Riesgos de Seguridad en IPv6

Antecedentes

El corazón del funcionamiento básico de internet radica en el Protocolo de Internet mejor conocido como Protocolo IP, actualmente el uso en su versión 4 desde 1977 cuya capacidad de direccionamiento de 32 bits fue prevista desde 1995 que se agotaría en un mediano plazo, lo cual se reconoció oficialmente en 2011, quedando solo unas cuantas direcciones por repartir en los registros regionales con un estimado de disponibilidad solo para unos pocos años más.

Desde que se visualizo este escenario de incapacidad de soportar el crecimiento sostenido del acceso de nuevos usuarios y dispositivos a internet, se trabajo en la creación de la siguiente versión del protocolo IP el cual estuvo preparado para finales de los noventas, teniendo casi 10 años de implementación y pruebas, siendo a partir del año 2005 cuando se impulsa de manera generalizada un exhortación global a iniciar la transición al nuevo protocolo denominado Protocolo de Internet versión 6 IPv6.

En diversas partes del mundo se han tomado varios esfuerzos para facilitar o acelerar la transición al nuevo protocolo pero sin embargo, se espera que al menos durante un periodo de 10 a 15 años se viva un experiencia bastante dispar en distintas regiones y distintos tipos de usuarios para adoptar o diseñar nuevas tecnologías compatibles con el nuevo protocolo, lo cual crea un escenario de seguridad peculiar para muchos debido a la varianza de preparativos adecuados y por el retraso en la implementación en comparación con la disponibilidad y acceso a la nueva tecnología que ya se encuentra presente en diversos rubros de internet.




La transición al protocolo IPv6 se considera imperativa para todos, sin embargo muchos implementadores de tecnología y usuarios se encuentran con muy variantes grados de avance o retraso en los preparativos, creando una situación de riesgos de seguridad que no se ha visto desde que internet cambio del Protocolo NCP a TCP/IP hace varias generaciones.

Disponibilidad Inesperada

Casi todos los nuevos productos tecnológicos en hardware y software con conectividad a internet viene preparados de fabrica para usar el Protocolo IPv6, y muchos de ellos vienen con el protocolo habilitado aun cuando no haya conectividad completa por parte del ISP, o en caso del que el ISP ya ofrezca el servicio, que adicionalmente a la conectividad IPv4, se tengan dispositivos y servicios conectados por IPv6 sin que el usuario se dé cuenta.

Esto obliga que los planes y políticas de seguridad sean revisadas con prontitud para contemplar los riesgos de ya contar con la presencia del protocolo IPv6 y establecer mecanismos de seguridad adecuados para que regulen o en su defecto asegurarse de anular por el momento su presencia para reducir riesgos como los siguientes que mencionare:

Convivencia simultanea de múltiples Protocolos

IPv6  funciona de una manera distinta a IPv4, de forma que deben tratarse como dos elementos aparte aunque se encuentren presentes en el mismo sistema, lo cual se espera que sea la situación predominante durante el periodo de transición hasta que la necesidad de contar aun con servicios a través de IPv4 sea abandonada.

Los mecanismos de protección que se basen en alguna forma de control o referencia de por direccionamiento IPv4 no tendrán funcionalidad idéntica si se realizan comunicaciones por IPv6, siendo el ejemplo más evidente el de los firewalls, por ejemplo en un sistema Unix/Linux, donde Impotables funciona por separado de su contraparte IP6tables

El origen o destino de una comunicación que se requiere sea regulada no será igual si se realiza por IPv6, aun cuando los servicios en capas superiores de OSI sean por Protocolos conocidos, se podrían evitar los mecanismos de protección simplemente con buscar el acceso a través de una dirección IPv6
Si bien no será indicado suprimir el Protocolo IPv6 de un sistema, los administradores tienen que aprender a considerar duplicar los mecanismos de protección para que se apliquen con la misma efectividad a todo lo que venga sobre IPv6

Acceso Directo por IPv6

Todo sistema y servicio que funcione con IPv6 se debe considerar que se encuentra con acceso directo y publico a internet, de manera que se requiere asegurarse que se cuenta con firewall o al menos con un firewall personal en cada sistema.

Aun cuando físicamente se tenga una red local y se manejen servicios locales, se debe tener siempre presente que con una dirección IPv6 se encuentra uno de frente a intente publico, y por lo tanto al alcance de cualquier agente externo.

Si bien cada usuario se le delegara un segmento IPv6 con considerable cantidad de direcciones para disponer de ellas, dependiendo de la forma en que la autoconfiguración y parámetros de DHCP que tengan predeterminados de fabrica su equipo de red, se pueden tomar algunas deducciones para encontrar otros equipos de red en un segmento perteneciente al usuario.

Tunéelo y Canales Furtivos

El Protocolo IPv6 integra de forma nativa la facilidad para establecer canales y túneles encubiertos de comunicación buscando seguridad y privacidad de las comunicaciones, así como también contar con funciones de tunneling destinadas a ayudar a organizaciones a dar conectividad IPv6 durante su periodo de transición. Así también existen servicios públicos gratuitos para ofrecer a un usuario la posibilidad de dar salida a un túnel IPv6 desde su terminal.

Esto puede permitir que se establezcan formas de comunicación desde adentro de o hacia sitios restringidos externos a la red encapsulando protocolos entre paquetes IPv6 o usando túneles de salida remotos aprovechando la omisión de controlar lo que entra y sale usando el Protocolo IPv6 o algún Protocolo de tunéelo  como 6en4, 6a4, teredo, etc.

Tecnología y Servicios Improperados

IPv6 corrige algunos errores de diseño de IPv4 que se traducían en vulnerabilidades de seguridad muy difíciles de enfrentar, para lo cual a lo largo del tiempo se desarrollaron estrategias y tecnologías que eran opcionales implementar, pero que al hacerlo se reducían en gran medida riesgos severos como el caso de Pisac.

Sin embargo, hay que recalcar que IPv6 en si no es un Protocolo orientado a la seguridad, de manera que su implementación de ninguna manera elimina riesgos por lo que hay que entender y aplicar todas las nuevas características que incorpora para ayudar a mejorar el nivel de seguridad en una red.

Esta necesidad de conocer y aplicar las nuevas funcionalidades técnicas afectan a los servicios de red y  sistemas de todos los niveles, desde la arquitectura y funciones importantes de las redes de comunicaciones, la configuración entre clientes y servidores, y en particular a los sistemas que se desarrollan ya que si bien pudieran funcionar de forma compatible con IPv6 gracias al modelo de capas, es posible que introduzcan nuevos bugs y vulnerabilidades solo por el hecho de convivir en un ambiente con ambos protocolos habilitados y por depender de mecanismos de protección externos basados exclusivamente en lo que se puede lograr con IPv4

En pocas palabras, el diseño de la arquitectura de seguridad de un sistema tiene que contemplar que eventualmente funcionara también sobre redes y servidores con soporte IPv6  y las pruebas de calidad y seguridad del sistema deben de incluir casos de prueba contemplando el mismo escenario.

Saturación de Recursos

Debido a que el Protocolo IPv6 contempla 128 bits para designar el direccionamiento, se espera que a cada usuario y red local se le deleguen  una enorme cantidad de direcciones IP para su uso a discreción del administrador del segmento

Estas increíbles cantidades de direcciones que se ponen sobre la mesa a partir de este momento, puede llegar a generar una situación de negación de servicio para dispositivos de red o sistemas que levantan registros de las direcciones IP's ya que al existir tantas, si por coincidencia o maliciosamente se ingresan en una red de paquetes IP que lleven al límite las bitácoras y memorias internas de los dispositivos que no serian capaces de almacenar tanta cantidad de registros.

De hecho este tipo de vulnerabilidad ha sido de las primeras que han sido documentadas y se comienza a descubrir, se encuentra presente en muchos productos comerciales y sistemas de redes con IPv6 listo. [] No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Geolocalizacion y Personalización de Direcciones

Si bien la cantidad de direcciones IP disponible es inmensa, una combinación de funcionalidad técnica y políticas administrativas crean un escenario donde cada dirección IP pudiera llegar a quedar atada a una persona en particular
Las funcionalidades comunes de DHCP que logran en muchos casos asignar siempre una misma dirección al mismo dispositivo.

Uno de los modos de autoconfiguración por default en muchos routers donde se toma la dirección MAC del dispositivo para conformar la dirección IPv6 que se le asignara. Si se omite habilitar el modo de privacidad para la autoconfiguración y ofuscación de la dirección IP usada por el dispositivo.

La política de cada NIC regional donde se asignan bloques de direcciones IP en base a una localización geográfica por país, carriel, ISP, estado, región o ciudad. Es esperado en algún momento que cada usuario y dispositivo llegue a tener una dirección IPv6 fija de forma permanente, de manera que tiene que considerarse las implicaciones en cuanto a privacidad.

Tecnología Naciente Y Vulnerabilidades por Descubrir

Como en todo producto tecnológico de creación reciente, apenas está por iniciar su etapa de evaluación a gran escala por parte de los usuarios y entusiastas que las Hackean hasta levarla a sus límites, de manera que se tienen que tener durante un largo tiempo la expectativa del descubrimiento de vulnerabilidades en el diseño del nuevo protocolo así como de las implementaciones de este en todos los productos comerciales que se usen.

Conclusiones

Una parte considerable de riesgos de seguridad asociados a IPv6 proviene de desinteresarse de su ya presencia actual y no ver reflejada su consideración en los planes y políticas de seguridad.
Siendo un tecnología relativamente nueva, se debe tener la preparación adecuada para su aplicación práctica y resolución de incidentes, siendo para muchos un área de expertos que tienen que desarrollar con urgencia debido a que antes de que se den cuenta ya estarán viéndose en la necesidad de implementar servicios públicos de red por medio de este protocolo

Autor: MSC. Helios Mier
[email protected]
Fuente: Articulo Revista Hacking Mexico

interesante lectura.

por cierto, son medio brutos escribiendo jejeje

Citaravanze

saludos y gracias por compartir!

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
interesante lectura.

por cierto, son medio brutos escribiendo jejeje

Citaravanze

saludos y gracias por compartir!

, es error mio, yo lo trascribi de la revistas, ahorita lo corrijo   

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
interesante lectura.

por cierto, son medio brutos escribiendo jejeje

Citaravanze

saludos y gracias por compartir!

, es error mio, yo lo trascribi de la revistas, ahorita lo corrijo   

ahh jejeje no hay problema ^^

saludos!