Consideraciones clave para no equivocarnos en el despliegue de una red

17/08/2022

Consideraciones clave para no equivocarnos en el despliegue de una red
Diseñado por Freepik

Por Henri Alves de GodoyComputer Network Analyst, Universidad de Campinas

Con tecnologías emergentes como el 5G, la IoT, las plataformas de transmisión y las consolas de juegos, debemos estar atentos para poder soportar todas las aplicaciones de una manera que le brinde al usuario final un acceso a Internet de alta calidad. Para atender a esta cantidad de hosts, es evidente que debemos considerar el uso del protocolo IPv6 en los nuevos proyectos de modo que no se vean afectadas las perspectivas de crecimiento del negocio. Para minimizar posibles errores y evitar el fracaso de todo el proyecto, es necesario planificar bien toda la infraestructura desde el inicio. A continuación, describo en cuatro pasos o temas principales cómo podemos evitar estos errores para alcanzar un mayor éxito en futuros proyectos de redes, ya sea de ISPs, universidades, corporativos o gobiernos.

1 – Persistencia de la mentalidad de IPv4

Uno de los errores que suelen cometer los profesionales es que mantienen algunos hábitos o prácticas con el pensamiento todavía en el protocolo IPv4. A modo de ejemplo, los bloques de mensajes ICMP o su filtrado de paquetes en un firewall. Si antes algunos profesionales hacían este bloqueo porque pensaban que iban a poder mantener segura su red (algo que no es cierto), hoy en día, con el protocolo IPv6, ya no podemos actuar de esta forma, ya que dependemos de ICMPv6 para el funcionamiento del protocolo y sus anuncios NDP.

Debemos comprender que, hoy, con IPv6 ya no asignamos una dirección IP, sino toda una red /64 o más, y no es necesario preocuparnos por los problemas de escasez que existían en el pasado (economía de direcciones IPv4), ya que las direcciones IPv6 no se agotarán hasta dentro de cientos de años. Este cambio de actitud es muy importante porque todavía hay quienes temen estar desperdiciando IPv6 y piensan que terminarán haciendo NAT para las direcciones IPv6.

Escoger el método de asignación de las direcciones IPv6 a los hosts es fundamental, ya que DHCPv6 ya no asigna la puerta de enlace predeterminada y tendremos que combinarlo con otras técnicas como SLAAC. Tenemos que entender que el principal objetivo de DHCP/DHCPv6 es exclusivamente la asignación de direcciones IP y otros parámetros de configuración de los hosts, aunque muchos utilizan este servicio como una forma de tener registros (logs) de sus usuarios.

2 – No involucrar a los equipos de desarrollo de sistemas

El uso de nuevos servicios y aplicaciones debe considerar su compatibilidad con el protocolo IPv6. Con los ISP asignando cada vez más direcciones IPv6, la mayoría aún con doble pila, los usuarios ahora se conectan a los servicios web básicos, de correo electrónico, DNS y, muy probablemente, también a aplicaciones para smartphone que usan IPv6. Por lo tanto, involucrar a todo el equipo de desarrollo de sistemas y acercarlos a la comprensión de los nuevos protocolos de red es sumamente importante para que el código de las aplicaciones desarrolladas pueda manejar direcciones mayores que los 32 bits de IPv4, por ejemplo, en una base de datos.

 Un ejemplo sencillo sería empezar a crear el hábito de hacer que el bind socket de las aplicaciones (Apache, Nginx, Tomcat, MySQL, PostgreSQL) se haga en la dirección ::1 (localhost) de manera que nuestros servicios ya estén preparados para un escenario “solo IPv6” en nuestro centro de datos y para la pronta eliminación de IPv4 de nuestra red.

Archivos de configuración de Tomcat (server.xml) y PostgreSQL (database.yml)

Tener en cuenta que para el desarrollo de nuevos productos que ofrecen informes de auditoría, monitoreo de red o restricciones de acceso a aplicaciones se deben contemplar las direcciones IPv6. Para ello, se considera que el movimiento DevOps es la clave para sobrepasar la barrera del 40% de adopción de IPv6 que se alcanzó en 2022 a nivel global.

Fuente:

https://pulse.internetsociety.org/blog/ipv6-deployment-passes-another-milestone

3 – Deshabilitar IPv6

Uno de los mayores errores que podemos cometer es considerar la posibilidad de deshabilitar IPv6 en una red. A pesar de proporcionar una falsa sensación de alivio por la posible resolución de un error en la red o aplicación, hacerlo solo retrasará aún más la mitigación del problema.

Los sistemas operativos y los principales navegadores prefieren una conexión IPv6 a través de Happy Eyeballs (RFC 8305). Por lo tanto, la degradación del tráfico IPv6 o algún problema de enrutamiento son percibidos por el usuario y pueden provocar el enlentecimiento general del acceso a Internet. Esto significa que pueden aumentar los reclamos y los usuarios pueden terminar dándose por vencidos y deshabilitando IPv6 en sus hosts. Por esta razón, además de proveer IPv6, una de las funciones fundamentales de los ISP consiste en monitorear y administrar la red doble pila para que esta acción no se convierta en una práctica habitual y afecte en forma negativa la adopción de IPv6.

También debemos combatir las “fake news” muy fuertes que circulan hoy en día con respecto a IPv6, por ejemplo, que deshabilitar IPv6 puede acelerar la red o que deshabilitar IPv6 puede ofrecer una mejor protección en su VPN. Estos errores conceptuales dificultan mucho el avance de la transición a IPv6 y debemos generar acciones de concientización al respecto.

4 – Ignorar IPv6

Por último pero no por ello menos importante, es no preocuparnos ni ignorar IPv6 en nuestra red por considerarlo apenas una moda pasajera. Debemos ser conscientes de que IPv6 ya está en nuestra red de alguna forma, por ejemplo, a través de las direcciones ULA de las interfaces de red, y aún más grave es el hecho de que quizás todavía no lo hemos notado.

Al no monitorear ni administrar nuestra red, puede que se creen túneles 6to4 en un sistema operativo Windows, haciendo que tengamos tráfico IPv6, incluso si todavía no admitimos que lo hay. Esto puede estar provocando una pésima experiencia de navegación para los usuarios que recorren caminos diferentes, causando problemas graves de seguridad, ya que nuestros controles de acceso y firewalls pueden no estar actuando sobre estos tráficos.

Ejemplo de túnel automático 6to4 en Windows

En vista de lo anterior, la mejor forma de resolver este problema es convencernos de que IPv6 es un protocolo que debemos tener en cuenta y activar en nuestras redes. Sin embargo, si activar IPv6 en su red aún no está entre sus planes, los túneles automáticos (protocolo 41) se pueden tratar fácilmente mediante la gestión de políticas de grupo en una red con Active Directory de manera de minimizar el problema.

Las opiniones expresadas por los autores de este blog son propias y no necesariamente reflejan las opiniones de LACNIC.

Subscribe
Notify of

0 Comments
Oldest
Newest Most Voted
Inline Feedbacks
View all comments