UNIVERSIDAD NACIONAL DEL ALTIPLANO

FACULTAD DE INGENIERIA MECANICA ELECTRICA, ELECTRONICA Y SISTEMAS

ESCUELA PROFESIONAL DE INGENIERIA DE SISTEMAS

ASIGNATURA: LABORATORIO DE REDES

GRUPO: A

DOCENTE: ING. EDELFRE

MONOGRAFIA DE DIRECCION IPV6

PRESENTADO POR:

 CONDORI MAMANI DENNIS JESUS

 CODIGO: 130350

PUNO – PERU

2017
1.DEFINICION
Una Dirección de Internet Protocol Versión 6 (Dirección IPv6) es una etiqueta numérica
usada para identificar un interfaz de red (elemento de comunicación/conexión) de un
ordenador o nodo de red participando en una red IPv6.

Las direcciones IP se usan para identificar de manera única una interfaz de red de un Host,
localizarlo en la red y de ese modo encaminar paquetes IP entre hosts. Con este objetivo,
las direcciones IP aparecen en campos de la cabecera IP indicando el origen y destino del
paquete.

IPv6 es el sucesor del primer protocolo de direccionamiento de Internet, Internet Protocol

versión 4 (IPv4). A diferencia de IPv4, que utiliza una dirección IP de 32 bits, las direcciones
IPv6 tienen un tamaño de 128 bits. Por lo tanto, IPv6 tiene un espacio de direcciones mucho
más amplio que IPv4.

2.TIPOS
Las direcciones IPv6 se clasifican según las políticas de direccionamiento
y encaminamiento más comunes en redes: direcciones unicast, anycast y multicast.1

 Una dirección unicast identifica un único interface de red. El protocolo de Internet

entrega los paquetes enviados a una dirección unicast al interface específico.
  Una dirección anycast es asignada a un grupo de interfaces, normalmente de nodos
diferentes. Un paquete enviado a una dirección anycast se entrega únicamente a
uno de los miembros, típicamente el host con menos coste, según la definición de
métrica del protocolo de encaminamiento. Las direcciones anycast no se identifican
fácilmente pues tienen el mismo formato que las unicast, diferenciándose
únicamente por estar presente en varios puntos de la red. Casi cualquier dirección
unicast puede utilizarse como dirección anycast.

 Una dirección multicast también es usada por múltiples hosts, que consiguen la
dirección multicast participando en el protocolo de multidifusión (multicast) entre los
routers de red. Un paquete enviado a una dirección multicast es entregado a todos
los interfaces que se hayan unido al grupo multicast correspondiente.

IPv6 no implementa direcciones broadcast. El mismo efecto puede lograrse enviando un

paquete al grupo de multicast de enlace-local todos los nodos (all-nodes) ff02::1. Sin
embargo, no se recomienda el uso del grupo all-nodes, y la mayoría de protocolos IPv6
usan un grupo multicast de enlace-local exclusivo en lugar de molestar a todos los
interfaces de la red.

3.FORMATOS DE DIRECCION
Una dirección IPv6 está formada por 128 bits.1 Las direcciones se clasifican en diferentes
tipos: unicast, multicast y anycast. Cada uno de los tipos define valores específicos para
subgrupos de los 128 bits, asociando dicho valor con las características especiales del tipo.

a. Formato de dirección Unicast y Anycast

Las direcciones Unicast y anycast generalmente se dividen en dos grupos lógicos: los
primeros 64bits identifican el prefijo de red, y son usados para encaminamiento; los últimos
64bits identifican el interface de red del host.

Ejemplo de formato de dirección unicast (el tamaño del routing-prefix es

variable)

bits 48 (o más) 16 (o menos) 64

campo routing prefix subnet id interface identifier

El prefijo de red (network prefix) (prefijo de encaminamiento o (routing prefix) junto con el
identificador de subred o (subnet id)) está situado en los 64 bits más significativos de la
dirección ipv6. El tamaño del routing prefix puede variar; un prefijo de mayor tamaño
significa un tamaño menor para subnet id. El subnet id permite a los administradores de red
definir subredes dentro de la red disponible.

Los 64 bits de identificador del interface (interface identifier) son generados

automáticamente con la dirección MAC del interface y el algoritmo EUI-64 modificado,
obtenidos de un servidorDHCPv6, establecidos aleatoriamente o asignados manualmente.

Una dirección de enlace-local es una dirección unicast, pero usando un valor específico
para el network prefix.
 b. Formato de dirección de enlace-local

bits 10 54 64

campo prefijo ceros interface identifier

El campo prefijo contiene el valor binario 1111111010 (fe80::/10). Los 54 ceros siguientes
consiguen que el prefijo de red sea el mismo para todas las direcciones locales, y por tanto
no enrutable.

c. Formato de dirección multicast Solicited-node

bits 8 4 4 79 9 24

campo Prefix flags scope ceros unos dirección unicast

valor 11111111 0000 0010 00000000...00000000 111111111

d.

d. Formato de dirección Multicast

Las direcciones Multicast se construyen en función de determinadas reglas, dependiendo de

la aplicación.

bits 8 4 4 112

campo Prefix flags scope group ID

valor 11111111 0RPT XXXX

El campo prefix mantiene el valor binario 11111111 para cualquier dirección multicast.

Actualmente se utilizan 3 de los 4 bits del campo flags (flags);1 el bit de flag más significativo
está reservado para uso futuro.

e. Flags de la dirección Multicast

Flag 0 1

R Rendezvous point not embedded Rendezvous point embedded

(Rendezvous) (traducción necesaria) (traducción necesaria)

P (Prefijo) Sin información de prefijo Dirección basada en prefijo de red

 Dirección multicast mundialmente válida Dirección multicast asignada
T (Transitoria)
(permanente) dinámicamente (temporal)

Los 4-bits del campo scope (ámbito) se utilizan para indicar dónde la dirección es válida y
única.

Hay direcciones multicast especiales, como la Solicited-node:

Los campos prefix y scope tienen los valores binarios 11111111 y 0010. Las direcciones
multicast Solicited-node son construidas a partir de la dirección unicast o anycast, copiando
los últimos 24 bits de la dirección unicast o anycast en los últimos 24 bits de la dirección
multicast.

f. Formato de dirección multicast Prefijo-Unicast (unicast-prefix-based)

bits 8 4 4 4 4 8 64 32

campo Prefix flgs sc res riid plen prefijo de red group ID

Las direcciones multicast de multidifusión (link-scoped) usan un formato parecido.

4.REPRESENTACION
Una dirección IPv6 (128 bits) se representa mediante ocho grupos de cuatro
dígitos hexadecimales, cada grupo representando 16 bits (dos octetos). Los grupos se
separan mediante dos puntos(:). Un ejemplo de dirección IPv6 podría ser:

2001:0db8:85a3:0000:0000:8a2e:0370:7334

Los dígitos hexadecimales no son sensibles a mayúsculas/minúsculas, pero se aconseja la

utilización de minúsculas.9

Esta representación completa puede ser simplificada de varias maneras, eliminando partes
de la representación.

a. Ceros iniciales

Los ceros iniciales de cada grupo pueden omitirse, aunque cada grupo debe contener al
menos un dígito hexadecimal.1 De ese modo, la dirección IPv6 ejemplo podría escribirse:

2001:db8:85a3:0:0:8a2e:370:7334

b. Grupos de ceros

Uno o más grupos de ceros pueden ser sustituidos por dos puntos.1 Esta sustitución puede
realizarse únicamente una vez en la dirección. En caso contrario, obtendríamos una
representación ambigua. Si pueden hacerse varias sustituciones, debemos hacer la de
mayor número de grupos; si el número de grupos es igual, debemos hacer la situada más a
la izquierda.9 Con esta regla, reduciríamos aún más la dirección ejemplo:

2001:db8:85a3:8a2e:370:7334

La dirección de loopback, 0:0:0:0:0:0:0:1, y la dirección IPv6 indefinida, 0:0:0:0:0:0:0:0, se

reducen a ::1 y :: respectivamente.

c. Notación decimal con puntos

Durante la transición de Internet de IPv4 a IPv6 será típico operar en entornos de doble
direccionamiento (IPv4 e IPv6). Por este motivo se ha introducido una notación especial
para expresar direcciones IPv6 que sean IPv4-mapeada o IPv4-compatible, representando
los últimos 32 bits de la dirección IPv6 en el formato decimal con puntos usado en IPv4.

Por ejemplo, la dirección IPv6 del tipo IPv4-mapeada ::ffff:c000:280 se puede representar
como ::ffff:192.0.2.128, mostrando claramente la dirección IPv4 mapeada dentro de la IPv6.

5.CARACTERÍSTICAS PRINCIPALES DE IPV6

Como se ha comentado, IPv6 fue diseñado como una evolución natural a IPv4. Es decir,
todo lo que funcionaba perfectamente en IPv4 se ha mantenido, lo que no funcionaba se ha
eliminado, y se ha tratado de añadir nuevas funciones manteniendo la compatibilidad entre
ambos protocolos. Las características principales de IPv6 son:

* Mayor espacio de direcciones.

* Optimización del direccionamiento multicast y aparición del direccionamiento anycast.
* Autoconfiguración de los nodos.
* Seguridad intrínseca en el núcleo del protocolo.
* Calidad de servicio y clases de servicios.
* Paquetes eficientes y extensibles.
* Encaminamiento más eficiente en la red troncal.
* Renumeración y multihoming, que facilita el cambio de proveedor de servicios.
* Características de movilidad.

6.MECANISMOS DE SEGURIDAD DE IPv6

Hay dos mecanismos de seguridad en IPV6.

La Cabecera de Autenticidad, que proporciona integridad y autenticidad sin

confidencialidad.

El Encapsulating Security Payload, que, dependiendo del algoritmo y modo, podría

proporcionar integridad, autenticidad, y siempre confidencialidad.

Los mecanismos de IPv6 no proveen seguridad contra un número de ataques de análisis de

tráfico. Sin embargo, hay varias técnicas que no están en esta especificación (p.e.. bulk link
encryption) que podrían ser utilizadas para proporcionar protección contra el análisis de
tráfico.

Los dos mecanismos de seguridad de IPV6 pueden ser combinados.

6.1 CABECERA DE AUTENTICACIÓN
La Cabecera de Autenticación de IPV6 busca proporcionar integridad y autenticidad para los
datagramas IPv6. Esto se hace computando una función de autenticidad criptografica sobre
el datagrama IPv6 y empleando una clave de autenticidad secreta en el cálculo.

El emisor computa la información de autenticidad exactamente antes de enviar el paquete

IPV6 autenticado y el receptor verifica la información autenticada con la recibida. Hay
ciertos campos que son omitidos en el cálculo de autenticidad debido a que cambian
durante el tránsito como el campo Hop Limit, decrementando en cada paso. Sin embargo, la
omisión del campo Hop Limit no afecta a la seguridad. Algunos algoritmos de autenticación
podría proporcionar no repudio (p.e. algoritmos asimétricos en los que tanto las claves del
emisor como del receptor se utilizan en el cálculo de la autenticidad) utilizados con la
Cabecera de Autenticidad, pero no es necesariamente suministrado por todos los algoritmos
de autenticidad que pueden utilizarse con la Cabecera de Autenticación.

El algoritmo de autenticación por defecto es el MD5 con clave, que se ajusta a todos los
algoritmos simétricos que no proporcionan no repudio.

La protección del análisis de tráfico y la confidencialidad no son suministradas por la

Cabecera de Autenticación.

La Cabecera de Autenticación de IPv6 mantiene información de autenticación para su

datagrama IPv6. Esta información de autenticación se calcula utilizando todos los campos
del datagrama IPv6 que no van a cambiar durante el tránsito desde el emisor al receptor.
Todas las cabeceras de IPv6, payloads y la información de usuario están incluidas en este
cálculo. La única excepción es que esos campos que deben cambiar en el tránsito (p.e. La
Cabecera de IPv6 "Hop Count" o la Cabecera de Encaminamiento de IPv6 "Next Address")
son omitidos cuando se calcula la información de autenticación.

El uso de la Cabecera de Autenticación aumentará los costes de procesamiento de

protocolo de IPv6 en los sistemas que lo utilicen, así como la latencia de las
comunicaciones. El aumento de latencia es principalmente debido al cálculo de la
información de autenticación por parte del emisor y el cálculo y comparación de la
información de autenticación por el receptor de cada datagrama IPv6 contenido en una
Cabecera de Autenticación (AH).

La Cabecera de Autenticación proporciona una seguridad más fuerte que la existente en la

mayoría de la actual Internet y no debería afectar a la exportabilidad ni aumentar
significativamente el coste de implementación. Aunque la Cabecera de Autenticación puede
ser instrumentada como una medida de seguridad empleando los nombres exactos de las
máquinas de una red, este modo de operación no es seguro. En lugar de eso, la Cabecera
de Autenticación debería ser utilizada también desde el origen al destino final.

Todas las máquinas que soporten IPv6 TIENEN que implementar la Cabecera de
Autenticación de IPv6 con al menos el algoritmo de MD5 con unas claves de 128 bits. Se
PUEDE implementar otros algoritmos de autenticación además del MD5 con clave.

6.2 ENCAPSULATING SECURITY PAYLOAD

El Encapsulating Security Payload (ESP) de IPv6 trata de dar integridad , autenticación y
confidencialidad a los datagramas IPv6. Esto se hace por encapsulamiento, ya sea de un
datagrama IPv6 completo o solamente información de protocolo de la capa superior dentro
del ESP, cifrando la mayor parte del contenido del ESP, para concatenar después una
nueva cabecera IPv6 sin cifrar al ya cifrado ESP. Esta cabecera IPv6 no cifrada se utiliza
para llevar los datos protegidos a través de la red. El receptor del datagrama no cifrado
retira y descarta la cabecera IPv6 y sus opciones no cifradas, descifra el ESP, procesa y
después elimina las cabeceras de ESP, trata el (ahora descifrado) datagrama original IPv6 o
los datos de un protocolo de nivel superior, como se indica en las especificaciones del
protocolo IPv6.

7. DNS EN IPV6
Existen dos tipos de registros de DNS para IPv6. El IETF ha declarado los registros A6 y
CNAME como registros para uso experimental. Los registros de tipo AAAA son hasta ahora
los únicos estándares.

La utilización de registros de tipo AAAA es muy sencilla. Se asocia el nombre de la máquina

con la dirección IPv6 de la siguiente forma: NOMBRE_DE_LA_MAQUINA AAAA
MIDIRECCION_IPv6

De igual forma que en IPv4 se utilizan los registros de tipo A. En caso de no poder
administrar su propia zona de DNS se puede pedir esta configuración a su proveedor de
servicios. Las versiones actuales de bind (versiones 8.3 y 9) y el “port” dns/djbdns (con el
parche de IPv6 correspondiente) soportan los registros de tipo AAAA.

El tema de IPv6 no es nada nuevo, hace varios años se viene hablando de esta evolución,
pero el proceso es algo que vale la pena discutir, enriquecer con noticias, comentarios
sobre el mismo y conocer la perspectiva de los usuarios con respecto a la evolución hacia el
IPv6.

8. USO
Esta sección describe el uso de los posibles mecanismos de seguridad suministrados por
IPv6 en diferentes entornos y aplicaciones para dar al implementador y al usuario una mejor
idea de cómo estos mecanismos pueden utilizarse para reducir riesgos de seguridad.

8.1 USO CON FIREWALLS

Los firewalls son habituales en la actual Internet. Los dos mecanismos de IPv6 pueden
utilizarse para aumentar la seguridad suministrada por los firewalls.

Los firewalls usados con IPv6 deberán poder analizar la cabecera daisy-chain para
determinar el protocolo de transporte (p.e. UDP o TCP) en uso y el número de puerto para
esos protocolos. La función de Firewall no debería verse afectada significativamente por el
uso de IPv6, debido a que las reglas de formato de cabecera de IPv6 hacen un análisis fácil
y rápido.

Los firewalls pueden utilizar la Cabecera de Autenticación para asegurarse de que la

información (p.e. emisor, destino, protocolo de transporte, número de puerto) que se utiliza
para decisiones de control de acceso es correcta y auténtica. La autenticación podría estar
desempeñada no solamente dentro de una organización o campus sino también con
sistemas remotos a traves de Internet mediante conexiones "end to end". Este uso de la
Cabecera de Autenticación con IPv6 proporciona mucha más seguridad que la que facilita
IPv4.

Organizaciones con dos o más plantas que se interconectan utilizando un servicio de IP

comercial podrían desear utilizar un firewall para el cifrado selectivo. Si entre cada planta de
una determinada empresa y su proveedor de servicios IP se situase un firewall de cifrado,
este podría proporcionar un túnel de IP de cifrado entre todas las plantas de la empresa;
podría también cifrar tráfico entre dicha empresa y sus suministradores, clientes y otros
afiliados. El tráfico con el NIC, con el archivo público de Internet, o alguna otra organización
no podría ser cifrado debido a la no disponibilidad de un protocolo de administración de
claves estándar o al deseo de facilitar unas mejores comunicaciones, unas funciones
mejoradas de red, y aumento de la conectividad. Tal práctica puede proteger fácilmente el
tráfico sensible de la organización de posibles caídas y modificaciones.

Algunas organizaciones (como gobiernos) podrían desear utilizar completamente un firewall

de cifrado para dar lugar a una red virtual protegida sobre el servicio comercial de IP. La
diferencia entre esto y un dispositivo de cifrado de IPv6 es que un firewall dedicado al
cifrado proveería filtraciones del tráfico descifrado así como ofrecería cifrado de paquetes
de IP.

8.2 USO CON IPV6 MULTICAST

En los últimos años, la Multicast Backbone (MBONE) ha crecido rápidamente. Las
reuniones de IETF y otras conferencias son ahora regularmente de tipo multicast con audio
en tiempo-real, video, y whiteboards. Mucha gente está utilizando ahora aplicaciones de
teleconferencia basadas en IP MULTICAST en la Internet o en redes internas privadas. Por
tanto, es importante que los mecanismos de seguridad en IPv6 sean apropiados para su
uso en un entorno donde el tipo multicast es el caso general.

Los Security Association Identifiers (SAIDS), utilizados en mecanismos de seguridad de

IPv6 están orientados al receptor, haciéndolos apropiados para uso en multicast IP.
Lamentablemente, los protocolos de distribución de claves multicast actualmente publicados
no se adaptan bien. Sin embargo, hay una investigación activa en este área. Como paso
interno, un grupo multicast podría utilizar repetidamente un protocolo seguro de distribución
de claves unicast para distribuir la clave a todos los miembros, o el grupo podría prearrancar
claves utilizando una distribución de claves manual.

8.3 USO PARA PROPORCIONAR PROTECCION QOS

El IAB Security Workshop identifica la protección de Quality of Service como un área de
interés significativo. Los dos mecanismos de seguridad de IPv6 están buscando
proporcionar un buen soporte para servicios en tiempo real así como de multicast. Esta
sección describe un posible enfoque para ofrecer dicha protección.

La Cabecera de Autenticación puede utilizarse, con una administración de claves apropiada,

para proveer autenticación de paquetes. Esta autenticación es potencialmente importante
para la clasificación de paquetes dentro de routers.

El IPv6 Flow Identifier puede actuar como Low-Level Identifier (LLID).

Usados los dos conjuntamente, la clasificación de paquetes dentro de encaminadores se

convierte en algo inmediato si el encaminador contiene el material de claves apropiado. Por
razones de eficiencia, los encaminadores podrían autenticar solamente cada n paquetes (en
lugar de autenticar cada paquete), pero ésta es una mejora aún más significativa sobre las
características de la actual Internet. El QOS es apropiado también para utilizar el Flow ID
conjuntamente con un protocolo para reservar recursos, como podría ser RSVP. Así, la
clasificación del paquete autenticado puede utilizarse para ayudar a garantizar que cada
paquete reciba una manipulación apropiada dentro de los encaminadores.

9. CONCLUSION
De acuerdo a los descrito anteriormente, se puede concluir que una de las grandes
diferencias entre el actual protocolo usado (IPv4) con IPv6, es en la cantidad de
combinaciones posibles que se pueden obtener. En otras palabras, IPv6, ofrece 2^128
combinaciones, en cambio IPv4, solo 2^32. Esto ampliaría enormemente el espectro de
objetos que puedan conectarse a la red, dando asi, un mayor uso a este medio y
posiblemente descongestionar otros medios como son las frecuencias de radio. IPv6 ofrece
tambien, una notable mejoria en disminuir el congestionamiento de las redes, como tambien
disminuir considerablemente el uso de NATs en redes, ya que estos, ayudaban a ampliar
las combinaciones posibles en IPv4.

Debido a esto, se puede llegar a la conclusion de que el protocolo IPv6 es un gran cambio
para la actual estructura y funcionamiento de las Redes actuales. Si bien es cierto, es un
proceso largo en el cual, al fin de cuentas, no todos los usuarios actuales de IPv4, podrian
beneficiarse a corto plazo de las ventajas que ofrece IPv6, si puede decirse que el hecho de
que este cambio este en proceso es una gran avanze para el desarollo y desempeño global
a futuro.