IPv6 cambia la seguridad: ¿Está listo su negocio?
El Internet está agotando su espacio y, como resultado, está a punto de someterse a una transición importante para ampliar el número de direcciones en-línea disponibles. Esta transición es desde el actual protocolo IP versión 4 al nuevo estandar IP versión 6. Las empresas necesitan saber y entender esta transición –ya que habrá nuevos problemas de seguridad en el período intermedio.
Aunque una de las promesas de IPv6 es de más seguridad, IPv4 se ha ganado su reputación en las últimas décadas, y nos hemos familiarizado con lo que puede y no puede hacer. Por otro lado, se tiene poca o ninguna experiencia con IPv6 en el mundo real. En papel, IPv6 parece ser excelente, pero es seguro que lo mismo sucedió con el Titanic. En el mejor de los casos, IPv6 ofrece mejor seguridad pero no la garantiza.
Caso en cuestión: IPSec. Esencialmente, esto asegura la comunicación IP al encriptar y autenticar paquetes IP. En IPv4, era una característica opcional; en IPv6, es obligatoria. Volver una característica obligatoria, no significa que tendrá un amplio soporte; el punto es que IPv6 no es automáticamente mas seguro. Va a tomar mucha preparación de pre-lanzamiento y una inmensa cantidad de vigilancia de seguridad para ejecutarla correctamente.
Para las empresas, hay mucho que considerar, y esto muy seguramente cae en la responsabilidad del Jefe de Seguridad de la Oficina. Hay muchas trampas y obstáculos que evitar, y a continuación se analizan los que se deben cuidar muy cerca.
Programación Sin Depurar.
Aquí es usualmente donde las cosas se complican. En una transición tan compleja, y a una escala tan grande, existe una posibilidad muy alta de que los programadores cometan errores en la implementación, lo cual podría dejar las vulnerabilidades con las puertas bien abiertas a los delincuentes informáticos, negando la eficacia de las características de seguridad de IPv6. El pero escenario es que realmente se termine con una infraestructura de IPv6 que es aún mas frágil que la anterior infraestructura de IPv6, poniendo a la empresa en un riesgo mayor, al amplificar el espacio de ataque.
La explotación de la transición.
Esta migración va a llevar un tiempo, y hasta entonces, las empresas se encontrarán en un ambiente dual de IPv4/IPv6, cada uno con su propio y específico conjunto de problemas de seguridad. Esto incrementa la carga de trabajo del personal de redes de las compañías e incrementa el número de posibilidades en que las cosas pueden salir mal. Aquí es donde la vigilancia de la seguridad es crucial; debido a este período intermedio híbrido, nos vamos a encontrar situaciones inusuales donde los delincuentes informáticos pueden tomar una ventaja potencial gracias a la interacción entre los protocolos.
Listas negras ineficaces.
Mientras que las listas negras IP han sido exitosas en reducir el volumen global de correo basura, existe la preocupación de que los ISPs (Proveedores de Servicio de Internet) no serán capaces de escalar las listas negras IP a IPv6, dado su tamaño. Esto representa el problema de que algunas técnicas de seguridad podrían no tener una adecuada transición de IPv4 a IPv6, dando mas espacio a los delincuentes informáticos para que realicen sus ataques.
Ataques DDoS.
Los ataques Distribuidos de Negación de Servicio (DDoS, Distributed Denial of Service), los cuales abruman una red de computadoras o un sitio web para volverlos inoperantes, aún seguirán representando una amenaza para las empresas en IPv6. Mientras que IPv6 puede mitigar los efectos de los ataques DDoS hasta un cierto punto, no los previene, dejando recursos en riesgo de ser bombardeados al punto de ser parados por completo. Los ataques de amplificación de difusión, como los ataques “smurf”, pueden hacer exactamente eso: mantenerte alejado de tus clientes.
Evadir Medidas de Seguridad.
Los ataques de fragmentación todavía serán un problema en IPv6, aunque cambios en la arquitectura pueden mitigarlos de manera mas eficiente. Los ataques de fragmentación pueden ser usados para evadir, sistemas de detección de intrusos (IDS), sistemas de prevención de intrusos (IPS), y cortafuegos – a menudo son la forma en que las empresas se dan cuenta que están siendo atacados. Una vez dentro, todo es juego limpio: información del cliente, credenciales, correos electrónicos y secretos de negocio.
Enmascaramiento de Puntos de Origen.
Los ataques de suplantación de identidad todavía serán una amenaza en IPv6, pero la nueva obligación de IPSec manejará mejor esta amenaza a las empresas. La suplantación de identidad permite a los delincuentes informáticos ocultar sus identidades, haciendo difícil seguirlos después de un ataque. También puede ser usado para falsificar una identidad –para implicar a una persona inocente o una compañía en un ataque en el que realmente no tuvo ninguna relación. Los ataques no están limitados a aquellos que tratan de robar información o destruir recursos, ellos realmente intentan empañar la reputación de la compañía.
El pasado junio 8, el Día Mundial de IPv6, los líderes de la industria como Facebook, Google, Bing, Yahoo y Cisco, entre otros, realizaron una prueba de ofrecer su contenido sobre IPv6 por 24 horas. Esto sirvió como un punto de referencia excelente para las empresas, para poder evaluar –por lo menos algo- el impacto que tendrá no solo en sus consumidores base, sino también en su infraestructura.
De hecho en los Estados Unidos de América hay que apurarse: el gobierno federal está considerando el fin del 2012 como la fecha límite para hacer la transición a IPv6. No hay que tomar esto a la ligera; aquí estamos hablando acerca de la columna vertebral del comercio electrónico, y esto puede hacer la diferencia entre mantener su línea de negocio o no.
Autor: Jay Bavisi.
Sitio web de referencia: http://smallbusiness.foxbusiness.com/technology-web/2011/06/14/ipv6-changes-security-is-your-business-ready/