Imagina que estás montando tu red IPv6.
Imagina que tienes tu propio direccionamiento IPv6 y que lo usas en tu CORE.
Y en ese momento te surge la duda ¿Pueden atacar el CORE de mi red usando esas direcciones?
¡Esa misma pregunta me surgió a mi!
Así que venga que abro 🧵!
Imagina que tienes tu propio direccionamiento IPv6 y que lo usas en tu CORE.
Y en ese momento te surge la duda ¿Pueden atacar el CORE de mi red usando esas direcciones?
¡Esa misma pregunta me surgió a mi!
Así que venga que abro 🧵!
DISCLAIMER
Si crees que algo no está bien o tú lo harías de otra manera, pues ya sabes, APORTA Y COMPARTE.
¡Si vas a venir a dar la lata sin aportar, mejor que no vengas!
Si crees que algo no está bien o tú lo harías de otra manera, pues ya sabes, APORTA Y COMPARTE.
¡Si vas a venir a dar la lata sin aportar, mejor que no vengas!
Bien, como sabéis desde hace tiempo ando usando IPv6 en la red de mi ISP. Quizás no tanto como me gustaría, pero voy dando pasos en la buena dirección.
Y claro, cuando comienzas a montar la red te das cuenta de algunas cosas con las que no contabas...
Como esto que os cuento...
Y claro, cuando comienzas a montar la red te das cuenta de algunas cosas con las que no contabas...
Como esto que os cuento...
A ver, hasta ahora, cuando montabas tu red en IPv4, normalmente usabas direccionamiento privado.
Eso evitaba que tuvieras que proteger demasiado en esa parte, ya que teniendo controlados los puntos de fuga, con el NAT, firewalls y demás, ibas a estar relativamente tranquilo.
Eso evitaba que tuvieras que proteger demasiado en esa parte, ya que teniendo controlados los puntos de fuga, con el NAT, firewalls y demás, ibas a estar relativamente tranquilo.
Pero claro, ahora con IPv6, de repente cualquier dirección de tu red "tiene la posibilidad" de ser alcanzable desde Internet y claro, la cosa cambia.
¡Cambia mucho!
¿Cuál fue mi opción al principio?
Pues una guarrada, para que vamos a mentir, usar ULAs.
¡Cambia mucho!
¿Cuál fue mi opción al principio?
Pues una guarrada, para que vamos a mentir, usar ULAs.
Las ULAS o Unique Local Addresses es un espacio de direcciones de IPv6, el fc00::/7 exactamente, que está reservado para uso local o de empresa en entornos que no vayan a usar direccionamiento público.
Es decir, no pueden ser alcanzables ni enrutadas desde/hacia Internet.
Es decir, no pueden ser alcanzables ni enrutadas desde/hacia Internet.
Existe una interesante RFC, la 4193, que te da todos los datos sobre ellas: rfc-editor.org
Esta solución me daba la ventaja de que esas interfaces internas de mi CORE no podían ser alcanzables desde Internet, por lo que los cortafuegos eran mucho más simples y mis routers no perdían mucho tiempo y tal.
Hasta aquí todo OK.
Hasta aquí todo OK.
Pero claro, cuando hacías un traceroute por mi red, de repente aparecían ULAs moviendo tráfico de Internet.
Y las buenas prácticas de IPv6 ya me decían que eso no era algo muy lógico.
Aunque algún operador ENORME lo haga...
Y las buenas prácticas de IPv6 ya me decían que eso no era algo muy lógico.
Aunque algún operador ENORME lo haga...
Así que me plantee el cambio de esa parte de la red para usar una parte de mi direccionamiento GLOBAL UNICAST.
Me tocaba empezar a crear cortafuegos en muchos lugares, como por ejemplo los routers de Borde, para asegurar el tema... ¡Mucha tela!
Me tocaba empezar a crear cortafuegos en muchos lugares, como por ejemplo los routers de Borde, para asegurar el tema... ¡Mucha tela!
Piensa que tienes un router donde se hace BGP, OSPF y todas esas cosas y ahora le iba a sumar una nueva capa de complejidad...
Pero aquí llego el gran @aalmenar al rescate y me dijo: "¿Y si utilizas una parte tu direccionamiento público PERO NO LO ANUNCIAS A INTERNET?"
Pero aquí llego el gran @aalmenar al rescate y me dijo: "¿Y si utilizas una parte tu direccionamiento público PERO NO LO ANUNCIAS A INTERNET?"
A ver, paro un poquito: si recuerdas anteriores hilos, como este de BGP:
Tú anuncias a tus tránsitos desde tus routers de borde los prefijos de tu red.
Lo que me estaba proponiendo @aalmenar era no anunciar UNA PARTE de mi /29 de IPv6.
BRUTAL!
Tú anuncias a tus tránsitos desde tus routers de borde los prefijos de tu red.
Lo que me estaba proponiendo @aalmenar era no anunciar UNA PARTE de mi /29 de IPv6.
BRUTAL!
Para ello dividimos el /29 en "trocitos" más pequeños.
En mi caso: 1 /30, 1/31 y 2 /32.
Y pasé a NO ANUNCIAR uno de los /32.
De esa manera uso mi propio direccionamiento IPv6 en la red de CORE, pero desde fuera no pueden atacar directamente esa parte del direccionamiento.
En mi caso: 1 /30, 1/31 y 2 /32.
Y pasé a NO ANUNCIAR uno de los /32.
De esa manera uso mi propio direccionamiento IPv6 en la red de CORE, pero desde fuera no pueden atacar directamente esa parte del direccionamiento.
Y dicho y hecho:
-Planificamos el nuevo direccionamiento.
-Realizamos el "particionado" del prefijo.
-Desactivamos RPKI en RIPE (IMPORTANTE!!!)
-Cambiamos las redes a anunciar en los routers de Borde.
-Y volvimos a activar RPKI, ahora con los nuevos prefijos.
Y listo!
-Planificamos el nuevo direccionamiento.
-Realizamos el "particionado" del prefijo.
-Desactivamos RPKI en RIPE (IMPORTANTE!!!)
-Cambiamos las redes a anunciar en los routers de Borde.
-Y volvimos a activar RPKI, ahora con los nuevos prefijos.
Y listo!
¿Qué anuncian ahora mis routers?
Esto:
Esto:
Solo quedaba cambiar las ULAs por el direccionamiento IPv6 propio y empezar a ver unos traceroutes más bonitos y una red que cumple mejor las buenas prácticas de IPv6.
¡Queda mucho, pero estamos en el camino!
¡Eso sí, búscate siempre a los mejores para trabajar!
¡Queda mucho, pero estamos en el camino!
¡Eso sí, búscate siempre a los mejores para trabajar!
¡Y poco más! ¿Te ha gustado?
¡Aquí hacemos #buildinpublic de nuestra red cada semana!
Todos los domingos envío una Newsletter sobre temas IT: dmntr.news
Y tenemos un supercanal de Telegram: t.me
Sigo a mis cosas!!! ¡Un abrazooo!
¡Aquí hacemos #buildinpublic de nuestra red cada semana!
Todos los domingos envío una Newsletter sobre temas IT: dmntr.news
Y tenemos un supercanal de Telegram: t.me
Sigo a mis cosas!!! ¡Un abrazooo!
جاري تحميل الاقتراحات...