[lacnog] El Gran Enredo de IPv6 y RPKI

Alejandro Acosta alejandroacostaalamo en gmail.com
Sab Dic 28 17:30:55 -03 2024 

Había una vez, en un mundo digital muy lejano conocido como Netland, un 
grupo de direcciones IP que estaban hartas de ser ignoradas. Eran las 
"modernas" direcciones IPv6, que, a pesar de su impresionante capacidad 
y flexibilidad, siempre se sentían opacadas por su predecesor, el 
venerable IPv4. Todo el mundo hablaba de él, y los routers lo adoraban. 
"¡Pero nosotros también somos geniales!", se quejaban las direcciones 
IPv6. "¡Es hora de mostrarles lo que valemos!"

Así que un día, decidieron organizar una fiesta épica para demostrar su 
relevancia, la llamaron la YottaFiesta en honor a que las megafiestas ya 
no son tan grandes :-) . Invitaron a todos los routers, switches, 
firewalls e incluso algunos servidores curiosos. La invitación decía: 
"¡Ven a la fiesta más grande del ciberespacio! Solo direcciones IPv6, 
pero no digas nada, ¡es una sorpresa!" Sabían que las loopback no 
podrían asistir porque no pueden salir de donde están, pero por si 
acaso, estaban oficialmente invitadas.

El problema fue que, en lugar de sencillamente enviar a los routers a la 
fiesta, las direcciones IPv6 se dieron cuenta de que no todos sabían 
cómo llegar. Como los routers estaban tan acostumbrados a trabajar con 
IPv4, se encontraron totalmente perdidos. "¿Cómo diablos llegamos a esa 
dirección con 128 bits?" se preguntaban. "¿Dónde está el next-hop para 
esta dirección?"

Mientras tanto, en otro rincón del mundo cibernético, RPKI intentaba 
asegurarse de que las rutas IP fueran seguras. Pero cada vez que trataba 
de verificar una dirección, se encontraba con un caos total. "¿Por qué 
hay tantas direcciones no válidas flotando por aquí? ¡Esto es un 
completo lío!" se lamentaba RPKI, mientras sacaba su llave de validación 
digital.

Sin embargo, NAT64, siempre buscando soluciones creativas, tenía un plan 
para hacer que IPv6 y IPv4 pudieran convivir. Decidieron crear una 
puerta secreta entre los dos mundos. Pero, en lugar de simplemente 
conectarlas, NAT64 y sus amigos decidieron hacer una broma. Se 
disfrazaron de direcciones IPv4 y comenzaron a enviar mensajes a los 
routers: "¡Hola! Soy una dirección IPv4, ven a mi fiesta, ¡en la famosa 
192.168.1.1!"

Los routers, confiados de que era una dirección conocida, comenzaron a 
seguir las instrucciones al pie de la letra. Se pusieron sus mejores 
configuraciones, con el protocolo clásico de IPv4, y comenzaron a 
enrutar los paquetes hacia ese destino como si nada. Dentro de sí 
pensaban: "ojalá llegue un paquete IPv4 para enrutarlo de forma nativa 
en mi red IPv6 only con la elegancia del RFC 8950"

Pero al llegar al lugar, se encontraron con algo muy diferente. En lugar 
de la fiesta, lo que había era una revisión de seguridad en la puerta. 
RPKI, que estaba haciendo de portero, tenía instrucciones muy claras: 
"¡Solo pueden entrar direcciones IPv6 con ROAs válidos!"

Y justo detrás de él, el Firewall, implacable, no dejaba pasar ni a las 
direcciones bogon. Los pobres routers, que se pensaban que estaban a 
salvo con una dirección IPv4, fueron redirigidos a un portal que decía: 
"¡Feliz Día de los Inocentes! ¡Tú eres el verdadero inocente!"

Mientras tanto, RPKI observaba todo el caos y no podía evitar reírse: 
"Nunca más voy a confiar en estas direcciones traviesas. ¡Son más 
difíciles de rastrear que una ruta con ASNs descontrolados!" pensó 
mientras se ajustaba su sombrero de seguridad.

Y así, el mundo digital celebró ese Día de los Inocentes con risas, caos 
y un recordatorio muy importante: en el ciberespacio, las direcciones IP 
siempre tienen una sorpresa bajo la manga. ¡Nunca subestimes una IPv6 
disfrazada de IPv4!


¡Feliz día de los inocentes!

Más información sobre la lista de distribución LACNOG