network address translation
TRANSCRIPT
Network Address TranslationNAT (Network Address Translation - Traducción de Dirección de Red) es un mecanismo
utilizado por routers IP para intercambiar paquetes entre dos redes que asignan
mutuamentedirecciones incompatibles. Consiste en convertir, en tiempo real, las direcciones
utilizadas en los paquetes transportados. También es necesario editar los paquetes para permitir la
operación deprotocolos que incluyen información de direcciones dentro de la conversación del
protocolo.
El tipo más simple de NAT proporciona una traducción una-a-una de las direcciones IP. La RFC
2663 se refiere a este tipo de NAT como NAT Básico, también se le conoce como NAT una-a-una.
En este tipo de NAT únicamente, las direcciones IP, las sumas de comprobación (checksums) de la
cabecera IP, y las sumas de comprobación de nivel superior, que se incluyen en la dirección IP
necesitan ser cambiadas. El resto del paquete se puede quedar sin tocar (al menos para la
funcionalidad básica del TCP/UDP, algunos protocolos de nivel superior pueden necesitar otra forma
de traducción). Es corriente ocultar un espacio completo de direcciones IP, normalmente son
direcciones privadas IP, detrás de una única dirección IP (o pequeño grupo de direcciones IP) en
otro espacio de direcciones (normalmente público).
Su uso más común es permitir utilizar direcciones privadas (definidas en el RFC 1918) para acceder
a Internet. Existen rangos de direcciones privadas que pueden usarse libremente y en la cantidad
que se quiera dentro de una red privada. Si el número de direcciones privadas es muy grande puede
usarse solo una parte de direcciones públicas para salir a Internet desde la red privada. De esta
manera simultáneamente sólo pueden salir a Internet con una dirección IP tantos equipos como
direcciones públicas se hayan contratado. Esto es necesario debido al progresivoagotamiento de las
direcciones IPv4. Se espera que con el advenimiento de IPv6 no sea necesario continuar con esta
práctica.
Índice
[ocultar]
1 Funcionamiento
o 1.1 Estática
o 1.2 Dinámica
o 1.3 Sobrecarga
o 1.4 Solapamiento
2 Esquina de Configuración
3 Ejemplos de software NAT
4 Véase también
5 Enlaces de interés
[editar]Funcionamiento
El protocolo TCP/IP tiene la capacidad de generar varias conexiones simultáneas con un dispositivo
remoto. Para realizar esto, dentro de la cabecera de un paquete IP, existen campos en los que se
indica la dirección origen y destino. Esta combinación de números define una única conexión.
La mayoría de los NAT asignan varias máquinas (hosts) privadas a una dirección IP expuesta
públicamente. En una configuración típica, una red local utiliza unas direcciones IP designadas
“privadas” para subredes (RFC 1918). Un ruteador en esta red tiene una dirección privada en este
espacio de direcciones. El ruteador también está conectado a Internet por medio de una dirección
pública asignada por un proveedor de servicios de Internet. Como el tráfico pasa desde la red local a
Internet, la dirección de origen en cada paquete se traduce sobre la marcha de una dirección privada
a una dirección pública. El ruteador sigue la pista de los datos básicos de cada conexión activa (en
particular, la dirección de destino y el puerto). Cuando una respuesta llega al ruteador utiliza los
datos de seguimiento de la conexión almacenados en la fase de salida para determinar la dirección
privada de la red interna a la que remitir la respuesta.
Todos los paquetes de Internet tienen una dirección IP de origen y una dirección IP de destino. En
general, los paquetes que pasan de la red privada a la red pública tendrán su dirección de origen
modificada, mientras que los paquetes que pasan a la red pública de regreso a la red privada
tendrán su dirección de destino modificada. Existen configuraciones más complejas.
Para evitar la ambigüedad en la forma de traducir los paquetes de vuelta, es obligatorio realizar
otras modificaciones. La mayor parte del tráfico generado en Internet son paquetes TCP y UDP,
para estos protocolos los números de puerto se cambian, así la combinación de la información de IP
y puerto en el paquete devuelto puede asignada sin ambigüedad a la información de dirección
privada y puerto correspondiente. Los protocolos que no están basados en TCP y UDP requieren de
otras técnicas de traducción Los paquetes ICMP normalmente se refieren a una conexión existente y
necesitan ser asignado utilizando la misma información de IP. Para el ICMP al ser una conexión
existente no se utiliza ningún puerto.
Una pasarela NAT cambia la dirección origen en cada paquete de salida y, dependiendo del método,
también el puerto origen para que sea único. Estas traducciones de dirección se almacenan en una
tabla, para recordar qué dirección y puerto le corresponde a cada dispositivo cliente y así saber
donde deben regresar los paquetes de respuesta. Si un paquete que intenta ingresar a la red interna
no existe en la tabla en un determinado puerto y dirección se puede acceder a un determinado
dispositivo, como por ejemplo un servidor web, lo que se denomina NAT
inverso oDNAT (Destination NAT).
NAT tiene muchas formas de funcionamiento, entre las que destacan:
[editar]Estática
Conocida también como NAT 1:1, es un tipo de NAT en el que una dirección IP privada se traduce a
una dirección IP pública, y donde esa dirección pública es siempre la misma. Esto le permite a
un host, como un servidor Web, el tener una dirección IP de red privada pero aun así ser visible en
Internet. Para ello usa la técnica llamada Redirección de puertos (en inglés port forwarding).
[editar]Dinámica
Es un tipo de NAT en la que una dirección IP privada se mapea a una IP pública basándose en una
tabla de direcciones de IP registradas (públicas). Normalmente, el router NAT en una red mantendrá
una tabla de direcciones IP registradas, y cuando una IP privada requiera acceso a Internet, el router
elegirá una dirección IP de la tabla que no esté siendo usada por otra IP privada. Esto permite
aumentar la seguridad de una red dado que enmascara la configuración interna de una red privada,
lo que dificulta a los hosts externos de la red el poder ingresar a ésta. Para este método se requiere
que todos los hosts de la red privada que deseen conectarse a la red pública posean al menos una
IP pública asociadas.
[editar]Sobrecarga
La más utilizada es la NAT de sobrecarga, conocida también como PAT (Port Address
Translation - Traducción de Direcciones por Puerto), NAPT (Network Address Port
Translation -Traducción de Direcciones de Red por Puerto), NAT de única dirección o NAT
multiplexado a nivel de puerto.
[editar]Solapamiento
Cuando las direcciones IP utilizadas en la red privada son direcciones IP públicas en uso en otra
red, el encaminador posee una tabla de traducciones en donde se especifica el reemplazo de éstas
con una única dirección IP pública. Así se evitan los conflictos de direcciones entre las distintas
redes.
[editar]Esquina de Configuración
En esta sección del artículo, se indicará la forma básica(s) de la configuración de un NAT en un
router. Los pasos usados en esta sección siguen la forma de programar un servidor NAT en
unrouter Cisco.
Conseguir un router real podría no ser fácil para llevar a cabo esta experiencia, sin embargo, puede
optar por utilizar un simulador de router real, como el Cisco Packet Tracer. Eso supone que en esta
muestra, contamos con 3 routers, un Switch y tres computadores.
Las formas básicas en la creación de un servidor que utiliza NAT en el router son los siguientes:
1. Conecte los dispositivos entre sí
2. Asumimos que usted sabe enrutamiento IP y cómo hacer converger la red usando protocolo
de enrutamientos. RIP se recomienda para configuraciones más sencillas y rápidas.
3. Ahora que sus dispositivos están totalmente interconectados como se muestra en el
diagrama, por favor siga el código de abajo. Note tambien que los nombres encontrados en
el diagrama mostrado anteriormente, sera el utilizado en toda la siguiente descripción.
Cualquier cambio que realice durante la configuración debe corresponder al nombre citado
(El nombrado no importa).# Ahora que los dispositivos están totalmente interconectadas,
por favor siga el código de abajo.
Router(config)#ip nat ?
inside Inside address translation
outside Outside address translation
pool Define pool of addresses
Router(config)#ip nat ins
Router(config)#ip nat inside ?
source Source address translation
Router(config)#ip nat inside sour
Router(config)#ip nat inside source ?
list Specify access list describing local addresses
static Specify static local->global mapping
Router(config)#ip nat inside source list
Router(config)#ip nat inside source list ?
<1-199> Access list number for local addresses
WORD Access list name for local addresses
Router(config)#ip nat inside source list 10 ?
interface Specify interface for global address
pool Name pool of global addresses
Router(config)#ip nat inside source list 10 pool ?
WORD Name pool of global addresses
Router(config)#ip nat inside source list 10 pool NAT ?
overload Overload an address translation
Router(config)#ip nat inside source list 10 pool NAT
Router(config)#no ip nat inside source list 10 pool NAT
Router(config)#ip nat outside source list 10 pool NAT
Router(config)#access-list 10 ?
deny Specify packets to reject
permit Specify packets to forward
remark Access list entry comment
Router(config)#access-list 10 per
Router(config)#access-list 10 permit any ?
Router(config)#access-list 10 permit any
Router(config)#exit
Pasos Para Completar el Impreso de Solicitud IPV6 REALLOCATE
ANTECEDENTES
Los ISP (proveedores de servicio de Internet) deben usar el impreso de "IPv6 Reallocate" para
registrar una subdelegación. El destinatario de la subdelegación puede readjudicar o reasignar
subredes de la red.
INSTRUCCIONES PARA EL IMPRESO DE SOLICITUD
En el renglón Asunto del mensaje electrónico escriba “IPv6-REALLOCATE”.
NOTA IMPORTANTE: No quite o modifique el encabezamiento del impreso, es decir, el renglón que
comienza con “Template:” (impreso) o el pie de página “END OF TEMPLATE” (Fin del impreso).
Ambos son necesarios para el procesamiento. Todos los renglones que comienzan con ## son
directivas sobre cómo suministrar la información apropiada y no son necesarios para el
procesamiento
"DOWNSTREAM SECTION" [SECCIÓN SECUNDARIA]
La SECCIÓN SECUNDARIA está dividida en dos subsecciones. Estas incluyen:
"ORGANIZATION SUB-SECTION" [SUBSECCIÓN DE ORGANIZACIÓN] para suministrar la información
detallada que describe la organización secundaria.
"CONTACT SUB-SECTION" [SUBSECCIÓN DE CONTACTO] para suministrar los Puntos de contacto
(POC) para la organización secundaria.
"ORGANIZATION SUB-SECTION" [SUBSECCIÓN DE LA ORGANIZACIÓN]
El impreso de IPv6-REALLOCATE permite registrar una organización secundaria al mismo tiempo
que se reasignan los recursos de esa organización. No obstante, este impreso NO le permitirá
modificar información asociada a una organización existente. Si desea modificar la información
asociada a una organización existente, use el impreso "Org-Detailed" o el "Org-Simple".
1. Se necesita una Identificación de organización (Org ID) para que la organización secundaria
pueda mantener la información asociada a esta reasignación. Si no está seguro sobre la
identificación de la organización secundaria, busque el nombre de la organización en la base de
datos WHOIS de ARIN. Si la organización secundaria ya tiene una Identificación de organización,
sírvase escribirla en el renglón 1 y luego salte al campo 20. Si la organización secundaria no tiene
una Identificación de organización, sírvase completar los campos 2 a 19.
2. Proporcione el nombre legal de la organización que recibe la reasignación tal como está
registrado con las autoridades locales, regionales o nacionales.
3. La dirección física de la organización que recibe la reasignación es un campo obligatorio. Si bien
este impreso proporciona solos dos renglones para la dirección, puede duplicar 3b tantas veces
como sea necesario para capturar la dirección completa. No incluya la ciudad, estado o provincia,
código postal o código del país en este campo. Un ejemplo:
Address: 111 Scenic Overview Drive
Address: Suite 400
Address: División de Cable
4. Indique la ciudad de la organización que recibe la reasignación. Ciudad es un campo
obligatorio.
5. Para los Estados Unidos y Canadá, proporcione las dos letras de la abreviatura del estado o
provincia de la organización que recibe la reasignación. Para el resto de los países, si corresponde,
proporcione el nombre abreviado o completo del estado o provincia.
6. Proporcione el código postal correspondiente para la localidad de la organización que recibe la
reasignación. Como ejemplo, para los Estados Unidos, use el código zip. Deje este campo en
blanco si el país no usa códigos postales.
7. Proporcione el código del país ISO-3166, de dos caracteres, de la organización que recibe la
reasignación. La lista completa de los códigos de los países se encuentra en:
http://www.arin.net/library/internet_info/countries.html.
"CONTACT SUB-SECTION" [SUBSECCIÓN DE CONTACTO]
En la sección de contacto se listan los puntos de contacto (POC) de la organización secundaria. Si
está registrando una nueva organización, debe proporcionar el POC de la organización. Aunque
puede registrar un POC existente con una nueva organización, NO puede modificar la información
asociada al POC existente. Si desea modificar la información asociada a un POC existente, use el
impreso del POC.
El POC provisto se convertirá tanto en el contacto administrativo como técnico. Si desea modificar
todo esto, o proporcionar otros POC, use el impreso Org-Detailed o la Org-Simple.
Si no está seguro de el identificador de POC registrado, haga una búsqueda de “last name, first
name” (apellido, nombre) en la base de datos WHOIS.
Se le adjudica una contraseña a cada uno de los POC en la base de datos de ARIN con el formato -
ARIN, donde es un rótulo formado por las iniciales de una persona o cuenta de grupo y un número.
8. Si el POC ya existe en la base de datos de ARIN, escriba la contraseña aquí. Si está provista,
salte los renglones 9 a 19. Si el POC no está registrado, deje este renglón en blanco y complete los
renglones 9 al 19.
9. Un POC puede ser tanto una persona como una cuenta de grupo. Indique P para persona o R
para cuenta de grupo. No se puede actualizar el Tipo de contacto.
10. Si el POC es una cuenta de grupo, escriba el nombre completo de la cuenta de grupo. Por
ejemplo:
Last Name or Role Account: Network Operations Center
Si el POC es una persona, escriba el apellido únicamente. Por ejemplo:
Last Name or Role Account: Smith
11. Si el POC es una persona, el nombre es obligatorio. Si el POC es una cuenta de grupo, el
nombre se debe dejar en blanco.
12. Si el POC es una cuenta de grupo, el nombre de la compañía es obligatorio. Esto ayudará a
distinguir al Hostmaster de la Compañía ABC del Hostmaster de la Compañía XYZ. Es optativo para
las personas.
13. La dirección física del POC de la organización que recibe la reasignación es un campo
obligatorio. Si bien este impreso proporciona solos dos renglones para la dirección, puede duplicar
13b tantas veces como sea necesario para capturar su dirección completa. No incluya la ciudad,
estado o provincia, código postal o código del país en este campo. Un ejemplo:
Address: 111 Scenic Overview Drive
Address: Suite 400
Address: Departamento de administración de IP
14. Indique la ciudad del POC de la organización que recibe la reasignación. Ciudad es un campo
obligatorio.
15. Para los Estados Unidos y Canadá, proporcione las dos letras de la abreviatura del estado o
provincia del POC de la organización que recibe la reasignación. Para el resto de los países, si
corresponde, proporcione el nombre abreviado o completo del estado o provincia.
16. Proporcione el código postal local correspondiente del POC de la organización que recibe la
reasignación. Como ejemplo, para los Estados Unidos, use el código zip. Deje este campo en
blanco si el país no usa códigos postales.
17. Proporcione el código del país ISO-3166, de dos caracteres, del POC de la organización que
recibe la reasignación. La lista completa de los códigos de los países se encuentra en:
http://www.arin.net/library/internet_info/countries.html.
18. Proporcione el número de teléfono del POC, incluso los códigos de país y de área. Sólo son
válidos los números y los caracteres + - (). No incluya la extensión del teléfono o instrucciones
adicionales en el campo del número de teléfono. Se supone que el tipo de teléfono es un número
de teléfono de oficina Si desea tener varios números de teléfonos de oficina asociados con este
POC, debe duplicar el renglón 18. Si desea modificar el tipo de teléfonos, o proporcionar otros
números de teléfonos de otros tipos de teléfonos, use el impreso de POC.
19. Ingrese la dirección de correo electrónico del POC. RFC 822 describe direcciones de correo
electrónico válidas. Se necesita por lo menos una dirección de correo electrónico para procesar un
nuevo POC. Si desea tener varias direcciones de correo electrónico asociadas con el POC, debe
duplicar el renglón 19.
"NETWORK SECTION" [SECCIÓN DE REDES]
20. Identifique la red a reasignar. El impreso aceptará la red en formato de prefijo CIDR. Por
ejemplo:
IP Address and Prefix: 2001:0100:0100::/48
21. El nombre de la red se utiliza como identificador. Proporcione un nombre corto para la red,
compuesto por la combinación de hasta 14 letras, números, o ambos Puede usar un guión (-) como
parte del nombre de la red, pero ningún otro carácter especial, como puntos o subrayados.
22. Se aceptarán readjudicaciones de /48 y prefijos más cortos. Para readjudicaciones de menos
de /48, se podría necesitar información adicional. ARIN recolectará esta información para un
análisis que se podría usar en discusiones sobre la política futura en lo que se refiere a la
utilización de IPv6. En dichas discusiones no se usarán los nombres de las organizaciones
registradas.
"NETWORK CONTACT SECTION (Optional)" [SECCIÓN DE CONTACTO DE RED (Optativa)]
Puede agregar puntos de contacto (POC) técnicos optativos asociados con la reasignación de esta
red. Si no se agregan POC, el contacto asociado con la organización secundaria servirá como POC
de esta red. Los campos 23 a 34 se pueden duplicar para poder agregar otros POC.
El impreso de IPv6-REALLOCATE permite registrar un POC al mismo tiempo que se registra la
reasignación. No obstante, este impreso NO le permitirá modificar información asociada a un POC
existente. Si desea modificar la información asociada a un POC existente, use el impreso del POC.
Si no está seguro de el identificador de POC registrado, haga una búsqueda de “last name, first
name” (apellido, nombre) en la base de datos WHOIS.
Se le adjudica una contraseña a cada uno de los POC en la base de datos de ARIN con el formato -
ARIN, donde es un rótulo formado por las iniciales de una persona o cuenta de grupo y un número.
23. Si el POC de la red ya existe en la base de datos de ARIN, escriba la contraseña aquí. Si está
provista, salte los renglones 24 a 34. Si el POC no está registrado, deje este renglón en blanco y
complete los renglones 24 a 34.
24. El POC de la red puede ser tanto una persona como una cuenta de grupo. Indique P para
persona o R para cuenta de grupo. No se puede actualizar el Tipo de contacto.
25. Si el POC de la red es una cuenta de grupo, escriba el nombre completo de la cuenta de grupo.
Por ejemplo:
Last Name or Role Account: Network Operations Center
Si el POC de la red es una persona, escriba el apellido únicamente. Por ejemplo:
Last Name or Role Account: Smith
26. Si el POC de la red es una persona, el nombre es obligatorio. Si el "Network POC" es una
cuenta de grupo, el nombre se debe dejar en blanco.
27. Si el Network POC es una cuenta de grupo, el nombre de la compañía es obligatorio. Esto
ayudará a distinguir al Hostmaster de la Compañía ABC del Hostmaster de la Compañía XYZ. Es
optativo para las personas.
28. La dirección física del POC de la red es un campo obligatorio. Si bien este impreso proporciona
solos dos renglones para la dirección, puede duplicar 28b tantas veces como sea necesario para
capturar su dirección completa. No incluya la ciudad, estado o provincia, código postal o código del
país en este campo. Un ejemplo:
Address: 111 Scenic Overview Drive
Address: Suite 400
Address: Departamento de administración de IP
29. Indique la ciudad del POC de la red. Ciudad es un campo obligatorio.
30. Para los Estados Unidos y Canadá, proporcione las dos letras de la abreviatura del estado o
provincia del POC de la red. Para el resto de los países, si corresponde, proporcione el nombre
abreviado o completo del estado o provincia.
31. Proporcione el código postal correspondiente para la localidad del POC de la red. Como
ejemplo, para los Estados Unidos, use el código zip. Deje este campo en blanco si el país no usa
códigos postales.
32. Proporcione el código del país ISO-3166, de dos caracteres, del POC de la red. La lista completa
de los códigos de los países se encuentra en:
http://www.arin.net/library/internet_info/countries.html.
33. Proporcione el número de teléfono del POC de la red, incluso los códigos de país y de área.
Sólo son válidos los números y los caracteres + - (). No incluya la extensión del teléfono o
instrucciones adicionales en el campo del número de teléfono. Se supone que el tipo de teléfono
es un número de teléfono de oficina Si desea tener varios números de teléfonos de oficina
asociados con este POC, debe duplicar el renglón 33. Si desea modificar el tipo de teléfonos, o
proporcionar otros números de teléfonos de otros tipos de teléfonos, use el impreso de POC.
34. Ingrese la dirección de correo electrónico del POC de la red. RFC 822 describe direcciones de
correo electrónico válidas. Se necesita por lo menos una dirección de correo electrónico para
procesar un nuevo POC. Si desea tener varias direcciones de correo electrónico asociadas con el
POC, debe duplicar el rengl ón 34.
"PUBLIC COMMENTS SECTION (Optional)" [SECCIÓN DE COMENTARIOS PÚBLICOS (Optativa)]
publicado por peter sandoval en 17:55 sin comentarios: sábado, 29 de noviembre de 2008
Probar y Desabilitar IPV6 de Windows Vista
Para probar que IPv6 funciona en tu PC, ejecuta en una ventana de consola:
ping6 -n 5 ::1
Si el resultado es el siguiente (o similar):
Haciendo ping a ::1 con 32 bytes de datos:
Respuesta desde ::1: tiempo<1m
Respuesta desde ::1: tiempo<1m
Respuesta desde ::1: tiempo<1m
Respuesta desde ::1: tiempo<1m
Respuesta desde ::1: tiempo<1m
Estadísticas de ping para ::1:
Paquetes: enviados = 5, recibidos = 5, perdidos = 0 (0% perdidos),
Tiempos aproximados de ida y vuelta en milisegundos:
Mínimo = 0ms, Máximo = 0ms, Media = 0ms
esto significa que IPv6 esta instalado correctamente y es funcional. Básicamente debes de ser
capaz de ver "5 paquetes recibidos".
Con Windows Vista el protocolo IPv6 viene instalado y habilitado por defecto por lo que no tendras
que hacer nada especial. Sin embargo, puedes seguir las instrucciones de abajo si quieres
configurar algunas caracteristicas avanzadas de IPv6 en este sistema operativo.
Deshabilitar IPv6
A diferencia de lo que ocurre en Windows XP y 2003, IPv6 en Windows Vista no se puede
desinstalar porque es parte integrante de la pila IP. Para deshabilitar IPv6 en una conexión o
interfaz de red específicos hay que ir a la carpeta “Conexiones de Red”, obtener las propiedades
de la conexión o interfaz de red y deseleccionar el componente “Protocolo Internet versión 6
(TCP/IPv6)” de la lista. Este método deshabilita IPv6 de dicha conexión o interfaz de red pero no
deshabilita IPv6 de los interfaces de túneles ni de la interfaz virtual loopback.
Para deshabilitar de manera selectiva algunos componentes de IPv6 o configurar su
comportamiento, en Windows Vista hay que crear y configura el siguiente valor del registro de
Windows (tipo DWORD)
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\tcpip6\Parameters\
DisabledComponents
DisabledComponents está configurado a 0 por defecto
El valor de registro DisabledComponents es una máscara de bits que controla los siguientes
parámetros, comenzando por el bit de menor orden (Bit 0):
Bit 0 puesto a 1 para deshabilitar todos los interfaces de túnel IPv6, incluyendo ISATAP, 6to4, and
Teredo. El valor por defecto es 0
Bit 1 puesto a 1 para deshabilitar todos los interfaces de túnel 6to4. El valor por defecto es 0
Bit 2 puesto a 1 para deshabilitar todos los interfaces ISATAP. El valor por defecto es 0
Bit 3 puesto a 1 para deshabilitar todos los interfaces Teredo. El valor por defecto es 0
Bit 4 puesto a 1 para deshabilitar IPv6 sobre todos los interfaces que no son túneles, incluyendo
interfaces LAN y PPP. El valor por defecto es 0
Bit 5 puesto a 1 para modificar la tabla de políticas de prefijos y preferir IPv4 sobre IPv6 en las
conexiones. El valor por defecto es 0
Para determinar el valor del parámetro DisabledComponents para una determinada configuración
hay que construir un número binario con el valor adecuado y después convertirlo a su valor
hexadecimal. Por ejemplo, si quieres deshabilitar los interfaces 6to4 y Teredo y preferir IPv4 sobre
IPv6 entoces habría que construir el siguiente número binario: 101010. Después convertirlo a su
valor hexadecimal de manera que el valor del parámetro DisableComponents sería 0x2A.
Después de hacer estos cambios hay que reiniciar el PC para que el nuevo valor de
DisableComponents tenga efecto.
publicado por peter sandoval en 17:12 sin comentarios:
sábado, 22 de noviembre de 2008
Windows Server e IPV6
Para utilizar IPv6 con Windows 2000 (con SP1 o superior), se tenía que descargar archivos de
Microsoft para agregar el soporte para la nueva versión de la propiedad intelectual para el sistema
operativo. Usted puede obtener productos de terceros para añadir soporte para IPv6 en Windows
9x y NT.
Server 2003, sin embargo, incluye soporte IPv6 "fuera de la caja" sin ningún tipo de add-ons.
Instalar IPv6 como protocolo de red a través del cuadro Propiedades de la conexión de área local,
tal como se muestra en la siguiente figura:
- Instalación de IPv6 como un protocolo en Windows Server 2003
Para instalar soporte IPv6, siga estos pasos:
1. Haga clic en Inicio Panel de Control Conexiones de red
2. Haga clic derecho en la conexión de área local y seleccione Propiedades
3. Haga clic en el botón Instalar.
4. Seleccione Protocolo en el cuadro de componentes de red y haga clic en el botón Agregar
5. Haga clic en Microsoft TCP / IP versión 6 y haga clic en Aceptar
IPv6 ahora aparece en la lista de protocolos instalados en la conexión de las propiedades, como se
muestra en la siguiente figura:
Después de la instalación, TCP / IP versión 6 aparece como un componente de red instalado
En Server 2003, no se puede instalar sólo IPv6, IPv4 también debe ser instalado (y se instala por
defecto cuando se instala el sistema operativo).
Puede configurar estos elementos para IPv6:
-Dirección IPv6 (puede ser obtenido por un anuncio o mediante un router puede asignarse
manualmente).
-Router por defecto que se utilizarán para comunicarse con nodos IPv6 en segmentos de red que
no sea de su propia red (se puede asignar automáticamente a través de router o añadir a la tabla
de enrutamiento IPv6 manualmente)
- Servidor DNS para resolver nombres de host a direcciones IPv6
La mayoría de las configuraciones de IPv6 se pueden hacer utilizando el comando netsh en el
contexto IPv6. Para cambiar a IPv6 contexto, escriba netsh interface ipv6. A continuación, puede
utilizar los comandos de IPv6, que permite añadir, modificar y borrar direcciones y rutas, añadir 6
más de 4 o 6 en 4 túneles, configurar la dirección temporal de generación, y mucho más.
....Espero que este post les sea de mucha ayuda, en el siguiente post estaremos dando mas
alcance sobre el tema mencionado......
publicado por peter sandoval en 12:42 sin comentarios:
viernes, 14 de noviembre de 2008
Protocolo de Descubrimiento de Vecino
En IPv6, el protocolo semejante a ARP en IPv4, es el llamado protocolo de descubrimiento del
vecino (ND, Neighbor Discovery). Este protocolo es el mecanismo por el cual un nodo que se
incorpora a una red, descubre la presencia de otros en su mismo enlace, determina sus
direcciones en la capa de enlace, localiza los routers y mantiene la información de conectividad
acerca de las rutas a los vecinos activos.
El protocolo ND se emplea también para mantener limpios los caches donde se almacena la
información relativa al contexto de la red a la que está conectada un servidor o un router, y para
detectar cualquier cambio en la misma. Si un router o una ruta falla, el servidor buscará
alternativas funcionales.
ND emplea los mensajes ICMPv6 para algunos de sus servicios, este protocolo es bastante
completo y sofisticado, ya que es la base para permitir el mecanismo de autoconfiguración en
IPv6.
Define varios mecanismos, entre ellos:
descubrir routers, prefijos y parámetros, autoconfiguración de direcciones, resolución de
direcciones, determinación del siguiente salto, detección de nodos inalcanzables, detección de
direcciones duplicadas o campos, redirección, balanceo de carga entrante, direcciones anycast, y
anunciación de proxies.
ND define cinco tipos de mensajes ICMPv6:
- Solicitud de router. Generado por una interfaz cuando es activada, para pedir a los routers que
se anuncien inmediatamente. Tipo de mensaje ICMPv6 133 código 0.
- Anunciación de router. Generado por los routers periódicamente (entre cada 4 y 1800
segundos) o como consecuencia a una solicitud de router, a través de multicast, parainformar de
su presencia así como de otros parámetros de enlace y de Internet, comoprefijos (uno o varios),
tiempo de vida, configuración de direcciones, límite de salto sugerido, etc. Es importante para
permitir la renumeración. Tipo de mensaje ICMPv6134 código 0.
- Solicitud de vecino. Generado por los nodos para solicitar la dirección en la capa de enlace de
la tarjeta de su vecino, o para verificar que el nodo vecino es alcanzable, asícomo para detectar las
direcciones duplicadas. Las solicitudes son multicast cuando elnodo necesita resolver una
dirección y unicast cuando el nodo quiere verificar que el vecino es alcanzable. Tipo de mensaje
ICMPv6 135 código 0.
- Anunciación de vecino. Generado por los nodos como respuesta a la solicitud devecino. Tipo
de mensaje ICMPv6 136 código 0.
- Redirección. Generado por los routers para informar a los hosts de un mejor salto para llegar a
un destino. Tipo de mensaje ICMPv6 137 código 0.
El protocolo de Descubrimiento de vecinos IPv6 corresponde a una combinación de los protocolos
IPv4 ARP, descubrimiento de router ICMP, y redirección ICMP. El protocolo ND presenta las
siguientes ventajas frente a los mecanismos existentes en IPv4:
- El descubrimiento de routers es parte de la base del protocolo, no se tiene que recurrir a los
protocolos de encaminado.
- La anunciación del router incluye las direcciones de la capa de enlace, no es necesario ningún
intercambio adicional de paquetes para su resolución.
- La anunciación del router incluye los prefijos para el enlace, por lo que no hay necesidad de un
mecanismo adicional para configurar la máscara de red.
- La anunciación de un router permite la autoconfiguración de direcciones.
- Los routers pueden anunciar a los host del mismo enlace la MTU.
- Se extienden las multicast de resolución de direcciones entre 232 direcciones, reduciendo de
forma importante las interrupciones relativas a la resolución de direcciones en máquinas distintas
al objetivo, y evitando las interrupciones en máquinas sin IPv6.
- Las redirecciones contienen la dirección de la capa de enlace del nuevo salto, lo que evita la
necesidad de una resolución de dirección adicional.
- Se pueden asignar múltiples prefijos al mismo enlace y por defecto los host aprenden todos los
prefijos por la anunciación del router. Sin embargo, los routers pueden ser configurados para omitir
parte o todos los prefijos en la anunciación, de forma que las máquinas consideren que los
destinos están fuera del enlace; de esta forma, enviarán eltráfico a los routers, quien a su vez los
redireccionarán según corresponda.
- A diferencia de IPv4, en IPv6 el receptor de una redirección asume que el siguiente salto está en
el mismo enlace. Se prevé una gran utilidad en el sentido de no ser deseable o posible que los
nodos conozcan todos los prefijos de los destinos en elmismo enlace.
- La detección de vecinos inalcanzables es parte de la base de mejoras para la robustez en la
entrega de paquetes frente a fallos en routers, particiones de enlaces, nodos que cambian sus
direcciones, nodos móviles, etc.
- A diferencia de ARP, en ND se pueden detectar fallos de la mitad del enlace, es decir,con
conectividad en un solo sentido, evitando el tráfico hacia ellos.
- La detección de vecinos inalcanzables es parte de la base de mejoras para la robustez en la
entrega de paquetes frente a fallos en routers, fallas parciales, nodos que cambian sus
direcciones, nodos móviles, etc.
- El uso de direcciones de enlace local para identificar routers, permite a las máquinas que
mantengan su asociación con los mismos, en el caso de que se realice una renumeración para usar
nuevos prefijos globales.
- El límite de saltos es igual a 255, lo que evita que haya envíos accidentales o intencionados
desde máquinas fuera del enlace, dado que los routers decrementan automáticamente este campo
en cada salto.
- Al realizar la resolución de direcciones en la capa ICMP, se independiza el protocolodel medio,
permitiendo mecanismos de autenticación y seguridad normalizados.
Por todo lo anterior se puede decir que ND reemplaza a ARP con varias mejoras e
importantesventajas.
publicado por peter sandoval en 14:45 sin comentarios:
viernes, 7 de noviembre de 2008
IPV6 EN RELACION CON LINUX
En este post vamos a mencionar los pasos que se tienen que seguir para implementar en una
plataforma linux el protocolo IPV6......
- En primer lugar se tiene que comprobar que el Kernel soporta IPV6, por lo tanto se tien que
comprobar la siguiente entrada:
/prco/net/if_inet6
- En caso de que no exista se puede intentar cargar el modulo IPV6 con:
#> modprobe ipv6
- si se ha cargado correctamente debe existir la entrada mencionada.
Nota: Descargar el modulo puede a veces, provocar la caida del sistema. Aunque en versiones
actuales de los modulos el soporte es muy estable.
- Para que cargue de forma automatica el modulo IPV6 cuando se demande, se añade al fichero
/etc/modules.conf la siguiente linea:
alias net-pf-10 ipv6
alias sit0 ipv6
alias sit1 ipv6
alias tun6to4
- luego se necesitan Scripts para inicilaizar todo lo relacionado con IPV6 y para configurar las
direcciones v4/v6 de las interfaces. conviene actualizar a la ultima version de los mismos. Estos
scripts pueden obtenerse en :
http://www.bieringer.de/linux/IPv6/IPv6-HOWTO/scripts/current/index.html
Aunque la mayoria de distribuciones actuales configuran estos scripts en la instalacion del sistema.
se descarga la ultima version (IPv6-initscripts-20020125.tar.gz) y se descomprime.
- luego se copian los ficheros de scripts a los directorios correspondientes:
/etc/sysconfig/network-scripts/network-funtions-ipv6
/etc/sysconfig/network-scripts/init.ipv6-global
/etc/sysconfig/network-scripts/ifup-ipv6
/etc/sysconfig/network-scripts/ifdow-ipv6
/etc/sysconfig/network-scripts/ifup-sit
/etc/sysconfig/network-scripts/ifdow-sit
/etec/ppp/ip-up.ipv6to4
/etec/ppp/ip-dow.ipv6to4
/etec/ppp/ipv6-dow
/usr/sbin/test-ipv6-installation
/etec/sysconfig/static-routes-ipv6
- Luego se recomienda instalar ipv6calc para habilitar la deteccion de direcciones extendidas.
puede obtenerse de:
http://www.bieringer.de/linux/ipv6/ipv6calc/index.html
- Para proceder a instalar de escribir los siguientes comandos:
root# cd /usr/src/redhat/RPMS/i386
root# rpm -i ipv6calc-version.i386.rpm
debe existir ahora /bin/ipv6calc
En el fichero sysconfig-ipv6.txt que viene con el paquete de scripts, se da informacion detallada de
los parametros que se puedan configurar en cada script.
para comprobar que la configuracion es correcta, se puede ejecutar el scrip:
/usr/sbin/test-ipv6-installation (que viene con el paquete)
- Luego se debe configurar la red:
se debe cambiar el nombre del host, se pone en /etc/sysconfig/network, la linea:
HOSTNAME= nombre_host
Luego conviene añadirlo en el fichero /etc/host:
: : 1 nombre_host
El nombre de host puede verse en /proc/sys/kernel/hostname o simplemente ejecutando
/bin/hostname sin ningun parametro.
- Se deben añadir entradas en /etc/host para ipv6:
: :1 localhost ip6-localhost ip6-loopback
fe00: : 0 ip6-localnet
fe00: : 0 ip6-mcastprefix
fe02: : 1 ip6-allnodes
fe02: : 2 ip6-allrouters
fe02: : 3 ip6-allhost
Espero que este post les sea de mucha ayuda........
publicado por peter sandoval en 11:52 sin comentarios:
jueves, 30 de octubre de 2008
El Estado Actual y la Seguridad del Protocolo IPV6
En la actualidad vemos que IPv4 funciona, y funciona bien. De no haber sido así, por seguro que se
habría migrado masivamente a IPv6, y eso no ha sucedido. De todos modos IPv4 es un protocolo
muy antiguo, y que tiene bastantes operativos ligados a su arquitectura:
- Ataques de denegación (distribuída) de servicios, DoS y DDoS. Las inundaciones de información
en broadcasting y los ataques Smurf siguen estando ahí.
- La distribución de código malicioso automatizado, ya que el espacio IPv4 es corto y está saturado
(más de dos terceras partes del espacio IPv4 está ya asignado).
- Los ataques Man in the Middle, ya que IPv4 no tiene características propias para proporcionar
autenticación fuerte por sí mismo.
- Ataques de fragmentación, en los que se aprovecha lo mal que gestionan a veces las pilas de
protocolo de algunos sistemas operativos la información fragmentada. Los más veteranos seguro
que recuerdan los Nukes OOB (Out Of Band) y la legendaria pantalla azul de Windows.
- Ataques de reconocimiento y de escaneo de servicios. Escanear una clase C entera puede llevar
bastante poco tiempo.
- Envenenamiento ARP y redirección de eco ICMP, o cómo desviar el tráfico a una dirección
maliciosa.
IPv6 puede proporcionar mejoras no sólo para la seguridad, sino para el funcionamiento
global de las comunicaciones.
¿Cómo?
- Proporcionando un espacio mayor. Pasamos de 2^32 a 2^128.
- Direccionamiento jerárquico. Desde el unicast (asignadas a un sólo nodo IPv6) al anycast (envíos
segmentados a ciertos integrantes de un grupo determinado) (, pasando por el multicast (un grupo
de nodos, la información llega a todos los integrantes). ¿En qué resulta esto? Tablas de enrutado
mucho menores. Comunicaciones más optimizadas.
- Comunicaciones DHCPv6 que permiten configuraciones stateless y statefull.
- Calidad de servicio, QoS. Las cabeceras IPv6 contienen información específica que facilita la
gestión del Quality of Service tanto para servicios diferenciados como integrados.
- Más rendimiento. Mejoran la gestión de paquetes y los tiempos de proceso.
- Pensado para la seguridad. IPSec en IPv6 es obligatorio, no opcional como sucede en IPv4.
- Extensibilidad. Las cabeceras IPv6 doblan en tamaño a las IPv4, pero sin embargo, las direcciones
IPv6 son cuatro veces más largas. Las cabeceras IPv6 no contienen campos opcionales, lo que
queramos enviar como opcional se hace vía cabeceras auxiliares. Esto reduce cómputo y tiempos,
y simplifica la gestión.
- Movilidad. Trasladar nodos sin perder tiempo de operación es algo asumible en IPv6, mucho más
fácil de lograr que en IPv4.
Una de las grandes ventajas de IPv6 es contemplar IPSec como algo obligatorio. Convertir IPSec en
mandato obligatorio es harto interesante. Es una necesidad, diría yo. Mediante IPSec en IPv6 es
posible reforzar la seguridad de las comunicaciones al menos desde las siguientes
ópticas:
- Cabeceras y autenticación, que previenen la adulteración de las mismas (authentication header)
- Encapsulating Security Payload y la enorme ventaja que acarrea este encapsulado.
- Modo transporte (comunicaciones seguras entre extremos asegurando el payload de la
comunicación) y modo túnel (no del todo necesario, ya que la autenticación de cabeceras y el
Encapsulating Security Payload son suficientes para asegurar la comunicación)
- Negociación y gestion del intercambio de llaves, que se basa en que IPSec cumple con IKE.
¿dónde están los problemas de seguridad en IPv6?
La lista de posibles problemas podría ser:
- La coexistencia de IPv4 e IPv6. Mientras se traslada lo que hay en IPv4 a IPv6, es posible hallar
problemas relacionados con la dualidad de pilas (dos infraestructuras, cada una con sus problemas
propios)
- Manipulación de cabeceras. Pese a su diseño contra este tipo de actividad, no existe seguridad al
100%, como bien sabemos. No son descartables acciones futuras que burlen parte o la totalidad
de los mecanismos de autenticación, especialmente en la fase de dualidad durante la migración.
- Ataques de inundación. El flood sólo se puede capear procesando la inundación y el tráfico, con lo
que este tipo de ataques siempre estará ahí, si bien será más complicado para los atacantes.
- Movilidad. Al no existir este concepto en IPv4, nadie sabe a ciencia cierta cómo responderá
realmente en IPv6. Todo un misterio pendiente de resolver.
¿Cómo está el panorama actualmente?
Como podran imaginar, bastante complicado. En pequeñas escalas y en redes locales se emplea
bastante IPv6, ya que sistemas como Linux posibilitan su despliegue de una manera cómoda,
rápida y segura, para servicios Intranet como SSH. Otros sistemas menos dados a innovar, como
las plataformas Microsoft, admiten también IPv6, pero no gozan de la misma operatividad de
servicios, muy poco consolidada en estos productos.
Tal y como dice la Wikipedia, ICANN anunció el 20 de julio de 2004 que los registros AAAA de IPv6
para Japón (.jp) y Corea (.kr) de código de país ya son visibles en los servidores raíz de DNS. El
registro IPv6 para Francia fue añadido poco después. Poco esfuerzo adicional se ha hecho desde
entonces.
....Espero que este post les se a de mucha utilidad, seguiremos dando mas alcances de IPV6 en el
proximo post.....
publicado por peter sandoval en 12:53 sin comentarios:
miércoles, 22 de octubre de 2008
Problemas entre Windows Vista e IPV6
En este post vamos a hablar que existen algunas imcopatibilidades de windows Vista e IPV6,
vamos a mencionar algunos de los problemas que ocurren:
por ejemplo:
- Los mensajes de error ICMP (usados entre otros para hacer pings) no pueden ser leidos por las
aplicaciones en Vista......
definimos que es ICMP:
El protocolo ICMP:
El Protocolo de Mensajes de Control y Error de Internet, ICMP, es de características similares a
UDP, pero con un formato mucho más simple, y su utilidad no está en el transporte de datos de
usuario, sino en controlar si un paquete no puede alcanzar su destino, si su vida ha expirado, si el
encabezamiento lleva un valor no permitido, si es un paquete de eco o respuesta, etc. Es decir, se
usa para manejar mensajes de error y de control necesarios para los sistemas de la red,
informando con ellos a la fuente original para que evite o corrija el problema detectado. ICMP
proporciona así una comunicación entre el software IP de una máquina y el mismo software en
otra.
El protocolo ICMP solamente informa de incidencias en la entrega de paquetes o de errores en la
red en general, pero no toma decisión alguna al respecto. Esto es tarea de las capas superiores.
....Los problemas estan surgiendo de la siguiente manera:
- Trabajos de impresion en red que se corrompen regularmente hasta que se desactiva el soporte
IPV6 de Vista, en ese momento todo vuelve a la normalidad.
Como consecuencia algunos consultores ya estan recomendando a sus clientes que desactiven en
sus estaciones de trabajo el soporte para IPV6, al menos hasta que las redes completas migren a
IPV6.
Tambien afirman que los responsables de redes deberian mayor importancia en este asunto, por
que si no pueden perder muchas horas tratando de resolver problemas.
Desactivar IPV6 en Windows Vista
A diferencia de Windows XP, IPV6 no puede ser desistalado de Windows Vista sim embargo si
puede ser desactivado.
Pasos:
1) Primero pulse la tecla Win + R para abrir el cuadro de ejecutar comandos y escribir:
regedit. Luego vamos a:
HKEY_LOCAL_MACHINE\
SYSTEM\
CurrentControlSet\
Services\
tcpip6\
Parameters
Y creamos un nuevo registro (DWORD) llamado DisabledComponents. Por defecto
DisabledComponents está a 0, ahora toca poner el valor que más convenga, cabe mencionar que
el valor es una mascara por lo que el bit a tocar es el bit más bajo, así que toca generar un número
binario y pasarlo a hexadecimal. Pero no nos vamos a matar tanto, los valores más habituales
están justo debajo:
- Desactivar todos las interfaces por tunel: 0×1.
- Desactivar 6to4: 0×2.
- Desactivar ISATAP: 0×4.
- Desactivar Teredo: 0×8.
- Desactivar Teredo y 6to4: 0xA.
- Desactivar todas las interfaces LAN y PPP: 0×10.
- Desactivar todas las interfaces por tunel, LAN y PPP: 0×11.
- Preferir IPv4 antes que IPv6: 0×20.
- Desactivar IPv6 sobre todas las interfaces y preferir IPv5 antes que IPv6: 0xFF.
De preferencia usar:
- Preferir IPv4 antes que IPv6: 0×20.
Para que use IPv4 hasta el momento en que la red esté 100% bajo IPv6
espero que este post sea de mucha ayuda, estaremos dando mas alcances de IPV6.....
publicado por peter sandoval en 13:36 sin comentarios:
Entradas antiguas Página principal
Suscribirse a: Entradas (Atom)
rss
Entradas
Comentarios
archivo del blog
▼ 2008 (17)
o ▼ diciembre (1)
Pasos Para Completar el Impreso de Solicitud IPV6 ...
o ► noviembre (4)
o ► octubre (4)
o ► septiembre (3)
o ► agosto (5)
datos personales
peter sandoval
Ver todo mi perfil