A medida que nuestros miembros implementan IPv6 en nuestra plataforma en la nube, pensé que sería una buena idea compartir algunos de nuestros hallazgos que lo ayudarán a ingresar al universo de IPv6 más fácilmente. Con suerte, esto le ahorrará algo de tiempo y esfuerzo en su implementación de IPv6.
La mayoría de las personas que implementan IPv6 utilizan implementaciones de doble pila, lo que significa que tienen IPv4 e IPv6 en ejecución y permiten el tráfico en ambos tipos de direcciones de red. Suponemos que ya está familiarizado con IPv4 y ahora desea comenzar a utilizar IPv6.
El objetivo de este artículo es educarlo acerca de algunos peligros potenciales antes de habilitar IPv6. Tenga en cuenta lo siguiente antes de habilitar IPv6:
- Habilitar IPv6 podría eludir su postura de seguridad por completo. IPv6 es una red completamente diferente con diferentes direcciones. Al habilitar IPv6, podría anular sus productos de seguridad o evitarlos. Por ejemplo, en Linux, el filtrado de puertos típico se realiza mediante iptables, que es solo para IPv4; para asegurar IPv6 necesita usar ip6tables. Además, debe tener cuidado con la forma en que enruta el tráfico, ya que puede atravesar una interfaz no deseada. Asegúrese de tener un plan bien pensado que incluya todos sus dispositivos y productos de seguridad antes de habilitar IPv6.
- ¡IPv6 no tiene capacidad de transmisión como IPv4! No bloquee la multidifusión o puede encontrarse con problemas extraños e intermitentes que pueden ser confusos para depurar. IPv6 solo admite multidifusión, unidifusión y anycast. Es importante comprender que una gran cantidad de tráfico de tipo de transmisión se ha reinventado en multidifusión IPv6.
- ICMP en IPv6 (ICMPv6) también se reinventa. Es totalmente diferente a la versión anterior con muchas características, funciones y capacidades nuevas. Es una buena idea ponerse al día con los cambios o al menos entender que ICMP es diferente bajo IPv6.
- IPv6 no es necesariamente más seguro que IPv4. Este mito probablemente persiste porque IPsec está integrado en IPv6, en lugar de un complemento para IPv4 (lo que significa que no es universal para IPv4). El hecho de que IPsec sea compatible no significa que esté en uso. Además, no detiene otros tipos de ataques (como la capa de aplicación). Entonces, el hecho de que esté usando IPv6 no significa que sea "más seguro" o que no deba preocuparse por la seguridad porque está usando IPv6.
- Por el contrario, debido a la gran cantidad de espacio de direcciones en IPv6, no se necesita NAT (traducción de direcciones de red). Esto no significa que IPv6 sea menos seguro porque no está sentado detrás de un dispositivo NAT, ya que depender únicamente de un dispositivo NAT para la seguridad es problemático. IPv6 probablemente hace más evidente que depender de dispositivos NAT para la seguridad (que se crearon para lidiar con el espacio de direcciones limitado de IPv4) no es una buena idea.
Con suerte, este artículo lo ha inspirado a familiarizarse más con IPv6 y la promesa que tiene. A medida que crece la adaptación de IPv6 debido a la disminución del espacio de direcciones IPv4, esperamos que IPv6 se convierta en el estándar de facto al implementar nuevos dispositivos, especialmente en la era del Internet de las cosas.
A continuación hay algunos enlaces que pueden resultarle útiles para consultar a continuación:
Cómo habilitar y configurar IPv6 para un servidor en la nube:
Cómo habilitar y configurar IPv6
Adopción/Estadísticas de IPv6:
https://www.google.com/intl/en/ipv6/statistics.html
Diferencias entre IPv4 e IPv6:
https://www.juniper.net/documentation/en_US/learn-about/ipv4-ipv6-differences.pdf
Preguntas frecuentes sobre IPv6:
https://www.internetsociety.org/deploy360/ipv6/faq/
Preguntas frecuentes sobre la seguridad de IPv6:
https://www.internetsociety.org/wp-content/uploads/2019/02/Deploy360-IPv6-Security-FAQ.pdf