No descuiden la seguridad de IPv6

El camino hacia IPv6 (la próxima versión del Protocolo de Internet para el esquema de direccionamiento), se caracteriza por períodos de alta y baja visibilidad. En los últimos meses, experimentó muy poca cobertura.

Pero el tema está subiendo de nuevo. IPv6, según Neohapsis Labs, plantea una serie de problemas de seguridad. Un ataque clave, según la firma, se denomina configuración automática sin estado de direcciones (SLAAC por sus siglas en inglés). Esto podría tener graves consecuencias. De acuerdo con un artículo de Baseline, el director de Neohapsis Labs, Scott Behrens, advierte:

Estos podrían incluir ataques de phishing, ataques del lado del cliente y otros métodos para capturar información de acceso, así como la información de identificación personal, incluyendo números de tarjetas de crédito. Al final, "Una organización podría terminar con alguien que tiene acceso a archivos y datos muy sensibles", dice Behrens.

El informe de Nehapsis dice que el ataque aún no se ha visto "en la realidad (in the wild)", solo menciona que su posibilidad es motivo de preocupación. El Grupo de Trabajo de Ingeniería de Internet (IETF por sus siglas en inglés) ha identificado las mejores prácticas que podrían disminuir su impacto. Cisco también ha incluido protecciónes en sus ruteadores de gama alta.

La implicación es que, tan grave como SLAAC, no es sino solo uno de los muchos retos de seguridad que vienen con IPv6. Eso debería asustar a TI y al personal de seguridad y hacerlos actuar.

La visión de seguridad IPv6 es discutido por Brian Prince en Network Computing. Según Prince, desde el día de lanzamiento de IPv6, el 6 de junio de 2012, Akamai ha reportado que el tráfico IPv6 se ha incrementado un 250% y que en la actualidad hay 10 mil millones de solicitudes diarias en su red.

La mayor parte del informe de Prince se centra en cuatro conceptos erróneos acerca de la seguridad e IPv6. La primera es que las redes sólo-IPv4 no tienen que preocuparse por la seguridad IPv6, lo cual es falso. Los elementos de la red, ahora vienen con software de IPv6 que puede ser explotado, incluso si el protocolo no está en uso. También existen ideas erróneas sobre soporte para IP Security (IPSec). Otro error, uno que hace eco en la historia de Baseline, es que IPv6 previene los ataques man-in-the-middle. Por último, Prince escribe que la gente que asume que IPv6 es inherentemente menos seguro que IPv4, se equivoca.

La transición a IPv6 debe hacerse con cuidado. El banco de Datos de Seguridad ha publicado una entrevista con el investigador de EMC, Davi Ottenheimer. Una de las preguntas era "¿Cómo saber si una organización está preparada adecuadamente para IPv6 desde una perspectiva de seguridad?":

Sabes que estás en el camino correcto con IPv6 cuando no sólo se piensa en atender cada dispositivo de forma exclusiva, sino también en mantener la capacidad de cambiar de dirección. Sabes también que estas en el camino correcto cuando se utiliza IPv6 en este espacio inagotable para proteger cada dispositivo, como si se encontrara en un ambiente hostil todo el tiempo.

La conclusión general es que la seguridad IPv6 es significativamente diferente de la de IPv4. La ironía, sin embargo, es que las organizaciones que no están haciendo la transición deben estar tan preocupadas por proteger su red como aquellas que están actualizándola.

FUENTE.