¿Por qué no está ya operando IPv6 en el mundo?

Estado actual de IPv6

En la actualidad, Internet es un mundo de comunicación digital compuesto por flujos masivos de información, redes sociales, noticias, blogs, email, mensajería instantánea, etc. Internet tiene algo más de 35 años de vida, lo cual en Tecnologías de la Información es muchísimo tiempo, y ya es parte esencial de nuestras actividades cotidianas. Este es el tiempo aproximado que tiene de haberse definido el protocolo base de Internet: IP, o dicho correctamente, IPv4.

Durante la concepción de IPv4, se conocía el número limitado de dispositivos a conectar (alrededor de 4 mil millones de direcciones), pero se desconocía el boom que veríamos particularmente en los últimos 10 años. Esto ha originado que el número de direcciones disponibles se esté acabando, y la tendencia indica que pronto estarán agotadas por completo.

Al 1 de julio de 2009, se considera un plazo de 1000 días más para poder asignar direcciones IPv4. Después de esto, ¿qué sigue? Los planes futuros incluyen conectar prácticamente cualquier dispositivo electrónico, móviles y hasta aparatos electrodomésticos a la red, permitiendo así obtener servicios adicionales por ello, como soporte remoto, equipos capaces de informar falta de inventario, reportes de fallas automáticas, GPS, entre otros.

Para resolver la problemática de la limitada cantidad de direcciones IPv4, IPv6 nació como protocolo bajo el RFC 2460 de la IETF en 1996, permitiendo tener aproximadamente el 85% de 340,000,000,000,000,000,000,000,000,000,000,000,000 de direcciones asignables (3.4 x 1038) de direcciones IPv6. A 13 años de su concepción, pocas organizaciones han migrado a IPv6, muchas de ellas han sido agencias federales de los Estados Unidos para cumplir con un lineamiento del Office of Management and Budget (OMB) de contar con conectividad con IPv6 a más tardar en junio de 2008. La pregunta obligada es: ¿Por qué si sabemos que las direcciones IPv4 se acabarán no se ha adoptado el protocolo IPv6 y no se le ha dado la importancia que tiene?

Cambios básicos en IPv6

Antes de contestar la pregunta, es necesario indicar los cambios más importantes en IPv6 para entender cómo varía con respecto a IPv4. Los cambios más significativos son:

Autoconfiguración de red: Los hosts usarán la dirección MAC para obtener una dirección válida de red local y obtener conectividad (no serán ruteables en Internet).
IPSec: IPSec (protocolo orientado a proveer autenticación y cifrado) se realizó para IPv6, permitiendo la comunicación segura entre 2 entidades.
Eliminación de Broadcast: Debido a la gran cantidad de direcciones IPv6, se eliminó el Broadcast y se dejan sólo direcciones Multicast para comunicación masiva.
Fragmentación: En IPv4, la fragmentación de grandes paquetes se hace en los ruteadores. En IPv6, esta fragmentación se hará en el equipo transmisor.
Tamaño fijo del encabezado: En IPv4, había un segmento de opciones que era variable. En IPv6, el tamaño es fijo de 40 bytes con campos bien definidos para procesar un paquete.
Ruteo: Las tablas de ruteo serán enormes, pero el manejo de los paquetes será más eficiente dada la eliminación de la fragmentación en ruteadores y el Checksum en IPv6.
Posibilidad de tener múltiples direcciones IP en un sólo equipo.

¿Por qué no se le ha dado la importancia a IPv6?

La primera respuesta viene dictada por un factor económico: Representa un gasto importante para las empresas, del que no se vería necesariamente un retorno de inversión dado que prácticamente nadie usa IPv6. Además, no provee una ventaja significativa en cuanto a las estrategias de negocios (salvo que el negocio sea la continua publicación de servicios en Internet). Por si fuera poco, el costo que tiene una migración de IPv4 a IPv6 implica entrenamiento, equipo nuevo con mayores capacidades de hardware, inversión en adecuaciones de software, por mencionar algunos. Finalmente, todos los grandes corporativos ya tienen direcciones IPv4 asignadas y no hay razón para migrar a IPv6.

El párrafo anterior hace ver que financieramente no hay razones para migrar a IPv6, tomando en cuenta sólo el contexto actual y no considerando un futuro intermedio.

Desde un punto de vista técnico, una migración implica consideraciones como:

Cambio de paradigma tecnológico (codificación diferente, configuración diferente, notación diferente).
Cambio de tecnologías a aquellas que soporten IPv6.
Cambios en los esquemas de ruteo.
Tablas enormes en los esquemas de ruteo.
Interoperabilidad entre IPv4 e IPv6 (que sí está definido en el protocolo).
Cambios en las aplicaciones.
Cambios en los protocolos base (ARP, ICMP, IGMP).
Mayor cantidad de ancho de banda (el encabezado de IPv6 es casi el doble de grande que el de IPv4).

Adicional a esto, se implementó un tipo de parche comúnmente llamado NAT, el cual permite a una o más direcciones IPv4 no ruteables en Internet salir con una sola dirección traducida al mundo. Esto postergó la idea de necesitar más direcciones IP por un tiempo.

Futuro de IPv6

IPv6 sólo se ha retrasado porque no hay una necesidad actual, lo que no permite encontrar una justificación económica. Sin embargo la necesidad existirá pronto, y es cada vez más evidente. IPv6 está listo para ser usado; los que no estamos preparados somos los que usaremos este nuevo protocolo.

Hago una atenta invitación al lector a revisar su sistema operativo. Linux lo soporta desde 1996 (con el Kernel apropiado), Windows Vista lo tiene activado por default, al igual que MAC OS X.

Grupos independientes y educativos de los Estados Unidos han hecho investigaciones respecto al uso real de IPv4. Los estudios han mostrado que hasta 40% del espacio disponible en Internet está en desuso. Sin embargo, muchos de estos estudios se basan en la idea de la respuesta de un host ante una petición de un servicio. Un Firewall podría no estar permitiendo dicha respuesta, dando un margen de error significativo y no mesurable. Lo que es un hecho es que hay muchas IPv4 desperdiciadas, y puede haber cierto margen de maniobra mientras puedan recuperarse IPv4 en desuso.

Como los consumidores finales, especialmente los ISP, no han empujado la implementación de IPv6, los productos de seguridad tampoco estarían listos para IPv6. Esto implicaría un problema mucho mayor dado que la información y las comunicaciones quedarían vulnerables.

Sólo falta el cambio de paradigma en 2011 ó 2012: cuando la IANA (Internet Assigned Numbers Authority) anuncie que las direcciones IPv4 ruteables mundialmente se han agotado. Esto es una realidad.

Entonces habrá 2 tipos de acciones a seguir:

Reingeniería de la red actual (parche temporal con sus consecuencias).
IPv6.

Estamos a tiempo de entender y adoptar IPv6, e incluso el grupo de trabajo se tomó la delicadeza de hacerlo interoperable con IPv4. Prepararnos será lo mejor.

Seguridad en IPv6

IPv6 fue definido en un periodo donde ya existían diversos ataques de red, más allá de un virus que se transmitiera por un floppy, tales como robo de sesiones, paquetes ocultos en otros paquetes, espionaje escuchando una conversación en texto claro, etc. IPv6 se diseñó tomando en cuenta la erradicación de aspectos inútiles de IPv4 y fortaleciendo el aspecto confidencial integrando a IPSec en el protocolo.

El hecho de incorporar IPSec en IPv6 no elimina la necesidad de segmentar las redes y colocar detectores de intrusos, como tampoco elimina el peligro de robo de sesiones, negación de servicios, etc. Simplemente el protocolo permitirá un mayor número de dispositivos conectados.

Pero, ¿qué debemos considerar en el aspecto de seguridad en IPv6 actualmente?

IPv6 y NAT / PAT

IPv6 eliminará el NAT, y con esto eliminará una de las prácticas más comunes de seguridad: Seguridad por desconocimiento. Esto se lograba mediante IPv4, usando direcciones IP no visibles en Internet, y haciendo que un Firewall publicara sólo los elementos necesarios.

En un futuro, lo único que podrá ocultar a todos los dispositivos será un Proxy. El NAT dejará de existir. La IP que tenga un dispositivo será única para todo el mundo.

Los riesgos actuales con IPv6

– Tunneling

Gran parte del miedo a IPv6 es perder conectividad en un mundo de IPv4. Dada una dirección IPv6 se puede llamar a un equipo con IPv4, pero el ruteo se debe encapsular (tunneling) dado que la forma de administrar las rutas en IPv6 es distinta a como la conocemos hoy en día.

Esto ha propiciado que los atacantes sepan más de IPv6 que el resto de la comunidad tecnológica. El problema que representa para el resto del mundo es que los “malos” saben más que los “buenos”, y esto se ha acrecentado en los últimos años.

Cada vez han crecido más los ataques en que IPv6 pasa en un túnel de IPv4. Muchas soluciones de seguridad pueden ya detectar este tráfico, pero no entenderlo. La cosa empeora: muchas redes pueden pasar tráfico IPv6 encapsulado en IPv4 y nadie se da cuenta.

– Configuraciones con IPv6

Como ya se comentó, muchos sistemas operativos ya están listos y activados con IPv6. Es normal entregar un equipo sin los menores ajustes de configuración. Dado que muchas empresas no tienen siquiera planes para implementar IPv6, se recomiendan las siguientes acciones:

Si se tienen detectores de tráfico de IPv6, prenderlos y detenerlos si no se usa este protocolo.
Desactivar IPv6 en cada servidor y PC en tanto no haya una migración.
Detectar y detener tráfico encapsulado de IPv6 en IPv4.
Tener un plan de migración de IPv4 a IPv6.

Otro problema real con IPv6 es la cantidad de direcciones a administrar. Esto tiene muchas implicaciones desde el punto de vista de rendimiento en equipos de seguridad y telecomunicaciones. Algunos ejemplos son:

Infinidad de objetos.
Listas blancas o negras crecidas fuera de toda proporción.
Tablas de ruteo que sobrepasen las capacidades de un ruteador.
Segmentos de multicast muy amplios (se considera que una IP tenga al menos una máscara de 64 bits).
Tener direcciones únicas que permitan siempre identificar un dispositivo con una entidad en particular (debilitamiento de la confidencialidad).
Mayor procesamiento y registros a los DNS.

La autoconfiguración de red en IPv6 puede permitir obtener acceso local a un dispositivo de la red, y como consecuencia puede haber un acceso no autorizado a un segmento de red. Esta peculiaridad ha sido identificada y lo recomendable es tener deshabilitados los puertos de acceso a la red cuando no se usen, o bien, buscar tráfico explícito de IPv6 y darle un tratamiento especial o bien, definitivamente negarle el acceso.

Conclusiones

El mundo no está, o más bien no quiere estar preparado, para IPv6. Una vez más se pone de manifiesto una de las grandes verdades de facto de la industria: No debemos permitir equipos preconfigurados acceder a la red, o bien, no colocarlos en producción.

El hecho de que IPv6 ya venga activado abre severos huecos de seguridad que incluso hace al tráfico invisible. Esto ya es una realidad. Hoy por hoy, hay que considerar que IPv6 existe y no se debe menospreciar el tráfico detectado de este protocolo.

Se necesita comprender el protocolo, entender los beneficios y saber el contexto actual. Pero sobre todo, necesitamos conocer cuándo este protocolo deberá existir en nuestras empresas y en nuestras vidas. Si no se usa IPv6, la recomendación es desactivarlo y si se usara, colocar los candados de seguridad y procedimientos efectivos que un dispositivo debe considerar para poder tener a un equipo determinado en la red.

[email protected]

Algunas ligas de interés se muestran a continuación

http://securityandthe.net/2009/07/15/ipv6-downsides-of-a-larger-address-space/

http://www.consulintel.es/html/ForoIPv6/RFCs.htm

http://www.isoc.org/pubs/2009-IPv6-OrgMember-Report.pdf

http://www.networkworld.com/news/2009/061709-federal-ipv6.html

https://www.ipv6tf.org

http://www.networkworld.com/news/2009/071309-ipv6-network-threat.html

http://penrose.uk6x.com/

http://www.thc.org/thc-ipv6

http://pacsec.jp/psj05/psj05-vanhauser-en.pdf

6 Comentarios

Camilo Calderón 09/04/2014 en 10:16 PM

Mi pregunta es ¿cómo saber si se está generando tráfico por IPv6 en mi servidor o PC, tienes algún programa para verificar esto?, saludos desde Bogotá.
Omar Alcalá. CISSP, ISO-27001 y CCNA 10/04/2014 en 11:21 AM

Hay aplicaciones como sniffers que pueden decir los diferentes protocolos que están en la red. A nivel de host, el más usado es Wireshark, el cual es gratuito y ya viene usualmente con todos los drivers necesarios para capturar el tráfico, además es multiplataforma (Windows, Linux, Mac). A nivel de red existen los llamados «taps» o sniffers que toman tráfico de un puerto espejo (span port). Por lo general la copia del tráfico la envían a un concentrador y éste genera los archivos de captura.

Saludos!!
Enrique Almanza 05/09/2014 en 6:43 AM

Excelente información Omar, ¿tu post está actualizado al 2014 o ya tiene tiempo?
¡Saludos!
Camilo Ortega 24/02/2016 en 8:22 PM

Muy buena en algún momento tendrá que migrar y para eso nos debemos preparar, personalmente no lo veo muy complicado se ha logrado implementar muy bien en redes LAN junto con los servicios básicos.
Roghert 16/11/2017 en 5:58 PM

Tengo una duda, ¿por qué y para qué existirían mas direcciones ipv6 que la cantidad de direcciones mac que hay en el mundo?, estamos hablando de 128 bits de red, y 48 de mac.
Héctor Acevedo Juárez. CISSP, CISA, CGEIT, ITIL y MCSE 24/11/2017 en 7:36 AM

Hola Roghert

Aunque la respuesta completa es más compleja porque hay que considerar temas como NAT y clonación de MAC, el problema principal que tenemos es que las direcciones IP homologadas (las públicas) no serán suficientes, sobre todo con el advenimiento del IoT.

No necesariamente necesitamos que cada dispositivo posible tenga una IP homologada (aunque algunos creen que sería lo ideal para dejar atrás muchos problemas por NAT), pero lo que si necesitamos es mucho más direcciones IP homologadas.

Por otro lado, debemos ser previsores, tal vez 128 bits parezcan mucho hoy, pero recordemos cuando, por ejemplo, 1 MB de RAM parecía demasiado para una PC.

Saludos
Carpe diem

Cookie	Duración	Descripción
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.