Sobre Seguridad‎ > ‎

IPv6 cambia la seguridad: ¿Está listo su negocio?

IPv6 cambia la seguridad: ¿Está listo su negocio?

 

El Internet está agotando su espacio y, como resultado, está a punto de someterse a una transición importante para ampliar el número de direcciones disponibles. Esta transición es desde el actual protocolo IP versión 4 al nuevo estandar IP versión 6. Las empresas necesitan saber y entender lo que significa esta transición, ya que habrá nuevos problemas de seguridad en el ínterin.

Aunque una de las promesas de IPv6 es una mayor seguridad, IPv4 se ha ganado su reputación en las últimas décadas, y nos hemos familiarizado con lo que puede y no puede hacer. Por otro lado, se tiene poca o ninguna experiencia con IPv6 en el mundo real. En el papel, IPv6 parece ser excelente, pero de seguro el Titanic también lo fue. En el mejor de los casos, IPv6 ofrece mejor seguridad pero no la garantiza.

Caso en cuestión: IPSec. En esencia, IPSec asegura la comunicación IP al encriptar y autenticar paquetes IP. En IPv4, era una característica opcional; en IPv6, es obligatoria. Volver una característica obligatoria, no significa que tendrá un amplio soporte; el punto es que IPv6 no es automáticamente más seguro. Se necesitará mucha preparación de pre-lanzamiento y una inmensa cantidad de vigilancia de seguridad para ponerla a funcionar correctamente.

Para las empresas, hay mucho que considerar, y esto muy seguramente será responsabilidad del Jefe de Seguridad de la Oficina. Hay muchas trampas y obstáculos que evitar, a continuación se analizarán los que se deben cuidar muy cerca.


Programación Sin Depurar.

Aquí es donde usualmente las cosas se complican. En una transición tan compleja y a una escala tan grande, existe una muy alta posibilidad de que los programadores cometan errores en la implementación, lo que podría dejar vulnerabilidades con las puertas bien abiertas a los delincuentes informáticos, negando la eficacia de las tan cacareadas características de seguridad de IPv6. El peor escenario es que realmente se termine con una infraestructura de IPv6 que es aún mas frágil que la anterior en IPv4, poniendo en un riesgo mayor a la empresa, al ampliarse el espacio de ataque.

 

La explotación de la transición.

Esta migración va a tomar un buen tiempo y, hasta entonces, las empresas se encontrarán en un ambiente dual de IPv4/IPv6, cada uno con su propio y específico conjunto de problemas de seguridad. Esto incrementa la carga de trabajo del personal de redes de las compañías e incrementa el número de posibilidades en que las cosas puedan salir mal. Aquí es donde la vigilancia de la seguridad es crucial; debido a este período intermedio híbrido, encontraremos situaciones inusuales donde los delincuentes informáticos pueden tomar una ventaja potencial gracias a la interacción entre los protocolos.

 

Listas negras ineficaces.

Mientras que las listas negras IP han sido exitosas en reducir el volumen global de correo basura, existe la preocupación de que los ISPs (Proveedores de Servicio de Internet) no serán capaces de escalar las listas negras IPv4 a IPv6, dado su tamaño. Esto representa el problema de que algunas técnicas de seguridad en IPv4 podrían no tener una transición adecuada a IPv6, dando más espacio a los delincuentes informáticos para que realicen sus ataques.

 

Ataques DDoS.

Los ataques de Denegación de Servicio Distribuidos (DDoS, Distributed Denial of Service), que actualmente saturan una red de computadoras o un sitio web hasta volverlos inoperantes, seguirán representando una amenaza para las empresas en la nueva versión. Aunque con IPv6 se pueden mitigar los efectos de los ataques DDoS hasta un cierto punto, no los previene, dejando recursos en riesgo de ser bombardeados al punto de ser parados por completo. Los ataques de amplificación de difusión, como los ataques “smurf”, pueden hacer exactamente eso: mantenerte alejado de tus clientes.

 

Evadir Medidas de Seguridad.

Los ataques de fragmentación todavía serán un problema en IPv6, aunque los cambios en la arquitectura permiten mitigarlos de manera más eficiente. Los ataques de fragmentación pueden ser usados para evadir sistemas de detección de intrusos (IDS), sistemas de prevención de intrusos (IPS), y cortafuegos (firewalls) – que regularmente son los único recursos con que las empresas cuentan para enterarse que están siendo atacados. Una vez dentro, tienen la mesa servida: información del cliente, credenciales, correos electrónicos y secretos del negocio.

 

Enmascaramiento de Puntos de Origen.

Los ataques de suplantación de identidad seguirán siendo una amenaza en IPv6, pero la obligación de usar IPSec permitirá a las empresas manejar mejor esta amenaza. La suplantación de identidad permite a los delincuentes informáticos ocultar sus identidades, haciendo difícil seguirlos después de un ataque. También puede ser usado para falsificar una identidad –para implicar a una persona inocente o una compañía - en un ataque con el que realmente no tuvo ninguna relación. Los ataques no se limitan solo a tratar de robar información o destruir recursos, están los que realmente intentan empañar la reputación de la compañía.

El pasado junio 8 de 2012, el Día Mundial de IPv6, los líderes de la industria como Facebook, Google, Bing, Yahoo y Cisco, entre otros, realizaron una prueba de ofrecer su contenido sobre IPv6 por 24 horas. Este evento sirvió como un excelente punto de referencia para las empresas, para poder evaluar –en cierto grado- el impacto que tendrá no solo en sus consumidores base, sino también en su infraestructura.

De hecho, al menos en los Estados Unidos de América saben que deben apurarse: el gobierno federal está considerando el final del 2012 como la fecha límite para hacer la transición a IPv6. No debemos tomarnos esto a la ligera; estamos hablando de la columna vertebral del comercio electrónico y esto puede marcar la diferencia entre mantener su negocio en línea  ... o no.

Autor: Jay Bavisi.

revisado y corregido: Oswaldo Aguirre

Fuente: IPv6 Changes Security: Is Your Business Ready?

Comments