¿Por qué se están agotando las direcciones IPv4?

Pregunta:

Entiendo que nos estamos quedando sin (¿o ya se han acabado?) De direcciones IPv4, pero realmente no entiendo por qué es así. En este momento, cada hogar tiene su propia dirección IPv4 (asignada dinámicamente, pero aún así, cada uno tiene una dirección). ¿Por qué una ciudad (por ejemplo) no puede tener una sola dirección IPv4 y todos los hogares de esta ciudad estarían en una red privada de esa ciudad? Entonces, esta ciudad podría asignar direcciones desde el rango 0.0.0.1 hasta 255.255.255.254 .

Estoy seguro de que mi comprensión es incorrecta de alguna manera, de lo contrario, las direcciones IPv4 no se agotarían. ¿Qué hay de malo en mi comprensión?

Respuesta:

La escasez de direcciones IPv4

Según Vint Cerf (el padre de IP), el tamaño de la dirección IPv4 de 32 bits se eligió arbitrariamente. La propiedad intelectual fue un experimento de colaboración gubernamental / académico, y la Internet pública actual nunca fue imaginada. El paradigma de IP era que cada dispositivo conectado tendría una dirección IP única (todos los paquetes enviados entre dispositivos IP estarían conectados de extremo a extremo desde la dirección IP de origen a la dirección IP de destino), y muchos protocolos que usan IP dependen de cada dispositivo. tener una dirección IP única.

Suponiendo que podamos usar todas las direcciones IPv4 posibles *, solo hay 4.294.967.296 direcciones IPv4 posibles, pero (a partir de septiembre de 2018) la población mundial actual es de 7.648.290.361. Como puede ver, no hay suficientes direcciones IPv4 posibles para que cada persona tenga siquiera una, pero muchas personas tienen una computadora, impresora, teléfono celular, tableta, consola de juegos, televisión inteligente, etc., cada una de las cuales requiere una dirección IP, y eso ni siquiera toca las necesidades comerciales de direcciones IP. También estamos en la cúspide del IoT (Internet de las cosas), donde cada dispositivo necesita una dirección IP: bombillas, termostatos, termómetros, pluviómetros y sistemas de rociadores, sensores de alarma, electrodomésticos, vehículos, abre-puertas de garaje, sistemas de entretenimiento, collares para mascotas, y quién sabe qué todo lo demás. Todo esto se suma al hecho de que IPv4 simplemente no puede manejar las necesidades de direccionamiento del mundo moderno.


* Hay bloques de direcciones IPv4 que no se pueden utilizar para el direccionamiento de host. Por ejemplo, la multidifusión tiene un bloque de 268 435 456 direcciones que no se pueden utilizar para el direccionamiento de host. IANA mantiene el Registro de direcciones de propósito especial IPv4 de IANA en https://www.iana.org/assignments/iana-ipv4-special-registry/iana-ipv4-special-registry.xhtml para documentar todos los bloques de direcciones especiales y sus propósitos .


IANA (Autoridad de Números Asignados de Internet) se quedó sin bloques de direcciones IPv4 para asignar a los RIR (Registros Regionales de Internet) para ser asignados en sus respectivas regiones, y los RIR ahora también se han quedado sin direcciones IPv4 para asignar en cada región. Los ISP (proveedores de servicios de Internet) y las empresas que desean o necesitan direcciones IPv4 ya no pueden obtener direcciones IPv4 de sus RIR y ahora deben intentar comprar direcciones IPv4 de empresas que pueden tener más (a medida que aumenta la escasez de direcciones IPv4, el precio de las direcciones IPv4 Sube).

Incluso si todas las direcciones IPv4 que están reservadas para propósitos especiales y que no se pueden usar para el direccionamiento de host estuvieran disponibles para su uso, todavía estaríamos en la misma posición porque simplemente no hay suficientes direcciones IPv4 debido al tamaño limitado de las direcciones IPv4.

Mitigar la escasez de direcciones IPv4

IANA y los RIR se habrían quedado sin direcciones IPv4 muchos años antes si IANA y el IETF (Grupo de trabajo de ingeniería de Internet) no hubieran adoptado mitigaciones para la escasez de direcciones IPv4. Una mitigación importante fue la desaprobación de las clases de red IPv4 en favor de CIDR (enrutamiento entre dominios sin clases). El direccionamiento con clase solo permite tres tamaños de red asignados (16.777.216, 65.536 o 256 direcciones de host en total por red), lo que significa que se desperdician muchas direcciones (una empresa que necesita solo 300 direcciones de host debería tener asignada una red con clase que tenga 65.536 posibles hosts direcciones, desperdiciando más del 99% de las direcciones en la red con clase), pero CIDR permite que los tamaños de red se ajusten más a los requisitos de direcciones de red (a una empresa que necesite solo 300 direcciones de host se le podría asignar una red CIDR / 23 que tenga solo 510 direcciones de host), desperdiciando muchas menos direcciones y aún brindando algo de espacio para el crecimiento.

Por el momento, la mitigación que ha tenido el mayor impacto en la extensión de la vida de IPv4 es el uso de direcciones privadas y una variante de NAT (traducción de direcciones de red) llamada NAPT (traducción de puertos de direcciones de red), que es lo que la mayoría de las personas quieren decir cuando consulte NAT o PAT (PAT es un término específico del proveedor para NAPT). Desafortunadamente, NAPT es una solución desagradable que rompe el paradigma de IP de extremo a extremo y que rompe los protocolos que dependen de direcciones IP únicas, lo que requiere soluciones aún más desagradables.

NAT / NAPT

El concepto de NAT es bastante simple: reemplaza una o ambas direcciones IPv4 de origen y destino en un encabezado de paquete a medida que el paquete pasa a través del dispositivo NAT. En la práctica, requiere cálculo porque el encabezado IPv4 tiene un campo calculado para verificar la integridad del encabezado IPv4, y cualquier cambio realizado en el encabezado IPv4 requiere volver a calcular el campo, y algunos protocolos de transporte en la carga útil del paquete también tienen su propio cálculo. campos que deben recalcularse, utilizando recursos informáticos en el dispositivo NAT que podrían usarse para el reenvío de paquetes.

En NAT básica, el dispositivo NAT tiene un conjunto de direcciones IPv4 que utiliza para reemplazar las direcciones IPv4 de origen de los encabezados de paquete para paquetes IPv4 enviados desde una red interna a una red externa, y mantiene una tabla de traducción para traducir la direcciones IPv4 de destino del tráfico que regresa de la red externa para devolver los paquetes a los hosts correctos en la red interna. Esto también requiere recursos en el dispositivo NAT para construir y mantener la tabla de traducción y realizar búsquedas en la tabla. Esta utilización de recursos puede ralentizar el reenvío de paquetes porque los recursos utilizados por NAT se toman de los recursos que podrían utilizarse para el reenvío de paquetes.

NAPT lleva la NAT básica más allá al traducir también las direcciones de protocolo de transporte (puertos) para TCP y UDP, y las ID de consulta para ICMP. Al traducir también las direcciones de la capa de transporte, NAPT permite el uso de una única dirección IPv4 externa para muchas direcciones IPv4 de host internas. NAPT consume más recursos que NAT básica porque requiere una tabla separada para cada protocolo de la capa de transporte y también debe realizar los cálculos de integridad para los protocolos de transporte.

El uso de direccionamiento IPv4 privado, que se puede reutilizar en varias redes (es posible que haya notado que la mayoría de las redes domésticas / residenciales usan de forma predeterminada la misma red 192.168.1.0/24, que se encuentra en uno de los rangos de direcciones IPv4 privados asignados por IANA) , junto con NAPT, permite que los usuarios domésticos y empresariales utilicen una única dirección exterior (pública) para una gran red interior (con dirección privada). Esto ahorra muchas, muchas direcciones IPv4 (varias veces el número total de posibles direcciones IPv4) y ha extendido la vida de IPv4 mucho más allá del punto en el que se habría colapsado sin NAPT. NAPT tiene algunos inconvenientes graves:

  • NAPT rompe el paradigma de IP de extremo a extremo y solo funciona con TCP, UDP e ICMP, rompiendo otros protocolos de transporte. También hay protocolos de capa de aplicación que utilizan TCP o UDP que NAPT rompe, aunque TCP y UDP funcionan nominalmente con NAPT. Otras mitigaciones, por ejemplo, STUN / TURN, pueden estar disponibles para algunos protocolos de capa de aplicación, pero pueden agregar costos y complejidad.
  • NAPT consume muchos recursos y ralentiza el reenvío de paquetes en comparación con lo que es posible sin utilizar ninguna forma de NAT. Algunos proveedores agregan hardware dedicado para mitigar la necesidad de robar recursos del reenvío de paquetes, pero esto tiene un costo, tamaño, complejidad y uso de energía adicionales.
  • Cuando se usa NAPT, el tráfico iniciado desde fuera de la red NAPT no se puede entregar a la red interna porque no hay una entrada de traducción en la tabla de traducción, que se agrega mediante el tráfico iniciado desde adentro. La única dirección externa (pública) se configura en el dispositivo NAT, y cualquier paquete con esa dirección IPv4 de destino y ninguna entrada para la dirección IPv4 de origen en la tabla de traducción para el protocolo de transporte se supone que es para el dispositivo NAPT, en sí mismo, no la red interior. Existe una mitigación, denominada Port Forwarding, para este problema.
  • El reenvío de puertos básicamente configura, manualmente, una entrada permanente en una tabla de traducción para permitir el tráfico iniciado desde el exterior que está destinado a un protocolo de transporte particular y una dirección para que el protocolo se entregue a un host interno particular. Esto tiene el inconveniente de permitir que solo un host interno sea el objetivo de un protocolo de transporte y una dirección en particular. Por ejemplo, si hay varios servidores web en la red interna, solo uno de los servidores web puede estar expuesto en el puerto TCP 80 (el predeterminado para los servidores web).
  • Debido a que la escasez de direcciones IPv4 es tan grave, los ISP (proveedores de servicios de Internet) se están quedando sin direcciones públicas para asignar a sus clientes. Los ISP ya no pueden obtener más direcciones públicas, por lo que han adoptado algunas mitigaciones que perjudican especialmente a los usuarios domésticos / residenciales. Los ISP quieren reservar su valioso grupo de direcciones públicas para sus clientes comerciales que estén dispuestos a pagar por el privilegio de obtener direcciones públicas. Para hacer eso, los ISP ahora están comenzando a asignar direcciones privadas o compartidas a sus clientes domésticos / residenciales, y los ISP usan NAPT en sus propios enrutadores para facilitar el uso de múltiples direcciones privadas o compartidas en una sola dirección pública. Eso crea una situación en la que una red doméstica / residencial está detrás de dos traducciones NAPT (ISP NAPT a NAPT del cliente), y el reenvío de puertos configurado por el cliente en el enrutador doméstico / residencial ya no funciona porque está roto por el ISP NAPT, que es no configurado para reenviar el puerto al enrutador del cliente.
  • Mucha gente comete el error de equiparar NAPT y seguridad porque los hosts internos no pueden abordarse directamente desde el exterior. Ésta es una falsa sensación de seguridad. Debido a que un firewall que conecta una red a la Internet pública es un lugar conveniente para ejecutar NAPT, eso simplemente confunde la situación. Crea una percepción peligrosa de que ese NAPT, en sí mismo, es el firewall, y un firewall real es innecesario. La seguridad de la red proviene de los firewalls, que bloquean todo el tráfico iniciado desde el exterior de forma predeterminada, solo permiten el tráfico para el que está configurado explícitamente, posiblemente haciendo una inspección profunda del contenido del paquete para eliminar cargas útiles de paquetes peligrosos. Lo que algunas personas no se dan cuenta es que, sin un firewall, ya sea en hardware o software, en el exterior o integrado en el dispositivo NAPT, para proteger el dispositivo NAPT, el dispositivo NAPT en sí es vulnerable. Si el dispositivo NAPT se ve comprometido, él, y por extensión un atacante, tiene acceso completo a la red interna con dirección privada. Los paquetes iniciados desde el exterior que no coinciden con una tabla de traducción están destinados al dispositivo NAPT, en sí mismo, porque es el dispositivo al que se dirige realmente con la dirección externa, por lo que el dispositivo NAPT puede ser atacado directamente.

La solución a la escasez de direcciones IPv4

El IETF predijo la escasez de direcciones IPv4 y creó la solución: IPv6, que usa direcciones de 128 bits, lo que significa que hay 340,282,366,920,938,463,463,374,607,431,768,211,456 (340 undecillion) direcciones IPv6 posibles. La cantidad casi inimaginable de direcciones IPv6 elimina la necesidad de NAPT (IPv6 no tiene ningún estándar NAT, como lo hace IPv4, y el IPv6 NAT RFC experimental prohíbe específicamente NAPT), restaurando el paradigma original de IP de extremo a extremo. Las mitigaciones para la escasez de direcciones IPv4 están destinadas a extender la vida útil de IPv4 hasta que IPv6 sea omnipresente, momento en el que IPv4 debería desaparecer.

Los seres humanos realmente no pueden comprender números del tamaño utilizado para IPv6. Por ejemplo, una red IPv6 estándar utiliza 64 bits para cada una de las porciones de red y host de la dirección de red. Eso es 18,446,744,073,709,551,616 posibles redes IPv6 estándar / 64, y esa misma (enorme) cantidad de direcciones de host para cada una de esas redes. Para tratar de comprender un número tan grande, considere herramientas que escanean todas las direcciones posibles en una red. Si una herramienta de este tipo pudiera escanear 1,000,000 de direcciones por segundo (poco probable), llevaría más de 584,542 años realizar el escaneo en una red única / 64 IPv6. Actualmente, solo 1/8 del espacio total de direcciones IPv6 se asigna para direcciones IPv6 globales, lo que equivale a 2,305,843,009,213,693,952 redes IPv6 / 64 estándar, y si la población mundial es de 21 mil millones en el año 2100 (un número algo realista), cada una de esas 21 mil millones de personas podría tener 109,802,048 redes IPv6 / 64 estándar, cada red con 18,446,744,073,709,551,616 posibles direcciones de host. Desafortunadamente, la escasez de direcciones IPv4 (décadas de) ha arraigado tanto la conservación de direcciones en las personas, que muchas personas simplemente no pueden dejarlo pasar y tratan de aplicarlo a IPv6, lo cual no tiene sentido y es realmente perjudicial. En realidad, IPv6 está diseñado para desperdiciar direcciones.

El IETF también tuvo la ventaja de la retrospectiva y mejoró la IP (en IPv6) al eliminar las características de IPv4 que no funcionaban bien, mejorar algunas características de IPv4 y agregar características que IPv4 no tenía, creando una IP nueva y mejorada. . Debido a que IPv6 es un protocolo completamente separado de IPv4, se puede ejecutar en paralelo con IPv4 a medida que se realiza la transición de IPv4 a IPv6. Los hosts y los dispositivos de red pueden ejecutar tanto IPv4 como IPv6 en la misma interfaz al mismo tiempo (apilado doble), y cada uno es invisible para el otro; no hay interferencia entre los dos protocolos.

El problema con IPv6 es que en realidad es un protocolo completamente diferente que es incompatible con el ubicuo IPv4, y muchas personas consideran que las mitigaciones para la escasez de direcciones IPv4 son "suficientemente buenas". El resultado es que han pasado más de 20 años desde que se estandarizó IPv6, y ahora estamos obteniendo un impulso real en el uso de IPv6 (Google informa, a septiembre de 2018, la adopción mundial de IPv6 de más del 20% y la tasa de adopción de IPv6 en Estados Unidos supera el 35%). La razón por la que finalmente nos estamos moviendo a IPv6 es que simplemente no hay más direcciones IPv4 sin usar para asignar.

Hay otros obstáculos, todos parte de la cultura IPv4, que a las personas les resulta difícil pasar por alto. Muchas personas también le tienen miedo a IPv6, ya que han crecido y se sienten cómodas con IPv4, con verrugas y todo. Por ejemplo, las direcciones IPv6 parecen ser grandes y feas en comparación con las direcciones IPv4, y eso parece desanimar a muchas personas. La realidad es que IPv6 suele ser más fácil y flexible que IPv4, especialmente para el direccionamiento, y las lecciones aprendidas en IPv4 se han aplicado a IPv6 desde el principio.

Leave a Comment

Your email address will not be published.

Scroll to Top

istanbul avukat

-

web tasarım