Del dia, Destacado, Infraestructura, Noticias, Principal

Lo que IPv6 debe hacer ahora

El bajo porcentaje de implementaciones actuales del IPv6, hasta la fecha menos del 10% en todo el mundo, va a la zaga de las primeras estimaciones que previeron la plena adopción de IPv6 como el protocolo de Internet dominante a finales del 2007. Los factores en los despliegues tardíos incluyen la falta de familiaridad con los problemas de protocolo, el costo y la seguridad, la falta de personal capacitado y la falta de proveedores de ancho de banda de IPv6.

 
La realidad es que incluso en escenarios optimistas, no es probable que IPv6 se convierta en el protocolo dominante en el futuro inmediato. Con los recursos limitados de TI, los gerentes de centros de datos pueden ser reacios a impulsar iniciativas aparentemente opcionales de IPv6 para la gestión como una prioridad de "pelo en llamas". Pero la decisión de esperar puede significar costos más altos y más dolores de cabeza posteriores a la implementación.
 
Como con la mayoría de las tecnologías emergentes que están destinadas a la adopción generalizada, en algún punto se alcanzará la masa crítica, y por acuerdo universal tácito el paso a IPv6 se acelerará geométricamente, dejando que las organizaciones que apostaron equivocadamente luchen por ponerse al día. La lección es que incluso las empresas que no tienen planes inmediatos para desplegar IPv6, deben tener una plena comprensión de la tecnología, sus impactos operacionales, y por lo menos un plan de transición viable, bien diseñado.
 
Aquí presentamos seis pasos a tener en cuenta para prepararse para IPv6:
 
1. Solicite un prefijo IPv6 de su proveedor de upstream o RIR
Empiece por pedir un prefijo IPv6 PA (Proveedor Asignado) de su proveedor de ancho de banda. Incluso si no tiene intención de desplegar IPv6 en forma inmediata de cara al público, es importante saber si su ISP puede ofrecer conectividad IPv6. Los prefijos PA por lo general se ofrecen sin cargo. Si un prefijo PA no está disponible, pregunte por los plazos. Si las respuestas no son satisfactorias (por ejemplo, su proveedor no tiene planes para la transición a IPv6 o no se puede especificar un calendario de entrega), es posible que desee considerar la posibilidad de comenzar la búsqueda de un host de IPv6.
 
Las organizaciones calificadas también pueden adquirir un prefijo PI (Proveedor Independiente), el cual es asignado por un RIR (Registro Regional de Internet). Las direcciones PI no son un huésped específico y le permitirá cambiar los hosts, pero una dirección PI por sí sola no elimina la necesidad de un host IPv6.
 
2. Realice una simple prueba "Hola Mundo" con IPv6
Incluso si su actual proveedor de banda ancha no cuenta con servicio de IPv6, puede comenzar a probar en su LAN o WAN interna. Los protocolos IPv4 e IPv6, aunque no son directamente compatibles, pueden coexistir en una configuración dual-stack paralela y ya lo están haciendo de alguna forma en la mayoría de las redes. Esto proporciona un entorno excelente para hacer pruebas.
 
El siguiente ejemplo "Hola Mundo" dual-stack solo utiliza dos máquinas (un servidor Windows 2008 IIS/DNS y un cliente de Windows 7) y es rápido y fácil de configurar.
 
En un servidor Windows 2008 ejecutando IIS y DNS:
 
Nodo IPv4
 
1. Establezca un nuevo sitio web en IIS. Enlace el sitio asignado a cualquier dirección IPv4 local. Si necesita una dirección IPv4 extra, asigne una dirección no utilizada de la subred a la interfase local antes de configurar el sitio web. (DNS no es necesario para los dos primeros conjuntos de pruebas de conectividad).
 
2. Guarde el siguiente texto en un archivo en el directorio home del nuevo sitio web llamado ‘index.html’:
 
Hola Mundo
 
3. Confirme que puede ver la página en el navegador del servidor usando la dirección IPv4 asignada (por ejemplo: http://192.168.0.1).
 
IPv6Node
 
4. Añada una nueva dirección IPv6 estática a la interfase LAN (solo para propósitos de prueba, puede conseguir una dirección IPv6 generada de forma aleatoria en sitios como https://www.ultratools.com/tools/rangeGenerator). Tenga en cuenta que el prefijo de una dirección local única (ULA por sus siglas en inglés) se inicia con fd. Utilice un prefijo de subred de una extensión de 64 como se muestra en la Figura 1. Utilice la dirección IPv6 para el servidor DNS preferido. (La dirección IPv6 del servidor se puede obtener mediante un comando ipconfig en un símbolo del sistema).
 
Captura de pantalla que muestra la adición de una nueva dirección estática IPv6 a la interfase LAN)
 
5. Abra una ventana del navegador en el servidor y escriba la dirección IPv6 en la barra de direcciones, utilizando la dirección IPv6 estática que acaba de agregar a la interfase con la siguiente sintaxis entre paréntesis:
 
http://[fd63: ae70: 9a8d: 9ef7::]/
 
Ahora debería ver la misma pantalla de ‘Hola Mundo’ que vio en el paso 2.
 
6. Configure la conectividad IPv6 en la máquina cliente de Windows 7. Esto se puede hacer abriendo el diálogo de configuración de IPv6 (similar a la figura 1 arriba), e introduciendo una dirección IPv6 al azar o la dirección IPv6 de la máquina de Windows 7, que se puede obtener ejecutando el comando ipconfig en la ventana de comandos. Para la puerta de enlace predeterminada, escriba la dirección IPv6 asignada al servidor en el paso 4. Ahora debería ser capaz de abrir un navegador y acceder a la página ‘Hola Mundo’ exactamente como en el paso 5.
 
Configuración del DNS
 
Para habilitar la prueba de la resolución del nombre de dominio dual-stack usando IPv4, en DNS tendrá que añadir una zona de búsqueda directa como de costumbre con un registro A asignado a la dirección web IPv4 del ‘Hola Mundo’. Para habilitar IPv6 para el mismo ejemplo, agregue un registro quad-A (AAAA), como se muestra en la Figura 2.
 
La figura muestra cómo se agrega un registro DNS IPv6 AAAA.
 
3. Analice las diferencias de protocolo y realice un análisis de impacto.
Las diferencias entre IPv4 e IPv6 son significativas (ver Tabla 1 de comparación IPv4/IPv6 lado a lado).
 
El impacto de la migración a IPv6 tiende a aumentar con el tamaño de la organización, por lo que las empresas más grandes necesitan más tiempo de espera para la planificación de los despliegues. Considere la posibilidad de reunir un grupo de trabajo para evaluar los impactos y hacer recomendaciones.
 
4. Establezca el orden de las implementaciones de IPv6.
Un cambio directo de IPv4 a IPv6 nativo es la excepción y no la regla, debido al número relativamente pequeño de los proveedores de hosts nativos y de upstream. Con el fin de ofrecer la máxima disponibilidad de recursos de la red (tanto internos como de cara a Internet), muchas organizaciones eligen una estrategia de transición que emplea los nodos dual-stack, junto con protocolos de túnel o de otros mecanismos de traducción entre nodos IPv4 e IPv6 donde dual-stack no es factible.
 
He aquí un ejemplo de una estrategia de despliegue diseñada para disminuir el impacto de la transición a IPv6. Naturalmente, las organizaciones tendrán que considerar múltiples factores al diseñar sus planes propios de despliegue.
 
* Fase I: Implemente servicios de Internet (web y correo electrónico) con nodos dual-stack y mecanismos de túnel/traducción para salvar las "islas" IPv4/IPv6
 
* Fase II: Migre LAN/WAN del estado IPv6 automático al estado configurado.
 
* Fase III: Identifique y actualice los equipos/aplicaciones que no son IPv6.
 
Fase I – Implemente servicios de Internet (web y correo electrónico) con arquitectura dual-stack. Como se muestra en el ejemplo "Hola mundo" de arriba, dual-stack implica la ejecución de nodos IPv4 e IPv6 en paralelo. Esto se logra mediante la adición de una dirección configurada de IPv6, y permitiendo que los dispositivos solicitantes elijan automáticamente la posibilidad de dirigir las solicitudes a IPv4 o IPv6. Cabe señalar que este enfoque, al tiempo que simplifica la adición de nodos IPv6, no reduce la dependencia de las direcciones IPv4, y debe ser sustituido solo por servicios IPv6 tan pronto como sea posible. También es importante tener en cuenta que la Internet frente a los nodos dual-stack puede introducir los problemas de rendimiento percibidos para los usuarios de Internet debido a los tiempos de espera IPv6 cuando hay una falta de disponibilidad de rutas upstream IPv6.
 
Donde se indica, los métodos de túnel y otros métodos de traducción pueden ser utilizados para entregar el tráfico solo entre hosts IPv4 e IPv6. Algunos métodos de túnel pueden generar riesgos de seguridad, por lo que es importante entender cómo funciona cada uno y cuando para permitirá y no permitirá el tráfico en los recursos de túnel.
 
Los peores escenarios de ataque IPv6
La implementación del e-mail en el modo dual-stack puede requerir cambios en la configuración del servidor SMTP, como por ejemplo, agregar un puerto para escuchar una dirección IPv6, y proporcionar un rango de Internet IPv6. Los DNS de cuatro registros A también son necesarios, junto con los registros MX que se resuelven en un host de IPv6. Al igual que con otras pruebas, es recomendable utilizar una máquina que no sea de producción.
 
Fase II: Migre LAN/WAN del estado IPv6 automático al estado configurado. Muchos de los sistemas operativos actuales vienen con soporte para IPv6 sin estado (autoconfiguración):
 
* Linux (kernel 2.2 o superior)
* Mac OS X
* FreeBSD/NetBSD/OpenBSD
* Windows Server 2000/2003/2008, Windows XP/7
 
En el modo de configuración automática o sin estado, los enlaces a direcciones locales IPv6 se asignan a los dispositivos de forma automática sin necesidad de administración de servidores. Esto significa que el momento en que el sistema operativo está activado, el dispositivo tiene una dirección IPv6 que puede detectar. El estado configurado utiliza el modo de protocolo de configuración dinámica de host para IPv6 (DHCPv6) para los nodos de instalación y administración de la red. Las versiones anteriores del sistema operativo pueden tener una capacidad limitada de estado IPv6. Por ejemplo, Windows Server 2003 requiere DHCP a fin de habilitar los servicios IPv6 con estado.
 
Fase III: Identifique y actualice los equipos/aplicaciones que no son IPv6. Este paso es necesario antes de que pueda cambiar todo a IPv6 nativo a través del tablero. Si opera una gran red, puede ser necesario utilizar una aplicación de terceros diseñada específicamente para identificar las limitaciones de la conectividad IPv6, tales como la dependencia de IPv4.
 
5. Elabore un plan de direcciones
El espacio de direcciones se ha incrementado de manera exponencial en IPv6 con más de mil millones de direcciones posibles para todo ser humano en el planeta. El gran número de direcciones únicas elimina los conflictos y la división en subredes permite que las organizaciones formulen esquemas de direccionamiento libremente según los grupos físicos o lógicos dentro de la organización, o usar direcciones configuradas al azar para incrementar la privacidad del host.
 
IPv6 soporta los siguientes tipos de direcciones:
* Multicast: Envía paquetes a todas las interfases que forman parte de un grupo multicast, representada por la dirección de destino del paquete IPv6, permite la agregación de prefijos de enrutamiento para limitar el número de entradas de la tabla global de enrutamiento.
* Anycast: Envía paquetes a una interfase única asociada con la dirección, por lo general encaminados al nodo más cercano
* Unicast: Identifica una sola interfase.
* Global agregables: Permite la agregación de prefijos de enrutamiento para limitar el número de entradas de la tabla global de enrutamiento.
* Link-Local: Permite la comunicación entre dispositivos en una red local sin tener un prefijo global único.
* Site-Local: Permite la comunicación dentro de una organización, sin necesidad de un prefijo público.
* Loopback: Utilizada por un nodo para enviarse un paquete IPv6 a sí mismo.
* No especificado: Utilizado por las nuevas interfases hasta que la aplicación o el dispositivo haya obtenido la dirección fuente del host.
 
6. Comprender los riesgos y desarrollar una política de seguridad
Las organizaciones deben hacer planes para hacer frente al impacto de IPv6 en la seguridad de la red. Por ejemplo, los mecanismos de construcción de túneles y traducción para facilitar el encaminamiento del tráfico entre IPv4 e IPv6 también pueden presentar riesgos de seguridad al transportar el tráfico de malware IPv6 que puede evadir la detección de firewalls que no son IPv6. Además, la característica de configuración automática de IPv6 se puede utilizar para el tráfico de más programas maliciosos una vez que está dentro de la ruta de la red después de haber escapado a la detección perimetral.
 
En el lado positivo, el apoyo a IPSec es ahora obligatorio en IPv6. Desarrollado por el IETF, IPSec fue diseñado para proporcionar servicios de seguridad como la confidencialidad, integridad y autenticación del origen de los paquetes. IPSec opera en la capa de red y cuando se configura correctamente puede ser una herramienta poderosa para proteger y autenticar el tráfico IPv6. Aunque el soporte de IPSec es necesario en IPv6, esto no implica que la seguridad esté implementada desde el primer día. IPSec debe estar correctamente configurado para proporcionar la protección para la que ha sido diseñado.
 
Susan Perschke, Network World