NordVPN, uno de los principales proveedores de servicios VPN del mundo, acaba de anunciar el lanzamiento de un nuevo servicio bautizado como Meshnet e integrado directamente en la app principal de NordVPN. De hecho, la última actualización de NordVPN ya incluye esta nueva funcionalidad sin necesidad de ningún gasto extra.

¿Su principal objetivo? Permitirnos crear en pocos segundos nuestro propio servidor VPN —eso sí, limitando por ahora los sistemas operativos utilizables para dicha tarea a una breve lista compuesta únicamente por Windows o Linux—. "Realmente transformará la forma en que nuestros usuarios utilizan NordVPN", afirma el comunicado de prensa

Esta nueva funcionalidad nos permite sustituir el enrutamiento del tráfico a través de un servidor VPN por la conexión directa de nuestro equipo a otros dispositivos (ya sean nuestros, o propiedad de amigos). De tal forma que podremos conectarnos a webs y servicios en la nube usando dichos dispositivos como intermediarios.

Pero Meshnet no sólo nos permite crear nuestra propia VPN, sino que también podremos usarlo para:

• Acceder remotamente a archivos compartidos.
• Intercambiar archivos entre equipos.
• Crear una LAN virtual para videojuegos.

En Genbeta

Con la censura de la guerra, los rusos corrieron masivamente a usar VPNs. Ahora Putin las está bloqueando

Así, poder contar con nuestra propia LAN virtual puede resultar muy útil para jugar en modo multijugador —a través de Internet y sin compartir ubicación física— a videojuegos antiguos que sólo soportaban conectividad vía LAN.

Un punto negativo

En palabras de Vykintas Maknickas, estratega de producto de NordVPN, "mientras que una conexión NordVPN tradicional redirige tu tráfico de Internet a través de servidores, la red Meshnet te permite crear tu propio servidor NordVPN, formado únicamente por tus dispositivos o los de tus amigos, independientemente de su ubicación. Todo lo que se necesita es una suscripción a NordVPN".

De hecho, esto último constituye la principal desventaja de Meshnet: que optemos por el servicio que optemos —servidor VPN, LAN virtual o acceso remoto a archivos— todos los equipos implicados deberán contar con una cuenta y suscripción a NordVPN, lo cual puede reducir las opciones de enrutamiento o el número de potenciales compañeros de partida.

Aunque, si en nuestro entorno contamos con muchos fans de NordVPN, Meshnet nos permitirá interconectar hasta 60 equipos (10 personales y 50 externos).

El pasado mes de febrero salió a la venta el dominio 'corp.com'. Más allá de lo atractivo que podría suponer para muchas empresas contar con un dominio como ése (que remite al término 'corporation' y resulta fácil de recordar), nada podría hacer pensar que fuera un dominio diferente a cualquier otro. Y, sin embargo, corp.com era la llave que permitía controlar un agujero de seguridad potencialmente devastador para muchas empresas.

Su historia comienza en 1990, cuando Mike O'Connor crea Go-fast.net, uno de los primeros proveedores de Internet, y registra un buen puñado de dominios .com que adquirirían gran valor en los años siguientes: place.com, bar.com, pub.com, etc.

El agujero de seguridad llamada "corp.com

Uno de ellos fue -como habrás imaginado- corp.com. Pero algo hizo que O'Connor aguantara varios años sin subastar ese dominio en particular. Y ese 'algo' fue un error de diseño de Active Directory, la herramienta de Microsoft que proporciona servicios de directorio en una red LAN.

La cuestión es que, en la primeras versiones de Windows compatibles con Active Directory, la ruta por defecto de los servicios de validación dentro de una misma LAN corporativa era el dominio interno "corp.com".

En Genbeta

Los 25 dominios más caros de la historia

Te estarás preguntando en qué medida puede representar eso un agujero de seguridad. Veamos: si un empleado de cualquiera de esas compañías intentara acceder a datos de su empresa desde fuera de la LAN (pongamos, por ejemplo, desde el Wi-Fi del aeropuerto) se estaría conectando realmente con el dominio de Internet "corp.com".

Sí, el mismo que O'Connor puso a la venta en febrero. Y el mismo que, manejado con fines maliciosos, podría aprovechar esas conexiones involuntarias para interceptar comunicaciones de las empresas afectadas y extraer toda serie de datos (emails, contraseñas, etc).

Nadie hace nada, y O'Connor se quita el problema de encima

Pero, ¿nadie tomó medidas? Bueno, Microsoft liberó varias actualizaciones de software que paliaban en parte el problema, pero pocas empresas aprovecharon las soluciones que dichas actualizaciones habilitaban.

Y no lo hicieron principalmente porque consideraban inasumible suprimir toda su red Active Directory al completo durante el tiempo necesario para implementar los cambios necesarios, porque ralentizaría o paralizaría aplicaciones necesarias para sus operaciones diarias.

En Magnet

Así es como una persona compró Google.com por sólo 12 dólares

O'Connor explicaba en febrero que veía el dominio de marras como "un vertedero de desechos químicos" y que no quería "legarlo a sus hijos y que ellos tengan que cargar con él". Y señalaba la frustración que le suponía que a "los buenos" parecía no importarle el asunto, lo que podía provocar que "corp.com" cayera en manos de cibercriminales.

Los "buenos" eran, claro, los responsables de Microsoft, quienes O'Connor esperaba que estuvieran dispuestos a pujar el dominio, cuyo precio de salida era de 1'7 millones de dólares.

Microsoft toma cartas en el asunto

Pero a Microsoft sí le importaba el problema: un año antes un estudio realizado por el experto en ciberseguridad Jeff Schmidt con fondos del Departamento de Seguridad Nacional de los EE.UU., había desvelado que más de 375.000 equipos con Windows habían intentado enviar información sensible al dominio corp.com, incluidos datos de inicio de sesión.

En Genbeta

Alojamientos web: qué son y cuántas clases existen

De modo que, dos meses más tarde, O'Connor se ha deshecho de su particular "vertedero de desechos"... tras haberlo adquirido Microsoft. Según un comunicado de la compañía (que no ha revelado el precio de adquisición),

"Para ayudar a mantener los sistemas protegidos, alentamos a nuestros clientes a adoptar ciertas buenas prácticas relativas a la seguridad cuando planifiquen nombres de dominio y de red internos.

Ya lanzamos un aviso de seguridad al respecto en junio de 2009 y [en base a este] compromiso continuo con la seguridad del cliente, también adquirimos ahora el dominio Corp.com".

La semana pasada dedicamos la pregunta de la semana al actual agotamiento de direcciones Ip en el actual protocolo IPv4 y el cambio al nuevo IPv6, hemos querido ponernos en contacto con Jordi Palet, miembro de la IPv6 Task Force, que seguro nos puede ayudar a conocer el nuevo protocolo y los beneficios que puede traer. Vamos pues con las preguntas para intentar quitar miedos y mitos y dejar claro en qué medida nos afecta el cambio:

Genbeta: En primer lugar nos gustaría que nos contaras que es la IPv6 Task Force, ¿cuál es vuestro cometido en líneas generales?
El IPv6 Task Force Europeo se constituyo por parte de la Comisión Europea, llamando a los expertos Europeos e internacionales en este campo, así como a investigadores, industrias y otros sectores económicos, con la intención de establecer un plan de acción, el cual se concreto en unas recomendaciones a la propia Comisión Europea, el Parlamento, los Estados Miembros y la propia industria, entre otros actores implicados en la transición a IPv6. Se trataba de asegurarse que Europa no se quedaba atrás y colaboraba con otras regiones que ya estaban avanzando en este camino, fundamentalmente Japón, aprovechando la ventaja del liderazgo.

Uno de los resultados fue la financiación de innumerables proyectos de Investigación y Desarrollo, muchos de ellos liderados por entidades Españolas, incluida la nuestra. En estos proyectos pudimos no solo participar en la estandarización del protocolo, sino que además adquirimos la experiencia para poder liderar la transición y tener los conocimientos suficientes que ahora nos permiten labores de formación y consultoría en todo el mundo. Para que te hagas una idea, en tan sólo 5 años, se invirtieron unos 180 millones de Euros.

El primer documento de la Comisión Europea fue liberado muy rápidamente, en el año 2001, y posteriormente hubo otro Comunicado en el 2008. Ahora mismo precisamente acabo de terminar de redactar otro documento que la Comisión esta revisando para su publicación. Esta sería la ultima y definitiva llamada de atención a los Estados Miembros e industrias europeas al respecto de la adopción de IPv6. Esperamos que este documento sea el último, pues si no hubiera resultados a corto plazo, y

se llegara a producir una distorsión del mercado (por ejemplo la venta de direcciones de forma ilegal), sería necesaria una legislación por parte del Parlamento Europeo

Genbeta: Lo cierto es que la mayoría de los lectores de Genbeta no parecen sentirse inquietos por este agotamiento de IPv4 y fían el cambio en los ISP, ¿pueden sentirse tranquilos y será el cambio transparente para el usuario?

Al final depende de cómo se mire, y sobretodo de cómo reaccionen de rápido los ISPs. Vamos a intentar explicarlo. IPv6 ha sido diseñado para que no suponga un cambio, ni una migración como se dice a veces erróneamente, sino una transición y coexistencia con IPv4. Es decir, se trata de evitar la ruptura de las aplicaciones existentes, que incluso detrás de NAT y con direcciones IPv4 privadas ya funcionan actualmente.

Esta transición y coexistencia se ha previsto de tal manera que, si se realiza antes del agotamiento de IPv4, es decir, si hubiéramos empezado hace unos 4 años, es más barata, y tiene menos consecuencias para todos.

Sin embargo, la realidad es otra, dado que aunque los grandes operadores, especialmente los intercontinentales han preparado sus redes, incluso con despliegues importantes desde el 2002 e igualmente, la mayoría de los sistemas operativos de clientes y servidores están preparados desde las mismas fechas,

a nivel nacional y regional, la mayoría de los ISPs no se han preparado

En IETF hemos desarrollado mecanismos de transición automáticos (que encapsulan IPv6 en la red actual con IPv4), que permiten que en esta situación, sean los propios sistemas operativos de los ordenadores los que resuelven el problema, sin embargo, si no hay cooperación por parte de los ISPs, estos mecanismos de transición funcionan perfectamente en aplicaciones peer to peer, de hecho tenemos tráficos de este tipo de aplicaciones del orden del 30%, pero no son perfectos en cliente-servidor, y ello ocasiona hasta 1% de fallos.

Es decir, algunos usuarios, podrían tener problemas para acceder a algunos contenidos y/o servicios online. Puede parecer que el 1% es poco, pero para que os hagáis una idea, Yahoo ha evaluado que en un día, podría suponer 1.000.000 de clientes accediendo a su red.

Así que, lo resumiría, en “tranquilidad” si tu caso es que compruebas que tu red domestica funciona con IPv6, bien porque el ISP te da servicio de doble pila (IPv4 e IPv6, bien de forma nativa o con mecanismos de transición), o bien porque los mecanismos de transición automáticos funcionan en tu caso. Sino, hay que pensar en presionar al ISP, o buscar alternativas.

Genbeta: ¿Cuál es el umbral de convivencia de ambos protocolos? ¿Se alargará si se prolonga el actual momento económico mundial que merma la capacidad de inversión de los operadores?

El primer aspecto a considerar, es que IPv6 no es caro de desplegar. La mayoría de los equipos de las redes, tienen soporte de IPv6 desde hace 5 o mas años. La inversión mas importante es en formación, pues normalmente, si la red esta relativamente bien mantenida, no hay necesidad de reemplazar equipos. Si es cierto que a veces hay algunos equipos en la red de acceso que requieren actualizaciones, incluso los CPEs (routers domésticos), pero los mecanismos de transición han sido diseñados para resolver esta situación.

El problema se complica cuanto más se tarde en realizar la transición, dado que

si no empezamos ahora mismo, de forma masiva, podría llegar un punto en la transición en la que la falta de direcciones IPv4 la complicara

hiciera más cara, y tuviera impacto en los usuarios, ya que habría aplicaciones que podrían dejar de funcionar, fallar, etc.

Así que en realidad creo que no hay muchas opciones para que se prolongue, pues el impacto económico y de estabilidad de Internet sería muy superior, y al final el mercado manda. Si un ISP no progresa, perderá clientes y otros ISPs los ganaran. Por otro lado, es fácil pensar que tendremos una coexistencia de ambos protocolos durante unos 4 o 5 años, y a partir de ese momento, el tráfico IPv4 caerá por su propio peso y quizás a partir de ese momento nos podremos plantear, que se puede ir retirando IPv4 de algunas redes.

Es decir, no es una opción, no desplegar IPv6 con la excusa de la crisis económica, no solo porque no hay un coste desmesurado que impida hacerlo, y por otro lado por la temeridad de poner en riesgo el negocio a muy corto plazo.

Genbeta: Otra de las inquietudes que nos han mostrado alguno de nuestros lectores es la longitud de las nuevas direcciones IP. Con IPv4 sólo teníamos que recordar 4 ternas de números, pero ahora se duplica, ¿algún método para acordarnos de las distintas IPs de nuestra LAN?

No, nunca hay que recordar direcciones IP, ni IPv4 ni IPv6. Eso es un grave error. Precisamente por usar direcciones literales, es por donde vienen los problemas de transición en algunas aplicaciones, pues tiene direcciones empotradas en el código. Lo lógico es siempre usar DNS que ha sido diseñado para facilitar recordar algo más lógico para los humanos que los números.

Además, la transición, la doble pila (coexistencia de IPv4 e IPv6), se basan precisamente en que los sistemas operativos, las librerías de resolución de DNS, puedan detectar automáticamente si un determinado destino (nombre), tenga IPv6, IPv4 o ambos. Si usamos direcciones en lugar de nombres, eso no funciona.

Por otro lado, dado que IPv6 tiene autoconfiguración (aunque también se puede usar DHCP, pero no es necesario), ello implica que no tenemos que configurar manualmente nada, ni recordar tantos parámetros, etc.

Genbeta: ¿Supondrá Ipv6 una mejora en la seguridad de las comunicaciones?

El hecho de que haya suficientes direcciones, incluso para dotar a cada interfaz de cada maquina de muchas de ellas, implica que no hay que usar NAT, y por tanto que podemos hacer siempre conexiones extremo-a-extremo

Así que definitivamente, si usamos IPsec, incrementamos la seguridad. Pero la decisión es del usuario, la aplicación, el administrador de la red, etc., dado que IPsec no esta habilitado por defecto.

Por otro lado, el gran número de direcciones dificulta las técnicas de ataque por fuerza bruta. Un usuario residencial tiene que recibir lo que llamamos un /48 (un prefijo de 48 bits de longitud), es decir, que dispondría de 65.535 subredes (16 bits), de 264 posibles direcciones cada. El rastreo de una sola de esas subredes, implica, si esta bien diseñada, 5.300 millones de años, imagínate para el /48 completo. A mí no me gusta llamar a esto seguridad, pues es un aspecto ligeramente diferente, más bien lo llamaría protección, pero sin duda es importante.

Genbeta: Pensando en un futuro de máquinas conectadas, el hogar domótico y demás ¿Creéis que pueden agotarse las direcciones IPv6? ¿En qué fecha?

La fecha de ese hogar para mi es en pasado, pues hace ya varios años que lo tengo así. No es una utopía, no es ficción. Es más,

desde que el iPhone tiene también soporte de IPv6, ya ni siquiera tengo mandos a distancia en casa. Desde el iPhone abro la puerta, las persianas, veo a mis perros, les doy de comer, cambio el canal de la TV, subo el volumen del Home Cinema, regulo la luz

El mas mínimo aparato de mi casa que tenga electricidad, e incluso alguno que no la tienen, tiene no una, sino varias direcciones IPv6.

Y no será fácil que lo agotemos… la realidad es que si a cada posible habitante de la tierra le asignamos su /48, incluso varios, tendríamos suficientes direcciones para los próximos 480 años. Otra comparativa que suelo hacer es explicar que hay direcciones para trillones de planetas como la tierra, tantos que ni siquiera cabrían en la órbita solar. Más bien creo que dentro de 50 o 100 años, tendremos otros requisitos tecnológicos que nos obligaran a un rediseño de Internet, pero no precisamente por el agotamiento de las direcciones.

Vamos hacia lo que se llama la Internet de las Cosas, y la parte de las direcciones ya esta resuelta, pero encontraremos otras problemáticas que ahora ni imaginamos, y por supuesto nuevas soluciones.

Genbeta: Algunos de los administradores de sistemas y redes con los que he hablado piensan que es más seguro y más cómodo seguir trabajando con IP privadas para las LAN. ¿existirán IPs privadas en IPv6 o desaparecerá este concepto?

Este es otro de los errores comunes.

Las direcciones privadas obligan al uso de NAT, y por tanto a la traducción de direcciones, y eso es lo que impide desarrollar de forma fácil y asequible aplicaciones y servicios sofisticados que requieren conexiones extremo-a-extremo

Tampoco es una cuestión de comodidad, simplemente nos hemos acostumbrado a ello, igual que a direcciones en decimal. Hay que acostumbrarse a lo nuevo, es un cambio de “chip”.

Obviamente, direcciones privadas como las entendemos en IPv4, no existen en IPv6, ni hay ninguna necesidad de ellas. Hay un tipo de direcciones que se “localmente únicas” (ULA’s o Unique Local Addresses), pero dado que en IPv6 una interfaz tiene múltiples direcciones, se utilizan en combinación tanto las “localmente únicas” como las globales (las públicas en IPv6), para evitar tener que traducirlas de nuevo con NAT. Pero el uso de ULA’s no es necesario en general, será algo que se utilice en entornos muy determinados, muy diferentes al uso actual que hacemos de las privadas en IPv4.

Genbeta: Otra de las cuestiones que se aplican mucho en las organizaciones es la división de una red, en otras más pequeñas independientes, el subneting, ¿seguirá utilizándose en IPv6 esta técnica?

La red más pequeña, y no fraccionable en IPv6 tiene 64 bits. Eso es intocable para que el protocolo funcione de forma estándar. Ahora bien, como decía antes, a cualquier usuario el ISP ha de entregarle un /48, como IPv6 tiene 128 bits, y teniendo en cuenta que los 64 de menor peso son intocables, quedan 16 bits, que son los que se utilizan para el subneting, por tanto 216, son 65.535 posibles subredes.

De forma similar, desde el bit 48 hacia atrás, los ISPs segmentan su espacio de direccionamiento para fraccionarlo en las subredes que asignan a cada cliente. Un ISP pequeño, por defecto recibirá un /32, es decir 32 bits, y por tanto tiene 16 bits (hasta llegar al bit 48) para direccionar hasta 65.535 clientes. Un ISP mas grande, que tenga mas clientes, lógicamente recibirá un /31, o un /30, o lo que justifique que necesita, sin ningún tipo de problema.

Genbeta: ¿Cambiará IPv6 la forma de jugar Online, por ejemplo? ¿A la hora de conectar dos equipos para jugar en red será más sencillo?

Si, tal y como he comentado antes, uno de los grandes problemas de IPv4 y las direcciones privadas es NAT. Ello implica que las aplicaciones peer-to-peer necesitan servidores intermedios, y ello hace que sean menos eficaces y comprometen la seguridad.

Con IPv6 las aplicaciones son más sencillas de desarrollar. El programador ya no tiene que pensar en que trampas utilizar, como desplegar servidores intermedios, etc. Por tanto optimiza sus recursos en hacer mejores aplicaciones, mejores juegos. Y obviamente, ello significa que también para los usuario es mas sencillo, diría que incluso transparente. Esto ya esta ocurriendo, y

aplicaciones como Bittorrent ya utilizan IPv6 encapsulado de forma automática en IPv4

sin que nos demos cuenta.

Genbeta: ¿Qué nuevos modelos de negocio pueden desarrollarse gracias a IPv6?

Innumerables, creo que aun no somos capaces de imaginar todo lo que surgirá. Creo que mucho tendrá que ver con la Internet de las Cosas, redes de sensores, control energético. Por supuesto temas más sencillos como el que antes comentaba de la domótica, automatización en general, comunicaciones máquina a máquina, sistemas de transporte inteligentes, alertas de catástrofes.

Surgirán innumerables nuevos servicios y aplicaciones online. Este es parte del otro cambio de mentalidad que hay que hacer. El hecho de que haya muchísima direcciones en la red de cada usuario, implica que los ISPs y terceras compañías, pueden ofrecer todos estos nuevos servicios de una forma muy sencilla a todo tipo de usuarios, tanto residenciales como corporativos.

Desde Genbeta queremos agradecer a Jordi su amabilidad a la hora de recoger las inquietudes de nuestros lectores y arrojar un poco de luz en todo lo que tiene que ver con la implantación de IPv6.

En Genbeta | Las últimas direcciones IPv4 se han agotado, IPv6 es la solución
Imagen | Manchester-Monkey & Wikimedia & Robert Scoble
Más Información | Consultinet