• Share
  • Email
  • Embed
  • Like
  • Save
  • Private Content
Seguridad en IPv6: los riesgos que las empresas deben considerar
 

Seguridad en IPv6: los riesgos que las empresas deben considerar

on

  • 1,543 views

Seguridad en IPv6: los riesgos que las empresas deben considerar

Seguridad en IPv6: los riesgos que las empresas deben considerar
Presentación para el foro de Global Crossing en Colombia (Julio 2011)

Statistics

Views

Total Views
1,543
Views on SlideShare
1,543
Embed Views
0

Actions

Likes
0
Downloads
0
Comments
0

0 Embeds 0

No embeds

Accessibility

Categories

Upload Details

Uploaded via as Microsoft PowerPoint

Usage Rights

© All Rights Reserved

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Processing…
Post Comment
Edit your comment

    Seguridad en IPv6: los riesgos que las empresas deben considerar Seguridad en IPv6: los riesgos que las empresas deben considerar Presentation Transcript

    • Seguridad en IPv6:Los riesgosquelasempresasdebenconsiderar
      Gabriel Marcos – Marketing SpecialistDatacenter & Security
    • Porquéconsiderarriesgos en IPv6 ahora?
      • El conocimiento se construye con tiempo: la implementación de IPv6 abrelasposibilidades a nuevostipos y técnicas de ataque.
      • La planificaciónes la clave del éxito: la implementación de IPv6 no es un temaexclusivamente de “networking”, tambiéntieneimpacto a nivel de los servidores, lasaplicaciones y los dispositivos de seguridad.
      • Las migraciones y lasconfiguracionesmixtas son especialmenteatractivaspara los atacantes: el grado de exposiciónaumentadurante la etapa de transición (de hecho, al día de hoynadiepuedeasegurarcuándo se va a terminar!).
      Predicción: Ud. va a implementar IPv6 antes de lo quecree (o quiere)… comomínimo, paraser compatible con el resto del mundo!
      2
      © 2010 Global Crossing
    • 1. Algunasconsideraciones
    • Tome nota de esto! (la va a recordarmásadelante)
      IPSec en IPv6
      NAT en IPv6
      Análisis de vulnerabilidades en IPv6
      Stateless auto-configuration
      DNS en IPv6
      Multicast en IPv6
      Ping en IPv6
      Mobile IPv6
      Madurez
      Cosasque NO cambian
      4
      © 2010 Global Crossing
    • 1
      IPSec en IPv6
      • Implementado de forma nativa, host-to-host (en lugar de “peer-to-peer” comoesacostumbrado en IPv4).
      • Recomendación: implementaciónmandatoria… pero en la realidad no esunalimitación.
      • Authentication extension header: protecciónparagarantizarintegridad y no repudiación.
      • Encapsulting Security Paylod extension header: confidencialidad, integridad y anti-replay.
      Los problemas potenciales de IPSec en IPv6 son los mismos que en IPv4; además, no se puede garantizar su implementación como mecanismo end-to-end en cualquier escenario
      5
      © 2010 Global Crossing
    • Mito: “comolasdirecciones IP bajo IPv6 nunca se van a acabar, no seránecesario el uso de NAT”
      Realidad:
      • Estácomprobadoque el uso de NATs se incrementa a partir de IPv6 por la convivencia con IPv4 (“redes legacy”)
      • Nuevostipos de NAT:
      Carrier Grade NATs
      NAT64
      2
      NAT en IPv6
      La utilización de NAT sobre IPv6 es una de las barreras más importantes a la masificación de IPSec, entre otras (complejidad, inversión/soporte, etc.)
      6
      © 2010 Global Crossing
    • El tamañoimporta…: no es lo mismorealizar un análisis de vulnerabilidadessobre un espacio de direccionamiento de 2^32 (IPv4) quesobre 2^128 (IPv6).
      …pero no es lo mismocantidadquecalidad:
      • Un espacio de direccionamiento tan grandees un desafíotambiénpara los administradores en lasempresas.
      • Las primerasestadísticassugierenque hay unatendencia a utilizaresquemas de numeraciónpredecibles (puntopara los atacantes!)
      • Hecha la ley, hecha la trampa… porejemplo, nuevastécnicas de information gathering basadas en MAC address.
      3
      Análisis de vulnerabilidades (bajo IPv6)
      Como de costumbre, no es la tecnología sino el uso que se le da lo que determina el nivel de exposición y riesgo
      7
      © 2010 Global Crossing
    • Adiósal DHCP!: en IPv6 ya no esnecesarioutilizar un servidor DHCP niconfigurarmanualmentelasdirecciones IP.
      Menosintermediariossiempreesunabuenanoticia: no esnecesario el uso de proxies, especialmenteútil en aplicacionescomovideoconferencia y telefonía IP.
      Antes de festejar, primerotengamos en cuentaque…
      Yaexisten tool-kits de ataquesparaaprovecharvulnerabilidades de estosnuevos features.
      4
      Stateless auto-configuration
      Es esperable que a medida que se comience a difundir más la utilización de IPv6, las vulnerabilidades en el protocolo se conviertan en objetivos de ataque
      8
      © 2010 Global Crossing
    • Largavida a los DNS: parapropósitos de administración, esesperableque los DNS internoscontengan la información de todos los hosts de la red (al menoslas de los másimportantes… sí, justo los que los atacantesnecesitan!)
      Los servidores DNS comoobjetivo de ataque:
      • Para quérecorrertoda la red cuandotodoestá en los DNS?
      • Atajopara el problema de la cantidad de direcciones
      • Se convierte en un problema de seguridad del software
      5
      DNS en IPv6
      La implementación de IPv6 refuerza la necesidad de seguridad interna, quizás el problema menos explorado por las organizaciones…
      9
      © 2010 Global Crossing
    • Local multicast: direccionesespecialesquepermitenidentificargrupos de hosts (servidores, routers, switches, etc.)
      Un mundo de posibilidades:
      • Una dirección = acceso a todo el grupo!
      • Generaciónde ataquestradicionales:
      Denial of service (DoS)
      Port scanning
      6
      Multicast en IPv6
      Seguridad interna, filtrado y personalización de los dispositivos de networking y seguridad se vuelven imprescindibles para utilizar features avanzados
      10
      © 2010 Global Crossing
    • Ping en IPv6
      ICMPv6 yNeighbor discovery: extensiónde la funcionalidaddel ICMP como “reemplazo” del ARP y del DHCP.
      La buenanoticiaes… quecomo Neighbor discovery es susceptible amuchasvulnerabilidades, existe un protocolo “Secure Neighbor discovery” (SEND) quecorrijemuchas de ellas, porejemplo a través de Cryptographically Generated Addresses (CGAs).
      La mala noticiaes… que el soportepara SEND esmuylimitado, tanto en dispositivos de networking como a nivel de sistemaoperativo(si, justoese en el queud. estápensando!)
      7
      11
      © 2010 Global Crossing
    • Verdaderamenteen “la nube”: cualquiernodo en IPv6 puedecambiar de red manteniendotodassusconexiones (TCP / UDP) activas, esdecir sin interrupción de servicios.
      Sin embargo…
      • La seguridad de la utilización de estemecanismoradica (a nivel del protocolo) en la utilización de IPSec sobre IPv6
      • Sin embargo, comoyamencionamos, el uso de IPSec esopcional
      • Estoabrelaspuertas a que un atacanteredireccione el tráfico de un nodo a cualquier red de supreferencia!
      8
      Mobile IPv6
      Excelente ejemplo de cómo una característica potencialmente muy beneficiosa (“AlwaysOn”) puede resultar en un riesgo no justificable.
      12
      © 2010 Global Crossing
    • Madurez
      El códigoy los protocolos no son tan maduroscomolasimplementaciones de IPv4:
      • Estoes normal en el software (desde los sistemasoperativos de los smartphoneshasta los routers), y los atacantesestándispuestos a aprovecharlo!
      La única forma de ganarmadurezes con experiencia:
      • A mayor número de implementaciones, más se afinarán el código y los protocolos.
      • Algunascaracterísticasquedarán en el caminopara ser mejoradas en el futuro (ejemplo: registros A6)
      Seríaesperablequealcanzada la madurez de IPv6, el nivel de riesgo sea equiparable al actual sobre IPv4… perocómollegaremos a eso?
      9
      13
      © 2010 Global Crossing
    • 10
      Cosasque NO cambian
      En IPv4, los ataques a nivel de aplicaciónsuperanpor mucho a los ataques a nivel de red:
      algoasícomo un 99% a 1%...
      Los mismos ataques a nivel de aplicación que son válidos en IPv4 lo serán en IPv6.
      Symantec Corp., Internet Security Threat Report, Vol. 16.
      14
      © 2010 Global Crossing
    • 2. AMBIENTES COMPARTIDOSIPv4 / ipv6
    • ISP’s
      Aggregation
      IPv6 IX
      Ambientescompartidos IPv4 / IPv6
      IPv6 Basics
      Tony Hain
      Cisco Systems
      © 2002, Cisco Systems, Inc. All rights reserved.
      Enterprise
      WAN: 6to4, IPv6
      over IPv4, Dual Stack
      6to4 Relay
      Cable
      Dual Stack
      IPv6 over IPv4 tunnels or
      Dedicated data link layers
      IPv6 over IPv4 Tunnels
      Residential
      6Bone
      Dual Stack or MPLS & 6PE
      DSL,
      FTTH,
      Dial
      IPv6 over IPv4 tunnels
      or Dual stack
      IPv6 over IPv4 tunnels or
      Dedicated data link layers
      ISATAP
      Telecommuter
      Enterprise
      16
      © 2010 Global Crossing
    • Ambientescompartidos IPv4 / IPv6
      Lo másdifíciles la convivencia!
      Todaslastécnicas (+15) de transición, convivencia e interacción de redes IPv4 / IPv6 son vulnerables a ataques.
      Principalesherramientas:
      • Túnelesautomáticos (ISATAP, 6to4, Teredo)
      • Traslación (NAT64)
      Los atacantesya se estánentrenando…
      Nro. 4 en el TOP 5 de downloads (y subiendo en los charts):
      THC-IPv6 AttackToolkit v1.6
      http://thc.org/download.php?t=r&f=thc-ipv6-1.6.tar.gz
      17
      © 2010 Global Crossing
    • 3. CONCLUSIONES
    • Conclusiones (I)
      Cuándo conviene comenzar a investigar e implementar IPv6?
      Ahora!
      Qué tan importante es la seguridad de la información en IPv6?
      Muy importante, al igual que en IPv4.
      Alcanza el conocimiento en IPv4 para implementar IPv6?
      Es necesario desarrollar conocimiento y experiencia en IPv6.
      Implementar IPv6 es tan sencillo como hacer un upgrade a la red?
      NO! Requiere de una cuidadosa planificación…
      Comprar buen hardware y software que soporte IPv6 resuelve todos los problemas?
      Mmh… esto me parece haberlo escuchado antes…
      19
      © 2010 Global Crossing
    • Conclusiones (II)
      La implementación de IPv6 es la oportunidad de “empezar de cero” y reconstruir nuestras redes considerando la seguridad de la información desde el inicio.
      Estamos preparados y motivados para hacerlo?
      Symantec Corp., Internet Security Threat Report, Vol. 16.
      20
      © 2010 Global Crossing
    • Algunasfuentesde información
      http://technet.microsoft.com/en-us/library/bb726956.aspx
      http://ipv6.com/articles/security/IPsec.htm
      http://en.wikipedia.org/wiki/Carrier-grade_NAT
      http://searchsecurity.techtarget.com/tip/IPv6-myths-Debunking-misconceptions-regarding-IPv6-security-features
      http://www.thc.org/papers/vh_thc-ipv6_attack.pdf
      http://www.ipv6.org
      21
      © 2010 Global Crossing
    • MUCHAS GRACIAS!
      Gabriel Marcos – Marketing SpecialistDatacenter & Security
      Correo: gabriel.marcos@globalcrossing.com
      Twitter: @jarvel
      http://blogs.globalcrossing.com/?q=users/gabriel-marcos