RA-Guard en IPv6: qué es, cómo funciona y cómo proteger tu red frente a Router

Ingrid Espinoza
junio 29, 2026
5:05 am
No hay comentarios

IPv6 incorpora mecanismos de autoconfiguración que simplifican enormemente la puesta en marcha de redes modernas. Sin embargo, esta comodidad también introduce nuevos vectores de ataque que pueden comprometer la conectividad de los usuarios si no se implementan controles adecuados.

Uno de los más importantes está relacionado con los mensajes Router Advertisement (RA), utilizados por los routers IPv6 para anunciar información de red a los hosts. Si un dispositivo malicioso o mal configurado envía anuncios falsos, puede convertirse en la puerta de enlace predeterminada para los equipos conectados, provocando desde interrupciones de servicio hasta ataques Man-in-the-Middle.

Para evitarlo existe RA-Guard, una función de seguridad de capa 2 diseñada para controlar qué dispositivos tienen permiso para enviar Router Advertisements dentro de una red IPv6.

En esta guía aprenderás qué es RA-Guard, cómo funciona, cuándo implementarlo y cómo configurarlo en Cisco IOS-XE, JunOS y MikroTik RouterOS.

Al final del artículo encontrarás un pequeño test que te permitirá evaluar los conocimientos adquiridos en esta lectura

Ir al Test

¿Qué es RA-Guard en IPv6?

RA-Guard (Router Advertisement Guard) es una tecnología de seguridad que filtra mensajes Router Advertisement de IPv6 en los switches de acceso.

Su objetivo es impedir que equipos no autorizados envíen anuncios de router a otros dispositivos de la red.

RA-Guard forma parte del conjunto de mecanismos conocidos como IPv6 First Hop Security, cuyo propósito es proteger la comunicación entre los hosts y el primer salto de red.

El papel de Router Advertisement en IPv6

En IPv6, los routers envían periódicamente mensajes Router Advertisement utilizando ICMPv6.

Estos anuncios contienen información crítica como:

Prefijos IPv6 disponibles.
Puerta de enlace predeterminada.
Parámetros de SLAAC.
Configuraciones adicionales para los hosts.

Los dispositivos utilizan esta información para configurar automáticamente su conectividad.

Cómo funciona SLAAC

Stateless Address Autoconfiguration (SLAAC) permite que un equipo genere automáticamente su dirección IPv6 sin necesidad de un servidor DHCP.

El proceso es simple:

El host escucha Router Advertisements.
Obtiene el prefijo anunciado.
Genera su dirección IPv6.
Configura su gateway predeterminado.

Si los Router Advertisements son falsificados, el host confiará igualmente en ellos, lo que convierte este mecanismo en un objetivo atractivo para atacantes.

¿Por qué RA-Guard es importante para la seguridad IPv6?

Muchas organizaciones activan IPv6 sin aplicar controles de seguridad específicos.

En estas circunstancias, cualquier dispositivo conectado a la LAN podría enviar Router Advertisements fraudulentos.

Ataques mediante Router Advertisements falsos

Un atacante conectado a la red puede anunciarse como router legítimo.

Como resultado:

Los equipos redirigen tráfico al atacante.
Se producen ataques Man-in-the-Middle.
Los usuarios pierden conectividad.
El tráfico puede ser interceptado o manipulado.

El problema del Rogue Router

Un Rogue Router es cualquier dispositivo que envía anuncios RA sin autorización.

Algunos ejemplos frecuentes incluyen:

Routers domésticos conectados accidentalmente.
Laboratorios de pruebas olvidados en producción.
Máquinas virtuales con servicios IPv6 activos.
Equipos de red mal configurados.

RA-Guard está diseñado específicamente para evitar este tipo de situaciones.

¿Cómo funciona RA-Guard?

RA-Guard inspecciona los mensajes ICMPv6 Router Advertisement y decide si deben ser permitidos o bloqueados.

La decisión se basa normalmente en si el puerto está marcado como trusted o untrusted.

Puertos trusted y untrusted

La práctica habitual es:

Trusted

Uplinks.
Routers corporativos.
Infraestructura de red autorizada.

Untrusted

Puertos de usuarios.
PCs.
Impresoras.
Equipos invitados.
Dispositivos IoT.

Solo los puertos confiables pueden enviar Router Advertisements válidos.

Configuración de RA-Guard en Cisco IOS-XE

Cisco implementa RA-Guard como parte de IPv6 First Hop Security.

Crear una política RA-Guard

ipv6 nd raguard policy RA-GUARD-POLICY
 device-role router

Aplicar la política al puerto uplink

interface GigabitEthernet1/0/48
 description Uplink-Router
 ipv6 nd raguard attach-policy RA-GUARD-POLICY

Aplicar protección a puertos de acceso

interface range GigabitEthernet1/0/1-47
 switchport mode access
 ipv6 nd raguard

Explicación

La política define que únicamente los Router Advertisements provenientes del router autorizado serán aceptados.

Los puertos de usuario quedan protegidos frente a anuncios IPv6 no autorizados.

Verificación

show ipv6 nd raguard policy

show ipv6 nd raguard statistics

Estos comandos permiten validar que los paquetes RA ilegítimos están siendo descartados.

Configuración de RA-Guard en JunOS

Juniper integra estas funciones dentro de los mecanismos de protección IPv6 de capa 2.

Configuración básica

set ethernet-switching-options secure-access-port interface ge-0/0/10
set ethernet-switching-options secure-access-port interface ge-0/0/11
set ethernet-switching-options secure-access-port interface ge-0/0/12

Habilitar protección RA

set protocols router-advertisement interface ge-0/0/0.0

Aplicar filtro de protección

set firewall family ethernet-switching filter RA-GUARD term BLOCK-RA from next-header icmp6
set firewall family ethernet-switching filter RA-GUARD term BLOCK-RA from icmp-type router-advertisement
set firewall family ethernet-switching filter RA-GUARD term BLOCK-RA then discard

Asociar filtro a interfaces de acceso

set interfaces ge-0/0/10 unit 0 family ethernet-switching filter input RA-GUARD

Explicación

El filtro identifica mensajes ICMPv6 del tipo Router Advertisement y los descarta cuando proceden de puertos de acceso.

De esta forma los usuarios finales no pueden anunciar rutas IPv6.

Verificación

show firewall filter RA-GUARD

show interfaces extensive

Permiten comprobar el número de paquetes bloqueados.

Configuración de RA-Guard en MikroTik RouterOS

MikroTik no implementa RA-Guard exactamente igual que Cisco o Juniper.

La protección suele realizarse mediante Bridge Filters.

Bloquear Router Advertisements en puertos de acceso

/ipv6 firewall filter
add chain=forward protocol=icmpv6 icmp-options=134:0 action=drop comment="Block Rogue RA"

Protección mediante Bridge Filter

/interface bridge filter
add chain=forward mac-protocol=ipv6 ipv6-protocol=icmpv6 icmpv6-type=134 action=drop

Permitir únicamente el puerto uplink

/interface bridge filter
add chain=forward in-interface=ether1 mac-protocol=ipv6 ipv6-protocol=icmpv6 icmpv6-type=134 action=accept

Explicación

El tipo ICMPv6 134 corresponde a Router Advertisement.

La política permite únicamente los anuncios procedentes del puerto donde está conectado el router legítimo.

Todos los demás son descartados.

Verificación

/interface bridge filter print stats

/ipv6 firewall filter print stats

Los contadores permiten validar que el tráfico RA está siendo filtrado correctamente.

Buenas prácticas para desplegar RA-Guard

Identificar claramente los routers legítimos

Antes de habilitar RA-Guard es fundamental conocer exactamente qué dispositivos generan Router Advertisements válidos.

Mantener un inventario actualizado

Los cambios de topología suelen provocar problemas cuando se olvida actualizar las políticas de confianza.

Validar SLAAC después del despliegue

Tras aplicar RA-Guard:

Verifica que los hosts obtienen direcciones IPv6.
Comprueba la puerta de enlace predeterminada.
Confirma que los Router Advertisements legítimos siguen llegando.

Supervisar eventos de seguridad

Monitorizar estadísticas de bloqueo ayuda a detectar:

Routers no autorizados.
Equipos mal configurados.
Intentos de ataque internos.

Limitaciones de RA-Guard

Aunque es una medida muy eficaz, RA-Guard no debe considerarse una solución única.

Las mejores prácticas recomiendan combinarlo con:

DHCPv6 Guard.
IPv6 ACLs.
Port Security.
Segmentación mediante VLAN.
Monitorización de Neighbor Discovery.

La defensa en profundidad sigue siendo esencial en cualquier despliegue IPv6.

RA-Guard vs DHCPv6 Guard

Característica	RA-Guard	DHCPv6 Guard
Bloquea Router Advertisements	Sí	No
Bloquea servidores DHCPv6 falsos	No	Sí
Protege SLAAC	Sí	Parcialmente
Utiliza ICMPv6	Sí	No
First Hop Security	Sí	Sí

Ambas tecnologías son complementarias y suelen implementarse conjuntamente.

Conclusión

RA-Guard es una de las herramientas más importantes para proteger redes IPv6 frente a anuncios de router maliciosos o accidentales. Al controlar qué dispositivos pueden enviar Router Advertisements, reduce significativamente el riesgo de ataques Rogue Router y mejora la estabilidad de la red.

La implementación correcta en Cisco IOS-XE, JunOS o MikroTik RouterOS proporciona una capa adicional de seguridad que debería formar parte de cualquier estrategia moderna de IPv6 First Hop Security.