sábado, 6 de diciembre de 2008

Pasos Para Completar el Impreso de Solicitud IPV6 REALLOCATE

ANTECEDENTES

Los ISP (proveedores de servicio de Internet) deben usar el impreso de "IPv6 Reallocate" para registrar una subdelegación. El destinatario de la subdelegación puede readjudicar o reasignar subredes de la red.

INSTRUCCIONES PARA EL IMPRESO DE SOLICITUD

En el renglón Asunto del mensaje electrónico escriba “IPv6-REALLOCATE”.

NOTA IMPORTANTE: No quite o modifique el encabezamiento del impreso, es decir, el renglón que comienza con “Template:” (impreso) o el pie de página “END OF TEMPLATE” (Fin del impreso). Ambos son necesarios para el procesamiento. Todos los renglones que comienzan con ## son directivas sobre cómo suministrar la información apropiada y no son necesarios para el procesamiento

"DOWNSTREAM SECTION" [SECCIÓN SECUNDARIA]

La SECCIÓN SECUNDARIA está dividida en dos subsecciones. Estas incluyen:

"ORGANIZATION SUB-SECTION" [SUBSECCIÓN DE ORGANIZACIÓN] para suministrar la información detallada que describe la organización secundaria.
"CONTACT SUB-SECTION" [SUBSECCIÓN DE CONTACTO] para suministrar los Puntos de contacto (POC) para la organización secundaria.

"ORGANIZATION SUB-SECTION" [SUBSECCIÓN DE LA ORGANIZACIÓN]

El impreso de IPv6-REALLOCATE permite registrar una organización secundaria al mismo tiempo que se reasignan los recursos de esa organización. No obstante, este impreso NO le permitirá modificar información asociada a una organización existente. Si desea modificar la información asociada a una organización existente, use el impreso "Org-Detailed" o el "Org-Simple".

1. Se necesita una Identificación de organización (Org ID) para que la organización secundaria pueda mantener la información asociada a esta reasignación. Si no está seguro sobre la identificación de la organización secundaria, busque el nombre de la organización en la base de datos WHOIS de ARIN. Si la organización secundaria ya tiene una Identificación de organización, sírvase escribirla en el renglón 1 y luego salte al campo 20. Si la organización secundaria no tiene una Identificación de organización, sírvase completar los campos 2 a 19.

2. Proporcione el nombre legal de la organización que recibe la reasignación tal como está registrado con las autoridades locales, regionales o nacionales.

3. La dirección física de la organización que recibe la reasignación es un campo obligatorio. Si bien este impreso proporciona solos dos renglones para la dirección, puede duplicar 3b tantas veces como sea necesario para capturar la dirección completa. No incluya la ciudad, estado o provincia, código postal o código del país en este campo. Un ejemplo:

Address: 111 Scenic Overview Drive
Address: Suite 400
Address: División de Cable

4. Indique la ciudad de la organización que recibe la reasignación. Ciudad es un campo obligatorio.

5. Para los Estados Unidos y Canadá, proporcione las dos letras de la abreviatura del estado o provincia de la organización que recibe la reasignación. Para el resto de los países, si corresponde, proporcione el nombre abreviado o completo del estado o provincia.

6. Proporcione el código postal correspondiente para la localidad de la organización que recibe la reasignación. Como ejemplo, para los Estados Unidos, use el código zip. Deje este campo en blanco si el país no usa códigos postales.

7. Proporcione el código del país ISO-3166, de dos caracteres, de la organización que recibe la reasignación. La lista completa de los códigos de los países se encuentra en:
http://www.arin.net/library/internet_info/countries.html.

"CONTACT SUB-SECTION" [SUBSECCIÓN DE CONTACTO]

En la sección de contacto se listan los puntos de contacto (POC) de la organización secundaria. Si está registrando una nueva organización, debe proporcionar el POC de la organización. Aunque puede registrar un POC existente con una nueva organización, NO puede modificar la información asociada al POC existente. Si desea modificar la información asociada a un POC existente, use el impreso del POC.

El POC provisto se convertirá tanto en el contacto administrativo como técnico. Si desea modificar todo esto, o proporcionar otros POC, use el impreso Org-Detailed o la Org-Simple.

Si no está seguro de el identificador de POC registrado, haga una búsqueda de “last name, first name” (apellido, nombre) en la base de datos WHOIS.

Se le adjudica una contraseña a cada uno de los POC en la base de datos de ARIN con el formato -ARIN, donde es un rótulo formado por las iniciales de una persona o cuenta de grupo y un número.

8. Si el POC ya existe en la base de datos de ARIN, escriba la contraseña aquí. Si está provista, salte los renglones 9 a 19. Si el POC no está registrado, deje este renglón en blanco y complete los renglones 9 al 19.

9. Un POC puede ser tanto una persona como una cuenta de grupo. Indique P para persona o R para cuenta de grupo. No se puede actualizar el Tipo de contacto.

10. Si el POC es una cuenta de grupo, escriba el nombre completo de la cuenta de grupo. Por ejemplo:
Last Name or Role Account: Network Operations Center
Si el POC es una persona, escriba el apellido únicamente. Por ejemplo:
Last Name or Role Account: Smith

11. Si el POC es una persona, el nombre es obligatorio. Si el POC es una cuenta de grupo, el nombre se debe dejar en blanco.

12. Si el POC es una cuenta de grupo, el nombre de la compañía es obligatorio. Esto ayudará a distinguir al Hostmaster de la Compañía ABC del Hostmaster de la Compañía XYZ. Es optativo para las personas.

13. La dirección física del POC de la organización que recibe la reasignación es un campo obligatorio. Si bien este impreso proporciona solos dos renglones para la dirección, puede duplicar 13b tantas veces como sea necesario para capturar su dirección completa. No incluya la ciudad, estado o provincia, código postal o código del país en este campo. Un ejemplo:

Address: 111 Scenic Overview Drive
Address: Suite 400
Address: Departamento de administración de IP

14. Indique la ciudad del POC de la organización que recibe la reasignación. Ciudad es un campo obligatorio.

15. Para los Estados Unidos y Canadá, proporcione las dos letras de la abreviatura del estado o provincia del POC de la organización que recibe la reasignación. Para el resto de los países, si corresponde, proporcione el nombre abreviado o completo del estado o provincia.

16. Proporcione el código postal local correspondiente del POC de la organización que recibe la reasignación. Como ejemplo, para los Estados Unidos, use el código zip. Deje este campo en blanco si el país no usa códigos postales.

17. Proporcione el código del país ISO-3166, de dos caracteres, del POC de la organización que recibe la reasignación. La lista completa de los códigos de los países se encuentra en:
http://www.arin.net/library/internet_info/countries.html.

18. Proporcione el número de teléfono del POC, incluso los códigos de país y de área. Sólo son válidos los números y los caracteres + - (). No incluya la extensión del teléfono o instrucciones adicionales en el campo del número de teléfono. Se supone que el tipo de teléfono es un número de teléfono de oficina Si desea tener varios números de teléfonos de oficina asociados con este POC, debe duplicar el renglón 18. Si desea modificar el tipo de teléfonos, o proporcionar otros números de teléfonos de otros tipos de teléfonos, use el impreso de POC.

19. Ingrese la dirección de correo electrónico del POC. RFC 822 describe direcciones de correo electrónico válidas. Se necesita por lo menos una dirección de correo electrónico para procesar un nuevo POC. Si desea tener varias direcciones de correo electrónico asociadas con el POC, debe duplicar el renglón 19.
"NETWORK SECTION" [SECCIÓN DE REDES]

20. Identifique la red a reasignar. El impreso aceptará la red en formato de prefijo CIDR. Por ejemplo:
IP Address and Prefix: 2001:0100:0100::/48

21. El nombre de la red se utiliza como identificador. Proporcione un nombre corto para la red, compuesto por la combinación de hasta 14 letras, números, o ambos Puede usar un guión (-) como parte del nombre de la red, pero ningún otro carácter especial, como puntos o subrayados.

22. Se aceptarán readjudicaciones de /48 y prefijos más cortos. Para readjudicaciones de menos de /48, se podría necesitar información adicional. ARIN recolectará esta información para un análisis que se podría usar en discusiones sobre la política futura en lo que se refiere a la utilización de IPv6. En dichas discusiones no se usarán los nombres de las organizaciones registradas.

"NETWORK CONTACT SECTION (Optional)" [SECCIÓN DE CONTACTO DE RED (Optativa)]

Puede agregar puntos de contacto (POC) técnicos optativos asociados con la reasignación de esta red. Si no se agregan POC, el contacto asociado con la organización secundaria servirá como POC de esta red. Los campos 23 a 34 se pueden duplicar para poder agregar otros POC.

El impreso de IPv6-REALLOCATE permite registrar un POC al mismo tiempo que se registra la reasignación. No obstante, este impreso NO le permitirá modificar información asociada a un POC existente. Si desea modificar la información asociada a un POC existente, use el impreso del POC.

Si no está seguro de el identificador de POC registrado, haga una búsqueda de “last name, first name” (apellido, nombre) en la base de datos WHOIS.

Se le adjudica una contraseña a cada uno de los POC en la base de datos de ARIN con el formato -ARIN, donde es un rótulo formado por las iniciales de una persona o cuenta de grupo y un número.

23. Si el POC de la red ya existe en la base de datos de ARIN, escriba la contraseña aquí. Si está provista, salte los renglones 24 a 34. Si el POC no está registrado, deje este renglón en blanco y complete los renglones 24 a 34.

24. El POC de la red puede ser tanto una persona como una cuenta de grupo. Indique P para persona o R para cuenta de grupo. No se puede actualizar el Tipo de contacto.

25. Si el POC de la red es una cuenta de grupo, escriba el nombre completo de la cuenta de grupo. Por ejemplo:
Last Name or Role Account: Network Operations Center

Si el POC de la red es una persona, escriba el apellido únicamente. Por ejemplo:
Last Name or Role Account: Smith

26. Si el POC de la red es una persona, el nombre es obligatorio. Si el "Network POC" es una cuenta de grupo, el nombre se debe dejar en blanco.

27. Si el Network POC es una cuenta de grupo, el nombre de la compañía es obligatorio. Esto ayudará a distinguir al Hostmaster de la Compañía ABC del Hostmaster de la Compañía XYZ. Es optativo para las personas.

28. La dirección física del POC de la red es un campo obligatorio. Si bien este impreso proporciona solos dos renglones para la dirección, puede duplicar 28b tantas veces como sea necesario para capturar su dirección completa. No incluya la ciudad, estado o provincia, código postal o código del país en este campo. Un ejemplo:

Address: 111 Scenic Overview Drive
Address: Suite 400
Address: Departamento de administración de IP

29. Indique la ciudad del POC de la red. Ciudad es un campo obligatorio.

30. Para los Estados Unidos y Canadá, proporcione las dos letras de la abreviatura del estado o provincia del POC de la red. Para el resto de los países, si corresponde, proporcione el nombre abreviado o completo del estado o provincia.

31. Proporcione el código postal correspondiente para la localidad del POC de la red. Como ejemplo, para los Estados Unidos, use el código zip. Deje este campo en blanco si el país no usa códigos postales.

32. Proporcione el código del país ISO-3166, de dos caracteres, del POC de la red. La lista completa de los códigos de los países se encuentra en:
http://www.arin.net/library/internet_info/countries.html.

33. Proporcione el número de teléfono del POC de la red, incluso los códigos de país y de área. Sólo son válidos los números y los caracteres + - (). No incluya la extensión del teléfono o instrucciones adicionales en el campo del número de teléfono. Se supone que el tipo de teléfono es un número de teléfono de oficina Si desea tener varios números de teléfonos de oficina asociados con este POC, debe duplicar el renglón 33. Si desea modificar el tipo de teléfonos, o proporcionar otros números de teléfonos de otros tipos de teléfonos, use el impreso de POC.

34. Ingrese la dirección de correo electrónico del POC de la red. RFC 822 describe direcciones de correo electrónico válidas. Se necesita por lo menos una dirección de correo electrónico para procesar un nuevo POC. Si desea tener varias direcciones de correo electrónico asociadas con el POC, debe duplicar el rengl ón 34.

"PUBLIC COMMENTS SECTION (Optional)" [SECCIÓN DE COMENTARIOS PÚBLICOS (Optativa)]

sábado, 29 de noviembre de 2008

Probar y Desabilitar IPV6 de Windows Vista

Para probar que IPv6 funciona en tu PC, ejecuta en una ventana de consola:

ping6 -n 5 ::1




Si el resultado es el siguiente (o similar):


Haciendo ping a ::1 con 32 bytes de datos:

Respuesta desde ::1: tiempo<1m
Respuesta desde ::1: tiempo<1m
Respuesta desde ::1: tiempo<1m
Respuesta desde ::1: tiempo<1m
Respuesta desde ::1: tiempo<1m

Estadísticas de ping para ::1:
Paquetes: enviados = 5, recibidos = 5, perdidos = 0 (0% perdidos),
Tiempos aproximados de ida y vuelta en milisegundos:
Mínimo = 0ms, Máximo = 0ms, Media = 0ms


esto significa que IPv6 esta instalado correctamente y es funcional. Básicamente debes de ser capaz de ver "5 paquetes recibidos".


Con Windows Vista el protocolo IPv6 viene instalado y habilitado por defecto por lo que no tendras que hacer nada especial. Sin embargo, puedes seguir las instrucciones de abajo si quieres configurar algunas caracteristicas avanzadas de IPv6 en este sistema operativo.

Deshabilitar IPv6

A diferencia de lo que ocurre en Windows XP y 2003, IPv6 en Windows Vista no se puede desinstalar porque es parte integrante de la pila IP. Para deshabilitar IPv6 en una conexión o interfaz de red específicos hay que ir a la carpeta “Conexiones de Red”, obtener las propiedades de la conexión o interfaz de red y deseleccionar el componente “Protocolo Internet versión 6 (TCP/IPv6)” de la lista. Este método deshabilita IPv6 de dicha conexión o interfaz de red pero no deshabilita IPv6 de los interfaces de túneles ni de la interfaz virtual loopback.

Para deshabilitar de manera selectiva algunos componentes de IPv6 o configurar su comportamiento, en Windows Vista hay que crear y configura el siguiente valor del registro de Windows (tipo DWORD)


HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\tcpip6\Parameters\DisabledComponents


DisabledComponents está configurado a 0 por defecto


El valor de registro DisabledComponents es una máscara de bits que controla los siguientes parámetros, comenzando por el bit de menor orden (Bit 0):

Bit 0 puesto a 1 para deshabilitar todos los interfaces de túnel IPv6, incluyendo ISATAP, 6to4, and Teredo. El valor por defecto es 0

Bit 1 puesto a 1 para deshabilitar todos los interfaces de túnel 6to4. El valor por defecto es 0

Bit 2 puesto a 1 para deshabilitar todos los interfaces ISATAP. El valor por defecto es 0
Bit 3 puesto a 1 para deshabilitar todos los interfaces Teredo. El valor por defecto es 0

Bit 4 puesto a 1 para deshabilitar IPv6 sobre todos los interfaces que no son túneles, incluyendo interfaces LAN y PPP. El valor por defecto es 0

Bit 5 puesto a 1 para modificar la tabla de políticas de prefijos y preferir IPv4 sobre IPv6 en las conexiones. El valor por defecto es 0

Para determinar el valor del parámetro DisabledComponents para una determinada configuración hay que construir un número binario con el valor adecuado y después convertirlo a su valor hexadecimal. Por ejemplo, si quieres deshabilitar los interfaces 6to4 y Teredo y preferir IPv4 sobre IPv6 entoces habría que construir el siguiente número binario: 101010. Después convertirlo a su valor hexadecimal de manera que el valor del parámetro DisableComponents sería 0x2A.

Después de hacer estos cambios hay que reiniciar el PC para que el nuevo valor de DisableComponents tenga efecto.

sábado, 22 de noviembre de 2008

Windows Server e IPV6

Para utilizar IPv6 con Windows 2000 (con SP1 o superior), se tenía que descargar archivos de Microsoft para agregar el soporte para la nueva versión de la propiedad intelectual para el sistema operativo. Usted puede obtener productos de terceros para añadir soporte para IPv6 en Windows 9x y NT.

Server 2003, sin embargo, incluye soporte IPv6 "fuera de la caja" sin ningún tipo de add-ons.

Instalar IPv6 como protocolo de red a través del cuadro Propiedades de la conexión de área local, tal como se muestra en la siguiente figura:


- Instalación de IPv6 como un protocolo en Windows Server 2003

Para instalar soporte IPv6, siga estos pasos:
1. Haga clic en Inicio Panel de Control Conexiones de red

2. Haga clic derecho en la conexión de área local y seleccione Propiedades


3. Haga clic en el botón Instalar.


4. Seleccione Protocolo en el cuadro de componentes de red y haga clic en el botón Agregar


5. Haga clic en Microsoft TCP / IP versión 6 y haga clic en Aceptar


IPv6 ahora aparece en la lista de protocolos instalados en la conexión de las propiedades, como se muestra en la siguiente figura:



Después de la instalación, TCP / IP versión 6 aparece como un componente de red instalado

En Server 2003, no se puede instalar sólo IPv6, IPv4 también debe ser instalado (y se instala por defecto cuando se instala el sistema operativo).

Puede configurar estos elementos para IPv6:

-Dirección IPv6 (puede ser obtenido por un anuncio o mediante un router puede asignarse manualmente).

-Router por defecto que se utilizarán para comunicarse con nodos IPv6 en segmentos de red que no sea de su propia red (se puede asignar automáticamente a través de router o añadir a la tabla de enrutamiento IPv6 manualmente)

- Servidor DNS para resolver nombres de host a direcciones IPv6

La mayoría de las configuraciones de IPv6 se pueden hacer utilizando el comando netsh en el contexto IPv6. Para cambiar a IPv6 contexto, escriba netsh interface ipv6. A continuación, puede utilizar los comandos de IPv6, que permite añadir, modificar y borrar direcciones y rutas, añadir 6 más de 4 o 6 en 4 túneles, configurar la dirección temporal de generación, y mucho más.

....Espero que este post les sea de mucha ayuda, en el siguiente post estaremos dando mas alcance sobre el tema mencionado......

viernes, 14 de noviembre de 2008

Protocolo de Descubrimiento de Vecino

En IPv6, el protocolo semejante a ARP en IPv4, es el llamado protocolo de descubrimiento del vecino (ND, Neighbor Discovery). Este protocolo es el mecanismo por el cual un nodo que se incorpora a una red, descubre la presencia de otros en su mismo enlace, determina sus direcciones en la capa de enlace, localiza los routers y mantiene la información de conectividad acerca de las rutas a los vecinos activos.





El protocolo ND se emplea también para mantener limpios los caches donde se almacena la información relativa al contexto de la red a la que está conectada un servidor o un router, y para detectar cualquier cambio en la misma. Si un router o una ruta falla, el servidor buscará alternativas funcionales.

ND emplea los mensajes ICMPv6 para algunos de sus servicios, este protocolo es bastante completo y sofisticado, ya que es la base para permitir el mecanismo de autoconfiguración en IPv6.

Define varios mecanismos, entre ellos:

descubrir routers, prefijos y parámetros, autoconfiguración de direcciones, resolución de direcciones, determinación del siguiente salto, detección de nodos inalcanzables, detección de direcciones duplicadas o campos, redirección, balanceo de carga entrante, direcciones anycast, y anunciación de proxies.

ND define cinco tipos de mensajes ICMPv6:

- Solicitud de router. Generado por una interfaz cuando es activada, para pedir a los routers que se anuncien inmediatamente. Tipo de mensaje ICMPv6 133 código 0.

- Anunciación de router. Generado por los routers periódicamente (entre cada 4 y 1800 segundos) o como consecuencia a una solicitud de router, a través de multicast, parainformar de su presencia así como de otros parámetros de enlace y de Internet, comoprefijos (uno o varios), tiempo de vida, configuración de direcciones, límite de salto sugerido, etc. Es importante para permitir la renumeración. Tipo de mensaje ICMPv6134 código 0.

- Solicitud de vecino. Generado por los nodos para solicitar la dirección en la capa de enlace de la tarjeta de su vecino, o para verificar que el nodo vecino es alcanzable, asícomo para detectar las direcciones duplicadas. Las solicitudes son multicast cuando elnodo necesita resolver una dirección y unicast cuando el nodo quiere verificar que el vecino es alcanzable. Tipo de mensaje ICMPv6 135 código 0.

- Anunciación de vecino. Generado por los nodos como respuesta a la solicitud devecino. Tipo de mensaje ICMPv6 136 código 0.

- Redirección. Generado por los routers para informar a los hosts de un mejor salto para llegar a un destino. Tipo de mensaje ICMPv6 137 código 0.

El protocolo de Descubrimiento de vecinos IPv6 corresponde a una combinación de los protocolos IPv4 ARP, descubrimiento de router ICMP, y redirección ICMP. El protocolo ND presenta las siguientes ventajas frente a los mecanismos existentes en IPv4:

- El descubrimiento de routers es parte de la base del protocolo, no se tiene que recurrir a los protocolos de encaminado.

- La anunciación del router incluye las direcciones de la capa de enlace, no es necesario ningún intercambio adicional de paquetes para su resolución.

- La anunciación del router incluye los prefijos para el enlace, por lo que no hay necesidad de un mecanismo adicional para configurar la máscara de red.

- La anunciación de un router permite la autoconfiguración de direcciones.

- Los routers pueden anunciar a los host del mismo enlace la MTU.

- Se extienden las multicast de resolución de direcciones entre 232 direcciones, reduciendo de forma importante las interrupciones relativas a la resolución de direcciones en máquinas distintas al objetivo, y evitando las interrupciones en máquinas sin IPv6.

- Las redirecciones contienen la dirección de la capa de enlace del nuevo salto, lo que evita la necesidad de una resolución de dirección adicional.

- Se pueden asignar múltiples prefijos al mismo enlace y por defecto los host aprenden todos los prefijos por la anunciación del router. Sin embargo, los routers pueden ser configurados para omitir parte o todos los prefijos en la anunciación, de forma que las máquinas consideren que los destinos están fuera del enlace; de esta forma, enviarán eltráfico a los routers, quien a su vez los redireccionarán según corresponda.

- A diferencia de IPv4, en IPv6 el receptor de una redirección asume que el siguiente salto está en el mismo enlace. Se prevé una gran utilidad en el sentido de no ser deseable o posible que los nodos conozcan todos los prefijos de los destinos en elmismo enlace.

- La detección de vecinos inalcanzables es parte de la base de mejoras para la robustez en la entrega de paquetes frente a fallos en routers, particiones de enlaces, nodos que cambian sus direcciones, nodos móviles, etc.

- A diferencia de ARP, en ND se pueden detectar fallos de la mitad del enlace, es decir,con conectividad en un solo sentido, evitando el tráfico hacia ellos.

- La detección de vecinos inalcanzables es parte de la base de mejoras para la robustez en la entrega de paquetes frente a fallos en routers, fallas parciales, nodos que cambian sus direcciones, nodos móviles, etc.

- El uso de direcciones de enlace local para identificar routers, permite a las máquinas que mantengan su asociación con los mismos, en el caso de que se realice una renumeración para usar nuevos prefijos globales.

- El límite de saltos es igual a 255, lo que evita que haya envíos accidentales o intencionados desde máquinas fuera del enlace, dado que los routers decrementan automáticamente este campo en cada salto.

- Al realizar la resolución de direcciones en la capa ICMP, se independiza el protocolodel medio, permitiendo mecanismos de autenticación y seguridad normalizados.

Por todo lo anterior se puede decir que ND reemplaza a ARP con varias mejoras e importantesventajas.

viernes, 7 de noviembre de 2008

IPV6 EN RELACION CON LINUX

En este post vamos a mencionar los pasos que se tienen que seguir para implementar en una plataforma linux el protocolo IPV6......



- En primer lugar se tiene que comprobar que el Kernel soporta IPV6, por lo tanto se tien que comprobar la siguiente entrada:

/prco/net/if_inet6

- En caso de que no exista se puede intentar cargar el modulo IPV6 con:

#> modprobe ipv6

- si se ha cargado correctamente debe existir la entrada mencionada.

Nota: Descargar el modulo puede a veces, provocar la caida del sistema. Aunque en versiones actuales de los modulos el soporte es muy estable.


- Para que cargue de forma automatica el modulo IPV6 cuando se demande, se añade al fichero
/etc/modules.conf la siguiente linea:

alias net-pf-10 ipv6
alias sit0 ipv6
alias sit1 ipv6
alias tun6to4



- luego se necesitan Scripts para inicilaizar todo lo relacionado con IPV6 y para configurar las direcciones v4/v6 de las interfaces. conviene actualizar a la ultima version de los mismos. Estos scripts pueden obtenerse en :




Aunque la mayoria de distribuciones actuales configuran estos scripts en la instalacion del sistema.


se descarga la ultima version (IPv6-initscripts-20020125.tar.gz) y se descomprime.


- luego se copian los ficheros de scripts a los directorios correspondientes:


/etc/sysconfig/network-scripts/network-funtions-ipv6

/etc/sysconfig/network-scripts/init.ipv6-global

/etc/sysconfig/network-scripts/ifup-ipv6

/etc/sysconfig/network-scripts/ifdow-ipv6

/etc/sysconfig/network-scripts/ifup-sit

/etc/sysconfig/network-scripts/ifdow-sit


/etec/ppp/ip-up.ipv6to4

/etec/ppp/ip-dow.ipv6to4

/etec/ppp/ipv6-dow


/usr/sbin/test-ipv6-installation


/etec/sysconfig/static-routes-ipv6


- Luego se recomienda instalar ipv6calc para habilitar la deteccion de direcciones extendidas.

puede obtenerse de:




- Para proceder a instalar de escribir los siguientes comandos:


root# cd /usr/src/redhat/RPMS/i386

root# rpm -i ipv6calc-version.i386.rpm


debe existir ahora /bin/ipv6calc


En el fichero sysconfig-ipv6.txt que viene con el paquete de scripts, se da informacion detallada de los parametros que se puedan configurar en cada script.


para comprobar que la configuracion es correcta, se puede ejecutar el scrip:


/usr/sbin/test-ipv6-installation (que viene con el paquete)


- Luego se debe configurar la red:


se debe cambiar el nombre del host, se pone en /etc/sysconfig/network, la linea:


HOSTNAME= nombre_host


Luego conviene añadirlo en el fichero /etc/host:


: : 1 nombre_host


El nombre de host puede verse en /proc/sys/kernel/hostname o simplemente ejecutando

/bin/hostname sin ningun parametro.


- Se deben añadir entradas en /etc/host para ipv6:


: :1 localhost ip6-localhost ip6-loopback

fe00: : 0 ip6-localnet

fe00: : 0 ip6-mcastprefix

fe02: : 1 ip6-allnodes

fe02: : 2 ip6-allrouters

fe02: : 3 ip6-allhost



Espero que este post les sea de mucha ayuda........

jueves, 30 de octubre de 2008

El Estado Actual y la Seguridad del Protocolo IPV6


En la actualidad vemos que IPv4 funciona, y funciona bien. De no haber sido así, por seguro que se habría migrado masivamente a IPv6, y eso no ha sucedido. De todos modos IPv4 es un protocolo muy antiguo, y que tiene bastantes operativos ligados a su arquitectura:



- Ataques de denegación (distribuída) de servicios, DoS y DDoS. Las inundaciones de información en broadcasting y los ataques Smurf siguen estando ahí.

- La distribución de código malicioso automatizado, ya que el espacio IPv4 es corto y está saturado (más de dos terceras partes del espacio IPv4 está ya asignado).


- Los ataques Man in the Middle, ya que IPv4 no tiene características propias para proporcionar autenticación fuerte por sí mismo.


- Ataques de fragmentación, en los que se aprovecha lo mal que gestionan a veces las pilas de protocolo de algunos sistemas operativos la información fragmentada. Los más veteranos seguro que recuerdan los Nukes OOB (Out Of Band) y la legendaria pantalla azul de Windows.

- Ataques de reconocimiento y de escaneo de servicios. Escanear una clase C entera puede llevar bastante poco tiempo.

- Envenenamiento ARP y redirección de eco ICMP, o cómo desviar el tráfico a una dirección maliciosa.


IPv6 puede proporcionar mejoras no sólo para la seguridad, sino para el funcionamiento global de las comunicaciones.

¿Cómo?


- Proporcionando un espacio mayor. Pasamos de 2^32 a 2^128.

- Direccionamiento jerárquico. Desde el unicast (asignadas a un sólo nodo IPv6) al anycast (envíos segmentados a ciertos integrantes de un grupo determinado) (, pasando por el multicast (un grupo de nodos, la información llega a todos los integrantes). ¿En qué resulta esto? Tablas de enrutado mucho menores. Comunicaciones más optimizadas.


- Comunicaciones DHCPv6 que permiten configuraciones stateless y statefull.


- Calidad de servicio, QoS. Las cabeceras IPv6 contienen información específica que facilita la gestión del Quality of Service tanto para servicios diferenciados como integrados.


- Más rendimiento. Mejoran la gestión de paquetes y los tiempos de proceso.


- Pensado para la seguridad. IPSec en IPv6 es obligatorio, no opcional como sucede en IPv4.


- Extensibilidad. Las cabeceras IPv6 doblan en tamaño a las IPv4, pero sin embargo, las direcciones IPv6 son cuatro veces más largas. Las cabeceras IPv6 no contienen campos opcionales, lo que queramos enviar como opcional se hace vía cabeceras auxiliares. Esto reduce cómputo y tiempos, y simplifica la gestión.


- Movilidad. Trasladar nodos sin perder tiempo de operación es algo asumible en IPv6, mucho más fácil de lograr que en IPv4.



Una de las grandes ventajas de IPv6 es contemplar IPSec como algo obligatorio. Convertir IPSec en mandato obligatorio es harto interesante. Es una necesidad, diría yo. Mediante IPSec en IPv6 es posible reforzar la seguridad de las comunicaciones al menos desde las siguientes ópticas:



- Cabeceras y autenticación, que previenen la adulteración de las mismas (authentication header)
- Encapsulating Security Payload y la enorme ventaja que acarrea este encapsulado.

- Modo transporte (comunicaciones seguras entre extremos asegurando el payload de la comunicación) y modo túnel (no del todo necesario, ya que la autenticación de cabeceras y el Encapsulating Security Payload son suficientes para asegurar la comunicación)


- Negociación y gestion del intercambio de llaves, que se basa en que IPSec cumple con IKE.


¿dónde están los problemas de seguridad en IPv6?


La lista de posibles problemas podría ser:


- La coexistencia de IPv4 e IPv6. Mientras se traslada lo que hay en IPv4 a IPv6, es posible hallar problemas relacionados con la dualidad de pilas (dos infraestructuras, cada una con sus problemas propios)


- Manipulación de cabeceras. Pese a su diseño contra este tipo de actividad, no existe seguridad al 100%, como bien sabemos. No son descartables acciones futuras que burlen parte o la totalidad de los mecanismos de autenticación, especialmente en la fase de dualidad durante la migración.


- Ataques de inundación. El flood sólo se puede capear procesando la inundación y el tráfico, con lo que este tipo de ataques siempre estará ahí, si bien será más complicado para los atacantes.


- Movilidad. Al no existir este concepto en IPv4, nadie sabe a ciencia cierta cómo responderá realmente en IPv6. Todo un misterio pendiente de resolver.


¿Cómo está el panorama actualmente?


Como podran imaginar, bastante complicado. En pequeñas escalas y en redes locales se emplea bastante IPv6, ya que sistemas como Linux posibilitan su despliegue de una manera cómoda, rápida y segura, para servicios Intranet como SSH. Otros sistemas menos dados a innovar, como las plataformas Microsoft, admiten también IPv6, pero no gozan de la misma operatividad de servicios, muy poco consolidada en estos productos.


Tal y como dice la Wikipedia, ICANN anunció el 20 de julio de 2004 que los registros AAAA de IPv6 para Japón (.jp) y Corea (.kr) de código de país ya son visibles en los servidores raíz de DNS. El registro IPv6 para Francia fue añadido poco después. Poco esfuerzo adicional se ha hecho desde entonces.

....Espero que este post les se a de mucha utilidad, seguiremos dando mas alcances de IPV6 en el proximo post.....

miércoles, 22 de octubre de 2008

Problemas entre Windows Vista e IPV6

En este post vamos a hablar que existen algunas imcopatibilidades de windows Vista e IPV6, vamos a mencionar algunos de los problemas que ocurren:

por ejemplo:

- Los mensajes de error ICMP (usados entre otros para hacer pings) no pueden ser leidos por las aplicaciones en Vista......

definimos que es ICMP:

El protocolo ICMP:

El Protocolo de Mensajes de Control y Error de Internet, ICMP, es de características similares a UDP, pero con un formato mucho más simple, y su utilidad no está en el transporte de datos de usuario, sino en controlar si un paquete no puede alcanzar su destino, si su vida ha expirado, si el encabezamiento lleva un valor no permitido, si es un paquete de eco o respuesta, etc. Es decir, se usa para manejar mensajes de error y de control necesarios para los sistemas de la red, informando con ellos a la fuente original para que evite o corrija el problema detectado. ICMP proporciona así una comunicación entre el software IP de una máquina y el mismo software en otra.

El protocolo ICMP solamente informa de incidencias en la entrega de paquetes o de errores en la red en general, pero no toma decisión alguna al respecto. Esto es tarea de las capas superiores.


....Los problemas estan surgiendo de la siguiente manera:


- Trabajos de impresion en red que se corrompen regularmente hasta que se desactiva el soporte IPV6 de Vista, en ese momento todo vuelve a la normalidad.

Como consecuencia algunos consultores ya estan recomendando a sus clientes que desactiven en sus estaciones de trabajo el soporte para IPV6, al menos hasta que las redes completas migren a IPV6.

Tambien afirman que los responsables de redes deberian mayor importancia en este asunto, por que si no pueden perder muchas horas tratando de resolver problemas.


Desactivar IPV6 en Windows Vista

A diferencia de Windows XP, IPV6 no puede ser desistalado de Windows Vista sim embargo si puede ser desactivado.

Pasos:

1) Primero pulse la tecla Win + R para abrir el cuadro de ejecutar comandos y escribir:

regedit. Luego vamos a:

HKEY_LOCAL_MACHINE\

SYSTEM\

CurrentControlSet\

Services\

tcpip6\

Parameters


Y creamos un nuevo registro (DWORD) llamado DisabledComponents. Por defecto DisabledComponents está a 0, ahora toca poner el valor que más convenga, cabe mencionar que el valor es una mascara por lo que el bit a tocar es el bit más bajo, así que toca generar un número binario y pasarlo a hexadecimal. Pero no nos vamos a matar tanto, los valores más habituales están justo debajo:


- Desactivar todos las interfaces por tunel: 0×1.

- Desactivar 6to4: 0×2.

- Desactivar ISATAP: 0×4.

- Desactivar Teredo: 0×8.

- Desactivar Teredo y 6to4: 0xA.

- Desactivar todas las interfaces LAN y PPP: 0×10.

- Desactivar todas las interfaces por tunel, LAN y PPP: 0×11.

- Preferir IPv4 antes que IPv6: 0×20.

- Desactivar IPv6 sobre todas las interfaces y preferir IPv5 antes que IPv6: 0xFF.

De preferencia usar:

- Preferir IPv4 antes que IPv6: 0×20.
Para que use IPv4 hasta el momento en que la red esté 100% bajo IPv6

espero que este post sea de mucha ayuda, estaremos dando mas alcances de IPV6.....

viernes, 17 de octubre de 2008

CLAVES DE INTERNET INTERCAMBIADAS

En este post vamos a dar los pasos para realizar el intercambio de claves para poder tener mayor seguridad:

Antes de que se pueda intercambiar información protegida, debe establecerse un acuerdo de seguridad entre los dos equipos. En ese acuerdo de seguridad, denominado asociación de seguridad (SA), los dos equipos establecen el modo de intercambiar y proteger la información.

Con el fin de establecer este acuerdo entre los dos equipos, IETF ha establecido un método estándar de asociación de seguridad y resolución de intercambio de claves denominado Intercambio de claves de Internet (IKE), el cual:


• Centraliza la administración de asociaciones de seguridad, reduciendo el tiempo de conexión. • Genera y administra las claves secretas compartidas que se utilizan para proteger la información.

Este proceso no sólo protege la comunicación entre los equipos, sino que también protege a los equipos remotos que solicitan el acceso seguro a una red corporativa. Además, el proceso funciona siempre que la negociación del equipo de destino final (extremo) la realiza una puerta de enlace de seguridad.

Definición de asociación de seguridad (SA)
Una asociación de seguridad (SA) es la combinación de una clave negociada, un protocolo de seguridad y el índice de parámetros de seguridad (SPI), que conjuntamente definen el método de seguridad utilizado para proteger la comunicación desde el remitente hasta el receptor. El SPI es un valor único e identificable de la SA utilizado para distinguir entre las múltiples asociaciones de seguridad que existen en el equipo receptor. Por ejemplo, pueden existir varias asociaciones si un equipo mantiene comunicaciones seguras con varios equipos a la vez. Esta situación es habitual cuando el equipo es un servidor de archivos o un servidor de acceso remoto que atiende a varios clientes. En estos casos, el equipo receptor utiliza el SPI para determinar qué SA se utilizará para procesar los paquetes de entrada.

Fase I o SA de modo principal

ara garantizar una comunicación segura y con éxito, IKE funciona en dos fases. La confidencialidad y la autenticación se aseguran durante cada una de las fases mediante el uso del cifrado y los algoritmos de autenticación acordados entre los dos equipos durante las negociaciones de seguridad. Al estar las tareas divididas en dos fases, se agiliza la creación de claves.


En la primera fase, los dos equipos establecen un canal seguro y autenticado. Es la denominada fase I o SA de modo principal. IKE proporciona automáticamente la protección de identidad necesaria para este intercambio.

Fase I o negociación de modo principal

Los siguientes son los pasos de que consta la negociación del modo principal.


1. Negociación de directivas

Los cuatro parámetros obligatorios siguientes se negocian como parte de la SA de modo principal:


•Algoritmo de cifrado (DES o 3DES)•Algoritmo de integridad (MD5 o SHA1)•Grupo Diffie-Hellman que se utilizará para el material base de generación de claves: Grupo 1 (768 bits de protección de clave), grupo 2 (1.024 bits) o grupo 2048 (2.048 bits).
•El método de autenticación (Kerberos V5, certificado o autenticación mediante claves compartidas previamente)

Si para la autenticación se utilizan certificados o claves compartidas previamente, se protege la identidad del equipo. Si se utiliza la autenticación Kerberos V5, la identidad del equipo no se cifra hasta que tiene lugar el cifrado de toda la carga de identidad durante la autenticación.
Importante:Para lograr mayor seguridad, no utilice el grupo Diffie-Hellman 1. Para obtener la máxima seguridad, utilice el grupo 2048 siempre que sea posible. Utilice Grupo 2 cuando sea necesario para una interoperabilidad con Windows 2000 y Windows XP.

2. Intercambio Diffie-Hellman (de valores públicos)

Las claves reales no se intercambian en ningún momento. Sólo se intercambia la información básica que requiere el algoritmo de determinación de la clave Diffie-Hellman para generar la clave secreta compartida. Después de este intercambio, el servicio IKE de cada equipo genera la clave principal utilizada para proteger la autenticación.

3. Autenticación
Para impedir un ataque de usuario interpuesto, los equipos intentan autenticar el intercambio de claves Diffie-Hellman. Si se produce un error en la autenticación, la comunicación no continuará. Para autenticar las identidades se utiliza la clave principal junto con los algoritmos y métodos de negociación. Los algoritmos de hash y cifrado se aplican a toda la carga de identidad mediante las claves generadas a partir del intercambio Diffie-Hellman del segundo paso. La carga incluye el tipo de identidad (para autenticación), el puerto y el protocolo. IPSec utiliza los siguientes tipos de identidad para autenticación: para autenticación de certificados, el nombre completo del certificado y el nombre general; para Kerberos V5 y autenticación mediante clave compartida previamente, direcciones IPv4, el nombre de dominio completo (FQDN) del equipo y FQDN del usuario. La carga de identidad queda protegida frente a modificaciones e interpretaciones, independientemente del método de autenticación empleado.

El remitente presenta una oferta para establecer una posible asociación de seguridad con el receptor. El interlocutor de respuesta no puede modificar la oferta. En caso de que se modifique la oferta, el interlocutor inicial rechazará el mensaje del interlocutor que responde. El interlocutor que responde envía una respuesta para aceptar la oferta o bien una respuesta con alternativas.

Los mensajes enviados durante esta fase tienen un ciclo de reintento automático que se repite cinco veces. Si se recibe una respuesta antes de que termine el ciclo de reintento, comienza la negociación de SA estándar. Si la directiva IPSec lo permite, después de un intervalo breve comenzarán las comunicaciones no seguras. Si se inician comunicaciones no seguras, después de cinco minutos de tiempo de inactividad (durante el cual no se envían mensajes), la próxima vez que se envíen mensajes se intenta la negociación de comunicación segura. Si se envían mensajes continuamente, la comunicación sigue siendo no segura a lo largo de la duración establecida para la directiva de modo principal. Una vez transcurrido el tiempo de la directiva, se intenta efectuar una nueva negociación de comunicación segura.

No hay ningún límite preestablecido en cuanto al número de intercambios que pueden tener lugar. El número de asociaciones de seguridad que se pueden establecer sólo está limitado por los recursos del sistema. Al estimar el número de asociaciones de seguridad que pueden establecerse sin disminuir significativamente el rendimiento del equipo, tenga en cuenta la capacidad de procesamiento de la CPU y la RAM del equipo, la duración de la asociación de seguridad y la cantidad de tráfico que se envía a través de las asociaciones de seguridad.

Fase II o SA de modo rápido

En esta fase, las SA se negocian en nombre del controlador de IPSec.

Fase II o negociación de modo rápido

Los siguientes son los pasos de que consta la negociación del modo rápido.


1. Se negocia la directiva.

Los equipos con IPSec intercambian la siguiente información para proteger la transferencia de datos:•Protocolo IPSec (AH o ESP) •Algoritmo de hash para la integridad y autenticación (MD5 o SHA1) •Algoritmo para el cifrado, si se solicita (3DES o DES)

Se llega a un acuerdo y se establecen dos SA. Una SA para la comunicación entrante y la otra para la comunicación saliente.

2. El material de clave de sesión se actualiza o se intercambia.

IKE actualiza el material de generación claves, y se generan nuevas claves compartidas para la integridad, la autenticación y el cifrado del paquete (si se ha negociado). Si es necesario volver a generar las claves, se produce un segundo intercambio Diffie-Hellman (como se describe en la negociación de modo principal) o se actualiza la clave Diffie-Hellman original.

3. Las SA y las claves, junto con el SPI, se pasan al controlador de IPSec.

La segunda negociación de la configuración de seguridad y el material de claves (con el fin de proteger los datos) está protegida por la SA de modo principal. Mientras que la primera fase protege la identidad, la segunda fase proporciona protección mediante la actualización del material de claves antes de enviar los datos. IKE puede dar cabida a una carga de intercambio de claves para realizar un intercambio Diffie-Hellman adicional si es necesario volver a generar las claves; es decir, si está habilitada la confidencialidad directa perfecta de clave de sesión (PFS). De lo contrario, IKE actualiza el material de claves obtenido en el intercambio Diffie-Hellman del modo principal.

El modo rápido produce un par de asociaciones de seguridad, cada una de ellas con su propio SPI y su clave. Una SA se utiliza para la comunicación entrante y la otra para la comunicación saliente.

Notas:

Aunque se establecen dos SA de modo rápido independientes, Monitor de seguridad IP sólo muestra una SA de modo rápido.•Los equipos con Windows 2000 deben tener instalado High Encryption Pack o Service Pack 2 (o posterior) para poder utilizar el algoritmo 3DES. Si un equipo con Windows 2000 recibe una configuración de 3DES, pero no tiene instalado High Encryption Pack o Service Pack 2 (o posterior), dicha configuración del método de seguridad se establecerá en el DES más débil para proporcionar cierto nivel de confidencialidad en la comunicación, en lugar de bloquear toda la comunicación. No obstante, sólo debería utilizar DES como una opción de retroceso si no todos los equipos del entorno admiten el uso de 3DES. Los equipos que ejecutan Windows XP o un sistema operativo de Windows Server 2003 admiten 3DES y no requieren la instalación del paquete de cifrado elevado.

El algoritmo de reintento de un mensaje es similar al proceso descrito para la negociación del modo principal. Sin embargo, si este proceso se alcanza el tiempo máximo de espera por algún motivo durante la segunda o posteriores negociaciones correspondientes a una misma SA de modo principal, se intenta una nueva negociación de SA de modo principal. Si se recibe un mensaje para esta fase sin que se haya establecido una SA de modo principal, se rechaza.

El uso de una única SA de modo principal para varias negociaciones de SA de modo rápido aumenta la velocidad del proceso. Mientras la SA de modo principal no caduque, no es necesario volver a negociar o a autenticar. El número de negociaciones de SA de modo rápido que pueden realizarse viene determinado por la configuración de la directiva IPSec.

Nota:

Una excesiva regeneración de claves a partir de una misma SA de modo principal puede hacer vulnerable la clave secreta compartida frente a un ataque de texto sin formato conocido. Un ataque de texto sin formato conocido es un ataque husmeador en el que se intenta determinar la clave de cifrado a partir de datos cifrados partiendo de texto sin formato conocido.

Duraciones de SA

La SA de modo principal se almacena en caché para permitir varias negociaciones de SA de modo rápido (salvo en el caso de que esté habilitada la PFS de clave de sesión). Cuando se llega a una cierta duración de la clave principal o de sesión, se vuelve a negociar la SA. Además, la clave se actualiza o se vuelve a generar.


Cuando transcurre el periodo predeterminado de tiempo de espera para la SA de modo principal, o cuando se alcanza la duración de la clave principal o de sesión, se envía un mensaje de eliminación al interlocutor que responde. El mensaje de eliminación de IKE indica al interlocutor que responde que la SA de modo principal ha caducado. De este modo se impide la creación de nuevas SA de modo rápido a partir de la SA de modo principal caducada. IKE no hace caducar la SA de modo rápido, ya que sólo el controlador de IPSec contiene el número de segundos o bytes que han transcurrido hasta alcanzar la duración de la clave.


Es necesario tener precaución al establecer duraciones muy diferentes para las claves principales y de sesión. Por ejemplo, si se establece una duración de la clave principal de ocho horas y una duración de la clave de sesión de dos horas, una SA de modo rápido podría continuar establecida casi dos horas después de que la SA de modo principal hubiera caducado. Esta situación se produce cuando la SA de modo rápido se genera poco antes de caducar la SA de modo principal.


Generalmente se recomienda mantener la configuración predeterminada de IKE (por ejemplo, PFS de clave principal y duración de claves) y los métodos de seguridad predefinidos para evitar una sobrecarga administrativa innecesaria. De esta manera se proporciona un nivel de seguridad estándar (medio). Si tiene pensado un nivel de seguridad más alto, puede considerar la posibilidad de cambiar los métodos de seguridad predeterminados.


posteriormente daremos mas aportes sobre seguridad........

lunes, 6 de octubre de 2008

Cómo proteger un servidor Web con IPsec

En este Post vamos a ver como proteger un servidor web con el protocolo IPsec, acontinuacion se daran los pasos para realizar la configuracion, tomen nota que es muy importante para prevenir posibles riesgos:


Un servidor Web seguro permite a los clientes Web comunicarse con el servicio Web. En un servidor Web seguro, el tráfico que no sea de la red debe someterse a comprobaciones de seguridad. El siguiente procedimiento incluye las omisiones del tráfico de red. Además, este servidor Web puede realizar solicitudes de clientes DNS no seguras. El resto del tráfico requiere ESP con los algoritmos AES y SHA-1.


Antes de empezar:
Debe encontrarse en la zona global para poder configurar la directiva IPsec.

1. En la consola del sistema, asuma el rol de administrador principal o conviértase en superusuario.
La función de administrador principal incluye el perfil de administrador principal.

Nota:
El inicio de sesión remoto expone el tráfico cuya seguridad es crítica a intrusos. Aunque proteja de algún modo el inicio de sesión remoto, la seguridad del sistema se reducirá a la seguridad de la sesión remota.

2. Determine qué servicios deben omitir las comprobaciones de directiva de seguridad.
En el caso de un servidor Web, estos servicios incluyen los puertos TCP 80 (HTTP) y 443 (HTTP seguro). Si el servidor Web proporciona consultas de nombres DNS, el servidor también podría incluir el puerto 53 tanto para TCP como para UDP.
3. Cree un archivo en el directorio /etc/inet para la directiva del servidor Web.
Asigne al archivo un nombre que indique su finalidad, por ejemplo IPsecWebInitFile. Escriba las siguientes líneas en el archivo:
# Web traffic that web server should bypass.
{lport 80 ulp tcp dir both} bypass {}
{lport 443 ulp tcp dir both} bypass {}

# Outbound DNS lookups should also be bypassed.
{rport 53 dir both} bypass {}

# Require all other traffic to use ESP with AES and SHA-1.
# Use a unique SA for outbound traffic from the port
{} ipsec {encr_algs aes encr_auth_algs sha1 sa shared}
4. Copie el contenido del archivo que ha creado en el Paso 3 en el archivo /etc/inet/ipsecinit.conf .
5. Proteja el archivo IPsecWebInitFile con permisos de sólo lectura.
# chmod 400 IPsecWebInitFile
6. Proteja el servidor Web sin rearrancar.
Elija una de las siguientes opciones:

- Si está utilizando IKE para la administración de claves, detenga el daemon in.iked y reinícielo.
# pkill in.iked
# /usr/lib/inet/in.iked
- Si está administrando las claves manualmente, utilice los comandos ipseckey e ipsecconf.
Utilice IPsecWebInitFile como argumento para el comando ipsecconf. Si utiliza el archivo ipsecinit.conf como argumento, el comando ipsecconf genera errores cuando las directivas del archivo ya están implementadas en el sistema.
# ipseckey -c -f /etc/inet/secret/ipseckeys
# ipsecconf -a /etc/inet/IPsecWebInitFile
Precaución:
Lea la advertencia cuando ejecute el comando ipsecconf. Un socket que ya está bloqueado, es decir, un socket que ya está en uso, constituye una puerta trasera no segura al sistema. Si desea más información al respecto, consulte Consideraciones de seguridad para ipsecinit.conf eipsecconf. La misma advertencia aparece al reiniciar el daemon in.iked.
También puede rearrancar. Al rearrancar se asegura de que la directiva IPsec esté aplicada en todas las conexiones TCP. Al rearrancar, las conexiones TCP utilizan la directivadel archivo de directiva IPsec.
7. (Opcional) Active un sistema remoto para comunicarse con el servidor Web para tráfico que no sea de red.
Escriba la siguiente directiva en el archivo ipsecinit.conf de un sistema remoto:
# Communicate with web server about nonweb stuff
#
{laddr webserver} ipsec {encr_algs aes encr_auth_algs sha1 sa shared}
Un sistema remoto puede comunicarse de forma segura con el servidor Web para tráfico que no sea de red sólo cuando las directivas IPsec de los directivas coinciden.

En el siguiente post seguiremos dando mas configuraciones para mantener la seguridad en diferentes dispositivos de comunicacion, atravez del protocolo IPV6 (IPsec).

miércoles, 24 de septiembre de 2008

Proteccion de tráfico entre dos sistemas con IPsec

En este post vamos a hablar sobre la Proteccion de trafico entre dos sistemas con IPsec....

Este procedimiento de configuración es de la siguiente manera:

1.
- Los dos sistemas se denominan enigma y partym.
- Cada sistema tiene dos direcciones, una dirección IPv4 y otra IPv6.
- Cada sistema invoca la protección AH con el algoritmo MD5, que requiere una clave de 128 bits.
- Cada sistema invoca protecciones ESP con el algoritmo 3DES, que requiere una clave de 192 bits.
- Cada sistema utiliza asociaciones de seguridad compartidas.
- Con las asociaciones de seguridad (SA) compartidas, sólo se necesita un par de SA para proteger los dos sistemas.

2. En cada sistema, agregue entradas de host.

En un sistema que se ejecute en una versión anterior a Solaris 10 8/07, agregue entradas IPv4 e IPv6 en el archivo /etc/inet/ipnodes. Las entradas de un sistema deben ser contiguas en el archivo.

Si está conectando sistemas sólo con direcciones IPv4, debe modificar el archivo /etc/inet/hosts. En este ejemplo, los sistemas que se conectan ejecutan una versión anterior de Solaris y utilizan direcciones IPv6.

a) En un sistema denominado enigma, escriba lo siguiente en el archivo ipnodes:

# Secure communication with partym
192.168.13.213 partym
2001::eeee:3333:3333 partym

b) En un sistema denominado partym, escriba lo siguiente en el archivo ipnodes:

# Secure communication with enigma
192.168.116.16 enigma
2001::aaaa:6666:6666 enigma

Este paso permite a las secuencias de arranque utilizar los nombres de sistema sin necesidad de depender de servicios de nombres no existentes.

3. En cada sistema, cree el archivo de directiva IPsec.

El nombre de archivo es /etc/inet/ipsecinit.conf. Para ver un ejemplo, consulte el archivo /etc/inet/ipsecinit.sample.

4. Agregue una entrada de directiva IPsec al archivo ipsecinit.conf.

a) En el sistema enigma, agregue la directiva siguiente:

{laddr enigma raddr partym} ipsec {auth_algs any encr_algs any sa shared}

b) En el sistema partym, agregue una directiva idéntica:

{laddr partym raddr enigma} ipsec {auth_algs any encr_algs any sa shared}

5. En cada sistema, agregue un par de SA IPsec entre los dos sistemas.

Puede configurar el intercambio de claves de Internet (IKE) para crear las SA automáticamente. También puede agregar las SA de forma manual.

Una asociación de seguridad (SA) IPsec especifica las propiedades de seguridad que se reconocen mediante hosts comunicados. Una única SA protege los datos en una dirección. La protección es para un solo host o para una dirección de grupo (multidifusión). Dado que la mayoría de la comunicación es de igual a igual o de cliente-servidor, debe haber dos SA para proteger el tráfico en ambas direcciones.
Los tres elementos siguientes identifican una SA IPsec de modo exclusivo:
- El protocolo de seguridad (AH o ESP)
- La dirección IP de destino
- El índice de parámetros de seguridad

a) Genere el material de claves para la SA. Necesita tres números aleatorios hexadecimales para el tráfico saliente y tres para el tráfico entrante.

Por tanto, un sistema necesita generar los siguientes números:

- Dos números aleatorios hexadecimales como valor para la palabra clave spi. Un número es para el tráfico saliente. Otro es para el tráfico entrante. Cada número puede tener hasta ocho caracteres de longitud.

- Dos números aleatorios hexadecimales para el algoritmo MD5 para AH. Cada número debe tener 32 caracteres de longitud. Un número es para dst enigma. Un número es para dst partym.

- Dos números aleatorios hexadecimales para el algoritmo 3DES para ESP. Para una clave de 192 bits, cada numero debe tener 48 caracteres de longitud. Un número es para dst enigma. Un número es para dst partym.

6. Rearranque cada sistema.

# init 6

7. Compruebe que los paquetes se estén protegiendo.

El ejemplo siguiente describe cómo implementar IPsec en un entorno de prueba. En un entorno de producción, es más seguro rearrancar que ejecutar el comando ipsecconf. Consulte las consideraciones de seguridad al final de este ejemplo.

a) Si ha utilizado IKE para crear material de claves, detenga y reinicie el daemon in.iked.

# pkill in.iked
# /usr/lib/inet/in.iked

b) Si ha agregado claves manualmente, utilice el comando ipseckey para agregar las SA a la base de datos.

# ipseckey -c -f /etc/inet/secret/ipseckeys

c) A continuación, active la directiva IPsec con el comando ipsecconf.

# ipsecconf -a /etc/inet/ipsecinit.conf

Estaremos publicando en el siguiente post mas informacion de los mecanismos de seguridad que se pueden implementar con IPV6......

jueves, 18 de septiembre de 2008

Procesos de Seguridad en una Implementacion IPV6

- La función de IPsec (IP architecture security, arquitectura de seguridad IP) posibilita la protección criptográfica de paquetes IPv6.

La arquitectura de seguridad IP (IPsec) ofrece protección criptográfica para los datagramas IP en paquetes de redes IPv6. IPsec protege los paquetes IP autenticándolos, cifrándolos o llevando a cabo ambas acciones. IPsec se lleva a cabo dentro del módulo IP, debajo de la capa de aplicación. Por tanto, una aplicación de Internet puede aprovechar IPsec aunque no esté configurada para el uso de IPsec. Cuando se utiliza correctamente, la directiva IPsec es una herramienta eficaz para proteger el tráfico de la red.

La protección IPsec implica cinco componentes principales:

1. Protocolos de seguridad:
Mecanismo de protección de datagramas IP. El encabezado de autenticación (AH) firma los paquetes IP y garantiza la integridad. El contenido del datagrama no está cifrado, pero el receptor tiene la seguridad de que el contenido del paquete no se ha modificado. El receptor también tiene la garantía de que los paquetes los ha enviado el remitente. La Encapsulating Security Payload (ESP) cifra los datos IP, con lo cual codifica el contenido durante la transmisión de paquetes. ESP también puede garantizar la integridad de los datos mediante una opción de algoritmo de autenticación.

2. Base de datos de asociaciones de seguridad (SADB):
La base de datos que asocia un protocolo de seguridad con una dirección de destino IP y un número de índice. El número de índice se denomina índice de parámetros de seguridad. Estos tres elementos (el protocolo de seguridad, la dirección de destino y el SPI) identifican de forma exclusiva a un paquete IPsec legítimo. La base de datos garantiza que el receptor reconozca un paquete protegido que llega a su destino. El receptor también utiliza información de la base de datos para descifrar la comunicación, verificar que los paquetes no se hayan modificado, volver a ensamblar los paquetes y entregarlos en su destino final.

Definicion:
índice de parámetros de seguridad:
Valor entero que indica la fila de la base de datos de asociaciones de seguridad (SDAB) que debe utilizar un destinatario para descifrar un paquete recibido.

3. Administración de claves:
La generación y distribución de claves para los algoritmos criptográficos y SPI.

4. Mecanismos de seguridad:
Los algoritmos de autenticación y cifrado que protegen los datos de los datagramas IP.

5. Base de datos de directivas de seguridad (SPD):
La base de datos que especifica el nivel de protección que se aplica a un paquete. SPD filtra el tráfico IP para determinar el modo en que se deben procesar los paquetes. Un paquete puede descartarse, transferirse sin codificar o protegerse con IPsec. Para los paquetes salientes, SPD y SADB determinan el nivel de protección que se aplicará. Para los paquetes entrantes, SPD permite determinar si el nivel de protección del paquete es aceptable. Si el paquete se protege con IPsec, SPD se consulta una vez descifrado y verificado el paquete.Al invocar IPsec, IPsec aplica los mecanismos de seguridad a los datagramas IP que se transfieren a la dirección de destino IP. El receptor utiliza la información de SADB para comprobar que los paquetes que llegan sean legítimos y descifrarlos. Las aplicaciones pueden invocar IPsec para aplicar mecanismos de seguridad a los datagramas IP por socket también.

Los sockets tienen un comportamiento distinto según el puerto:

- Los SA por socket modifican su entrada de puerto correspondiente en SPD.

- Además, si el socket de un puerto está conectado y posteriormente se aplica la directiva IPsec a ese puerto, el tráfico que utiliza ese socket no está protegido mediante IPsec.

....Posteriormente se agragaran post de algunas sintaxis que se maneja para IPsec y seguiremos viendo el tema de seguridad.........

viernes, 5 de septiembre de 2008

Planificacion de una Red IPV6

En este capitulo vamos a hablar de como implementar IPV6 en una red nueva o ya configurada, esto supone un importante esfuerzo de planificacion. En este Post se presentan las tareas principales imprescindibles para poder configurar IPV6. En el caso de redes ya configuradas, la implementación de IPV6 se debe establecer por fases. Los temas de este Post ayudan a implantar IPV6 en fases en una red, que solo es de IPV4.

Realice los siguiemtes pasos:

1. Preparación de la Topologia de Red para Admitir IPV6:

- El primer paso consiste en detectar que los dispositivos de red sean compatibles con IPV6.
Verifique que el hardware de la red se pueda actualizar a IPV6. Por ejemplo consulte la
documentación de los fabricantes sobre la compatibilidad con IPV6 respecto a los siguientes
tipos de hardware:
- Routers
-Servidores
-Servidores de seguridad
-Conmutadores

Una vez que ha comprobado que los dispositivos son compatibles:

2. Disponer de una ISP(Proveedor de Servicio de Internet) que admita IPV6:

- Compruebe que el ISP utiliza admita IPV6. De no ser asi, busque uno que sea compatible con
IPV6. Puede utilizar dos ISP, uno para IPV6 y otro para comunicaciones de IPV4.

3. Comprobar que las aplicaciones esten preparadas para funcionar con IPV6:

- Si el sitio implementa los siguientes servicios, asegurese de haber tomado las medidas
apropiadas en:

- Servidores de seguridad:

Al implementar IPv6 en una red ya configurada, debe tener la precaución de no poner en riesgo la seguridad del sitio. Durante la sucesivas fases en la implementación de IPv6, tenga en cuenta los siguientes aspectos relacionados con la seguridad:

- Los paquetes de IPv6 e IPv4 necesitan la misma cantidad de filtrado.
- A menudo, los paquetes de IPv6 pasan por un túnel a través de un servidor de seguridad. Por -lo tanto, debe aplicar cualquiera de las siguientes situaciones hipotéticas:

- Haga que el servidor de seguridad inspeccione el contenido en el túnel.
-Coloque un servidor de seguridad de IPv6 con reglas parecidas en el punto final del túnel del extremo opuesto.

- Determinados mecanismos de transición utilizan IPv6 en UDP a través de túneles de IPv4. Dichos mecanismos pueden resultar peligrosos al cortocircuitarse el servidor de seguridad.
- Los nodos de IPv6 son globalmente asequibles desde fuera de la red empresarial. Si la directiva de seguridad prohíbe el acceso público, debe establecer reglas más estrictas con relación al servidor de seguridad. Por ejemplo, podría configurar un servidor de seguridad con estado.

--- Posteriormente agregare mas post realacionados a este punto que me interesa que es la seguridad.

sábado, 30 de agosto de 2008

Enrutamiento Predeterminado

La duda que tengo se ha generado de un problema que vengo
escuchando en algunas publicaciones donde se ha implementado
el Protocolo IPV6, el primer problema es que un enrutador no se
anuncia como enrutador predeterminado y el segundo problema
es que no hay ninguna ruta predeterminada presente en el host,
por tal motivo he decidido investigar a través de consultas a profesores
dedicados a las telecomunicaciones, también e revisado artículos y he
encontrado la causa y solución de los problemas:

Causa: Si un equipo que ejecuta un miembro de la familia Windows
Server 2003 y que se utilice como enrutador IPV6, no se anunciara
a sí mismo como enrutador predeterminado, a menos que este
configurado con una ruta predeterminada (::/0) configurada, a su
vez, para ser publicada.

Solución: Utilizar el comando NETSH INTERFACE IPV6 ADD ROUTE
para agregar una ruta predeterminada al equipo enrutador y configurarla
para que se publique.

lunes, 25 de agosto de 2008

IPV6: Enrutamiento

El protocolo IPv6 determina un cambio en los paquetes IP o datagramas, parahacerlos "mas inteligentes". En el actual sistema los datos que viajan por la redse fraccionan o descomponen en "paquetes" distintos, que pueden viajar por distintasrutas a su destino. Para posibilitar no solo la llegada a ese destino sino la reconstruccionfinal de esos paquetes, cada uno lleva una cabecera identificativa con distintos datos(origen, destino, tamaño, etc).El nuevo standard IPv6 reorganiza estos datos identificativosde forma mas eficaz, añadiendo algunos datos nuevos (como las etiquetas de contenido)que posibilitaran que el tratamiento en ruta de los datagramas discrimine segun dichocontenido (por ejemplo dando prioridad a las comunicaciones multimedia).

domingo, 24 de agosto de 2008

IPV6: Desaparición de las NAT

Al cambiar el sistema de numeracion de 32 a 128 bits,
se posibilita un numero de direcciones IP mucho mayor.
Algunos cálculos hablan de unos 34 trillones de numeros
IPs posibles.

Uno de los efectos es la desaparición de los NAT
( Traductores de Direcciones de Red). Muchas organizaciones
que no disponen de suficientes numeros IP deben utilizar
direcciones privadas que apuntan a un único numero IP o
direccion pública, siendo preciso un NAT que dirija el flujo
de datos desde la red interior a la exterior. El principal
beneficio del IPv6 será la plena disponibilidad de numeros IP,
posibilitando que internet vuelva a ser una red "entre extremos"
("end to end model"). Los NAT han prolongado la vida util del IPv4,
se rompe este modelo haciendo que sea el equipo donde se realiza la
traducción quien se comunica con el otro extremo. En IPv6 no hacen
falta los NAT ya que hay direcciones de sobra, lo que permite reestablecer
este modelo original.

viernes, 15 de agosto de 2008

REDES: PROTOCOLO IPV6

Estoy interesado en el tema del nuevo protocolo IPV6 por que es la nueva version que va a sustituir al protocolo IPV4 ya que se pronostica que para el año 2010 va a llegar a su limite de direcciones IP. Ya que es una nueva tecnologia quisiera investigar muchas caracteristicas tales como:

- Cuales son las notaciones para las direcciones IPV6.
- De que manera se encarga de dirigir y encaminar los paquetes atravez de una red de ordenadores.
- Cual es el nivel de seguridad que trae el nuevo IPV6.
- Cual es el mecanismo de accion que realiza atravez de el modelo por capas TCP/IP.
- Y otras caracteristicas de la nueva tecnologia.

De tal manera poder encontrar alguna deficiencia y atravez de estudios y posteriormente conocimientos poder desarrollar una solucion de acuerdo al problema encontrado.

martes, 12 de agosto de 2008

Interaccion de protocolos

el uso de una suit de protocolos en comunicaciones de red es la interaccion que se da entre un servidor web y un explorador web. esta interaccion utiliza una cantidad de protocolos en el proceso de intercambio de informacion entre ellos. los distintos protocolos trabajan en conjunto para asegurar que ambas partes reciban y entiendan los mensajes.

los protocolos ejecutan procesos en diferentes capas:

protocolo de aplicacion:

Protocolo de transferencia de hipertexto (HTTP) .Es un protocolo común que regula la forma en que interactúan un servidor Web y un cliente Web. HTTP define el contenido y el formato de las solicitudes y respuestas intercambiadas entre el cliente y el servidor. Tanto el cliente como el software del servidor Web implementan el HTTP como parte de la aplicación. El protocolo HTTP se basa en otros protocolos para regir de qué manera se transportan los mensajes entre el cliente y el servidor.

Protocolo de transporte:

Protocolo de control de transmisión (TCP). Es el protocolo de transporte que administra las conversaciones individuales entre servidores Web y clientes Web. TCP divide los mensajes HTTP en pequeñas partes, denominadas segmentos, para enviarlas al cliente de destino. También es responsable de controlar el tamaño y los intervalos a los que se intercambian los mensajes entre el servidor y el cliente.

Protocolo de internet:

El protocolo internet más común es el Protocolo de Internet (IP). IP es responsable de tomar los segmentos formateados del TCP, encapsularlos en paquetes, asignarles las direcciones correctas y seleccionar la mejor ruta hacia el host de destino.

Protocolos de acceso a la red:

Estos protocolos describen dos funciones principales: administración de enlace de datos y transmisión física de datos en los medios. Los protocolos de administración de enlace de datos toman los paquetes IP y los formatean para transmitirlos por los medios. Los estándares y protocolos de los medios físicos rigen de qué manera se envían las señales por los medios y cómo las interpretan los clientes que las reciben. Los transceptores de las tarjetas de interfaz de red implementan los estándares apropiados para los medios que se utilizan.