evolución de protocolos de internet 2017
TRANSCRIPT
![Page 1: Evolución de Protocolos de Internet 2017](https://reader033.vdocuments.mx/reader033/viewer/2022050803/5a679d0d7f8b9ac0578b5297/html5/thumbnails/1.jpg)
Internet en 2017Desafíos y cambio
Carlos M. Martínez (@carlosm3011) IEEE URUCONMontevideo
![Page 2: Evolución de Protocolos de Internet 2017](https://reader033.vdocuments.mx/reader033/viewer/2022050803/5a679d0d7f8b9ac0578b5297/html5/thumbnails/2.jpg)
Acerda de LACNIC•LACNIC administra los recursos de numeración de Internet para América Latina y parte del Caribe
–Es una organización basada en Membresía, sin fines de lucro, establecida jurídicamente en Uruguay y reconocida como Organismo Internacional por el estado uruguayo
•¿Qué NO es LACNIC?–Proveedor de servicios de Internet, Entidad reguladora, policía de Internet, registro de nombres de dominios
![Page 3: Evolución de Protocolos de Internet 2017](https://reader033.vdocuments.mx/reader033/viewer/2022050803/5a679d0d7f8b9ac0578b5297/html5/thumbnails/3.jpg)
¿Qué son los recursos de numeración de Internet?
•Recursos fundamentales para el crecimiento y despliegue de Internet:
–Direcciones IPv4–Direcciones IPv6 –Números de Sistema Autónomo
•Servicios asociados–Directorio Whois–DNS inverso–RPKI
![Page 4: Evolución de Protocolos de Internet 2017](https://reader033.vdocuments.mx/reader033/viewer/2022050803/5a679d0d7f8b9ac0578b5297/html5/thumbnails/4.jpg)
RegistrosdeInternetRegionales(RIR)
![Page 5: Evolución de Protocolos de Internet 2017](https://reader033.vdocuments.mx/reader033/viewer/2022050803/5a679d0d7f8b9ac0578b5297/html5/thumbnails/5.jpg)
Región de Servicio de LACNIC
![Page 6: Evolución de Protocolos de Internet 2017](https://reader033.vdocuments.mx/reader033/viewer/2022050803/5a679d0d7f8b9ac0578b5297/html5/thumbnails/6.jpg)
Evolución de la membresía
2017
![Page 7: Evolución de Protocolos de Internet 2017](https://reader033.vdocuments.mx/reader033/viewer/2022050803/5a679d0d7f8b9ac0578b5297/html5/thumbnails/7.jpg)
Cambios y Desafíos•Agotamiento de IPv4 y el surgimiento del IPv6
•Evolución del enrutamiento en Internet
•Desafíos y evolución a nivel de resoluciónde nombres
![Page 8: Evolución de Protocolos de Internet 2017](https://reader033.vdocuments.mx/reader033/viewer/2022050803/5a679d0d7f8b9ac0578b5297/html5/thumbnails/8.jpg)
Agotamiento de IPv4 IPv6
![Page 9: Evolución de Protocolos de Internet 2017](https://reader033.vdocuments.mx/reader033/viewer/2022050803/5a679d0d7f8b9ac0578b5297/html5/thumbnails/9.jpg)
IPv4•En uso desde ~1981
•Espacio de 4.294.967.296 direcciones IP (no todas pueden ser utilizadas)
•Parecen muchas, pero…– la población mundial es de casi 7 mil millones de habitantes
–87% tiene celular y 35% usa Internet–Todos solemos utilizar varias direcciones IP
•Ya no parecen tantas, ¿no?
![Page 10: Evolución de Protocolos de Internet 2017](https://reader033.vdocuments.mx/reader033/viewer/2022050803/5a679d0d7f8b9ac0578b5297/html5/thumbnails/10.jpg)
Proyecciones de agotamiento de IPv4
Fuente: Geoff Huston - http://www.potaroo.net/tools/ipv4/
![Page 11: Evolución de Protocolos de Internet 2017](https://reader033.vdocuments.mx/reader033/viewer/2022050803/5a679d0d7f8b9ac0578b5297/html5/thumbnails/11.jpg)
Consecuencias del agotamiento de IPv4
•Surgimiento de un mercado secundario de direcciones IP
–Compra de IPs legadas de Nortel por parte de Microsoft
•Cada vez va a ser más “caro” tener IPv4–No solo en términos financieros (‘compra’ de direcciones)
–Caro también en terminos de tiempo y dificultad en obtenerlas. Caro en términos de la ‘suciedad’ del espacio obtenido
![Page 12: Evolución de Protocolos de Internet 2017](https://reader033.vdocuments.mx/reader033/viewer/2022050803/5a679d0d7f8b9ac0578b5297/html5/thumbnails/12.jpg)
Y entonces…¿cuáles son las alternativas?
•No hacer nada
•Si no tengo suficientes direcciones IPv4 públicas para todos los usuarios, podría tratar de compartirlas
–Carrier-Grade NAT–Renumeración de servicios–Otras técnicas
•Empezar a desplegar IPv6
![Page 13: Evolución de Protocolos de Internet 2017](https://reader033.vdocuments.mx/reader033/viewer/2022050803/5a679d0d7f8b9ac0578b5297/html5/thumbnails/13.jpg)
Network Address Translation (NAT)
•Permite que varios dispositivos compartan la misma IP pública.
![Page 14: Evolución de Protocolos de Internet 2017](https://reader033.vdocuments.mx/reader033/viewer/2022050803/5a679d0d7f8b9ac0578b5297/html5/thumbnails/14.jpg)
Problemas del NAT•Control de uso abusivo:
–ACLs (Listas de control de acceso) para evitar ciertos ataques tienen importantes efectos colaterales
–Al bloquear el tráfico de un cliente “malo”, también bloqueamos el tráfico de muchos clientes “buenos”
•Para identificar que usario accedió a un servicio, no solo hay que guardar la dirección IP sino también el puerto de origen
![Page 15: Evolución de Protocolos de Internet 2017](https://reader033.vdocuments.mx/reader033/viewer/2022050803/5a679d0d7f8b9ac0578b5297/html5/thumbnails/15.jpg)
Problemas del NAT (ii)•Geo-localización
–Los usuarios ya no “están” (geográficamente) donde su IP pública está
•Conectividad end-to-end–Forwarding de puertos se dificula–Toda conexión sería ”intermediada” por el CGN
•Implicaciones legales, de privacidad, etc.
![Page 16: Evolución de Protocolos de Internet 2017](https://reader033.vdocuments.mx/reader033/viewer/2022050803/5a679d0d7f8b9ac0578b5297/html5/thumbnails/16.jpg)
IPv6•128 bits de direcciones
•3.4 x 1038 direcciones IP (340,282,366,920,938,463,463,374,607,431,768,211,456 direcciones)
•Mismo modelo de servicio–Datagramas, best effort
•Mayormente mismas funcionalidades
![Page 17: Evolución de Protocolos de Internet 2017](https://reader033.vdocuments.mx/reader033/viewer/2022050803/5a679d0d7f8b9ac0578b5297/html5/thumbnails/17.jpg)
Cuanto espacio IPv6 hay disponible ?
•128 bits de direcciones
![Page 18: Evolución de Protocolos de Internet 2017](https://reader033.vdocuments.mx/reader033/viewer/2022050803/5a679d0d7f8b9ac0578b5297/html5/thumbnails/18.jpg)
Pero …•Dispositivos IPv4-only no pueden “hablar” con dispositivos IPv6-only
–Necesitan un traductor (equipamiento extra, costo extra, etc.)
–Este traductor interrumpe la comunicación.
![Page 19: Evolución de Protocolos de Internet 2017](https://reader033.vdocuments.mx/reader033/viewer/2022050803/5a679d0d7f8b9ac0578b5297/html5/thumbnails/19.jpg)
¿Entonces? Dual Stack•Dual stack: Los dispositivos hablan los dos protocolos, v4 y v6.
•Dispositivos dual-stack pueden comunicarse con otros dispositivos dual-stack y con dispositivos IPv4-only e IPv6-only
![Page 20: Evolución de Protocolos de Internet 2017](https://reader033.vdocuments.mx/reader033/viewer/2022050803/5a679d0d7f8b9ac0578b5297/html5/thumbnails/20.jpg)
Principales diferencias IPv6 / IPv4
•Las funcionalidades de ARP, auto-configuración, ICMP quedan absorbidas por el ICMPv6
•Tipos de direcciones–Link-local, Multicast, Unicast (ULA vs Global)
•Encabezados de extensión
•Fragmentación–Únicamente los extremos de las conexionesfragmentan
![Page 21: Evolución de Protocolos de Internet 2017](https://reader033.vdocuments.mx/reader033/viewer/2022050803/5a679d0d7f8b9ac0578b5297/html5/thumbnails/21.jpg)
Descubrimiento de vecinos•Descubrimiento de direcciones de capa de enlace
•Determina la dirección MAC de los vecinos del mismo enlace (reemplaza ARP)
•El host envía un mensaje NS informando sudirección MAC y solicita la dirección MAC del vecino.
![Page 22: Evolución de Protocolos de Internet 2017](https://reader033.vdocuments.mx/reader033/viewer/2022050803/5a679d0d7f8b9ac0578b5297/html5/thumbnails/22.jpg)
Descubrimiento de vecinos•Descubrimiento de direcciones de capa de enlace
•Determina la dirección MAC de los vecinos del mismo enlace (reemplaza ARP)
•El host envía un mensaje NS informando sudirección MAC y solicita la dirección MAC del vecino.
![Page 23: Evolución de Protocolos de Internet 2017](https://reader033.vdocuments.mx/reader033/viewer/2022050803/5a679d0d7f8b9ac0578b5297/html5/thumbnails/23.jpg)
Descubrimiento de vecinos•Descubrimiento de direcciones de capa de enlace
•Determina la dirección MAC de los vecinos del mismo enlace (reemplaza ARP)
•El host envía un mensaje NS informando sudirección MAC y solicita la dirección MAC del vecino.
![Page 24: Evolución de Protocolos de Internet 2017](https://reader033.vdocuments.mx/reader033/viewer/2022050803/5a679d0d7f8b9ac0578b5297/html5/thumbnails/24.jpg)
Estado del despliegue IPv6•Tenemos ya varios casos de países con penetración de IPv6 mayor a 1%
–¡Tendríamos que pensar en mover el umbral!
•América del Sur:–PE, EC, BR, BO, AR, UY
•América Central + México:–GT, MX
•Caribe –TT
![Page 25: Evolución de Protocolos de Internet 2017](https://reader033.vdocuments.mx/reader033/viewer/2022050803/5a679d0d7f8b9ac0578b5297/html5/thumbnails/25.jpg)
Despliegue por Sub-regionesCode Region IPv6
CapableIPv6 Preferred
XA World 11.26% 10.54%XC Americas 19.75% 18.56%
Code SubRegion IPv6 Capable
IPv6 Preferred
XPSouth America, Americas
9.67% 9.27%
![Page 26: Evolución de Protocolos de Internet 2017](https://reader033.vdocuments.mx/reader033/viewer/2022050803/5a679d0d7f8b9ac0578b5297/html5/thumbnails/26.jpg)
ASNs anunciando prefijos IPv6•Aprox. 5200 ASNs de la región son “visibles”
•Aprox. 37% de ellosanuncian al menosun prefijo IPv6
•Fuente: http://v6asns.ripe.net/v/6?s=_ALL;s=_RIR_LACNIC
![Page 27: Evolución de Protocolos de Internet 2017](https://reader033.vdocuments.mx/reader033/viewer/2022050803/5a679d0d7f8b9ac0578b5297/html5/thumbnails/27.jpg)
Evolución del enrutamiento enInternet
![Page 28: Evolución de Protocolos de Internet 2017](https://reader033.vdocuments.mx/reader033/viewer/2022050803/5a679d0d7f8b9ac0578b5297/html5/thumbnails/28.jpg)
BGP•Uno de los pilares actuales de Internet es el sistemade ruteo
–Mediante el ruteo, sabemos cómo llegar a una IP determinada
•En Internet, el ruteo está basado en BGP
•Función crítica para el funcionamiento de Internet
•Sin embargo, estos protocolos tienen algunasdebilidades
![Page 29: Evolución de Protocolos de Internet 2017](https://reader033.vdocuments.mx/reader033/viewer/2022050803/5a679d0d7f8b9ac0578b5297/html5/thumbnails/29.jpg)
Entradas en la tabla BGP v4
Gracias a Geoff Huston por el gráfico
![Page 30: Evolución de Protocolos de Internet 2017](https://reader033.vdocuments.mx/reader033/viewer/2022050803/5a679d0d7f8b9ac0578b5297/html5/thumbnails/30.jpg)
Entradas en la tabla BGP v6
Gracias a Geoff Huston por el gráfico
![Page 31: Evolución de Protocolos de Internet 2017](https://reader033.vdocuments.mx/reader033/viewer/2022050803/5a679d0d7f8b9ac0578b5297/html5/thumbnails/31.jpg)
Desafíos actuales•Ataques contra el sistema de routing:
–Secuestros de rutas (route hijacking)–Ataques contra el camino (path)
•Otras amenazas/debilidades:–Route leaking–Crecimiento de las tablas de ruteo
![Page 32: Evolución de Protocolos de Internet 2017](https://reader033.vdocuments.mx/reader033/viewer/2022050803/5a679d0d7f8b9ac0578b5297/html5/thumbnails/32.jpg)
Algunas novedades en BGP•RPKI
•Cambio de política BGP por default
•Roles para prevención de route-leaks
•Large communities
•Uso de BGP en datacenters de gran escala
•BGP neighbor autodiscovery y LLDP
•Nuevas address families (LS, EVPN, otras)
![Page 33: Evolución de Protocolos de Internet 2017](https://reader033.vdocuments.mx/reader033/viewer/2022050803/5a679d0d7f8b9ac0578b5297/html5/thumbnails/33.jpg)
RPKI•Solucion al secuestro de rutas mediante la validación de origen
•Consta de 2 partes:–PKI de recursos (IPv4, IPv6, ASN)–Validación de las publicaciones en BGP
•Permite implementar otras funcionalidades:–Mejor autorización en los IRRs (ver RFC7909)–Construcción automática de filtros para BGP–Mayor información mediante comunidades en los IXPs
•BGPsec: por ahora sin adopción a gran escala
![Page 34: Evolución de Protocolos de Internet 2017](https://reader033.vdocuments.mx/reader033/viewer/2022050803/5a679d0d7f8b9ac0578b5297/html5/thumbnails/34.jpg)
ASN 65511
ASN 65536 ASN 65537
BGP default policy
•Comportamiento pordefault en BGP (muchasimplementaciones): re-anunciarautomáticamente todolo que se aprende poreBGP
2001:db8::/40 2001:db8:100:/40
2001:db8::/40
2001:db8:100::/40
Si no hay filtros configurados, esto traeproblemas
![Page 35: Evolución de Protocolos de Internet 2017](https://reader033.vdocuments.mx/reader033/viewer/2022050803/5a679d0d7f8b9ac0578b5297/html5/thumbnails/35.jpg)
Roles en BGP para prevenir leaks
ASN 65511
ASN 65536ASN 65537
Transito
Peering
2001:db8::/40
2001:db8:100:/40
2001:db8::/40
2001:db8::/40 2001:db8:100:/40Transito
2001:db8:100:/40
2001:db8::/402001:db8:100::/40
![Page 36: Evolución de Protocolos de Internet 2017](https://reader033.vdocuments.mx/reader033/viewer/2022050803/5a679d0d7f8b9ac0578b5297/html5/thumbnails/36.jpg)
Roles en BGP para prevenirleaks
•Draft en discusión que define roles al establecer unasesión BGP:
–Provider–Customer–Peer –Internal
•Un nuevo atributo (iOTC) que se configura para las rutasrecibidas como customer o peer
–Las rutas que tienen ese atributo no se anunciarán porparte de un neighbor que es customer o peer.
•draft-ietf-idr-bgp-open-policy
![Page 37: Evolución de Protocolos de Internet 2017](https://reader033.vdocuments.mx/reader033/viewer/2022050803/5a679d0d7f8b9ac0578b5297/html5/thumbnails/37.jpg)
Uso de BGP en datacenters•Tradicionalmente la arquitectura de DC estaba basadaen tecnologías L2 y STP.
•En algunos casos se usa L3 con un IGP
•En los datacenter más masivos o de gran escala(cientos de miles de servers) la tendencia es utilizar BGP
•Ventajas:–Unico protocolo de ruteo–Menor complejidad, más estabilidad–Mayor control sobre la información de ruteo
•Ver RFC7938
![Page 38: Evolución de Protocolos de Internet 2017](https://reader033.vdocuments.mx/reader033/viewer/2022050803/5a679d0d7f8b9ac0578b5297/html5/thumbnails/38.jpg)
Evolución del DNS
![Page 39: Evolución de Protocolos de Internet 2017](https://reader033.vdocuments.mx/reader033/viewer/2022050803/5a679d0d7f8b9ac0578b5297/html5/thumbnails/39.jpg)
Desafíos en el DNS•Seguridad en el DNS
–DNSSEC•Proporciona protección frente a ataques de tipo MitM•Introduce firmas digitales en
•Privacidad en el DNS
• La información contenida en el DNS es pública
• pero… las consultas específicas que hacemos no necesariamente lo son
– ¿Por qué? Porque demuestran cierta intención
![Page 40: Evolución de Protocolos de Internet 2017](https://reader033.vdocuments.mx/reader033/viewer/2022050803/5a679d0d7f8b9ac0578b5297/html5/thumbnails/40.jpg)
Introducción a DNSSEC (ii)
Gracias a Geoff Huston por el gráfico
![Page 41: Evolución de Protocolos de Internet 2017](https://reader033.vdocuments.mx/reader033/viewer/2022050803/5a679d0d7f8b9ac0578b5297/html5/thumbnails/41.jpg)
Introducción a DNSSEC •Se introducen firmas digitales en las respuestas de DNS
•Ejemplo:
41
~ carlosm$ dig +dnssec www.nic.se
;; flags: qr rd ra; QUERY: 1, ANSWER: 2, AUTHORITY: 4, ADDITIONAL: 1
;; ANSWER SECTION:www.nic.se. 60 IN A 212.247.7.218www.nic.se. 60 IN RRSIG A 5 3 60 20101021132001 20101011132001 23369 nic.se. HeeUZ5h5iExK5uU1SuNRIf2Dbmh2/aWV8FkjmzixUzTAVrHv39PfmfnG DHdHoZxoz85hqqYiWb+t9EZh5+iqxQk8AxRDic9Nn6WxifOoWeS+IUKQ rVyqXf1NtkZvu1A325vwa8obtbeVGVkhqg6bDIjKYeHixjlQ4cRoFcEW Izk=
;; AUTHORITY SECTION:nic.se. 2974 IN NS ns3.nic.se.nic.se. 2974 IN NS ns2.nic.se.nic.se. 2974 IN NS ns.nic.se.nic.se. 3600 IN RRSIG NS 5 2 3600 20101021132001 20101011132001 23369 nic.se. GSzAUC3SC3D0G/iesCOPnVux8WkQx1dGbw491RatXz53b7SY0pQuyT1W eb063Z62rtX7etynNcJwpKlYTG9FeMbDceD9af3KzTJHxq6B+Tpmmxyk FoKAVaV0cHTcGUXSObFquGr5/03G79C/YHJmXw0bHun5ER5yrOtOLegU IAU=
![Page 42: Evolución de Protocolos de Internet 2017](https://reader033.vdocuments.mx/reader033/viewer/2022050803/5a679d0d7f8b9ac0578b5297/html5/thumbnails/42.jpg)
Privacidad en el DNSQNAME minimization - RFC 7816
• Evitar divulgar demasiado las consultas que se realizan en el DNS
• En la resolución recursiva tradicional se divulga demasiada información
• ¿Como podemos minimizar esta fuga de datos?
• https://tools.ietf.org/html/rfc7816
![Page 43: Evolución de Protocolos de Internet 2017](https://reader033.vdocuments.mx/reader033/viewer/2022050803/5a679d0d7f8b9ac0578b5297/html5/thumbnails/43.jpg)
Resolución recursiva “tradicional”
Cliente
. (raíz)
.net
lacnic.net
(AAAA, www.lacnic.net) ?
![Page 44: Evolución de Protocolos de Internet 2017](https://reader033.vdocuments.mx/reader033/viewer/2022050803/5a679d0d7f8b9ac0578b5297/html5/thumbnails/44.jpg)
Resolución recursiva “minimizada”
Cliente
. (raíz)
.net
lacnic.net
(AAAA, www.lacnic.net) ?
![Page 45: Evolución de Protocolos de Internet 2017](https://reader033.vdocuments.mx/reader033/viewer/2022050803/5a679d0d7f8b9ac0578b5297/html5/thumbnails/45.jpg)
Transporte seguro• QNAME-minimization resuelve parte del problema,
pero las consultas siguen viajando en “texto plano”
• El WG “DPRIVE” está analizando diferentes transportes que cifren la información de consultas
– DNS sobre TCP sobre TLS - RFC 7858• https://tools.ietf.org/html/rfc7858
– Es la aproximación más “obvia”, ya que DNS sobre TCP ya está definido, y TCP sobre TLS también
• “... over some reliable transport protocol..” (RFC 5246)• puerto 853
![Page 46: Evolución de Protocolos de Internet 2017](https://reader033.vdocuments.mx/reader033/viewer/2022050803/5a679d0d7f8b9ac0578b5297/html5/thumbnails/46.jpg)
Transporte seguro (iii)• DNS over QUIC
– ¿¿ Q U I … C ?? – Quick UDP Internet Connections
• QUIC es:– cifrado por defecto, multiplexa conexiones
(streams), no sufre de NAT, basado en UDP (0-RTT connection establishment)
![Page 47: Evolución de Protocolos de Internet 2017](https://reader033.vdocuments.mx/reader033/viewer/2022050803/5a679d0d7f8b9ac0578b5297/html5/thumbnails/47.jpg)
¡Muchas gracias! ¿Preguntas?