Network Address Translation

NAT (Network Address Translation - Traduccin de Direccin de Red) es un mecanismo utilizado por routers IP para intercambiar paquetes entre dos redes que asignan mutuamentedirecciones incompatibles. Consiste en convertir, en tiempo real, las direcciones utilizadas en los paquetes transportados. Tambin es necesario editar los paquetes para permitir la operacin deprotocolos que incluyen informacin de direcciones dentro de la conversacin del protocolo. El tipo ms simple de NAT proporciona una traduccin una-a-una de las direcciones IP. La RFC 2663 se refiere a este tipo de NAT como NAT Bsico, tambin se le conoce como NAT una-a-una. En este tipo de NAT nicamente, las direcciones IP, las sumas de comprobacin (checksums) de la cabecera IP, y las sumas de comprobacin de nivel superior, que se incluyen en la direccin IP necesitan ser cambiadas. El resto del paquete se puede quedar sin tocar (al menos para la funcionalidad bsica del TCP/UDP, algunos protocolos de nivel superior pueden necesitar otra forma de traduccin). Es corriente ocultar un espacio completo de direcciones IP, normalmente son direcciones privadas IP, detrs de una nica direccin IP (o pequeo grupo de direcciones IP) en otro espacio de direcciones (normalmente pblico). Su uso ms comn es permitir utilizar direcciones privadas (definidas en el RFC 1918) para acceder a Internet. Existen rangos de direcciones privadas que pueden usarse libremente y en la cantidad que se quiera dentro de una red privada. Si el nmero de direcciones privadas es muy grande puede usarse solo una parte de direcciones pblicas para salir a Internet desde la red privada. De esta manera simultneamente slo pueden salir a Internet con una direccin IP tantos equipos como direcciones pblicas se hayan contratado. Esto es necesario debido al progresivoagotamiento de las direcciones IPv4. Se espera que con el advenimiento de IPv6 no sea necesario continuar con esta prctica.
ndice
[ocultar]

1 Funcionamiento

o o o o

1.1 Esttica 1.2 Dinmica 1.3 Sobrecarga 1.4 Solapamiento

2 Esquina de Configuracin 3 Ejemplos de software NAT 4 Vase tambin 5 Enlaces de inters

[editar]Funcionamiento
El protocolo TCP/IP tiene la capacidad de generar varias conexiones simultneas con un dispositivo remoto. Para realizar esto, dentro de la cabecera de un paquete IP, existen campos en los que se indica la direccin origen y destino. Esta combinacin de nmeros define una nica conexin. La mayora de los NAT asignan varias mquinas (hosts) privadas a una direccin IP expuesta pblicamente. En una configuracin tpica, una red local utiliza unas direcciones IP designadas privadas para subredes (RFC 1918). Un ruteador en esta red tiene una direccin privada en este espacio de direcciones. El ruteador tambin est conectado a Internet por medio de una direccin pblica asignada por un proveedor de servicios de Internet. Como el trfico pasa desde la red local a Internet, la direccin de origen en cada paquete se traduce sobre la marcha de una direccin privada a una direccin pblica. El ruteador sigue la pista de los datos bsicos de cada conexin activa (en particular, la direccin de destino y el puerto). Cuando una respuesta llega al ruteador utiliza los datos de seguimiento de la conexin almacenados en la fase de salida para determinar la direccin privada de la red interna a la que remitir la respuesta. Todos los paquetes de Internet tienen una direccin IP de origen y una direccin IP de destino. En general, los paquetes que pasan de la red privada a la red pblica tendrn su direccin de origen modificada, mientras que los paquetes que pasan a la red pblica de regreso a la red privada tendrn su direccin de destino modificada. Existen configuraciones ms complejas. Para evitar la ambigedad en la forma de traducir los paquetes de vuelta, es obligatorio realizar otras modificaciones. La mayor parte del trfico generado en Internet son paquetes TCP y UDP, para estos protocolos los nmeros de puerto se cambian, as la combinacin de la informacin de IP y puerto en el paquete devuelto puede asignada sin ambigedad a la informacin de direccin privada y puerto correspondiente. Los protocolos que no estn basados en TCP y UDP requieren de otras tcnicas de traduccin Los paquetes ICMP normalmente se refieren a una conexin existente y necesitan ser asignado utilizando la misma informacin de IP. Para el ICMP al ser una conexin existente no se utiliza ningn puerto. Una pasarela NAT cambia la direccin origen en cada paquete de salida y, dependiendo del mtodo, tambin el puerto origen para que sea nico. Estas traducciones de direccin se almacenan en una tabla, para recordar qu direccin y puerto le corresponde a cada dispositivo cliente y as saber donde deben regresar los paquetes de respuesta. Si un paquete que intenta ingresar a la red interna no existe en la tabla en un determinado puerto y direccin se puede acceder a un determinado dispositivo, como por ejemplo un servidor web, lo que se denomina NAT inverso oDNAT (Destination NAT). NAT tiene muchas formas de funcionamiento, entre las que destacan:

[editar]Esttica

Conocida tambin como NAT 1:1, es un tipo de NAT en el que una direccin IP privada se traduce a una direccin IP pblica, y donde esa direccin pblica es siempre la misma. Esto le permite a un host, como un servidor Web, el tener una direccin IP de red privada pero aun as ser visible en Internet. Para ello usa la tcnica llamada Redireccin de puertos (en ingls port forwarding).

[editar]Dinmica
Es un tipo de NAT en la que una direccin IP privada se mapea a una IP pblica basndose en una tabla de direcciones de IP registradas (pblicas). Normalmente, el router NAT en una red mantendr una tabla de direcciones IP registradas, y cuando una IP privada requiera acceso a Internet, el router elegir una direccin IP de la tabla que no est siendo usada por otra IP privada. Esto permite aumentar la seguridad de una red dado que enmascara la configuracin interna de una red privada, lo que dificulta a los hosts externos de la red el poder ingresar a sta. Para este mtodo se requiere que todos los hosts de la red privada que deseen conectarse a la red pblica posean al menos una IP pblica asociadas.

[editar]Sobrecarga
La ms utilizada es la NAT de sobrecarga, conocida tambin como PAT (Port Address Translation - Traduccin de Direcciones por Puerto), NAPT (Network Address Port Translation -Traduccin de Direcciones de Red por Puerto), NAT de nica direccin o NAT multiplexado a nivel de puerto.

[editar]Solapamiento
Cuando las direcciones IP utilizadas en la red privada son direcciones IP pblicas en uso en otra red, el encaminador posee una tabla de traducciones en donde se especifica el reemplazo de stas con una nica direccin IP pblica. As se evitan los conflictos de direcciones entre las distintas redes.

[editar]Esquina

de Configuracin

En esta seccin del artculo, se indicar la forma bsica(s) de la configuracin de un NAT en un router. Los pasos usados en esta seccin siguen la forma de programar un servidor NAT en unrouter Cisco. Conseguir un router real podra no ser fcil para llevar a cabo esta experiencia, sin embargo, puede optar por utilizar un simulador de router real, como el Cisco Packet Tracer. Eso supone que en esta muestra, contamos con 3 routers, un Switch y tres computadores. Las formas bsicas en la creacin de un servidor que utiliza NAT en el router son los siguientes: 1. Conecte los dispositivos entre s 2. Asumimos que usted sabe enrutamiento IP y cmo hacer converger la red usando protocolo de enrutamientos. RIP se recomienda para configuraciones ms sencillas y rpidas.

3. Ahora que sus dispositivos estn totalmente interconectados como se muestra en el diagrama, por favor siga el cdigo de abajo. Note tambien que los nombres encontrados en el diagrama mostrado anteriormente, sera el utilizado en toda la siguiente descripcin. Cualquier cambio que realice durante la configuracin debe corresponder al nombre citado (El nombrado no importa).# Ahora que los dispositivos estn totalmente interconectadas, por favor siga el cdigo de abajo.

Router(config)#ip nat ? inside outside pool Inside address translation Outside address translation Define pool of addresses

Router(config)#ip nat ins Router(config)#ip nat inside ? source Source address translation Router(config)#ip nat inside sour Router(config)#ip nat inside source ? list static Specify access list describing local addresses Specify static local->global mapping

Router(config)#ip nat inside source list Router(config)#ip nat inside source list ? <1-199> WORD interface pool WORD Access list number for local addresses Access list name for local addresses Specify interface for global address Name pool of global addresses Name pool of global addresses Overload an address translation

Router(config)#ip nat inside source list 10 ?

Router(config)#ip nat inside source list 10 pool ? Router(config)#ip nat inside source list 10 pool NAT ? overload Router(config)#ip nat inside source list 10 pool NAT Router(config)#no ip nat inside source list 10 pool NAT Router(config)#ip nat outside source list 10 pool NAT Router(config)#access-list 10 ? deny permit remark Specify packets to reject Specify packets to forward Access list entry comment

Router(config)#access-list 10 per Router(config)#access-list 10 permit any ? Router(config)#access-list 10 permit any Router(config)#exit

Pasos Para Completar el Impreso de Solicitud IPV6 REALLOCATE

ANTECEDENTES

Los ISP (proveedores de servicio de Internet) deben usar el impreso de "IPv6 Reallocate" para registrar una subdelegacin. El destinatario de la subdelegacin puede readjudicar o reasignar subredes de la red.

INSTRUCCIONES PARA EL IMPRESO DE SOLICITUD

En el rengln Asunto del mensaje electrnico escriba IPv6-REALLOCATE.

NOTA IMPORTANTE: No quite o modifique el encabezamiento del impreso, es decir, el rengln que comienza con Template: (impreso) o el pie de pgina END OF TEMPLATE (Fin del impreso). Ambos son necesarios para el procesamiento. Todos los renglones que comienzan con ## son directivas sobre cmo suministrar la informacin apropiada y no son necesarios para el procesamiento

"DOWNSTREAM SECTION" [SECCIN SECUNDARIA]

La SECCIN SECUNDARIA est dividida en dos subsecciones. Estas incluyen:

"ORGANIZATION SUB-SECTION" [SUBSECCIN DE ORGANIZACIN] para suministrar la informacin detallada que describe la organizacin secundaria. "CONTACT SUB-SECTION" [SUBSECCIN DE CONTACTO] para suministrar los Puntos de contacto (POC) para la organizacin secundaria.

"ORGANIZATION SUB-SECTION" [SUBSECCIN DE LA ORGANIZACIN]

El impreso de IPv6-REALLOCATE permite registrar una organizacin secundaria al mismo tiempo que se reasignan los recursos de esa organizacin. No obstante, este impreso NO le permitir modificar informacin asociada a una organizacin existente. Si desea modificar la informacin asociada a una organizacin existente, use el impreso "Org-Detailed" o el "Org-Simple".

1. Se necesita una Identificacin de organizacin (Org ID) para que la organizacin secundaria pueda mantener la informacin asociada a esta reasignacin. Si no est seguro sobre la

identificacin de la organizacin secundaria, busque el nombre de la organizacin en la base de datos WHOIS de ARIN. Si la organizacin secundaria ya tiene una Identificacin de organizacin, srvase escribirla en el rengln 1 y luego salte al campo 20. Si la organizacin secundaria no tiene una Identificacin de organizacin, srvase completar los campos 2 a 19.

2. Proporcione el nombre legal de la organizacin que recibe la reasignacin tal como est registrado con las autoridades locales, regionales o nacionales.

3. La direccin fsica de la organizacin que recibe la reasignacin es un campo obligatorio. Si bien este impreso proporciona solos dos renglones para la direccin, puede duplicar 3b tantas veces como sea necesario para capturar la direccin completa. No incluya la ciudad, estado o provincia, cdigo postal o cdigo del pas en este campo. Un ejemplo:

Address: 111 Scenic Overview Drive Address: Suite 400 Address: Divisin de Cable

4. Indique la ciudad de la organizacin que recibe la reasignacin. Ciudad es un campo obligatorio.

5. Para los Estados Unidos y Canad, proporcione las dos letras de la abreviatura del estado o provincia de la organizacin que recibe la reasignacin. Para el resto de los pases, si corresponde, proporcione el nombre abreviado o completo del estado o provincia.

6. Proporcione el cdigo postal correspondiente para la localidad de la organizacin que recibe la reasignacin. Como ejemplo, para los Estados Unidos, use el cdigo zip. Deje este campo en blanco si el pas no usa cdigos postales.

7. Proporcione el cdigo del pas ISO-3166, de dos caracteres, de la organizacin que recibe la reasignacin. La lista completa de los cdigos de los pases se encuentra en: http://www.arin.net/library/internet_info/countries.html.

"CONTACT SUB-SECTION" [SUBSECCIN DE CONTACTO]

En la seccin de contacto se listan los puntos de contacto (POC) de la organizacin secundaria. Si est registrando una nueva organizacin, debe proporcionar el POC de la organizacin. Aunque

puede registrar un POC existente con una nueva organizacin, NO puede modificar la informacin asociada al POC existente. Si desea modificar la informacin asociada a un POC existente, use el impreso del POC.

El POC provisto se convertir tanto en el contacto administrativo como tcnico. Si desea modificar todo esto, o proporcionar otros POC, use el impreso Org-Detailed o la Org-Simple.

Si no est seguro de el identificador de POC registrado, haga una bsqueda de last name, first name (apellido, nombre) en la base de datos WHOIS.

Se le adjudica una contrasea a cada uno de los POC en la base de datos de ARIN con el formato ARIN, donde es un rtulo formado por las iniciales de una persona o cuenta de grupo y un nmero.

8. Si el POC ya existe en la base de datos de ARIN, escriba la contrasea aqu. Si est provista, salte los renglones 9 a 19. Si el POC no est registrado, deje este rengln en blanco y complete los renglones 9 al 19.

9. Un POC puede ser tanto una persona como una cuenta de grupo. Indique P para persona o R para cuenta de grupo. No se puede actualizar el Tipo de contacto.

10. Si el POC es una cuenta de grupo, escriba el nombre completo de la cuenta de grupo. Por ejemplo: Last Name or Role Account: Network Operations Center Si el POC es una persona, escriba el apellido nicamente. Por ejemplo: Last Name or Role Account: Smith

11. Si el POC es una persona, el nombre es obligatorio. Si el POC es una cuenta de grupo, el nombre se debe dejar en blanco.

12. Si el POC es una cuenta de grupo, el nombre de la compaa es obligatorio. Esto ayudar a distinguir al Hostmaster de la Compaa ABC del Hostmaster de la Compaa XYZ. Es optativo para las personas.

13. La direccin fsica del POC de la organizacin que recibe la reasignacin es un campo obligatorio. Si bien este impreso proporciona solos dos renglones para la direccin, puede duplicar

13b tantas veces como sea necesario para capturar su direccin completa. No incluya la ciudad, estado o provincia, cdigo postal o cdigo del pas en este campo. Un ejemplo:

Address: 111 Scenic Overview Drive Address: Suite 400 Address: Departamento de administracin de IP

14. Indique la ciudad del POC de la organizacin que recibe la reasignacin. Ciudad es un campo obligatorio.

15. Para los Estados Unidos y Canad, proporcione las dos letras de la abreviatura del estado o provincia del POC de la organizacin que recibe la reasignacin. Para el resto de los pases, si corresponde, proporcione el nombre abreviado o completo del estado o provincia.

16. Proporcione el cdigo postal local correspondiente del POC de la organizacin que recibe la reasignacin. Como ejemplo, para los Estados Unidos, use el cdigo zip. Deje este campo en blanco si el pas no usa cdigos postales.

17. Proporcione el cdigo del pas ISO-3166, de dos caracteres, del POC de la organizacin que recibe la reasignacin. La lista completa de los cdigos de los pases se encuentra en: http://www.arin.net/library/internet_info/countries.html.

18. Proporcione el nmero de telfono del POC, incluso los cdigos de pas y de rea. Slo son vlidos los nmeros y los caracteres + - (). No incluya la extensin del telfono o instrucciones adicionales en el campo del nmero de telfono. Se supone que el tipo de telfono es un nmero de telfono de oficina Si desea tener varios nmeros de telfonos de oficina asociados con este POC, debe duplicar el rengln 18. Si desea modificar el tipo de telfonos, o proporcionar otros nmeros de telfonos de otros tipos de telfonos, use el impreso de POC.

19. Ingrese la direccin de correo electrnico del POC. RFC 822 describe direcciones de correo electrnico vlidas. Se necesita por lo menos una direccin de correo electrnico para procesar un nuevo POC. Si desea tener varias direcciones de correo electrnico asociadas con el POC, debe duplicar el rengln 19. "NETWORK SECTION" [SECCIN DE REDES]

20. Identifique la red a reasignar. El impreso aceptar la red en formato de prefijo CIDR. Por

ejemplo: IP Address and Prefix: 2001:0100:0100::/48

21. El nombre de la red se utiliza como identificador. Proporcione un nombre corto para la red, compuesto por la combinacin de hasta 14 letras, nmeros, o ambos Puede usar un guin (-) como parte del nombre de la red, pero ningn otro carcter especial, como puntos o subrayados.

22. Se aceptarn readjudicaciones de /48 y prefijos ms cortos. Para readjudicaciones de menos de /48, se podra necesitar informacin adicional. ARIN recolectar esta informacin para un anlisis que se podra usar en discusiones sobre la poltica futura en lo que se refiere a la utilizacin de IPv6. En dichas discusiones no se usarn los nombres de las organizaciones registradas.

"NETWORK CONTACT SECTION (Optional)" [SECCIN DE CONTACTO DE RED (Optativa)]

Puede agregar puntos de contacto (POC) tcnicos optativos asociados con la reasignacin de esta red. Si no se agregan POC, el contacto asociado con la organizacin secundaria servir como POC de esta red. Los campos 23 a 34 se pueden duplicar para poder agregar otros POC.

El impreso de IPv6-REALLOCATE permite registrar un POC al mismo tiempo que se registra la reasignacin. No obstante, este impreso NO le permitir modificar informacin asociada a un POC existente. Si desea modificar la informacin asociada a un POC existente, use el impreso del POC.

Si no est seguro de el identificador de POC registrado, haga una bsqueda de last name, first name (apellido, nombre) en la base de datos WHOIS.

Se le adjudica una contrasea a cada uno de los POC en la base de datos de ARIN con el formato ARIN, donde es un rtulo formado por las iniciales de una persona o cuenta de grupo y un nmero.

23. Si el POC de la red ya existe en la base de datos de ARIN, escriba la contrasea aqu. Si est provista, salte los renglones 24 a 34. Si el POC no est registrado, deje este rengln en blanco y complete los renglones 24 a 34.

24. El POC de la red puede ser tanto una persona como una cuenta de grupo. Indique P para persona o R para cuenta de grupo. No se puede actualizar el Tipo de contacto.

25. Si el POC de la red es una cuenta de grupo, escriba el nombre completo de la cuenta de grupo. Por ejemplo: Last Name or Role Account: Network Operations Center

Si el POC de la red es una persona, escriba el apellido nicamente. Por ejemplo: Last Name or Role Account: Smith

26. Si el POC de la red es una persona, el nombre es obligatorio. Si el "Network POC" es una cuenta de grupo, el nombre se debe dejar en blanco.

27. Si el Network POC es una cuenta de grupo, el nombre de la compaa es obligatorio. Esto ayudar a distinguir al Hostmaster de la Compaa ABC del Hostmaster de la Compaa XYZ. Es optativo para las personas.

28. La direccin fsica del POC de la red es un campo obligatorio. Si bien este impreso proporciona solos dos renglones para la direccin, puede duplicar 28b tantas veces como sea necesario para capturar su direccin completa. No incluya la ciudad, estado o provincia, cdigo postal o cdigo del pas en este campo. Un ejemplo:

Address: 111 Scenic Overview Drive Address: Suite 400 Address: Departamento de administracin de IP

29. Indique la ciudad del POC de la red. Ciudad es un campo obligatorio.

30. Para los Estados Unidos y Canad, proporcione las dos letras de la abreviatura del estado o provincia del POC de la red. Para el resto de los pases, si corresponde, proporcione el nombre abreviado o completo del estado o provincia.

31. Proporcione el cdigo postal correspondiente para la localidad del POC de la red. Como ejemplo, para los Estados Unidos, use el cdigo zip. Deje este campo en blanco si el pas no usa cdigos postales.

32. Proporcione el cdigo del pas ISO-3166, de dos caracteres, del POC de la red. La lista completa de los cdigos de los pases se encuentra en:

http://www.arin.net/library/internet_info/countries.html.

33. Proporcione el nmero de telfono del POC de la red, incluso los cdigos de pas y de rea. Slo son vlidos los nmeros y los caracteres + - (). No incluya la extensin del telfono o instrucciones adicionales en el campo del nmero de telfono. Se supone que el tipo de telfono es un nmero de telfono de oficina Si desea tener varios nmeros de telfonos de oficina asociados con este POC, debe duplicar el rengln 33. Si desea modificar el tipo de telfonos, o proporcionar otros nmeros de telfonos de otros tipos de telfonos, use el impreso de POC.

34. Ingrese la direccin de correo electrnico del POC de la red. RFC 822 describe direcciones de correo electrnico vlidas. Se necesita por lo menos una direccin de correo electrnico para procesar un nuevo POC. Si desea tener varias direcciones de correo electrnico asociadas con el POC, debe duplicar el rengl n 34.

"PUBLIC COMMENTS SECTION (Optional)" [SECCIN DE COMENTARIOS PBLICOS (Optativa)] publicado por peter sandoval en 17:55 sin comentarios:

sbado, 29 de noviembre de 2008

Probar y Desabilitar IPV6 de Windows Vista

Para probar que IPv6 funciona en tu PC, ejecuta en una ventana de consola:

ping6 -n 5 ::1

Si el resultado es el siguiente (o similar):

Haciendo ping a ::1 con 32 bytes de datos:

Respuesta desde ::1: tiempo<1m

Respuesta desde ::1: tiempo<1m Respuesta desde ::1: tiempo<1m Respuesta desde ::1: tiempo<1m Respuesta desde ::1: tiempo<1m

Estadsticas de ping para ::1: Paquetes: enviados = 5, recibidos = 5, perdidos = 0 (0% perdidos), Tiempos aproximados de ida y vuelta en milisegundos: Mnimo = 0ms, Mximo = 0ms, Media = 0ms

esto significa que IPv6 esta instalado correctamente y es funcional. Bsicamente debes de ser capaz de ver "5 paquetes recibidos".

Con Windows Vista el protocolo IPv6 viene instalado y habilitado por defecto por lo que no tendras que hacer nada especial. Sin embargo, puedes seguir las instrucciones de abajo si quieres configurar algunas caracteristicas avanzadas de IPv6 en este sistema operativo.

Deshabilitar IPv6

A diferencia de lo que ocurre en Windows XP y 2003, IPv6 en Windows Vista no se puede desinstalar porque es parte integrante de la pila IP. Para deshabilitar IPv6 en una conexin o interfaz de red especficos hay que ir a la carpeta Conexiones de Red, obtener las propiedades de la conexin o interfaz de red y deseleccionar el componente Protocolo Internet versin 6 (TCP/IPv6) de la lista. Este mtodo deshabilita IPv6 de dicha conexin o interfaz de red pero no deshabilita IPv6 de los interfaces de tneles ni de la interfaz virtual loopback.

Para deshabilitar de manera selectiva algunos componentes de IPv6 o configurar su comportamiento, en Windows Vista hay que crear y configura el siguiente valor del registro de Windows (tipo DWORD)

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\tcpip6\Parameters\DisabledCompone nts

DisabledComponents est configurado a 0 por defecto

El valor de registro DisabledComponents es una mscara de bits que controla los siguientes parmetros, comenzando por el bit de menor orden (Bit 0):

Bit 0 puesto a 1 para deshabilitar todos los interfaces de tnel IPv6, incluyendo ISATAP, 6to4, and Teredo. El valor por defecto es 0

Bit 1 puesto a 1 para deshabilitar todos los interfaces de tnel 6to4. El valor por defecto es 0

Bit 2 puesto a 1 para deshabilitar todos los interfaces ISATAP. El valor por defecto es 0 Bit 3 puesto a 1 para deshabilitar todos los interfaces Teredo. El valor por defecto es 0

Bit 4 puesto a 1 para deshabilitar IPv6 sobre todos los interfaces que no son tneles, incluyendo interfaces LAN y PPP. El valor por defecto es 0

Bit 5 puesto a 1 para modificar la tabla de polticas de prefijos y preferir IPv4 sobre IPv6 en las conexiones. El valor por defecto es 0

Para determinar el valor del parmetro DisabledComponents para una determinada configuracin hay que construir un nmero binario con el valor adecuado y despus convertirlo a su valor hexadecimal. Por ejemplo, si quieres deshabilitar los interfaces 6to4 y Teredo y preferir IPv4 sobre IPv6 entoces habra que construir el siguiente nmero binario: 101010. Despus convertirlo a su valor hexadecimal de manera que el valor del parmetro DisableComponents sera 0x2A.

Despus de hacer estos cambios hay que reiniciar el PC para que el nuevo valor de DisableComponents tenga efecto. publicado por peter sandoval en 17:12 sin comentarios:

sbado, 22 de noviembre de 2008

Windows Server e IPV6

Para utilizar IPv6 con Windows 2000 (con SP1 o superior), se tena que descargar archivos de Microsoft para agregar el soporte para la nueva versin de la propiedad intelectual para el sistema operativo. Usted puede obtener productos de terceros para aadir soporte para IPv6 en Windows 9x y NT.

Server 2003, sin embargo, incluye soporte IPv6 "fuera de la caja" sin ningn tipo de add-ons.

Instalar IPv6 como protocolo de red a travs del cuadro Propiedades de la conexin de rea local, tal como se muestra en la siguiente figura:

- Instalacin de IPv6 como un protocolo en Windows Server 2003

Para instalar soporte IPv6, siga estos pasos: 1. Haga clic en Inicio Panel de Control Conexiones de red

2. Haga clic derecho en la conexin de rea local y seleccione Propiedades

3. Haga clic en el botn Instalar.

4. Seleccione Protocolo en el cuadro de componentes de red y haga clic en el botn Agregar

5. Haga clic en Microsoft TCP / IP versin 6 y haga clic en Aceptar

IPv6 ahora aparece en la lista de protocolos instalados en la conexin de las propiedades, como se muestra en la siguiente figura:

Despus de la instalacin, TCP / IP versin 6 aparece como un componente de red instalado

En Server 2003, no se puede instalar slo IPv6, IPv4 tambin debe ser instalado (y se instala por defecto cuando se instala el sistema operativo).

Puede configurar estos elementos para IPv6:

-Direccin IPv6 (puede ser obtenido por un anuncio o mediante un router puede asignarse manualmente).

-Router por defecto que se utilizarn para comunicarse con nodos IPv6 en segmentos de red que no sea de su propia red (se puede asignar automticamente a travs de router o aadir a la tabla de enrutamiento IPv6 manualmente)

- Servidor DNS para resolver nombres de host a direcciones IPv6

La mayora de las configuraciones de IPv6 se pueden hacer utilizando el comando netsh en el contexto IPv6. Para cambiar a IPv6 contexto, escriba netsh interface ipv6. A continuacin, puede

utilizar los comandos de IPv6, que permite aadir, modificar y borrar direcciones y rutas, aadir 6 ms de 4 o 6 en 4 tneles, configurar la direccin temporal de generacin, y mucho ms.

....Espero que este post les sea de mucha ayuda, en el siguiente post estaremos dando mas alcance sobre el tema mencionado...... publicado por peter sandoval en 12:42 sin comentarios:

viernes, 14 de noviembre de 2008

Protocolo de Descubrimiento de Vecino

En IPv6, el protocolo semejante a ARP en IPv4, es el llamado protocolo de descubrimiento del vecino (ND, Neighbor Discovery). Este protocolo es el mecanismo por el cual un nodo que se incorpora a una red, descubre la presencia de otros en su mismo enlace, determina sus direcciones en la capa de enlace, localiza los routers y mantiene la informacin de conectividad acerca de las rutas a los vecinos activos.

El protocolo ND se emplea tambin para mantener limpios los caches donde se almacena la informacin relativa al contexto de la red a la que est conectada un servidor o un router, y para detectar cualquier cambio en la misma. Si un router o una ruta falla, el servidor buscar alternativas funcionales.

ND emplea los mensajes ICMPv6 para algunos de sus servicios, este protocolo es bastante completo y sofisticado, ya que es la base para permitir el mecanismo de autoconfiguracin en IPv6.

Define varios mecanismos, entre ellos:

descubrir routers, prefijos y parmetros, autoconfiguracin de direcciones, resolucin de direcciones, determinacin del siguiente salto, deteccin de nodos inalcanzables, deteccin de

direcciones duplicadas o campos, redireccin, balanceo de carga entrante, direcciones anycast, y anunciacin de proxies.

ND define cinco tipos de mensajes ICMPv6:

- Solicitud de router. Generado por una interfaz cuando es activada, para pedir a los routers que se anuncien inmediatamente. Tipo de mensaje ICMPv6 133 cdigo 0.

- Anunciacin de router. Generado por los routers peridicamente (entre cada 4 y 1800 segundos) o como consecuencia a una solicitud de router, a travs de multicast, parainformar de su presencia as como de otros parmetros de enlace y de Internet, comoprefijos (uno o varios), tiempo de vida, configuracin de direcciones, lmite de salto sugerido, etc. Es importante para permitir la renumeracin. Tipo de mensaje ICMPv6134 cdigo 0.

- Solicitud de vecino. Generado por los nodos para solicitar la direccin en la capa de enlace de la tarjeta de su vecino, o para verificar que el nodo vecino es alcanzable, ascomo para detectar las direcciones duplicadas. Las solicitudes son multicast cuando elnodo necesita resolver una direccin y unicast cuando el nodo quiere verificar que el vecino es alcanzable. Tipo de mensaje ICMPv6 135 cdigo 0.

- Anunciacin de vecino. Generado por los nodos como respuesta a la solicitud devecino. Tipo de mensaje ICMPv6 136 cdigo 0.

- Redireccin. Generado por los routers para informar a los hosts de un mejor salto para llegar a un destino. Tipo de mensaje ICMPv6 137 cdigo 0.

El protocolo de Descubrimiento de vecinos IPv6 corresponde a una combinacin de los protocolos IPv4 ARP, descubrimiento de router ICMP, y redireccin ICMP. El protocolo ND presenta las siguientes ventajas frente a los mecanismos existentes en IPv4:

- El descubrimiento de routers es parte de la base del protocolo, no se tiene que recurrir a los protocolos de encaminado.

- La anunciacin del router incluye las direcciones de la capa de enlace, no es necesario ningn intercambio adicional de paquetes para su resolucin.

- La anunciacin del router incluye los prefijos para el enlace, por lo que no hay necesidad de un mecanismo adicional para configurar la mscara de red.

- La anunciacin de un router permite la autoconfiguracin de direcciones.

- Los routers pueden anunciar a los host del mismo enlace la MTU.

- Se extienden las multicast de resolucin de direcciones entre 232 direcciones, reduciendo de forma importante las interrupciones relativas a la resolucin de direcciones en mquinas distintas al objetivo, y evitando las interrupciones en mquinas sin IPv6.

- Las redirecciones contienen la direccin de la capa de enlace del nuevo salto, lo que evita la necesidad de una resolucin de direccin adicional.

- Se pueden asignar mltiples prefijos al mismo enlace y por defecto los host aprenden todos los prefijos por la anunciacin del router. Sin embargo, los routers pueden ser configurados para omitir parte o todos los prefijos en la anunciacin, de forma que las mquinas consideren que los destinos estn fuera del enlace; de esta forma, enviarn eltrfico a los routers, quien a su vez los redireccionarn segn corresponda.

- A diferencia de IPv4, en IPv6 el receptor de una redireccin asume que el siguiente salto est en el mismo enlace. Se prev una gran utilidad en el sentido de no ser deseable o posible que los nodos conozcan todos los prefijos de los destinos en elmismo enlace.

- La deteccin de vecinos inalcanzables es parte de la base de mejoras para la robustez en la entrega de paquetes frente a fallos en routers, particiones de enlaces, nodos que cambian sus direcciones, nodos mviles, etc.

- A diferencia de ARP, en ND se pueden detectar fallos de la mitad del enlace, es decir,con conectividad en un solo sentido, evitando el trfico hacia ellos.

- La deteccin de vecinos inalcanzables es parte de la base de mejoras para la robustez en la entrega de paquetes frente a fallos en routers, fallas parciales, nodos que cambian sus direcciones, nodos mviles, etc.

- El uso de direcciones de enlace local para identificar routers, permite a las mquinas que

mantengan su asociacin con los mismos, en el caso de que se realice una renumeracin para usar nuevos prefijos globales.

- El lmite de saltos es igual a 255, lo que evita que haya envos accidentales o intencionados desde mquinas fuera del enlace, dado que los routers decrementan automticamente este campo en cada salto.

- Al realizar la resolucin de direcciones en la capa ICMP, se independiza el protocolodel medio, permitiendo mecanismos de autenticacin y seguridad normalizados.

Por todo lo anterior se puede decir que ND reemplaza a ARP con varias mejoras e importantesventajas. publicado por peter sandoval en 14:45 sin comentarios:

viernes, 7 de noviembre de 2008

IPV6 EN RELACION CON LINUX

En este post vamos a mencionar los pasos que se tienen que seguir para implementar en una plataforma linux el protocolo IPV6......

- En primer lugar se tiene que comprobar que el Kernel soporta IPV6, por lo tanto se tien que comprobar la siguiente entrada:

/prco/net/if_inet6

- En caso de que no exista se puede intentar cargar el modulo IPV6 con:

#> modprobe ipv6

- si se ha cargado correctamente debe existir la entrada mencionada.

Nota: Descargar el modulo puede a veces, provocar la caida del sistema. Aunque en versiones actuales de los modulos el soporte es muy estable.

- Para que cargue de forma automatica el modulo IPV6 cuando se demande, se aade al fichero /etc/modules.conf la siguiente linea:

alias net-pf-10 ipv6 alias sit0 ipv6 alias sit1 ipv6 alias tun6to4

- luego se necesitan Scripts para inicilaizar todo lo relacionado con IPV6 y para configurar las direcciones v4/v6 de las interfaces. conviene actualizar a la ultima version de los mismos. Estos scripts pueden obtenerse en :

http://www.bieringer.de/linux/IPv6/IPv6-HOWTO/scripts/current/index.html

Aunque la mayoria de distribuciones actuales configuran estos scripts en la instalacion del sistema.

se descarga la ultima version (IPv6-initscripts-20020125.tar.gz) y se descomprime.

- luego se copian los ficheros de scripts a los directorios correspondientes:

/etc/sysconfig/network-scripts/network-funtions-ipv6

/etc/sysconfig/network-scripts/init.ipv6-global

/etc/sysconfig/network-scripts/ifup-ipv6

/etc/sysconfig/network-scripts/ifdow-ipv6

/etc/sysconfig/network-scripts/ifup-sit

/etc/sysconfig/network-scripts/ifdow-sit

/etec/ppp/ip-up.ipv6to4

/etec/ppp/ip-dow.ipv6to4

/etec/ppp/ipv6-dow

/usr/sbin/test-ipv6-installation

/etec/sysconfig/static-routes-ipv6

- Luego se recomienda instalar ipv6calc para habilitar la deteccion de direcciones extendidas.

puede obtenerse de:

http://www.bieringer.de/linux/ipv6/ipv6calc/index.html

- Para proceder a instalar de escribir los siguientes comandos:

root# cd /usr/src/redhat/RPMS/i386

root# rpm -i ipv6calc-version.i386.rpm

debe existir ahora /bin/ipv6calc

En el fichero sysconfig-ipv6.txt que viene con el paquete de scripts, se da informacion detallada de los parametros que se puedan configurar en cada script.

para comprobar que la configuracion es correcta, se puede ejecutar el scrip:

/usr/sbin/test-ipv6-installation (que viene con el paquete)

- Luego se debe configurar la red:

se debe cambiar el nombre del host, se pone en /etc/sysconfig/network, la linea:

HOSTNAME= nombre_host

Luego conviene aadirlo en el fichero /etc/host:

: : 1 nombre_host

El nombre de host puede verse en /proc/sys/kernel/hostname o simplemente ejecutando

/bin/hostname sin ningun parametro.

- Se deben aadir entradas en /etc/host para ipv6:

: :1 localhost ip6-localhost ip6-loopback

fe00: : 0 ip6-localnet

fe00: : 0 ip6-mcastprefix

fe02: : 1 ip6-allnodes

fe02: : 2 ip6-allrouters

fe02: : 3 ip6-allhost

Espero que este post les sea de mucha ayuda........ publicado por peter sandoval en 11:52 sin comentarios:

jueves, 30 de octubre de 2008

El Estado Actual y la Seguridad del Protocolo IPV6

En la actualidad vemos que IPv4 funciona, y funciona bien. De no haber sido as, por seguro que se habra migrado masivamente a IPv6, y eso no ha sucedido. De todos modos IPv4 es un protocolo muy antiguo, y que tiene bastantes operativos ligados a su arquitectura:

- Ataques de denegacin (distribuda) de servicios, DoS y DDoS. Las inundaciones de informacin en broadcasting y los ataques Smurf siguen estando ah.

- La distribucin de cdigo malicioso automatizado, ya que el espacio IPv4 es corto y est saturado (ms de dos terceras partes del espacio IPv4 est ya asignado).

- Los ataques Man in the Middle, ya que IPv4 no tiene caractersticas propias para proporcionar autenticacin fuerte por s mismo.

- Ataques de fragmentacin, en los que se aprovecha lo mal que gestionan a veces las pilas de protocolo de algunos sistemas operativos la informacin fragmentada. Los ms veteranos seguro que recuerdan los Nukes OOB (Out Of Band) y la legendaria pantalla azul de Windows.

- Ataques de reconocimiento y de escaneo de servicios. Escanear una clase C entera puede llevar bastante poco tiempo.

- Envenenamiento ARP y redireccin de eco ICMP, o cmo desviar el trfico a una direccin maliciosa.

IPv6 puede proporcionar mejoras no slo para la seguridad, sino para el funcionamiento global de las comunicaciones.

Cmo?

- Proporcionando un espacio mayor. Pasamos de 2^32 a 2^128.

- Direccionamiento jerrquico. Desde el unicast (asignadas a un slo nodo IPv6) al anycast (envos segmentados a ciertos integrantes de un grupo determinado) (, pasando por el multicast (un grupo de nodos, la informacin llega a todos los integrantes). En qu resulta esto? Tablas de enrutado mucho menores. Comunicaciones ms optimizadas.

- Comunicaciones DHCPv6 que permiten configuraciones stateless y statefull.

- Calidad de servicio, QoS. Las cabeceras IPv6 contienen informacin especfica que facilita la gestin del Quality of Service tanto para servicios diferenciados como integrados.

- Ms rendimiento. Mejoran la gestin de paquetes y los tiempos de proceso.

- Pensado para la seguridad. IPSec en IPv6 es obligatorio, no opcional como sucede en IPv4.

- Extensibilidad. Las cabeceras IPv6 doblan en tamao a las IPv4, pero sin embargo, las direcciones IPv6 son cuatro veces ms largas. Las cabeceras IPv6 no contienen campos opcionales, lo que queramos enviar como opcional se hace va cabeceras auxiliares. Esto reduce cmputo y tiempos, y simplifica la gestin.

- Movilidad. Trasladar nodos sin perder tiempo de operacin es algo asumible en IPv6, mucho ms fcil de lograr que en IPv4.

Una de las grandes ventajas de IPv6 es contemplar IPSec como algo obligatorio. Convertir IPSec en mandato obligatorio es harto interesante. Es una necesidad, dira yo. Mediante IPSec en IPv6 es posible reforzar la seguridad de las comunicaciones al menos desde las siguientes pticas:

- Cabeceras y autenticacin, que previenen la adulteracin de las mismas (authentication header) - Encapsulating Security Payload y la enorme ventaja que acarrea este encapsulado.

- Modo transporte (comunicaciones seguras entre extremos asegurando el payload de la comunicacin) y modo tnel (no del todo necesario, ya que la autenticacin de cabeceras y el Encapsulating Security Payload son suficientes para asegurar la comunicacin)

- Negociacin y gestion del intercambio de llaves, que se basa en que IPSec cumple con IKE.

dnde estn los problemas de seguridad en IPv6?

La lista de posibles problemas podra ser:

- La coexistencia de IPv4 e IPv6. Mientras se traslada lo que hay en IPv4 a IPv6, es posible hallar problemas relacionados con la dualidad de pilas (dos infraestructuras, cada una con sus problemas propios)

- Manipulacin de cabeceras. Pese a su diseo contra este tipo de actividad, no existe seguridad al 100%, como bien sabemos. No son descartables acciones futuras que burlen parte o la totalidad de los mecanismos de autenticacin, especialmente en la fase de dualidad durante la migracin.

- Ataques de inundacin. El flood slo se puede capear procesando la inundacin y el trfico, con lo que este tipo de ataques siempre estar ah, si bien ser ms complicado para los atacantes.

- Movilidad. Al no existir este concepto en IPv4, nadie sabe a ciencia cierta cmo responder realmente en IPv6. Todo un misterio pendiente de resolver.

Cmo est el panorama actualmente?

Como podran imaginar, bastante complicado. En pequeas escalas y en redes locales se emplea bastante IPv6, ya que sistemas como Linux posibilitan su despliegue de una manera cmoda, rpida y segura, para servicios Intranet como SSH. Otros sistemas menos dados a innovar, como las plataformas Microsoft, admiten tambin IPv6, pero no gozan de la misma operatividad de servicios, muy poco consolidada en estos productos.

Tal y como dice la Wikipedia, ICANN anunci el 20 de julio de 2004 que los registros AAAA de IPv6 para Japn (.jp) y Corea (.kr) de cdigo de pas ya son visibles en los servidores raz de DNS. El registro IPv6 para Francia fue aadido poco despus. Poco esfuerzo adicional se ha hecho desde entonces.

....Espero que este post les se a de mucha utilidad, seguiremos dando mas alcances de IPV6 en el proximo post..... publicado por peter sandoval en 12:53 sin comentarios:

mircoles, 22 de octubre de 2008

Problemas entre Windows Vista e IPV6

En este post vamos a hablar que existen algunas imcopatibilidades de windows Vista e IPV6, vamos a mencionar algunos de los problemas que ocurren:

por ejemplo:

- Los mensajes de error ICMP (usados entre otros para hacer pings) no pueden ser leidos por las aplicaciones en Vista......

definimos que es ICMP:

El protocolo ICMP:

El Protocolo de Mensajes de Control y Error de Internet, ICMP, es de caractersticas similares a UDP, pero con un formato mucho ms simple, y su utilidad no est en el transporte de datos de usuario, sino en controlar si un paquete no puede alcanzar su destino, si su vida ha expirado, si el encabezamiento lleva un valor no permitido, si es un paquete de eco o respuesta, etc. Es decir, se usa para manejar mensajes de error y de control necesarios para los sistemas de la red, informando con ellos a la fuente original para que evite o corrija el problema detectado. ICMP proporciona as una comunicacin entre el software IP de una mquina y el mismo software en otra.

El protocolo ICMP solamente informa de incidencias en la entrega de paquetes o de errores en la red en general, pero no toma decisin alguna al respecto. Esto es tarea de las capas superiores.

....Los problemas estan surgiendo de la siguiente manera:

- Trabajos de impresion en red que se corrompen regularmente hasta que se desactiva el soporte IPV6 de Vista, en ese momento todo vuelve a la normalidad.

Como consecuencia algunos consultores ya estan recomendando a sus clientes que desactiven en sus estaciones de trabajo el soporte para IPV6, al menos hasta que las redes completas migren a IPV6.

Tambien afirman que los responsables de redes deberian mayor importancia en este asunto, por que si no pueden perder muchas horas tratando de resolver problemas.

Desactivar IPV6 en Windows Vista

A diferencia de Windows XP, IPV6 no puede ser desistalado de Windows Vista sim embargo si puede ser desactivado.

Pasos:

1) Primero pulse la tecla Win + R para abrir el cuadro de ejecutar comandos y escribir:

regedit. Luego vamos a:

HKEY_LOCAL_MACHINE\

SYSTEM\

CurrentControlSet\

Services\

tcpip6\

Parameters

Y creamos un nuevo registro (DWORD) llamado DisabledComponents. Por defecto DisabledComponents est a 0, ahora toca poner el valor que ms convenga, cabe mencionar que el valor es una mascara por lo que el bit a tocar es el bit ms bajo, as que toca generar un nmero binario y pasarlo a hexadecimal. Pero no nos vamos a matar tanto, los valores ms habituales estn justo debajo:

- Desactivar todos las interfaces por tunel: 01.

- Desactivar 6to4: 02.

- Desactivar ISATAP: 04.

- Desactivar Teredo: 08.

- Desactivar Teredo y 6to4: 0xA.

- Desactivar todas las interfaces LAN y PPP: 010.

- Desactivar todas las interfaces por tunel, LAN y PPP: 011.

- Preferir IPv4 antes que IPv6: 020.

- Desactivar IPv6 sobre todas las interfaces y preferir IPv5 antes que IPv6: 0xFF.

De preferencia usar:

- Preferir IPv4 antes que IPv6: 020. Para que use IPv4 hasta el momento en que la red est 100% bajo IPv6

espero que este post sea de mucha ayuda, estaremos dando mas alcances de IPV6..... publicado por peter sandoval en 13:36 sin comentarios: Entradas antiguasPgina principal

Suscribirse a: Entradas (Atom)

rss
Entradas Comentarios

archivo del blog 2008 (17) o diciembre (1) Pasos Para Completar el Impreso de Solicitud IPV6 ... o noviembre (4) o octubre (4) o septiembre (3) o agosto (5) datos personales
peter sandoval Ver todo mi perfil