   Como en las cerraduras utilizadas para ayudar a mantener    seguras las propiedades, las computadoras y las redes de  ...
   Los términos seguridad de red y seguridad de    información se refieren en sentido amplio, a la    confianza de que la...
•La protección de recursos lógicos como la información es másdifícil que la seguridad física, dado que la información pued...
   •Antes de que una organización implante un proyecto    de seguridad de red, la organización debe asumir    riesgos y d...
•Las organizaciones normalmente tienen contactos  con organizaciones externas cuando sucede esto  la ultima disposición de...
 Los problemas de seguridad en las red y los  mecanismos de software que ayudan a que la  comunicación en la red de redes...
   Los mecanismos de autenticación resuelven el problema de verificar la    identificación, es el caso por ejemplo de muc...
   Una forma débil de autentificación por dirección IP donde                                                          ,  ...
   •Para solucionar este problema se trata de proporcionar un    servicio confiable que consiste en un sistema de cifrado...
 Elcifrado también puede manejar problemas de privacidad. Por ejemplo, si un emisor y un receptor utilizan un esquema de ...
   Los mecanismos que controlan el acceso a la red de redes    manejan el problema de filtrado hacia una organización o r...
   Aun cuando la imagen conceptual parece sencilla, los detalles de implementación    son complicados. En particular la r...
   ¿Cómo debe implantarse un muro de seguridad? En teoría, un    muro de seguridad sencillamente bloquea todas las    com...
 ##Establecemos politicapor defecto: DROPiptables-P INPUT DROPiptables-P OUTPUT DROPiptables-P FORWARD DROP## Empezamos a...
   En el ejemplo, el administrador ha elegido bloquear datagramas    entrantes destinados a unos cuantos servicios conoci...
   Un programa de control de puertos sí puede ser una    tontería cuando ya usas un routermultipuesto, puesto que    ambo...
   Para hacer efectivo un muro de seguridad que se    vale del filtrado de datagramas debe restringirse    el acceso de t...
 Engeneral, una organización puede proporcionar solo acceso seguro hacia servicios del exterior a través de una computado...
   Para permitir un acceso seguro, el muro de seguridad    tiene barreras conceptuales. La barra exterior bloquea    todo...
   Para evitar las debilidades asociadas al filtrado de    paquetes, los desarrolladores crearon software de    aplicació...
   El monitoreo es uno de los aspectos mas mas importantes en el    diseño de un muro de seguridad. El administrador de r...
   En el monitoreo pasivo, un muro de seguridad lleva    un registro de cada incidente en un archivo en disco.    Un moni...
   Introducción:   La evolución de la tecnología TCP/IP está vinculada a    la evolución de Internet por varias razones...
 La versión 4 del protocolo de Internet (IPv4)  proporciona los mecanismos de comunicación  básicos del conjunto TCP/IP y...
   De manera simultanea el IP se ha adaptado a los cambios de la    tecnologías.   A pesar de su diseño, el IPv4 también...
Aun cuando la necesidad de un espacio de direcciones extensoestá forzando un cambio inmediato en el IP, hay otros factores...
Formalmente, se ha decidido que a la próxima versión del IP se leasigne el número de versión 6. Así, para distinguido de l...
   Direcciones más largas:El IPv6 cuadruplica el tamaño de    las, direcciones del IPv4, va de 32 bits a 128 bits.   •Fo...
   La representación de las direcciones IPv6 sigue el siguiente    esquema:   x:x:x:x:x:x:x:x   donde “x” es un valor h...
 Figura:Forma general de un datagrama IPv6 con varios encabezados. Sólo el encabezado base es indispensable, los encabeza...
 Encabezados de extensión del IPv6 El paradigma de un encabezado base fijo seguido  por un conjunto de encabezados de ex...
   Como el IPv4, el IPv6 prepara el destino final para realizar    el reensamblajede datagramas. Sin embargo, los    dise...
El IPv6 conserva la capacidad de un emisor para especificar unaruta fuente. A diferencia del IPv4, en el que el ruteo de f...
   Como el IPv4, el IPv6 asocia una dirección con    una conexión de red específica, no con una    computadora específica...
   Además de permitir varias direcciones simultáneas por conexión    de red, el IPv6 expande y, en algunos casos, unifica...
   La cuestión sobre cómo dividir el espacio de direcciones ha generado    muchas discusiones. Hay dos temas centrales: c...
   Observe de la figura anterior que alrededor del 72% del    espacio de direcciones ha sido reservado para usos    futur...
   Teniendo una forma de codificar una dirección    IPv4 en una dirección IPv6 no se resuelve el    problema de lograr qu...
   Parecería como si el protocolo de traducción de    direcciones fallara debido a que las capas superiores de los    pro...
 Además  de seleccionar detalles técnicos de  un nuevo protocolo de Internet, el IETF que  trabaja en el IPngse ha enfoca...
   Un ejemplo ayudará a entender cómo concibieron los diseñadores el uso    de las direcciones IPv6. Consideremos la comp...
Aunque el formato de direcciones mostrado arriba implica unajerarquía de cuatro niveles, una organización puede introducir...
   Ni la red global Internet ni los protocolos TCP/IP son estáticos. A través    de su Engineering Task Forcé, la Interne...
   •El IPv6 revisa cada datagrama como una serie de encabezados    seguidos por datos. Un data-grama siempre comienza con...
Trabajo realizado por:Carmen Labrador Gayo.
Seguridad en internet
Seguridad en internet
Seguridad en internet
Seguridad en internet
Seguridad en internet
Próxima SlideShare
Cargando en…5
×

Seguridad en internet

196 visualizaciones

Publicado el

0 comentarios
0 recomendaciones
Estadísticas
Notas
  • Sé el primero en comentar

  • Sé el primero en recomendar esto

Sin descargas
Visualizaciones
Visualizaciones totales
196
En SlideShare
0
De insertados
0
Número de insertados
1
Acciones
Compartido
0
Descargas
6
Comentarios
0
Recomendaciones
0
Insertados 0
No insertados

No hay notas en la diapositiva.

Seguridad en internet

  1. 1.  Como en las cerraduras utilizadas para ayudar a mantener seguras las propiedades, las computadoras y las redes de datos necesitan de ciertas precauciones que ayuden a mantener segura la información. La seguridad en un ambiente de red de redes es importante y difícil de lograr. Es importante pues la información tiene un valor significativo (puede comprarse y venderse o ser utilizada para crear productos y servicios nuevos que proporcionan grandes ganancias). La seguridad en una red de redes resulta algo difícil debido a que implica entender cuando y como pueden confiar los usuarios participantes, las computadoras, los servicios y las redes, uno en otro, también implica entender los detalles técnicos del hardware y los protocolos de red. Vamos a revisar los conceptos y la terminología básica para implementar servicios de seguridad.
  2. 2.  Los términos seguridad de red y seguridad de información se refieren en sentido amplio, a la confianza de que la información y los servicios disponibles en una red no puedan ser accedidos por usuarios no autorizados.. Seguridad implica confianza, integridad de los datos, confianza en que los recursos computacionales están libres de intromisiones. •Proporcionar seguridad para la información requiere protección tanto para los recursos físicos como los lógicos. Los recursos físicos incluyen dispositivos de almacenamiento como cintas y discos así como las computadoras. En un ambiente de red la seguridad física se extiende a los cables ruteadores y puentes que comprenden la infraestructura de la red.
  3. 3. •La protección de recursos lógicos como la información es másdifícil que la seguridad física, dado que la información puedecopiarse conforme pasa a través de una red, la proteccióndebe prevenir también lecturas no autorizadas.•Algo a tener en cuenta es establecer los niveles deutilización tanto para los recursos físicos y mas aun para losrecursos lógicos, estos se deben limitar a los usuarioscorrespondientes y no ser accedidos por personal norelacionado a la información. Por ejemplo informacióncontable solo sea accedida por el departamento decontabilidad.
  4. 4.  •Antes de que una organización implante un proyecto de seguridad de red, la organización debe asumir riesgos y desarrollar una política clara, considerando los accesos de información y protección. •Las políticas necesitan especificar quienes tendrán garantizado el acceso a cada parte de la información deben establecerse las reglas individuales a seguir, se debe difundir la información hacia todo el conjunto y establecer las formas en la que la organización reaccionara antes las transgresiones. •Los empleados no deben ignorar esta política ya que las personas son por lo general el punto más susceptible de cualquier esquema de seguridad. Un trabajador descuidado o ignorante de las políticas de información de la organización puede comprometer la seguridad.
  5. 5. •Las organizaciones normalmente tienen contactos con organizaciones externas cuando sucede esto la ultima disposición de la información depende de las políticas de las organizaciones por los cuales pasara la información.•Una organización no puede conocer el efecto de comunicarse e interactuar con otras a menos que las dos organizaciones acuerden un nivel de confianza reciproco.•Este problema se agudiza ya que la información viaja a través de la red que pasa a través de puentes y ruteadores, de organizaciones que no son parte ni del emisor ni del receptor.
  6. 6.  Los problemas de seguridad en las red y los mecanismos de software que ayudan a que la comunicación en la red de redes sea segura, se pueden dividir en términos generales en tres conjuntos.1.El primer conjunto se enfoca en los problemas de autorización, autenticación e integridad.2.El segundo se enfoca al problema de la privacidad3.y el tercero al problema de la disponibilidad mediante el control de acceso.
  7. 7.  Los mecanismos de autenticación resuelven el problema de verificar la identificación, es el caso por ejemplo de muchos servidores los cuales verifican que el cliente este autorizado antes de prestar algún servicio.
  8. 8.  Una forma débil de autentificación por dirección IP donde , un administrador configura una lista de configuraciones IP validas. El servidor se basa en esta lista para brindar servicios a los clientes. La autenticación de fuente IP es débil porque se puede romper fácilmente. En una red de redes en la que los datagramas pasan a través de ruteadores y redes intermedias, la autenticación de fuente puede ser atacada desde una de las maquinas intermedias. Por ejemplo supongamos que un impostar logra controlar un ruteador R que esta localizado entre un cliente valido y el servidor, el impostor altera las rutas en R dirigiendo el tráfico hacia su computador y que siga su trayecto original, de este modo ni el servidor ni el cliente detectaran al intruso. •También se puede dar la forma inversa dado que un impostor puede interceptar el tráfico que va desde el cliente al servidor.
  9. 9.  •Para solucionar este problema se trata de proporcionar un servicio confiable que consiste en un sistema de cifrado de clave pública. Para poder utilizar este sistema a cada participante se le debe asignar dos claves que son utilizadas para codificar y descodificar un mensaje. Cada clave es un entero largo. Un participante publica una clave, llamada clave publica, en una base de datos publica y conserva la otra clave en secreto. Un mensaje se codifica mediante una clave que se puede decodificar utilizando la otra. Por ejemplo si un emisor emplea una clave secreta para codificar un mensaje, un receptor puede utilizar la clave pública del emisor para decodificar el mismo. Además conocer la clave pública no hace más fácil adivinar o calcular la clave secreta. Así si un mensaje se decodifica de manera correcta por medio de la clave publica de un propietario, debe codificarse por medio de la clave privada del propietario. Un cliente y un servidor que utilicen este servicio pueden estar razonablemente seguros de que su interlocutor es autentico.
  10. 10.  Elcifrado también puede manejar problemas de privacidad. Por ejemplo, si un emisor y un receptor utilizan un esquema de cifrado de clave publica, el emisor puede garantizar que solo el receptor involucrado pueda leer el mensaje. Para ello el emisor utiliza la clave pública del receptor para codificar el mensaje y el receptor su clave privada para decodificar el mensaje. Dado que el receptor es el único que tiene la clave privada nadie mas podrá descodificar el mensaje.
  11. 11.  Los mecanismos que controlan el acceso a la red de redes manejan el problema de filtrado hacia una organización o red en particular de las comunicaciones no previstas. Estos mecanismos pueden ayudar a prevenir a la organización sobre la obtención de información con respecto al exterior, el cambio de información o la interrupción de comunicaciones en la red de redes por lo general requieren cambios en componentes básicos de la infraestructura de la red de redes. En particular, un exitoso control de acceso requiere de una combinación cuidados de restricciones en la topología de red, en el almacenamiento intermedio de la información y en el filtrado de paquetes. Una sola técnica ha emergido como la base para el control de acceso a la red de redes. La técnica se instala un bloque conocido como muro de seguridad (firewall) en la entrada hacia la parte de la red de redes que será protegida. Por ejemplo, una organización puede colocar u muro de seguridad en su conexión de la red global de Internet para protegerse de intromisiones indeseables. Un muro de seguridad divide una red de redes en dos regiones, conocidas como el interior y el exterior
  12. 12.  Aun cuando la imagen conceptual parece sencilla, los detalles de implementación son complicados. En particular la red de redes de una organización puede tener varias conexiones externas. Por ejemplo, si una compañía tiene una columna vertebral de red de área amplia corporativa que conecta a las localidades de la corporación en varias ciudades o países, el administrador de red en una localidad determinada, puede elegir conectar la localidad directamente a un local de negocios o una universidad. Las conexiones externas múltiples plantean un problema de seguridad especial. La organización debe formar un perímetro de seguridad instalando un muro de seguridad en cada conexión externa. Algo muy importante para garantizar que este perímetro es efectivo, la organización debe coordinar todos los muros de seguridad para que utilicen exactamente las mismas restricciones de accesos. De otra manera, podría ser posible evadir las restricciones impuestas a un muro de seguridad entrando en la red de redes de la organización a través de otro. Alguien que intente atacar a la red lo hará por su punto mas débil, es decir por el muro de seguridad que no este bien cuidado. Esto hace referencia a la idea de que un sistema de seguridad es tan fuerte como su eslabón más débil, conocido como el axioma del eslabón más débil. Coordinar múltiples muros de seguridad puede resultar difícil, ya que las restricciones que se tendrán en una localidad pueden no parecer importantes en otras, por esto los responsables de los muros de seguridad de la red de redes deben coordinar sus esfuerzos cuidadosamente.
  13. 13.  ¿Cómo debe implantarse un muro de seguridad? En teoría, un muro de seguridad sencillamente bloquea todas las comunicaciones no autorizadas entre computadoras en la organización y computadoras de organizaciones externas. No existe una solución que funcione para todas las organizaciones; construir un muro de seguridad a la medida y efectivo puede ser muy difícil. Una de las dificultades en la construcción de un muro de seguridad consiste en el poder de procesamiento que se requiere. Este necesita el suficiente poder computacional para examinar todos los mensajes que entran y salen. Dado que es necesario examinar cada datagrama de viaja entre la red interna y externa, el muro de seguridad de la organización debe manejar los datagramas a la misma velocidad que la conexión. Además, si un muro de seguridad retarda los datagramas en un búfer mientras decide si permite la transferencia, el muro de seguridad puede verse abrumado con las retrasmisiones y el búfer se estancará.
  14. 14.  ##Establecemos politicapor defecto: DROPiptables-P INPUT DROPiptables-P OUTPUT DROPiptables-P FORWARD DROP## Empezamos a filtrar? no! empezamos a abrir! porque ahora esta TODO denegado.## Debemos decir de manera explicita qué es lo que queremos abrir
  15. 15.  En el ejemplo, el administrador ha elegido bloquear datagramas entrantes destinados a unos cuantos servicios conocidos y bloquear un caso de datagrama que salen. El filtro bloquea todos los datagramas que salen y que se originan desde cualqeuir anfitrion en la red de clase B 128.5.0.0 está destinado a un servidor de correo electronico remoto (TCP 25). El filtro tambien bloquea datagramas entrantes destinados a FTP (TCP 21) TELNET ( TCP 23) WHOIS (UDP 41) TFTP (UDP 69) o FINGER (TCP 79) LLEGADA A LA INTERFAZ FUENTE IP DESTINO IP PROTOCOLO PUERTO FUENTE PUERTO DESTINO 2 * ^* TCP * 21 2 * * TCP * 23 1 128.5.*.** TCP * 25 2 * * UDP * 43 2 * * UDP * 69 2 * * TCP * 79
  16. 16.  Un programa de control de puertos sí puede ser una tontería cuando ya usas un routermultipuesto, puesto que ambos te permiten controlar cuáles puertos han de ser utilizados y cuales otros puertos deben estar bloqueados. •Pero un cortafuegos va bastante más allá. Un buen cortafuegos también te permitirá controlar las comunicaciones por programas y por protocolos. Por ejemplo, es muy distinto que por el puerto 25 trate de pasar una transmisión SMTP (correo-e) o una transmisión FTP (transferencia de archivos, que normalmente debería ir por el puerto 20/21); por ejemplo, es muy distinto que el puerto 80 (normalmente utilizado para transmitir páginas web) sea utilizado por el navegador o por otro programa (¿un virus o un troyano?). Un routernunca va a controlar estas posibles situaciones irregulares, que esconden bastante peligro potencial.
  17. 17.  Para hacer efectivo un muro de seguridad que se vale del filtrado de datagramas debe restringirse el acceso de todas las fuentes IP, destino IP, protocolos y puertos de protocolos a excepción de las computadoras, redes y servicios que la organización decida explícitamente poner a disposición del exterior. Un filtro de paquetes que permite a un administrador especificar que datagramas admitir en lugar de que datagrama bloquear, puede hacer que las restricciones sean mas fáciles de especificar.
  18. 18.  Engeneral, una organización puede proporcionar solo acceso seguro hacia servicios del exterior a través de una computadora segura. En lugar de hacer que todas las computadoras del sistema en la organización sea seguras (una tarea desalentadora), una organización por lo general asocia una computadora segura con cada muro de seguridad. Debido a que una computadora debe fortificarse poderosamente para servir como un canal de comunicación seguro, a menudo se le conoce como anfitrión baluarte (bastionhost).
  19. 19.  Para permitir un acceso seguro, el muro de seguridad tiene barreras conceptuales. La barra exterior bloquea todo el trafico entrante (1) a datagramas destinados a servicios en el anfitrión baluarte que la organización elige para mantener disponibles al exterior y (2) a datagramas destinados a clientes en el anfitrión baluarte. La barrera de entrada bloquea el trafico entrante excepto datagramas que se originan en el anfitrión baluarte. La mayor parte de los muros de seguridad también incluye una derivación manual que habilita al administrador para derivar temporalmente todo el trafico, o parte de el, entre un anfitrión dentro de la organización y un anfitrión fuera de la organización. En general, las organizaciones que desean una seguridad máxima, nunca habilitan una derivación. Aun cuando un anfitrión baluarte es esencial para la comunicación a través de un muro de seguridad, la seguridad de dicho muro depende la seguridad en el anfitrión baluarte. Un intruso que abra una grieta en la seguridad en el sistema operativo del anfitrión baluarte puede lograr el acceso del anfitrión dentro del muro de seguridad.
  20. 20.  Para evitar las debilidades asociadas al filtrado de paquetes, los desarrolladores crearon software de aplicación encargados de filtrar las conexiones. Estas aplicaciones son conocidas como Servidores Proxy y la máquina donde se ejecuta recibe el nombre de Gateway de Aplicación o BastionHost. El Proxy, instalado sobre el Nodo Bastión, actúa de intermediario entre el cliente y el servidor real de la aplicación, siendo transparente a ambas partes. •Cuando un usuario desea un servicio, lo hace a través del Proxy. Este, realiza el pedido al servidor real devuelve los resultados al cliente. Su función fue la de analizar el tráfico de red en busca de contenido que viole la seguridad de la misma.
  21. 21.  El monitoreo es uno de los aspectos mas mas importantes en el diseño de un muro de seguridad. El administrador de red responsable de un muro de seguridad necesita estar consiente de los riesgos en la seguridad. A menos que se cuente con un reporte de incidentes en un muro de seguridad, el administrador podría no darse cuenta de los problemas que se presenta. •El monitoreo puede ser activo o pasivo. En el monitoreo activo, un muro de seguridad notifica al administrador todos los incidentes que se presentan. La mayor ventaja del monitoreo activo es la velocidad, un administrador puede tener conocimiento de problemas potenciales de inmediato. La mayor desventaja es que en el monitoreo activo frecuentemente se produce mucha información que un administrador puede no comprender o puede no encontrar en tal información ningún indicio de problemas. Así, la mayoría de los administradores prefieren un monitoreo pasivo con una combinación de monitoreo pasivo con el reporte de unos cuantos incidentes de alto riesgo en lugar de monitoreo activo.
  22. 22.  En el monitoreo pasivo, un muro de seguridad lleva un registro de cada incidente en un archivo en disco. Un monitoreo pasivo por lo general registra la información del trafico normal ( es decir, como una simple estadística) y los datagramas que se filtran. Un administrador puede ingresar a la bitácora en cualquier momento. La mayor ventaja del monitoreo pasivo radica en que elabora registros de eventos. Un administrador puede consultar la bitácora para observar las tendencias y, cuando se presente un problema de seguridad, revisar la historia de eventos que conducen a un problema dado. Algo muy importante, un administrador puede analizar la bitácora periódicamente para determinar si los intentos por acceder a la organización se han incrementado o han decrecido con el tiempo.
  23. 23.  Introducción: La evolución de la tecnología TCP/IP está vinculada a la evolución de Internet por varias razones En primer lugar, Internet es la red de redes del TCP/IP instalada más extensa, En segundo lugar, los investigadores e ingenieros fundadores del TCP/IP tienden a fundar proyectos que le impactan a Internet. En tercer lugar, la mayoría de los investigadores. participantes en el TCP/IP tienen conexiones con Internet y la utilizan diariamente. Así pues, tienen una motivación inmediata para resolver problemas que mejorarán el servicio y ampliarán su funcionalidad.
  24. 24.  La versión 4 del protocolo de Internet (IPv4) proporciona los mecanismos de comunicación básicos del conjunto TCP/IP y la red global Internet; se ha mantenido casi sin cambio desde su inserción a fines de los años setenta. La antigüedad de la versión 4 muestra que el diseño es flexible y poderoso. Hubo desempeño en cuanto a: •Procesadores •Tamaño de las memorias •El ancho de banda de la columna vertebral de la red Internet se ha incrementado •Las tecnologías LAN
  25. 25.  De manera simultanea el IP se ha adaptado a los cambios de la tecnologías. A pesar de su diseño, el IPv4 también debe ser reemplazado. Las principales motivaciones para actualizar el IP: •El inminente agotamiento del espacio de direcciones. •Muchas corporaciones de tamaño mediano tienen varias LAN •Varias de las grandes corporaciones cuentan con una WAN corporativa En consecuencia, el espacio de direcciones IP que se usa actualmente no puede adaptarse al crecimiento proyectado de la red global de Internet. •IPv4 soporta 232, es decir, 4.294.967.296 direcciones de red diferentes, un número que se está tornando corto dado los numerosos dispositivos con conexión a la red de redes. •Por el contrario, IPv6 soporta 2128, es decir, 340.282.366.920.938.463.463.374.607.431.768.211.456 o, lo que es lo mismo, 340 sextillonesde direcciones.
  26. 26. Aun cuando la necesidad de un espacio de direcciones extensoestá forzando un cambio inmediato en el IP, hay otros factoresque también contribuyen. En particular, gran parte de éstos serefieren al soporte de nuevas aplicaciones. Por ejemplo, debidoa que el audio y el video en tiempo real necesitan determinadasgarantías en los retardos, una nueva versión del IP debeproporcionar un mecanismo que haga posible asociar undatagrama con una reservación de fuente pre asignada.
  27. 27. Formalmente, se ha decidido que a la próxima versión del IP se leasigne el número de versión 6. Así, para distinguido de la versiónactual del IP (IPv4), la próxima generación se llamará IPv6. En elpasado, el término IPngha sido utilizado en un contexto ampliopara referirse a todas discusiones y propuestas para una próximaversión del IP, mientras que el término IPv6 se ha utilizado parareferirse a una propuesta específica.
  28. 28.  Direcciones más largas:El IPv6 cuadruplica el tamaño de las, direcciones del IPv4, va de 32 bits a 128 bits. •Formato de encabezados flexible: El IPv6 utiliza un formato de datagrama incompatible y completamente nuevo. •Opciones mejoradas: Como el IPv4, el IPv6 permite que un datagrama incluya información de control opcional. •Soporte para asignación de recursos:El IPv6 reemplaza la especificación del tipo de servicio del IPv4 con un mecanismo que permite la pre asignación de recursos de red. •Provisión para extensión de protocolo:Posiblemente el cambio más significativo en el IPv6 es el cambio de un protocolo que especifica completamente todos los detalles a un protocolo que puede permitir características adicionales.
  29. 29.  La representación de las direcciones IPv6 sigue el siguiente esquema: x:x:x:x:x:x:x:x donde “x” es un valor hexadecimal de 16 bits. Por ejemplo una dirección IPv6 sería: FEDC:BA98:7654:3210:FEDC:BA98:7654:3210 Hay que tener en cuenta que se pueden omitir los ceros a la izquierda de cada campo de la dirección, por ejemplo: 1080:0:0:0:8:800:200C:417A Cuando hay más de dos grupos consecutivos de ceros se pueden comprimirse con “::” 1080::8:800:200C:417A Si la dirección tiene más de una serie de grupos nulos consecutivos la compresión sólo se permite en uno de ellos. La dirección de auto-retorno o localhostsería ::1
  30. 30.  Figura:Forma general de un datagrama IPv6 con varios encabezados. Sólo el encabezado base es indispensable, los encabezados de extensión son opcionales.Cada datagrama IPv6 comienza con un encabezado base octetos que incluye campos para las direcciones de fuente destino, el límite máximo de saltos, la etiqueta de flujo y el próximo encabezado. Así, un datagrama IPv6 debe contener cuando menos 40 octetos además de los datos.
  31. 31.  Encabezados de extensión del IPv6 El paradigma de un encabezado base fijo seguido por un conjunto de encabezados de extensión opcionales se eligió como un compromiso entre la generalidad y la eficiencia. Para ser totalmente general, el IPv6 necesita incluir mecanismos para soportar funciones como la fragmentación, el ruteo de fuente y la autenticación. Sin embargo, elegir la asignación de campos fijos en el encabezado de datagrama para todos los mecanismos es ineficiente pues la mayor parte de los datagramas no utiliza todos los, mecanismos. El gran tamaño de las direcciones IPv6 aumenta la ineficiencia.
  32. 32.  Como el IPv4, el IPv6 prepara el destino final para realizar el reensamblajede datagramas. Sin embargo, los diseñadores tomaron una decisión poco usual respecto a la fragmentación. Recordemos que el IPv4 requiere un ruteadorintermedio para fragmentar cualquier datagrama que sea demasiado largo para la MTU (MaximumTransfer Unit) de la red en la que viaja. En el IPv6, la fragmentación está restringida a la fuente original. Antes de enviar tráfico de información, una fuente debe realizar una técnica de PathMTU Discovery(descubrir la MTU de la ruta) para identificar la MTU mínima a lo largo de la trayectoria hasta el destino. Antes de enviar un datagrama, la fuente fragmenta el datagrama de manera que cada fragmento sea menor que el PathMTU. Así, la fragmentación es de extremo a extremo; no son necesarias fragmentaciones adicionales en ruteadoresintermedios.
  33. 33. El IPv6 conserva la capacidad de un emisor para especificar unaruta fuente. A diferencia del IPv4, en el que el ruteo de fuentese proporciona mediante opciones, el IPv6 utiliza un encabezadode extensión separado.
  34. 34.  Como el IPv4, el IPv6 asocia una dirección con una conexión de red específica, no con una computadora específica. Así, la asignación de direcciones es similar para el IPv4: un ruteadorIPv6 tiene dos o más direcciones, y un anfitrión IPv6, con una conexión de red, necesita sólo una dirección. El IPv6 también conserva (y extiende) la jerarquía de direcciones del IPv4 en la que una red física es asignada a un prefijo. Sin embargo, para hacer la asignación de direcciones y la modificación más fácil, el IPv6 permite que varios prefijos sean asignados a una red dada y que una computadora tenga varias direcciones simultáneas asignadas hacia una interfaz determinada.
  35. 35.  Además de permitir varias direcciones simultáneas por conexión de red, el IPv6 expande y, en algunos casos, unifica las direcciones especiales del IPv4. En general, una dirección de destino en un datagrama cae dentro de una de tres categorías: UnidifusiónLa dirección de destino especifica una sola computadora (anfitrión o ruteador); el datagrama deberá rutearsehacia el destino a lo largo de la trayectoria más corta. (como la IPv4) Grupo El destino es un conjunto de computadoras en el que todas comparten un solo prefijo de dirección (por ejemplo, si están conectadas a la misma red física); el datagrama deberá rutearsehacia el grupo a través de la trayectoria más corta y, después, entregarse exactamente a un miembro del grupo (por ejemplo, el miembro más cercano). MultidifusiónEl destino es un conjunto de computadoras, posiblemente en múltiples localidades. Una copia del datagrama deberá entregarse a cada miembro del grupo que emplee hardware de multidifusión o de difusión si están disponibles
  36. 36.  La cuestión sobre cómo dividir el espacio de direcciones ha generado muchas discusiones. Hay dos temas centrales: cómo administrar la asignación de direcciones y cómo transformar una dirección en una ruta. •El primer temase enfoca en el problema práctico de construir una jerarquía de autoridad. •A diferencia de la Internet actual, la cual utiliza una jerarquía de dos niveles de prefijos de red (asignados por la autoridad de Internet) y sufijos de anfitrión (asignados por la organización), el gran espacio de direcciones en el IPv6 permite una jerarquía de multiniveles o jerarquías múltiples. •El segundo temase enfoca en la eficiencia computacional. Independientemente de la jerarquía de autoridad que asigne direcciones, un ruteadordebe examinar cada datagrama y elegir una trayectoria hacia el destino. Para mantener bajo el costo de los ruteadoresde alta velocidad, el tiempo de procesamiento requerido para elegir una trayectoria debe mantenerse bajo. •Como se muestra en la siguiente figura, los diseñadores del IPv6 proponen asignar clases de direcciones en forma similar al esquema utilizado por el IPv4. Aun cuando los ocho primeros bits de una dirección son suficientes para especificar su tipo, el espacio de direcciones no se divide en secciones de igual tamaño
  37. 37.  Observe de la figura anterior que alrededor del 72% del espacio de direcciones ha sido reservado para usos futuros, no incluyendo la sección reservada para direcciones geográficas. Aun cuando el prefijo 0000 0000 tiene el nombre reservado en la figura, los diseñadores planean usar una pequeña fracción de direcciones en esta sección para codificar direcciones IPv4. En particular, cualquier dirección que comience con 80 bits puestos a cero, seguidos por 16 bits puestos a 1 o 16 bits puestos todos a cero, contiene una dirección IPv4 en los 32 bits de orden inferior. La codificación será necesaria durante la transición del IPv4 al IPv6 por dos razones: 1.una computadora puede elegir actualizar su software de IPv4 como IPv6 antes de tener asignada una dirección IPv6 válida. 2.una computadora que corra software IPv6 puede necesitar comunicarse con una computadora que corra sólo software IPv4.
  38. 38.  Teniendo una forma de codificar una dirección IPv4 en una dirección IPv6 no se resuelve el problema de lograr que las dos versiones interoperen. Además de la codificación de direcciones, es necesaria la traducción. Para utilizar un traductor, una computadora IPv6 genera un datagrama que contiene la codificación IPv6 de la dirección de destino IPv4. La computadora IPv6 envía el datagrama hacia un traductor, el cual utiliza IPv4 para comunicarse con el destino. Cuando el traductor recibe una réplica desde el destino, traduce el datagrama IPv4 a IPv6 y lo envía de regreso a la fuente IPv6.
  39. 39.  Parecería como si el protocolo de traducción de direcciones fallara debido a que las capas superiores de los protocolos verifican la integridad de las direcciones. En particular, el TCP y el UDP utilizan un pseudoencabezado en su cálculo para la suma de verificación. El pseudoencabezado incluye la dirección del protocolo de la fuente y el destino, cambiar estas direcciones puede afectar el cálculo. Sin embargo los diseñadores planearon cuidadosamente que el TCP o el UDP en una máquina IPv4 se pudieran comunicar con el correspondiente protocolo de transporte en una máquina IPv6. •Para evitar errores en la suma de verificación, la codificación IPv6 de una dirección IPv4 ha sido elegida de manera que el complemento a uno de los 16 bits de la suma de verificación para una dirección IPv4 y la codificación IPv6 de la dirección sean idénticos.
  40. 40.  Además de seleccionar detalles técnicos de un nuevo protocolo de Internet, el IETF que trabaja en el IPngse ha enfocado en encontrar una forma de transición del protocolo actual al protocolo nuevo. En particular, la propuesta actual para el IPv6 permite codificar una dirección IPv4 en lugar de una dirección IPv6, de manera que la traducción de la dirección no cambie la suma de la verificación del pseudo encabezado.
  41. 41.  Un ejemplo ayudará a entender cómo concibieron los diseñadores el uso de las direcciones IPv6. Consideremos la compañía Network Access Provider(NAP). Dicha compañía ofrece a sus clientes conectividad hacia Internet, a tales clientes los llamaremos suscriptores. Para permitir que cada proveedor asigne direcciones, la autoridad de Internet asigna a cada proveedor un identificador único. El proveedor puede entonces asignar a cada suscriptor un identificador único y utilizar ambos identificadores cuando asigne un bloque de direcciones. •Como se muestra en la figura superior , cada prefijo sucesivamente más largo tiene un nombre. La cadena inicial 010 identifica la dirección como el tipo de asignación del proveedor. Para cada dirección, el prefijo de proveedor incluye el tipo de dirección más el ID del proveedor. El prefijo de suscriptor cubre el prefijo del proveedor más el ID del suscriptor. Por último, el prefijo de subred incluye el prefijo de suscriptor más la información de subred. •Los campos en la figura están dibujados a escala. Por ejemplo, aun cuando los prefijos de direcciones parecen grandes en la figura, ocupan sólo tres de 128 bits. Los diseñadores recomiendan que el campo ID del nodo contenga por lo menos 48 bits para permitir que se utilice el direccionamiento de tipo 802 de IEEE. Así, será posible para un nodo IPv6 usar su dirección Ethernet como su ID de nodo.
  42. 42. Aunque el formato de direcciones mostrado arriba implica unajerarquía de cuatro niveles, una organización puede introducirniveles adicionales dividiendo el campo SubnetID en varioscampos.•Por ejemplo, una organización puede elegir subdividir su subreden áreas y asignar subredes dentro de las áreas. Hacer esto essimilar al esquema de direccionamiento de subred del IPv4, en elque la porción del anfitrión de una dirección es dividida en dospartes. El amplio espacio de direccionamiento del IPv6 permite ladivisión en muchas partes
  43. 43.  Ni la red global Internet ni los protocolos TCP/IP son estáticos. A través de su Engineering Task Forcé, la Internet Architecture Board se mantiene activa y realiza esfuerzos que hacen que la tecnología evolucione y mejore. Los procesos que conducen al cambio se manifiestan como un incremento en el tamaño y en la carga que obliga a mejorar los recursos para mantener el servicio, como aplicaciones nuevas que demandan más de la tecnología subyacente y como tecnologías nuevas que hacen posible proporcionar nuevos servicios. •Un esfuezo para definir la próxima generación de protocolo de Internet (IPng) ha generado una gran polémica y varias propuestas. Ha surgido un acuerdo de IETF para adoptar una propuesta conocida como Simple IP Plus como estándar para el IPng. Debido que se deberá asignar el número de versión 6, el protocolo propuesto se conoce a menudo como IPv6 para distinguirlo del protocolo actual, IPv4. •El IPv6 conserva muchos de los conceptos básicos del IPv4, pero cambia la mayor parte de los detalles. Como el IPv4, el IPv6 proporciona un servicio de entrega de datagramas sin conexión, con el mejor esfuerzo. Sin embargo el formato del datagrama IPv6 es completamente diferente del formato IPv4, y el IPv6 proporciona características nuevas como la autenticación, un mecanismo para flujos controlados de datagramas y soporte para seguridad.
  44. 44.  •El IPv6 revisa cada datagrama como una serie de encabezados seguidos por datos. Un data-grama siempre comienza con un encabezado base de 40 octetos, el cual contiene la dirección de fuente y destino y un identificador de flujo. El encabezado base puede estar seguido de ceros o por más encabezados de extensión, seguidos por datos. Los encabezados de extensión son opcionales —el IPv6 los utiliza para manejar gran parte de la información que el IPv4 codifica en opciones. •Una dirección IPv6 tiene una longitud de 128 bits, lo que hace que el espacio de dirección sea tan largo que cada persona en el planeta podría tener una red de redes tan extensa como la Internet actual. El IPv6 divide las direcciones en tipos en forma análoga a como el IPv4 las divide en clases. Un prefijo de la dirección determina la localización y la interpretación de los campos de dirección restantes. Muchas direcciones IPv6 serán asignadas por proveedores de servicio de red autorizados, dichas direcciones tienen campos que contienen un ID de proveedor, un ID de suscriptor, un ID de subred y un ID de nodo
  45. 45. Trabajo realizado por:Carmen Labrador Gayo.

×