Coexistencia y Transicin

Juan C. Alonso

juancarlos @ lacnic.net

Coexistencia y Transicin

Toda la estructura de Internet esta basada en el protocolo IPv4 Un cambio inmediato de protocolo es inviable debido al tamao y proporcin que posee la red La adopcin de IPv6 debe ser realizada de forma gradual Habr un periodo de transicin y coexistencia entre los dos protocolos Las rede IPv4 necesitaran comunicarse con la redes IPv6 y viceversa Para facilitar este proceso, se desarrollaron algunas tcnicas que buscan mantener la compatibilidad de las redes que estn desplegadas en IPv4 con el nuevo protocolo IPv6

Coexistencia y Transicin

Estas tcnicas de transicin son divididas en 3 categoras:

Doble pila

Provee soporte a ambos protocolos en el mismo dispositivo

Tneles

Permite el trafico de paquetes IPv6 sobre la estructura de la red IPv4 ya existente

Traduccin

Permite la comunicacin entre nodos con soporte IPv6 solamente con los nodos que soporta solamente IPv4

Doble pila

Los nodos se tornan capaces de enviar/recibir paquetes tanto IPv4 como IPv6 Un nodo IPv6/IPv4 cuando se comunica con un nodo IPv6, se comporta como un nodo IPv6 y en la comunicacin con uno IPv4, como un nodo IPv4 El nodo precisa al menos una direccion de cada una de las pilas Utiliza mecanismos IPv4, como por ejemplo DHCP, para tomar direcciones IPv4, y mecanismos IPv6 para direcciones IPv6

Doble pila
Una red de doble pila es una infraestructura capaz de encaminar ambos tipos de paquetes

Algunos aspectos a tener en cuenta:

Configuracin de los servers de DNS Configuracin de los protocolos de ruteo Configuracin de los firewalls !!!! Cambios en el gerenciamiento de red

Seguridad

Con la utilizacion de la tecnica de Doble Pila las aplicaciones estan expuestas a los ataques en ambos protocolos, IPv6 e IPv4, lo que se resuelve con la configuracion de firewalls especificos para cada protocolo Las tecnicas de tuneles y traduccion son las que causan los mayores impactos desde el punto de vista de la seguridad Los mecanismos de tuneles son suceptibles a los ataques de DoS, falsificacion de paquetes y de direcciones de routers y relays utilizados por esas tcnicas, como 6to4 y TEREDO. Las tcnicas de traduccion implican problemas relacionados com incompatibilidades relacionados com esas tecnicas y algunos de los mecanismos de seguridad existentes, similar a lo que ocurre com NAT e IPv4

Tcnicas de Tunel

Tambin llamada de encapsulamiento El contenido del paquete IPv6 es encapsulado en un paquete IPv4 Puede ser clasificados en los siguientes modos:

Router-a-Router Host-a-Router Router-a-Host Host-a-Host

Tcnicas de Tunel

Existen diferentes formas de encapsulamiento:

Paquetes IPv6 encapsulados en paquetes IPv4

Protocolo 41 6to4, ISATAP y Tunnel Brokers Protocolo GRE TEREDO

Paquetes IPv6 encapsulados en paquetes GRE

Paquetes IPv6 encapsulados en paquetes UDP

Tunnel Broker

Consiste en un tnel IPv6 dentro de la red IPv4, creado en el propio computador o red hasta el proveedor que va a proveer la conectividad IPv6 El procedimiento consiste en registrarse en un proveedor de acceso Tunnel Broker y descargar un software o script de configuracin que permita establecer este tnel La conexin del tnel se realiza a travs de una solicitud en el servidor web del proveedor que ofrece este servicio Es indicado para redes pequeas o para un host nico independiente

6to4

Forma de tnel router-a-router Proporcionando una direccin IPv6 nica al host La direccin es formada por el prefijo de direccin global 2002:wwxx:yyzz::/48, donde wwxx:yyzz es la direccin IPv4 pblica del host convertida a hexadecimal El relay 6to4 puede ser identificado por la direccin anycast 192.88.99.1. Encaminado Asimtrico. Puede ser utilizado con Relays pblicos, cuando no hay conectividad v6 nativa. Cuando hay conectividad nativa y servicios, debe ser implementada para facilitar la comunicacin con clientes 6to4

6to4

El prefijo 6to4 es siempre 2002 El prximo campo, IPv4 pblico del cliente, es creado convirtiendo su direccin en hexadecimal El ID de la subred puede ser usado para segmentar la red IPv6 6to4 en hasta 216 subredes con 264 direcciones cada una, puede ser utilizada por ejemplo 0, 1, 2, 3, 4... El ID de la interface puede ser igual al segundo campo (Windows as lo hace) o a cualquier otro numero en el caso de configuracin manual (en Linux, se usa secuencia 1, 2, 3, 4...).

Comunicacin Cliente 6to4 con Cliente 6to4 en redes diferentes

6to4

Notar que el trfico en la red local es nativo IPv6, este se encapsula solamente ente los router 6to4

6to4
Comunicacin Cliente/Router 6to4 con servidor IPv6

2002:0102:0308:1::1

6to4
Comunicacion Cliente 6to4 con servidor IPv6 utilizando solamente un Relay 6to4 (Ruta de ida y vuelta iguales)

6to4

Seguridad

Los Relay router no verifican los paquetes IPv6 que estn encapsulados en IPv4, a pesar de que los encapsula y des encapsula El spoofing de direcciones es un problema grave en los tneles 6to4, y puede ser fcilmente explotado No hay un sistema de autenticacin entre el router y el relay que oficia de router, facilitando as la explotacin de vulnerabilidades de seguridad a travs de la utilizacin de relays routers falsos

ISATAP

ISATAP (Intra-Site Automatic Tunnel Addressing Protocol ) - tcnica de tnel que conecta hosts-a-routers No hay servicios pblicos de ISATAP, es una tcnica utilizada dentro de las organizaciones Es til, por ejemplo, cuando la organizacin ya tiene numeracin IPv6 vlida y conectada en el borde, pero su infraestructura interna no soporta IPv6

ISATAP

Direccionamiento

Con esta tcnica, la direccin IPv4 de los clientes y router son utilizadas como parte del direccionamiento ISATAP. Con eso, un nodo ISATAP puede determinar fcilmente los puntos de entrada y salida de los tneles IPv6, sin utilizar ningn protocolo o recurso auxiliar El formato de direccionamiento ISATAP es el siguiente:

Prefijo unicast: Es cualquier prefijo unicast vlido en IPv6, que puede ser link-local (FE80::/64) o global ID IPv4 pblico o privado: Si la direccin IPv4 fuera pblica, este campo debe tener el valor "200" y si fuera privada (192.168.0.0/16, 172.16.0.0/12 e 10.0.0.0/8) el valor del campo es cero ID ISATAP: Siempre tiene valor 5EFE; Direccin IPv4: Es la direccin IPv4 el cliente o router en formato IPv4

Teredo

Encapsula el paquete IPv6 em paquetes UDP Funciona a travs de NAT Envia paquetes bubles periodicamente al servidor para mantener las configuraciones iniciales de la conexion UDP Su funcionamiento es complejo y presenta um overhead

Teredo

Utiliza el prefijo 2001:0000::/32. Los 32 bits siguientes contienen la direccin IPv4 del Servidor Teredo Los 16 bits siguientes son utilizados para definir flags que indican el tipo de NAT utilizado e introducen una proteccin adicional contra los ataques de scan Los prximos 16 bits indican la puerta UDP de salida del NAT Los ltimos 32 bits representan la direccin IPv4 pblica del Servidor NAT

Teredo
El principal problema de seguridad al utilizar Teredo es que el trafico generado puede pasar desapercibido por los filtros de los firewalls si los mismos no estuvieran preparados para interpretarlos, siendo as, los computadores y al red interna quedan expuestos a ataques provenientes de la red IPv6. Antes de poner en produccin este mecanismo revisar los filtros de los firewalls. Adems de este problema tenemos los siguientes: El cliente Teredo publica en la red la puerta abierta por el en el NAT y el tipo de NAT que utiliza, posibilitando as un ataque a travs de ella La cantidad de direcciones Teredo es muy menor que los IPv6 nativos, facilitando as la localizacin de computadores vulnerables Un ataque de negacin de servicio es fcilmente dirigido tanto al cliente como al relay Debido al mtodo de seleccin del Relay por el host de destino, se puede crear un Relay falso y utilizarlo para Debido al mtodo de seleccin del Relay por el host de destino, se puede crear un Relay falso y utilizarlo para escanear la comunicacin de este host con sus clientes

GRE

GRE (Generic Routing Encapsulation) - tnel esttico hosts-a-host desarrollado para encapsular varios tipos de protocolos diferentes Soportado en la mayora de los sistemas operativos y routers Su funcionamiento consiste en tomar los paquetes originales, agregar un cabezal GRE y enviarlo al IP de destino Cuando el paquete encapsulado llega a la otra punta del tnel, se remueve el cabezal GRE y se procesa el paquete original

GRE

Seguridad

Como protegerse:

Utilizar doble pila en la migracin, protegiendo las dobles pilas con firewall Dar preferencia a los tneles estticos, en lugar de los automticos Permitir la entrada de trafico solamente desde los tneles autorizados