Seguridad en redes: conceptos básicos, autenticación, privacidad y control de acceso
1.
2. Como en las cerraduras utilizadas para ayudar a mantener
seguras las propiedades, las computadoras y las redes de
datos necesitan de ciertas precauciones que ayuden a
mantener segura la información. La seguridad en un
ambiente de red de redes es importante y difícil de lograr.
Es importante pues la información tiene un valor
significativo (puede comprarse y venderse o ser
utilizada para crear productos y servicios nuevos que
proporcionan grandes ganancias).
La seguridad en una red de redes resulta algo difícil debido
a que implica entender cuando y como pueden confiar los
usuarios participantes, las computadoras, los servicios y
las redes, uno en otro, también implica entender los
detalles técnicos del hardware y los protocolos de red.
Vamos a revisar los conceptos y la terminología básica
para implementar servicios de seguridad.
3. Los términos seguridad de red y seguridad de
información se refieren en sentido amplio, a la
confianza de que la información y los servicios
disponibles en una red no puedan ser accedidos
por usuarios no autorizados.. Seguridad implica
confianza, integridad de los datos, confianza en que
los recursos computacionales están libres de
intromisiones.
•Proporcionar seguridad para la información requiere
protección tanto para los recursos físicos como los
lógicos. Los recursos físicos incluyen dispositivos de
almacenamiento como cintas y discos así como las
computadoras. En un ambiente de red la seguridad
física se extiende a los cables ruteadores y puentes
que comprenden la infraestructura de la red.
4. •La protección de recursos lógicos como la información es más
difícil que la seguridad física, dado que la información puede
copiarse conforme pasa a través de una red, la protección
debe prevenir también lecturas no autorizadas.
•Algo a tener en cuenta es establecer los niveles de
utilización tanto para los recursos físicos y mas aun para los
recursos lógicos, estos se deben limitar a los usuarios
correspondientes y no ser accedidos por personal no
relacionado a la información. Por ejemplo información
contable solo sea accedida por el departamento de
contabilidad.
5. •Antes de que una organización implante un proyecto
de seguridad de red, la organización debe asumir
riesgos y desarrollar una política
clara, considerando los accesos de información y
protección.
•Las políticas necesitan especificar quienes tendrán
garantizado el acceso a cada parte de la información
deben establecerse las reglas individuales a
seguir, se debe difundir la información hacia todo
el conjunto y establecer las formas en la que la
organización reaccionara antes las transgresiones.
•Los empleados no deben ignorar esta política ya que
las personas son por lo general el punto más
susceptible de cualquier esquema de seguridad. Un
trabajador descuidado o ignorante de las políticas
de información de la organización puede
comprometer la seguridad.
6. •Las organizaciones normalmente tienen contactos
con organizaciones externas cuando sucede esto
la ultima disposición de la información depende
de las políticas de las organizaciones por los
cuales pasara la información.
•Una organización no puede conocer el efecto de
comunicarse e interactuar con otras a menos que
las dos organizaciones acuerden un nivel de
confianza reciproco.
•Este problema se agudiza ya que la información
viaja a través de la red que pasa a través de
puentes y ruteadores, de organizaciones que
no son parte ni del emisor ni del receptor.
7. Los problemas de seguridad en las red y los
mecanismos de software que ayudan a que la
comunicación en la red de redes sea
segura, se pueden dividir en términos
generales en tres conjuntos.
1.El primer conjunto se enfoca en los
problemas de autorización, autenticación e
integridad.
2.El segundo se enfoca al problema de la
privacidad
3.y el tercero al problema de la disponibilidad
mediante el control de acceso.
8. Los mecanismos de autenticación resuelven el problema de verificar la
identificación, es el caso por ejemplo de muchos servidores los cuales
verifican que el cliente este autorizado antes de prestar algún servicio.
9. Una forma débil de autentificación por dirección IP donde
,
un administrador configura una lista de configuraciones IP
validas. El servidor se basa en esta lista para brindar
servicios a los clientes. La autenticación de fuente IP es
débil porque se puede romper fácilmente. En una red de
redes en la que los datagramas pasan a través de
ruteadores y redes intermedias, la autenticación de fuente
puede ser atacada desde una de las maquinas intermedias.
Por ejemplo supongamos que un impostar logra controlar
un ruteador R que esta localizado entre un cliente valido y
el servidor, el impostor altera las rutas en R dirigiendo el
tráfico hacia su computador y que siga su trayecto
original, de este modo ni el servidor ni el cliente
detectaran al intruso.
•También se puede dar la forma inversa dado que un
impostor puede interceptar el tráfico que va desde el
cliente al servidor.
10.
11. •Para solucionar este problema se trata de proporcionar un
servicio confiable que consiste en un sistema de cifrado de
clave pública. Para poder utilizar este sistema a cada
participante se le debe asignar dos claves que son
utilizadas para codificar y descodificar un mensaje. Cada
clave es un entero largo. Un participante publica una
clave, llamada clave publica, en una base de datos publica
y conserva la otra clave en secreto. Un mensaje se codifica
mediante una clave que se puede decodificar utilizando la
otra. Por ejemplo si un emisor emplea una clave secreta
para codificar un mensaje, un receptor puede utilizar la
clave pública del emisor para decodificar el mismo.
Además conocer la clave pública no hace más fácil adivinar
o calcular la clave secreta. Así si un mensaje se decodifica
de manera correcta por medio de la clave publica de un
propietario, debe codificarse por medio de la clave privada
del propietario. Un cliente y un servidor que utilicen este
servicio pueden estar razonablemente seguros de que su
interlocutor es autentico.
12. Elcifrado también puede manejar problemas
de privacidad. Por ejemplo, si un emisor y un
receptor utilizan un esquema de cifrado de
clave publica, el emisor puede garantizar
que solo el receptor involucrado pueda leer
el mensaje. Para ello el emisor utiliza la
clave pública del receptor para codificar el
mensaje y el receptor su clave privada para
decodificar el mensaje. Dado que el receptor
es el único que tiene la clave privada nadie
mas podrá descodificar el mensaje.
13. Los mecanismos que controlan el acceso a la red de redes
manejan el problema de filtrado hacia una organización o red en
particular de las comunicaciones no previstas. Estos mecanismos
pueden ayudar a prevenir a la organización sobre la obtención de
información con respecto al exterior, el cambio de información o
la interrupción de comunicaciones en la red de redes por lo
general requieren cambios en componentes básicos de la
infraestructura de la red de redes. En particular, un exitoso
control de acceso requiere de una combinación cuidados de
restricciones en la topología de red, en el almacenamiento
intermedio de la información y en el filtrado de paquetes.
Una sola técnica ha emergido como la base para el control de
acceso a la red de redes. La técnica se instala un bloque
conocido como muro de seguridad (firewall) en la entrada hacia
la parte de la red de redes que será protegida. Por ejemplo, una
organización puede colocar u muro de seguridad en su conexión
de la red global de Internet para protegerse de intromisiones
indeseables. Un muro de seguridad divide una red de redes en
dos regiones, conocidas como el interior y el exterior
14. Aun cuando la imagen conceptual parece sencilla, los detalles de implementación
son complicados. En particular la red de redes de una organización puede tener
varias conexiones externas. Por ejemplo, si una compañía tiene una columna
vertebral de red de área amplia corporativa que conecta a las localidades de la
corporación en varias ciudades o países, el administrador de red en una localidad
determinada, puede elegir conectar la localidad directamente a un local de
negocios o una universidad. Las conexiones externas múltiples plantean un problema
de seguridad especial. La organización debe formar un perímetro de seguridad
instalando un muro de seguridad en cada conexión externa. Algo muy importante
para garantizar que este perímetro es efectivo, la organización debe coordinar
todos los muros de seguridad para que utilicen exactamente las mismas
restricciones de accesos. De otra manera, podría ser posible evadir las restricciones
impuestas a un muro de seguridad entrando en la red de redes de la organización a
través de otro.
Alguien que intente atacar a la red lo hará por su punto mas débil, es decir por el
muro de seguridad que no este bien cuidado. Esto hace referencia a la idea de que
un sistema de seguridad es tan fuerte como su eslabón más débil, conocido como el
axioma del eslabón más débil.
Coordinar múltiples muros de seguridad puede resultar difícil, ya que las
restricciones que se tendrán en una localidad pueden no parecer importantes en
otras, por esto los responsables de los muros de seguridad de la red de redes deben
coordinar sus esfuerzos cuidadosamente.
15. ¿Cómo debe implantarse un muro de seguridad? En teoría, un
muro de seguridad sencillamente bloquea todas las
comunicaciones no autorizadas entre computadoras en la
organización y computadoras de organizaciones externas. No
existe una solución que funcione para todas las organizaciones;
construir un muro de seguridad a la medida y efectivo puede ser
muy difícil.
Una de las dificultades en la construcción de un muro de
seguridad consiste en el poder de procesamiento que se requiere.
Este necesita el suficiente poder computacional para examinar
todos los mensajes que entran y salen. Dado que es necesario
examinar cada datagrama de viaja entre la red interna y
externa, el muro de seguridad de la organización debe manejar
los datagramas a la misma velocidad que la conexión. Además, si
un muro de seguridad retarda los datagramas en un búfer
mientras decide si permite la transferencia, el muro de seguridad
puede verse abrumado con las retrasmisiones y el búfer se
estancará.
16. ##Establecemos politicapor defecto:
DROPiptables-P INPUT DROPiptables-P
OUTPUT DROPiptables-P FORWARD DROP##
Empezamos a filtrar? no! empezamos a abrir!
porque ahora esta TODO denegado.##
Debemos decir de manera explicita qué es lo
que queremos abrir
17. En el ejemplo, el administrador ha elegido bloquear datagramas
entrantes destinados a unos cuantos servicios conocidos y
bloquear un caso de datagrama que salen. El filtro bloquea todos
los datagramas que salen y que se originan desde cualqeuir
anfitrion en la red de clase B 128.5.0.0 está destinado a un
servidor de correo electronico remoto (TCP 25). El filtro tambien
bloquea datagramas entrantes destinados a FTP (TCP 21) TELNET
( TCP 23) WHOIS (UDP 41) TFTP (UDP 69) o FINGER (TCP 79)
LLEGADA A LA INTERFAZ FUENTE IP DESTINO IP
PROTOCOLO PUERTO FUENTE PUERTO DESTINO
2 * ^* TCP * 21
2 * * TCP * 23
1 128.5.*.** TCP * 25
2 * * UDP * 43
2 * * UDP * 69
2 * * TCP * 79
18. Un programa de control de puertos sí puede ser una
tontería cuando ya usas un routermultipuesto, puesto que
ambos te permiten controlar cuáles puertos han de ser
utilizados y cuales otros puertos deben estar bloqueados.
•Pero un cortafuegos va bastante más allá. Un buen
cortafuegos también te permitirá controlar las
comunicaciones por programas y por protocolos. Por
ejemplo, es muy distinto que por el puerto 25 trate de
pasar una transmisión SMTP (correo-e) o una transmisión
FTP (transferencia de archivos, que normalmente debería
ir por el puerto 20/21); por ejemplo, es muy distinto que
el puerto 80 (normalmente utilizado para transmitir
páginas web) sea utilizado por el navegador o por otro
programa (¿un virus o un troyano?). Un routernunca va a
controlar estas posibles situaciones irregulares, que
esconden bastante peligro potencial.
19. Para hacer efectivo un muro de seguridad que se
vale del filtrado de datagramas debe restringirse
el acceso de todas las fuentes IP, destino
IP, protocolos y puertos de protocolos a
excepción de las computadoras, redes y servicios
que la organización decida explícitamente poner
a disposición del exterior. Un filtro de paquetes
que permite a un administrador especificar que
datagramas admitir en lugar de que datagrama
bloquear, puede hacer que las restricciones sean
mas fáciles de especificar.
20. Engeneral, una organización puede
proporcionar solo acceso seguro hacia
servicios del exterior a través de una
computadora segura. En lugar de hacer que
todas las computadoras del sistema en la
organización sea seguras (una tarea
desalentadora), una organización por lo
general asocia una computadora segura con
cada muro de seguridad. Debido a que una
computadora debe fortificarse
poderosamente para servir como un canal de
comunicación seguro, a menudo se le conoce
como anfitrión baluarte (bastionhost).
21. Para permitir un acceso seguro, el muro de seguridad
tiene barreras conceptuales. La barra exterior bloquea
todo el trafico entrante (1) a datagramas destinados a
servicios en el anfitrión baluarte que la organización
elige para mantener disponibles al exterior y (2) a
datagramas destinados a clientes en el anfitrión
baluarte. La barrera de entrada bloquea el trafico
entrante excepto datagramas que se originan en el
anfitrión baluarte. La mayor parte de los muros de
seguridad también incluye una derivación manual que
habilita al administrador para derivar temporalmente
todo el trafico, o parte de el, entre un anfitrión dentro
de la organización y un anfitrión fuera de la
organización. En general, las organizaciones que
desean una seguridad máxima, nunca habilitan una
derivación.
Aun cuando un anfitrión baluarte es esencial para la
comunicación a través de un muro de seguridad, la
seguridad de dicho muro depende la seguridad en el
anfitrión baluarte. Un intruso que abra una grieta en
la seguridad en el sistema operativo del anfitrión
baluarte puede lograr el acceso del anfitrión dentro
del muro de seguridad.
22. Para evitar las debilidades asociadas al filtrado de
paquetes, los desarrolladores crearon software de
aplicación encargados de filtrar las conexiones. Estas
aplicaciones son conocidas como Servidores Proxy y la
máquina donde se ejecuta recibe el nombre de
Gateway de Aplicación o BastionHost. El
Proxy, instalado sobre el Nodo Bastión, actúa de
intermediario entre el cliente y el servidor real de la
aplicación, siendo transparente a ambas partes.
•Cuando un usuario desea un servicio, lo hace a
través del Proxy. Este, realiza el pedido al servidor
real devuelve los resultados al cliente. Su función fue
la de analizar el tráfico de red en busca de contenido
que viole la seguridad de la misma.
23. El monitoreo es uno de los aspectos mas mas importantes en el
diseño de un muro de seguridad. El administrador de red
responsable de un muro de seguridad necesita estar consiente de
los riesgos en la seguridad. A menos que se cuente con un reporte
de incidentes en un muro de seguridad, el administrador podría
no darse cuenta de los problemas que se presenta.
•El monitoreo puede ser activo o pasivo. En el monitoreo
activo, un muro de seguridad notifica al administrador todos los
incidentes que se presentan. La mayor ventaja del monitoreo
activo es la velocidad, un administrador puede tener
conocimiento de problemas potenciales de inmediato. La mayor
desventaja es que en el monitoreo activo frecuentemente se
produce mucha información que un administrador puede no
comprender o puede no encontrar en tal información ningún
indicio de problemas. Así, la mayoría de los administradores
prefieren un monitoreo pasivo con una combinación de monitoreo
pasivo con el reporte de unos cuantos incidentes de alto riesgo
en lugar de monitoreo activo.
24. En el monitoreo pasivo, un muro de seguridad lleva
un registro de cada incidente en un archivo en disco.
Un monitoreo pasivo por lo general registra la
información del trafico normal ( es decir, como una
simple estadística) y los datagramas que se filtran.
Un administrador puede ingresar a la bitácora en
cualquier momento. La mayor ventaja del monitoreo
pasivo radica en que elabora registros de eventos.
Un administrador puede consultar la bitácora para
observar las tendencias y, cuando se presente un
problema de seguridad, revisar la historia de eventos
que conducen a un problema dado. Algo muy
importante, un administrador puede analizar la
bitácora periódicamente para determinar si los
intentos por acceder a la organización se han
incrementado o han decrecido con el tiempo.
25.
26.
27.
28. Introducción:
La evolución de la tecnología TCP/IP está vinculada a
la evolución de Internet por varias razones
En primer lugar, Internet es la red de redes del
TCP/IP instalada más extensa,
En segundo lugar, los investigadores e ingenieros
fundadores del TCP/IP tienden a fundar proyectos
que le impactan a Internet.
En tercer lugar, la mayoría de los investigadores.
participantes en el TCP/IP tienen conexiones con
Internet y la utilizan diariamente.
Así pues, tienen una motivación inmediata para
resolver problemas que mejorarán el servicio y
ampliarán su funcionalidad.
29. La versión 4 del protocolo de Internet (IPv4)
proporciona los mecanismos de comunicación
básicos del conjunto TCP/IP y la red global
Internet; se ha mantenido casi sin cambio desde
su inserción a fines de los años setenta. La
antigüedad de la versión 4 muestra que el diseño
es flexible y poderoso.
Hubo desempeño en cuanto a:
•Procesadores
•Tamaño de las memorias
•El ancho de banda de la columna vertebral de
la red Internet se ha incrementado
•Las tecnologías LAN
30. De manera simultanea el IP se ha adaptado a los cambios de la
tecnologías.
A pesar de su diseño, el IPv4 también debe ser reemplazado.
Las principales motivaciones para actualizar el IP:
•El inminente agotamiento del espacio de direcciones.
•Muchas corporaciones de tamaño mediano tienen varias LAN
•Varias de las grandes corporaciones cuentan con una WAN
corporativa
En consecuencia, el espacio de direcciones IP
que se usa actualmente no puede adaptarse al crecimiento
proyectado de la red global de Internet.
•IPv4 soporta 232, es decir, 4.294.967.296 direcciones de red
diferentes, un número que se está tornando corto dado los
numerosos dispositivos con conexión a la red de redes.
•Por el contrario, IPv6 soporta 2128, es
decir, 340.282.366.920.938.463.463.374.607.431.768.211.456
o, lo que es lo mismo, 340 sextillonesde direcciones.
31. Aun cuando la necesidad de un espacio de direcciones extenso
está forzando un cambio inmediato en el IP, hay otros factores
que también contribuyen. En particular, gran parte de éstos se
refieren al soporte de nuevas aplicaciones. Por ejemplo, debido
a que el audio y el video en tiempo real necesitan determinadas
garantías en los retardos, una nueva versión del IP debe
proporcionar un mecanismo que haga posible asociar un
datagrama con una reservación de fuente pre asignada.
32. Formalmente, se ha decidido que a la próxima versión del IP se le
asigne el número de versión 6. Así, para distinguido de la versión
actual del IP (IPv4), la próxima generación se llamará IPv6. En el
pasado, el término IPngha sido utilizado en un contexto amplio
para referirse a todas discusiones y propuestas para una próxima
versión del IP, mientras que el término IPv6 se ha utilizado para
referirse a una propuesta específica.
33. Direcciones más largas:El IPv6 cuadruplica el tamaño de
las, direcciones del IPv4, va de 32 bits a 128 bits.
•Formato de encabezados flexible: El IPv6 utiliza un
formato de datagrama incompatible y completamente
nuevo.
•Opciones mejoradas: Como el IPv4, el IPv6 permite que
un datagrama incluya información de control opcional.
•Soporte para asignación de recursos:El IPv6 reemplaza la
especificación del tipo de servicio del IPv4 con un
mecanismo que permite la pre asignación de recursos de
red.
•Provisión para extensión de protocolo:Posiblemente el
cambio más significativo en el IPv6 es el cambio de un
protocolo que especifica completamente todos los detalles
a un protocolo que puede permitir características
adicionales.
34. La representación de las direcciones IPv6 sigue el siguiente
esquema:
x:x:x:x:x:x:x:x
donde “x” es un valor hexadecimal de 16 bits.
Por ejemplo una dirección IPv6 sería:
FEDC:BA98:7654:3210:FEDC:BA98:7654:3210
Hay que tener en cuenta que se pueden omitir los ceros a
la izquierda de cada campo de la dirección, por ejemplo:
1080:0:0:0:8:800:200C:417A
Cuando hay más de dos grupos consecutivos de ceros se
pueden comprimirse con “::”
1080::8:800:200C:417A
Si la dirección tiene más de una serie de grupos nulos
consecutivos la compresión sólo se permite en uno de
ellos.
La dirección de auto-retorno o localhostsería ::1
35. Figura:Forma general de un datagrama IPv6
con varios encabezados. Sólo el encabezado
base es indispensable, los encabezados de
extensión son opcionales.Cada datagrama
IPv6 comienza con un encabezado base
octetos que incluye campos para las
direcciones de fuente destino, el límite
máximo de saltos, la etiqueta de flujo y el
próximo encabezado. Así, un datagrama IPv6
debe contener cuando menos 40 octetos
además de los datos.
36. Encabezados de extensión del IPv6
El paradigma de un encabezado base fijo seguido
por un conjunto de encabezados de extensión
opcionales se eligió como un compromiso entre
la generalidad y la eficiencia. Para ser
totalmente general, el IPv6 necesita incluir
mecanismos para soportar funciones como la
fragmentación, el ruteo de fuente y la
autenticación. Sin embargo, elegir la asignación
de campos fijos en el encabezado de datagrama
para todos los mecanismos es ineficiente pues la
mayor parte de los datagramas no utiliza todos
los, mecanismos. El gran tamaño de las
direcciones IPv6 aumenta la ineficiencia.
37. Como el IPv4, el IPv6 prepara el destino final para realizar
el reensamblajede datagramas. Sin embargo, los
diseñadores tomaron una decisión poco usual respecto a la
fragmentación. Recordemos que el IPv4 requiere un
ruteadorintermedio para fragmentar cualquier datagrama
que sea demasiado largo para la MTU (MaximumTransfer
Unit) de la red en la que viaja. En el IPv6, la
fragmentación está restringida a la fuente original. Antes
de enviar tráfico de información, una fuente debe realizar
una técnica de PathMTU Discovery(descubrir la MTU de la
ruta) para identificar la MTU mínima a lo largo de la
trayectoria hasta el destino. Antes de enviar un
datagrama, la fuente fragmenta el datagrama de manera
que cada fragmento sea menor que el PathMTU. Así, la
fragmentación es de extremo a extremo; no son necesarias
fragmentaciones adicionales en ruteadoresintermedios.
38. El IPv6 conserva la capacidad de un emisor para especificar una
ruta fuente. A diferencia del IPv4, en el que el ruteo de fuente
se proporciona mediante opciones, el IPv6 utiliza un encabezado
de extensión separado.
39. Como el IPv4, el IPv6 asocia una dirección con
una conexión de red específica, no con una
computadora específica. Así, la asignación de
direcciones es similar para el IPv4: un
ruteadorIPv6 tiene dos o más direcciones, y un
anfitrión IPv6, con una conexión de red, necesita
sólo una dirección. El IPv6 también conserva (y
extiende) la jerarquía de direcciones del IPv4 en
la que una red física es asignada a un prefijo. Sin
embargo, para hacer la asignación de
direcciones y la modificación más fácil, el IPv6
permite que varios prefijos sean asignados a una
red dada y que una computadora tenga varias
direcciones simultáneas asignadas hacia una
interfaz determinada.
40. Además de permitir varias direcciones simultáneas por conexión
de red, el IPv6 expande y, en algunos casos, unifica las
direcciones especiales del IPv4. En general, una dirección de
destino en un datagrama cae dentro de una de tres categorías:
UnidifusiónLa dirección de destino especifica una sola
computadora (anfitrión o ruteador); el datagrama deberá
rutearsehacia el destino a lo largo de la trayectoria más corta.
(como la IPv4)
Grupo El destino es un conjunto de computadoras en el que
todas comparten un solo prefijo de dirección (por ejemplo, si
están conectadas a la misma red física); el datagrama deberá
rutearsehacia el grupo a través de la trayectoria más corta
y, después, entregarse exactamente a un miembro del grupo
(por ejemplo, el miembro más cercano).
MultidifusiónEl destino es un conjunto de
computadoras, posiblemente en múltiples localidades. Una
copia del datagrama deberá entregarse a cada miembro del
grupo que emplee hardware de multidifusión o de difusión si
están disponibles
41. La cuestión sobre cómo dividir el espacio de direcciones ha generado
muchas discusiones. Hay dos temas centrales: cómo administrar la
asignación de direcciones y cómo transformar una dirección en una ruta.
•El primer temase enfoca en el problema práctico de construir una
jerarquía de autoridad.
•A diferencia de la Internet actual, la cual utiliza una jerarquía de dos
niveles de prefijos de red (asignados por la autoridad de Internet) y
sufijos de anfitrión (asignados por la organización), el gran espacio de
direcciones en el IPv6 permite una jerarquía de multiniveles o jerarquías
múltiples.
•El segundo temase enfoca en la eficiencia computacional.
Independientemente de la jerarquía de autoridad que asigne
direcciones, un ruteadordebe examinar cada datagrama y elegir una
trayectoria hacia el destino. Para mantener bajo el costo de los
ruteadoresde alta velocidad, el tiempo de procesamiento requerido
para elegir una trayectoria debe mantenerse bajo.
•Como se muestra en la siguiente figura, los diseñadores del IPv6
proponen asignar clases de direcciones en forma similar al esquema
utilizado por el IPv4. Aun cuando los ocho primeros bits de una dirección
son suficientes para especificar su tipo, el espacio de direcciones no se
divide en secciones de igual tamaño
42. Observe de la figura anterior que alrededor del 72% del
espacio de direcciones ha sido reservado para usos
futuros, no incluyendo la sección reservada para
direcciones geográficas. Aun cuando el prefijo 0000 0000
tiene el nombre reservado en la figura, los diseñadores
planean usar una pequeña fracción de direcciones en esta
sección para codificar direcciones IPv4.
En particular, cualquier dirección que comience con 80 bits
puestos a cero, seguidos por 16 bits puestos a 1 o 16 bits
puestos todos a cero, contiene una dirección IPv4 en los 32
bits de orden inferior. La codificación será necesaria
durante la transición del IPv4 al IPv6 por dos razones:
1.una computadora puede elegir actualizar su software de
IPv4 como IPv6 antes de tener asignada una dirección IPv6
válida.
2.una computadora que corra software IPv6 puede
necesitar comunicarse con una computadora que corra sólo
software IPv4.
43. Teniendo una forma de codificar una dirección
IPv4 en una dirección IPv6 no se resuelve el
problema de lograr que las dos versiones
interoperen. Además de la codificación de
direcciones, es necesaria la traducción. Para
utilizar un traductor, una computadora IPv6
genera un datagrama que contiene la
codificación IPv6 de la dirección de destino IPv4.
La computadora IPv6 envía el datagrama hacia
un traductor, el cual utiliza IPv4 para
comunicarse con el destino. Cuando el traductor
recibe una réplica desde el destino, traduce el
datagrama IPv4 a IPv6 y lo envía de regreso a la
fuente IPv6.
44. Parecería como si el protocolo de traducción de
direcciones fallara debido a que las capas superiores de los
protocolos verifican la integridad de las direcciones. En
particular, el TCP y el UDP utilizan un pseudoencabezado
en su cálculo para la suma de verificación. El
pseudoencabezado incluye la dirección del protocolo de la
fuente y el destino, cambiar estas direcciones puede
afectar el cálculo. Sin embargo los diseñadores planearon
cuidadosamente que el TCP o el UDP en una máquina IPv4
se pudieran comunicar con el correspondiente protocolo de
transporte en una máquina IPv6.
•Para evitar errores en la suma de verificación, la
codificación IPv6 de una dirección IPv4 ha sido elegida de
manera que el complemento a uno de los 16 bits de la
suma de verificación para una dirección IPv4 y la
codificación IPv6 de la dirección sean idénticos.
45. Además de seleccionar detalles técnicos de
un nuevo protocolo de Internet, el IETF que
trabaja en el IPngse ha enfocado en
encontrar una forma de transición del
protocolo actual al protocolo nuevo.
En particular, la propuesta actual para el
IPv6 permite codificar una dirección IPv4 en
lugar de una dirección IPv6, de manera que
la traducción de la dirección no cambie la
suma de la verificación del pseudo
encabezado.
46. Un ejemplo ayudará a entender cómo concibieron los diseñadores el uso
de las direcciones IPv6. Consideremos la compañía Network Access
Provider(NAP). Dicha compañía ofrece a sus clientes conectividad hacia
Internet, a tales clientes los llamaremos suscriptores. Para permitir que
cada proveedor asigne direcciones, la autoridad de Internet asigna a cada
proveedor un identificador único. El proveedor puede entonces asignar a
cada suscriptor un identificador único y utilizar ambos identificadores
cuando asigne un bloque de direcciones.
•Como se muestra en la figura superior , cada prefijo sucesivamente más
largo tiene un nombre. La cadena inicial 010 identifica la dirección como
el tipo de asignación del proveedor. Para cada dirección, el prefijo de
proveedor incluye el tipo de dirección más el ID del proveedor. El prefijo
de suscriptor cubre el prefijo del proveedor más el ID del suscriptor. Por
último, el prefijo de subred incluye el prefijo de suscriptor más la
información de subred.
•Los campos en la figura están dibujados a escala. Por ejemplo, aun
cuando los prefijos de direcciones parecen grandes en la figura, ocupan
sólo tres de 128 bits. Los diseñadores recomiendan que el campo ID del
nodo contenga por lo menos 48 bits para permitir que se utilice el
direccionamiento de tipo 802 de IEEE. Así, será posible para un nodo IPv6
usar su dirección Ethernet como su ID de nodo.
47. Aunque el formato de direcciones mostrado arriba implica una
jerarquía de cuatro niveles, una organización puede introducir
niveles adicionales dividiendo el campo SubnetID en varios
campos.
•Por ejemplo, una organización puede elegir subdividir su subred
en áreas y asignar subredes dentro de las áreas. Hacer esto es
similar al esquema de direccionamiento de subred del IPv4, en el
que la porción del anfitrión de una dirección es dividida en dos
partes. El amplio espacio de direccionamiento del IPv6 permite la
división en muchas partes
48. Ni la red global Internet ni los protocolos TCP/IP son estáticos. A través
de su Engineering Task Forcé, la Internet Architecture Board se mantiene
activa y realiza esfuerzos que hacen que la tecnología evolucione y
mejore. Los procesos que conducen al cambio se manifiestan como un
incremento en el tamaño y en la carga que obliga a mejorar los recursos
para mantener el servicio, como aplicaciones nuevas que demandan más
de la tecnología subyacente y como tecnologías nuevas que hacen posible
proporcionar nuevos servicios.
•Un esfuezo para definir la próxima generación de protocolo de Internet
(IPng) ha generado una gran polémica y varias propuestas. Ha surgido un
acuerdo de IETF para adoptar una propuesta conocida como Simple IP
Plus como estándar para el IPng. Debido que se deberá asignar el número
de versión 6, el protocolo propuesto se conoce a menudo como IPv6 para
distinguirlo del protocolo actual, IPv4.
•El IPv6 conserva muchos de los conceptos básicos del IPv4, pero cambia
la mayor parte de los detalles. Como el IPv4, el IPv6 proporciona un
servicio de entrega de datagramas sin conexión, con el mejor esfuerzo.
Sin embargo el formato del datagrama IPv6 es completamente diferente
del formato IPv4, y el IPv6 proporciona características nuevas como la
autenticación, un mecanismo para flujos controlados de datagramas y
soporte para seguridad.
49. •El IPv6 revisa cada datagrama como una serie de encabezados
seguidos por datos. Un data-grama siempre comienza con un
encabezado base de 40 octetos, el cual contiene la dirección de
fuente y destino y un identificador de flujo. El encabezado base
puede estar seguido de ceros o por más encabezados de
extensión, seguidos por datos. Los encabezados de extensión son
opcionales —el IPv6 los utiliza para manejar gran parte de la
información que el IPv4 codifica en opciones.
•Una dirección IPv6 tiene una longitud de 128 bits, lo que hace
que el espacio de dirección sea tan largo que cada persona en el
planeta podría tener una red de redes tan extensa como la
Internet actual. El IPv6 divide las direcciones en tipos en forma
análoga a como el IPv4 las divide en clases. Un prefijo de la
dirección determina la localización y la interpretación de los
campos de dirección restantes. Muchas direcciones IPv6 serán
asignadas por proveedores de servicio de red autorizados, dichas
direcciones tienen campos que contienen un ID de proveedor, un
ID de suscriptor, un ID de subred y un ID de nodo