El mundo se dirige a un cambio que tendrá efectos importantes en cómo se comunican las personas y las empresas: el inminente cambio del protocolo IPv4 por el IPv6. Entre muchas otras cosas, esta migración tendrá efectos profundos en todos los negocios que se realizan a través de Internet. Sin embargo, este cambio no será transparente ni automático sino que implicará importantes riesgos de seguridad para las empresas. Conozca los principales puntos a considerar al momento de realizar una migración a IPv6 para evitar riesgos en la operación del negocio.
1. Seguridad en IPv6:
Los riesgos que las empresas deben considerar
Gabriel Marcos
Marketing Specialist Datacenter & Security – Level3 Colombia
gabriel.marcos@globalcrossing.com
Twitter: @jarvel
Level 3 Communications, LLC. All Rights Reserved. 1
2. Acerca de la presentación
• Esta presentación posee contenido desarrollado originalmente para el
Foro de Tecnología y Negocios de Global Crossing (ahora Level3) que se
realizó en Bogotá en Julio 2011.
• Para más información visite:
http://latamnews.globalcrossing.com/2011/07/col-
foro/calendario/calendario.html
Level 3 Communications, LLC. All Rights Reserved. 2
3. 1. INTRODUCCIÓN A IPV6
Level 3 Communications, LLC. All Rights Reserved. 3
4. Comunicándonos en Internet: direcciones IP
• Cada dispositivo conectado a Internet posee una “dirección IP” que lo
identifica. Ejemplo: 195.87.15.28.
• De forma transparente para el usuario, la comunicación entre todos
los dispositivos conectados a Internet se realiza a través de estos
números.
• Podemos llamar “nodo” a cualquier dispositivo que tiene una
dirección IP asignada.
Internet
Dirección IP “A” Dirección IP “B”
4
Level 3 Communications, LLC. All Rights Reserved. 4
5. Las direcciones IP no son infinitas
• Las direcciones que utilizamos actualmente
corresponden a la versión 4 del protocolo IP (IPv4).
• El espacio de direccionamiento es de 4.294.967.296
direcciones únicas (es decir: 2^32 direcciones).
• Sin embargo, la cantidad de direcciones IPs
realmente utilizables es menor:
• Existen direcciones IP reservadas
• Hay mucho desperdicio en la asignación de las
direcciones IP
• Históricamente se ha realizado un uso poco óptimo del
direccionamiento
Level 3 Communications, LLC. All Rights Reserved. 5
6. Las direcciones IP ya se acabaron!
http://www.nro.net/news/ipv4-free-pool-depleted
Level 3 Communications, LLC. All Rights Reserved. 6
7. Por qué necesitamos más direcciones IP?
• Evolución (“nivel de madurez”) de los países ya conectados a Internet.
• Conexión de nuevas ciudades y personas.
• Soporte de nuevos dispositivos (“nodos”) conectados a Internet.
• Implementación de nuevas tecnologías y servicios
• Proyectos futuristas, como por ejemplo… The Internet of Things!
Level 3 Communications, LLC. All Rights Reserved. 7
8. The Internet of Things
http://en.wikipedia.org/wiki/File:Internet_of_Things.png
Level 3 Communications, LLC. All Rights Reserved. 8
9. Qué es IPv6 y por qué es importante?
• El protocolo IPv6 es el
reemplazo natural al IPv4 y
está internacionalmente
aceptado como la solución
al problema de la falta de
direcciones IP.
• El espacio de
direccionamiento en IPv6
es de 2^128, aunque IPv6
es mucho más que una
mayor cantidad de
direcciones IP…
http://www.fortiguard.com/sites/default/files/SecuringIPv6Networks.pdf
Level 3 Communications, LLC. All Rights Reserved. 9
10. Impacto de IPv6 en una infraestructura de TI
• Servidores
• Computadores
• Aplicaciones
• Sistemas operativos
• Routers
• Switches
• Firewalls
• Internet
• Redes privadas
• VPNs
• Etcétera…
Level 3 Communications, LLC. All Rights Reserved. 10
11. Primeras conclusiones
• IPv4 no puede proveer la cantidad de direcciones IP que el
crecimiento de Internet requiere.
• IPv6 es una solución efectiva y probada que puede aportar
direcciones IP “para siempre”.
• La migración a IPv6 es una cuestión del “presente”.
• La migración a IPv6 no es transparente.
• Todo el mundo se verá impactado por este cambio!
Level 3 Communications, LLC. All Rights Reserved. 11
12. 2. RIESGOS A CONSIDERAR EN IPV6
Level 3 Communications, LLC. All Rights Reserved. 12
13. Por qué considerar riesgos en IPv6 ahora?
• El conocimiento se construye con tiempo: la implementación de IPv6
abre las posibilidades a nuevos tipos y técnicas de ataque.
• La planificación es la clave del éxito: la implementación de IPv6 no es
un tema exclusivamente de “networking”, también tiene impacto a nivel
de los servidores, las aplicaciones y los dispositivos de seguridad.
• Las migraciones y las configuraciones mixtas son especialmente
atractivas para los atacantes: el grado de exposición aumenta durante la
etapa de transición (de hecho, al día de hoy nadie puede asegurar cuándo
se va a terminar!).
Predicción: Ud. va a implementar IPv6 antes de lo que cree (o
quiere)… como mínimo, para ser compatible con el resto del mundo!
Level 3 Communications, LLC. All Rights Reserved. 13
14. Tome nota de esto! (lo va a recordar más adelante)
1. IPSec en IPv6
2. NAT en IPv6
3. Análisis de vulnerabilidades en IPv6
4. Stateless auto-configuration
5. DNS en IPv6
6. Multicast en IPv6
7. Ping en IPv6
8. Mobile IPv6
9. Madurez
10. Cosas que NO cambian
Level 3 Communications, LLC. All Rights Reserved. 14
15. 1 IPSec en IPv6
VPN “Site-to-Site”
VPNs Internet
con
IPSec en
IPv4
VPN “Client-to-Site”
Internet
VPNs
“Host-to-
Host” con
IPSec en
IPv6 VPN “Host-to-Host”
Level 3 Communications, LLC. All Rights Reserved. 15
16. 1 IPSec en IPv6
• Implementado de forma nativa, host-to-host (en lugar de “peer-to-
peer” como es acostumbrado en IPv4).
• Recomendación: implementación mandatoria… pero en la realidad no
es una limitación.
• Authentication extension header: protección para garantizar integridad
y no repudiación.
• Encapsulting Security Paylod extension header: confidencialidad,
integridad y anti-replay.
Los problemas potenciales de IPSec en IPv6 son los mismos
que en IPv4; además, no se puede garantizar su implementación
como mecanismo end-to-end en cualquier escenario
Level 3 Communications, LLC. All Rights Reserved. 16
17. 2 NAT en IPv6
Qué es NAT (Network Address Translation)?
Internet
Direcciones IP Direcciones IP
privadas públicas
NAT
Muchas Pocas
Level 3 Communications, LLC. All Rights Reserved. 17
18. 2 NAT en IPv6
Mito: “como las direcciones IP bajo IPv6 nunca se van a acabar, no será
necesario el uso de NAT”
Realidad:
• Está comprobado que el uso de NATs se incrementa a partir de IPv6 por
la convivencia con IPv4 (“redes legacy”)
• Nuevos tipos de NAT:
Carrier Grade NATs
NAT64
La utilización de NAT sobre IPv6 es una de las barreras más
importantes a la masificación de IPSec, entre otras
(complejidad, inversión/soporte, etc.)
Level 3 Communications, LLC. All Rights Reserved. 18
19. 3 Análisis de vulnerabilidades (bajo IPv6)
El tamaño importa…: no es lo mismo realizar un análisis de
vulnerabilidades sobre un espacio de direccionamiento de 2^32 (IPv4)
que sobre 2^128 (IPv6).
…pero no es lo mismo cantidad que calidad:
• Un espacio de direccionamiento tan grande es un desafío también para los
administradores en las empresas.
• Las primeras estadísticas sugieren que hay una tendencia a utilizar esquemas
de numeración predecibles (punto para los atacantes!)
• Hecha la ley, hecha la trampa… por ejemplo, nuevas técnicas de information
gathering basadas en MAC address.
Como de costumbre, no es la tecnología sino el uso que se
le da lo que determina el nivel de exposición y riesgo
Level 3 Communications, LLC. All Rights Reserved. 19
20. 4 Stateless auto-configuration
Adiós al DHCP!: en IPv6 ya no es necesario utilizar un servidor DHCP ni
configurar manualmente las direcciones IP.
Menos intermediarios siempre es una buena noticia: no es necesario el
uso de proxies, especialmente útil en aplicaciones como
videoconferencia y telefonía IP.
Antes de festejar, primero tengamos en cuenta que…
Ya existen tool-kits de ataques para aprovechar vulnerabilidades de estos
nuevos features.
Es esperable que a medida que se comience a difundir
más la utilización de IPv6, las vulnerabilidades en el
protocolo se conviertan en objetivos de ataque
Level 3 Communications, LLC. All Rights Reserved. 20
21. 5 DNS en IPv6
DNS externo
www.level3.com
x.x.x.x
www.level3.com
Internet
DNS interno
www.intranet.corp
x.x.x.x
Level 3 Communications, LLC. All Rights Reserved. 21
22. 5 DNS en IPv6
Larga vida a los DNS: para propósitos de administración, es esperable
que los DNS internos contengan la información de todos los hosts de la
red (al menos las de los más importantes… sí, justo los que los atacantes
necesitan!)
Los servidores DNS como objetivo de ataque:
• Para qué recorrer toda la red cuando todo está en los DNS?
• Atajo para el problema de la cantidad de direcciones
• Se convierte en un problema de seguridad del software
La implementación de IPv6 refuerza la necesidad de seguridad
interna, quizás el problema menos explorado por las
organizaciones…
Level 3 Communications, LLC. All Rights Reserved. 22
23. 6 Multicast en IPv6
Local multicast: direcciones especiales que permiten identificar grupos
de hosts (servidores, routers, switches, etc.)
Un mundo de posibilidades:
• Una dirección = acceso a todo el grupo!
• Generación de ataques tradicionales:
Denial of service (DoS)
Port scanning
Seguridad interna, filtrado y personalización de los
dispositivos de networking y seguridad se vuelven
imprescindibles para utilizar features avanzados
Level 3 Communications, LLC. All Rights Reserved. 23
24. 7 Ping en IPv6
ICMPv6 y Neighbor discovery: extensión de la funcionalidad del ICMP
como “reemplazo” del ARP y del DHCP.
La buena noticia es… que como Neighbor discovery es susceptible a
muchas vulnerabilidades, existe un protocolo “Secure Neighbor
discovery” (SEND) que corrije muchas de ellas, por ejemplo a través de
Cryptographically Generated Addresses (CGAs).
La mala noticia es… que el soporte para SEND es muy
limitado, tanto en dispositivos de networking como a nivel de
sistema operativo (si, justo ese en el que ud. está pensando!)
Level 3 Communications, LLC. All Rights Reserved. 24
25. 8 Mobile IPv6
Verdaderamente en “la nube”: cualquier nodo en IPv6 puede cambiar de
red manteniendo todas sus conexiones (TCP / UDP) activas, es decir sin
interrupción de servicios.
Sin embargo…
• La seguridad de la utilización de este mecanismo radica (a nivel del
protocolo) en la utilización de IPSec sobre IPv6
• Sin embargo, como ya mencionamos, el uso de IPSec es opcional
• Esto abre las puertas a que un atacante redireccione el tráfico de un
nodo a cualquier red de su preferencia!
Excelente ejemplo de cómo una característica
potencialmente muy beneficiosa (“Always On”) puede
resultar en un riesgo no justificable.
Level 3 Communications, LLC. All Rights Reserved. 25
26. 9 Madurez
El código y los protocolos no son tan maduros como las
implementaciones de IPv4:
• Esto es normal en el software (desde los sistemas operativos de los
smartphones hasta los routers), y los atacantes están dispuestos a
aprovecharlo!
La única forma de ganar madurez es con experiencia:
• A mayor número de implementaciones, más se afinarán el código y los
protocolos.
• Algunas características quedarán en el camino para ser mejoradas en el
futuro (ejemplo: registros A6)
Sería esperable que alcanzada la madurez de IPv6, el nivel de
riesgo sea equiparable al actual sobre IPv4… pero cómo
llegaremos a eso?
26
Level 3 Communications, LLC. All Rights Reserved. 26
27. 10 Cosas que NO cambian
En IPv4, los ataques a nivel de aplicación
superan por mucho a los ataques a nivel de
red:
algo así como un 99% a 1%...
Los mismos ataques a nivel de aplicación
que son válidos en IPv4 lo serán en IPv6.
Symantec Corp., Internet Security Threat Report, Vol. 16.
27
Level 3 Communications, LLC. All Rights Reserved. 27
30. Ambientes compartidos IPv4 / IPv6
Lo más difícil es la convivencia!
Todas las técnicas (+15) de transición, convivencia e
interacción de redes IPv4 / IPv6 son vulnerables a
ataques.
Principales herramientas:
• Túneles automáticos (ISATAP, 6to4, Teredo)
• Traslación (NAT64)
Los atacantes ya se están entrenando…
Nro. 4 en el TOP 5 de downloads (y subiendo en los charts):
THC-IPv6 Attack Toolkit v1.6
http://thc.org/download.php?t=r&f=thc-ipv6-1.6.tar.gz
30
Level 3 Communications, LLC. All Rights Reserved. 30
31. 4. CONCLUSIONES
Level 3 Communications, LLC. All Rights Reserved. 31
32. Conclusiones (I)
Cuándo conviene comenzar a investigar e implementar IPv6?
Ahora!
Qué tan importante es la seguridad de la información en IPv6?
Muy importante, al igual que en IPv4.
Alcanza el conocimiento en IPv4 para implementar IPv6?
Es necesario desarrollar conocimiento y experiencia en IPv6.
Implementar IPv6 es tan sencillo como hacer un upgrade a la red?
NO! Requiere de una cuidadosa planificación…
Comprar buen hardware y software que soporte IPv6 resuelve todos los problemas?
Mmh… esto me parece haberlo escuchado antes…
32
Level 3 Communications, LLC. All Rights Reserved. 32
33. Conclusiones (II)
La implementación de IPv6 es la
oportunidad de “empezar de
cero” y reconstruir nuestras
redes considerando la seguridad
de la información desde el inicio.
Estamos preparados y
motivados para hacerlo?
Symantec Corp., Internet Security Threat Report, Vol. 16.
33
Level 3 Communications, LLC. All Rights Reserved. 33
34. Fuentes de información recomendadas
http://portalipv6.lacnic.net/es/noticias/novedades/lanzamiento-del-
libro-ipv6-para-todos
http://www.gont.com.ar/ipv6/index.html
http://lacnic.net/sp/
http://www.level3.com/en/resource-library/
http://www.fortiguard.com/sites/default/files/SecuringIPv6Networks.pdf
IPv6 Essentials (By Silvia Hagen) O'Reilly - May 2006
34
Level 3 Communications, LLC. All Rights Reserved. 34
35. Otras fuentes de información
http://technet.microsoft.com/en-us/library/bb726956.aspx
http://ipv6.com/articles/security/IPsec.htm
http://en.wikipedia.org/wiki/Carrier-grade_NAT
http://searchsecurity.techtarget.com/tip/IPv6-myths-Debunking-
misconceptions-regarding-IPv6-security-features
http://www.thc.org/papers/vh_thc-ipv6_attack.pdf
http://www.ipv6.org
35
Level 3 Communications, LLC. All Rights Reserved. 35
36. Gabriel Marcos
Marketing Specialist Datacenter & Security – Level3 Colombia
Correo: gabriel.marcos@globalcrossing.com
Twitter: @jarvel
MUCHAS GRACIAS!
Level 3 Communications, LLC. All Rights Reserved. 36