Seguridad en IPv6

2,545 views

Published on

El mundo se dirige a un cambio que tendrá efectos importantes en cómo se comunican las personas y las empresas: el inminente cambio del protocolo IPv4 por el IPv6. Entre muchas otras cosas, esta migración tendrá efectos profundos en todos los negocios que se realizan a través de Internet. Sin embargo, este cambio no será transparente ni automático sino que implicará importantes riesgos de seguridad para las empresas. Conozca los principales puntos a considerar al momento de realizar una migración a IPv6 para evitar riesgos en la operación del negocio.

Published in: Technology
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
2,545
On SlideShare
0
From Embeds
0
Number of Embeds
101
Actions
Shares
0
Downloads
97
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Seguridad en IPv6

  1. 1. Seguridad en IPv6:Los riesgos que las empresas deben considerarGabriel MarcosMarketing Specialist Datacenter & Security – Level3 Colombiagabriel.marcos@globalcrossing.comTwitter: @jarvel Level 3 Communications, LLC. All Rights Reserved. 1
  2. 2. Acerca de la presentación• Esta presentación posee contenido desarrollado originalmente para elForo de Tecnología y Negocios de Global Crossing (ahora Level3) que serealizó en Bogotá en Julio 2011.• Para más información visite:http://latamnews.globalcrossing.com/2011/07/col-foro/calendario/calendario.html Level 3 Communications, LLC. All Rights Reserved. 2
  3. 3. 1. INTRODUCCIÓN A IPV6 Level 3 Communications, LLC. All Rights Reserved. 3
  4. 4. Comunicándonos en Internet: direcciones IP • Cada dispositivo conectado a Internet posee una “dirección IP” que lo identifica. Ejemplo: 195.87.15.28. • De forma transparente para el usuario, la comunicación entre todos los dispositivos conectados a Internet se realiza a través de estos números. • Podemos llamar “nodo” a cualquier dispositivo que tiene una dirección IP asignada. Internet Dirección IP “A” Dirección IP “B”4 Level 3 Communications, LLC. All Rights Reserved. 4
  5. 5. Las direcciones IP no son infinitas• Las direcciones que utilizamos actualmentecorresponden a la versión 4 del protocolo IP (IPv4).• El espacio de direccionamiento es de 4.294.967.296direcciones únicas (es decir: 2^32 direcciones).• Sin embargo, la cantidad de direcciones IPsrealmente utilizables es menor: • Existen direcciones IP reservadas • Hay mucho desperdicio en la asignación de las direcciones IP • Históricamente se ha realizado un uso poco óptimo del direccionamiento Level 3 Communications, LLC. All Rights Reserved. 5
  6. 6. Las direcciones IP ya se acabaron!http://www.nro.net/news/ipv4-free-pool-depleted Level 3 Communications, LLC. All Rights Reserved. 6
  7. 7. Por qué necesitamos más direcciones IP? • Evolución (“nivel de madurez”) de los países ya conectados a Internet. • Conexión de nuevas ciudades y personas. • Soporte de nuevos dispositivos (“nodos”) conectados a Internet. • Implementación de nuevas tecnologías y servicios • Proyectos futuristas, como por ejemplo… The Internet of Things! Level 3 Communications, LLC. All Rights Reserved. 7
  8. 8. The Internet of Thingshttp://en.wikipedia.org/wiki/File:Internet_of_Things.png Level 3 Communications, LLC. All Rights Reserved. 8
  9. 9. Qué es IPv6 y por qué es importante? • El protocolo IPv6 es el reemplazo natural al IPv4 y está internacionalmente aceptado como la solución al problema de la falta de direcciones IP. • El espacio de direccionamiento en IPv6 es de 2^128, aunque IPv6 es mucho más que una mayor cantidad de direcciones IP…http://www.fortiguard.com/sites/default/files/SecuringIPv6Networks.pdf Level 3 Communications, LLC. All Rights Reserved. 9
  10. 10. Impacto de IPv6 en una infraestructura de TI • Servidores • Computadores • Aplicaciones • Sistemas operativos • Routers • Switches • Firewalls • Internet • Redes privadas • VPNs • Etcétera… Level 3 Communications, LLC. All Rights Reserved. 10
  11. 11. Primeras conclusiones• IPv4 no puede proveer la cantidad de direcciones IP que elcrecimiento de Internet requiere.• IPv6 es una solución efectiva y probada que puede aportardirecciones IP “para siempre”.• La migración a IPv6 es una cuestión del “presente”.• La migración a IPv6 no es transparente.• Todo el mundo se verá impactado por este cambio! Level 3 Communications, LLC. All Rights Reserved. 11
  12. 12. 2. RIESGOS A CONSIDERAR EN IPV6 Level 3 Communications, LLC. All Rights Reserved. 12
  13. 13. Por qué considerar riesgos en IPv6 ahora?• El conocimiento se construye con tiempo: la implementación de IPv6abre las posibilidades a nuevos tipos y técnicas de ataque.• La planificación es la clave del éxito: la implementación de IPv6 no esun tema exclusivamente de “networking”, también tiene impacto a nivelde los servidores, las aplicaciones y los dispositivos de seguridad.• Las migraciones y las configuraciones mixtas son especialmenteatractivas para los atacantes: el grado de exposición aumenta durante laetapa de transición (de hecho, al día de hoy nadie puede asegurar cuándose va a terminar!).Predicción: Ud. va a implementar IPv6 antes de lo que cree (oquiere)… como mínimo, para ser compatible con el resto del mundo! Level 3 Communications, LLC. All Rights Reserved. 13
  14. 14. Tome nota de esto! (lo va a recordar más adelante) 1. IPSec en IPv6 2. NAT en IPv6 3. Análisis de vulnerabilidades en IPv6 4. Stateless auto-configuration 5. DNS en IPv6 6. Multicast en IPv6 7. Ping en IPv6 8. Mobile IPv6 9. Madurez 10. Cosas que NO cambian Level 3 Communications, LLC. All Rights Reserved. 14
  15. 15. 1 IPSec en IPv6 VPN “Site-to-Site” VPNs Internet conIPSec en IPv4 VPN “Client-to-Site” Internet VPNs“Host-to-Host” conIPSec en IPv6 VPN “Host-to-Host” Level 3 Communications, LLC. All Rights Reserved. 15
  16. 16. 1 IPSec en IPv6 • Implementado de forma nativa, host-to-host (en lugar de “peer-to- peer” como es acostumbrado en IPv4). • Recomendación: implementación mandatoria… pero en la realidad no es una limitación. • Authentication extension header: protección para garantizar integridad y no repudiación. • Encapsulting Security Paylod extension header: confidencialidad, integridad y anti-replay. Los problemas potenciales de IPSec en IPv6 son los mismosque en IPv4; además, no se puede garantizar su implementación como mecanismo end-to-end en cualquier escenario Level 3 Communications, LLC. All Rights Reserved. 16
  17. 17. 2 NAT en IPv6 Qué es NAT (Network Address Translation)? InternetDirecciones IP Direcciones IP privadas públicas NAT Muchas Pocas Level 3 Communications, LLC. All Rights Reserved. 17
  18. 18. 2 NAT en IPv6 Mito: “como las direcciones IP bajo IPv6 nunca se van a acabar, no será necesario el uso de NAT” Realidad: • Está comprobado que el uso de NATs se incrementa a partir de IPv6 por la convivencia con IPv4 (“redes legacy”) • Nuevos tipos de NAT:  Carrier Grade NATs  NAT64 La utilización de NAT sobre IPv6 es una de las barreras más importantes a la masificación de IPSec, entre otras (complejidad, inversión/soporte, etc.) Level 3 Communications, LLC. All Rights Reserved. 18
  19. 19. 3 Análisis de vulnerabilidades (bajo IPv6) El tamaño importa…: no es lo mismo realizar un análisis de vulnerabilidades sobre un espacio de direccionamiento de 2^32 (IPv4) que sobre 2^128 (IPv6). …pero no es lo mismo cantidad que calidad: • Un espacio de direccionamiento tan grande es un desafío también para los administradores en las empresas. • Las primeras estadísticas sugieren que hay una tendencia a utilizar esquemas de numeración predecibles (punto para los atacantes!) • Hecha la ley, hecha la trampa… por ejemplo, nuevas técnicas de information gathering basadas en MAC address. Como de costumbre, no es la tecnología sino el uso que se le da lo que determina el nivel de exposición y riesgo Level 3 Communications, LLC. All Rights Reserved. 19
  20. 20. 4 Stateless auto-configuration Adiós al DHCP!: en IPv6 ya no es necesario utilizar un servidor DHCP ni configurar manualmente las direcciones IP. Menos intermediarios siempre es una buena noticia: no es necesario el uso de proxies, especialmente útil en aplicaciones como videoconferencia y telefonía IP. Antes de festejar, primero tengamos en cuenta que… Ya existen tool-kits de ataques para aprovechar vulnerabilidades de estos nuevos features. Es esperable que a medida que se comience a difundir más la utilización de IPv6, las vulnerabilidades en el protocolo se conviertan en objetivos de ataque Level 3 Communications, LLC. All Rights Reserved. 20
  21. 21. 5 DNS en IPv6 DNS externo www.level3.com x.x.x.x www.level3.com Internet DNS interno www.intranet.corp x.x.x.x Level 3 Communications, LLC. All Rights Reserved. 21
  22. 22. 5 DNS en IPv6 Larga vida a los DNS: para propósitos de administración, es esperable que los DNS internos contengan la información de todos los hosts de la red (al menos las de los más importantes… sí, justo los que los atacantes necesitan!) Los servidores DNS como objetivo de ataque: • Para qué recorrer toda la red cuando todo está en los DNS? • Atajo para el problema de la cantidad de direcciones • Se convierte en un problema de seguridad del software La implementación de IPv6 refuerza la necesidad de seguridad interna, quizás el problema menos explorado por las organizaciones… Level 3 Communications, LLC. All Rights Reserved. 22
  23. 23. 6 Multicast en IPv6 Local multicast: direcciones especiales que permiten identificar grupos de hosts (servidores, routers, switches, etc.) Un mundo de posibilidades: • Una dirección = acceso a todo el grupo! • Generación de ataques tradicionales:  Denial of service (DoS)  Port scanning Seguridad interna, filtrado y personalización de los dispositivos de networking y seguridad se vuelven imprescindibles para utilizar features avanzados Level 3 Communications, LLC. All Rights Reserved. 23
  24. 24. 7 Ping en IPv6 ICMPv6 y Neighbor discovery: extensión de la funcionalidad del ICMP como “reemplazo” del ARP y del DHCP. La buena noticia es… que como Neighbor discovery es susceptible a muchas vulnerabilidades, existe un protocolo “Secure Neighbor discovery” (SEND) que corrije muchas de ellas, por ejemplo a través de Cryptographically Generated Addresses (CGAs). La mala noticia es… que el soporte para SEND es muy limitado, tanto en dispositivos de networking como a nivel de sistema operativo (si, justo ese en el que ud. está pensando!) Level 3 Communications, LLC. All Rights Reserved. 24
  25. 25. 8 Mobile IPv6 Verdaderamente en “la nube”: cualquier nodo en IPv6 puede cambiar de red manteniendo todas sus conexiones (TCP / UDP) activas, es decir sin interrupción de servicios. Sin embargo… • La seguridad de la utilización de este mecanismo radica (a nivel del protocolo) en la utilización de IPSec sobre IPv6 • Sin embargo, como ya mencionamos, el uso de IPSec es opcional • Esto abre las puertas a que un atacante redireccione el tráfico de un nodo a cualquier red de su preferencia! Excelente ejemplo de cómo una característica potencialmente muy beneficiosa (“Always On”) puede resultar en un riesgo no justificable. Level 3 Communications, LLC. All Rights Reserved. 25
  26. 26. 9 Madurez El código y los protocolos no son tan maduros como las implementaciones de IPv4: • Esto es normal en el software (desde los sistemas operativos de los smartphones hasta los routers), y los atacantes están dispuestos a aprovecharlo! La única forma de ganar madurez es con experiencia: • A mayor número de implementaciones, más se afinarán el código y los protocolos. • Algunas características quedarán en el camino para ser mejoradas en el futuro (ejemplo: registros A6) Sería esperable que alcanzada la madurez de IPv6, el nivel de riesgo sea equiparable al actual sobre IPv4… pero cómo llegaremos a eso? 26 Level 3 Communications, LLC. All Rights Reserved. 26
  27. 27. 10 Cosas que NO cambianEn IPv4, los ataques a nivel de aplicaciónsuperan por mucho a los ataques a nivel dered:algo así como un 99% a 1%...Los mismos ataques a nivel de aplicaciónque son válidos en IPv4 lo serán en IPv6. Symantec Corp., Internet Security Threat Report, Vol. 16. 27 Level 3 Communications, LLC. All Rights Reserved. 27
  28. 28. 3. AMBIENTES COMPARTIDOSIPV4 / IPV6 Level 3 Communications, LLC. All Rights Reserved. 28
  29. 29. Ambientes compartidos IPv4 / IPv6 IPv6 Basics Enterprise Tony Hain WAN: 6to4, IPv6 Cisco Systems © 2002, Cisco Systems, Inc. over IPv4, Dual Stack All rights reserved. 6to4 Relay Cable Dual Stack Aggregation IPv6 over IPv4 tunnels or Dedicated data link layers IPv6 over IPv4 Tunnels Residential 6BoneDSL, Dual Stack or MPLS & 6PE IPv6 over IPv4 tunnelsFTTH, or Dual stackDial IPv6 over IPv4 tunnels or Dedicated data link layers ISP’s ISATAP Telecommuter IPv6 IX Enterprise 29 Level 3 Communications, LLC. All Rights Reserved. 29
  30. 30. Ambientes compartidos IPv4 / IPv6 Lo más difícil es la convivencia! Todas las técnicas (+15) de transición, convivencia e interacción de redes IPv4 / IPv6 son vulnerables a ataques. Principales herramientas: • Túneles automáticos (ISATAP, 6to4, Teredo) • Traslación (NAT64) Los atacantes ya se están entrenando… Nro. 4 en el TOP 5 de downloads (y subiendo en los charts): THC-IPv6 Attack Toolkit v1.6 http://thc.org/download.php?t=r&f=thc-ipv6-1.6.tar.gz30 Level 3 Communications, LLC. All Rights Reserved. 30
  31. 31. 4. CONCLUSIONES Level 3 Communications, LLC. All Rights Reserved. 31
  32. 32. Conclusiones (I)Cuándo conviene comenzar a investigar e implementar IPv6? Ahora!Qué tan importante es la seguridad de la información en IPv6? Muy importante, al igual que en IPv4.Alcanza el conocimiento en IPv4 para implementar IPv6? Es necesario desarrollar conocimiento y experiencia en IPv6.Implementar IPv6 es tan sencillo como hacer un upgrade a la red? NO! Requiere de una cuidadosa planificación…Comprar buen hardware y software que soporte IPv6 resuelve todos los problemas? Mmh… esto me parece haberlo escuchado antes… 32 Level 3 Communications, LLC. All Rights Reserved. 32
  33. 33. Conclusiones (II)La implementación de IPv6 es la oportunidad de “empezar de cero” y reconstruir nuestrasredes considerando la seguridadde la información desde el inicio. Estamos preparados ymotivados para hacerlo? Symantec Corp., Internet Security Threat Report, Vol. 16. 33 Level 3 Communications, LLC. All Rights Reserved. 33
  34. 34. Fuentes de información recomendadas http://portalipv6.lacnic.net/es/noticias/novedades/lanzamiento-del- libro-ipv6-para-todos http://www.gont.com.ar/ipv6/index.html http://lacnic.net/sp/ http://www.level3.com/en/resource-library/ http://www.fortiguard.com/sites/default/files/SecuringIPv6Networks.pdf IPv6 Essentials (By Silvia Hagen) OReilly - May 200634 Level 3 Communications, LLC. All Rights Reserved. 34
  35. 35. Otras fuentes de información http://technet.microsoft.com/en-us/library/bb726956.aspx http://ipv6.com/articles/security/IPsec.htm http://en.wikipedia.org/wiki/Carrier-grade_NAT http://searchsecurity.techtarget.com/tip/IPv6-myths-Debunking- misconceptions-regarding-IPv6-security-features http://www.thc.org/papers/vh_thc-ipv6_attack.pdf http://www.ipv6.org35 Level 3 Communications, LLC. All Rights Reserved. 35
  36. 36. Gabriel MarcosMarketing Specialist Datacenter & Security – Level3 ColombiaCorreo: gabriel.marcos@globalcrossing.comTwitter: @jarvel MUCHAS GRACIAS! Level 3 Communications, LLC. All Rights Reserved. 36

×