SEGURIDAD EN INTERNET

INTRODUCCIÓN Como en las cerraduras utilizadas para ayudar a mantener

seguras las propiedades, las computadoras y las redes de datos necesitan de ciertas precauciones que ayuden a mantener segura la información. La seguridad en un ambiente de red de redes es importante y difícil de lograr. Es importante pues la información tiene un valor significativo (puede comprarse y venderse o ser utilizada para crear productos y servicios nuevos que proporcionan grandes ganancias).

La seguridad en una red de redes resulta algo difícil debido a que implica entender cuando y como pueden confiar los usuarios participantes, las computadoras, los servicios y las redes, uno en otro, también implica entender los detalles técnicos del hardware y los protocolos de red. Vamos a revisar los conceptos y la terminología básica para implementar servicios de seguridad.

RECURSOS DE PROTECCIÓN (I) Los términos seguridad de red y seguridad de

información se refieren en sentido amplio, a la confianza de que la información y los servicios disponibles en una red no puedan ser accedidos por usuarios no autorizados.. Seguridad implica confianza, integridad de los datos, confianza en que los recursos computacionales están libres de intromisiones.

•Proporcionar seguridad para la información requiere protección tanto para los recursos físicos como los lógicos. Los recursos físicos incluyen dispositivos de almacenamiento como cintas y discos así como las computadoras. En un ambiente de red la seguridad física se extiende a los cables ruteadores y puentes que comprenden la infraestructura de la red.

RECURSOS DE PROTECCIÓN (II)

•Algo a tener en cuenta es establecer los niveles de utilización tanto para los recursos físicos y mas aun para los recursos lógicos, estos se deben limitar a los usuarios correspondientes y no ser accedidos por personal no relacionado a la información. Por ejemplo información contable solo sea accedida por el departamento de contabilidad.

•La protección de recursos lógicos como la información es más difícil que la seguridad física, dado que la información puede copiarse conforme pasa a través de una red, la protección debe prevenir también lecturas no autorizadas.

NECESIDAD DE UNA POLÍTICA DE INFORMACIÓN •Antes de que una organización implante un proyecto de

seguridad de red, la organización debe asumir riesgos y desarrollar una política clara, considerando los accesos de información y protección.

•Las políticas necesitan especificar quienes tendrán garantizado el acceso a cada parte de la información deben establecerse las reglas individuales a seguir, se debe difundir la información hacia todo el conjunto y establecer las formas en la que la organización reaccionara antes las transgresiones.

•Los empleados no deben ignorar esta política ya que las personas son por lo general el punto más susceptible de cualquier esquema de seguridad. Un trabajador descuidado o ignorante de las políticas de información de la organización puede comprometer la seguridad.

COMUNICACIÓN, COOPERACIÓN Y DESCONFIANZA MUTUA•Las organizaciones normalmente tienen contactos

con organizaciones externas cuando sucede esto la ultima disposición de la información depende de las políticas de las organizaciones por los cuales pasara la información.

•Una organización no puede conocer el efecto de comunicarse e interactuar con otras a menos que las dos organizaciones acuerden un nivel de confianza reciproco.

•Este problema se agudiza ya que la información viaja a través de la red que pasa a través de puentes y ruteadores, de organizaciones que no son parte ni del emisor ni del receptor.

MECANISMOS PARA LA SEGURIDAD DE INTERNET Los problemas de seguridad en las red y los

mecanismos de software que ayudan a que la comunicación en la red de redes sea segura, se pueden dividir en términos generales en tres conjuntos.

1.El primer conjunto se enfoca en los problemas de autorización, autenticación e integridad.

2.El segundo se enfoca al problema de la privacidad

3.y el tercero al problema de la disponibilidad mediante el control de acceso.

MECANISMOS DE AUTENTICACIÓN

Los mecanismos de autenticación resuelven el problema de verificar la identificación, es el caso por ejemplo de muchos servidores los cuales verifican que el cliente este autorizado antes de prestar algún servicio.

MECANISMOS DE AUTENTIFICACIÓN

Una forma débil de autentificación por dirección IP, donde un administrador configura una lista de configuraciones IP validas. El servidor se basa en esta lista para brindar servicios a los clientes. La autenticación de fuente IP es débil porque se puede romper fácilmente. En una red de redes en la que los datagramas pasan a través de ruteadores y redes intermedias, la autenticación de fuente puede ser atacada desde una de las maquinas intermedias. Por ejemplo supongamos que un impostar logra controlar un ruteador R que esta localizado entre un cliente valido y el servidor, el impostor altera las rutas en R dirigiendo el tráfico hacia su computador y que siga su trayecto original, de este modo ni el servidor ni el cliente detectaran al intruso.

•También se puede dar la forma inversa dado que un impostor puede interceptar el tráfico que va desde el cliente al servidor.

MECANISMOS DE AUTENTIFICACIÓN

MECANISMOS DE AUTENTIFICACIÓN

•Para solucionar este problema se trata de proporcionar un servicio confiable que consiste en un sistema de cifrado de clave pública. Para poder utilizar este sistema a cada participante se le debe asignar dos claves que son utilizadas para codificar y descodificar un mensaje. Cada clave es un entero largo. Un participante publica una clave, llamada clave publica, en una base de datos publica y conserva la otra clave en secreto. Un mensaje se codifica mediante una clave que se puede decodificar utilizando la otra. Por ejemplo si un emisor emplea una clave secreta para codificar un mensaje, un receptor puede utilizar la clave pública del emisor para decodificar el mismo.

Además conocer la clave pública no hace más fácil adivinar o calcular la clave secreta. Así si un mensaje se decodifica de manera correcta por medio de la clave publica de un propietario, debe codificarse por medio de la clave privada del propietario. Un cliente y un servidor que utilicen este servicio pueden estar razonablemente seguros de que su interlocutor es autentico.

MECANISMOS DE PRIVACIDAD

El cifrado también puede manejar problemas de privacidad. Por ejemplo, si un emisor y un receptor utilizan un esquema de cifrado de clave publica, el emisor puede garantizar que solo el receptor involucrado pueda leer el mensaje. Para ello el emisor utiliza la clave pública del receptor para codificar el mensaje y el receptor su clave privada para decodificar el mensaje. Dado que el receptor es el único que tiene la clave privada nadie mas podrá descodificar el mensaje.

MUROS DE SEGURIDAD Y ACCESO A INTERNET Los mecanismos que controlan el acceso a la red de redes

manejan el problema de filtrado hacia una organización o red en particular de las comunicaciones no previstas. Estos mecanismos pueden ayudar a prevenir a la organización sobre la obtención de información con respecto al exterior, el cambio de información o la interrupción de comunicaciones en la red de redes por lo general requieren cambios en componentes básicos de la infraestructura de la red de redes. En particular, un exitoso control de acceso requiere de una combinación cuidados de restricciones en la topología de red, en el almacenamiento intermedio de la información y en el filtrado de paquetes.

Una sola técnica ha emergido como la base para el control de acceso a la red de redes. La técnica se instala un bloque conocido como muro de seguridad (firewall) en la entrada hacia la parte de la red de redes que será protegida. Por ejemplo, una organización puede colocar u muro de seguridad en su conexión de la red global de Internet para protegerse de intromisiones indeseables. Un muro de seguridad divide una red de redes en dos regiones, conocidas como el interior y el exterior

CONEXIONES MÚLTIPLES Y VÍNCULOS MÁS DÉBILES Aun cuando la imagen conceptual parece sencilla, los detalles de

implementación son complicados. En particular la red de redes de una organización puede tener varias conexiones externas. Por ejemplo, si una compañía tiene una columna vertebral de red de área amplia corporativa que conecta a las localidades de la corporación en varias ciudades o países, el administrador de red en una localidad determinada, puede elegir conectar la localidad directamente a un local de negocios o una universidad. Las conexiones externas múltiples plantean un problema de seguridad especial. La organización debe formar un perímetro de seguridad instalando un muro de seguridad en cada conexión externa. Algo muy importante para garantizar que este perímetro es efectivo, la organización debe coordinar todos los muros de seguridad para que utilicen exactamente las mismas restricciones de accesos. De otra manera, podría ser posible evadir las restricciones impuestas a un muro de seguridad entrando en la red de redes de la organización a través de otro.

Alguien que intente atacar a la red lo hará por su punto mas débil, es decir por el muro de seguridad que no este bien cuidado. Esto hace referencia a la idea de que un sistema de seguridad es tan fuerte como su eslabón más débil, conocido como el axioma del eslabón más débil.

Coordinar múltiples muros de seguridad puede resultar difícil, ya que las restricciones que se tendrán en una localidad pueden no parecer importantes en otras, por esto los responsables de los muros de seguridad de la red de redes deben coordinar sus esfuerzos cuidadosamente.

IMPLANTACIÓN DE MURO DE SEGURIDAD Y HARDWARE DE ALTA VELOCIDAD ¿Cómo debe implantarse un muro de seguridad? En teoría, un

muro de seguridad sencillamente bloquea todas las comunicaciones no autorizadas entre computadoras en la organización y computadoras de organizaciones externas. No existe una solución que funcione para todas las organizaciones; construir un muro de seguridad a la medida y efectivo puede ser muy difícil.

Una de las dificultades en la construcción de un muro de seguridad consiste en el poder de procesamiento que se requiere. Este necesita el suficiente poder computacional para examinar todos los mensajes que entran y salen. Dado que es necesario examinar cada datagrama de viaja entre la red interna y externa, el muro de seguridad de la organización debe manejar los datagramas a la misma velocidad que la conexión. Además, si un muro de seguridad retarda los datagramas en un búfer mientras decide si permite la transferencia, el muro de seguridad puede verse abrumado con las retrasmisiones y el búfer se estancará.

FIREWALL EN LINUX (DEBIAN) ## Establecemos politicapor defecto:

DROPiptables-P INPUT DROPiptables-P OUTPUT DROPiptables-P FORWARD DROP## Empezamos a filtrar? no! empezamos a abrir! porque ahora esta TODO denegado.## Debemos decir de manera explicita qué es lo que queremos abrir

En el ejemplo, el administrador ha elegido bloquear datagramas entrantes destinados a unos cuantos servicios conocidos y bloquear un caso de datagrama que salen. El filtro bloquea todos los datagramas que salen y que se originan desde cualqeuir anfitrion en la red de clase B 128.5.0.0 está destinado a un servidor de correo electronico remoto (TCP 25). El filtro tambien bloquea datagramas entrantes destinados a FTP (TCP 21) TELNET ( TCP 23) WHOIS (UDP 41) TFTP (UDP 69) o FINGER (TCP 79)

LLEGADA A LA INTERFAZFUENTE IP DESTINO IPPROTOCOLO PUERTO FUENTE PUERTO DESTINO

2 * ^* TCP * 21 2 * * TCP * 23 1 128.5.*.* * TCP * 25 2 * * UDP * 43 2 * * UDP * 69 2 * * TCP * 79

FILTROS DE NIVEL DE PAQUETE Un programa de control de puertos sí puede ser una

tontería cuando ya usas un routermultipuesto, puesto que ambos te permiten controlar cuáles puertos han de ser utilizados y cuales otros puertos deben estar bloqueados.

•Pero un cortafuegos va bastante más allá. Un buen cortafuegos también te permitirá controlar las comunicaciones por programas y por protocolos. Por ejemplo, es muy distinto que por el puerto 25 trate de pasar una transmisión SMTP (correo-e) o una transmisión FTP (transferencia de archivos, que normalmente debería ir por el puerto 20/21); por ejemplo, es muy distinto que el puerto 80 (normalmente utilizado para transmitir páginas web) sea utilizado por el navegador o por otro programa (¿un virus o un troyano?). Un routernunca va a controlar estas posibles situaciones irregulares, que esconden bastante peligro potencial.

ESPECIFICACIÓN DE SEGURIDAD Y DE FILTRO DE PAQUETES Para hacer efectivo un muro de seguridad

que se vale del filtrado de datagramas debe restringirse el acceso de todas las fuentes IP, destino IP, protocolos y puertos de protocolos a excepción de las computadoras, redes y servicios que la organización decida explícitamente poner a disposición del exterior. Un filtro de paquetes que permite a un administrador especificar que datagramas admitir en lugar de que datagrama bloquear, puede hacer que las restricciones sean mas fáciles de especificar.

ACCESO DE SERVICIOS A TRAVÉS DE UN MURO DE SEGURIDAD. En general, una organización puede

proporcionar solo acceso seguro hacia servicios del exterior a través de una computadora segura. En lugar de hacer que todas las computadoras del sistema en la organización sea seguras (una tarea desalentadora), una organización por lo general asocia una computadora segura con cada muro de seguridad. Debido a que una computadora debe fortificarse poderosamente para servir como un canal de comunicación seguro, a menudo se le conoce como anfitrión baluarte (bastionhost).

Para permitir un acceso seguro, el muro de seguridad tiene barreras conceptuales. La barra exterior bloquea todo el trafico entrante (1) a datagramas destinados a servicios en el anfitrión baluarte que la organización elige para mantener disponibles al exterior y (2) a datagramas destinados a clientes en el anfitrión baluarte. La barrera de entrada bloquea el trafico entrante excepto datagramas que se originan en el anfitrión baluarte. La mayor parte de los muros de seguridad también incluye una derivación manual que habilita al administrador para derivar temporalmente todo el trafico, o parte de el, entre un anfitrión dentro de la organización y un anfitrión fuera de la organización. En general, las organizaciones que desean una seguridad máxima, nunca habilitan una derivación.

Aun cuando un anfitrión baluarte es esencial para la comunicación a través de un muro de seguridad, la seguridad de dicho muro depende la seguridad en el anfitrión baluarte. Un intruso que abra una grieta en la seguridad en el sistema operativo del anfitrión baluarte puede lograr el acceso del anfitrión dentro del muro de seguridad.

IMPLANATACION ALTERNATIVA DE MURO DE SEGURIDAD. Para evitar las debilidades asociadas al filtrado de

paquetes, los desarrolladores crearon software de aplicación encargados de filtrar las conexiones. Estas aplicaciones son conocidas como Servidores Proxy y la máquina donde se ejecuta recibe el nombre de Gateway de Aplicación o BastionHost. El Proxy, instalado sobre el Nodo Bastión, actúa de intermediario entre el cliente y el servidor real de la aplicación, siendo transparente a ambas partes.

•Cuando un usuario desea un servicio, lo hace a través del Proxy. Este, realiza el pedido al servidor real devuelve los resultados al cliente. Su función fue la de analizar el tráfico de red en busca de contenido que viole la seguridad de la misma.

MONITOREO Y ESTABLECIMIENTO DE CONEXIÓN. El monitoreo es uno de los aspectos mas mas importantes en

el diseño de un muro de seguridad. El administrador de red responsable de un muro de seguridad necesita estar consiente de los riesgos en la seguridad. A menos que se cuente con un reporte de incidentes en un muro de seguridad, el administrador podría no darse cuenta de los problemas que se presenta.

•El monitoreo puede ser activo o pasivo. En el monitoreo activo, un muro de seguridad notifica al administrador todos los incidentes que se presentan. La mayor ventaja del monitoreo activo es la velocidad, un administrador puede tener conocimiento de problemas potenciales de inmediato. La mayor desventaja es que en el monitoreo activo frecuentemente se produce mucha información que un administrador puede no comprender o puede no encontrar en tal información ningún indicio de problemas. Así, la mayoría de los administradores prefieren un monitoreo pasivo con una combinación de monitoreo pasivo con el reporte de unos cuantos incidentes de alto riesgo en lugar de monitoreo activo.

MONITOREO Y ESTABLECIMIENTO DE CONEXIÓN. En el monitoreo pasivo, un muro de seguridad lleva un

registro de cada incidente en un archivo en disco. Un monitoreo pasivo por lo general registra la información del trafico normal ( es decir, como una simple estadística) y los datagramas que se filtran. Un administrador puede ingresar a la bitácora en cualquier momento. La mayor ventaja del monitoreo pasivo radica en que elabora registros de eventos.

Un administrador puede consultar la bitácora para observar las tendencias y, cuando se presente un problema de seguridad, revisar la historia de eventos que conducen a un problema dado. Algo muy importante, un administrador puede analizar la bitácora periódicamente para determinar si los intentos por acceder a la organización se han incrementado o han decrecido con el tiempo.

USO DE UNA VPN

EL FUTURO DE TCPI/IP (IPNG, IPV6) Introducción: La evolución de la tecnología TCP/IP está vinculada

a la evolución de Internet por varias razones En primer lugar, Internet es la red de redes del

TCP/IP instalada más extensa, En segundo lugar, los investigadores e ingenieros

fundadores del TCP/IP tienden a fundar proyectos que le impactan a Internet.

En tercer lugar, la mayoría de los investigadores. participantes en el TCP/IP tienen conexiones con Internet y la utilizan diariamente.

Así pues, tienen una motivación inmediata para resolver problemas que mejorarán el servicio y ampliarán su funcionalidad.

MOTIVOS PARA EL CAMBIO DEL LPV4 La versión 4 del protocolo de Internet (IPv4)

proporciona los mecanismos de comunicación básicos del conjunto TCP/IP y la red global Internet; se ha mantenido casi sin cambio desde su inserción a fines de los años setenta. La antigüedad de la versión 4 muestra que el diseño es flexible y poderoso.

Hubo desempeño en cuanto a: •Procesadores •Tamaño de las memorias •El ancho de banda de la columna vertebral de

la red Internet se ha incrementado •Las tecnologías LAN

De manera simultanea el IP se ha adaptado a los cambios de la tecnologías.

A pesar de su diseño, el IPv4 también debe ser reemplazado. Las principales motivaciones para actualizar el IP: •El inminente agotamiento del espacio de direcciones. •Muchas corporaciones de tamaño mediano tienen varias LAN •Varias de las grandes corporaciones cuentan con una WAN

corporativa

En consecuencia, el espacio de direcciones IP que se usa actualmente no puede adaptarse al crecimiento

proyectado de la red global de Internet. •IPv4 soporta 232, es decir, 4.294.967.296 direcciones de red

diferentes, un número que se está tornando corto dado los numerosos dispositivos con conexión a la red de redes.

•Por el contrario, IPv6 soporta 2128, es decir, 340.282.366.920.938.463.463.374.607.431.768.211.456 o, lo que es lo mismo, 340 sextillonesde direcciones.

Aun cuando la necesidad de un espacio de direcciones extenso está forzando un cambio inmediato en el IP, hay otros factores que también contribuyen. En particular, gran parte de éstos se refieren al soporte de nuevas aplicaciones. Por ejemplo, debido a que el audio y el video en tiempo real necesitan determinadas garantías en los retardos, una nueva versión del IP debe proporcionar un mecanismo que haga posible asociar un datagrama con una reservación de fuente pre asignada.

NOMBRE DEL PRÓXIMO IPFormalmente, se ha decidido que a la próxima versión del IP se le asigne el número de versión 6. Así, para distinguido de la versión actual del IP (IPv4), la próxima generación se llamará IPv6. En el pasado, el término IPngha sido utilizado en un contexto amplio para referirse a todas discusiones y propuestas para una próxima versión del IP, mientras que el término IPv6 se ha utilizado para referirse a una propuesta específica.

CARACTERÍSTICAS DEL IPV6 Direcciones más largas:El IPv6 cuadruplica el tamaño de

las, direcciones del IPv4, va de 32 bits a 128 bits. •Formato de encabezados flexible: El IPv6 utiliza un

formato de datagrama incompatible y completamente nuevo.

•Opciones mejoradas: Como el IPv4, el IPv6 permite que un datagrama incluya información de control opcional.

•Soporte para asignación de recursos:El IPv6 reemplaza la especificación del tipo de servicio del IPv4 con un mecanismo que permite la pre asignación de recursos de red.

•Provisión para extensión de protocolo:Posiblemente el cambio más significativo en el IPv6 es el cambio de un protocolo que especifica completamente todos los detalles a un protocolo que puede permitir características adicionales.

REPRESENTACIÓN DE DIRECCIONES IPV6 La representación de las direcciones IPv6 sigue el

siguiente esquema: x:x:x:x:x:x:x:x donde “x” es un valor hexadecimal de 16 bits. Por ejemplo una dirección IPv6 sería: FEDC:BA98:7654:3210:FEDC:BA98:7654:3210 Hay que tener en cuenta que se pueden omitir los ceros a

la izquierda de cada campo de la dirección, por ejemplo: 1080:0:0:0:8:800:200C:417A Cuando hay más de dos grupos consecutivos de ceros se

pueden comprimirse con “::” 1080::8:800:200C:417A Si la dirección tiene más de una serie de grupos nulos

consecutivos la compresión sólo se permite en uno de ellos.

La dirección de auto-retorno o localhostsería ::1

FORMA GENERAL DE UN DATAGRAMA IPV6 Figura:Forma general de un datagrama

IPv6 con varios encabezados. Sólo el encabezado base es indispensable, los encabezados de extensión son opcionales.Cada datagrama IPv6 comienza con un encabezado base octetos que incluye campos para las direcciones de fuente destino, el límite máximo de saltos, la etiqueta de flujo y el próximo encabezado. Así, un datagrama IPv6 debe contener cuando menos 40 octetos además de los datos.

ENCABEZADO DE EXTENSION DE TCP IP Encabezados de extensión del IPv6 El paradigma de un encabezado base fijo

seguido por un conjunto de encabezados de extensión opcionales se eligió como un compromiso entre la generalidad y la eficiencia. Para ser totalmente general, el IPv6 necesita incluir mecanismos para soportar funciones como la fragmentación, el ruteo de fuente y la autenticación. Sin embargo, elegir la asignación de campos fijos en el encabezado de datagrama para todos los mecanismos es ineficiente pues la mayor parte de los datagramas no utiliza todos los, mecanismos. El gran tamaño de las direcciones IPv6 aumenta la ineficiencia.

FRAGMENTACION Y REENSAMBLAJE EN TCP IP Como el IPv4, el IPv6 prepara el destino final para

realizar el reensamblajede datagramas. Sin embargo, los diseñadores tomaron una decisión poco usual respecto a la fragmentación. Recordemos que el IPv4 requiere un ruteadorintermedio para fragmentar cualquier datagrama que sea demasiado largo para la MTU (MaximumTransfer Unit) de la red en la que viaja. En el IPv6, la fragmentación está restringida a la fuente original. Antes de enviar tráfico de información, una fuente debe realizar una técnica de PathMTU Discovery(descubrir la MTU de la ruta) para identificar la MTU mínima a lo largo de la trayectoria hasta el destino. Antes de enviar un datagrama, la fuente fragmenta el datagrama de manera que cada fragmento sea menor que el PathMTU. Así, la fragmentación es de extremo a extremo; no son necesarias fragmentaciones adicionales en ruteadoresintermedios.

RUTEAMIENTO DE ORIGEN DEL IPV6El IPv6 conserva la capacidad de un emisor para especificar una ruta fuente. A diferencia del IPv4, en el que el ruteo de fuente se proporciona mediante opciones, el IPv6 utiliza un encabezado de extensión separado.

TRES TIPOS BÁSICOS DE DIRECCIÓN IPV6 Como el IPv4, el IPv6 asocia una dirección con

una conexión de red específica, no con una computadora específica. Así, la asignación de direcciones es similar para el IPv4: un ruteadorIPv6 tiene dos o más direcciones, y un anfitrión IPv6, con una conexión de red, necesita sólo una dirección. El IPv6 también conserva (y extiende) la jerarquía de direcciones del IPv4 en la que una red física es asignada a un prefijo. Sin embargo, para hacer la asignación de direcciones y la modificación más fácil, el IPv6 permite que varios prefijos sean asignados a una red dada y que una computadora tenga varias direcciones simultáneas asignadas hacia una interfaz determinada.

Además de permitir varias direcciones simultáneas por conexión de red, el IPv6 expande y, en algunos casos, unifica las direcciones especiales del IPv4. En general, una dirección de destino en un datagrama cae dentro de una de tres categorías:

UnidifusiónLa dirección de destino especifica una sola computadora (anfitrión o ruteador); el datagrama deberá rutearsehacia el destino a lo largo de la trayectoria más corta. (como la IPv4)

Grupo El destino es un conjunto de computadoras en el que todas comparten un solo prefijo de dirección (por ejemplo, si están conectadas a la misma red física); el datagrama deberá rutearsehacia el grupo a través de la trayectoria más corta y, después, entregarse exactamente a un miembro del grupo (por ejemplo, el miembro más cercano).

MultidifusiónEl destino es un conjunto de computadoras, posiblemente en múltiples localidades. Una copia del datagrama deberá entregarse a cada miembro del grupo que emplee hardware de multidifusión o de difusión si están disponibles

ASIGNACIÓN PROPUESTA DE ESPACIO DE DIRECCIÓN IPV6 La cuestión sobre cómo dividir el espacio de direcciones ha generado

muchas discusiones. Hay dos temas centrales: cómo administrar la asignación de direcciones y cómo transformar una dirección en una ruta.

•El primer temase enfoca en el problema práctico de construir una jerarquía de autoridad.

•A diferencia de la Internet actual, la cual utiliza una jerarquía de dos niveles de prefijos de red (asignados por la autoridad de Internet) y sufijos de anfitrión (asignados por la organización), el gran espacio de direcciones en el IPv6 permite una jerarquía de multiniveles o jerarquías múltiples.

•El segundo temase enfoca en la eficiencia computacional. Independientemente de la jerarquía de autoridad que asigne direcciones, un ruteadordebe examinar cada datagrama y elegir una trayectoria hacia el destino. Para mantener bajo el costo de los ruteadoresde alta velocidad, el tiempo de procesamiento requerido para elegir una trayectoria debe mantenerse bajo.

•Como se muestra en la siguiente figura, los diseñadores del IPv6 proponen asignar clases de direcciones en forma similar al esquema utilizado por el IPv4. Aun cuando los ocho primeros bits de una dirección son suficientes para especificar su tipo, el espacio de direcciones no se divide en secciones de igual tamaño

CODIFICACIÓN Y TRANSICIÓN DE LA DIRECCIÓN IPV4 (I) Observe de la figura anterior que alrededor del 72% del

espacio de direcciones ha sido reservado para usos futuros, no incluyendo la sección reservada para direcciones geográficas. Aun cuando el prefijo 0000 0000 tiene el nombre reservado en la figura, los diseñadores planean usar una pequeña fracción de direcciones en esta sección para codificar direcciones IPv4.

En particular, cualquier dirección que comience con 80 bits puestos a cero, seguidos por 16 bits puestos a 1 o 16 bits puestos todos a cero, contiene una dirección IPv4 en los 32 bits de orden inferior. La codificación será necesaria durante la transición del IPv4 al IPv6 por dos razones:

1.una computadora puede elegir actualizar su software de IPv4 como IPv6 antes de tener asignada una dirección IPv6 válida.

2.una computadora que corra software IPv6 puede necesitar comunicarse con una computadora que corra sólo software IPv4.

CODIFICACIÓN Y TRANSICIÓN DE LA DIRECCIÓN IPV4 (II) Teniendo una forma de codificar una dirección

IPv4 en una dirección IPv6 no se resuelve el problema de lograr que las dos versiones interoperen. Además de la codificación de direcciones, es necesaria la traducción. Para utilizar un traductor, una computadora IPv6 genera un datagrama que contiene la codificación IPv6 de la dirección de destino IPv4. La computadora IPv6 envía el datagrama hacia un traductor, el cual utiliza IPv4 para comunicarse con el destino. Cuando el traductor recibe una réplica desde el destino, traduce el datagrama IPv4 a IPv6 y lo envía de regreso a la fuente IPv6.

CODIFICACIÓN Y TRANSICIÓN DE LA DIRECCIÓN IPV4 (III) Parecería como si el protocolo de traducción de

direcciones fallara debido a que las capas superiores de los protocolos verifican la integridad de las direcciones. En particular, el TCP y el UDP utilizan un pseudoencabezado en su cálculo para la suma de verificación. El pseudoencabezado incluye la dirección del protocolo de la fuente y el destino, cambiar estas direcciones puede afectar el cálculo. Sin embargo los diseñadores planearon cuidadosamente que el TCP o el UDP en una máquina IPv4 se pudieran comunicar con el correspondiente protocolo de transporte en una máquina IPv6.

•Para evitar errores en la suma de verificación, la codificación IPv6 de una dirección IPv4 ha sido elegida de manera que el complemento a uno de los 16 bits de la suma de verificación para una dirección IPv4 y la codificación IPv6 de la dirección sean idénticos.

CODIFICACIÓN Y TRANSICIÓN DE LA DIRECCIÓN IPV4 (IV) Además de seleccionar detalles técnicos

de un nuevo protocolo de Internet, el IETF que trabaja en el IPngse ha enfocado en encontrar una forma de transición del protocolo actual al protocolo nuevo.

En particular, la propuesta actual para el IPv6 permite codificar una dirección IPv4 en lugar de una dirección IPv6, de manera que la traducción de la dirección no cambie la suma de la verificación del pseudo encabezado.

PROVEEDORES, SUSCRIPTORES Y JERARQUÍA DE DIRECCIONES Un ejemplo ayudará a entender cómo concibieron los diseñadores el uso

de las direcciones IPv6. Consideremos la compañía Network Access Provider(NAP). Dicha compañía ofrece a sus clientes conectividad hacia Internet, a tales clientes los llamaremos suscriptores. Para permitir que cada proveedor asigne direcciones, la autoridad de Internet asigna a cada proveedor un identificador único. El proveedor puede entonces asignar a cada suscriptor un identificador único y utilizar ambos identificadores cuando asigne un bloque de direcciones.

•Como se muestra en la figura superior , cada prefijo sucesivamente más largo tiene un nombre. La cadena inicial 010 identifica la dirección como el tipo de asignación del proveedor. Para cada dirección, el prefijo de proveedor incluye el tipo de dirección más el ID del proveedor. El prefijo de suscriptor cubre el prefijo del proveedor más el ID del suscriptor. Por último, el prefijo de subred incluye el prefijo de suscriptor más la información de subred.

•Los campos en la figura están dibujados a escala. Por ejemplo, aun cuando los prefijos de direcciones parecen grandes en la figura, ocupan sólo tres de 128 bits. Los diseñadores recomiendan que el campo ID del nodo contenga por lo menos 48 bits para permitir que se utilice el direccionamiento de tipo 802 de IEEE. Así, será posible para un nodo IPv6 usar su dirección Ethernet como su ID de nodo.

JERARQUÍA ADICIONALAunque el formato de direcciones mostrado arriba implica una jerarquía de cuatro niveles, una organización puede introducir niveles adicionales dividiendo el campo SubnetID en varios campos. •Por ejemplo, una organización puede elegir subdividir su subred en áreas y asignar subredes dentro de las áreas. Hacer esto es similar al esquema de direccionamiento de subred del IPv4, en el que la porción del anfitrión de una dirección es dividida en dos partes. El amplio espacio de direccionamiento del IPv6 permite la división en muchas partes

RESUMEN Ni la red global Internet ni los protocolos TCP/IP son estáticos. A través

de su Engineering Task Forcé, la Internet Architecture Board se mantiene activa y realiza esfuerzos que hacen que la tecnología evolucione y mejore. Los procesos que conducen al cambio se manifiestan como un incremento en el tamaño y en la carga que obliga a mejorar los recursos para mantener el servicio, como aplicaciones nuevas que demandan más de la tecnología subyacente y como tecnologías nuevas que hacen posible proporcionar nuevos servicios.

•Un esfuezo para definir la próxima generación de protocolo de Internet (IPng) ha generado una gran polémica y varias propuestas. Ha surgido un acuerdo de IETF para adoptar una propuesta conocida como Simple IP Plus como estándar para el IPng. Debido que se deberá asignar el número de versión 6, el protocolo propuesto se conoce a menudo como IPv6 para distinguirlo del protocolo actual, IPv4.

•El IPv6 conserva muchos de los conceptos básicos del IPv4, pero cambia la mayor parte de los detalles. Como el IPv4, el IPv6 proporciona un servicio de entrega de datagramas sin conexión, con el mejor esfuerzo. Sin embargo el formato del datagrama IPv6 es completamente diferente del formato IPv4, y el IPv6 proporciona características nuevas como la autenticación, un mecanismo para flujos controlados de datagramas y soporte para seguridad.

•El IPv6 revisa cada datagrama como una serie de encabezados seguidos por datos. Un data-grama siempre comienza con un encabezado base de 40 octetos, el cual contiene la dirección de fuente y destino y un identificador de flujo. El encabezado base puede estar seguido de ceros o por más encabezados de extensión, seguidos por datos. Los encabezados de extensión son opcionales —el IPv6 los utiliza para manejar gran parte de la información que el IPv4 codifica en opciones.

•Una dirección IPv6 tiene una longitud de 128 bits, lo que hace que el espacio de dirección sea tan largo que cada persona en el planeta podría tener una red de redes tan extensa como la Internet actual. El IPv6 divide las direcciones en tipos en forma análoga a como el IPv4 las divide en clases. Un prefijo de la dirección determina la localización y la interpretación de los campos de dirección restantes. Muchas direcciones IPv6 serán asignadas por proveedores de servicio de red autorizados, dichas direcciones tienen campos que contienen un ID de proveedor, un ID de suscriptor, un ID de subred y un ID de nodo

FIN

Trabajo realizado por:

Carmen Labrador Gayo.