SlideShare una empresa de Scribd logo

Implicaciones de seguridad en la implantación de i pv6

Rommel Macas
Rommel Macas
Educación
1 de 33
IMPLICACIONES DE SEGURIDAD EN LA IMPLANTACIÓN DE IPv6 Rommel L. Macas R. rlmacas@computer.org rlmacas.blogspot.com
INTRODUCCIÓN Para que Internet siga creciendo y evolucionando se ha revisado uno de sus elementos de base: el protocolo IP. La nueva versión, IPv61, esta diseñado para ser el sucesor de IPv4 en Internet solventando muchas de sus deficiencias. IPv6, entre otras ventajas, soluciona el problema del agotamiento de las direcciones IP, aporta funcionalidades de seguridad para el cifrado y autenticación en comunicaciones de extremo a extremo, y permite la creación de nuevos servicios.
PROTOCOLO IP El protocolo IP es el protocolo más utilizado por los sistemas informáticos para comunicarse. La mayoría de aplicaciones o protocolos de mayor nivel (HTTP, SMTP, P2P, etc.) se apoyan en este protocolo para su funcionamiento. Los equipos o dispositivos que utilizan el protocolo IP tienen asignado un identificador único llamado dirección IP para encaminar el mensaje entre los distintos nodos de la red de comunicaciones, desde el origen al destino. Este identificador es un número de 32 bits que se suele representar, para su más fácil manejo, mediante 4 números, del 0 al 255, separados por puntos.
¿POR QUÉ IPV6? Dado que la dirección IP es de 32 bits, se pueden tener unos 4.300 millones de direcciones distintas. Pero, debido principalmente al gran número de dispositivos o equipos que utilizan el protocolo IP, y que por tanto necesitan una dirección IP, el número de direcciones disponibles se está agotando. Aunque se ha tratado de mitigar con soluciones como NAT2 o CIDR3, éstas no resuelven el problema de base y, además, introducen limitaciones como la pérdida de conectividad extremo a extremo.
¿QUÉ ES IPV6? Para solucionar este problema se ha creado una nueva versión de este protocolo llamada IPv6 que utiliza como dirección IP un número de 128 bits, de tal forma que IPv6 tiene 2 ^ 96 veces más direcciones que IPv4. Aunque en realidad, considerando que la subred mínima de IPv6 es de 64 bits de longitud, en IPv6 es más correcto hablar de un espacio total de 2 elevado a 64 subredes con 2 elevado a 64 posibles direcciones en cada una.
NUEVAS FUNCIONALIDADES Y MEJORAS DEL IPV6 Autoconfiguración y reconfiguración automáticas de la dirección IP sin necesidad de servidores (sin estado). Soporte nativo y mejorado del direccionamiento multicast y creación del direccionamiento anycast. Implementación obligatoria de IPsec. Enrutado más eficiente. Soporte optimizado de movilidad IP. Implementación de etiquetas para QoS.
¿IPV4 VS IPV6? Se espera que los dispositivos IPv4 convivan durante un largo tiempo (difícilmente predecible, pero posiblemente de 10 a 20 años) con los dispositivos IPv6 mediante mecanismos de coexistencia o transición, implementando ambos protocolos simultáneamente o mediante túneles sobre IPv4.
DIFERENCIA EN LAS CABECERAS DEL PROTOCOLO
IMPLANTACIÓN DE SEGURIDADIPSEC IPsec es un conjunto de protocolos abiertos que tienen como fin proporcionar seguridad en las comunicaciones de la capa de red del modelo OSI (a la que pertenece el protocolo IPv6), y de ese modo, a todos los protocolos de capas superiores. IPsec se basa en diferentes protocolos como AH y ESP, con el fin de asegurar las grandes falencias que tienen las redes actualmente como es autenticación, integridad y confidencialidad. En donde la confidencialidad de datos protege a los paquetes de suplantación, la autenticación asegura que solo el emisor y el receptor tienen acceso a la información y no un tercero, y la integridad de datos que garantiza que no se han modificado los paquetes durante el trayecto.
IPSEC En IPv4 la implementación de IPsec se define en una especificación diferente a la del propio protocolo IPv4, por lo que la inclusión del protocolo se hace con mecanismos definidos fuera del mismo, mientras que en IPv6 la propia arquitectura "extensible" del protocolo permite implementar IPsec de forma natural. Es importante reseñar que IPv6 habilita la posibilidad de usar IPsec, y no los mecanismos de cifrado y autenticación propios de IPsec.
MODOS DE FUNCIONAMIENTO DE IPSEC Modo Transporte: se cifra y/o autentica la carga útil, o payload, pero las cabeceras no se tienen en cuenta. Tiene como ventaja que se puede utilizar de extremo a extremo pero, por contra, la información de las cabeceras, como la dirección IP de origen y destino, es visible. Modo Túnel: una plataforma, o pasarela, encapsula el paquete original en otro paquete. Con ello se cifra y/o autentica el paquete original completo, pero se necesita de una plataforma que realice el túnel.
PROTOCOLOS DE TRANSFERENCIA IPSEC AH (AuthenticationHeader): proporciona autenticación, integridad y un servicio de anti-repetición opcional. ESP (Encapsulating Security Payload): además de las ventajas anteriores proporciona confidencialidad. Ambos pueden funcionar en modo túnel o transporte
MODO AH
MODO ESP
IPSEC EN LA PRÁCTICA El uso de IPsec es escaso debido, sobre todo, a la falta de un mecanismo generalizado y global de intercambio de claves. Por esta razón, el uso de IPsec en IPv6 es por el momento similar al de IPv4, para conexiones pre-configuradas como, por ejemplo, las utilizadas en las VPN. La solución futura para el problema anterior puede que se base en mecanismos externos como certificados transportados por DNS asegurado con DNSSEC.
ALGUNAS DE LAS MEJORAS DE IPV6 Imposibilidad de exploración de redes mediante "fuerza bruta". Anteriormente, los atacantes o programas maliciosos, como los gusanos, podían encontrar objetivos en una red comprobando todas las direcciones posibles. Pero debido al crecimiento exponencial de su número total, esta exploración es, a priori, inviable. Desaparece la necesidad de utilizar NAT. Aunque ha sido una tecnología muy útil, tiene los inconvenientes de que genera una falsa sensación de seguridad y de que se pierde la posibilidad de realizar conexiones seguras de extremo a extremo, incrementando la complejidad y el coste del desarrollo de aplicaciones. Se elimina la posibilidad de realizar un ataque DDOS de tipo broadcast o smurf5 al desaparecer este direccionamiento y al implantarse medidas de seguridad en el multicast.
CONSIDERACIONES DE SEGURIDAD Aspectos técnicos Consideraciones de gestión Estructura o características propias del protocolo
CONSIDERACIONES DE SEGURIDAD:ASPECTO TÉCNICO Dispositivos de seguridad que no analizan el protocolo IPv6 Puede que los dispositivos de seguridad, como cortafuegos o IDS, o las herramientas de gestión de red no sean capaces o no estén configurados para analizar los flujos de datos del protocolo IPv6. Si fuera así, se podrían establecer comunicaciones maliciosas desde o hacia equipos de la red que soporten IPv6.
CONSIDERACIONES DE SEGURIDAD:ASPECTO TÉCNICO Presencia de dispositivos de los que se desconoce que pueden usar IPv6 y de túneles IPv6 Además pueden existir túneles IPv6. Un túnel es una conexión punto a punto, en la que se encapsulan los paquetes IPv6 en paquetes IPv4, de forma que se pueda transmitir IPv6 a través de una infraestructura IPv4. En el extremo final del túnel, se desencapsula (o extrae) el paquete IPv6 original. Los dispositivos de seguridad perimetral puede que no estén preparados o configurados para analizar estos flujos de datos, que pueden ser utilizados para comunicaciones no permitidas como, por ejemplo, puertas traseras de C&C (Command and Control) de botnets o de P2P.
DIAGRAMA DE RED CON CONEXIONES IPV6 EN IPV4
CONSIDERACIONES DE SEGURIDAD:ASPECTO TÉCNICO Dejar de utilizar NAT Una consecuencia indirecta del uso de NAT es que se emplea a modo de cortafuegos para proteger los equipos internos de las conexiones externas. Pero ya que IPv6 elimina su necesidad, se deberá modificar la política de los cortafuegos para que, según la política de seguridad, filtre o no las comunicaciones directas a los equipos de la red privada.
CONSIDERACIONES DE SEGURIDAD:ASPECTO TÉCNICO Necesidad de multicast e ICMP Muchos cortafuegos bloquean estos protocolos, aunque ciertas partes pueden ser muy importantes como, por ejemplo, el uso de ICMP para PMTU. En IPv6 son imprescindibles para su funcionamiento; por lo tanto, se deberán modificar las políticas de seguridad para permitir determinadas comunicaciones multicast e ICMP.
CONSIDERACIONES DE SEGURIDAD:ASPECTO TÉCNICO Cambio en la monitorización de la red Debido al gran número de direcciones disponibles será inviable escanear la red por fuerza bruta, por lo que los equipos se inventariarán de otra manera como, por ejemplo, en un servidor DNS. Sin embargo, posiblemente surjan otras formas de escanear una red: existen direcciones multicast concretas para localizar servicios (por ejemplo FF05::2 Allrouters, FF05::1:3 AllDHCP Servers) y direcciones de link-local, que permiten la comunicación en el segmento de red al que se esté conectado. Un atacante puede utilizar estas direcciones para establecer contacto con equipos o servicios. Aunque, en la práctica, este método no será probable que tenga éxito ya que la mayor parte de los sistemas operativos están configurados para no responder a estas peticiones.
CONSIDERACIONES DE SEGURIDAD:CONSIDERACIONES DE GESTIÓN Curva de aprendizaje Como con toda adopción de una nueva tecnología, las organizaciones necesitan de tiempo y recursos a la hora de adquirir el conocimiento necesario para implantar y administrar con seguridad el protocolo IPv6.
CONSIDERACIONES DE SEGURIDAD:CONSIDERACIONES DE GESTIÓN Implementación de sistemas de doble pila La implantación de IPv6 supondrá un importante cambio en los sistemas de comunicaciones ya que deberá soportar ambos protocolos y su interoperabilidad. El diseño, implantación y configuración de estos sistemas de doble pila, que implementan IPv4 e IPv6, será un proyecto complejo en el que habrá que evaluar todos los requisitos posibles de seguridad.
CONSIDERACIONES DE SEGURIDAD:ESTRUCTURA O CARACTERÍSTICAS PROPIAS DEL PROTOCOLO Suplantación de identidad en la autoconfiguración de la dirección IP Una de las novedades del protocolo es la capacidad de una interfaz de generar su dirección IP a partir de su dirección MAC. Durante este proceso el dispositivo pregunta al resto de dispositivos de la red si alguno esta utilizando esa dirección. Además, si el dispositivo está conectado a una red en la que existe un enrutador, recibirá de él el resto de parámetros de configuración como puede ser el prefijo de la red.
Suplantación de identidad en la autoconfiguración de la dirección IP Durante este proceso, cualquier dispositivo podría generar de forman continuada una respuesta falsa informando de que la dirección está en uso y provocar que el dispositivo que solicita una dirección no se pueda conectar a la red. También, podría hacerse pasar por un enrutador para realizar un ataque de man-in-the-middle. El protocolo SENDsoluciona este problema, aunque todavía no ha sido implementado en la mayoría de sistemas operativos. SEND es una extensión que mejora la seguridad de protocolo NDP, que es el encargado de descubrir otros nodos en la red local, enrutadores, etc. Para realizar sus funciones SEND utiliza encriptación asimétrica y firma electrónica. SEND es una evidente mejora respecto a IPv4 donde no existe nada comparable.
CONSIDERACIONES DE SEGURIDAD:ESTRUCTURA O CARACTERÍSTICAS PROPIAS DEL PROTOCOLO Privacidad Al generar un equipo su dirección IP a partir de la dirección MAC, se puede asociar una IP a un equipo de forma unívoca y, a su vez, se puede asociar un equipo a una persona. Al realizar uso de Internet se deja un rastro de la dirección IP en los distintos servidores o redes con lo que se establece una comunicación. A partir de esta dirección IP se podría saber que servidores web o servicios visitó una persona.
Privacidad Una solución para este problema consiste en la generación aleatoria de parte de la dirección IP, lo que se conoce como extensiones de privacidad13. La gran mayoría de los sistemas operativos soportan las extensiones de privacidad y en algunos incluso están habilitadas por defecto (Windows XP, Vista y 7). Otra posible solución es la asignación temporal de direcciones mediante DHCPv6.
RECOMENDACIONES Crear políticas de seguridad que tengan en cuenta el protocolo IPv6. Obtener conocimiento de la administración de sistemas IPv6, ya que, aunque en la actualidad se pueda bloquear todo el tráfico IPv6 o se disponga de direcciones IPv4, en el futuro será cada vez más necesario porque los proveedores integrarán sus servicios con IPv6. Disponer de dispositivos de seguridad y herramientas de gestión de red que sean capaces de analizar y, en caso de que sea necesario, bloquear el flujo de datos IPv6 y los túneles o mecanismos de transición IPv6.
Dudas, Sugerencias o Comentarios Escríbanme rlmacas@computer.org
REFERENCIAS Comisión Europea: http://ec.europa.eu/information_society/policy/ipv6/index_en.htm ENISA: http://www.enisa.europa.eu/act/res/files/resilience-features-of-ipv6-dnssec-and-mpls/?searchterm=ipv6 SecurityFocus: http://www.securityfocus.com/news/11463 IETF: http://www.ietf.org/rfc/rfc3971.txt Microsoft: http://technet.microsoft.com/en-us/network/bb530961.aspx Consulintel: http://www.mundointernet.es/IMG/pdf/ponencia162_1.pdf NetworkWorld: http://www.networkworld.com/news/2009/071309-ipv6-network-threat.html Portal IPv6: http://www.ipv6tf.org IPv6-To-Standard: http://www.ipv6-to-standard.org
Implicaciones de seguridad en la implantación de i pv6

Recomendados

Protocolos de seguridad ITTG-ECA7
Protocolos de seguridad ITTG-ECA7Protocolos de seguridad ITTG-ECA7
Protocolos de seguridad ITTG-ECA7memelovsky
 
Pitufo Isa Server 2 K6
Pitufo Isa Server 2 K6Pitufo Isa Server 2 K6
Pitufo Isa Server 2 K6Chema Alonso
 
Protocolos De Seguridad
Protocolos De SeguridadProtocolos De Seguridad
Protocolos De SeguridadMISION BOGOTA
 
Protocolos De Seguridad
Protocolos De SeguridadProtocolos De Seguridad
Protocolos De Seguridadguestc0218e
 
Seguridad WiFI (resumen ejecutivo)
Seguridad WiFI (resumen ejecutivo)Seguridad WiFI (resumen ejecutivo)
Seguridad WiFI (resumen ejecutivo)Alejandro Corletti Estrada
 
Seguridad WiFi (técnico)
Seguridad WiFi (técnico)Seguridad WiFi (técnico)
Seguridad WiFi (técnico)Alejandro Corletti Estrada
 
Seguridad en IPv6: los riesgos que las empresas deben considerar
Seguridad en IPv6: los riesgos que las empresas deben considerarSeguridad en IPv6: los riesgos que las empresas deben considerar
Seguridad en IPv6: los riesgos que las empresas deben considerarGabriel Marcos
 
Seguridad en IPv6
Seguridad en IPv6Seguridad en IPv6
Seguridad en IPv6Gabriel Marcos
 

Recomendados

Protocolos de seguridad ITTG-ECA7
Protocolos de seguridad ITTG-ECA7Protocolos de seguridad ITTG-ECA7
Protocolos de seguridad ITTG-ECA7memelovsky
 
Pitufo Isa Server 2 K6
Pitufo Isa Server 2 K6Pitufo Isa Server 2 K6
Pitufo Isa Server 2 K6Chema Alonso
 
Protocolos De Seguridad
Protocolos De SeguridadProtocolos De Seguridad
Protocolos De SeguridadMISION BOGOTA
 
Protocolos De Seguridad
Protocolos De SeguridadProtocolos De Seguridad
Protocolos De Seguridadguestc0218e
 
Seguridad WiFI (resumen ejecutivo)
Seguridad WiFI (resumen ejecutivo)Seguridad WiFI (resumen ejecutivo)
Seguridad WiFI (resumen ejecutivo)Alejandro Corletti Estrada
 
Seguridad WiFi (técnico)
Seguridad WiFi (técnico)Seguridad WiFi (técnico)
Seguridad WiFi (técnico)Alejandro Corletti Estrada
 
Seguridad en IPv6: los riesgos que las empresas deben considerar
Seguridad en IPv6: los riesgos que las empresas deben considerarSeguridad en IPv6: los riesgos que las empresas deben considerar
Seguridad en IPv6: los riesgos que las empresas deben considerarGabriel Marcos
 
Seguridad en IPv6
Seguridad en IPv6Seguridad en IPv6
Seguridad en IPv6Gabriel Marcos
 
Protocolo tcpip juan pablo
Protocolo tcpip juan pabloProtocolo tcpip juan pablo
Protocolo tcpip juan pablojuan pablo gutierrez arias
 
dmz definicion
dmz definiciondmz definicion
dmz definicionNicolas Notempus
 
Presentacion
PresentacionPresentacion
Presentacioncsiria_14-1994
 
IPv6 Modulo2
IPv6 Modulo2IPv6 Modulo2
IPv6 Modulo2bramstoker
 
Gumiparty 007
Gumiparty 007Gumiparty 007
Gumiparty 007David Cristóbal
 
Tema 3. Firewalls y Proxies con OpenBSD Y GNU/Linux
Tema 3. Firewalls y Proxies con OpenBSD Y GNU/LinuxTema 3. Firewalls y Proxies con OpenBSD Y GNU/Linux
Tema 3. Firewalls y Proxies con OpenBSD Y GNU/LinuxFrancisco Medina
 
Cain & abel (sniffer)
Cain & abel (sniffer)Cain & abel (sniffer)
Cain & abel (sniffer)Tensor
 
Scapy. Generación y manipulación básica de paquetes de red
Scapy. Generación y manipulación básica de paquetes de redScapy. Generación y manipulación básica de paquetes de red
Scapy. Generación y manipulación básica de paquetes de redDavid Cristóbal
 
Nivel de Inmadurez de los nids
Nivel de Inmadurez de los nidsNivel de Inmadurez de los nids
Nivel de Inmadurez de los nidsAlejandro Corletti Estrada
 
Glosario
GlosarioGlosario
GlosarioDaniel Valdez
 
Ug firewall & dmz
Ug firewall & dmzUg firewall & dmz
Ug firewall & dmzJuan Barahona
 
Contrucción de Cortafuego (Firewall) con IPTABLES
Contrucción de Cortafuego (Firewall) con IPTABLESContrucción de Cortafuego (Firewall) con IPTABLES
Contrucción de Cortafuego (Firewall) con IPTABLESpablo
 
Cortafuegos o firewall
Cortafuegos o firewallCortafuegos o firewall
Cortafuegos o firewallJorge Martínez Cerón
 
Vpn virtual private network
Vpn virtual private networkVpn virtual private network
Vpn virtual private networkjossephcallalle
 
Migracion ipv4 ipv6
Migracion ipv4 ipv6Migracion ipv4 ipv6
Migracion ipv4 ipv6gmarinfr
 
Basics1
Basics1Basics1
Basics1phanleson
 
Robotica - IA
Robotica - IARobotica - IA
Robotica - IARommel Macas
 
Curso De CapacitacióN Web 2
Curso De CapacitacióN Web 2Curso De CapacitacióN Web 2
Curso De CapacitacióN Web 2Rommel Macas
 
Beneficios computer society
Beneficios computer societyBeneficios computer society
Beneficios computer societyRommel Macas
 
Participant manual chp for trainers mar 09-1
Participant manual chp for trainers mar 09-1Participant manual chp for trainers mar 09-1
Participant manual chp for trainers mar 09-1rsd kol abundjani
 
Sociedad de la Información
Sociedad de la InformaciónSociedad de la Información
Sociedad de la InformaciónRommel Macas
 
Plan nacional desarrollo 2007 - 2010
Plan nacional desarrollo 2007 - 2010Plan nacional desarrollo 2007 - 2010
Plan nacional desarrollo 2007 - 2010René Ramírez Gallegos
 

Más contenido relacionado

La actualidad más candente

Tema 3. Firewalls y Proxies con OpenBSD Y GNU/Linux
Tema 3. Firewalls y Proxies con OpenBSD Y GNU/LinuxTema 3. Firewalls y Proxies con OpenBSD Y GNU/Linux
Tema 3. Firewalls y Proxies con OpenBSD Y GNU/LinuxFrancisco Medina
 
Cain & abel (sniffer)
Cain & abel (sniffer)Cain & abel (sniffer)
Cain & abel (sniffer)Tensor
 
Scapy. Generación y manipulación básica de paquetes de red
Scapy. Generación y manipulación básica de paquetes de redScapy. Generación y manipulación básica de paquetes de red
Scapy. Generación y manipulación básica de paquetes de redDavid Cristóbal
 
Contrucción de Cortafuego (Firewall) con IPTABLES
Contrucción de Cortafuego (Firewall) con IPTABLESContrucción de Cortafuego (Firewall) con IPTABLES
Contrucción de Cortafuego (Firewall) con IPTABLESpablo
 
Vpn virtual private network
Vpn virtual private networkVpn virtual private network
Vpn virtual private networkjossephcallalle
 
Migracion ipv4 ipv6
Migracion ipv4 ipv6Migracion ipv4 ipv6
Migracion ipv4 ipv6gmarinfr
 

La actualidad más candente (15)

Protocolo tcpip juan pablo
Protocolo tcpip juan pabloProtocolo tcpip juan pablo
Protocolo tcpip juan pablo
 
dmz definicion
dmz definiciondmz definicion
dmz definicion
 
Presentacion
PresentacionPresentacion
Presentacion
 
IPv6 Modulo2
IPv6 Modulo2IPv6 Modulo2
IPv6 Modulo2
 
Gumiparty 007
Gumiparty 007Gumiparty 007
Gumiparty 007
 
Tema 3. Firewalls y Proxies con OpenBSD Y GNU/Linux
Tema 3. Firewalls y Proxies con OpenBSD Y GNU/LinuxTema 3. Firewalls y Proxies con OpenBSD Y GNU/Linux
Tema 3. Firewalls y Proxies con OpenBSD Y GNU/Linux
 
Cain & abel (sniffer)
Cain & abel (sniffer)Cain & abel (sniffer)
Cain & abel (sniffer)
 
Scapy. Generación y manipulación básica de paquetes de red
Scapy. Generación y manipulación básica de paquetes de redScapy. Generación y manipulación básica de paquetes de red
Scapy. Generación y manipulación básica de paquetes de red
 
Nivel de Inmadurez de los nids
Nivel de Inmadurez de los nidsNivel de Inmadurez de los nids
Nivel de Inmadurez de los nids
 
Glosario
GlosarioGlosario
Glosario
 
Ug firewall & dmz
Ug firewall & dmzUg firewall & dmz
Ug firewall & dmz
 
Contrucción de Cortafuego (Firewall) con IPTABLES
Contrucción de Cortafuego (Firewall) con IPTABLESContrucción de Cortafuego (Firewall) con IPTABLES
Contrucción de Cortafuego (Firewall) con IPTABLES
 
Cortafuegos o firewall
Cortafuegos o firewallCortafuegos o firewall
Cortafuegos o firewall
 
Vpn virtual private network
Vpn virtual private networkVpn virtual private network
Vpn virtual private network
 
Migracion ipv4 ipv6
Migracion ipv4 ipv6Migracion ipv4 ipv6
Migracion ipv4 ipv6
 

Destacado

Curso De CapacitacióN Web 2
Curso De CapacitacióN Web 2Curso De CapacitacióN Web 2
Curso De CapacitacióN Web 2Rommel Macas
 
Beneficios computer society
Beneficios computer societyBeneficios computer society
Beneficios computer societyRommel Macas
 
Participant manual chp for trainers mar 09-1
Participant manual chp for trainers mar 09-1Participant manual chp for trainers mar 09-1
Participant manual chp for trainers mar 09-1rsd kol abundjani
 
Sociedad de la Información
Sociedad de la InformaciónSociedad de la Información
Sociedad de la InformaciónRommel Macas
 
Cuadro comparativo terminado
Cuadro comparativo terminadoCuadro comparativo terminado
Cuadro comparativo terminadok14h
 

Destacado (8)

Basics1
Basics1Basics1
Basics1
 
Robotica - IA
Robotica - IARobotica - IA
Robotica - IA
 
Curso De CapacitacióN Web 2
Curso De CapacitacióN Web 2Curso De CapacitacióN Web 2
Curso De CapacitacióN Web 2
 
Beneficios computer society
Beneficios computer societyBeneficios computer society
Beneficios computer society
 
Participant manual chp for trainers mar 09-1
Participant manual chp for trainers mar 09-1Participant manual chp for trainers mar 09-1
Participant manual chp for trainers mar 09-1
 
Sociedad de la Información
Sociedad de la InformaciónSociedad de la Información
Sociedad de la Información
 
Plan nacional desarrollo 2007 - 2010
Plan nacional desarrollo 2007 - 2010Plan nacional desarrollo 2007 - 2010
Plan nacional desarrollo 2007 - 2010
 
Cuadro comparativo terminado
Cuadro comparativo terminadoCuadro comparativo terminado
Cuadro comparativo terminado
 

Similar a Implicaciones de seguridad en la implantación de i pv6

Transicion de ipv4 a ipv6
Transicion de ipv4 a ipv6Transicion de ipv4 a ipv6
Transicion de ipv4 a ipv6jose_carlos1090
 
Comparación IPV6 e IPV4
Comparación IPV6 e IPV4 Comparación IPV6 e IPV4
Comparación IPV6 e IPV4 Angel Martinez
 
Qué son direcciones ip
Qué son direcciones ipQué son direcciones ip
Qué son direcciones ipAime Rodriguez
 
Protocolo Ip e IPV4 vs IPV6 - Modelo OSI - Telecomunicaciones
Protocolo Ip e IPV4 vs IPV6 - Modelo OSI - Telecomunicaciones Protocolo Ip e IPV4 vs IPV6 - Modelo OSI - Telecomunicaciones
Protocolo Ip e IPV4 vs IPV6 - Modelo OSI - Telecomunicaciones Ale OH
 
Universidad galileo.paquetes de software I.
Universidad galileo.paquetes de software I. Universidad galileo.paquetes de software I.
Universidad galileo.paquetes de software I. mrhagt
 
I pv6 protocolos de internet
I pv6 protocolos de internetI pv6 protocolos de internet
I pv6 protocolos de internetfranciscoanalisis
 
Sandra velásquez investigacion ivp6
Sandra velásquez investigacion ivp6Sandra velásquez investigacion ivp6
Sandra velásquez investigacion ivp6Sandra Velásquez
 
Protocolos de la capa de internet.pptx
Protocolos de la capa de internet.pptxProtocolos de la capa de internet.pptx
Protocolos de la capa de internet.pptxJhoelAlanHuaracaNez
 
RESUMEN LIBRO IPv6 NETWORK ADMINISTRATION
RESUMEN LIBRO IPv6 NETWORK ADMINISTRATIONRESUMEN LIBRO IPv6 NETWORK ADMINISTRATION
RESUMEN LIBRO IPv6 NETWORK ADMINISTRATIONEdgaarImaanoolOrteeg
 

Similar a Implicaciones de seguridad en la implantación de i pv6 (20)

Transicion de ipv4 a ipv6
Transicion de ipv4 a ipv6Transicion de ipv4 a ipv6
Transicion de ipv4 a ipv6
 
Comparación IPV6 e IPV4
Comparación IPV6 e IPV4 Comparación IPV6 e IPV4
Comparación IPV6 e IPV4
 
Qué son direcciones ip
Qué son direcciones ipQué son direcciones ip
Qué son direcciones ip
 
Direccionamiento I Pv6
Direccionamiento I Pv6Direccionamiento I Pv6
Direccionamiento I Pv6
 
IPV6
IPV6IPV6
IPV6
 
Protocolo Ip e IPV4 vs IPV6 - Modelo OSI - Telecomunicaciones
Protocolo Ip e IPV4 vs IPV6 - Modelo OSI - Telecomunicaciones Protocolo Ip e IPV4 vs IPV6 - Modelo OSI - Telecomunicaciones
Protocolo Ip e IPV4 vs IPV6 - Modelo OSI - Telecomunicaciones
 
Universidad galileo.paquetes de software I.
Universidad galileo.paquetes de software I. Universidad galileo.paquetes de software I.
Universidad galileo.paquetes de software I.
 
I pv6 protocolos de internet
I pv6 protocolos de internetI pv6 protocolos de internet
I pv6 protocolos de internet
 
Sandra velásquez investigacion ivp6
Sandra velásquez investigacion ivp6Sandra velásquez investigacion ivp6
Sandra velásquez investigacion ivp6
 
Ipv4 vs ipv6
Ipv4 vs ipv6Ipv4 vs ipv6
Ipv4 vs ipv6
 
Protocolo Internet VersióN 6
Protocolo Internet VersióN 6Protocolo Internet VersióN 6
Protocolo Internet VersióN 6
 
Ipv4 vs ipv6
Ipv4 vs ipv6Ipv4 vs ipv6
Ipv4 vs ipv6
 
Ipsec
IpsecIpsec
Ipsec
 
I psec
I psecI psec
I psec
 
Ipsec
IpsecIpsec
Ipsec
 
Redes
RedesRedes
Redes
 
Protocolos de la capa de internet.pptx
Protocolos de la capa de internet.pptxProtocolos de la capa de internet.pptx
Protocolos de la capa de internet.pptx
 
RESUMEN LIBRO IPv6 NETWORK ADMINISTRATION
RESUMEN LIBRO IPv6 NETWORK ADMINISTRATIONRESUMEN LIBRO IPv6 NETWORK ADMINISTRATION
RESUMEN LIBRO IPv6 NETWORK ADMINISTRATION
 
Ipv6
Ipv6Ipv6
Ipv6
 
Modelo de referencia tcp
Modelo de referencia tcpModelo de referencia tcp
Modelo de referencia tcp
 

Último

FORTI-MAYO 2024.pdf.CIENCIA,EDUCACION,CULTURA
FORTI-MAYO 2024.pdf.CIENCIA,EDUCACION,CULTURAFORTI-MAYO 2024.pdf.CIENCIA,EDUCACION,CULTURA
FORTI-MAYO 2024.pdf.CIENCIA,EDUCACION,CULTURAEl Fortí
 
AFICHE EL MANIERISMO HISTORIA DE LA ARQUITECTURA II
AFICHE EL MANIERISMO HISTORIA DE LA ARQUITECTURA IIAFICHE EL MANIERISMO HISTORIA DE LA ARQUITECTURA II
AFICHE EL MANIERISMO HISTORIA DE LA ARQUITECTURA IIIsauraImbrondone
 
2 REGLAMENTO RM 0912-2024 DE MODALIDADES DE GRADUACIÓN_.pptx
2 REGLAMENTO RM 0912-2024 DE MODALIDADES DE GRADUACIÓN_.pptx2 REGLAMENTO RM 0912-2024 DE MODALIDADES DE GRADUACIÓN_.pptx
2 REGLAMENTO RM 0912-2024 DE MODALIDADES DE GRADUACIÓN_.pptxRigoTito
 
SESION DE PERSONAL SOCIAL. La convivencia en familia 22-04-24 -.doc
SESION DE PERSONAL SOCIAL. La convivencia en familia 22-04-24 -.docSESION DE PERSONAL SOCIAL. La convivencia en familia 22-04-24 -.doc
SESION DE PERSONAL SOCIAL. La convivencia en familia 22-04-24 -.docRodneyFrankCUADROSMI
 
SEXTO SEGUNDO PERIODO EMPRENDIMIENTO.pptx
SEXTO SEGUNDO PERIODO EMPRENDIMIENTO.pptxSEXTO SEGUNDO PERIODO EMPRENDIMIENTO.pptx
SEXTO SEGUNDO PERIODO EMPRENDIMIENTO.pptxYadi Campos
 
PIAR v 015. 2024 Plan Individual de ajustes razonables
PIAR v 015. 2024 Plan Individual de ajustes razonablesPIAR v 015. 2024 Plan Individual de ajustes razonables
PIAR v 015. 2024 Plan Individual de ajustes razonablesYanirisBarcelDelaHoz
 
5.- Doerr-Mide-lo-que-importa-DESARROLLO PERSONAL
5.- Doerr-Mide-lo-que-importa-DESARROLLO PERSONAL5.- Doerr-Mide-lo-que-importa-DESARROLLO PERSONAL
5.- Doerr-Mide-lo-que-importa-DESARROLLO PERSONALMiNeyi1
 
OCTAVO SEGUNDO PERIODO. EMPRENDIEMIENTO VS
OCTAVO SEGUNDO PERIODO. EMPRENDIEMIENTO VSOCTAVO SEGUNDO PERIODO. EMPRENDIEMIENTO VS
OCTAVO SEGUNDO PERIODO. EMPRENDIEMIENTO VSYadi Campos
 
INSTRUCCION PREPARATORIA DE TIRO .pptx
INSTRUCCION PREPARATORIA DE TIRO .pptxINSTRUCCION PREPARATORIA DE TIRO .pptx
INSTRUCCION PREPARATORIA DE TIRO .pptxdeimerhdz21
 
Curso = Metodos Tecnicas y Modelos de Enseñanza.pdf
Curso = Metodos Tecnicas y Modelos de Enseñanza.pdfCurso = Metodos Tecnicas y Modelos de Enseñanza.pdf
Curso = Metodos Tecnicas y Modelos de Enseñanza.pdfFrancisco158360
 
Abril 2024 - Maestra Jardinera Ediba.pdf
Abril 2024 - Maestra Jardinera Ediba.pdfAbril 2024 - Maestra Jardinera Ediba.pdf
Abril 2024 - Maestra Jardinera Ediba.pdfValeriaCorrea29
 
Prueba de evaluación Geografía e Historia Comunidad de Madrid 4ºESO
Prueba de evaluación Geografía e Historia Comunidad de Madrid 4ºESOPrueba de evaluación Geografía e Historia Comunidad de Madrid 4ºESO
Prueba de evaluación Geografía e Historia Comunidad de Madrid 4ºESOluismii249
 
LA LITERATURA DEL BARROCO 2023-2024pptx.pptx
LA LITERATURA DEL BARROCO 2023-2024pptx.pptxLA LITERATURA DEL BARROCO 2023-2024pptx.pptx
LA LITERATURA DEL BARROCO 2023-2024pptx.pptxlclcarmen
 
LABERINTOS DE DISCIPLINAS DEL PENTATLÓN OLÍMPICO MODERNO. Por JAVIER SOLIS NO...
LABERINTOS DE DISCIPLINAS DEL PENTATLÓN OLÍMPICO MODERNO. Por JAVIER SOLIS NO...LABERINTOS DE DISCIPLINAS DEL PENTATLÓN OLÍMPICO MODERNO. Por JAVIER SOLIS NO...
LABERINTOS DE DISCIPLINAS DEL PENTATLÓN OLÍMPICO MODERNO. Por JAVIER SOLIS NO...JAVIER SOLIS NOYOLA
 
PLAN DE REFUERZO ESCOLAR MERC 2024-2.docx
PLAN DE REFUERZO ESCOLAR MERC 2024-2.docxPLAN DE REFUERZO ESCOLAR MERC 2024-2.docx
PLAN DE REFUERZO ESCOLAR MERC 2024-2.docxiemerc2024
 
Prueba libre de Geografía para obtención título Bachillerato - 2024
Prueba libre de Geografía para obtención título Bachillerato - 2024Prueba libre de Geografía para obtención título Bachillerato - 2024
Prueba libre de Geografía para obtención título Bachillerato - 2024Juan Martín Martín
 
6.-Como-Atraer-El-Amor-01-Lain-Garcia-Calvo.pdf
6.-Como-Atraer-El-Amor-01-Lain-Garcia-Calvo.pdf6.-Como-Atraer-El-Amor-01-Lain-Garcia-Calvo.pdf
6.-Como-Atraer-El-Amor-01-Lain-Garcia-Calvo.pdfMiNeyi1
 

Último (20)

FORTI-MAYO 2024.pdf.CIENCIA,EDUCACION,CULTURA
FORTI-MAYO 2024.pdf.CIENCIA,EDUCACION,CULTURAFORTI-MAYO 2024.pdf.CIENCIA,EDUCACION,CULTURA
FORTI-MAYO 2024.pdf.CIENCIA,EDUCACION,CULTURA
 
AFICHE EL MANIERISMO HISTORIA DE LA ARQUITECTURA II
AFICHE EL MANIERISMO HISTORIA DE LA ARQUITECTURA IIAFICHE EL MANIERISMO HISTORIA DE LA ARQUITECTURA II
AFICHE EL MANIERISMO HISTORIA DE LA ARQUITECTURA II
 
2 REGLAMENTO RM 0912-2024 DE MODALIDADES DE GRADUACIÓN_.pptx
2 REGLAMENTO RM 0912-2024 DE MODALIDADES DE GRADUACIÓN_.pptx2 REGLAMENTO RM 0912-2024 DE MODALIDADES DE GRADUACIÓN_.pptx
2 REGLAMENTO RM 0912-2024 DE MODALIDADES DE GRADUACIÓN_.pptx
 
Interpretación de cortes geológicos 2024
Interpretación de cortes geológicos 2024Interpretación de cortes geológicos 2024
Interpretación de cortes geológicos 2024
 
SESION DE PERSONAL SOCIAL. La convivencia en familia 22-04-24 -.doc
SESION DE PERSONAL SOCIAL. La convivencia en familia 22-04-24 -.docSESION DE PERSONAL SOCIAL. La convivencia en familia 22-04-24 -.doc
SESION DE PERSONAL SOCIAL. La convivencia en familia 22-04-24 -.doc
 
SEXTO SEGUNDO PERIODO EMPRENDIMIENTO.pptx
SEXTO SEGUNDO PERIODO EMPRENDIMIENTO.pptxSEXTO SEGUNDO PERIODO EMPRENDIMIENTO.pptx
SEXTO SEGUNDO PERIODO EMPRENDIMIENTO.pptx
 
Tema 11. Dinámica de la hidrosfera 2024
Tema 11. Dinámica de la hidrosfera 2024Tema 11. Dinámica de la hidrosfera 2024
Tema 11. Dinámica de la hidrosfera 2024
 
PIAR v 015. 2024 Plan Individual de ajustes razonables
PIAR v 015. 2024 Plan Individual de ajustes razonablesPIAR v 015. 2024 Plan Individual de ajustes razonables
PIAR v 015. 2024 Plan Individual de ajustes razonables
 
5.- Doerr-Mide-lo-que-importa-DESARROLLO PERSONAL
5.- Doerr-Mide-lo-que-importa-DESARROLLO PERSONAL5.- Doerr-Mide-lo-que-importa-DESARROLLO PERSONAL
5.- Doerr-Mide-lo-que-importa-DESARROLLO PERSONAL
 
OCTAVO SEGUNDO PERIODO. EMPRENDIEMIENTO VS
OCTAVO SEGUNDO PERIODO. EMPRENDIEMIENTO VSOCTAVO SEGUNDO PERIODO. EMPRENDIEMIENTO VS
OCTAVO SEGUNDO PERIODO. EMPRENDIEMIENTO VS
 
Power Point: Fe contra todo pronóstico.pptx
Power Point: Fe contra todo pronóstico.pptxPower Point: Fe contra todo pronóstico.pptx
Power Point: Fe contra todo pronóstico.pptx
 
INSTRUCCION PREPARATORIA DE TIRO .pptx
INSTRUCCION PREPARATORIA DE TIRO .pptxINSTRUCCION PREPARATORIA DE TIRO .pptx
INSTRUCCION PREPARATORIA DE TIRO .pptx
 
Curso = Metodos Tecnicas y Modelos de Enseñanza.pdf
Curso = Metodos Tecnicas y Modelos de Enseñanza.pdfCurso = Metodos Tecnicas y Modelos de Enseñanza.pdf
Curso = Metodos Tecnicas y Modelos de Enseñanza.pdf
 
Abril 2024 - Maestra Jardinera Ediba.pdf
Abril 2024 - Maestra Jardinera Ediba.pdfAbril 2024 - Maestra Jardinera Ediba.pdf
Abril 2024 - Maestra Jardinera Ediba.pdf
 
Prueba de evaluación Geografía e Historia Comunidad de Madrid 4ºESO
Prueba de evaluación Geografía e Historia Comunidad de Madrid 4ºESOPrueba de evaluación Geografía e Historia Comunidad de Madrid 4ºESO
Prueba de evaluación Geografía e Historia Comunidad de Madrid 4ºESO
 
LA LITERATURA DEL BARROCO 2023-2024pptx.pptx
LA LITERATURA DEL BARROCO 2023-2024pptx.pptxLA LITERATURA DEL BARROCO 2023-2024pptx.pptx
LA LITERATURA DEL BARROCO 2023-2024pptx.pptx
 
LABERINTOS DE DISCIPLINAS DEL PENTATLÓN OLÍMPICO MODERNO. Por JAVIER SOLIS NO...
LABERINTOS DE DISCIPLINAS DEL PENTATLÓN OLÍMPICO MODERNO. Por JAVIER SOLIS NO...LABERINTOS DE DISCIPLINAS DEL PENTATLÓN OLÍMPICO MODERNO. Por JAVIER SOLIS NO...
LABERINTOS DE DISCIPLINAS DEL PENTATLÓN OLÍMPICO MODERNO. Por JAVIER SOLIS NO...
 
PLAN DE REFUERZO ESCOLAR MERC 2024-2.docx
PLAN DE REFUERZO ESCOLAR MERC 2024-2.docxPLAN DE REFUERZO ESCOLAR MERC 2024-2.docx
PLAN DE REFUERZO ESCOLAR MERC 2024-2.docx
 
Prueba libre de Geografía para obtención título Bachillerato - 2024
Prueba libre de Geografía para obtención título Bachillerato - 2024Prueba libre de Geografía para obtención título Bachillerato - 2024
Prueba libre de Geografía para obtención título Bachillerato - 2024
 
6.-Como-Atraer-El-Amor-01-Lain-Garcia-Calvo.pdf
6.-Como-Atraer-El-Amor-01-Lain-Garcia-Calvo.pdf6.-Como-Atraer-El-Amor-01-Lain-Garcia-Calvo.pdf
6.-Como-Atraer-El-Amor-01-Lain-Garcia-Calvo.pdf
 

Implicaciones de seguridad en la implantación de i pv6

  • 1. IMPLICACIONES DE SEGURIDAD EN LA IMPLANTACIÓN DE IPv6 Rommel L. Macas R. rlmacas@computer.org rlmacas.blogspot.com
  • 2. INTRODUCCIÓN Para que Internet siga creciendo y evolucionando se ha revisado uno de sus elementos de base: el protocolo IP. La nueva versión, IPv61, esta diseñado para ser el sucesor de IPv4 en Internet solventando muchas de sus deficiencias. IPv6, entre otras ventajas, soluciona el problema del agotamiento de las direcciones IP, aporta funcionalidades de seguridad para el cifrado y autenticación en comunicaciones de extremo a extremo, y permite la creación de nuevos servicios.
  • 3. PROTOCOLO IP El protocolo IP es el protocolo más utilizado por los sistemas informáticos para comunicarse. La mayoría de aplicaciones o protocolos de mayor nivel (HTTP, SMTP, P2P, etc.) se apoyan en este protocolo para su funcionamiento. Los equipos o dispositivos que utilizan el protocolo IP tienen asignado un identificador único llamado dirección IP para encaminar el mensaje entre los distintos nodos de la red de comunicaciones, desde el origen al destino. Este identificador es un número de 32 bits que se suele representar, para su más fácil manejo, mediante 4 números, del 0 al 255, separados por puntos.
  • 4. ¿POR QUÉ IPV6? Dado que la dirección IP es de 32 bits, se pueden tener unos 4.300 millones de direcciones distintas. Pero, debido principalmente al gran número de dispositivos o equipos que utilizan el protocolo IP, y que por tanto necesitan una dirección IP, el número de direcciones disponibles se está agotando. Aunque se ha tratado de mitigar con soluciones como NAT2 o CIDR3, éstas no resuelven el problema de base y, además, introducen limitaciones como la pérdida de conectividad extremo a extremo.
  • 5. ¿QUÉ ES IPV6? Para solucionar este problema se ha creado una nueva versión de este protocolo llamada IPv6 que utiliza como dirección IP un número de 128 bits, de tal forma que IPv6 tiene 2 ^ 96 veces más direcciones que IPv4. Aunque en realidad, considerando que la subred mínima de IPv6 es de 64 bits de longitud, en IPv6 es más correcto hablar de un espacio total de 2 elevado a 64 subredes con 2 elevado a 64 posibles direcciones en cada una.
  • 6. NUEVAS FUNCIONALIDADES Y MEJORAS DEL IPV6 Autoconfiguración y reconfiguración automáticas de la dirección IP sin necesidad de servidores (sin estado). Soporte nativo y mejorado del direccionamiento multicast y creación del direccionamiento anycast. Implementación obligatoria de IPsec. Enrutado más eficiente. Soporte optimizado de movilidad IP. Implementación de etiquetas para QoS.
  • 7. ¿IPV4 VS IPV6? Se espera que los dispositivos IPv4 convivan durante un largo tiempo (difícilmente predecible, pero posiblemente de 10 a 20 años) con los dispositivos IPv6 mediante mecanismos de coexistencia o transición, implementando ambos protocolos simultáneamente o mediante túneles sobre IPv4.
  • 8. DIFERENCIA EN LAS CABECERAS DEL PROTOCOLO
  • 9. IMPLANTACIÓN DE SEGURIDADIPSEC IPsec es un conjunto de protocolos abiertos que tienen como fin proporcionar seguridad en las comunicaciones de la capa de red del modelo OSI (a la que pertenece el protocolo IPv6), y de ese modo, a todos los protocolos de capas superiores. IPsec se basa en diferentes protocolos como AH y ESP, con el fin de asegurar las grandes falencias que tienen las redes actualmente como es autenticación, integridad y confidencialidad. En donde la confidencialidad de datos protege a los paquetes de suplantación, la autenticación asegura que solo el emisor y el receptor tienen acceso a la información y no un tercero, y la integridad de datos que garantiza que no se han modificado los paquetes durante el trayecto.
  • 10. IPSEC En IPv4 la implementación de IPsec se define en una especificación diferente a la del propio protocolo IPv4, por lo que la inclusión del protocolo se hace con mecanismos definidos fuera del mismo, mientras que en IPv6 la propia arquitectura "extensible" del protocolo permite implementar IPsec de forma natural. Es importante reseñar que IPv6 habilita la posibilidad de usar IPsec, y no los mecanismos de cifrado y autenticación propios de IPsec.
  • 11. MODOS DE FUNCIONAMIENTO DE IPSEC Modo Transporte: se cifra y/o autentica la carga útil, o payload, pero las cabeceras no se tienen en cuenta. Tiene como ventaja que se puede utilizar de extremo a extremo pero, por contra, la información de las cabeceras, como la dirección IP de origen y destino, es visible. Modo Túnel: una plataforma, o pasarela, encapsula el paquete original en otro paquete. Con ello se cifra y/o autentica el paquete original completo, pero se necesita de una plataforma que realice el túnel.
  • 12. PROTOCOLOS DE TRANSFERENCIA IPSEC AH (AuthenticationHeader): proporciona autenticación, integridad y un servicio de anti-repetición opcional. ESP (Encapsulating Security Payload): además de las ventajas anteriores proporciona confidencialidad. Ambos pueden funcionar en modo túnel o transporte
  • 15. IPSEC EN LA PRÁCTICA El uso de IPsec es escaso debido, sobre todo, a la falta de un mecanismo generalizado y global de intercambio de claves. Por esta razón, el uso de IPsec en IPv6 es por el momento similar al de IPv4, para conexiones pre-configuradas como, por ejemplo, las utilizadas en las VPN. La solución futura para el problema anterior puede que se base en mecanismos externos como certificados transportados por DNS asegurado con DNSSEC.
  • 16. ALGUNAS DE LAS MEJORAS DE IPV6 Imposibilidad de exploración de redes mediante "fuerza bruta". Anteriormente, los atacantes o programas maliciosos, como los gusanos, podían encontrar objetivos en una red comprobando todas las direcciones posibles. Pero debido al crecimiento exponencial de su número total, esta exploración es, a priori, inviable. Desaparece la necesidad de utilizar NAT. Aunque ha sido una tecnología muy útil, tiene los inconvenientes de que genera una falsa sensación de seguridad y de que se pierde la posibilidad de realizar conexiones seguras de extremo a extremo, incrementando la complejidad y el coste del desarrollo de aplicaciones. Se elimina la posibilidad de realizar un ataque DDOS de tipo broadcast o smurf5 al desaparecer este direccionamiento y al implantarse medidas de seguridad en el multicast.
  • 17. CONSIDERACIONES DE SEGURIDAD Aspectos técnicos Consideraciones de gestión Estructura o características propias del protocolo
  • 18. CONSIDERACIONES DE SEGURIDAD:ASPECTO TÉCNICO Dispositivos de seguridad que no analizan el protocolo IPv6 Puede que los dispositivos de seguridad, como cortafuegos o IDS, o las herramientas de gestión de red no sean capaces o no estén configurados para analizar los flujos de datos del protocolo IPv6. Si fuera así, se podrían establecer comunicaciones maliciosas desde o hacia equipos de la red que soporten IPv6.
  • 19. CONSIDERACIONES DE SEGURIDAD:ASPECTO TÉCNICO Presencia de dispositivos de los que se desconoce que pueden usar IPv6 y de túneles IPv6 Además pueden existir túneles IPv6. Un túnel es una conexión punto a punto, en la que se encapsulan los paquetes IPv6 en paquetes IPv4, de forma que se pueda transmitir IPv6 a través de una infraestructura IPv4. En el extremo final del túnel, se desencapsula (o extrae) el paquete IPv6 original. Los dispositivos de seguridad perimetral puede que no estén preparados o configurados para analizar estos flujos de datos, que pueden ser utilizados para comunicaciones no permitidas como, por ejemplo, puertas traseras de C&C (Command and Control) de botnets o de P2P.
  • 20. DIAGRAMA DE RED CON CONEXIONES IPV6 EN IPV4
  • 21. CONSIDERACIONES DE SEGURIDAD:ASPECTO TÉCNICO Dejar de utilizar NAT Una consecuencia indirecta del uso de NAT es que se emplea a modo de cortafuegos para proteger los equipos internos de las conexiones externas. Pero ya que IPv6 elimina su necesidad, se deberá modificar la política de los cortafuegos para que, según la política de seguridad, filtre o no las comunicaciones directas a los equipos de la red privada.
  • 22. CONSIDERACIONES DE SEGURIDAD:ASPECTO TÉCNICO Necesidad de multicast e ICMP Muchos cortafuegos bloquean estos protocolos, aunque ciertas partes pueden ser muy importantes como, por ejemplo, el uso de ICMP para PMTU. En IPv6 son imprescindibles para su funcionamiento; por lo tanto, se deberán modificar las políticas de seguridad para permitir determinadas comunicaciones multicast e ICMP.
  • 23. CONSIDERACIONES DE SEGURIDAD:ASPECTO TÉCNICO Cambio en la monitorización de la red Debido al gran número de direcciones disponibles será inviable escanear la red por fuerza bruta, por lo que los equipos se inventariarán de otra manera como, por ejemplo, en un servidor DNS. Sin embargo, posiblemente surjan otras formas de escanear una red: existen direcciones multicast concretas para localizar servicios (por ejemplo FF05::2 Allrouters, FF05::1:3 AllDHCP Servers) y direcciones de link-local, que permiten la comunicación en el segmento de red al que se esté conectado. Un atacante puede utilizar estas direcciones para establecer contacto con equipos o servicios. Aunque, en la práctica, este método no será probable que tenga éxito ya que la mayor parte de los sistemas operativos están configurados para no responder a estas peticiones.
  • 24. CONSIDERACIONES DE SEGURIDAD:CONSIDERACIONES DE GESTIÓN Curva de aprendizaje Como con toda adopción de una nueva tecnología, las organizaciones necesitan de tiempo y recursos a la hora de adquirir el conocimiento necesario para implantar y administrar con seguridad el protocolo IPv6.
  • 25. CONSIDERACIONES DE SEGURIDAD:CONSIDERACIONES DE GESTIÓN Implementación de sistemas de doble pila La implantación de IPv6 supondrá un importante cambio en los sistemas de comunicaciones ya que deberá soportar ambos protocolos y su interoperabilidad. El diseño, implantación y configuración de estos sistemas de doble pila, que implementan IPv4 e IPv6, será un proyecto complejo en el que habrá que evaluar todos los requisitos posibles de seguridad.
  • 26. CONSIDERACIONES DE SEGURIDAD:ESTRUCTURA O CARACTERÍSTICAS PROPIAS DEL PROTOCOLO Suplantación de identidad en la autoconfiguración de la dirección IP Una de las novedades del protocolo es la capacidad de una interfaz de generar su dirección IP a partir de su dirección MAC. Durante este proceso el dispositivo pregunta al resto de dispositivos de la red si alguno esta utilizando esa dirección. Además, si el dispositivo está conectado a una red en la que existe un enrutador, recibirá de él el resto de parámetros de configuración como puede ser el prefijo de la red.
  • 27. Suplantación de identidad en la autoconfiguración de la dirección IP Durante este proceso, cualquier dispositivo podría generar de forman continuada una respuesta falsa informando de que la dirección está en uso y provocar que el dispositivo que solicita una dirección no se pueda conectar a la red. También, podría hacerse pasar por un enrutador para realizar un ataque de man-in-the-middle. El protocolo SENDsoluciona este problema, aunque todavía no ha sido implementado en la mayoría de sistemas operativos. SEND es una extensión que mejora la seguridad de protocolo NDP, que es el encargado de descubrir otros nodos en la red local, enrutadores, etc. Para realizar sus funciones SEND utiliza encriptación asimétrica y firma electrónica. SEND es una evidente mejora respecto a IPv4 donde no existe nada comparable.
  • 28. CONSIDERACIONES DE SEGURIDAD:ESTRUCTURA O CARACTERÍSTICAS PROPIAS DEL PROTOCOLO Privacidad Al generar un equipo su dirección IP a partir de la dirección MAC, se puede asociar una IP a un equipo de forma unívoca y, a su vez, se puede asociar un equipo a una persona. Al realizar uso de Internet se deja un rastro de la dirección IP en los distintos servidores o redes con lo que se establece una comunicación. A partir de esta dirección IP se podría saber que servidores web o servicios visitó una persona.
  • 29. Privacidad Una solución para este problema consiste en la generación aleatoria de parte de la dirección IP, lo que se conoce como extensiones de privacidad13. La gran mayoría de los sistemas operativos soportan las extensiones de privacidad y en algunos incluso están habilitadas por defecto (Windows XP, Vista y 7). Otra posible solución es la asignación temporal de direcciones mediante DHCPv6.
  • 30. RECOMENDACIONES Crear políticas de seguridad que tengan en cuenta el protocolo IPv6. Obtener conocimiento de la administración de sistemas IPv6, ya que, aunque en la actualidad se pueda bloquear todo el tráfico IPv6 o se disponga de direcciones IPv4, en el futuro será cada vez más necesario porque los proveedores integrarán sus servicios con IPv6. Disponer de dispositivos de seguridad y herramientas de gestión de red que sean capaces de analizar y, en caso de que sea necesario, bloquear el flujo de datos IPv6 y los túneles o mecanismos de transición IPv6.
  • 31. Dudas, Sugerencias o Comentarios Escríbanme rlmacas@computer.org
  • 32. REFERENCIAS Comisión Europea: http://ec.europa.eu/information_society/policy/ipv6/index_en.htm ENISA: http://www.enisa.europa.eu/act/res/files/resilience-features-of-ipv6-dnssec-and-mpls/?searchterm=ipv6 SecurityFocus: http://www.securityfocus.com/news/11463 IETF: http://www.ietf.org/rfc/rfc3971.txt Microsoft: http://technet.microsoft.com/en-us/network/bb530961.aspx Consulintel: http://www.mundointernet.es/IMG/pdf/ponencia162_1.pdf NetworkWorld: http://www.networkworld.com/news/2009/071309-ipv6-network-threat.html Portal IPv6: http://www.ipv6tf.org IPv6-To-Standard: http://www.ipv6-to-standard.org