seguridad en ipv6

Level 3 Communications, LLC. All Rights Reserved. 1

Seguridad en IPv6:Los riesgos que las empresas deben considerar

Gabriel MarcosMarketing Specialist Datacenter & Security – Level3 [email protected] Twitter: @jarvel


Acerca de la presentación

• Esta presentación posee contenido desarrollado originalmente para el Foro de Tecnología y Negocios de Global Crossing (ahora Level3) que se realizó en Bogotá en Julio 2011.

• Para más información visite:

http://latamnews.globalcrossing.com/2011/07/col-foro/calendario/calendario.html




1. INTRODUCCIÓN A IPV6


Comunicándonos en Internet: direcciones IP

• Cada dispositivo conectado a Internet posee una “dirección IP” que lo identifica. Ejemplo: 195.87.15.28.

• De forma transparente para el usuario, la comunicación entre todos los dispositivos conectados a Internet se realiza a través de estos números.

• Podemos llamar “nodo” a cualquier dispositivo que tiene una dirección IP asignada.

4

Internet

Dirección IP “A” Dirección IP “B”


Las direcciones IP no son infinitas• Las direcciones que utilizamos actualmente corresponden a la versión 4 del protocolo IP (IPv4).

• El espacio de direccionamiento es de 4.294.967.296 direcciones únicas (es decir: 2^32 direcciones).

• Sin embargo, la cantidad de direcciones IPs realmente utilizables es menor:• Existen direcciones IP reservadas• Hay mucho desperdicio en la asignación de las

direcciones IP• Históricamente se ha realizado un uso poco óptimo del

direccionamiento


Las direcciones IP ya se acabaron!

http://www.nro.net/news/ipv4-free-pool-depleted

http://www.nro.net/news/ipv4-free-pool-depleted


Por qué necesitamos más direcciones IP?

• Evolución (“nivel de madurez”) de los países ya conectados a Internet.

• Conexión de nuevas ciudades y personas.

• Soporte de nuevos dispositivos (“nodos”) conectados a Internet.

• Implementación de nuevas tecnologías y servicios

• Proyectos futuristas, como por ejemplo… The Internet of Things!


The Internet of Things

http://en.wikipedia.org/wiki/File:Internet_of_Things.png


Qué es IPv6 y por qué es importante?

• El protocolo IPv6 es el reemplazo natural al IPv4 y está internacionalmente aceptado como la solución al problema de la falta de direcciones IP.

• El espacio de direccionamiento en IPv6 es de 2^128, aunque IPv6 es mucho más que una mayor cantidad de direcciones IP…

http://www.fortiguard.com/sites/default/files/SecuringIPv6Networks.pdf


Impacto de IPv6 en una infraestructura de TI• Servidores• Computadores• Aplicaciones• Sistemas operativos• Routers• Switches• Firewalls• Internet• Redes privadas• VPNs• Etcétera…


Primeras conclusiones

• IPv4 no puede proveer la cantidad de direcciones IP que el crecimiento de Internet requiere.

• IPv6 es una solución efectiva y probada que puede aportar direcciones IP “para siempre”.

• La migración a IPv6 es una cuestión del “presente”.

• La migración a IPv6 no es transparente.

• Todo el mundo se verá impactado por este cambio!


2. RIESGOS A CONSIDERAR EN IPV6


Por qué considerar riesgos en IPv6 ahora?• El conocimiento se construye con tiempo: la implementación de IPv6 abre las posibilidades a nuevos tipos y técnicas de ataque.

• La planificación es la clave del éxito: la implementación de IPv6 no es un tema exclusivamente de “networking”, también tiene impacto a nivel de los servidores, las aplicaciones y los dispositivos de seguridad.

• Las migraciones y las configuraciones mixtas son especialmente atractivas para los atacantes: el grado de exposición aumenta durante la etapa de transición (de hecho, al día de hoy nadie puede asegurar cuándo se va a terminar!).

Predicción: Ud. va a implementar IPv6 antes de lo que cree (o quiere)… como mínimo, para ser compatible con el resto del mundo!


Tome nota de esto! (lo va a recordar más adelante)1. IPSec en IPv62. NAT en IPv63. Análisis de vulnerabilidades en IPv64. Stateless auto-configuration5. DNS en IPv66. Multicast en IPv67. Ping en IPv68. Mobile IPv69. Madurez10. Cosas que NO cambian


IPSec en IPv61

Internet

VPN “Site-to-Site”

VPN “Client-to-Site”

Internet

VPNs con

IPSec en IPv4

VPN “Host-to-Host”

VPNs “Host-to-Host” con IPSec en

IPv6


IPSec en IPv6

• Implementado de forma nativa, host-to-host (en lugar de “peer-to-peer” como es acostumbrado en IPv4).

• Recomendación: implementación mandatoria… pero en la realidad no es una limitación.

• Authentication extension header: protección para garantizar integridad y no repudiación.

• Encapsulting Security Paylod extension header: confidencialidad, integridad y anti-replay.

Los problemas potenciales de IPSec en IPv6 son los mismos que en IPv4; además, no se puede garantizar su implementación

como mecanismo end-to-end en cualquier escenario

1


NAT en IPv62

Qué es NAT (Network Address Translation)?

Internet

Direcciones IP privadas

Direcciones IP públicas

NAT

Muchas Pocas


NAT en IPv6

Mito: “como las direcciones IP bajo IPv6 nunca se van a acabar, no será necesario el uso de NAT”

Realidad:

• Está comprobado que el uso de NATs se incrementa a partir de IPv6 por la convivencia con IPv4 (“redes legacy”)• Nuevos tipos de NAT: Carrier Grade NATs NAT64

La utilización de NAT sobre IPv6 es una de las barreras más importantes a la masificación de IPSec, entre otras

(complejidad, inversión/soporte, etc.)

2


Análisis de vulnerabilidades (bajo IPv6)

El tamaño importa…: no es lo mismo realizar un análisis de vulnerabilidades sobre un espacio de direccionamiento de 2^32 (IPv4) que sobre 2^128 (IPv6).

…pero no es lo mismo cantidad que calidad:• Un espacio de direccionamiento tan grande es un desafío también para los

administradores en las empresas.• Las primeras estadísticas sugieren que hay una tendencia a utilizar esquemas

de numeración predecibles (punto para los atacantes!)• Hecha la ley, hecha la trampa… por ejemplo, nuevas técnicas de information

gathering basadas en MAC address.

Como de costumbre, no es la tecnología sino el uso que se le da lo que determina el nivel de exposición y riesgo

3


Stateless auto-configuration

Adiós al DHCP!: en IPv6 ya no es necesario utilizar un servidor DHCP ni configurar manualmente las direcciones IP.

Menos intermediarios siempre es una buena noticia: no es necesario el uso de proxies, especialmente útil en aplicaciones como videoconferencia y telefonía IP.

Antes de festejar, primero tengamos en cuenta que…Ya existen tool-kits de ataques para aprovechar vulnerabilidades de estos nuevos features.

Es esperable que a medida que se comience a difundir más la utilización de IPv6, las vulnerabilidades en el

protocolo se conviertan en objetivos de ataque

4


DNS en IPv65

Internet

DNS externo

DNS interno

www.level3.comx.x.x.x

www.intranet.corpx.x.x.x

www.level3.com


DNS en IPv6

Larga vida a los DNS: para propósitos de administración, es esperable que los DNS internos contengan la información de todos los hosts de la red (al menos las de los más importantes… sí, justo los que los atacantes necesitan!)

Los servidores DNS como objetivo de ataque:• Para qué recorrer toda la red cuando todo está en los DNS?• Atajo para el problema de la cantidad de direcciones• Se convierte en un problema de seguridad del software

La implementación de IPv6 refuerza la necesidad de seguridad interna, quizás el problema menos explorado por las

organizaciones…

5


Multicast en IPv6

Local multicast: direcciones especiales que permiten identificar grupos de hosts (servidores, routers, switches, etc.)

Un mundo de posibilidades:• Una dirección = acceso a todo el grupo!• Generación de ataques tradicionales: Denial of service (DoS) Port scanning

Seguridad interna, filtrado y personalización de los dispositivos de networking y seguridad se vuelven

imprescindibles para utilizar features avanzados

6


Ping en IPv6

ICMPv6 y Neighbor discovery: extensión de la funcionalidad del ICMP como “reemplazo” del ARP y del DHCP.

La buena noticia es… que como Neighbor discovery es susceptible a muchas vulnerabilidades, existe un protocolo “Secure Neighbor discovery” (SEND) que corrije muchas de ellas, por ejemplo a través de Cryptographically Generated Addresses (CGAs).

7

La mala noticia es… que el soporte para SEND es muy limitado, tanto en dispositivos de networking como a nivel de sistema operativo (si, justo ese en el que ud. está pensando!)


Mobile IPv6Verdaderamente en “la nube”: cualquier nodo en IPv6 puede cambiar de red manteniendo todas sus conexiones (TCP / UDP) activas, es decir sin interrupción de servicios.

Sin embargo…• La seguridad de la utilización de este mecanismo radica (a nivel del protocolo) en la utilización de IPSec sobre IPv6• Sin embargo, como ya mencionamos, el uso de IPSec es opcional• Esto abre las puertas a que un atacante redireccione el tráfico de un nodo a cualquier red de su preferencia!

Excelente ejemplo de cómo una característica potencialmente muy beneficiosa (“Always On”) puede

resultar en un riesgo no justificable.

8


MadurezEl código y los protocolos no son tan maduros como las implementaciones de IPv4:• Esto es normal en el software (desde los sistemas operativos de los smartphones hasta los routers), y los atacantes están dispuestos a aprovecharlo!

La única forma de ganar madurez es con experiencia:• A mayor número de implementaciones, más se afinarán el código y los protocolos.• Algunas características quedarán en el camino para ser mejoradas en el futuro (ejemplo: registros A6)

26

9

Sería esperable que alcanzada la madurez de IPv6, el nivel de riesgo sea equiparable al actual sobre IPv4… pero cómo llegaremos a eso?


Cosas que NO cambian

En IPv4, los ataques a nivel de aplicación superan por mucho a los ataques a nivel de red:

algo así como un 99% a 1%...

27

Los mismos ataques a nivel de aplicación que son válidos en IPv4 lo serán en IPv6.

10

Symantec Corp., Internet Security Threat Report, Vol. 16.


3. AMBIENTES COMPARTIDOSIPV4 / IPV6


Ambientes compartidos IPv4 / IPv6

29

Telecommuter

Residential

Dual Stack or MPLS & 6PE

IPv6 over IPv4 tunnels or Dedicated data link layers

Cable

IPv6 over IPv4 Tunnels

IPv6 IX

IPv6 over IPv4 tunnels or Dedicated data link layers

DSL,FTTH,Dial

Aggregation

IPv6 over IPv4 tunnels or Dual stack

ISP’s

6Bone

6to4 Relay

Dual Stack

ISATAP

Enterprise

Enterprise

WAN: 6to4, IPv6 over IPv4, Dual Stack

IPv6 BasicsTony HainCisco Systems© 2002, Cisco Systems, Inc. All rights reserved.


Ambientes compartidos IPv4 / IPv6Lo más difícil es la convivencia!Todas las técnicas (+15) de transición, convivencia e interacción de redes IPv4 / IPv6 son vulnerables a ataques. Principales herramientas:• Túneles automáticos (ISATAP, 6to4, Teredo)• Traslación (NAT64)

30

Los atacantes ya se están entrenando…Nro. 4 en el TOP 5 de downloads (y subiendo en los charts):

THC-IPv6 Attack Toolkit v1.6http://thc.org/download.php?t=r&f=thc-ipv6-1.6.tar.gz


4. CONCLUSIONES


Conclusiones (I)

32

Cuándo conviene comenzar a investigar e implementar IPv6?

Ahora!

Qué tan importante es la seguridad de la información en IPv6?

Muy importante, al igual que en IPv4.

Alcanza el conocimiento en IPv4 para implementar IPv6?

Es necesario desarrollar conocimiento y experiencia en IPv6.

Implementar IPv6 es tan sencillo como hacer un upgrade a la red?

NO! Requiere de una cuidadosa planificación…

Comprar buen hardware y software que soporte IPv6 resuelve todos los problemas?

Mmh… esto me parece haberlo escuchado antes…


Conclusiones (II)

33

Symantec Corp., Internet Security Threat Report, Vol. 16.

La implementación de IPv6 es la oportunidad de “empezar de cero” y reconstruir nuestras

redes considerando la seguridad de la información desde el inicio.

Estamos preparados y motivados para hacerlo?


Fuentes de información recomendadashttp://portalipv6.lacnic.net/es/noticias/novedades/lanzamiento-del-libro-ipv6-para-todos

http://www.gont.com.ar/ipv6/index.html

http://lacnic.net/sp/

http://www.level3.com/en/resource-library/


IPv6 Essentials (By Silvia Hagen) O'Reilly - May 2006

34

http://portalipv6.lacnic.net/es/noticias/novedades/lanzamiento-del-libro-ipv6-para-todos











Otras fuentes de informaciónhttp://technet.microsoft.com/en-us/library/bb726956.aspx

http://ipv6.com/articles/security/IPsec.htm

http://en.wikipedia.org/wiki/Carrier-grade_NAT

http://searchsecurity.techtarget.com/tip/IPv6-myths-Debunking-misconceptions-regarding-IPv6-security-features

http://www.thc.org/papers/vh_thc-ipv6_attack.pdf

http://www.ipv6.org

35

http://technet.microsoft.com/en-us/library/bb726956.aspx

http://ipv6.com/articles/security/IPsec.htm

http://en.wikipedia.org/wiki/Carrier-grade_NAT



http://www.thc.org/papers/vh_thc-ipv6_attack.pdf

http://www.ipv6.org/


MUCHAS GRACIAS!

Gabriel MarcosMarketing Specialist Datacenter & Security – Level3 Colombia

Correo: [email protected]

Twitter: @jarvel

seguridad en ipv6

Technology