Seguridad en IPv6
-
Upload
gabriel-marcos -
Category
Technology
-
view
1.824 -
download
1
description
Transcript of Seguridad en IPv6
Level 3 Communications, LLC. All Rights Reserved. 1
Seguridad en IPv6:Los riesgos que las empresas deben considerar
Gabriel MarcosMarketing Specialist Datacenter & Security – Level3 [email protected] Twitter: @jarvel
Level 3 Communications, LLC. All Rights Reserved. 2
Acerca de la presentación
• Esta presentación posee contenido desarrollado originalmente para el Foro de Tecnología y Negocios de Global Crossing (ahora Level3) que se realizó en Bogotá en Julio 2011.
• Para más información visite:
http://latamnews.globalcrossing.com/2011/07/col-foro/calendario/calendario.html
Level 3 Communications, LLC. All Rights Reserved. 3
1. INTRODUCCIÓN A IPV6
Level 3 Communications, LLC. All Rights Reserved. 4
Comunicándonos en Internet: direcciones IP
• Cada dispositivo conectado a Internet posee una “dirección IP” que lo identifica. Ejemplo: 195.87.15.28.
• De forma transparente para el usuario, la comunicación entre todos los dispositivos conectados a Internet se realiza a través de estos números.
• Podemos llamar “nodo” a cualquier dispositivo que tiene una dirección IP asignada.
4
Internet
Dirección IP “A” Dirección IP “B”
Level 3 Communications, LLC. All Rights Reserved. 5
Las direcciones IP no son infinitas• Las direcciones que utilizamos actualmente corresponden a la versión 4 del protocolo IP (IPv4).
• El espacio de direccionamiento es de 4.294.967.296 direcciones únicas (es decir: 2^32 direcciones).
• Sin embargo, la cantidad de direcciones IPs realmente utilizables es menor:• Existen direcciones IP reservadas• Hay mucho desperdicio en la asignación de las
direcciones IP• Históricamente se ha realizado un uso poco óptimo del
direccionamiento
Level 3 Communications, LLC. All Rights Reserved. 6
Las direcciones IP ya se acabaron!
http://www.nro.net/news/ipv4-free-pool-depleted
Level 3 Communications, LLC. All Rights Reserved. 7
Por qué necesitamos más direcciones IP?
• Evolución (“nivel de madurez”) de los países ya conectados a Internet.
• Conexión de nuevas ciudades y personas.
• Soporte de nuevos dispositivos (“nodos”) conectados a Internet.
• Implementación de nuevas tecnologías y servicios
• Proyectos futuristas, como por ejemplo… The Internet of Things!
Level 3 Communications, LLC. All Rights Reserved. 8
The Internet of Things
http://en.wikipedia.org/wiki/File:Internet_of_Things.png
Level 3 Communications, LLC. All Rights Reserved. 9
Qué es IPv6 y por qué es importante?
• El protocolo IPv6 es el reemplazo natural al IPv4 y está internacionalmente aceptado como la solución al problema de la falta de direcciones IP.
• El espacio de direccionamiento en IPv6 es de 2^128, aunque IPv6 es mucho más que una mayor cantidad de direcciones IP…
http://www.fortiguard.com/sites/default/files/SecuringIPv6Networks.pdf
Level 3 Communications, LLC. All Rights Reserved. 10
Impacto de IPv6 en una infraestructura de TI• Servidores• Computadores• Aplicaciones• Sistemas operativos• Routers• Switches• Firewalls• Internet• Redes privadas• VPNs• Etcétera…
Level 3 Communications, LLC. All Rights Reserved. 11
Primeras conclusiones
• IPv4 no puede proveer la cantidad de direcciones IP que el crecimiento de Internet requiere.
• IPv6 es una solución efectiva y probada que puede aportar direcciones IP “para siempre”.
• La migración a IPv6 es una cuestión del “presente”.
• La migración a IPv6 no es transparente.
• Todo el mundo se verá impactado por este cambio!
Level 3 Communications, LLC. All Rights Reserved. 12
2. RIESGOS A CONSIDERAR EN IPV6
Level 3 Communications, LLC. All Rights Reserved. 13
Por qué considerar riesgos en IPv6 ahora?• El conocimiento se construye con tiempo: la implementación de IPv6 abre las posibilidades a nuevos tipos y técnicas de ataque.
• La planificación es la clave del éxito: la implementación de IPv6 no es un tema exclusivamente de “networking”, también tiene impacto a nivel de los servidores, las aplicaciones y los dispositivos de seguridad.
• Las migraciones y las configuraciones mixtas son especialmente atractivas para los atacantes: el grado de exposición aumenta durante la etapa de transición (de hecho, al día de hoy nadie puede asegurar cuándo se va a terminar!).
Predicción: Ud. va a implementar IPv6 antes de lo que cree (o quiere)… como mínimo, para ser compatible con el resto del mundo!
Level 3 Communications, LLC. All Rights Reserved. 14
Tome nota de esto! (lo va a recordar más adelante)1. IPSec en IPv62. NAT en IPv63. Análisis de vulnerabilidades en IPv64. Stateless auto-configuration5. DNS en IPv66. Multicast en IPv67. Ping en IPv68. Mobile IPv69. Madurez10. Cosas que NO cambian
Level 3 Communications, LLC. All Rights Reserved. 15
IPSec en IPv61
Internet
VPN “Site-to-Site”
VPN “Client-to-Site”
Internet
VPNs con
IPSec en IPv4
VPN “Host-to-Host”
VPNs “Host-to-Host” con IPSec en
IPv6
Level 3 Communications, LLC. All Rights Reserved. 16
IPSec en IPv6
• Implementado de forma nativa, host-to-host (en lugar de “peer-to-peer” como es acostumbrado en IPv4).
• Recomendación: implementación mandatoria… pero en la realidad no es una limitación.
• Authentication extension header: protección para garantizar integridad y no repudiación.
• Encapsulting Security Paylod extension header: confidencialidad, integridad y anti-replay.
Los problemas potenciales de IPSec en IPv6 son los mismos que en IPv4; además, no se puede garantizar su implementación
como mecanismo end-to-end en cualquier escenario
1
Level 3 Communications, LLC. All Rights Reserved. 17
NAT en IPv62
Qué es NAT (Network Address Translation)?
Internet
Direcciones IP privadas
Direcciones IP públicas
NAT
Muchas Pocas
Level 3 Communications, LLC. All Rights Reserved. 18
NAT en IPv6
Mito: “como las direcciones IP bajo IPv6 nunca se van a acabar, no será necesario el uso de NAT”
Realidad:
• Está comprobado que el uso de NATs se incrementa a partir de IPv6 por la convivencia con IPv4 (“redes legacy”)• Nuevos tipos de NAT: Carrier Grade NATs NAT64
La utilización de NAT sobre IPv6 es una de las barreras más importantes a la masificación de IPSec, entre otras
(complejidad, inversión/soporte, etc.)
2
Level 3 Communications, LLC. All Rights Reserved. 19
Análisis de vulnerabilidades (bajo IPv6)
El tamaño importa…: no es lo mismo realizar un análisis de vulnerabilidades sobre un espacio de direccionamiento de 2^32 (IPv4) que sobre 2^128 (IPv6).
…pero no es lo mismo cantidad que calidad:• Un espacio de direccionamiento tan grande es un desafío también para los
administradores en las empresas.• Las primeras estadísticas sugieren que hay una tendencia a utilizar esquemas
de numeración predecibles (punto para los atacantes!)• Hecha la ley, hecha la trampa… por ejemplo, nuevas técnicas de information
gathering basadas en MAC address.
Como de costumbre, no es la tecnología sino el uso que se le da lo que determina el nivel de exposición y riesgo
3
Level 3 Communications, LLC. All Rights Reserved. 20
Stateless auto-configuration
Adiós al DHCP!: en IPv6 ya no es necesario utilizar un servidor DHCP ni configurar manualmente las direcciones IP.
Menos intermediarios siempre es una buena noticia: no es necesario el uso de proxies, especialmente útil en aplicaciones como videoconferencia y telefonía IP.
Antes de festejar, primero tengamos en cuenta que…Ya existen tool-kits de ataques para aprovechar vulnerabilidades de estos nuevos features.
Es esperable que a medida que se comience a difundir más la utilización de IPv6, las vulnerabilidades en el
protocolo se conviertan en objetivos de ataque
4
Level 3 Communications, LLC. All Rights Reserved. 21
DNS en IPv65
Internet
DNS externo
DNS interno
www.level3.comx.x.x.x
www.intranet.corpx.x.x.x
www.level3.com
Level 3 Communications, LLC. All Rights Reserved. 22
DNS en IPv6
Larga vida a los DNS: para propósitos de administración, es esperable que los DNS internos contengan la información de todos los hosts de la red (al menos las de los más importantes… sí, justo los que los atacantes necesitan!)
Los servidores DNS como objetivo de ataque:• Para qué recorrer toda la red cuando todo está en los DNS?• Atajo para el problema de la cantidad de direcciones• Se convierte en un problema de seguridad del software
La implementación de IPv6 refuerza la necesidad de seguridad interna, quizás el problema menos explorado por las
organizaciones…
5
Level 3 Communications, LLC. All Rights Reserved. 23
Multicast en IPv6
Local multicast: direcciones especiales que permiten identificar grupos de hosts (servidores, routers, switches, etc.)
Un mundo de posibilidades:• Una dirección = acceso a todo el grupo!• Generación de ataques tradicionales: Denial of service (DoS) Port scanning
Seguridad interna, filtrado y personalización de los dispositivos de networking y seguridad se vuelven
imprescindibles para utilizar features avanzados
6
Level 3 Communications, LLC. All Rights Reserved. 24
Ping en IPv6
ICMPv6 y Neighbor discovery: extensión de la funcionalidad del ICMP como “reemplazo” del ARP y del DHCP.
La buena noticia es… que como Neighbor discovery es susceptible a muchas vulnerabilidades, existe un protocolo “Secure Neighbor discovery” (SEND) que corrije muchas de ellas, por ejemplo a través de Cryptographically Generated Addresses (CGAs).
7
La mala noticia es… que el soporte para SEND es muy limitado, tanto en dispositivos de networking como a nivel de sistema operativo (si, justo ese en el que ud. está pensando!)
Level 3 Communications, LLC. All Rights Reserved. 25
Mobile IPv6Verdaderamente en “la nube”: cualquier nodo en IPv6 puede cambiar de red manteniendo todas sus conexiones (TCP / UDP) activas, es decir sin interrupción de servicios.
Sin embargo…• La seguridad de la utilización de este mecanismo radica (a nivel del protocolo) en la utilización de IPSec sobre IPv6• Sin embargo, como ya mencionamos, el uso de IPSec es opcional• Esto abre las puertas a que un atacante redireccione el tráfico de un nodo a cualquier red de su preferencia!
Excelente ejemplo de cómo una característica potencialmente muy beneficiosa (“Always On”) puede
resultar en un riesgo no justificable.
8
Level 3 Communications, LLC. All Rights Reserved. 26
MadurezEl código y los protocolos no son tan maduros como las implementaciones de IPv4:• Esto es normal en el software (desde los sistemas operativos de los smartphones hasta los routers), y los atacantes están dispuestos a aprovecharlo!
La única forma de ganar madurez es con experiencia:• A mayor número de implementaciones, más se afinarán el código y los protocolos.• Algunas características quedarán en el camino para ser mejoradas en el futuro (ejemplo: registros A6)
26
9
Sería esperable que alcanzada la madurez de IPv6, el nivel de riesgo sea equiparable al actual sobre IPv4… pero cómo llegaremos a eso?
Level 3 Communications, LLC. All Rights Reserved. 27
Cosas que NO cambian
En IPv4, los ataques a nivel de aplicación superan por mucho a los ataques a nivel de red:
algo así como un 99% a 1%...
27
Los mismos ataques a nivel de aplicación que son válidos en IPv4 lo serán en IPv6.
10
Symantec Corp., Internet Security Threat Report, Vol. 16.
Level 3 Communications, LLC. All Rights Reserved. 28
3. AMBIENTES COMPARTIDOSIPV4 / IPV6
Level 3 Communications, LLC. All Rights Reserved. 29
Ambientes compartidos IPv4 / IPv6
29
Telecommuter
Residential
Dual Stack or MPLS & 6PE
IPv6 over IPv4 tunnels or Dedicated data link layers
Cable
IPv6 over IPv4 Tunnels
IPv6 IX
IPv6 over IPv4 tunnels or Dedicated data link layers
DSL,FTTH,Dial
Aggregation
IPv6 over IPv4 tunnels or Dual stack
ISP’s
6Bone
6to4 Relay
Dual Stack
ISATAP
Enterprise
Enterprise
WAN: 6to4, IPv6 over IPv4, Dual Stack
IPv6 BasicsTony HainCisco Systems© 2002, Cisco Systems, Inc. All rights reserved.
Level 3 Communications, LLC. All Rights Reserved. 30
Ambientes compartidos IPv4 / IPv6Lo más difícil es la convivencia!Todas las técnicas (+15) de transición, convivencia e interacción de redes IPv4 / IPv6 son vulnerables a ataques. Principales herramientas:• Túneles automáticos (ISATAP, 6to4, Teredo)• Traslación (NAT64)
30
Los atacantes ya se están entrenando…Nro. 4 en el TOP 5 de downloads (y subiendo en los charts):
THC-IPv6 Attack Toolkit v1.6http://thc.org/download.php?t=r&f=thc-ipv6-1.6.tar.gz
Level 3 Communications, LLC. All Rights Reserved. 31
4. CONCLUSIONES
Level 3 Communications, LLC. All Rights Reserved. 32
Conclusiones (I)
32
Cuándo conviene comenzar a investigar e implementar IPv6?
Ahora!
Qué tan importante es la seguridad de la información en IPv6?
Muy importante, al igual que en IPv4.
Alcanza el conocimiento en IPv4 para implementar IPv6?
Es necesario desarrollar conocimiento y experiencia en IPv6.
Implementar IPv6 es tan sencillo como hacer un upgrade a la red?
NO! Requiere de una cuidadosa planificación…
Comprar buen hardware y software que soporte IPv6 resuelve todos los problemas?
Mmh… esto me parece haberlo escuchado antes…
Level 3 Communications, LLC. All Rights Reserved. 33
Conclusiones (II)
33
Symantec Corp., Internet Security Threat Report, Vol. 16.
La implementación de IPv6 es la oportunidad de “empezar de cero” y reconstruir nuestras
redes considerando la seguridad de la información desde el inicio.
Estamos preparados y motivados para hacerlo?
Level 3 Communications, LLC. All Rights Reserved. 34
Fuentes de información recomendadashttp://portalipv6.lacnic.net/es/noticias/novedades/lanzamiento-del-libro-ipv6-para-todos
http://www.gont.com.ar/ipv6/index.html
http://lacnic.net/sp/
http://www.level3.com/en/resource-library/
http://www.fortiguard.com/sites/default/files/SecuringIPv6Networks.pdf
IPv6 Essentials (By Silvia Hagen) O'Reilly - May 2006
34
Level 3 Communications, LLC. All Rights Reserved. 35
Otras fuentes de informaciónhttp://technet.microsoft.com/en-us/library/bb726956.aspx
http://ipv6.com/articles/security/IPsec.htm
http://en.wikipedia.org/wiki/Carrier-grade_NAT
http://searchsecurity.techtarget.com/tip/IPv6-myths-Debunking-misconceptions-regarding-IPv6-security-features
http://www.thc.org/papers/vh_thc-ipv6_attack.pdf
http://www.ipv6.org
35
Level 3 Communications, LLC. All Rights Reserved. 36
MUCHAS GRACIAS!
Gabriel MarcosMarketing Specialist Datacenter & Security – Level3 Colombia
Correo: [email protected]
Twitter: @jarvel