquetes de informacin.
Cada vez que un paquete viaja de un equipo al siguiente que le acerca a su destino se
dice que ha realizado un salto (hop). En cada salto se analiza la informacin recibida
para determinar si el paquete se queda en la red a la que acaba de llegar o si hay que
enviarlo a otra red diferente. Aqu surgen nuevos retardos.
Por ltimo, los routers que reciben la informacin, despus de analizarla y decidir
que tienen que reenviarla, tienen que aplicar algoritmos de seleccin de rutas para que
la eleccin sea la ptima. En la aplicacin de estos algoritmos aparecen nuevos retardos.
Problemas de IPv4 relacionados con seguridad
En el diseo de IPv4 se pens en garantizar la conectividad. El tema de la seguridad
qued al margen y esto se refleja en que no hay ningn tipo de control de seguridad en
su estructura.
Con el paso de los aos empezaron a surgir diversas tcnicas que aprovechaban estas
debilidades y que hacan las delicias de los aficionados a la "seguridad" informtica
(hackers).
Actualmente la seguridad en IPv4 se garantiza por medio de dos parches: SSL
(Secure Socket Layer) e IPsec (encriptacin a nivel de red).
Pag: 4
El aplicar estas tcnicas implica una carga adicional para el procesamiento de los
datos (nuevos retardos) y por lo tanto, una nueva reduccin del rendimiento.
Problemas de la utilizacin de NAT (Network Address Translation)
Ante la necesidad de dosificar las direcciones IP pblicas disponibles se ha ideado el
NAT, cuyo objetivo es hacer posible que una red privada al completo pueda acceder a
Internet a travs de una nica direccin IP pblica.
Algunas de las consecuencias de la utilizacin de NAT son las siguientes:
Rompe el modelo end-to-end.
Debido a NAT se pierde la "transparencia" original de Internet, cuando haba un
esquema de direccionamiento nico y universal y los paquetes podan fluir del origen al
destino sin alteraciones intermedias.
Afecta a protocolos y aplicaciones.
Proporciona una falsa sensacin de seguridad.
Hay varios documentos que explican los motivos de la no conveniencia del NAT:
RFC 2775 "Internet transparency"
RFC 3027 "Protocol Complication with the IP Network Address Translator"
RFC 2993 "Architectural Implications of NAT"
1.4.
La solucin: IPv6
Pag: 5
Pag: 6
1.5.
Historia de IPv6
El organismo encargado del desarrollo del nuevo protocolo fue el IETF (Internet
Engineering Task Force).
En el ao 1991 comienza a trabajar sobre el problema de expandir el nmero de
direcciones de Internet.
Puesto que la IP es uno de los datos incluidos en la cabecera del protocolo, el hecho
de ampliar el rango de direcciones implicaba un rediseo de la cabecera, esto es, haba
que desarrollar una versin nueva de IP.
Los objetivos inicialmente planteados fueron:
Gran nmero de direcciones disponibles.
Soportar un esquema de direccionamiento jerrquico.
Seguridad embebida (tanto encriptacin como autenticacin).
Autoconfiguracin plug and play.
Mejoras a la Calidad de Servicio.
Movilidad IP.
ZAMALBIDE AUZOA Z/G 20100 ERRENTERIA GIPUZKOA TEL: 943082900
Pag: 7
Pag: 8
Pag: 9
2.1.
La nueva cabecera
Como se puede ver, la cabecera IPv6 es mucho ms simple que la de IPv4 y esto
acelera el procesamiento de los datos.
La cabecera IPv6 tiene una longitud fija de 40 bytes, organizados en dos grupos de
16 bytes para las direcciones de Origen y Destino y solo 8 bytes ms para informacin
general.
En el siguiente punto se explican los motivos por los que se han eliminado ciertos
campos de la cabecera IPv4.
A continuacin se analizarn los distintos campos de la cabecera IPv6.
Por ltimo nos centraremos en el funcionamiento de las nuevas cabeceras de
extensin.
2.1.1. Limpieza en IPv4
Los 6 campos de IPv4 eliminados en IPv6 son: Longitud de la cabecera,
Identificacin, Flags, Fragment Offset, Checksum de cabecera y Opciones.
Pag: 10
Pag: 11
Version (4 bits)
Pag: 12
Este campo de 4 bits contiene la versin del protocolo. Para IPv6 su valor es 6.
Traffic Class = Clase de Trfico (1 Byte)
Este campo sustituye al "Type of Service" de IPv4. no obstante, su funcin es la
misma en los dos protocolos. De hecho la RFC que regula su funcionamiento es la
misma: RFC2474 ("Definition of the Differentiated Services Field (DS Field) in the
IPv4 and IPv6 Headers"). En dicha RFC se usa el trmino DS Field (Differentiated
Services Field) para hacer referencia tanto al campo "Type of Service" de IPv4 como al
de Traffic Class de IPv6.
Por medio de este campo ("Traffic Class) los equipos que envan los paquetes y los
routers pueden identificar y distinguir distintas clases o prioridades de paquetes IPv6.
Gracias a este campo, algunos datos que requieran un tratamiento especial se pueden
manejar, en tiempo real, con mayor facilidad.
Flow Label = Etiqueta de flujo (20 Bits)
Este campo sirve para marcar paquetes que requieren un mismo tratamiento, de
forma que se facilita su manipulacin en tiempo real.
El equipo emisor puede etiquetar secuencias de paquetes con un conjunto de
opciones.
Los routers pueden mantener bajo control los flujos y pueden procesar los paquetes
pertenecientes al mismo flujo de forma ms eficiente porque no tienen que reprocesar
cada cabecera de paquete.
La etiqueta de flujo y la direccin de la fuente identifican el flujo de forma nica.
A los nodos que no soportan las funciones del campo Flow Label se les pide que no
toquen dicho campo cuando reenvan un paquete y que lo ignoren cuando lo reciben.
Todos los paquetes pertenecientes al mismo flujo deben tener las mismas direcciones de
Origen y Destino.
La RFC3697 es la "IPv6 Flow Label Specification".
Payload Length = Longitud de carga til (2 Bytes)
El PAYLOAD son los datos enviados despus de la cabecera. En el campo "Payload
Length" se indica qu cantidad de datos estn siendo enviados.
La forma de medir esta carga es distinta en IPv6 y en Ipv4.
En IPv4 el campo Longitud incluye la longitud de la cabecera IPv4, mientras que
el Payload Length de IPv6 contiene solo los datos que siguen a la cabecera IPv6. Las
cabeceras de Extensin tambin se consideran parte del Payload.
El hecho de que la longitud de este campo sea de 2 bytes, limita el tamao mximo
del payload a 64KBytes. (2 = 65536 Bytes = 64KB)
ZAMALBIDE AUZOA Z/G 20100 ERRENTERIA GIPUZKOA TEL: 943082900
Pag: 13
Los paquetes de tamaos mayores son soportados por IPv6 por medio de la cabecera
de Extensin "Jumbograma".
Los Jumbogramas se especifican en la RFC 2675 y cobran importancia slo cuando
los nodos IPv6 estn asociados a enlaces que tienen un enlace MTU mayor que 64KB.
Next Header = Siguiente cabecera (1 Byte)
En IPv4 este campo se llama Protocol Type. En IPv6 se ha renombrado porque
ahora la forma de organizar los paquetes es distinta, ya que se utilizan las llamadas
Cabeceras de Extensin que son explicadas en la siguiente seccin.
Si la siguiente cabecera es UDP o TCP, este campo contendr los mismos nmeros
de protocolo que en IPv4 (TCP = 6, UDP = 17...)
En caso de que usen las cabeceras de Extensin de IPv6, este campo contiene el tipo
de la siguiente cabecera de Extensin.
Estas cabeceras de Extensin estn localizadas entre las cabecera IP y la cabecera
TCP o UDP.
En la pgina www.iana.org/assignments/protocol-numbers se puede encontrar un
listado actualizado de los nmeros asignados a los protocolos.
Hop Limit = Lmite de Saltos (1 Byte)
Este campo es anlogo al campo TTL (Time-To-Live) de IPv4. El campo TTL
contiene un nmero de segundos que indican cunto tiempo puede permanecer un
paquete en la red antes de ser destruido. En IPv4, la mayora de los routers simplemente
decrementan este valor en uno con cada salto.
En IPv6, este campo ha pasado a llamarse "Hop Limit". Su valor representa ahora el
nmero de saltos en lugar del nmero de segundos. Cada nodo retransmisor decrementa
este valor en uno. Si un router recibe un paquete con Hop Limit = 1, lo decrementa a
0, descarta el paquete, y enva al equipo emisor original el mensaje ICMPv6 Hop Limit
exceeded in transit.
Source Address =Direccin Origen (16 Bytes)
Este campo contiene la direccin IP del equipo que gener el paquete
Destination Address = Direccin Destino (16 Bytes)
Este campo contiene la direccin IP del destino del paquete.
Esta direccin puede ser la del destino final.
En caso de estar presente una cabecera de Enrutado, puede ser la direccin del
siguiente router.
Pag: 14
Pag: 15
En el primer paquete hay una nica cabecera IPv6 que precede a los datos de la capa
superior de transporte.
En el segundo paquete se ha insertado una tercera cabecera entre las dos anteriores.
Ahora, la cabecera IPv6 indica que la siguiente cabecera es una cabecera de Extensin
del tipo Routing, cuyo cdigo identificativo es el 43 y que se utiliza para dar una lista de
uno o ms nodos que deben estar en la ruta seguida por un paquete.
En el campo Next Header de esa cabecera de Routing se indica ya que a
continuacin van los datos de TCP.
En el tercer paquete se ha insertado una cabecera ms. En este caso es una cabecera
de Extensin de Fragmento, cuyo cdigo es el 44.
Como se puede ver los campos Next Header de las distintas cabeceras mantienen la
lgica explicada.
Podemos enumerar ya algunas cuestiones generales relativas a las cabeceras de
Extensin:
En un paquete IPv6 puede haber cero, una o ms cabeceras de Extensin.
Estas cabeceras se sitan entre la cabecera IPv6 y la cabecera del protocolo
de la capa superior (capa de transporte).
Las cabeceras existentes deben ser procesadas en el orden exacto en que
aparecen en la cabecera del paquete.
Cada cabecera de Extensin es identificada por el campo Next Header de
la cabecera precedente.
Las cabeceras de Extensin son examinadas o procesadas solo por el nodo
identificado en el campo direccin de Destino de la cabecera IPv6...
... con una nica excepcin:
ZAMALBIDE AUZOA Z/G 20100 ERRENTERIA GIPUZKOA TEL: 943082900
Pag: 16
Tipos de cabecera
Los 6 tipos de cabeceras de Extensin que se definen en la RFC 2460 son:
De opcin Hop-by-Hop (RFC 2460).
La informacin de esta cabecera debe ser examinada Salto-a-Salto, es decir, en cada
uno de los nodos de la ruta que ha de seguir el paquete.
De enrutado (RFC 2460). Se utiliza para dar una lista de uno o ms nodos
que deben estar en la ruta seguida por un paquete.
De fragmento (RFC 2460). Un host IPv6 que quiere enviar un paquete a un
destino IPv6 utiliza el llamado Path MTU discovery para determinar el
tamao mximo de paquete que se puede utilizar en el path hasta ese destino.
Si el paquete que hay que enviar es ms grande que el MTU soportado, el
host origen fragmenta el paquete. Gracias a esta forma de actuar, la
fragmentacin se gestiona de extremo a extremo, liberando a los routers del
path de este trabajo. En caso de que el "Path MTU discovery" falle, se usar
el valor mnimo de "Path MTU" en IPv6, 1280 bytes. El valor mximo es de
65536 bytes, en los cuales se incluye la carga o payload del datagrama y los
40 bytes de la cabecera.
De opciones de destino (RFC 2460). Estas cabeceras llevan informacin que
ser procesada, exclusivamente, por el nodo de destino.
De autenticacin (AH) (RFC 4302). Proporciona integridad y autenticacin
(que no confidencialidad) para todos los paquetes de datos IP. Soporta
distintos mecanismos de autenticacin.
Pag: 17
Orden de ejecucin
Si se le pide a un nodo que procese la siguiente cabecera pero no identifica el valor
del campo Next Header, descartar el paquete y enviar un mensaje ICMPv6
Parameter Problem al equipo origen del paquete.
Segn la RFC 2460, si en un paquete se usa ms de una cabecera de Extensin, se
debera respetar el siguiente orden:
1. Cabecera IPv6.
2. Cabecera de Opciones Hop-by-Hop
3. Cabecera de opciones de destino (para opciones que tienen que ser
procesadas por el primer destino que aparece en el campo de direccin de
destino, adems de los destinos posteriores enumerados en la cabecera de
Routing).
4. Cabecera de enrutamiento (Routing)
5. Cabecera de Fragmento.
6. Cabecera de autenticacin (Authentication header).
7. Cabecera de carga til de seguridad encapsulada (Encapsulating Security
Payload)
8. Cabecera de Opciones de Destino (para opciones a ser procesadas solo por el
destino final del paquete)
9. Cabecera de capa superior.
Cuando se encapsula IPv6 en IPv4, la cabecera de capa superior puede ser otra
cabecera IPv6 y puede contener cabeceras de Extensin que tienen que seguir las reglas
mencionadas.
Pag: 18
2.2.
Direccionamiento
Pag: 19
Cuando trabajamos con IPv4 estamos acostumbrados a tener que asignar una
direccin IP del estilo 192.168.0.10 a la tarjeta de red de nuestro ordenador, y solo en
situaciones concretas tenemos varias direcciones IPv4 asignadas a nuestra interfaz de
red. Esto ltimo ocurre, por ejemplo, cuando usamos "interfaces de red virtuales", las
cuales permiten, entre otras cosas, ofrecer distintos servicios de red en cada una de las
direcciones empleadas.
En IPv6 lo normal es que una tarjeta de red tenga varias direcciones asignadas. En la
RFC 4291 "IP Version 6 Addressing Architecture" se especifica cules son las
direcciones IPv6 que tiene que tener cada host.
Su direccin de enlace local para para cada interfaz.
Todas las direcciones unicast y anycast asignadas.
La direccin de loopback.
La direccin multicast All-nodes.
La direccin multicast Solicited-node para cada una de sus direcciones
unicast y anycast.
Las direcciones multicast de todos los grupos a los que pertenezca el host.
En apartados posteriores se analizarn las peculiaridades de los tipos y subtipos
mencionados.
Pag: 20
Pag: 21
Pag: 22
Como se puede ver en la imagen, los 128 bits se descomponen en tres campos:
Prefijo de enrutado global (n bits).
Este prefijo limita el rango de direcciones asignado al sitio.
Pag: 23
Para redes de tamao pequeo y medio suele constar de 48 bits y es gestionado por
los servicios de registro internacionales y los ISPs.
La IANA (Internet Assigned Numbers Authority) es el organismo responsable de la
coordinacin, a nivel mundial, del direccionamiento.
El reparto de direcciones se realiza de forma jerrquica y hay una entidad
responsable para cada regin del mundo.
En la imagen se pueden ver los nombres de dichas entidades.
Fuente: http://www.iana.org/numbers
Aunque el prefijo para las direcciones unicast globales es 2000::/3, IANA solo
permite el uso de ciertos rangos. En este enlace se puede ver cul es el reparto actual.
Todo el espacio de direcciones del bloque 2000::/3 no listado en la tabla anterior
est reservado por la IANA para una futura asignacin.
Aparte de la asignacin para cada uno de los servicios de registro internacionales,
hay tambin un rango reservado para la propia IANA.
Por ejemplo, el prefijo 2001::/23, que incluye el prefijo 2001:0000::/32 utilizado en
Teredo (RFC 4380: Tunneling IPv6 sobre UDP a travs de NAT).
Igualmente aparece el prefijo 2002:0000::/16, utilizado para 6to4 (RFC 3056:
Connection of IPv6 Domains via IPv4 Clouds).
Pag: 24
cd
00 03 cd ff fe 39 2b 42
39
2b
42
Para terminar hay que complementar el bit universal/local, que es el segundo bit de
menor peso en el primer byte (el de mayor peso). En este ejemplo el primer byte es
0000 0000, y complementando el bit marcado en rojo se convierte en 0000 0010, es
decir, 0x02. Por lo tanto el identificador de interfaz obtenido mediante
autoconfiguracin es:
02 03 cd ff fe 39 2b 42
Pag: 25
privadas con la direccin IPv4 pblica disponible. Ese mecanismo es el NAT (Network
Address Translation).
Ya en IPv6, tenemos la "Direccin de Enlace Local" (Local-Link Address) que
funciona como una direccin IPv4 privada asignada automticamente. Por ello, por ser
una direccin privada, no se enruta nunca, o lo que es lo mismo, no se enva a Internet.
En IPv4, cuando un equipo configurado para obtener su direccin de un servidor
DHCP no encuentra al servidor, toma una direccin del rango 169.254.0.0/16. Las
Direcciones de Enlace Local seran el equivalente a las direcciones IPv4 de la red
169.254.0.0/16. Estas Direcciones de Enlace Local se pueden utilizar en
Autoconfiguracin, para Neighbor Discovery, en redes sin routers y para crear redes
temporales (por ejemplo, cuando se conectan dos equipos mediante un cable cruzado).
Por ser de uso privado, no necesitan un "prefijo de enrutado global", de hecho, en su
lugar se coloca el "prefijo de enlace local" FE80::/10. Por eso, todas las direcciones de
enlace local empiezan por FE80.
Como se puede ver en la captura de Ubuntu, hay una relacin directa entre la MAC
de la tarjeta de red y la direccin de enlace local. El procedimiento mediante el que se
crea el Identificador de Interfaz a partir de la direccin MAC ha sido ya explicado al
hablar de las Direcciones Unicast Globales.
Pag: 26
Pag: 27
Pag: 28
mltiples interfaces. Esto es lo que se usa, por ejemplo, en los servidores DNS raz en
Internet.
Dentro de una red donde un grupo de routers puede proporcionar acceso a un
dominio de enrutamiento comn, se puede asignar una direccin nica a todos los
routers y cuando un cliente enva un paquete a esta direccin, ser enviado al siguiente
router disponible.
Esto se utiliza en 6to4 (RFC 3068) y en Mobile IPv6.
Tambin hay que ser conscientes de que al utilizar direcciones anycast, el emisor no
tiene control sobre cul ser la interfaz a la que se entregar el paquete, ya que esta
decisin se toma sobre el nivel del protocolo de enrutamiento.
Debido a esto pueden darse errores si un emisor enva varios paquetes a una
direccin anycast y los paquetes llegan a diferentes destinos. Lo mismo ocurre si hay
que establecer un dilogo con una serie de peticiones y respuestas o si hay que
fragmentar el paquete.
Como extensin a lo explicado, y ya en IPv6, la direccin anycast es una direccin
que se asigna a ms de una interfaz (normalmente pertenecientes a distintos nodos).
Se sigue manteniendo que un paquete enviado a una direccin anycast es enrutado a
la interfaz ms cercana con esa direccin anycast. La distancia es medida por los
protocolos de enrutado.
Las direcciones anycast estn dentro del espacio de las direcciones unicast, por lo
que, sintacticamente, no se puede distinguir una direccin anycast de una unicast.
Cuando se convierte una direccin unicast en direccin anycast, asignando la
direccin unicast a ms de una interfaz, los nodos que han recibido la direccin deben
ser configurados de modo que reconozcan la direccin anycast.
A modo de ejemplo, se muestra el formato de la "direccin anycast del router de la
subred" (subnet-router anycast address), que est predefinido y tiene el aspecto indicado
en la siguiente figura:
Pag: 29
Pag: 30
Pag: 31
mediante mensajes de broadcast, que son examinados por todas las hosts del enlace.
Esto genera mucho trfico y es una de las cuestiones que se hecha en cara a IPv4.
En IPv6, la resolucin de la direccin MAC de una interfaz se realiza mediante el
envo de un mensaje Neighbor Solicitation a la direccin multicast de "nodo solicitado".
De este modo, slo el nodo que tiene en propiedad esa direccin de multidifusin
examinar el paquete.
Esta direccin se forma tomando los 24 bits menos significativos de una direccin
IPv6 (la ltima parte del host ID) y aadiendo estos bits al prefijo Well-known
FF02:0:0:0:0:1:FF00:: / 104. Por lo tanto, el rango para direcciones multicast de nodo
solicitado va de FF02:0:0:0:0:1:FF00:0000 a FF02:0:0:0:0:1:FFFF:FFFF.
Por ejemplo, si un host tiene la direccin MAC 00-18-F8-29-F1-D7 y la direccin
IPv6 FE80::218:F8FF:FE29:F1D7, su direccin multicast de nodo solicitado ser
FF02::1:FF29:F1D7.
Si este host tiene otras direcciones IPv6 unicast o anycast, cada una podra tener
asociada su propia direccin multicast de nodo solicitado.
Pag: 32
Pag: 33
Supongamos una situacin en la que un cliente enva una peticin DNS para un
servicio externo y recibe una direccin IPv6 global y una direccin IPv4 pblica como
respuesta. Si este cliente tiene una direccin IPv4 privada y una direccin IPv6 global,
puede tener sentido utilizar IPv6 para acceder a este servicio externo. Pero si el cliente
tiene una direccin IPv6 de enlace local y una direccin IPv4 pblica, elegir la
direccin IPv4 para la conexin al servicio.
Estos son las situaciones y decisiones que tendrn que ser manejadas en un
escenario de redes mixtas con redes slo-IPv4, redes slo-IPv6 y redes con doble pila.
La forma en que se trata depende de la programacin de la aplicacin que estn
usando el protocolo.
Los desarrolladores tienen que ser conscientes de ello y tratar de establecer
mecanismos para que sus aplicaciones se comportan de manera ptima en todos los
ambientes posibles.
La RFC 3484 "Default Address Selection for IPv6", define dos algoritmos generales,
uno para la seleccin de la direccin de origen y el otra para la seleccin de la direccin
de destino. Esta RFC debe ser soportada por todos los nodos IPv6, es decir, tanto por
host como por routers.
Los algoritmos especifican el comportamiento por defecto para los nodos IPv6, pero
no anulan las decisiones tomadas por las aplicaciones o protocolos de la capa superior.
Antes de enumerar las principales reglas hay que saber que las direcciones asociadas
a las interfaces tienen un tiempo de vida que indica hasta cundo est dicha direccin
asociada a la interface. Mientras ese tiempo no haya expirado, la direccin se considera
"preferida". Una vez agotado el tiempo, y hasta que se libera totalmente la direccin, se
la considera "obsoleta" (deprecated) y se puede seguir utilizando, aunque no se
recomienda.
He aqu un resumen de las reglas ms importantes:
Son preferibles pares de direcciones del mismo mbito o tipo (link-local,
global).
Es preferible un mbito pequeo para la direccin de destino(utilizar el
mbito ms pequeo posible).
Es preferible una direccin preferida a una obsoleta.
Las direcciones de transicin (por ejemplo, direcciones ISATAP o 6to4) no
se utilizan si hay direcciones IPv6 nativas disponibles.
Si todos los criterios son similares, son preferibles los pares de direcciones
con el prefijo comn ms largo.
Pag: 34
Pag: 35
2.3.
Pag: 36
Pag: 37
Pag: 38
Antes de nada al contrario de lo que sucede en las ltimas versiones de UbuntuLinux o en Windows 7, en Windows XP el protocolo IPv6 no es nativo y primero
deberemos instalarlo.
Instalacin de ipv6 en Windows XP, SP3:
Para la instalacin se ha venido utilizado el comando "ipv6.exe" desde la consola de
comandos.
Para desinstalar:
Sin embargo, desde hace unos aos y para el uso y configuracin del entorno y
conexiones de red Microsoft aconseja el uso del comando "netsh" dentro de la consola
de comandos.
Pag: 39
Pulsamos Instalar
Pag: 40
Pag: 41
o ipconfig /all
Pag: 42
o podemos usar el entorno netsh y sus comandos, por ejemplo, para ver la
informacin IPv4:
Pag: 43
Pag: 44
o ping6 ::1
Para terminar tambin podramos hacer ping6 a la direccin local configurada con el
siguiente formatu:
ping6 direccinipv6local%interfaceautilizar
en nuestro caso escribiramos en la interfaz de comandos:
ping6 fe80::205:1cff:fe13:a63c%5
La interfaz responder satisfactoriamente.
De esta forma tan sencilla, hemos incorporado IPv6 a nuestra red local usando
Windows XP.
2.3.1.3. Instalacin y configuracin bsica de IPv6 en Windows 7 :
Pag: 45
o ipconfig /all
Utilizando netsh podemos ver los interfaces ipv6 instalados por defecto:
Pag: 46
Pag: 47
Como hemos visto en Windows XP, podemos hacer ping a la direccin local de
enlace, indicando el nmero de interface tras el smbolo %
Pag: 48
Con DHCPv6 un PC IPv6 puede recibir una direccin IPv6 adems de otros
parmetros de configuracin. Esta opcin puede establecerse utilizando un servidor o un
router que pueda ejercer de tal. Un uso comn de DHCPv6 para PCs es recibir y
configurar automticamente la direccin IPv6 de los servidores DNS, los cuales no se
reciben a travs del paquete Router Advertisement que envan los routers IPv6 de la
red. El paquete Router Advertisement que recibe un PC durante la fase del
descubrimiento de routers contiene un campo que indica si se va a utilizar tambin
DHCPv6 para configurar la direccin IPv6.
2.3.2.3. Configuracin manual de la direccin:
Pag: 49
2.4.
Pag: 50
traceroute6:
Es
la
versin
IPv6
para
traceroute.
Su
sintaxis
es:
COMANDO
ANTERIOR
NUEVO
COMANDO
Configuracin de direcciones y
enlaces
ifconfig
ip addr
Tablas de rutas
route
ip route
Vecinos o Neighbors
arp
ip neigh
Tuneles
iptunnel
ip tunnel
Multicast
ipmaddr
ip maddr
ip link
Pag: 51
Para facilitar el uso, los comandos pueden tambin ejecutarse sin introducir un
espacio a continuacin del comando ip, es decir:
# iproute (lo que sea) En lugar de :
# ip route (lo que sea)
En definitiva, la sintaxis del comando ip sera:
ip [ OPCIONES ] OBJETO [ COMANDO [ ARGUMENTOS ]]
Graficamente:
link
Descripcin
Maneja toda la informacin asociada con la interfaz: si est
levantado o cado, direcciones MAC locales, soporte de
multicast, si est en modo promiscuo o no, MTU, nombre de
las interfaces, etc
addr
route
rule
neigh
tunnel
maddr
mroute
monitor y rtmon
Pag: 52
COMANDO
ANTERIOR
ifconfig a
NUEVO
COMANDO
ip link show
ip addr show
ip route show
arp na
ip neigh ls
ifconfig eth0 up
Comando tc:
El comando tc (traffic control) forma parte del nucleo o kernel y se utiliza para
controlar el trfico. Al formar parte del ncleo no es solamente un analizador de
puertos. Permite un control total.
Permite definir diferentes objetos y su sintaxis es bastante compleja. Por ejemplo
podramos querer gestionar el ancho de banda de un acceso corporativo. Para ello
definiramos clases dentro de un objeto ( por ejemplo anchos de banda de 1 Mbps,
256Kbps y 24Kbps ) y luego aplicaramos filtros de uso. El objeto de estos apuntes es
introducir el uso del comando tc en el entorno de direccionamiento IPv6 y no
profundizar en su uso, por tanto, ahora simplemente indicaremos su sintaxis y algn
ejemplo. Si se tiene interes en un estudio ms completo existe documentacin y
ejemplos en internet. Por ejemplo en Traffic Control HOW To de Martn A. Brown.
http://tldp.org/HOWTO/html_single/Traffic-Control-HOWTO/
Pag: 53
Descripcin
qdisc
class
filter
action
monitor
COMANDO
Pag: 54
DESCRIPCIN
COMANDO
# /sbin/tc qdisc del dev eth1 root
Pag: 55
Pag: 56
el estudio de IPv6 podemos de paso aprovechar para generalizar el uso de netsh en lugar
de los comandos ms utilizados hasta ahora como pueden ser ipconfig, route o netstat.
Veamos ms en detalle el uso de netsh:
Netsh:
Netsh es una utilidad de lnea de comandos que nos ofrece varias opciones para la
configuracin de una red.
Entre las principales opciones que se pueden realizar, estn la posibilidad de ver,
modificar, administrar y diagnosticar la configuracin de una red.
En la lnea de comandos podemos escribir los comandos netsh completos o podemos
entrar en el entorno de netsh, y el prompt cambiar a:
C:\>netsh
netsh>
Escribiendo, por ejemplo: interface obtenemos netsh interface> y as con todas las
opciones, podemos usar .. para subir de nivel.
Para obtener ayuda sobre el comando:
C:\>netsh /?
O estando dentro de netsh:
netsh>?
netsh>exit
Para salir.
Algunos Ejemplos
DESCRIPCIN
COMANDO
Activar Firewall en XP
Desactivar Firewall en XP
Instalar IPv6
Desinstalar IPv6
Pag: 57
Pag: 58
COMANDO
Pag: 59
2.5.
Pag: 60
Parece que no puede hacer ping, pero este error no debe llevarnos a engao. La
configuracin es correcta. No responde al ping porque por defecto Windows 7 incorpora
un Firewall que por defecto no responde a los ping realizados desde otro Host, en este
caso el nuestro.
Vamos al Host con Windows 7 y desactivamos el firewall o agregamos una regla
que permite responder al ping. Probamos de nuevo:
Responde satisfactoriamente.
Desde el Host con Windows XP a Ubuntu-Linux:
Pag: 61
La respuesta es satisfactoria.
Desde el Host con Ubuntu-Linux a Windows 7:
Sin problemas.
Desde el Host con Windows 7 a Windows XP:
En este caso utilizamos la opcin -6 que permite al comando ping (en Windows 7)
forzar el uso de IPv6.
Desde el Host con Windows 7 a Ubuntu-Linux:
Pag: 62
Pag: 63
3. Configuracin avanzada.
Hasta aqu hemos tratado cuestiones generales sobre IPv6, tanto desde el punto de
visto del protocolo en si, como desde el punto de vista de distintos sistemas operativos.
A continuacin nos centraremos en aspectos ms avanzados de la configuracin de
IPv6. Empezaremos analizando el protocolo ICMPv6, que sustituye al ICMP de IPv4.
Este protocolo, que para los nos iniciados puede ser desconocido, proporciona una de
las herramientas ms populares en el mundo del networking: el comando ping.
Analizaremos cules son los mensajes que se intercambian los ordenadores al hacer uso
de ICMPv6 para pasar, a continuacin, a analizar las opciones de autoconfiguracin que
nos ofrece IPv6.
Dentro de la autoconfiguracin tenemos dos variantes, la llamada Stateless y la que
se basa en DHCPv6 (sustituto del DHCP de IPv4) que hasta septiembre de 2007
(momento en que apareci la RFC 4861) era denominada configuracin Stateful.
La autoconfiguracin es una caracterstica que, en breve, puede convertirse en una
de las ms importantes de IPv6, ya que permite que cualquier equipo disponga de una
direccin IPv6 con la que poder comunicarse con su entorno de red, y sin necesidad de
tener que hacer ningn tipo de configuracin manual. Si tenemos en cuenta las
predicciones, con televisores, frigorficos, consolas, mviles... con capacidad de
conexin, no cabe duda de que la autoconfiguracin de IPv6 va a facilitar bastante la
vida tanto a los usuarios como a los administradores de red.
3.1.
ICMPv6.
Pag: 64
Pag: 65
El bit ms significativo del campo TIPO es el que determina el tipo del mensaje.
Los mensajes de error siempre empiezan por 0 y los informativos por 1. Por ello, los
mensajes de error tienen un tipo comprendido entre 0 y 127 y los informativos estn
entre 128 y 255.
El listado de los cdigos asociados a los mensajes se puede encontrar en esta
direcin de la IANA:
http://www.iana.org/assignments/icmpv6-parameters
El siguiente campo es el de CDIGO, que da informacin adicional acerca del
TIPO del mensaje. Este campo se utiliza siempre con mensajes de error. Entre los
mensajes informativos, el nico que lo utiliza es el 138 (Router Renumbering)
Por ejemplo, si TIPO = 1 = Destination Unreachable (Destino inalcanzable), el
CDIGO puede tomar, entre otros, estos valores:
0 No hay ruta hasta el destino.
1 Comunicacin con el destino prohibida por el administrador.
3 Direccin inalcanzable.
4 Puerto inalcanzable.
El campo CHECKSUM permite detectar errores en la transmisin de datos.
Por ltimo, el campo CUERPO. ste vara en funcin del tipo y cdigo del
mensaje. En caso de que se trate de un mensaje de error, el CUERPO contendr una
copia lo ms completa posible del paquete problemtico, que podr utilizarse en origen
para buscar una solucin al problema planteado.
Pag: 66
La cabecera de los mensajes ICMP sufre ligeras variaciones en funcin del tipo de
error o de la informacin que transporta. Estos cambios se localizan en el campo
CUERPO comentado en el punto anterior.
A continuacin se comentan algunos mensajes de error:
DESTINO INALCANZABLE (Destination Unreachable) TIPO = 1
Este mensaje es generado cuando no es posible entregar un datagrama IP.
El CDIGO indica el motivo por el que no se ha podido hacer la entrega.
Despus del checksum, se dejan 4 bytes a cero y a continuacin se copia el mensaje
original.
Si el destino es inalcanzable debido a congestin, no se generan mensajes ICMP.
Pag: 67
Los mensajes informativos definidos en la RFC 4443 son Solicitud de eco (Echo
Request) y Respuesta de eco (Echo Reply).
Tambin se usan mensajes ICMP informativos para implementar Path MTU
Discovery y Neighbor Discovery, pero stos estn definidos en otras RFCs
(concretamente en la 4861 y en la 1981).
Los mensajes de Solicitud y Respuesta de Eco son utilizados en una de las utilidades
TCP/IP ms populares: Packet Internet Groper (ping). Ping se usa para determinar si un
host est disponible en la red y est listo para comunicarse. El host de origen pone en
circulacin un mensaje Echo Request dirigido al destino.
ZAMALBIDE AUZOA Z/G 20100 ERRENTERIA GIPUZKOA TEL: 943082900
Pag: 68
Algunos de los puntos vistos hasta aqu se pueden ver con una simple captura de
paquetes en un sniffer.
En la imagen se muestran la captura mediante Wireshark de un ping6 lanzado desde
un portatil (con sistema operativo GNU/Linux UBUNTU) a un conmutador IPv6 al que
est conectado.
Como se puede ver en la consola de la parte derecha, el comando ejecutado es:
ping6 -I eth0 -c 1 FE80::221:91FF:FEAA:BE00
Pag: 69
Como se puede ver en la cabecera IPv6, Next Header = 0x3a = 58, que es el valor
indicado anteriormente como asignado a ICMPv6.
Tambin se pueden ver las direcciones de origen y destino, que son ambas del tipo
de enlace local, porque empiezan por 0xFE80.
Si nos fijamos ya en la cabecera ICMPv6, el primer campo indica Type = 128, que
es el cdigo del mensaje Echo Request.
El ID (= Identificador) es 0x2c20 y el nmero de secuencia es 0x0001
Despus van los 54 bytes de datos arbitrarios. Con solo mirar el campo de los datos
arbitrarios podemos saber si el equipo que ha hecho ping es Windows o no, ya que estos
equipos utilizan como datos el alfabeto entre las letras a y w.
Pag: 70
Pag: 71
Pag: 72
El campo Current Hop Limit (Lmite de Saltos Actual) sirve para informar a los
nodos del enlace de cul es el valor de Hop Limit por defecto con el que se tienen que
configurar. Si este valor fuera 0, no estara definido un Hop Limit por defecto y se
utilizara el valor que tenga asignado por defecto el nodo transmisor.
El siguiente campo es de 1 bit, el flag M (de Managed address configuration).
Cuando est a 1 indica que las direcciones estn disponibles va DHCPv6. Esto es lo
ZAMALBIDE AUZOA Z/G 20100 ERRENTERIA GIPUZKOA TEL: 943082900
Pag: 73
que se llamaba configuracin Stateful, pero ese trmino dej de utilizarse cuando la
RFC 4861 dej obsoleta a la RFC 2461 (Sept. 2007).
Si M = 0, los nodos del link utilizarn la autoconfiguracin Stateless
(configuracin de direccin autnoma).
Cuando el flag M est activado, el siguiente flag, O, es redundante y se puede
ignorar porque DCHPv6 dar toda la informacin disponible para realizar la
configuracin.
A continuacin va el flag O (de Other Configuration). A 1 indica que hay otra
informacin disponible va DHCPv6. Por ejemplo informacin relativa a DNS o de
otros servidores dentro de la red.
Los 6 bits siguientes que completan este byte van a cero.
Los 2 bytes siguientes son el campo Router Lifetime. Este campo solo es importante
si el router se va a usado como router por defecto por los nodos del enlace. Si el campo
es cero, el router no es el utilizado por defecto. Cualquier otro valor indica, en
segundos, el tiempo que el router ser considerado el router por defecto. El mayor
tiempo que se puede poner con 16 bits es de 65535 segundos, lo que equivale a 18,2
horas.
El campo Reachable Time (Tiempo alcanzable) indica el tiempo (en ms) que un host
va a suponer que los vecinos estn al alcance despus de haber recibido una
confirmacin de accesilidad. Un valor de 0 indica que no se especifica.
El algoritmo NUD (Neighbor Unreachability Detection) usa este campo.
El campo Retrans Timer (Tiempo de Retransmisin) indica el tiempo (en ms) entre
retransmisiones de mensajes Neighbor Solicitation. Se utiliza en la resolucin de
direccin y en los mecanismos de NUD. Si se pone a cero indica que ese router no est
configurado con el temporizador de retransmisin.
Para el campo Opciones hay tres posibles valores:
Direccin de la capa de enlace de la fuente.
Tamao de MTU a utilizar en enlaces donde este parmetro es variable (por
ejempo, Token Ring).
Informacin de prefijo. Esta informacin es importante para la
autoconfiguracin Stateless. El router inserta todos sus prefijos de enlace que
tienen que ser conocidos por los nodos del link.
3.1.2.2. Neighbor Solicitation y Neighbor Advertisement
Pag: 74
El Tipo = 135, Cdigo = 0 y los 4 bytes que van despus del Checksum no se usan y
se ponen a cero.
El campo Direccin Target (= Objetivo) se usa en Neighbor Advertisement y en
redireccionamiento de mensajes. Aqu no debe usarse una direccin multicast.
El campo Opciones puede contener la direccin MAC del origen, pero solo si no se
hace el envo desde la direccin all-zeros.
Pag: 75
Pag: 76
Pag: 77
Se usa solo con nodos vecinos y se lleva a cabo enviando un mensaje Neighbor
Solicitation dirigido a la direccin multicast de nodo solicitado del vecino en
cuestin.
Si dicho equipo es alcanzable, responder enviando al equipo solicitante un mensaje
Neighbor Advertisement.
Pag: 78
Permite que cualquier dispositivo (desde una TV hasta un mvil pasando por
frigorficos, DVDs...) que requiera una direccin IP pueda conseguirla sin necesidad de
tener que ser configurado manualmente.
Hay dos tipos de autoconfiguracin: la stateless y la DHCPv6 (antes llamada
stateful).
Para generar su direccin IP, los hosts utilizan una combinacin de informacin
local, como su direccin MAC, e informacin recibida de los routers.
Los routers pueden anunciar mltiples prefijos, y los hosts extraen la informacin
del prefijo de esos anuncios.
Esto permite la renumeracin sencilla de un sitio completo: solo hay que cambiar la
informacin del prefijo en el router. Por ejemplo, si se cambia de ISP y el nuevo ISP
asigna un nuevo prefijo IPv6, se pueden configurar los routers para que anuncien el
nuevo prefijo, manteniendo el resto de la direccin original. Todos los hosts conectados
a esos routers se renumerarn usando el mecanismo de autoconfiguracin.
Si no hay routers, cada host se puede generar una direccin en enlace local (linklocal address) con el prefijo FE80.
La direccin de enlace local es como la direccin que tomaba un nodo en IPv4
cuando no encontraba al servidor DHCP. En ese caso, automticamente tomaba una
direccin de la red 169.254.0.0/16... y se quedaba aislado del mundo.
La gran diferencia en IPv6 es que ahora, esa direccin FE80... es suficiente para la
comunicacin de todos los nodos conectados al mismo enlace.
Las autoconfiguraciones Stateless y DHCPv6 tambin se pueden combinar. Por
ejemplo, un host puede usar autoconfiguracin stateless para generar una direccin IPv6
y utilizar despus la autoconfiguracin DHCPv6 para conseguir los dems parmetros.
Llegados a este punto, es interesante saber que las direcciones IPv6 se asignan a los
nodos de forma temporal y que existe un intervalo de tiempo definido (lifetime) despus
del cual la direccin deja de ser vlida. Para asegurar que una direccin es nica en un
enlace se usa el algoritmo DAD (= Duplicate Address Detection RFC 4862).
Los estados por los que puede pasar una direccin IPv6 son los siguientes:
Tentativa: es el estado de la direccin justo antes de ser asignada, cuando se
est aplicando DAD para garantizar que no est en uso.
En este estado no es posible la comunicacin con el resto de los equipos del
enlace, tan solo permite procesar ciertos mensajes ND para
autoconfiguracin.
Preferida: es el estado de la direccin finalmente asignada.
Pag: 79
Renumeracin de red.
Este tema se trata en la RFC 4192 "Procedures for Renumbering an IPv6 Network
without a Flag Day". El llamado "Flag Day" (Da de la Bandera) es el da clave en el
que se va a interrumpir el funcionamiento de la red para realizar una tarea de
mantenimiento programada. Para evitar sufrir un "Flag Day" hay que pensar en una
estrategia distinta, que permita realizar un cambio progresivo en la configuracin sin
necesidad de detenerla.
Este es el tipo de situacin que tiene lugar cuando hay que realizar un cambio en el
prefijo de la red, cosa que puede ocurrir, por ejemplo, debido a un cambio de proveedor
de Internet.
Lo que se permite ICMPv6 es enviar mensajes para informar de cual ser el nuevo
prefijo a utilizar, pero manteniendo an el antiguo en funcionamiento. Una vez todos los
equipos estn enterados del nuevo prefijo se "desactiva" el anterior, de modo que
continan utilizando el nuevo. Se ha modificado la configuracin de la red y se ha
evitado el flag day.
Pag: 80
Pag: 81
Pag: 82
El tercer mensaje, Multicast Router Solicitation (Tipo = 152), permite que cualquier
host pueda preguntar a todos los routers (FF02::2) si alguno trabaja con multicast.
Al igual que en MLD, todos estos mensajes se envan con Hop Limit = 1 y con la
opcin Router Alert activa
Pag: 83
3.2.
Configuracin stateless.
3.2.1. Introduccin
La configuracin automtica comienza con la instalacin de la direccin de interface
de enlace local que se carecteriza por comenzar por FE80. Esta direccin junto con los
mensajes de descubrimiento de vecinos ND es la que permite iniciar el proceso de
autoconfiguracin
de
direcciones
de
red
pblicas
Se
pueden
dar
tres
tipos
de
configuracin
automtica:
Stateless o sin estado: el host se configura mediante mensajes RA (Anuncio de Router)
que incluyen la informacin necesaria para configurar el enlace
Stateful o con estado: utilizan un servidor DHCPv6 de modo similar a la
configuracin automtica utiliza en IPv4. El proceso comienza cuando no hay mensajes
RA de ningn router o cuando el host se haya configurado para ello
Mixto: mediante mensajes RA configura la IPv6 del host y los datos referentes a las
direcciones de los servidores DNS y nombre dominio. En este caso se utiliza una
particularidad el servidor DHCPv6 configurado en modo "sin estado", de manera que no
da direcciones IPv6 y no controla el estado de los host que se conectan
Pag: 84
importantes a configurar son los mismos que los que se obtendran de un servidor
DHCP con estado :
IPv6 global, IP de la puerta de enlace e IP del servidor DNS ipv6
La configuracin de direcciones se basa en la recepcin de mensajes de anuncio de
enrutador RA. Estos mensajes contienen prefijos de direcciones sin estado, as como la
IPv6 de la puerta o Gateway. Los prefijos son los que definen la red a crear indicando la
parte fija de la direccin IPv6 de los host que formen parte de dicha red.
En el proceso de configuracin de la red intervienen tanto el router como el host
definiendo de forma automtica la IPv6 global de cada host perteneciente a la subred
que se haya definido.
En lo que respecta a la configuracin de las direcciones de los servidores DNS, los
mensajes RA no incluyen esta informacin, pero incluyen una indicacin de que hay
ms informacin disponible en la red para que el host la busque.
3.2.3. Autoconfiguracin de direcciones globales
La autoconfiguracin a nivel de enlace local ya se ha visto previamente as que en
este tema veremos la autoconfiguracin de direcciones de enlace global que son las que
van a permitir la conexin del host con el resto del mundo.
3.2.3.1. Autoconfiguracin de la IPv6 Global y la direccin de la puerta de enlace en cada
host
El funcionamiento del protocolo IPv6 a la hora de crear una red stateless se puede
resumir como sigue:
El router recibe una configuracin (manual o automtica) sobre el pool de
direcciones IPv6 correspondiente a la subred a configurar, en forma de IPv6
global/mscara de manera que la mscara define la subred a la que pertenece el router.
Se define un prefijo para el pool de direcciones de la subred que va a colgar del
router en forma IPv6/mscara. Este prefijo debe pertenecer a la subred del router de
forma que se cree una jerarqua de direcciones.
Los datos configurados en el router se transmiten a todos los host conectados a l se
mediante la funcin RA (Router Advertisment) que se encarga de mandar paquetes a los
vecinos con los datos de la configuracin de la red. En este paquete se indican
principalmente el valor del prefijo que define la red a crear y la direccin local de la
puerta de enlace. Para esto se utilizan direcciones multicast, en el caso del los paquetes
RA se mandan a la direccin multicast "Todos los nodos del enlace local" (FE02::1)
Por otro lado, un host puede solicitar los datos para autoconfiguracin mediante el
envo de paquetes RS (Router Solicitation) que se envan a la direccin multicast
Pag: 85
"Todos los routers del enlace local" (FE02::2) , a lo que los routers del enlace local
responden con paquetes RA enviados a su direccin local.
En la imagen siguiente podemos ver el flujo multicast generado por un host que
acaba de conectarse a la red. En este caso se trata de una red donde no se ha activado el
envo de paquetes RA, y por tanto intenta encontrar un servidor DHCP
Una vez activado el envo de paquetes RA por parte del router, el flujo queda
Desde el punto de vista del host podemos ver el estado inicial con las direcciones
auto-configuradas durante la instalacin del protocolo IPv6
Al aadirle el prefijo al paquete RA (en la imagen 2001:5c0:1400:a::/64), la autoconfiguracin de la conexin de red en el host crea 2 direcciones IP nuevas, una
annima y otra a partir de algoritmo EUI-64 (termina en 96-A9-0A que son los ltimos
dgitos de la MAC)
ZAMALBIDE AUZOA Z/G 20100 ERRENTERIA GIPUZKOA TEL: 943082900
Pag: 86
Pag: 87
FEC0:0:0:0:FFFF::1,FEC0:0:0:0:FFFF::2 y FEC0:0:0:0:FFFF::3
En el caso de utilizar una autoconfiguracin mixta, el mensaje RA incluye una
indicacin (flag O) de que hay ms informacin disponible aparte de la enviada en el
mensaje y el host busca un servidor DNS utilizando para ello el servidor DHCPv6 en
"modo sin estado" que le da las direcciones as como el resto de informacin que pueda
necesitar.
Como ejemplo podemos ver la pantalla de configuracin del servidor DHCPv6 de
Windows Server 2008 con la opcin de configuracin "Modo sin estado DHCPv6". Al
activar esta opcin nos pide que introduzcamos las direcciones de los servidores DNS
Pag: 88
2. Ponemos el sptimo bit, el bit U/L (universal/local) a 1, que indica una direccin
administrada de forma remota
3. Insertamos FFFE en medio de la MAC (bit 24 o Byte3). El n de 64 bits
obtenido se denomina Identificador de Interface
4. En la direccin IPv6 ponemos al final los 64 bits del Identificador de Interface
5. Cuando recibe el prefijo, este se coloca al inicio de la direccin y el resto se
rellena con ceros
Por ejemplo:
MAC: 00-0C-6E-6B-EB-0A Prefijo: 2000::/3
El proceso sera
1.
2.
3.
4.
5.
Pag: 89
menudo
recurren
a
tneles
para
pasar
de
una
Algunas de las principales caractersticas de un router IPv6 son:
red
otra.
Para que el router IPv6 pueda iniciar el proceso de autoconfiguracin stateless debemos
configurar
Mensaje RA
En los mensajes RA ajustaremos los flags y los tiempos del paquete
1. RA Managed flag: este flag indica si la autoconfiguracin va ser stateless
(mediante los mensajes RA del router) o si va a ser stateful (mediante un
servidor DHCPv6)
2. RA Other flag: mediante este flag se indica a los host que adems de las
direcciones generadas mediante los paquetes RA (stateless) en la red hay
disponible ms informacin, como por ejemplo, las direcciones de los servidores
DNS (que sern proporcionadas por el DHCPv6 en modo sin estado)
3. Temporizaciones: Retransmisin time, Life time y Reachable time
Como ejemplo de parmetros a configurar se indican los solicitados por el switch L3
DGS-3627
RA Router
Utilice este men desplegable para activar o desactivar que el
Advertisement
switch sea capaz de aceptar solicitud de un vecino (ND), y as
convertirse en un vecino de IPv6. Una vez activada, este switch es
capaz de producir mensajes de anuncio de enrutador (RA) para
ser devueltos a consulta de vecinos(RS)
RA Router Life
Time (s)
RA Reachable
Time
Pag: 90
se recomienda.
RA Retransmit
Time (ms)
RA Managed Flag
RA Other
Configure Flag
RA Max Router
AdvInterval (s)
RA Min Router
AdvInterval (s)
La siguiente imagen corresponde a una captura realizada con Wireshark del envo de
un mensaje RA (Type 134) donde se ven los flags Managed y Other desactivados y
dems datos de temporizacin.
Pag: 91
Prefijo
En este apartado configuraremos la informacin a enviar en el mensaje RA: el propio
prefijo, los flag correspondientes y los tiempos
1. Prefijo: en forma de IPv6/mscara, ser el valor a enviar en los mensajes RA y el
que utilizarn los host que se vayan a autoconfigurar. Se pueden configurar
varios prefijos
2. On Link flag: si est activo indica que el prefijo a utilizar en la
autoconfiguracin de la red local es el correspondiente a esta interface (el router
puede tener ms interfaces)
3. Autonomous flag: indica que el prefijo configurado puede ser utilizado para
autoconfiguracin de la red local
4. Temporizaciones: Valid life time y Preferred life time
Como ejemplo de parmetros a configurar se indican los solicitados por el switch
DGS-3627
Prefix
Utilice este campo para configurar cada uno de los prefijo para
direcciones IPv6 Global Unicast que se asignarn a los otros nodos
en el enlace de red local. Estos prefijos se enviarn en el mensaje de
anuncio de enrutador RA para ser compartido en el enlace de red
local. El usuario debe primero tener al menos una Direccin Global
Unicast para el switch de la que se obtiene el prefijo.
Prefered Life
Time
Flag On-link
Pag: 92
Flag Autnomo
En la siguiente imagen podemos ver una captura realizada con Wireshark del envo
de un mensaje RA con un prefijo de 64 bits de longitud, con los flags Onlink y Auto
activados y dems datos de temporizacin.
Pag: 93
3.3.
DHCPv6.
Nosotros
Pag: 94
Pag: 95
Una vez instalado el servidor para configurarlo debemos editar el fichero server.conf
en /etc/dibbler
iplaza@ubuntuserver:~$ sudo nano /etc/dibbler/server.conf
Obviamente podemos usar el editor de texto que queramos, vi, nano, gedit (si lo
hemos instalado).
Existen mltiples opciones de configuracin. En esta introduccin probaremos la
ms sencilla. Posteriormente analizaremos configuraciones ms avanzadas. En
cualquier caso, en la documentacin de dibbler todas las opciones estn documentadas
de forma clara y precisa.
Basicamente podemos asignar un rango de direcciones de dos maneras:
pool minaddress-maxaddress (direccin inicial - direccin final)
pool address/prefix (usando la direccin y el prefijo)
En nuestro /etc/dibbler/server.conf quedar:
# server.conf
iface eth0 {
class {
pool 2000::500-2000::600
}}
Donde eth0 determina la interfaz encargada de repartir las direcciones y mediante
class determinamos el inicio y fin del rango de direcciones a repartir. (Las hemos
elegido al azar, obiamente el rango podra ser cualquier otro).
Pag: 96
Debemos tener en cuenta que los clientes pueden configurarse de muchas formas.
Por ello en los siguientes apartados estudiaremos ls opciones de configuracin de cada
cliente en cada sistema operativo.
3.3.2. DHCPv6 Windows 2008 Server
El siguiente grfico muestra la configuracin a obtener:
Una vez instalado Windows 2008 server en el servidor, conviene tambin instalar un
controlador de dominio y un servidor DNS. Se puede realizar ejecutando dcpromo en la
interfaz de comandos. A continuacin y para comenzar con las instalacin de DHCP
deberemos dar los siguientes pasos:
Inicio --> Herramientas administrativas --> Administrador del servidor
Pag: 97
Red: 192.168.0.x
Mascara: 255.255.255.0
Pag: 98
Una vez IPv4 est activo y con su mbito definido, nos situamos en IP6, botn
derecho Agregamos mbito:
ZAMALBIDE AUZOA Z/G 20100 ERRENTERIA GIPUZKOA TEL: 943082900
Pag: 99
Debemos elegir el Prefijo de las direccines IPv6 que vamos a repartir. Por
ejemplo, elegimos un prefijo de direcciones locales unicas para nuestra organizacin
fd00:1::1 Podramos por ejemplo definir un mbito para direcciones globales que
empiecen por 2001:xxxx pero en este caso elegimos el prefijo fd00:1::1/64 En cada
caso el administrador del sistema elegir el mbito que ms le interese.
La Preferencia determina el grado de prioridad que tiene el servidor DHCPv6.
Dentro de una red puede existir ms de un servidor DHCPv6, en ese caso, se establece
la prioridad de cada uno, siendo el nmero 0 el que tiene mayor prioridad a la hora de
asignar las direcciones IPv6
Pag: 100
Pag: 101
En el caso de IPv4 siempre que los sistemas operativos de los ordenadores cliente
indiquen en la configuracin TCP/IP del adaptador de red que la direccin se obtenga de
forma automtica para observar las concesiones basta ir a la opcin Concesiones de
direcciones en el servidor DHCP IPv4. En nuestro caso, observamos los tres
ordenadores de la red.
Pag: 102
Pag: 103
Sin embargo, para obtener una direccin DHCPv6 a travs de un servidor no basta
con indicar en el modo grfico que deseamos obtener una direccin IPv6
automaticamente. Debemos instalar un cliente. En nuestro caso vamos a instalar y
probar dibbler.
Para instalar dibbler en Ubuntu 9.10 Desktop version vamos a utilizar aptitude:
Pag: 104
Pag: 105
Iniciamos dibbler-client:
Pag: 106
Pag: 107
http://www.google.com/url?q=http%3A%2F%2Fklub.com.pl%2Fdhcpv6&sa=D&sn
tz=1&usg=AFrqEzdiHchTKXvdz6GeCxyYvUXl_Q2p-g
o directamente:
http://www.google.com/url?q=http%3A%2F%2Fklub.com.pl%2Fdhcpv6%2Fdibbler%2Fdibbl
er-0.7.2-win32.exe&sa=D&sntz=1&usg=AFrqEzenYtanrH1fvC_tm80dbgagZc-bnQ
Ejecutamos el .exe:
Pag: 108
Pag: 109
Pag: 110
Pag: 111
Pag: 112
Pag: 113
Pag: 114
3.4.
Configuracin manual.
Pag: 115
Pulsamos Aplicar y probablemente nos pedir una contrasea con privilegios para
realizar el cambio. Introducimos la contrasea. La direccin ha sido asignada tal y
como lo indica la ventana grfica.
Pag: 116
Pag: 117
Pag: 118
asignada.
Solamente
se
configura
Pag: 119
Pag: 120
Veamos que posibilidades existen tanto desde el entorno grfico como desde la
interfaz de comandos:
a)Mediante el entorno grfico:
En Windows XP de momento (es casi seguro que Microsoft no realizar los cambios
necesarios) la configuracin de IPv6 no puede modificarse desde el interface grfico.
Al contrario de lo que ocurre para IPv4, la opcin Propiedades de cualquier interfaz de
red que seleccionemos ( InicioPanel de controlConexiones de red, seleccionar
interfaz y botn derecho ) permanece inactiva.
Pag: 121
Se debe tener cuidado al escribir el nombre puesto que "Conexin de Area local" es
distinto de "Conexin de rea local" tanto en la A mayscula como en la tilde.
Cualquier error de sintaxis obtendra la siguiente respuesta:
Pag: 122
Pag: 123
Veamos que posibilidades existen tanto desde el entorno grfico como desde la
interfaz de comandos:
a) Mediante el entorno grfico:
Usando el entorno grfico:
Inicio--> Panel de control --> Redes e internet --> Centro de redes y recursos
compartidos:
Pag: 124
Basta con escribir la nueva direccin IPv6, la longitud del prefijo y la puerta de
enlace si es que existe.
b) Mediante la interfaz de comandos:
Desde la interfaz de comandos, utilizando netsh:
En Windows 7 al ejecutar la interfaz de comandos, a veces como en este caso es
necesario ejecutarla con privilegios de administrador (como ocurre con sudo en Linux).
Para ello, buscaremos el icono de la interfaz de comandos desde Inicio y pulsaremos
sobre el botn derecho:
Pag: 125
preferred lifetime y hacer que este cambio sea persistente (no cambie cada vez que se
reinicia el sistema):
netsh interface IPv6 add address "Conexin de rea local" 2001:db8:290c:1291::2
Pag: 126
Donde se especifica para que podemos utilizar cada opcin. Por ejemplo, si
quisieramos eliminar la direccin aadida utilizaramos la opcin delete. Para ver sus
opciones:
Pag: 127
Pag: 128
Pag: 129
3.5.
La secuencia de pasos a dar para realizar la implementacin de una red IPv6 sera la
indicada en la tabla siguiente
Tarea
Descripcin
de
Pag: 130
con IPv6.
IPv6.
Pag: 131
Pag: 132
extremo inicial es un nodo (Firewall, host de la Empresa) que conecta con un servidor
en Internet (extremo final). Los dos nodos tienen una direccin IPv4 asociada.
En el Navegador pondramos http://[ipv6 de ord. Pagina web]
El paquete que se genera en el ordenador es un paquete con formato IPv6.
Este paquete llega hasta el Firewall y se encuentra con el extremo inicial del
tnel. En este momento se encapsula en un paquete IPv4. Sale por el ADSL
hasta llegar al broker1 (mecanismo usado para crear el tnel).
10.10.10.50 216.66.80.26
IPv6 ori.
IPv6 desti.
Datos
IPv6 desti.
Datos
IPv6 ori.
IPv6 desti.
Datos
4.1.
IPv6 in IPv4
Los proveedores de tneles (broker) que se ajusten a los principios de RFC 3053
describen un sistema con el cual los usuarios pueden solicitar la creacin de un tnel
IPv6 en un host llamado Punto de Presencia (PoP) ofreciendo al usuario conectividad
IPv6.
Existen aplicaciones que permiten utilizar, de forma libre y gratuita, nuestras
direcciones Ipv4 actuales, sobre las infraestructuras IPv4, para acceder a redes y sitios
IPv6.
ZAMALBIDE AUZOA Z/G 20100 ERRENTERIA GIPUZKOA TEL: 943082900
Pag: 133
http://lacnic.net/documentos/lacnicxi/presentaciones/Intro_Consulintel_Tutorial_IPv6_LACNIC_XI_v1_2.pdf
El tnel creado es un tnel directo entre un punto y otro punto. No se tiene acceso
directo a internet con IPv6. Se puede configurar el tnel manualmente (bien el usuario
mediante un comando o el sistema operativo porque lo tiene configurado) o
automticamente (el broker).
Hay una variedad de proveedores de tneles que proporcionan sus propias
implementaciones basadas en los objetivos de negocio.
Pag: 134
Vamos a mostrar una tabla con los distintos proveedores de Tnel broker existentes.
Proveedor Cobertura
Hurricane
Electric[4]
Estados
Unidos,
Canad,
Europa (6
pases),
Hong Kong,
Tokio
SixXS
Estados
Unidos,
Brasil, Europa
(13 pases),
Nueva
Zelanda[5]
Montreal,
gogo6/Free Amsterdam,
net6[2]
Taipei,
Sydney
Subred
Protocolos
Esttico
RD
NS
B
G Registro
P
/ 64 y
/48
subred
6in4
/ 64 del
tnel y
de
subred /
48
/ 56 de
subred
6in4,
AYIYA
6in4,
4in6,
TSP
Requiere
registro
Configuracin Idioma
Sitio web
Ingls
RIPE,
ARIN,
APNIC,
TIC /AICCU,
LACNIC,
Manual,
Ingls
AFRINIC,
pgina web
O
directamen
te registro
Annimo,
o un
registro
(mediante TSP,
el registro Sitio web
en
gogoNET]
)
Ingls
Cobertura
Subredes
Protocolos
Esttico
Reversos
BGP
Pag: 135
Idiomas que estn soportados por las interfases web y otros canales de
comunicacin de los proveedores.
NOTA:
Freenet es un brker que se comunica muy bien con cualquier tipo de tnel
(6in4, 6to4).
Hurricane se comunica bien hacia Freenet pero no hacia 6to4. Para que esta
comunicacin sea posible hace falta un relay router.
4.2.
IPv6 to IPv4
Este mecanismo fue diseado para permitir conectividad IPv6 sin la cooperacin de
los proveedores de internet.
Este sistema puede funcionar en un Router (proveyendo conectividad a toda
una red) o en una mquina en particular. En ambos casos se necesita una
direccin IP pblica para crear el tnel.
Muchas mquinas estn conectadas a Internet IPv4 a travs de uno o varios
dispositivos NAT, por lo general a causa de la escasez de direcciones IPv4.
En tal situacin, la nica direccin IPv4 pblica disponible se asigna al
dispositivo NAT, el extremo del tnel 6to4 debe aplicarse en el
dispositivo NAT.
La clave del sistema consiste en la asignacin de direcciones IPv6 que
contienen embebida la direccin IPv4 pblica. No hace falta configuracin,
ya que todas las IPv4 pblicas son nicas y por lo tanto, tendremos tambin
una IPv6 equivalente nica.
Estas direcciones tienen todas el prefijo 2002::/16. De esta manera, cuando es
necesario convertir un paquete IPv6 para que atraviese la red IPv4, el Router sabe la
direccin a la que debe estar dirigido el paquete IPv4 generado.
Pag: 136
94
71
de
#nano /etc/network/interfaces
auto sit0
iface sit0 inet6 static
address 2002:4f94:71de::1 (4F94:71 de IP pblica del ADSL en hexadecimal)
netmask 16
gateway ::192.88.99.1
endpoint any
local 79.148.113.222 (Ip pblica del ADSL)
Pag: 137
http://www.ipv6tf.org/images/figure_6to4.jpg
Pag: 138
4.3.
Teredo.
De forma similar a 6to4, este sistema se habilita de forma automtica aportando una
direccin IPv6 a los nodos Windows Xp/ 2003/ Vista y Windows 7 finales del usuario
cuando se cumplen las siguientes condiciones:
La pila IPv6 est habilitada
No existe conectividad nativa IPv6 y no dispone de una direccin IPv4
pblica.
Teredo desempea mltiples funciones:
Determina la conectividad UDP sobre IPv4 y descubre el tipo de nat presente
(DNAT, SNAT).
Asigna una direccin IPv6 nica global a cada host.
Enruta trfico entre host con Teredo y host IPv6 nativos (es decir, que no
usan Teredo)
Teredo aporta una direccin IPv6 con la siguiente forma a cada host:
Bits
0 - 31
32-63
64-79
80-95
96-127
Longitud
32 bits
32 bits
16 bits
16 bits
32 bits
Descripcin Prefijo
puerto UDP
Ejemplo
63bf
c000:022d
40000
192.0.2.45
Teredo
Server Flags
IPv4
2001:0000 4136:e378
8000
65.54.227.120
cdigo Nat
http://en.wikipedia.org/wiki/Teredo_tunneling
Pag: 139
Los host se conectan con los nodos Teredo Server y estos ltimos detectan
detrs de qu tipo de nat se encuentra el cliente. El host (Teredo cliente)
mantiene un vnculo permanente con Teredo Server enviando cada cierto
tiempo paquetes UDP. Este sistema asegura que el servidor puede contactar
con cualquiera de sus clientes y que el tnel est activo.
Los Relays Teredo son puertas de enlace entre internet IPv6 y los clientes
teredo. Su funcin principal es la transmisin y recepcin real de los
paquetes de trfico IPv6. Los relays deben estar en internet IPv4 e IPv6.
Estos relay pueden contactar con Servidores Teredo si lo necesitan para
redireccionar paquetes.
En la prctica, cundo un nodo Teredo Cliente quiere contactar con un nodo
IPv6 nativo, debe encontrar el Teredo relay que le corresponde (el cul
pblica los n de puertos UDP y una direccin pblica IPv4 para enviar
paquetes IPv6 encapsulados). Gracias a esta informacin el paquete se
encapsula en paquetes IPv4 y se transmiten a travs de su tnel hasta el
Teredo relay. Este desencapsula el paquete y lo enva a Internet IPv6, de
modo que el paquete finalmente debe alcanzar el nodo IPv6.
El servidor Teredo requiere poco ancho de banda debido a que no estn
involucrados en la transmisin y recepcin real de los paquetes de trfico
IPv6. Adems, no requiere de ningn acceso a los protocolos de
enrutamiento de Internet.
Un Teredo Relay potencialmente requiere mucho ancho de banda de Red.
De esta forma, Teredo Relay recibir el trfico desde cualquier host IPv6
dirigido a cualquier cliente Teredo, y lo remitir en formato UDP/IPv4.
Pag: 140
Pag: 141
5.1.
La red que tenemos es una LAN IPv4 detrs de un ADSL con su IP pblica. Esta
vez no existe un Firewall entre el ADSL y la LAN.
Vamos a ver los pasos a seguir para crear un tnel con freenet6 en un host
(Windows) de la LAN (en este caso estamos detrs de NAT) y de esta manera conseguir
conectividad Ipv6 para este host teniendo Ipv4.
Antes de comenzar unas notas:
1. Nosotros vamos a configurar en el host la parte cliente (gogoCLIENT) del
tnel. El cliente deber interactuar con el servidor (gogoSERVER).
2. El tnel utiliza el protocolo TSP que establece y mantiene el tnel de datos
esttico. GogoCLIENT conecta con gogoSERVER y obtiene informacin
relativa al tnel usando el protocolo TSP. Si el host donde se va a crear el
tnel se encuentra detrs de un FIREWALL deberemos abrir el puerto 3653
en el mismo. En nuestro caso no estamos detrs de un FIREWALL por
lo tanto no abriremos ningn puerto.
3. El cdigo fuente es la misma para casi todas las plataformas cliente.
4. Se puede configurar el cliente para conectarse a un nico gogoSERVER o a
mltiples SERVIDORES. Esta flexibilidad tiene dos propsitos: Ofrecer
mejor calidad de servicio permitiendo a los usuarios conectarse al servidor
ms cercano y mantener redundancia de forma que ante cualquier suceso en
el que un servidor no est disponible el tnel seguir funcionando.
5. Existe un interfaz grfico para el sistema Operativo Microsoft Windows que
permite una fcil configuracin del tnel y que ofrece un informe con el
estado del servicio.
Pag: 142
COMENCEMOS:
Crear una cuenta
Como primer paso, tenemos que ir a la web de gogo6:
http://www.gogo6.com
Haremos clic en el vnculo que pone Freenet6 y nos aparecer la siguiente ventana
en la cual tendremos que elegir la opcin Sign Up:
Pag: 143
Una vez registrados, podremos iniciar sesin introduciendo los datos del registro y
haciendo clic en Sign In.
Descarga de software
Una vez iniciada la sesin, nos aparece una ventana en la que tendremos que hacer
clic en DOWNLOAD Latest gogoCLIENT .
Se nos abrir una ventana con dos versiones diferentes, Basic Version y Home
Access versin. Descargamos la que nos convenga. Esta ltima se diferencia de la
primera porque dispone de una herramienta llamada HomeAccess que permite utilizar el
software como servicio web.
Pag: 144
Instalacin de gogoCLIENT
Se nos descargar un fichero ejecutable en el que haremos doble clic y con una
rpida y sencilla instalacin dispondremos del software de gogo instalado en nuestro
PC.
Pag: 145
Pag: 146
Utilizaremos los datos del registro para conectarnos con nuestra identificacin en la
pestaa Basic, con esta identificacin, podremos utilizar la utilidad de servicio web en
la versin HomeAccess.
Si clicamos en la pestaa Status, veremos la informacin que freenet6 nos ha
asignado, observando que se trata de una configuracin Ipv6 in UDP Ipv4. (Significa
que estamos detrs de nat).
La longitud del prefijo asignado es de 64 bits. En los tneles con conexin annima
el prefijo cambia respecto a la conexin autenticada. En el primer caso, el prefijo tiene
la forma 2001:5c0:1400:a:: /64 (acaba con a) y la direccin IPv6 que tiene asociada
cambia con cada conexin del tnel mientras que en el segundo el prefijo tiene la
forma 2001:5c0:1400:b:: /64 (acaba con b) y la direccin IPv6 es asignada de forma
Pag: 147
Pag: 148
NOTA:
Para navegar bien con direcciones IPv6 es necesario que la versin del Navegador
Explorer sea 8 o posterior. Podemos personalizar la configuracin. Para ello en el
software de gogo6client elegiremos la ficha Advanced:
La primera opcin Tunnel Mode: Nos permite elegir entre varias opciones.
IPv6-inIPv4 Tunnel, IPv6-inIPv4 Tunnel (Native), IPv6-in-UDP-IPv4
Tunnel (NAT Transversal), y IPv6-inIPv4 Tunnel (DSTM). Si dejamos
seleccionado el valor por defecto (se muestra en la imagen), gogoCLIENT
preguntar a gogoSERVER cul es el tipo de tnel que ms le conviene
crear. gogSERVER analizar a gogoCLIENT y determinar el tipo de tnel
que le conviene establecer (nativo o con NAT transversal). En la ficha Status
podremos consultar el tipo de tnel que finalmente ha creado.
Pag: 149
Pag: 150
manera podemos con un solo tnel dar direcciones IPv6 a cada host de la
LAN.
Poner una pgina Web accesible desde Internet. Trabajaremos con las otras
dos pestaas que tiene nuestro aplicativo HomeWeb y HomeAccess. En
la primera ficha activaremos el cuadro Enable Home Web y en la caja de
texto pondremos la ruta donde tenemos nuestra pgina Web alojada en el
disco duro.
Pag: 151
5.2.
La red que tenemos es una red LAN IPv4 detrs de un Firewall Debian que a su vez
este est conectado a un ADSL con su IP pblica esttica.
El objetivo es crear un tnel desde un firewall dotndole de una direccin ipv6 hacia
internet y que pueda llegar a ver pginas web ipv6.
Es suficiente con registrarse en la pgina web http://tunnelbroker.net .
Pag: 152
Pag: 153
Entre toda la informacin que hay observamos, la direccin IPv4 e IPv6 de los dos
extremos del tnel. Adems, un prefijo IPv6 que tenemos asignado en exclusividad para
dar una direccin IPv6 a cada host de nuestra LAN que se encuentra detrs del Firewall.
Con la cuenta creada en el Broker, procedemos a realizar nuestra instalacin en el
Debian.
Este Host es un ordenador con distribucin Debian que tiene dos tarjetas de Red,
una de ellas unida a la red LAN (eth1) y la otra a la Red del ADSL (eth0).
Este Host adems es un Firewall y un servidor Apache. Al Firewall le hemos puesto
polticas por defecto de Aceptar.
REQUISITOS:
1. La IPv4 pblica del ADSL debe ser esttica.
2. La direccin IPv4 de cada host de la LAN puede ser esttica o dinmica.
3. El tnel que se crea es autenticado no existe annimo como en Freenet6.
Desde la web de Hurrricane, por usuario solo se pueden crear 5 tneles, tiene esa
limitacin.
Primeros pasos:
1. Probar que el kernel de deban admite IPv6. Este debe ser posterior a 2.6
#cat /proc/net/if_inet6 && echo 'IPv6 sistema preparado!' || echo 'No se
encuentra el soporte IPv6. Compile el Kernel!!'
Pag: 154
411425 18
Creamos un archivo que tiene las ordenes iptables que configura el Firewall. Al
archivo le damos el nombre de permitir y lo almacenamos en la ruta /etc/init.d
apacheaeg:/etc/init.d# cat permitir
#!/bin/bash
pt=/sbin/iptables
for TABLE in filter nat
do
$pt -t $TABLE -F
$pt -t $TABLE -X
$pt -t $TABLE -Z
done
echo 1 >/proc/sys/net/ipv4/ip_forward
echo 1 >/proc/sys/net/ipv6/conf/all/forwarding
iptables -t nat -A POSTROUTING --protocol ! 41 -o eth0 -j MASQUERADE
En este archivo adems de poner las polticas por defecto Aceptar, se da la orden
de forwardear entre las tarjetas los paquetes IPv4 e IPv6. Adems, se da la orden de
enmascarar nicamente los paquetes IPv4. Los paquetes IPv6 usan el protocolo 41 y se
le est indicando al Firewall que no enmascare estos paquetes. Este archivo tiene un
enlace creado en /etc/rc2.d para que se ejecute cada vez que se inicia el Host.
/etc/init.d# chmod 777 permitir
/etc/init.d# ln s /etc/init.d/permitir /etc/rc2.d/S99_permitir
Ordenes para crear el tnel:
ip tunnel add he-ipv6 mode sit remote 216.66.80.26 local 10.10.10.50 ttl 255
Sintaxis:
ip tunnel [add|change|delete] nombre_tunel mode [ipip|sit|gre] remote [direci. Ipv4 b broker]
local [la ip de nuestro host] dev [periferico]
Los argumentos posibles son:
ZAMALBIDE AUZOA Z/G 20100 ERRENTERIA GIPUZKOA TEL: 943082900
Pag: 155
Permite poner una ruta esttica. Cualquier paquete que est destinado a una
direccin IPv6 deber salir por el tnel llamado he-ipv6.
ip -f inet6 addr
Pag: 156
Pag: 157
/etc/radvd.conf restart
NOTA: La ltima accin ha sido necesaria ya que el enlace que tiene el demonio
radvd en rc2.d llamado S50radvd no se ejecuta.
Despus de dar esta orden cada interface de la LAN tendr una direccin IPv6
formada con el prefijo que le ha dado el demonio ms la Mac de la tarjeta de Red. En
este instante tenemos una Red IPv6. La Red IPv4 se mantiene y est funcionando. Tan
slo falta darle una direccin IPv6 a la interface eth1 perteneciente al prefijo que nos
han dado: 2001:470:1f09:744::1. Para ello, editamos en archivo /etc/network /interfaces
y aadimos las siguientes rdenes:
iface eth1 inet6 static
address 2001:470:1f09:744::1
netmask 64
Pag: 158
En este instante desde cualquier host de nuestra red tenemos posibilidad de consultar
Pginas web IPv6 en Internet. Adems, podemos ver nuestra pgina web en el Firewall
desde cualquier host que tenga una direccin IPv6.
Consultando la informacin de la interface del host que est detrs de la LAN
observamos:
La puerta de enlace que est detrs de la LAN es la direccin IPv6 (fe80:---) local
de la interface del Firewall. No utiliza la direccin global IPv6. El servidor DNS no
coge una direccin IPv6 utiliza una direccin IPv4. El servidor DNS IPv4 resuelve
direcciones IPv4 e IPv6.
ZAMALBIDE AUZOA Z/G 20100 ERRENTERIA GIPUZKOA TEL: 943082900
Pag: 159
Un paquete que debe salir a Internet desde un host de la LAN, inicialmente ser
enviado a la interface del Firewall local (fe80), una vez el paquete ha llegado al router
este consulta en su tabla de enrutamiento la direccin Ipv6 por la que debe salir para
llegar a internet.
Vamos a ver la tabla de enrutamiento de direcciones Ipv6.
#route A inet6
La lnea resaltada indica que para ir a cualquier direccin IPv6 (::/0) se saldr por el
tnel he-ipv6.
5.3.
Este sistema tan slo permite salir hacia fuera (ver pginas web) desde el host y
nadie puede entrar en l. Es lgico ya que es una direccin IPv6 formada a partir de una
IPv4. Este sistema crea un tnel para cada host. No obtiene un prefijo y no permite dar
direcciones IPv6 a las mquinas.
El protocolo IPv6 y Teredo est habilitado por defecto tanto en Windows Vista,
Windows 7 como en Windows XP SP3.
Vamos a ver un ejemplo:
Deberemos tener un host con Windows 7 detrs de una ADSL. Antes de dar las
rdenes deberemos entrar en la ventana CMD con permisos de Administrador. Sobre el
Smbolo del sistema pulsamos botn derecho del ratn y elegimos Ejecutar como
Administrador.
Pag: 160
Podemos comprobar nuestro host a que servidor Teredo accede dando la orden:
Netsh interface ipv6 show teredo
Observamos que en tipo pone client. Este parmetro indica que nuestro host utiliza
Teredo cliente. El servidor al que va a acceder nuestro host es
teredo.ipv6.microsoft.com. El Intervalo de actualizacin del cliente tiene como valor
60 y su objetivo es la comprobacin del estado del tnel enviando un paquete. El
puerto se ha especificado con el valor 34567 y su estado es dormat. El hecho de que
tenga este valor significa que ha conectado con un servidor teredo. Si no lo consigue
(porque el Router ADSL no se lo permite) tendr el valor offline.
Si deseamos acceder a otro servidor teredo tenemos que dar la orden:
Netsh interface ipv6 set teredo client teredo.remlab.net 60 34567
Pag: 161
Pag: 162
Vamos a acceder a la pgina Web creada en un host Debian que tiene un tnel
creado con el brker Hurricane. Su direccin IPv6 es : http://[2001:470:1f08:744::2]/
Este host con Windows 7 nos permite ver pginas Web en otros host con IPv6 pero
tan slo se puede salir de l y nadie podr llegar al mismo a ver su pgina web si la
tuviera ni haciendo ping.
Pag: 163
WireShark
Pag: 164
El crculo rojo de mayor tamao, es para elegir algn tipo de filtro si deseamos
filtrar los paquetes capturados.
Si hacemos clic en el botn de los filtros, nos aparece la siguiente ventana donde
podremos elegir el protocolo a filtrar o alguna de las opciones que nos aparecen en la
lista. Nosotros no vamos a elegir ningn filtro.
Aceptamos la ventana de los filtros si hemos elegido algn filtro y sino cancelamos
y una vez realizados estos pasos, clicamos en el botn Start y el programa iniciar la
captura de paquetes en modo promiscuo.
Pag: 165
Como podemos ver, por cada captura nos muestra los siguientes apartados.
N de Paquete.
Tiempo tardado.
IP Origen.
IP Destino.
Protocolo.
Informacin acerca del paquete (puerto que se ha utilizado, accin que se ha
realizado, tardanza de la accin...)
En el siguiente ejemplo, muestra los paquetes capturados accediendo al Debian
mediante ssh desde un Windows Vista. En el debian, tendremos que instalar el ssh con
el comando:
apt-get install ssh
Cuando finalice ya tendremos instalado y funcionando a la perfeccin el demonio de
ssh.
Es necesario reiniciar el demonio de red, lo haremos con: /etc/init.d/ssh restart.
Para acceder mediante ssh desde un Windows Vista, hay que usar el software Putty
que lo descargamos desde:
http://www.chiark.greenend.org.uk/~sgtatham/putty/download.html
Pag: 166
Ejecutaremos el programa y nos pedir la IP del host destino (IPv6 en nuestro caso).
Clicando en el botn Open se nos abrir una ventana parecida a CMD donde
tendremos que introducir un usuario y contrasea del otro host destino.
Pag: 167
Una mquina TK1 con IPv6 2001:5c0:1400:b::70db consulta la pgina web de otra
mquina TK2 con IPv6 2001:470:1f08:744::2
ZAMALBIDE AUZOA Z/G 20100 ERRENTERIA GIPUZKOA TEL: 943082900
Pag: 168
Han abierto una conexin segura TCP entre los puertos 49769 y 80 para la
sealizacin de la peticin de la pgina Web. Para esto utilizan el proceso de saludo a
tres vas de establecimiento de conexin TCP (Fijndonos en las tramas 3,4 y 5).
TK1 TK2. Enva un numero de secuencia y SYN para establecer conexin.
TK2 TK1. Responde con ACK (aceptar) y enva SYN para establecer la conexin
en el otro sentido.
TK1 TK2. Responde con ACK (aceptar).
Pag: 169
7.1.
Con IPv6 no se utiliza NAT sino que las direcciones IPv6 globales son alcanzables
desde cualquier punto de Internet. Esto permite la proliferacin de sistemas p2p (peer to
peer) donde los dispositivos finales envan y reciben contenidos de forma independiente
a un servidor.
Por tanto se hace imprescindible la existencia de al menos un firewall
perimetral con soporte IPv6 en la red en la que se encuentra el usuario como
medida bsica de proteccin.
Adems es recomendable que cada nodo IPv6 tenga un firewall local
instalado en el propio nodo que filtre las comunicaciones indeseadas. En
realidad las vulnerabilidades que pueden ser aprovechadas de forma maligna
para ganar el control de una mquina o con otros fines no las proporciona el
protocolo de red (en este caso IPv6) sino las propias aplicaciones o el
sistema operativo que tiene instalados la mquina.
Las mismas medidas de proteccin que se usan en la actualidad para IPv4
son igualmente vlidas para IPv6.
7.2.
Pag: 170
7.3.
Pag: 171
Pag: 172
despliega los agentes Teredo, por lo que el usuario final no tiene muchos recursos para
luchar contra ellos.
7.4.
Gracias a 6to4 los nodos que se encuentran en una red que slo es IPv4 pueden
obtener conectividad IPv6 de una forma sencilla sin ningn despliegue especial en la
red en la que se encuentra. Al igual que ocurre con Teredo, este mecanismo no es
inseguro en s mismo. Tan solo ofrece nuevas posibilidades de realizar ataques a gente
sin escrpulos, por lo que es conveniente conocer sus posibles vulnerabilidades con el
fin de que los administradores de red puedan poner los medios adecuados para evitar se
atacados o ser utilizados como fuente de ataque en el caso de utilizar este servicio en su
red.
Los tipos de ataque que se pueden llevar a cabo con 6to4 se fundamentan en las
caractersticas del mecanismo: los nodos 6to4 deben aceptar trfico IPv4/IPv6 enviado
desde cualquier lugar, sin comprobar identidades y sin una relacin de confianza previa.
Con esta premisa es fcil entender que 6to4 se pueda usar para llevar a cabo ataques
de tipo DoS y de suplantacin de la identidad posibilitando ataques de tipo man-in-themiddle. Pero tambin existen otras vulnerabilidades como se describir a continuacin.
7.4.1. Puerta abierta a Internet
Al igual que ocurre con Teredo, al usar 6to4 el nodo cliente se conecta a la Internet
IPv6 global de forma directa, puenteando las posibles medidas de seguridad perimetral
instaladas habitualmente en la red para IPv4. Por tanto se pueden aplicar en este caso
las mismas consideraciones que con Teredo en cuanto a las medidas de seguridad en las
comunicaciones extremo-a-extremo.
7.4.2. Suplantacin de identidades
Puesto que un nodo 6to4 necesita de un relay 6to4 para conectar con un nodo IPv6
nativo, un atacante podra hacerse pasar por un relay 6to4con el fin de espiar el trfico
intercambiado entre ambos.
La nica forma de hacer esto es conseguir que el relay 6to4 haga pensar al nodo
6to4 que l es el relay adecuado (bien porque tenga la direccin anycast 192.88.99.1
asignada a este servicio o bien porque se use una direccin unicast y se haga pasar por
un relay confiable) y adems sea capaz de anunciar por BGP el prefijo IPv6
correspondiente a 6to4: 2002::/16 .
Sin embargo este ataque es ms difcil de llevar a cabo que en el caso de Teredo
debido a la asimetra en las rutas que sigue el trfico intercambio entre ambos nodos: el
relay 6to4 que usa el nodo 6to4 y el nodo IPv6 nativo puede ser diferente en la
comunicacin llevada a cabo entre ambos.
Pag: 173
7.5.
Los mecanismos de transicin IPv6 basados en tneles podran ser usados para
puentear las medidas de seguridad perimetrales (firewalls, proxies, etc.) instaladas en
cualquier dominio puesto que tienen la facilidad de ocultar el trfico TCP/UDP
transportado a travs de IPv6 dentro del tnel IPv4.
Esta caracterstica podra ser aprovechada para llevar a cabo actividades ilcitas
como:
Visitas web a sitios no autorizados por el administrador de la red.
Comunicacin o coordinacin entre grupos delictivos.
Ataques coordinados de DoS.
Comparticin ilegal de material informtico como software, libros, videos,
msica, etc.
Todo ello con la novedad de que ser indetectables en la Internet actual en el caso de
que las medidas de control de trfico solo controlen paquetes TCP/UDP transportados
sobre paquetes IPv4.
Un ejemplo de esto podra ser el uso de servidores de tneles IPv6, tambin
llamados Tunnel Brokers (TB), los cuales los usuarios lcitos usan para obtener
lcitamente conectividad IPv6 y que los usuarios fraudulentos pueden utilizar para
construir una red "virtual" distribuida mundialmente sobre la actual Internet IPv4 que
les posibilita la comunicacin entre ellos sin que sea detectable por sistemas que no
soportan comunicaciones IPv6.
Pag: 174
Pag: 175