¿Por qué necesitamos IPv6 ahora y que significa para la seguridad de las redes?
Thomas Edison, en 1882, abrió una central eléctrica en Pearl Street en la ciudad de Nueva York para suministrar corriente continua (CC) a la densamente poblada isla de Manhattan. La corriente continua era el estándar lógico para la distribución de energía en esa época. Fácilmente generada y seguramente distribuida a través de la limitada área geográfica que se intentaba abastecer. Pronto siguió un feroz debate acerca de los estándares de la energía eléctrica. De ello surgió lo que hoy conocemos como la red eléctrica. La corriente alterna, CA (AC en inglés), triunfó por una sencilla razón: escalaba. Se puede extender en una gran red interconectada. La confiable y omnipresente energía eléctrica continuó impulsando nuestra economía y la innovación.
La Internet de hoy en día está pasando por un debate similar. Originalmente, el protocolo de comunicación estándar de Internet ("IPv4", o "Protocolo de Internet Versión 4") fue concebido en los años 70 y en los 80. Su propósito fue interconectar las instalaciones de investigación de universidades y gobierno. Nunca tuvo el propósito de ser la red mundial de negocios actual. La memoria de las computadoras conectadas a la naciente Internet se medía en kilobytes. La conectividad entre instalaciones era provista frecuentemente con modems telefónicos. Pronto sobrepasamos cada una de estas especificaciones por (varios) órdenes de magnitud. La limitación más evidente de IPv4 es su falta de espacio de direcciones. Diseñada para un número limitado de universidades de investigación, IPv4 provee hasta de 4 mil millones de direcciones. IPv4 nunca fue diseñado para que se usen todas las 4 mil millones de direcciones. Ciertamente no para proveer a la actual población mundial de 7 mil millones. Hoy, el número de dispositivos conectados a Internet excede el número de la gente viva. El uso actual (y sobreuso) de direcciones provoca demoras y dificultades en el ruteo del tráfico Internet y limita el crecimiento de Internet en particular en los mercados emergentes. Las tecnologías móviles está restringidas porque los proveedores de redes no pueden asignarles direcciones ruteables a cada dispositivo móvil
Momento de replantearlo. El IPv6 (Protocolo de Internet Versión 6) esta por sonar una nueva era para Internet. No solo aumenta sustancialmente la cantidad de direcciones, sino que también habilita un ruteo más eficiente, el uso eficiente de el hardware moderno y la capacidad de soportar conceptos modernos de redes como la movilidad. Si es tan grandioso, ¿porque todos son tan lentos para adoptarlo? Si no se rompió, no lo reparen! La Internet IPv4 actual funciona suficientemente bien. Los operadores de redes de todo el mundo no ven la necesidad de actualizar el equipamiento ni aprender sobre una nueva tecnología, a menos que los clientes se lo reclamen.
Así como cuando Tesla abogaba por la corriente alterna cerca del cambio de siglo, y Edison tomaba gatos y perros por Manhattan para electocutarlos en demostraciones públicas sobre el peligro de la corriente alterna, mucho del miedo actual al IPv6 está basado en el supuesto que IPv6 es inseguro. Apenas si hemos aprendido a asegurar algo nuestra red IPv4. Es comprensible que los administradores de red no se atrevan a desechar la experiencia operacional que adquirieron haciendo funcionar redes IPv4. Pero además de las nuevas complejidades y cambios que ofrece IPv6 hay un número de mejoras de seguridad importantes. IPv4 no fue diseñado para ser seguro. El estándar que definió originalmente IPv4, conocido como "RFC 791", establece específicamente que "no hay mecanismos para aumentar la confiabilidad de extremo a extremo,...". Características como las redes virtuales con cifrado, ruteo confiable y autenticación fueron añadidos después y nunca fueron integrados apropiadamente. Sin embargo IPv6 integra estos últimos agregados de forma apropiada, e incluso provee para expansiones futuras de una forma organizada.
Hay una cantidad de características de seguridad importantes que o bien ya están implementadas en IPv6, o que están en la mesa de proyectos para el futuro cercano:
Para aprender más sobre IPv6, puede ver https://isc.sans.edu/ipv6videos
Traducción: Raúl Batista - Segu-Info
Autor: Dr. Johannes Ullrich (SANS)
Fuente: Forbes
La Internet de hoy en día está pasando por un debate similar. Originalmente, el protocolo de comunicación estándar de Internet ("IPv4", o "Protocolo de Internet Versión 4") fue concebido en los años 70 y en los 80. Su propósito fue interconectar las instalaciones de investigación de universidades y gobierno. Nunca tuvo el propósito de ser la red mundial de negocios actual. La memoria de las computadoras conectadas a la naciente Internet se medía en kilobytes. La conectividad entre instalaciones era provista frecuentemente con modems telefónicos. Pronto sobrepasamos cada una de estas especificaciones por (varios) órdenes de magnitud. La limitación más evidente de IPv4 es su falta de espacio de direcciones. Diseñada para un número limitado de universidades de investigación, IPv4 provee hasta de 4 mil millones de direcciones. IPv4 nunca fue diseñado para que se usen todas las 4 mil millones de direcciones. Ciertamente no para proveer a la actual población mundial de 7 mil millones. Hoy, el número de dispositivos conectados a Internet excede el número de la gente viva. El uso actual (y sobreuso) de direcciones provoca demoras y dificultades en el ruteo del tráfico Internet y limita el crecimiento de Internet en particular en los mercados emergentes. Las tecnologías móviles está restringidas porque los proveedores de redes no pueden asignarles direcciones ruteables a cada dispositivo móvil
Momento de replantearlo. El IPv6 (Protocolo de Internet Versión 6) esta por sonar una nueva era para Internet. No solo aumenta sustancialmente la cantidad de direcciones, sino que también habilita un ruteo más eficiente, el uso eficiente de el hardware moderno y la capacidad de soportar conceptos modernos de redes como la movilidad. Si es tan grandioso, ¿porque todos son tan lentos para adoptarlo? Si no se rompió, no lo reparen! La Internet IPv4 actual funciona suficientemente bien. Los operadores de redes de todo el mundo no ven la necesidad de actualizar el equipamiento ni aprender sobre una nueva tecnología, a menos que los clientes se lo reclamen.
Así como cuando Tesla abogaba por la corriente alterna cerca del cambio de siglo, y Edison tomaba gatos y perros por Manhattan para electocutarlos en demostraciones públicas sobre el peligro de la corriente alterna, mucho del miedo actual al IPv6 está basado en el supuesto que IPv6 es inseguro. Apenas si hemos aprendido a asegurar algo nuestra red IPv4. Es comprensible que los administradores de red no se atrevan a desechar la experiencia operacional que adquirieron haciendo funcionar redes IPv4. Pero además de las nuevas complejidades y cambios que ofrece IPv6 hay un número de mejoras de seguridad importantes. IPv4 no fue diseñado para ser seguro. El estándar que definió originalmente IPv4, conocido como "RFC 791", establece específicamente que "no hay mecanismos para aumentar la confiabilidad de extremo a extremo,...". Características como las redes virtuales con cifrado, ruteo confiable y autenticación fueron añadidos después y nunca fueron integrados apropiadamente. Sin embargo IPv6 integra estos últimos agregados de forma apropiada, e incluso provee para expansiones futuras de una forma organizada.
Hay una cantidad de características de seguridad importantes que o bien ya están implementadas en IPv6, o que están en la mesa de proyectos para el futuro cercano:
- IPSec (VPNs cifradas) ahora es un componente obligatorio. IPSec aún necesita ser configurado apropiadamente, pero al menos ahora está disponible universalmente.
- Una abundancia de direcciones permitirá una asignación lógica y funcional de direcciones. Ya no necesitamos diseñar tamaños de subredes alrededor de lo "que hay disponible" sino que ahora podemos diseñar redes que tengan sentido.
- Direcciones con distintos alcances permiten el aislamiento apropiado de los hosts.
- Reglas simplificadas para la fragmentación hacen más sencillo defender redes diversas con diferentes tecnologías de red.
- Si se desea, la conectividad de extremo a extremo dependiente de "NAT" (Network Address Translation) permitirá una configuración más sencilla de redes cifradas de extremo a extremo.
- Las direcciones ya no serán compartidas entre distintos dispositivos, permitiendo una distribución más sencilla del tráfico de red y un control de activos más simple.
- Usando una extensión hasta ahora no muy ampliamente implementada, será posible crear direcciones criptográficamante y validarlas en la red local.
Para aprender más sobre IPv6, puede ver https://isc.sans.edu/ipv6videos
Traducción: Raúl Batista - Segu-Info
Autor: Dr. Johannes Ullrich (SANS)
Fuente: Forbes
Muy interesante la analogía!!
ResponderBorrarPero sobre el tema de la seguridad, ¿le echaste un vistazo a la discusión de algunas de las "ventajas"?, mira este hilo, me gustaría conocer tu opinión en los comentarios:
http://mail.lacnic.net/pipermail/lactf/2011-November/003720.html
Por otro lado, sobre "Si es tan grandioso, ¿porque todos son tan lentos para adoptarlo?", también valdría la pena tomar en cuenta otros incentivos que pudieran provocar eso:
http://ripe63.ripe.net/presentations/205-2011-10-31-exhaustion.pdf
Un Saludo...