Seguridad en IPv6: los riesgos que las empresas deben considerar

1,529
-1

Published on

Seguridad en IPv6: los riesgos que las empresas deben considerar
Presentación para el foro de Global Crossing en Colombia (Julio 2011)

Published in: Technology
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total Views
1,529
On Slideshare
0
From Embeds
0
Number of Embeds
1
Actions
Shares
0
Downloads
0
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Seguridad en IPv6: los riesgos que las empresas deben considerar

  1. 1. Seguridad en IPv6:Los riesgosquelasempresasdebenconsiderar<br />Gabriel Marcos – Marketing SpecialistDatacenter & Security<br />
  2. 2. Porquéconsiderarriesgos en IPv6 ahora?<br /><ul><li>El conocimiento se construye con tiempo: la implementación de IPv6 abrelasposibilidades a nuevostipos y técnicas de ataque.
  3. 3. La planificaciónes la clave del éxito: la implementación de IPv6 no es un temaexclusivamente de “networking”, tambiéntieneimpacto a nivel de los servidores, lasaplicaciones y los dispositivos de seguridad.
  4. 4. Las migraciones y lasconfiguracionesmixtas son especialmenteatractivaspara los atacantes: el grado de exposiciónaumentadurante la etapa de transición (de hecho, al día de hoynadiepuedeasegurarcuándo se va a terminar!). </li></ul>Predicción: Ud. va a implementar IPv6 antes de lo quecree (o quiere)… comomínimo, paraser compatible con el resto del mundo!<br />2<br />© 2010 Global Crossing<br />
  5. 5. 1. Algunasconsideraciones<br />
  6. 6. Tome nota de esto! (la va a recordarmásadelante)<br /> IPSec en IPv6<br /> NAT en IPv6<br />Análisis de vulnerabilidades en IPv6<br /> Stateless auto-configuration<br /> DNS en IPv6<br /> Multicast en IPv6<br /> Ping en IPv6<br /> Mobile IPv6<br />Madurez<br />Cosasque NO cambian<br />4<br />© 2010 Global Crossing<br />
  7. 7. 1<br />IPSec en IPv6<br /><ul><li>Implementado de forma nativa, host-to-host (en lugar de “peer-to-peer” comoesacostumbrado en IPv4).
  8. 8. Recomendación: implementaciónmandatoria… pero en la realidad no esunalimitación.
  9. 9. Authentication extension header: protecciónparagarantizarintegridad y no repudiación.
  10. 10. Encapsulting Security Paylod extension header: confidencialidad, integridad y anti-replay.</li></ul> Los problemas potenciales de IPSec en IPv6 son los mismos que en IPv4; además, no se puede garantizar su implementación como mecanismo end-to-end en cualquier escenario<br />5<br />© 2010 Global Crossing<br />
  11. 11. Mito: “comolasdirecciones IP bajo IPv6 nunca se van a acabar, no seránecesario el uso de NAT”<br />Realidad:<br /><ul><li>Estácomprobadoque el uso de NATs se incrementa a partir de IPv6 por la convivencia con IPv4 (“redes legacy”)
  12. 12. Nuevostipos de NAT:</li></ul>Carrier Grade NATs<br />NAT64<br />2<br />NAT en IPv6<br /> La utilización de NAT sobre IPv6 es una de las barreras más importantes a la masificación de IPSec, entre otras (complejidad, inversión/soporte, etc.)<br />6<br />© 2010 Global Crossing<br />
  13. 13. El tamañoimporta…: no es lo mismorealizar un análisis de vulnerabilidadessobre un espacio de direccionamiento de 2^32 (IPv4) quesobre 2^128 (IPv6).<br />…pero no es lo mismocantidadquecalidad:<br /><ul><li>Un espacio de direccionamiento tan grandees un desafíotambiénpara los administradores en lasempresas.
  14. 14. Las primerasestadísticassugierenque hay unatendencia a utilizaresquemas de numeraciónpredecibles (puntopara los atacantes!)
  15. 15. Hecha la ley, hecha la trampa… porejemplo, nuevastécnicas de information gathering basadas en MAC address.</li></ul>3<br />Análisis de vulnerabilidades (bajo IPv6)<br /> Como de costumbre, no es la tecnología sino el uso que se le da lo que determina el nivel de exposición y riesgo<br />7<br />© 2010 Global Crossing<br />
  16. 16. Adiósal DHCP!: en IPv6 ya no esnecesarioutilizar un servidor DHCP niconfigurarmanualmentelasdirecciones IP.<br />Menosintermediariossiempreesunabuenanoticia: no esnecesario el uso de proxies, especialmenteútil en aplicacionescomovideoconferencia y telefonía IP.<br />Antes de festejar, primerotengamos en cuentaque…<br />Yaexisten tool-kits de ataquesparaaprovecharvulnerabilidades de estosnuevos features.<br />4<br />Stateless auto-configuration <br /> Es esperable que a medida que se comience a difundir más la utilización de IPv6, las vulnerabilidades en el protocolo se conviertan en objetivos de ataque<br />8<br />© 2010 Global Crossing<br />
  17. 17. Largavida a los DNS: parapropósitos de administración, esesperableque los DNS internoscontengan la información de todos los hosts de la red (al menoslas de los másimportantes… sí, justo los que los atacantesnecesitan!)<br />Los servidores DNS comoobjetivo de ataque:<br /><ul><li> Para quérecorrertoda la red cuandotodoestá en los DNS?
  18. 18. Atajopara el problema de la cantidad de direcciones
  19. 19. Se convierte en un problema de seguridad del software</li></ul>5<br />DNS en IPv6<br /> La implementación de IPv6 refuerza la necesidad de seguridad interna, quizás el problema menos explorado por las organizaciones…<br />9<br />© 2010 Global Crossing<br />
  20. 20. Local multicast: direccionesespecialesquepermitenidentificargrupos de hosts (servidores, routers, switches, etc.)<br />Un mundo de posibilidades:<br /><ul><li> Una dirección = acceso a todo el grupo!
  21. 21. Generaciónde ataquestradicionales:</li></ul>Denial of service (DoS)<br />Port scanning<br />6<br />Multicast en IPv6<br /> Seguridad interna, filtrado y personalización de los dispositivos de networking y seguridad se vuelven imprescindibles para utilizar features avanzados<br />10<br />© 2010 Global Crossing<br />
  22. 22. Ping en IPv6<br />ICMPv6 yNeighbor discovery: extensiónde la funcionalidaddel ICMP como “reemplazo” del ARP y del DHCP.<br />La buenanoticiaes… quecomo Neighbor discovery es susceptible amuchasvulnerabilidades, existe un protocolo “Secure Neighbor discovery” (SEND) quecorrijemuchas de ellas, porejemplo a través de Cryptographically Generated Addresses (CGAs).<br />La mala noticiaes… que el soportepara SEND esmuylimitado, tanto en dispositivos de networking como a nivel de sistemaoperativo(si, justoese en el queud. estápensando!)<br />7<br />11<br />© 2010 Global Crossing<br />
  23. 23. Verdaderamenteen “la nube”: cualquiernodo en IPv6 puedecambiar de red manteniendotodassusconexiones (TCP / UDP) activas, esdecir sin interrupción de servicios.<br />Sin embargo…<br /><ul><li> La seguridad de la utilización de estemecanismoradica (a nivel del protocolo) en la utilización de IPSec sobre IPv6
  24. 24. Sin embargo, comoyamencionamos, el uso de IPSec esopcional
  25. 25. Estoabrelaspuertas a que un atacanteredireccione el tráfico de un nodo a cualquier red de supreferencia!</li></ul>8<br />Mobile IPv6<br /> Excelente ejemplo de cómo una característica potencialmente muy beneficiosa (“AlwaysOn”) puede resultar en un riesgo no justificable.<br />12<br />© 2010 Global Crossing<br />
  26. 26. Madurez<br />El códigoy los protocolos no son tan maduroscomolasimplementaciones de IPv4:<br /><ul><li>Estoes normal en el software (desde los sistemasoperativos de los smartphoneshasta los routers), y los atacantesestándispuestos a aprovecharlo!</li></ul>La única forma de ganarmadurezes con experiencia:<br /><ul><li> A mayor número de implementaciones, más se afinarán el código y los protocolos.
  27. 27. Algunascaracterísticasquedarán en el caminopara ser mejoradas en el futuro (ejemplo: registros A6)</li></ul>Seríaesperablequealcanzada la madurez de IPv6, el nivel de riesgo sea equiparable al actual sobre IPv4… perocómollegaremos a eso?<br />9<br />13<br />© 2010 Global Crossing<br />
  28. 28. 10<br />Cosasque NO cambian<br />En IPv4, los ataques a nivel de aplicaciónsuperanpor mucho a los ataques a nivel de red: <br />algoasícomo un 99% a 1%...<br />Los mismos ataques a nivel de aplicación que son válidos en IPv4 lo serán en IPv6.<br />Symantec Corp., Internet Security Threat Report, Vol. 16.<br />14<br />© 2010 Global Crossing<br />
  29. 29. 2. AMBIENTES COMPARTIDOSIPv4 / ipv6<br />
  30. 30. ISP’s<br />Aggregation<br />IPv6 IX<br />Ambientescompartidos IPv4 / IPv6<br />IPv6 Basics<br />Tony Hain<br />Cisco Systems<br />© 2002, Cisco Systems, Inc. All rights reserved.<br />Enterprise<br />WAN: 6to4, IPv6 <br />over IPv4, Dual Stack<br />6to4 Relay<br />Cable<br />Dual Stack<br />IPv6 over IPv4 tunnels or <br />Dedicated data link layers<br />IPv6 over IPv4 Tunnels<br />Residential<br />6Bone<br />Dual Stack or MPLS & 6PE<br />DSL,<br />FTTH,<br />Dial<br />IPv6 over IPv4 tunnels <br />or Dual stack<br />IPv6 over IPv4 tunnels or <br />Dedicated data link layers<br />ISATAP<br />Telecommuter<br />Enterprise<br />16<br />© 2010 Global Crossing<br />
  31. 31. Ambientescompartidos IPv4 / IPv6<br />Lo másdifíciles la convivencia!<br />Todaslastécnicas (+15) de transición, convivencia e interacción de redes IPv4 / IPv6 son vulnerables a ataques.<br />Principalesherramientas:<br /><ul><li>Túnelesautomáticos (ISATAP, 6to4, Teredo)
  32. 32. Traslación (NAT64)</li></ul>Los atacantesya se estánentrenando…<br />Nro. 4 en el TOP 5 de downloads (y subiendo en los charts):<br />THC-IPv6 AttackToolkit v1.6<br />http://thc.org/download.php?t=r&f=thc-ipv6-1.6.tar.gz<br />17<br />© 2010 Global Crossing<br />
  33. 33. 3. CONCLUSIONES<br />
  34. 34. Conclusiones (I)<br />Cuándo conviene comenzar a investigar e implementar IPv6?<br />Ahora!<br />Qué tan importante es la seguridad de la información en IPv6?<br />Muy importante, al igual que en IPv4.<br />Alcanza el conocimiento en IPv4 para implementar IPv6?<br />Es necesario desarrollar conocimiento y experiencia en IPv6.<br />Implementar IPv6 es tan sencillo como hacer un upgrade a la red?<br />NO! Requiere de una cuidadosa planificación…<br />Comprar buen hardware y software que soporte IPv6 resuelve todos los problemas?<br />Mmh… esto me parece haberlo escuchado antes…<br />19<br />© 2010 Global Crossing<br />
  35. 35. Conclusiones (II)<br />La implementación de IPv6 es la oportunidad de “empezar de cero” y reconstruir nuestras redes considerando la seguridad de la información desde el inicio.<br />Estamos preparados y motivados para hacerlo?<br />Symantec Corp., Internet Security Threat Report, Vol. 16.<br />20<br />© 2010 Global Crossing<br />
  36. 36. Algunasfuentesde información<br />http://technet.microsoft.com/en-us/library/bb726956.aspx<br />http://ipv6.com/articles/security/IPsec.htm<br />http://en.wikipedia.org/wiki/Carrier-grade_NAT<br />http://searchsecurity.techtarget.com/tip/IPv6-myths-Debunking-misconceptions-regarding-IPv6-security-features<br />http://www.thc.org/papers/vh_thc-ipv6_attack.pdf<br />http://www.ipv6.org<br />21<br />© 2010 Global Crossing<br />
  37. 37. MUCHAS GRACIAS!<br />Gabriel Marcos – Marketing SpecialistDatacenter & Security<br />Correo: gabriel.marcos@globalcrossing.com<br />Twitter: @jarvel<br />http://blogs.globalcrossing.com/?q=users/gabriel-marcos<br />

×