4 falacias de seguridad IPv6

Ha sido un poco más de un año, desde que los ISPs y las empresas web organizaron el Lanzamiento del Día Mundial de IPv6. Hoy en día, los informes de Akamai de la cantidad de tráfico IPv6 en su plataforma de entrega de contenido ha aumentado un 250%, a unas 10 mil millones de solicitudes por día.

A pesar de que todavía está muy por detrás del tráfico IPv4, el impulso en torno a IPv6 es cada vez mayor. Al mismo tiempo, ciertas ideas erróneas sobre el protocolo de comunicación siguen viviendo y afectan su aplicación y la seguridad de las redes empresariales.

Después de hablar con expertos en redes y seguridad, Network Computing ha llegado con una lista de cuatro falacias populares de seguridad de IPv6.

1. las protecciones para IPv6 no son necesarias en Redes sólo-IPv4.

El primer error está relacionado con IPv6, pero en realidad tiene más que ver con IPv4. Las organizaciones con redes IPv4 pueden pensar que no son susceptibles a los ataques basados en IPv6, pero los expertos dicen que no es el caso.

"IPv6 ha estado presente desde hace varios años, y los sistemas operativos más modernos y dispositivos móviles están listos para trabajar con redes IPv6", afirma Ron Gula, CEO de Tenable Network Security. "Esto significa que si se ejecuta o tiene que auditar una red IPv4, existen sistemas en ella a la espera y listas para hablar IPv6. Esto crea una oportunidad para explotación por parte de hackers y malware."

HD Moore, jefe de investigación de Rapid7, dice que cada sistema operativo moderno (incluyendo Windows, Mac OS X, Ubuntu Linux, iOS y Android) tienen habilitado IPv6 de forma predeterminada.

"Windows Homegroup utiliza TCP sobre IPv6 exclusivamente para la gestión de red local. Cada sistema con IPv6 habilitado tiene una dirección "enlace local" (link-local) a la cual cualquier otra máquina de la red local puede comunicarse. Esto permitiría que un intruso con acceso a la red local (directamente o a través de un sistema IPv4 comprometido) el acceder y atacar a las interfaces de IPv6 de los otros equipos locales".

Con IPv6 habilitado pero sin control, las empresas estan abiertas a una gran cantidad de posibles ataques, dijo Johannes Ullrich, decano de la investigación y miembro del cuerpo docente del Instituto SANS.

"Recientemente, he estado experimentando con un ataque en particular que podría ser un gran problema para los sistemas corporativos que utilizan VPNs para conectarse desde redes no confiables a los recursos corporativos", dijo Ullrich. "Por ejemplo, un empleado que viaja puede conectarse a una red inalámbrica en un hotel y establecer un túnel VPN a la red corporativa. Sin embargo, este túnel VPN sólo reenvia el tráfico IPv4. Un atacante puede ahora configurar un enrutador de IPv6 en la red del hotel, asignar al host una dirección IPv6 y proporcionarle un servidor DNS que soporte IPv6. De esta manera, el atacante puede evitar que el tráfico pase a través de la VPN y, a su vez, que ahora puede ser interceptado por el atacante".

2. IPv6 con IPSEC obligatorio es más seguro que IPv4

Un beneficio ampliamente asumido de IPv6 es el soporte para IPSec, pero la realidad no está tan definida. Aunque IPv6 soporta IPSec para cifrar el transporte, como lo indica Moore, en realidad el uso de IPSec no es obligatorio y no está configurado de manera predeterminada.

"El uso de IPSec requiere de una amplia configuración que sea debidamente asegurada, incluso cuando se ha activado", dice Moore.

3. IPv6 previene los ataques Man-in-the-Middle

Dado que IPv6 no utiliza Address Resolution Protocol (ARP), se supone que evita los ataques man-in-the-middle. De hecho, IPv6 utiliza ICMPv6 para implementar el Neighbor Discovery Protocol, que sustituye al ARP para la resolución de direcciones locales. El Neighbor Discovery Protocol, señala Moore, es tan vulnerable a los ataques man-in-the-middle como ARP, o incluso más.

"Un solo nodo interno comprometido puede exponer todos los activos locales a la red IPv6 global a través de un simple anuncio de ruta", dijo a Network Computing.

4. IPv6 es menos seguro que IPv4

Mientras que algunos conceptos erróneos de IPv6 giran en torno a su seguridad percibida, algunos creen que es menos seguro que IPv4 debido a la falta de NAT.

"La traducción de direcciones de red (Network Address Translation) (RFC 1918) es un esquema que permite que las organizaciones asignen direcciones privadas, no enrutables de IPv4 a muchos dispositivos, a los que entonces se les proporciona conectividad a Internet a través de un número limitado de direcciones IPv4 públicas", dice Brent Bandelgar, asociado consultor de seguridad en Neohapsis.

"Sin embargo, el direccionamiento privado se confunde como una característica de seguridad y el que no exista en IPv6 es frecuentemente citado como una razón para no implementar el nuevo protocolo", añade. "El espacio de direcciones de IPv6 resuelve el problema para el que NAT fue creado. La verdadera seguridad en las implementaciones de NAT fue proporcionada por el uso de inspección stateful al tráfico entrante, en el firewall del dispositivo que hace NAT. Una organización no debería estar más o menos segura con IPv6 en lugar de NAT, siempre y cuando los controles de acceso sean adecuados y estén en su lugar".

FUENTE.