PDF de programación - Continuidad del Modelo Operativo post agotamiento de IPv4

Con3nuidad
 del
 Modelo
 Opera3vo
 

post
 agotamiento
 de
 IPv4
 


 

Juan
 Carlos
 Alonso
 
juancarlos
 @
 lacnic.net
 

Que
 son
 los
 RIRs

IANA
 

AFRINIC
 

APNIC
 

ARIN
 

LACNIC
 

RIPE
 

IANA (Internet Assigned Numbers
A u t h o r i t y ) a c t u a l m e n t e b a j o l a
responsabilidad de
ICANN (Internet
Coorporation for Assigned Names and
Numbers)‏



ISP
 

ISP
 

Usuario
 
Final
 

Usuario
 
Final
 

Usuario
 
Final
 

Que
 es
 LACNIC
 

l  LACNIC administra los recursos
de numeración de Internet para
América Latina y parte del Caribe
asegurando que todas las partes
interesadas tengan un acceso
equitativo a esos recursos

l  Es una organización basada en Membresía,
sin fines de lucro, establecida jurídicamente
en Uruguay y reconocida como Organismo
Internacional por el estado uruguayo

l  No es: Proveedor de servicios de Internet,

Entidad Reguladora ni Registrador de
nombres de dominio

Agotamiento
 IPv4
 

Proyección
 de
 agotamiento
 IPv4
 

©
 Geoff
 Houston
 

Espacio
 asignado
 a
 los
 RIRs
 

Porcentaje
 de
 miembros
 con
 IPv4
 e
 IPv6
 

Espacio
 de
 direccionamiento
 PI
 
•  Independencia
 de
 direccionamiento
 del
 proveedor
 


 


 


 

•  No
 se
 requiere
 NAT
 

•  Cuando
 haya
 escases
 de
 IPv4
 el
 proveedor
 no
 les
 
 

va
 a
 pedir
 que
 le
 devuelvan
 el
 espacio
 libre
 

 

•  Mejor
 y
 más
 fácil
 enrutamiento
 con
 BGP
 

Proyecto
 RPKI
 
•  Obje3vo:
 poder
 cer3ficar
 el
 derecho
 de
 uso
 
 

de
 un
 cierto
 recurso
 de
 Internet
 

 

•  Mecanismo
 propuesto
 

–  Uso
 de
 cer3ficados
 X.509
 v3
 
–  Uso
 de
 extensiones
 RFC
 3779
 que
 permiten
 representar
 

recursos
 de
 Internet
 (direcciones
 v4/v6,
 ASNs)
 

–  Mecanismo
 de
 validación
 de
 prefijos
 

Secuestro
 de
 rutas
 

•  Cuando
 una
 en3dad
 que
 par3cipa
 del
 sistema
 de
 

rou3ng
 en
 Internet
 anuncia
 un
 prefijo
 sin
 
autorización
 estamos
 ante
 un
 secuestro
 de
 rutas
 

 

•  Algunos
 casos
 conocidos:
 

–  Pakistan
 Telecom
 vs.
 Youtube
 (2008)
 
–  China
 Telecom,
 problemas
 de
 tráfico
 hacia/desde
 U.S.
 
–  Google
 en
 Europa
 (various
 ASs,
 2010)
 
–  Algunos
 casos
 en
 la
 región
 de
 LACNIC
 (Enero/Febrero
 

(2010)
 

2011)
 


 

Secuestro
 de
 rutas
 (ii)
 

ASN 2

ASN
 20
 anuncia
 

200.40/16
 


 


 

ASN 10

ASN1

ASN 3

ASN 20

ASN 66

ASN
 10
 recibe
 
200.40.0.0/16
 y
 
200.40.10.0/24
 

ASN
 10
 recibe
 
200.40.0.0/16
 

ASN
 66
 anuncia
 
200.40.10/24
 


 


 

200.40.0.0/16
 AS_PATH
 ASN1
 ASN3
 ASN20
 
200.40.235.0/24
 AS_PATH
 ASN1
 ASN66
 

RTA
 con
 todos
 los
 

recursos
 de
 
 

LACNIC
 

RPKI
 Trust
 Chain
 

LACNIC
 RTA
 
LACNIC
 resources
 

LACNIC
 
Produc3on
 

<<INHERITED>>
 

200.0.0.0/8
 

Cadena
 de
 
confianza
 

200.1.0.0/16
 

ISP
 #2
 

ISP
 #1
 

ISP
 #2
 Resources
 

ISP
 #1
 Resources
 

200.1.1.0/24
 

ROA
 

ROA
 

End
 En3ty
 cert.
 

End
 En3ty
 cert.
 

End
 User
 CA
 
#1
 

(EU
 #1
 Resources)
 

ROA
 

ROA
 

End
 En3ty
 cert.
 

End
 En3ty
 cert.
 

RPKI
 en
 Acción
 –
 El
 sistema
 completo
 

E
 

T

U P D A

Routers
 asignan
 un
 ”estado
 de
 
validez"
 a
 la
 ruta
 incluida
 en
 el
 

UPDATE
 

El
 Cache
 actualiza
 
periódicamente
 los
 
routers
 con
 una
 lista
 
de
 prefijos
 válidos
 

Nuestra
 red
 ideal
 

•  Mul3proveedor
 

Recibe
 conec3vidad
 de
 3empo
 completo
 de
 mas
 de
 un
 proveedor
 de
 servicios
 y
 3ene
 uno
 o
 
mas
 prefijos
 de
 ruteo
 anunciados
 por
 al
 menos
 dos
 de
 sus
 proveedores
 de
 conec3vidad.
 Se
 
en3ende
 como
 proveedores
 independientes
 a
 el
 hecho
 de
 que
 uno
 no
 u3lice
 al
 otro
 para
 
alcanzar
 Internet.
 (Polí3cas
 p1.10)
 

 

•  U3lización
 de
 ASN
 

Grupo
 de
 redes
 IP
 ges3onadas
 con
 una
 clara
 y
 única
 polí3ca
 de
 ruteo.
 Los
 protocolos
 de
 
ruteo
 externos
 tales
 como
 BGP
 son
 usados
 para
 intercambiar
 información
 de
 ruteo
 entre
 
Sistemas
 Autónomos.
 IPv4/IPv6
 (Polí3cas
 p3)
 

 
 

•  Configuración
 dual-­‐stack
 

Implementación
  de
  ambos
  stacks
  IPv4/IPv6
  en
  paralelo,
  permite
  a
  los
  hosts
  acceder
  a
 
contenido
 con
 ambos
 protocolos
 y
 ofrece
 una
 efec3va
 estrategia
 de
 coexistencia.
 

 

•  DNSSEC
 

•  RPKI
 

Verificación
 de
 la
 información
 de
 origen
 de
 los
 datos
 de
 DNS,
 auten3cación
 de
 la
 existencia
 
e
 integridad
 de
 los
 datos.
 

 

Emisión
 de
 material
 criptográfico
 que
 permita
 a
 los
 miembros
 de
 LACNIC
 demostrar
 
digitalmente
 que
 poseen
 el
 derecho
 de
 uso
 de
 las
 direcciones
 IPv4
 e
 IPv6
 asignadas.
 

Esquema
 de
 nuestra
 red
 ideal
 

Links
 /
 Referencias
 

 
•  Portal
 IPv6
 de
 LACNIC
 

–  hqp://portalipv6.lacnic.net/
 

•  Sistema
 LACNIC
 RPKI
 
–  hqp://rpki.lacnic.net/
 


 


 


 

•  Manual
 de
 polí3cas
 v1.9
 

–  hqp://lacnic.net/sp/poli3cas/manual.html
 

•  Servicios
 de
 Registro
 

–  hqp://lacnic.net/sp/registro/index.html
 


 ¡
 Muchas
 gracias
 !
 

twiqer.com/LACNIC
 
 
 
 
 
 
 
 
 
 
 
 
 facebook.com/
 LACNIC
 
 
 
 
 
 
 
 
 
 
 
 youtube.com/user/lacnicstaff
 
 
 
 
 
 
 
 
 
 
 
 gplusme.at/LACNIC