Redes privadas (RFC 1918): definición, direcciones IP, NAT y seguridad
Guía esencial sobre redes privadas (RFC1918): direcciones IP, NAT, seguridad y mejores prácticas para aislar y conectar recursos en LAN y proteger tu infraestructura.
En la terminología de Internet, una red privada suele ser una red que utiliza un espacio de direcciones IP privado, siguiendo la norma RFC 1918. A los ordenadores se les pueden asignar direcciones de este espacio de direcciones cuando es necesario que se comuniquen con otros dispositivos informáticos de una red Intranet (red informática privada interna que utiliza el Protocolo de Internet).
Las redes privadas son bastante comunes en los diseños de redes de área local (LAN) de hogares y oficinas, ya que muchas organizaciones no ven la necesidad de contar con direcciones IP únicas a nivel mundial para cada ordenador, impresora y otros dispositivos que las organizaciones utilizan. Las direcciones IP privadas se crearon debido a la escasez de direcciones IP registradas públicamente creadas por el estándar IPv4. Una de las razones por las que se creó IPv6 es para superar esta limitación del estándar IPv4. Sin embargo, IPv6 todavía no ha conseguido un uso generalizado.
Los routers de Internet deben estar configurados para descartar cualquier paquete que contenga direcciones IP privadas en la cabecera del paquete IP. Este aislamiento proporciona a las redes privadas una forma básica de seguridad, ya que normalmente no es posible que el mundo exterior establezca una conexión directamente con una máquina que utilice estas direcciones privadas. Como no se pueden establecer conexiones entre diferentes redes privadas a través de Internet, diferentes organizaciones pueden utilizar el mismo rango de direcciones privadas sin arriesgarse a sufrir conflictos de direcciones (accidentes de comunicación causados por llegar a un tercero utilizando la misma dirección IP).
Si un dispositivo de una red privada necesita comunicarse con otras redes, se necesita una "pasarela mediadora" (in-between gateway) para asegurar que la red exterior se presenta con una dirección "real" (o públicamente alcanzable) para que los routers de Internet permitan la comunicación. Esta pasarela suele ser un dispositivo NAT o un servidor proxy. Los routers públicos de Internet por defecto no reenviarán paquetes con direcciones RFC 1918. A diferencia de los routers públicos de Internet que necesitan una configuración adicional para reenviar estos paquetes, los routers internos no necesitan ninguna configuración adicional para reenviar estos paquetes.
Sin embargo, esto puede causar problemas cuando las organizaciones intentan conectar redes que utilizan los mismos espacios de direcciones privadas. Existe la posibilidad de que se produzcan choques y problemas de enrutamiento si ambas redes utilizan las mismas direcciones IP para sus redes privadas, o si ambas redes dependen de NAT para conectarse a través de Internet.
Direcciones reservadas por RFC 1918
RFC 1918 define tres bloques de direcciones que no se deben enrutar por la Internet pública. Estos rangos son ampliamente utilizados en redes locales:
- 10.0.0.0/8 — (10.0.0.0 a 10.255.255.255)
- 172.16.0.0/12 — (172.16.0.0 a 172.31.255.255)
- 192.168.0.0/16 — (192.168.0.0 a 192.168.255.255)
Además de estas, existen otros espacios reservados relacionados (por ejemplo, 100.64.0.0/10 usado para Carrier-Grade NAT según RFC 6598, y 169.254.0.0/16 para direcciones link-local/autoconfiguradas). Estas IP no deben ser anunciadas por routers en la Internet pública; los ISP y routers de borde normalmente las filtran.
Traducción de direcciones de red (NAT)
El NAT (Network Address Translation) es la técnica más común para permitir que dispositivos con direcciones privadas accedan a la Internet pública. Sus variantes más habituales son:
- SNAT / Source NAT: cambia la dirección IP de origen de los paquetes salientes por una dirección pública.
- DNAT / Destination NAT: traduce la dirección de destino de paquetes entrantes (se usa, por ejemplo, para port forwarding a servidores internos).
- PAT (Port Address Translation) o NAT sobrecargado: muchos hosts privados comparten una sola dirección pública mediante la asignación de diferentes números de puerto (esta es la modalidad usada por la mayoría de los routers domésticos).
Funciones relacionadas y comportamientos importantes:
- Establecimiento de conexiones: NAT mantiene tablas de traducción; conexiones iniciadas desde el exterior suelen necesitar reglas de DNAT o port forwarding.
- Hairpinning (o NAT loopback): permite que clientes internos accedan a recursos internos usando la dirección pública del servicio.
- Limitaciones: NAT rompe la transparencia de direcciones IP, complica el rastreo end-to-end y puede interferir con protocolos que incluyen direcciones en la carga útil (p. ej. FTP antiguo) sin traducción a nivel de aplicación.
Seguridad y aislamiento
El simple hecho de usar direcciones privadas proporciona una barrera pasiva frente a accesos directos desde la Internet pública, pero no es una solución completa de seguridad. Recomendaciones generales:
- No confiar únicamente en RFC 1918 como medida de protección; complementar con firewalls, listas de control de acceso (ACL), segmentación de red y políticas de autenticación.
- Minimizar el port forwarding público; abrir sólo los puertos necesarios y aplicar reglas por IP origen cuando sea posible.
- Usar VPNs, autenticación fuerte (2FA) y túneles cifrados para acceso remoto o conectividad entre sedes.
- Monitorear registros y aplicar detección de intrusiones para identificar tráfico anómalo que intente explotar puertas abiertas.
- Actualizar firmware y sistemas para corregir vulnerabilidades que podrían permitir a un atacante saltarse el aislamiento aportado por RFC 1918.
Problemas al conectar redes privadas y soluciones
Cuando se interconectan dos redes privadas (por ejemplo, dos oficinas que crean una VPN), surgen problemas si los espacios de direcciones se solapan. Las soluciones habituales son:
- Renumeración: cambiar subredes para evitar solapamientos; es la solución más limpia pero puede ser costosa operacionalmente.
- NAT entre sitios (NAT-to-NAT): aplicar reglas de traducción en uno o ambos extremos para mapear rangos solapados a direcciones no solapadas.
- VPN con traducción: algunas soluciones VPN soportan traducción de prefijos (policy-based NAT) para resolver conflictos sin renumerar.
- Uso de subinterfaces o supernetting: planificación de direccionamiento con espacios suficientemente amplios para evitar choque futuro.
- Despliegue de IPv6: migrar a IPv6 elimina la necesidad de NAT por escasez de direcciones y facilita el enrutamiento end-to-end, aunque la transición requiere planificación.
Buenas prácticas y recomendaciones
- Planificar el esquema de direccionamiento desde el inicio: asignar bloques por sede, VLAN o propósito para evitar conflictos.
- Documentar las subredes y publicar mapas de direccionamiento dentro de la organización.
- Usar bloques RFC 1918 de forma coherente: por ejemplo, reservar 10.0.0.0/8 para infraestructuras internas, 172.16/12 para oficinas grandes, 192.168/16 para redes pequeñas o domésticas.
- Evitar usar rangos aleatorios si la red necesita conectividad con terceros; preferir rangos coordinados o IPv6.
- Probar escenarios de interconexión (VPN, cloud, remote access) antes de desplegar a producción para detectar solapamientos y problemas de NAT.
IPv6 y el futuro
IPv6 ofrece un espacio de direcciones casi ilimitado y restaura la posibilidad de comunicaciones end-to-end sin necesidad de NAT. A pesar de sus ventajas, la adopción completa es gradual y convive con IPv4 y NAT en entornos mixtos. Para organizaciones que deseen reducir la complejidad asociada a NAT y solapamientos de direccionamiento, planificar una transición a IPv6 o implementar dual-stack controlado es una buena estrategia.
En resumen, las redes privadas (RFC 1918) son una herramienta fundamental para el diseño de redes modernas; ofrecen aislamiento práctico y alivian la escasez de direcciones IPv4, pero requieren planificación, buenas prácticas de seguridad y mecanismos (NAT, VPN, renumeración) para resolver problemas cuando se interconectan múltiples dominios de red.
Direcciones privadas de la Autoridad de Números Asignados de Internet (IANA)
La Autoridad de Asignación de Números de Internet (IANA) es la entidad que gestiona la asignación global de direcciones IP, la gestión de la zona raíz del DNS, los tipos de medios y otras asignaciones del protocolo de Internet. Está gestionada por la ICANN.
Para alguien familiarizado con los límites del direccionamiento de clase, es importante tener en cuenta que aunque el rango RFC 1918 de 172.16.0.0-172.31.255.255 cae en el rango tradicional de clase B, el bloque de direcciones reservado no es un /16, sino un /12. Lo mismo ocurre con el rango de 192.168.0.0-192.168.255.255; este bloque no es un /24, sino un /16. Sin embargo, alguien puede (y muchas personas suelen hacerlo) utilizar direcciones de estos bloques CIDR y aplicar una máscara de subred apropiada para el límite de clase tradicional de la dirección.
Las direcciones de Internet privadas (también llamadas no enrutables) actuales de la IANA son:
| Nombre | Rango de direcciones IP | número de direcciones | descripción de la clase | bloque CIDR más grande | definido en |
| Bloque de 24 bits | 10.0.0.0 - 10.255.255.255 | 16,777,216 | una clase A, 256 clases B contiguas | 10.0.0.0/8 | RFC 1597 (obsoleto), RFC 1918 |
| Bloque de 20 bits | 172.16.0.0 - 172.31.255.255 | 1,048,576 | 16 clases B contiguas | 172.16.0.0/12 | |
| Bloque de 16 bits | 192.168.0.0 - 192.168.255.255 | 65,536 | una clase B, 256 clases C contiguas | 192.168.0.0/16 |
Para reducir la carga de los servidores de nombre raíz causada por las búsquedas inversas de DNS de estas direcciones IP, la red anycast AS112 proporciona un sistema de servidores de nombre de "agujero negro".
Páginas relacionadas
- Conjunto de protocolos de Internet
- Protocolo de comunicaciones
Preguntas y respuestas
P: ¿Qué es una red privada?
R: Una red privada es una red informática que utiliza un espacio de direcciones IP privado, siguiendo la norma RFC 1918. Suele utilizarse para redes internas de una organización o redes de área local (LAN) domésticas y de oficina.
P: ¿Cuál fue el motivo de la creación de las direcciones IP privadas?
R: Las direcciones IP privadas se crearon debido a la escasez de direcciones IP registradas públicamente creadas por la norma IPv4. Una de las razones por las que se creó IPv6 es para superar esta limitación del estándar IPv4.
P: ¿Cómo aporta el aislamiento seguridad a las redes privadas?
R: El aislamiento proporciona a las redes privadas una forma básica de seguridad, ya que normalmente no es posible que dispositivos externos establezcan una conexión directa con máquinas que utilicen estas direcciones privadas. Los routers en Internet deben configurarse para descartar cualquier paquete que contenga estas direcciones con el fin de proporcionar esta protección.
P: ¿Cómo pueden distintas organizaciones utilizar el mismo rango de direcciones privadas sin arriesgarse a conflictos de direcciones?
R: Como no se pueden establecer conexiones entre diferentes redes privadas a través de Internet, diferentes organizaciones pueden utilizar el mismo rango de direcciones privadas sin arriesgarse a sufrir conflictos de direcciones (accidentes en las comunicaciones causados por llegar a un tercero utilizando la misma dirección IP).
P: ¿Qué tipo de dispositivo se necesita si un dispositivo de una red privada necesita comunicarse con otras redes?
R: Si un dispositivo de una red privada necesita comunicarse con otras redes, se necesita una "pasarela mediadora" (puerta de enlace intermedia) para garantizar que a los dispositivos externos se les presenta una dirección accesible públicamente para que los routers de Internet permitan la comunicación. Esta pasarela suele ser un dispositivo NAT o un servidor proxy.
P: ¿Necesitan los routers públicos de Internet una configuración adicional para reenviar paquetes con direcciones RFC 1918?
R: Los enrutadores públicos de Internet por defecto no reenviarán paquetes con direcciones RFC 1918 y requieren una configuración adicional para que lo hagan. Los routers internos, sin embargo, no necesitan ninguna configuración adicional para reenviar estos paquetes, lo que puede causar problemas cuando se conectan dos redes separadas que utilizan esquemas de direccionamiento IP similares.
Buscar dentro de la enciclopedia