¡Os damos la bienvenida a la nueva edición de este año del Council IPv6! Para los que no hayan asistido a ediciones anteriores, os recordamos que el propósito de este grupo es fomentar la adopción y el conocimiento de la nueva versión del protocolo de Internet en España, que lamentablemente sigue a la cola en el ranking europeo.
Este año tenemos preparada una sorpresa: hemos diseñado un entorno de laboratorio práctico alojado en el Datacenter Data4donde, además de explorar las capacidades de IPv6, pondremos a prueba su seguridad y analizaremos las vulnerabilidades de su arquitectura.
Pero antes de pasar a la acción, es esencial comprender por qué este entorno opera bajo reglas distintas. Así que abrimos este blog con un recordatorio para los más despistados que aún no saben muy bien de qué va IPv6.
Aunque IPv4 e IPv6 comparten principios básicos, existen diferencias críticas que marcan un antes y un después. Para empezar, ve diciendo adiós al uso del dichoso NAT.
En IPv4, el NAT surgió por la necesidad de aumentar el número de direcciones disponibles, que empezaron a escasear en los años 90 debido al explosivo crecimiento de dispositivos conectados. El NAT parcheó este problema al permitir que una sola dirección IP pública representara a miles de dispositivos en una red privada. Sin embargo, no era la solución definitiva. Al dar el salto a IPv6 y disponer de una cantidad prácticamente infinita de direcciones (superando con creces el límite de los 4.300 millones de IPv4), desaparece la necesidad de “esconder” equipos. Además, IPv6 reintroduce el modelo extremo a extremo en el que cada dispositivo tiene su propia GUA (Global Unicast Address). De esta forma, dos nodos pueden comunicarse directamente sin intermediarios que traduzcan cabeceras y evitando usar técnicas complejas como STUN/TURN, ICE o UPnP/PMP.
Otra característica diferencial son los tipos de direcciones. En IPv4, una interfaz solía tener una sola IP. En cambio, en IPv6 tu tarjeta de red siempre tendrá múltiples direcciones con distintos alcances (scopes). Los dos principales son la ya mencionada Global Unicast Address (GUA) y la Link-Local Address (LLA):
| Global Unicast Address (GUA) | Link-Local Address (LLA) | |
| Prefijo | 2000::/3 | fe80::/10 |
| Alcance | Global (Internet completa) | Enlace local (Segmento L2) |
| Enrutabilidad | Enrutable globalmente | No enrutable por routers |
| Función Principal | Comunicación extremo a extremo en Internet | Descubrimiento de vecinos y protocolos de control |
| Uso en Capa 3 | Direccionamiento de host y servidores | Next-hop en protocolos (OSPFv3), NDP, SLAAC |
| Estado | Obtenida vía DHCPv6 o SLAAC | Generada automáticamente al arrancar la interfaz |
La siguiente diferencia fundamental es el paso del protocolo ARP al Neighbor Discovery Protocol (NDP). En IPv4, cuando un dispositivo necesitaba resolver la dirección MAC de un nodo, lanzaba una petición de difusión (broadcast) a toda la red. Este método generaba tráfico innecesario al obligar a todos los hosts del segmento a procesar la consulta, incluso si no eran los destinatarios.En IPv6 el broadcast desaparece. Al ejecutarse sobre ICMPv6 y utilizar multicast, las consultas del NDP se dirigen únicamente a los nodos interesados, lo que optimiza significativamente el rendimiento de la red.
Este cambio es la magia que permite la autoconfiguración sin estado (SLAAC). Al aprovechar las funciones de descubrimiento y los mensajes de anuncio de router del NDP, una máquina virtual o un dispositivo IoT puede conectarse a la red y obtener conectividad global en milisegundos, sin depender de un servidor DHCP centralizado. Esta arquitectura permite orquestar miles de nodos instantáneamente, ya que el direccionamiento se convierte en una propiedad intrínseca de la interacción entre la red y el propio host.
Ahora que tenemos las cosas claras, ya estamos listos para ponernos manos a la obra. En los próximos artículos nos meteremos de lleno en el SecLab para ver estas diferencias en vivo.
¡Id calentando las terminales, que esto acaba de empezar!