IPv6: Nuevos retos para la seguridad de las redes

Sólo quedan el 10% de las direcciones IPv4 disponibles. La necesidad de migrar a IPv6 se nos echará encima. Pero todavía, la mayoría de las partes interesadas se cuestionan las auténticas implicaciones que tal migración supondrá, especialmente en el ámbito de la seguridad. Muchos, por el contrario, consideran la nueva versión del protocolo de Internet la salvación de la seguridad en IP, sin tener en cuenta sus deficiencias.

Aunque ciertamente IPv6 introduce algunas mejoras en lo que a protección respecta, como la encriptación, no ha sido diseñado para resolver nativamente la seguridad al nivel de IP. Además, la antigua idea de que cualquier información encriptada es segura no tiene sentido en la Internet de hoy día considerando los ritmos y la sofisticación con que las codificaciones resultan violadas. Por ejemplo, en la última conferencia Black Hat, el hacker Moxie Marlinspike reveló diversas vulnerabilidades que afectan al protocolo de encriptación SSL y que permiten la intercepción de tráfico con certificados con terminación nula (de valor 0).

La mayoría de los expertos considera IPsec, el estándar de encriptación utilizado por IPv6, como una tecnología mucho más robusta que SSL. Pero conviene aclarar que, aunque su soporte es obligatorio en las normas relativas a IPv6, su uso es opcional (referencia RFC4301). Por otra parte, existe una importante carencia de tráfico IPsec en el actual espacio IPv4 debido a cuestiones de escalabilidad, interoperatividad y transporte y estos inconvenientes se trasladan también a IPv6. Por tanto, resulta previsible que la adopción de IPsec en el nuevo protocolo sea mínima. No obstante, lo cierto es que la capacidad de IPsec para soportar múltiples algoritmos de encriptación reduce en gran medida la complejidad de su despliegue, algo que a menudo es pasado por alto.

Por otra parte, algunas organizaciones creen que no desplegar IPv6 les protegerá de las vulnerabilidades de seguridad del nuevo protocolo de Internet. Pero se equivocan. La probabilidad de que el tráfico IPv6 corrupto corra sobre sus redes –desde el desktops hasta el centro- es cada vez mayor. Para empezar, la mayoría de los nuevos sistemas operativos se entregan ya con IPv6 habilitado por defecto. Un simple análisis de la configuración TCP/IP del sistema lo revela.

En consecuencia, el intentar evitar la migración puede aumentar incluso el riesgo, dado que los dispositivos de seguridad y las herramientas de monitorización basadas en IPv4 no tienen capacidad de inspeccionar ni bloquear tráfico IPv6, que inevitablemente correrá por todas las redes. La posibilidad de crear túneles para el transporte de tráfico IPv6 mediante agentes software sin necesidad de migrar nativamente es una importante funcionalidad que evita la necesidad de hacer el cambio con urgencia. Sin embargo, esta misma capacidad permite a los hackers crear túneles IPv6 sobre redes no IPv6 y lanzar ataques contra ellas.

Peligros del tunneling

Por tanto, este tipo de tunneling de IPv6 no debería utilizarse nunca para el transporte de ningún tráfico sensible. Ya se trate de datos de pacientes que circulan sobre una red de área amplia (WAN) de alguna organización del sector sanitario o del acceso de alguna entidad gubernamental a una Internet IPv6, el tunneling debe ser evitado a toda costa en tales casos. Activando la funcionalidad de tunneling sobre el cliente (por ejemplo, 6to4 en Mac y Teredo en Windows), se estará exponiendo la red de la empresa a las pasarelas IPv6 remotas, no registradas, desencriptadas y no autenticadas y abiertas de todo el mundo. La tasa de usuarios que experimenta con esta funcionalidad y, en consecuencia, expone sus redes a gateways maliciosas resulta alarmante.

La funcionalidad de descubrimiento de red avanzado de IPv6 permite a los administradores de red seleccionar los caminos que pueden utilizar para encaminar los paquetes. En teoría se trata de un gran avance respecto a IPv4. Sin embargo, desde el punto de vista de la seguridad, se convierte en un problema. En caso de que una red local IPv6 resulte comprometida, esta capacidad permitiría al atacante trazar y alcanzar redes remotas con poco o ningún esfuerzo.

Con el tiempo los suministradores empezarán con seguridad a desarrollar tecnologías de seguridad para IPv6 capaces de proteger las redes de todos estos peligros. Por ahora, como ocurre con la mayoría de los cambios de la industria TI, los fabricantes se centran en cuestiones más urgentes y relacionadas con el funcionamiento de sus soluciones. Dado que todavía no existen mandatos urgentes de migrar a IPv6, la mayoría se concentra en cuestiones de interoperatividad y conformidad.

Ante esta situación cabe preguntarse si el retraso en la adopción de IPv6 está dando a la comunidad de hackers una importante ventaja sobre la industria. La respuesta es claramente afirmativa. En la migración gradual a IPv6, la falta de interoperatividad y soporte a los niveles de dispositivos y aplicación expone a los usuarios a lagunas de amenazas. Y ello dará lugar a un círculo reactivo y caótico de parches, actualizaciones apresuradas y renovación de aplicaciones para combatir los ataques según vayan produciéndose.

Con independencia de la experiencia que usted tenga en IPv4, conviene que enfoque su migración a IPv6 con el máximo cuidado. La nueva versión de IP introduce muchos más cambios que el soporte de bloques IP de mayor longitud. La curva de aprendizaje al respecto es larga. Los entornos no podrán ser parcheados tan fácilmente como las aplicaciones Windows, por lo que la formación de la plantilla técnica deberá iniciarse cuanto antes. Muchos de los principios de red fundamentales, como el encaminamiento, DNS, calidades de servicio (QoS), multicast y direccionamiento IP habrán de revisarse.

La confianza en las funcionalidades dadas en IPv4, como el control de spam y la protección contra ataques de denegación de servicio (DoS), será mínima en IPv6 mientras Internet “aprende” y se “ajusta” a la nueva estructura de asignación IP.

Por eso, convertir la seguridad de su red será un aspecto de máxima prioridad en la migraci&o