¿Porque existe mucho karma negativo alrededor de IPv6?
Caso en cuestión, recientemente, un colega mío preguntó: “¿Ya leíste The Register?
No, algunos de nosotros tenemos que trabajar durante el día, contesté, con más que un poco de sarcasmo.
“Bien, su alteza, cuando tenga una oportunidad, léalo”.
Mi amigo sabe que botones apretar. Tenía que saber de qué estaba hablando. Abrí mi correo de noticias y justo en la parte superior: Introducción a IPv6 crea pesadilla en el filtrado de spam.
Mas malas vibras
Espera un minuto. Esa es sólo una fuente. Después de checar, otros medios de comunicación parecen estar de acuerdo: “Nuevo protocolo IPv6 podría complicar el filtrado de correo electrónico spam” (http://www.internet-security.ca/internet-security-news-archives-030/new-ipv6-internet-protocol-could-complicate-e-mail-spam-filtering.html) y “¿El IPv6 volverá obsoletas las listas negras?” (http://www.ipv6news.info/2011/03/13/will-ipv6-render-blacklisting-obsolete/). Whoa, esto es grande. El hecho de que IPv6 tiene un espacio de direcciones disponibles que apenas podemos imaginar puede afectar las listas negras.
Tenía que subirme a este tren. Saltando a la acción, envié un correo electrónico a mi cuerpo especial de expertos preguntándoles:
¿Se volverán obsoletas las listas negras, debido al espacio de direcciones obscenamente grande, creado por IPv6?
Anup Ghosh (Invincea): Ipv6 crea un espacio de direcciones muy grande en el cual el spam y los sitios maliciosos se pueden estacionar. Sin embargo, las técnicas actuales para listas negras de sitios maliciosos o spaming conocidos no se verán afectadas. Las técnicas de listas negras son independientes del tamaño del espacio de dirección.
Una dirección IP es agregada a una lista negra cuando la dirección es verificada como un sitio malo. La cuestión con la lista negra es que para cuando un dominio es agregado a una lista negra, su dirección IP ya ha cambiado.
Giorgio Maone (NoScript): Las listas negras siempre han sido la forma más débil de protección en seguridad. Un espacio de direccionamiento mucho más grande solo hace esto mas evidente. Pero, difícilmente son noticias. Por ejemplo, Mark Ranum, padre del firewall explica esto en este viejo editorial: http://www.ranum.com/security/computer_security/editorials/dumb/index.html.
Yo creo que el método estadístico para reconocer el spam, p.e. filtros Bayesianos, es la única solución realmente escalable, por el momento.
Joe Klein (Investigador de seguridad en IPv6): El problema de la lista de spam ha sido resuelto por algún tiempo. Actualmente muchas de las compañías que no están conscientes de las listas negras de IPv6 bloquean una sola dirección IP en IPv4. En IPv6, cada usuario de casa recibe una sola dirección /64, donde los primeros 64 son los bits únicos de red del usuario y los últimos bits son los de red local del usuario. Todo lo que necesita hacer la lista negra es bloquear la red o los primeros 64 bits de la dirección. He estado enseñando esta información en mi clase de IPv6 hace más de un año.
Johannes Ullrich (SANS Internet Storm Center): El tema de las listas negras debe ser bien analizado en lo que respecta a IPv6. En IPv4, las listas negras la mayoría de las veces, listan direcciones IP individuales. Esto no trabajará bien en IPv6.
En IPv6, la dirección está dividida en dos partes: La primera mitad corresponde a la subred. La segunda mitad corresponde al host individual (interfase) en esa subred. Un usuario podría seleccionar cualquier dirección dentro de esa subred y algunos sistemas operativos van a seleccionar un ID de interfase aleatorio siempre que reinicien.
Esta “segunda mitad” es de 64 bits de longitud y permite 4 mil millones cuadrados de posibles combinaciones (todo el Internet IPv4 solo tiene 32 bits o 4 mil millones de direcciones.
Yo pienso que las listas negras deberán ser capaces de bloquear subredes. De esa manera, no importa que dirección IP dentro de la subred esté utilizando el spammer. Afortunadamente IPv6 usa tamaños de subred fijos (siendo /64 el más pequeño, y /42 típicamente asignado a organizaciones). Esto puede conducir a algún daño colateral pero es probable que sea la única manera de hacer efectivas las listas negras.
Por otro lado: Las listas negras no ha sido realmente muy eficaces en el mundo IPv4. Posiblemente ya es momento de que se comience a pensar acerca de soluciones mas sistemáticas que las listas negras de spam.
Cameron Schmauch (EdgeWave): En mi opinión las listas negras y las blancas han sido obsoletas por varios años. Esto no ha sido tanto debido a que sea difícil jugar a golpear a los spammers, sino más bien que las listas usualmente no son mantenidas de tal manera que prevengan de forma agresiva los falsos positivos (FP).
EdgeWave no ha confiado en listas negras de terceros para nada que no sea información suplementaria. Bloquear una IP puede ser muy efectivo y eficiente, pero no debiese ser la tecnología principal si la principal prioridad es mantener los FP´s al mínimo.
En nuestros registros, cerca del 22 por ciento de nuestras categorizaciones fueron realizadas en base a la coincidencia de las reglas de IP (no necesariamente solo por origen). Durante el año pasado, esa cantidad se ha desplomado hasta el 6 por ciento. La razón de que esta estadística ha caído de forma tan dramática es porque los spammers son ya muy buenos en la usurpación de recursos y reputación de otros para realizar su trabajo sucio.
No se puede bloquear por completo el correo de direcciones abusadas si el correo legítimo también usa esos mismos canales. Se debe confiar en técnicas mas sofisticadas ya que una sola dimensión no provee suficiente información para tomar una decisión absoluta sobre la disposición de los mensajes, en la mayoría de los casos.
Ya que el filtrado de spam y malware es una gran parte del negocio de EdgeWave, decidí hacer mas preguntas a Cameron.
¿Debemos preocuparnos acerca de eso?
Respuesta corta: Yo no estoy preocupado acerca de eso. Hemos abandonado en gran parte esas listas. Mucha de la preocupación parece ser simplemente acerca del tamaño del nuevo espacio de dirección. Sin embargo, de lo que he visto reportado sobre esta cuestión, muchos tácitamente asumen que los spammers de alguna manera serán capaces de entrar y salir de este espacio de direcciones de forma aleatoria.
Aun así, limitaciones prácticas inherentes al hacer esto podrían proveer mayor dificultad de la que está actualmente garantizada para que los spammers entreguen sus mensajes. Los spammers, como todas las cosas, siguen la trayectoria de la menor resistencia.
Más aún, esto es un viejo truco. Varios spammers actualmente lo que hacen para tratar de pasar desapercibidos es enviar bajos volúmenes de mensajes y usan lo que llamo una “rotación de plantación IP” para evitar usar las mismas direcciones muy seguido lo cual de otra manera podría hacerlos un blanco fácil para ser incluido en las listas negras.
El verdadero Talón de Aquiles del spam, está en su volumen en combinación con un intento específico sobre dominios de tiempo pequeño, no simplemente de donde viene.
La otra cuestión es que la adopción de IPv6 probablemente tome muchos años. No veo ningún problema con que los administradores de correo “bloqueen primero y hagan preguntas después” con respecto a las conexiones entrantes de IPv6. Esto podría ser en la forma de listar agresivamente en gris las conexiones IPv6 de fuentes desconocidas, o bloquear de forma completa hasta que la reputación haya sido establecida.
Esto es algo que imaginé resultaría como las mejores prácticas de los primeros que adoptaran. En términos de nuestra solución, hemos creído que la mejor manera para filtrar confiablemente correo no solicitado sin daño colateral es con múltiples capas de defensa, análisis de comportamiento, sistemas de retroalimentación multi-escala; y por supuesto, análisis en tiempo real del humano en acción. Cualquiera que aún esté usando listas negras IP como solución primaria de filtrado es muy probable que este pasando muchas dificultades.
¿Ves tú otros problemas con IPv6?
Yo pienso que su adopción exacerbará las deficiencias del sistema de DNS, del enrutamiento y diversos ámbitos de los sistemas de seguridad. Pero todos esos problemas de alguna manera son mundanos.
El impacto más interesante, pienso, vendrá del hecho que todo comenzará a ser en línea. El vacío de un espacio tan grande de direccionamiento junto con el advenimiento del cómputo embebido y el ancho de banda barato es el aspecto mucho mas interesante de toda esta transición.
Pensamientos finales
Bueno, esta pieza finalizó en un lugar muy distinto al que imaginé. Pareciera que las listas negras de IPv6 funcionarán de cierta manera. Más aún, son obsoletas. Mis recursos expertos me aclararon una vez mas las cuestiones importantes en las que hay que poner atención.
Autor: Michael Kassner