En las redes de Internet , una red privada es una red informática que utiliza un espacio de direcciones IP privado . Estas direcciones se utilizan habitualmente para redes de área local (LAN) en entornos residenciales, de oficina y empresariales. Tanto las especificaciones IPv4 como las IPv6 definen rangos de direcciones IP privadas . [1] [2]
La mayoría de los proveedores de servicios de Internet (ISP) asignan una única dirección IPv4 enrutable públicamente a cada cliente residencial, pero muchos hogares tienen más de una computadora , teléfono inteligente u otro dispositivo conectado a Internet. En esta situación, generalmente se utiliza una puerta de enlace de traductor de direcciones de red (NAT/PAT) para proporcionar conectividad a Internet a varios hosts. Las direcciones privadas también se utilizan comúnmente en redes corporativas que, por razones de seguridad, no están conectadas directamente a Internet . A menudo, se utiliza un proxy , una puerta de enlace SOCKS o dispositivos similares para proporcionar acceso restringido a Internet a los usuarios internos de la red.
Las direcciones de red privadas no se asignan a ninguna organización específica. Cualquiera puede utilizar estas direcciones sin la aprobación de los registros de Internet regionales o locales . Los espacios de direcciones IP privadas se definieron originalmente para ayudar a retrasar el agotamiento de las direcciones IPv4 . Los paquetes IP que se originan desde una dirección IP privada o se dirigen a ella no se pueden enrutar a través de Internet público.
Las direcciones privadas suelen considerarse una mejora en la seguridad de la red interna, ya que el uso de direcciones privadas internamente dificulta que un host externo inicie una conexión a un sistema interno.
El Grupo de Trabajo de Ingeniería de Internet (IETF) ha ordenado a la Autoridad de Números Asignados de Internet (IANA) que reserve los siguientes rangos de direcciones IPv4 para redes privadas: [1] : 4
En la práctica, es común subdividir estos rangos en subredes más pequeñas .
En abril de 2012, la IANA asignó el bloque 100.64.0.0/10 de direcciones IPv4 específicamente para su uso en escenarios NAT de nivel de operador . [4]
Este bloque de direcciones no debe utilizarse en redes privadas ni en la Internet pública. El tamaño del bloque de direcciones se seleccionó para que fuera lo suficientemente grande como para numerar de forma única todos los dispositivos de acceso de los clientes para todos los puntos de presencia de un único operador en una gran área metropolitana como Tokio . [4]
El concepto de redes privadas se ha ampliado en la próxima generación del Protocolo de Internet , IPv6 , y se reservan bloques de direcciones especiales.
El bloque de direcciones fc00:: / 7 está reservado por la IANA para direcciones locales únicas (ULA). [2] Son direcciones de unidifusión , pero contienen un número aleatorio de 40 bits en el prefijo de enrutamiento para evitar colisiones cuando se interconectan dos redes privadas. A pesar de su uso inherentemente local , el alcance de las direcciones IPv6 locales únicas es global.
El primer bloque definido es fd00:: / 8 , diseñado para bloques de enrutamiento / 48 , en los que los usuarios pueden crear múltiples subredes, según sea necesario.
Ejemplos:
Un estándar anterior proponía el uso de direcciones locales del sitio en el bloque fec0:: / 10 , pero debido a preocupaciones de escalabilidad y una definición deficiente de lo que constituye un sitio , su uso ha quedado obsoleto desde septiembre de 2004. [5]
Otro tipo de red privada utiliza el rango de direcciones locales de enlace. La validez de las direcciones locales de enlace está limitada a un único enlace; por ejemplo, a todos los ordenadores conectados a un conmutador o a una red inalámbrica . Los hosts de distintos lados de un puente de red también están en el mismo enlace, mientras que los hosts de distintos lados de un enrutador de red están en enlaces diferentes.
En IPv4 , la utilidad de las direcciones locales de enlace está en redes de configuración cero cuando los servicios del Protocolo de configuración dinámica de host (DHCP) no están disponibles y no es deseable la configuración manual por parte de un administrador de red. El bloque 169.254.0.0 / 16 se asignó para este propósito. [6] [7] Si un host en una red IEEE 802 ( Ethernet ) no puede obtener una dirección de red a través de DHCP, se puede asignar una dirección de 169.254.1.0 a 169.254.254.255 [Nota 2] de forma pseudoaleatoria . El estándar prescribe que las colisiones de direcciones deben manejarse con elegancia.
En IPv6 , el bloque fe80:: / 10 está reservado para la autoconfiguración de direcciones IP. [8] La implementación de estas direcciones locales de enlace es obligatoria, ya que varias funciones del protocolo IPv6 dependen de ellas. [9]
Un caso especial de direcciones locales de enlace privadas es la interfaz de bucle invertido . Estas direcciones son privadas y locales de enlace por definición, ya que los paquetes nunca salen del dispositivo host.
IPv4 reserva todo el bloque de direcciones de clase A 127.0.0.0 / 8 para su uso como direcciones de bucle invertido privado. IPv6 reserva la dirección única ::1 .
Es común que los paquetes que se originan en espacios de direcciones privadas se enruten incorrectamente hacia Internet. Las redes privadas a menudo no configuran correctamente los servicios DNS para las direcciones que se usan internamente e intentan realizar búsquedas DNS inversas para estas direcciones, lo que genera tráfico adicional hacia los servidores de nombres raíz de Internet . El proyecto AS112 intentó mitigar esta carga al proporcionar servidores de nombres anycast de agujero negro especiales para rangos de direcciones privadas que solo devuelven códigos de resultado negativos ( no encontrado ) para estas consultas.
Los enrutadores de borde de las organizaciones suelen estar configurados para descartar el tráfico IP de entrada a estas redes, lo que puede ocurrir por una configuración incorrecta o por tráfico malicioso que utiliza una dirección de origen falsificada. Con menos frecuencia, los enrutadores de borde de los ISP descartan dicho tráfico de salida de los clientes, lo que reduce el impacto en Internet de dichos hosts mal configurados o maliciosos en la red del cliente.
Dado que el espacio de direcciones IPv4 privadas es relativamente pequeño, muchas redes IPv4 privadas utilizan inevitablemente los mismos rangos de direcciones. Esto puede crear un problema al fusionar dichas redes, ya que algunas direcciones pueden estar duplicadas para varios dispositivos. En este caso, se deben volver a numerar las redes o los hosts, una tarea que suele llevar mucho tiempo, o se debe colocar un traductor de direcciones de red entre las redes para traducir o enmascarar uno de los rangos de direcciones.
IPv6 define direcciones locales únicas [2], lo que proporciona un espacio de direcciones privadas muy grande del cual cada organización puede asignar aleatoria o pseudoaleatoriamente un prefijo de 40 bits, cada uno de los cuales permite 65536 subredes organizacionales. Con espacio para aproximadamente un billón (10 12 ) de prefijos, es poco probable que dos prefijos de red en uso por diferentes organizaciones sean el mismo, siempre que cada uno de ellos se haya seleccionado aleatoriamente, como se especifica en el estándar. Por lo tanto, cuando dos de estas redes privadas IPv6 se conectan o fusionan, el riesgo de un conflicto de direcciones es prácticamente nulo.