Sobre Seguridad‎ > ‎

5 cosas que debes saber sobre la seguridad en IPv6

Introducción


El cambio a IPv6, por si solo, no hará las redes más seguras ni vulnerables a ataques, según un panel de expertos en el área. Sin embargo, dejar de probar los equipos o verificar que las funciones de seguridad operen según lo previsto, podría dejar las redes vulnerables durante y luego de la transición al nuevo sistema de numeración.

A continuación 5 puntos clave que deben conocerse sobre IPv6 y la seguridad de las redes:

  1. El conjunto de protocolos IPv6 fue diseñado para ser más seguro que IPv4, pero eso no hace que lo sea automáticamente .

        Merike Kaeo, arquitecto Jefe de Seguridad de la red para Double Shot Security  y autor de varios trabajos de tecnología en materia de seguridad IPv6, señala que IPv6 fue diseñado para ser más seguro, aunque basado en los ataques que ocurrían a finales de los 90. Por ejemplo, distintos routers IPv6 manejan la fragmentación de paquetes de diferentes formas, y las especificaciones del protocolo IPv6 exigen la implementación de IPsec - un conjunto de protocolos que autentifica y encripta los paquetes IP. Ambas cosas fueron diseñados para mejorar la seguridad.

        
    Pero las amenazas se han vuelto más sofisticadas y las implementaciones no siempre siguen los planes originales. "Por ejemplo, la especificación del protocolo IPv6 obliga a implementar IPsec para cumplir la normativa", dice Kaeo. "Pero en realidad, cuando la gente comenzó a implementar IPv6, no siempre usaron IPsec y, de haberlo hecho, no quiere decir que lo estuvieran haciendo correctamente."

        I
    mplementar correctamente IPsec no es como "apretar un botón", añade Thomas Maufer, director
    Mercadeo Técnico en Mu Dynamics, una compañía de pruebas y validación de aplicaciones. Se requiere contar con una Infraestructura de Clave Pública, que es un sistema de almacenamiento y gestión de certificados digitales. El manejo de los certificados dentro de una empresa es una cosa, pero la conexión entre dos empresas es un desafío de un nivel diferente.

        
    "Existen muchas cosas operacionales que aún no están listas para poder desplegar IPsec, y esto no tienen nada que ver con IPsec o con las
    intenciones de las personas, por muy buenas que estas sean", dice Maufer. "Mu ha encontrado una serie de vulnerabilidades en los protocolos negociación de claves públicas (Key Negotiation Protocols) - que son sólo software, y el software va a tener errores. Si va a desplegar algo que cree seguro, es mejor probarlo a fondo para comprobar que en realidad lo es. "

  2. La Traducción de Dirección de Red (NAT, por sus siglas en inglés) no es una forma de asegurar una red, aunque algunas personas han pensado que lo es.

        Los Dispositivos basados en NAT han sido ampliamente utilizados para prolongar la vida de IPv4, al permitirle a las empresas utilizar direcciones IPv4 privadas dentro de sus instalaciones y luego traducirlas en un rango compartido, pero reducido,  de direcciones IPv4 públicas. Dado que el NAT impide el acceso directo a las direcciones privadas, muchos sienten que esto ofrece una capa de seguridad.

        
    "De hecho creo que NAT ha sido falsamente considerado como una función de seguridad", dice Kaeo. "Muchas personas no entienden que incluso con NAT, no estás tan seguro como podrías pensar que lo estás. Además, NAT complica muchos problemas en la red, para la capacidad de auditoría y seguimiento".

        
    Las complicaciones se agregan a la red al introducir la traducción de direcciones IPv4 a nivel del operador, o Carrier-Grade NAT, algo que muchos creen es inevitable, aunque desafortunado, durante el período en que tanto las direcciones IPv4 como las IPv6 sean utilizadas simultáneamente. (Ver
    The Case Against Carrier-Grade NAT y The Ugly Side of IPv6: Carrier-Grade NAT).

        
    Incluso cuando se utiliza sólo en establecimientos u oficinas pequeñas, el NAT proporciona una falsa sensación de seguridad, a menos que se combine con un firewall de estado (stateful firewall), dice Maufer. Esto debido a que el NAT no es capaz de proteger contra el llamado
    secuestro de TCP, o TCP hijacking, por ejemplo, que es una práctica común para infiltrarse a través de las defensas corporativas después de establecida la autenticación. "Si le preocupa la seguridad, es necesario tomar precauciones mucho más alla de un protocolo sólo de red", dice.

        
    En todo caso, proveedores de acceso y empresas están agregando a su portafolio de seguridad cosas como Sistemas de Protección contra Intrusiones
    (IPS, por sus siglas en inlés activos y la inspección profunda de paquetes para inspeccionar el tráfico entrante y comprobar que no es malicioso. Estos esfuerzos deben continuar, agrega.

        La
    IETF ha desarrollado el RFC 4864 que ofrece Protección de Red Local (LNP, por sus siglas en inglés) utilizando IPv6 que pueden proporcionar al menos los mismos  beneficios, sin necesidad de usar traducción de direcciones, dice Daniel Awduche, Tecnólogo IP en la Organización de Tecnología Corporativa de Verizon.

      
  3. IPv6 es inmaduro y se requieren más pruebas y más precaución, especialmente en despliegues iniciales.

        Los fabricantes de equipos han venido ganando los retos relacionado con IPv6, especialmente el último par de años, con el agotamiento de las direcciones IPv4. Kaeo considera sensato incorporar más cosas en el hardware, en lugar de ofrecer actualizaciones de software, pero añade que los usuarios finales todavía tienen que probar todo, en casa, para asegurarse de que funciona según lo anunciado.

        
    Dado que IPv6 es todavía relativamente nuevo, muchos dispositivos - firewalls, Sistemas de Detección de Intrusos y delegación de Sistemas de Proteccion contra Intrusos, no son capaces de manejar IPv6, dice Awduche. "No es intrínseco, sólo una manifestación del estado actual de la adopción".

        
    También hay un nuevo software asociado con IPv6, que igualmente requiere de pruebas, dice Maufer Mu. Y a diferencia de IPv4, que fue probado extensamente durante un largo tiempo, IPv6 está siendo lanzado en un momento en que Internet es la red subyacente de la economía global por lo que "implícito" o pruebas de campo es mucho más riesgoso.

        
    "No tengo tiempo para el shakedown inevitable", dice.

        
    Los operadores de red también han hecho un montón de trabajo en esta área y se han dado cuenta del valor de mantener sus configuraciones de red más simple - ir con doble apilamiento de IPv4 e IPv6, por ejemplo, frente a la utilización de grado carrier NAT o un túnel que hacer malabares tanto para abordar esquemas en la misma red.

        
    Las empresas harían bien en mantener las cosas simples también, y, prueba de ensayo,.
      
  4.  Han sido implementadas estrategias de transición, y estas pueden afectar la seguridad.

    Mientras que las conexiones IPv6 no esten disponibles a nivel global, existiran túneles de tráfico IPv6 a través de conexiones IPv4,  y éstos crearán un potencial problema de seguridad.

    "Al usar un túnel, existe la posibilidad de ocultar tráfico malicioso que a través de éste, por lo que será necesario contar con dispositivos que inspeccionen el tráfico dentro del túnel", dice Kaeo. "Esto no es algo realmente nuevo, pero puede ser más importante con IPv6. Teniendo IPv6 nativo, es mucho más sencillo ver dónde se origina el tráfico y su identificación como tráfico malicioso.

    NAT de grado de portador, es otra estrategia de transición, pero considero que ese tema ya fue tocado enfáticamente.

        
  5. Será necesario aplicar medidas de seguridad en la capa de aplicación.

        "El mundo no entiende las vulnerabilidades que existen en la capa de aplicación, por encima de la capa 3," dice Aashu Virmani, Director Senior de Mercadeo de Productos de Sonus Networks Inc. (Nasdaq: SONS).

        
    En este punto, el porcentaje de aplicaciones afectadas por los problemas de seguridad de IPv6 es tan pequeño, que los desarrolladores de aplicaciones IPv6 aún no están preocupados, aunque no tardarán en estarlo, sobre todo en la parte aplicación móvil. Debido a que uno de los motivos para migrar a IPv6 es la posibilidad de expandir la cantidad dispositivos móviles conectados, habrá un creciente desarrollo en esa dirección, que impactará a quienes utilizan aplicaciones móviles.

        
    Por ejemplo, una compañía de servicios financieros que quiera una aplicación de gestión de transacciones personalizado para iPhones y dispositivos Android, será el único afectado por errores en esa aplicación, pero el impacto podría ser enorme, concluye Maufer.


— Carol Wilson, Chief Editor, Events, Light Reading

Traducción: Oswaldo Aguirre




Comments