Con el paso del tiempo, han surgido diversos mitos sobre las propiedades y características de seguridad de IPv6. A continuación ofrecemos una evaluación realista de IPv6 desde la perspectiva de la seguridad y desmantela muchos de los mitos que aún subsisten sobre sus capacidades de seguridad.
IPv6, la última versión del Protocolo de Internet, está llamado a coexistir con IPv4, y finalmente a sustituirlo, proporcionando un mayor espacio de direcciones que permita impulsar el crecimiento de internet en los próximos años. Sin embargo, desde la especificación inicial del protocolo, han surgido diversos mitos sobre sus propiedades en el ámbito de la calidad del servicio (QoS), las características “plug-and-play” y especialmente la seguridad. Muchos de estos mitos han sido alimentados por los defensores de IPv6, quizás pensando que sus promesas publicitarias estimularían el despliegue de IPv6. Desgraciadamente, no sólo han fallado en su intento (IPv6 sólo se está implantando últimamente porque se están agotando las direcciones en v4), sino que muchos de esos mitos han sido tomados por realidades, lo que genera falsas expectativas sobre las propiedades y características que ofrece IPv6.
|
Veamos cuáles son los cuatro mitos más comunes de IP¨v6 en relación con la seguridad del protocolo:
Mito Nº1. "IPv6 es más seguro que IPv4, ya que la seguridad se ha tenido en cuenta durante la fase de diseño del protocolo y no ha sido un elemento añadido a posteriori".
Los orígenes de este mito se remontan a la primera especificación de IPv6. En aquel momento, el soporte IPsec era obligatorio para IPv6, se esperaba un amplio despliegue de IPv6+IPsec a corto plazo y que los proveedores añadieran soporte IPsec a sus implementaciones IPv4. Sin embargo, esto no fue así, no se cumplieron, debido a que las implementaciones más populares de IPv4 incorporaron soporte para IPsec y fueron desplegadas antes que cualquier despliegue significativo de IPv6 +IPsec.
Mito Nº2: "IPv6 regresará el principio end-to-end a internet, por lo que las arquitecturas de seguridad pasarán de centrarse esencialmente de la red al host".
Uno de los principios básicos del diseño de internet es el conocido "principio end-to-end" , basado en la existencia de una "red tonta", donde la mayoría de la "inteligencia" o de las capacidades de toma de decisiones complejas reside en los hosts. Este principio da lugar a una arquitectura en la que la red se limita a enviar datagramas desde un host de origen a un host de destino (o a un conjunto de hosts) sin efectuar una interpretación de los datagramas enviados. En internet IPv4, este principio es violado por distintos dispositivos, siendo los NATs en IPv4 probablemente los más conocidos y ampliamente desplegados.
Se dice que una internet IPv6 exclusiva sin despliegue de NATs IPv6 (ver mito nº3) devolvería el principio del end-to-end a internet. Sin embargo, debemos señalar que aunque IPv6 podría proporcionar direcciones IP únicas a cada dispositivo conectado, para muchos usuarios o administradores de seguridad, el principio end-to-end no es necesariamente una propiedad deseada, ya que quizás no se quiera que cada host de una red sea directamente accesible desde cualquier host arbitrario en internet, ya que una consecuencia no intencionada de IPv6 que podría dejar a la red expuesta a ataques exteriores.
Mito Nº3: "Las redes IPv6 ya no tendrán NATs".
Este mito está relacionado con el mito Nº2 y se basa en la hipótesis de que IPv6 proporciona mucho más espacio de direcciones y los NATs ya no se desplegarán en las redes IPv6. Sin embargo, esta idea merece un análisis más profundo.
Durante la fase de coexistencia entre IPv6 e IPv4 y de transición hacia una internet exclusivamente basada en IPv6 (suponiendo que esto último esté comenzando ya), se ha producido un uso creciente de NATs. Por un lado, dado que la mayor parte de las tecnologías de transición/coexistencia no dispensan a los hosts de la necesidad de direcciones IPv4, lo más probable es que se desplieguen los llamados Nats a gran escala o CarrierGrade NATs(CGNs), generando así un uso creciente de NATs en internet IPv4. Por otro lado, la única tecnología de transición/coexistencia que sí dispensa a las redes de la necesidad de direcciones IPv4 es NAT64, que permite la comunicación entre nodos IPv6 y nodos IPv4, pero a su vez introduce otro tipo más de NAT, tanto en internet IPv4 como en internet IPv6.