Ahora sí que se acaba IPv4

Pués eso, que ahora sí que llegamos al final. Ayer, la IANA asignó dos /8 a APNIC (39/8 y 106/8) con lo que en estos momentos sólo quedan 5 /8 libres, que serán asignados a cada uno de los 5 RIRs existentes (RIPE, ARIN, APNIC, LACNIC, AFRINIC). Acabamos de entrar en el tiempo de descuento para las migraciones a IPv6 y, aunque hay movimientos importantes (ayer Comcast anunció que ha conectado a los primeros clientes reales con dual-stack IPv4/IPv6 y DOCSIS) aún queda mucho, muchísimo camino por recorrer tanto en fabricantes como proveedores de servicios.

¿Y tú, ya tienes IPv6? 🙂

Posted in ipv6 | 3 Comments

Kamailio Development Training, Barcelona.

Los días 10 y 11 de Febrero se hará en Barcelona un curso para desarrolladores de Kamailio impartido por Daniel-Constantin Mierla. Este curso está dirigido a desarrolladores que quieran escribir su propio código para Kamailio, por lo que no es un curso para administradores.

El precio es de 160€ y el día 10 habrá una cena en la que coincidiremos unos cuantos!.

Más información, registro, etc, aquí.

Posted in kamailio, openser, ser, sip, sip-router | Leave a comment

PaperStorm

Posted in varios | Leave a comment

RIPE RIS y Duke casi rompen Internet :)

El día 27 de Agosto, el grupo RIS de RIPE y la Duke University hicieron un experimento en el que anunciaron un prefijo en la tabla BGP usando una serie de atributos transitivos no reconocidos por las implementaciones actuales de BGP. El objetivo del experimento era comprobar el funcionamiento de un desarrollo realizado por la Universidad de Duke en la que se implementan mecanismos de seguridad y certificados en BGP usando, precisamente, los atributos transitivos.

Este tipo de anuncio de atributos transitivos no reconocidos por las implementaciones es perfectamente conforme con el estándar de BGP (así se ha hecho, por ejemplo, para el soporte de sistemas autónomos de 4 bytes) pero lo que nadie esperaba es que los routers Cisco tuviesen un bug que provocó que muchas de las sesiones BGP empezasen a desconectarse, montándose un baile de flappings como hacía tiempo que no se veía.

Según los datos publicados por RIPE, el impacto no fue tan importante como se pensó en un primer momento, pero podía haber sido mucho peor. Por ejemplo, durante la duración del experimento, se multiplicó por 20 el número de actualizaciones de la tabla BGP, en el momento más problemático desaparecieron de la tabla BGP un 1,4% de los prefijos (unos 4500) y se vieron afectados algunos de los servidores DNS de TLDs como .si y .fr .

La duración del experimento (tiempo en el que se anunció el prefijo con los atributos especiales de la Universidad de Duke) fue de 27 minutos… tiempo suficiente para liarla parda! 😀 . En el momento en que se detectaron los problemas y la coincidencia de que todos los routers afectados eran Cisco, se pusieron en contacto con el fabricante y el mismo día Cisco publicó un security advisory y una versión de IOS en la que se solucionaba el problema. La versión de IOS afectada es la XR, precisamente la que usan los routers de gama más alta de Cisco, lo que explica el impacto tan importante.

RIPE ha publicado un report con información sobre este incidente.

En fin, esto es lo que tienen los experimentos y el avance de la ciencia, que a veces las cosas no van como uno espera!.

Posted in varios | 4 Comments

Estado actual de IPv6

Según se ha publicado en el Hurricane Electric IPv6 Update:

  • Crecimiento de la implantación de IPv6:
  1. El uso de IPv6 sigue creciendo en Internet, aunque menos de lo que debería. La tabla global de rutas de IPv6 ha pasado de los 3000 prefijos (3200 concretamente, después de eliminar los bogons y prefijos mayores de /48). Aunque no es una comparación totalmente válida, en estos momentos la tabla global de rutas de IPv4 tiene más de 324000 prefijos… una ligera diferencia.
  2. Hay un total de 3046 glue records en los archivos de zona TLD (los glue records son necesarios para prevenir referencias circulares en los DNS. Una referencia circular ocurre cuando los servidores de nombres de un dominio no se pueden resolver sin resolver antes el dominio para el que son responsables). La existencia de estos glue records es importante ya que es un buen indicador de que los administradores de DNS están comprometidos con una buena operación de IPv6.
  3. Según Alexa, del “Top 1 million” de sitios web más visitados en Internet, hay 2143 con soporte de IPv6.
  4. De las 35684 redes que hay en el mundo utilizando BGP, hay actualmente 2487 redes que tienen soporte de IPv6.
  • Finalización de IPv4 de la IANA
  1. Quedan unos 271 días para que se terminen las direcciones IPv4 de la IANA y la velocidad de finalización parece que está aumentando ya que muchos LIRs intentan hacer acopio de direcciones IPv4 para tenerlas en reserva, mientras Ripe y compañía endurecen las condiciones para obtener más direccionamiento IPv4… es como jugar al gato y al ratón.
  2. Se pueden ver las estadísticas de finalización de los rangos IPv4 y estadísticas de uso de IPv6 en la siguiente dirección: http://ipv6.he.net/statistics/ .
Posted in ipv6 | Leave a comment

Informe del Inteco-CERT sobre seguridad en IPv6

El Inteco-Cert (Centro de respuestas a incidentes de seguridad) dependiente del ministerio de Industria, ha publicado el informe “Implicaciones de Seguridad en la implantación de IPv6” en el que se tratan puntos como las nuevas funcionalidades de IPv6, los aspectos de seguridad a tener en cuenta y un código de buenas prácticas o consejos de actuación.

El documento es de nivel básico pero muy interesante para la gente que llega al mundo de IPv6… al que al final todos tendremos que llegar porque ya sólo quedan libres el 6% de direcciones IPv4.

Enhorabuena a la gente de Inteco por una iniciativa como esta… parece que no todas las administraciones y estamentos oficiales son iguales y algunos tienen ganas de hacer las cosas bien y de estar por delante.

Decir que soy parte implicada en el documento ya que he participado en su revisión junto a gente de Bondis, BT y Consulintel (que por cierto son, desde hace muchos años, los verdaderos reyes del conocimiento e implicación en la adopción de IPv6 a nivel mundial).

Posted in ipv6, varios | Leave a comment

Rich VoIP

Gracias a Víctor, más conocido como “Mr IETF” 🙂 , que me mantiene al día de algunas cosas muy interesantes que se hablan en los IETF meetings y listas varias, veo que Henry Sinnreich sigue en su difícil cruzada de proponer la integración de diferentes tecnologías en una API SIP para conseguir lo que él llama “transition from network infrastructure based VoIP to rich web based communications”.

En el draft propuesto hay cosas tan interesantes como:

  • Hiding SIP complexity under the right, standards based API
  • The SIP state machine moves to the business logic in UA and Web
    feature servers
  • Added references for metadata standards to replace SDP
  • Keep only UDP for media transport, RTP data about the media is moved to the application as well
  • New reference for HIP specific NAT traversal utilities

La verdad es que Henry Sinnreich lleva ya un tiempo aportando dentro del IETF nuevas propuestas de este tipo para crear toda una serie de elementos/tecnologías que permitan integrar SIP de una forma sencilla en las aplicaciones Web.

P.D. Sí, de vuelta…

Posted in sip, varios, voip | 2 Comments

Mirror es.freebsd.org con IPv6

Hace unos cuantos meses movimos el mirror de los servicios de es.freebsd.org a un nuevo servidor cedido gratuitamente por la empresa CDMon. La red en la que está instalado ahora el servidor no tiene IPv6 nativo y a mi hace tiempo que me rondaba la idea de publicar los servicios también en IPv6 así que al final me puse a montarlo y hace unas semanas que está funcionando.

Los servicios del mirror que actualmente tienen soporte de IPv6 son:

  • Bind
  • Apache
  • Postfix
  • cvsupd (mediante un hack usando el programa “socat” que abre un socket en el puerto 5999 de IPv6 y lo reenvía a la ip 127.0.0.1 al puerto 5999 ya que modula3 no soporta IPv6)
  • sshd

Teniendo en cuenta estos servicios, las direcciones que resuelven registros AAAA actualmente son:
[jesusr@camel ~]$ host www.es.freebsd.org
www.es.freebsd.org has address 212.36.80.108
www.es.freebsd.org has IPv6 address 2a00:d60::6

[jesusr@camel ~]$ host cvsup.es.freebsd.org
cvsup.es.freebsd.org has address 212.36.80.108
cvsup.es.freebsd.org has IPv6 address 2a00:d60::6

[jesusr@camel ~]$ host es.freebsd.org
es.freebsd.org has address 212.36.80.108
es.freebsd.org has IPv6 address 2a00:d60::6
es.freebsd.org mail is handled by 10 mail.es.freebsd.org.

[jesusr@camel ~]$ host mail.es.freebsd.org
mail.es.freebsd.org has address 212.36.80.108
mail.es.freebsd.org has IPv6 address 2a00:d60::6

La conectividad IPv6 se le da al servidor a través de un túnel IPIP entre el propio servidor y uno de mis routers:

[jesusr@camel ~]$ traceroute6 www.es.freebsd.org
traceroute6 to www.es.freebsd.org (2a00:d60::6) from 2a00:d60:0:2::3, 64 hops max, 12 byte packets
1  fe-0-0-2.rt-es-02.ip6.voztelecom.net  3.209 ms  3.173 ms  4.467 ms
2  tunnel1.rt-es-07.ip6.voztelecom.net  41.326 ms  49.474 ms  50.613 ms
3  www.es.freebsd.org  61.170 ms  63.518 ms  65.650 ms

Montar un túnel IPv6 como en este caso es realmente sencillo. En un extremo tenemos un router Cisco (ASR1002) y en el otro un FreeBSD 7.2. La configuración en ambos extremos es la siguiente:

Cisco:

interface Tunnel2
description IPv6 Mirror FreeBSD
no ip address
ipv6 address 2A00:D60::5/126
tunnel source GigabitEthernet0/0/0.10
tunnel destination 212.36.80.108
tunnel mode ipv6ip

FreeBSD:

[jesusr@www ~]$ ifconfig gif0
gif0: flags=8051 metric 0 mtu 1280
tunnel inet 212.36.80.108 –> 193.22.xxx.xx
inet6 2a00:d60::6 prefixlen 126

La configuración en /etc/rc.conf es la siguiente:
ipv6_enable=”YES”
gif_interfaces=”gif0″
gifconfig_gif0=”212.36.80.108 193.22.xxx.xx”
ipv6_ifconfig_gif0=”2A00:D60::6/126″
ipv6_defaultrouter=”2A00:D60::5″

Y para terminar, por si a alguien le sirve para otra cosa, la configuración del “socat” para hacer la traducción y redirección de puertos de IPv6 a IPv4 es:

socat_enable=”YES”
socat_flags=”-ly TCP6-LISTEN:5999,fork,reuseaddr TCP4:127.0.0.1:5999″

Ale, a ver si hay más gente que se anime a montar cosas divertidas!.

Posted in freebsd, ipv6 | Leave a comment

Análisis de tráfico muy interesante

A través de Slashdot he llegado a este vídeo en el que se analiza el tráfico recibido por un firewall de una entidad del gobierno de Estados Unidos. Lo que me ha parecido más interesante es el gráfico en 3D que han generado a partir de los logs del firewall en el que se ven perfectamente una serie de patrones de tráfico que coinciden en el tiempo con origen en diferentes países.

El propio autor del gráfico explica que va a preguntar en Slashdot lo que piensa la gente sobre esos patrones.

Posted in varios | Leave a comment

Periodistas, ¿o niños de papá?

El título de este post es el título de un artículo que publica hoy El Mundo, escrito por Jacobo G. García corresponsal de ese periódico en Ahití. En el artículo, el autor explica algunas de las cosas que están pasando en Ahití referentes a los periodistas y su mundillo.

En el texto, también incluye un artículo (El síndrome del coronel Tapioca) escrito por el genial (y a veces pasado de vueltas) Arturo Pérez Reverte en el que refleja qué es ser un corresponsal de guerra o conflictos y las consecuencias que ello puede conllevar.

Como se ve al leer los dos artículos, parece que ha quedado muy lejos ese concepto de corresponsal de guerra que había hace años (¿os acordais de Pérez Reverte haciendo las crónicas agazapado detrás de una trinchera o similar sonando los tiros alrededor suyo?) con el que el riesgo, las penurias, el miedo (u acojone) era algo indivisible?. Como en muchas otras cosas, parece que ya no queda nada de eso…

Posted in varios | Leave a comment